Bankanın Phishing Saldırılarında Sorumluluğu: OLG Frankfurt am Main Kararının Gerekçeleri ve Sonuçları
Frankfurt am Main Yüksek Eyalet Mahkemesi (OLG), banka müşterilerine yönelik dijital saldırıların artması nedeniyle ödeme hizmetleri hukukunun uygulaması açısından önemli sonuçlar doğuracak bir olayı değerlendirmiştir (Karar tarihi: 19.02.2024, Dosya No: 3 U 323/22). Söz konusu olayda bir bankanın, bir müşterisinin hesabından gerçekleştirilen ve sözde bir phishing saldırısı nedeniyle aktarılan parayı iade etmekle yükümlü olup olmadığı incelenmiştir – müşteri burada kötü amaçlı yazılıma kandırılmıştır. OLG, ayrıntılı hukuki değerlendirme sonucunda, müşterinin ağır ihmalinin söz konusu olması halinde bankanın sorumluluğunun doğmayacağına karar vermiştir.
Başlangıç Noktası ve Olayın Özeti
Davanın merkezinde, bir banka müşterisinin sahte bir e-posta aldıktan sonra onayladığı bir havale bulunuyordu. Bu e-posta, müşteriyi sahte bir internet sitesine yönlendirdi ve burada müşteri hassas kimlik doğrulama verilerini paylaştı. Sonrasında yüksek bir meblağ, aslında hak sahibi olmayan bir yabancı hesaba aktarıldı.
Hesap sahibi, bankanın ücreti hesabından usulsüz şekilde çektiğini iddia etti; geçerli bir ödeme onayı olmadığını öne sürdü. Alman Medeni Kanunu § 675u, 675y uyarınca, göndermiş olduğu havale tutarının iadesini talep etti.
Ağır İhmalin Ölçütü
OLG Frankfurt am Main öncelikle sözleşmeden veya kanundan doğan bir talep hakkının bulunup bulunmadığını inceledi. Merkezde, BGB § 675j uyarınca yetkilendirme meselesi vardı. Hangi ödemelerin hesap sahibi tarafından açıkça gerçekleştirilmiş olup olmadığında, kimlik doğrulama unsurlarının korunmasında ağır ihmal olup olmadığı bir geri ödeme için belirleyici olmaktadır (BGB § 675v Abs. 3 Nr. 2).
Ağır İhmalkarlıkta Tazminat Hakkı Bulunmaz
Mahkeme, kararında, banka müşterisinin davranışı ağır ihmalkar olarak değerlendirildiği takdirde uğradığı kayıplardan sorumlu olacağını açıkça belirtmiştir. Kimlik doğrulama unsurlarının kullanımı sırasında temel dikkat yükümlülüklerinin ihlali bile bu kapsamda yeterlidir. Buna örnek olarak, işlem yapan kişinin suistimal edilebilir güvenlik bilgilerini başkasına vermemesi gösterilebilir.
Somut olayda davacı, bankanın kendisine kişisel olarak gönderdiği phishing uyarılarını dikkate almalı ve şüpheli bağlantıları veya internet sitelerini eleştirel olarak incelemeliydi. Bankanın açık uyarılarına rağmen TAN numaraları ve şifrelerin düşünmeden paylaşılması artık basit bir ihmal olarak değil, ağır ihmal olarak değerlendirilir.
Bankanın Sorumluluğu Yok
Mahkeme heyetinin görüşüne göre, zararın koruma ve özen yükümlülüklerinin ihlalinden kaynaklanması durumunda ödeme hizmeti sağlayıcısının bir sorumluluğu bulunmaz. Bankanın hatalı havaleleri iade etme yükümlülüğü, müşteri kimlik doğrulama verilerini yeterince korumadığı veya üçüncü kişilere verdiği anda sona erer.
Banka Müşterileri ve Kredi Kuruluşları İçin Anlamı
Ödeme Hizmeti Kullanıcılarına Pratik Yansımalar
Bankanın güvenlik uyarılarının dikkate alınmaması ve bunun sonucunda başarılı bir phishing saldırısı gerçekleşirse, OLG Frankfurt am Main kararına göre risk esasen müşteriye aittir. BGB § 675v düzenlemesi tüketici haklarını korusa da, ağır ihmalkar davranış halinde koruma sağlamaz.
Güvenlik Bilincine İlişkin Gereklilikler
Karar, bankaların bilgilendirme yükümlülüklerini yerine getirerek düzenli aralıklarla sahtecilik yöntemleri ve riskleri konusunda uyarıda bulunmaları gerektiğini net biçimde ortaya koymaktadır. Ayrıca, banka müşterilerinin de güvenlik uyarılarını ve teknik gereklilikleri dikkatlice yerine getirmeleri beklenmektedir. Tekrarlayan uyarılara rağmen kimlik doğrulama verilerini paylaşan kişi, geri ödeme hakkını tehlikeye atar.
Hukuk Politikası ve Stratejik Değerlendirme
Bankaların Önleyici Faaliyetleri Açısından Önemi
Kredi kuruluşları için, kapsamlı ve şeffaf uyarı mekanizmaları kurulu olduğu ve ağır ihmalkar davranış kanıtlanabildiği sürece, kendi hukuki pozisyonlarında bir güçlenme söz konusu olmaktadır. Karar, ödeme dolandırıcılığına karşı yeterli müşteri bilgilendirmenin vazgeçilmez olduğunu vurgulamaktadır.
Yargılamada Gelişmeler
Karar, mahkemelerin BGB § 675v uyarınca ağır ihmalkarlığa ilişkin kriterleri giderek netleştirdiği bir dizi karar arasına katılmaktadır. Ancak, her phishing senaryosu özgün özellikler içerdiğinden, vaka bazında inceleme önemini korumaktadır.
İspat Yükümlülükleri ve Açıklama Yükü
Yüksek Eyalet Mahkemesi, bankanın bir anlaşmazlık halinde güvenlik açısından önemli tüm uyarıları paylaşmak ve önleme tedbirlerini ispatlamak ile yükümlü olduğunu vurgulamıştır. Karşılığında, müşteri de bankanın önerilerini hangi ölçüde uyguladığını mahkemeye açıklamak zorundadır.
Sonuç
Sonuç olarak, OLG Frankfurt am Main kararıyla phishing saldırılarında sorumluluk dağılımında yeni ölçütler getirmiştir. Banka müşterilerine, kimlik doğrulama verilerinin korunması konusunda ciddi davranmaları ve kredi kurumları tarafından yapılan uyarılara riayet etmeleri tavsiye edilir. Ancak bu şekilde bir olay anında bankanın sorumluluğundan bahsedilebilir. Karar, banka müşterisinin ağır ihmali kanıtlanabildiği durumda ödeme hizmeti sağlayıcılarının konumunu güçlendirmektedir.
Banka müşterileri, işletmeler ve ödeme hizmeti sağlayıcıları, dijital finansal işlemlerle bağlantılı olarak hâlâ karmaşık hukuki zorluklarla karşı karşıyadır. Özellikle teknik güvenlik gereklilikleri ile zararın önlenmesine ilişkin yükümlülükler arasındaki hassas dengede, pek çok ayrıntı sorusu yalnızca somut vakalarda cevaplanabilmektedir. Sorumluluk riskleri ve ödeme hizmetlerine yönelik finans ve banka hukuku ile ilgili sorularınızda, MTR Legal bünyesindeki Rechtsanwalt sizlere danışmanlık sunmaktadır.
