28
Şub

Mobil Bankacılıkta Dolandırıcılık ve Bankanın Hukuki Sorumluluğu

Şubat 28, 2026
, , ,

Özet

Mobil bankacılıkta yetkisiz para transferlerinde temel soru, zararın bankaya mı yoksa müşteriye mi ait olduğudur. Mevduatın hukuki niteliği gereği hesapta oluşan eksilme kural olarak “banka zararı” sayılır ve banka, güven kurumu olması nedeniyle ağırlaştırılmış özen borcu altındadır. Banka; güçlü kimlik doğrulama sistemleri kurmak, şüpheli işlemleri tespit etmek, olağan dışı transferlerde işlemi durdurmak ve etkin müşteri teyidi almak zorundadır. Sadece SMS doğrulaması yapmak veya asgari güvenlik önlemleriyle yetinmek sorumluluğu ortadan kaldırmaz. Müşterinin müterafik kusuru ise ancak şifre paylaşımı veya açık ihmal gibi somut ve kesin delillerle ispatlanır. Kusur açıkça kanıtlanamadığı sürece, TBK m.112 kapsamında ispat yükü bankada olduğundan sorumluluk bankaya ait olmaya devam eder.

Dijital Bankacılıkta Artan Hukuki Uyuşmazlıklar

Mobil bankacılık uygulamalarının yaygınlaşması, bankacılık işlemlerinin önemli ölçüde dijital ortama taşınmasına neden olmuştur. Ancak bu dönüşüm, beraberinde yeni tür siber saldırıları ve dolandırıcılık yöntemlerini de getirmiştir. Phishing (kimlik avı), sosyal mühendislik, SIM kart kopyalama, zararlı yazılımlar ve “man in the middle” saldırıları yoluyla gerçekleştirilen yetkisiz para transferleri, uygulamada ciddi zararlar doğurmaktadır.

Bu çerçevede temel hukuki sorun şudur: Mobil bankacılık uygulaması üzerinden gerçekleştirilen yetkisiz işlemlerden doğan zarardan banka mı yoksa müşteri mi sorumludur?

Bu sorunun çözümünde mevduatın hukuki niteliği, bankanın güven kurumu olması, risk alanı ilkesi ve ispat yükü belirleyici rol oynamaktadır.

Mevduatın Hukuki Niteliği ve “Banka Zararı” Kavramı

Türk Borçlar Kanunu (“TBK”) m. 502 ve devamı hükümleri uyarınca banka ile müşteri arasındaki ilişki vekâlet ve karma sözleşme niteliği taşır. Mevduat sözleşmesinde yatırılan para bankanın mülkiyetine geçer; müşteri ise bankaya karşı bir alacak hakkı kazanır.

Bu nedenle hesapta meydana gelen eksilme, teknik olarak müşterinin değil, bankanın malvarlığında bir azalma anlamına gelir. Bu yaklaşım, öğretide “banka zararı” olarak ifade edilmektedir.

Yargıtay 11. Hukuk Dairesi, 2016/2153 E., 2017/4721 K. sayılı ve 26.09.2017 tarihli kararında;

“…usulsüz işlemle çekilen paralar aslında doğrudan doğruya bankanın zararı niteliğinde olup, dolandırıcılık eylemi müşteriye değil bankaya karşı gerçekleştirilmekte ve mevduat sahibinin bankaya karşı alacağı aynen devam etmektedir.” denilerek bu ilke açıkça ortaya konulmuştur.

Risk Alanı İlkesi

Kanunda özel bir risk dağılımı öngörülmediğinden, sorumluluk TBK m. 112 çerçevesinde işlem ve hakimiyet alanı prensibine göre belirlenmektedir. Bu bakımdan banka sistemine yönelik siber saldırılar bankanın risk alanı kabul edilecek iken müşterinin şifreyi bilerek üçüncü bir kişiye vermesi müşterinin risk alanı sayılacaktır.

Bankanın Güven Kurumu Niteliği ve Ağırlaştırılmış Özen Borcu

Bankalar sıradan bir borçlu değil; toplum nezdinde güven esasına dayalı faaliyet gösteren finansal kuruluşlardır. Bu nedenle TBK m. 506’da düzenlenen vekilin özen borcu, bankalar bakımından ağırlaştırılmış biçimde uygulanır.

Ayrıca TBK m. 112 uyarınca borca aykırılıktan doğan sorumlulukta kusurun ispatı borçluya aittir. Dolayısıyla mobil bankacılıkta meydana gelen bir zararda banka:

  • Gerekli güvenlik önlemlerini aldığını,
  • Sisteminin güvenli olduğunu,
  • Zararın kendi işlem alanı dışında meydana geldiğini

ispat etmekle yükümlüdür.

Bu ağırlaştırılmış sorumluluk anlayışı, Yargıtay içtihatlarında da açıkça benimsenmiştir. Nitekim Yargıtay 11. Hukuk Dairesi, 2007/13816 E., 2009/2645 K. sayılı ve 09.03.2009 tarihli kararında; bankanın yeterli güvenlik önlemlerini almamış olduğu, müşterinin de hesap numarası ve şifre gibi bilgileri yeterince koruyamadığı bir durumda taraflar arasındaki kusurun eşit görülemeyeceği ve her halükarda asli kusurlunun banka olduğu kabul edilmiştir.

Bankanın Mobil Bankacılıktaki Yükümlülükleri

Teknik Güvenlik ve Güçlü Kimlik Doğrulama Yükümlülüğü

Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik‘in (“Yönetmelik”) 24. ve devamı maddelerinde güçlü kimlik doğrulama mekanizmalarının tesisi öngörülmüştür. Yine Yönetmelik’in 35. maddesi de, elektronik bankacılık işlemlerinde inkâr edilemezlik ve sorumluluk atamayı sağlayacak sistem kurulmasını zorunlu kılar.

Bu kapsamda banka;

  • Çok faktörlü doğrulama sistemleri kurmak,
  • Anormal işlem tespit mekanizmaları oluşturmak,
  • Bilişim altyapısını siber saldırılara karşı korumak

zorundadır.

Bu nedenle de sistem açığından kaynaklanan saldırılar ve veri sızmaları bankanın risk alanında kabul edilir. (Yılmaz, s. 147; İnal, s. 370; Kurşun, s. 276.)

Yargıtay 11. Hukuk Dairesi’nin 2016/12135 E., 2018/3966 K. sayılı ve 28.05.2018 tarihli kararında; interaktif bankacılık işlemlerinde banka bilişim sistemlerini güvenli hale getirmeyen veya şifre gibi doğrulama bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek güvenlik mekanizmasını oluşturmayan banka, hukuken sorumlu kabul edilmiştir.

Aydınlatma ve Bilgilendirme Yükümlülüğü

Dolandırıcılık yöntemlerinin bir kısmı doğrudan müşteriyi veya müşterinin cihazını hedef almaktadır. Bu nedenle de Yönetmelik m. 37 uyarınca banka, müşteriyi elektronik bankacılık hizmetlerinin riskleri konusunda bilgilendirmekle yükümlüdür.

Bu yükümlülük;

  • OTP paylaşımının tehlikesi,
  • Sahte arama ve mesaj riskleri,
  • SIM değişikliği dolandırıcılığı

gibi mevduat sahiplerinin alması gereken tedbirler, dikkat etmesi gereken hususlar ve dolandırıcılık yöntemlerine karşı uyarma da müşteriye bilgi verme ve aydınlatma yükümlülüğü kapsamında değerlendirilebilecektir. (Kara, s. 96-97, Yılmaz, s. 145)

Kayıt Tutma ve İspata Elverişli Sistem Kurma Yükümlülüğü

Online bankacılık işlemlerinin kayıt altına alınması hizmetin doğasından kaynaklanan zorunluluktur. Yönetmelik m. 35 gereği bankalar inkar edilemezlik ve sorumluluk atamayı sağlayacak bir sistem kurmak zorundadır. Bu bakımdan Yönetmelik m. 35 uyarınca bankalar;

  • İşlem loglarını,
  • IP kayıtlarını,
  • Cihaz eşleştirme verilerini,
  • SMS doğrulama kayıtlarını

saklamak zorundadır.

Banka, işlemin müşteri tarafından gerçekleştirildiğini iddia ediyorsa, bunu teknik kayıtlarla desteklemelidir. Aksi halde ispat külfetini yerine getirememiş sayılır.

Şüpheli İşlem Halinde Ek Doğrulama Yöntemlerine Başvurma Yükümlülüğü

Mobil bankacılıkta bankanın güvenlik yükümlülüğü, yalnızca sistemsel altyapının kurulmasıyla sınırlı değildir. Özellikle işlem tutarı, alıcı profili, transfer sıklığı veya müşterinin önceki işlem alışkanlıkları dikkate alındığında “olağan dışı” veya “şüpheli” nitelik taşıyan işlemler söz konusu olduğunda, bankanın özen borcu daha da ağırlaşır.

Bu tür hâllerde bankanın yalnızca standart kimlik doğrulama adımlarıyla (örneğin SMS doğrulama kodu gönderilmesi veya bilgilendirme e-postası iletilmesi) yetinmesi yeterli değildir. Şüpheli işlem tespit edilmişse, artık sıradan güvenlik prosedürleri değil; somut olayın özelliklerine uygun, daha ileri ve etkin güvenlik tedbirlerinin devreye sokulması gerekir.

Bunlar arasında;

  • İşlemin geçici olarak durdurulması veya bloke edilmesi,
  • Müşteriye alternatif iletişim kanalları üzerinden fiilî ve etkin teyit sağlanması,
  • Ek kimlik doğrulama adımları uygulanması,
  • Gelişmiş biyometrik veya elektronik doğrulama yöntemlerinin devreye alınması

gibi önlemler sayılabilir.

Aksi takdirde bankanın, işlemin olağan dışı olduğunu tespit etmiş olmasına rağmen transferin gerçekleşmesine izin vermesi, ağırlaştırılmış özen borcunun ihlali olarak değerlendirilir.

Nitekim Yargıtay Hukuk Genel Kurulu’nun 2024/304 E., 2025/525 K. sayılı ve 17.09.2025 tarihli kararında; davalı bankanın davacı müşterinin hesap hareketlerini olağan dışı ve şüpheli görmesine rağmen, müşteriden etkin bir teyit almaksızın para transferine izin verdiği, yalnızca bilgilendirme e-postası gönderilmesinin güvenlik yükümlülüğünün yerine getirildiği anlamına gelmeyeceği açıkça belirtilmiştir.

Kararda ayrıca, günümüzün teknolojik imkanları dikkate alındığında elektronik imza, yüz tanıma, kimlik doğrulama gibi gelişmiş güvenlik tedbirlerinin uygulanmasının mümkün olduğu; bankanın bu imkânları kullanmamasının kusur değerlendirmesinde belirleyici olduğu ifade edilmiştir. Bunun yanında, müşterinin telefonuna zararlı yazılım yüklendiği iddiasının somut ve kesin verilerle ispatlanamadığı durumda müterafik kusurdan söz edilemeyeceği sonucuna varılmıştır.

Bu içtihat, mobil bankacılık işlemlerinde güvenlik yükümlülüğünün dinamik bir nitelik taşıdığını ve şüpheli işlem hâlinde bankanın pasif kalamayacağını ortaya koymaktadır.

Müşterinin Yükümlülükleri ve Müterafik Kusur

Koruma Yükümlülüğü

Müşteri;

  • Şifre ve doğrulama kodlarını paylaşmamak,
  • Makul düzeyde cihaz güvenliği sağlamak

zorundadır.

Bu bakımdan şifrenin korunmaması halinde müşteri kusurlu kabul edilebilecektir ve TBK m. 52 uyarınca zarar görenin müterafik kusuru tazminatın indirilmesine yol açabilir.

Nitekim Yargıtay 11. Hukuk Dairesi, 2007/12559 E., 2009/1362 K. sayılı ve 09.02.2009 tarihli kararında; “Somut olayda, internet bankacılığı işlemi sırasında davacının kullanıcı adı ve şifresi kullanılmış bulunmasına ve bu bilgilerin davalı bankanın bilgisayar sisteminden öğrenilmediğinin belirlenmiş olması nedeniyle, davacı müşterinin şifrenin kötüniyetli üçüncü kişiler eline geçmemesi için gerekli önlemleri almış olduğunu ispatlamış olması gerekir…” şeklinde hüküm kurulmuştur.

Bildirim Yükümlülüğü ve Zararın Artması

Müşteri şüpheli bir durumu öğrendiğinde derhal bankaya bildirmelidir. Bu bakımdan bildirimden sonraki zarar bankaya aitse de, bildirimden önceki zarar kusur derecesine göre paylaştırılabilir.

Kusurun İspatı

Online bankacılıkta meydana gelen zarar kural olarak banka zararıdır. Bu nedenle de müşterinin sorumluluğuna gidilebilmesi için bankanın, müşterinin hangi yükümlülüğü ihlal ettiğini somut olarak ispat etmesi gerekir.

Yargıtay 11. Hukuk Dairesi, 2008/13800 E., 2010/5642 K. sayılı ve 20.05.2010 tarihli kararında, bankanın sisteminin tamamen güvenli olduğunu ve zararın kendi işlem alanı dışında meydana geldiğini ispat edememesi halinde sorumluluktan kurtulmasının mümkün olmadığını ifade etmiştir.

Nitekim aynı dairenin 2016/12135 E., 2018/3966 K. sayılı ve 28.05.2018 tarihli kararında da, mevduat sahibinin kusuru ispat edilmediği müddetçe online bankacılık hizmetlerinden doğan zararlarda bankanın sorumlu kabul edileceği belirtilmiştir.

Sonuç

Mobil bankacılık uygulamaları üzerinden gerçekleştirilen yetkisiz işlemlerde sorumluluğun belirlenmesi, salt teknik bir güvenlik meselesi değil; risk dağılımına, sözleşmesel ilişkiye ve ispat hukukuna dayanan çok katmanlı bir değerlendirmeyi gerektirir.

Mevduatın hukuki niteliği gereği hesapta meydana gelen eksilme kural olarak banka zararına yol açar. Bankalar, güven kurumu olmaları nedeniyle ağırlaştırılmış bir özen borcu altındadır ve yalnızca asgari teknik güvenlik önlemleriyle yetinemezler. Özellikle işlemin olağan dışı veya şüpheli olduğunun sistem tarafından tespit edildiği hâllerde, bankanın pasif kalması veya yalnızca şekli doğrulama yöntemleriyle yetinmesi sorumluluğunu ortadan kaldırmaz. Güvenlik yükümlülüğü statik değil, teknolojik gelişmelere paralel biçimde dinamik ve proaktif bir nitelik taşır.

Öte yandan müşterinin de şifre ve kimlik doğrulama bilgilerini koruma, makul dikkat ve özen gösterme yükümlülüğü bulunmaktadır. Ancak müterafik kusurun varlığı, soyut varsayımlarla değil; somut, kesin ve teknik verilerle banka tarafından ispat edilmelidir. Kusurun ispat edilemediği veya risk alanının net biçimde belirlenemediği durumlarda, TBK m.112 uyarınca kusursuzluğunu ispat yükü bankada olduğundan sorumluluk bankada kalır.

Sonuç olarak mobil bankacılık dolandırıcılığı uyuşmazlıklarında belirleyici olan; işlemin teknik olarak nasıl gerçekleştiğinden ziyade, bankanın somut olayda etkin bir güvenlik süreci işletip işletmediği ve müşterinin kusurunun gerçekten ispat edilip edilemediğidir. Dijital bankacılıkta hukuki denge, riski en etkili ve en düşük maliyetle önleyebilecek tarafa yüklenmesi suretiyle sağlanır; bu da çoğu durumda bankanın daha ağır bir sorumluluk rejimine tabi olmasını zorunlu kılar.

Yazar Hakkında

Av. Hazan Ekiz, Kotan & Gökce Hukuk Bürosu’nun ortak avukatlarından olup, hukuk eğitimini Yeditepe Üniversitesi Hukuk Fakültesi’nde burslu olarak tamamlamış ve onur derecesiyle mezun olmuştur. Lisans eğitimi süresince Türk ve Anglo-Amerikan hukuk sistemleri ile Avrupa Birliği müktesebatına ilişkin kapsamlı bir akademik altyapı edinmiştir. Mesleki faaliyetlerini; fikri mülkiyet hukuku, ticaret ve şirketler hukuku, vergi hukuku, iş hukuku ve uyum süreçleri başta olmak üzere özel hukukun çeşitli alanlarında sürdürmektedir. Ulusal ve uluslararası nitelikteki uyuşmazlıklarda dava takibi, sözleşme yönetimi ve hukuki danışmanlık hizmetleri sunmaktadır. İleri düzeyde İngilizce ve orta düzey Fransızca bilgisine sahip olan Av. Hazan Ekiz, çok dilli hukuki süreçlerde etkin şekilde görev almakta; müvekkillerine stratejik, çözüm odaklı ve kapsamlı hukuki destek sağlamaktadır.

Son Makaleler

Mobil Bankacılıkta Bankanın Aydınlatma ve Bilgilendirme Yükümlülüğü
Mart 10, 2026
Bankaların Teknik Güvenlik ve Kimlik Doğrulama Yükümlülüğü
Mart 7, 2026
Mobil Bankacılıkta Bankanın Kayıt Tutma Ve İspata Elverişli Sistem Kurma Yükümlülüğü
Mart 6, 2026
Bipolar Bozuklukta Vesayet Kurumu: Hukuki Ölçütler, Klinik Göstergeler ve Uygulama Sorunları
Mart 5, 2026
Borcun Nakli, Takas ve Mahsubunun Yargılamalara Etkisi
Mart 4, 2026
Tıbbi Müdahalelerde Aydınlatılmış Onamın Yokluğu Manevi Tazminat Sebebi midir?
Mart 2, 2026
Türkiye’de Cinsiyet Değişikliği Davaları: Hukuki ve Tıbbi Şartlar
Şubat 23, 2026
Karayolu Güvenliğinde İdarenin Hizmet Kusuru ve Tazminat Sorumluluğu
Şubat 23, 2026