İSTANBUL 8. ASLIYE TICARET MAHKEMESI

T.C.
İSTANBUL
8. ASLİYE TİCARET MAHKEMESİ

ESAS NO:2021/445
KARAR NO :2024/265

DAVA:Maddi ve Manevi Tazminat
DAVA TARİHİ:01/07/2021
KARAR TARİHİ:14/03/2024

Mahkememizde görülmekte olan maddi ve manevi tazminat davasının yapılan açık yargılaması sonunda,
GEREĞİ DÜŞÜNÜLDÜ:
Davacı vekili dava dilekçesi ile; müvekkili şirketin, Türkiye'de devlet teşviki almış ilk ve tek kripto para borsası işleten şirket olmakla birlikte kripto paralar alanında yerli teknolojiler ve yerli çözümler üretme vizyonuyla faaliyet sürdürmekte ve kullanıcılarına hizmet sağlamakta olduğunu, müvekkili şirketin, Türk Lirası gibi reel para birimleri karşılığında kripto para piyasalarında işlem gören kripto paraların alım-satımının yapılabildiği bir platform işletmekte ve bu platform üzerinden gerçekleştirilecek alım-satım işlemlerine aracılık etmekte olduğunu, bahse konu kripto para borsalarının, geleneksel borsa sistemi ile benzer şekilde çalışmakta olduklarını, Türk Lirası gibi bir reel para birimi ile alış yapmak isteyen kullanıcının, kripto para birimini reel para birimi ile takas etmek isteyen başka bir kullanıcıdan aldığını, bu işlemler için kripto para işlemi yapacak kullanıcının hesabında reel para biriminde bakiye olması gerektiğini, müvekkili şirkete ait kripto para borsasında işlem yapmak isteyen kullanıcıların, öncelikle müvekkili şirket nezdinde hesap açmakta ve kimlik bilgileri ile giriş yapmakta olduklarını, kullanıcıların bu kripto para platformunda işlem yapabilmek için müvekkili şirketteki hesaplarına satın almak istediği kripto paraların platform üzerinden görüntülenen bedeli kadar para göndermesi gerekmekte olduğunu, kullanıcıların söz konusu ödemeleri kredi kartları, banka kartları, ön ödemeli kartlar ve ... gibi elektronik para ve ödeme hizmet sağlayıcılar aracılığı ile gerçekleştirebilmekte olduklarını, kullanıcıların bu yöntemlerden birini kullanarak müvekkili şirketteki hesaplarına para göndermekte ve bu transferler karşılığı hesaplarına tanımlanan nakit bakiyeyi kullanarak kripto para borsasında kripto para satın alabilmekte olduklarını, kullanıcıların satın aldıkları kripto paraları yine aynı platform üzerinden satarak nakde dönüştürmesi ve kripto paralarını ve kripto paraları satarak elde ettikleri nakdi müvekkili şirket dışındaki hesaplara transfer etmelerinin mümkün olduğunu, davalı şirketin, müvekkili şirket ile imzalamış olduğu “Üye İşyeri Sözleşmesi” ve “Ticari Elektronik Para Ödeme Hesabı Sözleşmesi” konulu sözleşmeler kapsamında müvekkili şirkete elektronik para ve ödeme hizmeti sağlamakta olduğunu, müvekkili şirket ile davalı şirket arasındaki para transferi ve ödeme hizmetinin ... ... ile olan erişimin “...” URL adresi üzerinden gerçekleşmekte olduğunu, davalı şirketin ilettiği ... bilgileri ile müvekkili şirketin, ... sistemine entegre olmakta olduğunu, para yatırma ve çekme işlemlerinin ... entegrasyon dokümanında yazan kurallar çerçevesinde otomatik olarak gerçekleşmekte olduğunu, bu kapsamda bir kullanıcının müvekkili şirkete internet sitesi nezdinde ... sistemi üzerinden para yatırabileceğini, kullanıcının para yatırma isteğine cevaben davalı şirketin, müvekkili şirkete ödeme kaydı işlem sonucu gönderdiğini, müvekkili şirketin, ... sistemi tarafından iletilen cevaptaki “paymentUrl” adresini kullanarak, kullanıcıyı ... sistemi üzerine işlemi onaylaması için yönlendirdiğini,  ödeme işlemi ... sistemi üzerinde kullanıcı tarafından onaylanması durumunda müvekkili şirkete bildirildiğini, bu aşamada kullanıcının ... Ödeme Sistemi'nin web sayfasına ulaştığında davalı şirketin sürece ilave olarak “https://.../{id}” adresine GET metodu ile istek gönderdiğinin belirlendiğini, davalı şirketin, müvekkili şirkete elektronik para ve ödeme hizmeti sağlarken güvenli bir şekilde işlem yapılabilmesi için gerekli güvenlik altyapısını hazırlama yükümlülüğüne ve taraflar arasında imzalı bulunan sözleşmelere aykırı olarak güvenlik ihlalleri gerçekleştirdiğini ve sözleşmeye aykırı/haksız fiil teşkil eden davranışları sebebiyle müvekkili şirketi maddi ve manevi zarara uğrattığını, davalı şirketin, kendi sistemini tanıtarak, hangi mesajların hangi durumlarda iletildiğini açıklayan sadece müvekkili şirket ve davalı şirketteki yetkili kişilerin kullanımında olması gereken tüm bilgileri ve işlem aşamalarını içeren ödeme kabul entegrasyonunu .../#... adresli internet sitelerinde yayımladığını, ödeme kaydı işlemlerini takiben davalı şirket tarafından müvekkili şirkete kullanıcı tarafından talep edilen ödemenin onaylandığını bildirmek için kullanılan, müvekkili şirkete ait “...” olarak belirlemiş ve yalnızca davalı şirket ile paylaşılan bildirim adresi “...” bilgisinin 57 kişiden oluşan dava dışı kullanıcılar tarafından görülebilir olmasını sağladığını, bu bilgileri korumadığını, gizlemediğini ve dava dışı kullanıcıların bu bilgileri görmesini engellemediğini, bu bilgilerin kullanıcılar ile paylaşılmasının müvekkili şirket tarafından alınan önlemleri geçersiz kıldığını, bu adresin bilinmesinin dava dışı kullanıcılar tarafından “...” değerine “brute force attack”(kaba kuvvet saldırısı) gerçekleştirilmesine olanak sağladığını, bunun yanı sıra satıcı gizli anahtar değerinin davalı şirket tarafından oluşturulduğu ve ... ödeme yönteminin kullanıma başlandığı tarih olan 29.11.2019 21:32.24’ten bugüne güncellenmediğini ve değiştirilmediğini, bu değerin bir seneyi aşkın süredir değiştirilmemesinin siber saldırganlar tarafından bu değerin bulunması için “brute force attack” gerçekleştirilmesine ayrıca olanak sağladığını, müvekkili şirket ile davalı şirket arasında gerçekleşen entegrasyon esnasında müvekkili şirkete onay bildirimlerinin geleceği herhangi bir sabit IP adresi iletilmediğini ve belirlenmediğini bu kapsamda davalı şirketten gelen onay bildirimleri üzerinde müvekkili şirketin kaynak IP adresi filtrelemesi yapabilmesi imkânsız hale geldiğini, davalı şirketin ödemeye ait gizli tutulması gereken bilgileri kendi sunucularında işlemek yerine web tarayıcısında işlemeyi tercih ettiğini, herhangi bir kimlik doğrulaması yapmadığını ve bilgileri ... sistemi üzerinde oturum açılmadan(login olmadan) önce kullanıcıya verdiğini, bu kapsamda dava dışı kullanıcıların, ödeme hizmetleri sunan ödeme hizmeti sağlayıcısı davalı şirket tarafından gerçekleştirilen güvenlik ihmalleri ve haksız eylemleri doğrultusunda müvekkili şirkete ... sistemindeki ... başta olmak üzere güvenlik açığını ve paylaşılan bilgi ve işlem aşama açıklamalarını tespit ve suiistimal etmek sureti ile, hukuka aykırı olarak davalı şirketten, müvekkili şirkete para aktarımı yapılıyormuş gibi başarılı para transferi mesajları gönderdiğini, para transferi mesajlarında belirtilen tutarları ödememiş olmalarına karşın, sanki ödemiş gibi müvekkili şirket nezdindeki kullanıcı hesaplarına bakiye tanımladığını ve haksız surette tanımladıkları bu para ile kripto para satın aldıklarını, hiçbir para ödememelerine karşın başarılı para transferi mesajları göndererek sanki bedellerini ödemiş gibi satın aldıkları toplam 6.593.265,00-TL bedelindeki kripto paraları ve kripto paraları nakde çevirerek elde ettikleri nakitleri müvekkili şirketteki kullanıcı hesaplarından farklı kuruluşlara transfer etmek suretiyle kaçırdıklarını, bu hususta dava dışı kullanıcılar hakkında 21/12/2020 tarihinde İstanbul Cumhuriyet Başsavcılığına dolandırıcılık ve örgüt kurma, yönetme ve örgüt üyeliği suçlarından şikayette bulunduğunu ve dosyanın ... soruşturma sırasına kaydedildiğini, ayrıca iş bu davaya esas olmak üzere davalı şirket tarafından gerçekleştirilen ihmal ve eylemlerin davalı şirket tarafından sistemden kaldırılma riski bulunması sebebi ile .... Sulh Hukuk Mahkemesine delil tespiti talebinde bulunulduğunu ve mahkeme nezdinde ... değişik iş numarası ile görülen dosya nezdinde alınan bilirkişi raporunda da davalı şirket tarafından gerçekleştirilen güvenlik ihmalleri ve haksız eylemlerin tespitinin talep edildiğini, gerçekleştirilen delil tespiti neticesinde entegrasyonu sağlayan “...” bilgisinin açık ve herkes tarafından ulaşılabilir olduğunun doğrulandığını, bu kapsamda toplam 57 kullanıcının banka kartı veya kredi kartı aracılığı ile davalı şirketin sağladığı hizmet üzerinden para transferi talebinde bulunduğunun ve talepleri takiben müvekkili şirket tarafından sisteme toplam 6.593.265,00-TL tutarında para transferi gerçekleştirildiğinin tespit edilmesini müteakip, ilgili transfer bakiyesinin henüz müvekkili şirket hesabına aktarılmamasından bahisle, müvekkili şirketçe davalı şirketin yetkili birimine gönderilen elektronik posta ile ödeme hususunun ne zaman gerçekleşeceğine dair bilgi verilmesi ve ödemenin gerçekleştirilmesinin talep edildiğini, ancak söz konusu bedellerin müvekkili şirkete ödenmesi gerektiğine ilişkin davalı şirkete yapılan bildirimlerin cevapsız kaldığını, elektronik posta iletilmesini takiben .... Noterliğine ait 16.12.2020 tarihli ve ... yevmiye numaralı ihtarname ile halihazırda müvekkili şirket tarafından transferi gerçekleştirilen 6.593.265,00-TL’nin 09.12.2020 tarihinden itibaren işletilecek ticari temerrüt faizi ile birlikte ihtarnamenin tebliğini takiben en geç 3 iş günü içerisinde müvekkili şirkete ödenmesi gerektiğinin, tüm hukuki ve cezai yollara başvuru hakları saklı tutulmak koşuluyla talep ve ihtar edildiğini, ancak davalı tarafça ihtarnameye cevap dahi verilmeyerek talep edilen ödemenin gerçekleştirilmediğini, taraflarınca 25.03.2021 tarihinde ticari uyuşmazlıklarda zorunlu arabuluculuk yoluna başvurulduğunu, ancak davalı şirket ile yapılan müzakereler sonucu herhangi bir anlaşma sağlanamadığını, tüm bu nedenlerle davanın kabulü ile, şimdilik 550.000,00-TL maddi tazminatın, temerrüt tarihi olan 19/12/2020 tarihi itibariyle işleyecek ticari temerrüt faizi ve ferileri ile birlikte tazminini; 30.000,00-TL manevi tazminatın dava tarihinden itibaren işleyecek faizi ve ferileri ile birlikte tazminini ve her türlü dava, talep ve fazlaya ilişkin haklarının saklı tutulmasını talep etmiştir.
Davalı vekili cevap dilekçesi ile; davacı tarafın, dava dışı 30 kullanıcı tarafından işlenen dolandırıcılık eylemi nedeni ile bünyelerinde meydana gelen maddi ve manevi zararın tazminini müvekkil şirketten talep ettiklerini, dava konusu olayda müvekkili şirketin hiçbir kusuru, güvenlik açığı, güvenlik zafiyetinin bulunmamakta olduğunu ve müvekkili şirkete kusur atfedilmesinin mümkün olmadığını, dava konusu zararın doğmasına neden olan dolandırıcılık eyleminde hiçbir kusuru bulunmayan müvekkili şirketin, meydana gelen zarardan sorumlu tutulmasının hakkaniyete ve hukuka aykırılık taşımakta olduğunu, müvekkili şirketin 6493 sayılı kanun kapsamında kurulduğunu ve BDDK'dan almış olduğu faaliyet izni çerçevesinde hizmet gösteren ve faaliyetlerine 26.04.2016 tarihinde Resmî Gazete'de yayınlanan faaliyet izni ile başlayıp ödeme hizmeti sunan bir elektronik para kuruluşu olduğunu, müvekkil şirketin, para transferleri ve ödeme hizmetleri hususunda müşterilerine aracılık hizmeti sağlamakta olduğunu, anonim, limited ve şahıs şirketleri ile müvekkili şirket arasında akdedilen "Üye İşyeri ve Ödeme Hizmeti Kullanıcısı Sözleşmesi" kapsamında müvekkili şirketin, üye işyerinin mal/hizmet satış bedellerinin tahsili için ödeme hizmeti sunmakta olduğunu, sözleşme uyarınca gerekli entegrasyonlar yapıldıktan sonra, üye işyerinin ödeme portalı üzerinden üye işyerinin müşterilerinin ... ile ödeme seçeneğini kullanarak, ... hesabında mevcut bakiyesini kullanarak üye işyerinde bulunan hesabına para yükleyebilmekte ve ödeme yapabilmekte olduklarını, ... üye işyeri yöneticilerinin, üye işyeri yetkililerinden firma adına üye işyeri yöneticisi yetkisiyle işlem yapacak kişinin müvekkili şirkette hesap açmasını ve bu kişinin açtığı hesaba ait ... hesap numarasının kendilerine iletilmesini talep etiğini, ... üye işyeri yöneticisinin, firma adına bir üye işyeri hesabı oluşturduğunu ve kendisine üye işyeri tarafından iletilen kullanıcıyı, açılan üye işyeri hesabını yönetmeye yetkili olarak atadığını, üye işyeri hesabı oluşturulurken sistemin ... oluştuduğunu ve bunu şifreleyerek sakladığını, ... keylerin şifrelenmesi için kullanılan anahtarların kısıtlı erişimli bir ...(gizli dizileri güvenli bir şekilde depolamak ve bunlara erişmek için kullanılan sistem) içinde saklandığını ve bu anahtarların ... servisleri dışında erişime kapalı olduğunu, ayrıca müvekkili şirket çalışanlarının, üye işyeri ... keylerini görmesine imkan verecek herhangi bir arayüz bulunmamakta olduğunu, ... çalışanlarının üye işyeri hesaplarına, üye işyeri kullanıcısı vasfı ile ulaşmasının ayrıca mümkün olmadığını, üye işyeri yöneticisinin "https://.../" adresinde bulunan ... üye işyeri portalına giriş yaptığını ve ... bilgileri sekmesinden ... ve ... bilgilerini görüntüleyebildiğini, üye işyerinin bu bilgiler ile ... adresinde bulunan ... servislerini kullanabileceğini, söz konusu ... sistemi hizmeti kullanım mantığının tüm üye işyerleri için standart olduğunu ve aradaki iletişimin ssl sertifikasıyla korunmakta olduğunu, söz konusu ... ve ... gizliliğinin korunmasının üye işyerinin yükümlülüğünde olduğunu, kesinlikle bilmesi gereken kişiler haricinde paylaşılmaması gerektiğini, üye işyerinin, üye işyeri portal üzerinden "IP Adresleri" sekmesini kullanarak ... adresine istek gönderecekleri izinli IP adreslerini tanımladığı takdirde, IP filtrelemesinin devreye gireceğini, bu tanımlama sonrası, söz konusu üye işyerinin hesabı ile ilgili işlemlerin, izinli IP adresleri dışında başka bir adresten gelmesi durumunda isteklerin otomatik olarak sistem tarafından reddedilmekte olduğunu, üye işyeri tarafından gerekli entegrasyon yapıldıktan sonra, üye işyeri kullanıcılarının müvekkili şirkette bulunan hesabını kullanarak ödeme yapmalarına yarayan sisteme ... denilmekte olduğunu, ... Checkoutun; ... entegrasyonu ile kullanılmakta olduğunu ve üye işyerlerinin kullanıcılarının/müşterilerinin ... hesaplarını kullanarak üye işyerine ödeme yapabilmesini sağlamakta olduğunu, üye İşyerine ... aracılığı ile ödeme yapmak isteyen kullanıcının ... nezdinde hesabının bulunmasının gerektiğini, müvekkili şirket tarafından her türlü teknik/güvenlik tedbirlerinin alındığını ve davacının bu yöndeki iddialarının asılsız olduğunu, davacı tarafça gerek dava dilekçesinde ve gerekse dosyaya sunulan özel mütalaa ile ... sabit IP adresi belirlememesinin güvenlik açığı oluşturduğu ve bu neden ile zararın meydana geldiği belirtilmişse de, söz konusu iddianın soyut olduğunu, müvekkili şirket tarafından, davacı şirketten gelecek bildirimlere ilişkin IP kısıtlaması yapılarak gerekli tüm tedbirlerin alındığını, bu hususun, İstanbul Cumhuriyet Başsavcılığının ... soruşturma numaralı dosyası üzerinden Emniyet Genel Müdürlüğü Siber Suçlar ile Mücadele Başkanlığından alınan uzman raporu ile de tespit edilerek ispatlandığını, ayrıca taraflar arasında akdedilen sözleşmelerde sabit IP kullanılacağına ilişkin hiçbir hüküm bulunmamakla beraber, davacı tarafında bu yönde bir talepte bulunmadığını, davacı tarafça gerek dava dilekçesinde gerekse dosyaya sunulan özel mütalaa ile ... ... entegrasyon dokümanını internet sitesinde kamuya açık bir şekilde paylaşmasının güvenlik açığı oluşturduğu ve bu neden ile zararın meydana geldiği belirtilmişse de, söz konusu iddia soyut olduğunu, davacı tarafça, söz konusu internet sitesinin içeriğine ilişkin .... Noterliğinin 15.12.2020 tarihli ... yevmiye numarası ile e-tespit yapıldığını ve internet sitesinde içeriğine ilişkin tespit tutanaklarının dosyaya sunulduğunu, söz konusu tespit tutanaklarında da, "..." isimli internet sitesinin kamuya açık olduğu, sitenin içerik olarak üye işyerlerinin yazılımcıları tarafından entegrasyon yazılımı geliştirilmesi esnasında referans olarak kullanılmak üzere konulduğunun görüleceğini, üye işyeri tarafından ... Key ve ... ... bilgisi paylaşılmadığı ve dokümanda bahsedilen güvenlik uyarıları yerine getirildiği sürece hiçbir şekilde 3. şahıslar tarafından manipülasyonun mümkün olmadığını, kabul anlamına gelmemekle birlikte 400'den fazla üye işyerinin aynı sistemi kullandığı göz önünde tutulduğununda, yalnızca davacı şirkette söz konusu durumun ortaya çıkmasının da gerekli güvenlik önlemlerini almayan tarafın davacı taraf olduğunu ortaya koyduğunu, davacı tarafça gerek dava dilekçesinde ve gerekse dosyaya sunulan özel mütalaa ile müvekkili şirketin ... internet sitesinde kamuya açık bir şekilde paylaşmasının güvenlik açığı oluşturduğu ve bu neden ile zararın meydana geldiği belirtilmişse de, ... tek başına ödeme yapılması için yeterli olmadığını, ... ile birlikte ... Keyin de ödeme yapılması için paylaşılmasının gerekmekte olduğunu, müvekkili şirket tarafından gizli kalması gereken hiçbir bilginin üçüncü şahıslar ile paylaşılmadığını, üye işyerinin ... bilgisine müvekkili şirket çalışanlarının dahi erişiminin bulunmamakta olduğunu, ... koruması ile ilgili belirtilen ve ... koruması gerçekleştirilen güvenlik önlemlerinin ... için de aynı şekilde uygulanmakta olduğunu, buradan hareketle müvekkili şirket çalışanlarının üye işyeri portallarına erişemeyeceğini ve herhangi bir şekilde ekran açamayacaklarını da ayrıca belirtmek istediklerini, müvekkili şirketin ... bilgisini gizli tuttuğunun, .... Sulh Hukuk Mahkemesinin ... D. İş sayılı dosyasında alınan bilirkişi raporu ile de tespit edildiğini, ayrıca taraflar arasında akdedilen sözleşme ile açıkça davacı şirketin, işlemleri müvekkili şirketin kendisine sağladığı arayüz üzerinden takip edeceği ve arayüze erişim sağlayan şifrenin güvenliğinden davacı şirketin sorumlu olduğunun düzenlendiğini, meydana gelen zarardan müvekkili şirketin sorumlu tutulamayacağı gibi, söz konusu şüpheli işlemlere ilişkin davacı tarafından müvekkili şirkete gönderilen ödeme isteği bulunmamakta olduğunu, davacı şirketin sistemi üzerinden müvekkili şirkete ödeme isteği gelmeden, davacının talebi oluşturulmayan ödeme bildirimini kabul etmesinin, davacı tarafın ihmalini ve güvenlik zafiyetini ortaya koymakta olduğunu, müvekkili şirketin, ödeme bildirimlerini yerel statik IP adreslerinden göndermesi mutad bir uygulama halini almışken, davacı şirketin yabancı menşeili IP adreslerinden gelen ödeme bildirimlerini kabul etmesi basiretli bir tacirin özen ve denetim yükümlülüğüne yaraşmayıp, yeterli güvenlik tedbirlerini almadığını ortaya koymakta olduğunu, davacının zarar görmesine neden olduğunu iddia ettiği ödeme bildirimlerinin, yerel IP adreslerinden gönderilmediğini, .../#... internet sitesinde yayınlanan ... entegrasyon dokümanının "Ödeme Sonucu Doğrula" başlıklı 3. bölümünde "..." doğrulamasının mutlaka yapılması gerektiği ve bildirimin müvekkili şirketin IP adresinden geldiğinin kontrol edilmesi gerektiğinin açık bir şekilde bildirildiğini, İstanbul Cumhuriyet Başsavcılığının ... soruşturma numaralı dosyası üzerinden Emniyet Genel Müdürlüğü Siber Suçlar ile Mücadele Başkanlığından alınan uzman raporu ile, dava dışı kullanıcılar tarafından gerçekleştirilen dolandırıcılık eyleminde kullanılan IP'lerin tamamının yurtdışı kaynaklı olduğunun tespit edildiğini, ... sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 23. maddesinin birinci fıkrası ve bu kanuna dayanılarak hazırlanan Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ'in 16. maddesinde yer alan emredici hükümler uyarınca, müvekkili şirket tarafından tüm birincil ve ikincil sistemlerin yurt içinde bulundurulmasının gerekmekte olduğunu, bu sebeple müvekkili şirket tarafından gönderilen ödeme emirlerinin yabancı IP kullanılarak gerçekleştirilmesinin mevzuat uyarınca yasaklandığını ve mümkün olmadığını, davacı şirket tarafından, şüpheli işlem yaptığı bildirilen 31 kişiden yalnızca 17 kişinin müvekkili şirkette hesabının bulunmakta olduğunu, davacı şirket tarafından bildirilen 31 kişinin bilgisi ile, davacı tarafından savcılığa bildirilen 31 kişinin aynı kişiler olmadığının açıkça görüleceğini, ... hesabı bulunmayan üçüncü kişilerce yapılan işlemlerden müvekkili şirketin sorumlu olduğunun iddia edilmesinin maddi gerçeğe aykırılık teşkil etmekte olduğunu, tüm bu nedenlerle davanın pasif husumet yokluğu nedeniyle usulden reddini ve her halükarda davanın reddini talep etmiştir.
Dava, maddi ve manevi tazminat istemine ilişkin bulunmaktadır.
Mahkememizce üye iş yeri ve ödeme hizmetleri kullanıcı sözleşmesi, ticari elektronik para ödeme hesabı sözleşmesi, davalı şirket ticaret sicili kayıtları, ödeme kabul entegrasyonu e-tespiti, dava dışı kullanıcılar listesi, uzman görüşü raporu, e-mail yazışmaları, .... Noterliğine ait 16.12.2020 tarih ve ... yevmiye numaralı ihtarname, uygulama görselleri, ... entegrasyon dokümanı, taraflar arasında sözleşmenin ifası sırasında yapılan tüm işlemlere ilişkin kayıtlar vs. dosyamız arasına alınmış, mali müşavir, bilişim uzmanı ve SPK uzmanı öğretim üyesi bilirkişilerden oluşan heyetten rapor; mali müşavir, adli bilişim uzmanı, banka iç denetim uzmanı, bilgisayar mühendisi ve borçlar hukuku öğretim üyesi bilirkişilerden oluşan heyetten, davacı ve davalı şirket merkezlerinde yerinde inceleme de yapılmak suretiyle rapor temin edilmiştir.
Mahkememizce tüm dosya kapsamı hep birlikte değerlendirilmiştir. Buna göre, dosya kapsamında temin edilen 11/01/2024 tarihli rapor ile yapılan tespitler de dikkate alındığında, davalı ...'nın ... entegrasyon dokümanını kamuya açık yayınlanmasının, sektör standartlarına uygun bir uygulama olduğu, davacı ...'ın güvenlik önlemleri ve sabit IP adresi
kullanımındaki eksikliklerin, güvenlik sorunlarının ortaya çıkmasında önemli bir rol
oynamakta olduğu, bu durumun, ...'ın teknik altyapı ve güvenlik yönetiminde daha titiz ve proaktif
bir yaklaşım benimsemesi gerektiğini işaret ettiği,
"..." yönetiminin güvenlik açısından
kritik bir önemi olduğu, ...'ın bu konudaki uygulamalarının, güvenlik zafiyetlerine yol açtığının anlaşıldığı, bunun, özellikle ... güvenliğinde daha dikkatli bir yaklaşım gerektirdiğini
gösterdiği, ...'ın...'ın ... (...) ve ... gibi hizmetlerini kullanımının, ... güvenliği açısından hayati bir rol oynamakta olduğu, bu hizmetlerin, genel ağ güvenliğini ve özellikle ... isteklerinin güvenliğini sağlamada önemli
araçlar olduğu, ...'ın bu hizmetleri etkin bir şekilde kullanıp kullanmadığının, ortaya çıkan güvenlik
sorunlarının anahtar faktörlerinden biri olarak değerlendirilebileceği, etkin kullanımın eksikliğinin
güvenlik açıklarına yol açtığı, tarafların kendi güvenliklerinden sorumlu oldukları, ...'ın sabit IP adresi kullanımındaki eksikliklerin,
özellikle finansal işlemlerin güvenliğini sağlama konusunda önemli bir zafiyet olarak görülmekte olduğu, sabit IP'nin, yetkisiz erişimleri önlemede ve işlemlerin güvenliğini artırmada kritik
bir faktör olduğu, ...'ın bu alanda gösterdiği eksikliklerin, güvenlik ihlallerine zemin hazırlamış
olabileceği ve daha dikkatli bir yaklaşım gerektirdiğini gösterdiği, talebin davacıdan; arzın ise davalıdan geleceği, bilirkişi raporu ile tespit edildiği üzere, ...
tarafından Notification URL'nin kamuya açık bir şekilde paylaşılmasının varlığı noktasında bile, bu durumun tek başına bir güvenlik açığı oluşturmadığı, ödeme işlemlerinin
gerçekleşebilmesi için Notification URL ile ...'in de kullanılmasının gerekmekte olduğu, bu
nedenle, sadece Notification URL'nin bilinmesinin ödeme yapılması için yeterli olmadığı, kaba kuvvet saldırılarının tespit edilmesi için, davalı ...'nın sunucu
LOG kayıtlarının incelenmesinin gerektiği, bu nedenle, davacı adına mütalaâ hazırlayan uzmanın, ...'nın
sunucu LOG kayıtlarını inceleyip incelemediğinin belirsiz olduğu, bu LOG kayıtları incelenmemişse kaba kuvvet
saldırılarının varlığının nasıl tespit edildiğini anlaşılmadığı, kaba kuvvet saldırılarının ... kırması ve ele
geçirilmesi işlemlerin bu şekilde oluştuğu şeklinde bir yaklaşım ve teknik izahatin yaşamın doğal
akışına aykırı olduğu, ... dokümanlarının, hukuki perspektiften, genel
bilgilendirme ve teknik rehberlik amacıyla hizmet alanlara sunulan kaynaklar oldukları, bu
dokümanların, genel nitelikte olup kişiye veya kuruma özel bilgiler içermedikleri ve bu nedenle
güvenlikle ilgili hassas verileri barındırmalarının söz konusu olmadığı, dolayısıyla, bu dokümanların
kullanımından doğan sistem güvenliği sorumluluklarının, hizmet alanların kendi öz yükümlülükleri
kapsamında değerlendirildiği, hizmet verenin, bu dokümanları sağlamakla yükümlü olmakla
birlikte, hizmet alanın güvenlik önlemlerini uygulaması ve yönetmesi konusunda herhangi bir
hukuki sorumluluk taşımadığı, hizmet alanların, ...'nin güvenli kullanımı
açısından, güvenlik önlemlerini almak ve uygulamakla hukuki olarak yükümlü oldukları, bu
yükümlülüğün ihlali durumunda, güvenlik ihlalleri ve bunun sonuçlarından hukuki olarak
sorumlu tutulabilecekleri, hizmet verenin, teknik sunum ve ...'nin
işlevselliğiyle sınırlı bir sorumluluk taşıdığı, hizmet alanın güvenlik önlemlerinin uygulanması ve
yönetilmesinin, hizmet verenin hukuki sorumluluk alanı dışında kaldığı, hizmet alanların, sürekli değişen
teknolojik şartlara uyum sağlamak ve sistemlerini güncel tutmakla hukuki olarak
yükümlü oldukları, bu alandaki ihmallerin hukuki riskleri ve sorumlulukları beraberinde getirdiği, bilirkişi heyetinde bulunan mali müşavir tarafından, davacı ... ve davalı ... tarafından incelemeye sunulan 2020 yıllarına ait ticari defterlerinin
yasal süresinde TTK hükümlerine göre usulüne uygun tasdik edildiği, davacı şirket ticari defter kayıtlarında “340.01” hesap kodu “Sanal Para Avansları” hesap adı
ile ... üzerinden yapılan işlemleri takip ettiklerini bildirdiği, davacı şirketin ticari defter
kayıtlarında 23/11/2020 ila 08/12/2020 tarihleri arasında bahse konu ve ... üzerinden alındığı
bildirilen listede yer alan işlemlerin tarih, tutar ve dava dışı isimler bazında incelenmesi sonucu
örtüşen bir kayıt görülmediği, davacı ... tarafından ...
üzerinden alındığı bildirilen listede yer alan işlemlerin, davalı ...'nın ticari defter kayıtlarında 23/11/2020 ila 08/12/2020 tarihleri arasında incelenmesi sonucu tarih ve tutar bazında örtüşen bir kayıt görülmediğinin tespit edildiği, bu anlamda, davacı tarafça, uğranıldığı belirtilen zararın, davalı şirketin işlem ve eylemleri, güvenlik sistemindeki açıklardan kaynaklandığı hususunun davacı tarafça ispat edilemediği sonucuna varılmış, bu itibarla, davacı tarafça davalı hakkında açılan maddi ve manevi tazminat davalarının ayrı ayrı reddine karar verilerek aşağıdaki gibi hüküm kurulmuştur.
HÜKÜM: Gerekçesi yukarıda açıklandığı üzere;
1-Davacı tarafından davalı hakkında açılan maddi ve manevi tazminat davalarının ayrı ayrı REDDİNE,
2-Maddi tazminat davası yönünden alınması gerekli 427,60-TL ve manevi tazminat davası yönünden alınması gerekli 427,60-TL olmak üzere toplam 855,2‬0-TL karar ve ilam harcının, davacı tarafından peşin olarak yatırılan 9.904,95-TL'den mahsubu ile fazladan yatan ‬9.049,75‬-TL harcın, karar kesinleştiğinde ve talep halinde davacı tarafa iadesine,
3-Arabuluculuk görüşmelerinde arabulucu olarak atanan Abdülvedüd İNCE(11346)'ye 1.320,00-TL ödemenin suçüstü ödeneğinden karşılandığı anlaşıldığından 1.320,00-TL arabuluculuk ücretinin, 6325 sayılı Hukuk Uyuşmazlıklarında Arabuluculuk Kanunu madde 18/A-13'e göre davacı taraftan alınarak Hazineye gelir kaydına,
4-Davalı taraf maddi tazminat talebiyle açılan davada kendisini vekille temsil ettirdiğinden, karar tarihi AAÜT 13/4. maddesi gereğince belirlenen 17.900,00-TL vekâlet ücretinin davacı taraftan alınarak davalı tarafa verilmesine,
5-Davalı taraf manevi tazminat talebiyle açılan davada kendisini vekille temsil ettirdiğinden, karar tarihi AAÜT 10/3. maddesi gereğince belirlenen17.900,00-TL vekâlet ücretinin davacı taraftan alınarak davalı tarafa verilmesine,
6-Davacı tarafından yapılan yargılama giderlerinin kendisi üzerinde bırakılmasına,
7-Davalı tarafından yapılan 25.000,00-TL bilirkişi ücreti ve 110,00-TL posta ve tebligat gideri olmak üzere toplam 25.110,00-TL yargılama giderinin, davacı taraftan alınarak davalı tarafa verilmesine,
8-6100 Sayılı HMK'nun 333. maddesi gereğince, davacı tarafından yatırılan ve bakiye kalan gider avansının, kararın kesinleşmesi sonrası talep halinde yatıran tarafa iadesine,
Dair, tarafların yüzüne karşı, gerekçeli kararın tebliğ tarihinden itibaren iki haftalık yasal süre içerisinde, mahkememize ya da mahkememize gönderilmek üzere her hangi bir Asliye Ticaret Mahkemesine verilecek bir dilekçe ile İstanbul Bölge Adliye Mahkemesi nezdinde İSTİNAF kanun yolu açık olmak üzere oy birliğiyle verilen karar, açıkça okunup usulen anlatıldı.14/03/2024

Başkan ...
e-imzalıdır
Üye ...
e-imzalıdır
Üye ...
e-imzalıdır
Katip ...
e-imzalıdır