BANKACILIK İŞLEMİNDEN KAYNAKLANAN TAZMİNAT DAVASI ÖRNEĞİ
Davacı vekili dava dilekçesinde özetle; müvekkili şirketin davalı bankanın.... bulunan hesabından 17.10.2018 tarihinde müvekkilinin bilgisi ve rızası dışında 58.000,00 TL'nin SMS, internet bankacılığı yoluyla yapılan işlemler sonucu .... isimli kişinin .... bulunan hesabına aktarıldığını, müvekkilinin hesabına para aktarılan kişiyi tanımadığı gibi bu kişi ile müvekkilinin herhangi bir ticari alışverişinin de bulunmadığını, müvekkilinin 17.10.2018 tarihinde .... nolu telefonuna güncelleme gönderilerek kilitlendiğini, banka hesabı şifreleri kırılmak suretiyle müvekkilinin banka hesabına girildiğini, bu dolandırıcılık işleminin fark edilmesi üzerine derhal 18.10.2018 tarihinde Ankara Cumhuriyet Başsavcılığı'na şikayette bulunulduğunu, ayrıca davalı banka şubesine de dilekçe verildiği halde davalı banka tarafından ilgilenilmediğini, müvekkili şirketin tek hesabı olan bu hesaba ait hesap hareketleri incelendiğinde bu miktarda bir paranın tek seferde EFT edilmediğinin görüleceğini, bu miktarda paranın aktarılmasından şüphelenmeyen davalı bankanın ihmalinin söz konusu olduğunu, objektif özen ödevini yerine getirmediğini ileri sürerek fazlaya ilişkin hakları saklı kalmak kaydıyla 58.000,00 TL'nin 17.10.2018 tarihinden itibaren işleyecek avans faiziyle birlikte davalıdan tahsiline karar verilmesini talep ve dava etmiştir.
Davalı vekili cevap dilekçesinde özetle; davacı şirketin talebi üzerine internet bankacılığı sisteminin kullanımına açıldığını, davacının uğradığını iddia ettiği zararın gerçekleşmesinde müvekkilinin kusurunun bulunmadığını, müvekkilinin sistemine ilişkin herhangi bir eksikliğin de söz konusu olmadığını, zira BDDK tarafından 01.01.2010 tarihinden itibaren internet bankacılığı girişlerinde zorunlu tutulan tek kullanımlık şifre uygulamasının, müvekkili banka tarafından SMS Şifre ve Cep Şifre olmak üzere iki ayrı yöntemle müvekkili banka müşterilerinin hizmetine sunulduğunu ve tercihin müşteriye bırakıldığını, sisteme giriş için şahsa özel müşteri numarası ile tercihe göre cep şifre ya da SMS şifrenin kullanılarak sisteme girilmesi gerektiğini, ayrıca müşterinin kendisi ile ilişkilendirilmemiş bir dış kaynağa para transferi yapabilmesi için sistemin yeniden şifre girişi talep ettiğini, davacı tarafından imzalanan kredi sözleşmesi gereğince tüm bu bilgilerin güvenliğinin 3. Kişilerle paylaşmaması, şifrelerin be bilgilerin özenle muhafazasının müşterinin sorumluluğunda olduğunu, müvekkili bankanın güvenlik açısından zaafiyetinin bulunmadığını, davacı tarafından telefonunda yeterli korumanın sağlanamaması nedeniyle zarara yol açan işlemlerin yapıldığını, müvekkili banka sisteminde müşteriye ait bilgilere ulaşabilme ihtimalinin bulunmadığını savunarak davanın reddine karar verilmesini istemiştir.
İLK DERECE MAHKEMESİ KARARI:
İlk derece mahkemesince iddia, savunma, bilirkişi raporu ve toplanan tüm delillere göre; bankacılık işlemlerinden kaynaklanan tazminat istemiyle açılan davada; davacının hesabından bilgi ve onayı dışında para çekildiği, usul yasaya uygun görülen ve hükme esas alınan bilirkişi rapourna göre bankanın gerekli güvenlik önlemleri almayarak zarara sebebiyet verdiğinin belirtildiği, bu itibarla teknik imkanları çok geniş olan ve bir güven kurumu olarak faaliyet gösteren davalı bankanın sahteliği önleyici tedbirler alması gerektiği, kredi sağlayarak ve mevduat toplayarak getirisinden faydalanan bankaların, gerekli güvenliği sağlayamaması nedeni ile meydana gelen zararlardan da sorumlu olması gerektiği, objektif özen borcunun gereği olarak hafif kusurlarından dahi sorumlu olduğu, davacının hesabından bir kerede yüklü miktarda para çekilmesi husunda etkili hiç bir güvenlik önlemi almadığı,bu nedenle davacının müterafık kusurunun da bulunmadığı, bu hususun ispatına ilişkin delil de sunulmadığı gerekçesiyle davacının davasının kabulü ile, 58.000,00 TL'nin 17/10/2018 tarihinden itibaren işleyecek avans faizi ile birlikte davalıdan alınarak davacıya verilmesine karar verilerek aşağıdaki şekilde hüküm tesis edilmiştir.
HUKUKİ NİTELENDİRME, DELİLLERİN VE İSTİNAF SEBEPLERİNİN DEĞERLENDİRİLMESİ
Dava, davalı banka nezdinde açılmış olan hesapta bulunan paranın davacının bilgisi ve izni dışında internet yolu ile yapılan işlemler sonucu çekilmesi suretiyle uğranılan zararın tazmini istemine ilişkin olup ilk derece mahkemesince yukarıda yazılı gerekçeyle davanın kabulüne karar verilmiştir.
5464 sayılı Banka Kartları ve Kredi Kartları Kanunu'nun 16. Maddesine göre; "Kart hamili, kendisine tevdi edilen kartı ve kartın kullanılması bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa bu bilgileri güvenli bir şekilde korumak ve başkaları tarafından kullanılmasına engel olacak önlemleri almak..zorundadır."
BDDK'nın 1 Kasım 2006 tarih ve 26333 sayılı Resmi Gazete'de yayımlanan ve bankalar için risk kabul edilen ve sermayelerini bu riskler de gözönüne alınarak belirlemeleri gerektiğine ilişkin düzenleme getiren yönetmeliğin 3/n maddesinde "bilgi teknolojileri sistemlerindeki hata ve aksamalar" opsiyonel risk adı altında kabul edilmiştir. Buna göre, bankaların internet bankacılığında olabilecek açıklıkları bilerek bunun sonuçlarını göze alarak bu hizmeti verdikleri anlaşılmaktadır.
Bankalar kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür. (4491 Sayılı Kanun ile değişik 4389 Sayılı Bankalar Kanunu'nun 10/4 ve 5411 Sayılı Bankacılık Kanunu'nun 61. maddesi ). Bu tanımlamaya göre, mevduat ödünç ile usulsüz tevdi sözleşmelerinin niteliklerini taşıyan kendine özgü bir sözleşmedir. TBK'nın 386. ve 387. (818 sy. BK'nın 306 ve 307.) maddeleri uyarınca ödünç alan, akdin sonunda ödünç verilen parayı eğer kararlaştırılmışsa faizi ile iadeye mecburdur. Aynı Yasa'nın 570/1. maddesi uyarınca usulsüz tevdide paranın yararı ve hasarı mutlak şekilde saklayana geçtiği için ayrıca açıklamaya gerek kalmadan saklayan bu parayı kendi yararına kullanabilir. Bu açıdan değerlendirildiğinde, usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir. Usulsüz işlemlerin gerçekleşmesinde ispatlandığı takdirde mevduat sahibinin müterafık kusurundan söz edilebilir ve banka bu kusur oranı üzerinden hesap sahibinin alacağından mahsup talebinde bulunabilir.
Yukarıda yapılan açıklamalar ışığında davalı banka vekilinin istinaf sebepleri değerlendirilecek olursa;
Somut olayda davalı bankanın ... mudiisi olan davacı şirketin hesabında bulunan 58.000,00 TL'nin 17.10.2018 tarihinde EFT yoluyla aktarılmıştır. Davalı banka tarafından gönderilen yazıya göre; 17.10.2018 tarihinde saat 10:01:17'de, 10:08:36'da ve 10:14:37'de internet bankacılığına giriş yapıldığına dair banka tarafından davacıya SMS gönderildiği, fakat bir işlem yapılmadığı, 5 saat sonra 15:04:36'da, 15:05:48'de 15:08:19'da 15:15:19'da 15:16:52'de 15:17:30'da davalı banka tarafından SMS'ler gönderildiği anlaşılmış olup fakat mesajlara 5 saat ara verilip tekrar mesaj gönderilmesinin, diğer bir ifade ile fiili işlemin ilk mesajdan 5 saat sonra gerçekleştirilmesinin anlaşılamadığı,01.08.2017-20.11.2018 döneminde yapılan ödemelerin en fazla 2.000-3.000,00 TL civarında ve daha altındaki miktarlar olduğu belirlenmiştir. Davalı banka hesabından 17.10.2018 tarihinde saat 15.17.de 58.000,00 TL EFT yoluyla gönderilmiştir. Davacının müşteki sıfatıyla 18.10.2018 tarihinde verdiği Ankara CBS'nin .... sayılı soruşturma dosyasında; bilgisi ve rızası dışında telefonunu .... numaralı telefona yönlendirildiğini fark ettiğini, yönlendirmeyi kendisinin yapmadığını beyan etmiştir.
İlk derece mahkemesince alınan Dairemizce dosya kapsamına ve oluşa uygun bulunan objektif, denetime ve hüküm kurmaya elverişli bulunan bankacılık işlemleri konusunda uzman .... tarafından düzenlenen 05.02.2019 tarihli raporda; dava konusu gibi yüksek miktardaki 58.000,00 TL ödemeden önce hesap sahibi davacıdan bankacılık uygulamalarına göre teyit alınması gerektiği, davalı bankaca davacı .... internet şifresinin başka şahıslar tarafından ele geçirildiği iddiasına ilişkin davalı banka tarafından delil sunulmadığı, BDDK'nın Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ hükümleri gereği internet sayfalarına giriş esnasından itibaren olabilecek muhtemel güvenlik açıklarına karşı önlemleri almanın bankanın sorumluluğunda olduğu, mevduat sahibine ilişkin bilgilerin ve işlem alanının internet ortamına aktarılmasıyla birlikte bankanın mevduat sözleşmesinden kaynaklanan saklama borcunun bir sonucu olarak yetkisiz kişilerin mevduat bilgileri ve işlem alanına ulaşmasını engelleyecek güvenlik tedbirlerini alması gerektiği, ayrıca mevduat sahibinin de kendisine verilen şifre ve işlemlerde kullandığı kişisel bilgileri özenle saklamak ve başka kişilerin öğrenmesini engellemekle yükümlü olduğu, bu bakımdan sistemin tehlikeleri konusunda müşterilerini banka tarafından bilgilendirilmesi ve bu tehlikeleri bilerek interaktif bankacılık işlemlerine girişip girişmeme kararının vermesinin sağlanması gerektiği, müşterilere ait şifre bilgileri kullanılarak üçüncü kişilerce başka hesaplara aktarılmasında çoğunlukla müşterinin bilgisayarına internet ortamında yerleşen casus programlar vasıtasıyla gerçekleştirildiği, bankanın mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamasının zorunlu olduğu, bu kapsamda, bankanın interaktif bankacılık işlemleri sırasında şifre bilgilerinin 3. kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması, kendi web sayfasından başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra mevduat sahiplerini de bilgilendirmesi gerektiği, sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğun bankaya ait olduğu, bankaların tek kullanımlık şifre göndermekle sorumluluktan kurtulamayacağı, bankaların internet bankacılığı suçlarına karşı son derece etkin bir araç olan elektronik imza uygulamasını başlatmaları gerektiği, davalı bankanın davacının şifre ve hesap bilgilerini saklamakta kusurlu davrandığının ve dava dışı 3. kişi ile birlikte hareket edildiğinin davalı banka tarafından ispatlanmadığı, BDDK'nın ilgili tebliğinin (14.09..... sayılı RG) "inkar edilemezlik ve sorumluluk atama başlıklı 28/1. Maddesi hükmü uyarınca, banka öyle bir sistem kurmalıdır ki işlemi başlatan banka müşterisinin bu işlemi kendisinin yaptığını inkar edememesinin sağlanması gerektiği, tebliğin denetim izlerinin oluşturulması başlıklı 29/2. Maddesindeki; "Banka, internet bankacılığı faaliyetlerine ilişkin işlem ve kayıt tutma süreçlerinin ve alt yapısının, delil üretecek ve bu delillerin bozulmasını önleyecek, yanıltıcı delilleri ayırt edebilecek ve taraflara sorumluluk yüklemede kullanılabilecek bilgileri sunacak şekilde yapılanmasını temin eder" hükmünün gereğinin yapıldığının da davalı banka veya vekili tarafından ifade edilmediği, sonuç olarak; davalı bankanın interaktif banka müşterisinin hesaplarına hacker'lar tarafından girilip usulsüz işlemlerin yapılmasının engellenmesine yönelik tedbirleri almadığı belirtilmiştir.
Ayrıca davalı banka tarafından davacının kart bilgilerini ve şifresini paylaştığı da ispat edilememiştir.
(Ankara BAM 21. HD, 24.03.2021, E:2019/1208, K:2021/436)