İnternet Bankacılığında Çalınmadan Kim Sorumlu?

**Prof. Dr. Sinsi** · 08-23-2012

İnternet Bankacılığında Çalınmadan Kim Sorumlu?Bu soru son zamanlarda bana en çok yöneltilen sorulardan biri Çünkü internet bankacılığı yaygınlaştıkça, internet bankacılığını kullanan kişilerin hesaplarından para çalınması vakaları da çoğalmaya başladı Her yazımda belirttiğim gibi, internet bir yandan yaşamımızı kolaylaştırırken, diğer yandan da klasik suçlulara göre yakalanmaları daha zor, suç işlemeleri ise daha kolay olan siber suçluları ortaya çıkardıBugün bu suçluların verdikleri maddi zararlar online olarak işlem gören değerlerin (internet bankacılığı, sermaye piyasasında merkezi kayıt sisteminin kurulması gibi) çoğalmasıyla çok büyük boyutlara ulaşmış bulunuyorÜlkemizdeki durumdan bahsetmeden önce kısa süre önce ABD’de yaşanan bir olaydan bahsetmek istiyorum Bu olayda "internet bankacılığı kullanan" bir banka müşterisinin "bankasına karşı açtığı bir dava" söz konusuBu Şubat ayının başlarında Joe Lopez adlı bir işadamının banka hesabından 90000 USD çalındı Lopez’e göre para, birilerinin bilgisayarına girip, banka hesabı bilgilerine ulaşmasıyla çalındı Ona göre para, bankasının hacker’ların bilgisayarına kolayca erişmelerini sağlayan bir virüse karşı kendisini uyarmadaki ihmali sebebiyle çalındıBu dava ABD’de siber suçlular tarafından çalınan paranın geri alınması için bir müşteri tarafından bir bankaya karşı açılan ilk dava olma özelliğini taşıyor Burada ABD’li hukukçular tarafından sorulan ilk soru, “bir bilgisayar kullanıcısının bilgisayarının güvenliğinden tek başına mı sorumlu olduğu yoksa kendisi dışında kişilerin veya firmaların da sorumlu olması gerektiği mi” olduNisan 2004’te Lopez internet bankacılığı yoluyla bir para transferi yapmak için hesabına girdiğinde 90000 USD’lık paranın kendisinin herhangibir izni veya talebi olmaksızın Litvanya’da bir bankaya havale edilmiş olduğunu gördü Kasım ayında banka, Lopez’in bilgisayarında “coreflood” isimli bir virüs tespit ettiğini bildirdi Ama bu bildirimde, bu virüsün Lopez’in parasının kaybolmasına sebep olup olmadığı belirtilmiyorduBu virüs bir saldırgana, bulaştığı bilgisayara uzaktan erişme imkanı veren bir virüstü Fakat şimdiye kadar, bankanın virüsün taşıdığı bu riskten haberdar olup olmadığına dair bir belirleme olmadıBankanın Lopez’e ve avukatına yolldığı yazıda, bankanın kendi sisteminden kaynaklanmayan böyle bir hack olayından sorumlu olmadığı belirtiliyordu Ayrıca bu yazıda Lopez’e, Litvanya’daki güvenlik güçleriyle ve bankayla temasa geçmesi ve hakkını orada araması söyleniyordu Bunun üzerine Lopez bankasına karşı dava açmaya karar verdi Bu davada dayandığı nokta ise, bankanın kendisini “coreflood” virüsü hakkında uyarmada ihmalinin olmasıydıDava devam ediyor ABD’li hukukçulara göre, elbette bankalar yasal olarak kendi sistemlerinin ve ağlarının güvenliğini sağlamaktan sorumludurlar Eğer bir müşteri bankaya güvenerek parasını ve kişisel verilerini bankaya teslim ediyorsa, banka da tüm makul güvenlik önlemlerini almak zorundadır Ayrıca banka internet bankacılığı için kendi hazırlattığı bir programı müşterinin kullanmasını isterse ve bu programdaki bir açıktan dolayı müşteri zarara uğrarsa banka bundan da sorumlu olacaktır (ki böyle bir durum Lopez’in davasında yoktur)Yine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedirYine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedirPeki bir banka müşterisinin bilgisayarını da koruma yükümlülüğü altında mıdır?ABD’li hukukçular buna “hayır” yanıtını veriyorlar Onlara göre her müşteri kendi bilgisayarının güvenliğinden tek başına sorumludur Müşteri üzerine düşen tüm özen yükümlülüğünü yerine getirmelidir Örneğin anti-virüs programı kullanmalı, bunu sürekli güncellemeli, kullandığı işletim sisteminin güncel açıklarını yamamalıdırBankadan kaynaklanmayan bir sebepten dolayı bankaları sorumlu tutmak hakkaniyete uygun bir çözüm değildir Nasıl ki bankaların müşterilerine sağladıkları çek kutularının sorumluluğundan sadece müşteriler sorumlu oluyorlarsa, internet bankacılığında da kendi bilgisayarlarının güvenliğinden müşteriler sorumlu olmalıdırEğer bankalar herhangi bir virüs veya diğer herhangi bir tehdit sebebiyle müşterilerini yasal olarak uyarmak zorunluluğunda olacaklarsa, bu virüsün nasıl önleneceğini ya da bu güvenlik açığının nasıl kapatılacağını da ayrıntılarıyla müşterisine bildirmek zorunda mıdır? Eğer böyle bir ayrıntılı bildirim yükümlülüğü olmayacaksa bu uyarının sağlayacağı fayda çok az olacaktır Eğer böyle bir yükümlülüğü olacaksa bu durum bankalara çok ağır bir yük getirecektirSonuç olarak bankalara müşterilerinin bilgisayarlarını da koruma yükümlülüğünün getirilmesi pratik bir yaklaşım değildir Haksız fiil hukuku makul bir özen yükümlülüğünü öngörmektedir Bankaların hack eylemlerine karşı yasal sorumluluğu, hakkında bilgi sahibi oldukları ve kendi kontrolleri altındaki kendi sistemleri ve ağları ile sınırlı olmalıdırÜlkemizde de buna benzer olaylar yaşandı ve yaşanmaya devam ediyor Olayların bir kısmında bankalar müşterilerinin uğradıkları zararları kendi risk sermayelerinden karşıladılar Fakat bazı durumlarda ABD’de olduğu gibi bankalar karşı bankaların sorumluluğuna dayanılarak davalar açıldıDavalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının “internet bankacılığı taahhütnamesi” ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu ileri sürdüBu davalardan birinde davacı, çalıştığı şirketin bilgisayar sistemine yapılan saldırıyı takiben aynı gün internet aracılığı ile bankasındaki hesabına ulaşmaya çalışırken, sistemin önceden kullandığı şifreyi kabul etmediğini ve hesabına ulaşamadığını, daha sonra şubeden yeni hesap kodu ve şifresi almak zorunda kaldığını, hesabına ulaştığında normal zamanlarda ekrana gelen son beş işlemin görünmediğini ve hesaptaki paranın tanımadığı biri adına bilgisi ve izni dışında havale edildiğini, bankanın bu olayda kusurunun ve sorumluluğunun bulunduğunu, bankanın kullandığı her türlü sistemin güvenliğinden sorumlu olduğunu belirterek hesabından izni ve bilgisi dışında çekilen paranın ödeme tarihindeki kur üzerinden yasal faizi ile birlikte davalı bankadan tahsiline karar verilmesini talep etmiştirDavalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının “internet bankacılığı taahhütnamesi” ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu, davacının dava konusu zarara kendi kusuru ile sebep olduğunu, davacının banka sistemleri hakkında ileri sürdüğü iddiaların mesnetsiz olduğunu, davacının dava konusu işlemlerin hangi servis sağlayıcı firma ve hangi IP numarası üzerinden yapıldığına dair bilgileri ise bankanın sağlamak zorunda olmadığını belirterek davanın reddini talep etmiştirKararın gerekçesinde ise, davacının kendi egemenlik sahasında nezaret ve denetimi altında bulunan kişiler vasıtası ile şifrelerin, kullanıcı isimlerinin ve kredi kartı bilgilerinin ele geçirilmesinde davalı bankanın bir kusurunun bulunmadığı, aksine davacının kendi egemenlik sahasında, denetim ve nezaretinde bulunan kişileri denetlemekte ihmali bulunduğu belirtilmiştirKarara göre, elektronik bankacılık işlemlerini gerçekleştiren bireylerin bu tür olaylara karşı kendi güvenliklerini sağlamak yönünden faaliyet göstermeleri de lazımdır Davalı bankanın davacı ile yaptığı sözleşmeye sorumsuzluk kaydı koyarak elektronik bankacılık işlemlerinden doğacak zararlardan sorumlu olmayacağı yönündeki kayıt Medeni Kanun m2 ve Borçlar Kanunu m99 uyarınca hükümsüzdür Bankanın Elektronik Bankacılık Sözleşmesinde asli borcu elektronik bankacılık işlemlerinin güvenle yapılmasını sağlamaktır Bankanın bu borcu süreklilik arzettiği gibi, onun bu borcu yerine getirmesinde ihmale düşmesi halinde sorumlu tutulamayacağına yönelik sözleşme kayıtları da tekel niteliğinde faaliyet yürüten Bankalar açısından hükümsüz sayılmalıdır Davalı banka elektronik bankacılık sözleşmelerindeki asli borcu olan güvenlik ortamını sağlama ve bu ortamın devamlılığını gerçekleştirme yolunda faaliyet gösterme borcunu ihmal etmiş ve davacının zararının oluşmasına kusurlu hareketleri ile sebebiyet vermiştirDavacı da elektronik bankacılık işlemlerini gerçekleştirmesini sağlayan gizli bilgileri korumakta ihmal göstermiş ve zararın ortaya çıkmasına sebebiyet vermiştir Davacının internet şubesi hesabından 6 defa nakit avans çekme işlemi yapılmaya çalışılmış ancak davalı bankanın bu işlemin tamamlanması için gerekli addettiği şifre doğru girilmediği için bu işlem gerçekleşmemiştir Burada sistemde yetkisiz bir kişinin işlem yapmaya çalıştığı açıktır Genellikle bu durumlarda kabul edilen yöntem, sisteme 2 defa şifrenin yanlış girilmesi durumunda sistemin kendisini kilitleyerek yeni bir şifre alınması için bankaya başvurulması yönünde bir uyarının müşteriye e-mail veya telefon yoluyla iletilmesidir Nakit avans çekme konusunda 6 defa yapılan başarısız girişim sonucu sistemin kendisini kilitlemeyerek yetkisiz kişi veya kişilere davalı bankanın internet şubesinde işlem yapılmasına izin verilmesi keyfiyeti davacının hesabından USD’ının çekilmesine ve davacının bankada kayıtlı hesap bilgilerinin değiştirilmesine yol açmıştır Şu halde zararın ortaya çıkmasında davacının ve davalı bankanın müterafık (birlikte) kusuru vardır Bu kusurun oranı davacı bakımından ¾, davalı bakımından ise ¼ olarak mahkemece de kabul edilmiş ve buna göre davanın kısmen kabul kısmen reddi ileUSD’ın dava tarihinden itibaren Merkez Bankası’nın bir yıllık mevduata uyguladığı faizle birlikte davalıdan alınıp davacıya verilmesinin hak ve adalete uygun olacağıDenilerek davanın kısmen kabulüne karar verilmiştir Bir başka davada ise müşterinin bilgisayarına yüklenen “keylogger” sebebiyle müşterinin parasının çalınmasından dolayı bankaya karşı bir talepte bulunulup bulunulamayacağı tartışılmaktadır Bu dava halen devam etmektedirBugün bankalar internet bankacılığının gelişmesi için çok çeşitli tedbirler almaktadırlar İnternet bankacılığı sayfalarında virüsler, keyloggerlar veya fake mailler gibi tehlikeler hakkında bilgiler verilmekte, sanal klavye kullanılması teşvik edilmekte veya zorunlu kılınmakta ve hatta müşterinin bankanın kendi hazırladığı güvenlik kalkanlarını bilgisayarına yüklemesi istenmektedir Burada bankalara müşterilerini bilgilendirme konusunda önemli yükümlülükler düşmektedir Daha ilk hesap açılırken veya müşteri internet bankacılığı kullanmaya karar verdiği ve bunu talep ettiği zaman, sadece sistemin nasıl işlediği açıklamakla kalınmamalı, ayrıca bunun riskleri, müşterinin alması gereken önlemler konusunda da müşteri yazılı olarak bilgilendirilmelidirDiğer önemli nokta ise suçun işlenmesinden sonra ne yapılması gerektiğidir Ülkemizde meydana gelen olaylarda maalesef delillere ulaşılamamaktadır Bunun en önemli sebebi ise kullanıcının, banka görevlilerinin ve olayı soruşturanların bilgi yetersizlikleridir Bu tür olaylarda en önemli husus zamandır Elektronik deliller hassas delillerdir Bu sebeple zaman geçirmeden ve doğru biçimde deliller toplanmaldır Delil toplama, saklama, değerlendirme ve bunları mahkemeye sunulabilecek hale getirme bugün ayrı bir adli dalın konusu olmuştur “Computer Forensic” denilen ve bizim “Adli Bilişim” olarak adlandırdığımız bu yeni adli alana ilişkin usuller kullanılarak artık bilişim suçlarında veya elektronik delillerin kullanıldığı hukuk davalarında çok iyi sonuçlar alınmaktadır Fakat bu alanın gelişmesi için birkaç ana unsura ihtiyaç bulunmaktadır Bunlar yetişmiş insan gücü, teknolojik yatırım ve gerekli yasal düzenlemelerdirİnternet bankacılığı davalarının da bize gösterdiği gibi elektronik delillerin işin içine girdiği davaların sayısı gitgide artmaktadır Bu sebeple elektronik deliller ve elektronik keşif ile ilgili ayrıntılı yasal düzenlemelerin bir an önce yapılması gerekmektedirAv Ali Osman Özdilek

08-23-2012	#1
Prof. Dr. Sinsi	İnternet Bankacılığında Çalınmadan Kim Sorumlu? İnternet Bankacılığında Çalınmadan Kim Sorumlu?Bu soru son zamanlarda bana en çok yöneltilen sorulardan biri Çünkü internet bankacılığı yaygınlaştıkça, internet bankacılığını kullanan kişilerin hesaplarından para çalınması vakaları da çoğalmaya başladı Her yazımda belirttiğim gibi, internet bir yandan yaşamımızı kolaylaştırırken, diğer yandan da klasik suçlulara göre yakalanmaları daha zor, suç işlemeleri ise daha kolay olan siber suçluları ortaya çıkardıBugün bu suçluların verdikleri maddi zararlar online olarak işlem gören değerlerin (internet bankacılığı, sermaye piyasasında merkezi kayıt sisteminin kurulması gibi) çoğalmasıyla çok büyük boyutlara ulaşmış bulunuyorÜlkemizdeki durumdan bahsetmeden önce kısa süre önce ABD’de yaşanan bir olaydan bahsetmek istiyorum Bu olayda "internet bankacılığı kullanan" bir banka müşterisinin "bankasına karşı açtığı bir dava" söz konusuBu Şubat ayının başlarında Joe Lopez adlı bir işadamının banka hesabından 90000 USD çalındı Lopez’e göre para, birilerinin bilgisayarına girip, banka hesabı bilgilerine ulaşmasıyla çalındı Ona göre para, bankasının hacker’ların bilgisayarına kolayca erişmelerini sağlayan bir virüse karşı kendisini uyarmadaki ihmali sebebiyle çalındıBu dava ABD’de siber suçlular tarafından çalınan paranın geri alınması için bir müşteri tarafından bir bankaya karşı açılan ilk dava olma özelliğini taşıyor Burada ABD’li hukukçular tarafından sorulan ilk soru, “bir bilgisayar kullanıcısının bilgisayarının güvenliğinden tek başına mı sorumlu olduğu yoksa kendisi dışında kişilerin veya firmaların da sorumlu olması gerektiği mi” olduNisan 2004’te Lopez internet bankacılığı yoluyla bir para transferi yapmak için hesabına girdiğinde 90000 USD’lık paranın kendisinin herhangibir izni veya talebi olmaksızın Litvanya’da bir bankaya havale edilmiş olduğunu gördü Kasım ayında banka, Lopez’in bilgisayarında “coreflood” isimli bir virüs tespit ettiğini bildirdi Ama bu bildirimde, bu virüsün Lopez’in parasının kaybolmasına sebep olup olmadığı belirtilmiyorduBu virüs bir saldırgana, bulaştığı bilgisayara uzaktan erişme imkanı veren bir virüstü Fakat şimdiye kadar, bankanın virüsün taşıdığı bu riskten haberdar olup olmadığına dair bir belirleme olmadıBankanın Lopez’e ve avukatına yolldığı yazıda, bankanın kendi sisteminden kaynaklanmayan böyle bir hack olayından sorumlu olmadığı belirtiliyordu Ayrıca bu yazıda Lopez’e, Litvanya’daki güvenlik güçleriyle ve bankayla temasa geçmesi ve hakkını orada araması söyleniyordu Bunun üzerine Lopez bankasına karşı dava açmaya karar verdi Bu davada dayandığı nokta ise, bankanın kendisini “coreflood” virüsü hakkında uyarmada ihmalinin olmasıydıDava devam ediyor ABD’li hukukçulara göre, elbette bankalar yasal olarak kendi sistemlerinin ve ağlarının güvenliğini sağlamaktan sorumludurlar Eğer bir müşteri bankaya güvenerek parasını ve kişisel verilerini bankaya teslim ediyorsa, banka da tüm makul güvenlik önlemlerini almak zorundadır Ayrıca banka internet bankacılığı için kendi hazırlattığı bir programı müşterinin kullanmasını isterse ve bu programdaki bir açıktan dolayı müşteri zarara uğrarsa banka bundan da sorumlu olacaktır (ki böyle bir durum Lopez’in davasında yoktur)Yine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedirYine banka bir müşterinin bilgileri veya parası çalındığı zaman, kendi sistemindeki güvenlik açıklarını müşteriye bildirmek zorundadır Örneğin, 2003 tarihli bir Kaliforniya Yasası bankanın kendi sistemindeki güvenlik açığı sebebiyle bir müşterinin banka hesabından parası çalındığı zaman, bankanın kendi sistemindeki güvenlik açığını doğru biçimde müşteriye bildirmesi yükümlülüğünü getirmektedirPeki bir banka müşterisinin bilgisayarını da koruma yükümlülüğü altında mıdır?ABD’li hukukçular buna “hayır” yanıtını veriyorlar Onlara göre her müşteri kendi bilgisayarının güvenliğinden tek başına sorumludur Müşteri üzerine düşen tüm özen yükümlülüğünü yerine getirmelidir Örneğin anti-virüs programı kullanmalı, bunu sürekli güncellemeli, kullandığı işletim sisteminin güncel açıklarını yamamalıdırBankadan kaynaklanmayan bir sebepten dolayı bankaları sorumlu tutmak hakkaniyete uygun bir çözüm değildir Nasıl ki bankaların müşterilerine sağladıkları çek kutularının sorumluluğundan sadece müşteriler sorumlu oluyorlarsa, internet bankacılığında da kendi bilgisayarlarının güvenliğinden müşteriler sorumlu olmalıdırEğer bankalar herhangi bir virüs veya diğer herhangi bir tehdit sebebiyle müşterilerini yasal olarak uyarmak zorunluluğunda olacaklarsa, bu virüsün nasıl önleneceğini ya da bu güvenlik açığının nasıl kapatılacağını da ayrıntılarıyla müşterisine bildirmek zorunda mıdır? Eğer böyle bir ayrıntılı bildirim yükümlülüğü olmayacaksa bu uyarının sağlayacağı fayda çok az olacaktır Eğer böyle bir yükümlülüğü olacaksa bu durum bankalara çok ağır bir yük getirecektirSonuç olarak bankalara müşterilerinin bilgisayarlarını da koruma yükümlülüğünün getirilmesi pratik bir yaklaşım değildir Haksız fiil hukuku makul bir özen yükümlülüğünü öngörmektedir Bankaların hack eylemlerine karşı yasal sorumluluğu, hakkında bilgi sahibi oldukları ve kendi kontrolleri altındaki kendi sistemleri ve ağları ile sınırlı olmalıdırÜlkemizde de buna benzer olaylar yaşandı ve yaşanmaya devam ediyor Olayların bir kısmında bankalar müşterilerinin uğradıkları zararları kendi risk sermayelerinden karşıladılar Fakat bazı durumlarda ABD’de olduğu gibi bankalar karşı bankaların sorumluluğuna dayanılarak davalar açıldıDavalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının “internet bankacılığı taahhütnamesi” ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu ileri sürdüBu davalardan birinde davacı, çalıştığı şirketin bilgisayar sistemine yapılan saldırıyı takiben aynı gün internet aracılığı ile bankasındaki hesabına ulaşmaya çalışırken, sistemin önceden kullandığı şifreyi kabul etmediğini ve hesabına ulaşamadığını, daha sonra şubeden yeni hesap kodu ve şifresi almak zorunda kaldığını, hesabına ulaştığında normal zamanlarda ekrana gelen son beş işlemin görünmediğini ve hesaptaki paranın tanımadığı biri adına bilgisi ve izni dışında havale edildiğini, bankanın bu olayda kusurunun ve sorumluluğunun bulunduğunu, bankanın kullandığı her türlü sistemin güvenliğinden sorumlu olduğunu belirterek hesabından izni ve bilgisi dışında çekilen paranın ödeme tarihindeki kur üzerinden yasal faizi ile birlikte davalı bankadan tahsiline karar verilmesini talep etmiştirDavalı banka ise buna karşı verdiği cevapta, davacının dava dilekçesinde internet şifresi ve kredi kartlarının numaralarının kendi çalıştığı şirketin elemanlarından birinin çalışma defterinde bulunduğunu beyan ettiğini ve bu hususun davacının “internet bankacılığı taahhütnamesi” ile gizlemekle yükümlü olduğu bilgileri basiretsizlik göstererek saklamadığını ve bu bilgilerin başkaları tarafından ele geçirilmesine sebep olduğunu, davacının dava konusu zarara kendi kusuru ile sebep olduğunu, davacının banka sistemleri hakkında ileri sürdüğü iddiaların mesnetsiz olduğunu, davacının dava konusu işlemlerin hangi servis sağlayıcı firma ve hangi IP numarası üzerinden yapıldığına dair bilgileri ise bankanın sağlamak zorunda olmadığını belirterek davanın reddini talep etmiştirKararın gerekçesinde ise, davacının kendi egemenlik sahasında nezaret ve denetimi altında bulunan kişiler vasıtası ile şifrelerin, kullanıcı isimlerinin ve kredi kartı bilgilerinin ele geçirilmesinde davalı bankanın bir kusurunun bulunmadığı, aksine davacının kendi egemenlik sahasında, denetim ve nezaretinde bulunan kişileri denetlemekte ihmali bulunduğu belirtilmiştirKarara göre, elektronik bankacılık işlemlerini gerçekleştiren bireylerin bu tür olaylara karşı kendi güvenliklerini sağlamak yönünden faaliyet göstermeleri de lazımdır Davalı bankanın davacı ile yaptığı sözleşmeye sorumsuzluk kaydı koyarak elektronik bankacılık işlemlerinden doğacak zararlardan sorumlu olmayacağı yönündeki kayıt Medeni Kanun m2 ve Borçlar Kanunu m99 uyarınca hükümsüzdür Bankanın Elektronik Bankacılık Sözleşmesinde asli borcu elektronik bankacılık işlemlerinin güvenle yapılmasını sağlamaktır Bankanın bu borcu süreklilik arzettiği gibi, onun bu borcu yerine getirmesinde ihmale düşmesi halinde sorumlu tutulamayacağına yönelik sözleşme kayıtları da tekel niteliğinde faaliyet yürüten Bankalar açısından hükümsüz sayılmalıdır Davalı banka elektronik bankacılık sözleşmelerindeki asli borcu olan güvenlik ortamını sağlama ve bu ortamın devamlılığını gerçekleştirme yolunda faaliyet gösterme borcunu ihmal etmiş ve davacının zararının oluşmasına kusurlu hareketleri ile sebebiyet vermiştirDavacı da elektronik bankacılık işlemlerini gerçekleştirmesini sağlayan gizli bilgileri korumakta ihmal göstermiş ve zararın ortaya çıkmasına sebebiyet vermiştir Davacının internet şubesi hesabından 6 defa nakit avans çekme işlemi yapılmaya çalışılmış ancak davalı bankanın bu işlemin tamamlanması için gerekli addettiği şifre doğru girilmediği için bu işlem gerçekleşmemiştir Burada sistemde yetkisiz bir kişinin işlem yapmaya çalıştığı açıktır Genellikle bu durumlarda kabul edilen yöntem, sisteme 2 defa şifrenin yanlış girilmesi durumunda sistemin kendisini kilitleyerek yeni bir şifre alınması için bankaya başvurulması yönünde bir uyarının müşteriye e-mail veya telefon yoluyla iletilmesidir Nakit avans çekme konusunda 6 defa yapılan başarısız girişim sonucu sistemin kendisini kilitlemeyerek yetkisiz kişi veya kişilere davalı bankanın internet şubesinde işlem yapılmasına izin verilmesi keyfiyeti davacının hesabından USD’ının çekilmesine ve davacının bankada kayıtlı hesap bilgilerinin değiştirilmesine yol açmıştır Şu halde zararın ortaya çıkmasında davacının ve davalı bankanın müterafık (birlikte) kusuru vardır Bu kusurun oranı davacı bakımından ¾, davalı bakımından ise ¼ olarak mahkemece de kabul edilmiş ve buna göre davanın kısmen kabul kısmen reddi ileUSD’ın dava tarihinden itibaren Merkez Bankası’nın bir yıllık mevduata uyguladığı faizle birlikte davalıdan alınıp davacıya verilmesinin hak ve adalete uygun olacağıDenilerek davanın kısmen kabulüne karar verilmiştir Bir başka davada ise müşterinin bilgisayarına yüklenen “keylogger” sebebiyle müşterinin parasının çalınmasından dolayı bankaya karşı bir talepte bulunulup bulunulamayacağı tartışılmaktadır Bu dava halen devam etmektedirBugün bankalar internet bankacılığının gelişmesi için çok çeşitli tedbirler almaktadırlar İnternet bankacılığı sayfalarında virüsler, keyloggerlar veya fake mailler gibi tehlikeler hakkında bilgiler verilmekte, sanal klavye kullanılması teşvik edilmekte veya zorunlu kılınmakta ve hatta müşterinin bankanın kendi hazırladığı güvenlik kalkanlarını bilgisayarına yüklemesi istenmektedir Burada bankalara müşterilerini bilgilendirme konusunda önemli yükümlülükler düşmektedir Daha ilk hesap açılırken veya müşteri internet bankacılığı kullanmaya karar verdiği ve bunu talep ettiği zaman, sadece sistemin nasıl işlediği açıklamakla kalınmamalı, ayrıca bunun riskleri, müşterinin alması gereken önlemler konusunda da müşteri yazılı olarak bilgilendirilmelidirDiğer önemli nokta ise suçun işlenmesinden sonra ne yapılması gerektiğidir Ülkemizde meydana gelen olaylarda maalesef delillere ulaşılamamaktadır Bunun en önemli sebebi ise kullanıcının, banka görevlilerinin ve olayı soruşturanların bilgi yetersizlikleridir Bu tür olaylarda en önemli husus zamandır Elektronik deliller hassas delillerdir Bu sebeple zaman geçirmeden ve doğru biçimde deliller toplanmaldır Delil toplama, saklama, değerlendirme ve bunları mahkemeye sunulabilecek hale getirme bugün ayrı bir adli dalın konusu olmuştur “Computer Forensic” denilen ve bizim “Adli Bilişim” olarak adlandırdığımız bu yeni adli alana ilişkin usuller kullanılarak artık bilişim suçlarında veya elektronik delillerin kullanıldığı hukuk davalarında çok iyi sonuçlar alınmaktadır Fakat bu alanın gelişmesi için birkaç ana unsura ihtiyaç bulunmaktadır Bunlar yetişmiş insan gücü, teknolojik yatırım ve gerekli yasal düzenlemelerdirİnternet bankacılığı davalarının da bize gösterdiği gibi elektronik delillerin işin içine girdiği davaların sayısı gitgide artmaktadır Bu sebeple elektronik deliller ve elektronik keşif ile ilgili ayrıntılı yasal düzenlemelerin bir an önce yapılması gerekmektedirAv Ali Osman Özdilek