07
Mar

Bankaların Teknik Güvenlik ve Kimlik Doğrulama Yükümlülüğü

Mart 7, 2026
, , , , ,

Giriş

Dijitalleşmenin hız kazandığı günümüzde internet bankacılığı, mobil bankacılık ve ATM gibi elektronik kanallar üzerinden gerçekleştirilen finansal işlemler, hem bireyler hem de işletmeler için vazgeçilmez bir kolaylık hâline gelmiştir. Ancak bu kolaylığın beraberinde getirdiği riskler de göz ardı edilemez. Kimlik hırsızlığı, hesap dolandırıcılığı ve yetkisiz para transferleri; milyonlarca müşteriyi tehdit eden siber tehditler arasında ilk sıralarda yer almaktadır.

Bu tehditlerle mücadelede birincil sorumluluk, teknik altyapıyı kuran ve işleten bankalara aittir. Türk hukukunda bu sorumluluk, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (bundan böyle “Yönetmelik” olarak anılacaktır) ile ayrıntılı biçimde düzenlenmiştir.

Yönetmeliğin Genel Çerçevesi: Bankalara Yüklenen Sorumluluk

Yönetmelik, bankaları yalnızca bir hizmet sunucusu olarak değil; müşteri verilerini ve finansal varlıklarını korumakla yükümlü, aktif bir güvenlik aktörü olarak konumlandırmaktadır. Bu yaklaşımın temelinde şu ilke yatmaktadır: Güvenlik açıklarından kaynaklanan zararların sorumluluğu kural olarak bankaya aittir.

Yönetmeliğin 4. maddesi, yönetim kurulunu bilgi sistemlerinin güvenliğini sağlama konusunda doğrudan sorumlu kılmaktadır. Güvenlik yatırımları, insan kaynağı tahsisi ve risk yönetimi birer kurumsal yönetim meselesi olarak ele alınmaktadır. Bu düzenleme, güvenliği salt teknik bir konu olmaktan çıkararak yönetim kurulu gündemine taşımaktadır.

Kimlik Doğrulama Yükümlülükleri: İki Bileşenli Doğrulama Zorunluluğu

Yönetmeliğin elektronik bankacılık hizmetlerine ilişkin en kritik hükmü, 34. maddede yer almaktadır. Bu maddeye göre bankalar, müşteri bilgilerinin görüntülenmesi gibi finansal sonuç doğurmayan işlemler dahil olmak üzere tüm elektronik bankacılık hizmetlerinde birbirinden bağımsız en az iki bileşenden oluşan kimlik doğrulama mekanizması uygulamak zorundadır.

Bu iki bileşen şu unsur sınıflarından seçilmelidir:

  • Müşterinin bildiği unsur: Şifre, PIN, güvenlik sorusu yanıtı gibi.
  • Müşterinin sahip olduğu unsur: Mobil uygulama, donanım token, SIM kart gibi.
  • Müşterinin biyometrik karakteristiği: Parmak izi, yüz tanıma, ses gibi.

Kritik nokta şudur: Bu iki bileşen birbirinden bağımsız olmak zorundadır; yani birinin ele geçirilmesi diğerinin güvenliğini tehlikeye atmamalıdır.

SMS OTP Kullanımına Sınırlama

Yönetmeliğin 34. maddesinin 7. fıkrası, önemli bir kısıtlama getirmektedir: Mobil bankacılık uygulamasını yüklemiş ve aktifleştirmiş müşteriler için SMS ile tek kullanımlık şifre (OTP) gönderilmesi yasaktır. Bu müşterilere oturum açma ya da işlem doğrulama amacıyla SMS OTP kullanılamaz. Söz konusu yasağın istisnası yalnızca uygulamanın ilk kurulum ve aktifleştirme aşamalarıdır.

Bu düzenleme, SIM kart klonlama ve SMS dinleme saldırılarına karşı alınmış proaktif bir önlemdir.

SIM Kart Değişikliğinde Özel Yükümlülük

  1. maddenin 8. fıkrası, SIM kart değişikliği gerçekleştiren ya da numara taşıma yoluyla operatör değiştiren müşteriler için bankaya özel bir yükümlülük yüklemektedir. Buna göre banka:
  • Türkiye’deki mobil operatörlerle entegrasyon kurarak bu müşterileri SMS OTP göndermeden önce tespit etmek zorundadır.
  • Değişiklik teyit edilmediği sürece, değişiklik tarihinden itibaren 90 gün boyunca SIM karta dayalı unsur kimlik doğrulama unsuru olarak kullanılamaz.
  • Bu süre içinde iki bileşenli kimlik doğrulama kullanılmaksızın gerçekleştirilen her türlü işlem için işlemlerin müşteri tarafından yapıldığını ispat etme yükümlülüğü bankaya aittir.

Bu son hüküm, hukuki açıdan son derece belirleyici bir nitelik taşımaktadır.

İnternet Bankacılığında Güvenlik Standartları

Yönetmeliğin 38. maddesi, internet bankacılığına özgü teknik güvenlik standartlarını düzenlemektedir. Buna göre:

  • Kimlik doğrulama işlemi çevrimiçi olarak banka nezdinde gerçekleşmelidir; yerel (offline) doğrulama kabul edilemez.
  • Müşterinin bildiği unsur (şifre vb.) tarayıcı tarafından otomatik olarak gönderilemez; müşteri tarafından her seferinde manuel olarak girilmelidir.
  • Finansal işlemler için üretilen doğrulama kodları tutar ve alıcı bilgisine özgü olmalıdır. Alıcı ya da tutarda yapılacak herhangi bir değişiklik, doğrulama kodunu otomatik olarak geçersiz kılmalıdır.

Bu son gereklilik, saldırganların müşteriyi farklı bilgilerle onaylatarak parayı başka bir hesaba aktarmasını engellemek amacıyla getirilmiştir.

İz Kayıtları ve Takip Yükümlülüğü

Güvenlik ihlallerinin sonradan ispat edilebilmesi için iz kayıtlarının düzenli ve güvenli biçimde tutulması zorunludur. Yönetmeliğin 13. maddesi bu konuda bankalara kapsamlı yükümlülükler yüklemektedir:

  • Hassas verilere erişim, değiştirme, sorgulama ve kopyalama işlemleri en az beş yıl saklanmalıdır.
  • İz kayıtları güvenilir ortamlarda yedeklenmeli ve gerektiğinde geri yüklenebilir olmalıdır.
  • Kullanıcılar kendi iz kayıtlarını değiştiremez; kayıt sistemi yetkisiz müdahalelere karşı korunmalıdır.

Banka ayrıca olağandışı ve riskli işlemleri otomatik olarak raporlayacak sistemler kurmak ve bu raporları düzenli aralıklarla gözden geçirmek zorundadır. İşlem takip mekanizmaları (Madde 36), bilinen dolandırıcılık yöntemleri, olağandışı işlem örüntüleri ve kayıp/çalıntı kimlik doğrulama unsurlarını sürekli izlemelidir.

Bankanın İspat Yükümlülüğü

Genel kural şudur: Müşteri, hesabından yetkisiz bir işlem yapıldığını ileri sürdüğünde, bankanın güvenlik önlemlerini tam olarak aldığını ve zararın müşterinin kendi kusurundan kaynaklandığını banka ispat etmek zorundadır.

Bu yaklaşım birkaç temel gerekçeye dayanmaktadır:

Teknik üstünlük: Bankacılık sistemlerinin teknik altyapısına yalnızca banka hâkimdir. Müşterinin kendi zararlı işleminin arka planda nasıl gerçekleştiğini ispat etmesi neredeyse imkânsızdır.

Mesleki özen yükümlülüğü: Bankalar, profesyonel finansal kuruluşlar olarak ortalama bir müşterinin çok ötesinde teknik tedbir alma kapasitesine ve yükümlülüğüne sahiptir.

Yönetmelik açık hükmü: Özellikle SIM kart değişikliği gibi özel durumlarda Yönetmelik, ispat yükünü açıkça ve tartışmasız biçimde bankaya yüklemektedir.

Sonuç ve Değerlendirme

Yönetmelik değerlendirildiğinde, Türk hukukunun bankaların elektronik bankacılık güvenliği konusunda son derece yüksek bir standart belirlediği görülmektedir. Bu standart, teknik önlemlerin ötesine geçerek şu temel ilkeleri kapsamaktadır:

Önce güvenlik tasarımı: Kimlik doğrulama mekanizmaları, olası saldırı vektörleri gözetilerek tasarlanmalıdır. İki bileşenli doğrulama zorunluluğu, SIM kart değişikliğinde uygulanan 90 günlük kısıtlama ve mobil uygulamalarda SMS OTP yasağı bu tasarımın somut yansımalarıdır.

Aktif izleme ve müdahale: Bankalar, şüpheli işlemleri tespit edecek izleme sistemleri kurmak ve müşterileri uyarmak zorundadır. Farklı bir IP adresinden gerçekleştirilen işlemin tespit edilememesi ya da tespit edilmesine rağmen müşteriye bildirilmemesi, başlı başına bir kusur gerekçesi olarak kabul edilmektedir.

Sorumluluktan kurtuluşun zorluğu: Banka, müşterinin kendi şifresini ihmal yoluyla üçüncü kişilere kaptırdığını açıkça ispat edemediği sürece, yetkisiz işlemlerden doğan zararı karşılamakla yükümlüdür.

Sonuç olarak elektronik bankacılık güvenliği, artık yalnızca teknik bir tercih değil; hukuki bir zorunluluktur. Yönetmeliğin öngördüğü standartlara uyulmaksızın sunulan elektronik bankacılık hizmetleri, uyuşmazlık hâlinde bankanın aleyhine işleyecek güçlü bir karine oluşturmaktadır. Müşterilerin bu haklardan haberdar olması, bankaların ise güvenlik yatırımlarını yalnızca operasyonel bir maliyet olarak değil; aynı zamanda hukuki bir güvence kalkanı olarak görmesi büyük önem taşımaktadır.

Yazar Hakkında

Av. Alihan Kotan, Kotan & Gökce Hukuk Bürosu’nun kurucu avukatlarından olup, hukuk eğitimini İzmir Ekonomi Üniversitesi’nde başlatmış, lisans öğrenimini İzmir Bakırçay Üniversitesi Hukuk Fakültesi’nde yüksek onur derecesiyle tamamlamıştır. İzmir Bakırçay Üniversitesi’nde Özel Hukuk alanında yüksek lisans eğitimine devam eden Av. Alihan Kotan, mesleki çalışmalarını başta şirketler ve ticaret hukuku, borçlar hukuku, rekabet hukuku, kişisel verilerin korunması hukuku, ceza hukuku ile icra ve iflas hukuku olmak üzere çeşitli hukuk alanlarında sürdürmektedir. Hollanda vatandaşlığına sahip ve ileri düzeyde İngilizce bilen Av. Alihan Kotan, Kotan & Gökce Hukuk Bürosu bünyesinde; dava takibi, hukuki danışmanlık, sözleşme süreçlerinin yönetimi, ticari uyuşmazlıkların çözümü ve uluslararası nitelik taşıyan hukuki işlemlere ilişkin hizmetler sunmaktadır.”

Son Makaleler

Mobil Bankacılıkta Bankanın Aydınlatma ve Bilgilendirme Yükümlülüğü
Mart 10, 2026
Mobil Bankacılıkta Bankanın Kayıt Tutma Ve İspata Elverişli Sistem Kurma Yükümlülüğü
Mart 6, 2026
Bipolar Bozuklukta Vesayet Kurumu: Hukuki Ölçütler, Klinik Göstergeler ve Uygulama Sorunları
Mart 5, 2026
Borcun Nakli, Takas ve Mahsubunun Yargılamalara Etkisi
Mart 4, 2026
Tıbbi Müdahalelerde Aydınlatılmış Onamın Yokluğu Manevi Tazminat Sebebi midir?
Mart 2, 2026
Mobil Bankacılıkta Dolandırıcılık ve Bankanın Hukuki Sorumluluğu
Şubat 28, 2026
Türkiye’de Cinsiyet Değişikliği Davaları: Hukuki ve Tıbbi Şartlar
Şubat 23, 2026
Karayolu Güvenliğinde İdarenin Hizmet Kusuru ve Tazminat Sorumluluğu
Şubat 23, 2026