DERS 8 – İNTERNET BANKACILIĞI’NIN HUKUKİ BOYUTU
İNTERNET BANKACILIĞI’NIN HUKUKİ BOYUTU
AVUKAT ÖZGÜR ERALP
www.ozgureralp.av.tr
avukat@ozgureralp.av.tr
İNTERNET BANKACILIĞI’NIN HUKUKİ BOYUTU
İnternet bankacılığı dolandırıcılıkları çoğunlukla iki adımda gerçekleştirilmektedir.Birinci adımda, hacker diye tabir edilen kişiler müşterinin hesap bilgileri olan şifre ve parola gibi bilgilerini ele geçirmektedir. İkinci adımda, hacker bu müşterinin bilgileri kullanarak mağdur kimsenin hesabındaki parayı çekmek için bir başka hesaba göndererek dolandırıcılık eyleminde bulunur. İlk işlem için hacker müşterinin kişisel bilgilerini ele geçirmek için çoğunlukla aynı olmak üzere çok çeşitli yöntemler kullanır. Casus programlar ile şifreleri ele geçiren korsanlar, bu şifreler ile rahatlıkla sanki hesap sahibiymiş gibi işlem yaparlar. İkinci aşamada ise genellikle sahte kimliklerle açılan hesaplara aktarılan paralar ya banka şubeleri veya ATM’ler aracılığıyla nakit olarak çekilmekte, kredi kartlarına yüklemeler yapılıp harcamalar yapılmakla veya son dönemlerde olduğu gibi cep telefonlarına kontör yüklenebilmektedir. Görüldüğü üzere bu tip dolandırıcılık olaylarında müşterinin şifresinin ele geçirilmiş olması eylemin tamamlanması ve zararın doğması için yeterli bir etken değildir. Nitekim son dönemlerde bu tip dolandırıcılık eylemleri neticesinde çalınan paralar harcanmadan bloke konulmak suretiyle müşteri hesabına geri döndürülebilmektedir. Bu durumu bir eve girip hırsızlık yapan ve ancak çaldığı malları ev dışarısına çıkaramayarak evin içerisinde bırakan kişinin durumuna benzetebiliriz.
İnternet bankacılığı dolandırıcılığı genellikle bir çete işidir. Şebeke kurucusu, şifreleri ele geçiren hacker, sahte belge sorumlusu, ayakçıları bulan aracı ve transfer edilen paraları bankadan çeken ayakçıdan oluşur. Ayakçılar, aracılar tarafından sadece bir iki eylemde kullanılır. Banka şubesinde hesap açarak, açılan hesaba gelen parayı çekip aracıya veren ayakçılar yapmış oldukları bu iş karşılığında ele geçirmiş oldukları tutarın oldukça önemsiz bir kısmını alırlar.
Şubelere internet dolandırıcılığı vasıtasıyla gönderilen tutarları almaya gelen ayakçı olarak tabir edilen şahıslar genellikle şebekede aracı adı verilen kişiler tarafından bulunan ve eğitim düzeyi düşük, işsiz ve daha önceden sabıkası olmayan şahıslardır.
Yukarıda açıklandığı üzere; İnternet Bankacılığı sistemlerindeki müşteri Şifre ve parolalarını ele geçirip para transfer işlemini yapan hacker ile parayı bankalardan çeken kişilerin aynı kişiler olmayacağı göz önünde bulundurulmalıdır.
SOMUT ÖRNEK: Bilgisayar korsanları müşterinin bilgisayarına müşteri farkına varmadan ufak bir programcık yerleştirirler. Bu programcık genelde internet vasıtasıyla müşterinin bilgisayarına kurulur. Bu program müşteriye gönderilen bir elektronik postanın uzantısı şeklinde olabilir veya müşterinin girdiği internet sitesinde bir sonraki sayfaya ulaşmak için onay istenir gibi yapılır ve müşteri farkına varmadan veya başka bir program çalıştığını zannederken bu program müşterinin bilgisayarına yüklenir ve çalıştırılır. Bu işlem 10 saniye gibi kısa bir süre içerisinde gerçekleştiğinden müşteri çoğunlukla bu işlemin farkına dahi varamaz. Bundan da öte bu programlar çoğu kez virüs programlarının denetiminden dahi kolaylıkla geçebilirler. Genelde .exe uzantılı olan bu dosyalar artık gelişen teknolojiyle .jpeg formatı arkasına gizlenmiş basit bir resim dosyasını arkasında bile çalıştırılabilmektedirler.Yani müşteri bir resim açtığını düşündüğü sırada aslında bu programcığı bilgisayarına kurmaktadır. Şüphesiz bu işlem müşterinin gerçek iradesinin sakatlanmasıyla gerçekleştirilmektedir.
Bu programlar müşterinin bilgisayar ekranının aynı televizyondan izlenir gibi izlenmesine yol açar. Programların çoğu yasaldır ve genellikle çocuklarının bilgisayarda yapmış oldukları işlemleri izlemek isteyen ebeveynlere veya işyerindeki çalışanların işlemlerini izlemek isteyen işverenlere yönelik olarak üretilmişlerdir. Bu programlar bir nevi kamera işlevini de görmektedirler. Bu programların kurulmasıyla ve çalıştırılmasıyla bilgisayar korsanı artık müşterinin ekranını izlemeye başlamıştır.
Müşteri bir bankacılık işlemi yapmak için bankanın internet sitesine girdiğinde bilgisayar korsanı rahatlıkla bu ekranı da görebilmektedir. Hatta şifrenin girilmesi sırasında yüklenen diğer programcıklar vasıtasıyla yıldızlı veya karartılmış olarak ekranda gözüken şifreleri dahi görebilirler.
Bu suretle müşterinin kişisel şifrelerini ve gizli bilgilerini ele geçiren bilgisayar korsanı artık aynen banka müşterisi gibi bütün işlemleri kolayca yapabilir.
Uygulamada bilgisayar korsanları ele geçirmiş oldukları şifrelerle hemen başka hesaplarahesaptaki paraları parça parça havale yapmaya başlarlar. Hatta bunlar için aynı yöntemlerle ele geçirdikleri diğer banka müşterilerinin hesaplarını da kullanırlar.
Bilgisayar korsanları çok seri ve akıllıca hareket ederler ve izlerini kaybettirirler veya hedef yanıltırlar. Genelde internet cafelerden işlem yaparlar veya ip numaralarını değiştirirler.
Bilgisayar korsanları istedikleri hesaplara havale işlemlerini gerçekleştirdikten sonra bu hesaplardan paraları yine hileli yöntemlerle çekerler. Örneğin sahte kimliklerle açılmış hesaplardan bizzat paraları kendileri çekerler veya sahte kimliklerle aldıkları kredi kartlarına yüklemeler yaparak harcamalar yaparlar. Veya paravan kişiler kullanarak ve bunları kandırarak bu kişilerin adına havale çıkarırlar ve bu kişilerden paralarını alırlar. Somut bir örnek şeklinde vermek gerekirse; Dolandırıcılar kendi hesaplarına havaleleri gerçekleştirdikten sonra bankamatiklerin önüne giderler ve kendilerine havale geleceğini yakınlarının hasta olduklarını ancak bir günde bankamatikten 800YTL’den fazla para çekemediklerini bu nedenle kuyrukta bekleyen kişinin hesabına ağabeyinin havale yapmasının mümkün olup olmadığını sorarlar. Bu durumdan şüphelenmeyen müşteri de kendi hesap numarasını verir ve o hesaba havale yapılır. Kuyrukta bekleyen müşteri bankamatikten parayı çeker ve aslında bilgisayar korsanı olan kişiye parayı teslim eder. Artık banka kayıtları üzerinde banka müşterisi başka bir banka müşterisine para havale etmiş, havale edilen müşteri de parayı çekmiş olarak gibi gözükmektedir. Ama gerçekte parayı alan bilgisayar korsanının kendisidir.
Yukarıdaki olaylar sadece örnekleme yapmak amacıyla verilmiştir. Görüldüğü üzere bu tür olaylar çok ciddi ve seri olarak çalışan, sistemin açıklarını çok iyi bilen kişilerce gerçekleştirilen profesyonel dolandırıcılık olaylarıdır.
Maalesef tüm bu olanlardan haberi olmayan tek kişi banka müşterisidir. Banka ise bu işlemleri onaylamakta zira işlemi yapanın kendi müşterisi olduğunu zannetmektedir.
Yukarıda açıklamalardan anlaşılacağı üzere esasen gerek Bankanın kullandığı gerekse müşterilerinin kullandığı bilgisayar programlarında açıklar bulunmaktadır. Bu açıklardan saldırılar olacağı da kaçınılmazdır.
Açıklardan faydalanılarak saldırılardan müşterilerinin zarar görmemesi maksadıyla Bankalarzaman içinde ek güvenlik önlemlerini uygulamaya sokmuşlardır. Örneğin; müşterinin telefona Bankaca tek kullanımlık her bir işlem için şifre bildirilip bu şifreyi müşteri kendi bilgisayarına girmek suretiyle işlemini sonuçlandırması yeni bir güvenlik önlemidir. Müşterinin kendisinin bilmediği ancak banka bilgisayarınca tanınan bir şifre üreten cihazın bankaca müşteriye verilip her bir işlem bazında bu cihaza basılarak üretilen (tek kullanımlık)şifrelerin bilgisayara girilerek işlemin sonuçlandırılması şeklinde olup, bu önlem sayesinde “hacker” gibi kişiler müşterinin bilgisayarındaki tek kullanımlık bu şifreleri ele geçirse bile müşteri hesaplarından işlem yapma imkanı bulunmayacakları türden önlemler de olabilecektir.
Şifreler, müşteri bankanın internet şubesine bağlandığında işlem yapılabilmesi için girmek zorunda olduğu müşteri numarası, şifre vs. gibi bilgiler girildiğinde çalınmaktadır.
Davalı Bankanın sunduğu ürünün, kullanımından müşterilerinin zarar görmemesi yönünde her türlü önlemi alması gerekmektedir. Bu itibarla, sözleşmeye konulan bir hükümle müşterinin bilgisayarının korunmasını müşteriye bırakılması doğru bir hareket olmayıp, ürünü sunan Bankanın basiretli bir tacir gibi davranma yükümlülüğü kapsamında müşterinin bilgisayarı içinde 3. kişilerin saldırılarına karşı gerekli güvenlik önlemlerini alması gerekmektedir. Internet ürünü sunulmasında Bankanın alacağı güvenlik tedbirleriyle müşterinin bilgisayarındaki bilgiler öğrenilebilse bile müşterinin zararına işlem yapılması mümkün olmamalıdır. Dava dosyasındaki bilgilerden davacının bilgilerine hangi bilgisayardan ulaşıldığı konusunda somut, bir bilgi ve belge de bulunmamaktadır.
Bankanın, diğer alanlarda olduğu gibi, İnternet ortamında yapılacak İşlemlerde de sistemgüvenliğini sağlamakla yükümlülüğü mevcuttur. Bu çerçevede, Banka, mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamak zorunludur. Bu kapsamda, davalı Banka interaktif bankacılık İşlemleri sırasında kendi bilgisayarını 128 bit (SSL) ile korurken, sisteme bağlanan müşterinin bilgisayarında da aynı koruma tedbirini yararlandırması gerekmektedir. Başka bir anlatımla şifre bilgilerinin üçüncü kişilerce elegeçirilmesini, önleyecek bir güvenlik mekanizması, oluşturması, kendi web sayfasından başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra, mevduat sahiplerini de bilgilendirmesi gereklidir.
Diğer taraftan, Banka mevduat hesabı açan şahsa, bu hesapla ilgili ATM ve POS cihazlarındanişlem yapmaya yönelik banka kartı verirken de TTK.’nun 20/2 gereği kendisinden beklenen tüm özeni göstermesi gerekmektedir. Bu özen en azından müşterinin verdiği bilgilerin doğru olup olmadığıyla sınırlı bir istihbarat şeklinde olacaktır.
İmtiyaz suretiyle (BK. Madde 99) faaliyet icra eden ve bir güven (MK, m. 2) kuruluşu olan Bankalar muhafazasına terkedilmiş paraları TTK’nun 20/2. maddesi uyarınca bir tacir sıfatıyla kendisinden beklenen özen yükümlülüğünde korumak ve kollamak zorundadır. Bu itibarla sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Sözleşmelere konulacak hükümlerle bu sorumluluktan kurtulmalarının mümkün olup olmayacağı hususu ise Sayın Mahkemenin takdir yetkisi içerisindedir.
Esasen üçüncü kişinin hesaptan para çekmesi ile hesap sahibinin değil bankanın malvarlığın azalmış olacağı, haksız fiil sonucu banka müşterisinin değil bankanın malvarlığında azalma olduğu kabul edilmelidir. Zira mevduat hesabı vadesiz bir mevduat hesabı ise BK md.472’deki usulsüz tevdie ilişkin hükümlerin; vadeli mevduat ise BK md. 306’daki karz akdi hükümlerinin; bankanın hesabına ilişkin farklı hizmetler sunması halinde BK md.386’daki vekalet sözleşmesi hükümlerinin uygulanması gerekecektir. Usulsüz tevdi ve karz sözleşmelerinde aynen iade yerine milsen iade borcu söz konusu olduğundan para veya şeyin mülkiyeti karz alana veya müstevdiye geçer. Mülkiyetin bunlara geçmesi dolaysıyla haksız fiil bunların malvarlığına yönelik olarak işlenmiş kabul edilir. Bunun sonucu olarak da, bankanın kendi malvarlığında meydana gelen zararı müşterinin hesabına borç kaydetme hakkı yoktur. Dolayısıyla müşterinin talebi halinde banka parayı müşterisine ödemekle yükümlüdür. Vekalet sözleşmesinin ağırlık kazandığı hallerde de aynı sonuca ulaşılır. Zira sahte talimatlarda müşterinin iradesi bulunmadığı için vekaletin icrası dolayısıyla ortaya çıkmış zararın bulundu düşünülemez. Var olmayan bir talimat sonucu banka yetkisi kişiye ödemede bulunuyorsa kendi malvarlığından ödemede bulunduğunun ve meblağı müşterine borçlu kaldığının kabulü gerekir.
Davacı müşterinin banka ile arasındaki sözleşme, davacı müşteriye üçüncü kişilerin hesap ile ilgili bilgileri şifre vs edinmemeleri konusunda özen borcu yüklemektedir. Özen borcu nedeniyle kusur oranları saptanıp ona göre zararın BK md 44 uyarınca paylaştırılması düşünülebilir ise de davacı müşterinin sözleşmeden doğan koruma yükümlülüğüne aykırı davrandığı ispat külfeti bankadadır. Banka bu hususu ispat edemediği gibi dosyada bu yönde bir bilgi veya belge de bulunmamaktadır.
Dava konusu açısından diğer önemli bir husus 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleridir. Bilindiği üzere 5070 sayılı ELEKTRONİK İMZA KANUNU 15.01.2004 tarihinde kabul edilmiş olup 23.01.2004 tarihli 25355 sayılı Resmi Gazetede yayınlanmıştır. Aynı Kanunun 25.maddesi gereğince yayım tarihinden itibaren altı ay sonra yürürlüğe girmiştir. 5070 Sayılı Elektronik İmza Kanunun 20.maddesi gereğince- Bu Kanunun 6, 7, 8,10, 11 ve 14 üncü maddelerinin uygulanmasına ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren altı ay içinde ilgili kurum ve kuruluşların görüşleri alınarak Telekomünikasyon Kurumu tarafından çıkarılan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanmıştır. Görüldüğü üzere Elektronik İmza Kanunu yaklaşık 5 senedir ülkemizde uygulama alanı bulmakta olup bankaların bu Kanuna uygun nitelikte bankacılık hizmeti verip vermemeleri hukuksal gerçeği değiştirmemektedir. Gerek HUMK gerekse Borçlar Kanununda da değişiklikler yapan bu kanunun elektronik (internet vs.) ortamda yapılan hukuki işlemler için bağlayıcı olduğu açıktır. Davalı banka bu anlamda 5070 Sayılı kanuna uygun hukuki ve teknik standartlarda olmayan bir şifreleme yöntemiyle internet bankacılığı yapmış olmaktadır ve bu nedenle de müşterisinin elektronik ortamda (internette) yaptığını iddia ettiği havale/eft işlemlerini ispatlayamamaktadır.
Bankanın, diğer alanlarda olduğu gibi internet ortamında yapılacak işlemlerde de sistem güvenliğini sağlama yükümlülüğü mevcuttur. Bu çerçevede banka, mevduat sahibinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik alt yapısını hazırlaması zorunludur. Bu kapsamda, bankanın interaktif bankacılık işlemleri sırasında şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması, kendi web sahifesinden başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almasının yanı sıra, mevduat sahiplerini de bilgilendirmeleri gereklidir. Sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Buna göre müşterilerin bilgisi dışında şifrelerin banka kayıtlarından elde edilmesi, para aktarma işlemlerine müdahale edilerek başka yerlere para aktarılması, web sahifesinin taklidi suretiyle müşterilerin kandırılması gibi yollardan gerçekleştirilen usulsüz işlemler bankanın sorumluluk alanına girmektedir.(Hukuki Yönüyle Banka Mevduatı, 2004, Yard. Doç. Dr. Mustafa Çeker, 244, 245, 246, 247, 248).
3 Konuya ilişkin Yargıtay Uygulamaları
Konu itibariyle yeni olan İnternet Bankacılığı Dolandırıcılıkları ile ilgili olarak bankalara karşı açılan davalarda Yargıtay uygulamaları yeni yeni oluşmaya başlamıştır. Önceleri Yargıtay 19.Hukuk Dairesi tarafından banka lehine kararlar verilmekte iken son zamanlarda Yargıtay 19.Hukuk Dairesi tarafından bu konuya ilişkin davalarda görevsizlik kararı verilmekte ve dosya Yargıtay 11.Hukuk Dairesi’ne gönderilmektedir. Kadıköy Asliye 4.Ticaret Mahkemesi’nin müşteriyi haklı bulan 2005/4748E. Sayılı kararı Yargıtay 11.Hukuk Dairesi’nin 2005/4748E. 2006/7341 sayılı 22.06.2006 tarihli kararıyla onanmıştır. (Bu onama kararı Yargıtay Kararları Dergisinde yayınlanmıştır.)
Aynı yöndeki Ankara 1.Ticaret Mahkemesi’nin 2006/66E. 2006/233K. Sayılı benzer kararı Yargıtay 11.Hukuk Dairesinin 2006/9694E. 2008/1205K sayılı kararıyla onanmıştır. Keza aynı şekilde Ankara 1.Ticaret Mahkemesi’nin 2006/122E. Sayılı dosyası Yargıtay 11.Hukuk Dairesi’nin 2007/4581E. 2008/6442K. 15.05.2008 tarihli kararıyla onanmıştır.
Nitekim emsal nitelikteki bir davada müşteriyi haksız bularak bankayı haklı bulan İzmir 5.Asliye Ticaret Mahkemesi’nin 2006/169E. 2006/490K. Sayılı kararı öncelikle Yargıtay 19.Hukuk Dairesince incelenmiş ve bu daire tarafından 01.02.2007 tarihinde görevsizlik kararı verilmiş ve dosyayı inceleyen Yargıtay 11.Hukuk Dairesi tarafından 01.07.2008 tarihinde de söz konusu karar bozulmuştur.
Yargıtayın güncel tarihli kararları da bu yöndedir. Örneğin Kadıköy 4.Sulh Hukuk Mahkemesi’nin 2007/62E. 2008/1561K sayılı kararını onayan Yargıtay 11.Hukuk Dairesi’nin 2009/1506E. 2010/7532K. 28.06.2010 tarihli kararı ve İstanbul 11.Asliye Ticaret Mahkemesinin 2006/474E. 2008/81K sayılı kararını bozan Yargıtay 11.Hukuk Dairesinin 2008/9239E. 2010/504K. Sayılı 19.01.2010 tarihli kararı da bu yöndedir.
T.C. YARGITAY Hukuk Genel Kurulu Esas: 2012/11-550 Karar: 2012/820 Karar Tarihi: 21.11.2012
Taraflar arasındaki <tazminat> davasından dolayı yapılan yargılama sonunda; İzmir 2. Asliye Ticaret Mahkeme’since davanın kısmen kabulüne dair verilen 06.11.2008 gün ve 2005/590 E., 2008/646 K. sayılı kararın incelenmesi taraf vekillerince istenilmesi üzerine, Yargıtay 11. Hukuk Dairesi’nin 03.05.2011 gün ve 2009/6421 E., 2011/5339 sayılı ilamı ile; (…Davacı vekili, davalı nezdinde bulunan hesabından internet yoluyla rızası hilafına işlemler yapılarak para çekildiğini, maddi ve manevi zararının doğduğunu ileri sürerek, 17.085 TL maddi ve 20.000.00 TL manevi tazminatın tahsiline karar verilmesini talep ve dava etmiştir.Davalı vekili, davacının şifresini gizleyemediğini, müvekkilinin kusurunun olmadığını savunarak, davanın reddini istemiştir.Mahkemece, iddia, savunma, toplanan kanıtlar ve benimsenen bilirkişi raporuna göre, davacı hesabından internet yoluyla havale yapıldığı, parayı tahsil eden hakkında kamu davası açıldığı, davacının bu davaya müdahale ettiği, davacının şifresini gerekli şekilde muhafaza etmeyerek üçüncü kişi eline geçmesine neden olduğu, %50 kusurlu bulunduğu, davalının gerekli güvenliği almadığı, davalının da aynı oranda kusurlu olduğu, davacının maruz kaldığı üzüntü nedeniyle manevi tazminat istemiş ise de kusurun bulunduğu ve bu risklerin her zaman olacağı, manevi tazminat şartlarının bulunmadığı gerekçesiyle davanın kısmen kabulüne, 8.075,00 TL’nin davalıdan tahsiline karar verilmiştir.
Kararı, taraf vekilleri temyiz etmiştir.
1- Dava dosyası içerisindeki bilgi ve belgelere, mahkeme kararının gerekçesinde dayanılan delillerin tartışılıp, değerlendirilmesinde usul ve yasaya aykırı bir yön bulunmamasına göre, davalı vekilinin tüm, davacı vekilinin aşağıdaki bendin kapsamı dışında kalan ve yerinde görülmeyen diğer temyiz itirazlarının reddi gerekmiştir.
2- Dava, davalı banka nezdinde açılmış olan davacıya ait hesaptaki paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlem sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkindir. Mahkemece, yazılı gerekçe ile maddi tazminat isteminin kısmen kabulüne karar verilmiştir.
Bankalar, kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür (4491 sayılı Yasa ile değişik 4389 sayılı Bankalar Kanunu’nun 10/4 ve 5411 sayılı Bankacılık Kanunu’nun 61. maddesi). Bu tanımlamaya göre mevduat, ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Borçlar Kanunu’nun 306 ve 307. maddeleri uyarınca ödünç alan akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı Yasa’nın 472/1 nci maddesi uyarınca usulsüz tevdide paranın nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.
Yasal dayanakları ortaya konularak yapılan bu açıklamalardan sonra somut olaya gelindiğinde davaya konu internet yolu ile yapılan işlemlerle davacı hesabından uyuşmazlık konusu paranın dava dışı kimliği belirli kişi adına havale edildiği çekişmesizdir. Yapılan soruşturma ve dosya kapsamından işlemlerde davacının bu kişi veya üçüncü kişilerle iş birliği ve başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı müşterileri için zorunlu hale getirmediği anlaşılmaktadır.
O halde, davalı bankanın çekilen paradan sorumlu olduğunun kabulü gerekir. Bu durum karşısında, davacının yarı oranda kusurlu olduğu kabul edilerek hüküm kurulması doğru görülmemiş, kararın bozulması gerekmiştir.)
gerekçesiyle bozularak dosya yerine geri çevrilmekle yeniden yapılan yargılama sonunda, mahkemece önceki kararda direnilmiştir.
TEMYİZ EDEN: Taraf vekilleri
HUKUK GENEL KURULU KARARI
Hukuk Genel Kurulu’nca incelenerek direnme kararının süresinde temyiz edildiği anlaşıldıktan ve dosyadaki kağıtlar okunduktan sonra gereği görüşüldü:
Dava, maddi ve manevi tazminat istemine ilişkindir.
Davacı vekili, müvekkilinin davalı bankadaki hesabından üçüncü kişilerce internet bankacılığı aracılığıyla parasının çekilmesinden davalı bankanın sorumlu olduğunu ileri sürerek maddi ve manevi tazminat isteminde bulunmuştur.
Davalı vekili, internet bankacılığı yolu ile paranın üçüncü kişiler tarafından havale edilmesinde müvekkili bankaya yüklenebilecek bir ihmal ya da kusurun bulunmadığını savunmuştur.
Mahkemece, her iki taraf kusurunun açıkça ortaya konulamaması nedeniyle internet bankacılığı riskini tarafların % 50 oranında üstlenmesinin gerektiği gerekçesiyle davanın kısmen kabulüne karar verilmiştir.
Taraf vekillerinin temyizi üzerine karar, Özel Dairece yukarıda başlık bölümünde gösterilen nedenlerle bozulmuştur.
Yerel Mahkemece, önceki kararda direnilmiş; hükmü temyize taraf vekilleri getirmiştir.
Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalı banka nezdindeki hesapta bulunan paranın internet bankacılığı aracılığı ile davacının iradesi dışında üçüncü kişilerce çekilmesinde davacıya atfedilecek bir kusurun bulunup bulunmadığı noktasında toplanmaktadır.
Uyuşmazlığın çözümü için öncelikle, internet bankacılığı kavramı ile bankaların mudileriyle yaptığı sözleşmelerin hukuki niteliğinin açıklanmasında yarar bulunmaktadır.
İnternet, birden fazla haberleşme ağının (network) bilgisayarlar aracılığıyla meydana getirdikleri bir iletişim ortamıdır. (Sözer, B.; Elektronik Sözleşmeler, İst. 2002, S.7)
Günümüzde internet, tüm dünya üzerine yayılmış olan çok geniş bir bilgisayar ağı durumunu gelmiştir. Bu iletişim ağından yararlanan internet bankacılığı; teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin internet üzerinden yapılabilmesini sağlayan elektronik bir bankacılık türüdür. Es söyleyişle, interaktif bankacılık, bankacılık hizmetlerinin internet üzerinden sunulduğu bir bankacılık türü olarak da tanımlanabilir.
Bankalar tarafından hazırlanan sözleşmelerde yer alan yaygın tarifiyle internet bankacılığı ise; şahsın kablolu, kablosuz iletişim sistemleri ile teknik şartlara haiz bilgisayar, GSM, telefon gibi araçlar üzerinden ve internet-wap aracılığı ile otomatik, sesli yanıt sistemi ile şifre ve parolayı kullanarak, bankanın belirleyeceği kurallar ve limitler dahilinde şahsın banka hesapları üzerinde her türlü işlem yapma yöntemidir.
İnternet bankacılığındaki en önemli sorun, hiç kuşkusuz güvenlik sorunudur. Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, hem bankanın hem de müşterinin üzerine düşen yükümlülükler ve sorumluluklar vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bu sistemin güvenliğine yönelik tüm tedbirleri almaları ve sistemi bilinen en son teknolojik gelişmeye uygun hale getirmeleri büyük önem taşımaktadır. Hiç kuşkusuz, müşterilerin de internet bankacılığında kullanılmak üzere kendilerine verilen kullanıcı adı, şifresi ve diğer bilgileri üçüncü kişilerin eline geçmesini önleyecek gerekli tedbirleri almaları ve bu konuda azami özeni göstermeleri gereklidir.
İnternet ortamında ortaya çıkabilecek siber suç eylemleri, büyük ölçüde bu ortamı sağlayan bilgisayar sistemi veya verilerine çeşitli maksatlarda ve haksız olarak yapılan müdahaleleri ve bu sistemde zararlı içerikli bir takım yayınları bulundurmak şeklinde olmaktadır. Örneğin, bir bilgisayar sistemine zarar verme amacı taşıyan <hacking>, verilerin değiştirilmesi, bir bilgisayar sistemine zarar verici amaçlar için yetkisiz e-mailler (spam), virüsler, <truva atı> gibi zarar verici kodların ya da çocuk pornografisinin gönderilmesi gibi eylemler bu niteliktedir. ((Mahmut Koca, Ünal Tekinalp’e Armağan, C.3., İst. 2003, s.789-790)
Bankacılık işlemleri alanında sözleşme özgürlüğü ilkesinin etkili bir şekilde uygulanmaması nedeniyle bankaların sorumluluğu konusunda özel düzenlemelerin ve yorumların yapılması da bir gerekliliktir. (Ahmet Battal, Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara, 2001, s.1)
İnternet bankacılığında asıl sorun, hiçbir kusuru olmayan hesap sahibinin internet bankacılığı sisteminden dolayı zarar görmesi halinde durumun ne olacağı noktasında toplanmaktadır.
Bankalar, yazılı veya sözlü duyurularla halktan faiz veya ivaz karşılığında topladıkları paraları Türk ekonomisinin güçlenmesi doğrultusunda değerlendiren ve aynı zamanda bu mevduatlardan para kazanan kuruluşlardır. Bankalar kendilerine yatırılan paraları istenildiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdürler. Bu tanımlamaya göre mevduat ödünç (karz) ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Bununu sonucu mevduatın niteliğine uygun düştüğü oranda karz (ödünç) veya usulsüz tevdi hükümlerinin kıyasen uygulanması gerekir (aynı ilkelere HGK’nun 15.06.1994, 1994/11-178-398 sayılı kararında da yer verilmiştir)
Bilindiği üzere, ödünç sözleşmesi 818 sayılı Borçlar Kanunu’nun (BK) <Karz akdi> başlıklı 306. vd. maddesinde düzenmiş olup, anılan yasa hükmü; <Karz, bir akittir ki onunla ödünç veren, bir miktar paranın yahut diğer bir misli şeyin mülkiyetini ödünç alan kimseye nakil ve bu kimse dahi buna karşı miktar ve vasıfta müsavi aynı neviden şeyleri geri vermekle mükellef olur.> şeklindedir. Bu hükme göre; ödünç alan konumundaki banka, kendisine ödünç verilen parayı kararlaştırılmışsa faizi ile birlikte iadeye mecburdur.
Bu hükme paralel düzenleme 5411 sayılı Bankalar Kanunu’nun 61. maddesinde yer almaktadır. Anılan maddenin birinci fıkrasında; <4721 sayılı Türk Medenî Kanununun rehinlere ve hapis hakkına, BK’nun alacağın devir ve temlikine, takasa dair hükümleri ile diğer kanunların verdiği yetkiler ve koyduğu yükümlülükler saklı kalmak şartıyla mevduat ve katılım fonu sahiplerine ödenmesi gereken tutarları geri alma hakları hiçbir suretle sınırlandırılamaz.> şeklinde düzenleme yapılmıştır.
Vedia akitlerinde usulsüz tevdi durumunun hükme bağlandığı BK’nun 472/1. maddesi uyarınca da usulsüz tevdi durumunda paranın nef’i ve hasarı mutlak şekilde saklayana geçecektir.
TTK’nun 20. maddesi hükmüne göre, banka basiretli tacirden beklenen özen derecesini de göstermek zorundadır, aksi halde hafif kusurundan dahi sorumludur. (İbrahim Kaplan, Bankanın Hukuki Sorumluluğu, Haluk Tandoğan’ın Hatırasına Armağan, S.455; Tandoğan, Bankacılıkta Sorumluluk, C.3, s.110) Bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira BK’nun 99 ve 100/3 maddesine göre, hile ve ağır kusurun varlığı halinde borçluyu sorumluluktan kurtaran sözleşme şartları ahlak ve dürüstlük kuralına aykırı olduğundan geçersizdir. (Mustafa Çeker, Hukuki Yönüyle Banka Mevduatı, Adana 2004, S.281-233)
Sorumsuzluk anlaşmalarına getirilen sınırlama daha güçlü durumdaki bankalara karşı daha zayıf durumdaki kişiyi koruma (sosyal adalet) nedenine dayanmaktadır.
Bankalar, bir güven kurumları olup, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlardır. Objektif özen borcu altında bulunan bankalar, hafif kusurlarından dahi sorumludurlar.
Bankalar, diğer alanlarda olduğu gibi, internet ortamında yapılacak işlemlerde de sistem güvenliğini sağlama yükümlülüğü altındadırlar. Bu çerçevede, banka, mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesini için gerekli güvenlik altyapısını hazırlamak zorundadır. Bu kapsamda, bankanın, interaktif bankacılık işlemleri sırasında şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması gereklidir. Sistem güvenliğinin sağlanamamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. (Mustafa Çeker, İnternet Bankacılığı İşlemlerindeki Usulsüzlüklerden Bankaların Sorumluğu, S.8)
Bu açıklamalar ışığında, internet bankacılığı faaliyeti yürüten bankalar, bankadaki paranın internet ortamında üçüncü kişilerce usulsüz olarak havale edilmesi durumunda mudinin parasını yukarıda açıklanan mevzuat çerçevesinde iade etmekle yükümlüdürler. Usulsüz işlemlerle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam eder. Banka, usulsüz işlemin gerçekleşmesinde mevduat sahibinin müterafik kusurunun bulunduğunu ispat etmesi halinde tazminatta indirim isteyebilir.
Genel Kurulda bir kısım üyeler; internet bankacılığı sisteminden yararlanmak için gerekli şifre ve parola benzeri kişisel bilgilerin bankanın bilgisayar sistemine dışarıdan girilerek elde edilemediğini, müşteri bilgisayarlarına dışarıdan müdahale yöntemleriyle bu bilgilerin ele geçirildiğini, dolayısıyla kişisel bilgisini gerektiği gibi muhafaza etmeyen müşterilerin bilgisayar korsanlıklarıyla oluşan zararlardan sorumlu olmalarının gerektiğini belirtmişlerse de, bu görüş, kurul çoğunluğunca benimsenmemiş ve günümüzün teknolojik seviyesinde elektronik imza vb. gibi gelişmiş güvenlik önlemlerinin alınmasının mümkün bulunduğu ve bu tedbirleri almanın hizmet sunucusu olan bankaların yükümlülüğünde olduğu ifade edilmiştir.
Somut olayda davalı banka, davacının müterafik kusurunu ve suç teşkil edebilecek bir eyleminin varlığını da kanıtlayamadığından davacı mudinin kendisine tevdi ettiği mevduatı aynen iade etmekle yükümlüdür.
Bu itibarla; Hukuk Genel Kurulu’nca da benimsenen Özel Daire bozma kararına uyulmak gerekirken, önceki kararda direnilmesi usul ve yasaya aykırıdır.
Bu nedenle direnme kararı bozulmalıdır.
Sonuç: Taraf vekillerinin temyiz itirazlarının kabulü ile direnme kararının Özel Daire bozma kararında ve yukarıda gösterilen nedenlerden dolayı 6217 sayılı Kanunun 30. maddesi ile 6100 sayılı Hukuk Muhakemeleri Kanunu’na eklenen <Geçici madde 3> atfıyla uygulanmakta olan 1086 sayılı Hukuk Usulü Muhakemeleri Kanunu’nun 429. maddesi gereğince BOZULMASINA, istek halinde temyiz peşin harcının yatırana geri verilmesine, aynı kanunun 440/1 maddesi uyarınca tebliğden itibaren 15 gün içerisinde karar düzeltme yolu açık olmak üzere 21.11.2012 gününde oyçokluğu ile karar verildi.
İnternet bankacılığı dolandırıcılıkları çoğunlukla iki adımda gerçekleştirilmektedir.Birinci adımda, hacker diye tabir edilen kişiler müşterinin hesap bilgileri olan şifre ve parola gibi bilgilerini ele geçirmektedir. İkinci adımda, hacker bu müşterinin bilgileri kullanarak mağdur kimsenin hesabındaki parayı çekmek için bir başka hesaba göndererek dolandırıcılık eyleminde bulunur. İlk işlem için hacker müşterinin kişisel bilgilerini ele geçirmek için çoğunlukla aynı olmak üzere çok çeşitli yöntemler kullanır. Casus programlar ile şifreleri ele geçiren korsanlar, bu şifreler ile rahatlıkla sanki hesap sahibiymiş gibi işlem yaparlar. İkinci aşamada ise genellikle sahte kimliklerle açılan hesaplara aktarılan paralar ya banka şubeleri veya ATM’ler aracılığıyla nakit olarak çekilmekte, kredi kartlarına yüklemeler yapılıp harcamalar yapılmakla veya son dönemlerde olduğu gibi cep telefonlarına kontör yüklenebilmektedir. Görüldüğü üzere bu tip dolandırıcılık olaylarında müşterinin şifresinin ele geçirilmiş olması eylemin tamamlanması ve zararın doğması için yeterli bir etken değildir. Nitekim son dönemlerde bu tip dolandırıcılık eylemleri neticesinde çalınan paralar harcanmadan bloke konulmak suretiyle müşteri hesabına geri döndürülebilmektedir. Bu durumu bir eve girip hırsızlık yapan ve ancak çaldığı malları ev dışarısına çıkaramayarak evin içerisinde bırakan kişinin durumuna benzetebiliriz.
İnternet bankacılığı dolandırıcılığı genellikle bir çete işidir. Şebeke kurucusu, şifreleri ele geçiren hacker, sahte belge sorumlusu, ayakçıları bulan aracı ve transfer edilen paraları bankadan çeken ayakçıdan oluşur. Ayakçılar, aracılar tarafından sadece bir iki eylemde kullanılır. Banka şubesinde hesap açarak, açılan hesaba gelen parayı çekip aracıya veren ayakçılar yapmış oldukları bu iş karşılığında ele geçirmiş oldukları tutarın oldukça önemsiz bir kısmını alırlar.
Şubelere internet dolandırıcılığı vasıtasıyla gönderilen tutarları almaya gelen ayakçı olarak tabir edilen şahıslar genellikle şebekede aracı adı verilen kişiler tarafından bulunan ve eğitim düzeyi düşük, işsiz ve daha önceden sabıkası olmayan şahıslardır.
Yukarıda açıklandığı üzere; İnternet Bankacılığı sistemlerindeki müşteri Şifre ve parolalarını ele geçirip para transfer işlemini yapan hacker ile parayı bankalardan çeken kişilerin aynı kişiler olmayacağı göz önünde bulundurulmalıdır.
SOMUT ÖRNEK: Bilgisayar korsanları müşterinin bilgisayarına müşteri farkına varmadan ufak bir programcık yerleştirirler. Bu programcık genelde internet vasıtasıyla müşterinin bilgisayarına kurulur. Bu program müşteriye gönderilen bir elektronik postanın uzantısı şeklinde olabilir veya müşterinin girdiği internet sitesinde bir sonraki sayfaya ulaşmak için onay istenir gibi yapılır ve müşteri farkına varmadan veya başka bir program çalıştığını zannederken bu program müşterinin bilgisayarına yüklenir ve çalıştırılır. Bu işlem 10 saniye gibi kısa bir süre içerisinde gerçekleştiğinden müşteri çoğunlukla bu işlemin farkına dahi varamaz. Bundan da öte bu programlar çoğu kez virüs programlarının denetiminden dahi kolaylıkla geçebilirler. Genelde .exe uzantılı olan bu dosyalar artık gelişen teknolojiyle .jpeg formatı arkasına gizlenmiş basit bir resim dosyasını arkasında bile çalıştırılabilmektedirler.Yani müşteri bir resim açtığını düşündüğü sırada aslında bu programcığı bilgisayarına kurmaktadır. Şüphesiz bu işlem müşterinin gerçek iradesinin sakatlanmasıyla gerçekleştirilmektedir.
Bu programlar müşterinin bilgisayar ekranının aynı televizyondan izlenir gibi izlenmesine yol açar. Programların çoğu yasaldır ve genellikle çocuklarının bilgisayarda yapmış oldukları işlemleri izlemek isteyen ebeveynlere veya işyerindeki çalışanların işlemlerini izlemek isteyen işverenlere yönelik olarak üretilmişlerdir. Bu programlar bir nevi kamera işlevini de görmektedirler. Bu programların kurulmasıyla ve çalıştırılmasıyla bilgisayar korsanı artık müşterinin ekranını izlemeye başlamıştır.
Müşteri bir bankacılık işlemi yapmak için bankanın internet sitesine girdiğinde bilgisayar korsanı rahatlıkla bu ekranı da görebilmektedir. Hatta şifrenin girilmesi sırasında yüklenen diğer programcıklar vasıtasıyla yıldızlı veya karartılmış olarak ekranda gözüken şifreleri dahi görebilirler.
Bu suretle müşterinin kişisel şifrelerini ve gizli bilgilerini ele geçiren bilgisayar korsanı artık aynen banka müşterisi gibi bütün işlemleri kolayca yapabilir.
Uygulamada bilgisayar korsanları ele geçirmiş oldukları şifrelerle hemen başka hesaplarahesaptaki paraları parça parça havale yapmaya başlarlar. Hatta bunlar için aynı yöntemlerle ele geçirdikleri diğer banka müşterilerinin hesaplarını da kullanırlar.
Bilgisayar korsanları çok seri ve akıllıca hareket ederler ve izlerini kaybettirirler veya hedef yanıltırlar. Genelde internet cafelerden işlem yaparlar veya ip numaralarını değiştirirler.
Bilgisayar korsanları istedikleri hesaplara havale işlemlerini gerçekleştirdikten sonra bu hesaplardan paraları yine hileli yöntemlerle çekerler. Örneğin sahte kimliklerle açılmış hesaplardan bizzat paraları kendileri çekerler veya sahte kimliklerle aldıkları kredi kartlarına yüklemeler yaparak harcamalar yaparlar. Veya paravan kişiler kullanarak ve bunları kandırarak bu kişilerin adına havale çıkarırlar ve bu kişilerden paralarını alırlar. Somut bir örnek şeklinde vermek gerekirse; Dolandırıcılar kendi hesaplarına havaleleri gerçekleştirdikten sonra bankamatiklerin önüne giderler ve kendilerine havale geleceğini yakınlarının hasta olduklarını ancak bir günde bankamatikten 800YTL’den fazla para çekemediklerini bu nedenle kuyrukta bekleyen kişinin hesabına ağabeyinin havale yapmasının mümkün olup olmadığını sorarlar. Bu durumdan şüphelenmeyen müşteri de kendi hesap numarasını verir ve o hesaba havale yapılır. Kuyrukta bekleyen müşteri bankamatikten parayı çeker ve aslında bilgisayar korsanı olan kişiye parayı teslim eder. Artık banka kayıtları üzerinde banka müşterisi başka bir banka müşterisine para havale etmiş, havale edilen müşteri de parayı çekmiş olarak gibi gözükmektedir. Ama gerçekte parayı alan bilgisayar korsanının kendisidir.
Yukarıdaki olaylar sadece örnekleme yapmak amacıyla verilmiştir. Görüldüğü üzere bu tür olaylar çok ciddi ve seri olarak çalışan, sistemin açıklarını çok iyi bilen kişilerce gerçekleştirilen profesyonel dolandırıcılık olaylarıdır.
Maalesef tüm bu olanlardan haberi olmayan tek kişi banka müşterisidir. Banka ise bu işlemleri onaylamakta zira işlemi yapanın kendi müşterisi olduğunu zannetmektedir.
Yukarıda açıklamalardan anlaşılacağı üzere esasen gerek Bankanın kullandığı gerekse müşterilerinin kullandığı bilgisayar programlarında açıklar bulunmaktadır. Bu açıklardan saldırılar olacağı da kaçınılmazdır.
Açıklardan faydalanılarak saldırılardan müşterilerinin zarar görmemesi maksadıyla Bankalarzaman içinde ek güvenlik önlemlerini uygulamaya sokmuşlardır. Örneğin; müşterinin telefona Bankaca tek kullanımlık her bir işlem için şifre bildirilip bu şifreyi müşteri kendi bilgisayarına girmek suretiyle işlemini sonuçlandırması yeni bir güvenlik önlemidir. Müşterinin kendisinin bilmediği ancak banka bilgisayarınca tanınan bir şifre üreten cihazın bankaca müşteriye verilip her bir işlem bazında bu cihaza basılarak üretilen (tek kullanımlık)şifrelerin bilgisayara girilerek işlemin sonuçlandırılması şeklinde olup, bu önlem sayesinde “hacker” gibi kişiler müşterinin bilgisayarındaki tek kullanımlık bu şifreleri ele geçirse bile müşteri hesaplarından işlem yapma imkanı bulunmayacakları türden önlemler de olabilecektir.
Şifreler, müşteri bankanın internet şubesine bağlandığında işlem yapılabilmesi için girmek zorunda olduğu müşteri numarası, şifre vs. gibi bilgiler girildiğinde çalınmaktadır.
Davalı Bankanın sunduğu ürünün, kullanımından müşterilerinin zarar görmemesi yönünde her türlü önlemi alması gerekmektedir. Bu itibarla, sözleşmeye konulan bir hükümle müşterinin bilgisayarının korunmasını müşteriye bırakılması doğru bir hareket olmayıp, ürünü sunan Bankanın basiretli bir tacir gibi davranma yükümlülüğü kapsamında müşterinin bilgisayarı içinde 3. kişilerin saldırılarına karşı gerekli güvenlik önlemlerini alması gerekmektedir. Internet ürünü sunulmasında Bankanın alacağı güvenlik tedbirleriyle müşterinin bilgisayarındaki bilgiler öğrenilebilse bile müşterinin zararına işlem yapılması mümkün olmamalıdır. Dava dosyasındaki bilgilerden davacının bilgilerine hangi bilgisayardan ulaşıldığı konusunda somut, bir bilgi ve belge de bulunmamaktadır.
Bankanın, diğer alanlarda olduğu gibi, İnternet ortamında yapılacak İşlemlerde de sistemgüvenliğini sağlamakla yükümlülüğü mevcuttur. Bu çerçevede, Banka, mevduat sahipleriningüvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamak zorunludur. Bu kapsamda, davalı Banka interaktif bankacılık İşlemleri sırasında kendi bilgisayarını 128 bit (SSL) ile korurken, sisteme bağlanan müşterinin bilgisayarında da aynı koruma tedbirini yararlandırması gerekmektedir. Başka bir anlatımla şifre bilgilerinin üçüncü kişilerce elegeçirilmesini, önleyecek bir güvenlik mekanizması, oluşturması, kendi web sayfasından başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra, mevduat sahiplerini de bilgilendirmesi gereklidir.
Diğer taraftan, Banka mevduat hesabı açan şahsa, bu hesapla ilgili ATM ve POS cihazlarındanişlem yapmaya yönelik banka kartı verirken de TTK.’nun 20/2 gereği kendisinden beklenen tüm özeni göstermesi gerekmektedir. Bu özen en azından müşterinin verdiği bilgilerin doğru olup olmadığıyla sınırlı bir istihbarat şeklinde olacaktır.
İmtiyaz suretiyle (BK. Madde 99) faaliyet icra eden ve bir güven (MK, m. 2) kuruluşu olan Bankalar muhafazasına terkedilmiş paraları TTK’nun 20/2. maddesi uyarınca bir tacir sıfatıyla kendisinden beklenen özen yükümlülüğünde korumak ve kollamak zorundadır. Bu itibarla sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Sözleşmelere konulacak hükümlerle bu sorumluluktan kurtulmalarının mümkün olup olmayacağı hususu ise Sayın Mahkemenin takdir yetkisi içerisindedir.
Esasen üçüncü kişinin hesaptan para çekmesi ile hesap sahibinin değil bankanın malvarlığın azalmış olacağı, haksız fiil sonucu banka müşterisinin değil bankanın malvarlığında azalma olduğu kabul edilmelidir. Zira mevduat hesabı vadesiz bir mevduat hesabı ise BK md.472’deki usulsüz tevdie ilişkin hükümlerin; vadeli mevduat ise BK md. 306’daki karz akdi hükümlerinin; bankanın hesabına ilişkin farklı hizmetler sunması halinde BK md.386’daki vekalet sözleşmesi hükümlerinin uygulanması gerekecektir. Usulsüz tevdi ve karz sözleşmelerinde aynen iade yerine milsen iade borcu söz konusu olduğundan para veya şeyin mülkiyeti karz alana veya müstevdiye geçer. Mülkiyetin bunlara geçmesi dolaysıyla haksız fiil bunların malvarlığına yönelik olarak işlenmiş kabul edilir. Bunun sonucu olarak da, bankanın kendi malvarlığında meydana gelen zararı müşterinin hesabına borç kaydetme hakkı yoktur. Dolayısıyla müşterinin talebi halinde banka parayı müşterisine ödemekle yükümlüdür. Vekalet sözleşmesinin ağırlık kazandığı hallerde de aynı sonuca ulaşılır. Zira sahte talimatlarda müşterinin iradesi bulunmadığı için vekaletin icrası dolayısıyla ortaya çıkmış zararın bulundu düşünülemez. Var olmayan bir talimat sonucu banka yetkisi kişiye ödemede bulunuyorsa kendi malvarlığından ödemede bulunduğunun ve meblağı müşterine borçlu kaldığının kabulü gerekir.
Davacı müşterinin banka ile arasındaki sözleşme, davacı müşteriye üçüncü kişilerin hesap ile ilgili bilgileri şifre vs edinmemeleri konusunda özen borcu yüklemektedir. Özen borcu nedeniyle kusur oranları saptanıp ona göre zararın BK md 44 uyarınca paylaştırılması düşünülebilir ise de davacı müşterinin sözleşmeden doğan koruma yükümlülüğüne aykırı davrandığı ispat külfeti bankadadır. Banka bu hususu ispat edemediği gibi dosyada bu yönde bir bilgi veya belge de bulunmamaktadır.
Dava konusu açısından diğer önemli bir husus 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleridir. Bilindiği üzere 5070 sayılı ELEKTRONİK İMZA KANUNU 15.01.2004 tarihinde kabul edilmiş olup 23.01.2004 tarihli 25355 sayılı Resmi Gazetede yayınlanmıştır. Aynı Kanunun 25.maddesi gereğince yayım tarihinden itibaren altı ay sonra yürürlüğe girmiştir. 5070 Sayılı Elektronik İmza Kanunun 20.maddesi gereğince- Bu Kanunun 6, 7, 8,10, 11 ve 14 üncü maddelerinin uygulanmasına ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren altı ay içinde ilgili kurum ve kuruluşların görüşleri alınarak Telekomünikasyon Kurumu tarafından çıkarılan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanmıştır. Görüldüğü üzere Elektronik İmza Kanunu yaklaşık 5 senedir ülkemizde uygulama alanı bulmakta olup bankaların bu Kanuna uygun nitelikte bankacılık hizmeti verip vermemeleri hukuksal gerçeği değiştirmemektedir. Gerek HUMK gerekse Borçlar Kanununda da değişiklikler yapan bu kanunun elektronik (internet vs.) ortamda yapılan hukuki işlemler için bağlayıcı olduğu açıktır. Davalı banka bu anlamda 5070 Sayılı kanuna uygun hukuki ve teknik standartlarda olmayan bir şifreleme yöntemiyle internet bankacılığı yapmış olmaktadır ve bu nedenle de müşterisinin elektronik ortamda (internette) yaptığını iddia ettiği havale/eft işlemlerini ispatlayamamaktadır.
Bankanın, diğer alanlarda olduğu gibi internet ortamında yapılacak işlemlerde de sistem güvenliğini sağlama yükümlülüğü mevcuttur. Bu çerçevede banka, mevduat sahibinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik alt yapısını hazırlaması zorunludur. Bu kapsamda, bankanın interaktif bankacılık işlemleri sırasında şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması, kendi web sahifesinden başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almasının yanı sıra, mevduat sahiplerini de bilgilendirmeleri gereklidir. Sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Buna göre müşterilerin bilgisi dışında şifrelerin banka kayıtlarından elde edilmesi, para aktarma işlemlerine müdahale edilerek başka yerlere para aktarılması, web sahifesinin taklidi suretiyle müşterilerin kandırılması gibi yollardan gerçekleştirilen usulsüz işlemler bankanın sorumluluk alanına girmektedir.(Hukuki Yönüyle Banka Mevduatı, 2004, Yard. Doç. Dr. Mustafa Çeker, 244, 245, 246, 247, 248).
3 Konuya ilişkin Yargıtay Uygulamaları
Konu itibariyle yeni olan İnternet Bankacılığı Dolandırıcılıkları ile ilgili olarak bankalara karşı açılan davalarda Yargıtay uygulamaları yeni yeni oluşmaya başlamıştır. Önceleri Yargıtay 19.Hukuk Dairesi tarafından banka lehine kararlar verilmekte iken son zamanlarda Yargıtay 19.Hukuk Dairesi tarafından bu konuya ilişkin davalarda görevsizlik kararı verilmekte ve dosya Yargıtay 11.Hukuk Dairesi’ne gönderilmektedir. Kadıköy Asliye 4.Ticaret Mahkemesi’nin müşteriyi haklı bulan 2005/4748E. Sayılı kararı Yargıtay 11.Hukuk Dairesi’nin 2005/4748E. 2006/7341 sayılı 22.06.2006 tarihli kararıyla onanmıştır. (Bu onama kararı Yargıtay Kararları Dergisinde yayınlanmıştır.)
Aynı yöndeki Ankara 1.Ticaret Mahkemesi’nin 2006/66E. 2006/233K. Sayılı benzer kararı Yargıtay 11.Hukuk Dairesinin 2006/9694E. 2008/1205K sayılı kararıyla onanmıştır. Keza aynı şekilde Ankara 1.Ticaret Mahkemesi’nin 2006/122E. Sayılı dosyası Yargıtay 11.Hukuk Dairesi’nin 2007/4581E. 2008/6442K. 15.05.2008 tarihli kararıyla onanmıştır.
Nitekim emsal nitelikteki bir davada müşteriyi haksız bularak bankayı haklı bulan İzmir 5.Asliye Ticaret Mahkemesi’nin 2006/169E. 2006/490K. Sayılı kararı öncelikle Yargıtay 19.Hukuk Dairesince incelenmiş ve bu daire tarafından 01.02.2007 tarihinde görevsizlik kararı verilmiş ve dosyayı inceleyen Yargıtay 11.Hukuk Dairesi tarafından 01.07.2008 tarihinde de söz konusu karar bozulmuştur.
Yargıtayın güncel tarihli kararları da bu yöndedir. Örneğin Kadıköy 4.Sulh Hukuk Mahkemesi’nin 2007/62E. 2008/1561K sayılı kararını onayan Yargıtay 11.Hukuk Dairesi’nin 2009/1506E. 2010/7532K. 28.06.2010 tarihli kararı ve İstanbul 11.Asliye Ticaret Mahkemesinin 2006/474E. 2008/81K sayılı kararını bozan Yargıtay 11.Hukuk Dairesinin 2008/9239E. 2010/504K. Sayılı 19.01.2010 tarihli kararı da bu yöndedir.
T.C. YARGITAY Hukuk Genel Kurulu Esas: 2012/11-550 Karar: 2012/820 Karar Tarihi: 21.11.2012
Taraflar arasındaki <tazminat> davasından dolayı yapılan yargılama sonunda; İzmir 2. Asliye Ticaret Mahkeme’since davanın kısmen kabulüne dair verilen 06.11.2008 gün ve 2005/590 E., 2008/646 K. sayılı kararın incelenmesi taraf vekillerince istenilmesi üzerine, Yargıtay 11. Hukuk Dairesi’nin 03.05.2011 gün ve 2009/6421 E., 2011/5339 sayılı ilamı ile; (…Davacı vekili, davalı nezdinde bulunan hesabından internet yoluyla rızası hilafına işlemler yapılarak para çekildiğini, maddi ve manevi zararının doğduğunu ileri sürerek, 17.085 TL maddi ve 20.000.00 TL manevi tazminatın tahsiline karar verilmesini talep ve dava etmiştir.Davalı vekili, davacının şifresini gizleyemediğini, müvekkilinin kusurunun olmadığını savunarak, davanın reddini istemiştir.Mahkemece, iddia, savunma, toplanan kanıtlar ve benimsenen bilirkişi raporuna göre, davacı hesabından internet yoluyla havale yapıldığı, parayı tahsil eden hakkında kamu davası açıldığı, davacının bu davaya müdahale ettiği, davacının şifresini gerekli şekilde muhafaza etmeyerek üçüncü kişi eline geçmesine neden olduğu, %50 kusurlu bulunduğu, davalının gerekli güvenliği almadığı, davalının da aynı oranda kusurlu olduğu, davacının maruz kaldığı üzüntü nedeniyle manevi tazminat istemiş ise de kusurun bulunduğu ve bu risklerin her zaman olacağı, manevi tazminat şartlarının bulunmadığı gerekçesiyle davanın kısmen kabulüne, 8.075,00 TL’nin davalıdan tahsiline karar verilmiştir.
Kararı, taraf vekilleri temyiz etmiştir.
1- Dava dosyası içerisindeki bilgi ve belgelere, mahkeme kararının gerekçesinde dayanılan delillerin tartışılıp, değerlendirilmesinde usul ve yasaya aykırı bir yön bulunmamasına göre, davalı vekilinin tüm, davacı vekilinin aşağıdaki bendin kapsamı dışında kalan ve yerinde görülmeyen diğer temyiz itirazlarının reddi gerekmiştir.
2- Dava, davalı banka nezdinde açılmış olan davacıya ait hesaptaki paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlem sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkindir. Mahkemece, yazılı gerekçe ile maddi tazminat isteminin kısmen kabulüne karar verilmiştir.
Bankalar, kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür (4491 sayılı Yasa ile değişik 4389 sayılı Bankalar Kanunu’nun 10/4 ve 5411 sayılı Bankacılık Kanunu’nun 61. maddesi). Bu tanımlamaya göre mevduat, ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Borçlar Kanunu’nun 306 ve 307. maddeleri uyarınca ödünç alan akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı Yasa’nın 472/1 nci maddesi uyarınca usulsüz tevdide paranın nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.
Yasal dayanakları ortaya konularak yapılan bu açıklamalardan sonra somut olaya gelindiğinde davaya konu internet yolu ile yapılan işlemlerle davacı hesabından uyuşmazlık konusu paranın dava dışı kimliği belirli kişi adına havale edildiği çekişmesizdir. Yapılan soruşturma ve dosya kapsamından işlemlerde davacının bu kişi veya üçüncü kişilerle iş birliği ve başka şekilde kusurlu davrandığı kanıtlanmamıştır. Davalı banka tarafından hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötüniyetli kişilerin işlemlerine karşı korunamadığı, bu kişilerin eylem ve işlemlerine karşı koruyacak etkili mekanizmayı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı müşterileri için zorunlu hale getirmediği anlaşılmaktadır.
O halde, davalı bankanın çekilen paradan sorumlu olduğunun kabulü gerekir. Bu durum karşısında, davacının yarı oranda kusurlu olduğu kabul edilerek hüküm kurulması doğru görülmemiş, kararın bozulması gerekmiştir.)
gerekçesiyle bozularak dosya yerine geri çevrilmekle yeniden yapılan yargılama sonunda, mahkemece önceki kararda direnilmiştir.
TEMYİZ EDEN: Taraf vekilleri
HUKUK GENEL KURULU KARARI
Hukuk Genel Kurulu’nca incelenerek direnme kararının süresinde temyiz edildiği anlaşıldıktan ve dosyadaki kağıtlar okunduktan sonra gereği görüşüldü:
Dava, maddi ve manevi tazminat istemine ilişkindir.
Davacı vekili, müvekkilinin davalı bankadaki hesabından üçüncü kişilerce internet bankacılığı aracılığıyla parasının çekilmesinden davalı bankanın sorumlu olduğunu ileri sürerek maddi ve manevi tazminat isteminde bulunmuştur.
Davalı vekili, internet bankacılığı yolu ile paranın üçüncü kişiler tarafından havale edilmesinde müvekkili bankaya yüklenebilecek bir ihmal ya da kusurun bulunmadığını savunmuştur.
Mahkemece, her iki taraf kusurunun açıkça ortaya konulamaması nedeniyle internet bankacılığı riskini tarafların % 50 oranında üstlenmesinin gerektiği gerekçesiyle davanın kısmen kabulüne karar verilmiştir.
Taraf vekillerinin temyizi üzerine karar, Özel Dairece yukarıda başlık bölümünde gösterilen nedenlerle bozulmuştur.
Yerel Mahkemece, önceki kararda direnilmiş; hükmü temyize taraf vekilleri getirmiştir.
Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalı banka nezdindeki hesapta bulunan paranın internet bankacılığı aracılığı ile davacının iradesi dışında üçüncü kişilerce çekilmesinde davacıya atfedilecek bir kusurun bulunup bulunmadığı noktasında toplanmaktadır.
Uyuşmazlığın çözümü için öncelikle, internet bankacılığı kavramı ile bankaların mudileriyle yaptığı sözleşmelerin hukuki niteliğinin açıklanmasında yarar bulunmaktadır.
İnternet, birden fazla haberleşme ağının (network) bilgisayarlar aracılığıyla meydana getirdikleri bir iletişim ortamıdır. (Sözer, B.; Elektronik Sözleşmeler, İst. 2002, S.7)
Günümüzde internet, tüm dünya üzerine yayılmış olan çok geniş bir bilgisayar ağı durumunu gelmiştir. Bu iletişim ağından yararlanan internet bankacılığı; teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin internet üzerinden yapılabilmesini sağlayan elektronik bir bankacılık türüdür. Es söyleyişle, interaktif bankacılık, bankacılık hizmetlerinin internet üzerinden sunulduğu bir bankacılık türü olarak da tanımlanabilir.
Bankalar tarafından hazırlanan sözleşmelerde yer alan yaygın tarifiyle internet bankacılığı ise; şahsın kablolu, kablosuz iletişim sistemleri ile teknik şartlara haiz bilgisayar, GSM, telefon gibi araçlar üzerinden ve internet-wap aracılığı ile otomatik, sesli yanıt sistemi ile şifre ve parolayı kullanarak, bankanın belirleyeceği kurallar ve limitler dahilinde şahsın banka hesapları üzerinde her türlü işlem yapma yöntemidir.
İnternet bankacılığındaki en önemli sorun, hiç kuşkusuz güvenlik sorunudur. Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, hem bankanın hem de müşterinin üzerine düşen yükümlülükler ve sorumluluklar vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bu sistemin güvenliğine yönelik tüm tedbirleri almaları ve sistemi bilinen en son teknolojik gelişmeye uygun hale getirmeleri büyük önem taşımaktadır. Hiç kuşkusuz, müşterilerin de internet bankacılığında kullanılmak üzere kendilerine verilen kullanıcı adı, şifresi ve diğer bilgileri üçüncü kişilerin eline geçmesini önleyecek gerekli tedbirleri almaları ve bu konuda azami özeni göstermeleri gereklidir.
İnternet ortamında ortaya çıkabilecek siber suç eylemleri, büyük ölçüde bu ortamı sağlayan bilgisayar sistemi veya verilerine çeşitli maksatlarda ve haksız olarak yapılan müdahaleleri ve bu sistemde zararlı içerikli bir takım yayınları bulundurmak şeklinde olmaktadır. Örneğin, bir bilgisayar sistemine zarar verme amacı taşıyan <hacking>, verilerin değiştirilmesi, bir bilgisayar sistemine zarar verici amaçlar için yetkisiz e-mailler (spam), virüsler, <truva atı> gibi zarar verici kodların ya da çocuk pornografisinin gönderilmesi gibi eylemler bu niteliktedir. ((Mahmut Koca, Ünal Tekinalp’e Armağan, C.3., İst. 2003, s.789-790)
Bankacılık işlemleri alanında sözleşme özgürlüğü ilkesinin etkili bir şekilde uygulanmaması nedeniyle bankaların sorumluluğu konusunda özel düzenlemelerin ve yorumların yapılması da bir gerekliliktir. (Ahmet Battal, Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara, 2001, s.1)
İnternet bankacılığında asıl sorun, hiçbir kusuru olmayan hesap sahibinin internet bankacılığı sisteminden dolayı zarar görmesi halinde durumun ne olacağı noktasında toplanmaktadır.
Bankalar, yazılı veya sözlü duyurularla halktan faiz veya ivaz karşılığında topladıkları paraları Türk ekonomisinin güçlenmesi doğrultusunda değerlendiren ve aynı zamanda bu mevduatlardan para kazanan kuruluşlardır. Bankalar kendilerine yatırılan paraları istenildiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdürler. Bu tanımlamaya göre mevduat ödünç (karz) ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Bununu sonucu mevduatın niteliğine uygun düştüğü oranda karz (ödünç) veya usulsüz tevdi hükümlerinin kıyasen uygulanması gerekir (aynı ilkelere HGK’nun 15.06.1994, 1994/11-178-398 sayılı kararında da yer verilmiştir)
Bilindiği üzere, ödünç sözleşmesi 818 sayılı Borçlar Kanunu’nun (BK) <Karz akdi> başlıklı 306. vd. maddesinde düzenmiş olup, anılan yasa hükmü; <Karz, bir akittir ki onunla ödünç veren, bir miktar paranın yahut diğer bir misli şeyin mülkiyetini ödünç alan kimseye nakil ve bu kimse dahi buna karşı miktar ve vasıfta müsavi aynı neviden şeyleri geri vermekle mükellef olur.> şeklindedir. Bu hükme göre; ödünç alan konumundaki banka, kendisine ödünç verilen parayı kararlaştırılmışsa faizi ile birlikte iadeye mecburdur.
Bu hükme paralel düzenleme 5411 sayılı Bankalar Kanunu’nun 61. maddesinde yer almaktadır. Anılan maddenin birinci fıkrasında; <4721 sayılı Türk Medenî Kanununun rehinlere ve hapis hakkına, BK’nun alacağın devir ve temlikine, takasa dair hükümleri ile diğer kanunların verdiği yetkiler ve koyduğu yükümlülükler saklı kalmak şartıyla mevduat ve katılım fonu sahiplerine ödenmesi gereken tutarları geri alma hakları hiçbir suretle sınırlandırılamaz.> şeklinde düzenleme yapılmıştır.
Vedia akitlerinde usulsüz tevdi durumunun hükme bağlandığı BK’nun 472/1. maddesi uyarınca da usulsüz tevdi durumunda paranın nef’i ve hasarı mutlak şekilde saklayana geçecektir.
TTK’nun 20. maddesi hükmüne göre, banka basiretli tacirden beklenen özen derecesini de göstermek zorundadır, aksi halde hafif kusurundan dahi sorumludur. (İbrahim Kaplan, Bankanın Hukuki Sorumluluğu, Haluk Tandoğan’ın Hatırasına Armağan, S.455; Tandoğan, Bankacılıkta Sorumluluk, C.3, s.110) Bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira BK’nun 99 ve 100/3 maddesine göre, hile ve ağır kusurun varlığı halinde borçluyu sorumluluktan kurtaran sözleşme şartları ahlak ve dürüstlük kuralına aykırı olduğundan geçersizdir. (Mustafa Çeker, Hukuki Yönüyle Banka Mevduatı, Adana 2004, S.281-233)
Sorumsuzluk anlaşmalarına getirilen sınırlama daha güçlü durumdaki bankalara karşı daha zayıf durumdaki kişiyi koruma (sosyal adalet) nedenine dayanmaktadır.
Bankalar, bir güven kurumları olup, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlardır. Objektif özen borcu altında bulunan bankalar, hafif kusurlarından dahi sorumludurlar.
Bankalar, diğer alanlarda olduğu gibi, internet ortamında yapılacak işlemlerde de sistem güvenliğini sağlama yükümlülüğü altındadırlar. Bu çerçevede, banka, mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesini için gerekli güvenlik altyapısını hazırlamak zorundadır. Bu kapsamda, bankanın, interaktif bankacılık işlemleri sırasında şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması gereklidir. Sistem güvenliğinin sağlanamamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. (Mustafa Çeker, İnternet Bankacılığı İşlemlerindeki Usulsüzlüklerden Bankaların Sorumluğu, S.8)
Bu açıklamalar ışığında, internet bankacılığı faaliyeti yürüten bankalar, bankadaki paranın internet ortamında üçüncü kişilerce usulsüz olarak havale edilmesi durumunda mudinin parasını yukarıda açıklanan mevzuat çerçevesinde iade etmekle yükümlüdürler. Usulsüz işlemlerle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam eder. Banka, usulsüz işlemin gerçekleşmesinde mevduat sahibinin müterafik kusurunun bulunduğunu ispat etmesi halinde tazminatta indirim isteyebilir.
Genel Kurulda bir kısım üyeler; internet bankacılığı sisteminden yararlanmak için gerekli şifre ve parola benzeri kişisel bilgilerin bankanın bilgisayar sistemine dışarıdan girilerek elde edilemediğini, müşteri bilgisayarlarına dışarıdan müdahale yöntemleriyle bu bilgilerin ele geçirildiğini, dolayısıyla kişisel bilgisini gerektiği gibi muhafaza etmeyen müşterilerin bilgisayar korsanlıklarıyla oluşan zararlardan sorumlu olmalarının gerektiğini belirtmişlerse de, bu görüş, kurul çoğunluğunca benimsenmemiş ve günümüzün teknolojik seviyesinde elektronik imza vb. gibi gelişmiş güvenlik önlemlerinin alınmasının mümkün bulunduğu ve bu tedbirleri almanın hizmet sunucusu olan bankaların yükümlülüğünde olduğu ifade edilmiştir.
Somut olayda davalı banka, davacının müterafik kusurunu ve suç teşkil edebilecek bir eyleminin varlığını da kanıtlayamadığından davacı mudinin kendisine tevdi ettiği mevduatı aynen iade etmekle yükümlüdür.
Bu itibarla; Hukuk Genel Kurulu’nca da benimsenen Özel Daire bozma kararına uyulmak gerekirken, önceki kararda direnilmesi usul ve yasaya aykırıdır.
Bu nedenle direnme kararı bozulmalıdır.
Sonuç: Taraf vekillerinin temyiz itirazlarının kabulü ile direnme kararının Özel Daire bozma kararında ve yukarıda gösterilen nedenlerden dolayı 6217 sayılı Kanunun 30. maddesi ile 6100 sayılı Hukuk Muhakemeleri Kanunu’na eklenen <Geçici madde 3> atfıyla uygulanmakta olan 1086 sayılı Hukuk Usulü Muhakemeleri Kanunu’nun 429. maddesi gereğince BOZULMASINA, istek halinde temyiz peşin harcının yatırana geri verilmesine, aynı kanunun 440/1 maddesi uyarınca tebliğden itibaren 15 gün içerisinde karar düzeltme yolu açık olmak üzere 21.11.2012 gününde oyçokluğu ile karar verildi.