0505 995 63 17
vaka@bilirkisiraporu.com.tr
Bilirkişi Raporu
İletişim
İnternet/Mobil Banka Dolandırıcılığı İncelemesi
Anasayfa » İnternet/Mobil Banka Dolandırıcılığı İncelemesi
İnternet/Mobil Banka Dolandırıcılığına maruz kadıysanız veya mağdur durumdaysanız yargılanıyorsanız ve bu kapsamda taraf bilirkişiliği hizmetimizden yararlanarak, karşı savunma, şikayette bulunma veya dava açmanız gerekiyorsa bu alanda hizmet vermekteyiz. Lütfen aşağıda sunduğumuz yazıyı okuyunuz.
- bilirkisiraporu.com.tr ekibi

İnternet/Mobil Banka Dolandırıcılığı ve Hukuki Sorumluluklar

Dijital Bankacılık ve Dolandırıcılık Kavramı

Son yıllarda internet ve mobil bankacılık yaygınlaşmakla kalmamış iş ve kişisel hayatımızın adeta olmazsa olmazı haline gelmiştir. Bankalar şubelerini küçültüp müşterilere çevrimiçi hizmet sunarak maliyetlerini azaltmakta ve geniş kitlelere hizmet vermektedir. Ancak dijitalleşmenin getirdiği kolaylıklar aynı zamanda siber suçlular için fırsat yaratmıştır. Dijital okur‑yazarlığı düşük müşteriler, kimlik avı (phishing), zararlı yazılım, sahte uygulama ve man‑in‑the‑middle gibi saldırılarla hedef alınmaktadır. Saldırganlar, bankanın adına benzeyen sahte internet siteleri veya sahte çağrı merkezleri aracılığıyla kullanıcı adını ve parolayı elde eder; kredi veya aidat iadesi gibi vaatlerle kişilerin ilgisini çeker ve hesaplarına erişir. GSM cihazlarına (cep telefonu ve tablet) yüklenen sahte mobil uygulamalar, kullanıcıların fark etmeden şifre ve kimlik doğrulama kodlarını saldırganlara yönlendirme şeklinde gönderebilir.

Suçu oluşturan tipik yöntemler

İnternet/mobil banka dolandırıcılığı genellikle şu yöntemlerle işlenir:

  • Kimlik avı (phishing): Kurumsal görünen e‑postalar veya sahte internet siteleri aracılığıyla kullanıcı adı, parola ve SMS doğrulama kodları talep edilir.
  • Ortadaki Adam (Man in the Middle) saldırısı: İki taraf arasındaki iletişime sızan saldırgan, alıcı bilgilerinde küçük bir değişiklik yaparak paranın kendi hesabına gönderilmesini sağlar.
  • Zararlı yazılımlar ve sahte mobil uygulamalar: Telefonun güvenlik açıklarından yararlanarak kullanıcı verilerini çalan uygulamalar hesapların ele geçirilmesine yol açar.
  • Sosyal mühendislik/sahte ödül kampanyaları: Kişilere beklenmeyen ödüller veya kredi iadesi gibi vaat eden mesajlar gönderilir ve kişisel bilgiler toplanır.
  • Kredi ve hesap açma dolandırıcılığı: Saldırganlar mağdur adına irade dışı kredi kullanır; çekilen para başka hesaplara aktarılır.

Bu yöntemlerin çoğu, bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık suçu kapsamında değerlendirilir. Türk Ceza Kanunu’nun (TCK) 158/1‑f maddesi, bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle dolandırıcılık suçunu 3 yıldan 10 yıla kadar hapis ve adlî para cezası ile cezalandırır. Suçun basit hali (TCK 157) ise hileli davranışlarla bir kimseyi aldatıp kendisine veya başkasına yarar sağlamayı düzenler ve 1–5 yıl hapis cezası öngörür.

Bankaların Hukuki Sorumluluğu

Bankalar “Güven Kurumu” Olarak Ağırlaştırılmış Sorumluluk Taşır

Bankalar, 5411 sayılı Bankacılık Kanunu uyarınca müşterilerin mevduatını iade etmekle ve saklamakla yükümlüdür. Mevduat sözleşmesi, ödünç sözleşmesi niteliğinde olup, banka kendisine teslim edilen parayı aynen geri vermek zorundadır. Banka, müşterinin hesabına izinsiz erişim nedeniyle parayı iade edemediğinde dahi müşterinin zararını tazmin etmelidir. Bankalar özel yasa ile kurulan güven kurumlarıdır; bu nedenle ağırlaştırılmış sorumluluk altında olup hafif kusurlarından dahi sorumludurlar. 6102 sayılı Türk Ticaret Kanunu’nun 18/2 maddesine göre tacirler basiretli iş adamı gibi hareket etmek zorundadır; bankalardan beklenen özen ölçüsü diğer tacirlerden daha yüksektir.

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Yönetmeliği

Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği bankaların dijital hizmet sunarken uyması gereken teknik ve idari kuralları ayrıntılı şekilde düzenler. Bu sebeple yönetmelik çok önemlidir. Öne çıkan hükümler:

  • Kimlik doğrulama ve çoklu bileşen: Bankalar, internet ve mobil bankacılık hizmetlerinde müşterinin kimliğini doğrulamak için birbirinden bağımsız en az iki bileşenden oluşan kimlik doğrulama mekanizmaları kurmak zorundadır. Bileşenler, müşterinin bildiği, sahip olduğu veya biyometrik karakteristiği olan unsurlardan seçilir ve bağımsız olmalıdır. İki bileşenli kimlik doğrulama olmaksızın yapılan işlemlerin müşteri tarafından gerçekleştirildiğini ispat etme yükümlülüğü bankaya aittir.
  • Şifreleme ve gizlilik: Kimlik doğrulamada kullanılan şifreleme anahtarları, ele geçirilme riskini en aza indirecek şekilde korunmalı; OTP ve doğrulama kodları rastgele üretilmeli ve belirli bir süre geçerli olmalıdır.
  • SMS OTP kısıtlaması: Mobil uygulama oturumu sırasında SMS ile tek kullanımlık parola gönderilmesini yasaklamış ve cihazda eşleşen anahtarların kullanılmasını öngörmüştür. SIM kart değişikliği veya numara taşıma olduğunda SMS doğrulama 90 gün boyunca kullanılamaz; bu durumda iki bileşenli kimlik doğrulama kullanılması zorunludur.
  • Olağandışı işlem takibi: Bankalar, olağan dışı veya sahtekârlık amaçlı işlemleri tespit etmek ve önlemek için işlem takip mekanizmaları kurmak zorundadır. Bu mekanizmalar, bilinen dolandırıcılık yöntemleri, işlem tutarının normal dışı olup olmadığı, kaybolmuş veya çalınmış kimlik doğrulama unsurlarının listesi ve zararlı yazılım belirtileri gibi risk unsurlarını izler. Riskli işlemler filtrelenerek değerlendirilir ve banka bu müşterileri yakından takip ederek telefon veya SMS yoluyla uyarır.
  • Müşteri bilgilendirmesi: Banka, elektronik bankacılık hizmetlerine ilişkin şartlar, riskler ve güvenlik prensipleri hakkında müşteriyi açıkça bilgilendirmek zorundadır. Bu bilgiler internet sitesinde erişilebilir olmalı ve müşterilerden hizmete başlamadan önce okumaları istenmelidir. Banka, müşteri talebi olmadan internet veya mobil bankacılık hizmetini açamaz; müşteri hizmeti kapattırmışsa yeniden açılması için müşterinin talebi gereklidir.
  • İnternet ve mobil bankacılıkta kimlik doğrulama: İnternet bankacılığında kimlik doğrulama çevrim içi gerçekleşmeli ve müşterinin bildiği unsur otomatik olarak gönderilmemelidir. Mobil bankacılıkta ise uygulama PIN’i veya biyometrik verilerle erişilen şifreleme anahtarları iki bileşenli kimlik doğrulama yerine geçebilir. Müşterinin sadece güvenli alıcılar listesine transfer yapması gibi durumlarda tek bileşenli kimlik doğrulama kabul edilebilir; ancak oturum açıldıktan sonra 90 gün geçerse iki bileşenli doğrulama zorunludur.
  • Telefon bankacılığında güvenlik: Banka, müşteri kimlik doğrulaması yapılmadan telefon bankacılığı hizmeti sağlayamaz.

Banka Kartları ve Kredi Kartları Mevzuatı

Mobil/internet bankacılığı için özel düzenleme bulunmasa da Banka Kartları ve Kredi Kartları Kanunu’nun 8. maddesi, kart çıkaran kuruluşların kod numarası, şifre veya kimliği belirleyici başka yöntemlerin gizli kalması amacıyla gerekli önlemleri almakla yükümlü olduğunu söyler. Kredi kartları mobil bankacılıkla benzer mantıkta olduğundan bu hüküm kıyasen uygulanabilir. Bankalar, şifrelerin gizli kalmasını sağlamak ve kart numaralarının yazışmalarda yer almasını engellemek zorundadır.

Banka Müşterilerinin Sorumluluğu

Müşterilerin de kişisel bilgilerini korumak ve kimlik doğrulama unsurlarını başkalarıyla paylaşmamak yönünde özen yükümlülüğü vardır. Bilgisayar ve telefonlarında güvenlik önlemleri almak, kişisel bilgileri her platformda paylaşmamak, şifreleri başkalarına vermemek müşterinin yükümlülüğüdür. Müşteri ağır veya hafif ihmaliyle zarara sebep olmuşsa müterafik kusur nedeniyle sorumluluğu doğabilir.

Türk Ceza Kanunu’ndaki Dolandırıcılık Suçları ve Yaptırımlar

Türk Ceza Kanunu’nun 157. ve 158. maddeleri, dolandırıcılık suçunun basit ve nitelikli hallerini düzenler. Bilişim sistemlerinin araç olarak kullanılması suretiyle işlenen nitelikli dolandırıcılık (TCK 158/1‑f) için ceza alt sınırı üç yıldan dört yıla kadar olup ceza 10 yıla kadar artırılabilir ve adli para cezası uygulanır. Fail, bilişim sistemi aracılığıyla hileli davranışlarla mağduru kandırmalı, haksız menfaat sağlamalı ve eylem ile zarar arasında nedensellik bağı bulunmalıdır. Bilişim sistemi, verileri toplayıp işleyen ve kullanıcıya sunan her türlü sistemdir, dolayısıyla internet bankacılığı ve mobil uygulamalar bu kapsama girer.

Savunma ve Bilirkişi İncelemesi

İnternet/mobil banka dolandırıcılığı suçundan yargılanan ya da soruşturulan kişiler, teknik inceleme ve hukuki değerlendirmeyle kendilerini savunabilirler. Adlî bilişim uzmanı tarafından hazırlanacak raporda şu hususlara dikkat edilebilir:

  1. Olay analizi ve veri toplama
    • Banka kayıtları, işlem logları, IP adresleri ile port numaralı ve oturum açma zamanları incelenerek yasal yollar ile söz konusu IP adresleri ile portların kullanıcıları tespit edilmelidir. İşlemlerin hangi Sanığın/şüphelinin cihaza fiziksel veya uzaktan erişim sağlanıp sağlanmadığı değerlendirilebilir.
    • Mobil cihaz veya bilgisayarda zararlı yazılım olup olmadığı, sahte uygulama yüklenip yüklenmediği ve kimlik doğrulama kodlarının dışarı sızdırılıp sızdırılmadığı adlî bilişim araçlarıyla araştırılmalıdır.
    • Bankanın güvenlik altyapısının olay tarihinde mevzuata uygun olup olmadığı, bankanın SMS OTP veya çift faktör doğrulama kurallarına uyup uymadığı ve işlem takip mekanizmalarının faal olup olmadığı incelenmelidir.
  2. Hukuki değerlendirme
    • Bankanın, 5411 sayılı Kanun ve BDDK yönetmeliği kapsamındaki yükümlülüklerini yerine getirip getirmediği değerlendirilir. Örneğin bankanın müşterinin bilgisi dışında internet/mobil bankacılık hizmetini açması hukuka aykırıdır; bu durumda bankanın sorumluluğu artar.
    • Banka, iki bileşenli kimlik doğrulama kullanmadan işlem gerçekleştirmiş ve buna rağmen müşterinin parası transfer edilmişse, işlemin müşteri tarafından yapıldığını ispat etme yükümlülüğü bankadadır. Dolayısıyla bilirkişi raporu, bankanın doğrulama sürecini inceleyerek ispat yükünün bankada olduğunu vurgulayabilir.
    • Yargıtay’ın birçok kararında, banka müşteriyi zarara uğratabilecek dolandırıcılık yöntemlerine karşı gerekli güvenlik altyapısını geliştirmediği takdirde hesaptan çekilen paradan sorumlu olduğuna hükmedildiği belirtilmiştir. Bu emsal kararlar, raporda hukuki görüşün desteklenmesi için kullanılabilir.
  3. Müterafik kusur ve müşteri hatası
    • Müşteri kendi bilgilerini üçüncü kişilerle paylaştıysa veya SMS kodunu kendisi aktardıysa, müşterinin müterafik kusuru olduğu gerekçesiyle tazminat miktarı azaltılabilir. Bu durumda bilirkişi, müşterinin ihmaliyle bankanın kusuru arasındaki oranı belirlemeye çalışabilir.
  4. Aklama ve savunma stratejileri
    • Sanığın cihazlarında zararlı yazılım, sahte uygulama veya dolandırıcı tarafından gönderilen kimlik avı mesajlarının bulunması, sanığın suçtan habersiz olduğunu gösterebilir.
    • Bankanın kayıtlarında sanığın hesabına tanımlı güvenli cihaz dışında farklı cihazlardan giriş yapılmış olması, sanığın hesabının ele geçirildiğini gösterebilir.
    • Uzaktan kimlik tespiti yönetmeliği uyarınca yapılan kimlik tespiti sırasında video kaydı ve veri saklama zorunluluğu bulunmaktadır; bu kayıtlar savunmada kullanılabilir. Yönetmeliğe göre kimlik doğrulama işlemi denetlenebilir şekilde kayıt altına alınmalı ve saklanmalıdır.
    • Bankanın işlem takip sisteminin riskli işlemi önceden fark edip müşteriyi uyarıp uyarmadığı sorgulanmalıdır.

Sonuç

İnternet ve mobil bankacılık dolandırıcılığı, bilişim teknolojilerinin sunduğu kolaylıklardan yararlanan suçluların artmasıyla birlikte ciddi bir sorun haline gelmiştir. Bankalar, 5411 sayılı Bankacılık Kanunu’nun ve BDDK’nın Bilgi Sistemleri ve Elektronik Bankacılık yönetmeliğinin yüklediği ağır yükümlülükler uyarınca müşterilerin fonlarını korumak ve çift faktörlü kimlik doğrulama, şifreleme, zararlı yazılım tespiti, işlem takibi gibi tedbirleri uygulamak zorundadır. Bankalar bu yükümlülükleri yerine getirmez ve müşterinin hesabına izinsiz erişimi engelleyemezse hafif kusurlarından dahi sorumlu tutulurlar.

Adlî bilişim uzmanları, bankacılık dolandırıcılığı vakalarında teknik ve hukuki değerlendirmeleri birleştirerek taraf bilirkişisi raporu hazırlayabilir. Rapor; bankanın mevzuata uyumunu, müşterinin kusurunu ve olayın teknik detaylarını inceleyerek mahkeme veya savcılığa sunulur. Böylece hem mağdur bankacılık müşterilerinin zararlarının tazmini sağlanabilir hem de haksız yere suçlanan kişilerin kendilerini aklamasına yardımcı olunabilir.

Bu konuda ekibimiz ile iletişime geçebilirsiniz.

Diğer Hizmetlerimiz

Tarafından desteklenmektedir
Gerekli çerezler, güvenli girişler ve onay tercihleri ayarları gibi temel site özelliklerini etkinleştirir. Kişisel veri saklamazlar.
Yok
Fonksiyonel çerezler, içerik paylaşımı, geri bildirim toplama ve üçüncü taraf araçların kullanımını destekler.
Yok
Analitik çerezler, ziyaretçi etkileşimlerini izler ve ziyaretçi sayısı, hemen çıkma oranı ve trafik kaynakları gibi metrikler hakkında bilgi sağlar.
Yok
Reklam çerezleri, önceki ziyaretlerinize dayalı kişiselleştirilmiş reklamlar sunar ve reklam kampanyalarının etkinliğini analiz eder.
Yok
Tarafından desteklenmektedir