1 e-Yaşam, Bilgi Güvenliği ve Kişisel Verilerin Korunmasının Önemi Leyla Keser Berber 9-10 Şubat 2007
2 Leyla Keser Berber ?
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17 Her ne kadar bir bayana yaşı sorulmasa da
18 24/11/1971
19
20 Westfälische Wilhems-Universität Münster
21 Akdeniz Fokları Araştırma Grubu Organ Nakli Koordinatörleri Derneği
22
23
24
25
26
29
30
31 E-kimlik = hoşlandığımız şeyler
32
33
34
35
36
37
38 Yeni e-kimliğimizde,
39 nelerden hoşlandığımız
40
41
42
43
44 Bilgi çağı
45 Devlet-ticaret-vatandaş
46
47
48 Her ne kadar
49
50
51 kurumlar olarak bizler
52
53
54
55
56
57 Geleceğin Türkiye’sinde
58
59 Mutlu bir e-yaşam dileğimle
60
61 İNTERNET BANKACILIĞI -Hızlı -İşlem maliyeti düşük -Zamandan tasarruf -Bireysel serbesti daha fazla -Her zaman ve her yerden erişim ve işlem yapma olanağı
62 İngiltere •Online banka müşterilerine yönelik Phishing saldırıları 2006 yılı içinde patlama yaşamıştır. İngiltere son iki yıl içinde internet bankacılığı sahteciliklerinde %8000 oranında artış olduğunu gözlemledi. •Ocak ve Haziran aylarında kaydedilen Phishing olayları 312 iken, 2006 yılında aynı dönemlerde 5059 olmuştur.
63 Avusturya •Avusturya’da yapılan bir araştırmanın sonuçları da benzer şekilde online bankacılığa yönelik phishing saldırılarında artışlar olduğunu ortaya koymakta ve güvenlik kriterleri bakımından bankaları mukayese etmektedir • TEXT-E-RATING&s=52599rguhttp:// TEXT-E-RATING&s=52599rgu
64 Türkiye •Türkiye Bankalar Birliği Haziran 2006 itibariyle Birliğe üye 47 bankadan internet bankacılığı hizmeti veren toplam 27’sinin, bireysel internet bankacılığı hizmetleri için kayıtlı müşteri sayısının 15 milyon 368 bin 206 olduğunu bildirdi...
65 İnternet Bankacılığı Dolandırıcılıklarına İlişkin Yargıtay Kararlarının Gelişimi
66 YARGITAY 11. HUKUK DAİRESİ E. 2003/8280 K. 2003/7705 T ÖZET : İnternet bankacılığı sözleşmesinde, sonradan bankaca eklenecek internet hizmetlerinden de davacının yararlanacağı öngörülmüştür. Banka tarafından verilen internet şifresinin özenle saklanma yükümlülüğü davacı banka müşterisine ait olduğundan, şifrenin başkası tarafından kullanılarak hesaptan para havale edilmesi sonucu ortaya çıkan zarardan banka sorumlu tutulamaz.
67 YARGITAY11. HUKUK DAİRESİ E. 2004/5101 K. 2005/1751 T ÖZET : Davacının şifreyi muhafazadaki özensizliği, davalının da reşit olmayan havale alıcısına ödeme yapması nedeniyle yarı yarıya kusurlu oldukları gerekçesiyle, davanın kısmen kabulüne karar verilmesi isabetli görülmüştür.
68 Kararlardaki Genel Durum •İnternet bankacılığı ile ilgili olarak şimdiye kadar verilen Yargıtay kararları incelendiğinde karşımıza çıkan tablo şu olmaktadır: Yargıtay bu tür davalarda genellikle hem bankanın hem de müşterinin olayda kusuru olup olmadığını araştırmakta, kusur varsa bunun ne oranda bankaya ne oranda müşteriye ait olduğunu belirlemek için bankanın bilgisayar sistemleri ve müşterinin bilgisayarında inceleme yaptırmakta ve elde ettiği veriler doğrultusunda da karar vermektedir (Müterafik Kusur). Olaydaki kusurun derecesine göre çoğunlukla zarardan müşterinin sorumlu olduğuna ilişkin kararların sayısı daha fazladır.
69 T.C. KADIKÖY 4. ASLİYE TİCARET MAHKEMESİ E K “...O Aktaş’ın nolu hesabına transfer edilen davacı parasının 10 ayrı bankanın şubelerine EFT ile transfer edilmiş olduğunu, banka sisteminde çok kısa süre içinde garip hareketleri fark eden güvenlik sisteminin bulunmadığının görüldüğünü, davalının (bankanın) asli borcu olan güvenlik ortamını sağlama borcunu ihlal ettiği, bu suretle davacının zararının meydana geldiği...” “Çok kısa bir süre olarak değerlendirilebilecek 15 dakika içinde davacı hesabından 16 ayrı işlemle para havalesi yapılmasını fark eden bir güvenlik sisteminin davalı bankada bulunmadığının anlaşıldığı, ayrıca davacının olay sonrası... sisteme 5 kez girmeye çalıştığı, kullanıcı şifresinin değiştirilmesi nedeniyle giremediği, buna rağmen yanlış girişlere karşı davalı bankanın herhangi bir kilitleme yapmadığının görüldüğü, bu durumda davalının güvenlik ortamını sağlama borcunu ihlal ettiği anlaşılmaktadır...”
70 “Davalı banka, davacı ile aralarında düzenlenen sözleşme gereği müşterisinin şifresinin gizli kalması için gerekli dikkat ve özeni gösterip, şifresini üçüncü şahıslara açıklamayacağını, üçüncü şahıs tarafından şifrenin kullanım sonuçlarından tamamiyle kendisinin sorumlu olduğunu, virüs programlarına karşı müşterilerinin internet sitesinden uyarıldığını, buna rağmen davacının sanal klavyeyi kullanarak parola kullanımını aktif hale getirmediğini belirtmiş ise de Yargıtay 11. Hukuk Dairesinin esas, karar sayılı tarihli kararında;
71 “Türkiye’de bankalar Hükümetçe imtiyaz suretiyle verilen bir işi yapan müesseselerdir. O halde bankalar BK.nun 99/2 maddesine tabi kuruluşlardır. Kural olarak BK.nun 100/2 ve 3. maddeleri uyarınca akdi sorumlulukta, sorumsuzluk sözleşmesi yapmak mümkün ise de BK.nun 99/1 maddesi gereğince ağır kusur halinde baştan sorumluluktan kurtulma şartı geçersiz olup, sorumluluktan kurtulma şartının ancak hafif kusur halinde geçerli olduğu benimsenmiş ve aynı maddenin ikinci fıkrası Hükümet tarafından imtiyaz suretiyle verilmiş bir sanatı icra eden kuruluşlar yönünden hafif kusur halinde dahi sorumluluktan kurtulma şansının mutlak olarak kabul edilemeyeceği kararlaştırılmıştır. Nitekim yasa koyucu bir güven kurumu olan Bankaların bazı sorumluluğunu kusursuz sorumluluk olarak vasıflandırmıştır”.
72 “Bu durumda; Yasayla kurulmuş, mevduat kabulü ve bankacılık işlemi konusunda görevlendirilmiş, BK.nun 99/2 maddesine tabi bir kuruluş olan bankaların güven kurumu oldukları ve bu nedenle davacının güven duyarak davalı bankaya yatırdığı mevduatının özenle saklanması gerekirken bankanın objektif özen görevini yerine getirmediğinden, hafif kusurlarından dolayı da sorumlu olduğunun kabulü gerekmekle davanın kabulü ile.....tahsiline karar vermek gerekmiştir..” “Olayda davacının BK. 44. maddesi uyarınca müterafik kusurunun olup olmadığının tartışılması gerekmekte ise de, davacının şifresinin davacının kusurlu hareketiyle ele geçirilip, şifre değiştirilip paranın havale edildiğine yönelik somut ve teknik bir delil elde edilmediği,...davacı şifresinin sanal klavye kullanılması halinde dahi ele geçirilmesinin teknik olarak mümkün olduğu,..sanal klavye kullanmanın gizlilik bakımından avantajı kalmadığı, şifrenin de bu şekilde elde edilebileceği,...davacının şifresini korumaya yönelik sorumluluğunu yerine getirmediği konusunda somut bir delil elde edilemediği, dava dışı O Aktaş ile davacının, bankayı dolandırmak amacıyla işbirliği yaptığına dair iddia da bulunulmadığı gibi, herhangi bir kanıt da ibraz edilmediği, teknik imkanları çok geniş olan davalı bankanın basiretli bir tacir gibi sahteliği önleyici tedbirleri alması gerekip, bankanın objektif özen borcunun gereği olarak hafif kusurlarından dahi sorumlu olması nedeniyle, davacının müterafik kusuru bulunmadığı vicdani kanaatine varılmıştır”
73 YARGITAY 11. HUKUK DAİRESİ E. 2005/4748 K. 2006/7341 (ONAMA KARARI) E. 2006/11943 K. 2006/12226 (KARAR DÜZELTME İSTEMİNİN REDDİ)
74 DEĞERLENDİRME • tarihli bu karar ise şimdiye kadar internet bankacılığına ilişkin olarak verilen Yargıtay kararlarından bazı noktalarda oldukça farklıdır •Bu kararda da Yargıtay diğer kararlarında olduğu gibi tarafların müştereken kusurlu olup olmadıklarını araştırmıştır. •Bu kararda Yargıtay ilk defa artık internet bankacılığındaki tehlikeleri önlemeye yönelik yeni güvenlik tedbirlerinin bankanın sisteminde bulunup bulunmadığını sorgulamıştır. Daha önceki kararlarda genel bir ifade ile bankaların her türlü önlemi aldıkları vs. şeklinde ifadelere rastlanırken, bu kararda “davacının hesaplarından...15 dakika içinde (16) ayrı işlemle para havalesi yapılmasını fark eden güvenlik sisteminin davalı bankada bulunmadığı, iki gün sonra sisteme girmeye çalışan davacının kullanıcı şifresinin değiştirilmesi nedeniyle girememesine karşın bankanın herhangi bir kilitleme yapmadığı...”’ndan bahsedilmektedir. Dolayısıyla artık Yargıtay, internet bankacılığı olaylarında bankanın sisteminin güncel teknolojilere uygun olarak müşterilerine nasıl bir koruma mekanizması sunduğunu irdelemektedir.
75 •Daha önceki Yargıtay kararlarında kullanılan banka ve müşterinin müşterek ve müteselsil sorumlulukları şeklindeki hukuki gerekçe bu kararda yerini, mahkemenin yaptığı inceleme sonucunda “objektif özen yükümlülüğünü yerine getirmeyen bankanın hafif kusurlarından dahi sorumlu olduğu” yönündeki açıklamalara bırakmıştır. Buna göre internet bankacılığı hizmeti sunan bankalar, kusurlu olmasalar dahi internet bankacılığının sebep olduğu zararlardan sorumlu tutulacaklardır. •Kısaca Yargıtay artık bankaların, internet bankacılığı kullanımında müşterilerine daha güvenlikli bir altyapı ile hizmet vermeleri gerektiğini vurgulamaktadır. Mevcut olan güvenlik tedbirlerinin bu riskleri bertaraf etmekte yetersiz kaldığı durumlarda, bankalardan bu konuda çıtayı yükseltmelerini ve ek güvenlik tedbirlerini almalarının zorunlu olduğunun altını çizmekte, aksi takdirde internet bankacılığı işlemlerinden doğan tüm zararlardan sorumluluğun bankaya ait olacağını vurgulamaktadır. •Karardaki şu cümle çok yerindedir: “davacı hesaplarından...internet yolu ile davacının haberi olmadan davalı bankanın...şubesine katarılmasında bu tür bilgisayar korsanlığı yöntemiyle işlemler yapılmasını önleme yolunda ek güvenlik tedbirleri almayan ve olaydan sonra bu yola tevessül eden davalının kusurlu ve sorumlu bulunduğunun, davacının sanal klavye kullanması halinde dahi bunun yapılan bilgisayar korsanlığını teknik olarak yetmeyeceğinin anlaşılmasına...”
76 ÇOK TEŞEKKÜR EDİYORUM...