Global ölçekte artan dijitalleşme ile birlikte kurumların ve bireylerin teknoloji kullanımı ve bilişim teknolojilerinin günlük yaşamdaki yeri her geçen gün artmaktadır. Dünya genelindeki bu dijitalleşme trendine bağlı olarak Türkiye’de de bilişim teknolojileri alanında ilerleme kaydedilmektedir. Bilişim Sanayicileri Derneği’nin (TÜBİSAD) yayınladığı Bilgi ve İletişim Teknolojileri Sektörü 2022 Yılı Pazar Verileri ve Trendleri Raporu’na [1] göre Türkiye’de bilgi ve iletişim pazarı büyüklüğü 2022’de bir önceki yıla kıyasla %54 oranında büyüyerek 409 Milyar TL’ye ulaşmıştır.

Türkiye’de bilişim teknolojisinin gelişmesi ve yaygınlaşması, özellikle de bankacılık alanında aktif bir şekilde kullanıma girmesiyle birlikte, bu sistemler üzerinden işlenen bir takım suç türleri ortaya çıkmış ve giderek artan bir şekilde işlenmeye başlamıştır. Ağ güvenliği ve zekasının küresel sağlayıcılarından olan WatchGuard şirketi tarafından yapılan açıklamaya göre Türkiye’de 2023 yılında her üç dakikada bir siber saldırı gerçekleşmiştir [2]. Bu doğrultuda, Kanun Koyucu tarafından yapılan yasal düzenlemeler ile söz konusu suçlara karşı önlemler alınmaya çalışılmaktadır.

Türk Ceza Hukuku’nda bilişim suçları, doğrudan ve dolaylı olarak ikiye ayrılmaktadır: (i) 5237 sayılı Türk Ceza Kanunu’nda (“TCK”) özel olarak düzenlenmiş suçlar doğrudan bilişim suçları [3], (ii) diğer suçların bilişim sistemleri yoluyla işlenmesi sonucunda oluşan suçlar ise dolaylı bilişim suçları olarak tanımlanmaktadır.

Son yıllarda gerek uluslararası gerekse iç pazarda ticaret yapan şirketlerin, yöneticilerin, iş insanlarının ve diğer vatandaşların maruz kaldığı siber dolandırıcılık, dolaylı bilişim suçları arasında yer almakta ve TCK md.158/1-f kapsamında dolandırıcılığın nitelikli hali olarak kabul edilmektedir.

Bilişim Sistemleri, Banka veya Kredi Kurumları Yoluyla Siber Dolandırıcılık

TCK md.158/1-f uyarınca dolandırıcılık suçunun bilişim sistemleri, banka veya kredi kurumlarını kullanılarak, yani siber dolandırıcılık yoluyla işlenmesi, dolandırıcılık suçunun nitelikli hali olarak kabul edilmektedir. Aynı madde kapsamında bu suçu işleyenler için 4 yıldan 10 yıla kadar hapis ve suçtan elde edilen menfaatin iki katından az olmamak üzere beş bin güne kadar adli para cezası öngörülmektedir.

Bilişim sistemlerini araç olarak kullanan siber dolandırıcıların kullandığı birçok farkı yöntem bulunmaktadır. Bunlar arasında en yaygın olan ve ağırlıklı olarak kurumları hedef alan; ortadaki adam saldırısı (man in the middle MITM); oltalama (phishing); SMS oltalaması (smishing) ve ses oltalaması (vishing) yöntemleridir.

Ortadaki Adam Saldırısı (Man In The Middle MITM)

Ortadaki Adam Saldırısı, ağ cihazları ve mağdurun bilgisayarı arasında yetkisiz erişim yoluyla verilerin siber dolandırıcılar tarafından şifrelenmesi ve şifrelenmemiş verilerin izlenmesi yöntemiyle gerçekleştirilen bir saldırı türüdür [4]. Bu siber dolandırıcılık yönteminde fail, yani siber dolandırıcı, ticari ilişkilerini e-posta vb. yollarla sürdüren şirket ve/veya iş insanları arasındaki yazışmaları yetkisiz şekilde izlemekte ve genellikle para transferi maksadıyla yapılan yazışmalara, e-posta adresinin fark edilmeyecek şekilde sadece bir harfini değiştirip yazışmaya sızarak, para transferinin kendi belirlediği banka hesabına gönderilmesini sağlamaktadır.

Oltalama (Phishing)

Oltalama yönteminde mağdurlar, öncelikle bankalar, kamu kuruluşları vb. itibar sahibi kuruluşlar tarafından gönderilmiş gibi görünen ancak esasında siber dolandırıcılar tarafından hazırlanan e-postalar ile sahte web sayfalarına yönlendirilmektedir. E-posta üzerinden girilen web sayfasına kişisel bilgilerini giren mağdurların öncelikle kişisel verileri hukuka aykırı bir şekilde ele geçirilmekte, akabinde bu bilgiler aracılığıyla banka hesaplarına erişilerek para vb. kıymetler siber dolandırıcılar tarafından belirlenen banka hesabına aktarılmaktadır. Oltalama yöntemine ilişkin güncel bir kararda [5], bankanın web sitesi ile aynı görünümde sahte web sitesi açılması, bu vesileyle internet bankacılığı kapsamında e-posta yoluyla hesabına girmek isteyen hesap sahiplerinin kişisel bilgilerinin ele geçirilmesi eylemlerinin nitelikli dolandırıcılık suçunu oluşturduğuna karar verilmiştir.

SMS Oltalaması (Smishing)

SMS Oltalaması yönteminde amaç oltalama yöntemi ile aynı olmakla birlikte siber dolandırıcılar, Oltalama yönteminden farklı olarak e-posta yerine SMS kullanmaktadır. Günümüzde ticari hayatın olağan akışı içerisinde çoğu üst düzey yönetici, şirket yetkilisi veya çalışanların iş yazışmalarını akıllı telefonları aracılığıyla gerçekleştirdiği dikkate alındığında, siber dolandırıcıların bu yolla gizli finansal verilere ulaşabileceği gözden kaçırılmamalıdır.

Ses Oltalaması (Vishing)

Ses Oltalaması yönteminde siber dolandırıcılar, telefon yoluyla ulaştığı kişilere kendilerini teknik destek personeli, yargı mensubu, kamu görevlisi, banka çalışanı veya toplumda güven duyulan kişilerden biri gibi tanıtarak mağdurun finansal bilgilerine ulaşmayı hedeflemektedir. Aynı şekilde, aralarında uzun yıllardır ticari faaliyet bulunan şirketler arasında para transferi gerçekleştirilmesi aşamasında, siber dolandırıcılar, taraflardan birinin muhasebe biriminden arıyormuş gibi davranarak, karşı taraftan, para transferini kendi belirledikleri banka hesabına göndermelerini talep edebilmektedir. IBM tarafından yayınlanan X-Force Threat Intelligence Index 2022 raporuna göre siber dolandırıcılar Ses Oltalaması yönteminde Oltalama yöntemine göre üç kat daha başarılıdır (%53,2) [6].

Siber Dolandırıcılığa Karşı Hukuki Çareler

Yukarıda tanımlanan suçlardan herhangi birine maruz kalanların aldığı ilk aksiyon suçu yetkili makamlara bildirmektir. Yetkili makamlar yurt içinde işlenen suçlar için Cumhuriyet Başsavcılıkları, Emniyet Güçleri, Valilik, Kaymakamlık ve Mahkemeler; yurtdışında işlenip takibi yurtiçinde devam eden suçlar için ise Türkiye Cumhuriyeti Büyükelçilikleri ve Konsolosluklarıdır.

Siber dolandırıcılık suçuna maruz kalındığı durumlarda, mümkün olan en kısa süre içerisinde gerekli hukuki aksiyonların alınması elzemdir. Aksi takdirde paranın kurtarılmasını ve failin tespiti güçleşmekte ve hatta imkânsız hale gelebilmektedir.

Siber dolandırıcılık vakıalarının çoğunda, mağdurun banka hesabındaki paranın dolandırıcılar tarafından belirlenen bir banka hesabına transfer edilmesi nedeniyle, paranın transfer edildiği Türkiye’deki bankayla derhal irtibat kurulması ve eş zamanlı olarak transferin hukuki yöntemlerle durdurulması ve hesaba bloke konulması altın değerindedir. Transferin durdurulması ve blokaj, zararın doğmasını engelleyebileceği gibi mağdurların zararını daha hızlı şekilde telafi etmesine imkân sağlayabilir.

Öte yandan dolandırıcılık sonucu paranın transfer edildiği hesap sahibinin tespiti ve kendisine karşı yasal süreç başlatılması ihtimali teoride mümkün olmakla birlikte, uygulamada karşılaştığımız tüm vakıalarda, paranın transfer edildiği banka hesapları siber dolandırıcılar tarafından suç özelinde anonim hesaplar olarak açılmaktadır. Dolayısıyla, dolandırıcının kimliğini tespit mümkün olmamaktadır. Bu noktada ise, gündeme bankanın sorumluluğu gelmektedir.

Bankanın Sorumluluğu

Bankalar, son derece regüle bir sektörde faaliyet gösteren, özel yasa [7] ile kurulan ve kendilerine alanlarında çeşitli imtiyazlar tanınan, topladıkları mevduatı ve katılım fonlarını sahteciliklere karşı özenle koruma yükümlülüğü altında bulunan kuruluşlardır. Bankalar bu yükümlülükleri nedeniyle bankacılık işlemlerinin güvenilen tarafı konumunda olup ağırlaştırılmış sorumluluğa sahip güven kurumlarıdır [8].

Banka yoluyla gerçekleştirilen siber dolandırıcılık suçunda ise bankanın sorumluluğu tartışmalı bir konudur. Nitekim hesap sahibinin kusuru olmaksızın paranın siber dolandırıcılar tarafından hukuka aykırı yöntemlerle çekildiği işlemlerde [9] veya sahte evrakla dolandırıcılığın gerçekleştiği durumlarda [10] bankaların zarardan sorumlu olduğu, bunun bankanın objektif özen borcunun gereği olduğu hüküm altına alınmıştır. Buna karşın, mahkemeler önüne gelen benzer siber suçlarda; dolandırıcılar tarafından bildirilen hesap numarasına yapılan hatalı para transferinden bankanın sorumlu olmadığı [11] ve yine bankanın, paranın gönderildiği IBAN ile havale alıcısının isminin aynı olup olmadığını kontrol etme yükümlülüğünün bulunmadığına [12] karar verilmiştir.

Öz itibariyle, siber dolandırıcılık vakalarında bankanın sorumluluğunun bulunup bulunmadığı her somut olay özelinde değerlendirilmelidir. Bununla birlikte ilgili makamlar nezdinde hızlı aksiyon alınması ve sonrasında suç kaynağının tespiti için titiz bir çalışma yürütülmesi, paranın geri alınması için elzemdir.