Teknolojinin gelişmesiyle birlikte her geçen gün yeni bir boyut kazanan siber dolandırıcılık vakalarına karşı, yargıdan tüketiciye derin bir nefes aldıracak emsal niteliğinde bir karar geldi. İzmir'de akıllara durgunluk veren bir yöntemle tuzağa düşürülen S.P. isimli vatandaşın hukuk mücadelesi, bankaların dijital güvenlik sorumluluklarını yeniden tanımlayan tarihi bir içtihada dönüştü.
İzmir 6'ncı Tüketici Mahkemesi'nde görülen davada, bankacılık sistemlerindeki güvenlik açıklarına adeta neşter vuruldu.
Sahte 'X' tuşuyla başlayan 273 bin liralık kabus gecesi
Olay, 17 Ekim 2023 tarihinde S.P.'nin cep telefonundan film izlediği sırada meydana geldi. Ekranın üst kısmında aniden beliren bir reklamı kapatmak gayesiyle çarpı ('X') işaretine dokunan talihsiz adam, saniyeler içinde siber korsanların ağına düştü. Tıklamanın hemen ardından telefonu kilitlenen ve ekran ışığı yanıp sönmeye başlayan S.P., cihaza hiçbir şekilde müdahale edemedi.
Kabus gecesinin sabahında mobil bankacılık uygulamasına giren vatandaş, hayatının şokunu yaşadı. Bilgisi ve rızası dışında adına 10 bin lira kredi çekildiğini, dahası vadeli hesabının bozularak toplam 263 bin 537 lirasının meçhul üçüncü şahıslara havale edildiğini fark eden S.P., toplamda 273 bin 537 liralık devasa vurgunun ardından soluğu adliyede aldı.
Bilirkişi raporu bankanın dijital zafiyetini gözler önüne serdi
Dava sürecinde mahkemeye sunulan detaylı bilirkişi raporu, dijital bankacılıktaki korkunç açığı gün yüzüne çıkardı. Raporda, söz konusu bankanın mobil uygulamasının, tüketicilere hesaplarını korumaları için hayati önem taşıyan "2 Bileşenli Doğrulama" (2FA) güvenlik protokolünü ayarlayabilecek bir arayüz sunmadığı kalın çizgilerle vurgulandı. Teknik arayüz eksikliğinin tamamen kurumun hatası olduğuna kanaat getiren bilirkişi heyeti, bankanın olayda altyapısal olarak sınıfta kaldığını raporladı.
Bu sarsıcı raporun ardından dosyayı karara bağlayan mahkeme heyeti, bankaların sadece birer finans kurumu olmadıklarını; aynı zamanda müşterilerini gelişen siber dolandırıcılık yöntemlerine karşı korumakla mükellef birer teknoloji kalesi olmaları gerektiğini hükme bağladı. Şüpheli ve yüksek tutarlı işlemlerde asıl müşterinin işlem yapıp yapmadığını teyit edecek sistemlerin eksikliğine dikkat çekildi.
"Müşteriyi korumak kurumlar için tercih değil, yasal bir zorunluluktur"
Mahkeme, müşterinin de bu tür zararlı yazılımlara karşı yeterli özeni göstermediğini belirterek S.P.'ye yüzde 30 kusur izafe ederken; asıl büyük faturayı yüzde 70 kusur oranıyla güvenlik zafiyeti veren bankaya kesti. Bu devrim niteliğindeki kararla birlikte banka, 184 bin 415 liralık maddi tazminatı en yüksek mevduat faiziyle birlikte mağdur vatandaşa ödemeye mahkum edildi.
Kararın ardından gazetemize konuşan S.P.'nin avukatı, bu zaferin benzer mağduriyetler yaşayan on binlerce vatandaş için bir fener olacağını belirterek şu çarpıcı ifadeleri kullandı: "Şüpheli ve yüksek tutarlı işlemlere rağmen ek doğrulama ve güvenlik mekanizmalarının devreye alınmaması, dijital bankacılıkta kabul edilemez, apaçık bir güvenlik zafiyetidir. Güvenlik yoksa, sorumluluk bankanın omuzlarındadır. Bankanın, elektronik bankacılık işlemlerinde güvenli işlem altyapısını sağlama ve müşteriyi koruma yükümlülüğü basit bir tercih değil, yasal bir zorunluluktur."
