BİLİŞİM SİSTEMİNE GİRME VEYA ORADA KALMAYA DEVAM ETME SUÇU
I. Genel Olarak
Bilişim sistemine girme suçu, bilişim suçlarının en yaygın olanıdır. Bilişim sisteminin veya verilerin dokunulmazlığını ihlal, öncelikle bilişim sistemine girmeyi gerektirmektedir. Bilişim sistemine hukuka aykırı giriş, sistemdeki verilerin güvenliğine ve gizliliğine zarar vermektedir. Ekonomik, sosyal ve teknolojik alanda yaşanan hızlı gelişim ve değişim nedeniyle bilişim sistemlerinin kullanıldığı alanlar artmakta olup, çeşitli şekillerde bilişim sistemlerine hukuka aykırı girme veya orada kalmaya devam etme sonucunda hem bilişim sistemine yetkisiz erişim suçu hem de ceza hukukumuzda düzenlenen diğer bilişim suçları artmaktadır. Bilişim sistemine girme eylemi, verilerin temin edilmesi veya verilerin öğrenilmesi amacıyla yapılabileceği gibi sırf meraktan veya failin kendisini test etmesi amacıyla da gerçekleştirilebilir. Bu eylem, sadece ekonomik veya özel yaşama ilişkin nedenlerle olmayıp casusluk veya terör saikiyle de gerçekleştirilebilir.
Bilişim alanındaki gelişmelerin hukuk alanında da önemli birtakım sorunlara neden olduğu aşikârdır. Nitekim bu alanda yaşanan gelişmelerle birlikte mülkiyet, fikri hak, haksız fiil, özel hayat vb. çok önemli hukuksal kavramların tanımları ya da anlayış biçimleri değişmiştir. Örneğin bu alanda ortaya konulan özellikle yazılıma ilişkin ürünler üzerindeki haklar bakımından bunların korunması sorunu ortaya çıkmış, verilen zararlara bağlı olarak haksız fiil algısı yeni bir boyut kazanmış, bilişim sistemlerine kaydedilen bilgilere izinsiz ulaşılması ve bunların kullanılmasına bağlı olarak özel hayat kavramının yeniden ele alınması gerekmiştir1.
Günümüzde en sık karşılan bilişim suçlarından birini bilişim sistemlerine yetkisiz erişim oluşturmaktadır2. TCK’da bu suç tipi, bilişim suçlarının ayrı bir başlık altında düzenlendiği ikinci kitabın “Topluma Karşı Suçlar” başlıklı üçüncü kısmının “Bilişim Sistemlerine Karşı Suçlar” başlıklı onuncu bölümünün ilk maddesinde “Bilişim Sistemine Girme” başlığıyla düzenlenmiştir. Buna göre: (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adli para cezası verilir. (2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir. (3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur. (4) Bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
Bu maddeyle yasa koyucu, “bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girme veya orada kalmaya devam etme” eylemini suç haline getirmiştir3. Maddenin birinci fıkrasında bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek fiili suç sayılmıştır. Sisteme hukuka aykırı olarak giren kişinin belirli verileri elde etmek amacıyla hareket etmiş bulunmasının önemi yoktur. Sisteme, doğal olarak, haksız ve kasten girilmiş olması ve orada kalınması, suçun oluşması için yeterlidir. İkinci fıkraya göre, birinci fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi, bu suç açısından daha az ceza ile cezalandırılmayı gerektirmektedir. Üçüncü fıkrada, bu suçun neticesi sebebiyle ağırlaşmış hâli düzenlenmiştir. Birinci fıkrada tanımlanan suçun işlenmesi nedeniyle sistemin içerdiği verilerin yok olması veya değişmesi hâlinde, failin suçun temel şekline nazaran daha ağır ceza ile cezalandırılması öngörülmüştür. Dikkat edilmelidir ki bu hükmün uygulanabilmesi için failin verileri yok etmek veya değiştirmek kastıyla hareket etmesi gerekir4. Dördüncü fıkrada ise bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izlemek ayrı bir suç olarak düzenlenmiştir.
Bir bilişim sistemine hukuka aykırı olarak girme veya orada kalmaya devam etme suçunun cezalandırılması için “veri” ele geçirilmesi koşulu aranmamaktadır. Kişisel verilerin elde edilmesi, TCK’nın 136. maddesinde ayrı bir suç tipi olarak düzenlenmiştir. Bu fiil ile bir kişi veya kuruluşun çıkarlarına zarar verilmese dahi bilişim sisteminin erişilmezliğine yönelik güven ortadan kaldırılmaktadır. Böylece bilişim sisteminin güvenliği özellikle “hacker” olarak tabir edilen şahıslara karşı korunmak istenmiştir5. Bilişim sistemine hukuka aykırı erişim suçu, bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilecek olan dolandırıcılık veya hırsızlık gibi suçlara ya da doğrudan bilişim suçları olan TCK’nın 244 ve 245. maddelerinde belirtilen suçlara zemin hazırlamakta ve bir araç olarak kullanılmaktadır.
Bir bilişim sistemine haksız erişim, bilişim sistemlerinin veya bilişim sistemleri kapsamındaki verilerin gizlilik, bütünlük, kullanılabilirlik gibi unsurları kapsayan güvenliğine yönelen tehdit ve saldırılar biçimdeki hukuka aykırı fiilleri anlatmaktadır. Bilişim sistemlerinin korunma ihtiyacının yanında, ister ferdi ister kurumsal düzeyde kullanıcıların rahatsız edilmemesi ve engellenmemesi de gereklidir. Yalnızca sisteme haksız erişimin dahi başlı başına bir suç olarak düzenlenmesi bir ihtiyaç olarak görülmüştür. Haksız erişim, uygulamada hacking, cracking, computer trespass vb. yöntemlerle gerçekleştirilmektedir6.
II. Suçla Korunan Hukuki Yarar
Korunan hukuki değer, suç tipinin ihdas edilmesi ile korunmak istenen değerdir7. Korunan hukuki yarar karma nitelikte olup, bireylerin özel hayatlarının gizliliği, kişisel verilerin güvenliği, iletişim özgürlüğünün korunması, kurumlara ait verilerin güvenliği, kurumların bilişim sistemlerinin güvenli olarak işleyişi, mülkiyet veya zilyetlik haklarının korunması, kamu güvenliği ve kamu düzeninin korunmasıdır. Çünkü günümüzde bilişim sistemleri ile sesli/görüntülü haberleşme, elektronik imza ile ulusal ya da uluslararası ticari ilişkiler, internet bankacılığı hizmeti ile kredi imkânları, para transferleri, elektronik ticaret vb. pek çok yenilik toplumsal hayata girmiştir. Bilişim sistemleri eğitim, sağlık, ticaret, ulaşım, iletişim ve hukuk alanlarında bireylerin ve toplumun yaşamında önemli bir noktaya ulaşmıştır. Bu sistemlerin güvenle işleyişi, aynı anda hızlı ve kolayca birçok kişi tarafından ulaşılması, eğitim, sağlık, ticaret, ulaşım, iletişim ve hukuki hizmetlerin sağlanması, kamu güvenliği ve düzenini koruma açısından korunmaya muhtaç bir alandır.
III. Suçun Unsurlarından Eylem
Maddi fiil, bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girmek veya orada kalmaya devam etmektir. Sisteme hukuka aykırı olarak girmek veya orada kalmaya devam etmekle suç oluşur8. Bu suçun oluşması için icrai nitelikteki girme eyleminin ve ihmali nitelikteki sistemde kalmaya devam etme eyleminin birlikte gerçekleşmesi gerekir9.
“Bilişim sistemine girmek”, bir bilişim sisteminde bulunan verilerin bir kısmına veya tamamına, fiziken ya da uzaktan başka bir cihaz yoluyla erişilmesidir. Erişimi gerçekleştirmek için gevşek güvenlik önlemlerinden faydalanılabileceği gibi, var olan güvenlik önlemlerindeki boşluklar da kullanılabilir. Ağ üzerinden virüsler (komik resimler, kutlama kartları veya ses ve görüntü dosyaları gibi ekler halinde), truva atı (trojan horse), macro virüsü, solucanlar vs. kullanılarak veya sistemin açık kapıları zorlanarak giriş yapılabilir. Bilgisayar veri ve sistemlerine yapılan izinsiz giriş, aynı zamanda, “bilgisayara tecavüz”, “kod kırma” ya da “bilgisayar korsanlığı” olarak da tanımlanmaktadır. Bu suç, başkasına ait bilgisayarın açılarak içindeki verilerin görülmesi biçiminde olabileceği gibi, bir ağ aracılığıyla bilişim sisteminde oturum açılması yoluyla da işlenebilir. Örneğin bir bankanın sistemine girilerek müşteri hesabına hukuka aykırı olarak bakılması10 veya bir kamu kurumunun bilgisayarına dışarıdan hukuka aykırı olarak girip orada belli bilgilerin incelenmesi veya birisinin açık bilgisayarında belli pencerelerin açılarak bakılması eylemi, anılan suçu oluşturacaktır11. Girme veya orada kalmaya devam etme açısından iletişimin kablolu veya kablosuz olması ile mesafenin yakın veya uzak olması arasında da fark yoktur. Mağdurun kişisel bilgisayarına ait işletim sistemine (Windows, Linux vs.), bir başka internet kullanıcısının, mağdurun rızası olmaksızın girmesi de suçu oluşturacaktır12.
Girme veya orada kalmaya devam etme hareketi, “bazı parçalarının açılarak veya çıkarılarak bilişim sistemi aracının içine fiziken girilmesi” demek değildir. Çalışan bilişim sistemi aracının sanal alanının içine girmektir. Bilişim sistemi aracı çalışmakta ve fail başkalarına ait verilere vakıf olabilmektedir13. Diğer bir deyişle, “girmek” kavramı, bilişim sisteminin yazılımla ilgili bölümünün tamamına veya bir kısmına ulaşmak, dâhil olmak, erişmek anlamına gelmektedir14. Bu hükümle, sistemin yazılımsal yanının güvenilirliği korunmak istenmektedir.15
Uygulamada TCK’nın 243. maddesindeki suç, genellikle bir bilişim sistemine yetkisi olmaksızın uzaktan veya ağ üzerinden gizli erişimle işlenmektedir. Teknik açıdan erişimin değişik yol ve yöntemlerinden söz edilebilir. Bilinen yaygın yöntemlerden biri “casus yazılım” kullanmaktır. Ancak bilgi ve iletişim teknolojisinde ortaya çıkan yenilik ve olanaklar, bu suçun yeni yöntemlerle işlenmesini de beraberinde getirmektedir16. Bir bilişim sistemine e-posta veya dosya gönderilmesi durumunda, bilişim sistemine girme söz konusu olmayıp yalnızca veri gönderildiğinden, bu durum girme kapsamında düşünülemez17. Eğer e-posta sıradan bir e-posta olmayıp casus program bandırıyorsa, artık suçun icra hareketlerinin başladığını kabul etmemiz gerekir. Zira e-posta açıldığında casus program harekete geçecek ve sistem içerisinde gizlenip failin amaçlarına hizmet edecektir18.
“Yasa dışı erişim” terimi, bilgisayar sistem ve verilerinin güvenliğine (yani gizlilik, bütünlük, kullanıma açıklık) yönelik tehlikeli tehdit ve saldırılar şeklindeki temel suçları kapsamaktadır. Koruma ihtiyacı, kuruluş ve kişilerin sistemlerini rahatsız edilmeden ve engellenmeden yönetme, işletme ve kontrol etme ihtiyaçlarını yansıtmaktadır. Sadece izinsiz girme, yani “hacking”, “cracking” ya da “computer trespass”, ilke olarak başlı başına yasa dışı olmalıdır. Bu durum, sistem ve verilerin meşru kullanıcılarının engellenmesine ve düzeltilmesi yüksek maliyet getiren değişiklik ve tahribata yol açabilir. Bu tür izinsiz girişler gizli verilere ve sırlara erişilmesine, sistemin ücretsiz kullanılmasına yol açabilir. “Erişim”, bilgisayar sisteminin tamamına ya da bir parçasına (donanım, bileşenler, yüklenen sistemin saklanan verileri, dizinler, trafik ve içerikle ilişkili veriler) girilmesi anlamındadır. Sisteme sadece bir e-posta mesajı ya da dosya gönderilmesini kapsamaz. Ancak PHP uzantılı link vermek suretiyle failin müştekinin linkine bağlanmasını sağlayan e-posta gönderilmesi halinde, bilişim sistemine girme suçunun maddi unsuru gerçekleşmiş olur.19
“Erişim” kavramı, kamusal telekomünikasyon ağları yoluyla ya da bir kuruluşun yerel ağı (LAN) veya intranet’i gibi bir ağ üzerindeki başka bir bilgisayar sistemine girmeyi içine alır. İletişim yöntemi (örneğin kablosuz bağlantılar da dâhil olmak üzere uzaktan ya da yakın mesafeden bağlantı sağlanması) önemli değildir20.
Suç tipi incelendiğinde, TCK’nın 243. maddesindeki suçu oluşturan hareketler açısından ayrıca bir netice gerçekleşmesinin aranmadığı, suçun gerçekleşmesi için suç tanımında yer alan hareketlerin yapılmasının gerekli ve yeterli olduğu görülmektedir. Dolayısıyla bu bir sırf hareket suçudur. Buna bağlı olarak, failin eylemi neticesinde bir zararın gerçekleşmesi ya da sistemin tehlikeye uğramasına yönelik yakın bir tehlikenin oluşması da aranmadığı için aynı zamanda bir soyut tehlike suçudur21. Yargıtay’ın aynı doğrultudaki bir kararında şöyle denilmektedir: “Oluşa ve tüm dosya kapsamına göre; katılana ait MSN adresine şifresini ele geçirmek suretiyle hukuka aykırı olarak giren ve orada kalmaya devam eden sanığın eylemine uyan 5237 sayılı TCK’nın 243/1. madde ve fıkrası uyarınca cezalandırılması gerektiği gözetilmeden, yasal ve yeterli olmayan gerekçeyle beraatına hükmolunması yasaya aykırılık oluşturmaktadır22”.
24.3.2016 tarih ve 6698 sayılı Kanun’un 30. maddesiyle TCK’nın 243/1. maddesinde yer alan “ve” ibaresi “veya” şeklinde değiştirilmiş olup, bilişim sisteminin tamamına veya bir kısmına hukuka aykırı olarak girme veya orada kalmayı açıkça aramaktadır. Buna göre suçun unsurlarının tamamlanmış sayılması için failin bilişim sistemine girmesi veya orada kalmaya devam etmesi suç ve cezanın kanuniliği açısından şarttır. Bilişim sistemine yetkisiz erişim, bilişim sistemi ve veri güvenliği için tehdit veya zarara sebebiyet verebileceği için bilişim sistemi ve veri güvenliğinin korunma ihtiyacı bulunmaktadır. Eşyanın doğası gereği failin bilişim sistemine bir amaç için girmesi gerekmekte olup failin bilişim sistemine girme amacı için kalacağı süre ne kadar az olursa olsun korunan hukuki menfaatler ihlal edilmiş olacağından suçun oluştuğu kabul edilmelidir.
Bilişim sistemine girme suçu, davranışın şekli bakımından yapılacak bir sınıflamada, “sırf hareket suçları” arasında yer alır. Bir başka deyişle, bu suçun oluşumu, suç tipinde öngörülen davranışların gerçekleştirilmesi ile tamamlanmış olur. Bunun dışında ayrıca bir zarar veya başkaca bir takım sonuçların gerçekleşmesi gerekmez23. Ayrıca bilişim sistemine doğrudan girmeden bilişim sisteminin izlenmesi halinde de suç oluşacaktır.
Suçun eylem unsurunda yer alan hareketlerden biri “orada kalmaya devam etmek” olduğundan ve bu hareket devamlılık gösterdiğinden bu suç mütemadi bir suç tipidir. Yani davranış gerçekleştirildiğinde suç oluşur, ancak hemen sona ermez. Örneğin fail bilişim sistemine girip orada kalmakla suçu işlemiş olur. Ama sisteme girip orada kalmasıyla suç sona ermez. Fail sistemde kalmaya devam ettiği müddetçe suç da devam eder24.
TCK’nın 243’üncü maddesinin dördüncü fıkrasında, bir bilişim sisteminin kendi içinde veya bilişim sistemleri arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleme eylemi bağımsız bir suç tipi olarak düzenlenmiştir. Böylece bilişim sistemlerinin veya bilişim sistemleri arasındaki veri akışının sistemlere girilmeksizin bile izlenmesi suç haline getirilmiştir. Yeni düzenlemenin suç ve cezanın kanuniliği açısından yerinde bir düzenleme olduğu kanaatindeyiz.
IV. Manevi Unsur
Bir bilişim sistemine girme veya orada kalmaya devam etme suçunun manevi unsuru kasttır. Bilişim sistemine giren fail, bu fiili izinsiz olarak gerçekleştirdiğini ve hukuka aykırı olarak davrandığını bilmeli ve bu sonucu istemelidir. Bu husus, madde gerekçesinde de özel olarak belirtilmiştir. Sisteme kasten haksız olarak girilmesi ve orada kalmaya devam edilmesi ile suç oluşur. Genel suç işleme kastı yeterlidir. Suçu oluşturan fiillerin hangi amaçla gerçekleştirildiğinin bir önemi yoktur25. Bu bağlamda suçun gerçekleşmesi bakımından özel kast aranmaz26. Mağdura zarar verme veya menfaat sağlama gibi bir amacı olmaksızın, sadece bakmak için hukuka aykırı olarak bir bilişim sistemine giren veya orada kalan kimse de bu madde gereğince sorumlu olacaktır27.
Suçla korunan hukuki menfaati ihlal etme düşüncesi olmayan ve sisteme anlık girişler yapan faillerin, bu çok kısa süreli ihlale dayanılarak cezalandırılmaması gerekir28. Failin tesadüfen bir bilişim sistemine girmesi ancak bunu fark ettiği halde sistemde kalmaya devam etmesi halinde suç oluşacaktır29.
Bu suç, icrai veya ihmali30 hareketle işlenebilir31. Failin bu suçu işlemek için özel bir saikle hareket etmesi gerekmez. Madde metninde suçun taksirle işlenebileceği ayrıca belirtilmediği için taksirle işlenemez32. Avrupa Konseyi Siber Suç Sözleşmesi’nde de kural, öngörülen tüm suçların genel kasta tabi olmasıdır. Bu suçların taksirle de işlenebileceği sözleşmede düzenlenmemiştir33. Suçun işlenmesinde failin özel bir saikle hareket etmesi gerekmediğinden suç, olası (gayri muayyen) kastla da işlenebilir34.
Hukuka aykırılığın suç tanımında özel olarak gösterildiği hallerde, hukuka aykırılığın fail tarafından bilinmesi, yani hukuka aykırılığın failin kastı kapsamında bulunması gerekir. Bu durumda madde metninde geçen hukuka aykırılık, tipikliğin unsurları içindedir. Suçun genel unsuru olan hukuka aykırılığın varlığı araştırıldığı gibi (hukuka aykırılık unsuru), failin bu fiilin hukuka aykırılığının (tipikliğin maddi unsuru) da bilincinde olup olmadığı ve böylece hareket etmeyi isteyip istemediği ayrıca araştırılacaktır. Eğer fail, hukuka aykırılığın suç tanımında özel olarak gösterildiği hallerde, hukuka aykırılık bilincine sahip değilse kastın varlığından söz edilemez. Suçun oluşması için failin sisteme girmesi veya orada kalması yetmez; failin eylemlerini hukuka aykırılık bilinci ile gerçekleştirmesi gerekmektedir.
Failin eylemi gerçekleştirirken iyi ya da kötü niyetli olması, merakını giderme, sistemin güvenliğini deneme gibi düşünceleri bulunması, suçun oluşumunu etkilemez. Fail yetkisiz olduğu halde bir bilişim sistemine girip orada kalmaya devam ederse TCK’nın 243/1’inci maddesindeki suçu işlemiş olur35. Ayrıca belirtmekte fayda var ki failin kastı, bilişim sistemine hukuka aykırı olarak girme ve orada kalma fiiline yönelik olmalıdır. Sistemdeki verilerin değiştirilmesi, yok edilmesi vb. fiillere yönelik bir kastın varlığı halinde bu suç değil, TCK’nın 244. maddesindeki sistemi engelleme, bozma, verileri etme veya değiştirme suçu oluşacaktır36.
Kusurluluğu ortadan kaldıran hallerden herhangi birisinin bulunmasına bağlı olarak failin kınanabilirliği ve bu bağlamda kusuru söz konusu olmasa bile suç oluşacak, ancak ceza verilemeyecektir. Örneğin cebir ve şiddet veya muhakkak ve ağır bir korkutma veya tehdit altında, internet vasıtasıyla, girilmesi yasak bir sisteme giriş yapan bilişim sistemi uzmanı kimse bakımından kusurun varlığından ve dolayısıyla cezai sorumluluktan söz edilemeyecektir37.
V. Hukuka Aykırılık
Yasanın verdiği yetkiye dayanılarak izinsiz şekilde bilişim sistemine girilmesi veya orada kalınmaya devam edilmesi hali de hukuka uygunluk sebebi olan “kanunun hükmünü yerine getirme” halidir. Bunun yanında CMK’nın 134. maddesinde düzenlenen “Bilgisayarlarda, Bilgisayar Programlarında ve Kütüklerinde Arama, Kopyalama ve El Koyma”, 135. maddesinde düzenlenen “İletişimin Tespiti, Dinlenmesi ve Kayda Alınması” ve 140. maddesinde düzenlenen “Teknik Araçlarla İzleme” başlıklı koruma tedbirlerinin kanunda gösterilen şartlara uygun olarak uygulanması halinde, kanun hükmünün icrası ve yetkili merciin emrini yerine getirmeden kaynaklı hukuka uygunluk sebepleri nedeniyle de bu suç oluşmayacaktır38. Kolluk görevlileri, soruşturma makamlarının kararı gereğince şüphelinin bilişim sistemine onun rızası hilafına girer ve orada kalmaya devam ederse, bu eylem dayanağını CMK’nın 134. maddesinden aldığı için hukuka aykırı sayılmayacaktır. Diğer bir ifadeyle, yasaların verdiği yetkiye dayanarak bilişim sistemine müdahale edilmesi durumunda eylem artık hukuka aykırı olarak kabul edilmeyecektir. 5651 sayılı Kanun veya CMK’nın 134 ve 135. maddeleri gereğince bu görevleri yapmak zorunda olan kişilerin eylemleri bu kapsamda değerlendirilecektir39.
Mağdurun rızası ya da yasayla verilen yetki, eylemi hukuka uygun hale getirecektir. Kişinin, sistemin sahibi ya da ilgilisi tarafından verilen bir izne dayanarak sisteme girmesi veya sistemde kalmaya devam etmesi ya da kamu görevlisinin yasadan aldığı yetkiye dayanarak aynı eylemi gerçekleştirmesi durumunda suç oluşmayacaktır40. Mağdurun rızasına dayanan hukuka uygunluk sebebinde rızanın suçun işlendiği sırada bulunması gerekir41; bu rızanın açık ya da zımni şekilde verilmesi aranmaz42. Örneğin kişinin bilgisayarının başından kalkarak arkadaşına “şunun sorununa bir baksana” demesi durumunda, bilişim sistemine girilmesine ve orada kalınmasına izin verilmiş demektir. Ancak her somut olayda bu şekilde bir rızanın olup olmadığı değerlendirilmelidir43. Normal olarak aralarında ilişki bulunmayan bir kişinin başkasının sistemine girmesinde rıza ve onayının bulunmadığı kabul edilmelidir. Böyle bir durumda sisteme giren, rızanın varlığını ispat etmek durumundadır. Rızanın bulunduğu hallerde de bunun sakatlanmamış bir irade ürünü olması aranacak, iradeyi sakatlayan nedenlerin (hata, hile, cebir, korkutma) varlığı halinde rızanın varlığından söz edilemeyecektir44.
Suç şikâyete bağlı olmadığından, mağdurun rızası eylem öncesinde elde edilmiş olmalıdır. Eylem sonrası onaylama, şikâyetçi olmama, oluşan suçu ortadan kaldırmaz ve soruşturma ve kovuşturmayı engellemez45.
Fiilin hukuka aykırı bir biçimde işlenmiş olması gerekmektedir. Sistemin ya da bir parçasının sahibi ya da başka hak sahiplerinin izniyle yapılan erişim (örneğin ilgili bilgisayar sisteminin izinli olarak test edilmesi ya da korunması amacıyla) suç olarak tanımlanamaz. Ayrıca kamunun ücretsiz ve açık erişimine izin veren bilgisayar sistemlerine erişim suç olarak tanımlanamaz. Spesifik teknik araçların uygulanması, iletişim amacıyla bilginin yerinin saptanması ve elde edilmesi için doğrudan ya da -deep-link ya da cookie ya da bot uygulanması da dâhil olmak üzere- hypertext linkleri yoluyla bir web sayfasına erişim yol açabilir. Bu araçların uygulanması tek başına “haksız” erişim kapsamına girmez. Kamuya açık bir web sitesinin işletilmesi, web sitesinin sahibinin siteye başka bir web kullanıcısının erişmesine izin verdiği anlamına gelir. Yaygın olarak uygulanan iletişim protokol ve programlarında sunulan standart araçların uygulanması, özellikle “cookie” örneğinde olduğu gibi, erişilen sistemin hak sahibinin ilk yüklemeyi reddetmeyerek ya da daha sonra uygulamayı kaldırmayarak bunların uygulanmasını kabul ettiğinin düşünülebileceği durumlarda, tek başına hukuka aykırı işlenmiş bir fiil değildir46.
Sisteme girme veya sistemde kalmaya devam etme konusunda şifrenin konulmamış olması, rıza olduğu anlamını taşımaz. Örneğin bir kimse komşusuna bilgisayarı kendi evine bırakması için verse, o kişide şifre içermeyen bilgisayarı açarsa, bu durumda rızaya aykırı hareket mevcut olduğundan anılan suçun oluştuğu kabul edilecektir47.
Rıza, ancak hak sahibi olan kimse tarafından verilebilir. Örneğin bir bankanın personeline sisteme girebilmesi için şifre verilmesi, ancak bu personelin şifreyi bankayla ilgisi olmayan bir kişiye vermesi ve şifreyi alan kişinin sisteme girmesi halinde, sisteme giriş için gerekli rıza yetkili kişi tarafından verilmediğinden personelden şifreyi alan kimsenin sisteme girmesi suç olacaktır48. Çünkü şifre o banka memuruna görevinin gereği olarak verilmiştir49.
Mağdurun rızasıyla sisteme girildikten sonra, mağdurun rızasını kaldırmasına rağmen failin sistemden çıkmaması halinde suç oluşur. Çünkü mağdurun rızasının, eylemi hukuka uygun hale getirebilmesi için failin hem bilişim sistemine girmesi hem de orada kalmaya devam etmesi sınırlarını kapsaması gerekir. Mağdurun rızasının kalkması halinde failin “ben sisteme mağdurun rızası ile girdim, artık mağdurun rızası olmasa da sistemde kalmaya devam edebilirim” şeklindeki düşüncesinin eylemi hukuka uygun hale getirmeyeceği açıktır.
Bilişim sisteminin sahibinin rızası olmaksızın failin sisteme girdiği veya orada kaldığı sırada, sistem sahibi rıza verirse, bu durumda suçun mütemadi bir suç olduğu ve temadi kesilene kadar hareketin de devam ettiği kabul edilecek olursa, suç henüz tamamlanmadan verilen rızanın eylemi hukuka uygun hale getirdiği söylenebilir50.
Hukuka aykırılık bakımından, bu suça ilişkin özellikle üzerinde durulması gereken bir başka konu ise bir bilişim sistemine bağlı olarak internet üzerinden erişilebilen internet sayfalarına ilişkindir. Nitekim bazı internet sayfalarında kişilere ait birtakım bilgiler bulunmakta ya da bireylere birtakım hizmetler sunulmaktadır. Herhangi bir şifreli koruma olmaksızın bu tür sayfalara erişim sağlanması halinde de bu fiillerin suç teşkil edip etmeyeceği düşünülebilir. Eğer sadece belirli kimselerin sayfaya giriş yapabilmesine yönelik bir şifreleme yöntemi kullanılmamışsa, bu durumda söz konusu sayfalara giriş yapılması ve içeriğinin öğrenilmesi bu suçu oluşturmaz. Nitekim sanal ortamda bir sayfa oluşturup hiçbir şifreleme yapmaksızın bunun içeriğine hiç kimse tarafından erişilmemesini istemek, sokağa bir ilan asıp bunu kimsenin okumamasını talep etmek gibidir. Söz konusu kimse zaten bu verileri şifrelemeksizin internet ortamına koymakla aleniyetini sağlamış ve kamunun bilgisine/hizmetine sunmuş olmaktadır. Bu nedenle bu tür erişimler söz konusu suçu oluşturmaz51.
VI. Soruşturma Ve Delil Toplama Yöntemi
Bilişim sistemine hukuka aykırı olarak girme veya sistemde kalma suçunun takibi şikâyete bağlı değildir. Cumhuriyet savcısı ihbar veya başka bir suretle suçun işlendiği izlenimini veren bir hali öğrendiği anda gerekli araştırma ve delil toplama sürecini tamamlayacak ve kamu davası açılmasını gerektirir yeterlilikte delil elde ederse iddianame düzenleyecektir. Ceza yargılamasında maddi gerçek arandığı için şekli olarak sadece IP kullanıcısının tespiti ile açılan davalarda eksik soruşturma söz konusu olmaktadır52. Bilişim sistemine girme işlemlerini gerçekleştiren IP kullanıcısı tespit edilip fiil ve faille irtibatının değerlendirilmesi; IP kullanıcısının suç tarihinden önce ve sonra kullandığı GSM hatlarının tespiti ile faille görüşme yapıp yapmadığının araştırılması gerekir. Ayrıca modem hattının kablolu olup olmadığı araştırılıp kablosuz olması halinde hattın güvenliği için gerekli önlemlerin alınıp alınmadığı, internet bağlantısına dışarıdan girilip girilemeyeceği, IP numarasının değiştirilmesinin mümkün olup olmadığı, bilgisayara veya cep telefonuna virüs gönderilerek bilgilerinin alınıp alınmadığı, internet erişimlerine servis sağlayıcısının aynı bilgisayar için her seferinde farklı bir numara belirlemesi gerekirken aynı IP numarasının farklı bilgisayarlara verilebilmesinin mümkün olup olmadığı hususlarının tespiti ile modem ve bilgisayarlarla ilgili olarak uzman bilirkişiler tarafından hazırlanacak inceleme raporu çıkartılarak suç tarihine kadar yapılan işlemler ve elektronik izlerin tespit edilmesi gerekmektedir. Her olayın somut özelliklerine göre soruşturma yapılarak maddi gerçeğin ortaya çıkarılması gerekir. Nitekim Yargıtay’ın aynı doğrultudaki bir kararında şöyle denilmektedir: “Sincan Cumhuriyet Başsavcılığının 03.01.2011 tarihli iddianamesiyle, sanık hakkında katılan adına internette facebook hesabı açıp resim yüklediğinin iddia olunması karşısında; sanığın eyleminin sabit görülmesi halinde sistemi engelleme, bozma, verileri yok etme veya değiştirme suçu kapsamında değil, TCK’nın 136/1’inci maddesinde düzenlenen verileri hukuka aykırı olarak verme veya ele geçirme suçu kapsamında değerlendirilmesi gerektiği, ancak sanığın, evinde internet sistemini kablosuz olarak kullandığı, ilk sıralarda internete girdiğinde oluşturduğu bir şifresinin olmadığı, bu nedenle kablosuz erişim olanağı dikkate alındığında belli bir mesafede herhangi bir kimsenin de kendisine ait internet sistemi üzerinden internete erişim olanağının var olduğunu öğrendiği, bu kişilerden herhangi birisinin muhtemelen yaptığı, kendisinin kesinlikle böyle bir şey yapmadığı, müştekiyi hiç tanımadığı, interneti kendisi dışında kullanan olmadığı, suçlamayı bu nedenle kabul etmediği, sonradan şifre kullanmaya başladığı, 2 aydır şifre ile internete girdiği yönündeki savunması ile bilişim uzmanı bilirkişi raporunda, facebook şirketinin merkezinin ABD de bulunduğu, Türkiye’de temsilciliği bulunmadığı, bu yüzden söz konusu adrese ait log kayıtlarının tespit edilebilmesinin mümkün olmadığı, sanığın kablosuz modemle internet erişimi sağladığı, şifresiz kullandığını beyan ettiği, bu nedenle yaklaşık 200 metre çevresinde bulunan herhangi birisinin eylemi gerçekleştirmiş olabileceği, sanığa ait bilgisayar hard diskinde yapılan incelemede dava konusu olay ile ilgili herhangi bir bulguya ulaşılamadığının belirtilmesi karşısında, sanığa atılı suç sabit olmadığından beraatına karar verilmesinde isabetsizlik görülmemiştir”53.
Gelişen ve çeşitlenen teknoloji nedeniyle araştırma ve soruşturma görevlilerinin nitelik ve niceliklerinin artırılması gerekmekte olup, delil toplama tekniklerinin teknolojiye uygun olarak geliştirilmesi ve delillerin titizlikle araştırılması şarttır54. Aksi takdirde bilişim sistemine hukuka aykırı olarak girme ve sistemde kalma suçu etkin bir şekilde soruşturulamayacak ve failler cezasız kalacaktır. Faillerin delilleri karartma kolaylığı göz önünde tutulduğunda delillerin ivedi olarak tespit edilmesi için belirtilen suça ilişkin nasıl delil elde edileceğinin yasal düzenlemeler yapılarak sistematik olarak ortaya konulması gerekmektedir.
Somut olayın özelliklerine göre değişen delil toplama teknikleri kullanılmalıdır. Örneğin e-posta adresi kullanıcısının erişiminin engellendiğine ilişkin şikâyeti üzerine öncelikle erişimi engellenen adresin şikâyetçiye ait olup olmadığı saptanmalı, bu husus ilgili internet sağlayıcısından sorularak adresin oluşturulma tarihi, kim tarafından oluşturulduğu ve IP (İnternet Protokolü) numarası sorulmalıdır. Servis sağlayıcı şirketten de erişimin engellediği iddia olunan tarih/tarihler ve takip eden günlerde e-posta adresine giriş yapılıp yapılmadığı, erişim sağlanmışsa IP bilgileri, bu tarihler itibariyle e-posta adresine ait şifrenin değiştirilip değiştirilmediği, değiştirilmiş ise ne zaman ve hangi IP numarası ile yapıldığı araştırılmalıdır. İlgili Telekom Müdürlüklerinden, sisteme giriş yapan veya başarısız olan IP numaraları kullanıcılarının adres ve telefon bilgileri istenip loglar üzerinde inceleme yapılmalıdır. Erişimin sağlanamaması halinde, giriş yapmak isteyenler arasında şikâyetçinin de bulunup bulunmadığının IP numarasından tespit edilerek iddianın doğruluğu belirlenmelidir. Şikâyetçiye ait e-posta adresine veya ele geçirilen adresten başkalarına görüntü, yazı veya ses kaydı gönderildiğinin iddia olunması halinde ise, bu husus/hususlar üzerinde durulup gerekli tespitler yapılıp örnekleri de alınarak soruşturma dosyasının içine konulmalıdır. Şikâyetçi ve şüpheliye ait bilgisayarlara el konulup harddiskler incelenerek bilgisayarlar arasında bağlantı ve veri akışı olup olmadığı saptanıp olaya ilişkin bilgi sahipleri ile ele geçirilen adres kullanılmak suretiyle görüntü ve yazı gönderilerek ulaşılan adres sahipleri tanık sıfatıyla dinlenmelidir55.
DİPNOTLAR
1 Karakehya, H, Türk Ceza Kanunu’nda Bilişim Sistemine Girme Suçu, TBB Dergisi, S:81, 2009, s. 2.
2 Kadir, Rizgar Mohammed, “The Scope and the Nature of Computer Crimes Statutes – A Critic Comparative Study”, German Law Journal, Vol.11 No.6, June 2010, s. 626 (akt-Erdoğan, s. 318).
3 Dülger, s. 318.
4 TCK’nın 243. maddesinin gerekçesi.
5 Taşdemir, s. 255.
6 Bkz. Karagülmez, s. 197.
7 Artuk /Gökçen / Yenidünya, Ceza Hukuku Özel Hükümler, 9. Baskı, Turhan Kitabevi, Ankara 2008, s. 25.
8 Artuk/Gökçen/Yenidünya, Türk Ceza Kanunu Şerhi, s. 4631; Yazıcıoğlu, “Hukukumuzda TCK’nın 243’üncü Madde Kapsamında Bilişim Sistemine Girme Eylemi”, s.82; Yaşar / Gökçan /Artuç, s. 6742; Öngören, İnternet Hukuku, s. 46; Dülger, s. 40; Ketizmen, s. 81; Özbek ve diğerleri, s. 906; Erdağ, İ, “Ekonomi, Sanayi ve Ticarete İlişkin Suçlar-Bilişim Alanında Suçlar” http://www.ceza-bb.adalet.gov.tr/makale/100. doc,., s. 20; Erdoğan, s. 125; Karagülmez, s. 202; Bayındır, s. 62.
9 Yaşar/ Gökçan/Artuç, s. 6743; Ketizmen, s. 106; Artuk /Gökçen/Yenidünya, Türk Ceza Kanunu Şerhi, s. 4633.
10 Yargıtay 1. CD, 26.03.2009 gün ve 2009/18190-3058 esas ve karar sayılı ilam.
11 Erdoğan, s. 127.
12 Yargıtay 8. CD, 03.11.2014 tarih, 2014/21702 esas ve 2014/24201 karar sayılı ilam.
13 Soyaslan, s. 609.
14 Erdoğan, s. 126.
15 Yazıcıoğlu, Hackerler ve Bilişim Sistemine Girme Suçu, s. 1256.
16 Karagülmez, s. 207.
17 Artuk/Gökcan/Yenidünya, Türk Ceza Kanunu Şerhi, s. 4631.
18 Erdoğan, s. 127.
19 Yargıtay 4. CD, 27. 02. 2015 tarih, 2014/30065 esas ve 2015/22375 karar sayılı ilam.
20 Eralp, Özgür, “Bilişim Sistemine Girme”, s. 6, Ağustos 2011, Ankara, www.ozgureralp.av.tr, (Erişim Tarihi:12.09.2015)
21 Dülger, s. 341; Özbek ve diğerleri, s. 910.
22 Yargıtay 8. CD, 9.06.2014 tarih, 2014/5592 esas ve 2014/14132 karar sayılı ilam.
23 Karakehya, s. 14.
24 Karakehya, s. 13.
25 Erdağ, s. 20.
26 Dülger, s. 361.
27 Karakehya, s. 15.
28 Karakehya, s. 14.
29 Taşdemir, s. 260.
30 Failin tesadüfen bir bilişim sistemine girmesi ancak bunu fark ettiği halde sistemde kalmaya devam etmesi halinde suç oluşur. (Taşdemir, s. 260.)
31 Taşdemir, s. 260; Özbek ve diğerleri, s. 912-913; Dülger, s. 357.
32 Dülger, s. 357; Erdoğan, s. 157; Özbek ve diğerleri, s. 913; Karagülmez, s. 208.
33 İçel, Kayıhan, “Avrupa Siber Suç Sözleşmesi Bağlamında Avrupa Siber Suç Politikasının Ana İlkeleri”, İÜHFM, C:LIX, S: 1-2, 2001, s. 9.
34 Özbek ve diğerleri, s. 912; Doğan, s. 297.
35 Taşdemir, s. 260.
36 Kurt, s. 159; Doğan, s. 297.
37 Karakehya, s. 15.
38 Doğan, s. 297.
39 Eralp, s. 11.
40 Dülger, s. 367.
41 Taşdemir, s. 259.
42 Yaşar/Gökcan/Artuç, s. 6747.
43 Erdoğan, s. 159.
44 Malkoç, s. 2066.
45 Malkoç, İsmail, Yeni Türk Ceza Kanunu, C II, Malkoç Kitabevi, Geliştirilmiş 3. Bası, Ankara 2008, s. 2067.
46 Eralp, s. 6.
47 Ergün, İsmail, Siber Suçların Cezalandırılması ve Türkiye’de Durum, Adalet Yayınevi, Ankara 2008.
48 Erdoğan, s.159.
49 Taşdemir, s. 259.
50 Özbek ve diğerleri, s. 912; Erdoğan, s. 160.
51 Karakehya, s. 16-17.
52 Yargıtay 13. CD, 26.02.2015 tarih, 2014/15995 esas ve 2015/3124 karar sayılı ilam.
53 Yargıtay 12. CD, 16.06.2014 tarih 2013/28893 esas ve 2014/14700 karar sayılı ilam.
54 Yargıtay 12. CD, 6.04.2015 tarih, 2014/23220 esas ve 2015/5842 karar sayılı ilam.
55 Yargıtay 8. CD, 3.11.2014 tarih, 2014/21702 esas ve 2014/ 24201 karar sayılı ilam.