BAŞAK FİNANSAL DANIŞMANLIK, DENETİM VE EĞİTİM
BANKACILIK SEKTÖRÜNDE DOLANDIRICILIK EYLEMLERİ VE MAĞDURİYETLER
Dolandırıcılık eylemlerinin en çok gerçekleştiği sektör kuşkusuz bankacılık sektörüdür. Çünkü bu tür eylemlerde nakde ulaşmak temel hedeftir ve nakit de bankacılık sektöründedir.
Son zamanlarda bu eylemlerin ciddi bir biçimde artış kaydettiğini ve ardında da birçok mağdur bıraktığını görmeye başladık.
Gerek teknolojik alanda kaydedilen gelişmeler, gerekse de ekonomi ve sosyal alanda yaşanan değişimler bu eylemlerin artışında önemli roller üstlenmektedir.
Konuyu, banka yöneticileri/personeli tarafından işlenen ve üçüncü şahıslarca bankalarda gerçekleştirilen eylemler (siber suçlar) biçiminde iki gruba ayırarak incelemek uygun olacaktır.
Öncelikle her iki grupta gerçekleştirilen eylemlerde ciddi bir artış olduğunu belirtmemiz gerekiyor. Bu yazımızda bu gruplarda gerçekleştirilen eylemlere ve nedenlerine ayrı ayrı değinilecek ve önerilerimiz aktarılmaya çalışılacaktır.
İlk grupta yönetici ve personele verilen yetkiler kötüye kullanılarak eylemler gerçekleştirildiği için bu eylemleri “Suistimal” olarak isimlendirmek yerinde olacaktır. Bu tür eylemler ağırlıklı olarak iç kontrol sisteminin yeterince etkin olmamasından ve iş akışları/görev tanımlarına uyulmaması sonucunda ortaya çıkmaktadır.
Suistimaller ağırlıklı olarak iki şekilde gerçekleştirilmektedir.
İlkinde müşteri imzası ya aldatılarak alınması imza taklit edilmek suretiyle hesaplarda usulsüz paralar çekilmekte ve zimmete geçirilmektedir. Keza hileli bir işlemle banka sistemine tanımlı müşteri telefon numarası değiştirilmekte ve dijital kanallar kullanılarak müşteri hesapları da boşaltılabilmektedir. Daha çok internet kullanımı olmayan ve dolayısıyla da hesaplarını her an kontrol imkanına sahip olmayan müşteriler tercih edilmektedir. Müşteri bir şekilde hesabından para çekildiğini tespit ettiğinde bir yanlışlık olduğu söylenmekte ve bir başka kurban bulunarak o hesaptan transfer edilen tutarla ilk işlemdeki usulsüzlük sözde giderilmeye çalışılmaktadır.
Yeni kurulan 100 TL. sermayeli bir lojistik şirketine mali durumu oldukça yetersiz bir bankanın teminat mektubu ile 65 milyon EURO kredi tahsis edilmesi, doğal olarak sonrasında bu kredinin batması yönetici suiistimaline verilebilecek çarpıcı örneklerden biridir.
Her ne kadar yukarıda verilen bu kapsama girmese de son dönemlerin en dikkat çekici olaylarından biri olan Seçil Erzan davası da yine önemli bir yönetici suistimalidir.
Bazen bir veya birkaç kişinin bu kapsamdaki eylemleri sonucu ardında milyarlarca dolar zarar bırakarak büyük bankalar batabilmektedir. Bu konuda verilebilecek en çarpıcı örnek 1762 yılında kurulmuş olan Barings Bank’tır. İngiltere’nin önemli bankalarından biri olan ve Kraliçenin bankası olarak da bilinen Banka, sadece bir kişinin yaptığı suiistimaller sonucu 1995 yılında 1 milyar doları aşan bir zararla batmış ve 1 Sterline Hollandalı İNG gruba satılmıştır.
İkinci grup suiistimallerde ise ağırlıklı olarak daha önce limiti olan ve hali hazırda kullanımı bulunmayan müşteriler seçilerek hazırlanan bazı sahte evrak ve atılan imzalarla sanki kredi kullandırılmış gibi bir işlem tesis edilmekte ve çekilen kredi tutarı ilk grupta olduğu gibi zimmete geçirilmektedir. Bu tür usulsüzlüklerde kredi dönem faizlerinin zamanında ödenmesine azami önem verilmekte ve bu sayede anılan usulsüzlüğün ortaya çıkması engellenmektedir.
Her iki grupta yer alan suistimal eylemleri iç sistemler özellikle de sistemsel ve manuel iç kontroller de var olan zafiyetler sonucu çoğu zaman yıllarca devam edebilmektedir.
Müşteriler tarafından zaman zaman hesapların kontrolü bu eylemleri ortaya çıkmasını sağlayacak ve tekrarını önleyecektir.
Yönetici ve personel tarafından gerçekleştirilen bu tür eylemlerde müşteri ile bir işbirliği tespit edilemediği sürece herhangi bir müşteri mağduriyeti söz konusu olmamakta ve mağdur olan müşterilerin tüm kayıpları bankalarca karşılanmaktadır.
Usulsüzlük tespit edildiğinde ise sorumlular, 5411 sayılı Bankacılık Kanunu’nun “Zimmet” başlıklı 160. maddesine göre yargılanmakta ve 20 yıla kadar uzanan bir hapis cezasına çarptırılabilmektedir.
Bankacılık sektöründe giderek artan bir biçimde gerçekleştirilen eylemlerin ikinci grubunda ise üçüncü şahıslarca bankalarda gerçekleştirilen eylemler yer almaktadır. Bu eylemler, birisini aldatarak parasını veya malını elinden almak şeklinde tanımlanan “Dolandırıcılık” tanımına daha uygun düştüğü için de bu tür eylemleri Dolandırıcılık eylemleri olarak nitelendirmek daha doğru olacaktır. Ağırlıklı olarak da internet kullanımı ve bilgi işlem teknolojileri kullanılarak yani siber suçlar biçiminde gerçekleştirilmektedir.
Bu gruptaki eylemler daha kapsamlı, karmaşık ve müşteri mağduriyetlerinin giderilmesi konusunda çok daha fazla belirsizlikleri kapsamaktadır.
Dolandırıcılık eylemleri ağırlıklı olarak; Mali Tablolar Suistimali, Sosyal Mühendislik Yöntemi, İnternet Bilişim Suçları, Belge / Bilgi Sahteciliği, Sahtecilik ve Mevduat Hesabı Açılışı, Kartlı İşlem Sahteciliği, Çağrı Merkezi Hedefli Dolandırıcılıklar.
Anılan yöntemlerle ilgili olarak verilebilecek çok çarpıcı örnekler vardır. Ancak bu yazımızda son günlerde yoğun bir biçimde kamuoyunda yer alan, ve birçok mağdurun olduğu iddia edilen dolandırıcılık suçlarından “Sosyal Mühendislik ve İnternet Bilişim Suçları” üzerinde durulacaktır.
Kamuoyunda yoğun bir biçimde tartışılan ve mağdur olduğunu iddia eden kişiler, sözkonusu yöntemlerle mobil bankacılık uygulaması üzerinden adlarına çoğu gece yarısı, kredi ve kredili mevduat limiti (KMH) limiti oluşturularak kredi çekildiğini, kredi kart nakit çekme limitlerinin yükseltilerek de bu eylemin tekrarlandığını ifade etmekte ve milyon TL.’lik zararlardan söz etmektedirler.
Teknolojik alandaki gelişmeler ile kişisel verilerin korunması konusunda yeterli dikkat ve özenin gösterilmemesi sonucu siber suç kaynaklı dolandırıcılık eylemleri hızla artmaya başlamıştır.
Aslında bir bakıma bu suçlarda İmar Bankası’nın batışı milat olarak alınabilir. Banka nezdindeki mevduata ilişkin kayıtlar bilgi işlem sistemlerinden silinmiş ve TCMB’ye bildirilen mevduat tutarı 750 trilyon (eski para ile) olmasına karşın, bankanın TMSF’ye geçmesinden sonra yapılan incelemeler sonucunda gerçek mevduatın 10 kattan daha fazla 8.4 katrilyon TL. civarında olduğu ortaya çıkmış ve BDDK ile TMSF’nin ortak hazırladığı raporda eşi ve benzeri görülmemiş bir yolsuzluk örneği olarak nitelendirilmiştir.
Bu olay Türk bankacılık Sektöründe denetimin kapsamını değiştirmiş ve bankaların bilgi işlem sistemleri her yıl belirli aralıklarla ve oldukça kapsamlı bir biçimde hem iç ve hem de dış denetim tarafından denetlenmeye başlanmıştır.
Ancak bu denetimlere ve alınan sıkı önlemlere rağmen aşağıda da değinileceği gibi üçüncü kişiler tarafından bankacılık sektöründe giderek artan biçimde siber suçlar kanalı ile dolandırıcılık eylemleri gerçekleşmekte ve çok ciddi maddi ve itibar kayıplarına sebebiyet verilmektedir.
Bu dolandırıcılık eylemleri çoğunlukla, bankaların sistemlerindeki güvenlik açıklarından, kamu ve özel kişi ve kurumların veri güvenliğine yeterince dikkat etmemesinden kaynaklanmaktadır.
Kişisel verilerin güvenliğini sağlamaya yönelik olarak 2016 yılında çıkarılan 6698 sayılı Kişisel Verilerin Korunması Kanunu bu alanda önemli katkılar sağlamış olsa da yaşanan veri sızıntıları ve verilerin kamu eliyle ticari amaçla satışa konu edilmesi gibi gelişmeler dikkate alındığında hem kamu hem de kişi ve kurumlar özelinde yeterli özenin gösterilmediği anlaşılmaktadır. son olarak 108 milyon kişinin verilerinin çalındığına yönelik iddialar bu konuda önemli bir sorunun olduğunu göstermektedir.
Peki kişisel veriler nasıl elde edilmektedir? Bilgisayar korsanlarının veri merkezlerine sızarak kişisel verileri ele geçirmesi dışında kullanılan en yaygın yöntemlerden biri de “Sosyal Mühendislik” yöntemidir. Etkileme ve ikna etme kabiliyetlerini kullanmak suretiyle kişiden bilgi almak ya da kişinin istenilen işlemleri yapmasını sağlamak olarak tanımlanan, Sosyal Mühendislik yöntemi ile elde edilen kişisel veriler ile yoğun bir biçimde siber suçlar ve dolandırıcılık eylemleri gerçekleştirilmektedir.
Kişisel veriler ayrıca; Bilgisayar Virüsleri, Truva Yazılımları (Trojan), Phishing (Olta) Saldırıları ve SİM Kart Kopyalama yöntemleri ile de yoğun bir biçimde ele geçirilmektedir. “Phishing saldırıları”, internet suçları arasında en yaygın ve tehlikeli olanlarından biridir. Sanal dolandırıcılar, öncelikle banka ve finans kurumlarının sitelerinin görsel olarak bire bir benzerlerini oluşturmaktadırlar. Sonrasında ise banka, kart şirketi veya resmi bir kurumdan geliyormuş gibi hazırladıkları ve müşteri bilgilerinin güncellenmesi veya şifrelerin değiştirilmesi konulu sahte e-postayı, elde edebildikleri tüm e-posta adreslerine göndermekte ve buradaki linklerle kurbanları hazırladıkları sahte sitelere yönlendirmektedir. Bazı müşteriler, tehlikenin farkında olmadan, adreslere tıklayarak istenilen bilgileri doldurmakta ve bunun sonucunda, kişisel bilgileri ve şifreleri dolandırıcıların eline geçmektedir.
Binlerce kişi bu şekilde dolandırıcılar tarafından aldatılarak zarara uğratılmıştır. Sayı her geçen gün de artmaktadır.
Kişisel verilerin korunması konusunda yaşanan zafiyetler ve küresel ölçekte artan internet kullanımı, siber suçların da ciddi bir biçimde artmasına neden olmaktadır. Dünyada en hızla büyüyen suçlardan biri olan Siber Suçlar, hem bireyler hem de kurumlar açısından artan bir tehdit haline gelmiştir. Siber suçların yoğun olarak işlendiği sektörlerin başında kuşkusuz finansal sektör gelmektedir. Çünkü birçok eylemin ortak amacı nakde ulaşmaktır, nakit de finansal sektördedir. Çok sıkı düzenleme ve denetime tabi tutulmasına rağmen banka ve banka dışı finansal sektörde veri güvenliğinden kaynaklı sorunlar nedeniyle yoğun bir biçimde dolandırıcılık eylemleri gerçekleştirilmektedir. Bu piyasalarda gerçekleşen Fidye Yazılımları ve diğer siber suçlar itibar kaybı yaratacağı endişesi ile çoğunlukla dışarıya da yansıtılmamaktadır.
Siber suçlarla özellikle son dönemde Emniyet Genel Müdürlüğünce MASAK ile koordinasyon içerisinde yoğun bir biçimde mücadele yürütülmektedir. Aynı zamanda yasadışı bahis faaliyetlerinin de engellenmesini sağlayan bu mücadele, gerek yasadışı bahis, gerekse de diğer suçlardan elde edilen suç gelirleri ve bu gelirlerin aklanması ile ilgili yürütülen mücadeleye de önemli katkılar sunmaktadır.
Dr. Ramazan BAŞAK
E. Bankalar Yeminli Murakıbı