Sosyal Mühendislik Saldırıları: Mağdurun Kusuru Tartışmaları

Çerçeve: sosyal mühendislik ve hukuki ölçüt

Sosyal mühendislikte fail, mağdurun güvenini hedef alarak aldatma ile mağdurun kendi eliyle para transferi yapmasını sağlar. TCK m.157–158 bakımından “hile/aldatma”, Yargıtay ölçütleriyle basit yalanı aşan, mağdurun denetim imkânını ortadan kaldıran veya önemli ölçüde zorlaştıran “ustalıklı aldatma” olmalıdır; kolayca fark edilebilen basit yalanlar dolandırıcılık seviyesine ulaşmayabilir. Bu değerlendirme her dosyada olaya özgüdür.

Bankanın objektif özen borcu ve ispat rejimi

İnternet/mobil bankacılık üzerinden yapılan usulsüz işlemlerde bankalar güven kurumudur; objektif özen borcu ağırdır. Yargıtay HGK’nın 22.11.2018 tarihli 2017/2224 E., 2018/1753 K. sayılı kararında, bankanın gerekli güvenlik tedbirlerini almaması hâlinde sorumlu tutulabileceği; müşterinin kusuruna dayanılıyorsa bunun bankaca ispatı gerektiği vurgulanır. Sonraki içtihatlar da olağandışı işlemlerde bankanın ek doğrulama/uyarı mekanizmalarını etkin işletmesini bekler.

Müşterinin asgari dikkat ve özen yükümlülüğü

Müşteri, şifre/OTP’yi paylaşmamak, banka dışı uygulama yüklememek, sahte aramalara itibar etmemek, link/eklere tıklamadan doğrulamak gibi temel kurallara uymakla yükümlüdür. Ancak “ustalıklı aldatma” varsa—örneğin banka personeli görüntüsü/sesi taklit edilen çağrı, gerçekçi sahte arayüz ve yoğun baskı—mağdurun özen borcunu yerine getirmiş sayılabileceği durumlar doğar; Yargıtay uygulamasında müterafik kusur oranlaması somut delile dayanmalıdır, soyut itham yeterli değildir.

“Ustalıklı aldatma” mı, basit ve tespit edilebilir hile mi?

Ustalıklı aldatma; mağdurun olağan denetim yollarını etkisiz kılan ikna tekniği/teknik araç birleşimiyle kurulur. Basit ve tespit edilebilir hile örnekleri: (i) banka dışı numaradan gelen ve yazım hataları içeren SMS/e-posta, (ii) alan adı sahteciliğinin açıkça görüldüğü bağlantılar, (iii) IBAN–alıcı adı eşleştirmesine güvenilerek yapılan gönderimde bankadan “ad–IBAN uyumu kontrolü” beklemek. Nitekim HGK’nın 23.02.2021 tarihli kararında bankanın IBAN–ad eşleşmesini kontrol yükümlülüğü bulunmadığı açıkça belirtilmiştir; bu durumda hatalı alıcının seçilmesi mağdur kusuru olarak değerlendirilebilir.

Bankanın kusuru–mağdur kusuru ayrımı: pratik kriterler

Bankanın kusuru lehine işaretler: aniden artan transfer tutarı/sıklığı; olağan dışı saat/konum; yeni/alıcıya seri gönderim; müşteri profilinden kopuk cihaz/OS değişimi; fraud motoru uyarı üretmesine rağmen işlem bloke/geri arama yapılmaması. Mağdur kusuru lehine işaretler: tanınmayan kişilere ardışık yüksek transfer; uyarı ekranlarına rağmen OTP paylaşımı; bankaya ait olmayan link/uygulama ile kimlik bilgisi verme; uzun süreli şüpheli kullanım sinyallerine rağmen bildirim yapmama. (Yargıtay; bankanın “alışılmadık işlemde ek doğrulama” ödevini vurgulayan kararlara atıf yapar.)

İspat ve süreç: tüketici/TTK dosyalarında yol haritası

Tüketici sıfatı varsa (B2C) Tüketici Mahkemesi/Hakem Heyeti yolu; ticari nitelik varsa Asliye Ticaret Mahkemesi gündeme gelir. Kayıt seti: çağrı kayıtları, SMS bildirimleri, uygulama/cihaz günlükleri, bankanın fraud uyarı log’ları, lokasyon/cihaz değişim raporları, müşteri bildirimi ve geri arama kayıtları. HGK 2018 karar çizgisi uyarınca ispat faaliyeti işlemin olağan dışılığının bankaca öngörülebilirliği ve buna karşı alınan önlemler üzerinde yoğunlaşır.

SSS

“Ustalıklı aldatma” nasıl ayırt edilir?
Basit yalanı aşar; mağdurun denetim imkânını ortadan kaldıran veya güçleştiren, teknik/psikolojik araçlarla desteklenen hiledir. Değerlendirme olaya özgüdür.

Banka IBAN–ad uyumunu kontrol etmek zorunda mı?
Hayır. HGK 23.02.2021 tarihli kararı bankanın böyle bir yükümlülüğü bulunmadığını açıklar; yanlış alıcıya gönderim mağdur kusuruna işaret edebilir.

Müşteri OTP’yi paylaştıysa her durumda ağır kusurlu mu sayılır?
Genel olarak aleyhe bir göstergedir; ancak gerçekçi sahte arayüz/çağrı ve yoğun baskı gibi ustalıklı aldatma unsurları varsa kusur oranlaması farklı yapılabilir; ispat somut delile dayanmalıdır.

Bankanın sorumluluğunu doğuran tipik durumlar neler?
Profil dışı/alışılmadık transferlerde ek doğrulama yapmamak, fraud motoru uyarılarına rağmen blokaj/geri arama yapmamak, güvenlik tedbirlerini güncel tutmamak.

İnternet bankacılığı uyuşmazlıklarında ispat yükü kimde?
Müşterinin kusuruna dayanan banka, bunu ispat etmelidir; HGK 2018 kararı bu çizgiyi açıklar.