İnternet Bankacılığı Dolandırıcılığında Bankanın Sorumluluğu

Yazar: Avukat Murat Osman KANDIR

1.Giriş

Endüstri 4.0 ile başlayan dijitalleşme hayatın her alanında olduğu gibi finans alanında da yoğun bir dönüşümün yaşanmasına neden olmuştur. Artan personel ve şube giderlerinin de azalmasını sağlayan dijital bankacılık teknolojileri hızla şubeden bankacılık hizmetlerinin yerini almıştır. Bankalar şube ve personel sayılarını azaltarak büyük tasarruflar sağlamışlardır. Ancak bu alandaki en büyük handikap ise yeterli seviyede dijital okur yazar olmayan banka müşterilerinin dijital dünyada birçok tehlike ile karşı karşıya kalmalarına neden olmuştur. Her alanda olduğu gibi dijital bankacılık alanında da kolay kazanç sağlama peşinde olan siber dünyanın suçluları bu handikaptan faydalanmak için siber saldırılar yapmakta ve dijital bankacılık müşterilerini mağdur etmektedirler.

2.Kişisel Veri İhlallerinin Önemi

Bankacılık hizmetlerinde uygulanan kimlik doğrulama mekanizmalarında birincil derecede T.C. Kimlik numarası kullanılmaktadır. Kullanıcı adı olarak kullanılan T.C. kimlik numarası bir parola ile birlikte dijital bankacılığın erişim kontrol mekanizmasını oluşturmaktadır. Ayrıca çift faktörlü koruma gereği bankacılık müşterilerine SMS (kısa mesaj) gönderip içerisindeki kodu kullanarak erişim sağlamasına izin vermektedir. Burada bir kişisel veri olan T.C. Kimlik numarasının mahremiyetinin korunması büyük önem taşımaktadır. Banka müşterilerinin kimliklerini ele geçirmeye çalışan siber saldırganlar kişisel verileri ele geçirmek için birçok yol ve yönteme başvurmaktadırlar. Ancak bu konuda bir diğer önemli konu ise zaman zaman kurum ve şirketlerin yaşadığı veri ihlalleridir. Yaşanan bu veri ihlalleri sonrasında kişisel verileri ihlal edilen kişiler çeşitli dolandırıcılık olayları ile karşı karşıya kalmaktadırlar.

            Kişisel verileri ihlale uğrayıp kötü niyetli insanların eline geçen kişiler sosyal mühendislik saldırıları ile karşı karşıya kalmaktadırlar. Özellikle belli bir yaşın üzerindeki dijital bankacılık hizmetleri kullanıcıları çeşitli teknolojilerin yardımıyla hizmet aldıkları bankalardan kendilerine ulaşan kişi süsü verilmiş saldırganların tuzağına düşmektedirler. Yapay zekâ teknolojilerinin gelişmesiyle birlikte hem görüntü hem de ses taklitleri yapılabilmekte ve bu sahte medyalar sosyal mühendislik saldırılarında kullanılabilmektedir. Teknolojinin yardımıyla kendilerini bankadan arayan görevli gibi gösteren siber dolandırıcılar aynı zamanda ele geçirdikleri kişisel verileri kullanarak kişilerin üzerinde güven yaratmakta ve kimlik avı saldırılarıyla birlikte kişilerin banka hesaplarına izinsiz erişim sağlamaktadırlar.

3. Dolandırıcılık Yöntemleri

            Siber dolandırıcılar internet kullanıcılarının dikkatini çekmek için çoğunlukla sosyal medyadan faydalanmaktadırlar. Sosyal ağ uygulamalarında sahte ve ilgi çekici ilanlar vermekte ve kullanıcıların dikkatini çekmeyi başarmaktadırlar. Banka müşterilerinden tahsil edilen banka kartı aidatlarının geri ödenmesi ve banka müşterilerinin çeşitli kredi ürünlerini kullanırken yaptırmak zorunda oldukları sigorta poliçeleri için kesilen miktarların geri ödenmesi konuları son günlerde revaçta olan ve dolandırıcılar tarafından kişileri kandırmakta kullanılan kazanç vaatleridir. Sosyal ağlarda bu tür ilanlar ile kişilerin ilgisini çeken dolandırıcılar kişilere telefonla ulaşarak iradeleri dışında hareket etmeye zorlamakta ve banka hesaplarını ele geçirerek kişileri mağdur etmektedirler.

Son günlerde en fazla gerçekleşen dolandırıcılık olaylarının başında gelen irade dışı kredi kullanılması olayıdır. Kullanılan krediler başka banka hesaplarına transfer edilerek hesap sahipleri mağdur edilmektedir. Bu tür dolandırıcılıklarda Bankaların müşterilerden hesap açılışında almış oldukları kişisel veriler ile bankalardaki işlem geçmişlerine ait bilgilerin kullanılması bankaların zaman zaman veri ihlalleri yaşamış olabileceği şüphesini akıllara getirmektedir.

3. Bankaların Şüpheli İşlemleri Tespit Yöntemleri

Yapay zekâ teknolojilerinin gelişmesinin en büyük faydalarından birisi de çok miktarda veriyi hızlı bir şekilde işleyerek anlamlı analizlerin yapılabilmesidir. Özellikle Şüpheli bankacılık işlemlerinin hızlı bir şekilde tespit edilebilmesi müşteri mağduriyetlerini önleyici tedbirlerin alınmasına olanak verecektir. Bankalar nasıl şubeden yapılan bankacılık işlemlerinde her bir müşteriden kendilerini tanımlayacak kimlik kartı gibi belgeleri talep ederek birkaç duyuları ile müşterilerin kimliklerini teyit etme ihtiyacı duyuyorlarsa aynı hassasiyeti internet bankacılığı ve mobil bankacılık gibi dijital bankacılık hizmetlerinde de göstermek zorundadırlar.

19.10.2005 tarihli ve 5411 sayılı Bankacılık Kanununun 93’üncü maddesi uyarınca Bankacılık Düzenleme ve Denetleme Kurumu tarafından düzenlenen Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te ayrıntılı bir şekilde bankaların uyması gereken kurallar ve bankaların sorumlulukları belirtilmiştir. Bankalar yönetmelikteki sorumluluklarını yerine getirmek için her türlü teknik tedbiri almak zorundadır. Müşterilerine verdikleri dijital bankacılık hizmetlerindeki her türlü riski sıfırlamak ve güvenli bir hizmet vermek sorumluluklarının başında gelmektedir. Ayrıca verdikleri hizmetin güvenlik derecesi müşterilerin bankaya güven duymasını sağlayacaktır. Söz konusu sorumluluk yönetmelikte belirtilmiştir:

“İşlemlerin takibi başlıklı 36. Madde

(1) Banka, elektronik bankacılık hizmetleri kapsamında gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk unsurları takip edilir:

a) Finansal sonuç doğuran işlemlere yönelik bilinen dolandırıcılık yöntemleri,

b) Gerçekleştirilen her bir bankacılık işleminin tutarı ve bu tutarlara göre müşterinin konum bilgisi de kullanılarak normal dışı bir ödeme, fon transferi ya da davranış deseni gösterip göstermediği,

c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele geçirilmiş kimlik doğrulama unsurlarının listesi,

ç) Her bir kimlik doğrulama oturumuna yönelik olarak zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.

(2) Banka, riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder. Riskli işlemlerin gerçekleştirildiğinin tespit edilmesi halinde banka, telefon ya da kısa mesaj gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar.”

Yönetmelik maddesinden de anlaşılacağı üzere yasal düzenlemeler bankaya şüpheli işlemler konusunda ciddi sorumluluklar yüklemektedir. Bankaların bu konuda teknolojiyi de kullanarak çok dikkatli davranmaları gerekmektedir.

4. Bankanın Sorumluluğu

Bankalar, kişilerin kendilerine emanet ettiği ekonomik değerleri korumak zorundadırlar. Ayrıca müşterilerine eğer dijital bir hizmet verecekler ise hiçbir riski müşterilerine yüklememek zorundadırlar. Tüm riskler banka tarafından üstlenilir ve yok edilmeye çalışılır. Çünkü bankacılık hizmetlerinde asıl olan şubeden yüz yüze bankacılıktır. Dijital bankacılık her ne kadar müşteriye kolaylık sağlasa da asıl kazananı banka olmaktadır. Büyük bir tasarruf sağlamaktadır. Ayrıca kolayca kullandırdığı krediler sonucunda da kazancını artırmaktadır. Bu konuyu yine aynı yönetmelikte dijital bankacılığın müşteri tarafından talep edilmesi konusu belirtilmektedir.

“Müşterilerin bilgilendirilmesi başlıklı 37. MADDE  

(5) Banka, müşteri talebi olmadan internet bankacılığı ve mobil bankacılık hizmetini ilgili müşterinin kullanımına açamaz. Müşteri, herhangi bir elektronik bankacılık hizmetine erişimini kapatmışsa veya kapattırmışsa, müşterinin yeni bir talebi olmadan ilgili hizmet kullanıma açılamaz.”

Ancak uygulamada dijital bankacılık açılırken çoğu zaman müşterinin talebi olmadan banka tarafından açılmaktadır. Bu olayı normal olarak kabul eden müşteriler sorgulamadan kullanmaya devam etmektedir. Ayrıca mobil telefon kullanımının yaygınlaşması da dijital bankacılık kullanımını artırmıştır. Şüpheli kişiler tarafından müşterilerin hesaplarına erişimin engellenmesi için yasa koyucu çeşitli düzenlemelerde tüm sorumluluğu bankalara vermiştir:

“Bankacılık Düzenleme ve Denetleme Kurumundan: 31441 sayılı ve 1 Nisan 2021 tarihli Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik

Kimliği tespit edilecek kişinin doğrulanması ana başlıklı Verilerin kaydedilmesi ve saklanması başlıklı 10. Madde

(1) Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gerekliliklerine ilişkin ilgili mevzuat hükümleri saklıdır.

Uzaktan kimlik tespitinde sorumluluk başlıklı 11. Madde

(1) Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. Banka uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankadadır.”

Yasal düzenlemeden de görüleceği üzere Bankanın hiçbir şekilde müşterinin banka hesabına şüpheli erişime müsaade etmemesi gerekmektedir. Bunu sağlamak için tüm imkanlarını kullanmak ve güvenli dijital bankacılık hizmetini sunmak zorundadır.

5.Sonuç

Bankacılık hizmeti özel ve büyük özen gösterilecek bir hizmettir. Bu nedenle sıkı bir denetim ve kurallara sahiptir. Bu hizmeti vermek isteyen şirketler de bu zorlukları bilerek ve riskleri göze alarak bu işe girerler. Zaten yasal düzenlemelerde bu yöndedir. Gerçekleşen internet bankacılığı dolandırıcılığı sonrasında kusuru müşteriye yüklemeye çalışmak bir bankacılık refleksi olarak gerçekleşir. Ancak bu tür durumlarda olay dikkatlice incelenmeli ve dijital deliller ile olayın oluş biçimi analiz edilmelidir. Özellikle bankaların mutlaka kullanmak zorunda oldukları şüpheli bankacılık işlemi tespit sistemlerinin düzgün konfigürasyon edilip edilmediği incelenmelidir. Çünkü yapay zekanın gelişmesiyle bu sistemler çok başarılı sonuçlar vermektedir.

Müşterilerin geçmiş işlemleri de kullanılarak eğitilen yapay zekâ sayesinde gerçek zamanlı şüpheli işlem tespiti artık kolayca sağlanmaktadır. Bugüne kadar yayınlanmış yasla düzenlemelerde de tüm sorumluluk bankaya verilmiştir. Bu nedenle gerekli hassasiyetin gösterilerek müşterilerin mağdur edilmemesi bankanın en önemli hizmeti olacaktır.

Yazarın tüm Blog yazılarını okumak için bağlantıya tıklayınız.

Yazarın 9. Sayı’mızda yayınlanan “Yapay Zeka ve Geleceğin Mahkemeleri” isimli yazısını bağlantıdan okuyabilirsiniz.

Avukat Murat Osman KANDIR / Bilgisayar Yüksek Mühendisi