İnternet Bankacılığında Çalınmadan Kim Sorumlu?
Bu soru son zamanlarda bana en çok yöneltilen sorulardan biri. Çünkü internet bankacılığı yaygınlaştıkça, internet bankacılığını kullanan kişilerin hesaplarından para çalınması vakaları da çoğalmaya başladı. Her yazımda belirttiğim gibi, internet bir yandan yaşamımızı kolaylaştırırken, diğer yandan da klasik suçlulara göre yakalanmaları daha zor, suç işlemeleri ise daha kolay olan siber suçluları ortaya çıkardı.
Bugün bu suçluların verdikleri maddi zararlar online olarak işlem gören değerlerin (internet bankacılığı, sermaye piyasasında merkezi kayıt sisteminin kurulması gibi) çoğalmasıyla çok büyük boyutlara ulaşmış bulunuyor.
Ülkemizdeki durumdan bahsetmeden önce kısa süre önce ABD?de yaşanan bir olaydan bahsetmek istiyorum. Bu olayda 'internet bankacılığı kullanan' bir banka müşterisinin 'bankasına karşı açtığı bir dava' söz konusu.
Bu Şubat ayının başlarında Joe Lopez adlı bir işadamının banka hesabından 90.000 USD çalındı. Lopez?e göre para, birilerinin bilgisayarına girip, banka hesabı bilgilerine ulaşmasıyla çalındı. Ona göre para, bankasının hacker?ların bilgisayarına kolayca erişmelerini sağlayan bir virüse karşı kendisini uyarmadaki ihmali sebebiyle çalındı.
Bu dava ABD?de siber suçlular tarafından çalınan paranın geri alınması için bir müşteri tarafından bir bankaya karşı açılan ilk dava olma özelliğini taşıyor. Burada ABD?li hukukçular tarafından sorulan ilk soru, ?bir bilgisayar kullanıcısının bilgisayarının güvenliğinden tek başına mı sorumlu olduğu yoksa kendisi dışında kişilerin veya firmaların da sorumlu olması gerektiği mi? oldu.
Nisan 2004?te Lopez internet bankacılığı yoluyla bir para transferi yapmak için hesabına girdiğinde 90.000 USD?lık paranın kendisinin herhangibir izni veya talebi olmaksızın Litvanya?da bir bankaya havale edilmiş olduğunu gördü. Kasım ayında banka, Lopez?in bilgisayarında ?coreflood? isimli bir virüs tespit ettiğini bildirdi. Ama bu bildirimde, bu virüsün Lopez?in parasının kaybolmasına sebep olup olmadığı belirtilmiyordu.
Bu virüs bir saldırgana, bulaştığı bilgisayara uzaktan erişme imkanı veren bir virüstü. Fakat şimdiye kadar, bankanın virüsün taşıdığı bu riskten haberdar olup olmadığına dair bir belirleme olmadı.
Bankanın Lopez?e ve avukatına yolldığı yazıda, bankanın kendi sisteminden kaynaklanmayan böyle bir hack olayından sorumlu olmadığı belirtiliyordu. Ayrıca bu yazıda Lopez?e, Litvanya?daki güvenlik güçleriyle ve bankayla temasa geçmesi ve hakkını orada araması söyleniyordu. Bunun üzerine Lopez bankasına karşı dava açmaya karar verdi. Bu davada dayandığı nokta ise, bankanın kendisini ?coreflood? virüsü hakkında uyarmada ihmalinin olmasıydı.
Dava devam ediyor. ABD?li hukukçulara göre, elbette bankalar yasal olarak kendi sistemlerinin ve ağlarının güvenliğini sağlamaktan sorumludurlar. Eğer bir müşteri bankaya güvenerek parasını ve kişisel verilerini bankaya teslim ediyorsa, banka da tüm makul güvenlik önlemlerini almak zorundadır. Ayrıca banka internet bankacılığı için kendi hazırlattığı bir programı müşterinin kullanmasını isterse ve bu programdaki bir açıktan dolayı müşteri zarara uğrarsa banka bundan da sorumlu olacaktır (ki böyle bir durum Lopez?in davasında yoktur).
Yine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır. Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedir.
Yine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır. Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedir.
Peki bir banka müşterisinin bilgisayarını da koruma yükümlülüğü altında mıdır?
ABD?li hukukçular buna ?hayır? yanıtını veriyorlar. Onlara göre her müşteri kendi bilgisayarının güvenliğinden tek başına sorumludur. Müşteri üzerine düşen tüm özen yükümlülüğünü yerine getirmelidir. Örneğin anti-virüs programı kullanmalı, bunu sürekli güncellemeli, kullandığı işletim sisteminin güncel açıklarını yamamalıdır.
Bankadan kaynaklanmayan bir sebepten dolayı bankaları sorumlu tutmak hakkaniyete uygun bir çözüm değildir. Nasıl ki bankaların müşterilerine sağladıkları çek kutularının sorumluluğundan sadece müşteriler sorumlu oluyorlarsa, internet bankacılığında da kendi bilgisayarlarının güvenliğinden müşteriler sorumlu olmalıdır.
Eğer bankalar herhangi bir virüs veya diğer herhangi bir tehdit sebebiyle müşterilerini yasal olarak uyarmak zorunluluğunda olacaklarsa, bu virüsün nasıl önleneceğini ya da bu güvenlik açığının nasıl kapatılacağını da ayrıntılarıyla müşterisine bildirmek zorunda mıdır? Eğer böyle bir ayrıntılı bildirim yükümlülüğü olmayacaksa bu uyarının sağlayacağı fayda çok az olacaktır. Eğer böyle bir yükümlülüğü olacaksa bu durum bankalara çok ağır bir yük getirecektir.
Sonuç olarak bankalara müşterilerinin bilgisayarlarını da koruma yükümlülüğünün getirilmesi pratik bir yaklaşım değildir. Haksız fiil hukuku makul bir özen yükümlülüğünü öngörmektedir. Bankaların hack eylemlerine karşı yasal sorumluluğu, hakkında bilgi sahibi oldukları ve kendi kontrolleri altındaki kendi sistemleri ve ağları ile sınırlı olmalıdır.
Ülkemizde de buna benzer olaylar yaşandı ve yaşanmaya devam ediyor. Olayların bir kısmında bankalar müşterilerinin uğradıkları zararları kendi risk sermayelerinden karşıladılar. Fakat bazı durumlarda ABD?de olduğu gibi bankalar karşı bankaların sorumluluğuna dayanılarak davalar açıldı.
Davalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının ?internet bankacılığı taahhütnamesi? ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu ileri sürdü.
Bu davalardan birinde davacı, çalıştığı şirketin bilgisayar sistemine yapılan saldırıyı takiben aynı gün internet aracılığı ile bankasındaki hesabına ulaşmaya çalışırken, sistemin önceden kullandığı şifreyi kabul etmediğini ve hesabına ulaşamadığını, daha sonra şubeden yeni hesap kodu ve şifresi almak zorunda kaldığını, hesabına ulaştığında normal zamanlarda ekrana gelen son beş işlemin görünmediğini ve hesaptaki paranın tanımadığı biri adına bilgisi ve izni dışında havale edildiğini, bankanın bu olayda kusurunun ve sorumluluğunun bulunduğunu, bankanın kullandığı her türlü sistemin güvenliğinden sorumlu olduğunu belirterek hesabından izni ve bilgisi dışında çekilen paranın ödeme tarihindeki kur üzerinden yasal faizi ile birlikte davalı bankadan tahsiline karar verilmesini talep etmiştir.
Davalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının ?internet bankacılığı taahhütnamesi? ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu, davacının dava konusu zarara kendi kusuru ile sebep olduğunu, davacının banka sistemleri hakkında ileri sürdüğü iddiaların mesnetsiz olduğunu, davacının dava konusu işlemlerin hangi servis sağlayıcı firma ve hangi IP numarası üzerinden yapıldığına dair bilgileri ise bankanın sağlamak zorunda olmadığını belirterek davanın reddini talep etmiştir.
Kararın gerekçesinde ise, davacının kendi egemenlik sahasında nezaret ve denetimi altında bulunan kişiler vasıtası ile şifrelerin, kullanıcı isimlerinin ve kredi kartı bilgilerinin ele geçirilmesinde davalı bankanın bir kusurunun bulunmadığı, aksine davacının kendi egemenlik sahasında, denetim ve nezaretinde bulunan kişileri denetlemekte ihmali bulunduğu belirtilmiştir.
Karara göre, elektronik bankacılık işlemlerini gerçekleştiren bireylerin bu tür olaylara karşı kendi güvenliklerini sağlamak yönünden faaliyet göstermeleri de lazımdır. Davalı bankanın davacı ile yaptığı sözleşmeye sorumsuzluk kaydı koyarak elektronik bankacılık işlemlerinden doğacak zararlardan sorumlu olmayacağı yönündeki kayıt Medeni Kanun m.2 ve Borçlar Kanunu m.99 uyarınca hükümsüzdür. Bankanın Elektronik Bankacılık Sözleşmesinde asli borcu elektronik bankacılık işlemlerinin güvenle yapılmasını sağlamaktır. Bankanın bu borcu süreklilik arzettiği gibi, onun bu borcu yerine getirmesinde ihmale düşmesi halinde sorumlu tutulamayacağına yönelik sözleşme kayıtları da tekel niteliğinde faaliyet yürüten Bankalar açısından hükümsüz sayılmalıdır. Davalı banka elektronik bankacılık sözleşmelerindeki asli borcu olan güvenlik ortamını sağlama ve bu ortamın devamlılığını gerçekleştirme yolunda faaliyet gösterme borcunu ihmal etmiş ve davacının zararının oluşmasına kusurlu hareketleri ile sebebiyet vermiştir.
Davacı da elektronik bankacılık işlemlerini gerçekleştirmesini sağlayan gizli bilgileri korumakta ihmal göstermiş ve zararın ortaya çıkmasına sebebiyet vermiştir. Davacının internet şubesi hesabından 6 defa nakit avans çekme işlemi yapılmaya çalışılmış ancak davalı bankanın bu işlemin tamamlanması için gerekli addettiği şifre doğru girilmediği için bu işlem gerçekleşmemiştir. Burada sistemde yetkisiz bir kişinin işlem yapmaya çalıştığı açıktır. Genellikle bu durumlarda kabul edilen yöntem, sisteme 2 defa şifrenin yanlış girilmesi durumunda sistemin kendisini kilitleyerek yeni bir şifre alınması için bankaya başvurulması yönünde bir uyarının müşteriye e-mail veya telefon yoluyla iletilmesidir. Nakit avans çekme konusunda 6 defa yapılan başarısız girişim sonucu sistemin kendisini kilitlemeyerek yetkisiz kişi veya kişilere davalı bankanın internet şubesinde işlem yapılmasına izin verilmesi keyfiyeti davacının hesabından ........USD?ının çekilmesine ve davacının bankada kayıtlı hesap bilgilerinin değiştirilmesine yol açmıştır. Şu halde zararın ortaya çıkmasında davacının ve davalı bankanın müterafık (birlikte) kusuru vardır. Bu kusurun oranı davacı bakımından ¾, davalı bakımından ise ¼ olarak mahkemece de kabul edilmiş ve buna göre davanın kısmen kabul kısmen reddi ile......USD?ın dava tarihinden itibaren Merkez Bankası?nın bir yıllık mevduata uyguladığı faizle birlikte davalıdan alınıp davacıya verilmesinin hak ve adalete uygun olacağı....
Denilerek davanın kısmen kabulüne karar verilmiştir. Bir başka davada ise müşterinin bilgisayarına yüklenen ?keylogger? sebebiyle müşterinin parasının çalınmasından dolayı bankaya karşı bir talepte bulunulup bulunulamayacağı tartışılmaktadır. Bu dava halen devam etmektedir.
Bugün bankalar internet bankacılığının gelişmesi için çok çeşitli tedbirler almaktadırlar. İnternet bankacılığı sayfalarında virüsler, keyloggerlar veya fake mailler gibi tehlikeler hakkında bilgiler verilmekte, sanal klavye kullanılması teşvik edilmekte veya zorunlu kılınmakta ve hatta müşterinin bankanın kendi hazırladığı güvenlik kalkanlarını bilgisayarına yüklemesi istenmektedir. Burada bankalara müşterilerini bilgilendirme konusunda önemli yükümlülükler düşmektedir. Daha ilk hesap açılırken veya müşteri internet bankacılığı kullanmaya karar verdiği ve bunu talep ettiği zaman, sadece sistemin nasıl işlediği açıklamakla kalınmamalı, ayrıca bunun riskleri, müşterinin alması gereken önlemler konusunda da müşteri yazılı olarak bilgilendirilmelidir.
Diğer önemli nokta ise suçun işlenmesinden sonra ne yapılması gerektiğidir. Ülkemizde meydana gelen olaylarda maalesef delillere ulaşılamamaktadır. Bunun en önemli sebebi ise kullanıcının, banka görevlilerinin ve olayı soruşturanların bilgi yetersizlikleridir. Bu tür olaylarda en önemli husus zamandır. Elektronik deliller hassas delillerdir. Bu sebeple zaman geçirmeden ve doğru biçimde deliller toplanmaldır. Delil toplama, saklama, değerlendirme ve bunları mahkemeye sunulabilecek hale getirme bugün ayrı bir adli dalın konusu olmuştur. ?Computer Forensic? denilen ve bizim ?Adli Bilişim? olarak adlandırdığımız bu yeni adli alana ilişkin usuller kullanılarak artık bilişim suçlarında veya elektronik delillerin kullanıldığı hukuk davalarında çok iyi sonuçlar alınmaktadır. Fakat bu alanın gelişmesi için birkaç ana unsura ihtiyaç bulunmaktadır. Bunlar yetişmiş insan gücü, teknolojik yatırım ve gerekli yasal düzenlemelerdir.
İnternet bankacılığı davalarının da bize gösterdiği gibi elektronik delillerin işin içine girdiği davaların sayısı gitgide artmaktadır. Bu sebeple elektronik deliller ve elektronik keşif ile ilgili ayrıntılı yasal düzenlemelerin bir an önce yapılması gerekmektedir.
Av Ali Osman Özdilek