Görüntülediğiniz mahkeme kararı henüz kesinleşmemiştir. Yararlı olması amacıyla eklenmiştir.

T.C.
İSTANBUL
BÖLGE ADLİYE MAHKEMESİ
12. HUKUK DAİRESİ
DOSYA NO: 2021/279
KARAR NO: 2023/979
T Ü R K M İ L L E T İ A D I N A
İ S T İ N A F K A R A R I
İNCELENEN KARARIN
MAHKEMESİ: İSTANBUL 3. ASLİYE TİCARET MAHKEMESİ
TARİHİ: 21/10/2020
NUMARASI: 2018/160 Esas 2020/489 Karar
DAVA: Tazminat (Haksız Fiilden Kaynaklanan)
İSTİNAF KARAR TARİHİ: 15/06/2023
Davanın reddine ilişkin kararın davacı vekili tarafından istinaf edilmesi üzerine düzenlenen rapor ve dosya kapsamı incelenip gereği görüşülüp düşünüldü;
DAVA: Davacı vekili, müvekkilinin 12/07/2017 tarihi saat 10:30 sıralarında yaşanan ve davalı bankaya da derhal bildirilen mobil ve internet şube dolandırıcılığının mağduru olduğunu, müvekkili şirket yetkilisinin rutin bir şekilde internet bankacılığı üzerinden işlem yaparken mutat işleyişe aykırı olarak cep telefonuna aktivasyon mesajı geldiğini ve cihazın bilahare güncelleme yapılıyor ikazıyla sistem dışı kaldığını, müvekkili şirket yetkilisinin, bir sıkıntının olduğunu fark etmişse de anlam veremediğini, ancak şirket hesaplarını tetkik eden kızı …’in sabit numaradan ulaşması ile olayın farkına varabildiğini, derhal davalı banka ilgilileriyle bağlantı kurulduğunu ve işlemlerin önüne geçilmek istendiğini, müvekkili şirketin hesabından döviz satışları ile toplamı 28.600-TL’yi bulan EFT işlemleri gerçekleştirildiğini, davalı banka yetkilileri ile müvekkili arasında yapılan yazışmalarda müvekkiline yapılacak bir şey olmadığı, kayıtlarda rutin işlemlerin gözüktüğü ve adli makamlara müracaat etmesi gerektiğinin bildirildiğini, Bakırköy Cumhuriyet Başsavcılığı nezdinde şikayetçi olunduğunu, yapılan inceleme neticesinde düzenlenen raporda müvekkilinin hesaplarına bilgisi dışında mobil ve internet bankacılığı bilgileri ile tek kullanımlık SMS şifresinin virüs içerikli dosyalar vasıtası ile üçüncü kişiler eline geçtiği ve bu sayede müvekkilinin banka hesaplarından para transferi işlemi yapıldığının tespit edildiğini, davalı bankanın güvenlik açığı nedeniyle müvekkilinin zararından sorumlu olduğunu beyanla fazlaya dair hakları saklı kalmak kaydıyla 10.000-TL’nin ihtarnamenin davalı bankaca tebellüğ edildiği 23/08/2017 tarihinden itibaren reeskont faizi işletilerek tazminine karar verilmesini talep etmiştir.
ISLAH: Davacı vekili, 09.07.2020 tarihli ıslah dilekçesi ile talep miktarını arttırarak 28.600-TL’ye çıkardıklarını beyan ve talep etmiştir.
CEVAP: Davalı vekili, müvekkili banka sisteminin son derece güvenli olduğunu, işlem sebebiyle kusur ve sorumluluğun tümüyle davacıya ait olduğunu, davacının cep telefonuna gelen mesajdaki linki tıklayarak virüsü telefonuna bizzat kendisinin yüklediğini, müvekkili bankanın mobil uygulamasının virüs ve benzeri amaçlı yazılımlardan arındırılması için mevcut imkanlar dahilinde tedbir alınmış olmakla birlikte davacının, nihai güvenliğin sağlanması için virüs koruma sistemini tedarik etmek ve gerekli korumayı sağlamakla, zararlı yazılım içerebilecek linklere tıklamamakla yükümlü olduğunu, oluşan zararın davacının cep telefonunda bulunan zararlı yazılımın sebep olması ile meydana geldiğinin açık olduğunu, iddia edilen zararın mevduat saklama işleminden değil internet bankacılığı sözleşmesinden kaynaklanan zarar olduğunu, şifrelerin müvekkilinden elde edilmediğini, davacının egemenlik alanında iken varsa kötü niyetli kişilerin eline geçtiğini, davacının tüm uyarılara ve imzalanan bireysel bankacılık hizmet sözleşmesine rağmen korumayı sağlayamamasının sonuçlarına katlanmak zorunda olduğunu, müvekkili bankanın internet bankacılığı sisteminin genel kabul görmüş yazılımlarıyla korunduğunu, son derece de güvenli olduğunu, davacıya internet bankacılığı kullanım esasları güvenliğine dair gerekli uyarıların yapıldığını, kusurlu tarafın davacı olduğunu beyanla davanın reddine karar verilmesini talep etmiştir.
İLK DERECE MAHKEMESİ KARARI: Mahkemece, davacı şirketin davalı banka nezdinde bulunan hesabından 12/07/2017 tarihinde üçüncü kişilerce gerçekleştirilen işlem ile 28.600- TL’nin … adlı kişinin hesabına aktarıldığı, … isimli kişi hakkında Bakırköy 14. Asliye Ceza Mahkemesi’nin 2018/641 Esas sayılı dosyası ile bilişim sistemlerinin kullanılması suretiyle hırsızlık suçundan dava açıldığı, alınan kök ve ek rapor ile ceza soruşturması kapsamında alınan bilirkişi raporları ile, davaya konu havale işlemlerinin, davacının cep telefonu ve bilgisayarına mail ile gönderilen virüs dosyasının davacı yetkilisi tarafından açılması ve bu şekilde tüm bilgilere erişilerek banka hesaplarında işlem yapılması şeklinde gerçekleştiğinin sabit olduğu, davalı bankanın yapılan işlemler için onay kodlarını gönderdiği, ancak bu kodların davacının telefonuna değil virüs programı ile bilgilerini ele geçiren üçüncü kişiye iletildiği ve bu şekilde işlemlerin tamamlandığı, doğrudan bankanın sistemine müdahale edilerek yapılmış herhangi bir işlem olmadığı, her ne kadar bankalar, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı ve katılım fonlarını sahteciliklere karşı özenle korumak zorunda olan kuruluşlar olup sahip oldukları bu vasıfları sebebiyle bankacılık işlemlerinin güvenilen tarafı konumunda kabul edilmekte ve sorumluluklarının özel güven sebebiyle ağırlaştırılması gerekmekte ise de, iş bu davada davalı bankanın sistemine müdahale edilmemesi, davalı bankanın güvenlik açısından onay kodlarını davacıya göndermesi sebebiyle yapılan işlemlerde herhangi bir kusurunun olmadığı, davacının telefonunu virüs programlarından koruması gerektiği, bu noktada davalı bankaya sorumluluk yüklenemeyeceği ve tazminat talep edilemeyeceği anlaşıldığından davanın reddine karar verilmiştir.
İSTİNAF NEDENLERİ:Davacı vekili, davalı bankanın, sadece genel müdürlüğündeki cihazlar yönünden tedbir aldığını, mudilerinin uygulamayı kullandıkları cihazlarına yönelik üst düzey bir güvenlik ihtiyacı hissetmediğini, tavsiye niteliğindeki bildirimlerle yetindiği, şifreleme işlemi, bir güvenlik tedbiri olsa da; salt bu tedbirin müşteri hesap bilgilerinin çalınmasına mani olamayacağı, Banka, kısa mesajla gönderilen tek kullanımlık işlem onay şifresini dolandırıcıların kendilerine yönlendirmek sûretiyle işlemler yaptıklarını bilmekte/bilebilecek durumda olduğunu, bu nedenle müşterilere, “phishing” olarak adlandırılan dolandırıcılık yönteminde oldukça yetersiz kalan SMS ile yetinmek yerine, üst derece güvenlik sağlayan; elektronik imza, akıllı anahtar, smart banking gibi uygulamaların zorunlu olarak kullandırması gerektiğini, Bankanın kötü niyetli 3.kişilerce müvekkil firma hesabına girilmesini önleyecek güvenlik tedbirlerini almadığını; âdeta müvekkilin hesabına erişilmesine ve dolayısıyla dolandırıcılık eyleminin gerçekleşmesine zemin hazırladığını, 01.07.2020 tarihinde yürürlüğe giren “bankaların bilgi sistemleri ve elektronik bankacılık hizmetleri hakkında yönetmelik”te internet şubesine giriş ve doğrulama için sms yerine mobil bildirim kullanılmasının zaruri kılındığını, Aynı tarihde bir başka bankadaki mevduatı da ele geçirildiğinden , müvekkili davacı tarafından açılan davada İstanbul 5. ATM’nin 2018/159 Esas sayılı dosyası ile … Bankası A.Ş. aleyhine de tazminat davası açıldığını, davanın, müvekkil lehine sona erdiğini ve davalı bankanın müvekkile tazminat ödemesine karar verildiğini belirterek kararın kaldırılarak davanın kabulüne karar verilmesini talep etmiştir.
GEREKÇE: Dava, davacının davalı bankada bulunan mevduat hesabından internet bankacılığı kullanılarak usulsüz şekilde havale yapılması nedeniyle bankanın sorumluluğuna dayalı maddi tazminat istemine ilişkindir. Bankalar, kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür. Bu tanımlamaya göre mevduat, ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. TBK’nın 386. (818 sayılı BK 306) maddesi uyarınca, ödünç alan akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. TBK’nın 570. maddesi uyarınca usulsuz tevdide paranın nefi ve hasarı mutlak şekilde saklayana geçtiği için saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. İnternet ve mobil bankacılık sistemini kurup hizmete sunan banka, mudinin kastı, kötüniyeti ve suç sayılır eylemini kanıtlayamadığı sürece kendisine emanet edilen paradan güven kuruluşu vasfı nedeniyle sorumludur. Bu sorumluluk, olağan sebep sorumluluğu mahiyetinde olmakla, banka gerekli özeni göstermiş olsa bile zararın gerçekleşeceğini ispat etmesi halinde, sorumluluktan kurtulabilir. Davacının zararın meydana gelmesinde kusurunun bulunduğunu ispat yükü davalı bankadadır (Yargıtay 11. HD 10/01/2018 tarihli 2016/8635 esas – 2018/179 karar sayılı ilamı). İnternet bankacılığını müşterilerine özendiren bankaların, kendilerine emanet edilen mevduatı koruma özel yükümlülüğü gereğince; internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığını belirleme yönünde, gelişen dolandırıcılık yöntemlerine karşı, bunları önleyici gerekli altyapıyı sağlayarak güvenli önlemlerini almak zorundadır (Yargıtay 11. HD 09/09/2019 tarih ve 2018/3563 esas 2019/5115 karar sayılı ilamı). İnternet bankacılığı ile yapılan işlemlerde şubeden yapılan işlemlerde olduğu gibi mevduat, bankanın kontrol ve sorumluluğundadır.Bu durumda banka, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını 6098 sayılı TBK’nın 112. maddesi gereğince ispat etmek durumunda olup, ayrıca müşterisinin müterafik kusurunu da ispat etmekle yükümlüdür (Yasaman, Hamdi; Banka Hukuku, İstanbul 2013, C. II, s.105). Nitekim olay tarihinden sonra yürürlüğe giren somut olayda uygulanması sözkonusu olmasa da mevcut uygulamalardaki aksaklıklar gözetilerek düzenlenen, BDDK’nın 15.03.2020 tarihli RG’de yayımlanan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin” 4 maddesinde,” banka yönetim kurulunun, bilgi sistemlerinin yönetimini kurumsal yönetim uygulamalarının bir parçası olarak ele almakla, bilgi sistemlerinin doğru yönetimi için gerekli finansman ve insan kaynağını tahsis etmekle, bilgi varlıklarının gizliliği, bütünlüğü ve erişilebilirliğini sağlamak amacıyla bilgi sistemleri üzerinde etkin kontrollerin tesis edilmesini sağlamakla ve gelişen yeni teknolojileri de göz önünde bulundurarak bilgi sistemlerinin kullanımından kaynaklanan risklerin yönetilmesi için etkin bir gözetim yürütmekle sorumlu olduğu; 5. maddesinde, bankanın, bilgi sistemlerinin kullanımından kaynaklanan riskleri yönetmek ve bilgi varlıklarını korumak amacıyla uygulanması gereken usul ve esaslar ile tesis edilmesi gereken kontrolleri tarif eden bilgi sistemleri politika, prosedür ve süreç dokümanlarını oluşturacağı; 7. maddesinde, bankanın, bankacılık faaliyetlerinde bilgi teknolojilerini kullanıyor olmasından kaynaklanan riskleri analiz etmek, azaltmak, takip etmek ve raporlamak üzere bir bilgi sistemleri risk yönetim süreci tesis edeceği; 11. maddesinde, bankanın, bilgi varlıklarına olan erişimlerin, görevler ayrılığı prensibine göre belirlenmiş ve kullanıcıların sorumluluğu gereği kendileri için tanımlanan erişim kontrolleri uyarınca, ilişkili bilgi varlığının güvenlik sınıfına uygun bir kimlik doğrulama yöntemiyle gerçekleştirilmesini sağlamakla yükümlü olduğu; 14. maddesinde, gerek kendi kurumsal ağı gerek dış ağlardan gelebilecek tehditler için gerekli ağ güvenlik kontrol sistemlerini tesis edeceği, güvenlik önlemlerinin tesis edilmesinde, bir güvenlik katmanının aşılması halinde diğer güvenlik katmanının devreye girdiği katmanlı güvenlik mimarisinin esas alınacağı; 15. maddesinde, masaüstü, dizüstü, mobil cihazlar ve sunucuları üzerindeki işletim sistemi, veritabanları ve uygulamalar ile güvenlik duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları için sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini oluşturacağı; 16. maddesinde, bankacılık faaliyetlerini kesintiye uğratacak veya önemli ölçüde olumsuz etkileyecek durumların ortaya çıkma olasılığını azaltmak için sistem, yazılım ve cihazlardaki güvenlik açıklarını hızlı ve etkin bir şekilde ele alacak bir güvenlik açıkları ve yama yönetim süreci tesis edileceği; 18. maddesinde, siber olaylardan sonra bankacılık faaliyetlerini en az etkileyecek şekilde ve mümkün olan en kısa sürede bilgi sistemleri hizmetlerini normal işleyişine döndürmek üzere, gerçekleşen siber olayların ele alınmasına ve takibine yönelik siber olay yönetimi ve siber olaylara müdahale süreci oluşturacağı;” hususları hüküm altına alınmıştır. Tüm bu açıklamalar ışığında somut olaya bakıldığında, gerek ceza dosyası ve soruşturma dosyasında yapılan teknik inceleme ve gerekse İlk Derece Mahkemesi’nce yaptırılan bilirkişi incelemeleri ile sabit olduğu üzere davacının kullandığı, banka hesabında tanımlı … IMEI numaralı cep telefonunun internet tarayıcısı üzerinden 12/07/2017 tarihinde saat:10:16’da …linklerine tıklanarak virüs dosyasının cep telefonuna yüklendiği, söz konusu virüs içerikli dosyaların cep telefonundaki bütün uygulama dosyalarına erişimi sağlayarak kullanıcıya ait tüm bilgi ve şifreleri topladığı, davacıya ait davalı banka nezdinde bulunan hesabından 12/07/2017 tarihinde yapılan para transferlerinin davacının kullandığı … IMEI numaralı cep telefonunun kullanılarak yapılmadığının tesbit edildiği, cep telefonuna yüklenen virüs içerikli dosyalar vasıtasıyla davacının kullandığı cep telefonuna gönderilen tek kullanımlık SMS şifresinin 3. kişilerin eline geçtiği ve bu sayede davacının bilgisi dışında para transferi işlemlerinin gerçekleştirildiği tespit edilmiştir. Davalı banka kendi üzerinde bulunan ispat yükü uyarınca davacıya gönderdiği tek kullanımlık şifre ve parolanın davacının kusuru ile ele geçirildiğini, davacının el ve işbirliğini yada davacının gerekli uyarılara uyması halinde davaya konu sahtecilik işleminin gerçekleşmeyeceğini kanıtlayamamıştır. Yaptığı işin niteliğine göre diğer tacirlerden daha dikkatli ve basiretli davranması gereken davalı bankanın, hesap ve şifre bilgilerinin kötüniyetli üçüncü kişilerce ele geçirilmesini önleyecek güvenlik mekanizmasını oluşturması gerekmektedir. Bu bağlamda davalı bankanın ileri derecede güvenlik sağlayan, elektronik imza, akıllı anahtar gibi kötü niyetli üçüncü kişilerce davacı hesabına girilmesini önleyen zorunlu tedbirleri almadığı gibi, söz konusu işlemlerin şüpheli olarak tespitini sağlayacak bir mekanizma oluşturmadığı anlaşılmakla, davacının hesabındaki paranın üçüncü kişilerin hesabına aktarılmasından kaynaklanan sorumluluğun davalı bankaya ait olduğunun kabulü gerekmektedir.Mahkemece davanın kabulü gerekirken reddine karar verilmesi yerinde bulunmamıştır.Açıklanan nedenlerle; davanın kabulüne karar verilmesi gerekirken reddine karar verilmesi hatalı ise de, yapılan hata/eksiklik yeniden yargılama yapılmasını gerektirmediğinden, davacı vekilinin istinaf başvurusunun kabulü ile kararın kaldırılmasına yeniden karar verilerek “Davanın kabulüne; 28.600-TL’nin davacının talebiyle bağlı kalınarak 28/03/2017 tarihinden itibaren değişen oranlarda reeskont faizi işletilerek davalıdan tahsiliyle davacıya ödenmesine” karar verilmiştir.
HÜKÜM:Yukarıda açıklanan nedenlerle: Davacı vekilinin istinaf başvurusunun kabulüne, İstanbul 3. Asliye Ticaret Mahkemesi’nin 2018/160 Esas – 2020/489 Karar sayılı 21/10/2020 tarihli kararının, HMK.’nun 353(1)b-2 gereği KALDIRILMASINA; “Davanın kabulüne; 28.600-TL’nin 28/03/2017 tarihinden itibaren değişen oranlarda reeskont faizi işletilerek davalıdan tahsiliyle davacıya ödenmesine” İlk Derece yargılamasına ilişkin olarak; “Alınması gereken 1.953,66-TL harçtan peşin alınan 170,78-TL ve 317,65-TL ıslah harcı olmak üzere toplam 488,43‬-TL harcın mahsubu ile 1.465,23‬-TL’nin davalıdan tahsili ile Hazineye ödenmesine, Davacı tarafından yatırılan 524,33‬‬-TL peşin harçların davalıdan alınarak davacıya ödenmesine, Davacı tarafından sarf edilen 2.100-TL bilirkişi ücreti ve 205,50-TL posta masrafı olmak üzere 2.305,5‬0-TL’nin davalıdan alınarak davacıya ödenmesine, Davacı lehine takdir olunan 9.200-TL vekalet ücretinin davalıdan tahsili ile davacıya verilmesine, Talep halinde kullanılmayan gider avansının yatıran tarafa iadesine” Davacı tarafından yatırılan 54,40-TL peşin istinaf karar harcının istek halinde kendisine iadesine, Davacı tarafından yapılan 44-TL istinaf yargı giderinin davalıdan alınarak davacıya ödenmesine, Dosya üzerinde yapılan inceleme sonunda HMK’nın 362(1)-a maddesi uyarınca kesin olmak üzere oy birliği ile karar verildi. 15/06/2023