Günümüzde teknolojinin hızla yaygınlaşması, bilişim sistemlerinin hayatımızın ayrılmaz bir parçası hâline gelmesine neden olmuştur. Kurumlar, şirketler ve bireyler artık hemen her iş ve işlemlerini dijital ortamda gerçekleştirmektedir. Bu durum, bilişim sistemlerinin korunması ve oluşabilecek suçların yaptırıma tâbi tutulması ihtiyacını da beraberinde getirmiştir. Türk Ceza Kanunu (TCK), bilişim sistemlerine yönelik saldırıları ve kötüye kullanımları düzenleyen çeşitli maddeler içermektedir. Bu yazımızda, TCK m. 243, 244, 245 ve 245/A’da düzenlenen bilişim suçlarını, örnek senaryolar ve dava çözümlemeleri üzerinden ele alacağız.
1. Bilişim Sistemine Girme Suçu (TCK Madde 243)
1.1 Suçun Tanımı
• TCK m. 243’e göre, bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren ve orada kalmaya devam eden kişi bu suçtan sorumlu tutulur.
• Bu suçun temel hali, herhangi bir zarar verme veya değiştirme amacı taşımadan, sadece “hukuka aykırı giriş” fiili ile gerçekleşir.
1.2 Suçun Unsurları
1. Failin kastı: Failin bilişim sistemine izinsiz girdiğini bilmesi ve bu eylemi gerçekleştirmeyi istemesi gerekir. Taksirle işlenen haller bu kapsamda değerlendirilmez.
2. Hukuka aykırı olarak giriş: Sisteme giriş hakkı bulunmayan kişinin, yetkisi olmaksızın erişim sağlamasıdır.
3. Sistemde kalmaya devam etme: Suç, yalnızca girişle değil, giriş yapıldıktan sonra sistemde kalmaya devam edilmesiyle de oluşur.
1.3 Cezalandırma
• Temel hali için öngörülen ceza, bir yıla kadar hapis veya adli para cezasıdır.
• Eğer fiil nedeniyle sistem içindeki veriler yok olur veya değişirse, ceza artırılır (ancak bu durumda çoğunlukla TCK 244 devreye girebilir).
1.4 Örnek Senaryo ve Dava Çözümlemesi
Senaryo:
Ali, bir üniversitenin öğrenci otomasyon sistemine, sistem yöneticisi olan arkadaşının şifresini izinsiz ele geçirerek giriş yapar. Sadece notlara bakar, herhangi bir değişiklik yapmaz veya sistemi bozmaz. Sonra sistemden çıkar.
• Olayın hukuki durumu: Ali, üniversitenin bilişim sistemine hukuka aykırı şekilde girmiştir. Notlarda oynama veya veri silme gibi bir işlem yapmadığından esas itibarıyla TCK m. 243’de düzenlenen “Bilişim Sistemine Girme Suçu” oluşur.
2. Bilişim Sistemini Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK Madde 244)
2.1 Suçun Tanımı
• TCK m. 244; bir bilişim sisteminin işleyişini engelleme, bozma, erişilmez kılma, verileri yok etme veya değiştirme fiillerini cezalandırır.
• Suçun oluşması için, failin bilişim sisteminde veri bütünlüğünü bozan, verileri silen veya verileri kullanılmaz hâle getiren eylemleri gerçekleştirmesi gerekir.
2.2 Suçun Unsurları
1. İşleyişi engelleme veya bozma: Bilişim sisteminin normal çalışma düzenini aksatacak veya ortadan kaldıracak her türlü eylem.
2. Verileri yok etme, değiştirme: Sistemde kayıtlı verileri silme, değiştirme, bozuk hâle getirme gibi eylemler.
3. Hukuka aykırılık: Failin bu eylemleri haksız ve izinsiz biçimde gerçekleştirmesi.
2.3 Cezalandırma
• Temel ceza, bir yıldan beş yıla kadar hapis cezasıdır.
• Eğer suç, kamu kurumlarına ait bir bilişim sistemine karşı işlenmişse veya banka/kredi kurumlarına ait sistemlere karşı işlenmişse ceza artırılır.
• Fail, fiil sonucunda kendisine veya başkasına haksız çıkar sağlamışsa da cezanın artırılması söz konusu olabilir.
2.4 Örnek Senaryo ve Dava Çözümlemesi
Senaryo:
Mehmet, eski çalıştığı yazılım şirketine duyduğu öfke sebebiyle ayrıldıktan sonra şirketin sunucularına, kendisinde hâlâ mevcut olan yönetici şifresini kullanarak girmiştir. Şirketin projelerine ait önemli dosyaları silmiş ve bazılarının adını değiştirerek projeleri kullanılamaz hâle getirmiştir.
• Olayın hukuki durumu: Mehmet, TCK m. 243’teki “girme” fiilini de işlemekle birlikte, asıl olarak verileri silip değiştirdiği için TCK m. 244 gereğince cezalandırılacaktır.
3. Banka veya Kredi Kartlarının Kötüye Kullanılması Suçu (TCK Madde 245)
3.1 Suçun Tanımı
• TCK m. 245, başkasına ait banka veya kredi kartının kötüye kullanılmasını cezalandırır.
• Suç, kartın fiziken veya dijital olarak ele geçirilmesi, kart bilgilerinin rıza dışı kullanılması veya sahte banka/kredi kartı üretilmesi gibi çeşitli şekillerde ortaya çıkabilir.
3.2 Suçun Unsurları
1. Başkasına ait banka veya kredi kartı: Kartın sahibi ile failin farklı kişi olması gerekir.
2. Kötüye kullanım kastı: Failin, kart sahibinin rızası olmaksızın, haksız menfaat elde etme amacıyla kartı veya kart bilgilerini kullanması.
3. Sahte kart üretme/taklit etme: Bu da TCK m. 245 kapsamına girer ve cezalandırılır.
3.3 Cezalandırma
• Suçun temel hâli, üç yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası şeklinde düzenlenmiştir.
• Sahte kart üretme veya taklit kart kullanma hâlinde ceza ağırlaştırılabilir.
3.4 Örnek Senaryo ve Dava Çözümlemesi
Senaryo:
Ayşe, çalıştığı ofiste masada unutulan bir kredi kartını alarak internet alışverişlerinde kullanır. Kartın asıl sahibi ise birkaç hafta sonra hesap ekstresini incelediğinde bilgisi dışında yapılan harcamaları fark eder ve şikâyetçi olur.
• Olayın hukuki durumu: Ayşe, başkasına ait kredi kartını rıza olmadan kullanmak suretiyle haksız çıkar sağlamıştır. Bu durumda TCK m. 245’te düzenlenen “Banka veya kredi kartlarının kötüye kullanılması”suçu oluşur.
4. Yasak Cihaz veya Programlar (TCK Madde 245/A)
4.1 Suçun Tanımı
• TCK m. 245/A, bilişim suçlarının işlenmesinde özel olarak tasarlanmış veya uyarlanmış programlar, cihazlar, şifre kırma yazılımları vb. araçları üretme, ithal etme, satma, bulundurma veya başkasına verme fiillerini düzenler ve cezalandırır.
• Burada amaç, suçun hazırlık hareketlerini de yaptırıma bağlayarak korunan hukuki değeri genişletmek, bilişim suçlarını önceden engellemektir.
4.2 Suçun Unsurları
1. Hukuka aykırı amaç: Program veya cihazın “bilişim suçlarında” kullanılmak üzere tasarlanmış veya uyarlanmış olması gerekir.
2. Üretme, ithal etme, sevk etme, depolama, kabul etme, satma, başkasına verme, satın alma veya bulundurma gibi fiillerden herhangi birini gerçekleştirme.
3. Kast: Failin, bu araçları veya programları bilişim suçu işleme veya işlenmesinde kullanma/kullandırma niyetinin bulunması.
4.3 Cezalandırma
• TCK m. 245/A kapsamında, söz konusu yazılım veya cihazları üretme ve piyasaya sürme fiilleri için bir yıldan üç yıla kadar hapis veya adli para cezası söz konusudur.
• Fiilin niteliğine, failin amacı ve fiilin sonucuna göre cezanın alt-üst sınırları değişebilir
4.4 Örnek Senaryo ve Dava Çözümlemesi
Senaryo:
Ahmet, internet üzerinden şifre kırma programları geliştirdiğini ve bu programları kendi blogunda satışa çıkardığını duyurur. Program, sosyal medya hesaplarının parolasını kırmaya yarayan bir algoritma içermektedir. Yazılımın açıklamasında da “Her türlü hesaba kolayca erişin” şeklinde ifadeler yer almaktadır.
• Olayın hukuki durumu: Ahmet, TCK m. 245/A’da düzenlenen suç kapsamında değerlendirilebilecek bir fiil işlemektedir. Çünkü geliştirilen program, özellikle bilişim sistemlerinde izinsiz giriş ve veri ele geçirme amacıyla tasarlanmış veya uyarlanmış bir araçtır.
5.Senaryo: Dört Suçun Bir Arada İşlenmesi
Senaryo:
• Kişiler:
o Mehmet: Orta ölçekli bir yazılım firmasında eski bir çalışan.
o Ali: Mehmet’in yakın arkadaşı ve yasa dışı “hack” programları geliştiren bir kişi.
o E-Ticaret Şirketi:Mehmet’in bir süre önce çıkarıldığı orta büyüklükte bir çevrimiçi satış platformuna sahip şirket.
• Olay Akışı:
o Mehmet, çalıştığı işyerinden çıkarılması üzerine maddi sıkıntıya düşer ve intikam duygusuyla eski çalıştığı E-Ticaret Şirketine zarar vermek ister. Bunun için yasa dışı “hack” programları hazırlayan arkadaşı Ali ile iletişime geçer.
o Ali, bazı özel yazılımları Mehmet’e temin eder. Bu yazılımlar, bilişim sistemlerine sızmak ve özellikle şirketlerin güvenlik duvarlarını bypass etmek amacıyla tasarlanmıştır.
o Mehmet, arkadaşının sağladığı bu yazılımları (programı) kullanarak eski şirketin bilişim sistemine izinsiz biçimde giriş yapar (TCK m. 243).
o Sisteme girdikten sonra kasıtlı olarak E-Ticaret Şirketi’nin ürün envanteri ve müşteri veri tabanını kısmi olarak erişilemez kılar. Ayrıca bazı müşteri sipariş verilerini de tahrip ederek kullanılamaz hâle getirir (TCK m. 244).
o Mehmet, şirkete ait veri tabanına kayıtlı müşterilere ait kredi kartı bilgilerini elde eder. Bu bilgileri kullanarak kendi adına çevrimiçi alışveriş sitelerinde harcama yapar (TCK m.245).
o İlerleyen günlerde, E-Ticaret Şirketi’nde veri güvenliği ile ilgili ciddi bir şüphe oluşur.Şirketin yaptığı ilk incelemeler, sunucularda kurcalama ve veri silme izleri olduğunu, ayrıca bazı müşterilerin kart bilgilerinin dışarıya sızdırıldığını ortaya koyar. Şirketin şikâyeti üzerine siber suçlar birimi devreye girer.Yapılan teknik analizler, olayın arkasında Mehmet ile Ali’nin olduğunu gösterir.
o Ali’nin, bu amaçla özel olarak tasarladığı yasak yazılımları Mehmet’e “deneme sürümü” adı altında satması veya ücretsiz olarak vermesi de TCK m. 245/A kapsamında değerlendirilir.
5.1 Senaryonun Hukuki Çözümlemesi
1. Yasak Cihaz veya Programlar (TCK 245/A) İhlâli
a. Ali’nin geliştirdiği ve özellikle siber saldırılarda kullanılmak üzere tasarlanmış yasak programları Mehmet’e vermesi, bu madde kapsamında suç oluşturur.
b. Mehmet de bu programları bilerek ve isteyerek suç işlemek amacıyla satın almış veya elde etmişse, o da “yasak cihaz veya program” bulundurma fiilinden sorumludur. Bu kapsamda:
i. Fail: Ali (üreten, satan, temineden), Mehmet (kullanmaya hazır şekilde bulunduran, alan)
ii. Ceza: Bir yıldan üç yıla kadar hapis veya adli para cezası.
2. Bilişim Sistemine Girme (TCK 243) İhlâli
a. Mehmet, eski çalıştığı firmaya ait bilişim sistemine yetkisi olmaksızın, sırf zarar verme veya çıkar sağlama saikiyle giriş yapmıştır.
b. Bu eylem, TCK m. 243’ün “bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girme”unsurunu karşılar.
c. Eylem, aynı zamanda TCK m. 244’deki daha ağır fiillerle birleştiğinden, yargılama sırasında asıl cezalandırma 244. madde üzerinden de gerçekleşecektir. Ancak 243. madde, suçun başlangıcı niteliğindedir.
d. Fail: Mehmet
e. Ceza: Temel hâl (bir yıla kadar hapis veya adli para cezası); ancak devamındaki fiiller nedeniyle cezalandırma 244. maddede yer alan hükümlerle birleşebilir.
3. Bilişim Sistemini Engelleme, Bozma, Verileri Yok Etme veya Değiştirme (TCK 244) İhlâli
a. Mehmet, sistemdeki müşteri ve ürün verilerini değiştirmek veya erişilemez hâle getirmek suretiyle TCK m. 244’te düzenlenen bilişim sistemine zarar verme suçunu işlemiştir.
b. Şirketin çalışma düzeni sekteye uğramış, sistem geçici veya kısmen de olsa devre dışı kalmıştır.
c. Fail: Mehmet
d. Ceza: Bir yıldan beş yıla kadar hapis cezası (zararın boyutu, şirketin ekonomik kayıpları vb. hususlar cezada artırım sebebi olabilir).
4. Banka veya Kredi Kartlarının Kötüye Kullanılması (TCK 245) İhlâli
a. Mehmet, elde ettiği müşteri kredi kartı bilgilerini kendi çıkarı için kullanmış, böylece başkalarına ait kart bilgileriyle haksız kazanç sağlamıştır.
b. Bu durum, TCK m. 245 çerçevesinde “başkasına ait banka veya kredi kartının kötüye kullanılması”suçunu oluşturur.
c. Birden çok müşteri kartının bilgisi ele geçirilip çok sayıda işlem yapılmışsa, suç zincirleme olarak veya birden çok defa işlenmiş sayılabilir.
d. Fail: Mehmet
e. Ceza: Üç yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası.
5.2 Suçların Birlikte Değerlendirilmesi
• Mehmet’in ve Ali’nin fiilleri, hem “bilişim sistemine hukuka aykırı giriş” hem de “sistemi bozma veya verileri yok etme” fiilleriyle iç içe geçmiş şekilde gerçekleşmiştir. Ayrıca kredi kartı bilgilerinin kötüye kullanılması ve yasak program (hack araçları) üretme/temin etme fiilleriyle birlikte bir suç bütünlüğü söz konusudur.
• Suçların bir arada işlenmesi halinde, her bir suç ayrı ayrı değerlendirilecek ve içtima (suçların birleşmesi) hükümleri çerçevesinde cezaların bireyselleştirilmesi söz konusu olacaktır.
• Ali, yasa dışı programları üreterek ve Mehmet’e temin ederek TCK m. 245/A’dan; Mehmet, TCK m. 245/A’dan(yasak programları bilerek bulundurma ve kullanma), bilişim sistemine izinsiz giriş (TCK 243), bilişim sistemini engelleme (TCK 244) ve banka veya kredi kartlarını kötüye kullanma (TCK 245) suçlarından yargılanabilecektir.
Sonuç ve Değerlendirme
Görüldüğü üzere Türk Ceza Kanunu’nda bilişim suçları nitelikli bir koruma alanı oluşturmaktadır. Hem kişilerin hem kurumların verilerinin ve sistem bütünlüğünün korunması amacıyla farklı fiiller için ayrı düzenlemeler (TCK m. 243, 244, 245 ve 245/A) öngörülmüştür. Uygulamada, bilişim suçları çoğunlukla birkaç farklı fiilin aynı anda gerçekleşmesi şeklinde karşımıza çıkabilir. Bu nedenle, her somut olayda:
1. İzinsiz Erişim (TCK 243): Sisteme girilip girilmediği, girişin hukuka uygunluk sebeplerinin (örneğin kullanım hakkının) varlığı veya yokluğu,
2. Sistemi Zarar Verme (TCK 244): Verilerin değiştirilmesi, silinmesi, sistemin işleyişine müdahale edilip edilmediği,
3. Kredi Kartı Kötüye Kullanımı (TCK 245): Haksız çıkar sağlamak için başkalarına ait kart veya kart bilgilerinin kullanılması,
4. Yasak Yazılım/Cihaz (TCK 245/A): Bu amaçlar için özel program veya cihazların üretilip üretilmediği, elde bulundurulup bulundurulmadığı kapsamlı bir biçimde değerlendirilmelidir.
Yargılama Sürecinde Önemli Noktalar
• Delillerin toplanması ve dijital incelemelerin (disk kayıtları, log analizleri, yazılım kökenleri vb.) profesyonel biçimde yapılması.
• Şüpheli veya sanıkların kastının (mağdura zarar verme, haksız çıkar sağlama, yasak yazılımı geliştirme veya yayma amacı) doğru tespiti.
• Mağdur ve müşteki sıfatlarının belirlenmesi (örneğin, kredi kartı bilgileri çalınan müşteri ile şirket bazen aynı davada mağdur/müşteki olabilmektedir).
Önleyici Tedbirler
• Şirketlerin ve kişilerin siber güvenlik farkındalıklarını artırmaları,
• Sunucu ve veritabanı erişimlerinin sıkı şekilde loglanması ve düzenli olarak kontrol edilmesi,
• Güçlü şifreleme yöntemleri, çok faktörlü kimlik doğrulama sistemleri, düzenli yedekleme,
• Kredi kartı bilgilerinin saklanmasında PCI-DSS (Payment Card Industry Data Security Standard) gibi uluslararası güvenlik standartlarının uygulanması.
Sonuç olarak, bilişim suçları bir yandan teknik (siber güvenlik, yazılım, kriptoloji vb.) diğer yandan hukuki (ceza kanunu, özel mevzuat, uluslararası sözleşmeler) unsurları bir arada barındıran, çağımızın en önemli suç türlerinden birini oluşturur. Hem kişilerin hem de kurumların bu konuda farkındalığı yükseldikçe, suçların tespiti ve etkin cezalandırılması daha da mümkün hale gelecek, aynı zamanda hukukun caydırıcı işlevi de etkili olacaktır.
