Günümüz dijital çağında, e-posta iletişimi ticari faaliyetlerin vazgeçilmez bir parçası haline gelmiştir. Ancak bu kolaylık, beraberinde ciddi riskleri de getirmekte; özellikle “e-posta dolandırıcılığı” olarak bilinen siber tehditler, şirketler için büyük mali ve itibari kayıplara yol açabilmektedir. Gelişen teknolojiyle birlikte dolandırıcılık yöntemleri de sofistike bir hal almakta, şirketler bu saldırılar karşısında hem teknik hem de hukuki anlamda zorlu bir mücadele vermektedir. Bu makale, şirketlerin e-posta dolandırıcılığı olaylarında karşı karşıya kaldığı hukuki sorumlulukları, ilgili mevzuat çerçevesinde detaylı bir şekilde ele almayı amaçlamaktadır.

E-posta dolandırıcılığı, genellikle kötü niyetli üçüncü kişilerin, kendilerini bir şirket çalışanı, yöneticisi, tedarikçisi veya iş ortağı gibi göstererek, şirketleri veya müşterilerini yanıltmak suretiyle para transferi, hassas bilgi paylaşımı veya sisteme erişim gibi eylemlere yönlendirmesidir. Bu tür olaylar, yalnızca dolandırıcılığa maruz kalan şirketi değil, aynı zamanda müşterilerini, iş ortaklarını ve hatta kamuoyu nezdindeki itibarını da derinden etkileyebilir. Dolayısıyla, şirketlerin bu tür saldırılara karşı alması gereken önlemler ve bir olay meydana geldiğinde doğacak hukuki sorumlulukları büyük önem taşımaktadır.

E-Posta Dolandırıcılığı Türleri ve Şirketlere Etkileri

E-posta dolandırıcılığı, farklı yöntemlerle karşımıza çıkabilmektedir. Bu yöntemlerin her biri, şirketler için farklı riskler ve hukuki sonuçlar doğurabilir.

Oltalama (Phishing) ve Hedefe Yönelik Oltalama (Spear Phishing)

Oltalama saldırıları, genellikle çok sayıda kişiye gönderilen sahte e-postalar aracılığıyla kullanıcı adı, parola, kredi kartı bilgileri gibi hassas verileri ele geçirmeyi hedefler. Hedefe yönelik oltalama ise, belirli bir kişi veya şirketi hedef alarak daha ikna edici ve kişiselleştirilmiş e-postalar gönderme yöntemidir. Bu saldırılar sonucunda ele geçirilen veriler, şirketin bilgi sistemlerine yetkisiz erişim, veri ihlalleri ve dolayısıyla hukuki sorumluluk doğurabilir.

İş E-Postası Uzlaşması (Business Email Compromise – BEC) ve CEO Dolandırıcılığı

BEC, dolandırıcıların bir şirketin e-posta sistemine sızarak veya benzer bir alan adı kullanarak kendilerini üst düzey yönetici (CEO, CFO vb.) veya güvenilir bir iş ortağı gibi gösterdiği, genellikle acil ve gizli bir taleple para transferi veya hassas bilgi paylaşımı talep ettiği dolandırıcılık türüdür. CEO dolandırıcılığı da bunun bir alt türüdür. Bu tür olaylar, şirketlerin doğrudan mali kayıplarına yol açmanın yanı sıra, ticari sırların ifşası veya sözleşmesel yükümlülüklerin ihlali gibi ciddi hukuki sonuçlar doğurabilir.

Fatura Dolandırıcılığı

Bu tür dolandırıcılıkta, dolandırıcılar kendilerini şirketin tedarikçisi gibi göstererek, sahte faturalar veya banka hesap bilgilerini içeren e-postalar gönderirler. Şirket muhasebe departmanları, bu sahte faturaları gerçek zannederek ödeme yaptığında büyük mali kayıplar yaşanır. Bu durum, şirketin üçüncü kişilere karşı ödeme yükümlülüğünü ortadan kaldırmadığı gibi, karşı tarafa tazminat sorumluluğu da doğurabilir.

Şirketlerin Hukuki Sorumluluğunun Temelleri

E-posta dolandırıcılığı olaylarında şirketlerin hukuki sorumluluğu, olayın niteliğine, zararın kime ve nasıl verildiğine göre Türk Hukuku’nda çeşitli kanunlar ve ilkeler çerçevesinde değerlendirilir.

Türk Ticaret Kanunu (TTK) ve Özen Yükümlülüğü

Türk Ticaret Kanunu’na göre, tacirler basiretli bir iş adamı gibi hareket etmekle yükümlüdür. Bu “basiretli iş adamı” ilkesi, şirketlerin iş süreçlerinde ve özellikle siber güvenlik konularında gerekli özeni göstermesini gerektirir. E-posta sistemlerinin güvenliğinin sağlanması, çalışanların bu konularda eğitilmesi ve potansiyel risklere karşı tedbir alınması, basiretli bir tacirin özen yükümlülüğünün bir parçasıdır. Bu yükümlülüğün ihlali, şirketin doğan zararlardan sorumlu tutulmasına neden olabilir.

Türk Borçlar Kanunu (TBK) Çerçevesinde Sorumluluk

Şirketlerin e-posta dolandırıcılığı olaylarındaki sorumluluğu, Türk Borçlar Kanunu kapsamında haksız fiil sorumluluğu (TBK m. 49 vd.) veya sözleşmeye aykırılık sorumluluğu olarak ortaya çıkabilir.

#### Haksız Fiil Sorumluluğu

Eğer bir şirket, gerekli güvenlik önlemlerini almayarak veya çalışanlarını yeterince eğitilmeyerek üçüncü bir kişinin (örneğin müşterisinin) e-posta dolandırıcılığına maruz kalmasına ve zarar görmesine sebep olursa, haksız fiil hükümleri uyarınca tazminat sorumluluğu doğabilir. Burada şirketin kusuru (ihmali) ve bu kusur ile zarar arasındaki illiyet bağı önem arz eder.

#### Çalıştıranın Sorumluluğu

Türk Borçlar Kanunu’nun 66. maddesi uyarınca, çalıştıran (işveren), adam çalıştırdığı kişilerin kendilerine verilen işi yaparken başkalarına verdikleri zarardan sorumludur. Eğer bir şirket çalışanı, e-posta dolandırıcılığına karşı gerekli dikkati göstermeyerek veya şirket içi güvenlik prosedürlerini ihlal ederek bir zarara sebebiyet verirse, şirket bu zarardan çalıştıran sıfatıyla sorumlu tutulabilir. Ancak şirket, zararın doğmasını engellemek için gerekli özeni gösterdiğini ispat ederse bu sorumluluktan kurtulabilir.

Kişisel Verilerin Korunması Kanunu (KVKK) Kapsamında Sorumluluk

E-posta dolandırıcılığı olayları, genellikle kişisel verilerin güvenliğini de tehdit eder. Eğer dolandırıcılık sonucunda müşterilerin, çalışanların veya iş ortaklarının kişisel verileri ele geçirilirse, şirket Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında “veri sorumlusu” sıfatıyla ciddi idari ve hukuki yaptırımlarla karşı karşıya kalabilir. KVKK’nın 12. maddesi gereği veri sorumlusu, kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri almakla yükümlüdür. Bu yükümlülüğün ihlali, idari para cezalarının yanı sıra, ilgili kişilerin tazminat talepleriyle de sonuçlanabilir.

Ceza Hukuku Sorumluluğu

Şirketlerin doğrudan ceza hukuku sorumluluğu olmamakla birlikte, e-posta dolandırıcılığı olaylarında yöneticilerin veya ilgili çalışanların Türk Ceza Kanunu kapsamında “görevi kötüye kullanma”, “ihmal suretiyle görevi kötüye kullanma” veya “veri güvenliğini ihlal etme” gibi suçlardan dolayı sorumluluğu gündeme gelebilir. Şirketler, bu tür olaylarda suçun işlenmesine zemin hazırlayan ihmalleri nedeniyle hukuki süreçlerde zor durumda kalabilirler.

Şirketlerin Alması Gereken Önleyici Tedbirler

Hukuki sorumluluktan kaçınmak ve ticari itibarı korumak adına şirketlerin proaktif tedbirler alması elzemdir.

Teknik Güvenlik Önlemleri

* Güncel Güvenlik Yazılımları: Güçlü anti-virüs, anti-spam ve güvenlik duvarı yazılımlarının kullanılması.
* İki Faktörlü Kimlik Doğrulama (2FA): E-posta ve diğer kritik sistemlerde 2FA veya çok faktörlü kimlik doğrulamanın zorunlu kılınması.
* E-posta Filtreleme ve Şifreleme: Gelişmiş e-posta filtreleme sistemleri ve hassas verilerin şifrelenerek gönderilmesi.
* Yedekleme ve Kurtarma Planları: Verilerin düzenli olarak yedeklenmesi ve bir siber saldırı durumunda hızlı kurtarma planlarının hazır bulundurulması.

İdari ve Organizasyonel Önlemler

* Çalışan Eğitimi: Tüm çalışanlara düzenli ve kapsamlı siber güvenlik, e-posta dolandırıcılığı farkındalık eğitimleri verilmesi.
* Protokoller ve Politikalar: Şirket içinde para transferleri, bilgi paylaşımı ve şüpheli e-postaların bildirilmesi konusunda net ve yazılı prosedürler oluşturulması. Özellikle mali işlemler için “çift kontrol” mekanizmasının zorunlu hale getirilmesi.
* Sızma Testleri ve Güvenlik Denetimleri: Bilgi sistemlerinin düzenli olarak sızma testlerine tabi tutulması ve güvenlik açıklarının tespit edilerek giderilmesi.
* Olay Müdahale Planı: Bir siber güvenlik olayı (e-posta dolandırıcılığı dahil) meydana geldiğinde atılacak adımları, sorumlu kişileri ve iletişim stratejilerini içeren bir olay müdahale planının hazırlanması.

E-Posta Dolandırıcılığı Olayında Atılması Gereken Adımlar

Bir e-posta dolandırıcılığı olayına maruz kalındığında, şirketin hızlı ve doğru adımlar atması, zararın minimize edilmesi ve hukuki süreçlerin etkin yönetilmesi açısından kritik öneme sahiptir.

İlk Müdahale

* İletişimi Kesme: Şüpheli e-posta veya bağlantı üzerinden herhangi bir etkileşimde bulunulmaması, şüpheli e-postaların sistemden silinmesi.
* Finansal İşlemleri Durdurma: Eğer bir para transferi söz konusu ise, ilgili bankalarla derhal iletişime geçilerek işlemin durdurulması veya geri alınması için talimat verilmesi.
* Sistem İzolasyonu: Şirket ağına veya sistemlere yetkisiz erişim şüphesi varsa, ilgili sistemlerin ağdan izole edilmesi.

Hukuki ve Teknik Süreçler

* Hukuki Danışmanlık: Bir siber güvenlik ve bilişim hukuku uzmanından derhal hukuki destek alınması. Avukat, olayın hukuki niteliğini değerlendirecek, atılması gereken adımları yönlendirecek ve olası sorumlulukları belirleyecektir.
* Adli Bilişim İncelemesi: Olayın nasıl gerçekleştiğini, zararın boyutunu ve delilleri tespit etmek amacıyla adli bilişim uzmanlarından destek alınması.
* Resmi Makamlara Bildirim: Cumhuriyet Başsavcılığına suç duyurusunda bulunulması ve siber suçlarla mücadele birimlerine ihbar yapılması.
* KVKK Bildirimi: Eğer kişisel veri ihlali söz konusu ise, Kişisel Verileri Koruma Kurumu’na (KVKK) yasal süresi içinde bildirim yapılması.
* İlgili Tarafların Bilgilendirilmesi: Müşteriler, iş ortakları veya diğer ilgili tarafların, olayın niteliğine göre uygun şekilde ve yasalara uygun olarak bilgilendirilmesi.

E-posta dolandırıcılığı, şirketlerin sadece finansal değil, aynı zamanda itibari ve hukuki anlamda da büyük risklerle karşı karşıya kalmasına neden olan ciddi bir tehdittir. Bu tehditle mücadele etmek, yalnızca teknik güvenlik önlemleri almakla sınırlı kalmayıp, aynı zamanda kapsamlı bir hukuki farkındalık ve proaktif bir strateji gerektirmektedir. Şirketlerin, basiretli bir tacir gibi hareket ederek gerekli özeni göstermesi, çalışanlarını eğitmesi, sağlam iç prosedürler oluşturması ve bir olay anında doğru hukuki adımları atması, hem kendi menfaatlerini korumak hem de yasal sorumluluklarını yerine getirmek açısından hayati öneme sahiptir. Bu karmaşık süreçte uzman bir hukuki danışmanlık almak, şirketlerin haklarını korumak ve olası zararları minimize etmek için en doğru yaklaşımdır.