Phishing (oltalama) saldırıları, sahte e-posta, SMS (smishing), telefon (vishing) veya taklit web sitesi aracılığıyla kullanıcıdan banka bilgisi, şifre veya kişisel veri almak suretiyle işlenen bilişim suçlarıdır. Türk hukukunda TCK m.245 (banka/kredi kartı kötüye kullanma), m.158/1-f (nitelikli dolandırıcılık), m.136 (veri ele geçirme) ve 6698 KVKK çerçevesinde değerlendirilir. Bu rehber, phishing mağdurlarının bankacılık tazminatı, sigorta talebi ve ceza yargılaması süreçlerini açıklar.
Phishing Saldırısının Hukuki Nitelendirilmesi
Sahte bir internet bankacılığı sayfası aracılığıyla müşteriden şifre ve OTP alan fail; TCK m.158/1-f kapsamında bilişim sistemleri kullanılarak nitelikli dolandırıcılık suçundan 3 yıldan 10 yıla kadar hapis cezası ile cezalandırılır. Aynı eylem kartın kullanılmasıyla TCK m.245 ile içtima eder; Yargıtay yerleşik içtihadına göre bu hallerde fikri içtima (TCK m.44) değil gerçek içtima uygulanır ve iki ayrı suçtan ceza verilir.
Banka Sorumluluğu ve Tazminat Talebi
5464 sayılı Banka Kartları ve Kredi Kartları Kanunu m.12 ile 6502 sayılı Tüketici Kanunu m.83 gereği banka, sahte işlemlerden kusurlu olmasa dahi ilk sorumludur. Müşterinin kartı kullanmadığını bildirdiği andan itibaren ortaya çıkan zararlardan banka sorumludur. 2020 tarihli BDDK düzenlemelerine göre kart hamili kusursuzluğunu ispatladığında 150 TL’yi aşan zarardan banka sorumlu tutulur. Müşterinin ağır kusuru (şifreyi açıkça paylaşma, 3D Secure onayı verme) söz konusu ise Yargıtay yerleşik içtihadına göre sorumluluk paylaşımı uygulanır.
Hamilton Protokolü: Şikayet ve Para İade Süreci
Phishing mağduru şu sırayla hareket etmelidir: (1) derhal bankayı arayarak kartı bloke ettirme ve işlem iadesi talebi, (2) 48 saat içinde Cumhuriyet Başsavcılığı’na veya Siber Suçlarla Mücadele Şube Müdürlüğü’ne şikayet, (3) BDDK tüketici şikayet portalı (bddk.org.tr) üzerinden başvuru, (4) Hakem Heyeti veya Tüketici Mahkemesine dava. Banka tarafından iade reddedildiğinde 6502 TKHK m.68 kapsamında tüketici hakem heyeti (parasal sınır 2026 için 104.000 TL) başvurusu yapılır.
KVKK Yönünden Banka ve Aracının Sorumluluğu
Phishing sitesine müşterinin yönlendirilmesi KVKK m.12 kapsamında veri güvenliği ihlali sayılabilir. Banka, veri sorumlusu sıfatıyla uygun teknik-idari tedbirleri almakla yükümlüdür; SMS OTP’nin kopya siteye iletilmesine yol açan sistem zafiyetleri tespit edilirse KVKK Kuruluna bildirim (72 saat) ve idari para cezası doğar (47.303 – 9.463.213 TL).
Telefon Şirketi ve Sim-Swap Saldırıları
Fail, kurban adına sahte kimlikle operatörden yeni SIM alarak SMS OTP’yi ele geçirdiğinde GSM operatörü de sorumlu taraf haline gelir. 5809 sayılı Elektronik Haberleşme Kanunu m.51 ve BTK Abonelik Sözleşmeleri Yönetmeliği kapsamında kimlik doğrulama yükümlülüğü ihlal edilmişse, operatörün hukuki sorumluluğu gündeme gelir.
Mevzuat Özet Tablosu
| Konu | Kanun / Madde | Uygulama |
|---|---|---|
| Phishing dolandırıcılığı | TCK m.158/1-f | 3-10 yıl hapis |
| Kart bilgisinin kötüye kullanımı | TCK m.245 | 3-6 yıl hapis + 5000 güne kadar adli para |
| Kişisel veri ele geçirme | TCK m.136 | 2-4 yıl hapis |
| Banka sorumluluğu | 5464 SK m.12, 6502 m.83 | Kusursuz sorumluluk (ilk 150 TL sınırı) |
| KVKK ihlali (banka) | 6698 SK m.12, 18 | İPC 47.303 – 9.463.213 TL |
| GSM operatörü sim-swap | 5809 SK m.51 | Tazminat + BTK idari yaptırım |
| Tüketici hakem heyeti | 6502 m.68 | 104.000 TL’ye kadar (2026) |
Sıkça Sorulan Sorular
Phishing ile paramı kaptırdım, kaç gün içinde bankaya bildirmeliyim?
BDDK düzenlemelerine göre 15 gün içinde yazılı bildirim yapılmalıdır; ancak pratikte öğrenir öğrenmez sözlü ve yazılı bildirim yapılması lehedir. Gecikme, müşterinin kusurunu ağırlaştırıcı unsur olarak değerlendirilebilir.
3D Secure onayı verdim, banka para iadesi yapar mı?
3D Secure onayı otomatik olarak kart hamilinin ağır kusurunu oluşturmaz. İşlem tutarının kart hamili tarafından bilinmeksizin alındığı, OTP’nin phishing sitesine girildiği, sosyal mühendislikle yönlendirme yapıldığı ispatlanırsa Yargıtay yerleşik içtihadına göre sorumluluk paylaştırılır veya banka tam sorumlu tutulabilir.
Failin bulunamaması iade talebime etki eder mi?
Etkilemez. Banka sorumluluğu, failin tespitinden bağımsız olarak doğar; banka ödediği tutarı faile rücu edebilir (TBK m.62). Failin bulunamaması mağdurun bankaya yönelik talep hakkını ortadan kaldırmaz.
İlgili Rehberler
- Bilişim Avukatı Ana Rehber
- Bilişim Dolandırıcılığı TCK m.158/1-f
- KVKK Veri İhlali Bildirimi
- Adli Bilişim Raporu
Bu içerik genel bilgilendirme içerir; phishing mağduriyetinde bireysel olaya uygun strateji için bilişim avukatı ile görüşmeniz önerilir.
İlgili Mevzuat ve Yararlı Kaynaklar
| Mevzuat | Konu | Madde Atfı |
|---|---|---|
| 5237 SK — TCK | Türk Ceza Kanunu genel/özel hükümler | m.1-345 |
| 5271 SK — CMK | Ceza Muhakemesi Kanunu | m.90-103, 100-108, 109-115, 170, 172, 231 |
| 5275 SK | İnfaz — Koşullu salıverilme, denetimli serbestlik | m.105/A, 107, 108 |
| 6284 SK | Koruma/önleyici tedbirler | m.3, 5, 8, 13 |
| 5395 SK | Çocuk Koruma Kanunu | m.4, 5, 11, 25, 35 |
| 5352 SK | Adli Sicil Kanunu | m.9, 12, 13/A |
| AY m.36, 38 | Adil yargılanma, masumiyet karinesi | — |
| AİHS m.5, 6 | Özgürlük, adil yargılanma | — |
Başvurulacak Kurumlar
- Cumhuriyet Başsavcılığı — şikayet ve suç duyurusu
- Sulh Ceza Hakimliği — tutuklama, adli kontrol, arama itirazı
- Asliye/Ağır Ceza Mahkemesi — kovuşturma
- Bölge Adliye Mahkemesi — istinaf
- Yargıtay Ceza Daireleri — temyiz
- İnfaz Hakimliği — infaz işlemleri (4675 SK)
- Adli Sicil ve İstatistik Genel Müdürlüğü — sicil başvuru
Genel bilgilendirme niteliğindedir; somut dosyanız için uzman değerlendirmesi gereklidir.