Dijital bankacılık işlemlerinin hızlanmasıyla birlikte, para transferlerinde karşılaşılan en önemli risklerden biri de kamuoyunda “sahte IBAN” olarak anılan dolandırıcılık yöntemleridir. Uygulamada sorun çoğu zaman yalnızca uydurma veya hatalı yazılmış bir hesap numarası değildir. Asıl tehlike, teknik olarak geçerli görünen fakat gerçekte borç ilişkisiyle ilgisi olmayan, dolandırıcılık amacıyla size yönlendirilen bir hesaba ödeme yapılmasıdır. Türkiye’de IBAN, resmi düzenlemeye göre bir hesabı işaret eden 26 alfanümerik karakterden oluşur; bu nedenle sadece biçimsel doğruluk, ödemenin güvenli olduğu anlamına gelmez.
Kısa Cevap
Sahte IBAN’ı anlamanın en güvenli yolu, yalnızca numaranın formatına bakmak değil; hesabın kime ait olduğunu, hangi hukuki ilişki için gönderildiğini, IBAN değişikliğinin hangi kanaldan bildirildiğini ve ödeme talebinin olağan akışa uygun olup olmadığını birlikte değerlendirmektir. Son dakika hesap değişikliği, WhatsApp veya e-posta ile gelen yeni IBAN, şirket yerine şahıs hesabına yönlendirme, acele baskısı, link veya PDF içindeki farklı hesap bilgisi ve bağımsız doğrulama yapılmaması en güçlü risk işaretleri arasında yer alır. Dolandırıcılık bakımından bu tür fiiller, somut olaya göre Türk Ceza Kanunu’nda dolandırıcılık veya nitelikli dolandırıcılık kapsamında değerlendirilebilir.
“Sahte IBAN” Nedir?
Hukuki ve teknik açıdan bakıldığında “sahte IBAN” tek tip bir kavram değildir. Uygulamada en az üç farklı görünümle karşımıza çıkar. Birincisi, sistemde hiç karşılığı olmayan veya formatı bozuk, açıkça geçersiz IBAN’dır. İkincisi, teknik olarak geçerli olsa da borcun gerçek alacaklısına ait olmayan hesaptır. Üçüncüsü ise gerçek satıcı, kiraya veren, tedarikçi ya da hizmet sağlayıcı adına görünüyormuş gibi iletilen; ancak e-posta, mesaj veya belge manipülasyonu yoluyla sonradan değiştirilmiş hesaptır. En fazla mağduriyet yaratan tür, ikinci ve üçüncü gruptur; çünkü burada numara çoğu zaman “geçerli” görünür. Resmi tebliğde de IBAN’ın yalnızca bir hesabı işaret ettiği belirtilmiştir. Bu nedenle teknik geçerlilik, alacaklı doğrulamasıyla karıştırılmamalıdır.
Bu ayrım özellikle önemlidir. Zira birçok kişi “IBAN sistem tarafından kabul edildiyse sorun yoktur” düşüncesiyle hareket eder. Oysa ödeme hukukunda belirleyici olan yalnızca transferin gerçekleşmesi değil, fonun doğru alıcıya ve doğru hukuki sebebe dayanarak gönderilmiş olmasıdır. 6493 sayılı Kanun; göndereni, alıcıyı, ödeme emrini ve ödeme işlemini ayrı ayrı tanımlar. Buradan çıkan pratik sonuç şudur: Banka ya da ödeme sistemi işlemi teknik olarak tamamlamış olsa bile, ödemenin yanlış kişiye gitmiş olması ihtimali ortadan kalkmaz.
Sahte IBAN Nasıl Anlaşılır?
1. Önce biçimsel kontrol yapılmalıdır
Türkiye’de IBAN 26 alfanümerik karakterden oluşur ve “TR” ile başlar. Eksik karakter, ilave sembol, olağan dışı boşluklar, görsel olarak benzer harf-rakam karışıklıkları ya da sistemin kabul etmediği bir yapı ilk bakışta şüphe doğurur. Ancak bu aşama sadece ön elemedir. Doğru format, sadece hesabın teknik yapısına işaret eder; hukuki güvenlik sağlamaz.
2. Hesap sahibi ile ödeme nedeni arasında makul bağ aranmalıdır
Bir şirket faturası ödenirken kişisel hesaba yönlendirme yapılması, kira bedeli için üçüncü kişinin hesabının verilmesi, avans veya kapora ödemesinde ilan sahibi dışında farklı bir hesap istenmesi, dikkatle incelenmesi gereken durumlardır. Elbette her farklılık tek başına dolandırıcılık anlamına gelmez. Şahıs işletmeleri, vekâlet ilişkileri, muhasebe/finans operasyonları veya sözleşmesel özel düzenlemeler olabilir. Ancak bu gibi hallerde yazılı açıklama alınmadan ve bağımsız doğrulama yapılmadan ödeme gerçekleştirilmemelidir. Hukuken önemli olan, ödemenin gerçekten borcun alacaklısına veya onun yetkilendirdiği kişiye yapıldığının ispatlanabilmesidir.
3. Son dakika hesap değişikliği en güçlü risk işaretlerinden biridir
Uygulamada en çok görülen yöntemlerden biri, mevcut ticari ilişkiyi taklit ederek son anda yeni IBAN gönderilmesidir. Türkiye Bankalar Birliği’nin dolandırıcılık rehberinde, şirket e-postasının ele geçirilmesi veya taklit edilmesi yoluyla sahte talimat gönderildiği; finans ve muhasebe çalışanlarının bu yolla yanıltılabildiği açık biçimde anlatılmaktadır. Bu nedenle “Eski hesap kapandı”, “Denetim var”, “Bugün mutlaka bu yeni hesaba gönderin” türü talepler, özellikle de yalnızca e-posta veya mesaj ile geliyorsa, yüksek risk taşır.
4. Mesajın geldiği kanal kadar, doğrulamanın yapıldığı kanal da önemlidir
Sahte IBAN çoğu zaman WhatsApp, SMS, sosyal medya mesajı, e-posta eki, PDF fatura ya da QR görseli içinde gelir. Burada hata, aynı şüpheli kanal üzerinden teyit almaya çalışmaktır. Doğru yöntem; sözleşmede yer alan telefon numarası, resmi internet sitesi, daha önce doğrulanmış kurumsal hat veya yüz yüze iletişim gibi bağımsız bir kanaldan onay almaktır. TBB rehberinde, sahte site veya oltalama saldırısı fark edildiğinde vakit kaybetmeden banka ile iletişime geçilmesi ve hesap hareketlerinin kontrol edilmesi tavsiye edilmektedir.
5. Aşırı acele, baskı ve korku dili kullanılıyorsa temkin artırılmalıdır
Dolandırıcılık vakalarında sıkça görülen unsur, mağdurun düşünme ve doğrulama süresinin elinden alınmasıdır. “Hemen gönderin yoksa işlem iptal olur”, “Dosya icraya düşecek”, “Bugün yatırılmazsa ceza çıkar”, “Yalnızca bu hesaba ödeme kabul ediliyor” gibi baskı cümleleri tesadüf değildir. BDDK’nın güncel duyurusunda da kurumun hiçbir şekilde telefon, e-posta, internet sitesi veya başka ortamlarda kişisel bilgi talep etmediği açıkça belirtilmiştir. Kamu kurumu, banka, avukatlık ofisi ya da resmi merci görünümü altında kişisel veri veya para talep edilmesi özellikle dikkat gerektirir.
6. Link, karekod veya “hazır ödeme ekranı” güvenliğin yerine geçmez
Bugün ödeme işlemleri yalnızca klasik IBAN paylaşımıyla yapılmamaktadır. TCMB verilerine göre KOLAS ve FAST altyapısı sayesinde telefon numarası, kimlik numarası, e-posta adresi, pasaport numarası veya vergi kimlik numarası üzerinden de para transferi yapılabilmektedir; ayrıca TR Karekod ile IBAN paylaşılmaksızın ödeme başlatılabilmektedir. Bu nedenle “IBAN yok, demek ki güvenli” düşüncesi de yanlıştır. İster IBAN, ister kolay adres, ister karekod kullanılsın; esas mesele alıcının doğrulanmasıdır.
7. Banka ekranında görünen bilgi mutlaka karşılaştırılmalıdır
Bazı ödeme akışlarında banka veya ödeme uygulaması, karşı tarafa ilişkin sınırlı bilgi gösterebilir. Böyle bir bilgi görünüyorsa, sözleşmedeki alacaklı adı, ticaret unvanı veya daha önce teyit edilmiş hesap sahibi bilgisiyle karşılaştırılmalıdır. Ancak burada da aşırı güvene kapılmamak gerekir. Gösterilen bilgi sınırlı, maskeli veya işlem kanalına göre değişken olabilir. Bu sebeple ekran bilgisi destekleyici unsur sayılmalı, tek başına yeterli görülmemelidir.
En Sık Karşılaşılan Sahte IBAN Senaryoları
En yaygın senaryo, ticari fatura veya tedarikçi ödemelerinde ortaya çıkar. Taraflar arasında gerçek bir ilişki vardır; fakat e-posta hesabı ele geçirilir veya taklit edilir. Önce normal yazışma akışı izlenir, ardından yeni IBAN gönderilir. Ödeme yapan taraf da gerçek ilişkiye güvendiği için hesabı sorgulamadan transfer yapar. TBB rehberi, hem sahte talimat hem de şirket e-postasının ele geçirilmesi suretiyle yapılan dolandırıcılıkları özellikle vurgulamaktadır.
İkinci önemli alan kira, kapora ve taşınmaz işlemleridir. İlanı veren kişi ile ödeme istenen hesap sahibi farklı olabilir. “Emlak danışmanı hesabı”, “yakınımın hesabı”, “bugün şehir dışındayım” gibi açıklamalarla kişisel hesaplar devreye sokulabilir. Bu tür durumlarda tapu, kira sözleşmesi, yetki belgesi ve hesap sahibi bilgisi birlikte incelenmeden ödeme yapılmamalıdır. Borç ilişkisinin muhatabı ile hesabın sahibi arasındaki bağ ne kadar zayıfsa, hukuki risk o kadar büyür.
Üçüncü grup, sosyal medya ve e-ticaret odaklı ödemelerdir. Burada kişi çoğu zaman resmi bir sözleşme olmaksızın, yalnızca profil güvenilirliğine veya mesajlaşmaya dayanarak kapora gönderir. Oysa hesap bilgisi değiştirilebilir, mesaj ekranı manipüle edilebilir, ilan hesabı başkası tarafından yönetiliyor olabilir. TBB’nin bankacılık dolandırıcılığı rehberi; sahte site, oltalama, telefonla ikna ve farklı sahtecilik yöntemlerinin kullanıcının karar verme sürecini etkilediğini ayrıntılı şekilde ortaya koymaktadır.
Dördüncü grup, ikinci el araç ve yüksek tutarlı satış işlemleridir. Bu işlemlerde “önce kapora”, “şu hesaba gönderin, devirde mahsup ederiz” yaklaşımı ciddi risk doğurur. TCMB, özellikle ikinci el araç alım satımı gibi iş modellerinde kullanılabilecek Güvenli Ödeme İşlemi katman servisini üretime aldığını açıklamıştır. Bu tür işlemlerde rastgele IBAN’a transfer yerine güvenli ve doğrulanabilir ödeme kurgularının tercih edilmesi, uyuşmazlık ve mağduriyet riskini azaltır.
Ödeme Yapmadan Önce Uygulanması Gereken Hukuki ve Fiilî Kontrol Listesi
Ödeme öncesinde uygulanacak disiplinli bir kontrol süreci, çoğu mağduriyeti baştan engeller. En güvenli yaklaşım şudur: ödeme sebebi, alacaklı kimliği, hesap sahibi bilgisi, iletişim kanalı ve belge bütünlüğü birlikte doğrulanmalıdır. Sadece “IBAN doğru görünüyor” değerlendirmesiyle işlem yapılmamalıdır. TBB ve TCMB kaynakları da dolandırıcılık riskine karşı erken bildirim, hızlı banka iletişimi ve güvenli doğrulama refleksinin önemini göstermektedir.
Pratikte şu asgari adımlar izlenmelidir:
- IBAN’ın biçimsel doğruluğunu kontrol edin.
- Hesap sahibinin, sözleşmedeki tarafla uyumlu olup olmadığını teyit edin.
- Yeni gönderilen IBAN’ı, daha önce kayıtlı olan hesapla karşılaştırın.
- Hesap değişikliği varsa, bağımsız kanaldan mutlaka geri arama yapın.
- E-posta adresinin alan adını, harf farklarını ve yönlendirmeleri inceleyin.
- PDF, görsel veya mesaj ekranındaki bilgiye tek başına güvenmeyin.
- Yüksek tutarlı işlemlerde yazılı teyit alın.
- Mümkünse küçük test transferi veya teyit prosedürü uygulayın.
- İkinci el araç ve benzeri işlemlerde güvenli ödeme altyapısını tercih edin.
- Şüphe halinde ödeme yapmayın; önce hukuki ve teknik kontrol sağlayın.
Para Gönderildiyse Ne Yapılmalı?
Para yanlış veya dolandırıcılık amacıyla yönlendirilmiş hesaba gönderildiyse zaman kaybı aleyhinize işler. İlk adım, derhal banka veya ödeme hizmeti sağlayıcısı ile iletişime geçerek işlem itirazının kayda alınmasını istemektir. TBB rehberinde, dolandırıcılık durumunda vakit kaybetmeden banka ile iletişim kurulması ve hesapların güvenlik altına alınması gerektiği açıkça belirtilir. TCMB de ödeme alanında dolandırıcılık riskinin hızlı bilgi paylaşımıyla yönetilmesi amacıyla SİPER altyapısını devreye aldığını açıklamıştır. Bu nedenle erken bildirim sadece pratik değil, olayın izlenebilirliği açısından da kritik önemdedir.
İkinci adım, delillerin eksiksiz şekilde korunmasıdır. Dekont, açıklama satırı, mesaj kayıtları, e-posta başlık bilgileri, sahte fatura veya PDF, link adresi, ilan ekran görüntüsü, telefon numarası, ses kayıtları, tarih-saat bilgileri ve varsa karşı tarafla yapılan yazışmalar saklanmalıdır. Ceza ve hukuk süreçlerinde ispat yükü bakımından bu materyaller belirleyici olabilir. Türk Borçlar Kanunu’nda da zarar görenin zararını ve kusuru ispatı önem taşır; hâkim tazminatın kapsamını olayın özelliklerine göre belirler.
Üçüncü adım, savcılığa suç duyurusunda bulunulmasıdır. Somut olayın niteliğine göre fiil, basit dolandırıcılık veya bilişim sistemleri ile banka/kredi kurumlarının araç olarak kullanıldığı nitelikli dolandırıcılık kapsamında değerlendirilebilir. Hesap değişikliği e-posta ele geçirilmesi, sisteme hukuka aykırı girme veya veriyi değiştirme yoluyla yapılmışsa bilişim suçlarına ilişkin maddeler de gündeme gelebilir.
Ceza Hukuku Bakımından Hukuki Nitelendirme
Türk Ceza Kanunu’nun 157. maddesinde, hileli davranışlarla bir kimseyi aldatıp onun veya başkasının zararına yarar sağlama fiili dolandırıcılık olarak düzenlenmiştir. 158. maddede ise bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması gibi haller nitelikli dolandırıcılık kapsamında daha ağır yaptırıma bağlanmıştır. Sahte IBAN vakalarının önemli bölümü, özellikle internet bankacılığı, e-posta, mesajlaşma uygulamaları ve banka transfer sistemleri kullanıldığı için 158. madde yönünden değerlendirme alanına girebilir. Somut olayın özellikleri, kullanılan yöntem ve failin hareket tarzı burada belirleyicidir.
Eğer olay yalnızca yanlış hesaba ödeme yapılmasından ibaret değil; e-posta hesabının ele geçirilmesi, sisteme izinsiz erişim, veri değiştirme veya ödeme altyapısının manipülasyonu ile bağlantılıysa, TCK’nın 243 ve 244. maddelerinde düzenlenen bilişim sistemine girme ve sistemi bozma/veriyi değiştirme suçları da ayrıca tartışılabilir. Uygulamada her olay bu kapsamda değerlendirilmese de, teknik inceleme sonucuna göre birden fazla suç tipi birlikte gündeme gelebilir.
Özel Hukuk Bakımından Geri Alma ve Tazminat İmkânı
Yanlış veya hile ile yönlendirilmiş hesaba yapılan ödeme, her zaman yalnızca ceza hukuku problemi değildir. Türk Borçlar Kanunu bakımından, kusurlu ve hukuka aykırı fiille zarar verilmesi halinde haksız fiil sorumluluğu doğabilir. Ayrıca haklı bir sebep olmaksızın başkasının malvarlığından zenginleşen kişinin bu zenginleşmeyi geri verme yükümlülüğü de sebepsiz zenginleşme hükümleri çerçevesinde gündeme gelir. Bu nedenle olayın niteliğine göre geri alma, tazminat ve alacak talepleri ayrıca değerlendirilmelidir.
Bununla birlikte, “yanlış hesaba giden her para mutlaka geri alınır” şeklinde genel ve kesin bir sonuca varmak doğru değildir. Hesabın kime ait olduğu, paranın hemen çekilip çekilmediği, banka nezdindeki kayıtlar, karşı tarafın iyi niyet iddiası, olayın gerçekten hata mı yoksa hile mi olduğu ve delillerin gücü sonucu doğrudan etkiler. Bu nedenle hukuki yol haritası, dosya bazında ve delil seti üzerinden kurulmalıdır.
Şirketler ve Muhasebe Birimleri Açısından Ayrı Risk
Kurumsal yapılar bakımından sahte IBAN dolandırıcılığı çoğu zaman tek bir personelin hatası gibi görünse de, gerçekte iç kontrol zafiyetiyle yakından ilişkilidir. TBB rehberinde şirket e-postasının veya üst düzey yönetici e-postasının ele geçirilmesi/taklit edilmesi suretiyle sahte talimat oluşturulabildiği anlatılmaktadır. Bu nedenle şirketlerde “hesap değişikliği çift onayı”, “geri arama kuralı”, “yeni lehdar doğrulaması”, “ilk ödeme teyidi” ve “e-posta alan adı kontrolü” gibi iç prosedürler yalnızca idari tedbir değil, olası sorumluluk tartışmalarında da önem taşır.
Ödeme ekosisteminde güvenliğin yalnızca kullanıcı dikkatine bırakılmadığı da görülmektedir. TCMB, dolandırıcılık risklerinin azaltılması ve tüketici mağduriyetlerinin önlenmesi amacıyla ödeme kuruluşları ve elektronik para kuruluşları bakımından çeşitli talimat ve uyum adımlarının devreye alındığını; ayrıca SİPER üzerinden yasadışı işlem riskine ilişkin bilgi paylaşımı sağlandığını açıklamıştır. Bu çerçeve, kullanıcıların da bankacılık ve ödeme kuruluşlarıyla iletişimde gecikmemesini daha önemli hale getirir.
Sık Sorulan Sorular
Geçerli görünen bir IBAN yine de sahte olabilir mi?
Evet. En kritik nokta budur. IBAN teknik olarak geçerli olabilir; ancak borcun gerçek alacaklısına değil, dolandırıcılık amacıyla yönlendirilmiş farklı bir hesaba ait olabilir. IBAN’ın resmi tanımı, onun bir hesabı işaret ettiğini gösterir; hesabın hukuki muhatapla uyumlu olup olmadığı ayrıca doğrulanmalıdır.
WhatsApp’tan gelen IBAN’a ödeme yapılır mı?
Tek başına mesajlaşma uygulamasından gelen hesap bilgisine dayanarak ödeme yapılması ciddi risk taşır. Özellikle son dakika değişiklikleri ve acele baskısı varsa, bağımsız kanaldan teyit zorunludur. TBB rehberi, sahte site, oltalama ve mesaj tabanlı dolandırıcılık risklerine karşı hızlı banka iletişimini ve dikkatli doğrulamayı önermektedir.
Şirket ödemesi şahıs hesabına istenirse ne yapılmalıdır?
Her olay otomatik olarak dolandırıcılık değildir; ancak bu durum yüksek risklidir. Yazılı açıklama, yetki belgesi, sözleşmesel dayanak ve bağımsız teyit olmadan ödeme yapılmamalıdır. Uyuşmazlık halinde ödemenin kimin hesabına, hangi hukuki sebebe dayanarak yapıldığını ispat etmek gerekir.
IBAN olmadan telefon numarası veya e-posta ile ödeme yapılabiliyorsa bu sahtecilik midir?
Hayır. TCMB’nin FAST/KOLAS altyapısında telefon numarası, kimlik numarası veya e-posta ile para transferi yapılabilmektedir. Ancak IBAN kullanılmıyor olması, doğrulama ihtiyacını ortadan kaldırmaz. Kolay adres de yanlış kişiye ait olabilir veya kötüye kullanılabilir; yine alıcı kimliği ve hukuki sebep doğrulanmalıdır.
Para gönderildikten sonra sadece bankaya başvurmak yeterli midir?
Genellikle hayır. Bankaya derhal bildirim yapılması ilk ve çok önemli adımdır; ancak olayın niteliğine göre savcılığa suç duyurusu, delillerin korunması ve ayrıca özel hukuk taleplerinin değerlendirilmesi gerekir. TBB rehberi de bankaya itiraz iletilmesini ve savcılık başvurusunu vurgulamaktadır.
Hukuki Değerlendirme ve Profesyonel Başvuru İhtiyacı
Sahte IBAN vakalarında temel hata, meseleyi yalnızca “yanlış havale” gibi görmekten ibarettir. Oysa birçok dosyada sorun; bilişim sistemlerinin kullanılması, iletişim kanalının ele geçirilmesi, sahte belge üretilmesi, ödeme iradesinin hile ile sakatlanması ve yanlış kişiye para aktarılması gibi birden fazla hukuki katmandan oluşur. Bu nedenle dosyanın hem ceza hukuku hem de alacak-tazminat boyutuyla birlikte ele alınması gerekir.
Özellikle ticari ödemelerde, yüksek tutarlı transferlerde, şirket hesabı değişikliklerinde, e-posta manipülasyonlarında ve kapora/kira/araç satışlarında gecikmeden hukuki değerlendirme yapılması önem taşır. Somut olayın özelliklerine göre banka kayıtları, ödeme dekontları, log kayıtları, yazışma zinciri, cihaz ve hesap erişim verileri ile taraflar arasındaki sözleşmesel ilişki birlikte incelenmelidir. Uygun strateji çoğu zaman ilk 24 saat içinde belirlenir; bu sebeple teknik inceleme ile hukuki başvurunun eş zamanlı yürütülmesi gerekir.
