Bankaların Hukuki Sorumluluğu: “Güven Kurumu” İlkesi Ve Tazminat Rejimi

Giriş: Dijital Bankacılıkta Risk Paradigması ve Güven Olgusu

Bilişim teknolojilerinin finansal altyapılarla entegrasyonu, bankacılık işlemlerinin hızlanmasını ve mekan sınırlarından arınmasını sağlarken; siber suçlular için de yeni ve geniş bir etki alanı doğurmuştur.

Dijital bankacılık sistemleri üzerinden oltalama (phishing), SIM kart bloke transferleri, zararlı yazılımlar veya sosyal mühendislik yöntemleriyle müşterilerin hesaplarının boşaltılması durumunda, hukuki uyuşmazlığın odağı yalnızca dolandırıcı fail değildir. Asıl hukuki tartışma, paranın muhafaza edildiği ve güvenliğinden sorumlu olunan bankanın hukuki sorumluluğunun sınırlarında düğümlenmektedir. Bu makalemizde, Türk Borçlar Kanunu, Bankacılık Kanunu ve Yargıtay’ın kararlılıkla uyguladığı “Güven Kurumu” ilkesi ışığında, bankaların siber dolandırıcılık vakalarındaki tazminat sorumluluğunu inceleyeceğiz.

1. “Güven Kurumu” İlkesi ve Objektif Özen Yükümlülüğü

Türk hukuk sisteminde bankalar, sıradan birer ticari şirket veya basiretli tacir olmanın çok ötesinde konumlandırılmıştır. Yargıtay Hukuk Genel Kurulu’nun ve 11. Hukuk Dairesi’nin istikrar kazanan yerleşik içtihatlarında bankalar; “topluma açık birer güven kurumu” olarak tanımlanır. Bu tanım, sıradan bir sözleşmesel ilişkide aranan özen yükümlülüğünün sınırlarını aşan, en ince detayına kadar kurgulanmış bir objektif özen yükümlülüğünü de beraberinde getirir.

Bankalar, kendilerine yatırılan mevduatları güvenli bir şekilde muhafaza etmek, siber alandaki tüm teknolojik gelişmeleri takip ederek sistem güvenliğini en üst düzeyde tutmakla mükelleftir. Güven kurumu ilkesinin bir sonucu olarak bankalar, dijital kanallarda ortaya çıkabilecek yeni dolandırıcılık yöntemlerini (örneğin yapay zeka destekli kimlik taklitleri veya sofistike zararlı yazılımlar) önceden öngörmek ve bunlara karşı proaktif defans mekanizmaları geliştirmek zorundadır. Sistem güvenliğindeki en ufak bir açık, mimari yetersizlik veya geç kalmış bir güvenlik güncellemesi, bankanın tazminat sorumluluğuna giden yolu açar.

2. Bankanın Sorumluluğunun Hukuki Niteliği: Kusursuz Sorumluluk ve Tehlike İlkesi

Bankaların, müşterilerinin hesaplarından iradeleri dışında siber yöntemlerle para transfer edilmesi durumundaki sorumluluğu, kural olarak bir kusursuz sorumluluk (özellikle tehlike sorumluluğu) niteliğindedir. Bankaya yatırılan mevduat, mülkiyeti bankaya geçen ancak bankanın müşterisine karşı aynı miktarda parayı iade etmekle yükümlü olduğu usulsüz tevdi sözleşmesi (TBK m. 570 vd.) hükümlerine tabidir.

Bu hukuki nitelik gereği, mevduat sahibinin parası bankaya geçtiği andan itibaren, paranın uğrayacağı her türlü zarardan ve siber hırsızlıktan dolayı risk bankanın üzerindedir. Yargıtay’ın güncel kararlarında açıkça vurgulandığı üzere;

“Bankalar, bilişim sistemlerinin kullanılması suretiyle üçüncü kişilerin haksız olarak müşterilerin hesaplarından para çekmesini önleyecek nitelikte etkili ve aşamalı bir güvenlik altyapısı kurmakla yükümlüdür. Müşterinin hesabından iradesi dışında para çekilmesi durumunda, bankanın bu parayı müşteriye iade etme yükümlülüğü (borcu) devam eder. Banka, sisteminin hacklenmediğini veya kusuru bulunmadığını ileri sürerek bu sorumluluktan kurtulamaz.”

Dolayısıyla, dolandırıcılık eylemi ne kadar sofistike olursa olsun, paranın bankanın egemenlik alanından (dijital sisteminden) çıkmış olması, sorumluluğun doğması için yeterlidir. Banka, zararın doğmasında kendisinin hiçbir kusuru olmadığını ispat etse dahi, kusursuz sorumluluk rejimi uyarınca tazminat yükümlülüğünden azade olamaz.

3. İlliyet Bağının Kesilmesi ve “Ağır Kusur” İstisnası

Bankanın bu mutlak ve kusursuz sorumluluğunun yegane istisnası, illiyet bağının (nedensellik bağının) mücbir sebep, zarar görenin ağır kusuru veya üçüncü kişinin tamamen kaçınılmaz eylemiyle kesilmesidir. Uygulamada bankalar, açılan tazminat davalarında sıklıkla “Müşteri şifrelerini siber dolandırıcılara kendi eliyle vermiştir, dolayısıyla zarar kendi kusurundan doğmuştur” savunmasına sığınmaktadır.

Ancak Yargıtay’ın 2025 ve 2026 yıllarına ait en yeni içtihat eğilimleri, “sosyal mühendislik” sarmalındaki mağduru koruyan çok hassas bir denge kurmuştur. Yüksek mahkemeye göre, müşterinin sadece şifreyi veya onay kodunu dolandırıcılara vermesi, tek başına bankayı sorumluluktan kurtarmaz. Bankanın sorumluluktan kısmen veya tamamen kurtulabilmesi için, müşterinin eyleminin “ağır kusur” veya “kasıt” boyutuna ulaşması ve bankanın sistem olarak alabileceği hiçbir önlemin kalmamış olması gerekir.

Eğer banka;

  • Müşterinin alışılagelmiş işlem profili dışına çıkan, olağan dışı ve yüksek meblağlı bir gece yarısı transferini bloke etmemişse,

  • SIM kart değişikliği yapılmasına rağmen (SIM Bloke durumu), yeterli bekleme süresi veya ek kimlik doğrulama adımları uygulamadan transfere izin vermişse,

  • İşlem sırasında çift aşamalı doğrulama (SMS, Mobil Onay, Biyometrik Veri vb.) mekanizmalarından birini esnetmişse,

müşterinin şifresini kaptırmış olmasında müterafık (ortak) kusuru bulunsa dahi, bankanın asli sorumluluğu devam eder. Bu durumlarda mahkemeler, Türk Borçlar Kanunu’nun 52. maddesi kapsamında tazminattan cüzi bir indirim yapabilmekte, ancak zararın aslan payını yine de “Güven Kurumu” olan bankaya yüklemektedir.

4. Tazminat Rejiminde İspat Yükü ve Zamanaşımı

Dijital bankacılık dolandırıcılığından kaynaklanan tazminat davalarında ispat yükü, tamamen yer değiştirerek bankanın üzerine yüklenmiştir. Mevduat sahibi, hesabından iradesi dışında para çıktığını ve bu işlemin kendisi tarafından gerçekleştirilmediğini beyan ettiği an, işlemin hukuka uygun ve güvenli bir şekilde yapıldığını, sistemde hiçbir siber zafiyet bulunmadığını ispat etme yükü bankaya geçer. Banka, adli bilişim standartlarına uygun log kayıtlarını, SMS gönderim raporlarını ve işlem IP özetlerini mahkemeye sunmak zorundadır.

Bu davalar, sözleşmeye aykırılık ve usulsüz tevdi hükümlerine dayandığı için Türk Borçlar Kanunu uyarınca 10 yıllık genel zamanaşımı süresine tabidir. Zarara uğrayan müşteri, dolandırıcılık vakasının gerçekleştiği tarihten itibaren 10 yıl içinde bankaya karşı maddi tazminat davası açarak,  faiziyle  birlikte iadesini talep edebilir.

Sonuç

Sonuç olarak, bilişim ve finans dünyasının kesişim kümesinde işlenen dolandırıcılık suçları, bankaları siber güvenliğin en ön cephesi haline getirmiştir. Türk hukuku, “Güven Kurumu” ilkesiyle bankalara mutlak bir koruma ve dijital gardiyanlık görevi yüklemektedir. Dijital dünyada mağdur olan vatandaşların uğradığı zararlar, bankaların kusursuz sorumluluk rejimi sayesinde yasal güvence altındadır.

İletişim Bilgileri

  • Adres: İlkbahar Mah. Medine Müdafi Cad. No: 54 Çankaya/ANKARA
  • Gsm: 0530 527 97 80
  • E-Posta: onur@onurcubukcu.av.tr

Sosyal Medya

Linkedin Instagram

Bu site, T.B.B. Reklam Yasağı Yön.’nin 9/1. mad.’deki “Bu Yönetmelik kapsamında olanlar internet dahil, teknolojinin ve bilimin olanak tanıdığı her tür ortamda kendisini ifade etme hakkına sahiptir.” kuralına uygun olarak düzenlenmiş olup, reklam amacı taşımaz.Hukuk Büromuz, bu sitede yayımlanan bilgilerin hatasız veya eksiksiz olduğu konusunda bir garanti vermemektedir. Bu nedenle bilgilerin ne şekilde olursa olsun içeriğinden, iletilmesinden, alınmasından, saklanmasından sorumlu değildir. Verilen bilgiler genel nitelikte olup, bir davanın açılmak istenmesi durumunda, avukata danışılması önerilir; çünkü hukuk, olaya ve duruma göre değişiklik arz eder.

Tüm Hakları Saklıdır. © 2025 | Onur Çubukçu Hukuk ve Arabuluculuk Bürosu

Feryal Reklam tarafından yapılmıştır.

×

Merhaba! Randevu ve diğer talepleriniz için iletişime geçebilirsiniz.

× Whatsapp Destek