Yayınlarımız

POS CİHAZI İLE FİZİKEN ŞİFRE GİRİLEREK GERÇEKLEŞTİRİLEN KREDİ KARTI VE BANKA KARTI İŞLEMLERİNE İTİRAZ EDİLMESİ

Kredi kartı bilgilerinin kart hamilinin bilgisi ve onayı dışında kullanılması suretiyle gerçekleştirildiği iddia edilen işlemlerde, işlemin iptal edilmesi ve bedel iadesi yapılmasının mevzuat ve Yargıtay içtihatları kapsamında incelenmesi neticesinde oluşturduğumuz hukuki değerlendirmelerimiz aşağıda yer almaktadır.

1.Mevzuat Kapsamında Değerlendirme

5654 Sayılı Banka Kartları ve Kredi Kartları Kanunu ve Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in ilgili hükümleri kapsamında gerçekleştirilen işlemlerde, güvenliğin mevzuatta belirtilen asgari düzeyde sağlanmasından banka ve işyerinin birlikte sorumlu olduğu anlaşılmaktadır.

O halde kredi kartı sahibinin rızası dışında gerçekleştirildiği iddia edilen işlemlerde hukuki sorumluluğun kapsamının belirlenebilmesi için aşağıda yer alan mevzuat hükümlerinin irdelenmesi gerekmektedir:

• 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 18. maddesi hükmüne göre;

“Üye işyerleri, 20. madde uyarınca harcama belgesi düzenlemeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla işlem yapılmasına olanak sağlamak üzere kuracakları sistemlerin güvenli bir şekilde çalışmasını temin etmekle yükümlüdür.”

• Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 23. maddesi hükmüne göre;

“Banka kartı veya kredi kartının ya da Kanunun 16 ncı maddesinde belirtilen bilgilerin kaybolması veya çalınması halinde kart hamili, kart çıkaran kuruluşa yapacağı bildirimden önceki yirmidört saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zararlardan yüzelli Yeni Türk Lirası ile sınırlı olmak üzere sorumludur. Hukuka aykırı kullanımın, hamilin ağır ihmaline veya kastına dayanması veya bildirimin yapılmaması hallerinde bu sınır uygulanmaz.”

• Banka Kartları ve Kredi Kartları Hakkında Yönetmelik’in 27/A maddesi hükmüne göre;

“Üye işyeri anlaşması yapan kuruluşlar, kartlı ödeme işlemlerinde kullanılacak POS’un, asgari olarak Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (Payment Card Industry -PCI- Security Standards Council) tarafından yayımlanan POS PIN Giriş Cihazı Güvenlik Gereksinimleri (PIN Entry Device -PED- Security Requirements) standardının güncel versiyonunun gereklerini, kartlı sistem kuruluşlarının tanımlamış oldukları süre çerçevesinde yerine getirmesini sağlarlar…”

Yukarıda yer alan mevzuat hükümleri incelendiğinde, şifre ile yani teknik anlamda tam doğrulama ile gerçekleştirilmiş olan işlemlerde, kredi kartı bilgilerinin ele geçirilmesinde ağır ihmal veya kastının bulunmadığını ispat yükümlülüğünün kredi kartı sahibinde bulunduğu anlaşılmaktadır. Zira, işlemlerin imza ile değil; fiziken kredi kartı şifresi girilerek gerçekleştirdiği durumlarda, yönetmelikte belirtilen şartların işyeri tarafından yerine getirilmiş olduğu kabul edilmekte, kredi kartı sahibinin ağır ihmali olduğu kabul edilmektedir.

2.Yargıtay İçtihatları Kapsamında Değerlendirme

Yargıtay içtihatlarında, şifrenin kullanılmasında kart hamilinin kusuru ve işlemin niteliği de dikkate alınarak, bankanın, işyerinin ve kart hamilinin kusur oranının hesaplanmasının somut olaya göre bilirkişi aracılığıyla tespit edilmesi gerektiği görüşü benimsenmiştir.

• Yargıtay 13. Hukuk Dairesi’nin 2011/3109 E. 2011/10387 K. ve 29.06.2011 tarihli ilamına göre; 

“Üçüncü kişi veya kişiler tarafından davacıya ait kredi kartının internet yolu ile haksız kullanımından doğan zararın oluşmasında ve artmasında, tarafların kusur veya varsa müterafik kusur durumunun, alanında uzman bilirkişi veya bilirkişi heyeti marifetiyle taraf ve yargı denetimine uygun şekilde belirlenip sonuca uygun bir karar verilmesi gerekir.”

• Yargıtay 13. Hukuk Dairesi’nin 2012/9364 E. 2012/12757 K. ve 17.05.2012 tarihli ilamına göre;  

“Davalı Bankanın, internet üzerinden yapılan alışverişlerde statik şifre yerine, her işlemde değişen dinamik şifre kullanılmasını gerektiren bir sistemi oluşturmaması, işlemlerin tamamının, yüksek tutarlarda, hayatın olağan akışına aykırı olacak şekilde, çok sayıda, peşpeşe bölünerek, kontör alımına dair yapılmış olması karşısında, olağan olmayan bu tip harcamaları durdurmayıp, kart sahibi davacıya bildirmeyerek, objektif özen borcunu yerine getirmemesi sebebiyle olayda kusurunun bulunduğu da anlaşılmaktadır. Ne var ki davacı da B.K.nun 98. maddesi delaletiyle B.K.'nun 44. maddesi uyarınca müterafik kusurludur. Zira kredi kartı sahibi yasa ve sözleşme hükümleri gereğince, Bankayla sözleşme imzaladığı ve kartın zilyetliğine geçtiği andan itibaren kendisine tevdi edilen kredi kartını ve bu kartın kullanımıyla ilgili bilgileri koruma ve saklamayla yükümlü olup, davaya konu olayda da kartın fiziken kullanılmadığı, söz konusu işlemlerin, bilgisayarla internet ortamı üzerinden ve davacı kart sahibine ait şifrenin kullanılması suretiyle yapılmış olması sebebiyle davacının sorumluluğu bulunmaktadır. O halde bankanın olaydaki müterafik kusuru değerlendirilmeli ve sonucuna göre hüküm tesisi gerekirken, mahkemece aksi düşüncelerle yazılı şekilde davanın reddine karar verilmesi usul ve yasaya aykırı olup bozmayı gerektirir.”

Yargıtay içtihatlarında, özellikle şifrenin kart hamili tarafından verilmesi durumunda kart hamilinin ağır kusurlu olduğu görüşü benimsenmiş, bankanın ve dolayısıyla işyerinin sorumluluğunun bu husus göz önünde bulundurularak belirlenmesi gerektiği belirtilmiştir. Yargıtay’ın incelemeleri genel olarak daha riskli olan internet ortamında yapılan işlemler kapsamındadır. İnternet üzerinden gerçekleştirilen işlemlerde dahi kredi kartı sahibinin ağır kusurunun irdelendiği göz önünde bulundurulduğunda, fiziken şifre girilerek gerçekleştirilen işlemlerde kredi kartı sahibinin ağır ihmali ya da kastının bulunmadığını ispat gücünün daha da zayıf olacağı aşikardır.

Sonuç olarak;

Yargı içtihatları, mevzuat ve üye işyeri sözleşmeleri birlikte değerlendirildiğinde;

• Kredi kartı ya da banka kartı ile yapılan işlemin fiziki ortamda (POS cihazı aracılığıyla) şifre kullanılarak gerçekleştirilmesi durumunda, işyerinin kural olarak kusurunun ve iade yükümlülüğünün bulunmadığı,
• Bu bağlamda ispat yükünün kredi kartı sahibinde olduğu kanaatine varılmaktadır. 10.03.2015

Av. Gürbey Akarpınar