Münih Sulh Mahkemesi kısa süre önce, bir banka müşterisinin, bir işlem onayı için gerekli olan SMS-TAN’ı (tek kullanımlık şifre) bilinmeyen üçüncü şahıslara iletmesi durumunda, onaylanmamış bir ödeme işlemi sonrasında kendi kredi kuruluşundan geri ödeme talep hakkı olup olmadığını değerlendirmek zorunda kaldı (Dosya No.: 271 C 16677/24, 14 Mayıs 2024 tarihli karar). Bu karar, çevrimiçi bankacılıkta özen standardının belirleyici önemini ve ödeme hizmetleri çerçeve sözleşmesi hukukunun temel ilkelerini açıkça ortaya koymaktadır.
Uyuşmazlığın olgusu ve arka planı
Bir müvekkil, çevrimiçi bankacılık hesabı üzerinden şimdiye kadar tanımadığı üçüncü kişilere yüksek bir miktar para kaybetti. Havale, müşteri tarafından hane dışında bir kişiye aktarılan SMS-TAN aldıktan sonra gerçekleştirildi. Kısa bir süre sonra, yetkisiz ödeme işlemini fark etti ve çalıştığı bankadan, bir phishing (oltalama) saldırısının mağduru olduğu ve bunun dolandırıcılık amaçlı bir iletişim olduğunu anlayamadığı gerekçesiyle tazminat talebinde bulundu. Müşterinin görüşüne göre, bu kadar sofistike manipülasyon girişimlerinin riskini banka üstlenmeliydi.
Mahkemenin karar oluşturmasındaki temel hususlar
Ödeme Hizmetleri Denetim Kanunu (ZAG) ve BGB § 675u’nun önemi
Mahkeme, karar gerekçesinde, BGB § 675u uyarınca elektronik ödeme işlemleriyle bağlantılı olarak, yetkisiz bir ödeme işlemi söz konusu olduğunda bankanın müşteriye ödeme tutarını iade etmesi gerektiğini açıkça belirtti. Ancak bunun şartı, müşterinin ödeme işlemini kendisinin yetkilendirmemiş olması veya doğrulama araçlarının kötüye kullanılmasına en azından ağır ihmal yoluyla katkıda bulunmamış olmasıdır.
Çevrimiçi bankacılıkta kimlik doğrulamanın kavramı ve önemi
Günümüz bankacılık sistemlerinde, kişisel kimlik bilgisi (ör. PIN) ve tek kullanımlık işlem kodunun (TAN) birleşiminden oluşan iki faktörlü kimlik doğrulama artık bir kuraldır. Bu erişim verilerinin ve özellikle TAN’ın üçüncü şahıslara verilmesi kesinlikle yasaktır ve her hesap sahibine düşen özen yükümlülüğüne aykırıdır. Davacı, bankanın gerekli uyarılarına ve TAN’ın gizliliği konusunda açık talimatlara rağmen SMS-TAN’ı iletmiştir.
Ağır ihmal olarak değerlendirilen davranış, iade talebinin reddi sebebidir
Mahkeme, müşterinin davranışını BGB § 675v fıkra 3 uyarınca tazminat hakkını ortadan kaldıran ağır ihmal olarak değerlendirdi. Hâkimler, bankaların müşterilerini TAN’ların asla üçüncü şahıslara, telefonla ya da elektronik istekle dahi, iletilmeyeceği konusunda düzenli olarak açık uyarılar ve güvenlik bilgilerileri ile bilgilendirdiğini belirtti. Kim bu koruma mekanizmalarını göz ardı edip yine de son derece hassas erişim bilgilerini paylaşıyorsa, dolandırıcılık nedeniyle oluşabilecek bir ödeme işlemini bile isteye ve önemli ölçüde göze alıyor demektir. Bu tür durumlarda bankaya karşı iade talebi ortadan kalkar.
Hesap sahibi ile banka arasındaki sözleşme ilişkisinin sonuçları
Ödeme işlemlerinde risk alanlarının paylaşılması
Karar, çağdaş çevrimiçi bankacılık modellerinin kullanılmasında, sözleşmede kararlaştırılmış olan koruyucu önlemleri ihmal eden hesap sahibi için kısmi risk kaymasının söz konusu olduğunu teyit ediyor. Ağır bir ihmal yoksa, BGB § 675u uyarınca ispat ve risk yükü halen bankada kalmaya devam eder.
Tüketici koruması açısından önem
Ödeme hizmetleri çerçeve sözleşmesine ilişkin düzenlemeler tüketiciyi kapsamlı olarak korumayı amaçlasa da, mahkemenin de vurguladığı gibi – bunun bir parçası da müşterinin bizzat aktif katılımıdır. Somut olayda banka, tüm yasal ve sözleşmesel aydınlatma ve koruma yükümlülüklerini yerine getirmiştir; müşteri ise, kimlik doğrulama önlemlerine özen gösterme konusundaki sözleşmesel yan yükümlülüğünü ihlal etmiştir.
Genel bağlamda değerlendirme ve ilave öneriler
Münih Sulh Mahkemesi’nin kararı, TAN’ların üçüncü şahıslara aktarılması durumunda, bankaya karşı iade taleplerinin başarı şansının pratikte nerdeyse olmadığını – altında yatan dolandırıcılık yönteminin ne kadar karmaşık olursa olsun – ortaya koymaktadır. Çevrimiçi bankacılık kapsamındaki sözleşmesel ilişki, her iki sözleşme tarafının özen yükümlülüklerinin örtük bir etkileşimine dayanmaktadır.
Özellikle uygulamada phishing ve diğer dolandırıcılık yöntemleri banka müşterileri için tekrar eden bir risk oluşturmaktadır. Her olgunun değerlendirilmesi karmaşık olduğundan, hem bankanın hem de müşterinin menfaatlerinin dengeli biçimde gözetilmesi için dikkatli bir inceleme gereklidir.
Sonuç değerlendirmesi
Yetkisiz ödeme işlemleriyle ve sözleşme taraflarının yükümlülükleriyle ilgili hukuki durum, hâlen mahkemelerin ve hukuk camiasının tartışma konusudur. Çevrimiçi bankacılıkla, sorumluluk sorunlarıyla veya ödeme işlemleri hukukuyla ilgili somut hukuki sorularınızda MTR Legal bünyesindeki Rechtsanwältinnen ve Rechtsanwalt size güvenilir bir şekilde yardımcı olmaktadır.
