İNTERNET ÜZERİNDEN YAPILAN DOLANDIRICILIKTA BANKANIN SORUMLULUĞUYLA İLGİLİ EMSAL KARAR

İNTERNET ÜZERİNDEN YAPILAN DOLANDIRICILIKTA BANKANIN SORUMLULUĞUYLA İLGİLİ EMSAL KARAR

T.C.

Yargıtay

Hukuk Genel Kurulu

2017/2224 E. 

2018/1753 K.

MAHKEMESİ :Ticaret Mahkemesi

Taraflar arasındaki “maddi tazminat” davasından dolayı yapılan yargılama sonunda; İzmir 8. Asliye Ticaret Mahkemesince davanın kısmen kabulüne dair verilen 28.01.2013 tarihli ve 2012/330 E. 2013/26 K. sayılı karar taraf vekillerince temyiz edilmekle Yargıtay 11. Hukuk Dairesinin 24.01.2014 tarihli ve 2013/11577 E. 2014/1594 K. sayılı kararı ile:

“…Davacı vekili, müvekkilinin davalı bankada bulunan hesabından 12.05.2011 tarihinde 9.788 TL’nin internet vasıtasıyla başka hesaba EFT edildiğini, davalı bankanın internet vasıtasıyla yapılan işlemlerde müşterilerin haklarını koruyucu tedbir almaması nedeniyle zarara uğradığını ileri sürerek, 9.788 TL’nin faiziyle birlikte davalıdan tahsilini talep ve dava etmiştir.

Davalı vekili, taraflar arasındaki sözleşmede güvenlik hususunda davacının uyarıldığını, söz konusu havale işleminden dolayı sorumlu olmadıklarını, davacının kusurlu hareketi bulunduğunu savunarak, davanın reddini istemiştir.

Mahkemece iddia, savunma, bilirkişi raporu ve dosya kapsamına göre, davacının kişisel bilgilerini korumada gerekli özeni göstermediği bu nedenle % 40 kusuru bulunduğu, davalı bankanın ise yeterli güvenlik önlemlerini almayarak % 60 oranında kusuru olduğu gerekçesiyle, davanın kısmen kabulüne, 5.872,80 TL’nin faiziyle birlikte davalıdan tahsiline karar verilmiştir.

Kararı, taraf vekilleri temyiz etmiştir

1-Dava dosyası içerisindeki bilgi ve belgelere, mahkeme kararının gerekçesinde dayanılan delillerin tartışılıp, değerlendirilmesinde usul ve yasaya aykırı bir yön bulunmamasına göre davalı vekilinin tüm temyiz itirazlarının reddine karar vermek gerekmiştir.

2-Dava, davalı banka nezdinde açılmış olan hesapta bulunan paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlemler sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkindir.

Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür (4491 sayılı Yasa ile değişik 4389 sayılı Bankalar Kanunu’nun 10/4 ve 5411 sayılı Bankacılık Kanunu’nun 61. maddesi). Bu tanımlamaya göre, mevduat ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. Dava tarihinde yürürlükte olan 818 sayılı BK’nın 306 ve 307. maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı Yasa’nın 372/1. maddesi uyarınca usulsüz tevdide paranın nef’i ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafik kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.

Somut olayda, davalı banka davacıya vermiş olduğu şifre ve parolanın davacının kusuru ile ele geçirildiğini kanıtlayamamıştır. Tüm kusur davalı bankada olduğu halde yazılı gerekçelerle tarafların birlikte kusurlu olarak kabul edilmesi doğru görülmemiş kararan davacı yararına bozulması gerekmiştir…”

gerekçesi ile bozularak dosya yerine geri çevrilmekle yeniden yapılan yargılama sonunda mahkemece önceki kararda direnilmiştir.

HUKUK GENEL KURULU KARARI 

Hukuk Genel Kurulunca incelenerek direnme kararının süresinde temyiz edildiği anlaşıldıktan ve dosyadaki belgeler okunduktan sonra gereği görüşüldü:

Dava, internet bankacılığı işlemi nedeniyle bankanın sorumluluğuna dayalı maddi tazminat istemine ilişkindir.

Davacı vekili; müvekkilinin davalı bankanın müşterisi olduğunu, 12.05.2011 tarihinde müvekkilinin çeşitli bankalardaki hesaplarında internet aracılığı ile korsan girişimlerde bulunulduğunu ve müvekkilinin davalı banka şubesindeki hesabından 9.788,00TL’nin başka hesaplara EFT yapılarak aktarıldığını, davalıdan EFT yapılan paranın iadesinin istendiğini, ancak davalı tarafından paranın iade edilemeyeceğinin belirtildiğini, davalı bankanın objektif özen yükümlülüğünü yerine getirmediğini ve müşterilerini koruma amaçlı gerekli güvenlik önlemlerini almadığını ileri sürerek fazlaya ilişkin hakları saklı kalmak kaydıyla 9.788,00TL zararın mevduata uygulanan en yüksek faizi ile birlikte davalı bankadan tahsiline karar verilmesini talep ve dava etmiştir.

Davalı vekili; davacının internet bankacılığı işlemlerinde zorunlu kılınan tek kullanımlık şifre seçeneklerinden akıllı SMS seçeneğini kullandığını, dava konusu işlemin davacının müşteri numarası, internet bankacılığı şifresi ve cep telefonuna gönderilen işlem şifresi (Akıllık SMS) kullanılmak suretiyle gerçekleştiğini, davacı şirket yetkilisi tarafından Torbalı Cumhuriyet Başsavcılığının 2011/2069 soruşturma sayılı dosyasında verilen 13.05.2011 tarihli ifadede şifreleri korumak için gerekli dikkat ve özeni göstermediğini belirttiğini, bu durumda kötü niyetli üçüncü kişilerin davacının yetkilisinin bilgisayarına gönderdiği “trojan virüsü” ile davacının şifre gibi tüm kişisel bilgilerinin ele geçirildiğini, şifrenin üçüncü şahıslar tarafından ele geçirilmesinin banka sistemleri üzerinden gerçekleşmediğini, bu nedenle müvekkili bankanın herhangi bir sorumluluğunun bulunmadığını savunarak davanın reddini istemiştir.

Mahkemece; davacının elektronik bankacılık için gerekli olan özel bilgilerin ve iletişim bilgilerinin korunması için gerekli dikkat ve özeni göstermediği, bu sebeple müterafik kusurunun olduğu, davalı bankanın da müşteri (hesap sahibi) tanımlamasını en üst düzeyde sağlayacak elektronik bankacılık sisteminin uygulanmasını sağlamadığı, bu nedenle davacı için % 40 ve davalı banka için % 60 kusur oranının uygulanmasının hakkaniyete uygun olduğu gerekçesiyle davanın kısmen kabulüne karar verilmiştir.

Taraf vekillerinin temyizi üzerine karar Özel Dairece yukarıda başlık kısmında yer alan gerekçelerle bozulmuştur.

Yerel mahkemece, önceki gerekçeler tekrar edilmek suretiyle direnme kararı verilmiştir.

Direnme kararını davacı vekili temyize getirmiştir.

Direnme yoluyla Hukuk Genel Kurulu önüne gelen uyuşmazlık; davalı banka nezdindeki hesapta bulunan paranın internet bankacılığı aracılığı ile davacının iradesi dışında üçüncü kişilerce çekilmesinde davacıya atfedilecek bir kusurun bulunup bulunmadığı noktasında toplanmaktadır.

Uyuşmazlığın çözümü için öncelikle internet bankacılığı kavramı ile bankaların müşterileriyle yaptığı internet bankacılığı sözleşmelerinden doğan yükümlülük ve sorumluluklarının açıklanmasında yarar bulunmaktadır.

İnternet, birden fazla haberleşme ağının (network) bilgisayarlar aracılığıyla meydana getirdikleri bir iletişim ortamıdır. Bu ağlar arasındaki ilişkiler IP (internet protokolü) kullanılmak suretiyle bilgisayarlar arasında gerçekleşir. Bankaların da bu ağa dâhil olmasıyla banka hizmetlerinin yer ve zaman kısıtlaması olmaksızın internet ortamında sunulmasına başlanmış ve böylece internet bankacılığı adı verilen yeni bir sistem doksanlı yılların ikinci yarısından itibaren yaygınlaşmaya başlamıştır. Günümüzde internet, tüm dünya üzerine yayılmış olan çok geniş bir bilgisayar ağı durumuna gelmiş olup, bu iletişim ağından yararlanan internet bankacılığı; teknolojide meydana gelen gelişmeler sonucu ortaya çıkan ve hemen hemen bütün bankacılık işlemlerinin zaman ve yer sınırı olmaksızın internet üzerinden yapılabilmesini sağlayan elektronik bir bankacılık türü olarak karşımıza çıkmaktadır.

Bankalar tarafından hazırlanan sözleşmelerde yer alan yaygın tarifiyle ise internet bankacılığı; şahsın kablolu, kablosuz iletişim sistemleri ile teknik şartlara haiz bilgisayar, tablet, cep telefonu gibi araçlar üzerinden ve internet-wap aracılığı ile otomatik, sesli yanıt sistemi ile şifre ve parolayı kullanarak, bankanın belirleyeceği kurallar ve limitler dâhilinde şahsın banka hesapları üzerinde her türlü işlem yapma yöntemidir.

İnternet bankacılığı işlemleri bakımından uygulamada ortaya çıkan en önemli sorun, hiç kuşkusuz güvenlik sorunu olup, banka hesaplarındaki paraların, müşterilere ait özel bilgiler kullanılarak üçüncü kişilerce başka hesaplara aktarılmasıdır. Bu sorun hem bankalar hem de müşteriler açısından önemli riskler oluşturmaktadır.

Güvenli bir internet bankacılık hizmetinin sunulmasında, böyle bir hizmetin alınmasında, normal bankacılık işlemlerindeki yükümlülüklerin yanı sıra hem bankanın hem de müşterinin üzerine düşen bazı ek yükümlülükler vardır. Bu bağlamda, internet bankacılığı hizmetini müşterilerine bankalar sunduğuna göre, bankaların internet bankacılığı sisteminin güvenliğine yönelik tüm tedbirleri almaları ve sistem hatalarını ve eksikliklerini gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri büyük önem taşımaktadır. Müşterilerin internet bankacılığını kullanmakta olması bankaların mevduatı koruma yükümlülüğünü ortadan kaldırmayacağı gibi, sorumluluğunu da hafifletmeyecektir. Bu kapsamda işlemlerini internet ortamına taşıyarak daha fazla müşteri kitlesine ulaşmak ve dolayısıyla daha fazla kâr elde etmek isteyen bankanın, buna paralel olarak gerekli teknolojik ve yazılımsal önlemleri alması, gelişen teknoloji karşısında kötü niyetli üçüncü kişilerin internet bankacılığı sistemine girişimlerini anında engelleyecek güvenlik mekanizmasını oluşturması, sistemini sürekli güncelleyerek yenilemesi, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almanın yanı sıra müşterilerini de anında bilgilendirmesi gerekmektedir (Savaş, Abdurrahman; İnternet Bankacılığı ve Tarafların Yükümlülükleri, Selçuk Üniversitesi Hukuk Fakültesi Dergisi, C. 19, S. 2, s. 151.) .

Bankalar, özel yasa ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı sahteciliklere karşı özenle korumak zorunda olan kuruluşlar olup, sahip oldukları bu vasıfları sebebiyle bankacılık işlemlerinin güvenilen tarafı konumundadırlar. Bu durum, bankaların bir güven kurumu olarak kabul edilmesini ve bankanın sorumluluğunun özel güven sebebiyle ağırlaştırılmasını gerektirir (Battal, Ahmet; Güven Kurumu Nitelendirmesi Işığında Bankaların Hukuki Sorumluluğu, Ankara 2001, s. 106). O hâlde, bankalar, ağırlaştırılmış sorumluluğun bir gereği olarak objektif özen yükümlülüğü altında bulunmakta olup, buna karşılık hafif kusurlarından dahi sorumludurlar. Ayrıca, bu sorumluluğu kaldırmaya yönelik sözleşmeler de geçerli değildir. Zira sorumsuzluk sözleşmesi hükümlerine sınırlama getiren 818 sayılı Borçlar Kanununun (818 sayılı BK) 99/2 ve 100/3 (6098 sayılı Türk Borçlar Kanununun (6098 sayılı TBK) 115/3 ve 116/3) maddeleri gereğince, bankaların hafif kusurlarından dolayı ortaya çıkan sorumluluğunu kaldıran sözleşme hükümleri geçersiz olacaktır.

6762 sayılı Türk Ticaret Kanununun (6762 sayılı TTK) 20/2. (6102 sayılı Türk Ticaret Kanununun (6102 sayılı TTK) 18/2) maddesi gereğince, tacir, ticaretine ait bütün faaliyetlerinde basiretli iş adamı gibi hareket etmesi lazımdır. Nitekim, bankaların, tacir olarak bütün işlemlerinde basiretli davranma yükümlülüğü herhangi bir tacirden farklıdır. Bu sebeple bankalardan beklenen basiret ölçüsü ve özen yükümlüğü şüphesiz daha ağırdır. Özellikle bankaların internet bankacılığı hizmeti vermeye başladıkları andan itibaren özen yükümlülüğünün daha da arttığının kabul edilmesi gerekmektedir (Yılmaz, Süleyman; Hukuki Açıdan İnternet Bankacılığı, Ankara, 2010, s. 152.) .

Buna karşılık, hiç kuşkusuz, internet bankacılığı işlemlerinde müşteriler de kendilerinden beklenen her türlü tedbiri almak ve her türlü dikkat ve özeni göstermek zorundadırlar. Bu sebeple bilgisayarlarına başkalarının ulaşmasına imkân tanıyan her türlü gerçek ve sanal saldırıyı önleyici tedbirleri almaları ve bu konuda azami özeni göstermeleri gerekmektedir. Müşterilerin, internet bankacılığında kullanılmak üzere kendilerine verilen özel bilgilerini, banka ve kredi kartlarında olduğu gibi, üçüncü kişilerden özenle koruma ve saklama yükümlülüğü mevcuttur. Bu yükümlülüklerin ihlal edilmesi hâlinde müşterinin kendi kusurundan kaynaklanan bu durumun sorumluluğuna kusuru oranında katlanması gerekmektedir.

Bu itibarla, müşterinin internet dolandırıcılığı eyleminin işlenmesinde ve kişisel bilgilerinin kötü niyetli üçüncü kişilerin eline geçmesinde kusuru var ise 818 sayılı BK’nın 44. (6098 sayılı TBK’nın 52.) maddesi gereğince bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda banka, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını 818 sayılı BK’nın 96. (6098 sayılı TBK’nın 112.) maddesi gereğince ispat etmek durumunda olup, ayrıca müşterisinin müterafik kusurunu da ispat etmekle yükümlüdür (Yasaman, Hamdi; Banka Hukuku, İstanbul 2013, C. II, s.105) .

Yukarıda verilen bilgiler ışığında somut olay değerlendirildiğinde, mahkemece hükme esas alınan bilirkişi raporunda; “davacının dava dışı bankalardaki hesaplarına da girildiği dikkate alındığında davacının kişisel bilgilerini bir şekilde koruyamadığının anlaşıldığı, davacının kişisel bilgilerini büyük bir olasılıkla kullandığı bilgisayarından çaldırdığı, yine davacının Cumhuriyet Başsavcılığına verdiği ifadeden cep telefonuna yönlendirici program yüklenmesine sebebiyet verdiğinin anlaşıldığı, bu nedenle müterafik kusurunun bulunduğu” belirtilerek davacının %40 oranında müterafik kusurlu olduğu kabul edilmiş ise de, alınan rapor, somut olay yeterince irdelemeden ihtimallere dayalı olarak düzenlenmiştir. Dosya kapsamından, davacının üç ayrı bankadaki hesaplarına başka bir IP üzerinden aynı anda internet bankacılığı aracılığıyla kötü niyetli girişimlerde bulunulduğu, davalı haricindeki diğer bankaların kötü niyetli girişim sırasında davacıya bilgi vererek hesaplardan paranın çıkışını engelledikleri, davalı bankanın ise kötü niyetli girişimden davacının bildirimi ile haberdar olduğu anlaşılmaktadır. Mahkemece, bu hususlar değerlendirilmeden, davalı bankanın olayın gerçekleştiği tarih itibariyle internet bankacılığı sisteminde, o dönem sektörde kullanılmakta olan tüm gerekli tedbirleri almış olup olmadığı araştırılmadan eksik inceleme ile karar verilmiştir.

Hâl böyle olunca mahkemece, alanında uzman bir başka bilirkişi heyetinden rapor alınarak, olayın gerçekleştiği tarih itibariyle yürürlükte bulunan Bankacılık Düzenleme ve Denetleme Kurumunun (BDDK) tebliği de gözetilerek o dönem sektörde kullanılmakta olan güvenlik tedbirlerinin neler olduğu ve davalı banka haricindeki diğer iki bankanın internet dolandırıcılığı işlemini engellemesi karşısında, davalı bankanın benzeri güvenlik tedbirlerini alıp almadığı, ayrıca davacının kusurunun zararın meydana gelmesinde ne derece etkili olduğu ayrıntılı bir şekilde irdelenip sonucuna göre karar verilmelidir.

Hukuk Genel Kurulundaki görüşmeler sırasında; davacının bilgileri ele geçirilmiş olsa dâhi bankanın gerekli güvenlik tedbirlerini alsaydı dolandırıcılık eyleminin gerçekleşmeyeceği, davalı bankanın olay tarihi itibariyle gerekli tedbirleri almadığının anlaşıldığı, davacının kötü niyetli üçüncü kişilerle işbirliği ve suç teşkil edebilecek eyleminin varlığının da davalı bankaca kanıtlanamadığı, bu itibarla yeniden bilirkişi incelemesinin usul ekonomisine aykırı olduğu gibi sonuca da etkili olmayacağı, bu nedenle direnme kararının bozulması gerektiği görüşü ileri sürülmüş ise de bu görüş, Kurul çoğunluğunca benimsenmemiştir.

Bu itibarla, yerel mahkeme direnme kararının yukarıda açıklanan değişik gerekçe ve nedenlerden dolayı bozulması gerekir.

SONUÇ: Davacı vekilinin temyiz itirazlarının kabulü ile direnme kararının yukarıda açıklanan değişik gerekçe ve nedenlerden dolayı 6100 sayılı Hukuk Muhakemeleri Kanunu’nun Geçici 3. maddesine göre uygulanmakta olan 1086 sayılı Hukuk Usulü Muhakemeleri Kanunu’nun 429. maddesi gereğince BOZULMASINA, istek hâlinde temyiz peşin harcının iadesine, aynı Kanunun 440/III-1 maddesi gereğince direnme kararına karşı miktar itibari ile karar düzeltme yolu kapalı olmak üzere 22.11.2018 tarihinde yapılan ikinci görüşmede oy çokluğu ile kesin olarak karar verildi.