Bilişim sistemlerinin sağladığı kolaylıklar siber güvenlik risklerinin ve yeni suç işleme yöntemlerin doğmasına ve dolandırıcılık başta olmak üzere bilişim temelli suçların artmasına neden olmuştur 1. Bu durum, finans sektöründeki dijitalleşmenin istenmeyen sonuçlarından birisidir.  

Türk hukukunda bilişim suçları doğrudan ve dolaylı olarak iki farklı şekilde düzenlenmektedir. Doğrudan bilişim suçları, 5237 sayılı Türk Ceza Kanunu'nun, ["TCK"]' "Bilişim Alanında Suçlar" başlıklı 10. Bölümü altında sayılırken; dolaylı bilişim suçları, TCK altında çeşitli suçların nitelikli hali olarak düzenlenmekte. Bu çerçevede, doğrudan bilişim suçları anılan bölüm altında "bilişim sistemine girme", "sistemi engelleme, bozma, verileri yok etme veya değiştirme", "banka veya kredi kartlarının kötüye kullanılması" ve "yasak cihaz veya programlar" olarak sayılmakta. Dolaylı bilişim suçları ise hırsızlık, dolandırıcılık ve kumar oynanması için yer ve imkân sağlama suçlarının nitelikli halleri olarak düzenlenmektedir.

Bilişim Sistemleri Aracılığıyla Dolandırıcılık Suçu

TCK md.158/1-f uyarınca dolandırıcılık suçunun bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi cezayı artıran nitelikli hali olarak kabul edilmiştir. Bu çerçevede, nitelikli dolandırıcılık suçunu işleyenler için dört yıldan on yıla kadar hapis ve suçtan elde edilen menfaatin iki katından az olmamak üzere beş bin güne kadar adli para cezası öngörülmekte.

Bilişim alanında işlenen dolandırıcılık suçunda bilişim sistemleri, hileli hareketin failden mağdura yöneltilmesinde bir köprü fonksiyonuna sahip. Pek tabii, bu köprünün çeşitli şekillerde kullanılması mümkündür. Oltalama ve ortadaki adam saldırısı, özellikle uluslararası ticaret yapan şirketlerin hedef alındığı hallerde suçun işlenmesinde kullanılan en yaygın iki yöntemdir.

  • Oltalama [Phishing]

En eski çevrimiçi saldırı türlerinden biri olan oltalama yönteminde meşru görünen özelleştirilmiş e-postalar veya web siteleri vasıtasıyla kişi veya kuruluşların şifre, kullanıcı adı, kredi kartı gibi bilgilerine erişilmekte, kredi kartı ve banka hesaplarından para transfer edilmesi sağlanmaktadır. Bu saldırılar hemen herkesi hedef alabileceği gibi genellikle gizli tutulan finansal verilere erişimi olan şirket yöneticilerinin ve finans departmanlarındaki çalışanların daha çok hedef alındığı söylenebilir.

  • Ortadaki Adam Saldırısı [Man in the Middle Attack]

Ortadaki adam saldırısı, saldırıyı hedef alan üçüncü kişilerin iki bilgisayar kullanıcısı arasındaki iletişime hukuka aykırı şekilde sızmak suretiyle birbirleriyle doğrudan iletişim kurduklarına inanan kullanıcılar arasındaki iletişimi gizlice takip ettiği ve değiştirdiği bir siber saldırı türüdür. Burada fail, yani ortadaki adam, genellikle birbirleriyle ticaret yapan şirketler arasındaki e-posta yazışmalarına sızar ve bir tarafa sanki diğer tarafmışçasına davranmak suretiyle iletişime devam eder. Şirketler arasındaki ticari ilişkinin ve yapılacak işlemin detaylarına hâkim olan fail, e-posta yazışmalarında araya girerek şirketlerin para transferi için kullanacağı hesap detaylarını değiştir ve böylece paranın asıl alıcı yerine kendi belirlediği hesaplara gönderilmesini sağlar.

Dolandırıcılık eylemlerinde en sık olarak kullanılan bu iki yöntemin ortak paydası ise, para transferi yapılmaması gereken bir hesaba para gönderilmesidir. Oltalama yönteminde, ticari ilişkide bulunulan kişilerden yahut üst düzey yöneticilerinden gelmiş gibi görünen e-postalar aracılığıyla dolandırıcıya ait bir hesaba para transferi yapılır. Ortadaki adam saldırısında ise gerçekten de ticari ilişki içerisinde bulunulan kişilerle iletişim kuruluyorken, dolandırıcı ticari ilişkinin tarafı olan bir kişinin e-posta uzantısını, aradaki bir harfini veya noktalama işaretini değiştirerek ilk bakışta anlaşılmayacak şekilde sahte bir e-posta adresi ile mail zincirine dahil olur ve gerçek hesap bilgilerini değiştirerek yine kendisine ait bir hesaba para transferi yaptırır. Bu hesap, elbette ki çoğunlukla bir banka hesabıdır. Dolayısıyla, bu tür suçlar bakımından büyük bir role sahip olan bankanın nasıl konumlandırılacağını da tespit etmek son derece önemlidir.

Hukuki Çareler Nelerdir?

Peki Türkiye'de bilişim sistemleri vasıtasıyla dolandırıcılık suçuna maruz kalanların nasıl bir yol izlemesi gerekir? Esasen, herhangi bir şekilde dolandırıcılığa maruz kalındığında ilk yapılması gereken, suçun yetkili makamlara bildirilmesidir. Bu çerçevede, ihbar yetkili Cumhuriyet Başsavcılıklarına, kolluk makamlarına, mahkemelere, valiliğe veya kaymakamlığa yapılabilir. Ancak Valilik, kaymakamlık ya da mahkemeye yapılan ihbarın da ilgili Cumhuriyet Başsavcılığına gönderileceği dikkate alındığında zaman kaybına neden olacağı unutulmamalıdır.  Suçun yurt dışında işlenip Türkiye'de takibi gerekmesi halinde ise, suç duyurusu Türkiye'nin elçilik ve konsolosluklar aracılığıyla yapılabilmektedir.

Çoğunlukla banka hesapları aracılığıyla işlenen bilişim alanındaki dolandırıcılık suçlarında, yetkili makamlara suç duyurusunda bulunulmasına paralel olarak paranın gönderildiği Türk bankası ile de doğrudan iletişime geçilerek para transferinin durdurulması veya geciktirilmesi mümkün olabilir. Nitekim ödemeye bloke koyularak transferin durdurulması için kısıtlı bir zaman aralığı mevcuttur. Öyle ki, transferi gerçekleştirdikten hemen sonra durumu fark edip banka ile irtibata geçilse dahi bazı hallerde transfer işlemi anında gerçekleştiğinden transfer iptal edilememektedir. Bununla birlikte, suça ilişkin soruşturma ve kovuşturma aşamalarında şüpheli veya sanığa ait banka hesaplarına el koyma tedbirlerinin uygulanmasını adli makamlardan talep etmek oldukça mühimdir. Zira, haksız şekilde transferi sağlanan miktarın ya da bunun bir kısmının hesapta bulunması halinde hesaba el koyulması, zararın doğmasını engelleyebileceği gibi soruşturma sonuçlandıktan sonra zarara uğrayanların zararını daha etkin ve hızlı bir şekilde telafi etmesini sağlayabilir.

Dolandırıcılık suçunun bilişim sistemleri vasıtasıyla işlenmesinde ortaya çıkan bir diğer güçlük ise failin kimliğinin tespit edilmesinin teknik yöntemler gerektirmesidir. Oldukça nadir karşılaşılsa da şüphelinin kimliğinin bilinir olduğu durumlarda, şüpheli kişi veya kişilere karşı doğrudan dava, icra takibi vb. hukuki işlemler başlatılabilir.

Banka Ne Ölçüde Sorumlu?

Dünya Bankası'nın yayımladığı 2021 verileri uyarınca toplam insan nüfusunun %76'sının banka hesabı bulunmaktadır 2. Bir başka deyişle, insanların %76'sı birikimlerini güvende tutmak için bankalara başvurmaktadır. Nitekim, pek çok Yargıtay kararında ifade edildiği üzere, bankalar güven ve itimat kurumlarıdır 3. Bu doğrultuda, bankaların müşterilerine karşı objektif özen yükümlülüğü bulunur ve 5411 sayılı Bankacılık Kanunu ve ikincil düzenlemeler uyarınca güven/itimat kurumunun bir gereği olarak sorumluluk sınırları belirlenir. Özetle, müşterileri ile olan ilişkilerinde bankalar en hafif kusurlarından dahi sorumlu olmalarının yanı sıra çalışanlarının hukuka aykırı eylemlerinden ise kusursuz sorumlulukları bulunur.

Teoride durum bu şekildeyken, pratikte dolandırıcılık vakalarında bankaların sorumlu tutulup tutulmayacağı tartışmalı. Yargıtay içtihatlarına göre, müşterilerin kusuru olmaksızın hesaplarındaki paranın üçüncü kişilerce usulsüz işlemlerle 4 ya da sahte evraklar aracılığıyla 5 ele geçirilmesi halinde banka, müşterilerin zararlarını tazmin etmekle yükümlüdür. Ancak, yukarıda açıklanan yöntemlerle dolandırıcılığa maruz kalan gerçek veya tüzel kişiler, karşı tarafın yönlendirmeleri doğrultusunda para transferi talimatını kendileri verdiğinden bankanı sorumlu tutulması olanaksız hale gelmektedir. Zira, hatalı hesap numaralarına para transferi talimatı verilmesi halinde bankaya husumet yöneltilemeyeceği,6 hatta bankaların hesap numarası ile alıcı isminin uyuşup uyuşmadığını kontrol etme yükümlülüğü bulunmadığı 7 içtihat altına alınmıştır.

Yani, yetkisiz bir işlem söz konusu olduğunda banka sorumlu tutulabilecekken, dolandırıcıya para transferinin müşterinin kendisi tarafından yapılması halinde fatura yine müşteriye kesiliyor. Fakat, bu yaklaşım tartışmaları da beraberinde getiriyor. Her ne kadar böyle durumlarda bankanın zararı tazminle yükümlü olmayacağı kabul edilse de dolandırıcılığın fark edilmesinden sonraki süreçte bankanın sergileyeceği tutumun fark yaratabileceği söylenebilir. Dolandırıcılık suçunun ve ilgili işlemin bankaya bildirilmesinden sonra bankanın ilgili hesaplarla ilgili kendisinden beklenen kontrol, tespit, şüpheli işlem bildirimi gibi prosedürlere uymaması halinde, eş deyişle bankaya atfedilebilir bir kusurun bulunması halinde, meydana gelen zararlardan ötürü, kısmen ya da tamamen, bankanın sorumlu tutulması gündeme gelebilir.

 

1. Adalet Bakanlığı Adli Sicil ve İstatistik Genel Müdürlüğü, Adli İstatistikler Arşivi, 2020 ve 2021 yılı raporları.

2. DEMİRGÜÇ-KUNT Aslı, KLAPPER Leora, SINGER Dorothe, ve ANSAR Saniya. The Global Findex Database 2021: Financial Inclusion, Digital Payments, and Resilience in the Age of COVID-19. 2022, Washington, DC: World Bank.

3. Yargıtay 19. Hukuk Dairesi'nin 16.10.2014 tarihli, 2014/11699 E. ve 2014/15291 K. ile 31.5.2016 tarihli, 2015/18380 E. ve 2016/9753 K. sayılı kararları; Yargıtay 22. Hukuk Dairesi'nin 20.03.2017 tarihli, 2017/16907 E. ve 2017/5541 K. sayılı kararı.

4. Yargıtay Hukuk Genel Kurulu'nun 21.11.2011 tarihli, 2012/550 E. ve 2012/820 K. sayılı kararı.

5. Yargıtay 3. Hukuk Dairesi'nin 09.06.2021 tarihli, 2021/3303 E. ve 2021/6259 K sayılı kararı.

6. Yargıtay 19. Hukuk Dairesi'nin 29.03.2017 tarihli, 2016/4596 E. ve 2017/2564 K sayılı kararı.

7. Yargıtay Hukuk Genel Kurulu'nun 23.02.2021 tarihli, 2017/341 E. ve 2021/144 K. sayılı kararı.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.