6-7 Temmuz'daki Akbank kesintisi [1] konusunun teknik, hukuki ve iletişim yönlerini uzmanlara sorduk. Teknik bölümü en alttaki videodan izleyebilirsiniz.
Hukuki tarafta sorularımızı Köksal Partners'dan Avukat Mehmet Ali Köksal'a sorduk. Şunları söyledi:
"Önce bir genel giriş yapayım. Konu tahmin edileceği üzere hukuki açıdan Bankacılık Kanunu'na tabidir. Yani konuyla ilgili temel düzenleme 5411 sayılı Bankacılık Kanunu ve ikincil mevzuatta düzenlenmiştir. Bizim için gerekli olacak birçok tanım da Bankacılık Kanunun'da yapılmıştır.
Yine tahmin edileceği üzere konuyla ilgili otorite Bankacılık Düzenleme ve Denetleme Kurumu'dur.
Bankacılık ekonomik istikrar açısından son derece kritik bir sektör olduğu için düzenlemeler son derece detaylı ve sıkıdır.
Şimdi Akbank tarafından yaşanan sorun 06.07.2021 tarihinden itibaren ATM, İnternet Bankacılığı, Uygulamalar üzerinden sisteme erişilememesi ve hiçbir kredi kartı provizyonunun verilememesi, vs. gibi temel tüm hizmetlerin durmasıyla ilgilidir. Akbank bu olayın sistemsel bir arıza olduğunu açıklamıştır. Açıklama tatmin edici ve yeterince detaylı olmadığı ve sorun son derece uzun sürdüğü için bankanın hacklendiği, vs. gibi iddialar da ortaya atılmaktadır.
Ancak ne olursa olsun, basit bir sorun olmadığı ve bankanın bu denli kritik bir sistemi 48 saat gibi bir süre ayağa kaldıramadığı bunun da arkada çok daha büyük bir sorun olduğunu gösterdiği açıktır. Biz sorunun ne olduğundan bağımsız, yaşanan sorunları ve bundan sonrası için taraflar arasında çıkabilecek ihtilaflara ilişkin bazı açıklamalar yapabiliriz."
- Akbank yaptığı açıklamada, bankanın kendi kredileri, ödemeleri, kredi kartları vs. için faiz almayacağını açıklıyor. Bunu nasıl yorumluyorsunuz?
"Bu alacaklının temerrüdü dediğimiz konu ile ilgilidir. Alacaklı şu anda kendisine yapılacak ödemeyi kabul edebilecek bir durumda değildir. Bunu sistemlerine işleyememektedir. Bu nedenle de kendi temerrüdü durumunda zaten aksini yapması düşünülemez.
Ancak burada çok daha önemli bir detay vardır. Örneğin benim Akbank'ta vadeli TL mevduat hesabım var. Kullandığım USD cinsi kredi var. Ödeme gününde hesabıma erişip USD alamadım. Bankanın sistemleri 2 gün sonra düzeldi ve ben 2 gün sonra bu defa döviz kur farkından dolayı yüzde 20 daha fazla ödeyerek USD alıp borcumu ödediğimde bu zarara banka mı katlanmalı (bu soruyu kredi kartının döviz ekstresi, vb. gibi bankaya karşı ifa edilecek ve borcunu vadesinde ödemeye hazır borçlu ile ilgili her türlü senaryoyu koyabilirsiniz)?
Türk Borçlar Kanunu'na göre alacaklının temerrüdüne ilişkin hükümler ve bu hükümler çerçevesinde yazılmış akademik makaleler incelendiğinde bu ek yükümlülükten Banka'nın sorumlu olması gerektiği sonucuna ulaşılmaktadır.
Yani bu anlamda bankanın sadece faiz almaması yeterli değil, diğer kendi kusurundan kaynaklanan zararları da karşılayacağını açıklaması gerekmektedir."
- Parasını Akbank'ta vadeli ya da vadesiz tutan insanlar, arıza boyunca paralarını kullanamadılar. Mesela en basiti, diyelim ki o gün kartıyla e-ticaretten belki indirimli bir şey alacaktı fırsatı kaçırdı. Bunu nasıl değerlendirmek lazım? Daha önemlisi, kesinti sırasında başka bankalara ya da üçüncü şahıslara ödemesi olanlar ödemelerini yapamadı. Ödemeleri gereken faiz ya da ceza çıkarsa ne olur?
Öncelikle burada alacak/borç ilişkisinde taraflar değişiyor. Bu defa banka talep ettiğim takdirde bana mevduatımı vermek veya bazı istisnalar haricinde tahsis ettiği krediyi kullandırmakla yükümlü.
Bu açıdan bakıldığında aslında çok daha kritik bir sorun var. Bir bankanın kişiye mevduatını ödememesi Bankacılık Kanunu'nun 61. maddesine göre bankanın madde sayılan istisnalar dışında mevduat sahibine hesabı kullandırma yükümlülüğü bulunmaktadır.
Ancak, şu anda Akbank mevduat sahiplerine Kanunun 61. maddesinde sayılan sebeplerin dışında bir sebeple mevduatını kullandıramamaktadır.
Kanunun 151. maddesinde ise "Bu Kanunun 61 inci maddesi hükmüne aykırı davrananlar altı aydan iki yıla kadar hapis ve beş yüz güne kadar adli para cezası ile cezalandırılır." düzenlemesi yapılmıştır. Yani konu aslında ilginç bir yere gitmektedir. Şu anda banka mudilere mevduatlarını Kanunun 61. maddesindeki "4721 sayılı Türk Medenî Kanununun rehinlere ve hapis hakkına, 818 sayılı Borçlar Kanununun alacağın devir ve temlikine, takasa dair hükümleri ile diğer kanunların verdiği yetkiler ve koyduğu yükümlülükler saklı kalmak şartıyla mevduat ve katılım fonu sahiplerine ödenmesi gereken tutarları geri alma hakları hiçbir suretle sınırlandırılamaz. Mevduat veya katılma hesabı sahipleri ile kredi kuruluşları arasında vade ve ihbar süresi hakkında kararlaştırılan şartlar saklıdır. Bu maddenin uygulanmasına ilişkin usûl ve esaslar Kurulca belirlenir." düzenlemesine aykırı şekilde davranmaktadır. Yani, özellikle vadesiz hesaplarda mudiye parasını talebe rağmen ödememektedir.
İşin ceza hukukuna ilişkin boyutunu burada bir kenara bırakarak hukuki boyutuna gelince burada da borçlunun temerrüdü söz konusu.
Temerrüd durumunda öncelikle faiz söz konusu olacaktır. Yani normalde bankadan vadesiz mevduat hesabındaki miktar talep edildiği halde ödenemediği için, ödenemeyen kısım için temerrüd gerçekleşecek ve banka bu miktar için faiz ödemekle yükümlü hale gelecektir.
Ayrıca borçlunun (banka) alacaklının (mudi) gecikmeden kaynaklanan zararını ödemesi durumu oluşacaktır. Burada bizim hukukumuzdaki kavramlar şunlardır:
- POS ve ATM de işlemedi. Mesela petrol alıyorsunuz, kredi kartı çıkarıyorsunuz ve yanınızda yeterli nakit yok. Bunlar tazmin edilebilir mi?
Yukarıda açıklanan nedenlerle bundan bankanın sorumlu olması gerekir. Ancak, burada banka kişi arasındaki Kredi Kartı Sözleşmesi hükümleri de gözden geçirmekte fayda bulunmaktadır. Çoğu durumda bankaları koruyan hükümler konulmaktadır.
- Bütün bu süreç boyunca Akbank çok sığ bir açıklama yaptı ve insanları paraları konusunda korkuya saldı. Buna ne diyorsunuz?
Bankanın itibarını korumak için bazı bilgileri gizlemesi mümkün. Ancak, burada şeffaflık itibarın korunmasından daha güven verebilirdi. Örneğin gerçekten bir hacklenme var ise bu KVKK açısından 72 saatlik bir bildirim yükümlülüğünü doğuruyor. Şu anda insanlar hesaplarına erişemiyor ve bunun ne kadar süreceğini bilmiyor. Yani bir nevi paranla rezil oluyorsun ve bunun en önemli nedeni, şimdilik bankanın krizi yanlış yönetmesi olarak görünüyor.
Konunun en çok tartışılan ve eksik bulunan yönü iletişim (halkla ilişkiler) tarafıydı. Süreç sırasında müşteri hizmetleri ya da şubelerin cevap vermedikleri şeklinde şikayetler duyduk. Bunu bir iletişim uzmanına sorduk. İsmini vermek istemedi ama anlattıkları şöyle:
"Bu tür bir krizin başladığı andan itibaren bankanın öncelikle düşünmesi gereken müşterinin kaygılarının neler olabileceği ve ne gibi çözümler önerebilecekleri olmalı. Bir hizmet kurumu olan banka kriz ekibinin içine saha insanlarını da katıp sahadan gelebilecek kaygılara çözüm önerileri düşünüp, planlayıp bunları sürekli ve hiç boşluk bırakmadan tüm kanallardan yaymaya başlamalı. Burada çağrı merkezlerine de çok önemli rol düşecektir.
Bugün artık tüm teknoloji şirketleri ki artık bankalar da teknoloji şirketi, siber saldırı ile karşılaşmamaları imkansız. Burada hızlı bir yarış var. Ve bu yarışın önemli oyuncusu bankanın CTO'su. Bu kişiler de tıpkı bir iletişimci gibi düşünüp kurumun diğer bölümlerini bu tür krizlere hazırlamalıdır, tepki reflekslerinin güçlenmesi için simülasyonlar yapmalı."
Olayın teknik tarafını bilmiyoruz. Yani aslında ne oldu? Bankanın açıklamasında buna dair bir detay yok. Genel Müdür Hakan Binbaşgil'in 8 Temmuz'da yaptığı açıklama, zaten ilk gün yazdığımız ve sonra başka yazılara da yayılan duyumlarımızdan [1] daha öte değil. Binbaşgil, yine ilk yazımızda yer alan yedekli olma tarafını da söylüyor; "Aktif-aktif cluster ve İzmir'de yedekli sistem" diyor ama bunun neden çalışmadığını açıklamamış.
Konuştuğum akademisyenler bu olayın ülkenin BT tarihi açısından çok iyi bir öğrenme aracı olabileceği düşüncesinde. Dünyada böyle kesintiler ya da başarısız BT projeleri için yapılmış doktora tezleri var[3]. Mesela SAP aldıktan sonra batan Lewis kot firması ya da FoxMeyer ilaç firmasındaki gelişmeler hakkında doktora tezi yapılmış. Yani dijital dönüşüm uzaktan güzel de, doğru eleman, doğru yazılım, doğru makina vs ile yapılmadığında firmayı iflas bile ettirir. Bu tür kesinti/arıza olayları akademi tarafından incelenebilirse, sonrası ve diğer firmalar için çok iyi bir kaynak olur.
Bu arada bankaların finansal açıdan çalışmalarının BDDK tarafından denetlendiğini biliyoruz. Ama denetlenmeyen şey, bu ülkede -bankalar dahil- yazılım ya da makina satan firmaların durumu. IBM'in örneğin 2007 yılındaki Vakıfbank'ta 25 milyon dolarlık ve İş Bankasındaki 210 milyon dolarlık başarısızlığı [4][5] BDDK tarafından incelendi mi (Makine, yazılım, IBM elemanları ya da banka elemanları mı nedendi?). Ya da satıcı/üretici firma konusu belki BTK'nın konusuna girmeli. Bu açıdan Türkiye'de büyük bir boşluk olduğunu belirtelim.
Avrupa'dan örnek verelim[6]: Bu tür kesintilerde raporlama yapılıyor ve sorun içerdeyse (s.40) virüs, işlem başarısızlığı, sistem çökmesi, insan hatası vs gibi nedenler, dışarıdaysa cihaz/yazılım sağlayıcı firmanın hatası, deprem vs bir olağanüstü durum diye bildirilmesi isteniyor.
Teknik olayda şunu söylememiz lazım: Bu tür perakende bankacılık olayında halk ve firmalar zarar görebilir. Bu nedenle bankanın devlet ve akademi ile işbirliği yapması hem kendisi için -ileride tekrarlanmaması açısından-, hem de diğer firma ve bankalar açısından önemli.
Bir de şöyle bir ders var: Bazı firmaların isimleri büyük diye, onların müthiş yazılımları ya da donanımları olduğunu sanmayın. Bunlar biraz da ALGI.
Ülkemizde maalesef reklam (sponsor) bazlı CIO toplantıları çok ama gerçeklerin konuşulduğu ve insanların birbirine gerçek deneyimlerini anlattığı toplantılar yok. Nasrettin Hoca'nın dediği gibi, "Eşekten düşmüşleri dinlemek lazım".
Biz turk-internet.com'da geçmişte de bunlara çokça yer verdik. Şimdi de, Berlin 'de yaşayan ve danışman firması ile BT projeleri gerçekleştiren Şenol Çolak ile bunları yani dijital dönüşümün arka yüzünü ve Bilgi İşlem Bölümlerinin neler çektiğini konuşuyoruz. Katkı vermek isteyenleri bekleriz. Bu ülkemizin bilişim alanının derinleşmesini ve tecrübelerin yok olmamasını sağlayacak. Ayrıca devletin eksik kaldığı, kocaman adıyla pata-küte iş yapıp para kazanmaktan başka şey bilmeyen çok uluslu firmalara karşı da bir kalkan sağlayacak.
Aşağıda Şenol Çolak ile Akbank olayının teknik tarafını konuştuk. Önceki ve sonraki videoları da BİM KULÜP'e üye olarak izleyebilirsiniz.
[1] Akbank Online Şube ve ATM’ler Çalışmıyor
[3] Başarısız BT Projeleri – 4: Yurtdışı SAP Projeleri
[4] Başarısız BT Projeleri – 3 / Vakıfbank / IBM Örneği
[5] Başarısız BT Projeleri – 5: Türkiye İş Bankası MOD Projesi / IBM – III
[6] Revised Guidelines - on major incident reporting under PSD2