Sizi “polis, savcı veya banka görevlisi” olarak arayan bir sese inanıp paniğe kapıldığınız oldu mu? Veya bir uygulama yüzünden saniyeler içinde hesaplarınızın boşaltıldığına şahit oldunuz mu? Türkiye’de her gün binlerce kişinin kabusu olan mobil bankacılık dolandırıcılığı, bankaların “şifreyi müşteri kendi eliyle girdi” diyerek sorumluluktan kaçabileceği bir konu değildir.

Hesaplarınızın sahte uygulamalarla ele geçirilmesi veya telefonda kandırılarak para gönderme işlemine zorlanmanız durumunda bankanın hukuki sorumluluğunu, 2026 yılı güncel kararları ışığında inceliyoruz.

Türkiye’de Mobil Bankacılık Dolandırıcılığı Nasıl Gerçekleşiyor?

Siber saldırganlar artık sadece şifre kırmakla uğraşmıyor; doğrudan insan psikolojisini veya anlık dikkatsizlikleri hedef alıyorlar. Ülkemizde en sık karşılaşılan yöntemler şunlardır:

1. Sahte Uygulamalar ve Casus Yazılımlar (Spyware): Arama motorlarında reklam verilerek üst sıralara taşınan sahte uygulamalar büyük bir tehlike oluşturmaktadır. Örneğin, “ücretsiz maç izleme” gibi vaatlerle indirilen casus yazılım içerikli uygulamalar sayesinde telefonunuz ele geçirilir. Siz farkında bile olmadan, arka planda gelen onay SMS’leri dolandırıcıların cihazlarına yönlendirilir.

2. Telefonda Canlı Yönlendirme (Sosyal Mühendislik): Dolandırıcılar, mağduru telefonla arayarak onu kendi cihazı üzerinden işlem yapmaya ikna etmektedir. Dolandırıcılar, bankadan arandığına ikna edilen mağduru, korkutarak veya kandırarak, mağdur adına krediler çeker ve bu tutarları kendi verdikleri IBAN numaralarına aktarmaya ikna eder.

Bankaların Uymak Zorunda Olduğu Yasal ve Teknik Kriterler

Bir mobil bankacılık dolandırıcılığı vakasında bankanın sorumluluktan kurtulabilmesi için aşağıdaki mevzuat yükümlülüklerini eksiksiz yerine getirdiğini ispatlaması şarttır:

• İki Faktörlü Kimlik Doğrulama (Yönetmelik Madde 34): Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Madde 34 gereği, bankalar işlemlerde sadece tek bir şifreyle yetinemez; SMS, e-posta veya biyometrik veri (yüz tanıma/parmak izi) gibi en az iki bağımsız kimlik doğrulama mekanizmasını zorunlu kılmalıdır.

• Yapay Zeka ile Şüpheli İşlem Takibi (Yönetmelik Madde 36): Aynı yönetmeliğin 36. maddesi bankalara “İşlemlerin Takibi” yükümlülüğünü emreder. Banka; sizin normal harcama alışkanlıklarınızı, konum bilginizi ve işlem sıklığınızı yapay zeka ile izlemek zorundadır. Gece yarısı peş peşe yapılan olağandışı transferleri bu risk filtresiyle fark edip anında hesabınızı dondurmayan banka asli kusurludur.

• Sistem İz Kayıtları ve İnkâr Edilemezlik (Yönetmelik Madde 35): İşlemlerde bankanın sorumluluğunu belirleyecek teknik iz kayıtlarının (loglar) alınması yasal bir zorunluluktur. Banka, hesabınıza zararlı bir yazılımın sızıp sızmadığını bu kayıtlarla denetlemek ve ispatlamak zorundadır.

• Uluslararası PSD2 Direktifi ve Güçlü Kimlik Doğrulama (SCA): Sadece yerel yasalar değil, Avrupa Birliği Ödeme Hizmetleri Direktifi (PSD2) standartlarına göre de dijital işlemlerde “Güçlü Müşteri Kimlik Doğrulaması (SCA)” yapılması şarttır. Türkiye’deki bankacılık altyapısı bu küresel güvenlik standartlarına uymak zorundadır.

• Uluslararası Bilgi Güvenliği ve KVKK/GDPR Uyumu: Sisteme sızılması durumunda bankalar, Kişisel Verilerin Korunması mevzuatı ve Avrupa Veri Koruma Tüzüğü (GDPR) kapsamında veri ihlallerini anında tespit etmek ve 72 saat içinde bildirmekle yükümlüdür. Ayrıca 2019/12 Sayılı Cumhurbaşkanlığı Genelgesi uyarınca bankacılık sistemleri “kritik altyapı” kabul edildiğinden, güvenlik kriterlerine harfiyen uyulması şart koşulmuştur.

Kısacası, dolandırıcıların eline düşen bir müşterinin panikle yaptığı işlemleri saniyeler içinde analiz edip durduracak o teknolojik duvarları örmek, bankanın yasal mecburiyetidir. Bu yükümlülüklerini yerine getirmeyen banka, faturayı müşterisine kesemez.

Emsal Kararın Özü: “Yargıtay kararlarına göre, usulsüz işlemlerle çekilen paralar doğrudan bankanın zararı niteliğindedir; müşterinin mevduat alacağı aynen devam eder.”

Bankaların dijital mecralardaki genel sorumluluk rejimi ve mevduatın korunmasına dair sarsılmaz yükümlülükleri hakkında daha kapsamlı bilgi için [Dolandırıcılıkta Bankanın Sorumluluğu ve Para İadesi] başlıklı ana rehberimize göz atabilirsiniz

Mobil Bankacılık Dolandırıcılığı Davalarında İspat Yükü

Hukuki süreçte en büyük yanılgı, dolandırıcılığı müşterinin ispat etmesi gerektiği düşüncesidir. Oysa bankacılık hukukunda ispat yükü tamamen bankadadır:

• İşlemin hukuka uygun olduğunu ve paranın mudi rızasıyla çekildiğini banka ispatlamak zorundadır.

• Eğer banka müşteriyi suçluyorsa, müşterinin “ağır ihmali” olduğunu somut ve sarsılmaz delillerle ispat etme yükümlülüğü de bankaya aittir.

• Bankanın sistem güvenliğini sağladığını ve teknolojik bir zafiyet olmadığını ispatlaması, davanın temelini oluşturur.

Bankaların Yasal Kayıt ve İzleme Yükümlülükleri

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik, bankalara sadece güvenlik değil, aynı zamanda ciddi bir izleme ve kayıt (log) yükümlülüğü yüklemektedir:

• İnkâr Edilemezlik ve İz Kayıtları (Madde 35): Bankalar, her bir işlemin banka ve müşteri arasındaki sorumluluğu belirleyecek teknik iz kayıtlarını (loglarını) tutmakla mükelleftir. Bu kayıtlar, işlemin hangi IP adresinden, hangi cihazdan ve hangi güvenlik aşamalarından geçerek yapıldığını “inkâr edilemez” şekilde kanıtlamalıdır.

Banka Şüpheli İşlemi Durdurmazsa Ne Olur?

Mevzuat çok açıktır. Bankalar; olağan dışı konum bilgisi veya davranış kalıpları gösteren işlemlerin anlık tespiti ve hesabın bloke edilmesi için yapay zekâ destekli izleme sistemleri kurmakla yükümlüdür.

Gece yarısı 03:00’te hiç tanımadığınız hesaplara peş peşe limit tüketen transferler yapılıyorsa veya anında yüksek tutarlı krediler çekilip başka bankalara aktarılıyorsa, bu durum müşterinin alışılmış harcama profilinin tamamen dışındadır. Banka şüpheli işlemi durdurmazsa, bu olağandışı silsileyi risk filtresine takıp size bir onay araması yapmazsa, asli kusurlu hale gelir.

Özellikle kredi kartınız limitleri zorlanarak saniyeler içinde art arda harcamalar yapıldıysa, bu spesifik durumdaki haklarınızı ve Yargıtay’ın güvenlik zafiyeti kararlarını incelediğimiz [Kredi Kartından Üst Üste Para Çekilmesi ve Bankanın Sorumluluğu] başlıklı yazımıza da göz atabilirsiniz.

Müterafik (Ortak) Kusur İndirimi

Peki, telefondaki sahte polise inanıp işlemi kendi elinizle yaptıysanız ne olur? Tüketicinin şifresini kasten üçüncü kişilere vermesi veya dolandırıcıların yönlendirmesiyle işlemleri bizzat kendi cihazından yapması “ağır ihmal” olarak değerlendirilebilir.

Ancak burada devreye müterafik kusur (ortak kusur) girer. Sizin kandırılmanız bir ihmal olsa da, bankanın güvenlik zafiyeti ve anormal işlemlere müdahale etmemesi de ağır bir kusurdur. Alanında uzman bir avukat aracılığıyla açılacak davalarda, mahkemeler genellikle kusuru paylaştırarak zararın önemli bir kısmının bankadan iade edilmesine hükmetmektedir.

Mobil Bankacılık Dolandırıcılığında Parayı Geri İsteme Süreci:

Böyle bir durumla karşılaştığınızda ilk işiniz bankaya bildirimde bulunarak zararın tespiti ve işlemin durdurulmasını talep etmektir. Olumsuz yanıt alınması halinde, Tüketici Hakem Heyeti veya zorunlu arabuluculuk süreçleri işletilerek Tüketici Mahkemelerinde dava açılır.

Hak kaybına uğramamak için profesyonel hukuki destek alınması tavsiye edilir. Öden Hukuk ile iletişime geçebilirsiniz.