Bilişim Suçları Kapsamı, Türk Ceza Kanunu’ndaki Düzenlemeler ve Uzman Mütalaasının Yargılamadaki Kritik Rolü

I. GİRİŞ VE BİLİŞİM SUÇLARININ KAVRAMSAL ÇERÇEVESİ

A. Bilişim Suçlarının Tanımı, Gelişimi ve Hukuki Konusu

Bilişim suçları, çağdaş hukukun en dinamik alanlarından birini teşkil etmekte olup, genel olarak Türk Ceza Kanunu’nun (TCK) Özel Hükümler Kitabı’nda "Bilişim Alanındaki Suçlar" başlığı altında (Madde 243-246) düzenlenmiştir. Literatürde bu suçlar için bilgisayar suçu, internet suçu veya elektronik ortamda işlenen suçlar gibi çeşitli terimler kullanılmaktadır.¹ Esas itibarıyla, bilişim suçu kavramı, suç teşkil eden eylemin elektronik ve teknolojik araçlar kullanılarak işlenmesini kapsar.¹

Bilişim suçları, koruduğu hukuki değerler açısından geleneksel suç tiplerinden ayrılmaktadır. Örneğin, TCK m. 243'te düzenlenen Bilişim Sistemine Girme Suçu, bireyin dijital ortamdaki özel alanını, sistem güvenliğini, veri mahremiyetini ve haberleşmenin gizliliğini koruma altına almıştır.¹ Genel olarak, bu suçlar bilişim sistemlerinin güvenilirliğini, işleyiş bütünlüğünü ve bu sistemler aracılığıyla korunan malvarlığı değerlerini güvence altına almayı amaçlar.

Türk Hukukunda, bilişim sistemlerinin suçtaki rolüne göre suçlar iki ana kategoride incelenir:

1. Doğrudan Bilişim Suçları (Saf Bilişim Suçları): Suçun doğrudan bilişim sistemlerinin kendisine karşı işlendiği eylemlerdir (TCK 243, 244, 245, 245/A).¹

2. Bilişim Sisteminin Araç Olarak Kullanıldığı Suçlar (Dolaylı Bilişim Suçları): Geleneksel suçların (Nitelikli Dolandırıcılık, Nitelikli Hırsızlık, Kişisel Veri İhlali) işlenmesinde bilişim sisteminin bir vasıta olarak kullanıldığı hallerdir (TCK 158/1-f, 142/2-e, 135-136).¹

B. Dijital Mahremiyetin Kapsamı ve Yaptırım Politikası

Türk Ceza Kanunu’nda yer alan bilişim suçlarının hukuki konusu incelendiğinde, kanun koyucunun dijital alandaki özel yaşam sınırlarını geleneksel suç tiplerine kıyasla daha geniş ve mutlak bir koruma altına aldığı görülmektedir. Örneğin, TCK m. 243, sisteme yetkisiz olarak girmeyi veya orada kalmayı cezalandırırken, suçun hukuki konusu (dijital mahremiyet ve sistem güvenliği), eylemin ardından elde edilen verinin kullanılıp kullanılmadığından bağımsız olarak korunmaktadır.¹ Benzer şekilde, Kişisel Verilerin Kaydedilmesi Suçu (TCK 135) de, kaydedilen kişisel verinin daha sonra kullanılıp kullanılmadığına bakılmaksızın, salt kayıt işlemini suç olarak düzenlemiştir.² Bu yaklaşım, bilişim sistemlerinin ihlalini soyut bir tehlike suçu olarak kabul ederek, henüz somut bir zarar doğmadan özel yaşam alanını korumayı hedeflemektedir.

Ancak, bilişim suçları için öngörülen yaptırımlar incelendiğinde, yasama politikasının ekonomik zararı ve finansal sistem güvenliğini soyut sistem güvenliği ihlallerine göre daha ağır cezalarla hedeflediği gözlemlenmektedir. Örneğin, TCK 243’ün temel cezası bir yıla kadar hapis veya adli para cezası iken ¹, TCK 245/2'de düzenlenen sahte banka veya kredi kartı üretilmesi, satılması veya devredilmesi suçu için öngörülen ceza, üç yıldan yedi yıla kadar hapis ve on bin güne kadar adlî para cezasıdır.² Bu ceza dengesizliği, Türk ceza hukuku uygulamasında bilişim sistemlerinin işleyişini tehlikeye atan eylemlerden çok, doğrudan malvarlığına yönelik net zarara yol açan veya finansal sistemin güvenliğini hedef alan eylemlere çok daha ağır yaptırımlar uygulandığını göstermektedir.

II. TÜRK CEZA KANUNU’NDA DÜZENLENEN BİLİŞİM SUÇLARI VE İÇTİHAT ANALİZİ

A. Doğrudan Bilişim Sistemine Karşı İşlenen Suçlar (TCK m. 243-245/A)

1. Bilişim Sistemine Girme Suçu (TCK m. 243)

Bu suçun fiil unsurunu, yetkisiz olarak bilişim sistemine veya bir kısmına girmek ya da yetkisiz olarak orada kalmaya devam etmek oluşturur.¹ Yetkisiz giriş, mevcut güvenlik önlemlerindeki açıkları istismar ederek veya sistemi zorlayarak erişim sağlama eylemlerini içerir. Failin sisteme erişmesi, sistem içindeki dosyalara ulaşması anlamına gelir; sadece veri nakli (örneğin e-posta gönderme) bu suçu oluşturmaz.¹ Suçun manevi unsurunda genel kast yeterlidir; failin giriş hakkı olmadığını bilmesi gerekir. Hatta, merak veya test amacıyla yapılan girişler dahi bu suçu oluşturabilir.¹

Suçun nitelikli hali TCK 243/3’te düzenlenmiştir: Eğer bu giriş eylemi sonucunda sistemdeki veriler bozulur veya değiştirilirse, fail altı aydan iki yıla kadar hapis cezasıyla cezalandırılır.¹ Bu durum, temel giriş suçundan farklı olarak, kastın aşılmasına dayalı bir kusurluluk hali içerir. TCK m. 243/1 için görevli mahkeme Asliye Ceza Mahkemesi olup, suçun kovuşturulması şikâyete bağlı değildir (resen soruşturulur).¹

2. Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme Suçu (TCK m. 244)

Bu madde, bilişim sistemlerinin fonksiyonelliğini ve veri bütünlüğünü hedef alan eylemleri düzenler:

• Engelleme veya Bozma (m. 244/1): Bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.¹

• Veri Manipülasyonu (m. 244/2): Bir bilişim sistemindeki verileri yok etme, değiştirme, sisteme veri yerleştirme, mevcut verileri başka bir yere gönderme veya erişilmez kılma eylemlerini kapsar.¹ Örneğin, sanığın müştekinin e-mail şifresini değiştirerek müştekinin sisteme erişimini engellemesi, Yargıtay tarafından TCK 244/2 kapsamında cezalandırılması gereken bir bilişim suçu olarak tespit edilmiştir.³

• Ağırlaştırıcı Haller (m. 244/3): Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.¹

3. Banka veya Kredi Kartının Kötüye Kullanılması Suçu (TCK m. 245) ve Yasak Cihaz/Program Kullanma Suçu (TCK m. 245/A)

TCK m. 245, banka veya kredi kartlarının yetkisiz kullanımını veya sahte kart üretimini cezalandırır. Başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan veya devreden kişi, TCK m. 245/2 uyarınca üç yıldan yedi yıla kadar hapis ve on bin güne kadar adlî para cezası ile cezalandırılır.² Banka veya kredi kartı bilgilerinin internet üzerinden kullanılarak alışveriş yapılması durumunda ise, bu eylem TCK 244/4'teki haksız çıkar sağlama bilişim suçunu değil, doğrudan TCK 245’i oluşturur.³

TCK m. 245/A ise, bilişim suçlarının işlenmesine özgü, yasadışı cihaz veya program kullanımını düzenlemektedir.¹

B. Bilişim Sistemlerinin Araç Olarak Kullanıldığı Nitelikli Suçlar ve Yargıtay İçtihadı

Bilişim sistemlerinin araç olarak kullanıldığı suçlarda, suçun vasfı ve uygulanacak ceza, failin asıl amacının ne olduğuna göre kesin çizgilerle ayrılmaktadır. Bu ayrım, özellikle TCK 244/4 (Haksız Çıkar Sağlama Yoluyla Bilişim Suçu), TCK 158/1-f (Nitelikli Dolandırıcılık) ve TCK 142/2-e (Nitelikli Hırsızlık) maddeleri arasında kritik bir öneme sahiptir.

1. Nitelikli Dolandırıcılık (TCK m. 158/1-f)

Bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık suçu, failin hileli davranışlarla mağduru aldatarak haksız menfaat sağlamasıdır.⁴ Yargıtay içtihatlarına göre, eğer fail bir internet sitesi üzerinden araç satışı vaadiyle kaparo alıp, gerçekte aracın sahibi değilse, işlenen suç bilişim suçu değil, TCK 158/1-f’de tanımlanan nitelikli dolandırıcılık suçu olarak kabul edilir.³ Bu suçun cezası 4 yıldan 10 yıla kadar hapis olup, yargılamalar Ağır Ceza Mahkemesi tarafından yerine getirilir.⁴ İnternet yoluyla işlenen oltalama (Phishing) eylemlerinin de nitelikli dolandırıcılık kapsamında değerlendirilmesine ilişkin Yargıtay kararları mevcuttur.⁵

2. Nitelikli Hırsızlık (TCK m. 142/2-e)

Eğer şüphelinin amacı, bilişim sistemini kullanarak banka veya kamu kurumunda bulunan paranın veya parasal değerin mülkiyetini doğrudan elde etmekse, bu durumda işlenen fiil bilişim suçu olmaktan çıkar ve faile TCK 142/2-e’de düzenlenen nitelikli hırsızlık suçundan ceza verilir.³

3. Suçlar Arası Kesin Ayrım: TCK 244/4 Hükmünün Uygulama Alanı

TCK m. 244/4, 244/1 ve 244/2’deki sistem engelleme veya veri manipülasyonu fiillerinin işlenmesi sonucunda failin kendisine veya bir başkasına haksız çıkar sağlaması ve bu eylemin başka bir suçu oluşturmaması hali için düzenlenmiştir. Bu fıkra (TCK 244/4), iki yıldan altı yıla kadar hapis cezası öngörür.¹

Yargıtay, suçlar arasındaki ayrımı yaparken, failin haksız çıkar sağlamak için muhatap alıp almadığını esas alır. Eğer fail, bilişim sistemi dışında, yüz yüze muhatap olduğu kişiyi aldatarak haksız menfaat sağlıyorsa, bu nitelikli dolandırıcılıktır (TCK 158/1-f). Ancak, eğer fail gerçek bir kişi kullanılmadan, sadece bilişim sistemini manipüle ederek (sisteme girip, veri değiştirip para transferi yaparak) haksız çıkar sağlıyorsa, bu TCK 244/4 kapsamındaki nitelikli bilişim suçudur.³ Örneğin, bir bankanın sistemine girip başka bir hesaba para gönderip bu paranın arkadaşı tarafından çekilmesini sağlayan failin TCK m. 244/4 uyarınca cezalandırıldığı içtihatlarla sabittir.³ Bu ayrım, karmaşık bilişim suçlarında uygulanacak kanun maddesini ve yargılamanın yapılacağı mahkemeyi (Asliye Ceza Mahkemesi vs. Ağır Ceza Mahkemesi) doğrudan belirlediği için hayati öneme sahiptir.

Aşağıdaki tablo, TCK’daki temel bilişim suçlarının unsurlarını ve yaptırımlarını özetlemektedir:

TCK Bilişim Suçları Temel Unsurları ve Yaptırımları

III. UZMAN MÜTALAASININ HUKUKİ GEREKLİLİĞİ VE ADLİ BİLİŞİM

A. Uzman Mütalaasının Hukuki Dayanağı ve Niteliği

Uzman mütalaası (uzman görüşü), hukuki bir uyuşmazlıkla ilgili olarak, alanında yetkin bir kişi tarafından hazırlanan, teknik analiz ve hukuki değerlendirme içeren bilimsel bir rapordur.⁶ Bu müessese, 5271 Sayılı Ceza Muhakemesi Kanununun (CMK) 67. maddesi ve 6100 sayılı Hukuk Muhakemeleri Kanununun (HMK) 293. maddesinde yer alan düzenlemelerle taraflara tanınan bir haktır.⁷

Hukuki uygulama açısından bakıldığında, uzman mütalaası ile adli makamlar tarafından görevlendirilen resmi bilirkişi raporu arasında hukuken bir fark bulunmamaktadır; her ikisi de mahkeme nazarında takdiri deliller arasında yer alır.⁷ Yargıtay kararları, dosyaya sunulan bir uzman görüşünün (özel bilirkişi raporunun) mahkeme tarafından gerekçeli ve denetime elverişli bir şekilde değerlendirilmesini şart koşmaktadır.⁸ Bu durum, uzman mütalaasının yargılama sürecinde hakimin karar vermesine rehberlik eden, delil niteliği taşıyan bilimsel bir destek olduğunu göstermektedir.⁶ Taraflar genellikle, adli makamlarca alınan bilirkişi raporunun kendi iddialarını desteklemediği durumlarda, savunmanın teknik boyutunu kuvvetlendirmek amacıyla uzman mütalaasına başvururlar.⁷

B. Bilişim Suçlarında Teknik Delillerin Denetimi ve Uzman Mütalaasının Zorunluluğu

Bilişim suçlarında uzman mütalaası zorunluluğu, kullanılan delillerin dijital tabiatından kaynaklanmaktadır. Dijital deliller son derece hassas olup, kolaylıkla değiştirilmeye, bozulmaya veya manipülasyona elverişlidir.⁹ Bu manipülasyon riski, delilin ispat gücünü doğrudan etkilediği için, delillerin gizliliği, bütünlüğü ve denetlenebilirliği büyük bir özenle korunmalıdır.⁹

Uzman mütalaası, tam da bu hassasiyet nedeniyle kritik bir rol üstlenir. Uzman, delillerin olay yerinden toplanmasından taşınmasına ve analizine kadar tüm sürecin (delil zinciri) hukuka uygunluğunu değerlendirir.⁷ Verilerin usulüne uygun elde edilmemesi veya hukuki zemin dışına çıkılması, kötüye kullanma iddialarını gündeme getirebilir ve delil değerinin zarar görmesine yol açabilir.⁹

Adli bilişim raporunda uzman mütalaası ile incelenmesi gereken temel teknik unsurlar şunlardır ¹⁰:

• Cihaza ait IP adresleri ve zaman damgaları, kesin konum ve zaman tespiti için incelenir.

• Kullanıcının arama geçmişi, e-posta trafiği ve dosya kayıtları analiz edilir.

• Silinmiş dosyaların geri getirilmiş yedekleri (forensic recovery) ve P2P/Torrent paylaşım izleri teknik olarak yorumlanır.

• Cihaz sahibinin kusurunun olup olmadığına ilişkin teknik yorum, raporun temel çıktılarından birini oluşturur.¹⁰

C. Kastın İspatı ve Resmi Raporların Denetlenmesi

Bilişim suçlarında, özellikle TCK 243 gibi soyut tehlike suçlarında, failin kastının (niyetinin) tespiti hayati önem taşır. Geleneksel suçlarda kast, ikrar veya tanıklarla ispatlanabilirken, bilişim suçlarında failin amacı (merak, test, kötü niyet vb.) çoğunlukla yalnızca dijital izler üzerinden yorumlanabilir.¹ Adli bilişim uzmanı, kurtarılan verileri, sistemde kalma süresini ve arama geçmişini analiz ederek, fiili gerçekleştiren kişinin yalnızca "merak" kastıyla mı yoksa sisteme zarar verme veya veri çalma gibi spesifik bir kastla mı hareket ettiğini teknik olarak yorumlamak durumundadır.¹⁰ Bu teknik yorum, ceza hukuku anlamında kastın varlığına veya yokluğuna dair somut bir teknik argüman sunar ve savunmanın temelini oluşturur.

Uzman mütalaası, aynı zamanda adli makamlarca atanan bilirkişilerin raporlarının bilimsel denetimini sağlar. Uzman, resmi bilirkişi raporunda gözden kaçmış veya yanlış değerlendirilmiş önemli konuları ortaya koyarak ⁷, mahkemeler tarafından atanan bilirkişileri daha titiz ve özenli rapor düzenlemeleri konusunda yönlendirici bir rol oynar. Mütalaayı düzenleyen uzmanın mahkemeye çağrılarak çapraz sorgulanabilmesi, mahkemenin delilleri derinlemesine anlamasına olanak tanır ve adaletin teessüsünü hızlandırır.⁷

Uzman Mütalaası ile Resmi Bilirkişi Raporu Karşılaştırması

D. Uluslararası Kaynaklı Dijital Delillerin Değerlendirilmesi

Siber suç soruşturmaları, uluslararası dijital güvenlik örgütlerinin yaptığı bildirimlerle de başlatılmaktadır. Türkiye’de özellikle çocuk istismarı suçlarında (TCK 226) en sık karşılaşılan uluslararası kaynaklı bilgi, NCMEC (National Center for Missing and Exploited Children) bildirimidir.¹⁰ NCMEC, dünya genelindeki servis sağlayıcılarla iş birliği yaparak istismar içeriklerini raporlayan yarı resmi bir kuruluştur ve bu bildirimler BTK ve Siber Suçlarla Mücadele Dairesi’ne iletilir.¹⁰

Türk Ceza Hukuku açısından, NCMEC gibi uluslararası bildirimler, CMK 160 kapsamında “ihbar” niteliği taşır.¹⁰ Bu bildirimler soruşturma açılmasına yol açabilir, ancak tek başına mahkûmiyet için yeterli delil teşkil etmez.¹⁰

Uzman mütalaası, savunma açısından bu ihbarların hukuki geçerliliğini denetlemek için hayati bir araçtır. Zira emsal Yargıtay kararlarında, NCMEC bildirimi üzerine adli bilişim raporu olmaksızın verilen mahkûmiyet kararlarının bozma sebebi yapıldığı görülmektedir.¹⁰ Uzman raporu, bildirimin içeriği ile şüpheli cihaza ait dijital veriler arasında teknik ve zamansal uyum olup olmadığını incelemek zorundadır. Örneğin, sabit IP adresinin ortak kullanımda olup olmadığı (multi user detection), cihaz sahibinin kastının bulunup bulunmadığı gibi hususlar teknik olarak kanıtlanmalıdır.¹⁰ Bu denetim, uluslararası bildirimin yalnızca bir ihbar olarak kalmasını, hukuka aykırı şekilde elde edilmiş bir delil olarak kabul edilmemesini sağlamada temel bir savunma mekanizmasıdır.

IV. SONUÇ VE UYGULAMAYA YÖNELİK TAVSİYELER

A. Bilişim Suçları Alanında Hukuki Sonuçlar

Türk Ceza Kanunu’nun bilişim suçlarına yaklaşımı, eylemin niteliğine ve sonucuna göre keskin bir ayrım gözetmektedir. Kanun, bilişim sistemlerini hedef alan saf suçlar (TCK 243-245/A) ile bilişim sistemlerini araç olarak kullanan nitelikli malvarlığı suçları (TCK 158/1-f, 142/2-e) arasında kurduğu ayrım ile ceza tayininde ve görevli mahkemenin (Asliye Ceza Mahkemesi veya Ağır Ceza Mahkemesi) belirlenmesinde kritik bir rol oynamaktadır. Özellikle TCK 244/4 maddesi, geleneksel dolandırıcılık veya hırsızlık suçlarına girmeyen, sadece sistem manipülasyonundan kaynaklanan haksız kazanç durumları için tasarlanmış bir kalıntı hüküm olarak işlev görmekte ve bu karmaşık olaylarda hukuki boşluk oluşmasını engellemektedir.

B. Uzman Mütalaasının Yargılamadaki Önemi Hakkında Nihai Değerlendirme

Bilişim suçlarında kullanılan delillerin dijital niteliği ve kolaylıkla manipüle edilebilme riski göz önüne alındığında, uzman mütalaası, keyfi bir hak olmaktan ziyade, hukuka uygunluğun ve adil yargılamanın sağlanması için temel bir zorunluluk haline gelmiştir.

Uzman mütalaası, mahkeme tarafından atanan resmi bilirkişi raporunda olası hesaplama, işlem veya teknik değerlendirme hatalarını ortaya koyarak bilimsel denetimi artırmaktadır. Bu denetim, hakimin takdir yetkisini doğru kullanabilmesi için bilimsel ve teknik bilgiyi denetlenebilir, anlaşılır bir formatta sunar. Bu mekanizma, yargı kalitesinin artırılmasına katkıda bulunurken, özellikle sanık aleyhine uluslararası kaynaklı zayıf deliller (NCMEC ihbarları gibi) bulunduğunda, savunma hakkının teminat altına alınması açısından en etkili teknik araçtır. Uzman mütalaası, delil bütünlüğündeki aksaklıkları ortaya koyarak ve sanığın kast unsurunu teknik verilerle çürüterek savunmanın gücünü artırır.

C. Uygulamaya Yönelik Tavsiyeler

Hukuk profesyonelleri için, bilişim suçları soruşturmalarında etkin bir savunma stratejisi oluşturmak amacıyla aşağıdaki adımlar tavsiye edilmektedir:

1. Delil Toplama Süreçlerinin Denetimi: Soruşturma aşamasında el koyma ve inceleme kararlarının hukuki dayanağı titizlikle denetlenmeli, özellikle IP adresi tespiti ve cihazdan görüntü alma gibi dijital delil toplama süreçlerinde CMK usullerine uyulup uyulmadığı, uzman mütalaası yoluyla derhal teknik bir uzmana inceletilmelidir.

2. Alan Uzmanlığının Tercih Edilmesi: Uzman mütalaası talep edilirken, genel adli bilişim uzmanları yerine, davanın konusuna (örneğin, finansal dolandırıcılık, veri sızıntısı veya müstehcenlik) özel derinlemesine bilgi ve ehliyet sahibi uzmanların tercih edilmesi, raporun kalitesini ve mahkeme nezdindeki ağırlığını artıracaktır.⁷

3. Kapsamlı Rapor Sunumu: Hazırlanan uzman mütalaası, resmi bilirkişi raporunun çelişkili veya hatalı olduğu noktaları net bir şekilde işaret eden, tablolarla ve grafiklerle desteklenmiş, teknik ve hukuki açıdan kusursuz bir rapor olarak mahkemeye sunulmalıdır.

4. Kastın Teknik İspatı: Savunmada, failin kastının ispatı için yalnızca teknik bulgular değil, bu bulguların ceza hukuku anlamında niyeti nasıl yansıttığına dair teknik yorumlar talep edilmeli ve bu yoruma uzman tarafından raporda geniş yer verilmelidir. Bu, mahkemeye yargılamanın en karmaşık unsuru olan manevi unsurun çözümünde bilimsel rehberlik sağlayacaktır.