Giriş
AB Adalet Divanı Başsavcısı Athanasios Rantos, bankaların yetkisiz işlemlerden etkilenen hesap sahiplerine, bu kayıpların sebebi ne olursa olsun, derhal geri ödeme yapılması gerektiğini belirtti. Bu görüş, finansal kurumların siber saldırılara karşı sorumluluklarını yeniden değerlendirmeleri gerektiğini göstermektedir.
Saldırı Nasıl Çalışıyor?
Olay, bir müşterinin bir ürününü açık artırma platformunda satmaya çalıştığı sırada gerçekleşti. Bir dolandırıcı, bankanın giriş sayfasına benzer bir siteye yönlendiren kötü niyetli bir bağlantı gönderdi. Müşteri, bu sahte sitede banka kimlik bilgilerini girdi ve dolandırıcı, bu bilgileri kullanarak yetkisiz bir ödeme gerçekleştirdi.
Etkilenen Sistemler
Dolandırıcının kullandığı yöntemler şunlar oldu:
- Tüketici hesabı üzerinden yetkisiz işlem gerçekleştirilmesi.
- Phishing saldırıları aracılığıyla bilgi çalınması.
- Kötü niyetli linkler kullanarak müşterinin bilgilerini elde etme.
Müşteri, işlemi ertesi gün hem bankaya hem de polise bildirdi, ancak dolandırıcılar tespit edilemedi ve banka, kaybı geri ödemeyi reddetti. Bu durum üzerine müşteri bankayı dava etti.
Çözüm ve Korunma
Rantos’un görüşüne göre, AB Ödeme Hizmetleri Direktifi (2015/2366 / PSD2) gereği, bankalar, müşteride dolandırıcılık olduğundan şüphelenmedikleri sürece derhal geri ödeme yapmak zorundadır. Ancak banka, eğer müşteri ciddi bir ihmal veya kastla güvenlik yükümlülüklerini yerine getirmediyse, kaybı müşteriden talep edebilir.
Önemli Uyarı: Bu görüş, hâlâ bir CJEU kararı değil, sadece mahkemenin muhtemel kararlarına yön vermek için yapılan bir öneridir.
Sonuç
Okuyucular, bankalarındaki güvenlik önlemlerini gözden geçirmeli, mümkün olduğunca güçlü şifreler kullanmalı ve kimlik bilgilerini paylaşmamaya dikkat etmelidir. Ayrıca, yetkisiz işlemlerle karşılaşmaları durumunda derhal bankaları ile irtibata geçmeleri ve gerekli bildirimleri yapmaları gerekmektedir. Bankalarla olan sözleşmelerini de dikkatli bir şekilde incelemelidirler.
