Avukat Özgür Eralp
Aralık 2008-Ankara
www.ozgureralp.av.tr
Atm dolandırıcılıkları
ATM (Automated Teller Machine) Otomatik para çekme makineleri. Müşteriye 24 saat para yatırma ve çekme olanağı sunan banka terminali. Bankanın bilgisayar sistemine bağlanan özel amaçlı bir alet. Aleti kullanabilmek için müşteri alete plastik (akıllı) bir kart yerleştirmekte, özel bir şifre girmekte ve sistemle sayısal klavyeyi ve ekranı kullanarak iletişim kurmaktadır.
Elektronik İmza: 5070 sayılı Elektronik İmza Kanunu’nda yer alan şekliyle elektronik imza; başka bir elektronik veriye eklenen veya elektronik veriyle mantıksal bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veriyi tanımlar. Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşur.
Smart kart Üzerinde kullanıcıya ait verilerin şifreli ve/veya sıkıştırılmış olarak bulunabildiği bir yonga (çip) taşıyan, kredi kartı ebatlarında olup özel bir okuyucusu ile okunabilen ve üzerindeki bilgiler sadece yazarı tarafından değiştirilebilen kart çeşidi.
Klavye Bilgisayara veri girişi sağlayan tuş takımı.
Monitör Bir bilgisayarın yapmış olduğu işlemlerin sonucunu kullanıcısına iletmiş olduğu görüntülü arabirimi.
Şifreleme anahtarı Bir veriyi başkaları tarafından okunmaması amacıyla şifrelemek için kullanılan matematiksel işlem.
Karşıt anahtar Şifrelenmiş bir verinin, şifresinin çözülmesi amacıyla kullanılan ve şifreleme anahtarı ile doğrudan bağlantılı olan ters matematiksel işlem.
Log Bir bilgisayarda veya bilgisayar ağında, yapılmış olan her aktivasyonun, tarih, saat ve kullanıcı bilgilerini içerecek şekilde saklanması işlemi.
Değerlendirme
Kartlı İşlem Dolandırıcılıkları
Son yıllarda teknolojinin gelişimine paralel olarak toplumsal yaşantı ve ilişkilerde değişimler gözlemlenmeye başlanmıştır. Özellikle internetin gelişmesi ve yaygınlaşmasıyla bankacılık işlemleri de hızlı ve kolay olarak sanal ortamda gerçekleştirilmeye başlanmıştır.
Bankacılık işlemlerinin büyük hacimlere ulaşması da internet korsanları diye tabir edilen kullanıcıların dikkatini bu alana yöneltmiştir. Önceleri internetteki ödemeli siteleri çeşitli bilgisayar hileleriyle bedava olarak kullanmaya başlayan internet korsanları zamanla kredi kartları sistemlerindeki boşlukları kullanarak sanal ortamda başkalarının kredi kartlarıyla alışverişler yapmaya başlamışlardır. Nihayet internet korsanları mevduat hesaplarına yönelmişler ve bilgisayar hileleriyle başkalarına ait mevduatları yönetmeye bu hesaplardan kendi hesaplarına aktarımlar yapmaya başlamışlardır. Son yıllarda gerek ülkemizde gerekse diğer ülkelerde bilişim suçları içerisinde tabir edilecek interaktif bankacılığı kullanılarak işlenen dolandırıcılık suçlarında ciddi bir artış gözlemlenmiştir. En çok görülen kart dolandırıcılığı yöntemleri aşağıdaki başlıklar altında incelenebilmektedir;
ATM’YE KART SIKIŞTIRMA
Genel olarak ülkemizde kullanılan ATM’lerde işlem süresi tamamlanıncaya kadar banka kartı kart okuyucu bölmede tutulmaktadır. Dolandırıcılar; ATM’nin kart okuyucu bölmesine kâğıt, yapışkan maddeli kart ve benzeri yabancı maddeleri, bir kart vasıtası ile sıkıştırmaktadırlar. Bu müdahale sonrasında dışarıdan bakıldığında ATM’de herhangi bir sorun görülmeyebilir. Ancak, ATM müşteri tarafından kullanılmaya çalışıldığında, kart sıkışacaktır. Müşteri giriş için şifre ekranı beklerken yanına yaklaşan dolandırıcılık şebekesi üyesi, müşteriyi kart şifresini girmesi için yönlendirir ve böylece işlem yapabileceğini belirtir. Bunun üzerine şifresini deneyen müşterinin parolası dolandırıcı şahıs tarafından görülecektir. Dolandırıcı şahıs ve müşteri işlem yapamayacaklarını anladıklarında ATM’nin başından beraberce ayrılıp başka bir ATM bulmaya giderler veya konu hakkında bankayı bilgilendirmeyi amaçlarlar. Ancak, dolandırıcı şahsın ortakları aynı anda ATM’nin kart okuyucu sisteminde sıkışmış olan kartı bir cımbız veya başka bir aparat kullanarak ele geçirir ve en yakın başka ATM’den müşterinin parasını çekerler. Bu yöntemle dolandırıcılık eylemleri başta İstanbul, Ankara ve İzmir olmak üzere hemen bütün illerimizde gerçekleşmektedir. Hedef alınan müşteri kitlesinin büyük bir kısmının orta yaş ve üzeri emeklilerden oluştuğu görülmektedir.
Kart Kopyalama
Müşterinin banka kartındaki bilgilerin ele geçirildiği ancak kart aslının müşteride kaldığı bir diğer yöntem de banka kartının manyetik alan bilgilerinin kopyalanmasıdır. Bu yöntem iki farklı şekilde ortaya çıkmaktadır. Bunlardan en çok rastlanılanı ATM’lere kurulan kopyalama düzeneğidir.
ATM aracılığıyla kart kopyalama
Bunun için bir kart okuyucu aparat, bir kamera ve bazı durumlarda sahte klavye ATM’ye yerleştirilmektedir. Kart okuyucu aparat, ATM’deki kart okuyucunun hemen önüne monte edilir. Böylelikle müşteri kendi işlemini gerçekleştirirken aynı zamanda kartın manyetik alanı aparat tarafından ele geçirilmektedir. Kamera veya sahte klavye vasıtasıyla da müşterinin şifre bilgisi dolandırıcılar tarafından kolaylıkla öğrenilmektedir.
Dolandırıcılık şebekeleri elde ettikleri kartların manyetik alan bilgilerini boş kartlara yazarak, banka kartı özelliğine sahip kartlar oluştururlar. Kartlara ait şifreler de bilindiğinden herhangi bir ATM’den müşterilerin hesaplarından para çekilebilir ya da harcama yapılabilir.
Aşağıda bu işlemler resimler eşliğinde açıklanmaya çalışılmıştır.
SİZCE BU MASUM BİR ATM MAKİNESİ Mİ?
MALESEF DEĞİL!!!
Aynı renkte ve etikette bir makine eklenmiş. Bu araç banka-kredi kartınızı okuyor ve bilgilerini kopyalıyor… Sizin kartınızın aynısının yapılmasını sağlıyor.
SİZCE BU MASUM BİR BROŞÜR KUTUSU MU?
SONRADAN EKLENMİŞ. İÇERİSİNE DE KAMERA YERLEŞTİRİLMİŞ.BÖYLECE EKRANDAKİ BİLGİLER VE KLAVYE HAREKETLERİ RAHATLIKLA GÖRÜLEBİLİYOR.
Alışveriş sırasında kart kopyalama
Genellikle lokanta, dinlenme yerleri, alış veriş mağazalarında çalışan dolandırıcılık şebekesi üyeleri, ödeme yapılmak amacıyla verilen kartları ikinci bir okuyucudan geçirerek kopyalar. Bu kartların manyetik alan bilgileri başka kartlara yüklenir. Kopyalanmış kartlarla sahte belgelerle açılmış olan üye işyerlerinden harcama yapılmış gibi gösterilir ya da sahte kimlik kullanılarak konudan habersiz üye işyerlerinde alışveriş yapılır. Bu yöntemde mağdurların herhangi bir yaş trendi bulunmamaktadır. Kartın manyetik alanının kopyalanması özellikle yaz aylarında, turizm bölgelerinde veya büyük şehirlerde yoğunlaşır.
Somut olayda gerçekleşen dolandırıcılık şekli
ATM Cihazında kamera olsa idi söz konusu düzenek kesin olarak tespit edilmekle birlikte parayı bankamatikten anında çeken şahıs veya şahıslar da tespit edilebilecekti. Söz konusu ATM Cihazında kamera düzeneği bulunmamaktadır.
Olay yerine gelip inceleme yapan polis memurlarınca tutanağa da bağlanmak suretiyle bankamatik üzerine yapıştırılmış “Dikkat Kartınızı ATM Makinası Okumuyor ise Okuyucu Tuşuna Basılı Tutarak Giriş Kodunuzu Yazıp Enter Tuşuna Basınızı Kartınızı İade Edecektir Ziraat Bankası A.Ş.” yazısı tespit edilmiştir. Dolayısıyla bu tutanakla birlikte somut olayda dosyadaki mevcut bilgi ve belgeler de dikkate alındığında müşterinin bankamatik kartının ATM’de sıkışması sağlanılarak şifresinin profesyonel bir dolandırıcılık çetesi tarafından ele geçirilip hesabının boşaltıldığı kanaatine varılmıştır.
ALINABİLECEK ÖNLEMLER
Bu tür dolandırıcılık olaylarının önlenmesi için bankaların alabilecekleri önlemler şüphesiz çok fazladır. Zira bankanın asıl işi bu olup bu işten kazanç elde etmektedir. İşlemlerin güvenli bir şekilde gerçekleşmesini sağlamak ve kendisine emanet edilen mevduatı doğru kişiye teslim etmek bankanın en temel ödevidir. Bundan da öte istihdam ettiği personeli ve ekonomik gücü düşünüldüğünde bankalar çok daha etkileyici önlemler alabilirler.
Konuya ilişkin olarak Bankacılık Düzenleme ve Denetleme Kurumunca yayınlanan BANKALARDA BİLGİ SİSTEMLERİ YÖNETİMİNDE ESAS ALINACAK İLKELERE İLİŞKİN TEBLİĞ 14.09.2007 tarih 26643 Sayılı Resmi Gazete’de yayınlanmıştır. Bu tebliğin geçici 1.maddesine göre Bankalar, bu Tebliğ hükümleri ile ilgili mevcut faaliyet ve sistemlerini, yürürlük tarihinden itibaren azami iki yıl içerisinde Tebliğ hükümlerine uygun hale getirir. Bu tebliğin yürürlük tarihi ise tebliğin 35. maddesinde 01.01.2008 olarak belirlenmiştir. Halen geçiş süreci tamamlanmamakla birlikte bu tebliğin 32.maddesinde düzenlenen ATM güvenliği bölümü dava konusu açısından dikkat çekicidir. Söz konusu madde aşağıdaki gibidir;
İKİNCİ BÖLÜM
ATM
ATM güvenliği
MADDE 32 – (1) Banka, ATM cihazlarına ilişkin hırsızlık, sahtekârlık, fiziksel saldırı gibi tehditlere ilişkin riskleri minimize edici önlemleri tesis eder ve ATM cihazlarının güvenli kullanımı hususunda müşterilerinde farkındalık yaratır.
(2) ATM cihazları üzerinde ön tanımlı olarak gelen her türlü parola/değişken parola, ATM cihazının bu ön tanımlı parolaları/değişken parolaları bilen kötü niyetli kişiler tarafından yönetilmesini engellemek amacıyla, kolaylıkla tahmin edilemeyecek şekilde değiştirilir.
(3) ATM cihazları üzerine, zararlı içerikli programların kötü niyetli kişilerce yüklenmesini ve yetkisiz erişimi engelleyecek gerekli tedbirler alınmalı, cihaza yetkisiz kişilerin herhangi bir şekilde başka bir elektronik cihaz bağlamasını sağlayacak bütün giriş noktaları erişime kapatılmalıdır. ATM’ler üzerine, güvenlik açıklıklarını gidermek amacıyla otomatik olarak veya düzenli periyotlar ile gerekli güncellemeler ve yamalar yüklenir. ATM cihazı ile banka arasındaki ağ bağlantısına yetkisiz olarak diğer cihazların bağlanmasını engelleyecek ek güvenlik tedbirleri uygulanır.
(4) ATM cihazları üzerinden gerçekleştirilen işlemler için kullanılan iletişim ağı veri güvenliği, gizliliği ve bütünlüğünü sağlayacak özellikte olmalıdır. Müşterilerin girdiği PIN bilgileri ve gerçekleştirilecek işlemlere ilişkin bilgiler cihaz içinde ve cihaz dışındaki ATM ağı boyunca şifrelenmiş bir şekilde iletilmelidir.
(5) Müşterilere uygulanan kimlik doğrulama mekanizması birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin “bildiği”, müşterinin “sahip olduğu” veya müşterinin “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilir. Müşterinin “bildiği” unsur olarak PIN bilgisi gibi bileşenler, “sahip olduğu” unsur olarak ATM kartı gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere erişim sağlanamamalıdır.
(6) ATM cihazlarının servis sürekliğinin sağlanması ve sahtekârlık, fiziksel saldırı gibi maruz kalabilecekleri risklerin erken tespiti adına, Banka tarafından ATM cihazları için uzaktan yönetim ve takip sistemleri kurulur.
(7) ATM operatörleri ve teknisyenleri, ATM cihazlarına ilişkin güncel bütün sahtekârlık yöntemleri konusunda eğitilir ve bu gibi personelin ATM cihazlarını düzenli olarak kontrol etmeleri sağlanır. ATM cihazları özellikle, üzerlerine yabancı aparatlar veya başka elektronik cihazlar (kart kopyalama cihazları, sahte klavye, kamera gibi) yerleştirilmiş olma ihtimallerine karşı, operatörler tarafından düzenli periyotlarla dikkatle incelenmelidir.
(8) ATM’e ilişkin mutabakatlar, yeterli sıklıkta ve görevler ayrılığı prensibine uygun olarak en az iki kişi tarafından gerçekleştirilir.
(9) Banka, müşterilerinin ATM hizmetlerinden güvenli bir şekilde faydalanmasını sağlamak amacıyla, ATM güvenliği ve güncel sahtekârlık yöntemlerinden korunma hususunda müşterilerini bilgilendirir ve bu konu hakkında müşterilerinde farkındalık oluşmasını sağlar.
(10) Banka, ATM cihazlarının bulunduğu yerlere güvenlik kamerası koyar, ancak bu güvenlik kamerası, müşterinin klavye hareketlerini göremeyecek biçimde konumlandırılır. Güvenlik kamerası kayıtları en az iki ay süreyle saklanır ve kamera teçhizatları çalıştıklarına dair düzenli olarak kontrol edilir. Görüntüleme alanı bakımından ATM’i de kapsayan ve bu fıkradaki koşulları karşılayan bir güvenlik kamerası altyapısının varlığı durumunda ATM’e özel ayrıca bir güvenlik kamerası kurulmasına gerek yoktur. Ayrıca kamu güvenlik ve istihbarat kurumlarının faaliyet bölgesinde bulunan ATM’ler için güvenlik kamerası kurulma şartı, ilgili kamu güvenlik ve istihbarat kurumlarından izin alınabilmesi koşuluyla yerine getirilir.
Bankalarca alınacak önlemler:
Hukuki ve teknik altyapısı hazır bulunan Elektronik İmza kullanılabilir.
Bu tür internet bankamatik soygunlarına karşı “özel sigorta” yaptırılabilir.
Banka kullanıcının bankamatikte her bağlantı kurduğunda “Baba Adı”, “Doğum Yeri”, “Doğum Tarihi”, “Hesap Numarası” gibi bilgiler rastgele sorularak kullanıcının her girişinde farklı bir güvenlik aşamasından geçiş sağlanabilmektedir. Ancak bu durumda dahi bilgisayar korsanları bir süre içerisinden bütün bilgileri toparlayabileceklerinden kati güvenlik sağlanamaz.
SMS ile müşterilerin bilgilendirilmesi- Müşterilerin interaktif bankacılık hizmetinden faydalanırken yaptıkları hareketlerin SMS ile cep telefonundan bilgilendirilmesi teknolojisi kullanılabilir.
İşlemlerin sonuçlanma aşamasında banka tarafından cep telefonuna gönderilen 4 haneli Mobil onay kodunun girilmesi istenmesi sağlanabilir. Böylelikle bankanın müşterinin cep telefonuna yollayacağı onay kodu olmaksızın işlem tamamlanmamaktadır.
ATM’lere kamera sistemi takılması, dolandırıcılar açısından yıldırıcı olabilmektedir.
Şube güvenlik görevlisinin zaman zaman ATM önüne gelerek gözlemde bulunması,
ATM’lerin sık sık gözle muayene edilmesi,
Tarafların kusur oranlarının takdiri
Yukarıda açıklamalardan anlaşılacağı üzere esasen ATM’lerde çeşitli hilelerle dolandırıcılıklar yapılması mümkündür.
Müşterilerinin zarar görmemesi maksadıyla Bankalar zaman içinde ek güvenlik önlemlerini uygulamaya sokmuşlardır.
Bankanın, diğer alanlarda olduğu gibi, İnteraktif ortamda yapılacak İşlemlerde de sistem güvenliğini sağlamakla yükümlülüğü mevcuttur. Bu çerçevede, Banka, mevduat sahiplerinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamak zorunludur. Bu kapsamda, davalı Banka interaktif bankacılık İşlemleri sırasında kendi bilgisayarını 128 bit (SSL) ile korurken, sisteme bağlanan ATM cihazının da aynı koruma tedbirini yararlandırması gerekmektedir. Başka bir anlatımla şifre bilgilerinin üçüncü kişilerce ele geçirilmesini, önleyecek bir güvenlik mekanizması, oluşturması, ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra, mevduat sahiplerini de bilgilendirmesi gereklidir.
İmtiyaz suretiyle (BK. Madde 99) faaliyet icra eden ve bir güven (MK, m. 2) kuruluşu olan Bankalar muhafazasına terkedilmiş paraları TTK’nun 20/2. maddesi uyarınca bir tacir sıfatıyla kendisinden beklenen özen yükümlülüğünde korumak ve kollamak zorundadır. Bu itibarla sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Sözleşmelere konulacak hükümlerle bu sorumluluktan kurtulmalarının mümkün olup olmayacağı hususu ise Sayın Mahkemenin takdir yetkisi içerisindedir.
Dava konusu açısından diğer önemli bir husus 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleridir. Bilindiği üzere 5070 sayılı ELEKTRONİK İMZA KANUNU 15.01.2004 tarihinde kabul edilmiş olup23.01.2004 tarihli 25355 sayılı Resmi Gazetede yayınlanmıştır. Aynı Kanunun 25.maddesi gereğince yayım tarihinden itibaren altı ay sonra yürürlüğe girmiştir. 5070 Sayılı Elektronik İmza Kanunun 20.maddesi gereğince- Bu Kanunun 6, 7, 8,10, 11 ve 14 üncü maddelerinin uygulanmasına ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren altı ay içinde ilgili kurum ve kuruluşların görüşleri alınarak Telekomünikasyon Kurumu tarafından çıkarılan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanmıştır. Görüldüğü üzere Elektronik İmza Kanunu yaklaşık 4 senedir ülkemizde uygulama alanı bulmakta olup bankaların bu Kanuna uygun nitelikte bankacılık hizmeti verip vermemeleri hukuksal gerçeği değiştirmemektedir. Gerek HUMK gerekse Borçlar Kanununda da değişiklikler yapan bu kanunun elektronik (interaktif) ortamda yapılan hukuki işlemler için bağlayıcı olduğu açıktır. Davalı banka bu anlamda 5070 Sayılı kanuna uygun hukuki ve teknik standartlarda olmayan bir şifreleme yöntemiyle (niteliksiz sertifika) interaktif bankacılığı yapmış olmaktadır ve bu nedenle de müşterisinin elektronik ortamda (interaktif ortamda) yaptığını iddia ettiği para çekme işlemini ispatlayamamaktadır.