Bilişim Suçları ve Cezaları (TCK) 2026

Dijital çağın getirdiği teknolojik gelişmeler, hayatımızın hemen her alanını dönüştürürken bu gelişmelere paralel olarak yeni suç türleri de ortaya çıkmıştır. Bilişim suçları, bilişim sistemleri aracılığıyla veya bilişim sistemlerine karşı işlenen suçlar olarak tanımlanmakta ve günümüzde en hızlı artan suç kategorileri arasında yer almaktadır. 5237 sayılı Türk Ceza Kanunu, bilişim suçlarını özel olarak düzenlemiş ve bu suçlara ilişkin ağır yaptırımlar öngörmüştür. Bu rehber, bilişim suçlarının türlerini, cezalarını, soruşturma süreçlerini, dijital delillerin önemini ve mağdur haklarını kapsamlı biçimde ele almaktadır.

Bilişim suçları, Türk Ceza Kanunu'nun 243 ila 246. maddeleri arasında "Bilişim Alanında Suçlar" başlığı altında düzenlenmiştir. Ayrıca kişisel verilerin korunması kapsamında TCK'nın 135 ve 136. maddeleri, haberleşmenin gizliliğine ilişkin TCK 132 ve 133. maddeleri ve bilişim sistemi kullanılarak dolandırıcılık suçunu düzenleyen TCK 158/1-f bendi de bilişim suçlarıyla doğrudan ilişkili hükümler içermektedir. Bu suçlar, bilişim sistemine hukuka aykırı olarak girme, sistemi engelleme veya bozma, verileri yok etme veya değiştirme ve banka veya kredi kartlarının kötüye kullanılması şeklinde sınıflandırılmaktadır.

Bilişim suçlarının soruşturulması ve kovuşturulması, teknik bilgi ve uzmanlık gerektiren karmaşık bir süreçtir. Dijital delillerin toplanması, korunması ve değerlendirilmesi, bu suçlarla mücadelenin en kritik aşamalarını oluşturmaktadır. Türkiye'de bilişim suçlarıyla mücadele kapsamında Emniyet Genel Müdürlüğü bünyesindeki Siber Suçlarla Mücadele Daire Başkanlığı ve il emniyet müdürlükleri bünyesindeki siber suçlarla mücadele birimleri faaliyet göstermektedir.

Bilişim suçlarının uluslararası boyutu da dikkate alınmalıdır. İnternet üzerinden işlenen suçlar genellikle sınır aşan nitelik taşımakta ve farklı ülkelerin yargı yetkisi kapsamında değerlendirilebilmektedir. Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi), bu alanda uluslararası iş birliğinin hukuki çerçevesini oluşturmaktadır. Türkiye bu sözleşmenin tarafıdır.

Bilişim Sistemine Hukuka Aykırı Olarak Girme (TCK Madde 243)

TCK'nın 243. maddesi, bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren veya orada kalmaya devam eden kişinin bir yıla kadar hapis veya adli para cezası ile cezalandırılacağını düzenlemektedir. Bu suç, bilişim sistemlerinin güvenliğini ve bütünlüğünü koruma altına almaktadır. Bilişim sistemi kavramı geniş yorumlanmakta; bilgisayar, akıllı telefon, tablet, sunucu, ağ cihazları ve nesnelerin interneti (IoT) cihazları bu kapsamda değerlendirilmektedir.

Suçun oluşması için bilişim sistemine "hukuka aykırı olarak" girilmesi gerekmektedir. Yetkisiz erişim, şifre kırma, güvenlik açığından yararlanma, başkasının hesap bilgilerini kullanma ve sosyal mühendislik yöntemleriyle erişim sağlama hukuka aykırı girme yöntemlerinin başlıcalarıdır. Sistemde kalmaya devam etmek de ayrı bir seçimlik hareket olarak düzenlenmiştir; yetkili olarak girilen bir sistemde, yetki sona erdikten sonra kalmaya devam etmek de suç oluşturmaktadır.

Maddenin ikinci fıkrası, bu fiil nedeniyle sistemin içerdiği verilerin yok olması veya değişmesi halinde altı aydan iki yıla kadar hapis cezası öngörmektedir. Üçüncü fıkrası ise bu fiilin bedeli karşılığı yararlanılabilen sistemlere karşı işlenmesi halinde yarı oranına kadar indirim uygulanacağını düzenlemektedir. Dördüncü fıkraya göre ise fiil, banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemine karşı işlenirse verilecek ceza yarı oranında artırılır.

Başkasının sosyal medya hesabına, e-posta hesabına veya bulut depolama hesabına izinsiz girmek, TCK 243 kapsamında suç oluşturmaktadır. Hesaptaki verilerin okunması, kopyalanması, değiştirilmesi veya silinmesi halinde ek cezai sorumluluk doğmaktadır. Özellikle eski eşin veya partnerin sosyal medya hesaplarına izinsiz erişim vakaları uygulamada sıkça karşılaşılmaktadır.

Bilişim Sistemini Engelleme, Bozma ve Verileri Yok Etme (TCK Madde 244)

TCK'nın 244. maddesinin birinci fıkrası, bir bilişim sisteminin işleyişini engelleyen veya bozan kişinin bir yıldan beş yıla kadar hapis cezası ile cezalandırılacağını düzenlemektedir. Bu fıkra, bilişim sistemlerinin sürekli ve kesintisiz çalışmasını koruma altına almaktadır. DDoS (Dağıtık Hizmet Engelleme) saldırıları, virüs bulaştırma, sistemi fiziksel olarak tahrip etme ve hizmet kesintisine yol açma bu suçun tipik işleniş biçimleridir.

Maddenin ikinci fıkrası, bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişinin altı aydan üç yıla kadar hapis cezası ile cezalandırılacağını hükme bağlamaktadır. Ransomware (fidye yazılımı) saldırıları, veritabanı manipülasyonu, dosya şifreleme ve veri silme bu fıkra kapsamında değerlendirilmektedir.

Maddenin üçüncü fıkrası, bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde verilecek cezanın yarı oranında artırılacağını öngörmektedir. Dördüncü fıkra ise bu fiillerin işlenmesi suretiyle kişinin kendisine veya başkasına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde iki yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacağını düzenlemektedir.

DDoS saldırıları, bilişim sisteminin işleyişini engelleme suçunun en yaygın biçimini oluşturmaktadır. Botnet ağları kullanılarak hedef sisteme aşırı trafik gönderilmesi ve hizmet kesintisine yol açılması bu kapsamdadır. DDoS saldırılarının organize suç örgütleri tarafından gerçekleştirilmesi halinde örgütlü suç hükümleri de uygulanabilmektedir. Kiralık DDoS hizmetleri (DDoS-as-a-Service) sunan platformlar, suçun işlenmesini kolaylaştırmakta ve soruşturmayı zorlaştırmaktadır.

Banka veya Kredi Kartının Kötüye Kullanılması (TCK Madde 245)

TCK'nın 245. maddesi, banka veya kredi kartlarının kötüye kullanılmasını üç ayrı fıkrada düzenlemektedir. Birinci fıkra, başkasına ait banka hesaplarıyla ilişkilendirerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişinin üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezası ile cezalandırılacağını hükme bağlamaktadır.

Maddenin ikinci fıkrası, sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişinin dört yıldan sekiz yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacağını düzenlemektedir. Üçüncü fıkra ise başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişi hakkında üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezası öngörmektedir.

Kredi kartı dolandırıcılığının yaygın yöntemleri arasında kart kopyalama (skimming), çevrimiçi kart bilgisi çalma, sahte POS cihazı kullanma, kayıp veya çalıntı kart kullanma ve kart bilgilerinin dark web üzerinden satın alınması yer almaktadır. Temassız ödeme teknolojisinin yaygınlaşması yeni güvenlik riskleri doğurmuş; ancak aynı zamanda işlem limitlerinin düşük tutulması bir güvenlik önlemi olarak değerlendirilmektedir.

Banka kartı suçlarında soruşturma, bankların güvenlik birimleri ve kolluk kuvvetlerinin iş birliğiyle yürütülmektedir. ATM kamerası kayıtları, POS cihazı logları, IP adresi tespiti, hesap hareketleri analizi ve kart işlem kayıtları soruşturmada kullanılan temel delillerdir. Bankaların dolandırıcılık tespit sistemleri (fraud detection), şüpheli işlemleri otomatik olarak tespit ederek mağduriyetin önlenmesine katkıda bulunmaktadır.

Kişisel Verilerin Hukuka Aykırı Olarak Kaydedilmesi ve Ele Geçirilmesi (TCK 135-136)

TCK'nın 135. maddesi, hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası öngörmektedir. Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine, hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda ceza yarı oranında artırılmaktadır. Bu özel nitelikli kişisel veriler, daha yoğun bir koruma altına alınmıştır.

TCK'nın 136. maddesi ise kişisel verileri hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi hakkında iki yıldan dört yıla kadar hapis cezası öngörmektedir. Bu madde kapsamında değerlendirilen eylemler arasında kişisel verilerin internet üzerinden yayılması, veri tabanlarının çalınarak satılması, müşteri listelerinin rakip firmalarla paylaşılması ve kişisel verilerin sosyal medyada ifşa edilmesi yer almaktadır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ile idari düzenlemeler de getirilmiştir. KVKK, kişisel verilerin işlenmesine ilişkin ilkeleri, veri sorumlusunun yükümlülüklerini ve Kişisel Verileri Koruma Kurulu'nun yetkilerini düzenlemektedir. KVKK kapsamında veri ihlali bildirimi, aydınlatma yükümlülüğü ve açık rıza gibi kavramlar, dijital çağda kişisel verilerin korunmasının temelini oluşturmaktadır.

Veri ihlali yaşayan şirketler, hem TCK kapsamında cezai sorumlulukla hem de KVKK kapsamında idari para cezalarıyla karşılaşabilmektedir. Kişisel Verileri Koruma Kurulu, veri ihlali durumunda veri sorumlusuna ve gerektiğinde veri işleyene idari para cezası uygulayabilmektedir. Veri ihlalinin derhal Kurul'a ve ilgili kişilere bildirilmesi yükümlülüğü bulunmaktadır.

Sosyal Medya Suçları ve Siber Zorbalık

Sosyal medya platformları üzerinden işlenen suçlar, bilişim suçlarının en yaygın ve en görünür biçimini oluşturmaktadır. TCK'da sosyal medya suçlarına özgü bir düzenleme bulunmamakla birlikte, mevcut suç tipleri sosyal medya ortamında da uygulanmaktadır. Sosyal medya üzerinden işlenen başlıca suçlar: hakaret (TCK 125), tehdit (TCK 106), özel hayatın gizliliğini ihlal (TCK 134), kişisel verilerin ifşası (TCK 136), cinsel taciz (TCK 105), şantaj (TCK 107) ve nefret ve ayrımcılık (TCK 122).

Sosyal medyadaki hakaretlerde aleniyet unsuru büyük önem taşımaktadır. TCK 125/4 uyarınca hakaretin alenen işlenmesi halinde ceza altıda bir oranında artırılmaktadır. Sosyal medya paylaşımlarının kamuya açık olması, aleniyet unsurunun gerçekleştiğinin kabulü için yeterli görülmektedir. Özel mesajlaşmalardaki hakaret ise aleniyet unsuru içermediğinden temel ceza üzerinden değerlendirilmektedir.

Siber zorbalık, dijital platformlar üzerinden bir kişiye sistematik olarak baskı, tehdit ve aşağılama uygulanmasıdır. TCK'da müstakil bir siber zorbalık maddesi bulunmamakla birlikte, eylemler hakaret, tehdit, özel hayatın gizliliğini ihlal ve kişisel verilerin ifşası gibi suç tipleri kapsamında cezalandırılmaktadır. Siber zorbalığın özellikle çocuk ve gençler üzerindeki psikolojik etkileri dikkate alınarak, bu alanda özel yasal düzenleme ihtiyacı tartışılmaktadır.

Sosyal medyada sahte hesap açma ve bu hesap üzerinden suç işleme yaygın bir durumdur. Sahte hesap açılması tek başına suç oluşturmamakla birlikte, sahte hesap aracılığıyla hakaret, tehdit, dolandırıcılık veya kişisel veri ifşası yapılması halinde ilgili suç tipleri kapsamında cezalandırma yapılmaktadır. Sahte hesap kullanılarak işlenen suçlarda failin tespiti, IP adresi tespiti ve sosyal medya platformlarından bilgi talep edilmesi yoluyla gerçekleştirilmektedir.

Yasadışı Dinleme ve İletişimin Gizliliğini İhlal

TCK'nın 132. maddesi, kişiler arasındaki haberleşmenin gizliliğini ihlal eden kimseye bir yıldan üç yıla kadar hapis cezası öngörmektedir. Haberleşme içeriklerinin kaydedilmesi halinde ceza bir kat artırılmaktadır. Kişiler arasındaki haberleşmenin içeriğinin iffet ve namusuna dokunacak şekilde ifşa edilmesi halinde ise üç yıldan beş yıla kadar hapis cezası uygulanmaktadır.

TCK'nın 133. maddesi, kişiler arasındaki aleni olmayan konuşmaların dinlenmesi veya kayda alınmasını suç olarak düzenlemektedir. Casus yazılımlar (spyware), tuş kaydediciler (keylogger), trojan virüsleri ve uzaktan erişim araçları (RAT) kullanılarak yapılan dinleme ve kaydetme eylemleri bu madde kapsamında değerlendirilmektedir.

Yasal dinleme, yalnızca hakim kararı veya gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emri ile mümkündür. 5271 sayılı Ceza Muhakemesi Kanunu'nun 135. maddesi, telekomünikasyon yoluyla yapılan iletişimin tespiti, dinlenmesi ve kayda alınmasına ilişkin koşulları düzenlemektedir. Kanunda belirtilen katalog suçlar için ve başka suretle delil elde edilmesinin mümkün olmadığı hallerde bu tedbire başvurulabilmektedir.

Phishing (oltalama) saldırıları, kişisel bilgilerin ve banka bilgilerinin ele geçirilmesinde en yaygın kullanılan yöntemlerden biridir. Sahte banka web siteleri, sahte e-posta bildirimleri ve SMS yoluyla kişilerin gizli bilgilerinin çalınması hem bilişim suçu hem de dolandırıcılık suçu kapsamında değerlendirilmektedir. Phishing saldırılarının tespit edilmesi ve önlenmesinde kullanıcı eğitimi ve teknik güvenlik önlemleri birlikte uygulanmalıdır.

Dijital Delil ve Adli Bilişim İncelemesi

Dijital deliller, bilişim suçlarının soruşturulmasında ve kovuşturulmasında belirleyici rol oynamaktadır. Dijital delillerin toplanmasında uluslararası kabul görmüş ilkelere uyulması gerekmektedir: bütünlük ilkesi (delillerin değiştirilmemesi), zincirleme gözetim (delillerin kim tarafından ne zaman elde edildiğinin kayıt altına alınması), yeniden üretilebilirlik (aynı koşullarda aynı sonuçların elde edilebilmesi) ve orijinal delillerin korunması (incelemenin kopya üzerinden yapılması).

IP adresi tespiti, bilişim suçlarının soruşturulmasında en sık başvurulan yöntemdir. Suça konu eylemin gerçekleştirildiği IP adresinin tespiti ve bu adresin hangi kullanıcıya tahsis edildiğinin belirlenmesi, failin kimliğinin ortaya çıkarılmasında kritik öneme sahiptir. Ancak VPN, proxy ve TOR ağı kullanımı, IP tespitini zorlaştırabilmektedir. Dinamik IP adresleri ve paylaşımlı ağ yapıları da tespit sürecini karmaşıklaştıran faktörler arasındadır.

Adli bilişim incelemesi kapsamında yapılan başlıca işlemler şunlardır: silinen dosyaların kurtarılması, şifreli verilerin çözülmesi, internet tarayıcı geçmişinin incelenmesi, e-posta analizi, sosyal medya hesap analizi, cihazlar arası veri akışının tespit edilmesi, metadata analizi ve zaman çizelgesi oluşturulması. Adli bilişim uzmanlarının hazırladığı raporlar, mahkemede bilirkişi raporu niteliği taşımaktadır.

Dijital delillerin mahkemede kabul görebilmesi için hukuka uygun biçimde elde edilmiş olması zorunludur. CMK'nın 134. maddesi, bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma tedbirini düzenlemektedir. Bu tedbir hakim kararı ile uygulanabilmekte; gecikmesinde sakınca bulunan hallerde Cumhuriyet savcısının yazılı emri de yeterli olmaktadır.

DDoS Saldırısı, Ransomware ve Zararlı Yazılımlar

DDoS (Dağıtık Hizmet Engelleme) saldırısı, TCK 244/1 kapsamında bilişim sisteminin işleyişini engelleme suçunu oluşturmaktadır. DDoS saldırılarında hedef sisteme çok sayıda istek gönderilerek sistemin hizmet veremez hale getirilmesi amaçlanmaktadır. Botnet ağları, DNS amplification ve SYN flood başlıca DDoS saldırı yöntemleridir. DDoS saldırılarının cezası bir yıldan beş yıla kadar hapis; banka veya kamu kurumu sistemine yönelik ise ceza yarı oranında artırılmaktadır.

Ransomware (fidye yazılımı), bilişim sistemlerindeki verileri şifreleyerek erişilemez hale getiren ve şifrenin çözümü karşılığında fidye talep eden zararlı yazılımdır. Ransomware saldırıları hem TCK 244 kapsamında bilişim suçu hem de TCK 148-149 kapsamında yağma veya TCK 107 kapsamında şantaj suçu olarak değerlendirilebilmektedir. Fidye genellikle kripto para olarak talep edilmekte; bu durum failin tespitini zorlaştırmaktadır.

Virüs, trojan, worm ve spyware gibi zararlı yazılımların üretilmesi, yayılması ve kullanılması TCK 244 kapsamında suç oluşturmaktadır. Keylogger (tuş kaydedici) yazılımlarının kullanılması ise hem TCK 243 (bilişim sistemine girme) hem de TCK 132-133 (haberleşmenin gizliliğini ihlal) kapsamında değerlendirilebilmektedir. Zararlı yazılımların üretilmesi ve dağıtılması, organize suç örgütleri tarafından ticari bir faaliyet olarak yürütülebilmektedir.

Cryptojacking (yasadışı kripto para madenciliği), başkalarının bilgisayar kaynaklarını izinsiz olarak kripto para madenciliğinde kullanan bir siber suç türüdür. Web siteleri üzerinden veya zararlı yazılım aracılığıyla gerçekleştirilen cryptojacking, TCK 244 kapsamında bilişim sistemini bozma veya engelleme suçu oluşturabilmektedir. Mağdurun cihazının performansının düşmesi ve enerji tüketiminin artması somut zararlar olarak değerlendirilmektedir.

Kripto Para Suçları ve Dijital Varlıklar

Kripto para ekosisteminin büyümesiyle birlikte bu alanda işlenen suçlar da önemli ölçüde artmıştır. Sahte kripto para borsaları kurma, ponzi şeması oluşturma, kripto para hırsızlığı, yasadışı madencilik (cryptojacking) ve kara para aklama amaçlı kripto para kullanımı başlıca kripto para suç türleridir. Türkiye'de kripto para borsalarının düzenlenmesine ilişkin mevzuat geliştirilmekte olup bu alandaki hukuki çerçeve hızla şekillenmektedir.

Sahte kripto para borsaları ve ponzi şemaları, TCK 158/1-f kapsamında nitelikli dolandırıcılık suçunu oluşturmaktadır. Yatırımcılara yüksek getiri vaat ederek fon toplayan ve ardından kaçan sahte borsalar, büyük mağduriyetlere yol açmaktadır. Bu tür soruşturmalarda blockchain analizi, cüzdan adresi takibi ve merkezi olmayan borsa (DEX) işlem kayıtlarının incelenmesi önem taşımaktadır.

Kripto para hırsızlığı, dijital cüzdanların ele geçirilmesi veya borsaların hacklenmesi yoluyla gerçekleştirilmektedir. Akıllı sözleşme zafiyetlerinin istismarı, phishing saldırılarıyla özel anahtar çalma ve SIM swap saldırılarıyla iki faktörlü doğrulamayı aşma yaygın yöntemler arasındadır. Blockchain teknolojisinin şeffaf yapısı işlemlerin takibini mümkün kılsa da, karıştırma hizmetleri (mixer) ve gizlilik odaklı kripto paralar soruşturmayı zorlaştırabilmektedir.

Kara para aklama amaçlı kripto para kullanımı, hem 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun hem de TCK kapsamında değerlendirilmektedir. Mali Suçları Araştırma Kurulu (MASAK), kripto para işlemlerinin takibinde yetkili kurum olup şüpheli işlem bildirimlerini değerlendirmektedir.

Bilişim Suçlarında Soruşturma Süreci ve Cezalar

Bilişim suçlarında soruşturma süreci şu aşamalardan oluşmaktadır: ihbar veya şikayet, dijital delil tespiti ve koruma altına alınması, dijital delil toplama (disk imajı, ağ logları, sunucu kayıtları), adli bilişim incelemesi ve bilirkişi raporu, şüphelinin tespiti ve ifade alma, iddianamenin hazırlanması ve kamu davasının açılması. Delillerin hızla yok edilebilmesi riski nedeniyle soruşturmanın ivedilikle yürütülmesi büyük önem taşımaktadır.

Temel ceza miktarları şu şekildedir: TCK 243/1 (bilişim sistemine girme) bir yıla kadar hapis veya adli para cezası; TCK 244/1 (sistemi engelleme/bozma) bir yıldan beş yıla kadar hapis; TCK 244/2 (veri yok etme/değiştirme) altı aydan üç yıla kadar hapis; TCK 245/1 (sahte banka/kredi kartı) üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezası; TCK 245/2 (sahte kartla yarar sağlama) dört yıldan sekiz yıla kadar hapis; TCK 135 (kişisel veri kaydetme) bir yıldan üç yıla kadar hapis; TCK 136 (kişisel veri ele geçirme/yayma) iki yıldan dört yıla kadar hapis.

Ağırlaştırıcı nedenler: banka veya kamu kurumuna ait sistem üzerinde işlenme (ceza yarı oranında artırım), kamu görevlisi tarafından işlenme, örgütlü suç kapsamında işlenme ve özel nitelikli kişisel verilere ilişkin suçlarda yarı oranında artırım. Uluslararası boyutlu suçlarda uluslararası adli yardım mekanizmalarına başvurulması gerekebilmektedir.

Daha fazla bilgi için Adalet Bakanlığı resmi web sitesini ve mevzuat.gov.tr portalını ziyaret edebilirsiniz.

Bilişim Suçlarında Uluslararası İş Birliği ve Sınır Ötesi Soruşturma

Bilişim suçları, doğası gereği sınır ötesi nitelik taşımakta ve birden fazla ülkenin yargı yetkisini ilgilendirmektedir. Siber saldırıların kaynağı ile hedefi farklı ülkelerde bulunabilmekte; suç gelirlerinin aklanması uluslararası ödeme sistemleri aracılığıyla gerçekleştirilebilmektedir. Bu karmaşık yapı, etkin bir soruşturma yürütülebilmesi için uluslararası iş birliği mekanizmalarının kullanılmasını zorunlu kılmaktadır. Türkiye, Budapeşte Siber Suç Sözleşmesi'ne taraf olarak bu alanda uluslararası standartlara uyum sağlamaktadır.

Adli yardım antlaşmaları, bilişim suçlarının sınır ötesi soruşturulmasında temel araç olarak işlev görmektedir. Türkiye'nin ikili ve çok taraflı adli yardım antlaşmaları, yabancı ülkelerdeki dijital delillerin toplanması, şüphelilerin tespiti ve suçluların iadesi konularında hukuki çerçeveyi oluşturmaktadır. İstinabe talepleri, Adalet Bakanlığı aracılığıyla ilgili ülkelere iletilmektedir. Bu sürecin hızlandırılması için 7/24 iletişim noktaları oluşturulmuştur.

Interpol ve Europol, uluslararası bilişim suçlarının soruşturulmasında koordinasyon sağlayan başlıca kuruluşlardır. Interpol'ün Siber Suçlar Birimi ve Europol'ün Avrupa Siber Suç Merkezi (EC3), üye ülkeler arasında istihbarat paylaşımı, ortak operasyon planlaması ve teknik destek sağlamaktadır. Türk kolluk kuvvetleri, bu kuruluşlarla aktif iş birliği içinde çalışmakta ve uluslararası siber suç operasyonlarına katılmaktadır.

Yargı yetkisi çatışmaları, uluslararası bilişim suçlarının en zorlu boyutlarından birini oluşturmaktadır. Hangi ülkenin yargı yetkisine sahip olduğu, suçun işlendiği yer, failin bulunduğu yer, mağdurun bulunduğu yer ve sunucunun konumu gibi çoklu bağlantı noktalarına göre değerlendirilmektedir. Türk hukuku, TCK'nın yer bakımından uygulama kuralları çerçevesinde bilişim suçlarında geniş bir yargı yetkisi öngörmektedir. Türkiye'de zarar meydana gelen veya Türk vatandaşlarını mağdur eden bilişim suçlarında Türk mahkemelerinin yargı yetkisi bulunmaktadır.

Yapay Zeka ve Yeni Nesil Siber Tehditler

Yapay zeka teknolojilerinin kötüye kullanılması, bilişim suçlarında yeni ve karmaşık tehditlerin ortaya çıkmasına neden olmaktadır. Deepfake teknolojisiyle oluşturulan sahte görüntü ve sesler, kimlik hırsızlığı ve dolandırıcılık amacıyla kullanılabilmektedir. Yapay zeka destekli oltalama saldırıları, geleneksel güvenlik önlemlerini aşma kapasitesine sahip son derece ikna edici iletişimler üretebilmektedir. Bu tür saldırıların tespiti ve önlenmesi, hem teknik hem de hukuki açıdan yeni yaklaşımlar gerektirmektedir.

Otonom siber saldırı araçları, hedef sistemlerdeki güvenlik açıklarını otomatik olarak tespit ederek istismar edebilmektedir. Bu araçların geliştirilmesi, dağıtılması ve kullanılması, TCK'nın bilişim suçlarına ilişkin hükümleri kapsamında değerlendirilmektedir. Zararlı yazılım geliştirme ve yayma fiilleri, TCK madde 244 çerçevesinde cezai yaptırıma tabi olmaktadır. Yapay zeka destekli saldırıların artan karmaşıklığı, adli bilişim incelemelerinde uzmanlaşmış ekiplerin görevlendirilmesini zorunlu kılmaktadır.

Nesnelerin interneti (IoT) cihazlarının yaygınlaşması, siber saldırı yüzeyini genişletmektedir. Akıllı ev sistemleri, endüstriyel kontrol sistemleri ve sağlık cihazlarına yönelik saldırılar, fiziksel güvenliği doğrudan tehdit edebilmektedir. Bu cihazların güvenlik açıkları üzerinden gerçekleştirilen saldırılar, bilişim sistemine hukuka aykırı girme suçunun yanı sıra somut tehlike yaratan fiiller olarak da değerlendirilebilmektedir. IoT güvenliğine ilişkin yasal düzenlemeler, teknolojik gelişmelere paralel olarak güncellenmektedir.

Kritik altyapılara yönelik siber saldırılar, ulusal güvenlik boyutuyla ele alınan en ciddi bilişim suçları arasındadır. Enerji santralleri, ulaşım sistemleri, finans altyapısı ve iletişim ağlarına yönelik saldırılar, toplumsal düzeni doğrudan tehdit etmektedir. Bu alandaki suçlar, TCK'nın genel hükümlerinin yanı sıra özel güvenlik mevzuatı kapsamında da değerlendirilmektedir. Siber güvenlik stratejileri ve ulusal eylem planları, bu tehditlere karşı bütüncül bir yaklaşım benimsenmesini amaçlamaktadır. Güncel mevzuat bilgisi için mevzuat.gov.tr düzenli olarak takip edilmelidir.

Bilişim Suçlarında Savunma Stratejileri ve Hukuki Haklar

Bilişim suçlarıyla itham edilen kişilerin etkin bir savunma stratejisi oluşturabilmeleri için öncelikle şüpheli veya sanık haklarını eksiksiz bilmeleri gerekmektedir. Susma hakkı, müdafi yardımından yararlanma hakkı, delillerin toplanmasını isteme hakkı ve adil yargılanma hakkı, bilişim suçlarında da tam olarak geçerlidir. Özellikle teknik konuların ağırlıklı olduğu bilişim davalarında uzman müdafi yardımı almak, savunmanın etkinliği açısından belirleyici bir rol oynamaktadır.

Dijital delillerin hukuka uygunluğunun denetlenmesi, savunma stratejisinin temel unsurlarından birini oluşturmaktadır. Bilgisayar, telefon ve diğer dijital cihazlara el konulması ve bunların incelenmesi, CMK'nın öngördüğü usul kurallarına uygun biçimde gerçekleştirilmelidir. Hakim kararı olmaksızın veya hukuka aykırı biçimde elde edilen dijital deliller, mahkemede hükme esas alınamamaktadır. Delil zincirinin bozulması, hash değerlerinin uyumsuzluğu veya inceleme raporundaki teknik hatalar da savunmada ileri sürülebilecek itiraz gerekçeleri arasındadır.

Bilişim suçlarında uzman bilirkişi desteği, hem iddia hem de savunma açısından kritik bir öneme sahiptir. Savunma tarafının bağımsız dijital forensik inceleme yaptırma hakkı bulunmaktadır. Savcılık bilirkişi raporuna itiraz edilerek yeni bilirkişi atanması talep edilebilmektedir. Teknik terminolojinin ve karmaşık dijital süreçlerin mahkemeye anlaşılır biçimde aktarılması, savunmanın başarısı açısından belirleyici olabilmektedir.

Bilişim suçlarında tutuklama, adli kontrol ve el koyma tedbirlerinin orantılılığı da savunmanın dikkatle değerlendirmesi gereken konulardandır. Dijital cihazlara el konulmasının kişinin çalışma hayatını ve iletişim hakkını ciddi biçimde kısıtlayabileceği göz önünde bulundurulmalıdır. Cihazların imaj kopyalarının alınarak asıllarının iade edilmesi talebi, orantılılık ilkesi çerçevesinde ileri sürülebilecek bir savunma argümanıdır. Adli kontrol tedbirlerinin tutuklamanın alternatifi olarak uygulanması da bu bağlamda değerlendirilmelidir.

Kişisel Verilerin İhlali ve KVKK Kapsamındaki Yaptırımlar

Kişisel verilerin hukuka aykırı olarak işlenmesi, ele geçirilmesi ve yayılması, hem Türk Ceza Kanunu hem de 6698 sayılı KVKK kapsamında yaptırıma tabi tutulmaktadır. TCK'nın 135. maddesi kişisel verilerin hukuka aykırı olarak kaydedilmesini, 136. maddesi ise verilerin hukuka aykırı olarak verilmesini veya ele geçirilmesini suç olarak düzenlemektedir. Bu suçların dijital ortamda işlenmesi halinde bilişim suçları ile içtima durumu değerlendirilmektedir. Kişisel veri ihlallerinin cezai boyutunun yanı sıra KVKK kapsamında idari para cezaları da uygulanabilmektedir.

Veri ihlali bildirimi, kişisel verilerin yetkisiz kişilerin eline geçmesi veya hukuka aykırı biçimde ifşa edilmesi halinde veri sorumlusunun yerine getirmesi gereken yasal bir yükümlülüktür. Veri sorumlusu, ihlali öğrendiği tarihten itibaren en kısa sürede Kişisel Verileri Koruma Kurulu'na bildirimde bulunmalıdır. İlgili kişilerin de ihlalden haberdar edilmesi gerekmektedir. Bildirim yükümlülüğünün yerine getirilmemesi, ayrı bir idari yaptırımı gerektirmektedir.

Sosyal mühendislik saldırıları, kişisel verilerin ele geçirilmesinde sıklıkla kullanılan bir yöntemdir. Phishing e-postaları, sahte web siteleri ve telefonla aldatma yoluyla kişisel bilgilerin elde edilmesi, hem kişisel verilerin ele geçirilmesi hem de dolandırıcılık suçlarını oluşturabilmektedir. Bu saldırıların mağdurlarının derhal şifrelerini değiştirmesi, ilgili kurumları bilgilendirmesi ve savcılığa suç duyurusunda bulunması önerilmektedir.

KVKK kapsamındaki idari para cezaları, veri ihlallerinin caydırılmasında önemli bir araç olmaktadır. Kişisel Verileri Koruma Kurulu, aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğinin sağlanmaması ve Kurul kararlarının uygulanmaması gibi ihlaller için yüksek tutarlarda idari para cezası uygulayabilmektedir. İdari para cezalarına karşı sulh ceza hakimliğine itiraz yolu açıktır. KVKK mevzuatına ilişkin güncel bilgi için mevzuat.gov.tr portalı takip edilmelidir.

Bilişim Suçlarında Zamanaşımı ve Ceza Miktarları

Bilişim suçlarında zamanaşımı süreleri, suçun türüne ve cezanın üst sınırına göre belirlenmektedir. TCK 243 kapsamındaki bilişim sistemine hukuka aykırı girme suçunda dava zamanaşımı süresi sekiz yıldır. TCK 244 kapsamındaki bilişim sistemini engelleme, bozma ve verileri yok etme suçunda ise cezanın üst sınırına göre zamanaşımı süresi sekiz ila on beş yıl arasında değişmektedir. Banka veya kredi kartlarının kötüye kullanılması suçunda (TCK 245) zamanaşımı, cezanın üst sınırı dikkate alınarak belirlenmektedir.

Bilişim suçlarında verilen cezaların miktarı, suçun işleniş biçimi, sonuçları ve failin kişisel durumuna göre belirlenmektedir. Bilişim sistemine hukuka aykırı girme suçunun temel halinde bir yıla kadar hapis cezası öngörülmekle birlikte, sistemdeki verilerin değiştirilmesi veya yok edilmesi halinde ceza iki yıldan dört yıla kadar hapis cezasına yükselmektedir. Nitelikli hallerde ve birden fazla suçun birlikte işlenmesi durumunda toplam ceza miktarı önemli ölçüde artabilmektedir.

Adli para cezası, bilişim suçlarında hapis cezasına ek olarak veya alternatif olarak uygulanabilmektedir. Kısa süreli hapis cezalarının adli para cezasına çevrilmesi, failin cezaevine girmeksizin yaptırıma tabi tutulmasını sağlamaktadır. Adli para cezasının miktarı, günlük birim ve gün sayısı üzerinden hesaplanmakta; ödenmemesi halinde hapis cezasına dönüştürülmektedir.

Tüzel kişilere uygulanan güvenlik tedbirleri, bilişim suçlarının kurumsal boyutunda önemli bir yaptırım aracıdır. Tüzel kişinin faaliyeti çerçevesinde bilişim suçu işlenmesi halinde faaliyetin durdurulması, iznin iptali ve müsadere tedbirleri uygulanabilmektedir. Bu tedbirler, şirketlerin siber güvenlik önlemlerini ciddiye almalarını ve çalışanlarının eğitimine yatırım yapmalarını teşvik etmektedir. Bilişim suçları ceza miktarları hakkında güncel bilgi için mevzuat.gov.tr portalı incelenmelidir.

Bilişim Suçlarının Önlenmesi ve Kurumsal Siber Güvenlik

Bilişim suçlarının önlenmesinde kurumsal siber güvenlik politikalarının oluşturulması ve uygulanması temel bir gerekliliktir. Şirketlerin bilgi güvenliği yönetim sistemleri kurması, ISO 27001 gibi uluslararası standartlara uyum sağlaması ve düzenli güvenlik denetimleri yaptırması, siber saldırılara karşı korunmanın temel adımları arasındadır. Çalışan eğitimleri, güvenlik farkındalığının artırılmasında en etkili araçlardan birini oluşturmakta; özellikle sosyal mühendislik saldırılarına karşı insan faktörünün güçlendirilmesi büyük önem taşımaktadır.

Kişisel siber güvenlik önlemleri, bireylerin bilişim suçlarının mağduru olma riskini önemli ölçüde azaltmaktadır. Güçlü ve benzersiz parolalar kullanılması, iki faktörlü kimlik doğrulamanın etkinleştirilmesi, yazılım güncellemelerinin düzenli yapılması ve şüpheli bağlantılara tıklanmaması, temel koruma yöntemleri arasındadır. Kamu Wi-Fi ağlarının güvenlik riskleri, VPN kullanımının önemi ve cihaz güvenliği konularında toplumsal bilinç düzeyinin yükseltilmesi, bilişim suçlarının önlenmesine önemli katkı sağlamaktadır.

Siber olaylara müdahale planı, kurumların siber saldırılara karşı hazırlıklı olmasını sağlayan stratejik bir belgedir. Bu plan, saldırının tespit edilmesi, etkisinin sınırlandırılması, sistemlerin kurtarılması ve olaydan çıkarılan derslerin değerlendirilmesi aşamalarını kapsamaktadır. USOM (Ulusal Siber Olaylara Müdahale Merkezi) ile koordinasyonun sağlanması, ulusal düzeyde siber güvenliğin güçlendirilmesinde önemli bir rol oynamaktadır.

Yasal uyumluluk, kurumsal siber güvenliğin hukuki boyutunu oluşturmaktadır. KVKK kapsamında veri güvenliği yükümlülükleri, 5651 sayılı Kanun kapsamında erişim sağlayıcıların sorumlulukları ve sektörel düzenlemeler kapsamında özel güvenlik gereklilikleri, kurumların uyması gereken hukuki çerçeveyi belirlemektedir. Veri ihlali bildirim yükümlülüğü, ihlalden itibaren yetmiş iki saat içinde Kişisel Verileri Koruma Kurumu'na bildirim yapılmasını gerektirmektedir. Siber güvenlik mevzuatına ilişkin güncel bilgi için mevzuat.gov.tr portalı takip edilmelidir.

Bilişim Suçlarında Uluslararası İş Birliği

Bilişim suçlarının sınır ötesi niteliği, bu suçlarla etkin mücadelede uluslararası iş birliğini vazgeçilmez kılmaktadır. Siber saldırıların farklı ülkelerdeki sunucular üzerinden gerçekleştirilmesi, soruşturma sürecinde birden fazla yargı yetkisi alanının devreye girmesini zorunlu hale getirmektedir. Türkiye'nin Avrupa Konseyi Siber Suç Sözleşmesi'ne (Budapeşte Sözleşmesi) taraf olması, uluslararası adli yardım mekanizmalarının etkin biçimde kullanılmasına zemin hazırlamaktadır. Dijital delillerin sınır ötesi paylaşımı, karşılıklı adli yardım anlaşmaları çerçevesinde yürütülen kritik bir süreçtir. Mevzuat Bilgi Sistemi üzerinden bilişim suçlarına ilişkin ulusal mevzuata erişim sağlanabilmektedir.

Europol ve Interpol bünyesinde yürütülen siber suç operasyonları, organize siber suç şebekelerinin çökertilmesinde Türk kolluk kuvvetlerinin uluslararası iş birliği kapasitesini ortaya koymaktadır. Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Dairesi Başkanlığı, uluslararası operasyonlarda aktif rol üstlenmekte ve bilgi paylaşımı ağlarına etkin biçimde katkı sağlamaktadır. Fidye yazılımı saldırıları, botnet operasyonları ve büyük ölçekli veri ihlallerinin soruşturulmasında uluslararası koordinasyon, operasyonların başarısını belirleyen en kritik faktördür. Siber suçlularının yakalanması ve iade edilmesi süreçlerinde diplomatik kanalların ve adli yardım anlaşmalarının etkin kullanılması gerekmektedir. Bu alandaki iş birliği, siber güvenliğin küresel bir mesele olduğunun açık bir göstergesidir.

Bulut bilişim hizmetlerinin yaygınlaşması, dijital delil toplama sürecinde yeni hukuki ve teknik zorlukları beraberinde getirmektedir. Verilerin farklı ülkelerde konumlandırılmış veri merkezlerinde depolanması, delillere erişim konusunda yargı yetkisi çatışmalarına yol açabilmektedir. Hizmet sağlayıcı şirketlerin genel merkezlerinin yabancı ülkelerde bulunması, yargısal taleplerin yerine getirilmesinde ek prosedürlerin izlenmesini gerektirmektedir. Verilerin yerelleştirilmesi (data localization) tartışmaları, ulusal güvenlik kaygıları ile dijital ekonominin gereklilikleri arasındaki dengenin gözetilmesini zorunlu kılmaktadır. Adalet Bakanlığı Uluslararası Hukuk ve Dış İlişkiler Genel Müdürlüğü, sınır ötesi adli yardım taleplerinin koordinasyonunu yürütmektedir.

Siber savaş ve devlet destekli siber saldırılar, bilişim suçlarının ulusal güvenlik boyutunu giderek daha belirgin hale getirmektedir. Kritik altyapılara yönelik siber saldırılar, enerji, ulaşım, sağlık ve finans sektörlerinin işleyişini tehdit eden stratejik riskler oluşturmaktadır. NATO Müşterek Siber Savunma Mükemmeliyet Merkezi'nin çalışmaları, siber operasyonlara uygulanacak uluslararası hukuk kurallarının belirlenmesinde referans kaynağı olarak kabul edilmektedir. Türkiye'nin ulusal siber güvenlik stratejisi, hem savunma kapasitesinin güçlendirilmesini hem de uluslararası iş birliği mekanizmalarının etkin kullanılmasını hedeflemektedir. Bu alandaki hukuki çerçevenin teknolojik gelişmelere paralel olarak sürekli güncellenmesi, bilişim suçlarıyla mücadelenin etkinliğini doğrudan belirleyen bir faktördür.

Sık Sorulan Sorular