Bugün bu suçluların verdikleri maddi zararlar online olarak işlem gören değerlerin (internet bankacılığı, sermaye piyasasında merkezi kayıt sisteminin kurulması gibi) çoğalmasıyla çok büyük boyutlara ulaşmış bulunuyor.
Ülkemizdeki durumdan bahsetmeden önce kısa süre önce ABD’de yaşanan bir olaydan bahsetmek istiyorum. Bu olayda “internet bankacılığı kullanan” bir banka müşterisinin “bankasına karşı açtığı bir dava” söz konusu.
- Bu Şubat ayının başlarında Joe Lopez adlı bir işadamının banka hesabından 90.000 USD çalındı. Lopez’e göre para, birilerinin bilgisayarına girip, banka hesabı bilgilerine ulaşmasıyla çalındı. Ona göre para, bankasının hacker’ların bilgisayarına kolayca erişmelerini sağlayan bir virüse karşı kendisini uyarmadaki ihmali sebebiyle çalındı.
Bu dava ABD’de siber suçlular tarafından çalınan paranın geri alınması için bir müşteri tarafından bir bankaya karşı açılan ilk dava olma özelliğini taşıyor. Burada ABD’li hukukçular tarafından sorulan ilk soru, “bir bilgisayar kullanıcısının bilgisayarının güvenliğinden tek başına mı sorumlu olduğu yoksa kendisi dışında kişilerin veya firmaların da sorumlu olması gerektiği mi” oldu.
Nisan 2004’te Lopez internet bankacılığı yoluyla bir para transferi yapmak için hesabına girdiğinde 90.000 USD’lık paranın kendisinin herhangibir izni veya talebi olmaksızın Litvanya’da bir bankaya havale edilmiş olduğunu gördü. Kasım ayında banka, Lopez’in bilgisayarında “coreflood” isimli bir virüs tespit ettiğini bildirdi. Ama bu bildirimde, bu virüsün Lopez’in parasının kaybolmasına sebep olup olmadığı belirtilmiyordu.
Bu virüs bir saldırgana, bulaştığı bilgisayara uzaktan erişme imkanı veren bir virüstü. Fakat şimdiye kadar, bankanın virüsün taşıdığı bu riskten haberdar olup olmadığına dair bir belirleme olmadı.
Bankanın Lopez’e ve avukatına yolldığı yazıda, bankanın kendi sisteminden kaynaklanmayan böyle bir hack olayından sorumlu olmadığı belirtiliyordu. Ayrıca bu yazıda Lopez’e, Litvanya’daki güvenlik güçleriyle ve bankayla temasa geçmesi ve hakkını orada araması söyleniyordu. Bunun üzerine Lopez bankasına karşı dava açmaya karar verdi. Bu davada dayandığı nokta ise, bankanın kendisini “coreflood” virüsü hakkında uyarmada ihmalinin olmasıydı.
Dava devam ediyor. ABD’li hukukçulara göre, elbette bankalar yasal olarak kendi sistemlerinin ve ağlarının güvenliğini sağlamaktan sorumludurlar. Eğer bir müşteri bankaya güvenerek parasını ve kişisel verilerini bankaya teslim ediyorsa, banka da tüm makul güvenlik önlemlerini almak zorundadır. Ayrıca banka internet bankacılığı için kendi hazırlattığı bir programı müşterinin kullanmasını isterse ve bu programdaki bir açıktan dolayı müşteri zarara uğrarsa banka bundan da sorumlu olacaktır (ki böyle bir durum Lopez’in davasında yoktur).
Yazının devamı için İnternet Bankacılığında Çalınmadan Kim Sorumlu?-2 başlığı altına bakınız.