Adres:
Çetin Emeç Bulv. Yukarı Öveçler Mh. Lizbon Cd. No: 2/3 Çankaya, Ankara
Telefon:
0 (312) 911 81 94
Siber Suç (Bilişim Suçu) Nedir?
Günlük hayatın neredeyse her adımı artık dijital izler bırakıyor. Bankacılık işlemlerimizi telefondan yapıyoruz, haberleşmeyi mesajlaşma uygulamalarına taşıdık, eğlence ve alışverişi çevrimiçi platformlarda sürdürüyoruz. Bu geniş ağın sunduğu kolaylıklar kadar, hukuki riskleri de var. “Siber suç” yahut Türk hukuk dilindeki yerleşik karşılığıyla “bilişim suçu”, tam da bu teknolojik zeminde ortaya çıkan hukuka aykırı eylemleri ifade eder. Kavramı doğru tanımlamak, yalnızca ceza kanunundaki bir iki maddeyle sınırlı bir bakışla değil; bilişim teknolojisinin kişilik hakları, malvarlığı değerleri, kamu güvenliği ve özel hayat üzerindeki etkisini bir bütün olarak kavramakla mümkündür.
Türk Ceza Kanunu doğrudan “bilişim suçları” başlığı altında yer alan hükümleri 243 ve 244. maddelerde toplar; buna banka veya kredi kartlarının kötüye kullanılması suçunu düzenleyen 245. madde eklemlenir. Bu üç madde, dar anlamda bilişim suçlarının çekirdeğini oluşturur. Ancak pratikte siber suç dendiğinde yalnızca bu üç maddeyle yetinilmez. Bilişim sistemlerinin vasıta olarak kullanıldığı nitelikli dolandırıcılık, bilişim yoluyla hırsızlık, kişisel verilerin hukuka aykırı elde edilmesi ve yayılması, özel hayatın gizliliğinin ihlali, çocukların cinsel istismarı içeren müstehcenlik, yasa dışı bahis, fikrî hak ihlalleri gibi pek çok suç türü doğrudan dijital platformlar üzerinden işlenebilmekte ve soruşturulmaktadır. Bu nedenle “bilişim suçu” terimini iki halkalı bir kavram olarak düşünmek gerekir: Birinci halka, bilişim sisteminin bizzat suçun konusu olduğu dar kümedir; ikinci halka ise bilişim sisteminin bir araç olarak kullanıldığı geniş kümedir. Hukuki değerlendirmede bu iki halka arasında doğru ayrım yapabilmek, hem suç tipini hem de yaptırım ve ispat kurallarını tayin eder.
Bilişim sistemi kavramı, kanunda ayrıntılı bir teknoloji kataloğu şeklinde sayılmamıştır; bilinçli olarak teknik gelişmelere açık, kapsayıcı bir formülasyon tercih edilmiştir. Esas olan, verileri toplayıp saklayabilen, işleyebilen ve otomatik süreçlere tabi tutabilen bir düzenektir. Kişisel bir bilgisayar, bir sunucu, bir akıllı telefon, bir ATM, bir endüstriyel kontrol sistemi, hatta IoT mantığıyla çalışan bir akıllı ev cihazı bile somut olayda “bilişim sistemi” sayılabilir. Bu geniş yorum, suç tiplerinin teknolojiye bağlı olarak etkisizleşmesini önler; öte yandan “sisteme girme” veya “sistemin işleyişini bozma” gibi unsurların uygulanışında her zaman teknik tespit ve bilirkişi incelemesini gerektirir.
Dar anlamın ilk durağı, “bilişim sistemine girme” suçudur. Yetkisiz biçimde bir sisteme erişmek, eriştikten sonra orada kalmak, idari veya teknik engelleri aşarak yetki sınırını ihlal etmek, tipikliğin temel taşlarıdır. Burada ille de bir zarar doğması zorunlu değildir; hukuka aykırı erişim eyleminin varlığı yeterlidir. Ancak erişimin ardından verilerin elde edilmesi, kopyalanması veya hesapların ele geçirilmesi gibi sonraki davranışlar, çoğu kez başka suçlarla iç içe geçer. Basit bir örnek üzerinden düşünelim: Bir kullanıcının parolasını tahmin ederek e-posta hesabına giren kişi, sırf bu fiille bilişim sistemine girme suçunu oluşturur. Eğer buradaki yazışmaları bir kenara kopyalarsa, verileri hukuka aykırı olarak ele geçirme ve yayma tartışmaları doğar; özel hayatın gizliliği veya haberleşmenin gizliliği boyutu da gündeme gelebilir. Görüldüğü üzere tek bir tıklama, birden fazla suç tipini tetikleyebilir; soruşturma makamlarının bu bileşik yapıyı doğru ayrıştırması gerekir.
İkinci düzenleme, “sistemin işleyişini engelleme veya bozma, verileri yok etme veya değiştirme” başlığıyla özetlenebilir. Bu çerçeve DDoS saldırılarından, zararlı yazılımlarla veri şifrelemeye; veritabanındaki kayıtların silinmesinden, uygulama lojiklerinin manipülasyonuna kadar çok geniş bir spektrumu kapsar. Bir e-ticaret sitesinin ödeme sayfasının yoğun saldırılarla erişilemez hale getirilmesi, bir belediyenin çağrı sisteminin botlarla kilitlenmesi, bir şirketin dosya sunucusunun fidye yazılımıyla şifrelenmesi, hatta akıllı üretim bandında sensör verilerinin manipüle edilmesi bu maddenin tipik uygulama alanlarıdır. Bu suçta korunan hukuki değer yalnızca malvarlığı yararı değil; sistemlerin güvenliği, sürekliliği ve veri bütünlüğüdür. Gelişen uygulamada, “sistemi bozma” ile “veriyi yok etme” ayrımının ceza sorumluluğuna etkisi önem kazanır; depolama katmanındaki fiziksel zarar ile mantıksal zarar ayrımı teknik bilirkişi raporlarında ayrıntılı biçimde tartışılır.
Üçüncü çekirdek düzenleme, banka veya kredi kartlarının kötüye kullanılması suçudur. Tamamen çevrimiçi bir kart kopyalama ve sahte ödeme süreci kadar, sahte e-ticaret siteleriyle kart bilgisi toplama, sosyal mühendislikle “3D Secure” onayı aldırma, başkasına ait kartla sanal alışveriş yapma gibi yöntemler de bu suçun parçasıdır. Bu noktada Türk Ceza Kanunu’nun nitelikli dolandırıcılık maddeleriyle olan ilişki pratikte sık gelir. Zira fail çoğu kez hem teknik manipülasyon hem de hileli davranışlarla mağduru yanıltır. Bu tür dosyalarda tespit zinciri, genellikle ödeme kuruluşu kayıtları, IP log’ları, cihaz parmak izi verileri, teslimat hareketleri ve finansal akış analizinden oluşur. Mağdur bakımından kartın fiziken kayıp veya çalıntı olması şart değildir; bilgilerin ele geçirilmesi yeterlidir. Ödeme ekosisteminde yer alan kuruluşların uyması gereken kimlik doğrulama ve sahtekârlık önleme kurallarının ihlali hâlinde, özel hukuk düzeyinde sorumluluk tartışmaları da ceza davasına paralel ilerleyebilir.
Geniş anlamda bilişim suçları kümesinde ilk akla gelen, bilişim sistemlerinin kullanılması suretiyle işlenen dolandırıcılıktır. Sahte yatırım uygulamaları, kripto varlık vurgunları, “phishing” ve “smishing” kampanyaları, kurumsal e-posta ele geçirme (BEC) şemaları ve sosyal medya üzerinden yürütülen sahte kampanyalar aynı başlık altında kavranır. Bu eylemler, sırf bir “internet suçu” gibi görülse de hukuken dolandırıcılığın nitelikli hâllerine otururlar; hilenin bilişim sistemi üzerinden icra edilmesi ve geniş kitlelere ulaşması yaptırımı ağırlaştırıcı etki doğurur. Failin tespiti çoğu dosyada IP adresinden ibaret değildir; araya giren vekil sunucular, paylaşımlı ağlar ve CGNAT mimarisi gerçeğini gözeten bir teknik analiz yapılmadıkça, soruşturma eksik kalır. Dijital delillerin toplanmasında zaman damgası, hash değeri, imaj alma gibi adli bilişim adımları, hukuka uygunluk ve ispat gücü için vazgeçilmezdir.
Benzer biçimde hırsızlık suçunun bilişim sistemlerinin kullanılması suretiyle işlenmesi de uygulamada yoğun karşılaşılan bir tablodur. Burada çoğu kez fail, mağdurun çevrimiçi cüzdanına veya ödeme hesabına yetkisiz erişerek varlık transferi gerçekleştirir ya da dijital varlıkların saklandığı depoları hedef alır. Kripto varlıkların teknik tabiatı, klasik “eşya” kavramına göre farklı sorular doğurur; buna rağmen malvarlığı değerindeki eksilme ve failin yararı lehine el değiştirme olgusu ceza hukukunun müdahalesini gerekli kılar. Bu dosyalarda adli bilişimin yanında blokzincir analizleri, adres kümelendirme ve borsa çıkış noktalarına ilişkin talepler, uluslararası adli yardımlaşma süreçleriyle birleşir.
Kişisel verilerin hukuka aykırı elde edilmesi ve yayılması, modern bilişim suçlarının en karakteristiklerinden biridir. Bir şirketin müşteri veritabanından sızdırılan kayıtlar, bir hastanenin sunucusundan koparılan dosyalar, bir sosyal medya hesabındaki mesaj arşivinin dışarı taşınması bu başlık altında değerlendirilir. Kişisel verinin yalnızca ele geçirilmesi değil; başkalarına satılması, paylaşılması, ifşa edilmesi de ayrı bir suç tipine dönüşebilir. Burada Türk Ceza Kanunu’nun koruma kanatları ile kişisel verilerin korunmasına ilişkin özel kanunun idari ve hukuki yaptırım mekanizmaları birlikte işler. Nitekim veri ihlalleri yalnızca ceza soruşturmasıyla kapanmaz; bildirim yükümlülükleri, veri güvenliği tedbirleri ve ilgililerin tazmin talepleri de gündeme gelir.
Özel hayatın gizliliğini ihlal eden eylemler, dijital çağda büyük ölçüde bilişim sistemleri üzerinden gerçekleşir. Haberleşmenin gizliliği, kapalı bir çevrede paylaşılan görüntü ve ses kayıtlarının rızasız dışarı taşınması, ev içi mahrem görüntülerin platformlar arası dolaşıma sokulması, her somut olayda ayrı ayrı değerlendirilir. Önemli olan, içeriğin kime dönük, hangi bağlamda ve hangi gizlilik ayarlarıyla paylaşıldığıdır. Kamuya açık bir hesapta tamamen aleni paylaşılan bir içeriğin linkini vermek ile, yalnızca arkadaş çevresine açık bir gönderiyi ekran kaydıyla farklı bir platforma taşımak aynı hukuki nitelendirmeye tabi tutulmaz. Çocuklara ilişkin müstehcen içerikler söz konusu olduğunda ise bu ayrımlar yerini mutlak bir koruma yaklaşımına bırakır; içeriğin kaynağı, rızası veya daha önce internette bulunuyor oluşu ceza sorumluluğunu ortadan kaldırmaz.
Yasa dışı bahis ve kumar, sosyal medya ve mesajlaşma uygulamaları üzerinden yaygınlaşan bir diğer fenomendir. Burada bilişim sistemi hem tanıtım hem de icra vasıtasıdır. Yetkisiz bahis oynatma, oynanmasına yer ve imkân sağlama, para nakline aracılık etme, reklam ve teşvik fiilleri ceza hukukunun konusudur. Bu dosyalarda dijital delillerin yanında finansal iz sürme, ödeme kuruluşlarının kayıtları, şüpheli işlem bildirimleri ve trafiğin yönlendirildiği altyapının konumu birlikte incelenir. Platformların içerik kaldırma ve erişim engelleme yükümlülükleri, kişilik hakları ve kamu düzeni bakımından hızlı müdahale imkânı sunar.
Fikrî ve sınai hakların ihlali de dijital zeminde sıkça karşımıza çıkar. Telifli müziklerin izinsiz kullanımı, video platformlarından içerik indirip yeniden yayımlama, yazılımın kırılamaz denilen korumalarının aşılması, dijital eserlerin “pirate” mecralara yüklenmesi gibi eylemler hem cezai hem de hukuki yaptırım getirebilir. Bu noktada platform içi kullanım koşulları ile ulusal mevzuatın kesişimi dikkatle ele alınmalıdır. Bir içeriğin uygulama içi “paylaş” butonuyla yayılması başka, indirilerek farklı bir mecrada yeniden yayımlanması bambaşka bir hukuki statüdür. Özellikle reşit olmayanlara ait içeriklerin platform dışına taşınmasında, eser sahibinin rızası yanında velâyet makamının onayı, kişisel veri işleme şartları ve üstün yarar ilkesi birlikte değerlendirilmelidir.
Siber suçlarda ispat sorunu, çoğu zaman davanın kaderini belirler. Delil hukuku açısından “ne, ne zaman, nerede ve nasıl” sorularına teknik netlikte yanıt verebilmek şarttır. Bir ağ trafiği kaydı tek başına her zaman failin kimliğini ispatlamaz; aynı IP üzerinden birden fazla kullanıcının çıkış yapabildiği durumlar, NAT mimarisi, VPN ve anonimleştirme katmanları değerlendirilmeden varılacak sonuçlar isabetsiz olur. Bu nedenle soruşturma mercileri bakımından doğru log kaynaklarının tespiti, saklama sürelerinin kaçırılmadan koruma altına alınması, içerik sağlayıcı ve sosyal ağ sağlayıcılarıyla kurulan hızlı ve teknik dili doğru kullanan yazışmalar hayati önemdedir. Elde edilen dijital materyallerin imaj alınarak hash değerlerinin tespit edilmesi, zincire dokunulmadan incelemeye konu edilmesi, bilirkişinin metodolojisini şeffaf ve tekrar edilebilir biçimde raporlaması, yargılamada delilin güvenilirliğini artırır.
Soruşturma ve kovuşturma sürecinde mağdurlar bakımından kısa yoldan korunma mekanizmaları da mevcuttur. Kişilik haklarının ihlali veya özel hayatın gizliliği söz konusu olduğunda, içeriklerin süratle kaldırılması ve erişimin engellenmesi için başvuru yolları işler. Tescil niteliğinde delil ihtiyacı varsa noter aracılığıyla tespit, zaman damgası veya güvenli elektronik imza altyapılarıyla kayıt altına alma teknikleri uygulanabilir. Hakaret, iftira veya linç çağrısı içeren paylaşımlar nedeniyle manevi tazminat talepleri, ceza soruşturmasından bağımsız olarak hukuk yargılamasında ileri sürülebilir. Ticari itibarı zedelenen şirketlerin hızlı düzeltme ve cevap mekanizmalarından yararlanmaları da mümkündür.
Bilişim suçlarıyla mücadelede “önleme” başlığı, çoğu zaman “mükemmel soruşturma”dan daha fazla sonuç üretir. Kurumlar için asgari siber hijyen standartlarının yerleştirilmesi, yama ve güncelleme yönetiminin disipline edilmesi, çok faktörlü kimlik doğrulama, erişim kayıtlarının anlamlı sürelerle saklanması, ayrıcalıklı hesapların izlenmesi, çalışanlara düzenli sosyal mühendislik eğitimleri verilmesi ve kriz senaryolarının önceden çalışılmış olması, pek çok vakayı başlamadan bitirir. Küçük işletmelerde “bize bir şey olmaz” rehaveti, saldırganların en sevdiği zafiyettir; çünkü hukuken sorumluluğu doğurabilecek en önemli kriterlerden biri “makul teknik ve idari tedbirlerin” alınıp alınmadığıdır. Veri güvenliği, yalnızca bir BT meselesi değil, hukuki bir uyum problemidir.
Bu tabloya felsefi bir not düşmek gerekir. Teknoloji iyi veya kötü değildir; onu kullanan el, eylemin etik ve hukuki niteliğini belirler. Hukukun görevi, yeniliği boğmak değil, riskle hakkı dengelemektir. Bilişim suçları alanında başarının ölçüsü, yalnızca daha çok kişiyi cezalandırmak değildir; bireyin mahremiyetini, malvarlığını ve iletişim özgürlüğünü korurken, ifade özgürlüğünü ve makul inovasyonu da yaşatabilmektir. Zira aşırı güvenlikçilik, en az aşırı serbestlik kadar tehlikelidir. Bu dengeyi kurmanın yolu, mevzuatı doğru okumak, yargısal içtihadı takip etmek ve teknik gerçeklikle hukuk dilini aynı masada konuşturabilmektir.
Pratikte bir dosyayı elinize aldığınızda sormanız gereken sorular bellidir. Hangi suç tipinden söz ediyoruz; dar çekirdek mi, geniş halka mı? Bilişim sistemi nerede, kim tarafından, hangi yetkiyle kullanılmış? Delilin kaynağı güvenilir mi, zinciri bozulmamış mı? Teknik tespitler, hukuka uygun usullerle mi yapılmış? Mağdurun korunması için süratli başvuru araçları tüketilmiş mi? Failin yararına el konması gereken kazanç var mı, müsadere koşulları oluşmuş mu? Bu sorulara verilen yanıtların tutarlılığı, dosyanın akıbetini belirler.
Son olarak, “bilişim suçu” kavramını yalnızca ceza hukuku perspektifine hapsetmek isabetli olmaz. Aynı eylemin tüketici hukuku, kişisel verilerin korunması, fikrî haklar, haksız rekabet veya sözleşmeler hukuku bakımından doğurduğu sonuçlar da çoğu kez belirleyicidir. Bir e-ticaret platformunda verilerin ele geçirilmesi olayı, yalnızca veriyi çalan failin cezalandırılmasıyla kapanmaz; veri sorumlusunun aydınlatma yükümlülükleri, etkilenen kişilere bildirim, idari yaptırımlar ve tazmin sorumluluğu da dosyanın parçasıdır. Bu çok katmanlı yapı, bilişim hukukçusunun (bilişim avukatı) disiplinler arası düşünme zorunluluğunu ortaya koymaktadır.