Şifre kırılarak hesabın boşaltılmasında ilk defa müşteriyi haklı bulan kesin yargı kararı, internet bankacılığının güvenliğini yeniden gündeme taşıdı.
Üniversitede ’elektronik bankacılık’ dersleri veren eski bankacı Bülent Şenver, "Nasıl şubede ve taşırken koruyorsa, sanal ortamda da parayı korumak bankanın işi." diyor.
Özellikle mağdurlar ve tüketici örgütlerinin dile getirdiği, bankaların bu konuda yeterli tedbiri almadığı eleştirilerine eski bir bankacı da destek verdi. Sektörün otorite isimleri arasında anılan Bülent Şenver, "Tekerleği yeniden keşfetmeye gerek yok. Bankaların yeterli önlem almadığı ortada." diyor. İnternet bankacılığında asıl sorumluluğun bankada olduğunu vurgulayan Şenver’in tespitleri ilgi çekici: "Banka, müşterisinin parasını korumakla mükellef bir kurumdur. Nasıl ki; parasının naklini yaparken en ince detayına kadar güvenlik önlemini alır, zırhlı araç ve silahlı güvenlik elemanları bulundurur, üstüne yine çalınır ihtimaliyle sigorta yaptırır, hatta çalınsa bile bedelini müşteriye ödetmez. Elektronik bankacılıkta da risklere karşı önlemlerini almalıdır."
Şenver’e göre şimdiye kadar bankalar ’canı yanmadığı’ için bu konuda tedbir almakta hevesli davranmıyor. ’Olay olsun bakalım, gideriz mahkemeye 5 sene sonra hakim ne derse onu yaparız’ mantığıyla hareket ediliyor. Oysa böyle bir davada hakim, 500 milyon TL ceza kesse, banka bir daha yanlış yapmaya tövbe eder. Banka; şubede ya da taşırken olduğu gibi, sanal ortamda da parayı korumakla yükümlü. Müşteriden kaynaklanan güvenlik zafiyetleri olabileceğini de ihmal etmemek lazım. Yabancı bilgisayardan sisteme giriş, şifreyi başkasına verme gibi durumlar yaşanabilir. Bu gibi hallere karşı da bankalar korunmalı. "Gelişmiş ülkelerde sistem dört dörtlük kurulmadan, bu işlemleri yapmaya cesaret bile edemezsiniz. Bizde herkes kafasına göre güvenlik önlemleri geliştiriyor. Bunu bir zapt-ı rapta almak lazım." derken, Bankalar Birliği ve sektörün patronu BDDK’nın acilen internet bankacılığında uyulması gereken asgari tedbirleri belirlemesi gerektiğini ifade ediyor. Sektörün çatı örgütü ile Üst Kurul’un tüzük ya da yönetmelik yayınlamadan önce ortak çalışma yapacak bir komite kurulmasını ve emniyet kuralları ile standartların belirlenmesini öneriyor. Avrupa ve ABD’de sektör otoritelerinin bankanın teknolojik altyapısını inceledikten sonra internet bankacılığı yeterlilik belgesi verdiğini ve her işlemi sıkı bir takibe aldığını kaydediyor. BDDK’nın da aynı uygulamaya geçmesinin şart olduğunu belirtiyor. "Testi kırıldıktan sonra parasını kim ödeyecek tartışmasına girmenin faydası yok. Önemli olan nasıl kırıldığını bulmak ve tedbirini almak. Kimin kırdığını tespit etmek ve cezasını vermek için ihtisas mahkemeleri kurmak." değerlendirmesinde bulunuyor. Haziran 1987 ile Temmuz 1993 arasında Pamukbank’ın genel müdürlüğünü yapan Şenver, Bankalar Birliği Yönetim Kurulu’nda 6 yıl denetçilik görevinde bulundu. Halen Yeditepe Üniversitesi’nde MBA Master Programı kapsamında ’elektronik bankacılık’ dersleri veriyor. Ayrıca Boğaziçi Üniversitesi’nde de derslere giriyor.
Müşteri lehine çıkan ilk karar
Yargıtay 11. Dairesi, emekli mühendis Bilen Ağar’ın davasında, bankayı kusurlu bulmuştu. Hesabın kilitli olduğunu fark eden Ağar, bankayı aramış, 4 gün sonra geri dönen banka da hesabındaki 20 bin TL’yi aşkın paranın transfer edildiğini iletmişti. Ağar da işlemi kendisinin yapmadığını anlatmış ve parasını istemişti. Banka yetkililerinin yapacak bir şey olmadığını söylemeleri üzerine de konuyu yargıya taşımıştı. İstanbul Kadıköy 4. Asliye Ticaret Mahkemesi, Ağar’ı haklı bulmuş, banka da temyize gitmişti. İtirazı görüşen Yargıtay 11. Hukuk Dairesi, güvenlik için kullanılan ’sanal klavye’nin bilgisayar korsanlarını engellemede yeterli olmayacağı kanaatine varmış ve yerel mahkemenin kararını oybirliğiyle onaylamıştı. Banka, objektif özen yükümlülüğünü yerine getirmediği, hafif kusurlarından dahi sorumlu olduğu, davacının şifresini koruma yükümlülüğüne uygun davranmadığı gerekçesiyle hesaptan çekilen miktar kadar tazminata mahkûm olmuştu. Ağar, 40 bin yeni lira tazminat almıştı.
Mahkemeler artık Yargıtay içtihadını dikkate alır
Tüketiciler Birliği Genel Başkanı Avukat Bülent Deniz, Yargıtay’ın sanal banka mağdurunu koruyucu kararını ’devrim’ olarak nitelendiriyor. "Yerel mahkemelerin böyle davalarda artık Yargıtay içtihadına göre hareket etmelerini bekliyoruz." diyen Deniz, teslim edilen paranın her şartta korumasının da banka tarafından yapılması gerektiğine vurgu yapıyor. Hem müşterinin hem de bankanın bu konu üzerinde ciddiyetle durmasının şart olduğunu dile getiren Deniz, "Bankaların birtakım ek güvenlik önlemleri alması şart. Bu şekilde yürümeyeceği, mağdur olan sayısından belli oluyor zaten. Ben güvenemediğim için yüklü işlemleri şubeye gidip yapıyorum. Müşteriler de banka bilgilerini paylaşmanın sakıncasının farkında olmalı." değerlendirmesinde bulunuyor.
Açılan bin 200 davadan 18’ini müşteri kazandı
Yargıtay’ın sanal banka mağdurunun zararının tazmin edilmesi kararı, yargıya giden bin 200’ü aşkın mağdur için umut oldu. Bu davalardan şimdiye kadar ancak 18’inde müşterinin haklı bulunduğu bilgisini veren Sanal Banka Mağdurları Derneği Başkanı Cem Polatoğlu, "Bankalar bu davaları Yargıtay’a taşıdı. Ancak 11. Daire’nin kararı bizi umutlandırdı." diye konuşuyor. Hukuk mücadelesini kazanan Bilen Ağar’ın da üyeleri olduğunu söyleyen Polatoğlu, mahkeme sürecindeki sıkıntının, internet bankacılığına geçişte imzalanan belgeden kaynaklandığını ifade ediyor. Açtıkları davaların çoğunu, söz konusu belgede yer alan, "Herhangi bir nedenden ötürü internet bankacılığında paramız giderse bankanın hiçbir sorumluluğu yoktur." şeklinde ifadeler yüzünden kaybettiklerini dile getiriyor.
Bilişim mahkemeleri kurulmamış olmasının büyük eksiklik olduğunu aktaran Polatoğlu, mahkemelerde kendilerini savunmak için yurtdışından bilirkişi raporu bile getirmek zorunda kaldıklarından dert yanıyor. Avrupa İnsan Hakları Mahkemesi’ne ’güvenlik alanında’ başvuran derneğe, mahkeme bilirkişi raporu göndermiş. Raporda, güvenlik konularındaki sorumluluğun bankalarda olduğu ifade ediliyor. Polatoğlu, "Bankaların sözleşmesine karşı bu raporun Türkçesini sunuyoruz. Ama nafile. Bu tip davalara bilişim mahkemelerinin bakması lazım. Dünyanın pek çok ülkesinde var; ancak ülkemizde hâlâ kurulamadı." diye dert yanıyor. ’İnternetten yapılan işlemler geçersiz’
Polatoğlu, internetten yapılan işlemlerin geçersizliği konusunda Telekomünikasyon Kurumu Başkan Yardımcısı Mustafa Alkan gibi düşünüyor. Alkan, Nisan 2004’ten sonra internet üzerinden yapılan bütün işlemlerin geçersiz olduğunu öne sürmüş, gerekçe olarak da e-imza uygulamasını göstermişti. Yasal mevzuata göre sanal işlemlerde e-imza kullanılması öngörülüyor. Dernek Başkanı Polatoğlu, Türkiye’nin dünyanın en zayıf internet bankacılığı altyapısına sahip ülkeler arasında yer aldığını iddia ederek, "Tüm dünyada uygulanan en yaygın ve güvenli sistem e-card’dır. Sanal bankacılığı kullanacaklara şifreli bir kart veriliyor. Bir aparat aracılığıyla bilgisayara takıp bankacılık şifrelerinizi girersiniz. Daha sonra da internet bankacılığı şifreleri girilir. Banka sizi tanımadan onay vermez işlemlerinize. Bizde hep bankacılık sektörünün geldiği nokta konuşulur; fakat Mısır, Endonezya, Tunus gibi ülkelerde bile bu teknoloji kullanılıyor. Biz neden yapamıyoruz?" diye soruyor. Bankaların, müşterisinden internet bankacılığı, kart aidatı adı altında kesinti yaptığını kaydederek, "Bulduğu her fırsatta para aldığı halde banka benim paramın güvenliğini neden sağlayamıyor? Banka bir finansal güvenlik kurumudur. Bu güvenliği sağlayamaz ise oraya paramızı teslim etmenin anlamı kalmaz." ifadelerini kullanıyor.
Üniversitede ’elektronik bankacılık’ dersleri veren eski bankacı Bülent Şenver, "Nasıl şubede ve taşırken koruyorsa, sanal ortamda da parayı korumak bankanın işi." diyor.
Özellikle mağdurlar ve tüketici örgütlerinin dile getirdiği, bankaların bu konuda yeterli tedbiri almadığı eleştirilerine eski bir bankacı da destek verdi. Sektörün otorite isimleri arasında anılan Bülent Şenver, "Tekerleği yeniden keşfetmeye gerek yok. Bankaların yeterli önlem almadığı ortada." diyor. İnternet bankacılığında asıl sorumluluğun bankada olduğunu vurgulayan Şenver’in tespitleri ilgi çekici: "Banka, müşterisinin parasını korumakla mükellef bir kurumdur. Nasıl ki; parasının naklini yaparken en ince detayına kadar güvenlik önlemini alır, zırhlı araç ve silahlı güvenlik elemanları bulundurur, üstüne yine çalınır ihtimaliyle sigorta yaptırır, hatta çalınsa bile bedelini müşteriye ödetmez. Elektronik bankacılıkta da risklere karşı önlemlerini almalıdır."
Şenver’e göre şimdiye kadar bankalar ’canı yanmadığı’ için bu konuda tedbir almakta hevesli davranmıyor. ’Olay olsun bakalım, gideriz mahkemeye 5 sene sonra hakim ne derse onu yaparız’ mantığıyla hareket ediliyor. Oysa böyle bir davada hakim, 500 milyon TL ceza kesse, banka bir daha yanlış yapmaya tövbe eder. Banka; şubede ya da taşırken olduğu gibi, sanal ortamda da parayı korumakla yükümlü. Müşteriden kaynaklanan güvenlik zafiyetleri olabileceğini de ihmal etmemek lazım. Yabancı bilgisayardan sisteme giriş, şifreyi başkasına verme gibi durumlar yaşanabilir. Bu gibi hallere karşı da bankalar korunmalı. "Gelişmiş ülkelerde sistem dört dörtlük kurulmadan, bu işlemleri yapmaya cesaret bile edemezsiniz. Bizde herkes kafasına göre güvenlik önlemleri geliştiriyor. Bunu bir zapt-ı rapta almak lazım." derken, Bankalar Birliği ve sektörün patronu BDDK’nın acilen internet bankacılığında uyulması gereken asgari tedbirleri belirlemesi gerektiğini ifade ediyor. Sektörün çatı örgütü ile Üst Kurul’un tüzük ya da yönetmelik yayınlamadan önce ortak çalışma yapacak bir komite kurulmasını ve emniyet kuralları ile standartların belirlenmesini öneriyor. Avrupa ve ABD’de sektör otoritelerinin bankanın teknolojik altyapısını inceledikten sonra internet bankacılığı yeterlilik belgesi verdiğini ve her işlemi sıkı bir takibe aldığını kaydediyor. BDDK’nın da aynı uygulamaya geçmesinin şart olduğunu belirtiyor. "Testi kırıldıktan sonra parasını kim ödeyecek tartışmasına girmenin faydası yok. Önemli olan nasıl kırıldığını bulmak ve tedbirini almak. Kimin kırdığını tespit etmek ve cezasını vermek için ihtisas mahkemeleri kurmak." değerlendirmesinde bulunuyor. Haziran 1987 ile Temmuz 1993 arasında Pamukbank’ın genel müdürlüğünü yapan Şenver, Bankalar Birliği Yönetim Kurulu’nda 6 yıl denetçilik görevinde bulundu. Halen Yeditepe Üniversitesi’nde MBA Master Programı kapsamında ’elektronik bankacılık’ dersleri veriyor. Ayrıca Boğaziçi Üniversitesi’nde de derslere giriyor.
Müşteri lehine çıkan ilk karar
Yargıtay 11. Dairesi, emekli mühendis Bilen Ağar’ın davasında, bankayı kusurlu bulmuştu. Hesabın kilitli olduğunu fark eden Ağar, bankayı aramış, 4 gün sonra geri dönen banka da hesabındaki 20 bin TL’yi aşkın paranın transfer edildiğini iletmişti. Ağar da işlemi kendisinin yapmadığını anlatmış ve parasını istemişti. Banka yetkililerinin yapacak bir şey olmadığını söylemeleri üzerine de konuyu yargıya taşımıştı. İstanbul Kadıköy 4. Asliye Ticaret Mahkemesi, Ağar’ı haklı bulmuş, banka da temyize gitmişti. İtirazı görüşen Yargıtay 11. Hukuk Dairesi, güvenlik için kullanılan ’sanal klavye’nin bilgisayar korsanlarını engellemede yeterli olmayacağı kanaatine varmış ve yerel mahkemenin kararını oybirliğiyle onaylamıştı. Banka, objektif özen yükümlülüğünü yerine getirmediği, hafif kusurlarından dahi sorumlu olduğu, davacının şifresini koruma yükümlülüğüne uygun davranmadığı gerekçesiyle hesaptan çekilen miktar kadar tazminata mahkûm olmuştu. Ağar, 40 bin yeni lira tazminat almıştı.
Mahkemeler artık Yargıtay içtihadını dikkate alır
Tüketiciler Birliği Genel Başkanı Avukat Bülent Deniz, Yargıtay’ın sanal banka mağdurunu koruyucu kararını ’devrim’ olarak nitelendiriyor. "Yerel mahkemelerin böyle davalarda artık Yargıtay içtihadına göre hareket etmelerini bekliyoruz." diyen Deniz, teslim edilen paranın her şartta korumasının da banka tarafından yapılması gerektiğine vurgu yapıyor. Hem müşterinin hem de bankanın bu konu üzerinde ciddiyetle durmasının şart olduğunu dile getiren Deniz, "Bankaların birtakım ek güvenlik önlemleri alması şart. Bu şekilde yürümeyeceği, mağdur olan sayısından belli oluyor zaten. Ben güvenemediğim için yüklü işlemleri şubeye gidip yapıyorum. Müşteriler de banka bilgilerini paylaşmanın sakıncasının farkında olmalı." değerlendirmesinde bulunuyor.
Açılan bin 200 davadan 18’ini müşteri kazandı
Yargıtay’ın sanal banka mağdurunun zararının tazmin edilmesi kararı, yargıya giden bin 200’ü aşkın mağdur için umut oldu. Bu davalardan şimdiye kadar ancak 18’inde müşterinin haklı bulunduğu bilgisini veren Sanal Banka Mağdurları Derneği Başkanı Cem Polatoğlu, "Bankalar bu davaları Yargıtay’a taşıdı. Ancak 11. Daire’nin kararı bizi umutlandırdı." diye konuşuyor. Hukuk mücadelesini kazanan Bilen Ağar’ın da üyeleri olduğunu söyleyen Polatoğlu, mahkeme sürecindeki sıkıntının, internet bankacılığına geçişte imzalanan belgeden kaynaklandığını ifade ediyor. Açtıkları davaların çoğunu, söz konusu belgede yer alan, "Herhangi bir nedenden ötürü internet bankacılığında paramız giderse bankanın hiçbir sorumluluğu yoktur." şeklinde ifadeler yüzünden kaybettiklerini dile getiriyor.
Bilişim mahkemeleri kurulmamış olmasının büyük eksiklik olduğunu aktaran Polatoğlu, mahkemelerde kendilerini savunmak için yurtdışından bilirkişi raporu bile getirmek zorunda kaldıklarından dert yanıyor. Avrupa İnsan Hakları Mahkemesi’ne ’güvenlik alanında’ başvuran derneğe, mahkeme bilirkişi raporu göndermiş. Raporda, güvenlik konularındaki sorumluluğun bankalarda olduğu ifade ediliyor. Polatoğlu, "Bankaların sözleşmesine karşı bu raporun Türkçesini sunuyoruz. Ama nafile. Bu tip davalara bilişim mahkemelerinin bakması lazım. Dünyanın pek çok ülkesinde var; ancak ülkemizde hâlâ kurulamadı." diye dert yanıyor. ’İnternetten yapılan işlemler geçersiz’
Polatoğlu, internetten yapılan işlemlerin geçersizliği konusunda Telekomünikasyon Kurumu Başkan Yardımcısı Mustafa Alkan gibi düşünüyor. Alkan, Nisan 2004’ten sonra internet üzerinden yapılan bütün işlemlerin geçersiz olduğunu öne sürmüş, gerekçe olarak da e-imza uygulamasını göstermişti. Yasal mevzuata göre sanal işlemlerde e-imza kullanılması öngörülüyor. Dernek Başkanı Polatoğlu, Türkiye’nin dünyanın en zayıf internet bankacılığı altyapısına sahip ülkeler arasında yer aldığını iddia ederek, "Tüm dünyada uygulanan en yaygın ve güvenli sistem e-card’dır. Sanal bankacılığı kullanacaklara şifreli bir kart veriliyor. Bir aparat aracılığıyla bilgisayara takıp bankacılık şifrelerinizi girersiniz. Daha sonra da internet bankacılığı şifreleri girilir. Banka sizi tanımadan onay vermez işlemlerinize. Bizde hep bankacılık sektörünün geldiği nokta konuşulur; fakat Mısır, Endonezya, Tunus gibi ülkelerde bile bu teknoloji kullanılıyor. Biz neden yapamıyoruz?" diye soruyor. Bankaların, müşterisinden internet bankacılığı, kart aidatı adı altında kesinti yaptığını kaydederek, "Bulduğu her fırsatta para aldığı halde banka benim paramın güvenliğini neden sağlayamıyor? Banka bir finansal güvenlik kurumudur. Bu güvenliği sağlayamaz ise oraya paramızı teslim etmenin anlamı kalmaz." ifadelerini kullanıyor.
