Görüntülediğiniz mahkeme kararı henüz kesinleşmemiştir. Yararlı olması amacıyla eklenmiştir.
T.C.
İSTANBUL
5. ASLİYE TİCARET MAHKEMESİ
ESAS NO : 2018/423 Esas
KARAR NO : 2020/155
DAVA : Tazminat
DAVA TARİHİ : 28/04/2014
KARAR TARİHİ : 19/02/2020
Mahkememizde görülmekte olan Tazminat davasının yapılan açık yargılaması sonunda,
GEREĞİ DÜŞÜNÜLDÜ:
Davacı vekilinin mahkememize sunmuş olduğu dava dilekçesi özetle; dava dışı …’ın müvekkili bankanın internet şubesinden parasının çalındığını, buna ilişkin gerekli ihbarlada bulunmadığı ve müvekkili bankaya dava açtığını, 19/11/2009 tarihinde kimliği bilinmeyen bir şahıs tarafından dava dışı … adına sahte kimlik düzenleyerek … GSM operatörünün bayilerinden birine gittiğini ve … adına cep telefonu hattını iptal ettirerek yeni hat çıkarttıığını, yetkili bayi tarafından gerekli kimlik kontrolünün yapılmadığını, dava dışı …’in bankada bulunan hesabındaki İnternet şifresinin kırıldığı ve 19.900 TL’yi başka bir hesaba havale ettiğini, sorumlunun davalı olmasına rağmen dava dışı …’in müvekkiline dava açtığını ve davanın kabulüne karar verilerek bankanın dava dışı Selin’in mağduriyetini ödediğini, söz konusu eylemin gerçekleşmesine davalının sebep olduğunu bildirmekle dava dışı …’a ödenen 33.626,30 TL’nin ödeme tarihinden itibaren işleyecek yasal faizi ile birlikte davalı taraftan rücuan tahsiline, yargılama giderleri ve vekalet ücretinin davalı üzerine bırakılmasını talep ve dava etmiştir.
Davalıya usulüne uygun olarak tensip zaptı ve dava dilekçesinin tebliğ edildiği görülmekle, davalı vekilinin mahkememize sunmuş olduğu cevap dilekçesi özetle; davanın … Asliye Hukuk mahkemesinde açılmasına yetki itirazlarının bulunduğunu, yetkili mahkemelerin İstanbul Mahkemeleri olduğu, sorumlunun kim olduğunun öğrenilmesinden itibaren 2 yıl geçince zamanaşımına uğradığını ve bu nedenle zamanaşımı itirazlarının bulunduğunu, müvekkili ile bayii arasında sorumluluk için gerekli olan sıkı nitelikteki bağımlılık ilişkisinin bulunmadığını, bayiinin kusurlarından sorumlu olduğu hususu tartışmasız olduğunu, olayın oluşumunda müvekkili şirketin herhangi bir sorumluluğunun bulunmadığı, müvekkili şirketin kontrol ve denetiminin sadece abonelik ilişkisi ve abonelik sözleşmesi kapsamında olduğunu bildirmekle davanın reddine, yargılama giderleri ve vekalet ücretinin davacı üzerine bırakılmasını talep etmiştir.
… 2. Asliye Hukuk Mahkemesinin 15/01/2015 tarihli … Esas … Karar sayılı kararı ile mahkemenin yetkisizliğini, karar kesinleştiğinde ve talep halinde dosyanın yetkili İstanbul Asliye Hukuk Mahkemelerine gönderilmesine dair karar verildiği görülmekle … 3. Asliye Hukuk Mahkemesinin … Esas numarasına kaydı yapılarak açık yargılamaya devam olunmuştur.
… 3. Asliye Hukuk Mahkemesinin 03/11/2015 tarih … Esas … Karar sayılı kararı ile mahkemenin görevsizliğine, karar kesinleştiğinde dosyanın görevli İstanbul Asliye Ticaret Mahkemesine gönderilmesine karar verilmiş olup ilgili dosyanın mahkememizin 2016/132 Esas sayılı numarasına kaydı yapılarak açık yargılamaya devam olunmuştur.
Mahkememizin 07/06/2017 tarih 2016/132 Esas 2017/484 Karar sayılı kararı “Davacı iddiası, davalı taraf savunmaları, … 2. Asliye Hukuk Mahkemesinin … esas … karar sayılı dosyası kapsamı, mahkememizce internet bankacılığı konusunda uzman bilirkişi heyetinden alınan 04.05.2017 tarihli bilirkişi raporu ve tüm dosya kapsamı itibariyle, davacı bankanın mudisi olana …’ın hesabında 19.11.2009 tarihinde, bu kişinin davalı … GSM şirketindeki telefon hattının sahtecilik sonucu yeniden çıkartılarak ele geçirilmesi neticesinde belirtilen telefon hattına gönderilen şifre kullanılmak suretiyle 19.900 TL parasının başka bir hesaba aktarılarak çalındığı, olay neticesinde banka mudisinin … 2. Asliye Hukuk Mahkemesinin 2010/80 esas 2011/550 karar sayılı dosyasında açtığı dava neticesinde davacı bankanın neticeten 33.626,30 TL tazminat ödemek zorunda kaldığı, iş bu davanın da olayda kusurlu olduğu iddia edilen GSM operatörü davalı … şirketinden ödenen tazminatın rücuen tazmini talepli dava olduğu, alınan 04.05.2017 tarihli bilirkişi raporuna göre davacı bankanın olayda teknolojik imkanlara sahip olduğu halde, objektif özen yükümlülüğünün gereği internet bankacılığında işlem yapanın gerçek müşteri olup olmadığının net belirleyici yöntemlerini elektronik bankacılıkta uygulamaması, bunların SMS ile işlem onay şifresi göndermek ile birlikte biyometrik tanımlama, müşteriye önceden kapalı zarf içinde imzalı tutanak karşılığı verilen belirli sayıdaki tek kullanımlık şifre, ya da tek kullanımlık dinamik şifre üreten cihaz veya elektronik imza/mobil imza gibi tekniklerden birini müşterilerine zorunlu olarak kullandırmaması olduğu, bu sebeple davacı bankanın oluşan zararda ağır ihmal ve kusuru olduğu, olayda davalı GSM operatörünün eylemi ile doğrudan bir illiyet bağının olmaması, davalının olayda herhangi bir kusurunun olmadığı yönündeki tespit ve değerlendirmeye yönelik bilirkişi raporu bilimsel, tarafsız ve denetime elverişli bulunmuş, olayda davacı bankanın kusurlu oluduğu, davalı GSM operatörüne atfedilecek bir kusur bulunmadığı sabit görülmekle davanın reddine karar vermek gerekmiş” şeklindeki hükmü ile davanın reddine karar verilmiş olup davacı vekilinin 08/08/2017 havale tarihli dilekçesi ile kararın istinaf incelemesi ile kaldırılmasına yerel mahkemece verilen kararın bozularak dosyanın yeniden karar verilmek üzere yerel mahkemeye gönderilmesine dair talepte bulunduğu ve mahkememiz dosyanının İstanbul Bölge Adliye Mahkemesine gönderildiği, İstanbul Bölge Adliye Mahkemesi 12. Hukuk Dairesinin 05/04/2018 tarihli 2017/668 Esas 2018/376 Karar sayılı kararı ile istinaf başvurusunun kabulüne karar verilmiş olup mahkememiz dosyasının 2018/423 Esas sayılı numarasına kaydı yapılarak açık yargılamaya devam olunmuştur.
Tarafların iddia ve savunmaları ile celp edilen delillerin dosya kapsamında değerlendirilmesi amacıyla bilirkişi elektrik elektronik mühendisi …, elektronik haberleşme müh. İnternet bankacılığı uzmanı … ve banka emekli başmüfettişi …’a tevdi edilmiş olup bilirkişilerin mahkememize sunmuş oldukları 28/09/2018 tarihli raporunda; İnternet Bankacllığı İşlemleri Ve Kimlik Tanıma Yöntemleri; her geçen gün gelişen teknoloji ve artan işlem hacimlerine bağlı olarak bankalar müşterilerini, banka şubelerine gerek kalmadan bankacılık işlemlerini telefon il veya internet üzerinden yapabilme imkanı vermektedir. Bu imkan hizmet alan müşteriler için zaman ve mekandan bağımsız oluşundan dolayı, internet erişim imkanı olan her verden kesintisiz ve her an banka hesaplarına ulaşabilme özgürlüğü sağlamakta ve hizmet veren bankalar açısından da şubelerde tıkanan iş hacmi ile başa çıkma ve eleman tasarruf yapma İmkanı sağlamaktadır. Aynı nedenle bankalar şubelerden yapılan işlemlerde yüksek masraf talep etmek suretiyle müşterileri Internet bankacılığına yöneltmekte ve internet bankacılığı kullanımını özendirerek bankacılık İşlemlerinin müşteriler tarafından daha fazla yapılmasını sağlamaya çalışmaktadırlar. Bankalar, İnternet bankacılığı vasıtası ile hemen hemen nakit para alışverişi dışında geri kalan tüm hizmetleri internet üzerinden vermektedirler.
Elektronik bankacılık sistemlerinde internet üzerinden ilgili bankanın internet bankacılığı web sayfasına girilerek işlem yapılabilmesi İçin müşteri tarafında bilinmesi gereken müşteri numarası, kullanıcı adı ve müşteri tarafından belirlenmiş olan şifre gibi kişisel bilgilerin bilgisayar ve cep telefonlarından doğru olarak hatasız girilmesi gerekmektedir.
Müşteriye ait bu kişisel bilgilerin herhangi bir şekilde 3. kişiler tarafından ele geçirilmeden hesaplara kötü niyetli kişilerin girerek İşlem yapmaları mümkün değildir. Elektronik bankacılık işlemlerinde müşterinin bilgisayar ve cep telefonundan girdiği şifre gibi kişisel bilgiler bankaların sistemlerinde saklı kişisel bilgilerle sistem tarafından karşılaştırılarak işlemin yetkili kişi tarafından yapılıp yapılmadığı kontrol edilir. Sistem gereği İşleme onay verilir. Internet bankacılığı işlemlerinde kişisel bilgilerin doğrulanmasında güvenliğin sağlanması için geliştirilen teknikler arasında güvenlik ihtiyacına göre parola , şifre , İP kısıtlaması, smart car d , para çıkışlarında 2. bir İşlem şifresi, işlem yapanın gerçek kullanıcı olup olmadığının tespiti yönünde kimlik belirlenmesinde belirlenen araçlara ve cep telefonuna gönderilen mesaj, akıllı SMS, tek kullanımlık şifre, elektronik ve mobil imza gibi tekniklerden herhangi birinin uygulanabildiği gibi , güvenlik ihtiyacına göre bunların kombinasyonundan oluşan kademeli bir anlayışın yada birkaçının aynı anda kullanımının benimsenmesi mümkündür.
Genel hatları bu şekilde olmakla birlikte bankalar, zaman geçtikçe internet bankacılığı işlemlerinde elektronik İmza görevi yapan şifreyi, ek güvenlik önlemleri ile destekleme ( parola, ek güvenlik kodu, tek kullanımlık şifre vb.) ihtiyacı hissederek uygulamaya almaktadırlar.
Elektronik işlemlerin , kredi kartı çeşidinden, biyolojik tanıma yöntemleri ( parmak izinden tanıma, sesten tanıma, gözün İris tabakasından tanıma vb.) denenmekle birlikte dünya genelinde kredi kartı endüstrisi genel bir kimlik tanıma yöntem olarak CHIP (Çip-kredi kartlarının üzerinde aynı GSM hatlarındaki gibi bir çok bilgi bulunduran çok küçük entegre devreler) benimsemiştir. Bu chipier de kişiye özgü şifre ile çalışmaktadır.
Dolayısıyla gelecekteki dönemde kitlesel işlem hacimlerine sahip faaliyetlerde biyolojik tanıma yöntemlerinin kolayca uygulrfnamJir hale gelmesi beklenmemektedir. Benzer durum İnternet bankacılığı İşlemleri için defa söz konusudur.
En yaygın müşteri tanıma yöntemi olarak bankalar hala müşterinin bilgisi ve kullanımında olan şifre ve parola kullanımı ile cep telefonlarına gönderilen akıllı SMS yöntemini kullanmaktadırlar.
İnternet Bankacılığında Güvenlik Ve Dolandırıcılık Yöntemleri;
İnternet bankacılığı vasıtasıyla yapılan dolandırıcılıklar sadece ülkemize özgü değildir. Dünyada internet İşlemlerinin yaygınlaşması İle beraber dolandırıcılık olayları da hızla artmaktadır.
Internet milyonlarca bilgisayarın birbirleri ile haberleşebildiği büyük bir iletişim platformudur. Bilgisayar aracılığı İle kullanıcıların yarattığı veriler yine bu araçlar yardımı ile hedeflenen yerlere Internet altyapısı kullanılarak ulaştırılır. İnternetin çok taraflı ve sınırlar ötesi erişim karakteri, güvenlik sorunları başta olmak üzere hukuksal ve teknik birçok sorunu da beraberinde getirmektedir.
İnternet bankacılığı hizmeti veren tüm kurumlar birer itibar ve güven müesseseleri olarak internet yoluyla müşterilerine hiımet verirken güvenlik konusunda üst düzeyde hassasiyet göstermek zorundadırlar.
İnternet tüm bireylere ve tüm kullanıcılara açık bir iletişim ortamıdır. İnternet üzerinden aktarılan bilgilere ulaşmak, web sitesi üzerinden hizmet veren bankalar, kurumlar ve kişisel bilgisayarlar gibi internet bağlantısı olan tüm bilgisayarlarda , kişisel bilgisayarlara ve sunucularda (SERVER) saklı bilgilere ulaşmak belli bir güvenlik standartları sağlanmadığı durumlarda, gelişen teknolojik olanaklardan ve casus programlardan yararlanmak suretiyle kötü niyetli kişilerce kolaylıkla gerçekleştirilebilecek bir durumdur.
Şifreleme ve güvenlik yazılımları bilgilerin gizliliğini sağlamak amacıyla geliştirilen güvenlik yöntemleridir. Elektronik bankacılık faaliyetlerinde Internet bankacılığı şubesinin güvenliği, siteye giriş ve çıkış noktalarının denetlenmesine yarayan Firewall programları (güvenlik duvarı) ve SSL (Secure Socked Layer) şifreleme protokolü teknikleri ile sağlanmaktadır. Bilgi depolayan ve İşleyen bu kurumlar kendi sistemlerini güvenil hale getirebilmek için çok yüksek bir standart tutturmak zorundadırlar. Aksi takdirde milyonlarca kişinin bilgilerine ulaşılması ve kitlesel dolandırıcılık yapılması riski söz konusudur.
Bu çerçevede internet bankacılığı hizmeti veren davalı banka da dahil olmak üzere bankaların sistemlerinin , sistem bilgisayarlarının ve dolayısıyla siteye giriş ve çıkış noktalarının firewall yazılımları ile korunduğu ve müşterilere ait şifre , müşteri numarası, hesap bilgileri gibi çok özel kişisel bilgilerin İletişim sewiyesindbit’ İlk SSL şifreleme teknikleri İte şifrelenmiş olarak İletildiği ve bankaların ana bilgisayarlar indaga şifrelenmiş olarak (3 DES) muhafaza edildiği bilinmektedir. Dolayısıyla banka sistemlerinin çok gelişmiş yazılımlarla da korunması sebebi İle 3. kişilerin banka sistemine sızarak müşteriye ait kişisel bilgileri ele geçirmesi ve çözmesi ihtimal dışı bir durum olarak görülmektedir.
Benzer prensiplerle İletişim ortamının güvenliği de sağlanmaktadır. Internet tüm bireylere açık bir iletişim aracıdır. Şifreleme internet üzerinden aktarılan bilgilerin gizliliğinin sağlanması amacıyla geliştirilen bir güvenlik yöntemidir. İnternet bankacılığı uygulamalarında müşteri ve banka sistemi arasında bilgi alışverişi şifrelenmiş olarak gerçekleşir. Müşteri kişisel bilgilerinin kullanıcı bilgisayarı ile banka sistemi arasında 3. Kişilerin eline geçmemesi için bankaların sisteminde, tüm dünyada kullanılan 256 bit’lik SSL şifreleme tekniği kullanılmaktadır. Şifrelenmiş bu türdeki verilerin çözümü çok zor ve zaman alıcı, üst düzey teknik bilgi birikimi ve son derece yüksek maliyetler getirdiğinden , bu gibi dava konusu olaylarda şifrelenerek giden kişisel bilgilerin iletişim ortamında ele geçirilip çözülmüş olması ihtimal dahilinde görülmemektedir.
Nitekim bankaların dalma en üst düzey teknolojik imkanlara sahip olması ve sistemlerini gelişen teknolojik imkanlarla devamlı yenilemesinden dolayı güvenlik önlemlerinin çok sıkı olması sebebiyle, internet bankacılığında görülen dolandırıcılık olayları genellikle müşterilere ait bilgisayar ve cep telefonları kaynaklı olmaktadır.
Bu çerçevede çeşitli dolandırıcılık yöntemlerinin aşağıdaki gibi tasnif edilmesi mümkündür;
Phishing; Uluslararası alanda phishing (olta avı) adı verilen bu yöntemde, bilgisayar kullanıcısına sanki kendi bankasından geliyormuş izlenimi veren bir e-posta gönderilmekte ve bu e-postada örneğin bilgilerin gün ce İleneceğinden bahisle kullanıcıya ait çeşitli kişisel bilgilerin yanında İnternet şifreleri de İstenmektedir. Bu e-posta da bulunan ve bilgisayar kullanıcısını bankasının web sitesine aktardığını düşündüren bağlantı linki, aslında bankanın web sayfasının taklidi olan sahte bir sayfaya yönlendirmektedir. Bilgisayar kullanıcısı bu e-postayı cevaplamakla dolandırıcılığın başlamasına zemin hazırlamaktadır.
Vtshlng; Vishing (olta avı )sesli yanıt sistemlerini taklit ederek aldatma yöntemidir. Dolandırıcılar bankaların sesli yanıt (çağrı merkezi) merkezlerini taklit ederek müşterilerin bilgilerini (şifre, parola müşteri numarası, kullanıcı adı, kredi kartı numarası gibi) tuşlattırarak yada söyleterek kişisel bilgileri ele geçirebilmektedir.
DNS-Spofing ; Normal görünen bir e-postanın ekinin (exe uzantılı ) açılması yöntemi. Bu yöntemde bilgisayar kullanıcısından doğrudan doğruya bir bilgi istenmesi söz konusu değildir. Ancak e-posta ekinin açılması (e-postaya tıklamak suretiyle) halinde , kullanıcının bilgisayarına bir virüs veya Truva atı (trojan horse) yerleştirilmekte ve bu yöntemle, kullanıcının yaptığı bütün İşlemler kopyalanıp kullanıcının bilgisayarı tarafından otomatik olarak dolandırıcılara gönderilmektedir.
Keylogger Yöntemi; Bu yöntemde kullanıcının bilgisayarının klavyesinde yaptığı tüm işlemler (sanal klavye ve bilgisayar ekran görüntüleri dahil) kopyalanmakta ve dolandırıcının e-mail adresine otomatik olarak yollanmaktadır.
İnternet Bankacılığı Kullanıcılarının Özen Borcu;İnternet bankacılığı kullanıcılarının, güvenlik kodu ve şifre gibi kişisel bilgilerinin 3. şahıslarının eline geçmemesi için bu bilgileri özenle muhafaza etmesi ve gizli tutması gerekmektedir.
Şifrelerin bilgisayara veya tarayıcılara kaydedilmemesi gerekmektedir. Eğer bilgisayara kaydedilecekle şifreleme (Encryption) programları kullanılmalıdır. Şifrelerin ve gizli bilgilerin encryption yapmadan başka mail adreslerinize mail yolu ile gönderilmemesi gerekmektedir.
Kişisel bilgisayarların mutlaka antivirüs yazılımları ve güvenlik duvarı (Firewall) kullanarak güncel tutmaları gerekmektedir. Ancak virüs programlarının güncel tutulması, yeni bir virüse karşı güvenliği tam olarak garanti edemediği gibi, bir anti virüs programı sunan markanın virüs olarak nitelediği yazılıma farklı bir anti virüs programı virüs olarak bakmadığından tam koruma sağlanamama ihtimali de bulunmaktadır.
Mail aracılığıyla veya başka bir ortamda sunulan web sayfaları kullanılmamalı, farklı sayfalardan İnternet Şubesine yönlendirilme yoluyla giriş yapılmamalıdır.
Kişisel bilgisayarların güvenliğinden öncelikli olarak müşteriler bizzat sorumludur. Güvenlik tedbirleri alınmayan ve özellikle bilinmeyen güvenli olmayan, İnternet kafe gibi çok kullanıcılı bilgisayarlar kullanılarak işlem yapılması halinde f bu bilgisayarlara art niyetli 3.kişiler tarafından yüklenen casus yazılımlar aracılığı İle müşterilerin internet bankacılığı şifre ve parola bilgilerinin elde edilebileceği gibi, olta saldırı adı verilen (phishing yöntemi) sahte e-postalaria müşterilerin kandırılarak kişisel bilgilerin elde edilmesi mümkün olup dolandırıcılık olaylarında bu tarz yöntemlerin tercih edildiği de bilinmektedir.
Dolayısıyla, internet bankacılığı hizmetinden yararlanan müşterilerin olası riskleri de düşünerek, bilinçli olarak sözleşme yapmaları, kişisel bilgilerini özenle korumaları ve internet bankacılığı İşlemleri için kullanacakları bilgisayarlarında güvenlik almaları önem arz etmektedir.
Bankaların Bilgilendirme Yükümlülüğü;
Günümüzde teknolojinin ilerlemesi, bankaların da internet bankacılığını daha cazip hale getirerek kullanım oranlarını arttırmak için müşterileri teşvik etmesi ile birlikte İnternet bankacılığı kullanımı artmakta ancak olası riskler hakkında bilgi sahibi olunmaması sebebiyle problemler de yaşanmaktadır.
Müşteriler olası ve mevcut riskler konusunda ayrıca uyarılmadıkça bilgi sahibi olunmaması sebebiyle problemler de yaşanmaktadır.
Müşteriler olası ve mevcut riskler konusunda ayrıca uyarılmadıkça bilgi sahibi olamamaktadırlar. Şifrelerin gizli tutulması bilinci bir çok müşteri kitlesinde yer etmiş olsa da aynı kitle için “virüs, anti-virüs, trojan horse, phishing, firewall, keyogger, spoofing” gibi kavramlar hala çok aşına, bilgi sahibi olunan durumlar değildir.
Nitekim bugün bankaların çoğunun ve Türkiye Bankalar Bİrlİği’nin web sayfasında sahte e-postalara cevap verilmemesi ve virüs programların kullanılması ile ilgili uyanlar bulunmaktadır. Ayrıca Bankacıbk Düzenleme ve Denetleme Kurumunun da Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği (14.09.2007 tarihinde 26643 no ile yayımlanan) ile internet bankacılığının daha güvenli hale getirilmesi için birçok düzenleme yapıldığı anlaşılmaktadır. Bu veriler de bizlere, sistemde bir açık olduğu, müşterilerin yeteri kadar bilgilendirilmediği hususu hakkında bilgi vermektedir.
Mevduat Hesaplarında Bankaların Özen Borcu Ve Özen Borcunun İnternet Bankacılığı İşlemlerinde Değerlendirilmesi;
Birer güven kuruluşu olarak faaliyet gösteren bankalar , bünyesinde bulunan mevduatları dolandırıcılıklara ve sahteliklere karşı korumak zorundadır . Objektif özen borcunun gereği olarak hafif kusurlardan dahi sorumludurlar. Bankalar, 5411 sayılı Bankacılık kanununun 61 .maddesine göre kendilerine yatırmak suretiyle emanet edilen paraları hesap sahipleri istediğinde veya belli bir vadede ayni ve misil olarak iade etmekle yükümlüdür.
Bu sorumluluk,Yargıtay 11. Hukuk Dairesi 2017/2386 E. , 2017/4206 K. Sayılı kararında “…Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede aynı veya misli olarak iade etmekle yükümlüdür (4491 sayılı Yasa ile değişik 4389 sayılı Bankalar Kanunu 10/4 ve 5411 sayılı Bankacılık Kanunu’nun 61. maddesi). “Mevduat”; ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. 818 sayılı BK’nın 306 ve 307, maddeleri, 6098 sayılı TBK’nın 386 ve 387. maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı, eğer kararlaştırılmışa faiziyle birlikte iadeye mecburdur. 818 sayılı BK’mn 472/1. maddesi, 6098 sayılı TBK’nın 570/1. maddesi uyarınca da “usulsüz tevdi” halinde paranın nef i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz İşlemlerin gerçekleşmesinde, ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir….” şeklinde net bir hüküm kurulmuştur. Yine Yargıtay 11. Hukuk Dairesinin 2017/716 E., 2017/3979 K. Sayılı kararının mevcut olduğu anlaşılmıştır.
Bankacılık Düzenleme Ve Denetleme Kurumu Kararları;
Bankacılık Düzenleme ve Denetleme Kurumunun da Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliği ( 14.09.2007 tarihinde 26643 no ) Resmi gazetede yayımlanarak 01.01.2008 tarihinde girmiş ve tebliğin geçici 1. Maddesiyle, bankalara uyum İçin azami 2 yıl süre verildiğinden ,anılan tebliğ 01,01.2010 tarihinde bütün hükümleriyle yürürlüğe girmiş bulunmaktadır.
Bu çerçevede yürürlüğe giren İlgili tebliğdeki 3.kısım /1.Bölüm / 24.madde /Fıkra 4;
Müşterileri uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az 2 bilişenden oluşur. Bu 2 bileşen; “müşterinin bildiği, müşterinin sahip olduğu ve ya müşterinin biyometrik bir karakteristiği olan” unsurlardan herhangi 2 tanesine ait olacak şeklinde seçilir.
Müşterinin bildiği unsur; parola-değişken parola gibi bileşenlerdir. Müşterinin sahip olduğu unsur; tek kullanımlık parola üreten cihaz, kısa mesaj servisi İle sağlanan tek kullanımlık parola gibi bileşenlerdir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kişilik doğrulama gerçekleştirilmeme!i, hizmete erişim sağlanmamalıdır.
Böylece İnternet bankacılığında dinamik şifre kullanılmasını zorunlu tutmayan bankalar kamu otoritesinin zorlamasıyla, internet bankacılığı işlemlerinde dinamik şifre kullanmaya mecbur tutulmuşlardır.
Tebliğ ile getirilen uygulama, mesafeli İşlemlerde statik şifre kullanılmasının doğru bir yöntem olmadığını, güvenlik için dinamik şifre kullamlmasının zorunlu tutulmasını gerekli olduğunu teyit etmektedir.
Cep Telefonu Sım Kartlarının Klonlanması, Telefon Operatörlerinin Statüsü;
İnternet bankacılığı dolandırıcılıkların da, bankaların cep telefonlarına, SMS ile tek kullanımlık şifre gönderme uygulamalarının SİM kartların klonlanması suretiyle aşıldığı dava dışı benzer çok sayıdaki İnternet bankacılığı dolan d inciliği davalarından bilinmektedir.
Bu yöntemde müşterinin şifresi İle hesabına girilip, cep teİefonu numarası öğrenilerek hangi operatör ise o operatöre başvurularak “cep telefonumu kaybettim yeni bir SİM kart İstiyorum” diye müracaat edilmekte ve sahte müşteri kimliği ile yeni bir SİM kartı alınmakta, gerçek müşterideki SİM kart otomatik olarak kullanılamaz hale gelmekte ve bloke olmaktadır.
Ya da internet bankacılığı yolu İle banka bilgilerinden cep telefon numarası değiştirilerek art niyetli kişi kendi elinde bulunan halk tarafından açık hat tabir edilen kullanıcısı bilinmeyen bir telefon numarasını yazarak mesajın oraya gelmesi sağlanmaktadır.
Her iki halde de bankanın, müşterisine gönderdiğini zannettiği SMS yoluyla tek kullanımlık şifre dolandırıcının elindeki cep telefonuna gönderilmiş olmaktadır.
Uygulamada, sahte kimlik ve adresle alınan bir SİM kartın doğrudan zarannın ilgili operatöre ait olacağı noktasından hareketle, bu konuda hassas davrandıklarının varsayıl ması mümkün olmakla birlikte , sahte kimlik ve adresle temin edilen bir SİM kartının, çeşitli suç eylemlerinde de kullanılabileceği düşünülerek daha hassas davranılması gerektiği tartışmadan varestedir.
Kaldı ki, cep telefonu operatörleri, devletten aldıkları özel imtiyazla ve lisansa istinaden faaliyet gösteren kuruluşlardır. Bir anlamda kamu hizmeti ifa etmektedirler. Bu çerçevede, her türlü hizmeti (SİM kart yenileme dahil) aialaryıda sözleşme İlişkisi bulunan ve hattın gerçek sahibi olan kişiye vermek zorundadır. Bu İsmetin yetkisiz 3. kişilere verilmesi halinde kusur ve sorumluluk söz konusudur.
Günümüzde Türkiye’de faaliyet gösteren tüm GSM telefonu operatörleri, SİM kart İptallerinde veya değişikliklerinde değişikliği algılayıp bankalardan gönderilen akıllı SMS leri göndermemekte, SİM kart değişikliğini bankalara bildirmekte,bankalarda değişiklik algılanan cep telefonunun ait olduğu hesapların internet erişimine bloke koymaktadır , Banks Hesaplarına erişebilmek için bloke kaldırma işlemi uygulanmak zorunda olup bloke kaldırma işlemleri banka ATM’lerinden, çağrı merkezlerinden, ya da bizzat şubeye giderek yapılmaktadır.
Dava dışı olan …’ın hesabının kullanmış olduğu telefonun yeni bir sim kart çıkartılarak oraya gelen SMS bilgilerini kullanmak sureti ile boşaltılması olayının geçtiği tarihte (19.11.2009 ) bazı GSM operatörleri sim kart değişikliğinde hesabı bloke etmekte bazıları ise bloke etmemekte idi.
Bankaların bu gibi dolandırıcılık ve sim kart kopyalama işlemlerinin artmasından dolayı, cep telefonları numaralarının yetkisiz kişilerin ellerine geçmemesi için basılı evraklarda numaraların tamamını görüntülememe [… ) şeklinde önlem aldıkları bilinmektedir. Ancak cep telefonu numaralarının başka kaynaklardan öğrenilebilme İmkanı her zaman için mevcuttur.
Dolayısı ile bankaların cep telefonlarına SMS yolu ile tek kullanımlık şifre gönderme uygulamalarının sorunu % 100 çözmediği anlaşılmaktadır.
Davaya Konu Olay Üzerinde Yapılan İnceleme Ve Araştırma;
Tarafların huzurdaki dava ile ilgili iddia ve savunmaları, davaya konu olayla ilgili yerel mahkeme ve Yargıtay kararlar, dosyadaki bilgi belge ve eklerinin incelemesi yapılmış olup, aşağıdaki tespit ve değerlendirilmeler yapılmıştır;
a- Dava Dışı …’a Ait Hesap ve işlemler;
Bu davada dava dışı olan … ‘ın davacı … Bankası … Mahallesi Şubesi İle …IBAN numaralı, … nolu mevduat hesabı bulunduğu 18.06.2008 tarihinde … Bankası A.Ş Elektronik Bankacılık Sözleşmesi imzaladığı , davalı bankanın sunduğu elektronik bankacılık hizmetlerinden yararlandığı, bu kapsamda da şubeye gitmeden İhtiyacı olan bankacılık hizmetlerini, müşteri numarası kendisinin belirlediği ve yalnızca kendisinin bildiği şifre ve parola gibi statik kişisel bilgilerini , kullandığı bilgisayar ya da cep telefonu gibi elektronik ortamda internet Üzerinden hesabına erişim sağlayıp, hesabından havale EFT gibi bankacılık işlemlerini banka sisteminde kayıtlı bulunan … nolu GSM hatlı cep telefonuna, banka tarafından SMS ile gönderilen 6 karakterli işlem onay şifresini de doğru girerek şubesiz bankacılık İşlemlerini elektronik ortamda aracısız olarak kendisinin gerçekleştirdiği anlaşılmıştır.
Dava dışı …’ın yukardaki hesabından 19.11.2009 tarihinde, internet bankacılığı yoluyla;
1.İşlem : 19.11.2009 tarih, saat 10:21:05’de 9.950 TL … Bankası … Şubesi, … nolu … hesabına EFT,
2.İşlem : 19.11.2009 tarih, saat 10:23:15’de 9.950 TL … Bankası … Şubesi, … nolu …hesabına EFT
3.İşlem: 19.11.2009 tarih, saat 10:40:52’de 2.900 TL, … Bankası … Şubesi, … nolu … hesabına havale yapıldığı tespit edilmiştir.
… şubesinde bulunan …’ya ait hesaba gönderilen 2900 TL bloke konulup …’ın hesabına iade edilmiştir. Soruşturmadaki evraklardan …’nın 08.02.2010 tarihli İfadesinde bu hesapta para bulundurmadığını, internet bankacılığını da kullanmadığını beyan etmiştir.
… şubesinde bulunan …’a ait hesaba toplam 19.900 TL aktarıldığı, bu paranın olay saatinden yaklaşık 10 dakika sonra kasadan ve nakden aynı gün 19.11.2009 tarihinde saat 15:35:37 de çekilmiş olduğu, bu hesabın olaydan 10 gün önce (09.11.2009 ) saat 16:38:36 da açıldığı hesapta açılış gününde ve sonrasında sıfır bakiye bulunduğu , soruşturma evraklarından … isimli şahsa ulaşılıp ifadesinin alınamadığı anlaşılmıştır.
Benzer çok sayıdaki hadiselerde dolandırıcıların sahte kimliklerle hesap açtıkları, bazen de mevcut hesapları bilerek yada bilmeyerek kullandıkları bilinmektedir.
Dava Dışı İhtilaflı İşlemlerin Yapıldığı İP ve Tespitler;
Dava dışı …’ın hesabına 19.11.2009 tarihinde erişimde kullanılan İP numarası … olup dava eklerindeki savcılık soruşturmalarında işlem anında … abonesi … nolu telefondan bağlanıldığı, bu telefonun … adresinde oturur … adlı şahsa ait olduğu, …’nun 05.08.2010 tarihli şüpheli tutanağında özetle; “…benim İP numaramla girip tanımadığım birileri İnternet üzerinden başkalarının hesabından para çekildiğini şimdi öğrendim, benim mali durumum ve sosyal statüm böyle bir şeye ihtiyacım olmadığını göstermektedir…” şeklinde iddiaları reddettiği anlaşılmaktadır. Kullandığı bilgisayarın İncelenip incelenmediğine dair herhangi bir belgeye rastlanmamış olup bu beyan dikkate alındığında bu işlemi yapan dolandırıcıların İP adreslerini gizlemek ve kendilerine ulaşımı engellemek İçin IP değiştirici (Bfoxy,Steganos,Tor vb) programlar kullanmış olmalarını büyük bir ihtimal dahilinde düşünmekteyiz.
Dava Dışı … ‘a Alt Cep Telefonunun Sim Kartının Klonlanması;
…’ın kullandığı telefonun … olduğu, 19.11.2009 günü saat 10:21:03 te SMS le şifre gönderildiği, Davalı … A.Ş firması tarafından bu hatta ait SİM Kart değişikliğinin 16.11.2009 tarihinde, … Bayi … da hizmet veren … Ltd. Şti tarafından yapıldığı, dosyada yapılan İncelemede SİM Kart değişikliği sırasında alman belgelerin ibraz edilemediği, bu türdeki çok sayıda internet bankacılığı dolandırıcılıklarında SİM Kart değişikliklerinin sahte kimlikle yapıldığı bilinmektedir.
Davaya konu para transfer İşlemi yapılmadan 4 gün önce 16.11,2009 tarihinde … bayisi … adresinde faaliyet gösteren … Ltd. Şti. İsimli bayide … adına düzenlenmiş sahte kimlikle yeni birSİm kart çıkarılmış, para transferi sırasında gönderilen SMS lerin bu yolla dolandırıcıların eline geçtiği anlaşılmıştır. Ancak gerek … A.Ş den gerek ilgili bayiden SIM kart değişikliğinde doldurulan form istenmiş ama savcılığa sunulan herhangi bir evrak bulunamamıştır.
Dava dışı … 19.11.2009 tarihli Şikayetçi ifade tutanağında özetle; ” 16.11.2009 tarihinde … nolu telefonumun çalışmadığını fark ettim , … müşteri hizmetlerini aradım, … bayilerinden bilgilerimi güncelletmem gereğini söylediler, … bayisine gittim, oradan bana … Müşteri hizmetlerini … aramamı söylediler, müşteri hizmetlerini aradım, güncellemeyi yaptıklarını ve hattımın açılacağını, beklemem gerektiğini söylediler, aradan 4 gün geçti hattım halen açılmadı demektedir”
… Müşteri hizmetlerinin; 16.11.2009 tarihinde telefon hattı sahibi tarafından aranıp hattın çalışmadığı bildirildiği halde yeni bir SİM Kart çıkarıldığının ve hattın bu yüzden çalışmadığının tespit edilip söylememeleri de … A.Ş ve bayileri açısından bir eksikliktir.
Ayrıca dava dışı …, elektronik bankacılık hizmetlerini kullandığında kimlik doğrulaması yapmak İçin kullandığı cep telefonuna banka tarafından doğrulama onay SMS inin gönderildiğini bilmektedir. 16.11.2009 tarihinde telefonunun çatışmadığını fark edip … Müşteri hizmetlerini aradığı halde bu konuyla ilgili olarak bankasını arayıp telefonunun çalışmadığım bildirip gerekil önlemleri aldırmaması davaya konu para transfer işlemleri açısından bir eksikliktir.
Davacı Banka Sorumlulukları;
Davacı … Bankası huzurdaki davaya konu 19.11.2009 tarihinden önce 3 seçenekli sanal klavye uygulamasını zorunlu kullandırdığı, İP ve ISS tanımlama ve kısıtlama, süre kısıtlama, işlem ve tarih belirleme, risk seviyesine göre her işlem için limit belirleme, en son yapılan İşlemlerin tarih ve saatinin ekranda görünmesi, son 5 işlemin hangi İP adresinden yapıldığı, riskli gördüğü bazı transferleri kapatabildiği, şifrenin 5 haneli olduğu, parolanın 6 haneli en az 2 harf ve 2 rakam içerdiği, banka tarafından verilen ilk parolanın değiştirilmesi gerektiği, şifrenin çağrı merkezinde müşteri tarafından oluşturulabildiği, şifre ve parolanın HSM (Host Security Modüle cihazı ile şifrelenerek sistemde saklandığı, 07.12.2006 tarihinden itibaren OTP (Tek kullanımlık dinamik şifre üreten cihaz) kullanımının mevcut olduğu, OTP kullanmayan banka müşterilerinin cep telefonuna başka hesaplara para göndermek istediğinde banka sisteminde kayıtlı cep telefonuna SMS olarak 6 haneli işlem doğrulama şifresinin zorunlu olarak gönderildiği bilirkişiler tarafından bilinmektedir.
Elektronik bankacılığı kullanan müşteriler kendilerinin bildiği müşteri numarası, şifre ve parola gibi bilgileri bilgisayarlarından bankanın sitesine girdiğinde, bankanın tuttuğu müşteri no, parola, şifre gibi bilgilerle sistem tarafından karşılaştırılıp girişe onay verilmektedir. Banka bu güvenlik önlemlerinin birkaçını birden uygulayarak güvenlik seviyesini artırmaktadır.
Sâdece müşterinin bilebileceği şifre ve parola gibi bilgilerin bu olayda da muhtemelen yukarda anlatılmış olan yöntemlerle ele geçirilmiş olma ihtimali vardır. Dava dışı … “tn bilgisayarında şikayet günlerinde herhangi bir inceleme yapılmamış olması ayrıca inceleme yapılsa bile bir sonuç alınamayacak derecede delillerin yok olmuş olabileceğinden hareketle şifre ve parolanın bir şekilde dolandırıcılar tarafından elde edilmiş olduğu düşünmekteyiz.
Reklamlarda ve uygulamalarda müşterilerini çok güvenli olduğunu İddia eden elektronik bankacılığa teşvik eden bankalar, her geçen gün teknolojik gelişmelere uygun olarak güvenlik seviyelerini yükseltmektedirler, Ancak bu önlemlere rağmen bir çok dolandırıcılık olayı yaşanmaktadır. Dava konusu olayda olduğu gibi müşteriye; müşterinin gerçek hesap sahibi olduğunu daha net tanıyacak imkanlar elinde olduğu halde müşterinin tercihine uyarak tek kullanımlık şifre üreten cihaz kullanımını zorunlu tutmamıştır. Bu cihazı müşteriye zorunlu kullandırmak yerine SMS göndermeyi tercih etmiştir. Çok uzun süredir kullanılan elektronik ve mobil imza seçenekleri gibi güvenlik teknikleri bankaların objektif özen yükümlülükleri gereği kullandırmalıdır diye düşünmekteyiz.
Davacı … Bankası, davalı … A.Ş ile banka sistemine kayıtlı müşteri GSM hatlarının SİM Kart değişikliklerinde anında bankanın haberdar olmasını sağlama ve bankanın onay SMS göndermeyi durdurması konusunda … GSM Operatörü ile olayın vuku bulduğu 19.11.2009 tarihinde herhangi bir anlaşma İmzalamamış , bu anlaşmayı 2010 yılında imzalamıştır.
Davacı … Bankası, 5070 Sayılı Elektronik İmza Kanunu ülkemizde uygulama alanı bulduğu halde, internet bankacılığı kullanımlarında elektronik İmza yada mobil imza uygulamasına geçmemiş ve kendi malvarlığını yada kendisine emanet edilen mevduatları dolandırıcılara karşı gereği gibi koruyamamıştır. Davalı banka Internet bankacılığında 3. Kişiler tarafından yapılan dolandırıcılık yöntemlerini bildiği halde , işlem yapanın gerçek müşteri olup olmadığının tespiti konusunda objektif özen yükümlülüğünün gereği olan gerekli güvenlik önlemlerini almamıştır.
Sonuç olarak internet kullanan müşteri profili göz önünde bulundurulduğun da, büyük bir kesimin kullandıkları bilgisayar ve cep telefonlarının güvenliğini sağlayamadıkları, statik ve dinamik şifrelerinin trojan yazılımlarla çaldırdıkları, kayıtlı cep telefon numaralarının kolayca öğrenilip sahte kimliklerle SMS Operatörlerinden SİM Kart çıkarttınrılabildiği dikkate alındığında, davacı bankanın olay tarihinde elindeki teknik imkanlara bakıldığında, objektif özen yükümlülüğünün gereği alarak, işlem yapanın gerçek müşteri olup olmadığını daha net belirleyecek yöntemlerden, biyometrik tanıma ,müşteriye önceden verilecek belirli sayıda tek şifre, tek kullanımlık şifre üreten cihaz yahut elektronik veya mobil imza gibi tekniklerden birinin zorunlu olarak kullandırılmaması sebebiyle davacı bankanın oluşan davada ağır ihmal ve kusuru bulunduğu, banka müşterisi ve GSM Operatörünün İhmallerini/hatalarım giderebilecek imkanları var olduğu halde kullanmadığı kanaatine varılmıştır.
Davalı … GSM Operatörü Sorumlulukları;
Dava konusu olayda davalı … İletişim A.Ş, dava dışı …’a ait hattın SİM Kartının yetkili bir bayisinde dolandırıcılar tarafından değiştirilmesine sebebiyet verdiğinden müşteri hesabından yapılan para transferlerinde banka sistemi tarafından otomatik olarak SMS’le gönderilen onay şifresinin dolandırıcıların eline geçmesine ve para trasferinin kolayca yapılabilmesine imkan doğmuştur.
Bunun yanı sıra davalı … A.Ş’nin vermiş olduğu hizmet, para transferinde kullanmaya yönelik olmadığı, haberleşmenin sağlıklı bir şekilde verilmesine yönelik olduğu ,davacının cep telefonuyla para transferi yapmasına yönelik bir taahhüdü bulunmadığı yönündeki savunması hayatın olağan akışına uymamaktadır. Zira GSM Operatörleri reklamlarında akıllı telefonlarla internet üzerinden elektronik bankacılık dahil her türlü kullanımı da teşvik etmektedirler.
Ayrıca, imzalanan abonelik sözleşmesi gereği ve üstlendiği görevin özen yükümlülüğü ve tanınan İmtiyaz gereği, abonenin aldığı telefon hattına bağlı cep telefonuna her kimden gelirse gelsin, İçeriği ne olursa olsun , gönderilen kısa mesaj (SMS ) ve içeriğini GSM Operatörü abonesine iletmekle yükümlüdür. Gelen mesajın içeriğinde ne bulunduğu Operatörü ilgilendirmez. GSM Operatörünün görevi gelen mesajları dolandırıcılara değil GSM hattının gerçek sahibine iletmektir. GSM Operatörü ortada bir abonelik sözleşmesi varken bu hattın kullanımını hiçbir gerekçe olmadan bir başkasına devredemez . Banka müşterisine ait GSM hattının SİM kartının değiştirilerek bu hattın başkalarının kullanımına sunulması, davacı banka ile değil davalı … A.Ş ile abonesi arasındaki abonelik sözleşmesine aykırılık oluşturmaktadır.
Davalı … A.Ş nin acentası konumundaki bayilerine SİM kart değişikliği yaptırmadan ve bu değişikliği onaylamadan önce, yetkili kıldığı bayisinden ibraz edilen kimlik fotokopisini ve talep formunu fakslamasını isteyip , hat satın alırken İmzalanan abone sözleşmesindeki bilgileri ve imzayı karşılaştırıp , SİM kart değişikliğinin gerçek hat sahibince yapılıp yapılmadığını tespit ederek dolandırıcılığı önlemesi yada elektronik ortamda abonelik sözleşmesindeki atılan imza ile ilgili olarak bayilerine yönelik site oluşturup GSM hattının SİM kartı değiştirilmek İstendiğinde SİM kart değişiklik formuna atılan imza ile karşılaştırmayı sağlayarak, banka müşterisinin kullandığı hattın dolandırıcıların eline geçmesini önlemek mümkündür.
Yeni SİM kart takılan cep telefonunun IMEI numarası İle banka müşterisinin kullandığı cep telefonunun IMEI numarası da farklı olup , bunun davalı … A.Ş tarafından anında teknik olarak tespiti mümkündür. Ayrıca davalı … A.Ş bayisi konumundaki abone merkezi, SİM kartı değiştirmeden önce , SİM kartı değiştirilmek istenen GSM hattını aramış olsa , gerçek hat sahibi karşısına çıkacağından, banka müşterisinin kullandığı GSM hattının dolandırıcıların eline geçmesini önlemiş olacaktı.
Ancak, davacı … Bankası ile davalı … A.Ş. Arasında; olay tarihinde (19/11/2009) banka müşterilerinni SİM kart değişikiliği yaptığı zaman internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığına yönelik banka müşterisinin kimlik doğrulamasın da, banka tarafından müşteri cep telefonuna gönderilecek akıllı SMS onay şifresinin gönderimini engelleyecek Davacı … Bankası ile Davalı … A.Ş arasında herhangi bir anlaşma yapılmadığı/olmadığı dosya içeriğinden anlaşılmaktadır. Davacı banka ile davalı … A.Ş olay tarihinden sonra 2010 yılında böyle bir anlaşma imzaladığı dosyadan görülmektedir.
Günümüzde GSM Operatörleri yeni SİM kart değişiminde değişim bilgisini tüm bankalarla anında paylaşmakta, banka müşterisi olan GSM hatlarını bankaların isteği doğrultusunda 24 ile 48 saat arasında banka işlemleri açısından bloke edebilmektedir.
Sonuç olarak Davacı banka ile davalı … arasında olay tarihinde SİM kart değişikliğinde uyarı verip bankadan gidecek SMS leri bloke edecek anlaşma yapılmadığı net olarak anlaşılmıştır.
İnternet Üzerinden Yapılan Bankacılık İşlemleriyle İlgili Yargıtay Emsal Kararları;
1-Yargıtay 11. Hukuk Dairesl’nln 22.06.2006 tarih, 2005/4748 E. 2006/7341K. Sayılı kararına göre de bir güven kurumu olarak faaliyet gösteren bankaların objektif özen yükümlülüğünün yerine getirilmemesinden kaynaklanan en hafif kusurlardan bile sorumlu olduklarını,
2-Yargıtay 11. Hukuk Dairesl’nin 2S.09.2009 tarihli, (2008/5369 E;2009/9715 K ) Bozma kararında aşağıdaki gerekçelere dayandırmıştır;
Bankalar kendilerine yatırılan paraları mudilerine İstendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlü dür. (4491. Yasa ile değişik 4389 s. Bankalar Kanunu’nun 10/4 ve 5411 s. Bankacılık Kanunu’nun 61. Maddesi )Bu tanımlamaya göre mevduat, ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. B.K ‘nun 306. Ve 307. Maddeleri uyarınca ödünç alan , akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı yasanın 372/1 maddesi uyarınca usulsüz tevdide paranın nefi ve hasan mutlak şekilde saklayana geçtiği İçin aynca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir . Bu açıdan değerlendirince usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup , mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir . Usulsüz işlemlerin ispatlandığı takdirde mevduat sahibinin müteraflk kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.
….Sahtecilik ve dolandırıcılık işlemi davacıya değil davalı bankaya karşı gerçekleştirilmiş olduğundan ve yukarda belirtildiği gibi şifrenin davacı kanalıyla ele geçirildiği kanıt(aramadığından sadece davacıya veya yetkili kıldığı kişilere Ödeme yapmakla borcundan kurtulması mümkün olan bankanın davacı hesabından çekilen paranın tamamından sorumlu tutulması gerekir…
3-Yargıtay 11. Hukuk Dairesi’nin 16/10/2017 tarih, 2017/3291 E. 2017/5352 K. Sayılı kararınca özetle;
….internet bankacılığı dolandınciığı dolayısıyla açılan davada,müşterin in telefonunun SlM kartının değiştirilmesi sonucu hesabın boşaltıldığı, banka ve müşteri arasında İhtilaflı olan internet dolandırıcılığına kimin sebep olduğu ve zararı kimin karşılayacağından hareketle bilirkişi kusuru % 50 bankaya % 50 müşteriye dağıttığı halde , Banka müşterisinin kendisine emanet ettiği mevduatı tam özenle koruyamadığından ve zararını tamamen karşılamakla yükümlü olduğundan hareketle , kurulan hükme karşı çıkıp müşterinin zararının tamamım bankanın ödemesine karar vermiş,davalı taraflardan GSM şirketine herhangi bir kusur bulmamıştır…
4- Yargıtay 11. Hukuk Dairesi’nin 2010/2208 E.,10.10.2011 tarih ve 2011/12509 karar sayılı ilamında da ; Banka ve GSM Şirketi aleyhine açılmış benzer davada (sahte kimlik düzenlenerek müşteri GSM hattına yeni SlM kartı alınıp tek kullanımlık SMS doğrulama;
Yargıtay 11. Hukuk Dairesi’nin 2010/2208 E.,10.10.2011 tarih ve 2011/12509 karar sayılı ilamında da ; Banka ve GSM Şirketi aleyhine açılmış benzer davada (sahte kimlik düzenlenerek müşteri GSM hattına yeni SİM kartı alınıp tek kullanımlık SMS doğrulama şifresinin dolandırıcıları eline geçmesi) .Yerel Mahkemenin her iki davalının kusurlu olduğu ve kusur oranlarına ödeme yapılmasına yönelik karan ile ilgi olarak, (…usulsüz işlemlerde çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup mevduat sahibinin bankaya karşı atacağı aynen devam etmektedir.Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müteraflk kusurundan bahsedilebilir…)
“…..Dava konusu olayda davacının banka hesaplarında bulunan para 3. Kişiler tarafından rızası hilafına alınmış olup, dolandırıcılık eylemi bankaya karşı İşlenmiştir. Banka müşterisi olan davacının açmış olduğu böyle bir davada GSM Şirketi aleyhine hüküm kurmak doğru değildir ” denildiği görülmektedir.
Sonuç olarak; banka müşterisi …’ın şifresini muhafaza konusunda gereken özeni gösterip göstermediğinin somut tespit imkanı bulunamadığından bu olayda, ilgili Yargıtay kararlarında “çekilen paranın tamamından banka sorumlu tutulmalıdır” şeklinde karar verildiği görüldüğünden dava dışı …’a ait bir kusur olmadığı ve bankanın sorumlu olduğu tarafımızca düşünülmektedir.
Yukardaki Yargıtay kararlarıda dikkate alığında, davacı … Bankası A.Ş internet bankacılık işlemlerinde banka müşterilerinin bankaya bildirdikleri GSM hattı numaralarına,kimlik doğrulama güvenlik işlemi olarak tercih ettikleri kısa mesaj (SMS} işlem onay şifresi gönderme uygulaması öncesinde, bu mesajın güvenli olarak banka müşterisi GSM operatörü abonelerine iletilmesi konusunda davalı … iletişim A.Ş ile herhangi bir sözleşme yapmadığı dosya içeriğinden anlaşıldığından bilirkişi heyetimiz oluşan banka zararı İle davalı … İletişim A.Ş sorumluluğu arasında doğrudan bir bağ olmadığını düşünmektedir.
Bir güven kurumu olan davacı … Bankasının kendine emanet edilen müşteri parasını koruması objektif özen yükümlülüğü gereğidir. Müşterinin elektronik bankacılığı tercih etmesi bankanın sorumluluğunu hafifletmez. Banka internet bankacılığını kullanan müşterisinin gerçek müşterisi olup olmadığını anlamak için ek güvenlik önlemi olarak kullandığı akıllı SMS gönderme sisteminin risklerini araştırması ve buna göre uyguladığı yöntemleri tekrar tekrar gözden geçirmesi, en küçük risklerde bile daha güvenli seçenekleri uygulamaya koyması objektif yükümlülüğünün bir gereğidir. Olay gününde dahi GSM hattına akıllı SMS gönderme işlemiyle birçok dolandırıcılık işlemi yapıldığı bilindiği halde çok daha iyi güvenlik önlemleri olduğu bilinmesine rağmen (elektronik/mobil İmza kullanımı, tek kullanımlık şifre üreten cihaz kullandırma ,müşteriye daha önceden verilmiş belli sayıda tek kullanımlık şifre verilmesi, biyometrik tanımlama v.b) daha güvenil bu yöntemleri kullanmak yerine akıllı SMS gönderiminin tercih edilmesi, sistemde dolandırıcılığa ve sahteciliğe açık bir kapı bırakılması sebebiyle, bilirkişi heyetimiz oluşan zararda davacı … Bankasının ağır ihmal ve tam kusuru olduğu görüş ve kanaatini bildirmişlerdir.
Mahkememizce … CBS’ye müzekkere yazılarak … Soruşturma numaralı dosyasının mahkememiz dosyası arasına alındığı görüldü.
Bilirkişi heyet raporunda İstinaf kaldırma kararında bahsedilen … 2. Asliye Hukuk Mahkemesinden alınan bilirkişi raporundaki davalı … şirketinin mütarafik (ortak) kusuru olduğu iddiasının tartışılmadığı anlaşılmakla bu hususunda raporda tartışılmak üzere yeniden aynı heyete dosyanın tevdi ile davalının varsa kusur oranın kesin olarak tespit edilmesi amacıyla mahkememiz dosyasının aynı bilirkişilere tevdi edildiği, bilirkişilerin mahkememize sunmuş oldukları 04/07/2019 tarihli bilirkişi raporunda; Huzurdaki dava konusunda ,her bir detayın çok ayrıntılı ve titiz incelenmesi sonucu Heyetimizce 25.09.2018 tarihinde, ayrıca başka değerli Bilirkişi Heyetlerince 03.05.2017 tarihinde ve 09.06.2011 tarihlerinde 3 farklı Bilirkişi Raporları hazırlanmış ve dosyada mevcuttur.
İstanbul Bölge Adliye Mahkemesi 12. Hukuk Dairesinin 2018/376 Karar Nolu kararında görüldüğü üzre bu davada çözülmesi gereken temei uyuşmazlık konusu Dava dışı müşteri …’ın hesabına girilerek bilgisi dışında para transferi yapılmasında (…’a ait sahte bir kimlikle yeni bir SİM kart çıkarılmasında) Davalı … A.Şnin kusurlu olup olmadığıdır.
Heyetlerce yapılan çalışmalarda; Bankacılık işlemleri ve banka/müşteri ilişkilerinde bankanın ve müşterinin sorumlulukları , elektronik bankacılık uygulamaları , elektronik bankacılık işlemlerinde sahtecilik ve maruz kalınan riskler, güvenli işlemlerin nasıi yapılabileceği, teknolojinin gelişimi ile güvenlik önlemlerinin değişimi/gelişimi, kolay elektronik bankacılık işlemleri için GSM Telefon şirketlerinin operasyonları ve bankaların işbirliği , kimlik tanıma yöntemi olarak SMS gönderme seçeneğini kullanmanın riskleri ve neden bu yöntemin seçilebildiği, GSM Şirketleri ile Bankalar arasında olması gereken anlaşmalar ve protokoller, SMS gönderme dışında kullanılan yada kullanılabilecek olan farklı kimlik tanıma yöntemleri, teknolojinin gelişimi ile elektronik bankacılıkta maruz kalınan risklerin değişimi gibi konular ayrıntılı ve anlaşılır şekilde anlatılmıştır.
Mahkemenin tartışmasını istediği 09/06/2011 tarihli bilirkişi raporunun inceleme ve araştırma/değerlendirme aşamalarında yaptdığı analizlere tam olarak katılmakta fakat değerlendirme kısmında davalı … GSM şirketinin sorumluluklarını ve hatalarını belirtirken olay tarihinde davacı … Bankası ile Davalı … GSM Şirketi arasında şifre gönderimi ile ilgili bir anlaşmanın bulunmadığı gerçeğini göz ardı ettiklerini SMS göndererek yapılan elektronik bankacılık işlemini seçen bankanın bu riskin gerçekleşmesi durumunda sonuçlarını kabul etmeleri gerçeğini göz önünde bulundurmadıklarını düşünmekteyiz. Davacı Banka olay tarihinde SMS le bankacılık işlemi yapma seçeneği dışındaki yöntemlerle de elektronik bankacılık yapabilirdi fakat SMS göndererek işlem yapılmasını tercih ederken Davalı GSM şirketi ile anlaşma yapmadığından tüm riski banka olarak kendisi yüklenmiştir ve bilirkişi heyetinin bu detayı yeterince vurgulayamadığını değerlendirmekteyiz.
03.05.2017 Tarihli diğer bilirkişi heyeti, oluşturdukları bilirkişi raporunun 15. Sayfası sonuç kısmında net ve kati olarak anlatılan sebeplerle Davacı … Bankasının %100 sorumlu olduğunu, davalı … GSM Şirketinin sorumlu olmadığını belirtmişlerdir.
25.09.2018 Tarihli tarafımızca titizlikle oluşturulan Bilirkişi Raporumuzun sonuç kısmında özetle davacı … Bankasının %100 sorumlu olduğunu, davalı … GSM Şirketinin sorumlu olmadığı kanaatinde olduğumuzu belirttik. Bu rapora Davacı tarafından yapılan itirazda, açıklama kısmında 9. Sayfada Davalı … GSM Şirketinin sorumlu olduğunu belirttiğimiz, ancak sonuç kısmında çelişerek sorumlu olmadığını belirttiğimiz iddia edilmekte fakat raporumuz ayrıntılı ve objektif okunduğunda Davacı ve Davalının sorumluluklarının neler olduğunun tek tek anlatıldığı ve telefon SİM kartı değişim işlemlerinde GSM Şirketlerinin nasıl bir yol izledikleri ve bankaların değişen SİM kart işlemlerinde hesaplara bloke koyup koymama tercihine kendilerinin karar verdiği anlatılmış, dolayısıyla Davalı … GSM Şirketinin sorumluluğu tek tek açıklanırken Davalı bankanın yaptıkları ve yapmadıkları da anlatılmış, GSM şirketinin SİM kart değişikliğinde Bankanın bu değişikliği algılayıp hesaplara bloke koyabildiği açık ve net bir şekilde anlatılmıştır.
Sonuç olarak; … 2. Asliye Hukuk Mah. alınan 09.06.2011 Tarihli Bilirkişi Raporundaki değerlendirme kısmında Davalı … GSM şirketinin %25 oranında sorumlu olduğu değerlendirmesine katılmadığımızı, Davacı … Bankasının %75 sorumlu olduğu değerlendirmesine katılmadığımızı,
Davacı … Bankası A.Ş, internet bankacılık işlemlerinde banka müşterilerinin bankaya bildirdikleri GSM hattı numaralarına ,kimlik doğrulama güvenlik işlemi olarak tercih ettikleri kısa mesaj (SMS) işlem onay şifresi gönderme uygulaması öncesinde, bu mesajın güvenli olarak banka müşterisi GSM operatörü abonelerine iletilmesi konusunda Davalı … İletişim A.Ş ile herhangi bir sözleşme yapmadığı dosya içeriğinden anlaşıldığından Bilirkişi Heyetimiz oluşan Banka zararı ile Davalı … iletişim A.Ş sorumluluğu arasında doğrudan bir bağ olmadığı, davalının kusuru olmadığı,
Bir güven kurumu olan Davacı …/Bankasının kendine emanet edilen müşteri parasını koruması objektif özen yükü yükümlülüğü gereğidir. Müşterinin elektronik bankacılığı tercih etmesi bankanın sorurcnuluğunn hafiflettirmez. Banka internet bankacılığını kullanan müşterisinin gerçek müşterisi olup olmadığını anlamak için ek güvenlik önlemi olarak kullandığı akıllı SMS gönderme sisteminin risklerini araştırması ve buna göre uyguladığı yöntemleri tekrar tekrar gözden geçirmesi ,en küçük risklerde bile daha güvenli seçenekleri uygulamaya koyması objektif yükümlülüğünün bir gereğidir. Olay gününde dahi GSM hattına akıllı SMS gönderme işlemiyle birçok dolandırıcılık işlemi yapıldığı bilindiği halde çok daha iyi güvenlik önlemleri olduğu bilinmesine rağmen (elektronik/mobil imza kullanımı,tek kullanımlık şifre üreten cihaz kullandırma .müşteriye daha önceden verilmiş belli sayıda tek kullanımlık şifre verilmesi, biyometrik tanımlama v.b) daha güvenli bu yöntemleri kullanmak yerine akıllı SMS gönderiminin tercih edilmesi, sistemde dolandırıcılığa ve sahteciliğe açık bir kapı bırakılması sebebiyle, Bilirkişi Heyetimiz oluşan zararda Davacı … Bankası’nın ağır ihmal ve %100 tam kusuru olduğu görüş ve kanaatini bildirmişlerdir.
Tüm dosya kapsamı birlikte değerlendirildiğinde; Dava; Dava dışı müşteri …’ın hesabına girilerek bilgisi dışında para transferi yapılması konusunda (…’a ait sahte kimlikle yeni bir sim kart çıkarılmasında) davalının kusurlu olduğu iddiasıyla açılan rücuen tazminat davasıdır.
Dosya kapsamında istinaf kaldırma ilamı sonrasında alınan yukarıda ayrıntılı dökümleri yapılan gerekçelerle gerek ilk heyet raporunda gerekse ek heyet raporunda davacının davalı … ile davacı banka arasında sözleşme olmaması ve gerekli güvenlik önlemleri alınmadığından bahisle davacı bankanın %100 kusurlu olduğu tespiti yapılmıştır. Ancak her iki rapora da mahkememizce itibar edilmemiştir.
Şöyle ki, kesin nitelikteki istinaf ilamında yapılan tespitler ışığında, … 2. Asliye Hukuk Mahkemesinin 29/12/2011 tarih ve 2010/80 E-2011/550 K sayılı dosyasında alınan 9/6/2011 tarihli bilirkişi raporunda olayda …’nın 1/4 oranında müterafık kusurlu olduğu ifade edilmiştir. Mahkeme kararında bu oranı gerekçesine geçirmiştir. Müşteri dava dışı …’ın kullandığı … no.lu Telefon hattı … adına değildir. … adınadır. Sim kart değişikliği 16/11/2009 tarihinde hesaptan yapılan transferler ise 19/11/2009 tarihinde yapılmıştır.
Sim kart değişikliğinin yapıldığı 16/11/2009 tarihinde dava dışı müşteri …’ın hattının çalışmaması üzerine … müşteri hizmetlerini aradığı soruşturma dosyasındaki 19/11/2009 tarihli ifade tutanağında belirtilmiş olduğuna göre, davalının hattının çalışmadığı yönündeki bildirimi sim kart değişikliğinin yapıldığı tarihte öğrendiği, bu tarihte sim kart değişikliği yapıldığı bildirilmediğine göre, davalı GSM firmasının sim kart değişikliği yapılmış olmasını şüpheli görerek gerekli müdahaleyi yapmadığı dosyada bulunan bilirkişi raporunda dahi ifade edilmiştir.
Davacı banka ile davalı GSM firması ve GSM firması ile dava dışı müşteri arasında şifre üretimi, sim kart üzerinden şifre gönderimi, banka müşterilerine internet bankacılığı açısından şifre gönderimi ile ilgili bir sözleşme bulunmadığı anlaşılmakla birlikte dava dışı müşterinin sim kart değişikliğinin; yapılan dolandırıcılıkta nihai belirleyici olması karşısında ve Yargıtay onamasından geçerek kesinleşen … 2. Asliye Hukuk Mahkemesinde … (…) firmasına verilen 1/4 kusur oranına kesin nitelikteki istinaf ilamı dikkate alınarak itibar edilmiş olup davacının ödemek zorunda kaldığı kaldığı ve ödeme dekontunu dosyaya sunduğu 33.626,30 TL’nin 1/4 oranına isabet eden 8.406,575 TL’den davalının sorumlu olacağı kanaatine varılarak davanın kısmen kabulü ile 8.406,575 TL nin ödeme tarihi olan 21/05/2013 tarihinden itibaren işleyecek yasal faiziyle birlikte davalıdan alınarak davacıya verilmesine, fazlaya ilişkin talebin reddine dair aşağıdaki şekilde hüküm kurulmuştur.
H Ü K Ü M : Yukarıda açıklanan nedenlerle;
1-Davanın KISMEN KABULÜ ile 8.406,575 TL’nin ödeme tarihi olan 21/05/2013 tarihinden itibaren işleyecek yasal faiziyle birlikte davalıdan alınarak davacıya verilmesine, fazlaya ilişkin talebin reddine,
2-Harçlar tarifesi uyarınca alınması gereken 574,25 TL karar ve ilam harcının davalıdan tahsil edilerek Hazineyi irat kaydına,
3-Davacı tarafından yapılan posta, tebligat, müzekkere, bilirkişi ücretinden oluşan toplam 4.772,50 TL yargılama giderinden davanın kabulü oranında yapılan hesaplama neticesinde 1.193,12 TL yargılama giderinin davalıdan tahsil edilerek davacı tarafına verilmesine,
Bakiye kısmın davacının üzerinde bırakılmasına,
4-Davacı taraf duruşmalarda vekil ile temsil edildiğinden kabul edilen dava değeri itibariyle AAÜT uyarınca 3.400,00 TL maktu vekalet ücretinin davalıdan tahsil edilerek davacı tarafına verilmesine,
5-Davalı tarafından belgelendirilen bir yargılama masrafı olmadığından bu hususta karar verilmesine yer olmadığına,
6-Davalı taraf duruşmalarda vekil ile temsil edildiğinden reddedilen dava değeri itibariyle AAÜT uyarınca 3.400,00 TL maktu vekalet ücretinin davacıdan tahsil edilerek davalı tarafına verilmesine,
7-Bakiye gider avansının karar kesinleştiğinde talep halinde yatıran tarafa iadesine,
Dair, davacı vekili ile davalı vekillerinin yüzlerine karşı tebliğden itibaren 2 haftalık sürede HMK. 341. maddesi uyarınca istinaf yolu açık olmak üzere karar verildi. 19/02/2020
Katip
¸e-imzalıdır
Hakim
¸e-imzalıdır
“Bu belge 5070 Sayılı Kanun hükümlerince elektronik imza ile imzalanmıştır.”