Makale
Dijitalleşen bankacılık işlemleri, beraberinde yeni siber tehditleri ve hukuki riskleri getirmiştir. Bu makalede, bankacılık sistemlerini hedef alan bilişim suçları ile bankaların almakla yükümlü olduğu teknik ve hukuki güvenlik tedbirleri, objektif özen yükümlülüğü çerçevesinde ve güncel bilişim hukuku perspektifiyle incelenmektedir.
Bilişim Suçları ve Bankacılıkta Güvenlik Tedbirleri
Gelişen bilişim teknolojileri ile birlikte bankacılık sektörü, fiziksel şubelerden ziyade elektronik ortamlara taşınmış ve bu durum hukuki boyutta yeni risk alanlarının doğmasına sebebiyet vermiştir. Teknolojinin sağladığı zaman ve mekân bağımsızlığı, maalesef kötü niyetli kişilerin de iştahını kabartarak bilişim suçları adı verilen yeni ve karmaşık bir suç tipolojisinin ortaya çıkmasına zemin hazırlamıştır. Hukuki perspektiften bakıldığında, bilgisayar ağları üzerinden gerçekleştirilen hukuka aykırı erişimler ve finansal dolandırıcılık eylemleri, sadece şahısların malvarlığını değil, aynı zamanda bankacılık sistemine duyulan genel güveni de sarsmaktadır. Bu bağlamda, dijital ekosistemde faaliyet gösteren bankaların, müşteri verilerini ve fonlarını koruyabilmek adına dünya standartlarında güvenlik tedbirleri alması kanuni bir zorunluluk haline gelmiştir. Birer güven kurumu olarak nitelendirilen bankalar, teknolojik altyapılarını siber saldırılara karşı dirençli tutmak ve gerekli önlemleri hukuki mevzuata uygun bir şekilde entegre etmekle mükelleftir.
Bilişim Suçlarının Bankacılık Sektöründeki Görünümleri
Birleşmiş Milletler ve Avrupa Birliği raporlarında da vurgulandığı üzere, bilgisayar sistemlerine yetkisiz erişim ve bilgisayar yoluyla dolandırıcılık, finansal sektörü en çok tehdit eden eylemlerin başında gelmektedir. Ülkemizdeki Emniyet Genel Müdürlüğü verileri de bu durumu desteklemekte olup, sanal âlemdeki dolandırıcılık suçlarının büyük bir kısmının kredi kartları, otomatik para çekme makineleri ve internet şubeleri üzerinden gerçekleştirildiğini göstermektedir. Kötü niyetli siber korsanlar, çeşitli hileli yöntemlerle veya zararlı yazılımlar aracılığıyla müşteri şifrelerini ve kişisel verileri ele geçirerek hesaplardaki fonları kendi lehlerine aktarmaktadır. İnternet üzerinden işlenen bu suçlar, faillerin coğrafi sınırları kolayca aşabilmesi ve dijital izlerini gizleyebilmesi nedeniyle karmaşık bir hal almaktadır. Bu sebeple, suç teşkil eden fiillerin engellenebilmesi ancak ulusal ve uluslararası düzeyde alınacak proaktif siber güvenlik önlemleriyle mümkün olabilecektir.
BDDK Kapsamında Alınması Gereken Teknik Önlemler
Bankacılık Düzenleme ve Denetleme Kurumu tarafından yayımlanan tebliğler, bankaların siber tehditlere karşı alması gereken idari ve sistemsel tedbirleri kesin hatlarla çizmektedir. Bankalar, internet bankacılığı faaliyetleri kapsamında maruz kalabilecekleri güvenlik açıklarını tespit edebilmek amacıyla en az yılda bir kez bağımsız ekiplere sızma testleri yaptırmakla yükümlüdür. Ayrıca, sıradan veya şüpheli işlemleri anında tespit edebilecek bir takip mekanizması kurulması şart koşulmuştur. Sisteme giriş aşamalarında tek bir parola yeterli görülmemekte, müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan unsurlardan en az ikisini barındıran çok faktörlü kimlik doğrulama mekanizmalarının tesis edilmesi emredilmektedir. Kullanılan şifreleme algoritmaları uluslararası standartlara uygun ve güvenilirliğini yitirmemiş güncel yazılımlardan oluşmak zorundadır.
Bireysel ve Kurumsal Çapta Alınabilecek Koruyucu Önlemler
Hukuki uyuşmazlıkların çözümünde bankaların kurumsal sorumluluğu kadar, siber sistemi aktif olarak kullanan şahısların kendi dijital güvenliklerini ne ölçüde sağladıkları da yargı süreçlerinde önem arz etmektedir. Emniyet teşkilatı ve uzman siber güvenlik birimlerinin uyarıları doğrultusunda, bilişim suçlarına karşı hem bankaların altyapısal olarak hem de bireylerin donanımsal olarak dikkat etmesi gereken asgari teknolojik önlemler bulunmaktadır. Bu tedbirlerin ortak amacı, kötü amaçlı yazılımların ve yetkisiz siber erişimlerin engellenmesi suretiyle sistemdeki veri bütünlüğünün korunmasıdır. Elektronik ortamlarda meydana gelebilecek sızıntıların önüne geçilebilmesi için, bilgisayar sistemlerinde güncel yazılımların kullanılması büyük bir zorunluluktur. Aşağıda, ihlallerin asgari seviyeye indirilmesi ve sistem güvenliğinin sağlanması adına tarafların dikkat etmesi gereken başlıca hususlar listelenmiştir:
- Kurumsal ve kişisel bilgisayarlarda mutlaka lisanslı anti-virüs ve güvenlik duvarı yazılımlarının kullanılması.
- Bankacılık sistemlerinde tahmine dayalı saldırıları engellemek için karmaşık yapıya sahip dinamik şifreleme ve değişken parola politikalarının uygulanması.
- Tanınmayan veya şüpheli e-posta eklentilerinin ilettiği casus yazılımlara karşı veri bütünlüğünün yedekleme yoluyla muhafaza edilmesi.
- Gerçekleştirilecek finansal işlemler öncesinde çeşitli doğrulama adımlarının sistemsel olarak muhakkak zorunlu tutulması.
Objektif Özen Yükümlülüğü ve Bankaların Kusur Sorumluluğu
Bir güven kurumu statüsünde hizmet veren bankalar, ticari faaliyetlerini yürütürken müşterilerinden beklenen özenin çok ötesinde, hukuken ağırlaştırılmış bir objektif özen yükümlülüğü altındadır. İnternet ortamında gerçekleşen hukuka aykırı erişim ve fon transferi eylemlerinde, bankanın salt teknik altyapıyı sağlamış olması sorumluluktan kurtulması için yeterli bir mazeret teşkil etmez. Bilişim hukuku uygulamaları kapsamında, bankaların güvenlik açığı bulunan bir sistemi müşterinin kullanımına sunması, başlı başına bir kusur kabul edilmektedir. Örneğin, maliyeti yüksek olduğu gerekçesiyle elektronik imza gibi en üst düzey güvenlik tedbirlerinin müşteriye sunulmaması ve sadece düşük maliyetli doğrulama yöntemleriyle yetinilmesi bankanın hafif kusurunu oluşturur. Bu durumda, üçüncü şahıslar tarafından hesaptan usulsüzce çekilen tutarlardan doğan zararı, sorumsuzluk kayıtları öne sürülerek müşteriye yüklenemez; zira objektif özen yükümlülüğüne aykırı davranan banka doğrudan hukuki sorumluluk altındadır.