Banka ve Kredi Kartı Bilgilerinin Ele Geçirilmesi Suçu
Giriş
Dijital bankacılık ve internet alışverişinin yaygınlaşmasıyla birlikte banka ve kredi kartı bilgileri, suç örgütleri ve bireysel failler açısından en çok hedef alınan verilerden biri hâline gelmiştir. Kart numarası, son kullanma tarihi, CVV/CVC kodu, kart sahibinin adı-soyadı, tek kullanımlık doğrulama şifresi, mobil bankacılık bildirimi ve 3D Secure onay kodu gibi bilgiler ele geçirildiğinde mağdurun hesabından para çekilmesi, internet alışverişi yapılması, dijital cüzdanlara bakiye yüklenmesi veya başka kişilere haksız menfaat sağlanması mümkündür.
Bu nedenle banka ve kredi kartı bilgilerinin ele geçirilmesi, Türk ceza hukuku bakımından basit bir “kart bilgisi öğrenme” olayı olarak görülmemelidir. Olayın niteliğine göre banka veya kredi kartlarının kötüye kullanılması suçu, kişisel verilerin hukuka aykırı ele geçirilmesi suçu, bilişim sistemine girme suçu, nitelikli dolandırıcılık, sistemi bozma veya verileri değiştirme suçu ve hatta bazı durumlarda suçtan kaynaklanan malvarlığı değerlerini aklama gibi farklı suçlar gündeme gelebilir.
Türk Ceza Kanunu’nun 245. maddesi, banka veya kredi kartlarının kötüye kullanılması suçunu düzenlemektedir. Güncel madde metnine göre, başkasına ait banka veya kredi kartını her ne suretle olursa olsun ele geçiren ya da elinde bulunduran kişinin, kart sahibinin rızası olmaksızın kartı kullanarak veya kullandırtarak kendisine ya da başkasına yarar sağlaması hâlinde üç yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası öngörülmektedir. Aynı maddede sahte banka veya kredi kartı üretme, satma, devretme, satın alma, kabul etme ve sahte kart kullanarak yarar sağlama fiilleri de ayrıca düzenlenmiştir.
Banka ve Kredi Kartı Bilgilerinin Ele Geçirilmesi Ne Anlama Gelir?
Banka veya kredi kartı bilgilerinin ele geçirilmesi, kartın fiziki olarak çalınmasıyla sınırlı değildir. Günümüzde kart bilgilerinin büyük kısmı internet üzerinden, telefonla, sahte ödeme sayfalarıyla, sosyal mühendislik yöntemleriyle veya zararlı yazılımlarla ele geçirilmektedir.
Kart bilgilerinin ele geçirilmesi şu şekillerde gerçekleşebilir:
Kartın fotoğrafının çekilmesi, kart numarasının ve CVV kodunun kaydedilmesi, sahte internet sitesine kart bilgilerinin girilmesi, banka veya kargo şirketi gibi görünen sahte linklere yönlendirme yapılması, telefonla arayan kişinin kendisini banka görevlisi gibi tanıtması, POS cihazı veya ATM’ye yerleştirilen kopyalama düzenekleri, mobil uygulama içi sahte ödeme ekranları, ele geçirilmiş e-ticaret hesapları, veri sızıntıları, kötü amaçlı yazılımlar ve sahte müşteri hizmetleri hatları bu kapsamda değerlendirilebilir.
Burada hukuki ayrım çok önemlidir: Kart bilgisinin sadece ele geçirilmesi ile bu bilgilerin kullanılarak menfaat sağlanması aynı değildir. Fail kart bilgilerini ele geçirmiş ancak henüz kullanmamışsa, somut olaya göre TCK m.136’da düzenlenen kişisel verileri hukuka aykırı olarak ele geçirme suçu veya başka bilişim suçları gündeme gelebilir. Ancak fail bu bilgileri kullanarak internet alışverişi yapmış, para çekmiş, ödeme gerçekleştirmiş veya üçüncü kişiye menfaat sağlamışsa TCK m.245 kapsamında banka veya kredi kartlarının kötüye kullanılması suçu oluşabilir.
TCK m.245 Kapsamında Banka veya Kredi Kartlarının Kötüye Kullanılması
TCK m.245’in birinci fıkrası, başkasına ait banka veya kredi kartının rıza dışında kullanılması suretiyle menfaat sağlanmasını cezalandırır. Bu suçun oluşabilmesi için failin kartı fiziken elinde bulundurması şart değildir. Kart bilgilerinin ele geçirilip internet alışverişinde kullanılması da uygulamada bu kapsamda değerlendirilebilir.
Suçun temel unsurları şunlardır:
Bir başkasına ait banka veya kredi kartı ya da kart bilgisi bulunmalıdır. Fail bu kartı veya bilgileri hukuka aykırı şekilde ele geçirmeli veya elinde bulundurmalıdır. Kart sahibinin rızası olmamalıdır. Fail kartı kullanmalı veya kullandırtmalıdır. Bu kullanım sonucunda failin kendisine veya bir başkasına haksız yarar sağlanmalıdır.
Örneğin bir kişinin kredi kartı numarası, son kullanma tarihi ve CVV kodu kullanılarak internetten telefon satın alınması; mağdurun kartıyla oyun içi ödeme yapılması; kart bilgilerinin dijital cüzdana eklenip harcama yapılması; mağdurun banka kartıyla online alışveriş gerçekleştirilmesi; ele geçirilen kart bilgilerinin başkasına verilerek kullandırılması TCK m.245 kapsamında değerlendirilebilir.
TCK m.245/2 ise başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üretilmesi, satılması, devredilmesi, satın alınması veya kabul edilmesini düzenler. TCK m.245/3 ise sahte oluşturulan veya üzerinde sahtecilik yapılan banka ya da kredi kartının kullanılması suretiyle yarar sağlanmasını cezalandırır. Yargıtay kararlarında, TCK m.245/2 bakımından başkasına ait mevcut bir banka hesabıyla ilişkilendirilmiş sahte/kopya kart üretimi unsurunun önem taşıdığı vurgulanmaktadır.
Kart Bilgilerinin Ele Geçirilmesi Her Zaman TCK m.245 midir?
Kart bilgilerinin ele geçirilmesi her zaman doğrudan TCK m.245 anlamına gelmez. TCK m.245 bakımından çoğu durumda kartın veya kart bilgilerinin kullanılması ve bu kullanım sonucunda haksız menfaat sağlanması aranır. Eğer fail yalnızca kart bilgilerini elde etmiş ancak bu bilgilerle harcama yapmamışsa, olay TCK m.245 teşebbüsü, TCK m.136 kişisel verileri hukuka aykırı ele geçirme, TCK m.243 bilişim sistemine girme veya TCK m.245/A yasak cihaz/programlar suçu bakımından ayrıca değerlendirilmelidir.
Kart numarası, son kullanma tarihi, CVV kodu ve kart sahibine ait ödeme bilgileri kişisel veri niteliği taşıyabilir. TCK m.136’da kişisel verileri hukuka aykırı olarak bir başkasına verme, yayma veya ele geçirme fiili ayrıca suç olarak düzenlenmiştir. Bu nedenle kart bilgilerinin bir veri tabanından çalınması, sosyal medya veya Telegram gruplarında paylaşılması, üçüncü kişilere satılması ya da hukuka aykırı biçimde depolanması, yalnızca kart suçu değil kişisel verilere karşı suçlar bakımından da gündeme gelebilir.
Ayrıca fail mağdurun internet bankacılığına, mobil bankacılığına, e-posta hesabına veya e-ticaret hesabına girerek kart bilgilerine ulaşmışsa, TCK m.243’te düzenlenen bilişim sistemine girme suçu da söz konusu olabilir. Sistemdeki verileri değiştirme, silme, başka yere gönderme veya sistemi erişilmez kılma gibi fiiller varsa TCK m.244 de değerlendirilmelidir.
Phishing, Sahte Link ve 3D Secure Dolandırıcılığı
Banka ve kredi kartı bilgilerinin ele geçirilmesinde en yaygın yöntemlerden biri phishing, yani oltalama yöntemidir. Fail mağdura gerçek banka, kargo şirketi, e-devlet, ödeme kuruluşu, pazar yeri veya bilinen bir marka gibi görünen mesaj gönderir. Mesajda genellikle “kartınız bloke oldu”, “kargonuz bekliyor”, “ödemeniz eksik”, “hesabınız askıya alındı”, “şüpheli işlem tespit edildi” gibi ifadeler yer alır. Mağdur linke tıkladığında sahte bir ödeme veya giriş ekranına yönlendirilir ve kart bilgilerini kendisi girer.
Bazı olaylarda mağdur 3D Secure kodunu da girer. Bu durumda bankalar bazen işlemin müşteri tarafından onaylandığını ileri sürebilir. Ancak 3D Secure kodunun girilmiş olması, her olayda mağdurun kusurlu olduğu veya bankanın sorumluluğunun tamamen ortadan kalktığı anlamına gelmez. Somut olayda sahte site, yanıltıcı ekran, işlem tutarının farklı gösterilmesi, olağan dışı işlem, bankanın güvenlik uyarıları, işlem limiti, fraud tespit sistemi, müşteri davranış profili ve bildirim süreçleri ayrıca incelenmelidir.
Örneğin mağdur 50 TL’lik bir işlem yaptığını düşünürken, sahte sayfa üzerinden 50.000 TL’lik işlem onaylatılmış olabilir. Bu durumda ceza hukuku bakımından failin hileli davranışı, kart bilgilerinin kullanılması, bankacılık sisteminin araç kılınması ve mağdurun iradesinin sakatlanması birlikte değerlendirilmelidir. Olayın niteliğine göre TCK m.245 yanında nitelikli dolandırıcılık suçu da gündeme gelebilir.
TCK m.245 ile Nitelikli Dolandırıcılık Arasındaki İlişki
Kart bilgileriyle yapılan işlemlerde her zaman tek suç tipi bulunmaz. Bazı olaylarda fail doğrudan mağdurun kart bilgilerini kullanır. Bazı olaylarda ise mağduru kandırarak kart bilgilerini ve 3D Secure kodunu alır. Bu durumda TCK m.245 ile TCK m.158’de düzenlenen nitelikli dolandırıcılık arasındaki ilişki tartışılabilir.
Nitelikli dolandırıcılıkta fail, hileli davranışlarla mağduru aldatır ve onun veya başkasının zararına olarak kendisine ya da başkasına yarar sağlar. Dolandırıcılığın bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle işlenmesi nitelikli hâl olarak düzenlenmiştir. İnternet bankacılığı, sahte ödeme sayfası, mobil bankacılık bildirimi, e-ticaret altyapısı veya ödeme kuruluşları bu suçun işlenmesinde araç olarak kullanılabilir.
Kart bilgilerinin ele geçirilmesi olayında fail mağduru sahte linkle kandırmış, kart bilgilerini almış ve bu bilgilerle alışveriş yapmışsa, hem kartın kötüye kullanılması hem de nitelikli dolandırıcılık yönünden değerlendirme yapılması gerekebilir. Ancak ceza hukukunda aynı fiil nedeniyle hangi suçun uygulanacağı, görünüşte içtima, özel-genel norm ilişkisi, failin kastı, hilenin ağırlığı, kartın kullanım biçimi ve menfaatin nasıl sağlandığına göre belirlenir.
Bu nedenle şikâyet dilekçesinde yalnızca “kart bilgilerim çalındı” demek yeterli değildir. Olayın hangi yöntemle gerçekleştiği, mağdurun kandırılıp kandırılmadığı, kart bilgilerinin nasıl alındığı, 3D Secure onayının nasıl sağlandığı, hangi işyerinde işlem yapıldığı, ödemenin kime gittiği ve paranın sonraki akıbeti ayrıntılı şekilde anlatılmalıdır.
Mağdurun İlk Yapması Gerekenler
Kart bilgilerinin çalındığını veya karttan bilgisi dışında işlem yapıldığını fark eden kişi vakit kaybetmeden bankasıyla iletişime geçmelidir. Kart kapatılmalı, işlem itirazı oluşturulmalı, şüpheli işlem bildirimi yapılmalı, varsa mobil bankacılık ve internet bankacılığı şifreleri değiştirilmelidir. Ayrıca bankadan işlemin hangi işyeri, ödeme kuruluşu, IP, cihaz, tarih ve saat üzerinden gerçekleştiğine ilişkin kayıtların korunması istenmelidir.
5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’na göre kart çıkaran kuruluşlar, kart hamillerinin kart kullanımıyla ilgili şikâyet ve itiraz başvurularını başvuru tarihinden itibaren yirmi gün içinde gerekçeli şekilde cevaplandırmak zorundadır. Aynı kanunda kredi kartı hesap özetine itiraz için son ödeme tarihinden itibaren on gün içinde kart çıkaran kuruluşa başvuru yapılabileceği düzenlenmiştir.
Kart hamili bakımından da yükümlülükler vardır. 5464 sayılı Kanun m.16’ya göre kart hamili, kartı ve kartın kullanılmasını sağlayan kod, şifre veya kimliği belirleyici bilgileri güvenli şekilde korumak ve kayıp, çalıntı ya da iradesi dışında gerçekleşen işlem öğrenildiğinde kart çıkaran kuruluşu derhal haberdar etmek zorundadır. Bu nedenle mağdurun gecikmeden bankayı araması, yazılı başvuru yapması ve başvuru kayıt numarası alması önemlidir.
Bankanın Sorumluluğu ve Para İadesi
Mağdurların en çok sorduğu soru şudur: “Kartımdan bilgim dışında para çekildi, banka parayı iade etmek zorunda mı?” Bu sorunun cevabı somut olayın özelliklerine göre değişir. İşlemin kart sahibinin rızasıyla mı yapıldığı, 3D Secure kullanılıp kullanılmadığı, kart bilgilerinin nasıl ele geçirildiği, kart hamilinin ağır ihmali olup olmadığı, bankanın olağan dışı işlem tespiti yapıp yapmadığı, işlem tutarı, işlem zamanı, işyeri niteliği ve itirazın ne kadar hızlı yapıldığı incelenmelidir.
5464 sayılı Kanun m.15’te kart kullanımından doğan sorumluluğun, sözleşme imzalanıp kart zilyetliğe geçtiği veya fizikî varlığı bulunmayan kart numarasının öğrenildiği andan itibaren kart hamiline ait olduğu belirtilir. Ancak aynı maddede harcama belgesi düzenlenmeksizin çeşitli iletişim araçlarıyla veya sipariş formu vasıtasıyla yapılan mal ve hizmet alımlarındaki hukuka aykırı kullanımlardan kaynaklanan zararlardan kart hamilinin sorumlu tutulamayacağı da düzenlenmiştir.
Kanunun 12. maddesi ise kartın ya da kart kullanımını sağlayan bilgilerin kaybolması veya çalınması hâlinde, kart hamilinin bildirimden önceki yirmi dört saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zararlardan sınırlı sorumluluğunu düzenler; ancak hamilin ağır ihmali, kastı veya bildirim yapmaması hâlinde bu sınırlama uygulanmaz.
Bu nedenle banka iadesi konusunda kesin ve otomatik bir sonuçtan söz edilemez. Bankaya yapılan itirazın reddedilmesi hâlinde, işlemin teknik kayıtları, ödeme kuruluşu yanıtları, 3D Secure kayıtları, IP ve cihaz bilgileri, müşteri davranış profili, işlem tutarı ve bankanın güvenlik tedbirleri incelenerek tüketici hakem heyeti, tüketici mahkemesi veya genel mahkemeler nezdinde hukuki süreç değerlendirilebilir.
Savcılığa Suç Duyurusu Nasıl Yapılır?
Banka veya kredi kartı bilgileri ele geçirilen kişi, Cumhuriyet Başsavcılığı’na suç duyurusunda bulunmalıdır. TCK m.245 kapsamında banka veya kredi kartlarının kötüye kullanılması suçu, mağdurun şikâyetine bağlı suçlardan değildir; ancak mağdurun suç duyurusu soruşturmanın başlaması, delillerin toplanması ve failin tespiti bakımından fiilen büyük önem taşır.
Suç duyurusu dilekçesinde olay kronolojik ve teknik ayrıntılarıyla anlatılmalıdır. Hangi tarihte hangi işlem yapıldı, kart bilgileri nasıl ele geçirilmiş olabilir, hangi internet sitesine girildi, hangi linke tıklandı, hangi SMS veya e-posta geldi, hangi işyerinden harcama yapıldı, tutar ne kadardı, bankaya ne zaman başvuruldu, işlem itirazı sonucu ne oldu, şüpheli telefon numarası veya IBAN var mı, ödeme hangi ödeme kuruluşu üzerinden geçti, tüm bunlar açıkça belirtilmelidir.
Savcılıktan şu araştırmalar talep edilmelidir:
İşlemin yapıldığı üye işyeri ve ödeme kuruluşu bilgilerinin istenmesi; ödeme emrinin geçtiği sanal POS kayıtlarının alınması; IP, cihaz, tarayıcı ve işlem log kayıtlarının talep edilmesi; ürün teslim edilmişse teslimat adresi ve alıcı bilgilerinin araştırılması; kargo kayıtlarının istenmesi; dijital ürün alınmışsa ilgili platform hesap bilgilerinin sorulması; telefon numarası varsa GSM abonelik bilgilerinin incelenmesi; failin kullandığı hesaplara yönelik bloke ve para akışı araştırması yapılması; banka ve ödeme kuruluşlarından fraud kayıtlarının istenmesi.
Eğer failin cihazlarına ulaşılırsa, bilgisayar, telefon veya diğer dijital materyaller üzerinde CMK m.134 kapsamında arama, kopyalama ve inceleme yapılması gündeme gelebilir. CMK m.134, bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve elkoyma için somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememe koşullarını düzenlemektedir.
Delil Toplama Süreci
Kart bilgilerinin ele geçirilmesi dosyalarında delil toplama son derece önemlidir. Çünkü suç çoğu zaman çok kısa sürede gerçekleşir ve fail dijital izleri gizlemeye çalışır. Mağdur, ilk andan itibaren tüm kayıtları saklamalıdır.
Saklanması gereken başlıca deliller şunlardır:
Banka SMS’leri, 3D Secure mesajları, mobil bildirimler, işlem dekontları, kredi kartı ekstresi, işlem itiraz başvuru numarası, banka müşteri hizmetleri görüşme kayıt bilgisi, sahte link, e-posta başlık bilgileri, WhatsApp/SMS yazışmaları, sahte sitenin ekran görüntüsü, URL adresi, ödeme sayfası görüntüsü, işlem yapılan üye işyeri adı, ödeme kuruluşu adı, varsa kargo takip bilgisi, teslimat adresi, sipariş numarası ve ürün/hizmet detayları.
Sadece ekran görüntüsü almak çoğu zaman yeterli değildir. Tam URL, tarih-saat bilgisi, ödeme ekranı, gönderilen mesajın numarası, e-posta gönderen adresi ve işlemin banka kayıtlarındaki açıklaması birlikte saklanmalıdır. Eğer sahte site hâlen yayındaysa noter tespiti, uzman raporu veya teknik inceleme yaptırılması da düşünülebilir.
Kart Bilgilerini Paylaşan veya Satan Kişilerin Sorumluluğu
Kart bilgilerinin ele geçirilmesi bazen bireysel bir hırsızlık gibi görünse de çoğu olayda veriler organize şekilde toplanır ve üçüncü kişilere satılır. Telegram grupları, karanlık ağ pazarları, sahte paneller, veri tabanı sızıntıları veya kapalı dijital gruplar üzerinden kart numarası, CVV ve kullanıcı bilgileri paylaşılabilir.
Bu durumda kart bilgilerini doğrudan kullanan kişi dışında, bu bilgileri toplayan, satan, yayan, başkasına veren, depolayan veya kullanımına aracılık eden kişiler de sorumlulukla karşılaşabilir. Somut olayın özelliklerine göre TCK m.136, TCK m.245, TCK m.245/A ve örgütlü suç hükümleri gündeme gelebilir.
TCK m.245/A, yasak cihaz veya programlar suçunu düzenler. Kart kopyalama cihazları, sahte ödeme panelleri, phishing kitleri, şifre ele geçirme yazılımları, zararlı yazılımlar veya kart bilgilerini toplamak amacıyla kullanılan sistemler bu madde kapsamında ayrıca değerlendirilebilir. Bu nedenle yalnızca kartı kullanan kişiye değil, kart bilgilerini elde eden ve dağıtan teknik altyapıya da odaklanmak gerekir.
Şirketler ve E-Ticaret Siteleri Açısından KVKK Boyutu
Kart bilgilerinin bir e-ticaret sitesi, ödeme altyapısı, otel, sigorta şirketi, sağlık kurumu, abonelik platformu veya başka bir veri sorumlusu bünyesinden sızması hâlinde konu sadece ceza hukuku ile sınırlı kalmaz. Bu durumda kişisel veri ihlali ve veri güvenliği yükümlülükleri de gündeme gelir.
6698 sayılı KVKK’nın 12. maddesine göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve verilere hukuka aykırı erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. KVKK Kurulu’nun 24.01.2019 tarihli ve 2019/10 sayılı kararına göre veri sorumlusu, veri ihlalini öğrendiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirim yapmalıdır; etkilenen kişilere de makul olan en kısa süre içinde bildirim yapılması gerekir.
Bu nedenle bir işletme kart bilgilerini gereksiz şekilde saklıyor, ödeme altyapısını güvenli kurmuyor, şifreleme ve erişim yetkisi tedbirlerini almıyor, veri ihlalini gizliyor veya müşterileri zamanında bilgilendirmiyorsa hem idari hem hukuki hem cezai sonuçlarla karşılaşabilir.
Mağdurun Tazminat Hakları
Kart bilgilerinin ele geçirilmesi sonucu mağdurun maddi zararı doğabilir. Bu zarar; karttan çekilen bedel, yapılan alışveriş tutarı, banka masrafları, faiz, kur farkı, hesap blokesi nedeniyle doğan zararlar ve bazı durumlarda ticari kayıplar olabilir. Fail tespit edildiğinde mağdur maddi zararının tazminini talep edebilir.
Bunun yanında banka, ödeme kuruluşu, üye işyeri veya veri sorumlusu işletmenin kusuru varsa bu kişilere karşı da hukuki sorumluluk değerlendirilebilir. Örneğin bankanın olağan dışı ve yüksek tutarlı işlemi durdurmaması, üye işyerinin güvenli ödeme altyapısı kullanmaması, e-ticaret sitesinin kart verilerini hukuka aykırı saklaması veya veri sorumlusunun gerekli teknik-idari tedbirleri almaması hâlinde mağdurun tazminat talebi gündeme gelebilir.
Manevi tazminat ise her kart suçu dosyasında otomatik olarak kabul edilmez. Ancak mağdurun kişisel verileri geniş ölçekte yayılmışsa, kimlik bilgileriyle birlikte finansal verileri ifşa edilmişse, itibar kaybı doğmuşsa veya olay mağdurun özel hayatını ağır şekilde etkilemişse manevi tazminat da somut olaya göre değerlendirilebilir.
Şüpheli veya Sanık Açısından Savunma
Banka ve kredi kartı bilgileriyle ilgili suçlarda savunma da teknik inceleme gerektirir. Hesaba para gelmesi, ürünü teslim almak, IP kaydının görünmesi veya bir telefon numarasının kullanılması tek başına her zaman failin kastını kesin olarak göstermeyebilir. Ancak bu veriler birlikte değerlendirildiğinde güçlü delil niteliği taşıyabilir.
Savunma açısından şu sorular önemlidir:
Kartı kim kullandı? İşlem hangi IP ve cihaz üzerinden yapıldı? Ürün kime teslim edildi? Sanık sadece aracı hesap sahibi mi? Hesap kiralama veya para transferine aracılık var mı? Kart bilgilerini sanık mı ele geçirdi, yoksa üçüncü kişiden mi aldı? Sanığın kart sahibinin rızası olduğunu düşünmesini gerektiren bir durum var mı? Deliller hukuka uygun şekilde elde edildi mi? Banka ve ödeme kuruluşu kayıtları eksiksiz mi? 3D Secure işlemi kimin cihazında onaylandı? Teslimat adresi ve kamera kayıtları sanıkla bağlantılı mı?
Ayrıca bazı dosyalarda olayın cezai değil, özel hukuk ilişkisi olup olmadığı da incelenmelidir. Örneğin kart sahibi kartını bilerek üçüncü kişiye vermiş, harcamaya rıza göstermiş ancak sonradan aralarında borç uyuşmazlığı çıkmışsa, her olay otomatik olarak TCK m.245 sayılmamalıdır. Buna karşılık kart sahibinin rızası yoksa ve fail kartı kullanarak menfaat sağlamışsa ceza sorumluluğu güçlü şekilde gündeme gelir.
Sonuç
Banka ve kredi kartı bilgilerinin ele geçirilmesi suçu, dijital çağın en yaygın ve en ciddi bilişim suçlarından biridir. Kart numarası, son kullanma tarihi, CVV kodu, 3D Secure şifresi veya mobil bankacılık onayının ele geçirilmesi sonucunda mağdurun malvarlığı doğrudan zarar görebilir. Bu tür olaylarda TCK m.245 kapsamında banka veya kredi kartlarının kötüye kullanılması suçu başta olmak üzere, kişisel verilerin hukuka aykırı ele geçirilmesi, bilişim sistemine girme, nitelikli dolandırıcılık ve yasak cihaz/programlar suçu gibi farklı suç tipleri birlikte değerlendirilebilir.
Mağdur açısından en önemli husus hızlı hareket etmektir. Banka derhal aranmalı, kart kapatılmalı, işlem itirazı oluşturulmalı, şüpheli işlem bildirimi yapılmalı, tüm dijital deliller korunmalı ve Cumhuriyet Başsavcılığı’na ayrıntılı suç duyurusunda bulunulmalıdır. Şikâyet dilekçesinde sadece “kart bilgilerim çalındı” denilmemeli; işlem tarihi, tutar, işyeri, ödeme kuruluşu, URL, SMS, e-posta, 3D Secure mesajı, banka başvuru kayıtları ve failin tespitine yarayacak tüm dijital izler açıkça gösterilmelidir.
Banka ve ödeme kuruluşları açısından ise güvenli ödeme altyapısı, müşteri işlemlerinin izlenmesi, olağan dışı işlem tespiti, itirazların süresinde cevaplandırılması ve kişisel verilerin korunması yükümlülükleri büyük önem taşır. Kart hamili de kart ve şifre bilgilerini güvenli şekilde korumalı, iradesi dışında gerçekleşen işlemleri öğrendiği anda bankaya bildirmelidir.
Sonuç olarak banka ve kredi kartı bilgilerinin ele geçirilmesi, yalnızca teknik bir güvenlik sorunu değil; ceza hukuku, bilişim hukuku, bankacılık hukuku, kişisel verilerin korunması ve tazminat hukuku boyutları bulunan çok yönlü bir uyuşmazlıktır. Bu nedenle hem mağdur hem de şüpheli/sanık açısından sürecin deliller kaybolmadan, teknik kayıtlar zamanında toplanarak ve doğru hukuki nitelendirme yapılarak yürütülmesi büyük önem taşır.