Banka Müşterilerinin Hesaplarındaki Paranın Bilişim Sistemlerinin Kullanılması Suretiyle Çalınması Ve Bankaların Sorumluluğu Nedeniyle Tazminat Davası


Banka Müşterilerinin Hesaplarındaki Paranın Bilişim Sistemlerinin Kullanılması Suretiyle Çalınması Ve Bankaların Sorumluluğu Nedeniyle Tazminat Davası 


Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmek ve bunları önlemeye yönelik işlem takip mekanizmaları kurmak zorundadır. Elektronik bankacılık hizmetlerinden dolayı müşterilerin yaşayabileceği sorunları ve şikâyetlerini iletebileceği ve takip edebileceği mekanizmalar oluşturulur. Oluşturulacak şikâyet birimleri veya çağrı merkezlerinde müşteriyi karşılayacak menülerde ilgili elektronik bankacılık hizmetine ilişkin yaşanan dolandırıcılık vakalarının iletilmesi işleminin ana menüde ve ilk sıralarda müşterinin dikkatine sunulması ve bankaya ulaştırılan bildirimlerin en kısa sürede giderilmesine yönelik gerekli çalışmaların yapılması sağlanır.


Bankalarda, bilgi güvenliği sorumlusu tarafından onaylanmadıkça banka personeli ya da dış hizmet sağlayıcıları tarafından banka içi uygulama ve sistemlere, banka dışından uzaktan erişim gerçekleştirilmez. 


Banka, telefon bankacılığı hizmetlerinin müşterilere sunulmasında görev alan müşteri temsilcileri ve çağrı merkezi görevlileri gibi çalışanlara sosyal mühendislik saldırıları ve bilinen diğer dolandırıcılık yöntemleri konusunda periyodik eğitimler aldırmak ve bu çalışanların güvenlik farkındalıklarını artırıcı çalışmalar yapmakla yükümlüdür.


Bankalar, bankacılık faaliyetlerinin yürütülmesinde kullanılan verilerin taşındığı, iletildiği, işlendiği, saklandığı ve yedek olarak tutulduğu sırada gizliliğini sağlayacak önlemleri almak zorundadır. Verilerin tutulduğu ortamın kağıt veya elektronik ortam olmasından bağımsız olarak alınacak önlemlerin, gizliliği sağlanmaya çalışılan verilerin gizlilik derecesine uygun olması ve gerekli yerlerde ek kontrollerin tesis edilmesi esastır. 


Bankalar, bilgi sistemlerinin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele almakla, bilgi sistemlerinin doğru yönetimi için gerekli finansman ve insan kaynağını tahsis etmekle, bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliğini sağlamak amacıyla bilgi sistemleri üzerinde etkin kontrollerin tesis edilmesini sağlamakla ve gelişen yeni teknolojileri de göz önünde bulundurarak bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütmekle sorumludur. 


Yine, bankalar, tüm bilgi varlıklarına olan erişimlerin, görevler ayrılığı prensibine göre belirlenmiş kullanıcılarca ve bu kullanıcıların sorumluluğu gereği kendileri için tanımlanan erişim kontrol kuralları uyarınca, ilişkili bilgi varlığının güvenlik sınıfına uygun bir kimlik doğrulama yöntemiyle gerçekleştirilmesini sağlamakla yükümlüdür.


Banka, bankacılık faaliyetlerinin yürütülmesinde kullanılan verilerin taşındığı, iletildiği, işlendiği, saklandığı ve yedek olarak tutulduğu ortamlarda gizliliğini sağlayacak önlemleri almak, veri gizliliğini sağlamada kullanılacak şifreleme teknikleri için güncel durum itibariyle güvenilirliğini yitirmemiş ve günün teknolojisine uygun algoritmalar kullanmak, bilgi sistemleri üzerindeki kullanıcılara ait kimlik doğrulama bilgilerinin güvenliğine yönelik, kimlik doğrulama bilgilerinin veri tabanlarında şifreli olarak veya matematiksel olarak geriye dönüştürülmesi mümkün olmayan yöntemlerle muhafaza edilmesi, kimlik doğrulama amacıyla aktarılırken şifrelenmesi, yetkisiz erişimlere veya görevler ayrılığı prensibine aykırı olarak kontrolsüz bir şekilde gerçekleştirilecek değişikliklere karşı korunması, bu veritabanları üzerinde gerçekleştirilen işlemlere ilişkin yeterli iz kayıtlarının tutulması ve bu iz kayıtlarının güvenliğinin sağlanması gibi önlemleri almak zorundadır.


Ayrıca, banka gerek kendi kurumsal ağı gerek dış ağlardan gelebilecek tehditler için gerekli ağ güvenlik kontrol sistemlerini tesis etmek, dış ağı ve iç ağı arasındaki trafiği kontrol altında tutmak için gerektiği şekilde konfigürasyonu yapılmış ve sürekli gözetim altında tutulan güvenlik duvarı çözümleri ile saldırıları tespit edebilecek ve önleyebilecek günün teknolojisine uygun sistemler kullanmakla yükümlüdür.


Buna rağmen günümüzde hackerlar, kişilerin banka hesabından bilgisi ve rızası dışında havaleler yapılarak para transferleri sağlamaktadır. 


Bilişim sistemlerinin kullanılması suretiyle hırsızlık suçu, para, kontör, hisse senedi, altın vb. gibi ekonomik değer ifade eden taşınır mallarla fiziki temasta bulunulmaksızın, bilişim sisteminde bu malları temsil eden ve bir başka yere aktarılması mümkün olan verileri yer değiştirerek hakimiyet alanına alınması suretiyle gerçekleştirilmektedir.


Bilişim sistemlerinin kullanılması suretiyle, zilyedinin rızası olmadan başkasına ait taşınır bir malı, kendisine veya başkasına bir yarar sağlamak maksadıyla bulunduğu yerden alan kimse beş yıldan on yıla kadar hapis cezasına hükmolunur. 


Bilişim sistemlerinin kullanılması suretiyle hırsızlık suçuna konu paranın önem ve değeri, meydana gelen zararın ağırlığı dikkate alınarak TCK'nın 61. maddesi uyarınca temel ceza belirlenirken alt sınırdan uzaklaşılması gerekir. 


5237 Sayılı TCK.nın 142. maddesinin gerekçesinde, bilişim sisteminin tanımı yapılmayarak, hırsızlık suçunun bilişim sistemlerinin kullanılması suretiyle işlenmesinin, daha ağır ceza ile cezalandırmayı gerektiren nitelikli bir hal olduğunun belirtilmesi ile yetinilirken; bilişim sistemi anılan kanunun 243. maddesinin gerekçesinde "verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tâbi tutma olanağı veren manyetik sistemlerdir" şeklinde tanımlanmıştır. Aynı gerekçede, sistem içindeki bütün soyut unsurların veri terimi kapsamında olduğu da dile getirilmiştir.


Veri, Avrupa Konseyi Siber Suç Sözleşmesinin 1. maddesinde "bir bilgisayar sisteminin belli bir işlevi yerine getirmesini sağlayan yazılımlar da dahil olmak üzere, bir bilgisayar sisteminde işlenmeye uygun nitelikteki her türlü bilgi", 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanunun tanımlar başlıklı 2. maddesinde ise "bilgisayar tarafından üzerinde işlem yapılabilen her türlü değer" şeklinde tanımlanmıştır.


5237 Sayılı TCK'nın kişilere karşı suçların düzenlendiği, ikinci kitap, ikinci kısmının, malvarlığına karşı suçların yer aldığı onuncu bölümünde düzenlenmiş olan hırsızlık suçunun temel şekli anılan kanunun 141. maddesinde; zilyedinin rızası olmadan başkasına ait taşınır bir malı, kendisine veya başkasına bir yarar sağlamak maksadıyla bulunduğu yerden almak şeklinde düzenlenmiş, aynı kanunun "Nitelikli hırsızlık" başlıklı 142. maddesinin ikinci fıkrasının uyuşmazlığının konusunu oluşturan ( e ) bendinde ise; "Suçun; ...Bilişim sistemlerinin kullanılması suretiyle işlenmesi hâlinde, üç yıldan yedi yıla kadar hapis cezasına hükmolunur" şeklinde hırsızlık suçunun bilişim sistemlerinin kullanılması suretiyle işlenmesi nitelikli hal olarak yaptırıma bağlanmıştır. Bilişim sistemlerinin kullanılmasından maksat, bilgileri otomatik olarak işleme tâbi tutan manyetik sistemler üzerinden hırsızlığın gerçekleştirilmesidir.


Bununla birlikte, bilişim sistemlerinin kullanılması suretiyle hırsızlık eylemlerinde de hırsızlık suçunun tüm unsurlarının gerçekleşmesi gerekir. Bu anlamda zilyedin rızasının bulunmaması ve malın yarar sağlamak amacıyla alınması unsurlarının yanında, taşınır malın bulunduğu yerden alınması unsurunun da gerçekleşmesi gerekir. Bilişim sistemlerinin kullanılması suretiyle işlenen hırsızlık suçlarında alma eylemi, zilyedin tasarrufu altında bulunan taşınır malın bilişim sistemlerinin kullanılması suretiyle failin veya üçüncü bir kişinin zilyetliğine geçirilmesi suretiyle gerçekleşmiş olacaktır.


Değişen ve gelişen hayat şartları ile teknolojik olarak sürekli yenilenen bilişim sistemlerinin günümüzde hayatın her alanında etkinliğini artırması karşısında, kişiler ekonomik değer ifade eden ve taşınır mal olan para, hisse senedi ve altın vb. gibi menkul değerlerine ilişkin işlemleri çoğunlukla bu sistemler üzerinden gerçekleştirmektedir. Bilişim sistemleri ekonomik değer ifade eden taşınır mallarla fiziki temas olmaksızın işlemler yapmayı mümkün hale getirmiştir. Bilişim sistemleri kullanılmak suretiyle para, hisse senedi ve altın gibi taşınır mallarla fiziki temas olmaksızın işlemler yapmak, "bilgisayar tarafından üzerinde işlem yapılabilen her türlü değeri ifade eder" şeklinde tanımlanmış olan ve bilişim sisteminde taşınır malları temsil eden "veri" aracılığıyla olmaktadır.


Bilişim sistemlerinin kullanılması suretiyle hırsızlık suçlarında fail, para, hisse senedi, altın vb. gibi ekonomik değer ifade eden taşınır mallarla fiziki temasta bulunmaksızın, bilişim sisteminde bu malları temsil eden ve bir başka yere aktarılması mümkün olan verileri yer değiştirerek, hakimiyet alanına almak suretiyle eylemini gerçekleştirmektedir.


Bu suç tipine uyan ve uygulamada en çok karşılaşılan eylem, kişilerin internet bankacılık şifrelerinin bir şekilde öğrenilip, internet üzerinden bu şifre kullanmak suretiyle ilgilinin banka hesabındaki paraları temsil eden verilerin, failin kontrolündeki başka bir hesaba aktarılarak, veriler üzerinden işlem gören suça konu paranın buradan çekilmesi şeklindeki eylemlerdir.


Bilişim sisteminden maksat, verileri toplayıp, yerleştirdikten sonra bunları otomatik işlemlere tâbi tutma olanağını veren manyetik sistemlerdir. Günümüzde bilişim sistemleri ile sesli-görüntülü haberleşme, elektronik imzanın kabulü, yeni ticari ilişkiler, internet bankacılığı hizmeti ile para transferleri ve bunlar gibi pek çok yenilik toplumsal hayata girmiş, bilişim gerek iş gerekse günlük hayatta vazgeçilemeyecek kadar önemli bir noktaya ulaşmış, bilişim teknolojileri daha hızlı ve ucuz bir nitelik arz etmesi nedeniyle, klasik yöntemlere nazaran daha fazla tercih edilir duruma gelmiştir. Bu sistemlerin güvenle kullanılması, aynı anda hızlı ve kolayca birçok kişi tarafından ulaşılması ve diğer taraftaki failin kontrol imkânını azaltması nedeniyle nitelikli hal sayılmıştır.


Ceza Soruşturması 

Cumhuriyet savcısının, ihbar veya başka bir suretle bir suçun işlendiği izlenimini veren bir hâli öğrenir öğrenmez kamu davasını açmaya yer olup olmadığına karar vermek üzere hemen işin gerçeğini araştırmaya başlaması gerekir. Yapacağı değerlendirme sonucunda, toplanan delillerin suçun işlendiği hususunda yeterli şüphe oluşturduğu kanısına ulaştığında iddianame düzenleyerek kamu davası açmak zorundadır.


Ceza Davası


Ceza muhakemesinin amacı, her somut olayda kanuna ve usulüne uygun olarak toplanan delillerle maddi gerçeğe ulaşıp adaleti sağlamak, suç işlediği sabit olan faili cezalandırmak, kamu düzeninin bozulmasının önüne geçebilmek ve bozulan kamu düzenini yeniden tesis etmektir. Gerek 1412 Sayılı CMUK, gerekse 5271 Sayılı CMK, adil, etkin ve hukuka uygun bir yargılama yapılması suretiyle maddi gerçeğe ulaşmayı amaç edinmiştir. Bu nedenle ulaşılma imkânı bulunan bütün delillerin ele alınıp değerlendirilmesi gerekmektedir. Diğer bir değişle adaletin tam olarak gerçekleşebilmesi için, maddi gerçeğe ulaşma amacına hizmet edebilecek tüm kanuni delillerin toplanması ve tartışılması zorunludur.


Banka Aleyhine Tazminat Davası 

Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede aynı veya misli olarak iade etmekle yükümlüdür ( 4491 Sayılı Kanun ile değişik 4389 Sayılı Bankalar Kanunu 10/4 ve 5411 Sayılı Bankacılık Kanunu'nun 61.maddesi ). 


Mevduat; ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. 


Ödünç alan, akdin sonunda ödünç verilen parayı, eğer kararlaştırılmışsa faiziyle birlikte iadeye mecburdur. 


Usulsüz tevdi halinde paranın nef'i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. 


Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. 


Usulsüz işlemlerin gerçekleşmesinde, ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.


“Davaya konu havale işleminin, davacının internette bankacılık işlemlerini gerçekleştirmekte kullandığı şifre ile yapıldığı, bu şekilde gerçekleştirilen havalelerde bankanın ayrıca davacıdan teyit almasının gerekmediği, davalı bankanın bir kusurunun bulunmadığı gerekçesiyle davalı banka yönünden davanın reddine karar verilmiş ise de, davacıya ait mevduat, davalı bankaya karşı gerçekleştirilen sahtecilik işlemi ile hesaplardan çekilerek başka hesaplara havale edilmiş olup, bu durum davalı bankayı aldığı mevduatı iade etme yükümlülüğünden kurtarmayacağı gibi, ispat yükü kendisinde olan davalı banka, davacıya vermiş olduğu şifre ve parolaların davacının kusuru ile üçüncü kişilerce ele geçirildiğini de kanıtlayamamıştır. Bu itibarla, somut olayda davacıya atfedilecek her hangi bir kusurun ispat edilememesi sebebiyle tüm kusurun davalı bankada olduğunun kabulüyle sonucuna göre bir karar verilmesi gerekirken, yazılı şekilde davalı banka yönünden davanın reddine karar verilmesi doğru olmamış, hükmün bu sebeple davacı yararına bozulması gerekmiştir.” demek suretiyle, hackerlar tarafından, banka bilişim sistemine girilerek müşterilerin banka hesabından bilgisi ve rızası dışında havaleler yapılarak para transferleri yapıldığında, sorumluluk tamamıyla bankaya aittir. 


Bankalar birer güven ve itimat müessesesi olup, hafif kusurlarından dahi sorumludur. 


Güven kurumu olan bankaların tüm işlemlerinde basiretli bir tacir gibi davranmakla yükümlü olup, bankanın internet bankacılığı ile ilgili alınabilecek tüm önleyici tedbirleri alması zorunludur.


Bankaların özen yükümlülüğü ve sahtecilik işlemlerine karşı önlem alma yükümlülüğü gereği parasına kovuşamayan müşterilerin açtığı davada, aynı zamanda bilişim sistemine girmek suretiyle suç işleyen üçüncü kişi hakkında Bilişim Sistemlerinin Kullanılması Suretiyle Hırsızlık suçundan dava açılmışsa, ceza davası sonucunda verilecek mahkumiyet kararı ve maddi olgu tespiti kararı hukuk hakimini bağlayıcı nitelikte olduğundan, ceza davasının sonucunun kesinleşmesi beklenecektir. 


Banka bilişim sistemine girilerek müşterilerin banka hesabından bilgisi ve rızası dışında havaleler yapılarak para transferleri yapıldığında, bankanın müşterinin manevi zararından sorumluluğu da doğmaktadır. 


Zira, genel kabul gören görüşe göre manevi tazminat; ne bir ceza ne de gerçek anlamda bir tazminattır. Zarara uğrayan kişinin çektiği acıyı, duyduğu elem ve üzüntüyü bir nebze olsa da dindiren, zarara uğratan olay nedeniyle oluşan ruhsal tahribatı onarmaya yarayan bir araçtır. Hakimin özel durumları göz önünde tutarak hükmedeceği manevi tazminat miktarı adalete uygun olmalıdır. Hükmedilecek bu para, zarara uğrayanda manevi huzuru gerçekleştirecek ve tazminata benzer bir fonksiyonu da olan özgün bir nitelik taşır. Manevi tazminat bir ceza olmadığı gibi, mamelek hukukuna ilişkin zararın karşılanmasını da amaç edinmemiştir. Zarar görenin zenginleşmemesi, zarar sorumlusunun da fakirleşmemesi gerekmektedir. O halde, bu tazminatın sınırı onun amacına göre belirlenmelidir. Takdir edilecek miktar, mevcut halde elde edilmek istenen tatmin duygusunun etkisine ulaşmak için gerekli olan kadar olmalıdır. Takdir edilecek manevi tazminatın tutarını etkileyecek özel hal ve şartlar her olaya göre değişebileceğinden, hakim bu konuda takdir hakkını kullanırken ona etkili olan nedenleri de karar yerinde objektif ölçülere göre isabetli bir biçimde göstermelidir.


Mevduattan usulsüz çekilen bu para yabancı bir para ise, 3095 sayılı Yasaya 3678 sayılı Yasa ile eklenen 4/a maddesi uyarınca, hükmedilen yabancı para alacağına, Devlet Bankalarının o yabancı para ile açılmış bir yıllık vadeli mevduat hesabına ödediği en yüksek faiz oranı üzerinden faiz talep edilebilir.


Y. HGK. 2017/2224 E. , 2018/1753 K. 22.11.2018 T.

"İçtihat Metni"

MAHKEMESİ :Ticaret Mahkemesi

Taraflar arasındaki "maddi tazminat" davasından dolayı yapılan yargılama sonunda; İzmir 8. Asliye Ticaret Mahkemesince davanın kısmen kabulüne dair verilen 28.01.2013 tarihli ve 2012/330 E. 2013/26 K. sayılı karar taraf vekillerince temyiz edilmekle Yargıtay 11. Hukuk Dairesinin 24.01.2014 tarihli ve 2013/11577 E. 2014/1594 K. sayılı kararı ile:

"...Davacı vekili, müvekkilinin davalı bankada bulunan hesabından 12.05.2011 tarihinde 9.788 TL'nin internet vasıtasıyla başka hesaba EFT edildiğini, davalı bankanın internet vasıtasıyla yapılan işlemlerde müşterilerin haklarını koruyucu tedbir almaması nedeniyle zarara uğradığını ileri sürerek, 9.788 TL'nin faiziyle birlikte davalıdan tahsilini talep ve dava etmiştir.

Davalı vekili, taraflar arasındaki sözleşmede güvenlik hususunda davacının uyarıldığını, söz konusu havale işleminden dolayı sorumlu olmadıklarını, davacının kusurlu hareketi bulunduğunu savunarak, davanın reddini istemiştir.

Mahkemece iddia, savunma, bilirkişi raporu ve dosya kapsamına göre, davacının kişisel bilgilerini korumada gerekli özeni göstermediği bu nedenle % 40 kusuru bulunduğu, davalı bankanın ise yeterli güvenlik önlemlerini almayarak % 60 oranında kusuru olduğu gerekçesiyle, davanın kısmen kabulüne, 5.872,80 TL'nin faiziyle birlikte davalıdan tahsiline karar verilmiştir.

Kararı, taraf vekilleri temyiz etmiştir

1-Dava dosyası içerisindeki bilgi ve belgelere, mahkeme kararının gerekçesinde dayanılan delillerin tartışılıp, değerlendirilmesinde usul ve yasaya aykırı bir yön bulunmamasına göre davalı vekilinin tüm temyiz itirazlarının reddine karar vermek gerekmiştir.

2-Dava, davalı banka nezdinde açılmış olan hesapta bulunan paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlemler sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkindir.

Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür (4491 sayılı Yasa ile değişik 4389 sayılı Bankalar Kanunu'nun 10/4 ve 5411 sayılı Bankacılık Kanunu’nun 61. maddesi). Bu tanımlamaya göre, mevduat ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Dava tarihinde yürürlükte olan 818 sayılı BK'nın 306 ve 307. maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı Yasa’nın 372/1. maddesi uyarınca usulsüz tevdide paranın nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.

Somut olayda, davalı banka davacıya vermiş olduğu şifre ve parolanın davacının kusuru ile ele geçirildiğini kanıtlayamamıştır. Tüm kusur davalı bankada olduğu halde yazılı gerekçelerle tarafların birlikte kusurlu olarak kabul edilmesi doğru görülmemiş kararan davacı yararına bozulması gerekmiştir..."

gerekçesi ile bozularak dosya yerine geri çevrilmekle yeniden yapılan yargılama sonunda mahkemece önceki kararda direnilmiştir.

HUKUK GENEL KURULU KARARI

Hukuk Genel Kurulunca incelenerek direnme kararının süresinde temyiz edildiği anlaşıldıktan ve dosyadaki belgeler okunduktan sonra gereği görüşüldü:

Dava, internet bankacılığı işlemi nedeniyle bankanın sorumluluğuna dayalı maddi tazminat istemine ilişkindir.

Davacı vekili; müvekkilinin davalı bankanın müşterisi olduğunu, 12.05.2011 tarihinde müvekkilinin çeşitli bankalardaki hesaplarında internet aracılığı ile korsan girişimlerde bulunulduğunu ve müvekkilinin davalı banka şubesindeki hesabından 9.788,00TL’nin başka hesaplara EFT yapılarak aktarıldığını, davalıdan EFT yapılan paranın iadesinin istendiğini, ancak davalı tarafından paranın iade edilemeyeceğinin belirtildiğini, davalı bankanın objektif özen yükümlülüğünü yerine getirmediğini ve müşterilerini koruma amaçlı gerekli güvenlik önlemlerini almadığını ileri sürerek fazlaya ilişkin hakları saklı kalmak kaydıyla 9.788,00TL zararın mevduata uygulanan en yüksek faizi ile birlikte davalı bankadan tahsiline karar verilmesini talep ve dava etmiştir.

Davalı vekili; davacının internet bankacılığı işlemlerinde zorunlu kılınan tek kullanımlık şifre seçeneklerinden akıllı SMS seçeneğini kullandığını, dava konusu işlemin davacının müşteri numarası, internet bankacılığı şifresi ve cep telefonuna gönderilen işlem şifresi (Akıllık SMS) kullanılmak suretiyle gerçekleştiğini, davacı şirket yetkilisi tarafından Torbalı Cumhuriyet Başsavcılığının 2011/2069 soruşturma sayılı dosyasında verilen 13.05.2011 tarihli ifadede şifreleri korumak için gerekli dikkat ve özeni göstermediğini belirttiğini, bu durumda kötü niyetli üçüncü kişilerin davacının yetkilisinin bilgisayarına gönderdiği “trojan virüsü” ile davacının şifre gibi tüm kişisel bilgilerinin ele geçirildiğini, şifrenin üçüncü şahıslar tarafından ele geçirilmesinin banka sistemleri üzerinden gerçekleşmediğini, bu nedenle müvekkili bankanın herhangi bir sorumluluğunun bulunmadığını savunarak davanın reddini istemiştir.

Mahkemece; davacının elektronik bankacılık için gerekli olan özel bilgilerin ve iletişim bilgilerinin korunması için gerekli dikkat ve özeni göstermediği, bu sebeple müterafik kusurunun olduğu, davalı bankanın da müşteri (hesap sahibi) tanımlamasını en üst düzeyde sağlayacak elektronik bankacılık sisteminin uygulanmasını sağlamadığı, bu nedenle davacı için % 40 ve davalı banka için % 60 kusur oranının uygulanmasının hakkaniyete uygun olduğu gerekçesiyle davanın kısmen kabulüne karar verilmiştir.

Taraf vekillerinin temyizi üzerine karar Özel Dairece yukarıda başlık kısmında yer alan gerekçelerle bozulmuştur.

Yerel mahkemece, önceki gerekçeler tekrar edilmek suretiyle direnme kararı verilmiştir.

Direnme kararını davacı vekili temyize getirmiştir.

Direnme yoluyla Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalı banka nezdindeki hesapta bulunan paranın internet bankacılığı aracılığı ile davacının iradesi dışında üçüncü kişilerce çekilmesinde davacıya atfedilecek bir kusurun bulunup bulunmadığı noktasında toplanmaktadır.

Uyuşmazlığın çözümü için öncelikle internet bankacılığı kavramı ile bankaların müşterileriyle yaptığı internet bankacılığı sözleşmelerinden doğan yükümlülük ve sorumluluklarının açıklanmasında yarar bulunmaktadır.

İnternet, birden fazla haberleşme ağının (network) bilgisayarlar aracılığıyla meydana getirdikleri bir iletişim ortamıdır. Bu ağlar arasındaki ilişkiler IP (internet protokolü) kullanılmak suretiyle bilgisayarlar arasında gerçekleşir. Bankaların da bu ağa dâhil olmasıyla banka hizmetlerinin yer ve zaman kısıtlaması olmaksızın internet ortamında sunulmasına başlanmış ve böylece internet bankacılığı adı verilen yeni bir sistem doksanlı yılların ikinci yarısından itibaren yaygınlaşmaya başlamıştır. Günümüzde internet, tüm dünya üzerine yayılmış olan çok geniş bir bilgisayar ağı durumuna gelmiş olup, bu iletişim ağından yararlanan internet bankacılığı; teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin zaman ve yer sınırı olmaksızın internet üzerinden yapılabilmesini sağlayan elektronik bir bankacılık türü olarak karşımıza çıkmaktadır.

Bankalar tarafından hazırlanan sözleşmelerde yer alan yaygın tarifiyle ise internet bankacılığı; şahsın kablolu, kablosuz iletişim sistemleri ile teknik şartlara haiz bilgisayar, tablet, cep telefonu gibi araçlar üzerinden ve internet-wap aracılığı ile otomatik, sesli yanıt sistemi ile şifre ve parolayı kullanarak, bankanın belirleyeceği kurallar ve limitler dâhilinde şahsın banka hesapları üzerinde her türlü işlem yapma yöntemidir.

İnternet bankacılığı işlemleri bakımından uygulamada ortaya çıkan en önemli sorun, hiç kuşkusuz güvenlik sorunu olup, banka hesaplarındaki paraların, müşterilere ait özel bilgiler kullanılarak üçüncü kişilerce başka hesaplara aktarılmasıdır. Bu sorun hem bankalar hem de müşteriler açısından önemli riskler oluşturmaktadır.

Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, normal bankacılık işlemlerindeki yükümlülüklerin yanı sıra hem bankanın hem de müşterinin üzerine düşen bazı ek yükümlülükler vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bankaların internet bankacılığı sisteminin güvenliğine yönelik tüm tedbirleri almaları ve sistem hatalarını ve eksikliklerini gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri büyük önem taşımaktadır. Müşterilerin internet bankacılığını kullanmakta olması bankaların mevduatı koruma yükümlülüğünü ortadan kaldırmayacağı gibi, sorumluluğunu da hafifletmeyecektir. Bu kapsamda işlemlerini internet ortamına taşıyarak daha fazla müşteri kitlesine ulaşmak ve dolayısıyla daha fazla kâr elde etmek isteyen bankanın, buna paralel olarak gerekli teknolojik ve yazılımsal önlemleri alması, gelişen teknoloji karşısında kötü niyetli üçüncü kişilerin internet bankacılığı sistemine girişimlerini anında engelleyecek güvenlik mekanizmasını oluşturması, sistemini sürekli güncelleyerek yenilemesi, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almanın yanı sıra müşterilerini de anında bilgilendirmesi gerekmektedir (Savaş, Abdurrahman; İnternet Bankacılığı ve Tarafların Yükümlülükleri, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C. 19, S. 2, s. 151.) .

Bankalar, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlar olup, sahip oldukları bu vasıfları sebebiyle bankacılık işlemlerinin güvenilen tarafı konumundadırlar. Bu durum, bankaların bir güven kurumu olarak kabul edilmesini ve bankanın sorumluluğunun özel güven sebebiyle ağırlaştırılmasını gerektirir (Battal, Ahmet; Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara 2001, s. 106). O hâlde, bankalar, ağırlaştırılmış sorumluluğun bir gereği olarak objektif özen yükümlülüğü altında bulunmakta olup, buna karşılık hafif kusurlarından dahi sorumludurlar. Ayrıca, bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira sorumsuzluk sözleşmesi hükümlerine sınırlama getiren 818 sayılı Borçlar Kanununun (818 sayılı BK) 99/2 ve 100/3 (6098 sayılı Türk Borçlar Kanununun (6098 sayılı TBK) 115/3 ve 116/3) maddeleri gereğince, bankaların hafif kusurlarından dolayı ortaya çıkan sorumluluğunu kaldıran sözleşme hükümleri geçersiz olacaktır.

6762 sayılı Türk Ticaret Kanununun (6762 sayılı TTK) 20/2. (6102 sayılı Türk Ticaret Kanununun (6102 sayılı TTK) 18/2) maddesi gereğince, tacir, ticaretine ait bütün faaliyetlerinde basiretli iş adamı gibi hareket etmesi lazımdır. Nitekim, bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü herhangi bir tacirden farklıdır. Bu sebeple bankalardan beklenen basiret ölçüsü ve özen yükümlüğü şüphesiz daha ağırdır. Özellikle bankaların internet bankacılığı hizmeti vermeye başladıkları andan itibaren özen yükümlülüğünün daha da arttığının kabul edilmesi gerekmektedir (Yılmaz, Süleyman; Hukuki Açıdan İnternet Bankacılığı, Ankara, 2010, s. 152.) .

Buna karşılık, hiç kuşkusuz, internet bankacılığı işlemlerinde müşteriler de kendilerinden beklenen her türlü tedbiri almak ve her türlü dikkat ve özeni göstermek zorundadırlar. Bu sebeple bilgisayarlarına başkalarının ulaşmasına imkân tanıyan her türlü gerçek ve sanal saldırıyı önleyici tedbirleri almaları ve bu konuda azami özeni göstermeleri gerekmektedir. Müşterilerin, internet bankacılığında kullanılmak üzere kendilerine verilen özel bilgilerini, banka ve kredi kartlarında olduğu gibi, üçüncü kişilerden özenle koruma ve saklama yükümlülüğü mevcuttur. Bu yükümlülüklerin ihlal edilmesi hâlinde müşterinin kendi kusurundan kaynaklanan bu durumun sorumluluğuna kusuru oranında katlanması gerekmektedir.

Bu itibarla, müşterinin internet dolandırıcılığı eyleminin işlenmesinde ve kişisel bilgilerinin kötü niyetli üçüncü kişilerin eline geçmesinde kusuru var ise 818 sayılı BK’nın 44. (6098 sayılı TBK’nın 52.) maddesi gereğince bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda banka, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını 818 sayılı BK’nın 96. (6098 sayılı TBK’nın 112.) maddesi gereğince ispat etmek durumunda olup, ayrıca müşterisinin müterafik kusurunu da ispat etmekle yükümlüdür (Yasaman, Hamdi; Banka Hukuku, İstanbul 2013, C. II, s.105) .

Yukarıda verilen bilgiler ışığında somut olay değerlendirildiğinde, mahkemece hükme esas alınan bilirkişi raporunda; “davacının dava dışı bankalardaki hesaplarına da girildiği dikkate alındığında davacının kişisel bilgilerini bir şekilde koruyamadığının anlaşıldığı, davacının kişisel bilgilerini büyük bir olasılıkla kullandığı bilgisayarından çaldırdığı, yine davacının Cumhuriyet Başsavcılığına verdiği ifadeden cep telefonuna yönlendirici program yüklenmesine sebebiyet verdiğinin anlaşıldığı, bu nedenle müterafik kusurunun bulunduğu” belirtilerek davacının %40 oranında müterafik kusurlu olduğu kabul edilmiş ise de, alınan rapor, somut olay yeterince irdelemeden ihtimallere dayalı olarak düzenlenmiştir. Dosya kapsamından, davacının üç ayrı bankadaki hesaplarına başka bir IP üzerinden aynı anda internet bankacılığı aracılığıyla kötü niyetli girişimlerde bulunulduğu, davalı haricindeki diğer bankaların kötü niyetli girişim sırasında davacıya bilgi vererek hesaplardan paranın çıkışını engelledikleri, davalı bankanın ise kötü niyetli girişimden davacının bildirimi ile haberdar olduğu anlaşılmaktadır. Mahkemece, bu hususlar değerlendirilmeden, davalı bankanın olayın gerçekleştiği tarih itibariyle internet bankacılığı sisteminde, o dönem sektörde kullanılmakta olan tüm gerekli tedbirleri almış olup olmadığı araştırılmadan eksik inceleme ile karar verilmiştir.

Hâl böyle olunca mahkemece, alanında uzman bir başka bilirkişi heyetinden rapor alınarak, olayın gerçekleştiği tarih itibariyle yürürlükte bulunan Bankacılık Düzenleme ve Denetleme Kurumunun (BDDK) tebliği de gözetilerek o dönem sektörde kullanılmakta olan güvenlik tedbirlerinin neler olduğu ve davalı banka haricindeki diğer iki bankanın internet dolandırıcılığı işlemini engellemesi karşısında, davalı bankanın benzeri güvenlik tedbirlerini alıp almadığı, ayrıca davacının kusurunun zararın meydana gelmesinde ne derece etkili olduğu ayrıntılı bir şekilde irdelenip sonucuna göre karar verilmelidir.

Hukuk Genel Kurulundaki görüşmeler sırasında; davacının bilgileri ele geçirilmiş olsa dâhi bankanın gerekli güvenlik tedbirlerini alsaydı dolandırıcılık eyleminin gerçekleşmeyeceği, davalı bankanın olay tarihi itibariyle gerekli tedbirleri almadığının anlaşıldığı, davacının kötü niyetli üçüncü kişilerle işbirliği ve suç teşkil edebilecek eyleminin varlığının da davalı bankaca kanıtlanamadığı, bu itibarla yeniden bilirkişi incelemesinin usul ekonomisine aykırı olduğu gibi sonuca da etkili olmayacağı, bu nedenle direnme kararının bozulması gerektiği görüşü ileri sürülmüş ise de bu görüş, Kurul çoğunluğunca benimsenmemiştir.

Bu itibarla, yerel mahkeme direnme kararının yukarıda açıklanan değişik gerekçe ve nedenlerden dolayı bozulması gerekir.

SONUÇ: Davacı vekilinin temyiz itirazlarının kabulü ile direnme kararının yukarıda açıklanan değişik gerekçe ve nedenlerden dolayı 6100 sayılı Hukuk Muhakemeleri Kanunu'nun Geçici 3. maddesine göre uygulanmakta olan 1086 sayılı Hukuk Usulü Muhakemeleri Kanunu'nun 429. maddesi gereğince BOZULMASINA, istek hâlinde temyiz peşin harcının iadesine, aynı Kanunun 440/III-1 maddesi gereğince direnme kararına karşı miktar itibari ile karar düzeltme yolu kapalı olmak üzere 22.11.2018 tarihinde yapılan ikinci görüşmede oy çokluğu ile kesin olarak karar verildi.

KARŞI OY

Davacı, davalı banka nezdindeki hesabında bulunan paranın kötü niyetli 3. kişilerce internet bankacılığı işlemiyle çekilmesi sonucu alacağını davalı bankadan talep etmiştir.

5411 sayılı Bankalar Kanunu 61. maddede, mevduat sahiplerinin geri alma haklarının hiçbir suretle sınırlandırılamayacağı (TMK’nın rehin, hapis hakkı, TBK’nın alacağın temliki- devri, takas hükümleri ve diğer kanunların verdiği yetkiler ve yükümlülükler saklıdır) hükmü yer almaktadır. Taraflar arasındaki sözleşme, ödünç (karz) ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Olay tarihi itibariyle yürürlükte olan 818 s. Borçlar Kanunu’nun 306. vd. maddelerinde karz akdi düzenlenmiş olup, karz akdinde, ödünç veren bir miktar paranın yahut diğer mislî şeyin mülkiyetini ödünç alana nakleder, ödünç alan da aynı nevîden şeyleri geri vermekle yükümlü olur. Ödünç verilen parayı banka, kararlaştırılmışsa faizi ile iadeye mecburdur. Usulsüz tevdiye dair BK.nın 472/1. maddesi uyarınca da paranın nef’i ve hasarı saklayana, yani bankaya geçer. Saklayan banka, bu parayı kendi yararına kullanabilir, bu hükümler uyarınca, usulsüz işlemle kötü niyetli 3. kişilerce çekilen, EFT, havale edilen paralar, aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin; niteliği belirtilen sözleşme uyarınca bankaya karşı alacağı aynen devam etmektedir. Ancak, banka usulsüz işlemde mevduat sahibinin ispatlandığı takdirde, kusuru üzerinden alacakdan mahsup talebinde bulunabilir.

Banka basiretli tacirden beklenen özeni göstermek zorunda olup, en hafif kusurundan dahi sorumludur ve bu sorumluluğu kaldıran sözleşme hükümleri de geçerli değildir. Bankalar, bir güven kurumudur, objektif özen borcu bulunduğundan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorundadırlar.

Somut olayda, davacının hesabından, internet yoluyla yapılan işlemle dava konusu miktarın EFT yapıldığı sabittir. Mahkemece alınan bilirkişi raporu doğrultusunda davacı %40, davalı banka %60 kusurlu bulunarak davanın kısmen kabulüne karar verilmiştir. Davacının müşteki olarak Torbalı Cumhuriyet Başsavcılığına olayın nasıl olabileceğine dair verdiği ifadeye göre, iki gün önce bir diğer banka internet bankacılığına bilgisayarından giriş yaptığında kullandığı telefonun modeli, numarası, markasına dair soru butonu çıktığında bu bilgileri verdiği ve bir program yüklendiği ancak daha sonra bir işlem yapamadığı, beyanında şifresinin kırılmış olduğunu öğrendiği, bu nedenlerle davacının kötü niyetli 3. kişilerin şifreyi ele geçirmesine sebep olduğu, internet bankacılığı dolandırıcılık olaylarında casus programlar vasıtasıyla müşteri kişisel bilgilerinin çalındığına rastlandığı bu nedenlerle müşterinin, şifre, güvenlik kodu vb. bilgilerin yetkisiz 3. kişilerin eline geçmemesi için bunları gereği gibi muhafaza etmesi gerektiğinden kusurlu olduğu raporda belirtilmiştir. Ancak bankaların yukarıda açıklanan hükümlere ve taraflar arasındaki sözleşme hükümlerine göre müşterinin mevduat hesabında dolandırıcıların geliştirdikleri yöntemlere karşı, çalınan bilgilerle işlem yapmasını önleyecek güvenlik önlemlerini almaları zorunludur. Dolandırıcılık eylemi, davacıya karşı değil, mevduat sözleşmesi uyarınca (karz- usulsüz tevdi) mülkiyeti kendisine geçen paranın maliki bankaya karşı işlenmiştir. Davacının bankaya karşı alacağı aynen devam etmektedir. Banka, kısa mesajla gönderilen tek kullanımlık işlem onay şifresini dolandırıcıların kendilerine yönlendirmek sûretiyle işlemler yaptıklarını bilmektedir, bilebilecek durumdadır. Bu nedenle, davacıya sunduğu gibi, yetersiz kalan SMS seçeneğini sunmayacak, bilirkişi raporunda belirtildiği gibi, üst derece güvenlik sağlayan, elektronik imza, akıllı anahtar, smart banking (şifre ele geçse bile 3. kişiler bu olmadan müşteri hesabına girememekte) gibi uygulamaları zorunlu olarak kullandıracaktır. Banka bunu yapmamış, yetersiz kalan SMS şifre uygulamasını seçenek olarak sunmuş, davacı da bunu tercih etmiştir. Banka, kötü niyetli 3. kişilerce davacı hesabına girilmesini önleyen zorunlu güvenlik tedbirlerini alsaydı bankaya karşı dolandırıcılık eylemi de gerçekleşemeyecekti, davacının diğer bilgileri ele geçirilse dahi. Davacının dava dışı banka hesabından da internet yoluyla yapılan aynı işlemde transfer edilen tutara alıcısı tarafından çekilemeden bloke konduğu rapordan anlaşılmıştır. BDDK’nın 14 Eylül 2007 tarihli 26643 sayılı Resmi Gazete de yayınlanan “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” in 8, 14, 15. maddelerinde de bankaların müşteri bilgilerini ele geçirmeye yönelik saldırılara karşı, olası tehditleri önceden belirlemeye ilişkin sistemsel ve yazılımsal önemleri alma zorunluluğu getirilmiştir.

Şifresini gerekli şekilde muhafaza etmeyerek üçüncü kişilerin eline geçmesine neden olduğu gerekçesiyle %50 kusurlu bulunan bir mevduat sahibinin açtığı davada mahkemece davacı kusurlu kabul edilerek verilen kısmî kabul kararı, Özel Dairece aynı gerekçelerle bozulmuş, direnme kararının temyizi üzerine Hukuk Genel Kurulunun, 21.11.2012 tarih 2012/11-550 E. 2012/820 K. sayılı ilamında bankanın parayı davacıya iade etmekle sorumlu olduğu, şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek güvenlik mekanizmasını oluşturması gerektiği, sistem güvenliğinin sağlanamamasından kaynaklanan zararların sorumluluğunun bankaya ait olduğu gerekçeleriyle direnme kararı bozulmuştur. Yargıtay 11.Hukuk Dairesinin 2005/4748 E., 2006/7341 K. , 2008/9239 E., 2010/504 K., 2009/1065 E. 2010/6921 K., 2015/14040 E., 2017/2093 K., 2016/10483 E., 2018/2840 K., 2016/7228 E., 2018/972 K. sayılı kararları emsal nitelikte olup, yerleşmiş içtihatları bu doğrultudadır.

Açıklanan nedenlerle sorumluluk bankaya ait olup, davacının kötü niyetli 3. kişilerle el ve işbirliği ve suç teşkil edebilecek bir eyleminin de varlığı davalı bankaca kanıtlanmadığından, mudinin kendisine tevdî ettiği mevduatı aynen iade etmekle yükümlü olduğundan, yeniden bilirkişi incelemesi usul ekonomisine aykırı olduğu gibi, sonuca da etkili olmayacaktır. Kararın usul ve Yasaya uygun Yargıtay 11.Hukuk Dairesinin bozma ilâmı doğrultusunda belirtilen gerekçelerle bozulması görüşünde olduğumdan, yeniden bilirkişi raporu alınması yönündeki sayın çoğunluğun değişik bozma görüşüne katılmıyorum.