İnternet Bankacılık Dolandırıcılığında Bankanın Sorumluluğu
Yazar: Avukat Murat Osman KANDIR / Bilgisayar Yüksek Mühendisi
1. Giriş
Endüstri 4.0 süreciyle ivme kazanan dijitalleşme dalgası, sosyal hayatın yanı sıra finans sektöründe de köklü bir transformasyona yol açmıştır. Operasyonel maliyetleri ve personel giderlerini minimize etme gayesi güden bankalar, geleneksel şube bankacılığını hızla dijital platformlara taşımıştır. Bu stratejik dönüşüm bankalara ciddi tasarruflar sağlarken, madalyonun diğer yüzünde dijital okuryazarlığı düşük olan geniş bir müşteri kitlesinin siber risklere açık hale gelmesi gerçeği yatmaktadır. Finansal ekosistemin bu kırılgan noktasını hedef alan siber suçlular, teknolojik boşluklardan ve kullanıcı hatalarından faydalanarak gerçekleştirdikleri saldırılarla dijital bankacılık müşterilerini ciddi mağduriyetlere sürüklemektedir.
2. Kişisel Veri İhlalleri ve Güvenlik Parametreleri
Güncel dijital bankacılık pratiklerinde kimlik doğrulama süreçlerinin temel taşı T.C. Kimlik numarasıdır. Bu veri, birincil kullanıcı kimliği işlevi görerek belirlenen parolalarla birlikte erişim kontrol mekanizmasının çekirdeğini oluşturur. Ayrıca, mevzuat gereği uygulanan çift faktörlü doğrulama (2FA) kapsamında iletilen SMS kodları, güvenlik duvarının ikinci aşamasını teşkil eder. Dolayısıyla, birer kişisel veri olan bu parametrelerin mahremiyeti kritik öneme haizdir. Saldırganlar bu verilere ulaşmak için sofistike yöntemler geliştirse de asıl tehlike çoğu zaman kurumların sistemlerinden kaynaklanan veri ihlalleridir. Sızdırılan bu veriler, kötü niyetli aktörlerin elinde organize dolandırıcılık faaliyetlerinin yakıtı haline gelmektedir.
Verileri hukuka aykırı şekilde ele geçirilen bireyler, özellikle “sosyal mühendislik” adı verilen manipülasyon tekniklerine maruz kalmaktadır. Özellikle teknolojik adaptasyonu zayıf yaş grupları, yapay zekâ destekli görüntü ve ses taklidi (deepfake) yöntemleriyle kendisini banka personeli olarak tanıtan saldırganların hedefi olmaktadır. Ele geçirilen kişisel verilerin saldırgan tarafından “güven telkin etmek” amacıyla kullanılması, kimlik avı saldırılarının başarı oranını artırmakta ve banka hesaplarına yetkisiz erişimin kapısını aralamaktadır.
3. Güncel Dolandırıcılık Metodolojileri ve Siber Tehdit Ekosistemi
Dijital bankacılık ekosisteminde suç metodolojileri, basit tekniklerden sofistike, çok katmanlı ve psikolojik manipülasyon odaklı operasyonlara evrilmiştir. Günümüzde siber saldırganlar sadece teknolojik açıkları değil, doğrudan “insan” faktörünü bir zafiyet olarak kullanmaktadır.
3.1. Sosyal Mühendislik ve Dijital Manipülasyon
Siber dolandırıcılar, kullanıcıların güvenini kazanmak veya onları panikletmek amacıyla sosyal mühendislik tekniklerine başvurmaktadır. Sosyal medya platformlarında (Instagram, Facebook, X) sponsorlu içerik olarak sunulan “kart aidat iadesi”, “dosya masrafı geri ödemesi” veya “düşük faizli kredi onayı” gibi sahte ilanlar, kullanıcıları manipüle etmenin en yaygın yoludur. Bu ilanlara tıklayan mağdurlar, bankaların resmi arayüzleriyle birebir aynı tasarlanmış “oltalama” (phishing) sitelerine yönlendirilmektedir. Burada girilen her veri (T.C. kimlik numarası, internet şifresi, telefon numarası), eş zamanlı olarak saldırganın ekranına düşmekte ve gerçek zamanlı bir hesap ele geçirme süreci başlamaktadır.
3.2. Yapay Zekâ Destekli Saldırılar: Deepfake ve Ses Taklidi
Yapay zekâ teknolojilerinin (GenAI) sunduğu imkânlar, dolandırıcılık faaliyetlerini “hiper-gerçekçi” bir boyuta taşımıştır. Günümüzde saldırganlar, hedef aldıkları kişinin sesini veya banka personeli olduğu iddia edilen bir yetkilinin sesini birkaç saniyelik örneklem ile taklit edebilmektedir. “Vishing” (sesli oltalama) olarak adlandırılan bu yöntemde, mağdurlar kendilerini bankadan aradığını sandıkları yapay zekâ botları veya taklit seslerle konuşarak, iradeleri sakatlanmış bir şekilde tek kullanımlık SMS şifrelerini (OTP) saldırganlara teslim etmektedirler.
3.3. İrade Dışı Kredi Kullanımı ve Fon Transferleri
Son dönemde yargıya en çok yansıyan vakaların başında, müşterinin haberi veya gerçek rızası olmaksızın adına tanımlanan “hazır kredi” limitlerinin saniyeler içinde kullanılması gelmektedir. Saldırganlar sisteme sızdıktan sonra, bankanın sunduğu “hızlı kredi” imkânlarını aktive ederek tutarı derhal “para katırı” (money mule) olarak adlandırılan ve genellikle izi sürülemeyen üçüncü şahıs hesaplarına aktarmaktadır. Bu süreçte bankaların, müşterinin alışılmış işlem hacminin ve hayatın olağan akışının çok üzerindeki bu ani kredi ve transfer trafiğini “şüpheli işlem” olarak algılayıp durdurmaması, sistemin en büyük yapısal açığıdır.
3.4. Zararlı Yazılımlar ve Uzaktan Erişim (RAT)
Mobil cihazlara yüklenen “hediye çeki”, “kargo takip” veya “banka güncelleme” görünümlü sahte uygulamalar, cihazlara Uzaktan Erişim Truva Atı (RAT) yerleştirilmesine neden olmaktadır. Bu yazılımlar sayesinde dolandırıcılar, kullanıcının ekranını izleyebilmekte, gelen SMS’leri okuyabilmekte ve hatta kullanıcı hissetmeden arka planda bankacılık işlemlerini gerçekleştirebilmektedir. Bu noktada, bankanın mobil uygulamasının cihazdaki bu tür zararlı yazılımları/erişimleri tespit edip işlemi engelleme sorumluluğu, teknik güvenliğin vazgeçilmez bir parçasıdır.
3.5. Veri İhlalleri ve Hedefli Saldırılar
Dolandırıcıların bazen müşterinin anne kızlık soyadı, doğum yeri veya son harcamaları gibi çok spesifik bilgilere sahip olduğu görülmektedir. Bu durum, kamuoyuna yansımış veya gizli kalmış kurum içi/dışı “veri ihlalleri” şüphesini doğurmaktadır. Elde edilen bu nitelikli verilerle yapılan saldırılar, müşterinin savunma mekanizmasını tamamen çökertmekte; çünkü arayan kişinin “gerçek banka görevlisi” olduğuna dair sarsılmaz bir kanaat oluşturmaktadır.
Bu karmaşık metodolojiler karşısında, bankaların sadece klasik şifreleme yöntemlerine güvenmesi yeterli değildir; davranışsal biyometri ve yapay zeka tabanlı anomali tespit sistemlerinin eksiksiz çalıştırılması bir tercih değil, hukuki bir zorunluluktur.
4. Şüpheli İşlemlerin Tespiti ve Teknolojik Altyapı
Dijital bankacılıkta güvenliğin sacayağı; sadece güçlü parolalar değil, arka planda çalışan ve milisaniyeler içinde karar veren “akıllı” denetim sistemleridir. Modern bankacılıkta şüpheli işlem tespiti, statik kurallardan dinamik ve öğrenen algoritmalara evrilmiş durumdadır.
4.1. Yapay Zekâ ve Makine Öğrenmesi (ML) Tabanlı Analiz
Geleneksel sistemler, sadece belirli bir tutarın üzerindeki işlemleri “şüpheli” olarak işaretleyen kural tabanlı yapılardı. Ancak günümüzde yapay zekâ, her bir müşterinin “finansal parmak izini” (davranışsal desenini) çıkarır. Bir müşterinin genellikle gün içinde yaptığı küçük harcamalar, aniden gece yarısı yurt dışı kaynaklı bir kripto para platformuna veya yüksek tutarlı bir EFT’ye dönüştüğünde, sistem bu sapmayı anında “anomali” olarak nitelendirir. Yapay zekâ destekli bu sistemler, işlemin hızını, tutarını, alıcı profilini ve cihazın teknik parametrelerini (IP adresi, IMEI, tarayıcı izi) saniyeler içinde analiz ederek dolandırıcılık ihtimalini puanlar (Fraud Scoring).
4.2. Davranışsal Biyometri ve Kullanıcı Profilleme
Teknolojik altyapı artık sadece “ne girildiğine” değil, “nasıl girildiğine” de bakmaktadır. Davranışsal biyometri; kullanıcının mobil uygulamada ekranı kaydırma hızı, tuşlara basış sertliği, telefonu tutuş açısı gibi eşsiz fiziksel alışkanlıklarını takip eder. Eğer bir hesap ele geçirilmişse, saldırganın sistemi kullanma biçimi gerçek hesap sahibinden farklılık gösterecektir. Bu farklılık tespit edildiği anda sistemin işlemi bloke etmesi veya ek bir biyometrik doğrulama (yüz tanıma, parmak izi) istemesi, bankanın teknolojik özen borcunun bir gereğidir.
4.3. Mevzuat ve Teknik Standartlar (36. Madde Kapsamı)
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 36. maddesi, bankalara sadece “sistem kurma” değil, “önleme” yükümlülüğü de getirmektedir. Bu madde uyarınca takip edilmesi gereken asgari unsurlar şunlardır:
- Konum ve Cihaz Doğrulaması: Müşterinin alışılagelmiş coğrafi konumu dışından (örneğin; Eskişehir’de yaşayan birinin 5 dakika sonra başka bir ülkeden giriş yapması) gelen taleplerin riskli kabul edilmesi.
- Zararlı Yazılım Tespiti: Banka uygulamalarının, cihazda çalışan ve ekranı kaydeden veya SMS’leri ele geçiren (RAT/Trojan) casus yazılımları tespit edebilecek yetkinlikte olması.
- Kara Liste (Blacklist) Kontrolü: Daha önce dolandırıcılık vakalarına karışmış hesapların, IP adreslerinin ve telefon numaralarının merkezi bir veri tabanında tutularak anlık sorgulanması.
4.4. Proaktif Uyarı ve Blokaj Mekanizmaları
Teknolojik altyapının başarısı, sadece tespit etmekle değil, müdahale hızıyla ölçülür. Yönetmelik gereği banka, riskli bir işlem saptadığında müşteriyi telefon, SMS veya uygulama içi bildirimle “en kısa sürede” uyarmalıdır. Eğer işlem; müşterinin profilinden ciddi şekilde sapıyorsa (örneğin, tüm birikimin tek seferde tanınmayan bir hesaba transferi), bankanın bu işlemi geçici olarak askıya alması ve müşteriyle sözlü teyit kurmadan serbest bırakmaması “basiretli tacir” olmanın bir sonucudur.
4.5. Veri Bütünlüğü ve Sistem Güvenliği
Bankanın teknik sorumluluğu, dışarıdan gelen saldırıları durdurmanın ötesinde, kendi veri tabanlarının sızdırılmamasını da kapsar. ISO 27001 gibi uluslararası bilgi güvenliği standartlarına uyum, verilerin uçtan uca şifrelenmesi ve sistem erişimlerinin sıkı denetimi, dolandırıcıların “nitelikli kişisel veriye” ulaşmasını engelleyen en büyük settir. Bankanın bu sistemlerdeki bir açığı veya konfigürasyon hatası, dolandırıcılık olayında bankanın ağır kusuru olarak nitelendirilmektedir.
Sonuç olarak, günümüzde şüpheli işlem tespiti basit bir yazılımın ötesinde, bankanın hukuk karşısındaki en büyük savunma kalkanıdır. Bu altyapıyı güncel tutmayan, yapay zekâ imkânlarından faydalanmayan veya tespit ettiği riski yönetemeyen banka, dijital dünyanın getirdiği tüm zararlardan hukuken sorumlu tutulmaktadır.
5. Bankanın Kusursuz Sorumluluğu ve İspat Yükü
Türk hukuk sisteminde bankalar, kendilerine tevdi edilen varlıkları korumakla yükümlü, güven ve itimat müesseseleridir. Bu nitelikleri gereği, internet bankacılığı dolandırıcılıklarında bankanın sorumluluğu “hafif kusurdan dahi sorumlu olunan” en yüksek özen borcu çerçevesinde değerlendirilmektedir.
5.1. Güven Kurumu Niteliği ve Objektif Özen Borcu
Bankalar, 5411 sayılı Bankacılık Kanunu uyarınca özel izinle kurulan ve kamu güvenine dayalı faaliyet gösteren kuruluşlardır. Yargıtay yerleşik içtihatlarında, bankaların birer “güven kurumu” olduğunu, bu nedenle en hafif kusurlarından dahi sorumlu tutulmaları gerektiğini açıkça vurgulamaktadır. Banka, müşterisinin hesabındaki paranın, kendisinin haberi ve rızası dışında, yetkisiz kişilerce çekilmesini önlemekle yükümlüdür. Paranın sistem dışına çıkarılması, bankanın koruma ve gözetim borcuna aykırılık teşkil eder ve “hizmet kusuru” olarak nitelendirilir.
5.2. Mevzuat Dayanağı ve Teknik Sorumluluk
Bankanın sorumluluğu sadece genel hukuk ilkelerine değil, özel yönetmeliklere de dayanmaktadır.
- 31441 sayılı Yönetmelik (Madde 11): “Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır.” Bu hüküm, dolandırıcının müşteri gibi görünerek sisteme sızması durumunda riski doğrudan bankaya yükler.
- Bankaların Bilgi Sistemleri Yönetmeliği (Madde 37): Müşteri talebi olmaksızın dijital kanalların kullanıma açılması yasaklanmıştır. Eğer banka, müşterinin açık rızası ve talebi olmadan internet şubesini aktif etmişse, buradan doğacak her türlü zararda peşinen kusurlu kabul edilir.
5.3. İspat Yükünün Yer Değiştirmesi (Ters İspat Yükü)
Hukukun genel ilkesi olan “iddia eden ispatla yükümlüdür” kuralı, internet bankacılığı davalarında banka aleyhine esnetilmiştir. Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Yönetmelik’in 11. maddesinin 1. fıkrası uyarınca:
“Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankadadır.”
Bu düzenleme uyarınca müşteri, “Bu işlemi ben yapmadım” dediği anda, banka işlemin güvenli bir şekilde, doğru kimlik doğrulama faktörleriyle ve bizzat müşteri tarafından gerçekleştirildiğini ispat etmek zorundadır. Banka, sadece SMS gönderildiğini veya şifrenin doğru girildiğini ispat ederek bu sorumluluktan kurtulamaz; aynı zamanda sisteminde hiçbir siber zafiyet bulunmadığını ve şüpheli işlem tespit mekanizmalarının o an kusursuz çalıştığını da kanıtlamalıdır.
5.4. Kusursuz Sorumluluk İlkesi ve Zararın Paylaşımı
İnternet bankacılığı dolandırıcılıklarında “kusursuz sorumluluk” ilkesi hakimdir. Banka, dolandırıcılık olayında kendisinin bir hatası olmadığını ileri sürse dahi, sistemin işletilmesinden kaynaklanan “tehlike sorumluluğu” gereği zararı tazmin etmelidir. Müşterinin ağır kusuru (şifresini bilerek üçüncü kişilerle paylaşması gibi) ispatlanmadığı sürece, banka zararın tamamından sorumludur. Müşterinin sadece sosyal mühendislik tuzağına düşerek şifresini dolandırıcıya kaptırması, Yargıtay kararlarına göre çoğu zaman bankanın sorumluluğunu ortadan kaldırmaz; zira bankanın görevi, bu tür manipülasyonlarla yapılan “olağan dışı” işlemleri sistem algoritmasıyla durdurmaktır.
5.5. Mevzuatla Güçlendirilmiş Koruma Kalkanı
Sonuç olarak, 5411 Sayılı Kanun, 6698 Sayılı KVKK ve ilgili BDDK yönetmelikleri bir bütün olarak değerlendirildiğinde; dijital bankacılık alanındaki risklerin maliyeti müşteriye yansıtılamaz. Banka, dijitalleşme sayesinde elde ettiği operasyonel kârın bir bedeli olarak, bu sistemin tüm güvenlik risklerini (Cyber Risk) sigortalamak ve teknik olarak göğüslemek zorundadır. İspat yükünün bankada olması, hukuk devletinin zayıf konumdaki tüketiciyi teknolojik devlere karşı koruma refleksinin bir tezahürüdür.
6. Sonuç ve Değerlendirme
Bankacılık sektörü, niteliği itibarıyla en üst düzey özen borcunu gerektiren bir alandır. Bir dolandırıcılık vakası vuku bulduğunda, kusuru doğrudan müşteriye yüklemeye çalışmak hukuken ve teknik olarak kabul edilebilir bir yaklaşım değildir. Olayın dijital deliller ışığında analizi; bankanın şüpheli işlem tespit algoritmalarının, yapay zekâ konfigürasyonlarının ve güvenlik filtrelerinin yeterliliği üzerinden yapılmalıdır.
Günümüzde yapay zekâ, müşterinin geçmiş davranışlarını öğrenerek gerçek zamanlı koruma sağlayacak yetkinliğe ulaşmıştır. Mevcut yasal düzenlemeler ışığında, sistem güvenliğini sağlamayan ve risk analizinde yetersiz kalan bankanın sorumluluğu “kusursuz sorumluluk” ilkesine yakındır. Bu nedenle, teknolojik imkânların azami düzeyde kullanılarak müşteri mağduriyetlerinin önüne geçilmesi, bankaların hem yasal hem de etik asli görevidir.