Görüntülediğiniz mahkeme kararı henüz kesinleşmemiştir. Yararlı olması amacıyla eklenmiştir.

T.C. ANKARA 11. ASLİYE TİCARET MAHKEMESİ
TÜRK MİLLETİ ADINA YARGILAMA YAPMAYA VE HÜKÜM VERMEYE YETKİLİ

T.C.
ANKARA
11. ASLİYE TİCARET MAHKEMESİ
KARAR
ESAS NO : 2019/519
KARAR NO : 2021/717

DAVA : Tazminat
DAVA TARİHİ : 15/11/2018
KARAR TARİHİ : 30/09/2021
GEREKÇELİ KARARIN
YAZILDIĞI TARİH : 28/10/2021

Mahkememizde görülmekte olan Tazminat davasının yapılan açık yargılaması sonunda,
İDDİA :Davacı vekili dava dilekçesinde özetle; müvekkili firmanın ticari faaliyetleri kapsamında; müşterilerine ait adres, telefon ve kimlik bilgileri; taraflar arasında imzalanan taksitli satış sözleşmeleri uyarınca kararlaştırılan taksitler, taksit tutarları ve ödeme tarihleri; müşterilerden gelen ödeme ve gecikmelere ilişkin bilgi ve verilerin depolanması, işlenmesi, yedeklenmesi ve tüm bu verilere müvekkili firmanın şubelerinden erişimin sağlanması amacıyla müvekkili firmanın tüm kayıtlarının tutulduğu yazılım ve dijital verilerinin günlük olarak … sistemine yedeklenerek olası bir sistem arızası yada siber saldırılar sonucu oluşabilecek veri kayıplarının önüne geçilmesi amacı ile … … sistemlerinin davalı … Bilişim Hizmetleri Dış Ticaret Pazarlama Ltd.Şti.aracılığı ile davalı … Grup Yazılım ve Bilişim Teknolojileri Ticaret Ltd.Şti.tarafından sağlandığını, 19/03/2018 tarihinde senelik 750,00 TL bedelli … bulut yedekleme sisteminin satın alındığını, 19/03/2018 tarihinde sistemin müvekkili firmanın bilgisayarlarına kurulduğunu, … sisteminin satın alınmasından çok kısa bir süre sonra müvekkili firmanın sistemlerinin siber saldırıya uğradığını, şüpheliler tarafından mevcut verilerin … programı ile sıkıştırıldığını, şifrelenmiş eski verilerin bozulduğunu, müvekkili firmaya …@gmail.com hesabına mail atılması ve mailde bildirilecek olan hesaba ödeme yapması gerektiğinin söylendiğini, 30/03/2018 tarihinde şüpheliler tarafından gönderilen paraların çekilmiş olmasına rağmen, dosyalara konulan şifrelerin açılmadığını, müvekkili şirketin tüm borç ve alacaklarının bulunduğu sunucu ve dosyalara erişimin sağlanamadığını, müvekkili firma sistemleri üzerinde gerçekleştirilen inceleme ve araştırmalarda söz konusu siber saldırının virus doğrultusunda otomatik şifrelenen veri olmadığı, tamamen manuel şekilde üstelik … programlarına hakim olma gereksinimleri gerektirecek ölçüde profesyonellikle gerçekleştirildiğinin tespit edildiğini, Hack olayı sonrasında; … Sistem Mühendisi … tarafından yapılan incelemede; bilgisayarda şifreleme için kullanılan … programının olay günü değil 28/03/2018 tarihinde yüklendiğini, aynı tarihte anti virüs ve koruma programlarının silindiğini, sıkıştırma denemelerinin yapıldığını, aynı yarım saatlik dilim içerisinde … adlı bulut tabanlı yedekleme sisteminin ayarlarının yapıldığının tespit edildiğini, davalı firma tarafıdan müvekkili firma sistem verilerinin yedeklerinin verilmemesi nedeniyle sistemde yer alan bilgilere 18 gün boyunca erişim sağlanamadığını, yedeklenen ve depolanan verilerin gönderilmesini talep edildiğinde; depolama ve yedekleme sistemi olan … 9 sisteminin teknik bir arıza nedeniyle depolama ve yedekleme yapamadığı bu nedenle verilerin yedeklenmediğinin davalılar tarafından ifade edildiğini, davalı firmaların asli edim yükümlülüğü olan yedekleme ve depolama hizmetini yerine getirmediklerini, bahsi geçen bu süreç içerisinde tahsilatlarında telafisi güç zararlar doğduğunu, davalıların, siber saldırı olayından bir gün önce müvekkili firmanın bilgisayarına bağlanarak bir gün sonra gerçekleşecek saldırı olayına zemin hazırladığı, işbu fiillerin haksız fiil niteliğinde olduğu, bununla beraber sözleşmeye aykırı davranarak sistem verilerin yedeklenmesi ve depolanmaması ve hizmet sözleşmesi gereği asli sorumluluklarının yerine getirilmemesi sonucunda müvekkilinin maddi ve manevi zarara uğratıldığını, müvekkilinin üçüncü bir şirket ile sistemini kurtarmak amacıyla sözleşme yapmak zorunda kalması ve bu iş nedeniyle 50.000 TL ödemesi, müvekkilinin sisteme erişemediği süre boyunca herhangi bir tahsilat veya sistem üzerinden ticari faaliyet yürütememesi neticesinde uzman mütalaasında belirtilen maddi zararların oluştuğunu belirterek fazlaya ilişkin hakları saklı kalmak kaydıyla şimdilik 522.897,05 TL maddi ve 15.000,00.-TL manevi tazminatın dava tarihinden itibaren işleyecek ticari faizi ile birlikte davalılardan tahsiline karar verilmesini talep etmiştir.
SAVUNMA :Davalı … Bilişim…Ltd.Şti. vekili cevap dilekçesinde özetle; davacının talebinin haksız fiile dayalı bir tazminat talebi olduğunu, TBK’nın 49 ve 50 maddelerindeki düzenlemeleri nedeniyle, müvekkili şirkete husumet yöneltilmesinin mümkün olmadığını, müvekkili aleyhine açılan davanın öncelikle husumet yönünden reddine karar verilmesini, müvekkili şirketin … YAZILIM şirketi tarafından geliştirilen ve satışa sunulan yazılımların Ana Dağıtıcısı (Bölge Dağıtıcısı) olarak faaliyet gösterdiğini, davacı şirketin talebi üzerine … adlı yedekleme yazılımının satışının … YAZILIM adına, ana dağıtıcı olan müvekkili şirket tarafından gerçekleştirildiğini, 19.03.2018 tarihinde davacı şirketin bilgisayarına yüklenen … programının kurulumu ve aktif hale getirilmesinin … YAZILIM şirketi tarafından yapıldığını, müvekkili şirketin yedekleme yapılan server’leri sağlama yetkisi olmadığı gibi, server’lere ulaşım ve müdahale olanağı da bulunmadığını, dava dilekçesinde; davacı şirket bilgisayarlarının 29.03.2018 tarihinde gerçekleşen bir siber saldırı nedeniyle hacklendiği ileri sürülerek, bu hacklenme nedeniyle uğradıkları zararların davalılardan tazmininin talep edildiğini, ortada bir zarar varsa dahi bu zarardan müvekkili şirketin sorumlu olmasının hukuken mümkün olmadığını, davacı tarafından satın alınan … programı; online depolama ve yedekleme hizmeti sağladığını, … Yazılım tarafından kullanıcıya sunulan ve kullanıcının dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimi sağlayan bir program olduğunu, … programının bir antivirüs programı olmadığını, bu programın siber saldırıları önlemek gibi bir hizmet sunmadığını, davacı şirket ile … Yazılım arasında imzalanan sözleşme gereğince; sistemin güvenliğinin sağlanmasının davacı şirketin sorumluluğunda aolduğunu, davacı şirket bilgisayarına yapılan siber saldırı haksız fiil niteliğinde bir eylem olduğunu ve eğer var ise ortaya çıkan zarardan haksız fiilin failinin sorumlu olduğunu, müvekkili şirkete yüklenebilecek bir kusur bulunmadığını, kusurun kendi bilgisayar sistemlerinin güvenliğini sağlamayan davacı şirkete ait olduğunu, dosyaya delil olarak sunulan raporları kabul etmediklerini savunmuş davanın reddini istemiştir.
Davalı … Grup….Ltd.Şti.vekili cevap dilekçesinde özetle: davanın yetkisiz Mahkemede açıldığını, yetkili Mahkemenin Ankara Mahkemeleri olduğunu, davacı tarafın dava dilekçesinde uğradığını iddia ettiği maddi ve manevi zararın, müvekkil şirketin herhangi kusurlu bir davranışından kaynaklanmadığını, davacının zarara uğradığına ilişkin iddiaları kabul etmediklerini, davacının bir an için zarara uğradığı varsayılsa dahi bu zararın sonuçlarından “siber saldırıyı gerçekleştiren failin sorumlu olduğunu, müvekkil şirketin sorumluluğundan bahsedilemeyeceğini, bu nedenlerle husumet itirazlarının kabulüne karar verilmesini, … programının bir antivirüs programı olmadığını, bu programın” Online depolama ve yedekleme hizmeti, … Yazılım tarafından kullanıcıya sunulan ve Kullanıcının … Yazılım tarafından belirlenen bir ücret karşılığında dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimi sağlayan” bir program olduğunu, … programı bir antivirüs programı olmadığından siber saldırıları engelleme gibi bir hizmet sunmadığı gibi, server sistemlerinin güvenliğini sağlamak ve siber saldırıları engellemek için gerekli önlemleri davacı tarafın alması gerektiğini, taraflar arasındaki sözleşmede; ” … Yazılım donanım veya işletim sistemi arızasından, network tasarım ve bağlantı hatalarından, virüs ve benzeri kullanıcı hatalarından kaynaklanacak dosya ve bilgi kayıplarından sorumlu tutulamaz.” ” … kullanıcı bu talimatlara uymaması sebebi ile ve/veya kullanmakta olduğu yazılım ve donanımlardan kaynaklanan sebeplerle … yazılımdan herhangi bir talepte bulunmayacağını kabul, beyan ve taahhüt eder” “…. kullanıcı kullanmakta olduğu yazılım/donanımın yetersizliği sebebiyle … hizmetinde ortaya çıkabilecek sorunlar karşısında … Yazılımdan herhangi bir talepte bulunmayacağını kabul, beyan ve taahhüt eder” denildiğini, davacı firmanın sözleşmeden kaynaklı yükümlülüklerini yerine getirmediği gibi, yazılım ve donanımlarının da yetersiz olduğunu, davacı tarafın … Sistem Mühendisi …’dan aldığı ve dosyaya sunmuş olduğu tespit tutanağını kabul etmediklerini, davacı firmanın … programını 19.03.2018 tarihinde satın aldığını, müvekkili şirketin davacı firmanın … programını satın aldığı tarihten itibaren her gün davacı firmaya yedeklemeleri yapması hususunda “uyarı maili” gönderdiğini, davacı firmanın28.03.2018 tarihinde müvekkili firmadan kurulum talebinde bulunduğunu, müvekkili firmanın ilk defa 28.03.2018 tarihinde öğleden sonra kurulum yaptığını, yedek alınacak veri tabanları davacıya sorularak yedekleme işleminin başlayacağı saatin “davacı firmanın talebi doğrultusunda 20:00 olarak ayarlandığını, saldırının meydana geldiğinin iddia edildiği 29.03.2018 tarihinde kullanıcıya müvekkil firma tarafından herhangi bir bağlantı gerçekleştirilmediğini, öncelikle yetki itirazlarının kabulüne, davanın husumet yönünden reddine, iş bu itirazımız kabul görmediği taktirde, açılan davanın reddine karar verilmesini talep etmiştir.
GEREKÇE :Dava, maddi ve manevi tazminat istemine ilişkindir.
Bursa …Asliye Ticaret Mahkemesinin 22/05/2019 tarih … karar sayılı yetkisizlik kararı sonucu dosya mahkememize tevzi edilmiştir.
Taraf vekilleri delillerini bildirmişler, … kullanım sözleşmesi, ihtarnameler, ihtarname fotokopileri, davacının maddi zarara uğradığına ilişkin uzman mütalaası siber saldırı tespit tutanağı (uzman mütalaası davacının yaptığı yazışmalar, faturalar davacı tarafça dosyaya sunulmuş, Bilgi İletişim Teknolojileri Başkanlığından davacı tarafın bildirdiği telefonların kimler adına kayıtlı olduğu sorulmuş, Bursa Cumhuriyet Başsavcılığının … sayılı kovuşturmaya yer olmadığına dair hazırlık evrakı UYAP sisteminden getirtilmiştir.
Talimat yolu ile Bursa …. Asliye Ticaret Mahkemesi aracılığıyla alınan teknik bilirkişi raporunda özetle; davaya konu server bilgisayar üzerinde yapılan incelemelerde C://vegayedek klasörü içerisinde saldırı sonucu şifrelenerek sıkıştırılan veriler bulunduğu ve bu şifreleme işlemlerinin 29/03/2018 tarihinde saat 18:22 – 20:16 arasında gerçekleştirildiği, sıkıştırılmış veriler incelendiğinde, davacı tarafından sunulan raporun aksine … program bilgisi olan kişilerce profesyonelce veriler seçilerek yapılmamış bilgisayarın tüm E sürücü ve C sürücüsü tamamen veri ayrımı yapılmadan sıkıştırılıp şifrelendiğinin görüldüğü, davacının sunduğu raporda bulunan … programı ile verilerin sıkıştırıldığı ve bu programın 1 gün öncesinde kurulduğu belirtildiği, bahsi geçen programın herhangi bir virüs veya zararlı bir yazılım olmayıp, bilişim sistemlerinde dosya sıkıştırma işlemlerinde yaygın şekilde kullanılan ve en bilinen ücretsiz açık kaynak kodlu bir yazılım olduğu, çoğu bilgisayarda bulunduğu, bu yazılımın tek başına yüklü olması ile bilgisayarda veri kaybına veya siber saldırıya sebep olmasının mümkün olmadığı, incelenen bilgisayara 29/03/2018 tarihinde saat 15:09 da … no.lu, saat 18:09 da ise … no.lu IP ler üzerinden oturum erişim sağlandığı, savcılık soruşturmasında alınan bilirkişi raporunda … no.lu IP’nin suç tarihinde ….İstanbul’da faaliyet gösteren … Yaşam Merkezi Gıda LTD. ŞT. Adlı şirkete tahsis edildiği, … no.lu IP’nin ise kime ait olduğunun tespitinin yapılmadığının görüldüğü, davacı tarafında sunulan tespit tutanağında “bilgisayara 1 gün öncesinde 1 adet aidata marka 500gb usb diskin takılı olduğu ve diskin yedek oluşturmak amaçlı kullanıldığı söz konusu diskteki veriler şifreli olarak sıkıştırılarak c sürücüsüne taşınıp e sürücüsünün formatlandığının” belirtildiği, bilgisayara disk takıldığının tespit edildiğini fakat yapılan incelemelerin tespit edilemediğini, her ne kadar tutanaktaki şekilde şüpheli işlemler yapılmış olsa bile bilgisayara harici bir disk bağlanması uzaktan 3. Şahıslar tarafından yapılması mümkün olmayan sadece fiziki olarak bilgisayara takılarak yapılabilecek bir işlem olmasından dolayı ve bilgisayarın davacı tarafında bulunuyor olması itibariyle işlemin davacı tarafından veya bilgisayar fiziki olarak erişebilen kişiler tarafından yapıldığını gösterdiğini, yapılan teknik incelemeler sonucunda oluşan veri hasarının siber saldırı sonucu oluştuğu, bilgisayarda tespit edilen virüs aracılığıyla gerçekleştirildiğinin tespit edildiği, işlemi kimin gerçekleştirdiğinin tespit edilemediği, davalılar tarafından sağlanan hizmet üzerinde yapılan incelemelerde; verilen hizmetin veri depolama ve yedekleme hizmeti olduğu herhangi bir veri güvenliği hizmeti olmadığı, dava dosyasında bulunan sözleşmede verilerin güvenliğinin tamamen davacı firmada olduğunun anlaşıldığı, bulut hizmetleri verileri olası bir hasara karşı yedekleme ve her an her yerden verilere erişim amacı ile kullanılan sistemler olduğu, veriler asıl kaynaklarında hasar görmüş olsa da sunucularda bulunan yedekleri ile asgari ölçüde veri kaybı sağlayarak tekrar verilere erişme imkanı sağlandığı, programın 1 gün önceden kurulmuş olması çok sayıda yedekleme yapamamış olmasını gösterdiğini, davacının varsa yedeklerine neden ulaşamadığını veya neden yedeklenemediğini tam olarak tespit etmenin mevcut delillerle mümkün olmadığı, bilgisayarın tüm E sürücü ve C sürücüsünün tamamen veri ayrımı yapılmadan şifrelenerek sıkıştırıldığını, 29/03/2018 tarih saat 15:34 te fidye virüsü olarak adlandırılan WannaCrypt isimli virüsün tespit edildiği, 29/03/2018 tarihinde saat 15:09 da … no.lu, saat 18:09 da ise … no.lu IP ler üzerinden oturum erişim sağlandığı, tüm bu değerlendirmeler neticesinde oluşan veri hasarının siber saldırı sonucu oluştuğu, bilgisayarda tespit edilen virüs aracılığıyla gerçekleştirildiği, işlemi kimin gerçekleştirdiğinin tespit edilemediği, dava dosyasındaki mevcut delillerden davalı firmaların bu saldırı işlemini bizzat gerçekleştirdiğinden veya kusuru bulunduğundan bahsetmenin mümkün olmadığını bildirmiştir.
Dosya kapsamına, toplanan delillere uygun olan bilirkişi raporu mahkememizce kabul edilmiştir.
Dosya kapsamına, toplanan delillere, iddia, savunma, bilirkişi raporuna göre; davalı … Bilişim…Ltd.Şti.nin diğer davalı … Yazılım şirketi tarafından geliştirilen ve satışa sunulan yazılımların Ana Dağıtıcısı (Bölge Dağıtıcısı) olarak faaliyet gösterdiği, davacı şirketin talebi üzerine … adlı yedekleme yazılımını davacı tarafa satışını gerçekleştirdiği, tarafların kabulünde olan sözleşmenin davacı şirket ile davalı … Yazılım Limited Şirketi arasında kurulduğu, davacının kullanıcı olarak sözleşmede yer aldığı, sözleşmenin 1.2.maddesinde; ”Colud9 online depolama ve yedekleme hizmeti, … Yazılım tarafından kullanıcıya sunulan ve kullanıcının … Yazılım tarafından belirlenen bir ücret karşılığında dosyalarını yedekleyebilmesini, yedeklenen dosyaları depolayabilmesini ve depolanan dosyalara erişimin sağlamaktır.” Sözleşmenin 6.3.maddesinde ”KULLANICI … ilgili olarak temin edilen tüm hizmetleri riskleriyle kabul ederek kullanacağını kabul ederim. …’un içeriklerine ilişkin olarak veya kullanımından kaynaklanan veri kaydı veya bilgisayar sistemi hasarları kullanıcının sorumluluğunda olup … Yazılımın bu hususta herhangi bir sorumluluğu bulunmamaktadır.” hükümlerinin bulunduğu, sözleşme içeriğine göre davalıların davacıya ait bilgisayardaki verileri yedekleme gibi bir yükümlülüğün bulunmadığı, dolayısıyla davacı şirketin yedekleme yapılmaması nedeniyle uğradığını iddia ettiği maddi ve manevi zararlarının tazmini davalardan talep edemeyeceği, bilirkişi raporuna göre; veri hasarının siber saldırı sonucu oluştuğu, bilgisayarda tespit edilen virüs aracılığıyla gerçekleştirildiğinin tespit edildiği, işlemi kimin gerçekleştirdiğinin tespit edilemediği, davacı taraf hackleme olayını davalı taraf çalışanları tarafında yapıldığını iddia etmişse de, sunulan delillere göre hackleme olayının davalıların çalışanları tarafından yapıldığına ilişkin somut delil bulunmadığı, davacı tarafın sunmuş olduğu deliller ile iddialarını ispatlayamadığı anlaşıldığından davanın reddine karar vermek gerekmiştir.
HÜKÜM : Gerekçesi yukarıda açıklandığı üzere;
1-Davanın REDDİNE,
2-Alınması gerekli 59,30 TL harcın 9.185,94 TL’den mahsubu ile kalan 9.126,64 TL harcın kararın kesinleşmesinden sonra talebi halinde davacı tarafa iadesine,
3-Davacı tarafından yapılan yargılama giderlerinin kendi üzerinde bırakılmasına,
4-Davalı tarafından masraf yapılmadığından hükmedilmesine yer olmadığına,
5-AAÜT uyarınca belirlenen 43.944,85 TL vekalet ücretinin davacıdan alınarak kendisini vekille temsil ettiren davalılara verilmesine,
6-HMK 333. maddesi uyarınca artan gider avansının karar kesinleştiğinde yatırana iadesine,
İşbu mahkeme kararına karşı HMK 341 ve 345. maddesi uyarınca taraflara tebliğinden itibaren 2 hafta içerisinde Ankara Bölge Adliye Mahkemesi’ne istinaf yoluna başvuru yapma hakkı bulunduğuna dair davacı vekilinin ve davalı … vekilinin yüzüne karşı oy birliği ile karar verildi.30/09/2021

Başkan …
e-imza
Üye …
e-imza
Üye …
e-imza
Katip …
e-imza