SIM Swap Saldırısında Banka ve GSM Operatörünün Müşterek Sorumluluğu

SIM swap (SIM kart çoklama / klonlama) saldırısı; failin, GSM operatörünün çağrı merkezini veya bayisini sosyal mühendislikle ikna ederek mağdurun hat sahipliğini yeni bir SIM karta taşıtması ile başlar. Saldırgan artık mağdurun SMS'lerini alır; banka 2FA OTP kodlarını ele geçirir, internet bankacılığında oturum açar ve hesabı boşaltır.

Bu makale, SIM swap mağduriyetinde GSM operatörü ve bankanın hukuki sorumluluğunu genel mevzuat çerçevesinde ele alır. Sonuç dosyaya özgüdür; her durumda müşterek sorumluluk kurulamayabilir.

Hukuki Çerçeve

• 5809 sayılı Elektronik Haberleşme Kanunu ve BTK düzenlemeleri — operatörün KYC ve hat devir prosedür yükümlülüğü
• 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu ile bankacılık genel düzenlemeleri — bankanın güvenlik özen yükümlülüğü
• 6502 sayılı Tüketici Kanunu — tüketici mahkemesi yolu, ayıplı hizmet
• 6098 sayılı TBK m.49 vd. — haksız fiil sorumluluğu

GSM Operatörünün Sorumluluğu

Operatör, hat devri işlemi sırasında kimlik teyit prosedürünü hatasız yürütmek zorundadır. Aşağıdaki durumlar operatör aleyhine değerlendirilebilir:

• Sahte kimlik veya hayali vekaletname ile devir yapılması
• Çağrı merkezinde kimlik doğrulama soruları yetersizken yeni SIM gönderilmesi
• Bayide kimlik fotokopisi alınmadan veya ıslak imzasız işlem yapılması
• Mağdurun "şüpheli işlem" alarmları görmezden gelinmesi

Bankanın Sorumluluğu

Banka açısından da çoklu güvenlik katmanı beklentisi vardır. Yargıtay 11. Hukuk Dairesi içtihatları çerçevesinde değerlendirilen başlıklar:

• Yalnızca SMS-OTP'ye dayanan zayıf 2FA mimarisi
• Cihaz parmak izi (device fingerprint) takibi olmaması
• Davranış analitiği (behavioral analytics) ve coğrafi konum tutarsızlığı uyarısının çalışmaması
• Yüksek tutarlı tek seferlik EFT'lerde ek doğrulama (out-of-band) bulunmaması
• Sürecin hızla "yeni cihaz tanımlama → şifre değişikliği → yüksek tutarlı havale" akışında durdurulamaması

Müşterek Sorumluluk Kurulumu

SIM swap dosyalarında pratik strateji; iki kurum aleyhine paralel dava açılmasıdır. Mahkeme; her iki kurumun kusurunu belirleyip kusur oranlarına göre tazminatı paylaştırabilir. Tipik dava yapısı:

1. Tüketici Hakem Heyeti / Tüketici Mahkemesi'nde banka ve operatör aleyhine
2. Cumhuriyet Başsavcılığı'na fail aleyhine TCK m.244, m.245, m.158/1-f şikâyeti
3. Adli bilişim raporu — saldırı vektörü ve zaman çizelgesinin ortaya konması

Mağdurun Yükümlülüğü

Mağdurun da makul özen göstermiş olması gerekir. "Şifremi başkasına verdim", "phishing bağlantısına tıkladım, bilgilerimi paylaştım" gibi durumlarda banka/operatör sorumluluğu azalır. Aşağıdaki davranışlar lehinize değerlendirilir:

• Banka uygulamasında işlem bildirimlerinin açık olması
• Şifre paylaşımının olmaması
• Telefon hatsız kalır kalmaz operatör ve bankanın aranması
• Şüpheli SMS ve aramaların kayıt altına alınması

Tahsilat Beklentileri

SIM swap dosyalarında tahsilat ihtimali; saldırının zamanında tespitine, paranın zincir hesaplarda dolaşmadan dondurulabilmesine ve iki kurumun kusur oranına bağlıdır. Geri tahsil için kesin vaatte bulunulamaz. Müşterek sorumluluk kurulduğunda, kusur oranları genelde yargılamanın somut delil değerlendirmesine göre belirlenir.

Önleyici Adımlar

1. Operatörünüz nezdinde "hat devri kilidi" / "ek güvenlik PIN'i" aktive ettirin.
2. Banka uygulamasında SMS yerine uygulama bazlı OTP veya cihaz onayı seçeneği varsa tercih edin.
3. Telefon birden hatsız kalırsa derhal operatör ve bankanızı arayın.
4. Yüksek tutarlı işlemler için bankanızla günlük transfer limiti düşürme mutabakatı yapın.

Sonuç

SIM swap mağduriyeti; tek kuruma değil, banka + operatör + fail üçlüsüne karşı yürütülmesi gereken çok ayaklı bir hukuki süreçtir. Erken tespit ve paralel başvuru tahsilat ihtimalini artırır; sonuç her dosyada farklıdır.