ÖZET
Bu çalışmamızda, 2001 yılında Budapeşte’de imzalanan Avrupa Konseyi Siber Suç Sözleşmesi’nin içeriği ve uluslararası etkileri incelenmekte, Türkiye, Avrupa Birliği (“AB”) ve Amerika Birleşik Devletleri’nden (“ABD”) örnek yargı kararları ve mevzuat gelişmeleri ışığında siber suçlarla mücadelede uluslararası iş birliğinin önemi ve kapsamı anlatılmaktadır.
I. GİRİŞ
Bilişim teknolojilerinin gelişmesiyle ortaya çıkan siber suçlar, sınır aşan yapıları nedeniyle tek bir devletin çabasıyla etkili şekilde önlenememektedir. Fail ve mağdur farklı ülkelerde bulunabildiği gibi, suç konusu eylem de birden fazla ülkenin hukuk alanına sirayet edebilmektedir. “Bu nedenle sınır aşan suçlarda, en önemli özellik, suç neticesinde sadece yerelin değil, uluslararası toplumun tümünün etkilenmesidir”1. Örneğin, bir ülkede suç sayılmayan bir eylem başka bir ülkede suç kabul edilmekteyse, failin ilk ülkede gerçekleştirdiği saldırı karşısında diğer ülkenin adli makamlarının eli kolu bağlı kalacaktır2. Hiçbir devlet, diğerinin rızası olmadan o ülkede soruşturma yapamayacağına göre, siber suçlarla mücadelede uluslararası iş birliği hayati önem taşımaktadır. Bu ihtiyaçtan hareketle, Avrupa Konseyi öncülüğünde 1997 yılında uzmanlar komitesi kurulmuş ve ilk uluslararası sözleşme niteliğindeki Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi) hazırlanmıştır3. 23 Kasım 2001’de Budapeşte’de imzaya açılan Avrupa Konseyi Siber Suç Sözleşmesi, 1 Temmuz 2004’te yürürlüğe girerek bu alandaki ilk bağlayıcı uluslararası metin olmuştur. Dünyada siber suçlarla mücadelede ortak bir politika oluşturmayı hedefleyen Avrupa Konseyi Siber Suç Sözleşmesi, taraf devletlerin iç hukuklarını uyumlu hale getirmeyi, etkin bir adli yardımlaşma mekanizması kurmayı ve elektronik delillerin hızlı bir şekilde paylaşılmasını sağlamayı amaçlamaktadır. Bu makalede, Budapeşte Sözleşmesi’nin kapsamı ve uygulaması, AB, Türkiye ve ABD perspektifinden incelenecek, örnek içtihatlar değerlendirilecektir.
II. AVRUPA KONSEYİ SİBER SUÇ SÖZLEŞMESİ AMACI VE KAPSAMI
Avrupa Konseyi Siber Suç Sözleşmesi (yaygın adıyla Budapeşte Sözleşmesi) (“Sözleşme”), siber suçlarla mücadele için kapsamlı maddi ceza hukuku tanımları ile usul ve iş birliği hükümleri getiren uluslararası bir sözleşmedir. Sözleşme, Avrupa Konseyi Suç Sorunları Komitesi’nin tavsiyesiyle 1997’de başlatılan hazırlık süreci sonucunda Avrupa Konseyi Bakanlar Komitesi tarafından 8 Kasım 2001’de kabul edilmiştir. 23 Kasım 2001’de imzaya açılan metin, beş ülkenin onaylamasıyla 1 Temmuz 2004’te yürürlüğe girmiştir. 2020’lere gelindiğinde Sözleşme, coğrafi bölge ayırt etmeksizin katılıma açık küresel bir hale gelmiştir. Avrupa Konseyi üyesi 47 ülkeden 46’sı (Rusya hariç) Sözleşmeye taraftır. Ayrıca ABD, Kanada, Japonya gibi Avrupa Konseyi üyesi olmayan ülkeler de müzakerelere katılmış, nihai metni imzalamış ve birçoğu onaylayarak taraf olmuştur. Böylece Sözleşme, Avrupa bölgesinin sınırlarını aşan gerçek anlamda küresel bir siber suçla mücadele çerçevesine dönüşmüştür.
Sözleşmenin yapısı dört ana bölümde 48 maddeden oluşur. İlk bölümde tanımlar, ikinci bölümde iç hukuka yönelik düzenlemeler, üçüncü bölümde uluslararası iş birliği usulleri, dördüncü bölümde ise uygulamaya ilişkin teknik hükümler yer almaktadır. Sözleşme’nin kapsamına giren suç tipleri başlıca dört kategoriye ayrılmıştır4:
(i) Bilgisayar veri veya sistemlerinin gizliliğine, bütünlüğüne ve erişilebilirliğine yönelik suçlar (yasadışı erişim, yasadışı araya girme, verilere müdahale, sisteme müdahale, cihazların kötüye kullanımı). Bu suçlar, bilişim sistemlerinin gizlilik, bütünlük ve erişilebilirliğini korumayı amaçlar.
(ii) Bilgisayarla bağlantılı suçlar (bilgisayarla bağlantılı sahtecilik, bilgisayarla bağlantılı dolandırıcılık).
(iii) İçerikle bağlantılı suçlar (çocuk pornografisiyle bağlantılı suçlar). Çocukların cinsel istismar amaçlı görsel materyallerde kullanılmasının ve bu tür müstehcen içeriklerin çevrimiçi ortamda bulundurulması, yayılması cezalandırılır.
(iv) Telif hakkı ve bununla bağlantılı hakların ihlaline ilişkin suçlar. Bu madde, dijital ortamda işlenen korsanlık ve benzeri fikri hak ihlallerine karşı ortak bir cezai çerçeve oluşturur.
Bu maddelere ek olarak, Sözleşme’de suça teşebbüs, yardım ve yataklık da cezai sorumluluk doğuracak şekilde düzenlenmiştir. Bunlarla birlikte tüzel kişilerin sorumluluğu ve yaptırım türleri gibi konular ele alınmıştır.
Usul hükümleri bakımından, Sözleşme yenilikçi birçok araca yer vermektedir. Örneğin, maddî suç tipleriyle mücadele için gerekli delillerin hızla toplanmasına yönelik olarak: Bir bilişim verisinin derhal muhafaza altına alınması (madde 16), belirli trafik verilerinin acilen korunması ve açıklanması (madde 17) ve bir üretim emri ile servis sağlayıcıdan kullanıcı bilgileri temini (madde 18) usulleri öngörülmüştür. Kolluk makamlarına, bir yargı kararıyla bilişim sistemlerinde arama yapma ve verileri kopyalayarak el koyma yetkisi tanınmıştır (madde 19). İletişimin izlenmesi konusunda ise, belirli bir sistemden trafik verilerinin gerçek zamanlı takibi (madde 20) ve içerik verilerinin gerçek zamanlı dinlenip kayda alınması (madde 21) gibi yöntemler düzenlenmiştir. Bu usuli tedbirler, Sözleşme’nin 15. maddesinde öngörülen temel hak ve özgürlüklerin korunması şartına bağlanmıştır. Her ülke, bu yetkileri kullanırken kendi hukukunda kişisel verilerin gizliliği ve haberleşme hürriyeti gibi hakları güvence altına alacak tedbirleri almak zorundadır5.
Uluslararası iş birliği hükümleri Sözleşme’nin üçüncü bölümünde ayrıntılı şekilde ele alınmıştır. Genel ilke olarak taraflar, siber suçların soruşturma ve kovuşturmasında mümkün olduğunca kapsamlı yardımlaşmayı taahhüt etmektedir (madde 23). Sözleşme, mevcut ikili veya çok taraflı adli yardımlaşma anlaşmalarını tamamlar şekilde uygulanmak üzere tasarlanmıştır. Özellikle suçluların iadesi (madde 24) konusunda Sözleşme, taraf ülkeler arasında siber suçlar bakımından iade istemlerinin hızlı iletilebilmesi için usul kolaylıkları getirir. Karşılıklı adli yardımlaşma için de (madde 25 ve devamı) başvuru, yanıt ve gizlilik konularında ortak kurallar belirlenmiştir. Ayrıca Sözleşme, acil durumlarda bürokratik gecikmeleri en aza indirmek amacıyla her taraf ülkenin 7 gün 24 saat erişilebilir bir irtibat noktası bulundurmasını şart koşar (madde 35). Bu temas noktaları, diğer ülkelerden gelen derhal muhafaza talepleri gibi acil talepleri almak ve gerekli işlemleri başlatmakla görevlidir. Nitekim Türkiye de Sözleşme gereği irtibat makamı olarak Emniyet Genel Müdürlüğü KOM Daire Başkanlığı görevlendirilmiştir.
A. Sözleşme’ye Ek Protokoller
Sözleşme’nin kapsamı, sonradan kabul edilen protokollerle genişletilmiştir. 28 Ocak 2003 tarihli “Additional Protocol to the Convention on Cybercrime”6, bilişim sistemleri aracılığıyla işlenen ırkçı ve nefret saiki taşıyan ifade fiillerini suç kapsamına almıştır. İfade özgürlüğünün kısıtlanabileceği endişesiyle bazı devletler (ör. İngiltere, İrlanda, Macaristan, Rusya Federasyonu) bu protokolü imzalamamış olsa da Türkiye dahil pek çok ülke tarafından imzalanıp onaylanmıştır. Bununla birlikte, siber suç soruşturmalarında uluslararası iş birliğini günümüz teknolojik gelişmelerine uyarlamak üzere ikinci bir ek protokol hazırlanmıştır. “Second Additional Protocol to the Cybercrime Convention”7 başlıklı bu metin, Mayıs 2022’de imzaya açılmış olup elektronik delillerin paylaşımını hızlandıracak yeni usuller getirmektedir. Özellikle bulut bilişim ortamlarındaki delillere doğrudan erişim, sınır ötesi acil durum talepleri ve hizmet sağlayıcılarla iş birliği konularında ek protokol önemli yenilikler içermektedir. İkinci Protokol, halihazırda taraf ülkelerce imza ve onay sürecindedir ve Sözleşme’nin güncellenen ihtiyaçlara cevap verme kapasitesini arttıracağı belirtilmektedir.
Sözleşme, kapsam ve hedefleri itibarıyla evrensel bir nitelik taşısa da Sözleşme’ye ilişkin eleştiriler de bulunmaktadır. Sözleşme, her ne kadar bir uluslararası ceza sözleşmesi olarak taraf devletlere yükümlülük getirse de Sözleşme’nin yaptırımlarının verimli olabilmesi, üye devletlerin iş birliğine ve gönüllü katılımına bağlıdır. Örneğin talep ettiği yardımı alamayan devletlerin bunu zorlayıcı bir mekanizmaya taşıma imkânı yoktur. Herhangi bir uyuşmazlık halinde bağlayıcı bir çözüm mercii öngörülmemiştir. Bu yönüyle Sözleşme’nin uygulama etkinliği eleştiriye açıktır. Sözleşme, halen yürürlükteki en kapsamlı uluslararası belge olarak bu ihtiyacı büyük ölçüde karşılamakta ve taraf devletlere ortak bir dil, ortak tanımlar ve hızlı yardımlaşma olanakları sunmaktadır. Bu bağlamda, Sözleşme bir model kanun işlevi görerek henüz taraf olmayan ülkelerin dahi ulusal mevzuatlarına rehberlik etmektedir.
III. AVRUPA’DAKİ GELİŞMELER VE İÇTİHATLAR
Avrupa Konseyi bünyesinde hazırlanan Sözleşme, AB ülkelerinin büyük kısmında ulusal mevzuata yansıtılmış durumdadır. Birçok AB ülkesi, Sözleşme hükümlerine uygun ceza kanunu değişiklikleri yaparak siber suç tanımlarını ve usul tedbirlerini iç hukukuna dahil etmiştir. Avrupa Konseyi üyeleri haricinde bile Sözleşme’nin geniş kabul görmesi, AB’nin siber suçlarla mücadelede liderlik rolü üstlendiğini göstermektedir. Bununla birlikte, bahsettiğimiz üzere Sözleşme’nin başarısı sadece metnin varlığına değil, uygulamanın tutarlılığına da bağlıdır. Bu nedenle AB, Sözleşme’ye taraf ülkelerin uygulamalarını izlemek üzere 2006’da kurulan Siber Suç Sözleşmesi Taraflar Komitesi (T-CY) periyodik değerlendirmeler yapmakta, rehber notlar yayımlamakta ve gerektiğinde yeni protokoller müzakere etmektedir.
Öte yandan, AB de kendi hukuk düzeni içinde siber suçlarla mücadeleye ilişkin bağlayıcı düzenlemeler kabul etmiştir. Birlik düzeyinde üye devletlerin ceza mevzuatını uyumlaştırmak amacıyla çıkarılan 2005 tarihli Çerçeve Kararı’nın ardından, “2013/40/AB8” direktifi yürürlüğe konulmuştur. Bu direktif ile AB üyesi ülkeler bakımından Sözleşme’de öngörülen tanımlar (örn. yasa dışı sistem erişimi, veri müdahalesi) ve cezai yaptırımlar minimum standart halinde benimsenmiştir. Ayrıca üye devletlerin de 7/24 irtibat noktaları tesis etmesi ve karşılıklı adli yardımlaşmayı hızlandırması talep edilmiştir. Böylece AB, Sözleşme’nin getirdiği yükümlülükleri kendi bünyesinde güçlendirerek uygulamayı pekiştirmektedir. Nitekim Europol çatısı altında 2013 yılında kurulan Avrupa Siber Suçlar Merkezi, üye ülkeler arasında operasyonel iş birliğini destekleyerek, siber suç soruşturmalarında önemli bir koordinasyon rolü üstlenmiştir. Bununla birlikte, AB’de uluslararası iş birliğinin önündeki engeller de tamamen ortadan kalkmış değildir. Özellikle Rusya Federasyonu, Sözleşme’yi imzalamayı reddetmiş ve siber suçlar konusunda AB ile iş birliğine yanaşmadığını beyan etmiştir. Benzer şekilde Çin ve Hindistan gibi büyük ülkeler de Sözleşme’ye taraf olmayıp alternatif platformları tercih etmektedir. Bu durum, küresel ölçekte suçlular için bazı güvenli limanların oluşmasına ve siber suçluların bu ülkelerde barınarak diğer ülkelere saldırmasına yol açabilmektedir. Nitekim Rusya ve Sözleşme’ye taraf olmayan diğer ülkeler öncülüğünde Birleşmiş Milletler Genel Kurulu’nda başlatılan süreç sonucunda ayrı bir BM Siber Suç Sözleşmesi taslağı hazırlanmış ve 2025 yılı Ekim ayında imzaya açılmasına karar verilmiştir9. AB de bu Birleşmiş Milletler sözleşmesine taraf olarak, Sözleşme’ye katılmamış devletlerle iş birliğini geliştirmeyi hedeflemektedir. Avrupa Konseyi ise Sözleşme’nin yeni Birleşmiş Milletler sözleşmesiyle uyumlu olmasına çaba göstermekte, hatta Birleşmiş Milletler sürecinde gözlemci olarak deneyimlerini aktarmaktadır.
A. AB İçtihatlarından Örnekler
Siber suçlara ilişkin uyuşmazlıklar genellikle ulusal mahkemeler önüne gelse de uluslararası bazı kararlar tüm Avrupa’ya ışık tutmaktadır. Özellikle Avrupa İnsan Hakları Mahkemesi (“AİHM”), siber suç soruşturmalarında temel hakların ihlali iddialarını değerlendiren önemli kararlar vermiştir.
1. K.U./ Finlandiya10
K.U./ Finlandiya davasında, bir çocuğun kimliğini kullanarak internette ilan veren failin tespiti için gereken IP adresi bilgilerinin servis sağlayıcıdan alınmasına Fin yetkililerin mevzuatları uyarınca hizmet sağlayıcının kimlik bilgisini açıklama yükümlülüğü olmadığı gerekçesiyle talebi reddetmesi, AİHM tarafından Sözleşme’nin 8. maddesinin (özel ve aile hayatına saygı hakkı) ve 13. maddesinin (etkili başvuru hakkı) ihlal edildiğini, ilanın internet sitesine asılmasıyla kişinin özel hayatına müdahale edildiğini ileri sürmüştür. Mahkeme, devletin çocukları çevrimiçi tehditlerden korumak için yasal düzenleme yapma yükümlülüğü bulunduğunu belirterek başvurucunun özel hayat hakkının ihlal edildiğine karar vermiştir.
2. Ahmet Yıldırım / Türkiye11
Ahmet Yıldırım v. Turkey davasında, Mahkeme bir ceza soruşturması kapsamında Google Sites platformunda barındırılan bir siteyi yasaklamaya karar vermiş, ancak mahkeme kararı teknik olarak platformun tamamına erişimi engellemiş ve başvurucunun kendi sitesine erişimini imkânsız hâle getirmiştir. AİHM, internetin bireylerin ifade özgürlüğü için araç olduğunu vurgulamış ve erişim engelleme tedbirinin kanunla öngörülmediğini ve demokratik bir toplumda gerekli olmadığını belirterek 10. maddenin ihlal edildiğine hükmetmiştir.
IV. TÜRKİYE’DEKİ GÜNCEL DURUM VE İÇTİHATLAR
Türkiye, Sözleşme’ye 10 Kasım 2010 tarihinde Strasbourg’da imza atmış, Sözleşme’ye onay süreci ise bir süre sonra tamamlanmıştır. Türkiye Büyük Millet Meclisi (“TBMM”), Sözleşme’yi 6533 sayılı Kanun’un12 yayımlanmasıyla birlikte onaylamıştır. Bu kanunun yürürlüğe girmesiyle Sözleşme iç hukukun parçası haline gelmiş, Türkiye bakımından bağlayıcı hükümler doğurmuştur. Türkiye, onay belgesini Avrupa Konseyi’ne ileterek Sözleşme’nin 1 Ocak 2015 itibarıyla Türkiye’de yürürlüğe girmesini sağlamıştır13. Ayrıca Türkiye, Sözleşme’nin 2003 tarihli Ek Protokolü’nü de imzalamış ve 2022 İkinci Ek Protokolü çalışmalarına aktif katılım sağlamıştır. Böylece Türkiye, uluslararası yükümlülük üstlenerek siber suçlarla mücadelede evrensel standartları benimseyeceğini taahhüt etmiştir.
Türkiye’de siber suçlarla ilgili davalar çoğunlukla TCK 243-245/A maddeleri çerçevesinde görülmekte olup, Yargıtay kararları söz konusu hükümlerin uygulama alanını şekillendirmektedir. Bu çerçevede TCK m.243, bir bilişim sistemine hukuka aykırı girme veya sistemde kalmaya devam etme fiillerini, m.244, sistemin işleyişini engelleme ile veriler üzerinde bozma, yok etme, değiştirme, erişilmez kılma ve benzeri müdahaleleri, m.245, başkasına ait banka veya kredi kartının izinsiz kullanılması ve sahte kartla ilgili halleri, m.245/A ise bilişim suçlarını işlemeye elverişli cihaz ve programlara ilişkin fiilleri düzenler. Yargıtay, bilişim sistemine girme suçunda manevi unsurun kast olduğunu ve failin amacı suç işlemek olmasa bile salt yetkisiz girişin cezalandırılacağını vurgulamıştır. Ancak ilk defa suç işleyen genç faille ilgili bazı vakalarda, sonuç doğurmayan basit girişimler için hükmün açıklanmasının geri bırakılması gibi müesseselerin uygulanabildiği de görülmektedir. Bilişim sistemini bozma/ yok etme suçlarında Yargıtay, suça konu verinin ekonomik değerini ve failin kastını dikkatle değerlendirmektedir. Örneğin bir Yargıtay 12. Ceza Dairesi kararında, şifre kırarak bir şirketin bilgisayar sistemindeki verileri değiştiren sanığın eylemi TCK 244/2 kapsamında değerlendirildi ve şirketin uğradığı zararın tazmini koşuluyla etkin pişmanlık hükmü uygulanabileceği belirtildi14. Bu gibi kararlar, bilişim suçlarında zararın giderilmesi ve uzlaşma imkanlarının da devreye girebileceğini göstermektedir.
Türkiye’de siber suçlarla mücadele yalnızca ceza mevzuatıyla sınırlı kalmamış, aynı zamanda teknik ve idari tedbirlerle desteklenmiştir. 2013 yılında kabul edilen Ulusal Siber Güvenlik Stratejisi ve eylem planları çerçevesinde, Ulusal Siber Olaylara Müdahale Merkezi (“USOM”) ve sektörel Siber Olaylara Müdahale Ekipleri (“SOME”) kurulmuştur. Bu yapılar, siber saldırıların önlenmesi ve olaylara teknik müdahale konusunda çalışmalar yürütürken, adli makamlarla da koordinasyon halinde delil toplama ve analiz süreçlerine katkı sunmaktadır. Örneğin, bir banka sistemine yönelik DDOS saldırısında USOM hızlıca devreye girip saldırıyı bertaraf ederken, failin tespiti için IP kayıtları ve log’lar adli makamlara iletilmektedir. Böylece teknik kapasite ile hukuki süreç birbirini tamamlayıcı şekilde işletilmektedir. Bu gelişmeler Türkiye’de günümüzde yapılacak değişikliklere zemin hazırlamıştır. 2025’e gelindiğinde Türkiye’nin siber güvenlik mimarisi önemli bir dönüşüm geçirmiştir. 8 Ocak 2025’te 177 sayılı Cumhurbaşkanlığı Kararnamesiyle Cumhurbaşkanlığı’na bağlı Siber Güvenlik Başkanlığı kurularak kurumlar arası strateji ile koordinasyon merkezi tek elde toplandı. Ardından 7545 sayılı Siber Güvenlik Kanunu (“7545 sayılı Kanun”) 12 Mart 2025’te kabul edilip, 19 Mart 2025 tarihli ve 32846 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girdi. 7545 sayılı Kanun, kritik altyapıların belirlenmesi, SOME’lerin kurulması, olgunluk seviyelerinin belirlenmesi, denetlenmesi ve diğer ülkelerin siber olaylara müdahale ekipleriyle koordinasyon kurmak ile siber güvenlik ürün ve hizmetlerinde standart, sertifikasyon ve gözetim mekanizmalarının tesis edilmesi gibi görevlerle Siber Güvenlik Başkanlığı’na geniş yetkiler verdi. SOME’lerin ulusal düzeyde koordinasyonu 7545 sayılı Kanun uyarınca Siber Güvenlik Başkanlığı’nın görevleri arasına alınmıştır. Bununla birlikte USOM ve mevcut SOME yapıları, kararnamenin ve 7545 sayılı Kanun’un geçiş hükümleri gereğince yeni teşkilat ve devir işlemleri tamamlanıncaya kadar mevcut mevzuat çerçevesinde Siber Güvenlik Başkanlığı’na bağlı koordine şekilde faaliyetlerini sürdürmektedir. Ayrıca 7545 sayılı Kanun’un gelişi ile birlikte, denetim yapan otoriteye bilgi vermemek veya eksik vermek, gerekli izinleri almadan siber güvenlik faaliyeti yürütmek, kritik altyapılara ilişkin verilerin gizliliğini ihlal etmek, gerçeğe aykırı veri sızıntısı içerikleri yaymak ve Türkiye’nin millî güç unsurlarını hedef alan siber saldırılar düzenlemek gibi yeni suç tipleri tanımlanmıştır. Bu fiillere 1 yıldan 15 yıla kadar değişen hapis cezaları ile adlî para cezaları öngörülmektedir. 7545 sayılı Kanun kapsamında ayrıca siber güvenlik ürünlerinin sertifikasız kullanılması ve denetimlere izin verilmemesi gibi ihlaller için 1 milyon TL’den 100 milyon TL’ye kadar idari para cezaları öngörülmüş olup ulusal siber güvenlik ekosisteminin güçlendirilmesi amaçlanmaktadır15.
Uluslararası iş birliği bakımından, Türkiye’nin Sözleşme’ye taraf olmasının ardından, günümüzde 7545 sayılı Kanun’un kabul edilmesi uygulamada önemli avantajlar sağlamıştır. Eskiden ABD gibi farklı hukuk sistemine sahip ülkelerle adli yardımlaşma, ikili antlaşmalar yoluyla ağır aksak ilerlerken, Sözleşme ve 7545 sayılı Kanun sayesinde standartlaşmış bir çerçeve oluşmuştur. Örneğin ABD makamlarınca yürütülen bir çocuk istismarı görüntüleri soruşturması kapsamında, Türk yetkililere Sözleşme üzerinden iletilen bir ivedi koruma talebi neticesinde Türkiye’deki bir sunucuda depolanmış bazı veriler hızla muhafaza altına alınmıştır. Devamında adli yardımlaşma prosedürü işletilerek bu veriler paylaşılmış ve sorumluların her iki ülkede de yakalanması mümkün olmuştur. Bu örnek, Sözleşme’nin pratik faydasını göstermektedir. Aynı şekilde, Türkiye’den Avrupa ülkelerine gönderilen taleplerde de Sözleşme’nin ortak dilinin kullanılması ve Siber Güvenlik Başkanlığı’nın diğer ülkelerle siber güvenlik hususunda sürekli iletişim halinde olması sayesinde süreçlerin hızlandığı ifade edilmektedir. Adalet Bakanlığı Uluslararası Hukuk ve Dış İlişkiler Genel Müdürlüğü verilerine göre, Türkiye 2015-2023 arasında Sözleşme çerçevesinde 100’ün üzerinde adli yardımlaşma talebi alıp iletmiştir. Bu talepler en çok ABD, Almanya ve İngiltere ile yapılan soruşturma iş birliklerinde öne çıkmıştır.
V. ABD’DEKİ GÜNCEL DURUM VE İÇTİHATLARA GENEL BAKIŞ
ABD, Avrupa Konseyi üyesi olmamakla birlikte siber suçlar alanındaki ilk kapsamlı uluslararası metin olan Sözleşme’ye büyük önem atfetmiş ve sürece başından beri dahil olmuştur. ABD, Sözleşme’yi hazırlayan uzmanlar komitesine gözlemci olarak katılmış, metin ortaya çıktıktan sonra 23 Kasım 2001’de imzalamış ve 2006 yılında Senato onayıyla resmen taraf olmuştur. 29 Eylül 2006’da onay belgesini teslim eden ABD için Sözleşme 1 Ocak 2007’de yürürlüğe girmiştir16. Böylece Sözleşme hükümleri ABD hukuk düzeninde de uygulanabilir hale gelmiştir. Ancak bundan önce de ABD federal düzeyde halihazırda güçlü bir siber suç mevzuatına sahipti. 1984 tarihli Computer Fraud and Abuse Act (CFAA), bilişim sistemlerine yetkisiz girme, kamu/ özel sektör bilgisayarlarına zarar verme, virüs yayma, şifre kırma gibi fiilleri federal suç haline getirmişti. Bu yasa yıllar içinde siber suç tiplerindeki gelişmelere paralel olarak defalarca değiştirilip genişletilmiştir. Örneğin 1986’da yapılan bir ek ile parola dolandırıcılığı da suç kapsamına alınmış, 1996’da iletişim ahlak yasası (Communications Decency Act) ile müstehcen çevrimiçi içeriklerle mücadeleye ilişkin hükümler eklenmiştir. Dolayısıyla ABD açısından Budapeşte Sözleşmesi, mevcut hukuki altyapıyı uluslararası iş birliğine açan bir araç işlevi görmektedir. Sözleşme’nin getirdiği 7/24 irtibat noktası ağı ve hızlı muhafaza/ emir mekanizmaları, ABD’nin diğer ülkelerle veri paylaşımını kolaylaştırmıştır.
ABD içtihatları da uluslararası siber suç vakalarında dikkat çekicidir. Özellikle Amerikan mahkemeleri, aşağıdaki kararlarda görüleceği üzere yabancı ülkelerde bulunan fail ve sistemler üzerinde kendi ceza hukuklarının uygulanabilirliği ve siber suçlar konusunda cesur kararlar vermiştir.
A. United States v. Ivanov17
Bu davada, Rusya’da iken ABD’deki bir bankanın sistemine internet yoluyla sızan sanığın, fiilleri ABD topraklarına fiziken ayak basmadan işlediği savunmasına rağmen mahkeme ABD’nin yargı yetkisini haiz olduğuna karar vermiştir. Gerekçe olarak, eylemin etkilerinin ABD’de ortaya çıkması ve sanığın bilişim yoluyla da olsa ABD yasalarını ihlal etmiş olmasının yeterli görülmesi gösterilmiştir.
B. Carpenter v. United States18
Yüksek Mahkeme, polis tarafından cep telefonu operatörlerinden 12.898 adet konum verisi kaydının mahkeme kararı olmadan alınmasının ABD Anayasası’nın 4. değişikliği (makul arama ve el koyma yasağı) bakımından arama teşkil ettiğine ve genel kural olarak “yetkili mahkeme kararı olmaksızın uzun süreli konum verisi toplanamayacağına” hükmetmiştir. Mahkeme, dijital çağda bireylerin mahremiyet beklentisinin arttığını ve geçmiş konum verilerinin kişisel mahremiyeti derinden etkilediğini vurgulayarak devletin siber suç soruşturmalarında temel haklara saygı göstermesi gerektiğini belirtmiştir. Bu karar, içerik dışı veri sayılan trafik ve konum verilerinin bile mahremiyet bakımından hassas olabileceğini ve uluslararası standartlarla uyumlu korumaların gerekliliğini ortaya koymuştur.
VI. SONUÇ
Sonuç olarak, Sözleşme, siber suçlarla mücadelede dünya çapında bir standart oluşturarak uluslararası iş birliğinin önünü açmış öncü bir belgedir. Sözleşme’nin Türkiye de dahil geniş bir ülke grubu tarafından benimsenmesi, sınır aşan siber tehditlere karşı ortak bir ceza politikası geliştirilmesini sağlamıştır. Makalede incelenen örnekler, Sözleşme normlarının ulusal mevzuatlara yansıtılması sayesinde pek çok ülkede benzer suç tanımlarının ve usul araçlarının yürürlüğe konduğunu göstermektedir. Bununla birlikte, Sözleşme’nin etkinliğinin büyük ölçüde devletlerin iyi niyetli iş birliğine bağlı olduğu da belirtilmiştir. Örneğin bazı büyük devletlerin (Rusya, Çin) Sözleşme dışında kalması, küresel iş birliğinde boşluklar oluşturmaktadır. Bu durum BM çatısı altında yeni bir sözleşme girişimini gündeme getirmektedir. Yine de Sözleşme, 20 yılı aşkın süredir siber suçlar alanında en önemli uluslararası mekanizma olma özelliğini korumaktadır. Türkiye, AB ve ABD örneklerinden görüldüğü üzere, Sözleşme hem yasal uyum süreçlerini hızlandırmış hem de fiili adli yardımlaşma pratiklerini kolaylaştırmıştır. Gelecekte siber suçların teknik boyutu daha da karmaşık hale geldikçe, uluslararası hukukun bu hıza ayak uydurması gerekecektir. Nitekim yapay zekâ, kripto varlıklar ve nesnelerin interneti gibi alanlarda yeni suç tipleri ortaya çıkmaktadır. Bu bağlamda Avrupa Konseyi, Sözleşme’ye ek protokoller ve kılavuz ilkelerle güncellemeler yapmakta, AB ise üye ülkeler arasında veri paylaşımını kolaylaştıran düzenlemeler getirmektedir. Türkiye de kendi hukukunda 7545 sayılı Kanun’la birlikte gerekli düzenlemeleri yaparak ve uluslararası inisiyatiflere katılarak bu ortak çabaya katkı sunmaktadır. Nihayetinde siber suçlarla mücadele, ulusal sınırların ötesinde düşünmeyi ve hareket etmeyi zorunlu kılan bir alan olup, uluslararası iş birliği mekanizmalarının sürekli geliştirilmesiyle etkinlik kazanacaktır.
DİPNOT
Merve Erdem/ Gürkan Özocak, Sınıraşan Bir Suç Olarak Siber Suçlarla Mücadelede Uluslararası İşbirliği.
Avrupa Konseyi Siber Suç Sözleşmesi- Hukuk ve Bilişim Dergisi.
Cahit Aliusta/ Recep Benzer, Avrupa Siber Suçlar Sözleşmesi ve Türkiye’nin Dahil Olma Süreci, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, Cilt: 4, No: 2, S: 35-42, 2018.
Action against Cybercrime – Budapest Convention – Council of Europe.
First Additional Protocol to the Convention on Cybercrime, concerning the criminalization of acts of a racist and xenophobic nature committed through computer systems (ETS No. 189).
Second Additional Protocol to the Convention on Cybercrime on enhanced co-operation and disclosure of electronic evidence (CETS No. 224).
DIRECTIVE 2013/40/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA.
From Budapest to Hanoi: Comparing the COE and UN Cybercrime Conventions. https://www.lawfaremedia.org/article/from-budapest-to-hanoi--comparing-the-coe-and-un-cybercrime-conventions#:~:text=From%20Budapest%20to%20Hanoi%3A%20Comparing,not%20joined%20the%20Budapest (Erişim Tarihi: 05.08.2025).
2 Mayıs 2014 tarihli 28988 sayılı Resmi Gazete’de yayımlanan 6533 sayılı Sanal Ortamda İşlenen Suçlar Sözleşmesinin Uygun Bulunduğuna Dair Kanun.
Türkiye Cumhuriyeti, Cezai Konularda Adli İş birliği Rehberi. https://diabgm.adalet.gov.tr/Resimler/SayfaDokuman/2492019164244CEZA%C3%8E%20KONULARDA%20ADL%C3%8E%20%C4%B0%C5%9EB%C4%B0RL%C4%B0%C4%9E%C4%B0%20REHBER%C4%B0.pdf (Erişim Tarihi: 04.08.2025).
https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm (Erişim tarihi: 28.08.2025).
Multilateral (13174) – Convention on Cybercrime. https://www.state.gov/13174#:~:text=Multilateral%20%2813174%29%20,into%20force%20January%201%2C%202007 (Erişim Tarihi 04.08.2025).
United States v. Ivanov, 175 F. Supp. 2d 367 (D. Conn. 2001).
KAYNAKÇA
02.05.2014 tarihli 28988 sayılı Resmi Gazete’de yayımlanan 6533 sayılı Sanal Ortamda İşlenen Suçlar Sözleşmesinin Onaylanmasının Uygun Bulunduğuna Dair Kanun.
Action against Cybercrime – Budapest Convention – Council of Europe (Resmî web sayfası).
Ahmet Yıldırım v. Turkey.
BARAN DOĞAN, “TCK Madde 226 Müstehcenlik Suçu” – (Hukuk Bloğu, erişim 2025).
CAHİT ALİUSTA/ RECEP BENZER, Avrupa Siber Suçlar Sözleşmesi ve Türkiye’nin Dahil Olma Süreci, Uluslararası Bilgi Güvenliği Mühendisliği Dergisi, Cilt: 4, No: 2, S: 35-42, 2018.
Carpenter v United States.
Cezai Konularda Adli İşbirliği Rehberi- Türkiye Cumhuriyeti Adalet Bakanlığı, Uluslararası Hukuk ve Dış İlişkiler Genel Müdürlüğü, Kasım 2014, Ankara.
DIRECTIVE 2013/40/EU OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA.
DR. Öğr. Üyesi ASUMAN İNCE TUNÇER, Yasak Cihaz ve Programlar Suçu (TCK M.245/A), Selçuk Üniversitesi Hukuk Fakültesi Dergisi, 16.07.2024.
https://www.resmigazete.gov.tr/eskiler/2025/03/20250319-1.htm (Erişim tarihi: 28.08.2025)
JENNIFER DASKAL/ DEBRAE KENNEDY-MAYO, Budapest Convention: What is it and How is it Being Updated? July 2, 2020.
K.U. v. FINLAND.
Lawfare, “From Budapest to Hanoi: Comparing the COE and UN Cybercrime Conventions” – Lawfare Blog, 2023.
MERVE ERDEM/ GÜRKAN ÖZOCAK, Sınıraşan Bir Suç Olarak Siber Suçlarla Mücadelede Uluslararası İşbirliği.
Sanal Ortamda İşlenen Suçlar Sözleşmesi, 6533 Sayılı Yasa – SiberSAN Blog, Haziran 2014.
SERHAT KOÇ, “Siber Suç Sözleşmesine ve Yargıtaya Göre Bilişim Suçları” – (Makale, 02.02.2011).
Sınıraşan Bir Suç Olarak Siber Suçlarla Mücadelede Uluslararası İşbirliği – Akademik Bilişim 2017 Konferansı Bildirileri, Bildiri No:110.
United States Department of Justice, Prosecuting Computer Crimes – (2007 DOJ Manual)
United States v. Ivanov, 175 F. Supp. 2d 367 (D. Conn. 2001).
Yargıtay 12. CD., T. 22.06.2016, E.2015/9555, K.2016/10731.
ZEYNEP EBRAR KAYA, Temmuz 2022, Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi) – Hukuk ve Bilişim Dergisi.
.webp)
