İki Faktörlü Kimlik Doğrulama Açıkken Hesabımdan Para Çekildi: Bankanın Hukuki Sorumluluğu Nedir?

Question

Dün gece internet bankacılığımdan bilgim dışı yüklü bir transfer yapıldığını fark ettim. Oysa hem mobil onay hem de SMS ile iki faktörlü kimlik doğrulama ayarım açıktı. Böyle bir durumda banka, kendi güvenlik sistemleri atlandığı için zararı karşılamak zorunda mı, yoksa tüm sorumluluk bende mi?

Answer 1

İki Faktörlü Kimlik Doğrulama Açıkken Hesabımdan Para Çekildi: Bankanın Hukuki Sorumluluğu Nedir?

Sevgili okuyucu,

Dün gece yaşadığınız olay gerçekten korkutucu ve insanın tüm güvenini sarsan bir durum. İnternet bankacılığınızdan bilginiz dışı yüklü bir transfer yapıldığını fark etmek, hele ki iki faktörlü kimlik doğrulama (2FA) gibi güçlü bir güvenlik katmanınızın açık olduğunu düşünürken, adeta altınızdaki zeminin kaydığını hissettirir. "Madem açıktı, nasıl oldu?" sorusu haklı olarak aklınızda dönüp duruyor. Bu durum karşısında bankanın hukuki sorumluluğu ne, tüm yük sizin omuzlarınızda mı, yoksa banka da bu işin bir parçası mı? İşte tüm bu sorulara kapsamlı bir cevap bulmak için buradayız.

Uzun yıllardır finans ve siber güvenlik alanında edindiğim tecrübelerle söyleyebilirim ki, bu tür olaylar maalesef giderek artıyor ve tüketicilerin en büyük korkularından biri haline geldi. Ancak bilmelisiniz ki, yalnız değilsiniz ve bu durumda haklarınızı bilmek, doğru adımları atmak büyük önem taşıyor.

2FA: Güvenliğin Kalkanı Nasıl Delinir?

Öncelikle 2FA'nın ne olduğunu ve neden bu kadar önemli kabul edildiğini hatırlayalım: Şifrenizin çalınması durumunda bile, ek bir doğrulama adımı (genellikle cep telefonunuza gelen SMS kodu veya mobil uygulama onayı) olmadan hesabınıza erişimi engellemek. Bu, çoğu durumda oldukça etkili bir kalkan görevi görür. Peki sizin durumunuzda bu kalkan nasıl delinmiş olabilir? İşte sıkça karşılaşılan senaryolar:

• SIM Kart Dolandırıcılığı (SIM Swap): Bu, belki de en sık karşılaşılan ve en tehlikeli yöntemlerden biri. Dolandırıcılar, sizin kimlik bilgilerinizi ele geçirerek veya sosyal mühendislik yoluyla GSM operatörünüzü arayıp SIM kartınızı kendi üzerlerine geçiriyorlar. Sizin hattınız aniden kapanırken, onların elindeki SIM kart sizin numaranızla aktif hale geliyor. Böylece bankadan gelen tüm SMS kodları veya arama onayları doğrudan onların telefonuna düşüyor. Bir anda, 2FA'nız sizin aleyhinize dönmüş oluyor.
• Phishing ve Sosyal Mühendislik ile Onay Tuzağı: Bazen dolandırıcılar, sizi sahte bir banka sitesine yönlendirerek veya "güvenlik güncellemesi" gibi bahanelerle arayarak bilgilerinizi ele geçirmeye çalışır. Bu esnada sizden şifrenizi ve hatta SMS kodunu girmenizi isteyebilirler. Daha tehlikelisi ise, bir işlem yapmıyorken bile size "Mobil Onay" bildirimi gönderip, panikle veya dikkatsizlikle onaylamanızı sağlamalarıdır. "Sakın onaylama" yazısını görmezden gelmeniz veya fark etmemeniz durumunda, işlemi siz onaylamış gibi olursunuz.
• Zararlı Yazılımlar (Trojanlar): Cihazınıza (bilgisayar veya telefon) bulaşmış kötü niyetli bir yazılım, ekranınızı uzaktan kontrol edebilir, klavye girdilerinizi kaydedebilir (keylogger) ve hatta bankacılık uygulamalarınızdaki bilgileri ele geçirebilir. Bazı gelişmiş trojanlar, sizin SMS'lerinizi de okuyarak 2FA kodlarını dolandırıcılara iletebilir.
• Tarayıcı/Cihaz Güvenlik Açıkları: Nadiren de olsa, kullandığınız tarayıcıda veya cihazın işletim sisteminde keşfedilen kritik bir güvenlik açığı, siber korsanların sisteme sızmasına olanak sağlayabilir. Ancak bu tür saldırılar genellikle çok hedefli ve sofistike olur.

Gördüğünüz gibi, 2FA açıkken bile hesabınızdan para çekilebilmesi, sistemin kendi içinde bir zafiyetten ziyade, genellikle sizin veya GSM operatörünüzün maruz kaldığı bir dolandırıcılık veya cihazınızın güvenliğinin ihlal edilmesi sonucunda gerçekleşiyor.

Bankanın Hukuki Sorumluluğu: Özen Yükümlülüğü ve Tüketici Hakları

"Bankanın hukuki sorumluluğu ne?" sorusunun cevabı, olayın tam olarak nasıl geliştiğine ve kimin ne kadar kusurlu olduğuna bağlıdır. Ancak genel prensip şudur: Bankalar, müşterilerinin paralarını ve verilerini korumakla yükümlüdürler. Bu, hukuk dilinde "basiretli tacir gibi davranma yükümlülüğü" ve "özen yükümlülüğü" olarak ifade edilir.

1. Bankanın Güvenlik Altyapısı Sorumluluğu: Bankaların, internet ve mobil bankacılık sistemlerini en güncel güvenlik standartlarına uygun bir şekilde tasarlaması ve işletmesi gerekir. Eğer bankanın kendi sistemlerinde bir açık bulunuyor ve bu açık kullanılarak işlem yapıldıysa, bankanın sorumluluğu doğrudan doğar ve zararı tazmin etmesi gerekir. Ancak yukarıda bahsettiğimiz senaryolarda, genellikle bankanın sistemi doğrudan aşılmıyor, aksine üçüncü bir tarafın (sizin veya operatörünüzün) zafiyeti kullanılarak banka sistemi "kandırılıyor".
2. Delil Yükümlülüğü: Bu tür durumlarda en kritik konulardan biri delil yükümlülüğüdür. Para çekme işleminin sizin izniniz ve bilginiz dışında yapıldığını iddia ettiğinizde, banka genellikle işlemi yapanın siz olduğunuzu veya sizin ağır kusurlu olduğunuzu kanıtlama yoluna gidecektir. Banka, sistem kayıtları (IP adresleri, işlem zamanları, kullanılan cihaz bilgileri vb.) ile işlem onayının sizin telefonunuzdan veya bankanın mobil uygulaması üzerinden geldiğini kanıtlamaya çalışacaktır.
3. Tüketiciyi Koruma Kanunu ve Bankacılık Kanunu: Türk hukukunda Tüketiciyi Koruma Kanunu (6502 sayılı kanun) ve Bankacılık Kanunu (5411 sayılı kanun) çerçevesinde tüketiciler korunmaktadır. Özellikle haksız şartlar, ayıplı hizmet gibi kavramlar bu tür durumlara uygulanabilir. Bankalar, müşterilerini olası siber tehditlere karşı bilgilendirme ve uyarma yükümlülüğüne de sahiptir. Eğer bir işlemde sizin ağır kusurunuz yoksa, bankanın zararı tazmin etme yükümlülüğü oluşabilir. Örneğin, Yargıtay'ın geçmiş kararlarında, SIM kart dolandırıcılığı gibi durumlarda, bankanın da güvenlik önlemlerini artırması gerektiği, sadece müşteriye yüklenemeyeceği yönünde kararlar çıkmıştır.

"Sizin Ağır Kusurunuz" Ne Anlama Gelir?

Bankalar, sorumluluktan kurtulmak için genellikle "müşteri ağır kusurludur" argümanını kullanır. Peki bu ne demek?
Şifrenizi kimseyle paylaşmanız,
Kolay tahmin edilebilir şifreler kullanmanız,
Cihazınızı virüslere karşı korumamanız (antivirüs yazılımı olmaması, güncellemeleri yapmama),
Sahte sitelere bilerek veya bariz bir dikkatsizlikle bilgilerinizi girmeniz,
* Bankadan gelmeyen bir SMS kodunu veya onayı bizzat sisteme girmeniz/onaylamanız.

Eğer sizin tarafınızda bu tür ağır bir kusur tespit edilemezse, sorumluluğun bankaya kayması daha olasıdır. Özellikle SIM kart dolandırıcılığı vakalarında, sizin direkt bir ihmaliniz olmaksızın hattınızın kopyalanması durumunda, mahkemeler genellikle bankayı veya GSM operatörünü de sorumlu tutma eğilimindedir. Bankanın, bu tür işlemlerde, risk skorlama modelleriyle "rutin dışı" işlemleri tespit edip ek doğrulama yapması beklenir.

Ne Yapmalısınız? Adım Adım Rehber

Şu anda yapmanız gerekenler oldukça kritik:

1. Hemen Bankanızla İletişime Geçin: Para çekildiğini fark ettiğiniz an, bankanızın çağrı merkezini arayın ve durumu bildirin. İşlemin acil olarak durdurulmasını veya tersine çevrilmesini talep edin. Bu ilk ve en önemli adımdır. Tüm görüşmeleri, arama saatlerini ve görüştüğünüz kişilerin isimlerini not alın.
2. Suç Duyurusunda Bulunun: En yakın Cumhuriyet Başsavcılığı'na veya Emniyet Müdürlüğü Siber Suçlarla Mücadele Şubesi'ne giderek suç duyurusunda bulunun. Bu, resmi bir kayıt oluşturmanızı ve olayın soruşturulmasını sağlamanızı sağlar. Savcılık, bankadan ve GSM operatöründen gerekli kayıtları isteyecektir.
3. Tüm Kanıtları Toplayın:
   • Hesabınızdan çekilen paraya ait işlem dekontları.
   • Mobil onay veya SMS geçmişine dair ekran görüntüleri (varsa).
   • Bankanızla yaptığınız yazışmaların kayıtları.
   • SIM kartınızla ilgili operatörden alabileceğiniz bilgiler (SIM kartın değişip değişmediği, ne zaman değiştiği gibi).
   • Kullandığınız cihazların (telefon, bilgisayar) güvenlik durumu hakkında bilgiler (antivirüs taraması sonuçları, işletim sistemi güncellemeleri).
4. Bankaya Yazılı Başvuru Yapın: Bankanıza noter aracılığıyla ihtarname çekebilir veya bankanın kendi şikayet mekanizmaları üzerinden yazılı başvuru yaparak, zararınızın karşılanmasını talep edin. Dilekçenizde olayın tüm detaylarını, 2FA'nın açık olduğunu ve bu işlemin sizin bilginiz ve onayınız dışında gerçekleştiğini açıkça belirtin.
5. Tüketici Hakem Heyeti veya Mahkeme: Bankanız talebinizi reddederse, belirli bir miktara kadar olan uyuşmazlıklar için Tüketici Hakem Heyetleri'ne başvurabilirsiniz. Daha yüksek meblağlar için ise Tüketici Mahkemeleri'nde dava açmanız gerekecektir. Bu süreçte bir avukattan destek almak, yasal haklarınızı en iyi şekilde savunmanız açısından çok önemlidir. Avukatınız, ilgili yasal mevzuatı ve Yargıtay kararlarını inceleyerek size en doğru yolu gösterecektir.

Bir Daha Yaşamamak İçin Önleyici Tedbirler

Bu tatsız deneyimden sonra, gelecekte benzer durumları yaşamamak için alabileceğiniz bazı önlemler var:

• SIM Kilidi ve Operatörünüzle İletişim: SIM kartınıza güçlü bir PIN kodu koyun. Ayrıca, GSM operatörünüze giderek, SIM kart değişikliği veya hat taşıma gibi işlemler için ek güvenlik adımları (örneğin, sadece kimliğinizle şubeye giderek işlem yapılması) talep edin. Bu, SIM swap dolandırıcılığına karşı en önemli adımdır.
• Mobil Onay Uygulamalarını Tercih Edin: Mümkünse SMS tabanlı 2FA yerine, bankanızın kendi mobil uygulaması üzerinden sunulan (Push Notification) onay mekanizmalarını kullanın. Bu sistemler, genellikle SIM kart dolandırıcılığına karşı daha dirençlidir.
• Dikkatli Olun, Her Şeye Onay Vermeyin: Bankanızdan gelmediğini düşündüğünüz veya şüpheli gördüğünüz hiçbir SMS'e veya bildirime cevap vermeyin, linklere tıklamayın, "onay" tuşuna basmayın. Bilmediğiniz bir işlem için sizden onay isteniyorsa, KESİNLİKLE ONAYLAMAYIN!
• Cihaz Güvenliğinizi Sağlayın: Bilgisayar ve telefonlarınızda güncel ve lisanslı antivirüs yazılımları kullanın. İşletim sistemlerinizi ve uygulamalarınızı düzenli olarak güncelleyin. Bilmediğiniz kaynaklardan uygulama indirmeyin.
• Şifrelerinizi Güçlü Tutun ve Kimseyle Paylaşmayın: Her hesap için farklı ve karmaşık şifreler kullanın. Şifrelerinizi asla başkalarıyla paylaşmayın.

Sonuç

Yaşadığınız olay ne yazık ki modern bankacılık sistemlerinin de tamamen kusursuz olmadığını gösteriyor. Ancak bu, sizin tüm sorumluluğu üstlenmeniz gerektiği anlamına gelmez. Bankaların da güvenlik sistemlerini sürekli geliştirmesi ve tüketicileri koruması yasal bir zorunluluktur.

Unutmayın, bu bir mücadeledir ve haklarınızı aramak önemlidir. Yukarıdaki adımları titizlikle uygulayarak ve yasal destek alarak bu süreci en doğru şekilde yönetebilir, zararlarınızın tazminini sağlayabilirsiniz. Umarım bu bilgiler size yol gösterir ve bu zorlu süreci en az zararla atlatmanıza yardımcı olur. Her zaman yanınızdayız.