Günümüzde internetten alışverişin artması, dijital ödeme sistemlerinin yaygınlaşması ile birlikte; tüketim kolaylığı beraberinde işlem yapılan kredi kartı bilgilerinin kötü niyetli kişilerin eline geçme riskini de arttırıyor. Bu yönde görülen hukuk ve ceza davalarının gün geçtikçe artması ve uyuşmazlık çözümünde, öncelikle KVKK alanında yaptığımız uzmanlık çalışmaları ile birlikte bu konudaki sorumluluğun kime ait olduğunun belirlenmesi yönünde ışık tutacak bu yazıyı sizinle buluşturmak istedik.

Bir kişinin kredi kartı bilgileri çalınıp haberi olmadan harcama yapılırsa, banka sorumlu olur mu? Bu sorunun yanıtı hem KVKK (Kişisel Verilerin Korunması Kanunu) hem de Yargıtay kararları ışığında değerlendirilmeli. Nitekim:

KVKK’nın 12. maddesine göre, kişisel verileri işleyen kurum ve kuruluşlar – bu bağlamda bankalar – gerekli teknik ve idari tedbirleri almakla yükümlüdür. Eğer banka, müşterinin kredi kartı bilgilerini korumak için yeterli önlemleri almadıysa ve bilgiler üçüncü kişilerin eline geçtiyse, bu durumda banka doğrudan sorumlu hale gelebilir.

Yargıtay bu konuda emsal kararlar vermiştir. Örneğin, 19. Hukuk Dairesi’nin 2016/6536 E. sayılı kararında, müşteri uzun süredir kullanılmayan kartından bir gün içinde peş peşe sekiz işlem yapıldığını fark etmiş, bu işlemleri kabul etmediğini belirtmiştir. Yargıtay, bankanın olağandışı bu işlemleri sorgulamadığını ve gerekli güvenlik önlemlerini almadığını belirterek bankayı kusurlu bulmuştur.

Benzer şekilde, 2018 tarihli bir başka 19. HD kararında, kartı gasp edilen müşterinin bankaya 24 saat içinde ihbarda bulunmasına rağmen, banka bu süre içinde yapılan işlemlerden de müşteriyi sorumlu tutmak istemiştir. Yargıtay, 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 12. maddesine atıfla, kart sahibinin yalnızca bildirimden önceki 24 saat içinde yapılan işlemler için 150 TL ile sınırlı sorumlu olabileceğini belirterek bankayı tazminata mahkûm etmiştir. Zira burada kusur değerlendirmesi yaparken tüketici ihbar sorumluluğunu yerine getirmesine rağmen bankanın bu yönde gerekli önlemi almayıp kartı iptal etmesi hukuki sorumluluğu doğurmuştur.

Yargıtay 11. Hukuk Dairesi’nin 2020/5738 E., 2020/4350 K. kararında, kart sahibinin bilgisi dışında mail order yöntemiyle yapılan alışverişte bankanın işlemi teyit etmemesi kusur sayılmış ve banka sorumlu tutulmuştur. Hukuk Genel Kurulu’nun 2022/615 K. sayılı kararında ise kartın müşterinin rızasıyla üçüncü kişiye verilmesi ve bankanın limit üstü harcamaya onay vermesi hâlinde tarafların ‘ortak kusurlu’ kabul edileceği belirtilmiştir.

Sonuç olarak, kredi kartı bilgilerinin çalınması halinde öncelikle durumu en kısa sürede bankaya bildirmeli ve bu yönde işlem yapılmaması yahut bankanın sorumlu olmadığı yönünde bir yanıt aldıklarında hukuki destek için avukata başvurmaları gerekmektedir. Bu yönde öncelikle tarafların sorumluluğu belirlenmeli; açılacak hukuk davalarında müşteri lehine tazminata hükmedileceği gibi KVKK ve TCK’ya aykırılık ile oluşan cezai sorumluluk yönünden de Cumhuriyet Başsavcılığına başvuruda bulunarak ceza yargılaması başlatılmalıdır. Unutmayalım: Hukuk, dikkatsizliği değil hakkaniyeti korur.