Siber suç soruşturmalarında failin tespiti, klasik ceza soruşturmalarına kıyasla çok daha karmaşık bir yapı arz etmektedir. Fiziksel mekân, yüz yüze temas veya doğrudan tanık anlatımı çoğu zaman mevcut değildir. Bu nedenle dijital izler, özellikle de IP adresi delili, soruşturmanın merkezine yerleşmektedir.
Uygulamada IP adresi çoğu zaman “faili gösteren kesin delil” olarak algılanmakta; hatta IP adresinin bir kişiye ait olması, doğrudan o kişinin suçu işlediği varsayımıyla değerlendirmeye alınabilmektedir. Ancak teknik ve hukuki açıdan bu yaklaşım ciddi sorunlar barındırmaktadır. Zira IP adresi, bir kişiyi değil, belirli bir zaman diliminde kullanılan bir internet bağlantısını göstermektedir.
Statik veya dinamik IP kullanımı, CGNAT altyapısı, port bilgisi eksikliği, ortak internet erişimi, VPN veya proxy servisleri gibi pek çok teknik unsur, IP adresi delilinin güvenilirliğini ve ispat gücünü doğrudan etkilemektedir. Bu durum, IP adresinin tek başına mahkûmiyet için yeterli olup olmadığı sorusunu ceza yargılamasının en tartışmalı başlıklarından biri hâline getirmiştir.
IP Adresi Nedir?
IP adresi, internet üzerindeki cihazların birbirleriyle iletişim kurabilmesini sağlayan sayısal bir tanımlayıcıdır. Ancak uygulamada sıklıkla zannedildiğinin aksine IP adresi, bir kişiyi veya kullanıcıyı doğrudan tanımlayan bir kimlik bilgisi değildir. IP adresi, belirli bir anda bir internet bağlantısına tahsis edilen teknik bir bağlantı bilgisidir.
IP adresi, “kimin yaptığı” sorusundan ziyade “hangi bağlantı üzerinden yapıldığı” sorusuna cevap verir. Ceza soruşturmalarında yaşanan temel sorunlardan biri de bu ayrımın göz ardı edilmesidir. IP adresinin bir aboneye ait olması, o bağlantının o anda kim tarafından kullanıldığını kesin olarak ortaya koymaz.
IPv4 ve IPv6 Ayrımı
IP adresleri teknik olarak iki ana gruba ayrılır: IPv4 ve IPv6. IPv4, uzun yıllar boyunca kullanılan ve dört sayı grubundan oluşan klasik IP yapısını ifade eder. Ancak IPv4 adreslerinin sınırlı olması nedeniyle, günümüzde IPv6 sistemine geçiş hızlanmıştır.
IPv6 adresleri çok daha geniş bir adres havuzuna sahiptir ve teknik olarak daha ayrıntılı bağlantı bilgisi sunar. Buna rağmen, ceza soruşturmalarında halen büyük ölçüde IPv4 kayıtları üzerinden işlem yapılmaktadır. Bu durum, özellikle CGNAT gibi altyapıların yaygınlaşmasıyla birlikte IP adresi delilinin yorumlanmasını daha da karmaşık hâle getirmektedir.
Statik, Dinamik IP Kavramı
IP adresleri kullanım şekillerine göre statik ve dinamik olmak üzere ikiye ayrılır. Bu ayrım, IP adresi delilinin ispat gücünü doğrudan etkileyen en önemli teknik unsurlardan biridir. Uygulamada çoğu zaman bu fark göz ardı edilmekte ve her IP adresi aynı hukuki ağırlıkla değerlendirilmektedir.
Statik IP, internet servis sağlayıcısı tarafından bir aboneye sürekli olarak tahsis edilen ve değişmeyen IP adresidir. Bu IP türünde, bağlantı her kurulduğunda aynı IP adresi kullanılmaya devam eder. Statik IP’ler genellikle kurumsal aboneliklerde, sunucu hizmetlerinde veya özel talep üzerine bireysel aboneliklerde tercih edilmektedir.
Ceza soruşturmaları bakımından statik IP adresi, bağlantının hangi aboneliğe ait olduğunu tespit etme açısından görece daha güçlü bir teknik veri sunar. Ancak bu durum, statik IP adresinin tek başına failin kimliğini kesin olarak ortaya koyduğu anlamına gelmez. Zira statik IP kullanılan bir bağlantı da birden fazla kişi tarafından paylaşılabilir veya yetkisiz kullanım ihtimali her zaman mevcuttur.
Dinamik IP ise, internet bağlantısı her kurulduğunda veya belirli periyotlarla değişen IP adresini ifade eder. Bu sistemde aynı IP adresi, farklı zaman dilimlerinde farklı abonelere tahsis edilebilir. Türkiye’de bireysel internet aboneliklerinin büyük çoğunluğu dinamik IP sistemiyle çalışmaktadır.
Dinamik IP kullanılan durumlarda, IP adresi tek başına anlamlı bir delil teşkil etmez. Sağlıklı bir tespit yapılabilmesi için tarih, saat, dakika ve hatta saniye bilgisinin eksiksiz ve doğru şekilde belirlenmesi gerekir. Aksi hâlde aynı IP adresi üzerinden farklı kişilere ait bağlantıların karıştırılması riski ortaya çıkar.
Uygulamada en sık karşılaşılan sorunlardan biri, IP adresi bilgisi mevcut olmasına rağmen zaman damgasının eksik veya hatalı olmasıdır. Özellikle saat dilimi farklılıkları, yaz saati uygulamaları ve sistem saatlerinin senkronize olmaması, dinamik IP tespitlerinde ciddi yanılgılara yol açabilmektedir.
Bu nedenle dinamik IP adresine dayalı isnatlarda, yalnızca IP bilgisinin değil; bağlantının gerçekleştiği zaman aralığı, internet servis sağlayıcısının kayıt sistemi, logların bütünlüğü ve teknik olarak doğrulanabilir olması birlikte değerlendirilmelidir. Aksi hâlde IP adresi delili, isnadı güçlendirmek yerine zayıflatan bir unsur hâline gelebilir.
NAT IP Kavramı (Network Address Translation)
NAT IP (Network Address Translation), birden fazla cihazın veya kullanıcının internete tek bir genel IP adresi üzerinden çıkmasını sağlayan ağ teknolojisini ifade eder. Bu sistemde, iç ağda yer alan özel IP adresleri (private IP) dış dünyaya doğrudan yansıtılmaz; bunun yerine internet servis sağlayıcısı tarafından tahsis edilen genel IP adresi kullanılır.
NAT yapısında, aynı genel IP adresi arkasında çok sayıda kullanıcı veya cihaz bulunabilir. Bu durum, IP adresinin doğrudan belirli bir kişiyi veya cihazı işaret etmesini teknik olarak imkânsız hâle getirir. Ceza soruşturmalarında yaşanan en önemli sorunlardan biri, NAT altyapısı kullanılan bağlantılarda IP adresinin hatalı biçimde “kişisel kimlik” gibi değerlendirilmesidir.
Özellikle ev ve iş yeri ağlarında kullanılan modemler ile kurumsal ağ altyapılarında NAT sistemi yaygın olarak kullanılmaktadır. Bu tür bağlantılarda, dış dünyaya yansıyan IP adresi ağın tamamını temsil eder; ağ içindeki bireysel kullanıcıları ayırt etmez.
NAT IP kullanılan senaryolarda sağlıklı bir tespit yapılabilmesi için yalnızca genel IP adresi yeterli değildir. İç ağdaki cihazlara ilişkin bağlantı kayıtları, erişim zamanları, kullanıcı oturum bilgileri ve mümkünse port eşleştirmeleri birlikte değerlendirilmelidir. Aksi hâlde IP adresi, yalnızca bağlantının hangi ağdan çıktığını gösteren sınırlı bir veri olarak kalır.
Bu nedenle NAT IP altyapısının bulunduğu dosyalarda, IP adresine dayalı isnatların daha ihtiyatlı ele alınması gerekir. NAT sistemi, IP adresi delilinin ispat gücünü doğrudan etkileyen teknik bir unsur olup, fail tespitinde destekleyici delillerin önemini artırır.
IP Adresi Delilinin Hukuki Niteliği
IP adresi delili, ceza yargılamasında klasik maddi delillerden farklı olarak teknik ve dijital bir nitelik taşır. Bu nedenle IP adresinin hukuki değerlendirmesi yapılırken yalnızca ceza hukuku kuralları değil, aynı zamanda kişisel verilerin korunması, haberleşmenin gizliliği ve dijital delil hukuku ilkeleri birlikte dikkate alınmalıdır.
Gerek Avrupa Birliği uygulaması gerekse Türk hukukunda hâkim görüş, belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilebilen IP adreslerinin kişisel veri niteliği taşıdığı yönündedir. Bu durum, IP adresine ilişkin bilgilerin elde edilmesi ve kullanılması sürecinde hukuka uygunluk denetimini zorunlu kılmaktadır.
Ceza soruşturmalarında IP adresi genellikle internet servis sağlayıcıları veya dijital platformlardan temin edilen log kayıtları aracılığıyla elde edilmektedir. Bu kayıtlar, doğrudan suçun işlendiğini değil; belirli bir zamanda belirli bir bağlantı üzerinden bir işlem gerçekleştirildiğini göstermektedir. Dolayısıyla IP adresi delili, çoğu durumda dolaylı delil niteliği taşır.
Ceza Muhakemesi Kanunu çerçevesinde dijital veriler, hukuka uygun şekilde elde edilmek ve denetlenebilir olmak kaydıyla delil olarak kabul edilebilir. Ancak IP adresi gibi teknik veriler bakımından en önemli ölçüt, delilin elde edilme sürecinin şeffaflığı ve doğrulanabilmesidir. Hukuka aykırı şekilde elde edilen IP kayıtlarının, maddi gerçeğe ulaşmaya hizmet etse dahi hükme esas alınması mümkün değildir.
IP adresi delilinin hukuki niteliği değerlendirilirken göz önünde bulundurulması gereken bir diğer husus da ispat gücü meselesidir. IP adresi, tek başına suçun faili konusunda kesin bir kanaat oluşturmaz. Bu nedenle mahkûmiyet kararlarının yalnızca IP adresi tespitine dayandırılması, masumiyet karinesi ve şüpheden sanık yararlanır ilkesi bakımından ciddi sakıncalar doğurabilir.
Uygulamada mahkemelerin ve Yargıtay’ın yaklaşımı da bu yöndedir. IP adresi, fail tespitinde önemli bir başlangıç verisi olarak kabul edilmekte; ancak çoğunlukla başka delillerle desteklenmesi aranmaktadır. IP adresinin hangi altyapı üzerinden kullanıldığı, bağlantının kim tarafından ve hangi cihazla gerçekleştirildiği gibi hususlar, hukuki değerlendirmede belirleyici rol oynamaktadır.
IP adresi delili, ceza yargılamasında ne mutlak bir ispat aracı ne de başlı başına değersiz bir veridir. Hukuki niteliği, elde ediliş şekli ve destekleyici delillerle birlikte değerlendirilmesi gereken, teknik özellikleri ağır basan bir dijital delil türüdür.
IP Tespiti Nasıl Yapılır?
IP adresi tespiti, siber suç soruşturmalarının en kritik aşamalarından biridir. Bu tespit süreci çoğu zaman tek bir kaynağa dayanmaz; farklı kurum ve platformlardan elde edilen teknik kayıtların birlikte değerlendirilmesini gerektirir. Yanlış veya eksik yapılan IP tespitleri, soruşturmanın yönünü tamamen değiştirebilecek niteliktedir.
Uygulamada IP adresi bilgisi genellikle üç ana kaynaktan temin edilmektedir: internet servis sağlayıcıları, dijital platformlar ve kurum içi sistem kayıtları. Her bir kaynağın sunduğu verinin kapsamı ve güvenilirliği farklıdır.
İnternet Servis Sağlayıcı (ISS) Kayıtları
İnternet servis sağlayıcıları, abonelere tahsis edilen IP adreslerine ilişkin bağlantı kayıtlarını belirli sürelerle saklamakla yükümlüdür. Bu kayıtlar üzerinden, belirli bir IP adresinin belirli bir tarih ve saatte hangi aboneye tahsis edildiği tespit edilebilir.
ISS kayıtlarının sağlıklı şekilde değerlendirilebilmesi için müzekkere içeriklerinin teknik açıdan doğru hazırlanması gerekir. Sadece IP adresinin sorulması çoğu zaman yeterli değildir. Dinamik IP veya CGNAT altyapısı kullanılan durumlarda; tarih, saat, dakika, saniye ve port bilgisi birlikte talep edilmelidir.
Dijital Platform ve Uygulama Logları
Sosyal medya platformları, e-posta servisleri, mesajlaşma uygulamaları ve e-ticaret siteleri, kullanıcı hareketlerine ilişkin çeşitli log kayıtları tutmaktadır. Bu loglar genellikle IP adresi, oturum bilgisi, giriş-çıkış zamanları ve kullanılan cihaz türü gibi verileri içermektedir.
Bu platformlardan elde edilen IP kayıtları çoğu zaman yurt dışı kaynaklıdır. Bu nedenle adli istinabe süreçleri, veri saklama süreleri ve platformların iç politikaları IP tespitinin kapsamını doğrudan etkilemektedir. Ayrıca platform loglarının hangi saat dilimine göre tutulduğu mutlaka denetlenmelidir. Bu platformların Türk yargı makamları ile bilgi paylaşmaktan kaçındığı hususu da gözden kaçırılmamalıdır.
Kurum İçi Sistem ve Ağ Kayıtları
Şirket ağları, kamu kurumları veya özel sistemler üzerinden gerçekleştirilen eylemlerde, IP tespiti kurum içi log kayıtları üzerinden yapılabilir. Güvenlik duvarı (firewall), proxy ve erişim kayıtları bu noktada önem taşır.
Bu tür kayıtların delil değeri, kayıtların ne şekilde tutulduğuna ve sonradan değiştirilip değiştirilemeyeceğine bağlıdır. Logların düzenli tutulması, değiştirilemez nitelikte olması ve bilirkişi incelemesine elverişli şekilde sunulması gerekir.
Zaman Damgası, Saat Dilimi ve En Sık Hata Noktaları
IP adresi delilinin sağlıklı biçimde değerlendirilebilmesi, büyük ölçüde zaman bilgisine bağlıdır. Özellikle dinamik IP ve CGNAT altyapılarında, doğru tarih ve saat bilgisi olmaksızın yapılan IP tespitleri ciddi hatalara yol açabilir. Bu nedenle zaman damgası, IP adresi delilinin ispat gücünü belirleyen temel unsurlardan biridir.
Zaman damgası, bir dijital işlemin hangi tarih ve saatte gerçekleştiğini gösteren teknik kaydı ifade eder. IP adresi tek başına bir bağlantıyı işaret ederken, zaman damgası bu bağlantının hangi an itibarıyla kullanıldığını ortaya koyar. Dakika ve saniye düzeyindeki küçük sapmalar dahi, farklı abonelere ait bağlantıların aynı IP üzerinden ilişkilendirilmesine neden olabilir.
Saat Dilimi Uyuşmazlıkları
Uygulamada en sık karşılaşılan sorunlardan biri, farklı sistemlerin farklı saat dilimlerine göre kayıt tutmasıdır. İnternet servis sağlayıcıları, dijital platformlar ve kurum içi sistemler; UTC, GMT veya yerel saat dilimine göre log kaydı oluşturabilmektedir.
Bu durum özellikle yurt dışı merkezli platformlardan temin edilen IP kayıtlarında belirgin hâle gelir. Log kayıtlarında yer alan saat bilgisinin Türkiye saatine çevrilmeden değerlendirilmesi, zaman uyumsuzluklarına ve hatalı isnatlara yol açabilmektedir.
Yaz Saati Uygulaması ve Sistem Saatleri
Yaz saati uygulamaları ve sistem saatlerinin manuel olarak ayarlanmış olması da IP tespitlerinde göz ardı edilen önemli risk alanlarıdır. Farklı tarihlerde uygulanan saat değişiklikleri, geriye dönük incelemelerde zaman kaymasının fark edilmesini zorlaştırmaktadır.
Ayrıca bazı sistemlerde cihaz saatinin kullanıcı tarafından değiştirilmiş olması, log kayıtlarının gerçek zamanla örtüşmemesine neden olabilir. Bu tür durumlarda IP adresi ile zaman bilgisi arasında teknik uyumsuzluklar ortaya çıkar.
Eksik veya Yuvarlatılmış Zaman Bilgisi
IP tespitine ilişkin müzekkerelerde yalnızca tarih ve saat bilgisinin talep edilmesi, çoğu zaman yeterli değildir. Dakika ve saniye bilgisi bulunmayan kayıtlar, özellikle yoğun internet trafiğinin olduğu altyapılarda sağlıklı bir eşleştirme yapılmasını engeller.
Zaman bilgisinin yuvarlatılmış veya eksik sunulması, aynı IP adresinin farklı kullanıcılar tarafından art arda kullanıldığı senaryolarda yanlış sonuçlara yol açabilir. Bu nedenle IP adresi deliline dayalı isnatlarda, zaman bilgisinin hassasiyet düzeyi mutlaka sorgulanmalıdır.
Zaman damgasına ilişkin bu teknik ayrıntılar dikkate alınmadan yapılan IP değerlendirmeleri, delilin güvenilirliğini zayıflatır ve ispat sürecinde telafisi güç sorunlar doğurur. Bu nedenle zaman bilgisi, IP adresi kadar dikkatle ele alınması gereken bir unsurdur.
Ortak Kullanım Senaryoları
IP adresi delilinin ispat gücünü zayıflatan başlıca faktörlerden biri, internet bağlantısının birden fazla kişi tarafından ortak şekilde kullanılmasıdır. Ortak kullanım senaryolarında IP adresi, belirli bir kişiyi değil; aynı bağlantıya erişimi bulunan kişi grubunu işaret eder. Bu durum, failin kimliğinin tespitini teknik ve hukuki açıdan zorlaştırır.
Uygulamada ortak kullanım senaryoları çoğu zaman yeterince araştırılmadan, IP adresinin aboneye ait olması üzerinden doğrudan isnat kurulmaktadır. Oysa bu tür bağlantılarda IP adresi, ancak destekleyici delillerle birlikte değerlendirildiğinde anlam kazanır.
Ev ve İş Yeri İnternet Bağlantıları
Ev ve iş yerlerinde kullanılan internet bağlantıları, genellikle birden fazla kişinin erişimine açıktır. Aynı modem üzerinden aile bireyleri, çalışanlar veya misafirler internete bağlanabilir. Bu durumda IP adresinin bir kişiye ait abonelik üzerinde görünmesi, eylemin mutlaka o kişi tarafından gerçekleştirildiğini göstermeye yetmez.
Özellikle modem güvenliği, şifre paylaşımı ve kablosuz ağ erişim kontrolleri bu noktada önem taşır. Zayıf şifreleme veya açık ağ kullanımı, bağlantının üçüncü kişiler tarafından izinsiz şekilde kullanılmasına imkân tanıyabilir.
Toplu Kullanım Alanları
Yurt, otel, internet kafe, kütüphane ve benzeri alanlarda kullanılan internet bağlantıları, IP adresi delilinin en problemli olduğu senaryolar arasındadır. Bu tür ortamlarda çok sayıda kullanıcı aynı ağ üzerinden internete çıkmakta ve IP adresi paylaşılmaktadır.
Bu tür dosyalarda IP adresi tespiti yapılırken, bağlantının hangi kullanıcıya ait olduğunu ortaya koyabilecek ek veriler aranmalıdır. Aksi hâlde yalnızca IP adresine dayalı değerlendirme, hatalı isnat riskini ciddi şekilde artırır.
Kurumsal Ağlar ve VPN Çıkışları
Şirketler ve kamu kurumları çoğu zaman merkezi bir ağ altyapısı kullanır. Bu tür yapılarda, dış dünyaya tek bir IP adresi üzerinden çıkış yapılması yaygındır. Ayrıca uzaktan erişim amacıyla kullanılan VPN sistemleri, kullanıcı trafiğini tek bir çıkış noktasında toplar.
Bu senaryolarda IP adresi, kurumu veya ağı işaret eder; bireysel kullanıcıyı doğrudan göstermez. Kullanıcı bazlı log kayıtları, oturum bilgileri ve erişim zamanları incelenmeden yapılan IP tespitleri eksik kalır.
NCMEC Raporları ile Ortak Kullanım Sorunu
Özellikle çevrim içi çocuk istismarı içeriklerine ilişkin soruşturmalarda, IP adresi tespiti sıklıkla NCMEC (National Center for Missing and Exploited Children) raporları üzerinden başlatılmaktadır. NCMEC tarafından iletilen bildirimlerde genellikle IP adresi ve zaman bilgisi yer almakta; ancak bu bilgiler, bağlantının kim tarafından kullanıldığını tek başına ortaya koymamaktadır.
NCMEC raporlarına dayalı dosyalarda IP adresinin ortak kullanım ihtimali özellikle önem taşır. Ev interneti, kurumsal ağ veya paylaşımlı Wi-Fi üzerinden yapılan erişimlerde, IP adresinin aboneye ait olması otomatik olarak fail tespiti anlamına gelmez. Bu nedenle NCMEC raporları, soruşturma açısından güçlü bir başlangıç verisi sunmakla birlikte, destekleyici teknik ve maddi delillerle mutlaka tamamlanmalıdır.
Ortak kullanım senaryolarının göz ardı edilmesi, IP adresi deliline gereğinden fazla anlam yüklenmesine ve adil yargılama ilkesiyle bağdaşmayan sonuçlara yol açabilir. Bu nedenle her dosyada bağlantının kullanım koşulları somut olarak araştırılmalıdır.
VPN, Proxy ve Tor Kullanımı
Siber suç dosyalarında sıklıkla karşılaşılan savunmalardan biri, eylemin VPN, proxy veya Tor ağı kullanılarak gerçekleştirildiği iddiasıdır. Bu tür araçlar çoğu zaman “iz bırakmayan” veya “tespiti imkânsız” sistemler olarak algılansa da, hukuki ve teknik gerçeklik bu algıyla her zaman örtüşmemektedir.
VPN Kullanımının IP Tespitine Etkisi
VPN (Virtual Private Network), kullanıcının internet trafiğini başka bir sunucu üzerinden yönlendirerek dış dünyaya farklı bir IP adresiyle çıkmasını sağlar. Bu durumda görünen IP adresi, kullanıcının gerçek bağlantısına değil; VPN hizmetinin çıkış noktasına aittir.
VPN kullanımı, IP adresi üzerinden doğrudan fail tespitini zorlaştırır; ancak bağlantının tamamen izlenemez hâle geldiği anlamına gelmez. VPN hizmet sağlayıcılarının tuttuğu bağlantı kayıtları, ödeme bilgileri ve kullanım zamanları, uygun adli süreçler işletildiğinde soruşturma açısından önem taşıyabilir.
Proxy Sunucular
Proxy sistemleri, VPN’e benzer şekilde trafiğin aracı bir sunucu üzerinden yönlendirilmesini sağlar. Ancak proxy servisleri genellikle VPN’e kıyasla daha sınırlı güvenlik sunar ve çoğu zaman bağlantıya ilişkin daha az veri üretir.
Açık veya paylaşımlı proxy servisleri üzerinden yapılan bağlantılarda, IP adresi tespiti çoğu zaman o servisi kullanan geniş bir kullanıcı kitlesini işaret eder. Bu durum, IP adresi delilinin bireysel fail tespiti açısından zayıflamasına neden olur.
Tor Ağı ve Anonimlik Tartışması
Tor ağı, trafiği birden fazla düğüm üzerinden geçirerek kaynağın gizlenmesini amaçlayan bir sistemdir. Tor kullanımı, IP adresinin doğrudan kullanıcıyla ilişkilendirilmesini ciddi ölçüde zorlaştırır. Bu nedenle Tor üzerinden yapılan eylemlerde klasik IP tespiti yöntemleri çoğu zaman yetersiz kalır.
Buna rağmen Tor kullanımı, tek başına suç işlendiğinin veya failin tespit edilemeyeceğinin kabulü anlamına gelmez. Tor kullanımına ilişkin teknik izler, cihaz incelemesi, kullanıcı alışkanlıkları, zaman uyumu ve diğer dijital delillerle birlikte değerlendirildiğinde isnat kurulması mümkün olabilir.
Uygulamada VPN, proxy veya Tor kullanımı çoğu zaman failin bilinçli şekilde izini gizleme çabası olarak yorumlanmakta; ancak bu araçların kullanılması, otomatik olarak suçluluk göstergesi olarak kabul edilmemektedir. Bu nedenle her somut olayda kullanılan teknolojinin niteliği ve dosyadaki diğer delillerle ilişkisi dikkatle analiz edilmelidir.
Log Kayıtları ve Delilin Güvenilirliği
IP adresi delilinin ispat gücü, büyük ölçüde dayandığı log kayıtlarının güvenilirliğine bağlıdır. Log kayıtları, bir sistemde gerçekleşen işlemlerin teknik izlerini içeren dijital kayıtlardır. Ancak her log kaydı, otomatik olarak güvenilir ve hükme esas alınabilir nitelik taşımaz.
Ceza yargılamasında log kayıtlarının değerlendirilmesinde temel ölçüt, bu kayıtların sonradan değiştirilip değiştirilemeyeceği ve bütünlüklerinin korunup korunmadığıdır. Manipülasyona açık, denetlenemeyen veya kaynağı belirsiz log kayıtları, delil değeri bakımından ciddi tartışmalar doğurur.
Logların Kaynağı ve Tutulma Şekli
Log kayıtları; internet servis sağlayıcıları, dijital platformlar, kurum içi sistemler veya güvenlik altyapıları tarafından tutulabilir. Her kaynağın kayıt tutma yöntemi ve teknik standardı farklıdır. Bu nedenle logların hangi sistemden elde edildiği, ne kadar süreyle saklandığı ve hangi formatta üretildiği mutlaka sorgulanmalıdır.
Özellikle üçüncü kişi veya özel şirketler tarafından tutulan log kayıtlarında, kayıtların bütünlüğüne ilişkin teknik güvencelerin varlığı önem taşır. Kayıtların geriye dönük olarak değiştirilip değiştirilemediği, delilin güvenilirliğini doğrudan etkiler.
Hash Değeri ve Veri Bütünlüğü
Dijital delillerin güvenilirliğinin sağlanmasında hash değeri önemli bir teknik araçtır. Hash, bir verinin dijital parmak izi olarak nitelendirilebilir. Log kayıtları veya dijital veriler üzerinde sonradan yapılan herhangi bir değişiklik, hash değerinin farklılaşmasına neden olur.
Bu nedenle IP adresine dayalı log kayıtlarının incelenmesinde, verilerin ne zaman alındığı, hangi ortamda saklandığı ve hash değerinin korunup korunmadığı hususları önem taşır. Hash değeri bulunmayan veya sonradan üretilmiş log kayıtları, ispat bakımından zayıf kabul edilebilir.
Zincirleme Muhafaza (Chain of Custody)
Zincirleme muhafaza, dijital delilin elde edilmesinden mahkemeye sunulmasına kadar geçen sürede kimlerin elinden geçtiğini ve hangi işlemlere tabi tutulduğunu gösteren süreci ifade eder. Bu sürecin belgelenmemesi, delilin güvenilirliğine gölge düşürür.
IP adresi deliline dayanak oluşturan log kayıtlarının, hangi aşamada kim tarafından alındığı, kime teslim edildiği ve nasıl saklandığı açıkça ortaya konulmalıdır. Zincirleme muhafaza sürecindeki belirsizlikler, delilin hükme esas alınmasını engelleyebilir.
Log kayıtlarının teknik bütünlüğü sağlanmadan ve denetlenebilir olarak ortaya konulmadan yapılan IP değerlendirmeleri, maddi gerçeğe ulaşmak yerine hatalı sonuçlara yol açabilir. Bu nedenle logların güvenilirliği, IP adresi kadar titizlikle ele alınmalıdır.
Uygulamada Sık Görülen Savunmalar ve Karşı Argümanlar
IP adresi deliline dayalı siber suç soruşturmalarında savunma stratejileri belirli kalıplar etrafında tekrar eder. Buna karşılık iddia makamı da çoğu zaman aynı teknik veriler üzerinden isnadı güçlendirmeye çalışır. Bu bölümde, uygulamada en sık karşılaşılan savunmalar; özellikle internet dolandırıcılığı ve kredi kartı dolandırıcılığı gibi dosyalarda tipik delil setleriyle birlikte ele alınacaktır.
İnternet dolandırıcılığı (örneğin sahte ilan, sahte e-ticaret sitesi, sosyal medya üzerinden satış vaadi) ve kredi kartı dolandırıcılığı (kart bilgisi ele geçirilerek alışveriş yapılması, sanal POS kullanımı, hesap ele geçirme gibi) dosyalarında IP adresi çoğu zaman soruşturmanın “ilk somut izi”dir. Ancak IP adresi, kimin işlem yaptığını değil; işlemin hangi bağlantı üzerinden gerçekleştiğini gösterir. Bu nedenle IP tespiti, doğru kurulmadığında dosya yanlış kişiye yönlenebilir veya mahkûmiyet eşiği aşılamayabilir.
“IP Bana Ait Ama Ben Yapmadım” Savunması
Bu savunma, internet dolandırıcılığı ve kredi kartı dolandırıcılığı dosyalarında çok sık ileri sürülür. Zira fail, çoğu zaman başkasına ait internet bağlantısını kullanır ya da ortak kullanılan bağlantıdan işlem yapar. IP adresinin sanığa ait abonelikte görünmesi, eylemin sanık tarafından işlendiğini kesin olarak ortaya koymaz.
Bu savunmanın değerlendirilmesinde kilit soru şudur: IP tespiti, sanığın kişisel kullanımına bağlanabiliyor mu? İnternet dolandırıcılığı dosyalarında bunu güçlendiren veriler; şüpheli hesabın yönetildiği cihaz, hesap giriş-çıkış zamanları, şüpheli profilin oluşturulma süreci, mağdurla yapılan yazışmaların kaynak cihazı, kargo/teslimat bilgileri ve ödeme hareketleridir. Kredi kartı dolandırıcılığı dosyalarında ise; sanal POS işlem logları, 3D Secure doğrulama kayıtları, “chargeback” evrakı, kart saklama/token kayıtları, teslimat adresi, kargo teslim imzası, cihaz parmak izi (device fingerprint) ve işlem anındaki oturum verileri öne çıkar.
Bu tür dosyalarda mahkûmiyet tartışması genellikle “IP + ek deliller” üzerinden yürümelidir. IP tek başına bir başlangıç verisi sunar; ancak kişisel kullanım bağı kurulmadığında, yalnızca abonelik eşleştirmesiyle kesin sonuca gidilmesi risklidir.
“Modemim / İnternetim Başkaları Tarafından Kullanıldı” İddiası
Ev interneti veya iş yeri interneti üzerinden görünen IP’lerde, “başkası kullanmış olabilir” savunması özellikle yaygındır. İnternet dolandırıcılığı dosyalarında failin komşu Wi-Fi’sine bağlanması, iş yeri ağını kullanması, ortak alanlarda bağlantı kurması sık görülür. Kredi kartı dolandırıcılığı dosyalarında da aynı bağlantı üzerinden farklı kişilerin işlem yapması ihtimali her zaman gündemdedir.
Bu savunma soyut şekilde ileri sürüldüğünde tek başına yeterli kabul edilmez. Ancak ortak kullanım olasılığı teknik verilerle desteklenebiliyorsa (örneğin evde/işte birden fazla cihaz, misafir ağı, açık Wi-Fi, güvenlik zafiyeti, şifre paylaşımı), IP delilinin ispat gücü zayıflar. Burada iddia makamının güçlendirme aracı; cihaz incelemesi, kullanıcı hesaplarının sanık cihazında iz bırakıp bırakmadığı, işlem zamanında sanığın cihazının çevrim içi olup olmadığı ve işlemle uyumlu dijital izlerin varlığıdır.
CGNAT ve Port Eksikliği Üzerinden Savunmalar
Türkiye’de yaygın olan CGNAT altyapısında aynı dış IP adresi birden fazla abone tarafından kullanılabilir. Bu nedenle internet dolandırıcılığı ve kredi kartı dolandırıcılığı dosyalarında, port bilgisi olmadan yapılan abonelik tespiti ciddi tartışma yaratır. Port bilgisi yoksa “IP kime ait” sorusu teknik olarak belirsizleşebilir ve yanlış abonelik eşleştirmesi riski doğar.
Bu savunma dosyada gerçekten karşılık buluyorsa, isnadın yalnızca IP’ye dayanması yerine destekleyici delillerin ağırlığı artar. Özellikle kredi kartı dolandırıcılığında; ödeme altyapısı loglarının (3D Secure, token, cihaz parmak izi), teslimat/kargo zincirinin ve hesap hareketlerinin birlikte değerlendirilmesi beklenir.
“Hesabım Ele Geçirildi / Hesap İtirazı” Savunmaları
İnternet dolandırıcılığı dosyalarında “sosyal medya hesabım çalındı, dolandırıcılığı ben yapmadım” savunması; kredi kartı dolandırıcılığı dosyalarında ise “bankacılık hesabım ele geçirildi, ben işlem yapmadım” savunması sıklıkla karşımıza çıkar. Bu savunmaların değerlendirilmesinde, hesabın ele geçirildiğini gösteren teknik bulgular kritik hâle gelir.
Örneğin şüpheli giriş IP’leri, şifre değiştirme kayıtları, iki aşamalı doğrulama (2FA) bildirimleri, e-posta yönlendirme/geri dönüş bilgileri, cihaz listeleri, oturum geçmişi ve aynı hesap üzerinde kısa sürede yapılan olağandışı işlemler bu noktada belirleyici olabilir. Bu veriler yoksa, “hesabım ele geçirildi” iddiası soyut kalır; buna karşılık bu veriler mevcutsa isnatın kurulması daha dikkatli yapılmalıdır.
IP adresi deliline dayalı internet dolandırıcılığı ve kredi kartı dolandırıcılığı dosyalarında sağlıklı sonuca ulaşmak, teknik verilerin doğru okunmasına ve ceza muhakemesinin ispat standartlarının korunmasına bağlıdır. IP adresi, çoğu dosyada önemli bir veri sunar; ancak isnadın kaderi, IP’nin hangi teknik koşullarda tespit edildiği ve hangi destekleyici delillerle kişisel kullanıma bağlandığıyla belirlenir. Bu çerçeve gözetildiğinde, IP adresi delili ne abartılır ne de gereksizleştirilir; olması gereken yere oturur.
Av. Ramazan Sertan Safsöz
