İstanbul BAM 12. HD 2021/2087 E. 2024/644 K.

T.C.

İSTANBUL

BÖLGE ADLİYE MAHKEMESİ

12. HUKUK DAİRESİ

DOSYA NO: 2021/2087

KARAR NO: 2024/644

T Ü R K M İ L L E T İ A D I N A

İ S T İ N A F K A R A R I

İNCELENEN KARARIN

MAHKEMESİ: BAKIRKÖY 6. ASLİYE TİCARET MAHKEMESİ

TARİHİ: 06/10/2021

NUMARASI: 2020/729 Esas - 2021/862 Karar

DAVA: İtirazın İptali (İnternet Bankacılığından Kaynaklanan)

İSTİNAF KARAR TARİHİ: 02/05/2024

Davanın reddine ilişkin verilen kararın davacı vekili tarafından istinaf edilmesi üzerine düzenlenen rapor ve dosya kapsamı incelenip gereği görüşülüp düşünüldü;

DAVA: Davacı vekili , davacı şirkete ait hesaptan 30/10/2017 tarihinde 7.500- TL nin ticari ilişki olmayan ... isimli şahsın hesabına havale edildiğini, 2.800- TL nin şirketin tanımadığı ve ticari ilişkide bulunmadığı bir şahsın kredi kartına aktarıldığını, her iki havalenin de davacı şirketin rızası dışında internet bankacılığı üzerinden gerçekleştirildiğini, olayla ilgili olarak İstanbul Anadolu C Baş Savcılığı 2017/180362 sayılı soruşturma dosyası bulunduğunu, yapılan işlemden davalı bankanın sorumlu olduğunu, zararın tahsili için Bakırköy ... İcra Dairesinin ... esas sayılı dosyası ile yapılan icra takibine itiraz edildiğini ileri sürerek itirazın iptali ile icra inkar tazminatı ödemesine karar verilmesini istemiştir.

CEVAP: Davalı vekili, davacının dolandırıcılık eylemi ile karşı karşıya kaldığı iddia ettiğinden davanın, bu eylemi yapan kişilere yöneltilmesi gerektiğini, davanın husumetten reddine karar verilmesi gerektiğini, takibin yetkisiz icra dairesinde yapıldığını, İstanbul İcra Dairelerinin yetkili olduğunu,bankanın en üst seviyedeki güvenlik önlemlerini uyguladığını ve banka personelinin dahi erişemeyeceği şekilde korunduğunu,davacı tarafa ait şifrenin doğru olarak girilmesi sureti ile gerçekleştirildiğini,bankanın ... uygulaması olup mudinin hesabından işlem yapıldığında aynı anda kullanıcının bildirdiği cep telefonuna mesaj olarak gönderildiğini, bunun için hiçbir ücret alınmadığını sadece kullanıcının başvurusunun yeterli olduğunu, davacının başvurusu olmadığını, bankanın internet güvenlik protokolü SSL’in en güncel versiyonu üzerinden hizmet verdiklerini,tek kullanımlık şifrenin banka tarafından 30.10.2017 tarihinde davacının ... numaralı cep telefonuna başarılı şekilde gönderildiğini,statik şifre olmaksızın ve davacının telefonuna gelen tek kullanımlık şifreler kullanılmadan yapılmasının mümkün olmadığını, davacının cep telefonu işlem günü aktif ve kullanımda olduğu sabit olduğundan müvekkil bankanın sorumluluğunun bulunmadığını ileri sürerek öncelikle husumet yokluğundan ve esastan reddine karar verilmesini istemiştir.

İLK DERECE MAHKEME KARARI: Mahkemece; Konya CBS 2018/18809 soruşturma dosyasında Şüpheli ... hakkında iddianame düzenlendiği, davalı bankanın SMS kayıtlarını ibraz ettiği, davacının ... numaralı hattına mesajların gönderildiği, mesaj içeriklerinden kart ödemesi ile ödeme yapmak için ayrı ayrı şifre gönderildiği, işlemlerin şifre girilerek yapıldığı, 7500- TL para transferi ile 2.800 TL kart ödemesi için 178.243.26.3 IP numarasından bağlanıldığı,bankanın davacı tarafa şifre göndererek işlemler hakkında bilgilendirme yaptığı, davacının hesap hareketlerindeki işlemlerin yapılabilmesi için bankanın davacıya gönderdiği şifrenin girilmesinin gerektiği, davacının rapora karşı itiraz dilekçesinde telefon numarasına, IP numarasına ilişkin itirazının olmadığı bu nedenle bu konularda uyuşmazlık bulunmadığı, itiraz dilekçesinde olay tarihinden sonraki tarih olan 06.07.2021 tarihindeki banka erişim probleminin belirtilerek rapora itiraz edildiği, belirtilen erişim probleminin dava tarihinden sonra olması, dava dilekçesinde bu yolda iddia bulunmaması karşısında davacının hakkında iddianame düzenlenen kişiye dava açma hakkı bulunduğu, iş bu dava yönünden bankaya atfedilebilecek kusur olmadığından davanın reddine karar verilmiştir.

İSTİNAF SEBEPLERİ: Davacı vekili; her ne kadar mahkeme gerekçesinde "Davacının rapora karşı itiraz dilekçesinde telefon numarasına, IP numarasına ilişkin itirazının olmadığı" denilmiş ise de bilirkişi raporuna itiraz dilekçesinde "Şirket hesabından para çıkışı ve kredi kartı ödemesinin ancak müvekkil şirkete ait cep telefona gönderilen SMS içeriğindeki şifrenin girilmesi suretiyle işlemin gerçekleştiğinin belirtildiğini, ancak şirkete her hangi bir mesaj gelmediği gibi gelen şifrenin başkasına yönlendirilmediğini,rapora itirazda "06.07.2021 tarihi itibari ile banka sistemi mobil ve internet uygulamasına erişim problemi yaşandığını bu nedenle müvekkil şirketin bilgisi dışında gerçekleşen eylemin erişim sorunuyla ilgili olabileceği ve tamamen bankanın sistemsel ihmalinden kaynaklandığının kuvvetle muhtemel olduğu bildirilmesine rağmen, dava tarihinden sonra olan durumun değerlendirilemeyeceğinin ileri sürüldüğü ancak iddialarının yaşanan problemin daha önceden de yaşanabileceği, bankanın guvenlik sistemlerinin yeterli güvenlikte olmadığını gösterdiğini, Konya Asliye ceza Mahkemesi 2021/18809 esas sayılı dosyasında dava açıldığı, kamera kaydına göre ... isimli şahsın şifre kullanarak internet bankacılığı üzerinden ilgili işlemleri yaptığı, kendisine şifre gelmediğinin savcılıkta alınan raporlar ve beyanlar incelendiğinde açıkça anlaşıldığını ileri sürerek kararın kaldırılarak davanın kabulüne karar verilmesine istemiştir.

GEREKÇE: Dava, davacının banka hesabında bulunan paranın, internet bankacılığı yoluyla rızası dışında çekilerek üçüncü kişilerin hesaplarına aktarılması nedeniyle oluşan zararın davalı bankadan tahsili talebine ilişkindir. İnternet bankacılığı üzerinden davacı hesabından 30.10.2017 tarihinde ... hesabına 7.500-TL, ...'in kredi kartına 2.800-TL havale edildiği, davacı tarafından işlemlerin kendisince yapılmadığı, bu şahısları tanımadığı ileri sürülerek tazmini talebinde bulunulduğu, davalı bankanın davacının telefonuna gönderilen şifrelerle işlem yapıldığı, banka tarafından gerekli güvenlik önlemlerinin alındığının bildirildiği görülmüştür. Konya C. Başsavcılığı 2018/8809 sayılı soruşturma dosyası sonucu Konya 1. Asliye Ceza mahkemesine dava açıldığı, davanın halen derdest olduğu, hesap sahibi ...'un işlemden haberinin olmadığını bildirdiği, ... tarafından kredi kartının ...'a verildiğinin bildirilmesi ve kamera görüntülerinde parayı çekenin ... olduğunun saptanması üzerine diğerleri hakkında takipsizlik kararı verilerek ... aleyhine iddianame düzenlenmiştir. Bilirkişi tarafından, her iki işlemde davacının cep telefonuna değişken cep şifreleri gönderilerek işlemlerin yapılmış olması ve ... İnternet ve Kurumsal Telefon şubesi Müşteri Formu 3. Maddesi uyarınca şifrelerin güvenliğinden davacının sorumlu olması nedeniyle bankanın güvenlik zaafiyetinin bulunmadığına ilişkin görüş bildirilmiştir.Bankalar, kendilerine yatırılan paraları mudilere istendiğinde veya belli bir vadede ayni veya misli olarak iade etmekle yükümlüdür.Zararın meydana gelmesinde mudinin kusuru bulunduğunu ispat yükü davalı bankadadır (Yargıtay 11. HD'nin 2016/8635 E., 2018/179 K. sayılı ve 10/01/2018 tarihli ilamı). İnternet bankacılığını müşterilerine özendiren bankaların, kendilerine emanet edilen mevduatı koruma özel yükümlülüğü gereğince; internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığını belirleme yönünde, gelişen dolandırıcılık yöntemlerine karşı, bunları önleyici gerekli altyapıyı sağlayarak güvenli önlemlerini almak zorundadır (Yargıtay 11. HD'nin 2018/3563 E., 2019/5115 K. sayılı ve 09/09/2019 tarihli ilamı). İnternet bankacılığı ile yapılan işlemlerde şubeden yapılan işlemlerde olduğu gibi mevduat, bankanın kontrol ve sorumluluğundadır. Nitekim olay tarihinden sonra yürürlüğe giren somut olayda uygulanması söz konusu olmasa da mevcut uygulamalardaki aksaklıklar gözetilerek düzenlenen,15/03/2020 tarihli RG'de yayımlanıp 01/07/2020 tarihinde yürürlüğe girecek iken bir kısım maddelerinin yürürlüğü 01/01/2021 tarihine ertelenen "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin" 34.(15) maddesinde "Banka, akıllı telefonlar gibi birden fazla kimlik doğrulama bileşeninin bankaya iletilmesinde kullanılan mobil cihazlar üzerindeki bankacılık uygulamalarının kullandığı hassas verilerin, aynı mobil cihaz üzerindeki diğer uygulamalar ve çalışmakta olan işlemler tarafından erişilemez olmasını sağlayacak önlemler alır. Banka, söz konusu mobil cihazların kaybolması ya da çalınması halinde bunlar üzerindeki hassas verilerin yetkisiz kişilerce erişilemez olmasını sağlamak ve mobil cihazların ele geçirilmesi, güvenilirliğinin bozulması, işletim sistemi yazılımının kırılması veya değiştirilmesi gibi hallerden kaynaklanacak risklerin azaltılması amacıyla günün teknolojisine uygun kontroller tesis etmekle yükümlüdür." denilmiştir.Kimlik doğrulama ilgili bu madde ile ilgili olarak BDDK yaptığı açıklamada " Ayrıca, BSEBY’nin 34/7 maddesi,38/3 maddesi uyarınca, mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi ya da uygulamanın kullanılamaz olması durumları haricinde, mobil bankacılık uygulamasını yükleyerek aktifleştirmiş olan müşterilere, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da “doğrulama kodu” gönderilmesi mümkün bulunmamakta olup, SMS ile yapılacak bu tür bildirimlere, yalnızca bu hükümlerde belirtilen istisnai durumlarda başvurulması ve bunun rutin bir uygulama haline getirilmemesi gerekmektedir. Çünkü SMS ile gönderilen OTP ya da doğrulama kodunun, aynı mobil cihaz üzerinde yüklü diğer uygulamalar tarafından okunmayacağı ve bu uygulamalar tarafından üçüncü bir tarafa (örn. bir saldırgana) yönlendirilmeyeceğinin garantisi bulunmadığı gibi mobil cihaz üzerindeki “SMS mesajlaşma uygulaması” bankanın kendi kontrolünde olan bir mobil uygulama niteliğinde de bulunmadığı için müşteriye SMS ile gösterilecek OTP ya da doğrulama kodunun bütünlüğü ya da güvenilirliği konusunda da yeterli güvence sağlanamayabileceği tabiidir."denilmektedir. Somut olayda şifrenin gönderildiği cep telefonu numarasının doğru olduğu, ancak davacı tarafından kendisine gönderilmiş şifre olmadığının beyan edildiği, davalı tarafça gerekli güvenlik önlemlerinin alındığının bildirildiği, hatta hesaba ilişkin tüm işlemlerin bildirilen cep telefonuna gönderilmesine ilişkin ... uygulamasının olduğu ancak bunun için başvurunun gerektiği ve davacı tarafça böyle bir başvuruda bulunulmadığının ileri sürüldüğü, ancak davalı bankanın geliştirilen dolandırıcılık yöntemlerine karşı güvenlik önlemi için en azından bildirdiği uygulamayı başvuru beklemeksizin tüm müşteriler yönünden hayata geçirmesi gerektiği gibi ,bankalar tarafından SMS ile şifre gönderilmesi dışında güvenli kimlik doğrulama sistemlerini kurmakla yükümlü oldukları, müşterinin kullandığı mobil cihazlar banka sistemine özgülenmediğinden SMS sisteminin güvenli olmadığı; savcılık tarafından kamera görüntüsü ile parayı çekenin kimliğinin saptandığı ve hakkında açılmış dava olup daha önce de bilişim yöntemiyle benzer suçları işlediğine ilişkin tespitler yapıldığı, üçüncü kişinin işlem yaptığı belirlendiği,banka tarafından gönderilen ve güvenli olduğu savunulan şifrelerin davacının rızası dışında kötüniyetli şahısların eline geçtiği ,davacının bu eylemlere iştirak ettiğine ilişkin bir delil bulunmadığı anlaşılmaktadır. Açıklanan nedenlerle;davacının zararına neden olan işlemlerde davacının kastı, kötüniyeti veya suç sayılır eylemlere katıldığı kanıtlanamadığı; internet bankacılığı işlemlerinde işlem yapanın gerçek müşteri olup olmadığını belirleme yönünde, gelişen dolandırıcılık yöntemlerine karşı, bunları önleyici gerekli altyapıyı sağlayarak güvenlik önlemlerini aldığını ispatlayamadığından davanın kabulüne karar verilmesi gerekirken reddine karar verilmesi yerinde olmadığından davacı vekilinin istinaf başvurusunun kabulüne, yapılan hata nedeniyle yeniden yargılama yapılmasını gerektirmediğinden kararın kaldırılmasına , yeniden karar verilerek davanın kabulüne , faiz konusunda taleple bağlı kalınarak itirazın iptaline ,alacak likit itiraz haksız olduğundan davacı yararına %20 oranda icra inkar tazminatı ödenmesine karar verilmiştir.

HÜKÜM:Yukarıda açıklanan nedenlerle: Davacı vekilinin istinaf başvurusunun KABULÜNE; Bakırköy 6. Asliye Ticaret Mahkemesi'nin 06/10/2021 Tarih 2020/729 Esas - 2021/862 Karar sayılı kararının HMK.'nın 353(1)b-2 gereği KALDIRILMASINA; "Davanın kabulüne; Davalı bankanın Bakırköy ... İcra Dairesinin ... Esas sayılı dosyasında 12.321,62-TL'ye yaptığı itirazın iptaline,talep gibi 10.300-TL asıl alacağa takip tarihinden itibaren %9 oran aşılmamak üzere yasal faiz işletilmesine, %20 oranda hesaplanan 2.464,32-TL inkar tazminatının davalıdan tahsiline" İlk derece yargılamasına ilişkin olarak; "Alınması gereken 841,68-TL karar ve ilam harcından yatırılan 148,82-TL peşin harcın ve icra veznesine yatırılan 61,61TL olmak üzere 210,43‬-TL harcın mahsubu ile bakiye ‬631,25‬-TL'nin davalıdan alınarak Hazine'ye gelir kaydına, Davacı tarafından yatırılan toplam 264,83‬-TL peşin harçların davalıdan alınarak davacıya verilmesine, Davacı tarafından yapılan 1.600-TL bilirkişi ücreti ve 104,40-TL posta masrafı olmak üzere toplam 1.704,40-TL yargı giderinin davalıdan alınarak davacıya verilmesine, Davacı lehine taktir olunan 12.321,62-TL vekalet ücretinin davalıdan alınarak davacıya verilmesine, Adalet Bakanlığı bütçesinden ödenen 1.320-TL arabuluculuk ücretinin davalıdan, tahsili ile Hazine'ye gelir kaydına, Talep halinde kullanılmayan gider avansının yatıran tarafa iadesine," Yatırılan 59,30-TL peşin istinaf karar harcının istek halinde davacıya iadesine, Davacı tarafından yapılan 54-TL istinaf yargı giderinin davalıdan alınarak davacıya verilmesine, Dosya üzerinde yapılan inceleme sonunda HMK 362(1)-a maddesi uyarınca kesin olmak üzere oy birliği ile karar verildi. 02/05/2024