Bilişim Suçlarında Normlar Hiyerarşisi: TCK 244/4 ve Nitelikli Hırsızlık-Dolandırıcılık Ayrımının Hukuki Analizi
Bilişim suçlarında suç vasfının tayini, bilişim sisteminin araç olarak mı yoksa suçun konusu olarak mı kullanıldığına göre değişen karmaşık bir normlar hiyerarşisine dayanır. TCK 244/4 maddesinin tali norm niteliği, dijital verilerin manipülasyonu ile elde edilen haksız menfaatlerde ispat yükü ve IP tespiti süreçleri yargılamanın çekirdek uyuşmazlıklarını oluşturur.
Bilişim Sistemlerine Müdahale ve Haksız Menfaat Temininde Suç Vasfının Belirlenmesi
Bilişim suçları, 5237 sayılı Türk Ceza Kanunu’nun (TCK) onuncu bölümünde "Bilişim Alanında Suçlar" başlığı altında m. 243, 244 ve 245 hükümlerinde düzenlenmiştir. Yargıtay Ceza Genel Kurulu'nun yerleşik içtihatlarına göre bu suçlar, bilişim sisteminin işleyişine, verilerin bütünlüğüne veya kart güvenliğine doğrudan saldırı mahiyetindedir. Bir eylemin TCK m. 244/4 kapsamında değerlendirilebilmesi için, fiilin daha ağır cezayı gerektiren "hırsızlık", "dolandırıcılık" veya "zimmet" gibi bir başka suçu oluşturmaması zorunludur. Uygulamada, bilişim sistemine girilerek verilerin değiştirilmesi yoluyla bir menfaat sağlandığında, eylemin nitelikli hırsızlık (m. 142/2-e) mı yoksa bilişim sistemi aracılığıyla haksız yarar sağlama mı olduğu hususu, sistemin ne ölçüde manipüle edildiğine ve zilyetliğin devri için insani bir iradenin aldatılıp aldatılmadığına bağlıdır.
"Bilişim sistemlerine izinsiz girilmesi (m. 243), 'bilişim sistemlerindeki verilere müdahalelerde bulunulması' (m. 244), 'bilişim sistemleri aracılığıyla haksız yarar sağlanması' (m. 244/4), 'banka veya kredi kartlarının kötüye kullanılması' (m. 245)' gibi suçlar, bilişim suçları olarak düzenlenmiştir."
Kaynak: Yargıtay Ceza Genel Kurulu - Esas No: 2009/11-193 - Karar No: 2009/268
TCK 243: Bilişim Sistemine Hukuka Aykırı Giriş ve Kalma Suçunun Yapısal Analizi
TCK m. 243, bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmeyi ve orada kalmaya devam etmeyi yaptırıma bağlar. Suçun oluşması için sisteme girişin "hukuka aykırı" olması, yani failin bu sisteme erişim yetkisinin bulunmaması gerekir. Sisteme giriş; fiziksel olarak cihazın başına geçilmesiyle olabileceği gibi, uzaktan erişim protokolleri (RDP, SSH vb.) veya zararlı yazılımlar aracılığıyla da gerçekleştirilebilir. Önemli bir ayrım olarak; sistemde kalmaya devam etme fiili, giriş eyleminin bir devamı niteliğinde olup, failin sistemden çıkma imkanı varken iradi olarak kalışını sürdürmesini ifade eder.
Sisteme Giriş ve Orada Kalma Eyleminin Ayrımı
TCK m. 243/1 uyarınca, sisteme sadece girilmesi suçun tamamlanması için yeterlidir. Ancak fail, sistemde kalmaya devam ederse ceza miktarı değişmemekle birlikte eylem mütemadi suç niteliği kazanır. Uygulama notu olarak; failin yetkili olduğu bir sisteme girdikten sonra yetkisinin sona ermesine rağmen sistemde kalmaya devam etmesi de bu madde kapsamında değerlendirilebilir. Şifre kırma, brute force saldırıları veya oltalama (phishing) yöntemleriyle elde edilen kimlik bilgileriyle oturum açılması, tipik birer sisteme giriş fiilidir.
Verilerin Yok Olması veya Değişmesi Halinde Ağırlaştırıcı Neden (243/3)
TCK m. 243/3 fıkrası, sisteme giriş fiili neticesinde sistem içindeki verilerin yok olması veya değişmesi halini neticesi sebebiyle ağırlaşmış suç olarak düzenler. Burada failin kastı sadece sisteme girmektir; verilerin silinmesi veya değişmesi, failin kasti bir müdahalesi olmaksızın, sisteme girilmesinin doğal bir sonucu olarak ortaya çıkmalıdır. Eğer fail kasten verileri silerse, m. 243/3 değil, m. 244/2 hükmü (verileri yok etme, bozma) uygulama alanı bulacaktır.
TCK 244: Sistemi Engelleme, Bozma ve Verileri Tahrip Etme Suçları
Bilişim sisteminin işleyişine yönelik saldırılar TCK m. 244'te kademeli olarak düzenlenmiştir. Maddenin birinci fıkrası donanım veya yazılım müdahalesiyle sistemin fonksiyonunu yerine getirmesinin engellenmesini (DDoS saldırıları gibi), ikinci fıkrası ise veriler üzerindeki tasarrufları (veri silme, şifreleme, değiştirme) cezalandırır. Bu suç tipi, mülkiyet hakkından ziyade sistemin bütünlüğünü ve veri güvenliğini korumayı amaçlar.
Veri Yerleştirme ve Başka Yere Gönderme Seçimlik Hareketleri
Bilişim sistemine hukuka aykırı veri yerleştirilmesi (enjeksiyon saldırıları) veya sistemdeki verilerin failin kontrolündeki başka bir sunucuya/cihaza aktarılması m. 244/2 kapsamında yer alır. Yargıtay 8. Ceza Dairesi'nin kararlarında vurgulandığı üzere, verinin sadece kopyalanması değil, zilyetliğinin failin hakimiyet alanına geçirilmesi de bu kapsamdadır. Örneğin, bir şirketin müşteri veri tabanının izinsiz olarak dışarı çıkarılması bu suçu oluşturur.
Bilişim Sistemine Fiziksel Müdahalelerin Hukuki Niteliği
Bilişim sisteminin donanım kısmına yapılan müdahalelerin "mala zarar verme" (m. 151) mi yoksa "sistemi engelleme/bozma" (m. 244) mı olduğu doktrinde tartışmalıdır. Yargıtay 2. Ceza Dairesi'nin bir muhalefet şerhinde belirtildiği üzere, ATM cihazına mekanik düzenek yerleştirilerek paranın çıkışının engellenmesi eyleminde, donanım sistemin ayrılmaz bir parçası olduğundan m. 244/1'in uygulanması gerektiği ileri sürülmüştür. Ancak çoğunluk görüşü, bu tür donanımsal müdahaleleri, eğer dijital veriye bir müdahale yoksa, hırsızlık suçunun nitelikli hali veya mala zarar verme olarak nitelendirme eğilimindedir.
"Bilişim sisteminin donanım unsuruna yapılan müdahaleler, sistemin işleyişini engelleme veya bozma kastıyla yapılmış ve bu sonucu doğmuşsa, bu durumda daha ağır cezayı öngören 244/1. maddenin uygulanması gerektiği görüşüyle çoğunluk görüşüne katılmıyorum."
Kaynak: Yargıtay 2. Ceza Dairesi - Esas No: 2020/23092 - Karar No: 2021/6018 (Muhalefet Şerhi)
TCK 244/4 Kapsamında Bilişim Sistemleri Aracılığıyla Haksız Yarar Sağlama
TCK m. 244/4, bilişim sistemine m. 244/1 veya m. 244/2 kapsamında yapılan müdahaleler sonucunda failin kendisine veya başkasına haksız bir menfaat sağlamasını yaptırıma bağlar. Bu suçun en kritik özelliği "tali norm" olmasıdır. Eğer eylem, hırsızlık, dolandırıcılık, zimmet veya güveni kötüye kullanma suçlarından birini oluşturuyorsa, fail artık m. 244/4'ten değil, ilgili suçtan cezalandırılır.
Uygulama Notu: Mahkemeler, bir uyuşmazlıkta doğrudan m. 244/4 maddesine gitmemeli; öncelikle eylemin malvarlığına karşı suçlar (Hırsızlık m. 142/2-e veya Dolandırıcılık m. 158/1-f) kapsamında olup olmadığını titizlikle incelemelidir.
Suç Vasfı Karşılaştırma Tablosu: Hırsızlık, Dolandırıcılık ve Bilişim Suçu
| Eylem Türü | Uygulanacak Kanun Maddesi | Temel Ayrım Noktası |
|---|---|---|
| İnternet bankacılığı şifresini ele geçirip parayı kendi hesabına aktarma | TCK m. 142/2-e (Nitelikli Hırsızlık) | Sistemin otomatik işleyişiyle zilyetliğin haksız devri. |
| Sahte ilanla kişiyi kandırıp, ödemeyi bilişim sistemi aracılığıyla alma | TCK m. 158/1-f (Nitelikli Dolandırıcılık) | Mağdurun hileli davranışla aldatılması ve iradesinin sakatlanması. |
| Veri tabanındaki bakiyeyi kod müdahalesiyle artırıp haksız kazanç sağlama | TCK m. 244/4 (Bilişim Yoluyla Yarar Sağlama) | Başka bir suç (hırsızlık/dolandırıcılık) oluşmadığında uygulanır. |
| ATM cihazına düzenek koyup paranın çıkmasını engelleme | TCK m. 141/1 veya m. 142/2-e | Fiziksel müdahale ve paranın hakimiyet alanına geçirilmesi. |
TCK 142/2-e ve TCK 158/1-f ile TCK 244/4 Arasındaki Norm Çatışması
Yargıtay kararlarında sıkça vurgulanan temel ilke; bilişim sisteminin "araç" olarak kullanılması ile suçun "nesnesi" olması arasındaki farktır. Eğer bilişim sistemi kullanılarak bir insan aldatılmışsa (örneğin sahte bir web sitesi üzerinden mağdurun ödeme yapması sağlanmışsa), m. 158/1-f kapsamındaki "bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık" suçu oluşur. Ancak mağdurun hiçbir dahli olmaksızın, sadece sistem verilerine müdahale edilerek menfaat sağlanmışsa, m. 142/2-e maddesindeki "bilişim sistemlerinin kullanılması suretiyle hırsızlık" suçu gündeme gelir.
"Bilişim sistemleri aracılığıyla bir çıkar sağlandığında öncelikle bilişim sistemlerinin kullanılması suretiyle hırsızlık, bilişim sistemlerinin araç olarak kullanılması suretiyle dolandırıcılık, zimmet gibi bir başka suçun oluşup oluşmadığı tartışılmalı eylem başka bir suçu oluşturmamışsa TCK.nın 244/4. maddesi irdelenmelidir."
Kaynak: Yargıtay 8. Ceza Dairesi - Esas No: 2017/21566 - Karar No: 2020/13171
Banka veya Kredi Kartlarının Kötüye Kullanılması (TCK 245)
TCK m. 245, banka veya kredi kartlarının haksız kullanımı, sahte kart üretimi ve kullanımı fiillerini üç ayrı fıkrada düzenler. Maddenin birinci fıkrası, ele geçirilen gerçek bir kartın (veya kart bilgilerinin) rıza dışı kullanımını cezalandırır. Bu suçun oluşması için kart hamilinin rızasının bulunmaması ve failin bir yarar sağlaması şarttır. Eğer kart bilgileri internet üzerinden harcama yapmak için kullanılmışsa, eylem m. 245/1 kapsamında değerlendirilir.
Sahte Kart Üretimi ve Kullanımı Arasındaki Farklar
TCK m. 245/2, başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üretilmesini, satılmasını veya kabul edilmesini müstakil bir suç olarak tanımlar. Maddenin üçüncü fıkrası ise bu sahte kartın kullanılmasını cezalandırır. Yargıtay içtihatlarına göre, fail hem sahte kartı üretmiş hem de kullanmışsa, gerçek içtima kuralları gereği her iki fıkradan da ayrı ayrı cezalandırılmalıdır. Ancak m. 245/3’teki "fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde" ibaresi, bu fıkranın tali norm niteliğini gösterir.
Şahsi Cezasızlık Sebepleri ve Etkin Pişmanlık Uygulaması
TCK m. 245/4, kartın kötüye kullanılması suçunun belirli yakın akrabalar (eş, altsoy, üstsoy, aynı konutta yaşayan kardeşler) aleyhine işlenmesi durumunda şahsi cezasızlık sebebi öngörür. Ayrıca m. 245/5 yollamasıyla, bu suçun birinci fıkrasına ilişkin fiillerde malvarlığına karşı suçlara ait etkin pişmanlık hükümleri (TCK m. 168) uygulanabilir. Bu durumda, mağdurun zararının giderilmesi halinde cezada indirim yapılması mümkündür.
Bilişim Suçlarında İspat Hukuku ve Dijital Delillerin Sıhhati
Bilişim suçları yargılamalarında en kritik aşama, dijital delillerin (log kayıtları, IP adresleri, trafik verileri) hukuka uygun yöntemlerle elde edilmesidir. Ceza Muhakemesi Kanunu m. 134 uyarınca bilgisayarlarda, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma işlemi ancak hakim kararıyla yapılabilir. Bu usule uyulmadan elde edilen veriler, Anayasa m. 38/6 uyarınca hükme esas alınamaz.
IP Adresleri ve NAT Kayıtlarının Aidiyet Tespitindeki Rolü
Bir IP adresinin şüpheliye ait olması, suçun o şüpheli tarafından işlendiğine dair tek başına kesin kanıt teşkil etmez. İnternet servis sağlayıcıları tarafından dinamik olarak atanan IP adreslerinde, "port" bilgilerinin ve "zaman damgasının" (timestamp) eşleşmesi zorunludur. NAT (Network Address Translation) teknolojisi nedeniyle aynı IP adresi aynı anda birden fazla kullanıcı tarafından kullanılabildiğinden, kaynak port bilgisinin tespit edilememesi halinde şüphelinin aidiyeti ispatlanmış sayılmaz.
"NAT cihazıyla IP adresi ve port numarası değişen IP numaraları için bağlanan hattın özgün olarak tespit edilebilmesi için kaynak IP adresi ve kaynak port bilgisi ile birlikte zaman aralığı ve erişim sağlayan web sayfasının IP adres bilgisinin de bilinmesine ihtiyaç duyulduğu..."
Kaynak: Yargıtay 11. Ceza Dairesi - Esas No: 2021/31653 - Karar No: 2024/2780
Bilişim Suçlarında Görevli Mahkeme ve Yargılama Usulü
Bilişim suçlarında görevli mahkeme, kural olarak Asliye Ceza Mahkemesi'dir. Ancak eylem, nitelikli dolandırıcılık (TCK m. 158/1-f) suçunu oluşturuyorsa yargılama yetkisi Ağır Ceza Mahkemesi'ne aittir. Yargıtay 8. Ceza Dairesi, suç vasfının değişme ihtimali olan durumlarda (örneğin e-posta şifresinin kırılarak arkadaşlardan para talep edilmesi) görevsizlik kararı verilerek dosyanın Ağır Ceza Mahkemesi'ne gönderilmesi gerektiğini belirtmektedir.
Yetkili Mahkeme ve Suçun İşlendiği Yer
CMK m. 12 uyarınca yetkili mahkeme, suçun işlendiği yer mahkemesidir. Bilişim suçlarında suçun işlendiği yer; verilerin sisteme girildiği yer, sistemin bulunduğu yer veya menfaatin elde edildiği yer olabilir. Banka hesapları üzerinden yapılan transferlerde, paranın çekildiği veya menfaatin realize edildiği yer mahkemesi de yetkili kabul edilmektedir.
Bilişim Suçlarında Zamanaşımı ve Hak Düşürücü Süreler
Bilişim alanında işlenen suçlarda dava zamanaşımı süreleri, suçun üst sınırına göre belirlenir. TCK m. 243 ve 244 kapsamındaki temel suçlarda dava zamanaşımı süresi 8 yıldır. Ancak nitelikli hırsızlık (142/2-e) veya nitelikli dolandırıcılık (158/1-f) suçları söz konusu olduğunda bu süre 15 yıla kadar çıkmaktadır. Bilişim suçları kural olarak şikayete tabi olmayıp re'sen soruşturulur; bu nedenle 6 aylık şikayet süresi uygulanmaz.
Kurumsal Risk Analizi: Bilişim Suçları ve Şirket Sorumluluğu
Tüzel kişiler hakkında bilişim suçlarından dolayı doğrudan ceza verilmesi mümkün değildir; ancak m. 246 uyarınca tüzel kişiler hakkında "güvenlik tedbirlerine" hükmolunabilir. Bu tedbirler; suçun işlenmesiyle elde edilen haksız menfaatin müsaderesi veya faaliyet izninin iptali gibi ağır yaptırımları içerebilir. Kurumlar, KVKK uyum süreçleri ve siber güvenlik protokolleri aracılığıyla bu riskleri yönetmekle yükümlüdür.
Editörün Notu: Şirket çalışanlarının şirket sistemlerini kullanarak dışarıya saldırı yapması veya veri sızdırması durumunda, kurumun denetim yükümlülüğünü yerine getirip getirmediği hukuki sorumluluğun tayininde anahtar rol oynar.
Sıkça Sorulan Sorular
1. Facebook veya Instagram şifresinin çalınması hangi suçu oluşturur? Bu eylem, TCK m. 243/1 uyarınca bilişim sistemine hukuka aykırı girme suçunu oluşturur. Eğer fail şifreyi değiştirip asıl sahibinin erişimini engellerse, TCK m. 244/2 uyarınca verileri erişilmez kılma suçu gündeme gelir. Eğer hesap çalındıktan sonra başkalarından para istenirse, eylem dolandırıcılığa teşebbüs veya tamamlanmış dolandırıcılık (m. 158/1-f) olarak nitelendirilir.
2. IP adresi tespiti suçun sübutu için tek başına yeterli midir? Hayır. Yargıtay'ın güncel kararlarına göre IP adresi üzerinden yapılan tespitlerin mutlaka NAT kayıtları, port bilgileri ve MAC adresi gibi ikincil dijital delillerle desteklenmesi gerekir. Ayrıca kablosuz ağın (Wi-Fi) şifresiz olması veya başkaları tarafından kullanılması ihtimali "şüpheden sanık yararlanır" ilkesi gereği değerlendirilmelidir.
3. Başkasının banka kartıyla internetten alışveriş yapmanın cezası nedir? Bu fiil TCK m. 245/1 kapsamında düzenlenmiş olup, 3 yıldan 6 yıla kadar hapis ve beş bin güne kadar adli para cezası yaptırımına tabidir. Bu suçta etkin pişmanlık hükümleri uygulanabilir; ancak zararın kovuşturma başlamadan önce giderilmesi cezada daha yüksek oranda indirim sağlar.
4. Bilişim suçlarında "tali norm" ne anlama gelir? TCK m. 244/4'te yer alan "başka bir suçu oluşturmaması halinde" ifadesi, bu maddenin ikincil nitelikte olduğunu gösterir. Yani bir eylem hem bilişim suçu hem de nitelikli hırsızlık unsurlarını taşıyorsa, daha ağır ceza öngören hırsızlık hükmü uygulanır, bilişim suçu hükmü uygulanmaz.
Kaynakça
- 5237 sayılı Türk Ceza Kanunu (m. 243, 244, 245, 246, 142, 158)
- 5271 sayılı Ceza Muhakemesi Kanunu (m. 12, 134)
- Yargıtay Ceza Genel Kurulu, E. 2009/11-193, K. 2009/268
- Yargıtay 8. Ceza Dairesi, E. 2017/21566, K. 2020/13171
- Yargıtay 11. Ceza Dairesi, E. 2021/31653, K. 2024/2780
- Yargıtay 2. Ceza Dairesi, E. 2020/23092, K. 2021/6018
- Sanal Ortamda İşlenen Suçlar Sözleşmesi (Budapeşte Sözleşmesi)
Yasal Uyarı: Bu metin, bilişim suçlarına ilişkin yargısal kararlar ve mevzuat hükümleri çerçevesinde hazırlanmış genel bir akademik analizdir. Somut hukuki uyuşmazlıklarda olay bazlı teknik inceleme ve hukuki tavsiye gereklidir. Bu içerik profesyonel danışmanlık yerine geçmez; dijital delillerin zamana duyarlı doğası nedeniyle hak kayıplarını önlemek adına hukuki süreçlerin bir uzman eşliğinde yürütülmesi tavsiye edilir.
Ana Kategori Rehberi
Bu konunun genel çerçevesi için Ceza Hukuku Genel Rehberi sayfasına bakabilirsiniz.