Internet Bankacılığında Banka ve Müşterinin Sorumluluğu Genel Olarak İnternet bankacılığında yaşanan ve hem bankayı hem de müşterisini sıkıntıya sokan dolandırıcılık eylemlerinin bir çoğu, genellikle müşterilerin bu konudaki bilinçsizliklerinden kaynaklanmaktadır. Bankaların öngördüğü güvenlik tedbirlerini kendi bilgisayarlarında sağlamayan, bu kriterlere uymayan ve bilgisayarlarında güvenlik açıkları yaratan kullanıcılar, deyim yerindeyse internet casuslarına davetiye çıkarmaktadırlar. Bu durum karşısında bankaların yapması gereken üç şey vardır: - İlk olarak; müşterilerini internet bankacılığı riskleri konusunda daha çok bilinçlendirmeye ve farkındalık yaratmaya çalışmak. - İkinci olarak; gelişen ve değişen teknolojiye bağlı olarak öngördüğü güvenlik çıtasını sürekli yükseltmek ve bu güvenlik önlemlerinin müşteriler tarafından kullanılmasını, müşteri için opsiyonel (seçimlik) kılmak yerine, mutlaka zorunlu kılmak. - Üçüncü olarak ise; her zaman bu tedbirleri müşterilerinin almalarını beklemek yerine, banka tarafından öngörülen koruma tedbirlerini almayan müşterilerin internet bankacılığını kullanmalarına izin vermemek, işlem yaptırmamak. Mahkemeler, internet bankacılığı olaylarında ilk iş olarak bankanın bilgisayar sistemlerinde keşif yapılmasına karar vermektedir. Bu yanlış ve zaman kaybettiren bir uygulamadır. Olayların büyük çoğunluğunda basiretli tacir ilkesi çerçevesinde iş ve işlem yapan bankalar, teknolojik olarak almaları gereken önlemleri zaten hemen hemen tam olarak almış durumdadır. Bu nedenle mahkemelerin keşif kararı yerine, adli bilişim uzmanlarını görevlendirerek her iki tarafın bilgisayar sisteminde inceleme yaptırması ve her iki tarafın olay tarihinde sahip oldukları güvenlik seviye ve önlemlerini tespit ettirmeleri daha uygun olacaktır. Nihayet internet bankacılığına ilişkin olarak özellikle bankaların almaları gereken güvenlik önlemleri ve sorumlulukları belirlenirken, 5070 Sayılı Elektronik İmza Kanunu ile hayatımıza yasal olarak giren elektronik imza teknolojisinin mutlaka ve zorunlu olarak dikkate alınması gerekmektedir. 5070 Sayılı Elektronik İmza Kanunu 23.1.2004 tarihinde yayımlanmıştır. Ancak bu tarih Türkiye de elektronik imza uygulamasının fiilen başladığı tarih değildir. Fiili uygulama tarihi aşağıdaki tablodan da görüleceği üzere Elektronik Sertifika Hizmet Sağlayıcıların (ESHS) faaliyete başladıkları tarihtir. Türkiye de ilk ESHS 24.6.2005 tarihinde faaliyete başlamıştır. Dolayısıyla bu tarihten itibaren tüm bankaların internet bankacılığı hizmetlerinde güvenlik zaafiyetleri malum olan şifre/parola yerine, ıslak imza ile aynı hüküm ve sonuçları doğuran ve ispat hukuku bakımından da senet hükmünde olan güvenli elektronik imza kullanımını başlatmaları ve müşterilerinin güvenliklerini güvenli elektronik imza ile sağlamaları mümkündür. Ancak Telekomünikasyon Kurumu ilk 3 ESHS nin aynı tarihte faaliyete başlamasını istemiş ve düzenlediği bir törenle faaliyete başlama belgelerini ilk 3 ESHS ye18 Temmuz 2005 tarihinde vermiştir. Bu nedenle Türkiye de elektronik imza uygulamasının fiilen başladığı tarih olarak bu tarihin dikkate alınması gerekmektedir.
BANKALARIN İNTERNET BANKACILIĞINDA GÜVENLİĞİ SAĞLAMAK AMACIYLA ÖNGÖRDÜĞÜ TEKNİK ÇÖZÜMLER İnternet bankacılığı veya herhangi bir bilişim konusu incelenirken bu sistemlerin dinamik yapısı ve sürekli değişime açık oldukları her zaman göz önünde tutulmalıdır. Bu açıdan bakıldığında bir sistemin güvenliğini sağlamak oldukça zordur ve yüksek yatırım gerektirmektedir. Kötü niyetli kişiler geliştirilen güvenlik önlemlerini aşmak için çalışmakta, güvenlik konusunda çalışanlar ise sürekli daha iyi sistemler üzerinde düşünmektedirler. Bankalar müşterilerine daha rahat ve hızlı erişimin sağlandığı İnternet bankacılığını bir süredir kullanmaktadırlar. Bir bankanın güvenliğini sağlayan yazılımlar çok çeşitli ve karmaşık olabilir. Karmaşıklık sistemin iki tarafı olması (banka-müşteri) ve bu iki tarafın da korunmasından bankanın sorumluluk payı olmasından kaynaklanmaktadır. Banka tarafında, hesap bilgilerinin, şifre, parola, özel bilgilerin korunması kesinlikle bankanın görevidir. Söz konusu davada şifre ve parolaların elde edilmesinin banka tarafındaki bir güvenlik açığından kaynaklanmadığı ortadadır. Burada problem müşteri tarafındaki güvenlik açıkları ve bu güvenlik açıklarını kapatmaktaki sorumluluğun kime ait olduğunun tespit edilmesidir. İnternet bankacılığı uygulamasında tüm bankalar ne yazık ki %100 olmasa dahi, %90 güvenliği kendileri açısından, yani tek taraflı olarak sağlamaktadırlar. Sanal bankacılık işlemlerinde müşteri ve banka arasında gidip gelen bilgilerin güvenliği bankalarda yüksek meblağlar ile kurulan sistemlerde sağlanmaktadır. Oysa aynı derecede yüksek güvenliğe bankaların internet bankacılığı müşterilerinin de sahip olmalarının sağlanması ve hatta müşterilerin bu yüksek güvenlik çizgisine sahip olmaları bakımından zorlanmaları gerekirken, müşteri tarafında durum bankaların tam tersine işlemektedir. Şöyle ki; birçok banka müşterilerinin internet bankacılığında güvenliklerini sağlamak bakımından bilişim teknolojilerinin sunduğu en son teknik çözümlerden örneğin; Açık Anahtarlı Altyapı (PKI) esasına dayanan güvenli elektronik imza dan istifade etmek yerine; şifre/parola, girişte ayrı şifre, finansal işlemlerde ayrı şifre, sanal klavye, güvenlik kalkanı, güvenlik resmi, sık sık şifre değiştirme, OTP (one time password, tek kullanımlık şifre cihazı), para transferlerinde mobil onay sistemi gibi yöntemler kullanmayı tercih etmektedir. Hatta bu uygulamalarda gittikçe artan sanal banka mağduru müşteri sayılarına rağmen ilginç bir şekilde ısrar etmektedirler. Oysa internet bankacılığı dolandırıcılığı işlemlerinin bankalara verdiği maddi kayıplar ve prestij kaybı dikkate alındığında, güvenli elektronik imza ya geçmek için kurulması gerekli olan PKI altyapısının doğuracağı masraflar bunun yanında son derece cüz i olacaktır. Sonuçta, bankaların başkasına ait olan bir bilgisayarı denetlemek gibi bir işlevleri mümkün olmasa da, bankalar kullanıcıları bilgilendirmek ve alınması gerekli güncel güvenlik tedbirleri konusunda zorlayıcı olmak durumundadırlar. Güvenlik önlemlerinin de her türlü tehlikeden koruyabildiği düşünülmemelidir. Her geçen gün yeni virüs yazılımları dolaşıma girmekte ve bunların gerektirdiği güvenlik gereksinimleri de değişmektedir. Teknolojinin gelişimi ve dinamik yapısı nedeniyle her geçen günün bir
önceki günden daha farklı ihtiyaçlar doğurabileceği düşünülüp, bu konuda bankaların yatırımlarını özellikle Güvenli Elektronik İmza dan yana yapmaları, saldırı olduktan sonra çözüm üretmek yerine, olası saldırılara karşı önlem almaya odaklanmaları gerekmektedir. MÜŞTERİNİN MEVCUT DURUMDAKİ SORUMLULUĞU Yukarıda açıklamaya çalıştığımız durum çerçevesinde, günümüzde bankalar ne kendilerini ne de müşterilerini elektronik imza teknolojisiyle tanıştırmadıkları için, internet bankacılığından doğan riskleri taşıma sorumluluğunun çoğunu müşterilerine yüklemeye devam etmektedirler. Buna müşterilerin veya kullanıcıların bilinçsiz internet kullanımları da eklenince kötü son kaçınılmaz olmaktadır. Dolayısıyla teknik altyapı olarak kendini sağlama aldığını düşünen banka, karşı tarafta yer alan müşterisini de korumak için kalıcı önlemler almak yerine, internet bankacılığını kullanırken müşterilerin azami dikkat gösterip kendilerini bizzat korumalarını beklemektedir. Bu sistemde müşterinin kendini korumak için alması gereken tedbirler kapsamına şunlar girmektedir: Şüpheli e-postaları açmaması, bu e-postalara cevap vermemesi, anti-virüs programları kullanması, işletim sistemine ait yamaları takip etmesi, güvenli olmayan ortamlarda internet bankacılığı işlemi yapmaması, düzenli olarak belirli aralıklarla şifre/parolasını değiştirmesi, sanal klavye kullanması gibi İnternet bankacılığı hem banka hem de kullanıcı bakımından sayısız yararlar sağladığından, bu nimetlerden yararlanan her iki tarafın bunun külfetlerine de birlikte katlanması kuraldır. Ancak bu hukuki ilişkide müşterilerini internet bankacılığı kullanmaya teşvik eden ve teknik altyapı ve ekonomik olarak kullanıcı karşısında üstün durumda olan bankaların, internet bankacılığı kullanım sözleşmeleri veya taahhütnameleri ile bu uygulamadan doğan risklerin çoğunu müşterilerine yükledikleri sorumsuzluk klozları karşısında, hukuk uygulamasının dikkatli hareket etmesi gerekir. Bankaların bankacılık hizmetleri sözleşmeleri imza ettirerek müşterilerine sundukları İnternet bankacılığı hizmeti ve bu sözleşme gereği müşterilere yönelik kurallar incelendiğinde; bu hizmete ilişkin olarak hem bankanın hem de müşterinin özen yükümlülüklerinin bulunduğu aşikardır. Müşteriler, internet bankacılığı hizmetini kullanırken, bu özen yükümlülüğünün gereği olarak, sözleşmenin karşı tarafı olan bankanın yine müşterinin güvenliğini artırmak amacıyla belirlediği ve müşterinin uymasını istediği kurallara uygun davranmalıdırlar. Somut olayda bu bakımdan Davacı Müşteri nin, Davalı Banka nın öngördüğü ancak internet bankacılığı sistemine girerken almayı ihmal ettiği güvenlik tedbirleri bakımından kusurlu kabul edilmesi gerekecektir. Fakat basiretli tacir ilkesinin gereği bu kurala uygun davranmayan müşterileri bakımından bankaların zorlayıcı olmaları gerektiğine ilişkin açıklamalara az sonra değineceğiz.
BANKALARIN SORUMLULUĞU: İnternet Bankacılığı bankalar için birçok avantajı beraberinde getiren bir uygulama olduğu için, bu uygulamaya müşterilerini geçiren veya müşterilerine bu yolu kullanmalarını tavsiye eden bankaların, internetin doğası gereği sahip olduğu risklerin farkında olması ve bu riskler karşısında kendisini ve müşterisini koruyacak teknolojinin gerektirdiği her tür tedbiri almaları kaçınılmazdır. Normal şube den yapılan bankacılık uygulamalarında bankalar, havale veya EFT yapmak isteyen veya para çekmek isteyen müşterilerinin kimlik kontrollerini çok sıkı bir şekilde yapmakta, hatta kimlik fotokopilerini ve imzalarını talep etmektedirler. Diğer bir ifade ile, fiziki bankacılık işlemlerinde bankalar, kimliğinden emin oldukları müşterilerinin talep ettikleri işlemleri gerçekleştirmektedirler. Oysa internet bankacılığı kullanılarak yapılan işlemlerde ise; kimlik kontrolü için sadece müşterilerin belirlediği şifre/parola ile yetinilmekte, bu şifre/parolayı doğru yazan kişi banka tarafından müşterisi olarak kabul edilmekte ve istediği işlemi yapmasına izin verilmektedir. Görüldüğü üzere; basiretli tacir ilkesiyle çalışan bankaların, daha dikkatli ve tedbirli hareket etmeleri gereken internet bankacılığı alanında gerçekleştirdikleri uygulamalar, fiziki bankacılıkla karşılaştırıldığında son derece ilkeldir. İnternet bankacılığında güveni sağlamak hiçbir şekilde 6-8 rakamdan veya harften oluşan şifre/parola, güvenlik resmi, annenizin kızlık soyadı, sanal klavye gibi uygulamalarla sağlanamaz. İnternet bankacılığında bankanın öncelikle, sanal kapısına gelen ve işlem yapmak isteyen müşterisinin kimliğinden emin olması gerekir. İşlemi yapan kişinin gerçekten kim olduğu tespit edilemedikten sonra, bankanın müşteriyi tanıyabilmek için geliştirdiği diğer uygulamaların hiçbir anlam ve önemi yoktur. Bugün internet bankacılığında yaşadığımız soygun olaylarının temel nedeni budur ve sorunun asıl kaynağı bu noktada yer almaktadır. Dava konusu yapılmış olaylar bakımından mahkemelerin, olaydaki tarihleri dikkate alması ve 18.7.2005 tarihinden sonraki yani, Türkiye de fiilen elektronik imza uygulamasının başladığı bir dönemde gerçekleşen sanal dolandırıcılık eylemleri bakımından, Bankaların kusurlu kabul edilmesi ve doğan zararı telafi etmesi gerekir. Çünkü; 18.7.2005 taraihinden itibaren Bankaların internet bankacılığında güvenli işlem yapılmasını sağlamak üzere, güvenli elektronik imza uygulamasına geçmesi ve müşterileri bakımından bu teknolojinin kullanımını zorunlu kılması mümkündür. Bankaların kusur oranlarının o dönemde alabilecekleri ve almaları gereken mevcut teknolojiler açısından değerlendirilmesi ve bu teknolojileri müşterilerine kullandırmakta ne kadar zorlayıcı davrandıklarının dikkate alınması gerekmektedir. Müşteri sanal klavye kullanmıyorsa veya güvenlik kalkanı indirmiyorsa, internet bankacılığı sistemini kullanmasına Bankanın izin vermemesi ve önce bilgisayarlarında kişisel güvenliklerini ve bankanın istediği güvenlik kriterlerini sağlamaları ve sonra internet bankacılığı sistemini kullanmaları konusunda zorlayıcı olması gerekliydi. Bu tür basit güvenlik
teknolojileri bir yana, kendisi güvenli elektronik imza uygulamasına geçmeyen ve dolayısıyla müşterilerini de bu güvenlik seviyesine taşımayan Banka nın doğan zarardan sorumlu kabul edilmesi gerekecektir. Burada gerçek, yasal, bağlayıcı ve kalıcı çözümü bize güvenli elektronik imza sunmaktadır. 5070 Sayılı Elektronik İmza Kanununa göre; elektronik imzanın temel olarak iki işlevi mevcuttur: Kişinin kimliğini kanıtlamak (md. 4/c) ve o kişinin yaptığı işlemi yasal olarak bağlayıcı kılmak (md. 5). Bu her iki işlev de internet bankacılığında bankaların uzun yıllardır çözüm aradığı soruların aslında yüzde yüz çözümü niteliğindedir. Bilindiği üzere 5070 Sayılı Elektronik İmza Kanunu, güvenli bir internet ortamı ve bu ortamda bağlayıcı işlemler yapılmasını sağlayan güvenli e-imza teknolojisine ilişkin hükümler içermektedir. Dolayısıyla Kanunkoyucu Türkiye de hem güvenliğin önem arzettiği birçok uygulamada olduğu gibi, internet bankacılığı uygulamasında da kullanılabilecek bir teknolojiye dikkat çekmiş hem de bu teknolojiye oldukça önemli yasal sonuçlar bağlamıştır. e-imza Türkiye de 5070 Sayılı Kanun un yürürlüğe girdiği 23.7.2004 tarihinden beri mevcut olan ve internet üzerinde yapılan her türlü işlemi, iletişimi güvenli kılmayı hedefleyen bir teknolojidir. Kanunla somutlaştırılan ve kullanımı öngörülen bu teknolojinin güvenliğin birinci derecede önem arz ettiği bankalar tarafından kullanılmaması veya kullanımın bazı bankaların uygulamasında olduğu gibi opsiyonel (müşterinin tercihine bırakılması), 18 Temmuz 2005 tarihinden sonraki dönemde gerçekleşen internet bankacılığı dolandırıcılıkları bakımından bankaların kusuru olarak değerlendirilecektir. HUKUKİ GEREKÇELER Buraya kadar ki açıklamalarımız, aynı zamanda güçlü iki hukuki gerekçeye de istinad etmektedir. Bunlardan ilki; - güvenli elektronik imzaya hem maddi hukuk hem de ispat hukuku açısından önemli hukuki sonuçlar bağlayan 5070 Sayılı Elektronik İmza Kanunu dur. Diğeri ise; - 1.1.2008 tarihinde yürürlüğe giren, ancak bankalara 2 yıllık bir geçiş süresi tanıdğı için fillen uygulaması başlamamış olan Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ dir. 5070 Sayılı Elektronik İmza Kanunu ve ilgili maddelerine ilişkin olarak yukarıda açıklamalar yapmış bulunuyoruz. İkinci hukuki dayanağımız ise; güvenli elektronik imza nın internet bankacılığında bankalar tarafından kimlik tespiti amacıyla kullanımını öngören bir Tebliğ dir. Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ in 3. Kısım 1. Bölümü spesifik olarak İnternet Bankacılığına ilişkindir. Bu bölümde yer alan Kimlik Doğrulama kenar başlıklı 27. Maddenin 4. Fıkrası uyarınca;
müşterilere uygulanan kimlik doğrulama sisteminin en az iki faktörlü olması gerekmektedir. Bu iki faktörden müşterinin bildiği unsur olarak parola/değişken parola bilgisi gibi bileşenler, sahip olduğu unsur olarak da kısa mesaj servis ile sağlanan tek kullanımlık parolalar, tek kullanımlık parola cihazı gibi unsurlar kullanılabilecektir. Ancak 27. Maddenin 5. Fıkrasına göre ise; kimlik doğrulamada 5070 sayılı Elektronik İmza Kanununun 4. Maddesinde düzenlenen güvenli elektronik imza kullanıldığı takdirde, 27. Maddenin 4. Fıkrasındaki hükümlerin yerine getirilmiş sayılacağı belirtilmiştir. Dolayısıyla bu Tebliğin fiilen uygulamaya gireceği 2010 yılından itibaren bankalar, müşterileri bakımından kimlik doğrulamada, şimdiye kadarki uygulamalarında birçok zaafiyetlerini gördükleri diğer kimlik doğrulama mekanizmaları yerine güvenli elektronik imzayı terch etmek durumunda kalacaklardır. SONUÇ ve GÖRÜŞÜMÜZ - Kural internet bankacılığında 18 Temmuz 2005 tarihinden önce yaşanan dolandırıcılık fiillerinde, bankanın mı yoksa kullanıcının mı kusurlu olduğu hususunun veya her iki tarafın müştereken ve müteselsilen mi sorumlu olduklarının tespit edilmesi için mutlaka öncelikle gerek bankanın sistemlerinde gerek müşterinin bilgisayarında Adli Bilişim İncelemesi yaptırılmalıdır. Adli Bilişim Uzmanlarından gelecek rapor üzerine de tarafların kusur oranlarının belirlenmesi gerekir. Nitekim adli bilişim incelemesi yaptırılmadan ve müşterilerin bilgisayarındaki güvenlik açıklarının neler olduğu belirlenmeden her birolayda müşterinin kusurunun olup olmadığı konusunda doğru bir değerlendirme yapmak mümkün olmayacaktır. Uygulamada diğer benzer dava dosyalarında yapılan değerlendirmelerde, internet bankacılığı şifrelerinin müşterinin hangi yanlış, hatalı hareketleri veya bilgisayarındaki güvenlik zaafiyetleri yüzünden başkaları tarafından elde edildiğine dair somut, kesin, tatmin edici bir kanıt mevcut olmamaktadır. Olayın tarafı olan bankanın bunu kendi kayıtlarına istinaden değerlendirmesi sorunun çözümü için çok önemli, ancak tek başına yeterli değildir. - 18 Temmuz 2005 tarihinden sonra yaşanan internet bankacılığı dolandırıcılıklarında ise; münhasıran 5070 Sayılı Elektronik İmza Kanununun ve bu Kanunla hukuk hayatımıza giren güvenli elektronik imza teknolojisinin dikkate alınması gerekmektedir. Davalı Banka nın internet bankacılığı hizmeti bakımından, gerek kendi gerek müşterilerinin güvenliğini yüzde yüz sağlayan bu teknolojiyi neden kullanmadığı ve müşterilerine neden kullandırmadığı konusunda haklı herhangi bir gerekçe ileri sürmesi mümkün değildir. Bu konuda gerekçe olarak zaman zaman elektronik imzanın pahalı olduğu ileri sürülse dahi, elektronik imza uygulamasına bakıldığında bireysel olarak elektronik imza talep edidiğinde bunun ücreti 1 yıllık 59 TL ; mobil imza ise aylık 5 TL olmaktadır. Bir Banka elektronik imza uygulamasına geçip, bunu tüm müşterileri için mecburi kıldığında, elektronik imza şirketleri toplu elektronik imza alımlarında fiyatlarını, kullanıcı sayısını dikkate alarak 1 TL ye kadar da indirebilmektedir. Bu rakamlar, internet bankacılığı dolandırıcılıklarında bankanın ve müşterinin uğradığı zarar dikkate alındığında, hem banka hem de müşterileri bakımından pahalı ve ödenemeyecek meblağlar seviyesinde keisnlikle değildir. Günlük yaşamdan örnek vermek gerekirse; kişiler evlerinin güvenliğini sağlamak ve hırsızlardan korumak için çelik kapı taktırmak, alarm taktırmak, çift cam vs. yaptırmak gibi önlemlere para
dökmekte tereddüt etmemektedir. Dolayısıyla bireyler bankada muhafaza ettikleri paralarını, internet bankacılığında korumak söz konusu olduğunda güvenli elektronik imza satın almakta ve kullanmakta da tereddüt etmeyeceklerdir. Ancak; bu noktada bireyin elektronik imza sahibi olması yeterli olmamaktadır. Mutlaka bankanın basiretli tacir ilkesi gereği, internet bankacılığında müşterisinin güvenli elektronik imza kullanabileceği altyapıya geçmesi ve uygulamayı başlatması gerekmektedir. - Türkiye deki internet bankacılığı uygulamasına bakıldığında bazı bankaların güvenli elektronik imza veya mobil imza ile işlem yapılmasına olanak tanıdıkları, ancak bu noktada müşterilerine serbesti tanıdıkları görülmektedir. Yani elektronik imza kullanımı opsiyonel olmaktadır. Bu şekilde hareket etmekle bankalar müşterileri bakımından eşitsizlik yaratmış olmaktadırlar. Çünkü; elektronik imzası olan ve bunu kullanan müşteriler internet bankacılığı işlemlerini yüzde yüz güvenli bir şekilde gerçekleştirken; bu uygulama opsiyonel olduğu için bankanın belirlediği diğer güvenlik teknolojilerini kullanan ve elektronik imza kullanmayan müşteriler ise yine dolandırıcılık riski ile karşı karşıya kalmaktadır.dolayısıyla 5070 sayılı Elektronik İmza Kanununun öngördüğü güvenli elektronik imza/mobil imza uygulamasının banka müşterileri bakımından mutlaka zorunlu kılınması gerekir. Dr. Leyla Keser Berber İstanbul Bilgi Üniversitesi Bilişim Teknolojisi Hukuku Uygulama ve Araştırma Merkezi