II. BANKALARIN YÜKÜMLÜLÜK ve SORUMLULUKLARI

Elektronik bankacılık uygulaması olarak karşımıza çıkan uygulamalarda taraflar arasında yükümlülük ve sorumlulukların dağıtılması gerekecektir. Müşterinin, bankacılık işlemlerini yaparken kullandığı bilgileri dikkatle saklama, bu bilgilerin çalındığı şüphesi halinde durumun derhal bankaya ihbar edilmesi ve güvenli bağlantı konusunda kendisine düşen asgari tedbirleri alma yükümlülüğü vardır. Buna karşılık bankanın da kendi konumundan kaynaklanan özel yükümlülüklere tabi olması gerekir. Bankanın yükümlülükleri ayrı başlıklar halinde aşağıda sıralanacaktır. Ancak sorumluluğun paylaştırılmasında bankanın yükümlülükleri ve sorumlulukları ayrı başlıklar altında incelenmelidir.

1. Bilgi Verme ve Aydınlatma Yükümlülüğü

Her şeyden önce bankaların ilk yükümlülüğü, kullanılan elektronik ortamla ilgili yeterli ve gerekli bir aydınlatma yükümlülüğünün müşterilerine verilmesidir. Zira banka kullanıcıları ile banka karşılaştırıldığında; bir kurum olarak görev yapan ve elektronik ortamda işlemlerini müşterilerine açan kuruluşların, bu şekilde bir tabii yükümlülüklerinin olduğu sonucuna ulaşılmalıdır. Kurum olarak banka, yeni teknolojilerin kullanılmasında müşteriye göre özel bilgi ve tecrübelere sahiptir ve bu bilgi ve tecrübeleri müşterisine aktarmak zorundadır.

Bankanın yeni teknolojileri kullanma ve özellikle riskleri konusunda müşterilerini yeterli bir şekilde aydınlatma yükümlülüğünü ihlal etmesi halinde, onun kusurlu olduğu sonucuna ulaşmak gerekmektedir. Bir işlemin nasıl ve hangi güvenlik esaslarına riayetle yapıldığı konusunda müşteri aydınlatılmalıdır.

Aydınlatma yükümlülüğü, müşterinin sadece bir kere uyarılmasıyla yerine getirilmiş olmaz. Yeni teknolojileri kullanacak ve hâlihazırda kullanan müşterilerin aynı zamanda sürekli olarak yeni tehlikelere, yeni virüslere karşı ve yeni güvenlik tedbirleri konusunda sürekli olarak aydınlatılması gerekmektedir.

Bankanın aydınlatma yükümlülüğü, esasen yapılan işin mahiyeti gereği bankalara yükletilmelidir. Bankanın elektronik işlemlerden sağladığı fayda düşünüldüğünde bu yükümlülüğün ağır bir külfet olmadığı görülür. Elektronik ortamdaki virüslerin, truva atlarının ve olta ve keylogger yöntemlerinin elektronik ortamda bankacılık işlemlerine başlanmadan müşterinin karşısına çıkarılması, çok özel tehlikelerin varlığı halinde müşterinin elektronik işlemlere başlamadan önce aydınlatma/bilgilendirme açıklamalarını okumalarının sağlanması, zorunlu ilk adım olarak konulmalıdır.

Banka, bir taraftan özel hallerin ve elektronik ortamın getirebileceği tehlikeler konusunda müşterisini sürekli aydınlatması gerekirken diğer taraftan da müşterisini bazı özel hallerin varlığında bilgilendirmelidir. Bunlara örnek olarak elektronik ortamın kullanılmaya başlandığı hallerde önceki işlemler ya da son giriş tarihi, özel ve ayırt edilebilecek şekilde müşterinin karşısına çıkarılmalıdır.

Yine müşterinin özel ya da belirli tutarları aşan meblağlarının müşteriye özel olarak, telefonla, kısa mesaj servisleri yardımıyla bildirilmesi bu kapsamda değerlendirilebilir.

Elektronik ortamı kullanan müşterilerin büyük çoğunluğunun genelde belirli bir bilgisayardan (mesela ev ya da işyerindeki bilgisayar gibi) bankacılık işlemlerini yaptığı ve bunların dışında nadiren başka bilgisayarlardan bu işlemleri yaptıkları bir vakıa olarak karşımıza çıkmaktadır. Bunun gibi müşterinin sürekli kullandığı sabit bir IP adresinin olması[14] ve müşterinin bu IP adresi dışında başka bir adresten işlem yapmaya başladığı hallerde onun ayrıca bilgilendirilmesi gerekebilir.

Bilgilendirme yükümlülüğünün nasıl yerine getirileceği ayrı bir sorun olarak karşımıza çıkmaktadır. Bu konuda kesin bir görüş belirtmek yerine, bilgilendirmenin yapılacağı konuların özelliğine göre bir tavır almanın daha isabetli olacağı kanaatindeyim. Örneğin elektronik bankacılık işlemlerinin son yapılış tarihi, sisteme girişte belirtilmesi yeterli olabilirken, sürekli kullanılan statik IP adreslerinin değişmesi halinde kişiye telefon ya da mesaj atılarak durumun bildirilmesi gerekir. Ancak müşteri girişleri sürekli olarak farklı IP adreslerinden yapılıyor ve bu değiştiriliyor ise bu, müşterinin sabit bir IP adresine sahip olmadığını gösteriyor demektir ki, bu durumda bilgilendirme yapmaktan sarfı nazar edilebilecektir.

Özel tehlikenin gerektirdiği durumlarda ayrıca başka bilgilendirme araçlarının da devrede tutulması gerekmektedir. Örneğin bir hususta yanlış işlem yapan ya da bilgilerinin çalındığı korkusuna kapılan bir kimsenin derhal arayabileceği telefon numaralarının açık tutulması gerekir.

Bu konuda örnek bir düzenleme olarak Banka Kartları ve Kredi Kartları Kanunu’nun 8. maddesi verilebilir:

“Kart çıkaran kuruluşlar, kartların düzenli ve güvenli kullanımı ile bildirim, talep, şikayet ve itirazlara ilişkin gerekli tedbirleri almaya yönelik sistemi kurmak ve kesintisiz olarak açık tutmakla yükümlüdür” (m.. Aynı şekilde elektronik bankacılığın diğer türlerinde de bankalar, müşteriyi koruyucu sitemleri kurmak zorundadırlar.

2. Tedbir Alma Yükümü

Elektronik ortamda müşterilerine işlem yapma yetkisi veren bankalar, aynı zamanda bu sistemin iyi işleyişi ve olabilecek hatalar konusunda gerekli tedbirleri almakla yükümlüdür. Örneğin sisteme müdahalelerden korunabilmesi için müşterilerine güvenli ortam sağlayacak yazılımların ücretsiz sunulması, bu yazılımların güncellenmesi gibi. Bu tür tedbir alma yükümünün ihmali halinde bankanın kusurlu sayılması gerekir.

Tedbir alma yükümünün kapsamı ise her geçen gün değişmekte ve gelişmektedir. Bu husus bir yargı kararında çok güzel bir şekilde vurgulanmaktadır[15]:

“Davacı vekilinin temyizine gelince; davanın reddine karar verilen E.Oppong isimli şahsın yaptığı 1.940.000.000 TL tutarındaki alışverişle ilgili olarak davacının davaya konu diğer kredi kartı ile ilgili olarak yaptığı gibi kartı ibraz eden kişinin kimliği örneğini almadığı ve bu bakımdan kusuru olduğu açık ise de uluslararası kredi kartı uygulamasının ulaştığı aşama itibariyle davalı bankanın sahte kredi kartlarına p.o.s cihazının onay vermesini engelleyici teknik bir takım önlemler almasının mümkün olup olmadığı, eğer mümkünse bu önlemleri almaması nedeniyle sorumluluğu bulunup bulunmadığı araştırılarak sonucuna göre karar verilmesi gerekirken, eksik inceleme ile yazılı şekilde karar vermesi yerinde görülmediğinden, davacı vekilinin temyiz itirazlarının kabulü ile hükmün bozulmasına karar vermek gerekmiştir”.

3. Eksiklikler ve Sistem Hataları Nedeniyle Sorumlulukları

Elektronik bankacılık işlemlerinde banka hizmetleri insan yerine makineler tarafından gerçekleştirilmektedir. Banka memurlarının hataları, bankanın kusuru olarak kabul edilmektedir[16]. Aynı şekilde bankanın donanım ya da yazılım hatalarından kaynaklanan zararlar için, aynen banka memurlarının hataları gibi bankanın kusurlu olduğu ve kusurların bankaya yükleneceği belirtilmelidir. Özellikle bu durum, söz konusu elektronik ortamların, makinelerin kimin yararına çalışıyorsa onların teknik yardımcısı sayılacağı görüşüyle ifade edilmektedir. Elektronik ortamda bankacılık işlemlerinin yapılması halinde müşterinin yarar sağlayacağı söylenebilirse de özellikle sistemin hazırlayıcısı, işleticisi ve hakimi konumunda olan bankanın, sistemin işleyişi konusundaki hatalar, eksiklikler ve kusurlardan sorumlu olması gerektiği sonucuna ulaşılmalıdır[17].

Sistem hataları yanında ne bankaya ne de müşteriye yüklenemeyen diğer eksiklikler ve sistem kırılmaları da söz konusu olabilir. Örneğin internet bağlantısının kesilmesi halinde paranın gönderilip gönderilmediği, EFT ya da havale onayının verilip verilmediği, sistemin müdahaleye açık olup olmadığı sorunu karşımıza çıkmaktadır.

Bankanın müşterisi ile yapacağı sözleşmelere sistem hatalarından ya da ağ hatalarından kaynaklanan sorunlardan kendisini azade kılan sözleşme şartları konusunda dikkatli olmak gerekmektedir. Hemen burada belirtmek gerekir ki, bankalar tarafından kullanılan genel işlem şartlarının müşterileri yeterince gözettiği ve “müşteri dostu” olduğunu söylemek zordur.

Türk hukukunda bu alanda kullanılabilecek hükümlere bakıldığında BK.m.99 ve 100 akla gelen ilk hükümlerdir. BK.m.99/I gereğince sistemdeki arızanın bankanın ağır kusuru veya kastından doğması halinde genel şart hükümlerine dayanarak kendisini sorumluluktan kurtarabilmesi mümkün değildir.

Almanya’da elektronik bankacılık işlemlerinde kullanılan genel işlem şartları arasında bankaların kendilerini sistem hatalarından ve ağır kusurdan sorumlu tutmadığı şartlar dava konusu yapılmıştır[18]. Tüketici Koruma Derneğinin açtığı davada Federal Mahkeme, bu tür genel işlem şartlarının Alman Genel İşlem Şartları Yasası’nın 11. maddesine aykırı olduğuna karar vermiştir.

Bankaların hafif kusurdan genel işlem şartlarına koyacakları hükümlerle kurtulup kurtulamayacakları konusu ise BK.m.99/II’nin yorumlanmasına bağlıdır. Bu madde hükmünde “hafif kusur halinde mesuliyet, hükümet tarafından imtiyaz suretiyle verilen bir sanatın icrasından tevellüt ediyorsa haiz olduğu takdir salahiyetine istinat ile hakim bu şartı batıl addedebilir” denmektedir. Yargı kararlarında bu hükme dayanılarak bankaların kendilerini hafif kusurlardan sorumsuz tutan sözleşme şartlarına dayanarak sorumluluktan kurtulamayacakları belirtilmektedir[19].

Bu konuda ayrıca 13.06.2003 tarih ve 25137 sayılı Resmi Gazetede yayımlanan “Tüketici Sözleşmelerindeki Haksız Şartlar Yönetmeliği” hükümleri de uygulama alanı bulabilecektir.

Müşterinin sistemdeki bu tür problemlerde örneğin havaleyi yapamaması ye da başkaca zararlarının doğması halinde buna kimin katlanacağı da ayrı bir sorundur. Örneğin elektronik bankacılık işlemleri arasında bulunan döviz ye da hisse senedi alımında sistem hatası dolayısıyla işlemin yapılmaması nedeniyle zarara uğraması halinde sorumluluk kime ait olacaktır?

Bu sorunun cevaplanmasından önce elektronik bankacılık işlemlerinde tarafların menfaatlerine bakılmalıdır. Elektronik bankacılık işlemlerini kullanan müşteri için elbette kolaylık ve ilave sağlanan bir konfor bulunmaktadır. Buna karşın bankanın elektronik bankacılık işlemlerini kullanmasında müşteri ile karşılaştırıldığında menfaati daha fazladır. Bir araştırmaya göre, banka hesaplarında yapılan basit bir transfer işleminin maliyeti, banka tarafından şube aracılıyla yapıldığında $1,27, ATM (Automatic Teller Machine) kullanıldığında 27 cent, internet üzerinden ise sadece 1 cent’tir[20]. Yine ortalama bir ödeme işlem maliyeti şubelerde 144 cent, telefon ile aynı işlemin maliyeti 54 cent iken, internet üzerinden işlem maliyeti sadece 4 cent’tir[21].

Benzeri bir sorunu inceleyen Alman Mahkeme Kararında, sistem hatası nedeniyle zarara uğrayan kişinin zararı, taraflar arasındaki sözleşmenin ihlaline dayanılarak çözümlenmiştir[22]. Davaya konu olayda davalı bankanın sistem hatası dolayısıyla davacı 5 Nisan 2000 tarihinde saat 10.29 civarında almış olduğu 100 adedin üzerindeki Morphosys-hisselerini, alış fiyatının üzerinde satmak istemiş ancak saat 10.48’de hisseler 265 Euro limitinde iken satamamıştır. Dava konusu olayda davacının bankanın kusuruna eşlik eden birlikte kusurundan da bahsedilememektedir. Davacı bir yandan sistemi denemiş diğer yandan da derhal bankayı telefonla haberdar etmiştir. Bütün çabaların sonucunda sistem ancak saat 11.03’te açılmıştır. Ancak hisse değerleri, saat 11.02’de 260 Euro’ya düşmüştür. Davacının hisse senetlerini satamaması tamamen bankanın sistem hatasına dayanmaktadır ve müşteriye vaat edilen internet erişimi sağlanamamıştır. Bu durum ise sözleşmenin pozitif ihlali olarak değerlendirilmiştir.

Bankaya izafe edilemeyen genel ağ problemleri gibi problemlerden kaynaklanan zararlarda, bankanın sorumlu tutulup tutulamayacağı ayrıca değerlendirilmelidir. Genel işlem şartları arasına bu şekilde hükümlerin konulması da mümkündür. Ancak bu işlem şartlarından bağımsız olarak bu tür problemlerin taraflar arasında “kimin etki alanında” kaldığının belirlenmesi gerekecektir. Etki alanı denilen bu teoriye göre, bankanın etki alanında kalan ve aslında çözebileceği problemlerde bankanın sorumlu olacağı sonucuna ulaşılır iken, bankanın etki ve düzenleme alanının dışında kalan hata ve eksikliklerden ise sorumlu olmadığı kanaatine ulaşılır[23]. Müşterinin etki alanında kalan risklerde banka için sadece sistemin bu şekilde kesilmesi halinde müşteriye ait elektronik ortamı kapatma yükümlülüğü öngörülebilir. Her iki tarafa da yüklenemeyen örneğin telekomünikasyon sisteminin tamamen çökmesi nedeniyle meydana gelen problemlerde banka sorumlu tutulamamalıdır.

4. Elektronik Ortamda Kredi Kartları Kullanımı İçin Yasal Düzenleme

Kredi kartlarının getirdiği sorunlar nedeniyle ülkemizde 23 Şubat 2006 tarihinde 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu kabul edilmiştir[24]. İnternet ortamında banka kartı bilgilerinin kullanılması halinde yapılan işlemlerde, kart sahibi, özel olarak korunmaktadır. Kanunun 15. maddesine göre kart sahibinin sorumluluğu için mutlaka harcama belgesinin düzenlenmesi gerekmektedir. Harcama belgesi düzenlemeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla yapılan mal ve hizmet alımlarındaki hukuka aykırı kullanımlardan kaynaklanan zararlardan, kart hamili sorumlu tutulmamaktadır.

Görüldüğü gibi Kanunun bu hükmü ile banka kartı sahibi, özel olarak korunmuştur. Banka kartı bilgilerinin elektronik ortamda kullanılması halinde, bankanın sorumluluktan kurtulabilmesi için ödeme yapmadan önce harcamaların kart sahibi tarafından yapıldığına ilişkin bir teyit araması gerekecektir. Bu teyit alınıncaya kadar, banka, bu şekildeki harcamaların bedelini özellikle müşterinin itirazı halinde işyerlerine devirden kaçınmalıdır.

III. DIŞARIDAN MÜDAHALE ve SORUMLULUK

Elektronik bankacılık işlemlerinin yapılması aşamasında karşılaşılabilecek ve risk teşkil edebilecek haller olarak, müşterinin bilgilerinin üçüncü kişiler tarafından ele geçirilip bankacılık işlemlerinin yapılmasıdır. Elektronik bankacılıkta dışarıdan müdahaleler olarak adlandırılabilecek bu durumlar, birbirinden farklı başlıklar altında incelenmelidir.

1. Hesap Sahibinin Özensizliği Nedeniyle Şifrelerin Kaybı

Elektronik bankacılık işlemlerinin müşteri tarafından güvenli bir şekilde yapılabilmesinin ilk şartı, banka tarafından kendisine tevdi edilen şifrenin korunmasıdır. Bu şifrenin, dijital ortamda bulundurulmaması, hatta yazılı olarak dahi saklanmaması gerekmektedir. Hesap sahibi, aynı zamanda elektronik bankacılık işlemlerini yapmış olduğu bilgisayar, avuç içi bilgisayar (PDA) ya da cep telefonu gibi cihazların asgari güvenliğini de sağlamalıdır. Bu şekilde şifre güvenliğinin sağlanmadığı hallerde müşterinin kusurundan da bahsedilir[25].

2. Hesaba Teknik Müdahale

Hesap sahibinin bilgilerine yapılacak müdahalelerden bir kısmı, teknik müdahale teşkil etmektedir. Elektronik ortamda bankacılık faaliyetlerinde en büyük tehlike “olta yöntemi” (phishing) veya “keylogger” yöntemi gibi usullerle müşterinin hesaplarına nüfuz edilmesidir. Müşterinin bu hallerde kişisel kusuru ile bankanın bu konudaki yükümlülüklerinin belirlenmesi, sorunların çözümlenmesinde anahtar rol oynayacaktır.

Müşterinin hesaplarına bu şekilde müdahale edilmesinin bir çok usulü bulunmakla birlikte bunlardan en tanınmışı ve bilineni olta yöntemi (phishing) ve yanlış alan adına yönlendirmedir (pharming, DNS-Spoofing)[26].

a. Olta Yöntemi (phishing)

Bu yöntemde, elektronik bankacılık hizmeti alan müşteriye tanıdık sembol ve format içinde yanıltıcı bir elektronik posta gönderilmektedir. Bu e-postalarda verilen linkler aracılığı ile banka müşterilerinden, kart bilgileri, kart şifreleri, internet şubesi şifreleri ve kişisel bilgileri istenmektedir. Müşteri bu elektronik postanın bankasından geldiği inancı ile verilen linklerden (aktif bağlantılar üzerinden), bankanın web sayfasına benzer sayfalara geçiş yapmakta ve orada şifre ve diğer kişisel bilgilerini vermektedir. Böylece bu işlemler sonucu, kullanıcının şifre ve diğer bilgileri üçüncü kişilerin eline geçebilmektedir. “Dolandırıcılık” yöntemlerinden bir diğerinde ise kullanıcının bilgisayarına keylogger denilen trojan atları yerleştirilmek suretiyle müşterinin klavye hareketlerini ve bu şekilde şifre ve müşteri numaralarını tespit eden virüs yazılımları eklenmektedir. Ülkemizde bu yöntemle banka müşterilerine verilen zarar tutarları ile ilgili bir veri olmamasına karşın, Almanya’da Eyalet Kriminal Dairelerinin verilerine göre binden fazla olayda 4,5 milyon Euro’luk zarar gerçekleşmiştir. Kriminal Daireleri, bu rakamın sadece kendilerine yapılan başvurular sonunda elde edildiğini, aslında zararın bu rakamın çok üzerinde olduğunu belirtmektedirler[27