Giriş
Bilgi teknolojilerindeki hızlı gelişim, modern toplumların ekonomik, sosyal ve hukuki yapısını köklü biçimde değiştirmiştir. İnternetin yaygınlaşması, yapay zekâ sistemlerinin gelişimi, büyük veri teknolojileri ve bulut bilişim uygulamaları sayesinde dijitalleşme küresel ölçekte hız kazanmıştır. Bununla birlikte, dijital dönüşüm yalnızca ekonomik ve teknolojik fırsatlar üretmemiş; aynı zamanda suçların işlenme yöntemlerini de değiştirmiştir.
Geleneksel suç tipleri dijital ortama taşınırken, yalnızca bilişim sistemleri aracılığıyla işlenebilen yeni suç türleri ortaya çıkmıştır.
Siber suçlar, bireylerin özel hayatını, şirketlerin ticari sırlarını ve devletlerin ulusal güvenliğini tehdit eden ciddi bir problem hâline gelmiştir. Özellikle kritik altyapılara yönelik saldırılar, kişisel veri ihlalleri ve finansal sistemleri hedef alan siber saldırılar, devletleri yeni hukuki düzenlemeler yapmaya zorlamaktadır. Bu nedenle bilişim ve teknoloji hukuku, yalnızca özel hukuk ilişkilerini düzenleyen bir alan olmaktan çıkmış; ceza hukuku, uluslararası hukuk ve insan hakları hukukuyla yakın ilişki içinde gelişen disiplinler arası bir hukuk alanına dönüşmüştür.
Bu çalışmanın amacı, bilişim ve teknoloji hukukunun temel yapısını incelemek, siber suç kavramını hukuki açıdan değerlendirmek ve Türk hukuk sistemi bakımından mevcut düzenlemelerin etkinliğini analiz etmektir. Ayrıca uluslararası hukukta siber suçlarla mücadeleye ilişkin iş birliği mekanizmaları ve dijital delillerin hukuki niteliği de çalışma kapsamında değerlendirilecektir.
I. BİLİŞİM VE TEKNOLOJİ HUKUKU KAVRAMI
Bilişim hukuku, bilgi teknolojilerinin kullanımından doğan hukuki ilişkileri düzenleyen hukuk dalıdır. Bu alan; internet hukuku, kişisel verilerin korunması hukuku, elektronik ticaret hukuku, fikri mülkiyet hukuku ve siber suçlar hukuku gibi alt disiplinleri kapsamaktadır.
Teknoloji hukukunun gelişiminde internet kullanımının yaygınlaşması ve dijital ekonominin büyümesi belirleyici olmuştur.
Bilişim hukukunun temel amacı, dijital ortamda ortaya çıkan hak ihlallerini önlemek ve
teknolojik gelişmeler karşısında bireylerin temel hak ve özgürlüklerini korumaktır. Bu
bağlamda kişisel verilerin korunması, ifade özgürlüğü, özel hayatın gizliliği ve bilgi
güvenliği gibi konular ön plana çıkmaktadır.
Teknolojik gelişmelerin hukuk üzerindeki etkisi yalnızca özel hukuk alanıyla sınırlı değildir.
Ceza hukuku bakımından da bilişim sistemlerinin suç işleme aracı hâline gelmesi, yeni suç
tiplerinin tanımlanmasını zorunlu kılmıştır. Özellikle bilgisayar sistemlerine yetkisiz erişim,
veri bozma, sistem engelleme ve dijital dolandırıcılık gibi fiiller birçok ülkede ayrı suç tipleri
olarak düzenlenmiştir.II. SİBER SUÇ KAVRAMI VE TÜRLERİ
Siber suç, bilişim sistemleri vasıtasıyla işlenen veya doğrudan bilişim sistemlerini hedef alan,
dijital teknolojilerin araç ya da amaç olarak kullanıldığı suç tiplerini ifade etmektedir. Bu
suçların ayırt edici niteliği, fiilin elektronik ortamlarda gerçekleştirilmesi ve çoğu zaman
fiziksel sınırları aşarak uluslararası boyut kazanabilmesidir. Bu yönüyle siber suçlar, klasik
ceza hukuku yaklaşımlarından farklı olarak hem teknik hem de sınır ötesi bir kriminal olgu
niteliği taşımaktadır.
Siber suçlar, öğretide ve uygulamada genel olarak iki temel kategori altında
sınıflandırılmaktadır:
a) Bilişim sistemlerini hedef alan suçlar:
Bu tür suçlar, bilişim sistemlerinin güvenliği, bütünlüğü ve işleyişine doğrudan
müdahaleyi konu edinir. Sistemlere yetkisiz erişim sağlanması, verilerin
değiştirilmesi, silinmesi veya sistemlerin işlevsiz hale getirilmesi bu kapsamda
değerlendirilmektedir.
b) Bilişim sistemleri aracılığıyla işlenen suçlar:
Bu kategoride ise bilişim sistemleri, suçun işlenmesinde bir araç olarak
kullanılmaktadır. Dolandırıcılık, kimlik hırsızlığı, kişisel verilerin hukuka aykırı elde
edilmesi veya yayılması gibi fiiller bu kapsamda değerlendirilmektedir.
Bu ayrım, siber suçların hem korunan hukuki değer hem de suçun işleniş biçimi bakımından
sistematik şekilde değerlendirilmesine imkân sağlamaktadır.
A. BİLİŞİM SİSTEMLERİNİ HEDEF ALAN SUÇLAR
Bilişim sistemlerini hedef alan suçlar, doğrudan sistemlerin güvenliği, bütünlüğü ve
işleyişine yönelen, korunan hukuki değer olarak bilişim altyapısının kendisini esas alan suç
tipleridir. Bu suçlarda temel amaç; sistemlere müdahale edilmesi suretiyle verilerin,
hizmetlerin veya sistem işleyişinin hukuka aykırı biçimde etkilenmesidir. Bu bağlamda,
yetkisiz erişim, veri bütünlüğüne müdahale ve hizmetin engellenmesi gibi fiiller tipik
görünüm alanları oluşturmaktadır.
a) Yetkisiz Erişim
Yetkisiz erişim, bir bilişim sistemine hukuka aykırı ve yetkisiz şekilde girilmesi veya
sistemin erişim yetkisi bulunmaksızın kullanılmasını ifade etmektedir. Bu suç tipi,
bilişim sistemlerinin gizlilik ve güvenlik ilkelerini ihlal etmeye yönelik temel
müdahale biçimlerinden biri olup, doktrinde çoğu zaman “sistemin ihlali” olarak da
nitelendirilmektedir. Günlük uygulamada “hacker saldırıları” olarak adlandırılan
eylemler, bu suç tipinin en yaygın örnekleri arasında yer almakta olup, özellikle
kişisel verilerin ve kurumsal bilgilerin güvenliğini ciddi biçimde tehdit etmektedir.b) Veri Bozma ve Yok Etme
Veri bozma ve yok etme suçu, bilişim sistemleri içerisinde yer alan verilerin hukuka
aykırı şekilde silinmesi, değiştirilmesi, tahrif edilmesi veya erişilemez hâle
getirilmesi suretiyle gerçekleşmektedir. Bu suç tipi, bilişim verilerinin bütünlüğünü
korumayı amaçlamakta olup, özellikle veri güvenliği ilkesinin ihlali niteliğindedir.
Modern siber tehditler içerisinde önemli bir yer tutan fidye yazılımları (ransomware),
verilerin şifrelenerek erişilemez hâle getirilmesi ve karşılığında fidye talep edilmesi
suretiyle bu suçun güncel ve ağırlaştırılmış görünümlerini oluşturmaktadır.
c) Hizmet Engelleme Saldırıları
Hizmet engelleme saldırıları, özellikle dağıtık hizmet engelleme saldırıları (DDoS)
yoluyla bilişim sistemlerinin aşırı veri trafiğine maruz bırakılarak işlevsiz hâle
getirilmesini amaçlayan müdahalelerdir. Bu tür saldırılar, sistem kaynaklarının
tüketilmesi suretiyle hizmetin kesintiye uğramasına veya tamamen durmasına neden
olmaktadır. Özellikle bankacılık sistemleri, e-ticaret platformları ve kamu
kurumlarına yönelik gerçekleştirilen bu saldırılar hem ekonomik kayıplara hem de
kamu hizmetlerinin sürekliliğinin ihlaline yol açması nedeniyle yüksek riskli siber
tehditler arasında değerlendirilmektedir.
B. BİLİŞİM SİSTEMLERİ ARACILIĞIYLA İŞLENEN SUÇLAR
Bilişim sistemleri aracılığıyla işlenen suçlar, bilişim altyapılarının doğrudan suçun konusu
olmaktan ziyade suçun icrasında araç olarak kullanıldığı fiilleri ifade etmektedir. Bu suç
tiplerinde bilişim sistemleri, suçun işlenmesini kolaylaştıran veya suçun icrasını mümkün
kılan teknik vasıtalar olarak kullanılmaktadır. Özellikle dijital iletişim araçlarının
yaygınlaşması, internet tabanlı işlem sistemlerinin gelişmesi ve elektronik veri kullanımının
artması, geleneksel suç tiplerinin bilişim teknolojileri aracılığıyla işlenmesine zemin
hazırlamıştır.
a) Çevrim İçi Dolandırıcılık
Çevrim içi dolandırıcılık, bilişim sistemleri ve dijital iletişim araçları kullanılarak
kişilerin aldatılması suretiyle haksız menfaat temin edilmesini ifade etmektedir. Bu
kapsamda sahte internet siteleri oluşturulması, oltalama (phishing) yöntemleriyle
kullanıcı bilgilerinin ele geçirilmesi, elektronik posta veya kısa mesaj yoluyla
yanıltıcı bildirimler gönderilmesi ve dijital ödeme sistemlerinin kötüye kullanılması
gibi fiiller sıklıkla görülmektedir. Söz konusu eylemler, Türk Ceza Kanunu’nun
dolandırıcılık suçuna ilişkin hükümleri kapsamında değerlendirilmekte; suçun bilişim
sistemlerinin sağladığı kolaylıktan yararlanılarak işlenmesi ise nitelikli hal olarak
kabul edilmektedir.b) Kimlik Hırsızlığı
Kimlik hırsızlığı, gerçek kişilere ait kişisel verilerin hukuka aykırı yöntemlerle ele
geçirilmesi, kullanılması veya üçüncü kişilere aktarılması suretiyle mağdur adına
işlem yapılmasını ifade etmektedir. Bu suç kapsamında failler, kişilerin kimlik
bilgilerini, banka hesap verilerini, elektronik posta hesaplarını veya dijital doğrulama
bilgilerini ele geçirerek mağdur adına hukuki ya da ekonomik işlemler
gerçekleştirebilmektedir. Kimlik hırsızlığı fiilleri, somut olayın özelliklerine göre
kişisel verilerin hukuka aykırı elde edilmesi, bilişim sistemine girme, banka veya
kredi kartlarının kötüye kullanılması ve dolandırıcılık suçlarıyla birlikte
değerlendirilebilmektedir.
c) Çocukların Çevrim İçi İstismarı
Çocukların çevrim içi ortamda istismar edilmesine yönelik fiiller, ulusal ve
uluslararası hukuk bakımından ağır insan hakları ihlalleri arasında kabul
edilmektedir. Dijital platformlar, sosyal medya ağları, mesajlaşma uygulamaları ve
çevrim içi iletişim araçları kullanılarak çocukların cinsel istismara maruz bırakılması,
istismar içeriklerinin üretilmesi, bulundurulması veya paylaşılması bu kapsamda
değerlendirilmektedir. Bu tür fiiller, çocukların üstün yararının korunması ilkesi
çerçevesinde hem ceza hukuku hem de uluslararası insan hakları hukuku bakımından
ağır yaptırımlara tabi tutulmaktadır
Türk hukukunda bilişim suçlarına ilişkin temel düzenlemeler, 5237 sayılı Türk Ceza
Kanunu’nun 243 ila 246. maddeleri arasında yer almaktadır. Anılan hükümlerle bilişim
sistemlerine yönelik hukuka aykırı müdahaleler bağımsız suç tipleri olarak düzenlenmiş;
bilişim sistemlerinin güvenliği, veri bütünlüğü ve dijital erişim hakları ceza hukuku koruması
altına alınmıştır. Bu kapsamda özellikle bilişim sistemine hukuka aykırı olarak girilmesi,
sistemde kalmaya devam edilmesi, sistemin işleyişinin engellenmesi veya bozulması,
verilerin yok edilmesi ya da değiştirilmesi ve bilişim araçlarının kötüye kullanılması suç
olarak tanımlanmıştır. Ayrıca bilişim sistemleri aracılığıyla işlenen bazı fiiller, suçun işleniş
yöntemi dikkate alınarak ilgili suç tiplerinin nitelikli hali olarak düzenlenmiştir. Türk ceza
hukukunda bilişim suçlarına ilişkin düzenlemelerin temel amacı; bireylerin kişisel verilerinin
korunması, bilişim sistemlerinin güvenliğinin sağlanması, dijital ortamda hukuki güvenliğin
tesis edilmesi ve teknolojik gelişmeler karşısında ortaya çıkan yeni suç tiplerine karşı etkin
cezai koruma mekanizmalarının oluşturulmasıdır.
C. BİLİŞİM SİSTEMİNE GİRME SUÇU
5237 sayılı Türk Ceza Kanunu’nun 243. maddesinde düzenlenen “bilişim sistemine girme”
suçu, bilişim sistemlerinin gizliliğini ve sistem güvenliğini korumaya yönelik temel suç
tiplerinden biridir. Anılan hükme göre, bir bilişim sisteminin bütününe veya bir kısmına
hukuka aykırı olarak giren veya hukuka uygun şekilde girilmiş olsa dahi sistem içerisinde
yetkisiz biçimde kalmaya devam eden kişi cezai sorumluluk altına girmektedir.Söz konusu suç, sırf hareket suçu niteliği taşımakta olup suçun oluşabilmesi için bilişim
sistemine yönelik yetkisiz erişimin gerçekleşmesi yeterlidir; ayrıca sistemin zarar görmesi,
verilerin değiştirilmesi veya maddi bir zararın meydana gelmesi aranmamaktadır. Bu
yönüyle düzenleme, bilişim sistemlerinin maddi bütünlüğünden ziyade sistem güvenliği ile
dijital alanın gizliliğini koruma amacına hizmet etmektedir. Maddenin koruduğu hukuki
değer, bilişim sistemlerinin güvenli şekilde işletilmesi, sistemlere yönelik erişim yetkisinin
korunması ve kişilerin dijital mahremiyetinin teminat altına alınmasıdır. Özellikle kişisel
verilerin, ticari sırların veya kurumsal nitelikte hassas bilgilerin bulunduğu sistemlere
yönelik hukuka aykırı erişim fiilleri, ihlalin ağırlığını artırmakta ve somut olayın özelliklerine
göre suçun nitelikli hâlinin uygulanmasını gündeme getirebilmektedir.
Ayrıca bilişim sistemine hukuka aykırı erişim neticesinde verilerin silinmesi, değiştirilmesi,
ele geçirilmesi veya başka suçların işlenmesine imkân sağlanması hâlinde, failin fiili yalnızca
243. madde kapsamında değil; aynı zamanda verilerin hukuka aykırı olarak ele geçirilmesi,
sistemi engelleme veya bozma yahut nitelikli dolandırıcılık gibi diğer suç tipleri bakımından
da değerlendirmeye tabi tutulabilecektir.
D. SİSTEMİ ENGELLEME, BOZMA, VERİLERİ YOK ETME VEYA
DEĞİŞTİRME SUÇU
5237 sayılı Türk Ceza Kanunu’nun 244. maddesinde düzenlenen “sistemi engelleme, bozma,
verileri yok etme veya değiştirme” suçu, bilişim sistemlerinin işleyiş bütünlüğünü, veri
güvenliğini ve dijital altyapıların sürekliliğini koruma amacı taşıyan temel bilişim
suçlarından biridir. Anılan düzenleme ile bilişim sistemlerinin işleyişine yönelik hukuka
aykırı müdahaleler bağımsız bir suç tipi olarak yaptırım altına alınmıştır. Madde hükmüne
göre; bir bilişim sisteminin işleyişini engelleyen veya bozan, sistem içerisindeki verileri yok
eden, değiştiren, erişilmez kılan, sisteme veri yerleştiren ya da mevcut verileri başka bir yere
gönderen kişiler cezai sorumluluk altına girmektedir. Bu suç tipi, bilişim sistemlerinin
güvenli ve kesintisiz şekilde faaliyet göstermesine yönelik kamusal ve özel menfaatleri
koruma amacına yöneliktir. Söz konusu düzenleme kapsamında korunan hukuki değer
yalnızca sistemin fiziksel veya teknik bütünlüğü olmayıp; aynı zamanda verilerin
erişilebilirliği, doğruluğu, bütünlüğü ve bilişim altyapılarının güvenilir şekilde işletilmesine
ilişkin toplumsal güven duygusudur.
Bu nedenle suçun oluşabilmesi bakımından müdahalenin sistem üzerinde işlevsel bir
olumsuzluk meydana getirmesi yeterli görülmekte; özellikle verilerin silinmesi,
değiştirilmesi veya sistemin erişime kapatılması gibi fiiller ağır ihlal niteliği taşımaktadır.
Anılan suç tipi, özellikle kritik altyapılara yönelik siber saldırılar bakımından ayrı bir önem
arz etmektedir. Bankacılık sistemleri, enerji altyapıları, sağlık bilişim sistemleri, haberleşme
ağları ve kamu kurumlarına ait dijital altyapılara yönelen saldırılar; ekonomik düzenin
bozulması, kamu hizmetlerinin aksaması, kişisel verilerin tehlikeye düşmesi ve kamu
güvenliğinin zedelenmesi gibi ciddi sonuçlar doğurabilmektedir. Bu nedenle kanun koyucu,
kamu kurumlarına veya bankacılık ve kredi kurumlarına ait bilişim sistemlerine yönelik
fiiller bakımından daha ağır cezai yaptırımlar öngörerek söz konusu sistemlere özel bir
koruma sağlamıştır.Bunun yanında, bilişim sistemine yönelik müdahalenin ekonomik zarar doğurması, verilerin
geri döndürülemez şekilde yok edilmesi veya başka suçların işlenmesine imkân sağlaması
hâlinde, failin cezai sorumluluğu somut olayın özelliklerine göre farklı suç tipleriyle birlikte
değerlendirilebilecektir.
E. BANKA VEYA KREDİ KARTLARININ KÖTÜYE KULLANILMASI
5237 sayılı Türk Ceza Kanunu’nun 245. maddesinde düzenlenen “banka veya kredi
kartlarının kötüye kullanılması” suçu, elektronik ödeme sistemlerine duyulan güvenin
korunması ve finansal işlemlerin güvenli şekilde yürütülmesinin sağlanması amacıyla ihdas
edilmiş özel bir suç tipidir. Teknolojik gelişmeler ve dijital ödeme araçlarının
yaygınlaşmasıyla birlikte, banka ve kredi kartlarının hukuka aykırı biçimde kullanılması
suretiyle gerçekleştirilen fiillerin artış göstermesi, söz konusu düzenlemenin uygulamadaki
önemini daha da artırmıştır.
Anılan hüküm kapsamında; başkasına ait banka veya kredi kartının, kart sahibinin ya da
kartın kendisine verilmesi gereken kişinin rızası olmaksızın kullanılması suretiyle failin
kendisi veya üçüncü kişiler lehine yarar sağlaması cezai yaptırıma bağlanmıştır. Bunun
yanında sahte banka veya kredi kartı üretimi, devri, satılması, satın alınması veya
kullanılması da ayrı seçimlik hareketler olarak suç kapsamında değerlendirilmiştir. Söz
konusu suç tipi ile korunan hukuki değer; bireylerin malvarlığı hakları, bankacılık sisteminin
güvenilirliği ve elektronik ödeme araçlarına duyulan toplumsal güvendir.
Özellikle çevrim içi alışveriş sistemlerinin, mobil bankacılık uygulamalarının ve dijital
ödeme platformlarının yaygınlaşmasıyla birlikte suçun işleniş yöntemleri çeşitlenmiş; kart
bilgilerinin oltalama (phishing) yöntemleriyle ele geçirilmesi, sahte ödeme sayfaları
oluşturulması, zararlı yazılımlar aracılığıyla kart verilerinin kopyalanması ve dijital kimlik
doğrulama sistemlerinin kötüye kullanılması uygulamada sıkça karşılaşılan yöntemler hâline
gelmiştir. Bu suçun bilişim sistemleri aracılığıyla işlenmesi, çoğu durumda yalnızca banka
veya kredi kartlarının kötüye kullanılması suçunu değil; aynı zamanda bilişim sistemine
hukuka aykırı erişim, kişisel verilerin hukuka aykırı elde edilmesi veya nitelikli dolandırıcılık
gibi başka suç tiplerini de gündeme getirebilmektedir.
Bu nedenle somut olayın özelliklerine göre failin fiili, birden fazla suç yönünden
değerlendirilerek cezai sorumluluğun kapsamı belirlenmektedir. Özellikle dijital finans
sistemlerinin küresel ölçekte yaygınlaşması, sınır aşan elektronik ödeme işlemlerinin artması
ve anonim teknolojilerin kullanılması, bu suçların tespiti ve soruşturulmasını daha karmaşık
hâle getirmektedir. Bu sebeple banka ve kredi kartlarına ilişkin suçlarla mücadelede yalnızca
cezai yaptırımlar değil; aynı zamanda güçlü siber güvenlik önlemleri, çok aşamalı kimlik
doğrulama mekanizmaları ve etkin denetim sistemleri de büyük önem taşımaktadır.F. YASAK CİHAZ VEYA PROGRAMLAR
5237 sayılı Türk Ceza Kanunu’nun 245/A maddesinde düzenlenen suç tipi, bilişim suçlarının
işlenmesinde kullanılabilecek araçların üretimi, temini ve dolaşıma sokulmasını yaptırım
altına almak suretiyle siber suçlarla mücadelede önleyici ceza hukuku yaklaşımını
benimsemektedir. Söz konusu düzenleme ile kanun koyucu, yalnızca bilişim suçlarının icra
edilmesini değil, bu suçların işlenmesini mümkün kılan teknik araçların hazırlanması ve
yayılmasını da cezai denetim kapsamına dâhil etmiştir.
Anılan hüküm uyarınca; bilişim sistemlerine karşı suç işlemek amacıyla oluşturulmuş,
tasarlanmış veya uyarlanmış cihazların, bilgisayar programlarının, şifrelerin, erişim
kodlarının ya da benzeri güvenlik verilerinin üretilmesi, ithal edilmesi, sevk edilmesi,
taşınması, depolanması, kabul edilmesi, satışa arz edilmesi, satılması, temin edilmesi veya
başkalarına verilmesi suç olarak düzenlenmiştir. Böylelikle bilişim suçlarının icrasında
kullanılabilecek teknik araçların dolaşıma sokulması bağımsız bir suç tipi hâline getirilmiştir.
Bu düzenlemenin temel amacı, bilişim sistemlerinin güvenliğini tehdit eden araçların
yayılmasını engellemek ve özellikle organize biçimde gerçekleştirilen siber saldırı
faaliyetlerinin hazırlık aşamasında önlenmesini sağlamaktır.
Nitekim zararlı yazılımlar, yetkisiz erişim sağlamaya yönelik programlar, parola kırma
araçları, veri ele geçirmeye yönelik yazılımlar veya sistem güvenliğini aşmaya yarayan
teknik araçlar, çoğu zaman daha ağır bilişim suçlarının işlenmesinde kullanılmaktadır. Kanun
koyucu bu nedenle, henüz doğrudan bir saldırı gerçekleşmeden önce müdahale imkânı
sağlayarak koruma alanını genişletmiştir. Doktrinde söz konusu suç tipi, “hazırlık
hareketlerinin bağımsız suç hâline dönüştürülmesi” bakımından önem taşımaktadır. Zira
klasik ceza hukuku yaklaşımında hazırlık hareketleri kural olarak cezalandırılmazken,
bilişim suçlarının yüksek örgütlenme kapasitesi, anonim yapısı ve kısa sürede geniş çaplı
zarar doğurabilme potansiyeli nedeniyle kanun koyucu hazırlık aşamasını da cezai yaptırıma
bağlama ihtiyacı duymuştur. Bu yönüyle madde, siber güvenliğin korunmasına yönelik
proaktif ceza politikalarının bir yansıması niteliğindedir. Bununla birlikte, söz konusu
hükmün uygulanmasında suç işleme amacı unsurunun titizlikle değerlendirilmesi
gerekmektedir.
Zira bilişim güvenliği alanında kullanılan bazı yazılım ve araçlar, hem hukuka uygun sızma
testleri ve güvenlik analizleri amacıyla hem de hukuka aykırı saldırılar için kullanılabilecek
çift kullanımlı (dual-use) nitelikte olabilmektedir. Bu nedenle failin kastının, aracın kullanım
amacının ve somut olayın teknik özelliklerinin dikkatle değerlendirilmesi, hukuka uygun
siber güvenlik faaliyetleri ile suç teşkil eden fiiller arasındaki sınırın korunması bakımından
büyük önem arz etmektedir.III. KİŞİSEL VERİLERİN KORUNMASI VE SİBER GÜVENLİK
Dijitalleşmenin hız kazanmasıyla birlikte kişisel verilerin korunması hukuk sistemleri
açısından temel bir mesele hâline gelmiştir. Kişisel verilerin hukuka aykırı biçimde işlenmesi
veya üçüncü kişiler tarafından ele geçirilmesi bireylerin özel hayatını ciddi şekilde ihlal
etmektedir.
Türkiye’de kişisel verilerin korunmasına ilişkin temel düzenleme 6698 sayılı Kişisel
Verilerin Korunması Kanunu’dur. Bu kanun, kişisel verilerin işlenme şartlarını belirlemekte
ve veri sorumlularına çeşitli yükümlülükler getirmektedir.
Siber güvenlik politikaları, kişisel verilerin korunmasında önemli rol oynamaktadır. Veri
ihlallerinin önlenebilmesi için güçlü şifreleme sistemleri, güvenlik duvarları ve çok faktörlü
kimlik doğrulama yöntemlerinin kullanılması gerekmektedir.
Özellikle büyük teknoloji şirketlerinin milyonlarca kullanıcıya ait verileri işlemesi, veri
güvenliği konusunda uluslararası ölçekte ciddi tartışmalar yaratmaktadır. Bu nedenle veri
koruma hukuku ile siber güvenlik politikaları arasında güçlü bir ilişki bulunmaktadır.
IV. DİJİTAL DELİLLER VE CEZA MUHAKEMESİ HUKUKU
Siber suçların soruşturulması ve kovuşturulması süreçlerinde dijital deliller, maddi gerçeğin
ortaya çıkarılması bakımından temel ispat araçlarından birini oluşturmaktadır. Bilişim
sistemleri üzerinden gerçekleştirilen hukuka aykırı fiillerin büyük ölçüde dijital ortamda iz
bırakması nedeniyle; bilgisayar kayıtları, IP adresleri, trafik verileri, elektronik posta
içerikleri, sunucu kayıtları (log kayıtları), mobil cihaz verileri, bulut depolama kayıtları ve
dijital iletişim geçmişleri ceza muhakemesi bakımından önemli delil kaynakları olarak kabul
edilmektedir. Dijital delillerin klasik fiziksel delillerden ayrılan en önemli özelliği, kolaylıkla
değiştirilebilir, silinebilir, kopyalanabilir veya manipüle edilebilir nitelikte olmalarıdır. Bu
nedenle dijital delillerin elde edilmesi, muhafaza edilmesi, incelenmesi ve yargı mercilerine
sunulması süreçlerinde teknik ve usulî güvencelere titizlikle riayet edilmesi zorunludur. Aksi
hâlde delilin bütünlüğünün bozulması, güvenilirliğinin ortadan kalkması ve ispat değerinin
zayıflaması söz konusu olabilmektedir. Bu çerçevede özellikle delil zincirinin korunması
(chain of custody), verilerin adli bilişim yöntemleriyle kopyalanması, hash değerleri
aracılığıyla veri bütünlüğünün doğrulanması ve inceleme süreçlerinin denetlenebilir biçimde
kayıt altına alınması büyük önem taşımaktadır.
Türk hukukunda dijital delillerin elde edilmesine ilişkin temel düzenlemeler, 5271 sayılı
Ceza Muhakemesi Kanunu kapsamında yer almaktadır. Özellikle bilişim sistemlerinde
arama, kopyalama ve el koyma tedbirleri bakımından Ceza Muhakemesi Kanunu’nun ilgili
hükümleri uygulanmaktadır. Bu kapsamda bilgisayarlar, bilgisayar programları ve
kütüklerinde arama yapılması ile bu sistemlerden veri kopyalanması veya verilere el
konulması kural olarak hâkim kararına bağlı tutulmuştur. Gecikmesinde sakınca bulunan
hâllerde Cumhuriyet savcısının kararıyla işlem yapılabilmekte ise de bu kararın sonradanhâkim onayına sunulması gerekmektedir. Söz konusu güvenceler, yalnızca ceza
muhakemesinin usul kurallarına uygun yürütülmesini sağlamak amacı taşımamakta; aynı
zamanda bireylerin temel hak ve özgürlüklerinin korunmasına hizmet etmektedir. Nitekim
dijital cihazlar çoğu zaman kişilerin haberleşme içeriklerini, özel yaşam alanına ilişkin
verilerini, ticari sırlarını ve kişisel bilgilerini bünyesinde barındırmaktadır. Bu nedenle
bilişim sistemlerine yönelik koruma tedbirlerinin uygulanmasında ölçülülük, gereklilik ve
hukuka uygunluk ilkelerine riayet edilmesi anayasal bir zorunluluk niteliğindedir.
Hukuka aykırı yöntemlerle elde edilen dijital delillerin ceza yargılamasında kullanılması ise
hukuk devleti ilkesinin ve adil yargılanma hakkının doğal bir sonucudur. Anayasal
güvenceler ve ceza muhakemesi ilkeleri uyarınca hukuka aykırı şekilde elde edilen deliller
hükme esas alınamamaktadır. Bu bağlamda yetkisiz erişim, usule aykırı arama ve el koyma
işlemleri veya özel hayatın gizliliğini ihlal edecek yöntemlerle elde edilen dijital verilerin
yargılamada delil olarak değerlendirilmesi mümkün değildir. Bu yaklaşım, hem bireyin özel
hayatının gizliliğinin korunması hem de adil yargılanma hakkının güvence altına alınması
bakımından büyük önem taşımaktadır.
Öte yandan siber suçların çoğu zaman sınır aşan nitelik taşıması, verilerin farklı ülkelerde
bulunan sunucularda depolanması ve anonim teknolojilerin kullanılması, dijital delillerin
elde edilmesini uluslararası adli iş birliği bakımından da karmaşık hâle getirmektedir. Bu
nedenle siber suçlarla etkin mücadele bakımından yalnızca ulusal mevzuatın değil,
uluslararası iş birliği mekanizmalarının ve dijital delil standartlarının da büyük önem taşıdığı
kabul edilmektedir.
V. ULUSLARARASI HUKUKTA SİBER SUÇLARLA MÜCADELE
Siber suçların en belirgin özelliklerinden biri, sınır aşan (transnasyonel) nitelik taşımalarıdır.
Bilişim teknolojilerinin küresel ölçekte faaliyet göstermesi nedeniyle bir siber saldırının faili,
mağduru, hedef alınan bilişim sistemi ve verilerin depolandığı sunucular farklı devletlerin
yargı alanlarında bulunabilmektedir. Bu durum, klasik ceza hukuku ilkelerinin uygulanması
bakımından önemli yetki ve usul sorunlarını beraberinde getirmektedir. Özellikle suçun
işlendiği yerin tespiti, hangi devletin yargılama yetkisine sahip olduğu, dijital delillerin hangi
hukuk düzenine tabi olacağı ve yabancı devletlerden delil temininin nasıl gerçekleştirileceği
hususları siber suçlar bakımından oldukça karmaşık bir görünüm arz etmektedir.
Siber suçların çoğu zaman anonim iletişim araçları, şifreleme teknolojileri ve farklı ülkelerde
konumlandırılmış sunucu altyapıları aracılığıyla işlenmesi, ulusal soruşturma makamlarının
tek başına etkin müdahalesini güçleştirmektedir. Bu nedenle siber suçlarla mücadelede
devletler arasında etkin uluslararası adli iş birliği mekanizmalarının oluşturulması zorunlu
hâle gelmiştir. Nitekim dijital delillerin hızlı şekilde yok edilebilir olması, uluslararası bilgi
paylaşımının gecikmeksizin gerçekleştirilmesini gerekli kılmaktadır. Uluslararası düzeyde
siber suçlarla mücadele alanındaki en kapsamlı ve etkili düzenlemelerden biri, Budapeşte
Siber Suç Sözleşmesi olarak kabul edilmektedir. Avrupa Konseyi tarafından hazırlanan söz
konusu sözleşme, siber suçlara ilişkin ortak ceza hukuku standartlarının oluşturulmasını,taraf devletlerin iç hukuk düzenlemelerinin uyumlaştırılmasını ve uluslararası adli iş
birliğinin güçlendirilmesini amaçlamaktadır.
Sözleşme kapsamında taraf devletlere, bilişim sistemlerine hukuka aykırı erişim, sistemlere
müdahale, veri bütünlüğünün ihlali, bilişim araçlarının kötüye kullanılması ve çocukların
çevrim içi istismarına ilişkin fiilleri suç hâline getirme yükümlülüğü getirilmektedir. Bunun
yanında taraf devletlerin dijital delillerin korunması, trafik verilerinin muhafazası, bilişim
sistemlerinde arama ve elkoyma tedbirlerinin uygulanması ile elektronik verilerin hızlı
biçimde temin edilmesine yönelik etkili usul mekanizmaları oluşturması öngörülmektedir.
Sözleşmenin en önemli yönlerinden biri ise uluslararası adli yardımlaşma mekanizmalarına
ilişkin hükümleridir. Bu kapsamda taraf devletler arasında hızlı bilgi paylaşımı sağlanması,
sınır aşan soruşturmalarda karşılıklı adli yardım süreçlerinin etkinleştirilmesi ve 7/24
erişilebilir temas noktalarının oluşturulması öngörülmektedir.
Böylelikle özellikle kısa sürede silinebilme riski taşıyan dijital delillerin korunması ve temin
edilmesi bakımından etkin bir iş birliği ağı kurulması hedeflenmektedir. Bununla birlikte,
siber suçlarla mücadelede uluslararası iş birliğinin geliştirilmesi gerekliliği; devletlerin
egemenlik yetkileri, kişisel verilerin korunması, özel hayatın gizliliği ve temel hak ve
özgürlüklerin sınırlandırılması bakımından hassas hukuki tartışmaları da beraberinde
getirmektedir. Bu nedenle uluslararası iş birliği mekanizmalarının uygulanmasında hem etkin
suçla mücadele ihtiyacı hem de insan haklarına ilişkin anayasal ve uluslararası güvenceler arasında hassas bir denge kurulması gerekmektedir.
SONUÇ
Bilişim, teknoloji ve siber suçlar hukuku; dijital dönüşümün hız kazandığı günümüzde
yalnızca ceza hukukunun bir alt dalı olmaktan çıkmış, aynı zamanda kamu hukuku, özel
hukuk, uluslararası hukuk ve insan hakları hukukuyla doğrudan kesişen multidisipliner bir
alan hâline gelmiştir. İnternetin küresel ölçekte yaygınlaşması, yapay zekâ teknolojilerinin
gelişmesi ve veri temelli ekonomiye geçiş süreci, hukuk düzenlerinin yeni risk alanlarıyla
karşı karşıya kalmasına yol açmıştır. Bu çalışma kapsamında ortaya konulduğu üzere siber
suçlar, klasik suç tiplerinden farklı olarak sınır aşan nitelik taşımakta ve çoğu zaman failin
tespiti, delillerin toplanması ve yargı yetkisinin belirlenmesi bakımından ciddi zorluklar
doğurmaktadır. Türk hukukunda özellikle 5237 sayılı Türk Ceza Kanunu’nda yer alan bilişim
suçlarına ilişkin hükümler, temel bir koruma çerçevesi oluşturmakla birlikte, teknolojik
gelişmelerin hızı karşısında sürekli güncellenmeye ihtiyaç duymaktadır.
Öte yandan 6698 sayılı Kişisel Verilerin Korunması Kanunu ile birlikte bireylerin dijital
haklarının korunmasına yönelik önemli bir normatif yapı oluşturulmuş; ancak uygulamada
veri güvenliği ihlalleri ve siber saldırıların artışı, bu korumanın teknik altyapı ile
desteklenmesini zorunlu kılmıştır. Bu bağlamda hukukun yalnızca norm koyucu değil, aynı
zamanda önleyici ve koruyucu bir fonksiyon üstlenmesi gerektiği açıktır. Siber suçlarla etkin
mücadelede dijital delillerin doğru şekilde elde edilmesi ve değerlendirilmesi büyük önem
taşımaktadır. Bununla birlikte uluslararası iş birliği mekanizmalarının güçlendirilmesi,
özellikle Budapeşte Siber Suç Sözleşmesi çerçevesinde ortak standartların geliştirilmesi,
küresel siber tehditlere karşı daha etkin bir mücadele imkânı sağlamaktadır.
Sonuç olarak, bilişim ve siber suçlar hukuku dinamik, sürekli gelişen ve teknik bilgi ile
hukuki analizin birlikte yürütülmesini gerektiren bir alan niteliğindedir. Gelecekte yapay
zekâ, blokzincir teknolojileri ve gelişmiş otomasyon sistemlerinin yaygınlaşmasıyla birlikte
bu alanın önemi daha da artacaktır. Bu nedenle hukuk sistemlerinin teknolojik gelişmelere
uyum sağlayacak esneklikte olması, bireysel hak ve özgürlüklerin korunması ile kamu
düzeninin sağlanması arasında adil ve sürdürülebilir bir denge kurulması bakımından
zorunluluk arz etmektedir