Bilişim Sistemine Girme Suçu Ve Soruşturma Yöntemleri
1. Genel Olarak
Dünyada gelişen teknoloji ile birlikte kanunilik ilkesi çerçevesinde bilişim suçlarının ilk defa ceza kanunlarına girmesi ilk defa Fransa’da “godfrain yasası” olarak bilinen 05.01.1988 tarihli “Bilişim Sahtekarlığına İlişkin Kanun” ile gündeme gelmiştir. Bu yasa sonrasında başta Fransa olmak üzere tüm dünyada bilişim suçlarıyla ilgili gelişmeler olmaya başlamıştır. Yine bu kapsamda Fransa’nın öncülüğünde bilişim suçlarının temeli olarak kabul edilen Avrupa Konseyi Siber Suçları Sözleşmesi imzalanmış ve Türkiye de bu sözleşmeyi 6533 Sayılı “Sanal Ortamda İşlenen Suçlar Sözleşmesinin Onaylanmasının Uygun Bulunmasına Dair Kanun” ile 22.4.2014 tarihinde onaylayarak iç hukukuna adapte etmiştir. Bu kapsamda 5237 Sayılı Türk Ceza Kanunu’nda “Bilişim Alanında Suçlar” başlığında bilişim suçları düzenlenmiştir. Bilişim sistemine girme suçu da TCK’nin 243’üncü maddesinde düzenlenmiştir. Bu suç Avrupa Konseyi Siber Suç Sözleşmesi’nin 2’inci maddesinde yer alan “yasadışı erişim” düzenlemesine paralel olarak düzenlenmiştir.
Bahse konu madde aşağıdaki gibidir;
“Madde 243- (1) Bir bilişim sisteminin bütününe ya da bir kısmına, hukuka aykırı olarak giren ya da orada kalmaya devam eden kimseye bir yıla kadar hapis ya da adli para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur ya da değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur.
(4) Bir bilişim sisteminin kendi içinde ya da bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı izleyen kişi, 1 yıldan 3 yıla kadar hapis cezası ile cezalandırılır.”
Bu suç kapsamında verilecek olan ceza ikinci fıkra kapsamında kalması durumunda daha az; üçüncü fıkra kapsamına girmesi halinde daha fazla ceza verilmesini ifade edecek şekilde düzenlenmiştir (Karakehya 2021: s.6-7).
Ayrıca bu suçla korunan hukuki değere bakıldığında bu değerin karma bir nitelik taşıdığı ifade edilebilecektir; bu kapsamda korunması gereken değerin öncelikle toplum düzeni olduğu, suçun maddi unsuruna bakıldığında ise korunması gereken değerin bilişim sisteminin güvenliği olduğu ifade edilebilecektir. (Turhan 2015: s.145) Ancak dar anlamda bakıldığında bu suçlar korunan hukuki değerin özel hayatın gizliliği ve malvarlığı hakkı olduğu söylenebilmektedir (Koca, Üzülmez 2016: s.803-805).
2. Suçun Maddi Konusu
Suçun maddi konusu genel olarak birinci fıkrada yer almaktadır. Bu bağlamda bahse konu suçun maddi konusunu “bilişim sisteminin bütünü veya bir kısmı” oluşturmaktadır; ikinci fıkra açısından suçun maddi konusu “bedeli karşılığında yararlanılan bilişim sistemleri” şeklinde olup üçüncü fıkra açısından ise “bilişim sistemindeki veriler”, dördüncü fıkra açsısından da “bilişim sistemini sisteme girmeksizin izleyebilen teknik araçlar” şeklindedir (Demirci 2022: s.43). Bu kapsamda bilişim sistemi madde gerekçesinde “Bilişim sisteminden maksat, verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tâbi tutma olanağını veren manyetik sistemlerdir.” şeklinde tanımlanmıştır. Yine veri de Avrupa Konseyi Siber Suç Sözleşmesi’nin 1’inci maddesinde; “bir bilgisayar sisteminin belli bir işlevi yerine getirmesini sağlayan yazılımlar da dahil olmak üzere, bir bilgisayar sisteminde işlenmeye uygun nitelikte her türlü bilgi” şeklinde tanımlanmıştır (Kaynak: https://polis.osce.org/ (Erişim Tarihi: 02.04.2023)).
3. Fail
Bu suçun failleri genellikle “hacker”, “bilgisayar korsanı” gibi kişiler olsa da madde metnine bakıldığında suçun faili ile ilgili özel bir düzenleme bulunmadığı için herkes bu suçun faili olabilir (Özbek, Kanbur, Doğan, Bacaksız ve Tepe 2015: s. 920). Sisteme girişin özel teknik bilgi gerektirmesinin suçun faili bakımından madde metni açısından bir önemi bulunmamaktadır. Ancak az önce de ifade ettiğimiz üzere belirli düzeyde teknik bilgiye sahip olmayan bir kişinin bu suçu işlemesi çok kolay olmadığı için bu suçun faili genellikle “hacker” veya “bilgisayar korsanı” olarak adlandırılan kişilerdir. Bununla birlikte bahse konu suçun işlenmesiyle birlikte tüzel kişi lehine maddi bir menfaat sağlanmışsa tüzel kişiler aleyhine de güvenlik tedbirine hükmolunabilecektir. Ancak tüzel kişiler hakkında güvenlik tedbiri uygulanıyor olması gerçek kişileri sorumluluktan kurtarmayacaktır; bu gibi durumlarda tüzel kişi hakkında güvenlik tedbirine hükmolunmasıyla birlikte hacker, şirket yetkilisi veya şirket çalışanının da şahsi cezai sorumluluğuna gidilmektedir (Demirci 2022: s.44-45).
4. Mağdur
Bu suçun mağduru da suçun işlenmesi ile bilişim sistemin güvenliği ihlal edilerek menfaati zarar gören kimselerdir (Demirci 2022: s.45). Tıpkı suçun faili bakımından özellik arz eden bir durum olmadığı gibi suçun mağduru bakımından da özellik arz eden bir durum söz konusu değildir. Ancak, bu suç bakımından mağdur olmakta önemli kıstas zarar gören bilişim sistemi üzerinde hak sahibi olmaktır. Bu da o bilişim sistemi üzerinde gerekli yetkiye sahip olmak olarak ifade edilebilecektir (Özbek, Kanbur, Doğan, Bacaksız ve Tepe 2015: s. 921). Tüzel kişiler de suçtan zarar gören olarak kabul edilmektedir.
5. Fiil
Bu suç bilişim sistemine girilmesi ile başlanmaktadır. Bu girişin haksız veya yetkisiz olması gerekmektedir. Karşılaştırılmalı hukukta bu durum “Illegal Access” olarak adlandırılmaktadır (Ketizmen 2008: s. 100). Ancak şunu da ifade etmekte fayda vardır. Bahse konu hukuka aykırı giriş sistemsel girişi ifade etmektedir. Bir bilgisayarı açarak fiziken içine girmek bu suçu oluşturmayacaktır. Şartları varsa bahse konu eylem mala zarar verme suçunu oluşturur (Demirci 2022: s.46).
Failin bilişim sistemine fiziki temasla ya da herhangi bir ağ üzerinden nasıl girdiğinin bir önemi bulunmamaktadır. Fail fiziki bir şekilde casus program yükleyerek sisteme girmesi durumunda da e-posta ve link göndererek sisteme girmesi durumunda da bu suçun oluştuğu ifade edilebilecektir (Ketizmen 2008: s. 103). Ayrıca bahse konu suçun oluşması için sistemin tamamına girilmesine gerek yoktur. Sistemin bir kısmına girilmesi halinde de bu suçun oluştuğundan bahsedilecektir. Hatta genel olarak sisteme girmeye yetkili olan bir kişinin de kendisi dışında başka bir kişinin oturumuyla sisteme girmesi halinde de bu suçun oluştuğundan söz edilebilecektir.
Yargıtay bir içtihadında bu suçu; “”Bilişim sistemine girmek”, bir bilişim sisteminde bulunan verilerin bir kısmına veya tamamına, fiziken veya uzaktan başka bir cihaz yoluyla erişilmesidir. Erişimi gerçekleştirmek için gevşek güvenlik önlemlerinden faydalanılabileceği gibi, var olan güvenlik önlemlerindeki boşluklar da kullanılabilir. Virüsler (komik resimler, kutlama kartları veya ses ve görüntü dosyaları gibi ekler halinde), truva atı (trojan horse), solucnalar, macro virüsü gibi kullanılarak veya sistemin açık kapıları zorlanarak giriş yapılabilir. Bilgisayar veri ve sistemlerine yapılan izinsiz giriş, aynı zamanda, “bilgisayara tecavüz”, “kod kırma” veya “bilgisayar korsanlığı” olarak da tanımlanmak- tadır. Bu suç, başkasına ait bilgisayarın açılarak içindeki verilerin görülmesi biçiminde olabileceği gibi, bir ağ aracılığıyla bilişim sisteminde oturum açılması yoluyla da işlenebilir. Girmede, iletişimin kablolu ya da kablosuz olması ile mesafenin yakın ve uzak olması arasında fark yoktur. Bir bilişim sistemine e-posta ya da dosya gönderilmesi durumunda, bilişim sistemine girme söz konusu olmayıp yalnızca veri gönderildiğinden, bu durum girme kapsamında düşünülemez. Mağdurun kişisel bilgisayarına ait işletim sistemine, bir başka internet kullanıcısının, mağdurun rızası olmaksızın girmesi de suç oluşturacaktır.” (Yargıtay Kararı – 8. CD., E. 2013/10402 K. 2014/11836 T. 7.5.2014) şeklinde tanmmıştır.
Hatta failin siteme hata ile girdikten sonra kalmaya devam etmesi de bu suçun oluşmasına sebebiyet verecektir (Demirci 2022: s.47). Failin sisteme kimin için girdiğinin de bir önemi bulunmamaktadır. Suçun oluşması için failin yetkisiz olarak sisteme giriş yapmış olması yeterlidir. Ayrıca bu kapsamda madde metninde bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimse ifadesi kullanıldığı için suç hem bilişim sistemine girmeyle hem de sistemde kalmaya oluşabileceği için seçimlik hareketli suç niteliğindedir.
Sistemde kalmaya devam etme şeklinde gerçekleşen suç kesintisiz suç niteliğinde olup bu hareket yönün suçta temadinin kesildiği anda suç işlenmiş olarak kabul edilecektir(Demirci 2022: s.49). Sisteme yanlışlıkla girilmesi durumunda da sistemde mağdurun güvenliğine zarara verecek şekilde sistemde kalınması durumunda bu suç oluşacaktır.
Sisteme girme şeklinde gerçekleşen hareket için ise suç sırf hareket suçu niteliğindedir. Aynı zamanda bu suçta genel olarak bir netice ve zarar meydana gelmesi aranmadığından bu suç bir soyut tehlike suçu konumundadır (Gül 2021: s.100). Diğer bir deyişle sisteme giren fail hiçbir sonuç elde etmeden dahi sistemden çıkarsa bahse konu suçun oluşacağı izahtan varestedir.
Ayrıca, mağdurun e-mail, facebook, instagram vb. sosyal medya hesaplarına hukuka aykırı bir şekilde girilmesi halinde de kural olarak bu suç oluşacaktır. Ancak bahse konu suç mağdurun şifresi kırılarak ya da değiştirilerek işlenirse bu sefer TCK m.244 gündeme gelecektir. Yargıtay da içtihatlarında; “Oluş ve tüm dosya kapsamına göre sanığın, bir süre nişanlı kaldığı müşteki …’ün facebook hesabının şifresini kırarak, hesaba giriş şifresini değiştirip müştekinin erişimini engellemesi şeklinde gerçekleşen eyleminin TCK’nun 244/2. maddesinde düzenlenen bilişim sistemine erişimi engelleme, bozma, değiştirme suçunu oluşturduğu gözetilmeden suç vasfında hataya düşülerek yazılı şekilde TCK’nun 243/1. maddesi gereğince hüküm kurulması,” (Yargıtay Kararı – 8. CD., E. 2018/8369 K. 2019/5454 T. 16.4.2019) şeklinde ifadelere yer vererek bu hususu açık ve net bir şekilde ortaya koymuştur.
6. Suçun Manevi Unsuru
Suçun manevi unsuru açısından herhangi bir özel saik aranmadığından suç genel kasta tabidir. Dolayısıyla, failin failin bilerek ve isteyerek bahse konu bilişim istemine girmesi veya orda kalmaya devam etmesi suçun manevi unsurunun oluşması açısından yeterlidir (Yenigün 2021: s. 35). Kanun metninde suçun taksirli hali öngörülmediği için suçun taksirle işlenebilmesi mümkün değildir. Ayrıca az önce de ifade ettiğimiz üzere suçun failin kendisi için veya bir başkası için işlenmesinin bir önemi bulunmamaktadır. Her iki ihtimalde de suç oluşacaktır.
7. Hukuka Aykırılık Unsuru
Suç tanımında yer alan bilişim sistemine girme veya siteme girmekle beraber orada kalmaya devam etme fiilleri hukuka aykırı bir şekilde gerçekleşmedikçe bahse konu suçun oluştuğundan bahsedilemeyecektir. Bu kapsamda bu suç bakımından kanun metninde açıkça hukuka aykırılık vurgulandığı için işbu suçta hukuka aykırılık unsurunun gerçekleşmesi açısından failin hukuka aykırı bir şekilde bilişim sistemine girdiğine veya orada kalmaya devam ettiğini bilmesi gerekmektedir (Demirci 2022: s.52). Hukuka aykırılık unsurunun oluşması için bahse konu sistemin şifre vs şekilde güvence altına alınmasına gerek yoktur. İlgili sistem hiçbir şekilde güvenlik altına alınmasa da yetkisiz şekilde sisteme giren failler bu suçu işlemiş kabul edileceklerdir.
Ancak, 5237 Sayılı Türk Ceza Kanunu’nda yer alan “hakkın kullanılması”, kanun hükmünü yerine getirme”, “ilgilinin rızası”, ve “meşru savunma” gibi hukuka uygunluk nedenlerinin varlığı halinde de bahse konu suçun oluştuğundan bahsedilemeyecektir. Zira hukuka aykırılık şartı gerçekleşmemiş olacaktır. Bunun en temel örneği CMK 134 ve 135’inci maddelerde yer alan koruma tedbirleridir.
8. Suçun Nitelikli Halleri
TCK’nin 243. maddesinde suça sebep olan iki neden bulunmaktadır. Bunlardan birincisi hafifletici neden diğeri de neticesi sebebiyle ağırlaşmış halidir. Öğretide bazı yazarlar tarafından da bu hal neticesi sebebiyle ağırlaşmış hal değil nitelikli hal olarak kabul edilmektedir. Ancak tarafımızca bu hal suçun neticesi sebebiyle ağırlaşmış hali olarak kabul edilecektir.
Bu kapsamda cezayı hafifletici neden olarak TCK m. 243/2’de yer alan “Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.” şeklindeki hüküm mevcut bulunmaktadır. Yargıtay da bir içtihadında; “Sanığın, katılana tahsisli kullanıcı adı ve şifresini tespit edip, internete erişim sağlayarak dosya indirmesi nedeniyle kota aşımından dolayı katılanın 18,5 TL fazladan ödeme yaptığının anlaşılması karşısında; eylemin TCK’nun 243/2. maddesinde düzenlenen suçu oluşturduğu gözetilmeden, TCK’nun 242/2-e. maddesinden hüküm kurulması” (Yargıtay Kararı – 13. CD., E. 2013/3670 K. 2014/8320 T. 11.3.2014) şeklinde ifadelere yer vererek mağdura ait kullanıcı adı ve şifrenin tespit edilerek internete erişim sağlayıp dosya indirmenin bu suç kapsamına girdiğini kabul etmiştir. Dolayısıyla, bu suçun hafifletilmiş halinin “bedeli karşılığı yararlanılabilen sistemler”e hukuka aykırı bir şekilde erişim sağlamak olduğu ifade edilebilecektir.
Suçun neticesi sebebiyle ağırlaşmış hali olarak da “bu fiil nedeniyle sistemin içerdiği veriler yok olur ya da değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur” şeklindeki hüküm yer almaktadır. Neticesi sebebiyle ağırlaşmış suç bilindiği üzere failin bir suçu işlerken kast ettiği neticeden daha ağır bir neticenin ortaya çıkması olarak ifade edilebilecektir. Dolayısıyla, bahse konu yok olma veya değişim olgusunun failin kastı dışında taksirli davranışı sonucu meydana gelmesi gerekmekte olup aksi halde TCK 244 tartışılacaktır (Demirci 2022: s.59-60).
9. Suçun Özel Görünüş Şekilleri
9.1. Teşebbüs
TCK’nin 243. maddesinde yer alan bilişim sistemine girme veya orada kalmaya devam etme suçu yukarıda da ifade ettiğimiz üzere neticesi harekete bitişik bir suç olup sırf hareket suçudur (Demirci 2022: s.60). Doktrinde bizim de kabul etmiş olduğumuz ağırlıklı görüşe göre neticesi sebebiyle ağırlaşmış halinde gerçekleşen taksirli eylem hariç bu suçta hareket ve neticenin birbirinden ayrılabildiği durumlarda teşebbüs mümkündür (Dülger 2015: s. 399-401). Ancak bazı yazarlar bu suça herhangi bir şekilde teşebbüsün mümkün olmadığını savunmaktadır (Demirci 2022: s.60).
9.2. İştirak
Bu suç açısından iştirak bakımından özellik arz eden bir durum bulunmamaktadır. Başka bir deyişle, TCK’da öngörülen faillik, azmettirme ve yardım etmenin her türlüsü bu suç açısından mümkündür.
9.3. İçtima
Bu suç açısından içtima bakımından özellik arz eden bir durum bulunmamaktadır. Bu kapsamda TCK’da öngörülen bileşik suç (m. 42), zincirleme suç (m. 43) ve fikri içtima (m. 44) kuralları bu suç bakımından esas alınacaktır.
10. Soruşturma Yöntemleri
Bilindiği üzere bu suçun soruşturma ve kovuşturması şikayete tabi olmayıp re’sen yapılabilmektedir. Bu suçun oluşumundan bahsedebilmemiz için hukuka uygun veya aykırı bir şekilde bilişim sistemine girmenin gerekli olduğu için savcılık makamı tarafından ilk tespit edilmesi gereken husus bilişim sistemine erişimin fiziken mi yapıldığı ya da uzaktan bağlantı yoluyla mı yapıldığının tespitidir. Bu doğrultuda savcılık makamı hangi delil türüne başvuracağını tespit edecektir.
Bu noktada eğer fiziki bir girişten söz edilmekte ise bilgisayar üzerindeki kamera görüntüleri, parmak izleri ve tanık beyanları değerlendirilerek olayın faillerine ulaşılabilecektir. Ayrıca, bu işlem sonucunda kimin menfaat sağladığı da log kayıtları incelenerek ortaya çıkacaktır. Bu husus da faillerin tespiti veya sınırlandırılması açısından epey yol gösterici olacaktır.
Ancak bilişim sistemine girişin fiziken değil bir bağlantı ve erişimle yapılması durumunda en somut delil Internet Protocol( IP) ve port bilgileri olmaktadır. Başka bir deyişle, bilişim suçu ile ilgili adli mercilerle ilk defa muhatap olan kişi “abone” olmaktadır. Ancak abone veya IP numarası sahibi her zaman olayın gerçek faili olmamaktadır. Zira, internet şifresinin üçüncü kişilerle paylaşılması, kablosuz internet kullanımı sebebiyle oluşan yetkisiz erişim nedeniyle yaptırıma tabi tutulması gereken fail başka bir kişi olabilmektedir. Gerçek failin tespiti konusunda yaşanan sorunlardan bir diğeri de birden fazla kişinin aynı IP adresini kullanması durumudur.
Dolayısıyla burada önemli olan IP adresinin tespiti ve bu şekilde failin tespitidir. Ancak şu hususun üzerinde durmakta fayda vardır. Kurumsal veya toplu kullanımın olduğu işyerleri IP adreslerinde çok sayıda kişinin internet kullanması nedeniyle “şüpheden sanık yararlanır” ilkesinin uygulama alanı bulacağı kabul edilmektedir. Bu noktada suçu işleyen kullanıcıların tespiti çok mümkün olmadığı için şüpheden sanık yararlanır ilkesi sebebiyle işletme sahibinin hiçbir surette cezai sorumluluğu olmadığı, bireysel kullanıcılar açısından ise o kişi tarafından suçun işlendiğine dair net bir kanıt olmadığı durumunda cezai sorumluluğun olmadığı kabul edilmektedir.
Av. Baran Can KAYA’nın tüm blog yazılarına bağlantıdan ulaşabilirsiniz.
Yazarın Hukuk ve Bilişim Dergisi 12. Sayı’sında yayınlanan “Siber Risk Sigortası” isimli yazıyı okumak için bağlantıya tıklayınız.
KAYNAKÇA
- Ömer Demirci, Bilişim Suçları ve Soruşturma Yöntemleri, Ankara 2022.
- Murat Volkan Dülger, Bilişim Suçları ve İnternet İletişim Hukuku, Ankara 2015.
- Muammer Ketizmen, Türk Ceza Hukukunda Bilişim Suçları, Ankara 2008.
- Veli Özer Özbek, Mehmet Nihat Kanbur, Koray Doğan, Pınar Bacaksız, İlker Tepe, Türk Ceza Hukuku Özel Hükümler, Ankara 2015.
- Ali Parlar, Mustafa Öztürk, Doğrudan ve Dolaylı Bilişim Suçları ve Bilişim Sistemleri Aracılığıyla İşlenen Suçlar, İstanbul 2020.
- Bülent Yenigün, Uygulamada ve Yargıtay Kararlarında Doğrudan Bilişim Suçları, Ankara 2021.
- Ahmet Gül, Doğrudan ve Dolaylı Bilişim Suçları, Ankara 2021.
- Hakan KARAKEHYA, TÜRK CEZA KANUNU’NDA BİLİŞİM SİSTEMİNE GİRME SUÇU, http://tbbdergisi.barobirlik.org.tr/m2009-81-498 (Erişim Tarihi: 6.04.2023).
- OĞUZ TURHAN, BİLGİSAYAR AĞLARI İLE İLGİLİ SUÇLAR (SİBER SUÇLAR), http://www.bilgitoplumu.gov.tr/wp-content/uploads/2015/01/Bilgisayar_Aglari_ile_ilgili_Suclar_OguzTurhan.pdf , (Erişim Tarihi: 6.04.2023).
- https://polis.osce.org/ (Erişim Tarihi: 06.04.2023).
- https://www.lexpera.com.tr/kullanici-profili , (Erişim Tarihi: 06.04.2023).
İstanbul barosu nezdinde Avukatlık mesleğini ifa etmekteyim. Kadir Has Üniversitesi hukuk fakültesinden 2016 yılında mezun oldum. Şu an İstanbul Medeniyet Üniversitesi Özel Hukuk(İngilizce) bölümünde yüksek lisans eğitimimi sürdürmekteyim. 2016 Yılından bugüne 5 yıldır bilfiil avukatlık mesleğini yürütmekteyim. Bilişim ve Teknoloji hukukuna ciddi bir ilgim bulunmaktadır.
İlgi Alanları ve Çalışma Alanları
1-Bilişim ve Teknoloji Hukuku
2-Kripto para hukuku
3- Fikri Mülkiyet Hukuku
4-Şirketler Hukuku
5-İş Hukuku