Yargıtay 19. Hukuk Dairesi, internet üzerinden sahte şifre oluşturularak kredi kartından harcama yapılan kişiye, bankayla ortak sorumluluk yükleyen yerel mahkeme kararını bozdu. Daire, bozma kararında bankaların birer güven ve itimat kurumları olduğuna işaret ederek, bu tür olaylarda müşterilerin sorumlu tutulamayacağına hükmetti.
Şanlıurfa’da yaşayan A.K’nin, kredi kartıyla internet üzerinden bilgisi dışında 34 kez, toplamda 6.970 TL’lik alışveriş yapıldığını görünce, bu alışverişi kendisinin yapmadığını belirterek bankaya itirazda bulundu ama banka bunu kabul etmedi.
Bunun üzerine A.K, kredi kartı ekstresine borç olarak yansıtılan 6.970 TL’nin kendi borcu olmadığının tespitine karar verilmesi talebiyle dava açtı. Şanlıurfa 3. Asliye Hukuk Mahkemesi davayı kısmen kabul ederek, davacı müşteri ile bankanın yüzde 50 oranında ortak kusurlu olduklarına hükmetti ve davacıyı borcun yarısından sorumlu tuttu.
Kararın temyiz edilmesi üzerine dosya Yargıtay 19. Hukuk Dairesine geldi. Daire, yerel mahkemenin, müşteriye bankayla ortak sorumluluk yükleyen kararını bozdu. Bozma kararında, kredi kartı ile sanal ortamda yapılan harcamanın, internet üzerinden güvenli alışveriş (3D secure) çerçevesinde müşteriye ait kredi kartı bilgilerinin 3. kişiler tarafından ele geçirilerek gerçekleştirildiği anlatıldı. Kararda, şu tespitlere yer verildi: “Bankalar birer güven ve itimat kurumları olduklarından kural olarak hafif kusurlarından da sorumludurlar. Davacının kişisel bilgilerini koruyamadığı, bu konudaki özen yükümlülüğünü ihmal ettiği sabit olmadığı sürece davacı müşteri,internet bankacılığı yoluyla 3. kişiler tarafından sahte şifre oluşturularak yapılan harcamalardan sorumlu tutulamaz. Mahkemece bu yönler gözetilerek bir karar verilmesi gerekirken davacı müşterinin de kusurlu bulunmasında isabet görülmemiştir.”
Daha önce belirttiğimiz gibi, Avrupa Birliği’nin direktiflerine uygun olarak kişisel veri güvenliğine dair çerçeve bir düzenleme getirmeyi amaçlayan “Kişisel Verilerin Korunması Kanunu” 7 Nisan 2016 tarihinde yürürlüğe girdi. Şirketlerin kanuna uyumlu hale gelmesi için verilen süre ise 7 Ekim 2016 tarihinde sona erdi. Buna göre yükümlülüklere uyum sağlamayan şirketleri ise idari ve cezai yaptırımlar bekliyor. Ancak mahkemenin bir siber dolandırıcılık olayını bu kapsamda değerlendirip değrlendirmeyeceğini şu anda öngöremiyoruz.