Telefonunuzu Bir Dakikalığına Verdiniz... Adınıza Kredi Çekildi! Hukuken Kim Sorumlu?
Akıllı telefonlar artık yalnızca iletişim kurduğumuz cihazlar değildir. Mobil bankacılık uygulamalarımız, e-Devlet hesabımız, dijital imzamız, elektronik posta adreslerimiz, sosyal medya hesaplarımız ve hatta kişisel verilerimizin büyük bölümü tek bir cihaz içerisinde bulunmaktadır. Bu nedenle telefonun kısa süreliğine dahi olsa üçüncü kişilerin eline geçmesi, yalnızca kişisel verilerin ihlaline değil, milyonlarca liralık maddi zararlara yol açabilecek ciddi hukuki sonuçlar doğurabilmektedir. Son yıllarda özellikle mobil bankacılık uygulamaları üzerinden kişinin bilgisi dışında kredi kullanılması, kredi limitlerinin artırılması, ihtiyaç kredisi çekilmesi ve bu paraların farklı banka hesaplarına aktarılması şeklindeki olaylar ciddi şekilde artmıştır.
Bu tür olayların ardından mağdurların ilk sorduğu soru ise şudur: "Telefonum birkaç dakika başkasının elindeydi. Adıma kredi çekilmiş. Peki bu zarardan kim sorumlu? Banka mı, dolandırıcı mı, yoksa ben mi?"
Bu sorunun tek bir cevabı bulunmamaktadır. Çünkü her olay kendi somut özellikleri çerçevesinde değerlendirilmektedir. Hukuken belirleyici olan; kredi işleminin nasıl gerçekleştirildiği, güvenlik doğrulamalarının nasıl aşıldığı, bankanın gerekli güvenlik tedbirlerini alıp almadığı, mağdurun kusurunun bulunup bulunmadığı ve üçüncü kişilerin sisteme hangi yöntemle erişim sağladığıdır.
Türk hukukunda banka ile müşteri arasındaki ilişki yalnızca kredi sözleşmesinden ibaret değildir. Bankalar aynı zamanda mevduat sahibinin malvarlığını korumak, dijital bankacılık sistemlerini güvenli şekilde işletmek ve olağan dışı işlemleri makul ölçüde denetlemekle yükümlüdür. 5411 sayılı Bankacılık Kanunu, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) düzenlemeleri ile bankalara getirilen bilgi güvenliği yükümlülükleri birlikte değerlendirildiğinde, bankaların dijital bankacılık işlemlerinde gerekli teknik ve idari tedbirleri alma yükümlülüğü bulunduğu açıktır.
Ancak bu durum bankanın her olayda mutlak sorumlu olduğu anlamına da gelmez. Eğer müşteri mobil bankacılık şifresini, SMS doğrulama kodunu, internet bankacılığı parolasını veya e-Devlet şifresini üçüncü kişilere kendi rızasıyla vermişse, hatta telefonunu açık şekilde teslim ederek tüm güvenlik doğrulamalarının aşılmasına bizzat imkân sağlamışsa kusur değerlendirmesi değişmektedir. Hukuk yargılamasında bu durum müterafik kusur kapsamında da değerlendirilebilir.
Ceza hukuku bakımından ise olayın niteliğine göre farklı suç tipleri gündeme gelmektedir. Dolandırıcılık amacıyla kişinin telefonuna erişilmesi, mobil bankacılık uygulaması üzerinden kredi kullanılması ve paranın başka hesaplara aktarılması hâlinde çoğu dosyada Türk Ceza Kanunu'nun 158. maddesinde düzenlenen bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu tartışılmaktadır. Bunun yanında bilişim sistemine hukuka aykırı erişim, kişisel verilerin ele geçirilmesi, banka veya kredi kartlarının kötüye kullanılması ve olayın özelliğine göre diğer bilişim suçları da gündeme gelebilmektedir.
Bu dosyalarda Cumhuriyet Savcılığı'nın ilk yaptığı işlemlerden biri banka kayıtlarının celbidir. Hangi IP adresinden mobil bankacılık sistemine giriş yapıldığı, hangi cihaz üzerinden kredi başvurusu gerçekleştirildiği, kredi sözleşmesinin hangi tarih ve saatte onaylandığı, SMS doğrulama kodunun hangi hatta gönderildiği, kredi tutarının hangi hesaba aktarıldığı ve paranın daha sonra hangi hesaplara dağıtıldığı ayrıntılı şekilde araştırılır.
Bankaların tuttuğu log kayıtları bu dosyaların en önemli delillerinden biridir. Mobil uygulamaya giriş yapılan cihaz bilgileri, işletim sistemi kayıtları, IP adresleri, oturum süreleri, cihaz kimlik numaraları ve güvenlik doğrulama kayıtları teknik bilirkişiler tarafından incelenebilmektedir. Özellikle mağdurun kullandığı cihaz dışında farklı bir cihazdan sisteme erişim sağlanıp sağlanmadığı soruşturmanın en kritik noktalarından biridir.
Bunun yanında GSM operatörlerinden HTS kayıtları ile baz istasyonu kayıtları da istenir. İşlem saatinde mağdurun telefonu hangi baz istasyonundan sinyal vermektedir? Aynı zaman diliminde şüphelinin telefonu hangi bölgede bulunmaktadır? SIM kart değişikliği yapılmış mıdır? Aynı saatlerde farklı cihazlardan internet bankacılığına erişim sağlanmış mıdır? Bu teknik veriler yalnızca failin tespiti bakımından değil, mağdurun iddialarının doğruluğunun değerlendirilmesi bakımından da önemlidir.
Bazı dosyalarda telefonun fiziksel olarak ele geçirilmesi söz konusu değildir. Bunun yerine mağdura sahte banka görevlisi, sahte polis veya sahte savcı gibi davranılarak uzaktan erişim programı yükletilmekte, mobil bankacılık uygulamasına fail tarafından uzaktan müdahale edilmektedir. Bu tür olaylarda dijital cihaz üzerinde adli bilişim incelemesi yapılmakta; yüklenen uygulamalar, uzaktan erişim yazılımları, APK dosyaları, cihaz logları ve internet geçmişi teknik bilirkişiler tarafından incelenmektedir.
Mobil bankacılık üzerinden kullanılan kredinin aktarılmış olduğu hesap da soruşturmanın temelini oluşturmaktadır. Eğer para üçüncü kişilere ait banka hesaplarına gönderilmişse, bu hesaplara ilişkin MASAK incelemesi yapılabilir. Hesap hareketleri, para transfer zinciri, ATM para çekim görüntüleri, banka kamera kayıtları ve varsa kripto varlık platformlarına yapılan transferler araştırılır. Son yıllarda suç gelirlerinin kısa süre içerisinde kripto varlıklara çevrilmesi nedeniyle savcılıklar ilgili platformlardan kullanıcı bilgileri ve transfer kayıtlarını da talep edebilmektedir.
Uygulamada en çok tartışılan konulardan biri de bankanın sorumluluğudur. Her kredi işlemi gerçekten müşteri tarafından mı yapılmıştır? Banka olağan dışı işlem tespiti yapmış mıdır? Aynı gün içerisinde farklı şehirden sisteme giriş yapılmasına rağmen ek doğrulama istenmiş midir? Çok yüksek tutarlı kredi başvurusu yapılırken ilave güvenlik tedbirleri uygulanmış mıdır? Müşterinin daha önce hiç kullanmadığı bir cihazdan giriş yapılmasına rağmen sistem neden işlemi onaylamıştır? İşte bu sorular hukuk davalarında büyük önem taşımaktadır. Bankanın gerekli özen yükümlülüğünü yerine getirip getirmediği somut olayın özelliklerine göre değerlendirilir.
Diğer taraftan mağdurun davranışları da incelenmektedir. Telefonun ekran kilidinin açık bırakılması, bankacılık şifrelerinin not edilmesi, SMS doğrulama kodlarının üçüncü kişilere söylenmesi, uzaktan erişim uygulamalarının bilinçsiz şekilde kurulması veya kimlik bilgilerinin paylaşılması kusur değerlendirmesinde dikkate alınabilir. Ancak her dikkatsizlik bankanın sorumluluğunu tamamen ortadan kaldırmaz. Mahkemeler, bankanın teknik güvenlik yükümlülüğü ile müşterinin özen yükümlülüğünü birlikte değerlendirerek kusur dağılımı yapmaktadır.
Bu tür olaylarda mağdurun ilk saatlerde atacağı adımlar hayati önem taşımaktadır. Öncelikle banka derhâl aranmalı, mobil bankacılık erişimi kapattırılmalı, hesaplara bloke konulması talep edilmeli ve kullanılan kredi tutarının aktarılmış olduğu hesapların tespiti istenmelidir. Ardından Cumhuriyet Başsavcılığına ayrıntılı suç duyurusunda bulunulmalı; banka dekontları, SMS kayıtları, telefon ekran görüntüleri, e-posta bildirimleri ve diğer tüm dijital deliller muhafaza edilmelidir. Gecikilen her saat, paranın farklı hesaplara aktarılması ve izinin sürülmesini zorlaştırmaktadır.
Bu tür dosyalarda yalnızca ceza soruşturması ile yetinilmesi doğru değildir. Olayın özelliklerine göre bankaya karşı maddi tazminat talepleri, özel hukuk sorumluluğu, sebepsiz zenginleşme hükümleri veya diğer hukuki yollar da ayrıca değerlendirilmelidir. Ceza yargılamasının amacı failin cezalandırılması iken, mağdurun uğradığı maddi zararın giderilmesi çoğu zaman ayrı bir hukuki süreci gerektirir.
Yargıtay'ın yerleşik yaklaşımında da elektronik bankacılık işlemlerinde her somut olayın kendi özellikleri içerisinde değerlendirilmesi gerektiği kabul edilmektedir. Ne banka her olayda mutlak sorumludur ne de müşteri her durumda kusurlu sayılabilir. Mahkemeler; bankanın güvenlik sistemlerini, müşterinin davranışlarını, teknik log kayıtlarını, IP verilerini, HTS kayıtlarını, cihaz incelemelerini ve diğer tüm delilleri birlikte değerlendirerek sonuca ulaşmaktadır.
Sonuç olarak telefonun birkaç dakikalığına üçüncü kişilerin eline geçmiş olması, tek başına bankanın veya mağdurun sorumluluğunu belirlemeye yetmez. Hukuki değerlendirme; kredi işleminin hangi yöntemle gerçekleştirildiği, güvenlik doğrulamalarının nasıl aşıldığı, teknik delillerin ne gösterdiği ve tarafların özen yükümlülüğünü yerine getirip getirmediği dikkate alınarak yapılmalıdır. Ancak unutulmamalıdır ki dijital çağda telefon yalnızca bir iletişim aracı değil, aynı zamanda kişinin finansal kimliğidir. Bu nedenle birkaç dakikalık dikkatsizlik, yıllarca sürebilecek ceza ve hukuk davalarına konu olabilecek ağır sonuçlar doğurabilir.

