Blog

İki Faktörlü Kimlik Doğrulama İlişkin Yargısal Değerlendirmeler ve Bankaların Sorumluluğu

İki faktörlü kimlik doğrulama (2FA) ile ilgili yargısal değerlendirmeler ve bankaların sorumluluğu hakkında yargı kararlarının esaslarını içerir.

De Jure Hukuk EkibiOkuma süresi: ~4 dakika
iki faktörlü kimlik doğrulama
banka sorumluluğu
yargısal değerlendirme
bankacılık güvenliği

Yapay zeka uyarısı

Bu blog yazısında bağlantı verilen mahkeme kararları gerçektir ve doğruluğu garanti edilmektedir ancak blog yazısı yapay zeka tarafından üretilmiştir ve hata içerebilir. Açıklamak gerekirse; linkle tıklanarak açılan karar dokumanlarının doğruluğu garanti edilmektedir. Ancak linkle açılmayan, doğrudan blog yazısında geçen her ifade; bunlara blog yazısında yer alan künye bilgileri de dahil olmak üzere yapay zeka tarafından üretilmiştir ve hata içerebilir.

İKİ FAKTÖRLÜ KİMLİK DOĞRULAMAYA İLİŞKİN YARGISAL DEĞERLENDİRMELER VE BANKALARIN SORUMLULUĞU

Bankacılık sektöründe dijitalleşmenin hız kazanmasıyla birlikte iki faktörlü kimlik doğrulama (2FA), müşterilerin finansal işlemlerini güvence altına almanın en önemli araçlarından biri hâline gelmiştir. Gerek BDDK düzenlemeleri gerekse Yargıtay ve yerel mahkeme kararları, bankaların bu konuda azami özen göstermesi gerektiğine işaret etmektedir.

1) İki faktörlü kimlik doğrulama (2FA) mobil bankacılık işlemleri için yasal olarak zorunlu mu?

Mevcut Bankalarda Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te (resmî olarak 2020’de yürürlüğe giren düzenlemelerle) iki faktörlü kimlik doğrulama esası benimsenmiş durumdadır. Mahkemeler de kararlarında, bankanın “müşteriye güvenli şekilde işlem yaptırabilmesi için en az iki farklı bileşenden oluşan kimlik doğrulama mekanizması kurmak zorunda olduğu” vurgusunu sıkça yapmaktadır.

Örneğin, Yargıtay 11. Hukuk Dairesi, E. 2023/3330 K. 2024/5094 T. 24.06.2024 tarihli kararında (https://app.dejure.ai/dokuman/fce3d581-1cb0-41fd-b307-bffb50392493), bankanın müşterilerle yüzyüze olmayan dijital işlemlerde en az iki bileşenli doğrulama (müşterinin ‘bildiği’, ‘sahip olduğu’ veya ‘biyometrik’ unsurlar) kullanmasının esas olduğuna işaret edilmiştir. Dolayısıyla, uygulamada 2FA’nın kullanılması artık hem düzenleyici metinlerde hem de yargısal içtihatlarda fiilen zorunlu hâle gelmiş durumdadır.

2) Mahkeme kararlarına göre, bankalar iki faktörlü kimlik doğrulama kullanmadıklarında hangi durumlarda sorumlu tutuluyor?

Eğer banka, iki aşamalı güvenlik prosedürünü eksik veya hiç uygulamamışsa, müşteriden kaynaklanmayan dolandırıcılık veya izinsiz işlem vakalarında kusurlu kabul edilebilmektedir. Mahkeme kararlarında şu durumlar öne çıkar:

  • Sadece tek şifre veya tek adımlı doğrulamayla yüksek riskli bir para transferine izin verilmesi.
  • Müşterinin SIM kart değişikliği gibi olağan dışı bir işlem sonrasında, ilave güvenlik adımlarının devreye sokulmaması.
  • Davacının hesabından alışılmadık tutarda veya ilk kez yapılan yüklü EFT/transfer süreçlerinde ek teyit alınmaması.

Örneğin, İstanbul 4. Asliye Ticaret Mahkemesi, E. 2020/748 K. 2023/593 T. 14.07.2023 tarihli kararında (https://app.dejure.ai/dokuman/6f9287d6-a6ef-4398-95a1-827478fce65b), bankanın “iki bileşenli kimlik doğrulama” mekanizmasını gereği gibi uygulamadığı ve müşteri hesap hareketlerindeki olağan dışı işlemleri engellemede yetersiz kaldığı için kusurlu bulunduğunu ifade etmiştir.

3) Müşterinin şifre güvenliği konusunda kendi sorumluluğu ne kadar etkili, bankanın 2FA eksikliği durumunda bile?

Mahkeme içtihatlarına göre, müşteri de kendisine tahsis edilen şifre ve parola gibi bilgileri özenle korumak ve kimseyle paylaşmamakla yükümlüdür. Özellikle davacının, dolandırıcı tarafından gönderilen sahte linke tıklayarak veya kendi rızasıyla şifreyi üçüncü kişilerle paylaşarak kusurlu davrandığı hallerde, bankanın sorumluluğu azalabilmektedir.

Ne var ki, bankanın 2FA’yı hiç uygulamaması veya yetersiz uygulaması söz konusuysa, müşterinin bir miktar kusuru olsa bile banka hafif kusurundan dahi sorumlu tutulabilmektedir. Adana 2. Asliye Ticaret Mahkemesi, E. 2019/589 K. 2022/664 T. 24.06.2022 kararında (https://app.dejure.ai/dokuman/bd0cdf93-f654-4474-821a-21afa45ae6c0), müşterinin dikkatsizliği bulunmakla birlikte bankanın güvenlik altyapısını eksik kurduğu saptanarak sorumluluğuna hükmedilmiştir.

4) Bu kararlar, dijital bankacılık güvenliği standartları konusunda bankalara ne gibi mesajlar veriyor?

Mevcut yargı kararları ışığında şu mesajlar öne çıkmaktadır:

  1. İleri Düzey Güvenlik Önlemleri: Bankalar, tek kullanımlık SMS şifresinden öte ek doğrulama (örneğin mobil uygulama, biyometrik doğrulama, IP analizleri vb.) sistemlerini kurmalı ve güncellemeleri hızlıca uygulamalıdır.
  2. Şüpheli İşlem Takibi: Şüpheli IP adresi, olağan dışı tutarlar veya SIM kart değişikliği gibi durumlarda, yüksek riskli işlem algoritması çalıştırıp ek teyit (telefonla arama, üst limit kontrolleri vb.) alınması gereklidir.
  3. Müşteri Bilgilendirmesi: Bankalar, internet/mobil bankacılık riskleri konusunda müşterileri düzenli olarak uyarmak, sahte link ve benzeri dolandırıcılık yöntemlerine dair farkındalık yaratmak zorundadır.
  4. Çift Yönlü Sorumluluk: Müşteri, şifre gizliliği ve güvenliği sağlamakla yükümlüdür. Ancak banka da sistemsel güvenlik ve iki bileşenli kimlik doğrulama yöntemini gereği gibi işletmezse kusurlu sayılabilecektir.

Tüm bu hususlar, hem BDDK düzenlemeleri hem de Yargıtay ve yerel mahkeme kararlarıyla açıkça ortaya konulmaktadır. Dolayısıyla bankaların, 2FA süreçlerini ve ek güvenlik tedbirlerini titizlikle uygulaması beklenir. Müşteri ise kendi payına düşen dikkat ve özen yükümlülüğünü yerine getirmediği takdirde sorumluluğu paylaşmak durumunda kalmaktadır.

Örnek Atıf Künyeleri: