TCK m. 244, bilişim sistemlerinin işleyişine zarar veren veya sistem içindeki verilere hukuka aykırı şekilde müdahale eden fiilleri cezalandıran temel ceza normlarından biridir. Madde, yalnızca sisteme girilmesini değil, sisteme girildikten sonra ya da doğrudan dışarıdan yapılan müdahalelerle sistemin çalışmasının engellenmesini, bozulmasını, verilerin silinmesini, değiştirilmesini, erişilmez hale getirilmesini veya başka yere aktarılmasını da kapsar.
Başlığımızda yer alan bilişim sistemine girme ve sistemi bozma ifadesi, uygulamada sık kullanılan bir anlatımdır. Ne var ki teknik olarak her hukuka aykırı erişim fiili doğrudan TCK m. 244 kapsamında değerlendirilmez. Çünkü sırf sisteme izinsiz girme eylemi ile sisteme zarar verme eylemi aynı şey değildir. Bir kişi yalnızca yetkisiz biçimde sisteme girmiş olabilir. Bir başka olayda ise fail, sisteme girmenin ötesine geçerek sistemin çalışmasını aksatmış, verileri silmiş ya da hizmeti durdurmuş olabilir. İşte TCK m. 244 daha çok bu ikinci gruptaki müdahaleleri hedef alır.
Maddenin koruduğu hukuki yarar yalnızca dijital verinin kendisi değildir. Bunun yanında bilişim sistemlerinin güvenli, kesintisiz ve amacına uygun çalışması da korunur. Bugün şirket altyapıları, banka sistemleri, kamu kurumlarının veri tabanları, e posta sunucuları, kurumsal paneller, mobil uygulama yönetim ekranları ve bulut tabanlı hizmetler ekonomik ve idari hayatın omurgasını oluşturur. Böyle bir yapıya yönelen müdahale, kimi zaman sadece teknik bir arıza gibi görünse de gerçekte ciddi bir ceza hukuku sorunu doğurur.
Bu suç tipi özellikle sunucu çökertme, sistemi kilitleme, veri tabanını bozma, yedekleri silme, kullanıcı erişimini engelleme, yönetim paneline zarar verme, sisteme zararlı veri enjekte etme gibi eylemlerde gündeme gelir. Keza failin mevcut verileri başka bir yere yönlendirmesi ya da sistemi fiilen çalışamaz hale getirmesi de aynı madde içinde değerlendirilebilir. Burada belirleyici olan nokta, fiilin bilişim sisteminin normal işleyişine veya sistemde bulunan verilere yönelmiş olmasıdır.
TCK m. 244 dört ayrı görünüm üzerinden incelenir. İlk görünüm sistemin işleyişinin engellenmesi veya bozulmasıdır. İkinci görünüm verilerin bozulması, yok edilmesi, değiştirilmesi, erişilmez kılınması, sisteme veri yerleştirilmesi veya verilerin başka yere gönderilmesidir. Üçüncü görünüm, suçun banka, kredi kurumu veya kamu kurumuna ait bilişim sistemleri üzerinde işlenmesidir. Dördüncü görünüm ise bu fiiller yoluyla failin kendisine ya da başkasına haksız yarar sağlamasıdır. Bu yapı, maddenin yalnızca tek bir davranışı değil, dijital alanda karşılaşılan farklı saldırı biçimlerini kapsadığını gösterir.
Davalarda en çok karıştırılan hususlardan biri, TCK m. 243 ile TCK m. 244 arasındaki sınırdır. Çünkü her sisteme girme fiili sistem bozma anlamına gelmez. Aynı şekilde her veri müdahalesi de sadece bilişim sistemine yetkisiz erişim suçu olarak geçiştirilemez. Bir failin eylemi yalnızca sisteme girmekten ibaretse başka bir değerlendirme yapılır. Buna karşılık sistemin çalışması sekteye uğramışsa, veriler değiştirilmişse veya hizmet sunumu durmuşsa ceza hukuku bakımından daha ağır bir tablo ortaya çıkar. Bu sebeple TCK m. 244 bakımından teknik inceleme, log kayıtları, zaman çizelgesi ve bilirkişi raporu belirleyici hale gelir.
Öte yandan maddenin önemi yalnızca klasik bilgisayar saldırılarıyla sınırlı değildir. Bugün bir şirketin müşteri paneline, e ticaret altyapısına, muhasebe sistemine, okul otomasyonuna, hastane kayıt ekranına veya belediye veri tabanına yönelen müdahaleler de bu suç kapsamında değerlendirilebilir. Kimi davalarda fail, içeriden yetkili erişimi olan çalışan olur. Kimi davalarda ise dışarıdan sisteme bağlanan üçüncü kişi karşımıza çıkar. Her iki halde de asıl inceleme konusu, fiilin sisteme ve verilere etkisinin ne olduğu sorusudur.
Bilişim Sistemine Girme ile Sistemi Bozma Arasındaki Fark
Bilişim sistemine girme ile sistemi bozma fiilleri, pratikte sık sık aynı başlık altında anılsa da ceza hukuku bakımından birbirinden farklı hareketlerdir. Bu ayrım doğru kurulmadığında hem sevk maddesi hatalı belirlenir hem de isnadın sınırları belirsiz hale gelir. Özellikle bilişim suçlarına ilişkin davalarda, yalnızca erişim sağlanmış olması ile sistemin işleyişine zarar verilmiş olması arasında açık bir çizgi çekmek gerekir.
İlk ihtimalde fail, bir bilişim sistemine yetkisi olmadan girer ya da yetkili olduğu sınırı aşar. Böyle bir durumda temel sorun, sisteme hukuka aykırı erişimdir. Sistem çalışmaya devam ediyor olabilir. Veriler olduğu yerde duruyor olabilir. Kullanıcılar hizmet almaya devam ediyor olabilir. Yani ihlal, öncelikle korunan dijital alana izinsiz temas edilmesinden doğar. Bu görünümde fiilin ağırlık merkezi erişim eylemidir.
İkinci ihtimalde ise fail yalnızca sisteme girmekle kalmaz, sistemin normal çalışma düzenine doğrudan etki eder. Örneğin sunucuyu hizmet veremez hale getiren komutlar gönderir, veri tabanını bozar, kullanıcı kayıtlarını siler, yönetim panelini kilitler, yedekleri erişilemez hale getirir ya da sistemin cevap verme kapasitesini çökertir. Artık burada sırf erişimden değil, sistemin işleyişine veya verilerin bütünlüğüne yönelen bir saldırıdan söz edilir. TCK m. 244 bakımından esas ağırlık da burada ortaya çıkar.
Aradaki farkı daha somut görmek için basit bir örnek verilebilir. Bir kişi başkasına ait e-posta hesabına şifre kırarak girer, ancak içerikte hiçbir değişiklik yapmadan sadece mesajları incelerse bir tür yetkisiz erişim tartışması doğar. Buna karşılık aynı kişi hesabın içindeki verileri siler, hesabın geri alınmasını zorlaştırır, iki aşamalı doğrulamayı değiştirir veya hesabı fiilen kullanılamaz hale getirirse artık müdahale farklı bir boyut kazanır. Çünkü fiil, sistem veya veri üzerinde zarar doğuran bir nitelik almıştır.
Davalarda çoğu zaman tek eylem tek maddeden ibaret görünmez. Fail önce sisteme girer, ardından verileri değiştirir veya hizmet akışını keser. Böyle bir durumda soru şudur. Tek bir suç mu vardır, yoksa birden fazla suç mu oluşmuştur. Bu değerlendirme olayın teknik yapısına, hareketlerin birbirinden ayrılabilir olup olmadığına ve korunan hukuki yararların ne ölçüde ihlal edildiğine göre yapılır. Dolayısıyla erişim fiili ile bozma fiili arasında zaman, amaç ve netice yönünden bağlantı kurulması gerekir.
Öte yandan her teknik aksama da doğrudan sistemi bozma suçu anlamına gelmez. Sistemde yaşanan kesinti, bakım çalışmasından, kullanıcı hatasından, yazılım uyumsuzluğundan veya iç ağ arızasından kaynaklanabilir. Ceza yargılamasında önemli olan, bozucu etkinin failin icrai hareketinden kaynaklandığının ortaya konulmasıdır. Bu nedenle log kayıtları, erişim zamanları, IP eşleştirmeleri, cihaz incelemeleri ve bilirkişi tespitleri davalarda merkezi önem taşır. Şüpheli hareket ile sistem zararının arasında teknik bağ kurulmadan mahkumiyet değerlendirmesi sağlıklı yapılamaz.
Bir başka ayrım da veriye müdahale ile sistemin tamamen işlemez hale getirilmesi arasındadır. Kimi olaylarda altyapı ayakta kalır, ancak veri üzerinde oynama yapılır. Kimi olaylarda ise veri olduğu gibi dursa bile sistem hizmet sunamaz hale gelir. TCK m. 244, her iki ihtimali de kapsayabilecek genişlikte düzenlenmiştir. Bu yüzden savcı veya mahkeme, eylemin sisteme mi, veriye mi, yoksa her ikisine birden mi yöneldiğini netleştirmek zorundadır.
Bu ayrım savunma bakımından da belirleyicidir. Failin sisteme giriş yaptığı kabul edilse bile, sistemdeki bozulmanın ondan kaynaklanmadığı ileri sürülebilir. Aynı şekilde veri kaybının saldırıdan önce oluştuğu, şirket içi işlem nedeniyle meydana geldiği ya da üçüncü bir kullanıcı tarafından gerçekleştirildiği savunulabilir. Bu tip dosyalarda teknik neden sonuç zinciri kurulmadan sırf erişim izinden hareketle sistemi bozma suçuna hükmetmek isabetli olmaz.
Toparlamak gerekirse, bilişim sistemine girme fiili daha çok hukuka aykırı erişimi ifade ederken, sistemi bozma fiili bilişim altyapısının çalışmasına veya sistemdeki verilere zarar veren müdahaleyi ifade eder.
TCK m. 244/1 Kapsamında Sistemin İşleyişini Engelleme veya Bozma Suçu
TCK m. 244/1, bir bilişim sisteminin işleyişini engelleyen veya bozan kişiyi cezalandırır. Kanun koyucu bu fıkrada veriye değil, doğrudan doğruya sistemin çalışmasına yönelen saldırıyı hedef almıştır. Maddede öngörülen yaptırım bir yıldan beş yıla kadar hapis cezasıdır.
Bu fıkranın merkezinde yer alan kavram, bilişim sisteminin olağan işlevini yerine getiremez hale gelmesidir. Bir sistem, kullanıcı taleplerine cevap veremiyorsa, hizmet akışı kesilmişse, yönetim paneli kilitlenmişse, veri alışverişi durmuşsa ya da sistemin teknik bütünlüğü ağır şekilde sarsılmışsa artık sırf yetkisiz erişimden değil, işleyişe yönelen bir müdahaleden söz edilir. Ceza hukukunun aradığı zarar her zaman fiziki tahrip biçiminde ortaya çıkmaz. Dijital ortamda işlevsiz hale getirme de bozucu etki doğurur.
Engelleme ile bozma aynı anlama gelmez. Engelleme, sistemin normal biçimde çalışmasının önüne geçilmesini ifade eder. Sistem tamamen çökmeden de hizmet veremez hale getirilebilir. Mesela çok yoğun istek göndererek sunucunun cevap veremez duruma düşürülmesi, yetkili kullanıcıların sisteme girişinin bloke edilmesi veya ağ trafiğinin kilitlenmesi bu kapsama girebilir. Bozma ise sistemin teknik yapısına, yazılım akışına ya da çalışmasını sağlayan unsurlara müdahale edilerek sistemin olması gereken şekilde işleyememesi halidir. Bir başka deyişle engellemede hizmet akışı kesilir, bozmada ise sistemin yapısı veya işlevi zarar görür.
Örnek vermek gerekirse şirketin sipariş altyapısına dışarıdan bağlanıp yönetim panelini cevap vermez hale getiren bir saldırı, belediyenin çevrim içi başvuru ekranını erişime kapatan müdahale, okul otomasyonunu ders girişine elverişsiz kılan işlem ya da bir kurumun mail sunucusunu çalışamaz hale getiren yazılım saldırısı bu fıkra yönünden değerlendirilir. Böyle olaylarda asıl mesele, sistemin geçici veya kalıcı şekilde aksaması değil, failin icrai hareketi ile işleyiş arasındaki bağın kurulabilmesidir.
Davalarda çoğu kez “Sistemde zaten arıza vardı, kesinti teknik bakım nedeniyle yaşandı, altyapı zayıftı, kullanıcı yoğunluğu doğal sebepten kaynaklandı.” gibi savunmalarla karşılaşılır. Bu tür iddialar önemlidir. Çünkü TCK m. 244/1 kapsamında cezalandırma yapılabilmesi için yalnızca bir kesinti yaşanması yetmez. Kesintinin, gecikmenin ya da çöküşün failin eyleminden doğduğunun teknik olarak gösterilmesi gerekir. Bu yüzden log kayıtları, saldırı zamanları, trafik yoğunluğu, güvenlik duvarı uyarıları, sunucu kayıtları ve bilirkişi raporları davalarda belirleyici rol oynar.
Bir başka önemli husus da fiilin mutlaka kalıcı zarar doğurmasının gerekmemesidir. Sistem bir süre sonra yeniden çalışır hale gelmiş olabilir. Buna rağmen failin müdahalesi belirli bir zaman diliminde hizmet akışını ciddi biçimde sekteye uğratmışsa suç oluşabilir. Çünkü fıkrada korunan değer, yalnızca donanımın fiziksel varlığı değil, sistemin düzenli ve güvenli biçimde çalışabilmesidir. Nitekim TCK m. 244’e ilişkin öğretide de birinci fıkrada bilişim sisteminin, ikinci fıkrada ise verilerin daha belirgin biçimde korunduğu kabul edilmektedir.
Fail bakımından özel bir nitelik aranmaz. Suçu herkes işleyebilir. Dışarıdan sisteme saldıran üçüncü kişi de fail olabilir, kurum içinde yetkili erişime sahip çalışan da bu suçun faili haline gelebilir. Örneğin işten ayrılmadan önce şirket sistemini kilitleyen personel, erişim yetkisini kötüye kullanarak altyapının çalışmasını durduran yönetici ya da teknik bilgisi sayesinde sunucuyu erişime kapatan eski çalışan bu kapsamda değerlendirilebilir. Yetkinin bulunması, her müdahaleyi otomatik olarak hukuka uygun hale getirmez. Yetkinin amacı dışında kullanılması halinde ceza sorumluluğu yine doğabilir.
Manevi unsur yönünden bu suç kasten işlenebilir. Taksirli hareket kural olarak bu madde kapsamında değerlendirilmez. Yanlış komut girilmesi, bilgisizlik nedeniyle sistemin geçici aksaması ya da teknik yetersizlikten kaynaklanan istem dışı sonuçlar her somut olayda ayrıca tartışılır. Ceza yargılamasında önemli olan, failin sistemi engellemeyi veya bozmayı bilerek ve isteyerek hareket edip etmediğinin ortaya konulmasıdır. Özellikle planlı saldırılar, art arda yapılan giriş denemeleri, koruma önlemlerini aşmaya yönelik işlemler ve eş zamanlı teknik hareketler kast bakımından kuvvetli veri oluşturabilir.
Bu suç teşebbüse de elverişlidir. Fail sistemi çökertmek amacıyla harekete geçmiş, ancak güvenlik önlemleri nedeniyle netice gerçekleşmemiş olabilir. Böyle bir durumda icra hareketlerinin hangi aşamada kaldığı ayrıca değerlendirilir. Aynı şekilde birden fazla kişi tarafından koordineli biçimde gerçekleştirilen saldırılarda iştirak hükümleri de devreye girer. Özellikle kurumsal altyapıya karşı yürütülen saldırılarda görev paylaşımı, kullanılan araçlar ve bağlantı kayıtları birlikte incelenir.
Her veri silme veya değiştirme olayı birinci fıkra kapsamında ele alınmaz. Bazen sistem çalışmaya devam eder, fakat sistem içindeki veriler hedef alınır. İşte bu halde ikinci fıkra ön plana çıkar. Birinci fıkrada esas mesele sistemin ayakta kalıp kalmadığı, işlevini yerine getirip getiremediği ve dış müdahale nedeniyle hizmet akışının ne ölçüde zarar gördüğüdür. Bu nedenle TCK m. 244/1 değerlendirmesinde odak sorusu şudur. Failin eylemi, bilişim sisteminin çalışmasını gerçekten engelledi mi ya da bozdu mu.
Mahkemelerin en çok dikkat ettiği konulardan biri, sistemin hangi bölümünün etkilendiğinin açıkça gösterilmesidir. Sadece kullanıcı şikayeti, genel bir kesinti iddiası veya soyut zarar anlatımı çoğu zaman yeterli görülmez. Hangi sunucunun, hangi ağ bileşeninin, hangi zaman aralığında ve nasıl etkilendiği teknik verilerle ortaya konulmalıdır. Bu yapılmadığında suç vasfı tartışmalı hale gelir. Çünkü ceza hukuku, varsayıma değil somut teknik bağa dayanır.
TCK m. 244/2 Kapsamında Verilere Müdahale Suçu
TCK m. 244/2, bilişim sisteminin içinde yer alan verilere yönelen müdahaleleri ayrı bir suç biçimi olarak düzenler. Maddede sayılan hareketler, verileri bozma, yok etme, değiştirme, erişilmez kılma, sisteme veri yerleştirme ve mevcut verileri başka bir yere gönderme fiilleridir. Bu fıkrada öngörülen yaptırım altı aydan üç yıla kadar hapis cezasıdır. Kanun koyucu burada sistemin genel işleyişinden çok, sistem içindeki dijital verinin bütünlüğünü, doğruluğunu ve erişilebilirliğini koruma altına alır.
Veriye müdahale suçu, çoğu zaman sistem tamamen çökmese bile oluşabilir. Bir şirketin muhasebe kayıtları silinmiş olabilir, bir e ticaret panelindeki sipariş bilgileri değiştirilmiş olabilir, kullanıcı listeleri bozulmuş olabilir ya da veri tabanı dışarıdan yapılan müdahale ile anlamsız hale getirilmiş olabilir. Sistem görünüşte çalışmaya devam etse bile veri güvenilirliğini kaybetmişse ceza hukuku bakımından ciddi bir ihlal ortaya çıkar. Çünkü bilişim dünyasında çoğu kez asıl değer, donanımın kendisinden çok sistem içinde tutulan bilgidir.
Veriyi bozma, verinin içeriğinin teknik veya işlevsel anlamda sağlıklı kullanımını engelleyen müdahaleyi ifade eder. Veri tamamen silinmeyebilir. Yine de bozulmuş olabilir. Örnek olarak kayıt satırlarının karıştırılması, belge içeriğinin anlamsız hale getirilmesi, tarih ve sayı alanlarının sistematik biçimde çarpıtılması verinin bozulması kapsamında değerlendirilebilir. Burada verinin artık amacına uygun biçimde kullanılamaması önem taşır.
Veriyi yok etme, dijital bilginin sistemden kaldırılması ya da geri getirilemeyecek ölçüde ortadan kaldırılmasıdır. Kullanıcı kayıtlarının, sipariş geçmişinin, arşiv belgelerinin, kurum içi yazışmaların veya yedek dosyaların silinmesi bu başlık altında incelenebilir. Davalarda en çok tartışılan noktalardan biri, verinin gerçekten yok edilip edilmediği ile geçici biçimde görünmez hale getirilip getirilmediğidir. Bu ayrım bilirkişi incelemesi ile netleştirilir.
Veriyi değiştirme halinde dijital bilginin içeriği fail tarafından farklılaştırılır. Mesela bir öğrencinin not kaydının değiştirilmesi, şirket alacak bilgisinin azaltılması, müşteri iletişim verilerinin başka içerikle güncellenmesi, e fatura verilerinin oynanması veya kullanıcı rol yetkilerinin değiştirilmesi bu kapsama girebilir. Burada silme değil, mevcut verinin başka bir biçime dönüştürülmesi söz konusudur. Değişiklik küçük görünse bile hukuki etkisi ağır olabilir.
Veriyi erişilmez kılma, bilginin sistemde varlığını sürdürmesine rağmen kullanıcıların o veriye ulaşamaması sonucunu doğurur. Şifreleme yoluyla dosyaların açılamaz hale getirilmesi, kullanıcı yetkilerinin kaldırılması, veri tabanına erişim yollarının kapatılması veya kayıtların görünmez hale getirilmesi bu grupta yer alabilir. Özellikle fidye yazılımı saldırılarında veriler çoğu kez silinmez. Buna rağmen meşru kullanıcı bakımından işlevsiz hale gelir. Bu nedenle erişilmez kılma fiili, dijital saldırılar bakımından oldukça önemli bir görünüm oluşturur.
Sisteme veri yerleştirme hareketi, dışarıdan yeni veri eklenmesi anlamına gelir. Bu veri zararlı yazılım kodu, yönlendirici komut, yanıltıcı kayıt, sahte kullanıcı satırı veya sistemi etkileyecek başka dijital içerik olabilir. Kanun koyucu sadece silme ve değiştirmeyi değil, sisteme dış müdahale ile yeni veri sokulmasını da suç saymıştır. Çünkü kimi olaylarda zarar, mevcut verinin silinmesinden değil, sisteme sonradan eklenen içeriğin sistem akışını bozmasından doğar.
Mevcut verileri başka bir yere gönderme fiili de ayrı bir seçimlik harekettir. Burada fail, sistem içindeki veriyi bulunduğu yerden alıp farklı bir dijital ortama aktarır. Bu aktarım her zaman klasik anlamda veri hırsızlığı görünümünde olmayabilir. Bazen kurum içi kayıtlar yetkisiz biçimde başka sunucuya yönlendirilir, bazen kullanıcı bilgileri dış depolama alanına taşınır, bazen de veri başka bir hesaba veya sisteme aktarılır. Fıkra metni, verinin sadece tahribini değil, bulunduğu çevreden koparılmasını da yaptırım altına almaktadır.
Bu seçimlik hareketlerden yalnızca birinin gerçekleşmesi suçun oluşumu için yeterlidir. Hepsinin birlikte meydana gelmesi aranmaz. Fail hem veriyi değiştirip hem erişilmez hale getirmiş olabilir. Böyle bir durumda olayın bütününe göre değerlendirme yapılır. Yine de suçun temel yapısı tek fıkra içinde düzenlenmiştir. Bu nedenle her somut olayda hangi müdahalenin esaslı olduğu, hangi neticenin meydana geldiği ve bilişim incelemesinin ne gösterdiği dikkatle ele alınmalıdır.
Davalarda en sık karşılaşılan sorunlardan biri, veriye yapılan müdahalenin kim tarafından gerçekleştirildiğinin ispatıdır. Bir IP kaydı tek başına her zaman yeterli olmaz. Aynı ağın birden fazla kişi tarafından kullanılması, cihazın ortak kullanıma açık olması, yetkili personelin parolasının başkalarınca bilinmesi veya sistemde zafiyet bulunması ihtimalleri savunmada önem taşır. Bu yüzden yalnızca erişim izi değil, zaman damgaları, kullanıcı hareket geçmişi, cihaz eşleşmesi, oturum kayıtları ve veri değişikliğinin teknik izi birlikte incelenmelidir.
Detaylı bilgi: IP Adresi Delili ve Siber Suçlarda İspat
Bir başka önemli ayrım da hukuka uygun yetki ile hukuka aykırı müdahale arasındadır. Kimi zaman çalışan, yönetici veya teknik personel sisteme erişim yetkisine sahiptir. Ne var ki bu yetki sınırsız değildir. Kendi görev alanı dışında veri silen, kayıtları değiştiren, yedekleri kaldıran ya da verileri başka ortama aktaran kişi de TCK m. 244/2 kapsamında sorumlu olabilir. Yetkinin varlığı, amaca aykırı müdahaleyi meşru hale getirmez.
Ceza hukuku bakımından esas değerlendirme, verinin bütünlüğü, doğruluğu ve erişilebilirliği üzerinde failin bilinçli bir etkisinin bulunup bulunmadığıdır. Teknik hata, yazılım arızası, bakım işlemi veya kullanıcı yanlışı nedeniyle oluşan veri kaybı her zaman suç anlamına gelmez. Kasten gerçekleştirilen ve bilişim verisi üzerinde hukuka aykırı sonuç doğuran müdahale ise bu fıkranın konusunu oluşturur. Bu yüzden TCK m. 244/2, modern dijital yapılarda sadece veri güvenliği meselesi değil, aynı zamanda ciddi bir ceza sorumluluğu alanıdır.
TCK m. 244/3 Kapsamında Nitelikli Hal
TCK m. 244/3, birinci ve ikinci fıkralarda düzenlenen fiillerin banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde cezanın artırılacağını öngörür. Kanun metnine göre bu durumda verilecek ceza yarı oranında artırılır. Böylece kanun koyucu, toplumun geniş kesimini etkileyen ve kamusal güven bakımından daha hassas kabul edilen sistemlere yönelen saldırıları daha ağır yaptırıma bağlamıştır.
Bu nitelikli halin dayanağı, korunan hukuki değerin daha geniş bir alanı etkilemesidir. Bir banka sistemine yönelen saldırı yalnızca tek bir kişinin hesabını ilgilendirmez. Para transferleri, kredi işlemleri, müşteri verileri, ödeme altyapısı ve finansal güven zinciri aynı anda risk altına girer. Aynı değerlendirme kamu kurumlarına ait bilişim sistemleri bakımından da geçerlidir. Belediyeler, üniversiteler, bakanlıklar, adli birimler, nüfus sistemleri, sosyal güvenlik altyapıları ve benzeri kurumsal yapılar, kamusal hizmetin sürekliliği bakımından özel önem taşır.
Burada dikkat edilmesi gereken ilk konu, sistemin gerçekten banka, kredi kurumu veya kamu kurumuna ait olup olmadığıdır. Her finansal şirket banka sayılmaz. Her özel şirketin kamu ile iş yapması da onu kamu kurumu haline getirmez. Bu nedenle mahkeme, bilişim sisteminin aidiyetini somut verilerle belirlemelidir. Kurumsal yapı, hizmetin niteliği, sistemin sahibi, kullanım amacı ve hukuki statü birlikte değerlendirilir. Aidiyet unsuru doğru kurulmadan nitelikli hal uygulanamaz.
Banka ve kredi kurumları bakımından risk, doğrudan ekonomik güven alanına ilişkindir. İnternet bankacılığı altyapısının kilitlenmesi, kredi değerlendirme sistemlerinin erişilemez hale getirilmesi, işlem kayıtlarının bozulması veya müşteri hareketlerinin sağlıklı biçimde yürütülememesi çok sayıda kişiyi aynı anda etkileyebilir. Bu nedenle aynı fiil özel bir şirket panelinde işlendiğinde temel hal söz konusu iken, bankaya ait sistemde işlendiğinde nitelikli hal gündeme gelebilir. Kanun koyucu artırım sebebini tam da bu kurumsal etki farkına bağlamaktadır.
Kamu kurum ve kuruluşlarına ait sistemler bakımından da benzer bir yaklaşım geçerlidir. Örnek olarak belediyenin çevrim içi başvuru altyapısının çökertilmesi, üniversite otomasyonundaki kayıtların bozulması, kamu hastanesinin randevu sisteminin erişime kapatılması veya bir kamu veri tabanındaki bilgilerin silinmesi halinde yalnızca bireysel mağduriyet doğmaz. Hizmetin aksaması, idarenin işleyişini etkiler ve kimi zaman çok sayıda vatandaşın hakkına temas eder. Artırım nedeni de bu geniş etkidir.
Davalarda tartışma yaratan başlıklardan biri, kamu hizmeti gören özel şirket altyapısının bu fıkra kapsamında sayılıp sayılmayacağıdır. Burada otomatik bir kabul yapılamaz. Sistemin doğrudan kamu kurumuna ait olması ile kamu adına teknik hizmet sunan özel bir yapıya ait olması aynı şey değildir. Olayın örgütlenme biçimi, mülkiyet ilişkisi ve sistem üzerinde kimin tasarruf yetkisi bulunduğu ayrıntılı biçimde incelenmelidir.
Bir başka önemli mesele, nitelikli halin yalnızca üçüncü fıkra kapsamında bağımsız bir suç yaratmamasıdır. Önce temel fiilin varlığı tespit edilir. Başka bir anlatımla failin gerçekten TCK m. 244/1 veya 244/2 kapsamında cezalandırılabilir bir hareket gerçekleştirdiği belirlenmelidir. Ardından bu hareketin banka, kredi kurumu veya kamu sistemine yöneldiği anlaşılırsa artırım uygulanır. Temel suç oluşmadan yalnızca sistem aidiyeti gerekçesiyle üçüncü fıkraya gidilemez.
İspat bakımından teknik kayıtlar yine merkezde yer alır. Saldırının hangi sisteme yöneldiği, etkilenen alanın kurumsal olarak nerede konumlandığı, ana sunucu ile yan hizmet altyapısının nasıl ayrıldığı ve saldırının kurumsal sistemi hangi ölçüde etkilediği açıkça gösterilmelidir. Özellikle büyük kurumlarda birden fazla alt sistem bulunduğundan, failin eyleminin hangi modüle yöneldiği ve bu modülün üçüncü fıkra kapsamında sayılıp sayılmayacağı dikkatle belirlenir.
Savunma bakımından ise aidiyet, etki alanı ve bağlantı noktası üzerinde yoğunlaşmak gerekir. Müdahalenin doğrudan banka çekirdek sistemine mi yoksa üçüncü taraf bir yazılıma mı yöneldiği, kamu kurumunun kendi sistemine mi yoksa dış hizmet sağlayıcısına mı temas ettiği, teknik etkinin kurumsal altyapıya gerçekten yansıyıp yansımadığı ayrı ayrı ele alınmalıdır. Birçok davada suç vasfı tam da bu ayrımlar üzerinden şekillenir.
TCK m. 244/3 dijital saldırının hedef aldığı sistemin niteliğine göre cezayı ağırlaştıran bir düzenlemedir. Banka, kredi kurumu ve kamu kurumlarına ait bilişim altyapıları, ekonomik güven ve kamusal hizmet sürekliliği bakımından daha hassas kabul edildiği için kanun artırım yolunu tercih etmiştir. Bu nedenle her somut olayda önce temel fiil, ardından sistemin aidiyeti, sonra da artırım şartları dikkatle incelenmelidir.
TCK m. 244/4 Kapsamında Haksız Yarar Sağlama
TCK m. 244/4, bilişim sistemine yönelik müdahalenin fail veya bir başkası lehine haksız yarar sağlaması halinde daha ağır bir yaptırım öngörür. Kanun metnine göre, yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisine veya başkasına yarar sağlamasının başka bir suç oluşturmaması halinde fail, iki yıldan altı yıla kadar hapis ve ayrıca beş bin güne kadar adli para cezası ile cezalandırılır. Bu yapı, dördüncü fıkranın yalnızca teknik müdahaleyi değil, o müdahale üzerinden elde edilen menfaati de ceza hukuku bakımından özel olarak değerlendirdiğini gösterir.
Buradaki temel mesele, sırf sisteme zarar verilmesi değildir. Fail, bilişim sistemine veya sistemdeki verilere hukuka aykırı şekilde müdahale ederek kendisi ya da bir başka kişi lehine ekonomik veya fiili bir çıkar elde etmektedir. Başka bir anlatımla dijital saldırı, sadece bozucu etki doğurmakla kalmaz, aynı zamanda menfaat üretir. Kanun koyucunun daha ağır yaptırım öngörmesinin sebebi de budur.
Haksız yarar kavramı geniş yorumlanmaya elverişlidir. Menfaat her zaman doğrudan nakit para şeklinde ortaya çıkmaz. Oyun hesabındaki dijital varlıkların kendi hesaba aktarılması, ücretli üyelik imkanının bedelsiz kullanıma açılması, başkasına ait e ticaret hesabından ürün veya puan elde edilmesi, kurumsal sisteme müdahale ile alacak kaydının değiştirilmesi, çevrim içi hizmetlerden ücretsiz faydalanılması veya sanal malvarlığı üzerinde fiili hakimiyet kurulması da yarar kapsamında değerlendirilebilir. Yararın maddi bir değer doğurması çoğu olayda önem taşır.
Davalarda en çok rastlanan örneklerden biri, başka kişiye ait oyun hesabına ya da dijital platform hesabına erişilerek oradaki öğelerin, bakiyelerin veya kullanım haklarının başka hesaba aktarılmasıdır. Bu tür olaylarda klasik hırsızlık hükümlerinin mi, yoksa TCK m. 244/4’ün mü uygulanacağı sıkça tartışılır. Yargı pratiğinde, bilişim sistemi ve veri üzerinde gerçekleştirilen müdahale sayesinde yarar sağlanmışsa, olayın dijital yapısına uygun düşen suç vasfının ayrıca değerlendirilmesi gerekir. Özellikle fiziksel bir eşyanın alınmasından çok, sistemsel müdahale ile menfaat üretildiği dosyalarda dördüncü fıkra önem kazanır.
Bir başka örnek, kurumsal paneldeki kayıtların değiştirilmesi suretiyle fail lehine borç düşürülmesi ya da hak tanımlanmasıdır. Mesela üyelik sisteminde premium erişim tanımlanması, muhasebe verisinde borcun azaltılması, sadakat puanlarının başka hesaba aktarılması veya ödeme altyapısında bakiye doğuran veri değişikliği yapılması halinde, veriye yönelen müdahale doğrudan menfaat sonucuna bağlanabilir. Bu gibi olaylarda mahkemenin üzerinde duracağı ana konu, teknik hareket ile elde edilen yarar arasında açık bir nedensellik bağının bulunup bulunmadığıdır.
Dördüncü fıkranın metninde yer alan başka bir suç oluşturmaması halinde ibaresi özel önem taşır. Çünkü kimi olaylarda aynı fiil, dolandırıcılık, banka veya kredi kartlarının kötüye kullanılması, hırsızlık ya da başka bir malvarlığı suçuyla daha doğrudan örtüşebilir. Böyle durumlarda hangi suç tipinin öncelikle uygulanacağı, normlar arası ilişki dikkate alınarak belirlenir. Bu nedenle TCK m. 244/4 her olayda otomatik uygulanmaz. Önce müdahalenin başka bir özel suç tipine daha isabetli biçimde uyup uymadığı incelenir.
İspat bakımından yalnızca sistem müdahalesini göstermek yetmez. Savcılık veya katılan taraf, elde edilen yararı da ortaya koymalıdır. Failin hesabına geçen dijital varlık, transfer edilen bakiye, aktive edilen kullanım hakkı, silinen borç kaydı, kazanılan puan, ücretsiz hale gelen hizmet veya üçüncü kişiye sağlanan çıkar somut biçimde gösterilmelidir. Menfaat unsuru soyut bırakılırsa dördüncü fıkra yönünden eksik değerlendirme yapılmış olur. Teknik rapor ile ekonomik sonucun birlikte okunması gerekir.
Savunma tarafında ise menfaat unsurunun varlığı ve kapsamı çoğu kez tartışma konusudur. Müdahale gerçekleşmiş olsa bile failin fiilen bir yarar elde etmediği, sistemsel hareketin sonuç doğurmadığı, dijital öğenin ekonomik değer taşımadığı, aktarımın fail tarafından değil üçüncü kişi tarafından kullanıldığı veya hesap hareketlerinin başka nedenden kaynaklandığı ileri sürülebilir. Özellikle dijital oyun, sanal eşya, platform üyeliği ve çevrim içi hizmet dosyalarında menfaatin hukuki niteliği dikkatle değerlendirilmelidir.
Yetkili erişime sahip kişi bakımından da aynı fıkra devreye girebilir. Şirket çalışanının, sahip olduğu kullanıcı yetkisini aşarak kendi lehine veri değişikliği yapması, kayıtları kendisine fayda sağlayacak şekilde oynaması veya bir başkasına çıkar sağlaması halinde ceza sorumluluğu doğabilir. Burada belirleyici olan, sisteme giriş izninin bulunması değil, o yetkinin hukuka aykırı menfaat elde etmek amacıyla kullanılmasıdır.
TCK m. 244/4 yalnızca dijital saldırının zarar verici yönünü değil, o saldırı üzerinden yaratılan haksız menfaati de cezalandırır. Bir bilişim sistemine girilip veriler değiştirilmiş, sistemsel kayıtlar oynanmış ya da dijital varlık başka hesaba aktarılmış ve bunun sonucunda fail lehine çıkar doğmuşsa, olay artık daha ağır bir ceza tehdidi altında değerlendirilir. Bu sebeple bu fıkrada teknik müdahale ile ekonomik sonucun birlikte ispatı büyük önem taşır.
TCK m. 244 Davalarında Savunma
TCK m. 244 davasında savunma, yalnızca teknik bir inkar metni kurmaktan ibaret değildir. Bu suç tipinde sağlıklı savunma, isnat edilen fiilin hangi fıkraya dayandırıldığını, iddia edilen müdahalenin sisteme mi yoksa veriye mi yöneldiğini, eldeki dijital delillerin fail ile gerçekten bağ kurup kurmadığını ve iddia edilen sonucun sanığın hareketinden doğup doğmadığını birlikte incelemeyi gerektirir. Çünkü TCK m. 244 davalarında mahkumiyet değerlendirmesi çoğu kez klasik tanık anlatımından çok, log kayıtları, IP verileri, cihaz incelemeleri, kullanıcı hareket geçmişi ve bilirkişi raporları üzerinden şekillenir.
İlk savunma hattı, suç vasfının doğru belirlenip belirlenmediği meselesidir. Her yetkisiz erişim, sistem bozma suçu değildir. Her teknik aksama da doğrudan sanığın sisteme zarar verdiğini göstermez. Bir kişi sisteme girmiş olabilir, ancak sistemin işleyişi hiç etkilenmemiş olabilir. Bir başka olayda ise sistemde kesinti yaşanmış olsa da bunun nedeni dış müdahale değil, yazılım hatası, bakım işlemi, yoğun trafik, yetkili personel müdahalesi veya altyapı zafiyeti olabilir. Bu nedenle savunmada önce iddianın sınırı netleştirilmelidir. Sanığa isnat edilen hareket, sisteme girme mi, sistemi engelleme mi, veriyi değiştirme mi, yoksa menfaat sağlama amacı taşıyan daha ağır bir görünüm mü sorusuna açık cevap verilmeden sağlıklı hüküm kurulamaz.
Suçun maddi unsurunun ispatı da önemlidir. TCK m. 244 kapsamında mahkumiyet için bilişim sisteminin işleyişinin engellendiği veya bozulduğu ya da sistemdeki verilerin bozulduğu, yok edildiği, değiştirildiği, erişilmez hale getirildiği, sisteme veri yerleştirildiği veya mevcut verilerin başka yere gönderildiği somut biçimde ortaya konulmalıdır. Savunma bakımından önem taşıyan nokta ise iddia edilen teknik sonucun gerçekten meydana gelip gelmediğidir. Kimi davalarda yalnızca kullanıcı şikayeti bulunur. Kimi davalarda kurum tarafı genel bir kesintiden söz eder, ancak kesintinin kapsamı, süresi ve teknik nedeni net değildir. Böyle dosyalarda savunma, zararın soyut anlatımla değil, teknik veri ile kanıtlanması gerektiğini vurgulamalıdır.
Failin tespiti de çoğu zaman tartışmanın merkezindedir. IP adresi, tek başına her zaman yeterli delil niteliği taşımaz. Aynı ağın birden fazla kişi tarafından kullanılması mümkündür. Ortak ofis bağlantısı, kurumsal ağ, paylaşımlı modem, açık kablosuz erişim, uzaktan bağlantı programları veya VPN kullanımı fail belirlemesini güçleştirebilir. Aynı şekilde cihazın sanığa ait olması da her zaman fiilin onun tarafından işlendiğini göstermez. Cihaz başkalarının kullanımına açık olabilir. Parola paylaşılmış olabilir. Uzak masaüstü erişimi mevcut olabilir. Savunma, teknik iz ile fiili kullanıcı arasındaki mesafenin kapatılmasını talep etmelidir.
Davalarda sık görülen bir başka eksiklik, zaman çizelgesinin kurulmamış olmasıdır. Dijital suç isnadında saat, dakika ve oturum akışı büyük önem taşır. Sanığın sisteme bağlandığı iddia edilen an ile sistemde bozulmanın meydana geldiği an birbiriyle örtüşmüyorsa nedensellik bağı zayıflar. Bunun yanında erişim kaydı bulunmasına rağmen veri değişikliğinin daha erken ya da daha geç gerçekleştiği anlaşılırsa, savunma yönünden ciddi şüphe doğar. Bu sebeple teknik raporların sadece sonuç kısmı değil, zaman damgaları ve işlem adımları ayrıntılı biçimde incelenmelidir.
Kast unsuru bakımından da dikkatli bir değerlendirme gerekir. TCK m. 244 kasten işlenebilen bir suçtur. Sanığın bilerek ve isteyerek sistemi engelleme, bozma veya veriye müdahale etme iradesi ortaya konulmadan cezai sorumluluk kurulamaz. Yanlış komut verilmesi, teknik bilgisizlik, sistem yönetiminde hata, bakım sırasında yapılan yanlış işlem veya kullanıcı kaynaklı istem dışı neticeler her olayda aynı hukuki sonuca götürmez. Savunma, müdahalenin bilinçli ve amaçlı bir saldırı mı, yoksa teknik hatadan kaynaklanan bir problem mi olduğunu ayırmalıdır.
Yetkili kullanıcıların yer aldığı davalarda savunma daha da incelikli hale gelir. Çünkü sanığın sisteme giriş yetkisi bulunabilir. Ne var ki yetkinin varlığı tek başına beraat sebebi değildir. Yetkinin amacına aykırı kullanılıp kullanılmadığı ayrıca incelenir. Buna karşılık sırf sistem yöneticisi, çalışan, yazılım sorumlusu veya eski personel olmak da tek başına suçun işlendiğini göstermez. Bir personelin erişim yetkisine sahip olması, meydana gelen her teknik arızadan onun sorumlu tutulabileceği anlamına gelmez. Bu tür davalarda savunma, görev tanımı, yetki kapsamı, işlem geçmişi ve kurumsal onay zinciri üzerinden kurulmalıdır.
Bilirkişi raporu, TCK m. 244 davasının omurgası haline gelebilir. Bu nedenle savunmanın en önemli araçlarından biri, raporun yöntemini ve yeterliliğini denetlemektir. Rapor hangi veriye dayanıyor, ham kayıtlar incelenmiş mi, imaj alma işlemi usule uygun yapılmış mı, cihaz bütünlüğü korunmuş mu, alternatif senaryolar değerlendirilmiş mi, birden fazla kullanıcı ihtimali dışlanmış mı, müdahalenin sistem üzerinde ne tür etki doğurduğu teknik olarak açıklanmış mı soruları mutlaka sorulmalıdır. Eksik, varsayıma dayalı veya yalnızca kurum beyanını tekrar eden raporlarla mahkumiyet kurulması isabetli olmaz.
Delilin hukuka uygun elde edilmesi de savunmanın ayrı bir eksenidir. Dijital materyale el koyma, cihaz incelemesi, şirket içi kayıtların sunulması, e-posta ve kullanıcı hareketlerinin toplanması sırasında usule aykırılık bulunup bulunmadığı araştırılmalıdır. Özellikle imaj alma işlemi yapılmadan cihazın doğrudan incelenmesi, kayıtların zincirleme koruma altında tutulmaması, log verilerinin sonradan değiştirilme ihtimalinin dışlanmaması veya kimin ne zaman hangi veriye eriştiğinin belirsiz kalması halinde savunma tarafı ciddi itirazlar geliştirebilir.
TCK m. 244/3 bakımından savunmada üzerinde durulması gereken konu, sistemin aidiyetidir. İddia edilen sistem gerçekten banka, kredi kurumu veya kamu kurumuna mı aittir, yoksa özel şirkete ait yan bir altyapı mıdır sorusu netleştirilmelidir. Kamu ile çalışan her özel şirket altyapısı doğrudan kamu sistemi sayılmaz. Aynı şekilde finans alanında faaliyet gösteren her ticari yapı da banka veya kredi kurumu niteliği taşımaz. Nitelikli halin uygulanabilmesi için sistem aidiyetinin somut olarak ispatı gerekir.
TCK m. 244/4 yönünden savunma ise daha farklı bir dikkat ister. Burada yalnızca sisteme veya veriye müdahale değil, ayrıca haksız yarar sağlanması da aranır. Savunma tarafı, elde edildiği ileri sürülen yararın gerçekten doğup doğmadığını, ekonomik değer taşıyıp taşımadığını, sanıkla irtibatını ve başka bir suç tipinin öncelikle uygulanıp uygulanmayacağını tartışmalıdır. Menfaat unsuru soyut bırakılmışsa, yalnızca varsayım üzerinden daha ağır yaptırıma gidilemez.
Birçok davada illiyet bağı en kritik noktadır. Sistem çökmüş olabilir. Veri silinmiş olabilir. Kullanıcı erişimi kesilmiş olabilir. Yine de bütün bunların sanığın eyleminden doğduğunun teknik olarak kanıtlanması gerekir. Sistem zaten saldırıya açık olabilir. İç ağda başka kullanıcılar işlem yapmış olabilir. Otomatik güncelleme veya hata zinciri aynı sonuca yol açmış olabilir. Savunmada amaç, mahkemeye sadece ihtimali değil, makul şüpheyi gösterebilmektir. Ceza yargılamasında bu şüphe giderilmeden mahkumiyet kurulamaz.
İştirak iddiası bulunan dosyalarda da benzer hassasiyet gerekir. Birden fazla kişi aynı ağda bulunabilir. Bir kişi erişimi sağlamış, başka biri komutu vermiş, üçüncü kişi veriyi taşımış olabilir iddiası ileri sürülebilir. Böyle durumlarda her sanığın fiili katkısı ayrı ayrı belirlenmeden genel ve toplu sorumluluk yaklaşımı benimsenemez. Savunma, her sanık yönünden bireyselleştirilmiş delil aramalıdır.
Dava pratiğinde etkili savunma çoğu kez üç ayak üzerinde yükselir. Birincisi, teknik sonucun gerçekten oluşup oluşmadığını sorgulamak gerekir. İkincisi, bu sonucun sanığın hareketinden doğduğunu ispat yükünü hatırlatmak gerekir. Üçüncüsü, iddia edilen fiilin doğru fıkra ve doğru suç tipi içinde değerlendirilmesini sağlamak gerekir. Bu üç alan birlikte çalışıldığında savunma sadece inkar çizgisinde kalmaz, dosyanın maddi temelini doğrudan tartışan güçlü bir yapıya kavuşur.
Son değerlendirmede, TCK m. 244 davasında savunma teknik rapor okumayı bilen, bilişim delil zincirini sorgulayan, suçun maddi ve manevi unsurlarını ayrı ayrı inceleyen ve her fıkra bakımından farklı hukuki sonuçlar doğduğunu gören bir yaklaşım gerektirir. Sadece sisteme giriş iddiası ile sistem bozma suçu kurulamaz. Sadece teknik aksama ile fail belirlenemez. Sadece kullanıcı kaydı ile kast ispatlanamaz. Bu nedenle TCK m. 244 davalarında başarılı savunma, hem ceza hukuku bilgisini hem de dijital inceleme disiplinini aynı dosyada buluşturabilen dikkatli bir çalışma ister.
Av. Ramazan Sertan Safsöz
Not: Bu makale yalnızca bilgilendirme amacı taşımakta olup, somut davalar için alanında uzman bir avukattan profesyonel destek alınmalıdır.
