İBAN değişikliği yoluyla yapılan dolandırıcılık, son yıllarda yaygınlaşan bir mali suç türüdür. Saldırgan, kurban kuruluşa veya kişiye gönderilen bir faturanın IBAN’ını değiştirerek ödemenin kendi hesabına yapılmasını sağlar. Bu rehberde IBAN değişikliği saldırılarına karşı izlenecek hukuki yol, tedbir kararları ve geri alma süreçleri ele alınmıştır.

Saldırının Yapısı

IBAN değişikliği saldırıları genelde iki yöntemle yapılır: 1) E-posta ele geçirme (Business Email Compromise – BEC) ile fatura ekindeki IBAN değiştirilir, 2) Sahte e-posta ile alıcının fatura sürecinde gerçekçi bir hesap değişikliği yazışması simüle edilir.

Yasal Çerçeve

Bu tür saldırılar; 5237 sayılı Türk Ceza Kanunu’nun 158 (nitelikli dolandırıcılık), 245 (banka veya kredi kartlarının kötüye kullanılması), 142 (hırsızlık), 244 (sistemleri engelleme/bozma) ve 243 (bilişim sistemine girme) maddeleri kapsamında değerlendirilir.

İlk Müdahale

Saldırı fark edildiğinde ilk yapılması gereken: Bankaya derhal bildirim ve transferin durdurulması/geri çekilmesi talep edilmesi, dijital adli bilişim incelemesi için kanıtların korunması, Cumhuriyet Başsavcılığı’na suç duyurusunda bulunulması, BTK üzerinden alıcı banka bilgilerinin sorgulanması.

İhtiyati Tedbir

Saldırı sonrası bankada bekleyen veya alıcı hesabına ulaşmış paralar için Hukuk Muhakemeleri Kanunu’nun 389 ve devamı maddeleri çerçevesinde ihtiyati tedbir kararı talep edilebilir. Tedbir kararı ile alıcı hesabındaki bakiyeye blokaj uygulanır.

İade Süreci

Tedbir kararı ile bankaya başvurularak para iadesi sağlanır. Banka, mahkeme kararı olmaksızın hesaba blokaj uygulayamaz; bu nedenle kararın hızla alınması belirleyicidir.

Banka Sorumluluğu

Bankaların IBAN-ad eşleşmesini kontrol etmemesi, son yıllarda tartışılan bir sorumluluk konusudur. Bazı bankalar IBAN-ad uyuşmazlığı durumunda transfer öncesi uyarı sistemi geliştirmiştir. Bu uyarıyı görmezden gelerek transferi onaylayan müşterinin sorumluluğu artar.

Sigorta Kapsamı

Siber sigorta poliçeleri, BEC saldırılarından kaynaklı kayıpları çoğu zaman kapsam dışı tutar. Poliçe metninin titizlikle değerlendirilmesi gerekir. Bazı özel kapsamlı sigortalar (crime insurance) BEC kapsamı sunar.

Sıkça Sorulan Sorular

Para gönderildikten sonra geri alınabilir mi?

Saldırının erken tespiti halinde banka iadesi mümkün olabilir. Birkaç saat geçtikten sonra paranın çekilmiş olması ihtimali artar.

İhtiyati tedbir kararı ne kadar sürede alınır?Acil durumlarda mahkeme aynı gün karar verebilir. Karar sonrası bankaya tebliğ ve blokaj süreci hızla yürür.

Saldırgan tespit edilmezse ne olur?Para iadesi alınmamış ise, sigorta kapsamı veya banka sorumluluğu çerçevesinde takip yapılabilir.

Şirketin alınabilecek önlemler nelerdir?Çift faktörlü doğrulama, IBAN değişikliği için telefon teyidi, e-posta güvenliği eğitimi ve yetki ayrımı temel önlemlerdir.

Sonuç

IBAN değişikliği saldırıları, finansal ve hukuki risk yaratan ciddi bir mali suç türüdür. Hızlı müdahale, ihtiyati tedbir kararının zamanında alınması ve banka koordinasyonu, kayıpların geri alınması için belirleyici unsurlardır.