Kart bilgileri çalındığında hukuken sorumlu kim?

Güvenli olduğu bilinmeyen sitelere, SSL sertifikası olmayan veya virüs içerme ihtimali olan sitelere girilmemeli. Bu siteler yerine bir sorun halinde karşınızda bir muhatap bulabileceğiniz firmaları tercih edebilirsiniz. Sanal kartın daha güvenli olduğunu, internet işlemlerine daha düşük limitli kartların kullanılmasının doğru bir adım olacağını söyleyebilir. En önemli koruma ise şifrelerin sık değiştirilmesi olacaktır.

Geçtiğimiz günlerde yabancı bir internet sitesinde (zdnet.com) yayınlanan bir haber, Türkiye’den 450 binin üzerinde kişinin kart bilgilerinin bir site üzerinden satışa çıkarıldığını belirtiyordu. Group-IB isimli firmanın ortaya çıkardığı bu veri hırsızlığı sonrasında birçok kişinin kafasında “Kartım mı çalındı?”, “Bunu nasıl anlarım?” “Çalındıysa ne yapmalıyım?”, “Harcama olmuşsa geri almam mümkün mü?”, “Sanal kartlar için de durum aynı mı?”, “Çalınma durumunda hukuken sorumlu kim?” şeklide sorular uyanmaya başladı. Bu tereddütler ve sorular haklı. Zira, ortadaki durum ciddi olabilir. Bankalar Birliği başta olmak üzere birçok ilgili kurum ve kuruluştan benzer mahiyette uyarılar okuduk: “Dikkatli olun, şüpheli bir durum varsa bildirin”.

Haberde ne diyordu?

Haberin içeriğinin iyice anlaşılması gerekiyor. Habere göre, bu bilgiler büyük bir internet mağazası olan Joker Stash’ta satılıyor. Kart bilgilerinin dökümü de mevcut. Bu kart bilgileri hemen her bankaya ait. Kart türü olarak da sadece kredi kartı değil. Tüm ödeme kartlarının bu kapsamda olduğu belirtiliyor. Bilgiler sadece numaralardan da ibaret değil. Kartların son kullanma tarihi, CVC numarası, kart sahibi adı ve bazı ek bilgileri, e-posta, telefon numaraları da var.

Kimler tehlikede!

İlk derecede tehlikede olanlar kimlik bilgilerini soran sitelere giriş yapıp  “avlananlar”. Bunlar detaylı bilgi girerek kendilerini bu sona hazırlamış olabilirler.  Bir diğer hedef kitle ise bu verileri tarayıcılardan toplayan kötü amaçlı yazılımlara bilmeden onay verenler veya girdikleri sitede bir yazı, görüntüyü tıklarken aslında bu kötü amaçlı yazılımlara onay verenler. Bir diğer grup ise bir şekilde hacklenmiş siteye girip, tüm bilgilerini yazmış ve bazı soruları cevaplamış olanlar. Habere göre bunu keşfedenler, yani bu kart bilgilerinin çalındığını öğrenen uzmanlar, Ülkemiz yetkililerine gereken bilgileri vermiş ancak bunu yapan kim ve kimler sorusunun cevabı halen muamma.

Hukuki durum

Öncelikle böyle bir verinin transfer edilmesi, hele de meselenin böyle ülke dışına taşacak biçimde olması, konunun basit ve sıradan olmadığını gösteriyor. İddia doğru ise, uluslararası alanda bir “şebeke” ile karşı karşıya olduğumuz açık. Bunun için de uluslararası bir takım argümanlara başvurulması gerekiyor. Siber suç kapsamında bir soruşturmanın yürütülüp, Avrupa Siber Suçlar Sözleşmesi kapsamında birçok ülke ile uluslararası polis teşkilatı aracılığı bir süreç başlatılması mümkündür.

Ülkemizde bu tip eylemler suç kabul ediliyor. Türk Ceza Kanununda bu konuyla ilgili düzenlemiş birçok suç var. Veri güvenliğini ihlal (m.136) kredi kartının kötüye kullanma (m.245), sistemi engelle ve bozma (m.244), dolandırıcılık (m.158) gibi suçların oluşması mümkün. Yine elde edilen bilgiler niteliği itibarıyla özel hayata dair ise İnternet Ortamında İşlenen Suçlarla Mücadele Kanunu çerçevesinde girişimler yapılması gerekiyor. Bu meselenin ceza boyutuydu. Bir de bir harcama yapılmış ise bundan kimin sorumlu olacağı sorunu var. Bu kısımda sorumlu kişiyi belirleyici en önemli etmen bilgilerin nasıl çalındığı sorusuna verilecek cevap ile anlaşılabilir. Yargıtay, bankanın sisteminden bu bilgilerin alınması halinde önceki içtihatlarına göre tüketicinin bir dahli ve hatası olmadığı için bankayı sorumlu tutacaktır. Ancak asıl sorun yukarda belirttiğimiz gibi “internette çok gezip, bilgilerin kaptıranlar” içindir. Bunlar, bu hatalarından kendileri sorumlu olacaktır. Bunun bir istisnası ise güvenli olduğu düşünülerek verileri girdiğimiz siteden bilgilerin çalınmasıdır. Bu halde, bu sitenin harcamalardan sorumlu olması gündeme gelecektir. KVKK ile artık kişisel veri toplayan her kurum sorumluluk altına girmektedir. Eğer web sitesinde veya veritabanında tutulan kredi kartı bilgisi varsa web site sahipleri bunu belirtmek ve ispat etmek zorundadır. Ödeme işlemi sırasında, kredi kartı bilgisi ve diğer kişisel bilgilerin olduğu sayfa ile bankaya gönderilen bilgiler arasında güvenli bağlantı olması gerekmektedir. Eğer burada bir hata varsa burada sorumlu web site yapımcılarıdır.

Ne yapılmalı?

Öncelikle hesap ekstrelerini dikkatli takip etmek gerekiyor. Güvenli olduğu bilinmeyen sitelere, SSL sertifikası olmayan veya  virüs içerme ihtimali olan sitelere girilmemeli. Bu siteler yerine bir sorun halinde karşınızda bir muhatap bulabileceğiniz firmaları tercih edebilirsiniz. Sanal kartın daha güvenli olduğunu, internet işlemlerine daha düşük limitli kartların kullanılmasının doğru bir adım olacağını söyleyebilir. En önemli koruma ise şifrelerin sık değiştirilmesi olacaktır.

[email protected]