Yapay Zekâ Trading Botu Zarar Ettirdi: Sorumlu Kim Olacak?
Yapay zekâ destekli bir algoritmik trading botunun yol açtığı zarardan kim sorumludur? Kısa ve net cevap şu: Tek bir sorumlu yoktur. Yazılımın geliştiricisi, botu kullanan aracı kurum, talimat veren yatırımcı ve bazen platform sağlayıcı; hatanın türüne göre tek başına ya da müteselsilen sorumlu tutulabilir. Ancak işin asıl ayrıntısı, bu sorumluluğun hangi hukuk düzeninde, hangi teori üzerinden tesis edileceğindedir. Türk hukuku, AB hukuku ve Anglo-Sakson hukuk bu noktada birbirinden belirgin biçimde ayrışıyor.
1 Ağustos 2012 sabahı, New York Borsası'nın açılışından sadece kırk beş dakika sonra Knight Capital isimli aracı kurum 440 milyon dolar kaybetti. Sebep bir insan değil, eski bir kod parçasının hatalı bir güncellemeyle yeniden devreye girmesiydi. Bot, dakikalar içinde milyonlarca emir gönderdi; piyasa sallandı, kurum birkaç gün içinde el değiştirdi. Bu olay, algoritmik ticarette "küçük bir kod, büyük bir hesap" gerçeğinin sembolü oldu. Bugün yapay zekânın karar mekanizmalarına eklenmesiyle tablo daha da çetrefil: Öğrenen modeller, kendi parametrelerini güncelleyen sistemler, şeffaf olmayan "kara kutu" kararlar… Hukuk, bu yeni gerçeklikle yüzleşmek zorunda.
Herkesin merak ettiği bu soruyu baştan cevaplamış olalım:
Yapay zekâ trading botu zarar ettirdiğinde sorumluluk, "kimse" ile "herkes" arasında bir yerde duruyor. Yazılımcı kodu hatalıysa, aracı kurum risk kontrolünü kurmadıysa, kullanıcı uyarıları görmezden geldiyse — hatanın çıktığı kapı, sorumluluğun da kapısıdır. Türk hukuku kusur, tehlike ve ayıplı hizmet üzerinden; AB kusursuz ürün sorumluluğu üzerinden; Anglo-Sakson sistemi ise ağır ihmal üzerinden hesap soruyor.
Sözleşmedeki "tüm risk kullanıcıya aittir" cümlesi ise sanıldığı kadar güçlü bir kalkan değil; çünkü algoritma ne kadar otonom olursa olsun, perdenin arkasında daima bir insan iradesi vardır ve hukuk kusuru koda değil, o kodu yazana, denetleyene ve kullanana yükler.
Algoritmik Trading Botu Nedir, Hata Nasıl Doğar?
Sektörde "algo trading" olarak bilinen sistem, önceden tanımlanmış kurallara veya öğrenen modellere göre alım-satım emri üreten yazılımlardır. Yapay zekâ entegrasyonu işin matematiğini değiştirdi: Klasik bir botta hatayı çoğunlukla kodun kendisinde ararsınız; öğrenen bir modelde ise hata, eğitim verisinde, modelin yanlış genelleme yapmasında ya da piyasa koşullarındaki ani değişime uyum sağlayamamasında saklı olabilir. 2010 yılındaki "Flash Crash" olayı tam da bu sebeple meşhurdur: Dow Jones endeksi dakikalar içinde yaklaşık bin puan düşmüş, sebepler arasında algoritmik sistemlerin birbirini tetikleyen davranışları gösterilmişti.
Tam burada hukukun ilk soru işareti beliriyor: Hata yazılımcının kodlama kusurundan mı, eğitim verisinden mi, kullanıcının yanlış parametre girişinden mi, yoksa piyasanın öngörülemez davranışından mı doğdu? Cevap, sorumluluğun kapısını kimde çalacağınızı belirliyor.
Türk Hukukunda Sorumluluk: Kusur, Tehlike ve Üretici
Türk hukuku, bu tür zararları üç ana eksen üzerinden değerlendirmeye uygundur.
Birincisi, Türk Borçlar Kanunu'nun 49. maddesi çerçevesinde kusura dayalı sorumluluktur. Geliştirici şirket yeterince test etmemişse, aracı kurum gerekli risk kontrollerini kurmamışsa ya da kullanıcı uyarılara rağmen sistemi yanlış konfigüre etmişse, kusurun ispatı halinde tazminat sorumluluğu doğar.
İkinci eksen, TBK m.71'de düzenlenen tehlike sorumluluğudur. Bu, kusur aranmaksızın işletilen tehlikeli faaliyetin sahibine yüklenen ağır bir sorumluluk türüdür. Yüksek frekanslı, otonom ve büyük hacimli trading botlarının "önemli ölçüde tehlikeli" sayılıp sayılmayacağı doktrinde tartışılmakla birlikte, kanaatimizce kullanıcının üzerinde tam kontrol sahibi olmadığı, kararlarını öğrenerek değiştiren bir sistemin "tipik tehlike" yarattığı pekâlâ ileri sürülebilir.
Üçüncü eksen ise 6502 sayılı Tüketicinin Korunması Hakkında Kanun çerçevesindeki ayıplı mal/hizmet sorumluluğudur. Botu bir hizmet olarak satın alan bireysel yatırımcı, beklenen güvenliği sağlamayan yazılım için üreticiye ya da satıcıya başvurabilir. Buna ek olarak Sermaye Piyasası Kurulu'nun aracı kurumların algoritmik işlem sistemlerine ilişkin yükümlülükleri var; bu yükümlülüklerin ihlali idari yaptırımın yanı sıra hukuki sorumluluğun da dayanağı olabilir.
Karşıma gelen dosyalarda en sık rastladığım hata, sözleşmenin "tüm risk kullanıcıya aittir" şeklindeki tek cümlelik bir hükümle geçiştirilmesi. Oysa Türk hukukunda ağır kusurun sorumluluğunu peşinen kaldıran kayıtlar geçersizdir (TBK m.115). Ekrandaki onay kutusu, hukuki kalkan değildir.
Avrupa Birliği'nin Çift Katmanlı Modeli: AI Act ve Ürün Sorumluluğu
AB cephesinde 2024 yılında yürürlüğe giren Yapay Zekâ Tüzüğü (AI Act), yapay zekâ sistemlerini risk bazlı sınıflandırıyor. Kritik altyapı veya temel hak alanlarında çalışan sistemler "yüksek riskli" kabul ediliyor; bu sınıfa girenlerden şeffaflık, insan denetimi ve risk yönetim sistemi kurulması bekleniyor. Trading botları her durumda bu kategoriye girmese de, finansal istikrarı etkileyebilecek hacimli sistemler için düzenleyici beklentiler giderek sertleşiyor.
İkinci katman ise yenilenen Ürün Sorumluluğu Direktifidir. Bu direktif, yazılımı ve yapay zekâ sistemlerini açıkça "ürün" tanımına dahil etti. Sonuç çarpıcı: Artık AB'de bir AI trading botunun "kusurlu" olduğu durumlarda üretici kusursuz sorumluluk çerçevesinde tazminatla yükümlü tutulabiliyor. Üstelik direktif, kara kutu yapay zekâ sistemlerinde ispat yükünü davacı lehine hafifleten karinelere yer veriyor.
MiFID II'nin 17. maddesi ise algoritmik işlem yapan yatırım kuruluşlarına; etkili risk kontrolleri, "öldürme anahtarı" (kill switch — sistemin acil durumlarda anında durdurulması) ve düzenleyici makamlara bildirim gibi somut yükümlülükler getiriyor. Bu yükümlülüklerin ihlali, zarar gören müşterinin sorumluluk talebinde güçlü bir hukuki gerekçedir.
Anglo-Sakson Pratiği: Knight Capital'ın Bıraktığı Miras
ABD'de mesele büyük ölçüde Menkul Kıymetler ve Borsa Komisyonu (SEC) ve Emtia Vadeli İşlemler Ticaret Komisyonu (CFTC) düzenlemeleri ile haksız fiil hukukunun (tort law) kesişiminde çözülüyor. SEC'in 15c3-5 sayılı "Piyasa Erişim Kuralı", aracı kurumların hem müşteri hem de kendi adlarına verdikleri emirler için risk kontrolü kurmasını zorunlu kılıyor. Knight Capital, bu kural çerçevesinde 12 milyon dolar idari para cezasıyla uzlaşmıştı; ne var ki asıl 440 milyon dolarlık kayıp bilanço üzerinden silinmiş, şirket kısa süre içinde devralınmıştı.
İngiltere ise Finansal Davranış Otoritesi (FCA) rehberleri ve teamül hukukunun ihmal (negligence) doktriniyle hareket ediyor. Ortak çizgi şu: Anglo-Sakson sistemi, sözleşme özgürlüğüne ve risk dağıtımına Kıta Avrupası'na göre daha geniş alan bırakıyor; ancak ağır ihmal ve yasal yükümlülük ihlali halinde sorumluluktan kaçınmak hayli güçleşiyor.
Pratik Önlemler: Hukuki Riski Şimdiden Yönetmek
Hazırladığımız teknik uzman raporlarında dikkat çeken ortak bir nokta var: Davaların büyük kısmı, baştan atılabilecek beş-altı temel adımın atlanmış olmasından doğuyor. Tecrübeyle sabittir ki kuruma da bireysel yatırımcıya da en pahalıya patlayan unsur, hatadan sonra başlayan telaştır. O yüzden önceden alınması gereken önlemleri sıralamakta fayda var:
Sözleşmesel netlik: Geliştirici, aracı kurum ve kullanıcı arasındaki sorumluluk paylaşımının yazılı, ölçülebilir ve sınırları belirli olması.
Test ve doğrulama kayıtları: Botun hangi senaryolarda test edildiğine dair geriye dönük denetlenebilir kayıtların tutulması.
Risk limitleri ve kill switch: Belirli bir hacim ya da kayıp eşiği aşıldığında sistemin otomatik olarak durdurulması.
Şeffaflık ve günlük kayıtları (logging): Kararların hangi parametrelerle alındığına dair erişilebilir kayıt sistemi.
Sigorta: Siber riskler ve teknoloji hatalarına özgü mesleki sorumluluk poliçeleri.
Düzenli güncelleme ve gözden geçirme: Modelin değişen piyasa koşullarına karşı periyodik denetlenmesi.
Bu önlemler birer "hukuki kalkan" değil, sorumluluğun adil biçimde paylaşılmasının ön koşuludur. Kayıt tutmayan, test etmeyen ve uyarmayan tarafın sözleşmesel hükmün arkasına saklanma şansı, hukuken oldukça sınırlıdır.
Kara Kutu Sorunu: İspat Yükü Kimin Üzerinde?
Yapay zekânın en sancılı tarafı, kararların nasıl alındığının çoğu zaman geliştirici tarafından bile tam açıklanamamasıdır. Geleneksel haksız fiil hukuku ise nedenselliğin ispatına dayanır. Bu noktada AB hukuku, davacı lehine karineler tanıyarak ispat yükünü hafifletme yoluna gitti. Türk hukukunda da TBK m.50 kapsamında zararın belirlenmesinde hâkimin takdir yetkisi geniştir; ancak içtihadın bu konuda olgunlaşması zaman alacak.
Sektörde sıkça duyduğum bir cümle vardır: "Algoritmaya kusur izafe edilemez, çünkü o sadece kodu uygular." Bu yaklaşım hukuken yanıltıcıdır. Çünkü kusur, kod satırına değil, o kodu yazan, denetleyen, dağıtan ve kullanan insanlara ve tüzel kişilere izafe edilir. Yapay zekâ ne kadar otonom olursa olsun, perdenin arkasında her zaman bir insan iradesi vardır.
Sıkça Sorulan Sorular
AI trading botu nedeniyle zarara uğradım, kime dava açabilirim?
Zararın kaynağına göre değişir. Yazılım hatası varsa geliştirici/üretici, aracı kurumun risk kontrolü eksikliği varsa aracı kurum, hatalı parametre girişi söz konusuysa kullanıcı tarafının kendisi sorumlu olabilir. Çoğu davada birden fazla taraf müteselsilen sorumlu tutulur.
Sözleşmedeki "tüm risk kullanıcıya aittir" maddesi beni gerçekten bağlar mı?
TBK m.115 uyarınca ağır kusur ve kasta ilişkin sorumluluğun peşin olarak kaldırılması mümkün değildir. Genel işlem koşullarına aykırı, sürpriz nitelikteki kayıtlar da geçersiz sayılabilir.
Yapay zekânın "kendi kararıyla" yaptığı işlem için kim sorumlu?
Hukuki kişiliği olmayan bir varlığın doğrudan sorumluluğundan söz edilemez. Sorumluluk; sistemi geliştiren, devreye alan, denetleyen ve kullanan gerçek/tüzel kişilerin üzerindedir.
AB'de ürün sorumluluğunda ne değişti?
2024'te yürürlüğe giren yenilenen Ürün Sorumluluğu Direktifi yazılımı ve yapay zekâ sistemlerini açıkça ürün kabul ederek kusursuz sorumluluk çerçevesini bu alana taşıdı.
Bireysel yatırımcı kendini nasıl koruyabilir?
Botu sunan tarafın yetkilendirmesini doğrulamalı, sözleşmeyi sonuna kadar okumalı, mümkünse risk limiti ve kayıt tutma özelliklerini açık tutmalı, kayıp eşiği belirlemeli ve mesleki sorumluluk sigortası olan kurumları tercih etmelidir.
Sonuç: Algoritmanın Soğuk Mantığı-Hukukun Soğuk Vicdanı
Knight Capital'in kırk beş dakikada eriyen 440 milyon doları, sadece bir teknoloji hikâyesi değil; aynı zamanda hukukun çağı yakalama mücadelesinin de simgesi. Algoritmalar daha hızlı, daha öngörülemez ve daha "kendinden menkul" hale geldikçe sorumluluk hukukunun da o oranda incelmesi gerekiyor. Türk hukuku bu konuda esnek ve genişlemeye açık bir çerçeve sunuyor; AB pratikte daha katı ve davacıyı koruyan bir yol benimsemiş; Anglo-Sakson sistemi ise sözleşmesel özgürlüğe geniş yer açıp ağır ihmali sıkı denetliyor.
Eskiler "Hesabını bilmeyen, kervanını yıkar" demişler. Algoritmik trading dünyasında bu söz fazlasıyla yerini buluyor: Riskin nereden doğduğunu bilmeyen, zararın kapısını kimin çaldığını da göremez.
Kısacası: Bot zarar ettirdiğinde sorumluluk tek bir adreste değil, hatanın çıktığı kapıdadır. Tabii ki somut vaka bazında inceleyip değerlendirmek en doğrusu olacaktır fakat bununla birlikte genel bir değerlendirme yapacak olur isek,
Kod hatalıysa yazılımcı, risk kontrolü yoksa aracı kurum, parametre yanlışsa kullanıcı hesap verir; çoğu zaman da hepsi birlikte.
"Tüm risk kullanıcıya aittir" cümlesi sanıldığı kadar güçlü bir kalkan değildir; çünkü algoritma ne kadar otonom görünse de perdenin arkasında daima bir insan iradesi vardır ve hukuk kusuru koda değil, onu yazana ve kullanana yükler.
Av. Ahmet Karaca
