5411 sayılı Bankacılık Kanunu’nun 61. Maddesine göre bankalar, kendilerine yatırılan paraları parayı yatıran kişilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür. Bu tanımlamaya göre, mevduat, ödünç sözleşmesi niteliklerini taşıyan kendine özgü bir sözleşmedir. 6098 sayılı Türk Borçlar Kanunu’nun 386. ve devamı maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Bankalar da aynı şekilde müşterilerin hesaplarında bulunan mevduatı hesap sahiplerine, hesap sahibi istediği zaman aynen iade etmek zorundadır. Talep halinde iade edilmemesi halinde iade edememe durumuna bakılmaksızın bankanın sorumluluğu doğacaktır.
Bankanın hesap sahibine bankada bulunan parasını iade edememesinin en önemli ve en sık karşılaşılan nedeni dolandırıcılık durumlarıdır. Ancak banka, hesap sahibinin söz konusu dolandırıcılık nedeniyle uğramış olduğu zararı faiziyle beraber tazmin etmek zorundadır. Her ne kadar bu gibi olaylarda bankanın kusuru yokmuş gibi görünse de banka, internet bankacılığı nedeniyle gerekli güvenlik önlemlerini almadığından, üçüncü şahısların hesap sahibinin internet bankacılığı şifrelerini ele geçirmelerinden dolayı kusurludur.
Söz konusu suç türü Türk Ceza Kanunun Malvarlığına Karşı Suçlar başlığı altında ve 157. maddesinde düzenlenmiştir. Türk Ceza Kanunun 157. maddeye göre dolandırıcılık suçu, “Hileli davranışlarla bir kimseyi aldatıp, onun veya başkasının zararına olarak, kendisine veya başkasına bir yarar sağlayan kişiye bir yıldan beş yıla kadar hapis ve beş bin güne kadar adlî para cezası verilir”. Şekilde düzenlenmiş olup, ilgili kanunun 158-1/f maddesinde ise dolandırıcılığın nitelikli halleri düzenlenmiştir. Dolayısıyla bu suçun nitelikli hali olarak ilgili maddede belirtilen “bilişim ya da internet yolu ile banka veya kredi kurumlarının araç olarak kullanılması,” şeklindeki düzenleme dolandırıcılık suçunun işlenmesi açısından faile oldukça kolaylık sağlaması sebebiyle düzenlenmiştir.
Bankaların bir güven kurumu olup özel yasa ile kurulan ve kendilerine alanlarında imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumakla yükümlü olan kuruluşlar olmaları sebebiyle objektif özen yükümlülüğü altında oldukları ve hafif kusurlarından dahi sorumlu oldukları Yargıtay’ın kökleşmiş görüşü haline gelmiştir.
İnternet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bankaların internet bankacılığı sisteminin güvenliğine yönelik tedbirleri almaları, sistem hatalarını ve eksikliklerini gidererek sistemi güvenli bir ortam haline getirmeleri gerekmektedir.
Müşterilerin internet bankacılığını kullanmakta olması bankaların mevduatı koruma yükümlülüğünü ortadan kaldırmayacağı gibi, sorumluluğunu da hafifletmeyecektir. Bu kapsamda işlemlerini internet ortamına taşıyarak daha fazla müşteri kitlesine ulaşmak ve dolayısıyla daha fazla kâr elde etmek isteyen bankanın, buna paralel olarak gerekli teknolojik ve yazılımsal önlemleri alması, gelişen teknoloji karşısında kötüniyetli üçüncü kişilerin internet bankacılığı sistemine girişimlerini anında engelleyecek güvenlik mekanizmasını oluşturması, sistemini sürekli güncelleyerek yenilemesi, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almanın yanı sıra müşterilerini de anında bilgilendirmesi gerekmektedir. (Savaş, Abdurrahman; İnternet Bankacılığı ve Tarafların Yükümlülükleri, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C. 19, S. 2, s. 151.)
Bankalar, özel yasa ile kurulan ve kendilerine alanlarında çeşitli özellikler tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlar olup, sahip oldukları bu vasıfları sebebiyle bankacılık işlemlerinin güvenilen tarafı konumundadırlar. Bu durum, bankaların bir güven kurumu olarak kabul edilmesini ve bankanın sorumluluğunun özel güven sebebiyle ağırlaştırılmasını gerektirir (Battal, Ahmet; Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara 2001, s. 106).
Bu itibarla, hesap sahibinin internet dolandırıcılığı eyleminin işlenmesinde ve kişisel bilgilerinin kötüniyetli üçüncü kişilerin eline geçmesinde kusuru var ise (6098 sayılı TBK’nın 52. maddesi gereğince) bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda banka, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını ancak 6098 sayılı TBK’nın 112. maddesi gereğince ispat etmek durumunda olup, ayrıca müşterisinin müterafik kusurunu da ispat etmekle yükümlüdür.
6102 sayılı Türk Ticaret Kanunu’nun 18/2 maddesi gereğince, tacirin ticaretine ait bütün faaliyetlerinde basiretli iş adamı gibi hareket etmesi lazımdır. Nitekim, bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü herhangi bir tacirden farklıdır. Bu sebeple bankalardan beklenen basiret ölçüsü ve özen yükümlüğü şüphesiz daha ağırdır. Özellikle bankaların internet bankacılığı hizmeti vermeye başladıkları andan itibaren özen yükümlülüğünün daha da arttığının kabul edilmesi gerekmektedir. (Yılmaz, Süleyman; Hukuki Açıdan İnternet Bankacılığı, Ankara, 2010, s. 152.)
Bu hususta internet bankacılığı ile ilgili olarak doğrudan bir düzenleme bulunmasa da aynı çerçeve doğrultusunda geliştirilen ve çoğunlukla aynı sistem üzerinden çalışan kredi kartlarında benzer bir düzenleme bulunmaktadır. Bahse konu düzenleme 5464 sayılı Banka Kartları ve Kredi Kartları Kanununun kartı çıkaran kuruluşların yükümlülüklerini düzenleyen 8. maddesi olup, ilgili madde “Kart çıkaran kuruluşlar, kartların kullanılması bir kod numarası, şifre ya da kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa, bu tür bilgilerin gizli kalması amacıyla gerekli önlemleri almak ve harcama ve alacak belgesinin müşteri nüshası üzerinde ve yazışmalarda kart numarasının açıkça yer almasını engellemekle yükümlüdür.” şeklinde düzenlenmiştir. Bu hükmün kıyasen uygulanması bankaların müşteri güvenliğini sağlamaya yönelik görevlerini açıklamak açısından oldukça önem arz etmektedir.
Bu noktada önemle belirtmek gerekirse bankalar bir güven kurumudur. Nitekim bu özellikleri pek çok Yargıtay kararında da çokça vurgulanmaktadır. Bu sebepledir ki bankaların müşterilerinin kullandığı internet bankacılığı hizmetinin gerektiği gibi işleyebilmesi için gerekli olan altyapıyı sağlamaları ve çalışır vaziyette bulundurmaları her şeyden önce aralarındaki sözleşme hükümlerine dayanmaktadır. Böylece bankalar zamanla gelişip değişebilen yükümlülüklerini yerine getirmezler ise Borçlar Kanunun 96. maddesi ve devamındaki hükümlere göre sözleşmenin hiç veya gereği gibi ifa edilmemesi sebebiyle sorumlu olmaktadırlar.
Dolandırıcılığın fark edilmesinden sonra bankanın kendisinden beklenen şüpheli işlem tespiti, hesap blokesi, para transferini durdurma gibi alternatif yöntemlerle dolandırıcılığın önüne geçilmesi konusunda gereken özeni gösterip göstermediği araştırılacaktır. Araştırma neticesinde bankanın kusurlu bulunması halinde meydana gelen zarar verdin ötürü banka kısmen veya tamamen sorumlu tutulabilir.
Son olarak, teknolojinin sürekli değişmesi her ne kadar kanunda bu konuda düzenlemeler yapılmasını zorlaştırsa da ilgili karardan da anlaşılacağı üzere Yargıtay, ‘internet dolandırıcılığı’ suçu nedeniyle mağdur olan kişinin zararından bankanın sorumlu olduğuna hükmetmiştir.
KONUYA İLİŞKİN YARGI KARARLARI:
Yargıtay, etkili bir güvenlik önlemi geliştiremeyen bankaların müşterilerinin mevduatından sorumlu olduğunu belirmiştir. Bu hususta Yargıtay 11. Hukuk Dairesinin emsal nitelikli vermiş olduğu en son kararı;
“İşlemde davacının üçüncü kişilerle iş birliği yaparak veya başka şekilde kusurlu davrandığı ispatlanamamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötü niyetli kişilerin işlemlerine karşı korunamadığı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hâle getirmediği anlaşılmaktadır. Bu durumda davalı banka hesaptan çekilen tüm paradan sorumludur. Bunun ilke olarak kabulü gerekir.”
şeklindedir. Emsal nitelikli bu kararla bankanın hesap sahibinin parasını korumakla yükümlü olduğu belirtilmiştir. Somut olaya bakıldığında da; müvekkilin üçüncü kişilerle herhangi bir ilgisi bulunmaması sebebiyle kendisinin kusuru olmadığı aşikardır.
Yargıtay 11. Hukuk Dairesi 2019/4714 E. , 2021/2525 K. sayılı ilamında;
“Davacının cep telefonuna uzaktan erişim ile SMS yönlendirmesi yapılarak, bankalar tarafından gönderilen ve içerisinde onay şifresi bulunan dinamik şifre SMS’leri kendi telefonlarına yönlendirdikleri ve para transfer işlemleri yapıldığı, internet bankacılığını müşterilerine özendiren davalı bankaların kendisine emanet edilen mevduatı koruma özel yükümlülüğü gereğince; internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığını belirleme yönünde, gelişen dolandırıcılık yöntemlerine karşı, bunları önleyici gerekli altyapının sağlanarak güvenlik önlemlerini almak zorunda olduklarını bozmadan sonra temin edilen bilgi ve belgelerin sonucu ve kusur oranını değiştirir nitelikte olmadığı, davacının 44.825,00 TL tutarındaki zararından davalı bankaların davacıya karşı müteselsilen sorumlu oldukları gerekçesiyle..”
Yargıtay 11.Hukuk Dairesi 2017/4888 E., 2019/2015 K. sayılı ilamında;
“Dosya kapsamından, işlemlerde davacının üçüncü kişilerle el ve işbirliği ile veya başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hale getirmediği anlaşılmaktadır. O halde, davalı bankanın hesaptan çekilen tüm paradan sorumlu olduğunun, ilke olarak kabulü gerekir.”
Ankara BAM 21. Hukuk Dairesi 2019/1208 E., 2021/436 K. sayılı ilamında;
“Dava, davalı banka nezdinde açılmış olan hesapta bulunan paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlemler sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkin olup ilk derece mahkemesince davanın kabulüne karar verilmiştir.
5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 16. Maddesine göre; “Kart hamili, kendisine tevdi edilen kartı ve kartın kullanılması bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa bu bilgileri güvenli bir şekilde korumak ve başkaları tarafından kullanılmasına engel olacak önlemleri almak zorundadır.”
BDDK’nın 1 Kasım 2006 tarih ve 26333 sayılı Resmi Gazete’de yayımlanan ve bankalar için risk kabul edilen ve sermayelerini bu riskler de gözönüne alınarak belirlemeleri gerektiğine ilişkin düzenleme getiren yönetmeliğin 3/n maddesinde “bilgi teknolojileri sistemlerindeki hata ve aksamalar” opsiyonel risk adı altında kabul edilmiştir. Buna göre, bankaların internet bankacılığında olabilecek açıklıkları bilerek bunun sonuçlarını göze alarak bu hizmeti verdikleri anlaşılmaktadır.
Yukarıda yapılan açıklamalar ışığında davalı banka vekilinin istinaf sebepleri değerlendirilecek olursa; Somut olayda 01.08.2017-20.11.2018 döneminde yapılan ödemelerin en fazla 2.000-3.000,00 TL civarında ve daha altındaki miktarlar olduğu belirlenmiştir. Davalı banka hesabından 17.10.2018 tarihinde saat 15.17.de 58.000,00 TL EFT yoluyla gönderilmiştir. Davacının müşteki sıfatıyla 18.10.2018 tarihinde verdiği Ankara CBS’nin …. sayılı soruşturma dosyasında; bilgisi ve rızası dışında telefonunu …. numaralı telefona yönlendirildiğini fark ettiğini, yönlendirmeyi kendisinin yapmadığını beyan etmiştir.
İlk derece mahkemesince alınan Dairemizce dosya kapsamına ve oluşa uygun bulunan objektif, denetime ve hüküm kurmaya elverişli bulunan bankacılık işlemleri konusunda uzman …. tarafından düzenlenen 05.02.2019 tarihli raporda; dava konusu gibi yüksek miktardaki 58.000,00 TL ödemeden önce hesap sahibi davacıdan bankacılık uygulamalarına göre teyit alınması gerektiği, davalı bankaca davacı …. internet şifresinin başka şahıslar tarafından ele geçirildiği iddiasına ilişkin davalı banka tarafından delil sunulmadığı, BDDK’nın Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ hükümleri gereği internet sayfalarına giriş esnasından itibaren olabilecek muhtemel güvenlik açıklarına karşı önlemleri almanın bankanın sorumluluğunda olduğu, mevduat sahibine ilişkin bilgilerin ve işlem alanının internet ortamına aktarılmasıyla birlikte bankanın mevduat sözleşmesinden kaynaklanan saklama borcunun bir sonucu olarak yetkisiz kişilerin mevduat bilgileri ve işlem alanına ulaşmasını engelleyecek güvenlik tedbirlerini alması gerektiği, ayrıca mevduat sahibinin de kendisine verilen şifre ve işlemlerde kullandığı kişisel bilgileri özenle saklamak ve başka kişilerin öğrenmesini engellemekle yükümlü olduğu, bu bakımdan sistemin tehlikeleri konusunda müşterilerini banka tarafından bilgilendirilmesi ve bu tehlikeleri bilerek interaktif bankacılık işlemlerine girişip girişmeme kararının vermesinin sağlanması gerektiği, müşterilere ait şifre bilgileri kullanılarak üçüncü kişilerce başka hesaplara aktarılmasında çoğunlukla müşterinin bilgisayarına internet ortamında yerleşen casus programlar vasıtasıyla gerçekleştirildiği, bankanın mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamasının zorunlu olduğu, bu kapsamda, bankanın interaktif bankacılık işlemleri sırasında şifre bilgilerinin 3. kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması, kendi web sayfasından başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra mevduat sahiplerini de bilgilendirmesi gerektiği, sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğun bankaya ait olduğu, bankaların tek kullanımlık şifre göndermekle sorumluluktan kurtulamayacağı, bankaların internet bankacılığı suçlarına karşı son derece etkin bir araç olan elektronik imza uygulamasını başlatmaları gerektiği, davalı bankanın davacının şifre ve hesap bilgilerini saklamakta kusurlu davrandığının ve dava dışı 3. kişi ile birlikte hareket edildiğinin davalı banka tarafından ispatlanmadığı, BDDK’nın ilgili tebliğinin (14.09….. sayılı RG) “inkar edilemezlik ve sorumluluk atama başlıklı 28/1. Maddesi hükmü uyarınca, banka öyle bir sistem kurmalıdır ki işlemi başlatan banka müşterisinin bu işlemi kendisinin yaptığını inkar edememesinin sağlanması gerektiği, tebliğin denetim izlerinin oluşturulması başlıklı 29/2. Maddesindeki; “Banka, internet bankacılığı faaliyetlerine ilişkin işlem ve kayıt tutma süreçlerinin ve alt yapısının, delil üretecek ve bu delillerin bozulmasını önleyecek, yanıltıcı delilleri ayırt edebilecek ve taraflara sorumluluk yüklemede kullanılabilecek bilgileri sunacak şekilde yapılanmasını temin eder” hükmünün gereğinin yapıldığının da davalı banka veya vekili tarafından ifade edilmediği, sonuç olarak; davalı bankanın interaktif banka müşterisinin hesaplarına hacker’lar tarafından girilip usulsüz işlemlerin yapılmasının engellenmesine yönelik tedbirleri almadığı belirtilmiştir. Ayrıca davalı banka tarafından davacının kart bilgilerini ve şifresini paylaştığı da ispat edilememiştir.”
Yargıtay 11.Hukuk Dairesi’nin 2007/12559 E., 2009/1362 K. sayılı ilamında;
“…Bankalar, özel yasa ile kurulan ve ekonomik alanda çeşitli imtiyazlar tanınan kuruluşlardır. Güven kuruluşları olan bankalar, topladıkları mevduatı sahtecilere karşı özenle korumak zorundadırlar. Bu hususta objektif özen borcu altında olan bankalar, hafif kusurlarından dahi sorumludurlar. BK’nın 99. maddesi uyarınca yapmış oldukları sorumsuzluk anlaşmaları da geçerli değildir….İnternet bankacılığı yoluyla yapılan işlemlerde gerekli önlemleri almayan banka, kural olarak özen yükümlülüğünü ihlal etmekle asli kusurludur..”