Phishing mağduruyum, banka parayı geri vermek zorunda mı?

Yargıtay yerleşik içtihadı uyarınca banka objektif özen yükümlülüğüne tabidir. Müşteri ağır kusurlu değilse zarar bankada kalır. Yargıtay HGK 2024/304 E. ve 11. HD'nin güncel kararları bu yöndedir.

Phishing davasında ispat yükü kimde?

Banka, sözleşmesel özen yükümlülüğünü ifa ettiğini (yeterli güvenlik önlemleri, anormal işlem tespiti, 2FA gibi) ispat etmekle yükümlüdür. Müşteri ise işlemi yapmadığını ileri sürmektedir.

Phishing zaman aşımı süresi ne kadar?

Sözleşme dışı sorumluluk için TBK m.72 uyarınca zararı öğrenmeden itibaren 2 yıl, her halükârda 10 yıllık zaman aşımı uygulanır. Tüketici işlemlerinde 6502 sayılı Kanun m.55/3 vd. süreleri dikkate alınmalıdır.

BTK ve BDDK'ya başvuru zorunlu mu?

Yargısal başvuru için BTK ve BDDK şikayeti zorunlu değildir; ancak deliller açısından ve bankanın kusurunu ortaya koymak bakımından paralel idari başvuru tavsiye edilir.

Yetkili mahkeme hangisi?

Tüketici sıfatıyla açılacak davada Tüketici Mahkemesi (6502 sayılı Kanun m.73) yetkilidir. Tüketici sıfatı bulunmayan davalar Asliye Ticaret veya Asliye Hukuk Mahkemesinde görülür.

Phishing (Oltalama) Banka Sorumluluğu 2026: Yargıtay Kararları - Av. Bilal Alyar

Bu yazıdaphishing (oltalama) yöntemiyle banka müşterisinin hesabından izinsiz para çekilmesi durumunda bankanın objektif özen yükümlülüğü ve kusur sorumluluğu, 2024-2026 dönemine ait güncel Yargıtay kararları ışığında ele alınmaktadır. Bilişim hukuki bilgilendirme olarak yargılama süreçlerinde dikkat edilmesi gereken hususları somut içtihatlarla aktarıyoruz.

Phishing Nedir? TCK ve TBK Çerçevesi

Phishing, kullanıcıyı sahte e-posta, SMS veya web sitesi yoluyla aldatarak banka kimlik bilgilerini, kredi kartı numaralarını veya tek kullanımlık şifreleri (OTP) ele geçirme yöntemidir. Hukuki açıdan eylem birden fazla suça vücut verebilir: TCK m.158/1-f bilişim sistemiyle nitelikli dolandırıcılık, TCK m.243 bilişim sistemine girme, TCK m.244 sistemi engelleme/bozma, TCK m.245 banka kartının kötüye kullanılması.

Bankanın Objektif Özen Yükümlülüğü

Yargıtay yerleşik içtihadına göre banka, müşterisinin hesabını ve mevduatını korumakla yükümlü olup bu yükümlülük objektif özen yükümlülüğüdür. TBK m.66 vd. ve 6493 sayılı Kanun çerçevesinde bankanın hizmet ifası sırasında ortaya çıkan zararlar, müşteri ağır kusurlu olmadığı sürece bankada kalır. Önemli güncel karar:

Yargıtay HGK 2024/304 E., 2025/525 K., 17.09.2025 — Phishing yoluyla gerçekleştirilen işlemde bankanın kusur sorumluluğu
Yargıtay 11. HD 2025/1470 E., 2025/6573 K., 03.11.2025 — Phishing — banka sorumluluğunun kapsamı
Yargıtay 11. HD 2023/2673 E., 2024/5119 K., 24.06.2024 — Phishing davasında bankanın güvenlik önlemleri
Yargıtay 11. HD 2023/1184 E., 2024/4757 K., 06.06.2024 — Phishing tazminat davası
Yargıtay 11. HD 2022/4527 E., 2024/585 K., 24.01.2024 — Phishing — banka kusur

Mağdurun Yapması Gerekenler

Olayı fark eder etmez bankayı arayarak hesap dondurma talebinde bulunun (6493 sayılı Kanun m.34/2).
En yakın karakola başvurarak şikayet dilekçesi verin (CMK m.158).
BDDK ve TCMB’ye yazılı şikayet iletin.
BTK İhbar Web sitesi üzerinden sahte siteyi raporlayın.
Banka kayıtlarını (işlem dökümleri, IP logları, OTP gönderim kayıtları) yazılı olarak isteyin (TBK m.392).
Bilişim hukuki bilgilendirme ile delil tespiti dilekçesi (HMK m.400) hazırlayarak hesap hareketlerini koruma altına alın.
Tazminat davasını yetkili Tüketici Mahkemesinde açın (6502 sayılı Kanun m.73).

Phishing Davalarında İspat Yükü

Yargıtay’a göre işlemin müşteri tarafından yapılmadığını ispat yükü kural olarak müşterideir; ancak banka, sözleşmesel borcunu özenle ifa ettiğini ispat etmekle yükümlüdür. Anormal işlem örüntüsü (yüksek tutarlı, gece saatinde, farklı IP’den), iki faktörlü doğrulama eksikliği veya geç bildirim durumlarında bankanın sorumluluğu artar.

Phishing Nedir? TCK ve TBK Çerçevesi

Bankanın Objektif Özen Yükümlülüğü

Mağdurun Yapması Gerekenler

Phishing Davalarında İspat Yükü

İlgili Hukuki Rehberler

İletişim

Hizmet Alanları

Yasal

Sosyal Medya