Posted on

Yetkili Ödemeye Zorlama Dolandırıcılığı: Ödeme Hizmetleri Yönetmeliği Taslağı İçin Öneriler

Ödeme hizmetlerinin dijitalleşmesiyle birlikte ödeme dolandırıcılığı giderek yaygınlaşırken, ödeme dolandırıcılığının niteliği de değişmektedir.

Tarihsel olarak, ödeme dolandırıcılığı birinin banka kimlik bilgilerini, örneğin banka kartını çalmakla sınırlıydı. Bu durum, ödeme hizmeti kullanıcısı [payment service user] tarafından değil, dolandırıcı tarafından yetkilendirilen yetkisiz (ödeme) işlemiyle sonuçlanmıştır. Günümüzde ise, ödeme dolandırıcılığı ayrıca ödeme hizmeti kullanıcısını kandırarak başka bir hesaba ödemeyi yetkilendirmesini de içerir. Bu tür dolandırıcılığın bir örneği, ödeme hizmeti kullanıcısının bankasıymış gibi davranarak ödeme hizmeti kullanıcısından parasını güvende tutmak için harekete geçmesini istemektir. Bu tür dolandırıcılığa yetkili ödemeye zorlama dolandırıcılığı [1][authorised push payment fraud] denir çünkü ödeme hizmeti kullanıcısının kendisi ödeme işlemini yetkilendirmiştir.

Özellikle, mevcut Avrupa Birliği Ödeme Hizmetleri Direktifi[2] [EU Payment Services Directive-PSD2], ödeme hizmeti kullanıcısının ödeme hizmeti sağlayıcısının [payment service provider], ödeme hizmeti kullanıcısı hesabını güvenli tutma yükümlülüğünü kasıtlı veya ağır ihmal sonucu yerine getirmediği veya hileli hareket etmediği sürece yetkisiz ödemeler durumunda sorumlu olduğunu öngörmektedir. Ancak, yetkili ödemeye zorlama dolandırıcılığı durumunda, Ödeme Hizmetleri Direktifinde ödeme hizmeti sağlayıcısına sorumluluk tahsis eden bir hüküm bulunmamaktadır. Ödeme hizmeti sağlayıcısı, işlemin ödeme hizmeti kullanıcısı tarafından yetkilendirildiğini kanıtlar kanıtlamaz, ikincisi tüm sonuçlara katlanmak zorundadır. Sadece bazı Avrupa Birliği yargı bölgelerinde ödeme hizmeti kullanıcısı, ödeme hizmeti kullanıcısı (i) ödeme hizmeti sağlayıcısının işlemlerini izlemek için ulusal özel hukuka dayalı bir özen yükümlülüğü olduğunu, (ii) işlemlerin şüpheli olduğunu fark etmesi gerektiğini ve (iii) harekete geçmediğini kanıtlayabilirse, ödeme hizmeti sağlayıcısından tazminat alabilir.

Yetkili ödemeye zorlama dolandırıcılığındaki bu büyüme ve mağdurun zayıf yasal konumu, yasa koyucularda artan bir rahatsızlık hissine yol açmış ve bu, bir yönetmelik taslağında [Ödeme Hizmetleri Yönetmeliği (Payment Services Regulation) taslak teklifi[3]] ortaya konulacak olan Ödeme Hizmetleri Direktifi’nin güncellenmesi için Avrupa Komisyonu’nun tasarısında ön plana çıkmıştır. Avrupa Komisyonu, dolandırıcının [fraudster] ödeme hizmeti sağlayıcısını taklit etmesi durumunda ödeme hizmeti sağlayıcısının ödeyiciye karşı yetkili ödemeye zorlama dolandırıcılığı için bir sorumluluk üstlenmesini önermiştir. Avrupa Komisyonu’nun bu özel teklifi, Avrupa Birliği eş yasa koyucuları tarafından memnuniyetle karşılanmış; ancak ikincisi, tek ödeme hizmeti sağlayıcısı taklit dolandırıcılığından daha fazla senaryoda ödeme hizmeti kullanıcısına tazminat ödenmesi önerisiyle tamamlanmıştır. Bu durum, hangi önlemlerin alınacağı konusunda şiddetli bir tartışmaya yol açmıştır.

Toplam 5 yargı alanını temsil eden 10 akademisyenden oluşan bir grup, Avrupa Birliği eş yasama organına öneriler sunmak için güçlerini birleştirmiş; bu da, şu anda Avrupa Bankacılık Enstitüsü Çalışma Belgesi serisinde [European Banking Institute Working Paper series] yer alan bir makaleyle sonuçlanmıştır. Yazarlar bu makalede, yetkili ödemeye zorlama dolandırıcılığının nasıl düzenlenmesi gerektiği konusunda Avrupa Birliği eş yasama organlarına rehberlik etmeyi amaçlamaktadır. Bunu yapmak için, dolandırıcı ödemelerin şu anda Ödeme Hizmetleri Direktifi kapsamında nasıl ele alındığını da tartışıyorlar.

Temel sonuçları şunlardır:

  1. Avrupa Birliği genelinde bir işlemin yetkilendirildiğine dair tutarlı bir yorum yoktur. Özellikle ödeme hizmeti kullanıcısının işlemi kendisi doğrulamış olması ancak bir dolandırıcının etkisi altında olması durumunda, bazı yargı bölgeleri işlemin yetkilendirilmediğini düşünmektedir. Diğer birçok yargı bölgesi de bu işlemin yetkilendirildiğini düşünmektedir.
  2. Ödeme Hizmetleri Direktifi’nin kendisine dayanarak hiçbir sorumluluğun temellendirilemeyeceği durumlarda -çünkü işlem yetkilendirilmiştir- yine de ulusal özel hukuka dayalı ödeme hizmeti sağlayıcısının sorumluluğu için yer olup olmadığına dair yargı bölgeleri genelinde tutarlı bir yorum yoktur.
  3. Yukarıdaki (i) ve (ii) maddelerinde, Avrupa eş-yasama organının Ödeme Hizmetleri Yönetmeliği’nde şunları açıklığa kavuşturması gerektiği sonucuna varılmaktadır: (i) bir ödeme hizmeti kullanıcısı bu işlemi bir dolandırıcının etkisi altındayken doğrulamışsa bu işlemin de yetkili olup olmadığı ve (ii) Ödeme Hizmetleri Direktifi kapsamındaki sorumluluk rejiminin ödeme hizmeti sağlayıcısının ulusal özel hukuka dayalı sorumluluğuna ne ölçüde yer bıraktığı (örneğin bir ödeme hizmeti sağlayıcısının özen yükümlülüğü). Eş-yasama organı, sorumluluğu gerçekten uyumlu hale getirerek veya takdir yetkisini kasıtlı olarak Avrupa Birliği Üye Devletlerine bırakarak bunu düzeltmelidir. Bu makalenin yazarlarının çoğunluğu, ödeme hizmeti kullanıcısının dolandırıcılığın etkisi altında bile işlemi kendisi başlatıp doğrulamış olması durumunda, bu işlemin Ödeme Hizmetleri Yönetmeliği kapsamında yine de yetkili sayılması gerektiği görüşündedir.
  4. Bu makalenin yazarlarının çoğunluğu, Ödeme Hizmetleri Yönetmeliği’nde yetkili ödemeye zorlama dolandırıcılığı için sorumluluğun banka kimliğine bürünme dolandırıcılığı vakalarıyla sınırlı olmaması gerektiği, ancak dolandırıcının ödeme sistemine olan güvenini kötüye kullanması koşuluyla [örneğin polis veya düzenleyici kimliğine bürünme (police or regulator impersonation)] diğer ödeme dolandırıcılığı senaryolarını da kapsaması gerektiği görüşündedir. Ödeme sistemine olan güvenle doğrudan ilişkili olmayan ödeme dolandırıcılığı vakalarında [örneğin WhatsApp dolandırıcılığı, fatura dolandırıcılığı ya da ilişki/yakınlık dolandırıcılığı (WhatsApp fraud, invoice fraud or relationship fraud)], sorumluluğun ödeme hizmeti sağlayıcısına tahsis edilip edilmeyeceği (örneğin ulusal yasaya göre bir ödeme hizmeti sağlayıcısının özen yükümlülüğüne dayanarak) Üye Devletin takdirine bırakılmalıdır.
  5. Bu makalenin yazarlarının çoğunluğu, Ödeme Hizmetleri Yönetmeliği’nde yetkili ödemeye zorlama dolandırıcılığı bağlamında ‘ağır ihmal’ tanımını savunmakta olup; muhtemelen gerekçelerde bazı somut ağır ihmal örnekleriyle birleştirilerek, ödeme sistemine olan güveni ilgilendiren sahtecilik durumunda geri ödeme kuralına ilişkin bu istisnanın çok dar bir istisna olması amaçlandığını göstermektedir. Böyle bir tanım, ağır ihmalin ödeme hizmeti kullanıcısı açısından ciddi derecede suçluluk anlamına gelebileceği ve ağır ihmali tespit etmek için ödeme hizmeti sağlayıcısının kullanıcının belirli koşullar altında ödeme dolandırıcılığı kurbanı olma riskinin farkında olduğunu veya farkında olması gerektiğini kanıtlaması gerektiği şeklinde olabilir.
  6. Yazarların çoğunluğu, özellikle de işlemlerin anında olması gerektiğini kural olarak belirleyen son Anında Ödemeler Yönetmeliği[4] [Instant Payments Regulation] dikkate alındığında, Avrupa eş-yasa koyucusunun, ödeme hizmeti sağlayıcılarının dolandırıcılıkla mücadele etmek için işlemleri ne ölçüde izleyebileceğini ve ödeme hizmeti sağlayıcılarının büyük işlemler için işlemleri ne ölçüde askıya alabileceğini veya sürelerin ertelenmesini uygulayabileceğini belirtmesi gerektiğine inanmaktadır.
  7. Yazarların çoğunluğu, Ödeme Hizmetleri Yönetmeliği bağlamında geliştirilecek kuralların Avrupa Dijital Kimlik Cüzdanı [European Digital Identity Wallet], tüketici kredisi veya yatırım ürünleri veya kripto varlıklarla ilgili dolandırıcılık [consumer credit or fraud concerning investment products or crypto-assets] içeren dolandırıcılıklara genişletilmesi gerekebileceğine inanmaktadır. Ödeme hizmeti sağlayıcılarının, ödeme sistemine olan güvenin dolandırıcı tarafından kötüye kullanılması durumunda sorumlu tutulmasını gerektiren aynı mantık, bu diğer finansal kuruluşların güvenliğine ve selametine olan güven tehlikede olduğunda tüketicinin de zararsız tutulması gerektiği sonucuna işaret etmektedir.

[1] Derleyenin Notu: “Yetkili ödemeye zorlama dolandırıcılığı” (aynı zamanda “anlık ödeme dolandırıcılığı” olarak da bilinir), kurbanların dolandırıcılara gerçek zamanlı ödemeler (real-time payments) yapmaya yönlendirildiği, genellikle bir kimliğe bürünmeyi içeren sosyal mühendislik saldırılarıyla gerçekleştirilen bir dolandırıcılık biçimidir. Bu dolandırıcılık, bir dolandırıcının bir banka hesap sahibini yasadışı nedenlerle bir ödemeyi yetkilendirmek için kandırmasıyla gerçekleşir yani, mağdurun bir dolandırıcılığa düştüğü için işlemin gerçek olduğuna inanarak kendisi bir işlem yapmasıdır. Yetkilendirilmenin söz konusu dolandırıcılığın bir örneği, mağdurun İnternette biriyle tanışması ve sahte bir iş anlaşması için o kişiye para göndermeye ikna edilmesidir. Fatura Dolandırıcılığı: Fatura dolandırıcılığında [invoice scam], kurban sahte bir faturayı ödemeye kandırılır. Sosyal mühendislik, kimliğe bürünme ve sahte belgelerin birleşimiyle dolandırıcılar kurbanı görünüşte meşru bir faturayı ödemeye ikna eder. Bireyler için bunlar genellikle elektrik, gaz, internet veya kablo hizmetleri gibi düzenli ödemeleri hedefler. İşletmeler için bu tek faturalar anlamına gelebilir, ancak aynı zamanda işletmenin sistemlerindeki ödeme alıcısını değiştirmesi anlamına da gelebilir; bu da dolandırıcıya sürekli ödeme yapılmasıyla sonuçlanır. Romantik Dolandırıcılık: Romantik dolandırıcılıkta [romance fraud/scam], dolandırıcılar dolandırıcılık yapmak için sahte romantik ilişkilere girerler, kurbanlarıyla kurdukları kişisel bağlantıyı kullanarak nakit ve diğer değerli eşyalar elde ederler. Her zaman böyle olmasa da, çoğu romantik dolandırıcılık bir suçlunun yetkili ödemeye zorlama dolandırıcılığının bir sürümünü gerçekleştirmesiyle sonuçlanır. Dolandırıcı başka değerli eşya da talep edebilse de, genellikle yetkili anlık ödemeler şeklinde para talep eder. Neredeyse tüm romantik dolandırıcılıklarda, dolandırıcılar başka kişileri taklit eder ve kurbanlarının güvenini ve sempatisini kazanmak için sosyal mühendislik taktikleri kullanır. Yeterince bir ilişki geliştirdiklerini düşündüklerinde, kurbandan gerçek zamanlı ödemeler talep ederler. Kişisel İlişki Dolandırıcılığı [personal relationship scam]: Romantik dolandırıcılıklara çok benzeyen bir düzende, dolandırıcılar kurbanın bir aile üyesini veya arkadaşını taklit ederek, anlık ödeme yoluyla para talep ederler. Bunu gerçekleştirmek için dolandırıcının genellikle kurbanı hakkında kişisel bilgilere sahip olması gerekir, böylece bir akraba veya tanıdık gibi davranabilir. Bu bilginin kendisi genellikle kimlik avı, bilgisayar korsanlığı veya karaborsa gibi diğer dolandırıcılık ve suç biçimleriyle elde edilir. Romantik dolandırıcılıklarda olduğu gibi, dolandırıcılar genellikle kurbanı ödemenin hayati önem taşıdığına ve hızlı bir şekilde gönderilmesi gerektiğine ikna etmek için bir aciliyet duygusu verirler. Emlak Parası Dolandırıcılığı: Emlak fonu dolandırıcılıklarında [property fund scams], kurbanlar bir dolandırıcıya emlak satın alma ile ilişkili masrafları ödemeye kandırılır. Gayrimenkul anlaşmalarıyla ilişkili fonlar şüphesiz önemlidir ve bu dolandırıcılık kurbanlar için ciddi sonuçlar doğurur. Dolandırıcıların bu borsaya sızabilmeleri için, genellikle evin satışı ile ilgili bilgi edinmeleri (genellikle alıcı veya satıcı, emlakçı veya hatta finans kuruluşu arasındaki iletişimleri keserek) gerekir. Dolandırıcılar, kurbanı mülk satın alımında ödemeyi yapan kişiyi değiştirmeye ikna etmek için sahte belgeler, kimliğe bürünme ve sosyal mühendislik kullanırlar. Daha sonra parayı kendileri alırlar ve parayla kaçarlar. Hesap Ele Geçirme Dolandırıcılığı: Hesap ele geçirme [account takeover fraud] dolandırıcılığında, suçlular kurbanın hesabına doğrudan erişim sağlar ve daha sonra bu erişimi dolandırıcılık faaliyetlerinde bulunmak için kullanırlar. Yetkili ödemeye zorlama dolandırıcılığında, kurbanın hesabı üzerindeki kontrollerini kullanarak, hesap sahibinden yetki almadan, yetkili ödemeleri kendileri gerçekleştirirler. Bu, dolandırıcının sosyal mühendislik yapması ve kurbanı ödemeleri kendisi yapmaya zorlaması ihtiyacını ortadan kaldırır; bu da genellikle yetkili ödemeye zorlama dolandırıcılığının en zor ve zaman alıcı bileşenlerinden biridir. Taahhüt Dolandırıcılığı [contractor scam]: Ev tadilatı veya sözleşme dolandırıcılığı, esasen fatura dolandırıcılığının daha karmaşık bir sürümüdür; burada kurban, tadilat masraflarını meşru müteahhide ödemek yerine dolandırıcıya ödemeye kandırılır. Dolandırıcılar, gerçekleşen ev tadilatları hakkında bilgi bulmak için kimlik avı ve diğer araştırma yöntemlerini kullanır. Bir iş hakkında yeterli bilgi edindiklerinde, anlaşmaya sızarlar, kendi faturalarını ev sahibine sunarlar ve meşru yüklenici gibi davranırlar. Mağdur faturayı ödediğinde, dolandırıcı ödemeyle birlikte ortadan kaybolur. Dolandırıcılık, mağdur meşru yükleniciden meşru faturayı alana kadar keşfedilmez.

[Bu nota ilişkin kaynaklar konusunda bkz.<https://www.unit21.ai/fraud-aml-dictionary/authorized-push-payment-fraud>;<https://www.datavisor.com/blog/fighting-authorized-payment-fraud/#:~:text=Authorized%20payment%20fraud%2C%20or%20push,a%20payment%20for%20illegitimate%20reasons.>;<https://www.thenottingham.com/your-society/fraud-and-security/in-person-crime#:~:text=An%20example%20of%20unauthorised%20fraud,have%20fallen%20for%20a%20scam.>;<https://en.wikipedia.org/wiki/Authorised_push_payment_fraud#:~:text=Push%20payment%20fraud%20(also%20known,social%20engineering%20attacks%20involving%20impersonation. >.

[2]<https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX%3A32015L2366 >.

[3] < https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:52023PC0367 >.

[4] < https://eur-lex.europa.eu/eli/reg/2024/886/oj/eng >.

Yavuz Akbulak
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
• Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
• Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
• Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte),
• Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve
• Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte)
başlıklı kitapları yayımlanmıştır.
• Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003),
• Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004)
ile
• Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II;
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021);
• Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021);
• Sosyal Bilimlerde Güncel Gelişmeler (2021);
• Ticari İşletme Hukuku Fasikülü (2022);
• Ticari Mevzuat Notları (2022);
• Bilimsel Araştırmalar (2022);
• Hukuki İncelemeler (2023);
• Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024);
• Hukuka Giriş (2024);
• İşletme, Pazarlama ve Hukuk Yazıları (2024),
• İnterdisipliner Çalışmalar (e-Kitap, 2025)
başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 3 bini aşkın Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.