Geçtiğimiz yüzyılın sonlarına doğru hayatımıza hızlı bir şekilde giren ve aynı hızla her gün gelişmeye devam eden bilişim teknolojileri ve İnternet, bugün gündelik yaşamın her alanında kendisine yer bulmaktadır. Bilişim dünyası, inovasyonlarla insan hayatını son derece kolaylaştırmış olmakla birlikte, bu durumun bir sonucu olarak kişisel verilerimiz de siber ortama aktarılmış bulunmaktadır. Bilişim sistemlerinin gerek bu denli geniş bir veri havuzunu bünyesinde barındırması, gerekse sağladığı kimlik gizleme olanağı hukuka aykırı sonuçlar doğuracak eylemlerin artmasına zemin hazırlamıştır. Bu eylemlerin artışı sonucunda da “bilişim suçu” kavramı hayatımıza girmiş ve bu suçlardan mağdur olanların korunması adına hem ulusal kanunlarla hem de uluslararası sözleşmelerle bu alanda düzenleme yapılması gerekliliği doğmuştur. Bu noktada bilişim suçlarını öncelikle 5237 sayılı Türk Ceza Kanunu (“Kanun”) ardından 1 Temmuz 2004 tarihli Avrupa Birliği Siber Suçlar Sözleşmesi (“Sözleşme”) kapsamında incelemeyi gerekli görüyoruz.

Türk Hukuku’nda Bilişim Suçu Kavramı

Bilişim teknolojilerinin hala gelişmekte olması, “bilişim suçu” kavramı bakımından üzerinde uzlaşma sağlanmış, genel kabul gören bir tanımın yapılamamış olmasının ana sebebidir. Bu gelişmeler göz önünde tutularak, bilişim suçları hakkındaki tanımlar hep genelleme şeklinde yapılmış olup ileride meydana gelebilecek değişikliklere uyarlanabilmesi adına ucu açık bırakılmıştır. Ana hatlarıyla bir tanım yapmak gerekirse, bilişim suçu ya da bir diğer adıyla siber suç, bir bilişim sisteminin (ör. akıllı telefonlar, bilgisayar ve tabletler gibi iletişim araçları) güvenliğini, içerisindeki verileri ya da bu sistemleri kullanan kişileri hedef alarak ve yine bir bilişim sistemi kullanılarak işlenen suçlardır. Bir suçun bilişim suçu olarak nitelendirilebilmesi için muhakkak bir bilişim sistemi vasıtasıyla işlenmiş olması gerekmektedir, dolayısıyla bu suçlar bilişim sistemlerine ve İnternet’e özgü suçlardır.

Yukarıda bahsedildiği üzere, İnternet’in yaygınlaşması sonucunda bilişim suçlarında büyük artış yaşanmış hem bu suçların işlenmesi kolaylaşmış hem de işleniş biçimleri çeşitlenmiştir. 2015 yılında yapılan bir çalışmaya göre, bilişim suçları, failleri için kara para aklama ve uyuşturucu ticareti suçlarından bile daha karlı bir suç tipi haline gelmiştir. Bunun sonucu olarak da son 1 yılda bu suçların işlenme oranı %34 artmıştır ve 2021 yılının sonuna kadar bu kapsamda meydana gelecek zararın 6 milyon doları geçmesi beklenmektedir. [1]

Bu gelişmeler ışığında, devletler tarafından kapsayıcı yeni hukuki düzenlemeler yapma gerekliliği doğmuştur. Ancak bu düzenlemeler yapılırken, İnternet’in, yapısı gereği ifade özgürlüğünün en kapsamlı olarak kullanıldığı yer olduğu göz önünde bulundurulmalıdır. Dolayısıyla İnternet’e özgü suçlar bakımından, baskıcı ve sansürcü bir yaklaşımdan ziyade özgürlükçü hukuki düzenlemelerin yapılması yerinde olacaktır. [2]

Bilişim suçları açısından Türk hukukundaki ilk düzenleme 1 Mart 1926 tarih 765 sayılı Türk Ceza Kanunu’na “Bilişim Alanındaki Suçlar” başlıklı 11. Babın eklenmesi ile gerçekleşmiştir. (Söz konusu değişiklik 6 Haziran 1991 tarih ve 3756 sayılı Kanun’un 20. maddesi ile yapılmıştır.). Görülmektedir ki, 765 sayılı Türk Ceza Kanunu, bilişim suçlarını sadece ayrı bir suç türü olarak düzenlemiş, geleneksel suç tiplerinin bilişim sistemleri vasıtasıyla işlenmesi hususunda bir yenilik getirmemiştir. 1 Haziran 2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu’nda ise, eski kanundan farklı olarak karma bir sistem benimsenmiştir. Benimsenen bu sistem gereğince hem bilişim sistemlerine karşı suçlar için özel hükümler getirilmiş hem de geleneksel suç tiplerini düzenleyen hükümlerden bazılarına yeni fiiller eklenerek suç tanımının genişletilmesi yoluna gidilmiştir. Böylece Kanun içerisinde “bilişim sistemlerine karşı suçlar” ve “bilişim sistemleri aracılığıyla işlenen suçlar”[3]şeklinde bir ayrım ortaya çıkmıştır.

Bilişim suçları öğretide de aynı Kanun’da olduğu gibi iki farklı başlık altında tasnif edilmektedir. Bu noktada söz konusu ikili ayrımı açıklayıcı bir şekilde ele alan Yargıtay Ceza Genel Kurulu kararından söz etmekte yarar vardır.

17 Kasım 2009 tarih E. 2009/193 Esas sayılı Yargıtay CGK kararına göre bilişim suçları, “doğrudan bilişim suçları (gerçek bilişim suçları)” ve “dolayısıyla bilişim suçları (bilişim bağlantılı suçlar)” olarak ikiye ayrılmaktadır. Doğrudan bilişim suçları olarak tanımlanan suçlar, Kanun’un 2. Kitap 3. Kısım 10. Bölümü’nde “Bilişim Alanında Suçlar” başlığı altında düzenlenmiştir.

Bu suçlar;

  • Bilişim sistemine girme
  • Bilişim sistemini izleme
  • Bilişim sistemini engelleme ve bozma
  • Verileri yok etme veya bozma
  • Bilişim sistemine veri yerleştirme ya da var olan verilerin yerlerini değiştirme
  • Banka veya kredi kartlarının kötüye kullanılması
  • Sahte banka kartlarının ya da sahte kredi kartlarının kullanılması
  • Yasak cihaz ve programların kullanılması şeklinde tasnif edilebilir.

Bir bilişim sistemine (ör. kişinin sosyal medya hesaplarına) hukuka aykırı ve izinsiz bir şekilde girilmesi bilişim suçunu meydana getirir. Bu suç yine bilişim sistemlerinde gerçekleşen veri akışını, sisteme girmeksizin başka araçlar ile hukuka aykırı olarak izlemek yoluyla da işlenebilir. Tıpkı bu sistemlere izinsiz girmek gibi, sistemin asıl kullanıcısının girişini engelleyecek değişiklikler yapmak, sistemin çalışmasını engellemek gibi fiiller de bu kapsamdadır.

Ayrıca, günümüzde nakit ödeme alışkanlığı gitgide azalmakta olup kredi kartı ve banka kartlarına olan talep arttığından, bu yolla işlenen suçlarda da göze görülür bir artış olmuştur. Bu kapsamda, başkasına ait banka ve kredi kartlarının ele geçirilmesi, kart sahibinin rızası olmadan kullanılması ve bu doğrultuda bir menfaat elde edilmesi de bilişim suçu oluşturacaktır. Aynı şekilde, başkasına ait banka hesaplarının kullanılması suretiyle sahte bir kredi kartı oluşturularak menfaat elde edilmesi de kredi kartlarının kötüye kullanılması yoluyla işlenen bir bilişim suçudur.

Bu noktada belirtmek gerekir ki, bu suçlar bakımından mağdurun rızası hukuka uygunluk nedeni olduğu gibi, bir bilişim sistemine girme suçunun bedel karşılığı yararlanılabilen sistemler bakımından işlenmesi de cezayı azaltıcı bir sebeptir. Buna karşın, bilişim suçu kapsamında sayılan eylemlerin bir kredi kurumu, banka ya da kamu kurum veya kuruluşuna ait bilişim sistemi üzerinden işlenmesi ise cezayı artırıcı hallerdendir.

Kanun’un 244. maddesinin 4. fıkrası uyarınca, bu suçları işleyen sanığın, aynı zamanda haksız yarar sağlıyor olması durumunda hem hapis cezası hem de adli para cezası ile aynı anda cezalandırılması sonucu doğacaktır. Bu hususu düzenleyen madde metninde dikkat edilmesi gereken bir ayrıntı ise “fiilin başka bir suç oluşturmuyor olması” ibaresidir. Söz konusu eylemin başka bir suç oluşturuyor olması halinde, oluşan o suça ilişkin hükümler uygulama alanı bulacaktır.

Yargıtay 8. Ceza Dairesi kararlarına göre, burada bahsi geçen hukuki yarar ekonomik değeri olan mali bir yarar olabileceği gibi, manevi bir yarar da olabilir. Örneğin bir öğrencinin e-okul sistemine girerek notunu yükseltmesi yoluyla sağladığı manevi yarar da bu suçun hukuki konusunu oluşturur.

Bu noktada Yargıtay CGK Kararı’ndaki “Dolayısıyla Bilişim Suçları” başlığının incelenmesi gerekir. Burada bahsedilen, Kanun’da düzenlenen geleneksel suç tiplerinin “bilişim sistemlerinden yararlanılarak” işlenmesi halidir. Bu suçlar işlenirken araç olarak bir bilişim sisteminin kullanılması suçu nitelikli hale getirecektir. Kanun koyucu, yukarıda bahsedilen maddede, “başka bir suç oluşturmama” tabirini kullanarak, bu hükmü bir tali norm olarak düzenlemiştir. Demek oluyor ki, bilişim sistemleri aracılığıyla bir çıkar sağlanmışsa, asli olarak uygulanması gereken bir başka suçun (ör. hırsızlık, dolandırıcılık vb.) oluşup oluşmadığı tartışılmalı, eylem geleneksel suç tiplerinden birini oluşturmuyorsa  o zaman “doğrudan bilişim suçu” kapsamındaki Kanun m. 244/4 irdelenmelidir.

Yargıtay CGK Kararı ve Kanun’da yapılan bu ayrım, bazı Yargıtay kararlarının incelenmesi ile daha anlaşılır hale gelecektir. [4]

  • Sanığın, katılan şirkette çalıştığı sırada kendisine görev nedeniyle verilen İnternet şifresini iş yerinden ayrıldıktan sonra hakkı bulunmadığı halde kullanması ve şirkete ait bilişim sistemine girmesi doğrudan bilişim suçudur ve TCK m. 243 vd. hükümlerine göre cezalandırılması gerekir. (Y. 11. CD. 19.03.2012, 2009/22385 E. 2012/3683 K.)
  • Mağdurun kişisel bilgisayarına ait işletim sistemine (Windows, Linux vs.) bir başka İnternet kullanıcısının, mağdurun rızası olmaksızın girmesi TCK m. 243’te düzenlenen “bilişim sistemine girme” suçunu oluşturur. (Y. 8. CD. 11.10.2017, 2016/12839 E. 2017/11114 K.)
  • Sanığın, mağdurun işverenine ait Facebook hesabının şifresini hukuka aykırı şekilde ele geçirerek mağdurla işvereninin ağzından konuşması, mağdura 700 TL kontör kartı aldırarak bunun için gerekli şifreleri kendisine göndertmesi ve kontörü kendi hattına yükleyerek kullanması bilişim sisteminin araç olarak kullanılması suretiyle işlenen dolandırıcılık suçudur ve dolandırıcılık hükümlerine göre cezalandırılması gerekir. (Y. 8.CD. 24.12.2012, 2012/21826 E. 2012/39370 K.)
  • Sanığın, e-okul platformuna hukuka aykırı olarak erişerek devamsız gün sayısını azaltması ve ders notlarını yükseltmesi, bilişim sistemi verilerinin değiştirilmesidir ve TCK m. 244 kapsamında cezalandırılması gerekir. (Y. 8. CD. 08.01.2014, 2014/33044 E. 2014/236 K.)
  • Sanığın, katılana ait banka hesabına hukuka aykırı olarak girerek hesaptaki parayı kendi adına açtığı hesaba havale etmesi ve başka tarihlerde bu parayı kendi hesabından parça parça çekmesi “bilişim sisteminin kullanılması suretiyle hırsızlık suçu” teşkil eder ve TCK m. 142/2-e uyarınca hüküm kurulması gerekir. (Y. 6. CD. 27.05.2014, 2012/7246 E. 2014/10715 K.)
  • Sanığın bir başkasına ait bilişim sistemine hukuka aykırı olarak girip buradan indirdiği fotoğrafı yayınlama tehdidi ile mağdurdan para istemesi şeklindeki eylemi ise hem şantaj hem özel hayatın gizliliğinin ihlali hem de bilişim sistemine izinsiz girme suçlarını oluşturduğundan gerçek içtima kurallarına göre her suçtan ayrı ayrı ceza verilmesi gerekir. (Y. 4. CD. 18.03.2015, 2014/2222 E. 2015/24755 K.)

Kanun bakımdan bilişim suçları başlığı altında son olarak değinilmesi gereken husus ise tüzel kişiler hakkında uygulanacak cezalardır. 5237 sayılı Türk Ceza Kanunu ile ceza hukukumuzda ilk kez tüzel kişilere yönelik bir yaptırım düzenlenmiştir. Kanun uyarınca, bilişim suçlarının işlenmesi suretiyle lehine haksız yarar sağlanan tüzel kişiler hakkında bunlara özgü güvenlik tedbirleri uygulanacaktır.

Tüzel kişilere yönelik böyle bir yaptırım hükmünün ceza hukukumuzda yer bulması, Avrupa Siber Suçlar Sözleşmesi’nde öngörülen “kurumsal yükümlülükler” bakımından kanun koyucunun somut bir adım atmış olduğunun göstergesidir.

Avrupa Birliği Siber Suçlar Sözleşmesi Kapsamında Bilişim Suçları

Günümüzde hemen herkesin dünyanın her yerinden İnternet erişimine sahip olması, kilometrelerce uzaklıktaki bir bilişim sistemine dahi tek tuşla giriş yapılabilmesi imkânı, bilişim suçları açısından uluslararası düzenlemelerin de yapılmasını gerekli kılmıştır. Bilişim suçları doğaları gereği birçok ülke üzerinde aynı anda işlenebildikleri için soruşturulması zor, delilleri takip etmesi güç suçlardır ve bu suçlarla mücadelede uluslararası işbirliği şarttır.

Avrupa Birliği Siber Suçlar Sözleşmesi de bu doğrultuda, bilişim ve İnternet suçlarını düzenleyen ilk uluslararası sözleşmedir. 23 Kasım 2001 tarihinde Budapeşte’de imzaya açılan ve 1 Temmuz 2004 tarihinde yürürlüğe giren Sözleşme, taraf devletlere bilişim suçlarıyla mücadele etmek adına gerekli maddi ceza hukuku hükümleri ile usul hukuku hükümlerinin genel çerçevesini çizmekte, ülke sınırlarının dışına çıkan soruşturma ve kovuşturmalar bakımından devletlerin hızlı koordine olmalarına imkân sağlamaktadır. Türkiye, Sözleşme’yi 10 Kasım 2010 tarihinde imzalayıp 29 Eylül 2014 yılında yürürlüğe koyarak taraf devletlerden biri haline gelmiştir. Sözleşmenin resmi tercümesi ise, “Sanal Ortamda İşlenen Suçlar Sözleşmesi” olarak belirtilmiştir.[5]

Sözleşme, esas olarak bilişim suçlarıyla mücadelede yaşanan zorlukların önüne geçmek, devletlerin mevzuatları arasında yeknesaklık sağlamak ve uluslararası adli işbirliğini gerçekleştirmek amaçlarını haizdir. Üç bölümden oluşan Sözleşme’de ilk bölüm tanımları, ikinci bölüm ulusal düzeyde alınacak tedbirleri, üçüncü bölüm ise uluslararası düzeyde alınacak tedbirleri düzenlemektedir.

Uluslararası düzeyde alınacak tedbirler bakımından en önemlisi adli yardımlaşmadır. Sözleşme m. 23 uyarınca adli yardımlaşma, taraf ülkeler bakımından mümkün olan en geniş şekilde sağlanmalı ve Sözleşme’nin öngördüğü usullere uygun olmalıdır. Bu noktada değinilmesi gereken önemli bir ayrıntı da söz konusu adli yardımlaşmanın salt bilişim suçları bakımından değil, delilleri elektronik ortamda bulunan geleneksel suçlar bakımından da sağlanması gerekliliğidir.

Sözleşme’nin ulusal düzeyde alınacak tedbirleri düzenleyen bölümünde bilişim sistemleri aracılığı ile işlenen suçlar tanımlanmıştır. Bu tanımlar daha önce bahsedilmiş olduğu gibi, sınırları katı bir şekilde çizilmiş olarak değil aksine ileride gerçekleşebilecek yeni teknolojik gelişmeler doğrultusunda yorumlanabilecek esneklikte yapılmıştır. Bu doğrultuda sözleşmede tanımlanan suç tipleri;

  • Bilgisayar veri veya sistemlerinin gizliliği, bütünlüğü ve kullanıma açık bulunmasına yönelik suçlar,
  • Bilgisayar aracılığıyla işlenen sahtecilik ve dolandırıcılık suçları,
  • İçeriğe ilişkin suçlar
  • Fikri mülkiyet haklarının ihlali ve uluslararası düzeyde dağıtımı olarak sıralanabilir.

Taraf devletler, Sözleşme’de suç olarak tanımlanan bu fiilleri kendi iç hukuklarında da suç olarak düzenlemekle yükümlüdürler. Türkiye de bir taraf devlet olarak kendi iç hukukunda bu düzenlemeleri yapmıştır. Sözleşme’nin ilk bölümünde düzenlenen “bilgisayar, veri veya sistemlerin gizliliğine, bütünlüğüne ve erişilebilirliğine yönelik suçlar”, Kanun kapsamında Sözleşme’ye uygun olarak düzenlenmiştir. Sözleşme Türkiye’de yürürlüğe girdiği tarihte Kanun’da eksik olan hususlar ise kanun koyucu tarafından 24.03.2016 tarih ve 6698 sayılı Kanun ile yapılan değişikliklerle büyük ölçüde tamamlanmıştır.

Sözleşme’de son kategori olarak düzenlenmiş olan “fikri mülkiyet haklarının ihlali ve uluslararası düzeyde dağıtımı” ise 5846 sayılı Fikir ve Sanat Eserleri Kanunu’nda Sözleşme ile uyumlu olacak şekilde düzenlenmiştir.

Aynı şekilde Sözleşme, taraf devletlere 7/24 erişilebilir bir irtibat noktası kurulması yükümlülüğü de getirmiş olup Türkiye’de bu irtibat noktası “Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı” olarak belirlenmiştir.

Sonuç

Bilişim suçlarının soruşturma ve kovuşturma aşamalarını en çok zorlaştıran özelliklerinden biri failin sahip olduğu kimlik gizleme imkânı ve İnternetin küreselliğidir. Bu noktada suçun işlendiği yerin tespiti ile birlikte ortaya çıkacak olan yetki problemlerinin aşılması adına mücadelenin de küresel olması şarttır. Eğer mücadele küresel olmazsa suçlular, forum shopping kavramından yararlanarak iç hukukunda en az cezayı öngören veya uluslararası adli yardımlaşma hükümlerini kabul etmemiş olan ülkeleri tespit edip hukuka aykırı eylemlerine bu ülkelerde devam etme yoluna gideceklerdir.  Bunu engellemek adına yapılan Sözleşme, eleştirilen yönleri olmasına rağmen bilişim suçları ile mücadelenin en önemli enstrümanlarındandır. “Siber suçluların sığınabileceği güvenli limanlar bulmalarını önlemek açısından, gelişmekte olan ya da az gelişmiş ülkelerin de bu mücadeleye dahil olmaları yönünde ikna edilmeleri gerekmektedir.”[6]

[1] “Avrupa Siber Suçlar Sözleşmesi ve Türkiye’nin Dahil Olma Süreci”, Cahit Aliusta, Recep Benzer, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, Cilt:4, No:2, S:35-42, 2018.

[2] “Türk Ceza Hukuku’nda Bilişim Suçları”, Umut EKER. (TBB Dergisi, Sayı 62, 2006)

[3] “2004 Türk Ceza Kanunu’nun Bilişim Suçları Bakımından Değerlendirilmesi”, Olgun DEĞİRMENCİ. (TBB Dergisi, Sayı 58, 2005)

[4] “Yargıtay Kararları Işığında Doğrudan Bilişim Suçları”, Nevzat Özsoy, Yaşar Hukuk Dergisi C.1 S.2 Temmuz 2019.

[5] “Avrupa Siber Suçlar Sözleşmesi ve Türkiye’nin Dahil Olma Süreci”, Cahit Aliusta, Recep Benzer, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, Cilt:4, No:2, S:35-42, 2018.

[6] “Avrupa Konseyi Siber Suç Sözleşmesi Işığında Siber Suçlarla Mücadelede Uluslararası İşbirliği”, Murat ÖNOK.