Anasayfa/ Makale/ Bilişim Suçları ve Bankacılıkta Güvenlik Tedbirleri

Bilişim Suçları ve Bankacılıkta Güvenlik Tedbirleri

Dijitalleşen bankacılık işlemleri, beraberinde yeni siber tehditleri ve hukuki riskleri getirmiştir. Bu makalede, bankacılık sistemlerini hedef alan bilişim suçları ile bankaların almakla yükümlü olduğu teknik ve hukuki güvenlik tedbirleri, objektif özen yükümlülüğü çerçevesinde ve güncel bilişim hukuku perspektifiyle incelenmektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
DOLANDIRICILIK TEHDİT BİLİŞİM HUKUKU

Gelişen bilişim teknolojileri ile birlikte bankacılık sektörü, fiziksel şubelerden ziyade elektronik ortamlara taşınmış ve bu durum hukuki boyutta yeni risk alanlarının doğmasına sebebiyet vermiştir. Teknolojinin sağladığı zaman ve mekân bağımsızlığı, maalesef kötü niyetli kişilerin de iştahını kabartarak bilişim suçları adı verilen yeni ve karmaşık bir suç tipolojisinin ortaya çıkmasına zemin hazırlamıştır. Hukuki perspektiften bakıldığında, bilgisayar ağları üzerinden gerçekleştirilen hukuka aykırı erişimler ve finansal dolandırıcılık eylemleri, sadece şahısların malvarlığını değil, aynı zamanda bankacılık sistemine duyulan genel güveni de sarsmaktadır. Bu bağlamda, dijital ekosistemde faaliyet gösteren bankaların, müşteri verilerini ve fonlarını koruyabilmek adına dünya standartlarında güvenlik tedbirleri alması kanuni bir zorunluluk haline gelmiştir. Birer güven kurumu olarak nitelendirilen bankalar, teknolojik altyapılarını siber saldırılara karşı dirençli tutmak ve gerekli önlemleri hukuki mevzuata uygun bir şekilde entegre etmekle mükelleftir.

Bilişim Suçlarının Bankacılık Sektöründeki Görünümleri

Birleşmiş Milletler ve Avrupa Birliği raporlarında da vurgulandığı üzere, bilgisayar sistemlerine yetkisiz erişim ve bilgisayar yoluyla dolandırıcılık, finansal sektörü en çok tehdit eden eylemlerin başında gelmektedir. Ülkemizdeki Emniyet Genel Müdürlüğü verileri de bu durumu desteklemekte olup, sanal âlemdeki dolandırıcılık suçlarının büyük bir kısmının kredi kartları, otomatik para çekme makineleri ve internet şubeleri üzerinden gerçekleştirildiğini göstermektedir. Kötü niyetli siber korsanlar, çeşitli hileli yöntemlerle veya zararlı yazılımlar aracılığıyla müşteri şifrelerini ve kişisel verileri ele geçirerek hesaplardaki fonları kendi lehlerine aktarmaktadır. İnternet üzerinden işlenen bu suçlar, faillerin coğrafi sınırları kolayca aşabilmesi ve dijital izlerini gizleyebilmesi nedeniyle karmaşık bir hal almaktadır. Bu sebeple, suç teşkil eden fiillerin engellenebilmesi ancak ulusal ve uluslararası düzeyde alınacak proaktif siber güvenlik önlemleriyle mümkün olabilecektir.

BDDK Kapsamında Alınması Gereken Teknik Önlemler

Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan tebliğler, bankaların siber tehditlere karşı alması gereken idari ve sistemsel tedbirleri kesin hatlarla çizmektedir. Bankalar, internet bankacılığı faaliyetleri kapsamında maruz kalabilecekleri güvenlik açıklarını tespit edebilmek amacıyla en az yılda bir kez bağımsız ekiplere sızma testleri yaptırmakla yükümlüdür. Ayrıca, sıradan veya şüpheli işlemleri anında tespit edebilecek bir takip mekanizması kurulması şart koşulmuştur. Sisteme giriş aşamalarında tek bir parola yeterli görülmemekte, müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan unsurlardan en az ikisini barındıran çok faktörlü kimlik doğrulama mekanizmalarının tesis edilmesi emredilmektedir. Kullanılan şifreleme algoritmaları uluslararası standartlara uygun ve güvenilirliğini yitirmemiş güncel yazılımlardan oluşmak zorundadır.

Bireysel ve Kurumsal Çapta Alınabilecek Koruyucu Önlemler

Hukuki uyuşmazlıkların çözümünde bankaların kurumsal sorumluluğu kadar, siber sistemi aktif olarak kullanan şahısların kendi dijital güvenliklerini ne ölçüde sağladıkları da yargı süreçlerinde önem arz etmektedir. Emniyet teşkilatı ve uzman siber güvenlik birimlerinin uyarıları doğrultusunda, bilişim suçlarına karşı hem bankaların altyapısal olarak hem de bireylerin donanımsal olarak dikkat etmesi gereken asgari teknolojik önlemler bulunmaktadır. Bu tedbirlerin ortak amacı, kötü amaçlı yazılımların ve yetkisiz siber erişimlerin engellenmesi suretiyle sistemdeki veri bütünlüğünün korunmasıdır. Elektronik ortamlarda meydana gelebilecek sızıntıların önüne geçilebilmesi için, bilgisayar sistemlerinde güncel yazılımların kullanılması büyük bir zorunluluktur. Aşağıda, ihlallerin asgari seviyeye indirilmesi ve sistem güvenliğinin sağlanması adına tarafların dikkat etmesi gereken başlıca hususlar listelenmiştir:

  • Kurumsal ve kişisel bilgisayarlarda mutlaka lisanslı anti-virüs ve güvenlik duvarı yazılımlarının kullanılması.
  • Bankacılık sistemlerinde tahmine dayalı saldırıları engellemek için karmaşık yapıya sahip dinamik şifreleme ve değişken parola politikalarının uygulanması.
  • Tanınmayan veya şüpheli e-posta eklentilerinin ilettiği casus yazılımlara karşı veri bütünlüğünün yedekleme yoluyla muhafaza edilmesi.
  • Gerçekleştirilecek finansal işlemler öncesinde çeşitli doğrulama adımlarının sistemsel olarak muhakkak zorunlu tutulması.

Objektif Özen Yükümlülüğü ve Bankaların Kusur Sorumluluğu

Bir güven kurumu statüsünde hizmet veren bankalar, ticari faaliyetlerini yürütürken müşterilerinden beklenen özenin çok ötesinde, hukuken ağırlaştırılmış bir objektif özen yükümlülüğü altındadır. İnternet ortamında gerçekleşen hukuka aykırı erişim ve fon transferi eylemlerinde, bankanın salt teknik altyapıyı sağlamış olması sorumluluktan kurtulması için yeterli bir mazeret teşkil etmez. Bilişim hukuku uygulamaları kapsamında, bankaların güvenlik açığı bulunan bir sistemi müşterinin kullanımına sunması, başlı başına bir kusur kabul edilmektedir. Örneğin, maliyeti yüksek olduğu gerekçesiyle elektronik imza gibi en üst düzey güvenlik tedbirlerinin müşteriye sunulmaması ve sadece düşük maliyetli doğrulama yöntemleriyle yetinilmesi bankanın hafif kusurunu oluşturur. Bu durumda, üçüncü şahıslar tarafından hesaptan usulsüzce çekilen tutarlardan doğan zararı, sorumsuzluk kayıtları öne sürülerek müşteriye yüklenemez; zira objektif özen yükümlülüğüne aykırı davranan banka doğrudan hukuki sorumluluk altındadır.

Hesabımdan benim haberim olmadan para çekilmiş, bankayı dava edebilir miyim? expand_more
Mevzuatımıza göre bankalar birer güven kurumu olarak nitelendirilmekte olup, müşterilerine karşı hukuken ağırlaştırılmış bir objektif özen yükümlülüğü altındadırlar. Bilişim hukuku uygulamaları kapsamında, bankaların salt teknik altyapıyı sağlamış olması onları sorumluluktan kurtarmaya yetmemektedir. Eğer banka siber saldırılara karşı güvenli olmayan bir sistemi kullanımınıza sunduysa, usulsüzce çekilen tutarlardan doğan zarar sorumsuzluk kayıtları öne sürülerek size yüklenemez. Bu bağlamda, bankanın gerekli güvenlik standartlarını sağlamaması nedeniyle doğrudan hukuki sorumluluğu doğacağından yasal yollara başvurmanız mümkündür.
Bankam giriş yaparken sadece tek şifre soruyor, bu yasal olarak normal mi? expand_more
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayımlanan tebliğler uyarınca, sisteme giriş aşamalarında tek bir parola kullanılması yasal olarak yeterli görülmemektedir. Bankaların, sizin bildiğiniz, sahip olduğunuz veya biyometrik bir karakteristiğiniz olan unsurlardan en az ikisini barındıran çok faktörlü kimlik doğrulama mekanizmalarını tesis etmeleri zorunludur. Maliyeti yüksek olduğu gerekçesiyle üst düzey güvenlik tedbirlerinin müşteriye sunulmaması ve sadece düşük maliyetli basit yöntemlerle yetinilmesi, hukuken bankanın kusurlu sayılmasına yol açmaktadır. Bu nedenle bankanızın uyguladığı tek şifreli doğrulama sistemi güncel hukuki standartları karşılamamaktadır.
İnternet şubesinde dolandırılmamak için benim almam gereken önlemler neler? expand_more
Bilişim suçlarına karşı bankaların altyapısal yükümlülüklerinin yanı sıra, bireylerin de kendi dijital güvenliklerini asgari düzeyde sağlamaları yargı süreçlerinde önem arz etmektedir. Hukuki uyuşmazlıklarda tarafların kusur değerlendirmesi yapılırken sizin koruyucu teknolojik önlemleri alıp almadığınıza da bakılır. Bu bağlamda kişisel bilgisayarlarınızda mutlaka lisanslı anti-virüs ve güvenlik duvarı yazılımları kullanmalı, ayrıca tahmin edilmesi zor ve dinamik parolalar belirlemelisiniz. Ek olarak, tanınmayan e-posta eklentilerinden uzak durarak casus yazılımlara karşı sisteminizi korumanız ve işlemlerde sistemin sunduğu doğrulama adımlarını mutlaka aktif etmeniz gerekmektedir.
Şifremi çaldırmışım diye banka zararı karşılamıyor. Bankanın hiç mi suçu yok? expand_more
İnternet ortamında gerçekleşen hukuka aykırı erişim ve fon transferi eylemlerinde, bankaların müşterilerinden beklenen olağan özenin çok ötesinde bir sorumluluğu bulunmaktadır. Kötü niyetli siber korsanların müşteri şifrelerini zararlı yazılımlar aracılığıyla ele geçirerek hesaplardaki fonları aktarması durumunda, banka sadece altyapı hizmeti verdiğini iddia ederek mazeret üretemez. Bankalar, şüpheli işlemleri anında tespit edebilecek idari ve sistemsel takip mekanizmalarını kurmakla mükelleftir. Dolayısıyla, banka bahsi geçen takip mekanizmalarını işletmediyse veya objektif özen yükümlülüğüne aykırı davrandıysa, zararı tamamen size yükleyerek kendi hukuki sorumluluğundan kaçınamaz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir