İspanya'nın Kanarya Adaları'ndaki Santa Cruz de Tenerife şehrinde, Audiencia Provincial (İl Mahkemesi) Beşinci Dairesi, dijital bir dolandırıcılık olayı sonucunda "dijital yetersizliği" nedeniyle "savunmasız" olarak nitelendirilen bir müşterisinden çalınan 46.000 Avro'dan fazla parayı iade etmesi için bir banka kuruluşunu ikincil hukuki sorumlu (responsable civil subsidiaria) ilan etti. Bu karar, bankaların dijital güvenlik konusundaki sorumluluklarını ve özellikle teknolojiye daha az aşina olan müşterileri koruma yükümlülüklerini bir kez daha gündeme getirdi. Olay, müşterinin cep telefonunda yüklü olan dijital bankacılık uygulaması üzerinden gerçekleşen yetkisiz işlemlerle meydana geldi.
Mahkeme kararı, bankanın dijital operasyonlarındaki "eylemsizliğini" veya "yetersizliğini" vurgulayarak, müşterinin maruz kaldığı zararın karşılanması gerektiğine hükmetti. Bu, bankanın yalnızca dolandırıcılığı önlemede değil, aynı zamanda müşterisinin dijital güvenlik konusundaki zayıflıklarını tanıma ve buna uygun önlemler alma konusunda da yetersiz kaldığı anlamına geliyor. Dijital bankacılığın yaygınlaşmasıyla birlikte, siber dolandırıcılık vakaları da artış gösterirken, bu tür yargı kararları, finans kuruluşlarının güvenlik standartlarını ve müşteri koruma mekanizmalarını gözden geçirmeleri için önemli bir emsal teşkil ediyor.
Dijital Dolandırıcılığın Yükselişi ve Bankaların Sorumluluğu
Günümüz dijital çağında, bankacılık işlemleri büyük ölçüde mobil uygulamalar ve çevrimiçi platformlar üzerinden yürütülmekte. Bu durum, tüketicilere kolaylık sağlarken, siber suçlular için de yeni fırsatlar yaratmaktadır. Phishing (oltalama), smishing (SMS oltalama) ve vishing (sesli oltalama) gibi yöntemlerle gerçekleştirilen dolandırıcılıklar, banka müşterilerinin kişisel ve finansal bilgilerini ele geçirmeyi hedeflemektedir. İspanya'da ve Avrupa genelinde, dijital bankacılık dolandırıcılıkları son yıllarda önemli ölçüde artış göstermiştir. Avrupa Bankacılık Otoritesi (EBA) verilerine göre, yetkisiz ödeme işlemleri nedeniyle bankaların karşılaştığı dolandırıcılık vakaları her geçen yıl yükselmektedir.
Bu bağlamda, bankaların müşterilerini bu tür tehditlere karşı koruma yükümlülüğü giderek daha kritik hale gelmektedir. Avrupa Birliği'nin Ödeme Hizmetleri Direktifi (PSD2) gibi düzenlemeler, bankaları yetkisiz işlemlerde müşterileri tazmin etmeye zorlamakta, ancak müşterinin ağır ihmali durumunda bu sorumluluk bankadan kalkabilmektedir. Tenerife'deki bu özel davada, mahkemenin müşterinin "dijital yetersizliğini" göz önünde bulundurması, bankaların özellikle yaşlı veya teknolojiye daha az aşina olan "savunmasız" müşteri gruplarına yönelik özel koruma tedbirleri geliştirmesi gerektiği yönünde güçlü bir mesaj vermektedir. Bu durum, bankaların sadece teknik altyapıya değil, aynı zamanda kullanıcı deneyimi ve müşteri eğitimi konularına da yatırım yapmasının önemini vurgulamaktadır.
Kararın Etkileri ve Türkiye İçin Çıkarımlar
Santa Cruz de Tenerife'deki bu mahkeme kararı, İspanya'daki ve genel olarak Avrupa'daki finans sektöründe önemli yankı uyandıracak niteliktedir. Bankaların sadece güçlü güvenlik sistemleri kurmakla kalmayıp, aynı zamanda müşterilerini dijital tehditler konusunda sürekli eğitmeleri ve şüpheli durumlarda hızlı ve etkili müdahale mekanizmaları geliştirmeleri gerektiği bir kez daha ortaya konmuştur. "İkincil hukuki sorumluluk" kavramı, bankanın doğrudan dolandırıcılığı yapmamış olsa bile, müşterisini koruma görevini yerine getirmemesi nedeniyle zarardan sorumlu tutulabileceğini göstermektedir. Bu, bankaların siber güvenlik risk yönetimini daha kapsamlı ele almalarını gerektirecektir.
Türkiye'de de dijital bankacılık hızla yaygınlaşmakta ve benzer siber dolandırıcılık vakalarıyla sıkça karşılaşılmaktadır. Türk bankacılık sektörü, BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) tarafından belirlenen sıkı güvenlik standartlarına uymakla yükümlüdür. Ancak, bu tür uluslararası emsal kararlar, Türkiye'deki bankaların da dijital güvenlik stratejilerini gözden geçirmeleri ve özellikle "dijital yetersizliği" olan müşterilere yönelik koruma mekanizmalarını güçlendirmeleri gerektiğini işaret etmektedir. Tüketicilerin bilinçlendirilmesi ve bankaların proaktif güvenlik önlemleri alması, dijital finansal ekosistemin güvenliğini sağlamak adına hayati öneme sahiptir. Bu karar, Türk bankacılık sektöründeki yasal tartışmaları ve tüketici hakları savunucularının taleplerini de etkileyebilir.
Sonuç olarak, Tenerife'deki bu karar, bankaların dijital çağdaki sorumluluklarının sadece teknik güvenlik duvarları örmekten ibaret olmadığını, aynı zamanda müşteri profillerini dikkate alarak proaktif bir koruma sağlamayı da içerdiğini net bir şekilde ortaya koymaktadır. Bu, hem finans kuruluşları hem de dijital bankacılık kullanıcıları için önemli bir ders niteliğindedir ve gelecekteki siber güvenlik politikalarının şekillenmesinde etkili olacaktır.
