Bilişim Sistemine Yetkisiz Erişim, Türk Ceza Kanunu’nun 243. maddesinde düzenlenen ve bir bilişim sisteminin bütününe ya da bir kısmına hukuka aykırı biçimde girilmesini veya sistemde kalmaya devam edilmesini cezalandıran fiildir. Kanun metni, yalnızca sisteme girme hareketini değil, başlangıçta bir şekilde erişim sağlandıktan sonra yetkisiz biçimde içeride kalmayı da yaptırım kapsamına alır. Bu nedenle mesele sadece “şifre kırma”dan ibaret değildir. İzinsiz şekilde e posta hesabına, sosyal medya hesabına, şirket içi panele, sunucuya, yönetim ekranına ya da başka bir dijital altyapıya erişilmesi de bu suç kapsamında değerlendirilebilir.
Bu suç tipinde belirleyici olan, erişimin hukuka aykırı olmasıdır. Kişinin teknik olarak sisteme girebilmiş olması tek başına yeterli kabul edilmez. Mahkeme bakımından asıl mesele, o erişimin yetkiye, izne veya hukuken geçerli bir kullanım hakkına dayanıp dayanmadığıdır. Örneğin başkasına ait kullanıcı adı ve şifre ile sisteme girilmesi açık bir örnek oluşturur. Buna karşılık erişim yetkisinin kapsamı, iş ilişkisi, ortak kullanım, geçici izin ya da sistem sahibinin rızası gibi başlıklar somut olayda ayrıca değerlendirilir. BTK’nın konuya ilişkin açıklamalarında da TCK 243 kapsamında bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı girilmesi ve orada kalmaya devam edilmesi suç olarak gösterilmektedir.
Bilişim Sistemine Yetkisiz Erişim başlığında dikkat edilmesi gereken bir başka husus, bu fiilin her zaman veri bozma, veri silme veya sistemi çalışamaz hale getirme sonucunu gerektirmemesidir. Sadece sisteme izinsiz girmek veya içeride kalmak da tek başına cezai değerlendirme doğurabilir. Verilerin yok olması ya da değişmesi halinde ise madde içinde ayrıca daha ağır bir sonuç öngörülmüştür. Bu ayrım önemlidir. Çünkü kimi olaylarda fail hakkında “hiçbir şeye dokunmadım” savunması ileri sürülse bile, sırf yetkisiz erişim iddiası nedeniyle soruşturma başlatılabilir.
Günlük hayatta bu suç çoğu zaman sosyal medya hesaplarına girilmesi, kurumsal e posta sistemine erişilmesi, çevrim içi panel kullanılması, ortak kullanılmayan ağlara bağlanılması veya şirket içi dijital altyapıya yetki dışı giriş yapılması şeklinde karşımıza çıkar. Bununla birlikte her teknik temas otomatik biçimde ceza sorumluluğu doğurmaz. Erişimin gerçekten sanık tarafından yapılıp yapılmadığı, girişin nasıl tespit edildiği, IP ve log kayıtlarının ne gösterdiği ve erişimin hukuka aykırı sayılmasını gerektiren olguların dosyada ne kadar açık ortaya konulduğu her davada ayrıca incelenir. Bu nedenle Bilişim Sistemine Yetkisiz Erişim suçunda teknik veri ile hukuki değerlendirme iç içe ilerler.
Bilişim Sistemine Yetkisiz Erişim Suçunun Cezası
Bilişim Sistemine Yetkisiz Erişim suçu, Türk Ceza Kanunu’nun 243. maddesinde düzenlenmiştir.
TCK m.243
(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi hâlinde, verilecek ceza yarı oranına kadar artırılır.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
Görüldüğü üzere kanun koyucu, yalnızca sisteme zarar verilmesini değil, izinsiz şekilde sisteme girilmesini veya sistemde kalınmasını da cezalandırmaktadır. Bu nedenle herhangi bir veri silinmemiş, değiştirilmemiş ya da sistem işleyişi bozulmamış olsa bile, hukuka aykırı erişim tek başına yaptırım doğurur.
Birinci fıkrada düzenlenen temel halde, ceza bir yıla kadar hapis veya adli para cezasıdır. İkinci fıkrada ise bedel karşılığı yararlanılan sistemlere yönelik erişim daha ağır değerlendirilmiş ve cezanın artırılabileceği kabul edilmiştir. Üçüncü fıkrada ise artık sadece erişim değil, erişimin sonucunda verilerin zarar görmesi söz konusudur. Bu durumda ceza daha yüksek bir aralıkta belirlenir.
Bu düzenleme, bilişim alanındaki ihlalleri kademeli biçimde ele alır. Sadece sisteme girilmesi ile veriye müdahale edilmesi aynı seviyede değerlendirilmez. Bu ayrım, dosyanın niteliğini doğrudan etkiler. Özellikle erişim ile veri değişikliği arasında net bir ayrım yapılması, yargılama sürecinde büyük önem taşır.
Bilişim Sistemine Yetkisiz Erişim suçunda verilecek ceza belirlenirken, erişimin nasıl gerçekleştiği, sistemin niteliği, erişimin süresi ve fiilin sonuçları birlikte değerlendirilir. Bu nedenle her olayda aynı yaptırım uygulanmaz. Kanun metni çerçeveyi çizmekle birlikte, somut olayın özellikleri cezanın belirlenmesinde belirleyici rol oynar.
Yetkisiz Erişim Sayılabilecek Fiiller
Bilişim Sistemine Yetkisiz Erişim suçunda en çok tartışılan nokta, hangi davranışların gerçekten “yetkisiz erişim” olarak kabul edileceğidir. Her teknik temas bu kapsama girmez. Mahkeme, erişimin hukuka uygun bir yetkiye dayanıp dayanmadığını, erişim şeklinin ne olduğunu ve sistem sahibinin rızasının bulunup bulunmadığını birlikte değerlendirir. Bu nedenle aynı gibi görünen iki olay, tamamen farklı hukuki sonuçlara ulaşabilir.
En açık örneklerden biri, başkasına ait kullanıcı adı ve şifre ile sisteme girilmesidir. Sosyal medya hesabının ele geçirilmesi, e posta hesabına izinsiz giriş yapılması, internet bankacılığına başkasının bilgileriyle erişilmesi gibi durumlar bu kapsamdadır. Bu tür olaylarda erişimin hukuka aykırı olduğu çoğu zaman açıktır. Şifreyi bizzat kırmak şart değildir. Şifrenin herhangi bir şekilde ele geçirilmesi ve kullanılması da aynı değerlendirmeye tabi tutulur.
Şifresi açık bırakılmış bir sisteme girilmesi de önemli bir tartışma başlığıdır. Kullanıcı hesabının açık unutulması veya sistemin giriş korumasının zayıf olması, erişimi otomatik olarak hukuka uygun hale getirmez. Örneğin bir iş yerinde açık bırakılmış bilgisayardan şirket içi verilere girilmesi, teknik olarak kolay olsa da hukuki açıdan yetkisiz erişim sayılabilir. Burada belirleyici olan, sisteme giren kişinin o verilere erişim hakkının bulunup bulunmadığıdır.
Ortak kullanılan cihazlar ve hesaplar bakımından değerlendirme daha hassas yapılır. Aile bireylerinin aynı bilgisayarı kullanması, iş yerinde ortak terminal bulunması veya aynı ağ üzerinden birden fazla kişinin sisteme erişmesi gibi durumlarda, erişimin sınırları ayrıca incelenir. Örneğin bir çalışanın görev alanı dışında kalan bir sisteme girmesi, aynı iş yerinde bulunuyor olsa bile yetkisiz erişim olarak değerlendirilebilir.
Wi Fi ağı üzerinden erişim de sık karşılaşılan örneklerdendir. Başkasına ait internet ağına izinsiz bağlanılması, şifre kırılarak ya da farklı yöntemlerle ağa girilmesi bu kapsamda değerlendirilebilir. Buna karşılık açık ve herkese sunulmuş bir ağ üzerinden internete girilmesi her zaman suç oluşturmaz. Burada ağın kullanım koşulları, sahibinin rızası ve erişimin kapsamı önem taşır.
Dijital platformlar üzerinden kurulan erişimler de ayrıca değerlendirilir. Bir uygulama aracılığıyla başka bir kullanıcının hesabına girilmesi, yetki sınırının aşılması veya sistemin arka planına erişilmesi gibi durumlar bu başlık altında incelenir. Özellikle uygulama içi açıkların kullanılması, teknik bilgi gerektiren müdahaleler ve sistemin normal kullanım amacının dışına çıkılması halinde erişim hukuka aykırı kabul edilebilir.
Kısa süreli girişler bakımından da önemli bir yanlış bilinen vardır. Sisteme birkaç saniye girilip çıkılması, herhangi bir veri alınmaması veya işlem yapılmaması sorumluluğu ortadan kaldırmaz. Kanun metni, sisteme girilmesini veya sistemde kalınmasını yeterli görür. Bu nedenle “hiçbir şey yapmadım” savunması çoğu olayda tek başına yeterli olmaz.
Yetkinin aşılması da bu suç kapsamında değerlendirilir. Kişinin sisteme girme yetkisi olabilir. Ancak bu yetkinin sınırları aşıldığında hukuka aykırılık ortaya çıkabilir. Örneğin bir çalışanın sadece belirli verilere erişim yetkisi varken, sistemin tamamına ulaşması veya görev alanı dışındaki bilgilere bakması bu kapsamda ele alınabilir. Bu tür durumlarda tartışma, erişimin tamamen yasak olup olmadığı değil, verilen yetkinin sınırlarının aşılıp aşılmadığı üzerinden yürür.
Teknik hatalar ve yanlış yönlendirmeler de ayrıca dikkate alınır. Sistem tarafından otomatik yönlendirme yapılması, kullanıcıyı farkında olmadan farklı bir alana taşıması veya teknik bir açık sebebiyle erişim sağlanması her olayda aynı sonucu doğurmaz. Bu tür dosyalarda erişimin bilinçli olup olmadığı, kişinin kastı ve sistemin davranışı birlikte değerlendirilir.
Bu örnekler, Bilişim Sistemine Yetkisiz Erişim suçunun sınırlarının yalnızca teknik değil, aynı zamanda hukuki bir değerlendirmeye bağlı olduğunu gösterir. Erişimin nasıl gerçekleştiği kadar, o erişimin hangi yetkiye dayandığı da belirleyici hale gelir. Bu nedenle her olay, kendi şartları içinde ve somut veriler üzerinden incelenir.
Yetkisiz Erişim ile Diğer Bilişim Suçları Arasındaki Farklar
Bilişim Sistemine Yetkisiz Erişim suçu çoğu zaman diğer bilişim suçlarıyla karıştırılır. Bunun en önemli sebebi, birçok olayda fiilin tek bir başlık altında kalmaması ve farklı suç tipleriyle iç içe geçmesidir. Bu nedenle doğru hukuki nitelendirme yapılmadığında hem soruşturma hem de savunma süreci yanlış zemine oturabilir. Ayrım yapılırken, yapılan eylemin sadece sisteme girme aşamasında mı kaldığı yoksa sistem ve veriler üzerinde ayrıca bir müdahale içerip içermediği dikkatle incelenmelidir.
İlk ayrım TCK 243 ile TCK 244 arasında yapılır. TCK 243, sisteme hukuka aykırı şekilde girilmesini veya sistemde kalınmasını cezalandırır. Buna karşılık TCK 244, sistemin işleyişine müdahale edilmesini ve veriler üzerinde değişiklik yapılmasını kapsar. Örneğin bir kişinin başkasına ait e posta hesabına girip yalnızca mesajları okuması TCK 243 kapsamında değerlendirilir. Aynı kişinin mesajları silmesi, değiştirmesi veya sisteme zarar vermesi halinde artık TCK 244 devreye girer. Bu iki suç tipi arasındaki fark, sadece erişim ile müdahale arasındaki çizgide ortaya çıkar.
Benzer şekilde kişisel verilerin ele geçirilmesi ile de karışıklık yaşanabilir. Bir sisteme girilmesi tek başına kişisel veri suçunu oluşturmaz. Ancak bu erişim sırasında başkalarına ait verilerin kaydedilmesi, paylaşılması veya yayılması söz konusuysa, bu kez TCK 136 kapsamında ayrı bir değerlendirme yapılır. Örneğin bir kişinin sosyal medya hesabına girilmesi yetkisiz erişim kapsamında kalırken, o hesapta bulunan özel mesajların üçüncü kişilerle paylaşılması farklı bir suç tipini gündeme getirir.
Bilişim yoluyla dolandırıcılık ile olan ayrım da önemlidir. Dolandırıcılık suçunda temel unsur, hileli davranışla bir kişiyi zarara uğratmak ve menfaat elde etmektir. Buna karşılık yetkisiz erişimde böyle bir amaç bulunmayabilir. Örneğin bir bankacılık hesabına girilip para transferi yapılması halinde yalnızca sisteme girilmesi değil, aynı zamanda dolandırıcılık fiili de söz konusu olur. Buna karşılık sisteme girilip herhangi bir işlem yapılmadan çıkılması halinde dolandırıcılık değil, yalnızca yetkisiz erişim değerlendirmesi yapılır.
Haberleşmenin gizliliğini ihlal suçu ile de kesişen alanlar bulunur. Bir kişinin e posta hesabına girilmesi hem yetkisiz erişim hem de haberleşmenin gizliliği bakımından ayrı ayrı değerlendirilebilir. Özellikle mesaj içeriklerinin okunması, kaydedilmesi veya paylaşılması halinde birden fazla suç tipi aynı olay içinde gündeme gelebilir. Bu durumda her suçun unsurları ayrı ayrı ele alınır.
İş yeri içi erişim ihlalleri de uygulamada sık karşılaşılan örneklerdendir. Bir çalışanın şirket sistemine erişim yetkisi olabilir. Ancak bu yetkinin sınırlarını aşarak başka çalışanların verilerine ulaşması veya sistemin farklı bölümlerine girmesi, yetkisiz erişim kapsamında değerlendirilir. Aynı çalışan bu verileri dışarı aktarırsa, artık farklı suç tipleri de devreye girer. Bu tür olaylarda tek bir fiil, birden fazla suçun birlikte değerlendirilmesine neden olabilir.
Oyun hesapları ve dijital platformlar da bu ayrımın sık görüldüğü alanlardandır. Bir oyuncunun başkasına ait oyun hesabına girip sadece kontrol etmesi ile hesabı tamamen ele geçirip satması aynı şekilde değerlendirilmez. İlk durumda yetkisiz erişim söz konusu olabilir. İkinci durumda ise hem veri üzerindeki tasarruf hem de menfaat elde etme amacı nedeniyle daha ağır suç tipleri gündeme gelir.
Bu örnekler gösterir ki Bilişim Sistemine Yetkisiz Erişim suçu çoğu zaman tek başına kalmaz. Olayın gelişimine göre farklı suç tipleriyle birlikte değerlendirilir. Bu nedenle dosya incelenirken yalnızca sisteme girilip girilmediğine değil, girişten sonra ne yapıldığına, veriler üzerinde nasıl bir işlem gerçekleştirildiğine ve failin amacına bakılması gerekir. Yanlış nitelendirme yapılması, yargılamanın yönünü doğrudan etkileyebilir.
Şikayet, Soruşturma ve Yargılama Süreci
Bilişim Sistemine Yetkisiz Erişim suçu bakımından süreç çoğu zaman bir şikayet üzerine başlar. Hesabına izinsiz girildiğini fark eden kişi, savcılığa başvurarak şikayette bulunur. Bununla birlikte bu suç tipi, kanun sistematiği içinde şikayete bağlı suçlar arasında yer almaz. Başka bir anlatımla, savcılık gerekli gördüğünde re’sen de soruşturma başlatabilir. Uygulamada ise çoğu dosya mağdurun başvurusu ile gündeme gelir.
Soruşturma aşamasında en önemli adım, teknik verilerin toplanmasıdır. IP kayıtları, log verileri, erişim saatleri, cihaz bilgileri ve platform kayıtları bu aşamada dosyaya girer. Kolluk birimleri ve savcılık, erişimin hangi cihazdan ve hangi bağlantı üzerinden yapıldığını belirlemeye çalışır. Bu süreçte dijital materyallere el koyma, inceleme yapılması ve bilirkişi raporu alınması sık karşılaşılan işlemler arasındadır. Ancak teknik verilerin her zaman kesin sonuç vermediği de unutulmamalıdır. Aynı IP üzerinden birden fazla kişinin işlem yapabilmesi, ortak ağ kullanımı veya cihaz paylaşımı gibi durumlar değerlendirmeyi zorlaştırabilir.
Bu suç bakımından önemli bir diğer husus, uzlaştırma kapsamında olup olmadığıdır. TCK 243 kapsamında düzenlenen bilişim sistemine yetkisiz erişim suçu, uzlaştırmaya tabi suçlar arasında yer almaz. Bu nedenle dosya, uzlaştırma bürosuna gönderilmeden doğrudan soruşturma ve devamında kamu davası sürecine girer. Taraflar arasında anlaşma sağlanması, ceza yargılamasını kendiliğinden ortadan kaldırmaz.
Soruşturma sonunda savcılık, yeterli şüphe bulunduğu kanaatine varırsa iddianame düzenler ve dosya ceza mahkemesine gönderilir. Bu suç bakımından görevli mahkeme Asliye Ceza Mahkemesidir. Yargılama sürecinde mahkeme, teknik raporları, bilirkişi incelemelerini, taraf beyanlarını ve dosyadaki diğer delilleri birlikte değerlendirir. Özellikle erişimin sanık tarafından yapılıp yapılmadığı ve bu erişimin hukuka aykırı olup olmadığı üzerinde durulur.
Yargılama sırasında en çok tartışılan başlıklardan biri, erişimin gerçekten sanığa ait olup olmadığıdır. IP adresi tek başına kesin bir delil olarak kabul edilmez. Aynı bağlantıyı kullanan başka kişilerin bulunup bulunmadığı, cihazın kim tarafından kullanıldığı ve erişimin nasıl gerçekleştiği ayrıntılı şekilde incelenir. Bu nedenle teknik veri ile kişinin fiili davranışı arasında bağ kurulmadan verilen değerlendirmeler, yargısal denetimde tartışmalı hale gelebilir.
Ayrıntılı bilgi: IP Adresi Delili ve Siber Suçlarda İspat
Mahkeme hüküm verirken yalnızca erişim fiilini değil, olayın bütününü dikkate alır. Erişimin süresi, sistemin niteliği, failin kastı, olayın meydana geliş şekli ve varsa ortaya çıkan sonuçlar birlikte değerlendirilir. Bu aşamada mağdurun uğradığı zarar, failin davranışı ve dosyadaki diğer unsurlar da hükmün belirlenmesinde rol oynar.
Bilişim Sistemine Yetkisiz Erişim Suçunda Delil Sorunu
Bilişim Sistemine Yetkisiz Erişim suçunda en kritik başlıklardan biri, erişimin gerçekten kim tarafından yapıldığının tespitidir. Fiziksel dünyadaki suçlardan farklı olarak, dijital ortamda bırakılan izler çoğu zaman dolaylıdır. Bu nedenle teknik verilerin doğru yorumlanması büyük önem taşır. Tek başına bir kayıt, çoğu zaman kesin sonuca götürmez. Mahkeme, farklı verileri birlikte değerlendirerek sonuca ulaşır.
En sık kullanılan verilerden biri IP adresidir. Bir erişimin hangi IP üzerinden yapıldığı tespit edilebilir. Ancak IP adresi, doğrudan kişiyi göstermez. Aynı internet bağlantısını kullanan birden fazla kişi bulunabilir. Ev interneti, iş yeri ağı, ortak kullanım alanları veya kablosuz ağlar bu duruma örnek oluşturur. Bu nedenle sadece IP kaydına dayanarak bir kişiye suç isnat edilmesi, çoğu dosyada yeterli görülmez.
Log kayıtları da önemli bir veri kaynağıdır. Sistemler, hangi kullanıcı hesabının ne zaman giriş yaptığını ve hangi işlemleri gerçekleştirdiğini kayıt altına alır. Bu kayıtlar erişimin zamanını ve kapsamını gösterir. Buna rağmen log verilerinin de mutlak doğruluk taşıdığı söylenemez. Sistem saatinin hatalı olması, kayıtların eksik tutulması veya sonradan değiştirilmesi ihtimali her zaman değerlendirilir. Bu nedenle log kayıtları tek başına değil, diğer verilerle birlikte ele alınır.
Cihaz incelemeleri de sık başvurulan yöntemlerdendir. Bilgisayar, telefon veya tablet üzerinde yapılan incelemelerde, erişime ilişkin izler aranır. Tarayıcı geçmişi, uygulama kayıtları, giriş bilgileri ve sistem hareketleri bu kapsamda değerlendirilir. Ancak cihazın birden fazla kişi tarafından kullanılması halinde bu inceleme de kesin sonuca ulaşmayabilir. Özellikle ortak kullanılan cihazlarda, erişimin kim tarafından yapıldığı ayrıca tartışma konusu olur.
Ortak ağ kullanımı delil değerlendirmesini zorlaştıran önemli bir unsurdur. Örneğin bir iş yerinde aynı internet hattını kullanan birçok çalışan bulunabilir. Benzer şekilde kafeler, yurtlar veya açık Wi Fi alanları da bu kapsamdadır. Böyle bir durumda, aynı IP üzerinden yapılan erişimin belirli bir kişiye ait olduğunu göstermek daha güç hale gelir. Mahkeme, bu ihtimali dikkate alarak değerlendirme yapar.
VPN ve benzeri gizleme yöntemleri de dosyayı karmaşık hale getirebilir. Bu tür araçlar kullanıldığında gerçek IP adresi gizlenebilir veya farklı bir ülke üzerinden erişim yapılmış gibi görünebilir. Bu durumda teknik verilerin yorumlanması daha dikkatli yapılır. Erişimin gerçekten nereden ve kim tarafından yapıldığına ilişkin tespit, yalnızca yüzeysel inceleme ile yapılamaz.
Yanlış isnat ihtimali de bu suç tipinde her zaman göz önünde bulundurulmalıdır. Bir kişinin hesabına başka biri tarafından girilmiş olabilir. Cihazın ele geçirilmesi, şifrenin paylaşılması, zararlı yazılım kullanılması veya sosyal mühendislik yöntemleriyle erişim sağlanması mümkündür. Bu tür durumlarda, teknik olarak görünen erişim ile fiili fail aynı kişi olmayabilir.
Somut örnekler üzerinden bakıldığında bu durum daha net anlaşılır. Aynı evde yaşayan kişilerden birinin yaptığı erişim, diğer kişi üzerine kayıtlı internet hattı nedeniyle yanlış değerlendirmeye yol açabilir. İş yerinde bir bilgisayardan yapılan giriş, cihazın sahibi olmayan bir çalışana ait olabilir. Açık Wi Fi ağı üzerinden yapılan bir işlem, o anda ağa bağlı herhangi bir kişi tarafından gerçekleştirilmiş olabilir. Bu örnekler, teknik verilerin dikkatle yorumlanması gerektiğini gösterir.
Bilişim Sistemine Yetkisiz Erişim Suçunda Savunma
Bilişim Sistemine Yetkisiz Erişim iddiasıyla karşılaşıldığında savunmanın ilk adımı, dosyada yer alan teknik verilerin neyi gerçekten gösterdiğini doğru tespit etmektir. Her kayıt aynı anlamı taşımaz. IP adresi, log kaydı veya cihaz incelemesi tek başına kesin sonuca götürmez. Bu nedenle savunma, yalnızca “ben yapmadım” şeklinde kurulmaz. İddianın hangi veriye dayandığı belirlenir ve bu verinin sınırları ortaya konur.
İlk olarak erişimin sanığa ait olup olmadığı incelenir. Bir IP adresi üzerinden işlem yapılmış olabilir. Ancak bu IP’nin kullanıldığı ortam önemlidir. Ev interneti, iş yeri ağı veya ortak kullanım alanları söz konusuysa, aynı bağlantıyı birden fazla kişi kullanmış olabilir. Bu durumda yalnızca bağlantı kaydı üzerinden kişiye ulaşılması yeterli kabul edilmez. Örneğin bir iş yerinde aynı bilgisayarı farklı çalışanların kullanması halinde, erişimin kime ait olduğu ayrıca açıklığa kavuşturulmalıdır.
Cihaz kullanımı savunmanın önemli başlıklarından biridir. Erişim yapıldığı iddia edilen cihaz kime aittir, kim tarafından kullanılmıştır, cihaz üzerinde kaç farklı kullanıcı bulunur gibi sorular bu aşamada gündeme gelir. Özellikle aile bireylerinin ortak kullandığı bilgisayarlar, iş yerindeki paylaşımlı cihazlar veya başkasına verilen telefonlar bakımından bu inceleme belirleyici hale gelir. Cihazın sanığa ait olması, her zaman işlemin de onun tarafından yapıldığını göstermez.
Şifre ve hesap güvenliği de ayrı bir değerlendirme alanıdır. Hesabın şifresi başkalarıyla paylaşılmış olabilir. Sosyal mühendislik yöntemleriyle ele geçirilmiş olabilir. Zararlı yazılım kullanılarak erişim sağlanmış olabilir. Bu tür ihtimaller, savunmada mutlaka ortaya konulmalıdır. Örneğin bir e posta hesabına başka bir kişi tarafından girilmiş ve bu giriş sanığın IP adresi üzerinden gerçekleşmiş olabilir. Bu durumda teknik veri ile fiili fail aynı kişi olmayabilir.
Erişimin kapsamı da savunmanın yönünü belirler. Sisteme girildiği iddia ediliyor olabilir. Ancak bu girişin ne kadar sürdüğü, hangi alanlara erişildiği ve herhangi bir işlem yapılıp yapılmadığı önem taşır. Kimi dosyalarda yalnızca kısa süreli bir giriş kaydı bulunur. Kimi dosyalarda ise sistem içinde aktif işlem yapıldığı görülür. Bu fark, olayın değerlendirilmesini doğrudan etkiler.
Yetki sınırının aşılması iddialarında savunma daha farklı kurulmalıdır. Kişinin sisteme girme yetkisi bulunabilir. Ancak bu yetkinin hangi sınırlar içinde verildiği belirlenmeden değerlendirme yapılması doğru olmaz. Örneğin bir çalışanın sadece belirli verilere erişim hakkı varken, farklı bir alana girmesi iddia ediliyorsa, bu sınırın nasıl çizildiği ve ihlalin gerçekten gerçekleşip gerçekleşmediği açıklığa kavuşturulmalıdır.
Somut örnekler üzerinden ilerlemek savunmayı güçlendirir. Aynı evde yaşayan kişilerden birinin yaptığı erişimin diğer kişi üzerine kayıtlı internet hattı nedeniyle yanlış değerlendirilmesi mümkündür. Bir iş yerinde açık bırakılan bilgisayardan yapılan işlem, o bilgisayarı kullanan farklı bir çalışana ait olabilir. Açık Wi Fi üzerinden yapılan bir erişim, o anda ağa bağlı herhangi biri tarafından gerçekleştirilmiş olabilir. Bu tür örnekler, teknik verilerin tek başına yeterli olmadığını gösterir.
Teknik verilerin yorumlanması da savunmanın önemli bir parçasıdır. IP kayıtları, log verileri ve cihaz incelemeleri birlikte değerlendirilmeden sonuca ulaşılması doğru olmaz. Bu nedenle savunmada, bu verilerin neyi gösterdiği kadar neyi göstermediği de ortaya konulmalıdır. Özellikle alternatif ihtimallerin varlığı, dosyanın seyrini değiştirebilir.
Bu suç tipinde etkili savunma, teknik veriyi hukuk diliyle birleştirebilen bir yaklaşım gerektirir. Erişimin gerçekten kim tarafından yapıldığı, hangi koşullarda gerçekleştiği ve hukuka aykırılık iddiasının neye dayandığı net biçimde tartışılmalıdır. Bu yapılmadığında, teknik kayıtların tek başına belirleyici olduğu bir değerlendirme ortaya çıkabilir.
Sık Yapılan Hatalar ve Yanlış Bilinenler
Bilişim Sistemine Yetkisiz Erişim suçuna ilişkin en yaygın hatalar, teknik konuların yüzeysel değerlendirilmesinden ve hukuki sınırların yeterince bilinmemesinden kaynaklanır. Bu hatalar yalnızca savunmayı zayıflatmaz, aynı zamanda dosyanın yanlış yönde ilerlemesine de neden olabilir. Bu nedenle sık karşılaşılan yanlış kabullerin net biçimde ortaya konulması gerekir.
İlk ve en yaygın hata, “sadece girdim, hiçbir şey yapmadım” yaklaşımıdır. Kanun, sisteme zarar verilmesini şart koşmaz. Hukuka aykırı şekilde sisteme girilmesi veya sistemde kalınması tek başına değerlendirme için yeterli kabul edilir. Bu nedenle erişimin kısa sürmüş olması ya da veri üzerinde işlem yapılmamış olması, her olayda sorumluluğu ortadan kaldırmaz.
Bir diğer yanlış kabul, IP adresinin kesin delil olduğu düşüncesidir. Oysa IP adresi, bağlantının hangi noktadan yapıldığını gösterir. Bu bağlantıyı kullanan kişinin kim olduğu ayrıca belirlenmelidir. Aynı ağın birden fazla kişi tarafından kullanılması, ortak internet bağlantıları veya paylaşılan cihazlar bu değerlendirmeyi doğrudan etkiler. Bu nedenle IP kaydı tek başına kesin sonuç olarak kabul edilmez.
Ortak cihaz kullanımı çoğu zaman göz ardı edilir. Aile içinde kullanılan bilgisayarlar, iş yerindeki ortak terminaller veya birden fazla kişinin erişebildiği cihazlar bakımından, işlemin kimin tarafından yapıldığı ayrıca incelenmelidir. Cihazın bir kişiye ait olması, her zaman o kişinin erişimi gerçekleştirdiğini göstermez.
Açık bırakılmış sistemlere girmenin sorun yaratmayacağı düşüncesi de yaygındır. Bir hesabın açık unutulmuş olması ya da sistemin kolay erişilebilir olması, hukuki değerlendirmeyi değiştirmez. Yetki bulunmadan sisteme girilmesi, teknik olarak mümkün olsa bile hukuka uygun hale gelmez.
VPN kullanımıyla tespit edilemeyeceği inancı da hatalıdır. Bu tür araçlar erişimin izini değiştirebilir. Buna rağmen farklı teknik veriler birlikte değerlendirildiğinde erişimin kaynağına ulaşılabilir. Bu nedenle yalnızca teknik gizleme yöntemlerine güvenilmesi, savunma açısından sağlıklı bir yaklaşım oluşturmaz.
Şifre paylaşımının önemsenmemesi de ciddi sorunlara yol açar. Bir hesabın şifresinin başkalarıyla paylaşılması, sonradan yapılan işlemlerin sorumluluğunu karmaşık hale getirir. Hesap sahibinin bilgisi dışında yapılan erişimlerde dahi, şifre güvenliğinin nasıl sağlandığı sorgulanabilir.
Teknik verilerin tartışılmadan kabul edilmesi bir başka önemli hatadır. Log kayıtları, IP verileri ve cihaz incelemeleri çoğu zaman doğru kabul edilir. Oysa bu verilerin nasıl elde edildiği, hangi koşullarda tutulduğu ve neyi gösterdiği ayrıca incelenmelidir. Bu yapılmadığında eksik veya hatalı değerlendirmeler ortaya çıkabilir.
Bu yanlış kabuller, Bilişim Sistemine Yetkisiz Erişim davalarında savunmanın zayıf kalmasına neden olur. Her olay kendi koşulları içinde değerlendirilmeli, teknik veriler ile fiili durum birlikte ele alınmalıdır. Yüzeysel kabuller yerine somut veriler üzerinden ilerlemek, dosyanın sağlıklı değerlendirilmesini sağlar.
Dijital İzler Her Zaman Gerçeği Göstermez
Bilişim Sistemine Yetkisiz Erişim iddialarında en dikkat çekici özellik, olayın fiziksel değil dijital izler üzerinden değerlendirilmesidir. Bu izler ilk bakışta kesin ve tartışmasız görünür. IP kayıtları, log verileri, cihaz incelemeleri ve platform kayıtları dosyanın merkezinde yer alır. Buna rağmen bu veriler çoğu zaman dolaylıdır. Bu nedenle teknik kayıtların varlığı ile gerçekte ne yaşandığı her zaman birebir örtüşmeyebilir.
Dijital ortamlarda aynı bağlantıyı birden fazla kişi kullanabilir. Aynı cihaz farklı kişiler tarafından erişime açık olabilir. Açık bırakılmış sistemler, ortak ağlar ve paylaşılan hesaplar değerlendirmeyi karmaşık hale getirir. Örneğin bir ev interneti üzerinden yapılan erişimin, o evde bulunan kişilerden hangisine ait olduğu her zaman açık değildir. Benzer şekilde iş yerinde kullanılan bir bilgisayardan yapılan işlem, o bilgisayara erişimi olan kişilerden herhangi biri tarafından gerçekleştirilmiş olabilir.
Bu nedenle yargılama sürecinde yalnızca teknik veriye bakılarak sonuca ulaşılması yeterli görülmez. Erişimin nasıl gerçekleştiği, hangi koşullarda yapıldığı ve bu erişimin belirli bir kişiye nasıl bağlandığı birlikte değerlendirilir. Teknik kayıtların neyi gösterdiği kadar neyi göstermediği de önem taşır. Alternatif ihtimallerin bulunup bulunmadığı her dosyada ayrıca ele alınır.
Bilişim Sistemine Yetkisiz Erişim suçunda doğru sonuca ulaşabilmek için teknik inceleme ile hukuki değerlendirme birlikte yürütülmelidir. Sadece teknik veri üzerinden yapılan değerlendirmeler eksik kalabilir. Aynı şekilde yalnızca soyut savunmalar da yeterli olmaz. Somut olayın bütünlüğü içinde yapılan analiz, daha sağlıklı bir sonuca ulaşılmasını sağlar.
Dijital izler güçlü birer veri kaynağıdır. Buna rağmen tek başına kesinlik taşımaz. Bu nedenle her dosyada, teknik kayıtlar ile fiili durum arasındaki ilişki dikkatle incelenmeli, erişimin gerçekten kim tarafından ve hangi koşullarda yapıldığı açık biçimde ortaya konulmalıdır.
Av. Ramazan Sertan Safsöz
Not: Bu makale yalnızca bilgilendirme amacı taşımakta olup, somut davalar için alanında uzman bir avukattan profesyonel destek alınmalıdır.
Avukat bey örneğin aynı ofiste çalıştığımız bir arkadaşımız ortak kullanılan bilgisayarda whatsapp hesabını açık unutmuşsa ve ben girip görmüşsem yine suç oluşur mu
Merhabalar.
Girip görmek suç oluşturmaz ancak hesabı kapatmak yerine hesapta gezinirseniz yahut mesajları okursanız suç oluşur. Bu eylemlerden hangisini gerçekleştirdiğiniz ise dosyaya sunulan deliller gözetilerek anlaşılır.