Blog

İki Faktörlü Kimlik Doğrulama (2FA) ve Bankacılık İşlemlerine İlişkin Kararlarla Değerlendirme

İki faktörlü kimlik doğrulama (2FA) ve bankacılık işlemlerine ilgili yargısal değerlendirmeler ve bankaların sorumluluğu hakkında yargı kararlarının esaslarını içerir.

De Jure Hukuk EkibiOkuma süresi: ~4 dakika
iki faktörlü kimlik doğrulama
banka sorumluluğu
yargısal değerlendirme
bankacılık güvenliği

Yapay zeka uyarısı

Bu blog yazısında bağlantı verilen mahkeme kararları gerçektir ve doğruluğu garanti edilmektedir ancak blog yazısı yapay zeka tarafından üretilmiştir ve hata içerebilir. Açıklamak gerekirse; linkle tıklanarak açılan karar dokumanlarının doğruluğu garanti edilmektedir. Ancak linkle açılmayan, doğrudan blog yazısında geçen her ifade; bunlara blog yazısında yer alan künye bilgileri de dahil olmak üzere yapay zeka tarafından üretilmiştir ve hata içerebilir.

İKİ FAKTÖRLÜ KİMLİK DOĞRULAMA (2FA) VE BANKACILIK İŞLEMLERİNE İLİŞKİN KARARLARLA DEĞERLENDİRME

1. İKİ FAKTÖRLÜ KİMLİK DOĞRULAMA (2FA) MOBİL BANKACILIK İŞLEMLERİ İÇİN YASAL OLARAK ZORUNLU MU?

Türkiye’de bankaların bilgi güvenliği ve elektronik bankacılık hizmetlerine ilişkin düzenlemeleri, ağırlıklı olarak Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) tarafından yayınlanan yönetmelik ve tebliğlerde yer almaktadır. Özellikle “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (1.7.2020’de yürürlüğe girmiştir) ve önceki düzenlemeler, iki bileşenli (iki faktörlü) kimlik doğrulamayı öngörmektedir.

Bu yönetmeliğin 34. maddesinde, elektronik bankacılık hizmeti sunan bankaların, müşteriye en az iki bileşenden oluşan bir kimlik doğrulama sistemi (ör. “bildiği unsur” + “sahip olduğu unsur”) uygulaması gerektiği ve gizliliğe yönelik önlemler alması gerektiği açıkça hükme bağlanmıştır. Dolayısıyla 2FA mekanizması (iki faktörlü kimlik doğrulama), ilgili yönetmeliklere göre bankalar bakımından fiilen zorunluluk halini almıştır.

Örnek Karar:

  • İstanbul 4. Asliye Ticaret Mahkemesi, E. 2015/1182 K. 2019/1222 T. 25.12.2019 (Link) kararında da bankaların internet/mobil bankacılık hizmetleri için en az iki bileşenli doğrulama mekanizması kurmak ve bu süreçte güvenlik tedbirlerini almakla yükümlü oldukları belirtilmiştir.

2. MAHKEME KARARLARINA GÖRE BANKALAR, 2FA’Yİ KULLANMADIKLARINDA HANGİ DURUMLARDA SORUMLU TUTULUYOR?

2FA, yani iki bileşenli kimlik doğrulama, bankanın “objektif özen yükümlülüğü” kapsamına giren bir güvenlik tedbiri olarak kabul edilmektedir. Mahkemeler, güvenlik açığı veya eksik güvenlik önlemi sebebiyle müşterinin dolandırıcılık vb. zararlara maruz kalması halinde, bankayı kusurlu bulabilmektedir. İlgili BDDK Yönetmeliği gereğince, özellikle SIM kart değişikliği, yüksek tutarlı / alışılmadık transfer işlemleri gibi “şüpheli” sayılabilecek işlemlerde ilave doğrulama yöntemleri uygulanmaması durumunda bankalara sorumluluk atfedilmesi söz konusu olmaktadır.

Örnek Karar:

  • İstanbul 9. Asliye Ticaret Mahkemesi, E. 2023/342 K. 2023/596 T. 19.09.2023 (Link) kararında, bankanın iki faktörlü kimlik doğrulama sürecini usulüne uygun uygulamamasının zararla sonuçlandığı tespit edilmiş; bankanın kusurlu olduğu yönünde değerlendirmeler yapılmıştır.

3. MÜŞTERİNİN ŞİFRE GÜVENLİĞİ KONUSUNDA KENDİ SORUMLULUĞU NE KADAR ETKİLİDİR; BANKANIN 2FA EKSİKLİĞİ DURUMUNDA BİLE?

Mahkemeler, genellikle müşteriye de bir pay sorumluluk yüklemektedir. Zira, müşterinin kendi şifre ve parola bilgilerinin gizliliğini koruma ödevi mevcuttur. Ancak, bankanın sistemi yeterli güvenlik tedbirini (iki faktörlü doğrulama ve ek kontroller) sağlamazsa, tüm kusurun müşteride olduğu ileri sürülemez. Bankanın eksik güvenlik önlemlerine karşılık müşterinin dikkatsizliği bir “müterafik kusur” (kusurun paylaşımı) olarak değerlendirilebilir.

Örnek Karar:

  • İzmir 4. Asliye Ticaret Mahkemesi, E. 2017/955 K. 2023/553 T. 04.07.2023 (Link) kararında, müşterinin kendisine ait bilgileri koruma görevi olsa da, bankanın yetersiz güvenlik önlemi nedeniyle zararın büyük kısmından banka sorumlu tutulmuştur. Müşterinin dikkatsizliği de göz önüne alınarak kısmi bir kusur paylaşımı uygulanmıştır.

4. BU KARARLAR, DİJİTAL BANKACILIK GÜVENLİĞİ STANDARTLARI KONUSUNDA BANKALARA NE GİBİ MESAJLAR VERİYOR?

Yargı içtihatlarına göre:

  1. Bankalar, yüksek güvenlikli 2FA mekanizmasını uygulamak, SIM kart değişikliği gibi riskli durumlarda ek doğrulamalar yapmak ve olağan dışı işlemleri “şüpheli işlem” olarak izlemekle yükümlüdür.

  2. Müşteri bilgisinin koruma yükümlülüğü olsa da, bankanın internet/mobil bankacılık sisteminin en güncel güvenlik teknolojilerini içermesi gerekir.

  3. Eğer bankanın gerekli risk izleme / ek kimlik doğrulama süreçlerini devreye sokmaması, işlemin “olağan dışı” ya da “yüksek riskli” olduğunu fark etmemesi gibi bir ihmal söz konusuysa, bankaya sorumluluk yüklenebilmektedir.

Örnek Karar:

  • İstanbul Bölge Adliye Mahkemesi 13. Hukuk Dairesi, E. 2019/401 K. 2020/1462 T. 10.12.2020 (Link) kararında, “Bankalar, müşteri hesaplarının dijital ortamda güvenliğini sağlamak için sistemlerinde en son teknolojik gelişmeleri uygulamak ve bu sayede oluşabilecek dolandırıcılık risklerini en aza indirmek zorundadır.” vurgusu yapılmıştır.

SONUÇ VE DEĞERLENDİRME

  • İki faktörlü kimlik doğrulama, yasal düzenlemeler (BDDK yönetmelikleri) ve yargı uygulamalarına göre, bankalar açısından fiilen zorunlu bir güvenlik tedbiri niteliğindedir.
  • Müşteri de kendisine ait şifre/parola vb. bilgileri korumakla yükümlüdür; ancak bankanın eksik güvenlik önlemleri (örneğin 2FA uygulanmaması, olağan dışı işlemlerin tespit edilememesi gibi) zararın ana sebebiyse banka bu zarardan sorumlu tutulabilmektedir.
  • Mahkemeler, “güven kurumları” olarak bankaların hafif kusurlarından bile sorumlu olabileceğini vurgulamakta; 2FA eksikliği veya risk izleme prosedürünün uygulanmaması gibi durumları kusur saymaktadır.
  • Dolayısıyla kararlara bakıldığında bankalar, dijital bankacılıkta 2FA’yı aktif ve yaygın kullanmak, SIM kart değişikliği, yüksek tutarlı işlem gibi riskli durumlardaki kontrollerini güçlendirmek ve müşterinin bilgisizliğinden faydalanabilecek dolandırıcılık girişimlerini önlemek adına ek doğrulamaları uygulamak zorundadır.

KAYNAKÇA (SEÇİLMİŞ KARAR ATIFLARI)

  1. İstanbul 4. Asliye Ticaret Mahkemesi, E. 2015/1182 K. 2019/1222 T. 25.12.2019
    Link

  2. İstanbul 9. Asliye Ticaret Mahkemesi, E. 2023/342 K. 2023/596 T. 19.09.2023
    Link

  3. İzmir 4. Asliye Ticaret Mahkemesi, E. 2017/955 K. 2023/553 T. 04.07.2023
    Link

  4. İstanbul Bölge Adliye Mahkemesi 13. Hukuk Dairesi, E. 2019/401 K. 2020/1462 T. 10.12.2020
    Link

Yukarıdaki örnekler ve diğer emsal kararlar, 2FA’nın (iki faktörlü kimlik doğrulama) bankacılık güvenliğindeki önemini pekiştirmekte, ayrıca bankanın risk izleme yükümlülüğünün de (örneğin şüpheli işlem takibi, SIM kart değişiklik uyarıları vb.) hukuki sorumluluk kapsamındaki kritik unsurlar olduğuna işaret etmektedir.