SİBER SALDIRILARDA CEZA SORUMLULUĞU: TCK VE UYGULAMADA YAŞANAN ZORLUKLAR

I. giriş

“Teknik bir tanımla internet; dünya üzerinde bulunan tüm bilişim ağlarının ve bilgisayarların TCP/IP denilen bir yöntemle (protokolle) birbirine bağlanmasıyla oluşan, dünyadaki en büyük ve kapsamlı insan ve makine birliğini sağlayan ağ sistemidir.”1

İnternetin ve dijitalleşmenin hızla yaygınlaşması, bilgi ve iletişim teknolojilerinin günlük yaşamın ayrılmaz bir parçası haline gelmesiyle birlikte siber saldırılar; bireyler, özel hukuk tüzel kişileri ve kurumlar açısından ciddi bir tehdit haline gelmiştir. Bu tehditler, kişisel verilerin hukuka aykırı şekilde kullanılması veya paylaşılması, ekonomik kayıplar ve kamu güvenliğinin zedelenmesi gibi çok boyutlu sonuçlar doğurmuştur. Bu nedenle, siber saldırıların önlenmesi ve önlenemediğinde de faillerinin cezalandırılması, modern ceza hukukunun öncelikli konularından biri haline gelmiştir.

Bu ihtiyaçlar sebebiyle Türk Hukuku’nda siber saldırılar 5237 sayılı Türk Ceza Kanunu’nun2 (TCK) Bilişim Alanında Suçlar başlıklı 10. bölümünde düzenlenmiştir. Ancak, uygulamada dijital delil yönetimi, teknik uzmanlık, uluslararası iş birliği ve mevzuatın güncelliği gibi alanlarda önemli sorunlar yaşanmaktadır.

Bu makalede öncelikle siber saldırı suçlarının TCK’da yer alan düzenlemelerine değinilecek, akabinde uygulamada karşılaşılan sorunlardan bahsedilecektir. Makalede sunulan bu bilgiler ışığında, siber saldırıların engellenmesi ve engellenemediği durumlarda da etkin bir şekilde cezalandırabilmesi için tavsiyeler ortaya konacaktır. Ayrıca yürürlükteki mevzuatın güncel siber tehditler karşısında yeterli olup olmadığı ve etkin mücadele için mevzuat ile uygulamada iyileştirilmeye ihtiyaç bulunup bulunmadığı değerlendirilip bu doğrultuda tavsiyelerde bulunulacaktır.

II. SİBER SALDIRI KAVRAMI VE TÜRLERİ

Siber saldırı, bilişim teknolojilerinin gelişimiyle birlikte giderek artan bir tehdit unsuru haline gelmiş ve hem bireylerin hem de kurumların güvenliğini tehdit eden ciddi bir risk boyutuna ulaşmıştır. Siber saldırı, hukuki açıdan, bir bilişim sistemine veya bu sistemlerdeki verilere ilgili kişi ya da kurumların rıza ve yetkisi olmaksızın müdahale edilmesini ifade eder; buna izinsiz erişim, sistemin işleyişinin aksatılması, verilerin değiştirilmesi ya da silinmesi ve bilgilerin üçüncü kişilere aktarılması gibi hukuka aykırı fiiller de dahildir3.

Siber saldırı kavramı TCK’da açıkça tanımlanmamış olmakla birlikte, bu tür eylemler bilişim suçları kapsamında çeşitli maddelerle düzenlenmiştir. TCK’nın 243, 244 ve 245. maddeleri sırasıyla; bilişim sistemine izinsiz erişim, sistemin işleyişini bozma veya engelleme, verilerin yok edilmesi ya da değiştirilmesi ve banka veya kredi kartlarının kötüye kullanılması şeklinde fiilleri özel olarak ele almaktadır. Ayrıca, siber saldırıların yol açabileceği mülkiyet ihlalleri, kişisel verilerin hukuka aykırı şekilde ele geçirilmesi ve özel hayatın gizliliğinin ihlali durumlarında da TCK’nın farklı maddeleriyle cezalandırılabilmektedir. Böylece, siber saldırı niteliğindeki pek çok fiil, doğrudan veya dolaylı olarak TCK’nın çeşitli hükümleriyle koruma altına alınmıştır.

Siber saldırılar, faillerin niyetine, kullandıkları yöntemlere ve hedef alınan sistemlerin niteliğine göre farklı türlerde tezahür edebilmektedir. Bu saldırılar yalnızca bireysel mağduriyetlere yol açmakla kalmayıp, kamu güvenliği, ekonomik düzen ve hatta ulusal güvenlik açısından da ciddi sonuçlar doğurabilecek niteliktedir. Bu nedenle hem ulusal hem de uluslararası hukuk sistemlerinde siber suçlarla mücadeleye ilişkin mevzuatın güncellenmesi ve teknik kapasitenin geliştirilmesi büyük önem arz etmektedir.

Siber saldırı türleri başlıca şu şekilde sınıflandırılabilir:

(i) Bilişim sistemine yetkisiz erişim (hacking): Bir bilişim sistemine, sistem sahibi veya yöneticisinin açık rızası olmaksızın erişilmesi ve bu sistemin içeriğine, işleyişine ya da kontrol mekanizmalarına müdahale edilmesi eylemi, hukuki açıdan, yetkisiz erişim olarak tanımlanır4. Hackerlar veya bu tür yetkisiz erişim girişiminde bulunan kişiler, sızma girişimlerinin ilk aşamasında hedef sistemle ilgili olabildiğince fazla teknik bilgi toplamaya çalışır. Bu kapsamda alan adı sorguları yapılır; kullanılan işletim sistemi, açık portlar, aktif servisler ve benzeri unsurlar belirlenir. Elde edilen bilgiler ışığında ağ haritası oluşturulur ve zafiyet içeren noktalardan birinden yetkisiz erişim gerçekleştirilir. Bu erişim genellikle özel olarak geliştirilen yazılımlar veya uygun “exploit”lerin kullanılması yoluyla sağlanır5.

(ii) Veri yok etme, bozma veya değiştirme: Bilişim sisteminde yer alan verilerin hukuka aykırı biçimde silinmesi, tahrif edilmesi, başka bir veriyle değiştirilmesi veya erişilemez hale getirilmesi eylemleri, TCK’nın 244. maddesi kapsamında cezalandırılan bir diğer bilişim suçudur. Bahsi geçen suçu işlemenin birçok farklı yolu bulunmakla birlikte, – aşağıda da bahsedileceği üzere- virüs, sosyal mühendislik, truva atı yöntemleri en sık kullanılanlar arasında yer almaktadır. Bu yöntemler dikkate alındığında, güncel durumda TCK’nın 244. maddesinde anılan suçun önüne geçmek, özellikle bireyler için oldukça güçtür.

(iii) Bilişim sisteminin işleyişini engelleme veya bozma (ör. DDoS saldırıları): Bilişim sisteminin işleyişini engelleme veya bozma eylemi, ülkemizde yaygın olarak bilinmeyen bir siber saldırı türüdür. Bu suç tipinde, bir bilişim sisteminin olağan işleyişinin; dışarıdan gerçekleştirilen saldırılar yoluyla kesintiye uğratılması, sistemin yavaşlatılması ya da tamamen işlevsiz hale getirilmesidir. Bu tür eylemler genellikle, Dağıtılmış Hizmet Reddi, (Distributed Denial of Service – DDoS) saldırıları şeklinde gerçekleştirilmekte olup, sistem kaynaklarının aşırı yüklenerek geçici veya kalıcı hizmet aksaklıkları meydana getirmesi hedeflenmektedir6. Örneğin, bir alışveriş sitesinin kampanya günlerinde, rakip bir kişi ya da grup tarafından binlerce sahte bağlantı üzerinden erişilerek sistemin çökertilmesi bu suç tipine misal teşkil eder.

(iv) Kötü amaçlı yazılım (malware, virüs, truva atı) kullanımı: “Kötü amaçlı yazılımlar, bilişim sistemlerine sızmak, veri çalmak, sistemi bozmak veya kontrolü ele geçirmek amacıyla kullanılan zararlı yazılım türleridir”7. Virüsler, solucanlar, truva atları ve fidye yazılımları bu gruba girer. Örneğin, bir çalışanın e-posta ekinde gelen truva atını açması sonucu şirket ağına sızılması ve verilerin şifrelenerek fidye talep edilmesi, bu tür saldırılara tipik bir örnektir.

(v) Veri hırsızlığı ve kişisel verilerin ele geçirilmesi: Kişisel veya kurumsal verilerin izinsiz olarak elde edilmesi, kopyalanması, kullanılması veya üçüncü kişilere aktarılması; hem TCK hem de Kişisel Verilerin Korunması Kanunu kapsamında suç teşkil eder. Örneğin, bir sağlık çalışanının hastane sistemine girerek hastalara ait tıbbi bilgileri dışarıya sızdırması bu suç kapsamında kalan eylemlere misal teşkil eder.

(vi) Kimlik avı (phishing) ve sosyal mühendislik saldırıları: Kimlik avı; kullanıcıların aldatılarak şifre, kredi kartı bilgisi veya diğer hassas verilerini paylaşmalarının sağlanmasıdır8. Genellikle sahte e-postalar, web siteleri veya mesajlar kullanılır. Sosyal mühendislik ise, insan zaaflarından yararlanarak bilgi elde etmeye yönelik manipülatif yöntemler bütünüdür. Bu tür saldırı yöntemleri, doğrudan teknik bir müdahale gerektirmeden, mağdurun iradesiyle bilgi paylaşmasını sağlar.

(vii) Sahtecilik ve dolandırıcılık amaçlı siber eylemler: Bilişim sistemleri kullanılarak gerçekleştirilen hileli işlemler, sahte belgeler oluşturulması, sanal ortamda dolandırıcılık yapılması gibi fiilleri kapsar.

Bu fiillerin her biri, TCK’da farklı suç tipleri kapsamında değerlendirilmekte ve cezai yaptırımlara tabi tutulmaktadır.

III. TÜRK CEZA KANUNU’NDA SİBER SALDIRILARIN DÜZENLENMESİ

TCK, dijital teknolojilerin hızla gelişmesiyle birlikte ortaya çıkan yeni suç tiplerine karşı toplumsal düzeni ve birey haklarını koruma amacı doğrultusunda, siber suçlar alanında da düzenlemeler içermektedir. Bu bağlamda, TCK’nın özellikle 243 ila 245. maddeleri arasında yer alan hükümler, bilişim sistemlerine karşı işlenen suçları tanımlamakta ve cezai yaptırımlara bağlamaktadır.

TCK m.243’te “bilişim sistemine girme” suçu düzenlenmiş olup, izinsiz olarak bir bilişim sistemine giren veya orada kalmaya devam eden kişilere yönelik cezai yaptırımlar öngörülmektedir.

Bunun yanı sıra, TCK m.244’te bilişim sistemini engelleme, bozma, verileri yok etme veya değiştirme gibi eylemler suç kapsamında değerlendirilmekte; bu fiillerin kamu kurumlarına veya bankacılık sistemlerine karşı işlenmesi durumunda ise nitelikli hal hükümleri devreye girmektedir.

TCK m.245 ise başkasına ait banka veya kredi kartının izinsiz kullanımı suretiyle yarar sağlama fiilini düzenleyerek, siber dolandırıcılıkla mücadeleye hukuki zemin hazırlamaktadır. Kanun koyucu, bu düzenlemelerle bireylerin özel hayatının gizliliğini, mülkiyet haklarını ve bilişim güvenliğini korumayı hedeflemiş; aynı zamanda siber saldırıların faillerine karşı caydırıcılığı artırmayı amaçlamıştır. Ancak teknolojinin hızlı evrimi karşısında mevcut yasal çerçevenin zaman zaman yetersiz kaldığı ve uygulamada bazı hukuki boşlukların doğduğu da gözlemlenmektedir. Bu nedenle, siber suçlarla etkin mücadele için yalnızca cezai yaptırımlar değil, aynı zamanda önleyici tedbirlerin, teknik altyapının güçlendirilmesinin ve uluslararası iş birliğinin sağlanması da büyük önem taşımaktadır.

A. TCK’da Bilişim Suçları

TCK’da, siber saldırı niteliği taşıyan eylemler esas olarak 5237 sayılı Kanun’un 243, 244 ve 245. maddelerinde düzenlenmiştir. Bu hükümler kapsamında; bilişim sistemine hukuka aykırı şekilde girilmesi, sistemin işleyişinin engellenmesi veya bozulması, verilerin yok edilmesi, değiştirilmesi ya da sisteme hukuka aykırı şekilde veri yerleştirilmesi gibi fiiller cezai yaptırıma bağlanmıştır. Ayrıca, başkasına ait banka veya kredi kartlarının izinsiz kullanımı ya da bu kartlarla haksız menfaat sağlanması da bilişim suçları kapsamında değerlendirilmektedir9. Bu temel düzenlemelerin yanı sıra, bilişim yoluyla işlenebilecek bazı diğer suç tipleri de özel hükümler çerçevesinde düzenlenmiş olup, siber saldırı bağlamında değerlendirilebilecek niteliktedir.

1. Bilişim Sistemine Girme Suçu (TCK m.243)

Bir bilişim sistemine hukuka aykırı şekilde girilmesi veya sisteme izinsiz olarak erişildikten sonra orada kalınmaya devam edilmesi durumunda, fail hakkında hapis veya adli para cezası öngörülmektedir. Buna karşılık bilişim sistemine hukuka aykırı girilmesi sonucunda sistemin içerdiği verilerin yok edilmesi, değiştirilmesi veya zarar görmesi gibi sonuçların doğması durumunda ise faile daha ağır cezalar uygulanabilecektir. Ek olarak, özellikle ticari sistemlere izinsiz erişimde ceza indirimi yapılabilirken, sistem verilerinin zarar görmesi halinde daha ağır ceza uygulanmaktadır.

TCK m.243’e göre;

“(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.

(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.

(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.”10

Bu bağlamda, bir sosyal medya hesabına şifre kırmak suretiyle izinsiz erişilmesi ya da bir kişinin bilgisayarına habersiz şekilde uzaktan bağlantı sağlanması gibi fiiller bu suçun en tipik örnekleri arasında yer almaktadır. Yargıtay 8. Ceza Dairesi’nin 12.11.2015 tarihli 2015/5648 Esas, 2015/4511 Karar numaralı kararında; sanığın katılan adına ve fotoğrafını kullanarak sosyal paylaşım sitesinde hesap açıp katılanın arkadaşlarına hakaret ettiği iddiasıyla TCK m.136/1 uyarınca cezalandırılması talep edilmiştir. Yerel mahkeme ise, sanığın katılanın sosyal medya hesabının şifresini ele geçirip değiştirerek bilişim sistemini bozduğu veya erişilmez kıldığı gerekçesiyle TCK m.244/2 kapsamında mahkûmiyet hükmü kurmuştur. Yargıtay; yüklenen suç ile hükmolunan suçun farklı olması nedeniyle 5271 sayılı Ceza Muhakemesi Kanunu m.225’e aykırılık bulunduğunu belirterek, hükmün bozulmasına karar vermiştir11.

Söz konusu eylemler, yalnızca sisteme girilmesiyle sınırlı kalabileceği gibi, çoğu zaman sistemde belli bir süre izinsiz şekilde kalınması veya sistemin içerdiği verilere müdahale edilmesi şeklinde de ortaya çıkabilmektedir. Örneğin; Yargıtay 15. Ceza Dairesi’nin 23.10.2019 tarihli 2017/5622 Esas, 2019/10412 Karar numaralı kararında; Yerel mahkemece, sanık hakkında nitelikli dolandırıcılık ile bilişim sistemindeki verileri bozma, yok etme, erişilmez kılma veya veri yerleştirme suçlarından beraat hükümleri tesis edilmiştir. Katılan vekili tüm beraat hükümlerine yönelik olarak temyiz yoluna başvurmuş; ancak Yargıtay Cumhuriyet Başsavcılığı tarafından 02.08.2012 tarihli tebliğnamede yalnızca nitelikli dolandırıcılık suçuna ilişkin beraat hükmüne yönelik görüş bildirilmiş, bilişim sistemine yönelik suçlardan verilen beraat kararlarına dair herhangi bir değerlendirmeye yer verilmemiştir. Yargıtay, tebliğnamede eksik görüş bildirilmesi nedeniyle, anılan suçlara ilişkin beraat hükümlerine dair ek tebliğname düzenlenmesinin temini amacıyla dosyanın Yargıtay Cumhuriyet Başsavcılığı’na tevdiine karar vermiştir12.

2. Bilişim Sistemini Engelleme, Bozma, Erişilmez Kılma, Verileri Yok Etme veya Değiştirme Suçu (TCK m.244)

Bilişim sisteminin işleyişine müdahale ederek verileri silen, bozan, erişilmez hale getiren veya değiştiren kişiler bakımından, mevzuatta daha ağır cezai yaptırımlar düzenlenmiştir13. Bu fiiller, sistemin güvenliğine doğrudan saldırı teşkil etmekte ve kamu güvenliği açısından da tehdit oluşturabilmektedir. “Yine bilişim sistemi içerisine farklı veriler yerleştirir veya mevcut verileri üçüncü kişilere aktarırsa da bu suçu işlemiş sayılacak olup yaptırıma tabi tutulacaktır. Sayılan fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi ile ilgili fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının suçun nitelikli halini oluşturacağı düzenlenmiştir.”14

TCK m.244’e göre;

“(1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.

(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.

(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.

(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.”15

Yargıtay uygulamasında, örneğin bir elektronik posta hesabının şifresinin değiştirilerek sahibinin erişiminin engellenmesi veya uygunsuz içerik paylaşılması, TCK’nın 244. maddesi kapsamında değerlendirilmiştir.

Yargıtay’ın 12. Ceza Dairesi 2013/15899 Esas ve 2014/8411 Karar numaralı kararından kısaca bahsetmek gerekirse; sanık, tamir amacıyla kendisine bırakılan dizüstü bilgisayardaki fotoğraflar ile katılanın mesajlaşma (messenger) programına giriş için kullandığı e-posta adresi ve şifre bilgilerini mesleğinin sağladığı kolaylıktan yararlanarak ele geçirmiş, bu bilgileri taşınabilir belleğe (flash disk) aktarmış ve katılana ait messenger hesabına giriş yaparak kendi hesabını arkadaş olarak ekledikten sonra katılanın e-posta şifresini değiştirerek hesabına erişimini engellemiştir. Yargıtay, bu eylemlerin TCK m.136/1’de düzenlenen verileri hukuka aykırı olarak ele geçirme suçu ile TCK m.244/2’de düzenlenen bilişim sistemini engelleme, bozma, verileri yok etme veya değiştirme suçunu oluşturduğunu, bu nedenle sanığın her iki suçtan gerçek içtima hükümleri uyarınca ayrı ayrı cezalandırılması gerektiğini vurgulamış; yerel mahkemenin eylemi yanlış nitelendirerek kişisel verilerin kaydedilmesi suçu kapsamında hüküm kurmasını hukuka aykırı bulmuştur16.

3. Banka veya Kredi Kartlarının Kötüye Kullanılması (TCK m.245)

Banka veya kredi kartlarının kötüye kullanılması suçu (TCK m.245), başkasına ait banka veya kredi kartının izinsiz kullanımı, kart bilgilerinin ele geçirilmesi veya kartın taklit edilerek menfaat sağlanması gibi fiilleri kapsayarak ayrı bir suç tipi olarak düzenlenmiştir. Bu düzenleme, finansal sistemin güvenliğini sağlama ve bireylerin malvarlığı haklarını koruma amacını taşımaktadır.

Doktrinde, TCK m. 245 kapsamındaki banka/ kredi kartı kötüye kullanılması suçunun siber suç mu yoksa klasik malvarlığı suçu mu olduğu hususunda tartışmalar mevcuttur.

Özbek, Doğan ve Bacaksız (2024), maddenin bilişim alanında suçlar başlığı altında yer almasını ve kart bilgilerinin elektronik ortamda ele geçirilmesini vurgularken, korunan hukuki değerin malvarlığı olduğunu belirtir. Bu nedenle TCK m. 245’i “bilişim yöntemleriyle işlenen özel bir malvarlığı suçu” olarak değerlendirirler17. Buna karşılık Centel, Zafer ve Çakmut (2022), bilişim vasıtalarının suçu bilişim suçu haline getirmediğini, maddenin dolandırıcılıkla yakınlığı ve özel norm niteliğinin esas olduğunu savunur18.

Yargıtayda, özellikle 15. Ceza Dairesi’nin 2019/1732 E., 2019/2839 K. sayılı kararında, kart bilgilerinin elektronik ortamda hileyle ele geçirilmesi ve çevrimiçi harcama yapılması hallerinde TCK 245/1’in uygulanması gerektiğini vurgulamış; basit dolandırıcılık nitelendirmesini bozmuştur.

Dolayısıyla, uygulamada ve doktrinde, banka/ kredi kartı kötüye kullanılması suçunun hem siber suçlar hem de klasik malvarlığı suçu boyutlarıyla ele alınması gerektiği; nitelendirme konusunda tartışmaların sürdüğü anlaşılmaktadır19. 

4. Diğer İlgili Hükümler

Bilişim suçlarıyla bağlantılı olarak, TCK’da kişisel verilerin hukuka aykırı olarak ele geçirilmesi (m.136), özel hayatın gizliliğinin ihlali (m.134), haberleşmenin engellenmesi (m.124), haberleşmenin gizliliğini ihlal (m.132), hakaret (m.125), hırsızlık (m.142/2-e), dolandırıcılık (m.158/1-f) ve müstehcenlik (m.226) gibi suç tipleri de bilişim sistemleri aracılığıyla işlenebilecek suçlar arasında yer almaktadır. Bu nedenle, siber saldırı niteliğindeki fiiller yalnızca TCK’nın 243, 244 ve 245. maddeleriyle sınırlı olmayıp, ilgili diğer maddeler kapsamında da cezai sorumluluk doğabilmektedir.

Dolayısıyla, bilişim teknolojilerinin kullanıldığı veya hedef alındığı suç fiilleri yalnızca TCK’nın 243, 244 ve 245. maddeleri kapsamında değerlendirilmemekte; fiilin niteliğine göre yukarıda sayılan diğer maddeler bakımından da cezai sorumluluk doğabilmektedir. Bu husus, bilişim teknolojilerinin sağladığı geniş olanakların, suçun işleniş yöntemleri bakımından klasik suç tipleriyle de kesişebildiğini ve cezai sorumluluğun her somut olayda bütüncül bir değerlendirmeye tabi tutulması gerektiğini göstermektedir.

IV. SİBER SALDIRILARDA CEZA SORUMLULUĞUNUN ŞARTLARI

Siber saldırılar kapsamında ceza sorumluluğunun doğabilmesi için, klasik ceza hukuku ilkelerinde olduğu gibi failin ve mağdurun tespit edilmesi ile suçun maddi ve manevi unsurlarının somut olayda ortaya konulması gerekmektedir. Bilişim suçlarının soyut niteliği, delillendirme ve fiilin tespiti süreçlerinde özel dikkat ve uzmanlık gerektirmektedir.

A. Fail ve Mağdur

Bilişim suçları açısından fail yönünden herhangi bir özel nitelik aranmaz. Bu sebeple anılan suçların failinin herkes olabilme ihtimali mevcuttur. Failin profesyonel bir siber suçlu olması gerekmediği gibi, temel düzeyde dijital bilgiye sahip bir birey tarafından da işlenmesi mümkündür. Dolayısıyla, failin teknik kapasitesi veya uzmanlık düzeyi ceza sorumluluğunun tespitinde belirleyici değildir. Tüzel kişi olabilir mi?

Mağdur ise genellikle siber saldırıya konu bilişim sisteminin maliki, bu sistemi meşru biçimde kullanan kişi ya da sistem üzerinde veri barındıran gerçek veya tüzel kişidir. Özellikle ticari kuruluşlar, kamu kurumları ve bireyler, farklı düzeylerde mağduriyet yaşayabilmektedir. Mağdurun belirlenmesi, suçun türüne ve ihlal edilen hukuki yarara göre değişkenlik gösterebilir.

B. Suçun Manevi Unsuru

Ceza hukuku bakımından suçun manevi unsuru, failin fiili iradi ve bilinçli olarak gerçekleştirmesi anlamına gelir. TCK’da suçun oluşabilmesi için, kural olarak, maddi unsurun yanında manevi unsurun da bulunması gerekir. Kast, failin suç oluşturan fiilin kanuni tanımındaki unsurlarını bilerek ve isteyerek gerçekleştirmesini ifade eder20. Taksir ise, dikkat ve özen yükümlülüğüne aykırı davranılması neticesinde suçun işlenmesidir21.

Ancak TCK’nın 243 ve 244. maddelerinde düzenlenen bilişim suçları yalnızca kastla işlenebilen suçlar arasında yer alır. Bu kapsamda failin; hukuka aykırı şekilde bir bilişim sistemine girmesi, sistemde kalması, verileri yok etmesi veya değiştirmesi gibi eylemleri bilerek ve isteyerek gerçekleştirmesi gerekir. Taksirle, yani dikkatsizlik veya tedbirsizlik sonucu işlenen fiiller bu suç tipleri kapsamında değerlendirilmez.

Siber suçlarda kastın varlığı çoğu zaman dijital deliller, olayın teknik özellikleri ve failin eylem biçimi ile tespit edilir. Bazı durumlarda, failin belirli bir amaç doğrultusunda hareket edip etmediği de cezai nitelendirme açısından önem taşır. Örneğin, haksız menfaat sağlama, kamu hizmetinin aksatılması veya kişisel verilerin ele geçirilmesi gibi hedefler, kastın niteliğini ortaya koymada belirleyicidir. Bununla birlikte, failin bilişim sistemine yalnızca “eğlence amacıyla” girmesi gibi durumlar da kastı ortadan kaldırmaz. Çünkü kanun koyucu, bu suçlar bakımından eylemin amacından ziyade fiilin gerçekleşip gerçekleşmediğine odaklanmıştır.

Ayrıca, siber suçlarda failin motivasyonu, teknik bilgi düzeyi, saldırının karmaşıklığı ve hedef seçimi gibi unsurlar, manevi unsurun değerlendirilmesinde dikkate alınabilecek hususlardır. Özellikle organize saldırılar veya önceden planlanmış eylemler, kastın varlığını daha açık şekilde ortaya koyar. Bu yönüyle siber suçlarda manevi unsurun tespiti, klasik suçlara kıyasla daha fazla teknik analiz ve uzmanlık gerektirir.

C. Suçun Maddi Unsuru

Suçun maddi unsuru, ceza hukukunda suçun dış dünyada gözlemlenebilen, somut ve objektif yönünü ifade eder22. Bu unsur; failin fiili, fiilin üzerinde gerçekleştiği konu (maddi konu) ve suçun gerçekleştiği ortam veya araçları kapsar. Siber suçlar açısından bakıldığında, suçun maddi unsurunu bilişim sistemlerine yönelik çeşitli saldırı türleri oluşturur. Bu bağlamda, bilişim sistemine izinsiz giriş, sistemde kalma, sistemin işleyişini engelleme veya bozma, verilerin yok edilmesi, değiştirilmesi ya da başka bir yere aktarılması gibi fiiller, TCK’nın 243 ve 244. maddeleri kapsamında açıkça tanımlanmıştır.

Türk Ceza Kanunu’nun 243. maddesi, bir bilişim sistemine hukuka aykırı olarak girilmesini veya sistemde izinsiz olarak kalmaya devam edilmesini suç olarak düzenlemektedir. Bu suç, herhangi bir zararın meydana gelmesi aranmaksızın, yalnızca fiilin gerçekleşmesiyle tamamlanan bir hareket suçu olup soyut tehlike suçu niteliği taşır. Dolayısıyla sisteme yetkisiz giriş yapılması, tek başına suçun oluşumu için yeterlidir23. Ancak sistemdeki verilerin değiştirilmesi, silinmesi ya da sistemin işleyişinin bozulması gibi daha ağır sonuçlar doğuran fiiller, ayrıca TCK m. 244 kapsamında cezalandırılır.

Maddi unsurun ispatı çoğunlukla dijital delillere dayanır. Saldırının ne zaman, nasıl ve hangi araçlarla gerçekleştirildiği, failin sisteme erişim şekli, verilerde meydana gelen değişiklikler gibi unsurlar, teknik analizlerle ortaya konulmalıdır. Bu süreçte delillerin usule uygun şekilde elde edilmesi, bütünlüğünün korunması ve mahkemeye doğru şekilde sunulması, ceza muhakemesinin temel güvenceleri açısından büyük önem taşır.

Ayrıca, sistemdeki fiili müdahalenin varlığı aranır. Örneğin yalnızca bir kişiye zararlı içerik barındırmayan bir e-posta göndermek, TCK m. 243 anlamında suç oluşturmaz. Ancak, bu e-posta yoluyla sisteme izinsiz erişim sağlanmışsa ya da zararlı yazılım gönderilmişse suç oluşmuş olur. Dolayısıyla her somut olayda suçun maddi unsurunun teknik olarak dikkatli ve detaylı bir şekilde incelenmesi gerekir.

V. UYGULAMADA YAŞANAN ZORLUKLAR

Siber saldırıların cezai sorumluluğunun tespitinde ve faillerin yargılanmasında uygulamada karşılaşılan zorluklar hem teknik hem de hukuki boyutlarıyla çok katmanlı ve dinamik bir yapı göstermektedir. Bu zorluklar, yalnızca hukuki değil, aynı zamanda teknik, kurumsal ve uluslararası iş birliği bağlamında da kendini göstermektedir. Aşağıda, uygulamada en sık karşılaşılan temel güçlükler başlıklar halinde ele alınmaktadır.

A. Dijital Delillerin Toplanması ve Delil Güvenliği

“Maddi gerçeğe ulaşmada, kişilerin temel hak ve hürriyetlerine müdahalede bulunmanın en önemli araçlarından ve koruma tedbirlerinden birini “adli arama ve el koymalar” oluşturmaktadır.”24

Bir suç soruşturması kapsamında, başka türlü delil elde etme imkanının bulunmadığı durumlarda, şüphelinin kullandığı bilişim sistemlerinde, bilgisayarlarda, bilgisayar programlarında ve bu sistemlerde yer alan bilişim verilerinde arama yapılabilmesi, bu verilerden kopya çıkarılabilmesi ve kayıtların çözümlenerek yazılı hale getirilebilmesi yalnızca yetkili mahkemenin kararıyla mümkündür.

Delillerin toplanmasında izlenen farklı bir yöntem ise, failin IP adresinin tespit edilmesidir. “IP adresleri de her kullanıcının internet trafiğine çıktığı sırada kullandığı bir nevi plaka ve kimlik mahiyetindir”25. “Ancak belirtmek gerekir ki, IP adresinin belirlenmesi delil olarak yeterlilik sağlayamamaktadır ve başka delillerle desteklenmesi beklenmektedir. Bunun sebebi ise IP adreslerinin manipülasyona açık olmasıdır. IP adresinin tespit edilmesi ise suçun işlendiği ortama müzekkere yazılması yöntemiyle gerçekleştirilmektedir”26.

Siber saldırı soruşturmalarında, şüphelinin kimliğinin belirlenememesi veya mevcut delillerin yeterli şüphe oluşturacak nitelikte olmaması halinde, mahkemece şüpheli hakkında daimi arama kararı verilebilmekte ya da kovuşturmaya yer olmadığına karar verilebilmektedir27. Bu süreçte, dijital delillerin mahkemede geçerliliğinin sağlanabilmesi açısından, delil bütünlüğünün korunması ve zincirleme delil (chain of custody) süreçlerinin eksiksiz şekilde yürütülmesi büyük önem taşımaktadır. “Zira usule aykırı biçimde elde edilen veya gerektiği gibi muhafaza edilmeyen delillerin yargılamada dikkate alınması mümkün olmayabilir.”28

Özellikle siber saldırıların çoğunlukla yurt dışı kaynaklı sistemler veya anonim ağlar üzerinden gerçekleştirilmesi, failin tespitini ve delil elde edilmesini ciddi şekilde zorlaştırmakta; bu da delil toplama ve muhafaza süreçlerinde teknik ve hukuki açıdan azami özen gösterilmesini zorunlu kılmaktadır. “Dijital delillerin elde edilmesinden mahkemeye sunulmasına kadar geçen tüm aşamalarda, Ceza Muhakemesi Kanunu’nun 134. maddesi ve devamındaki hükümler uyarınca hareket edilmesi hem maddi gerçeğin ortaya çıkarılması hem de adil yargılanma hakkının korunması açısından gereklidir. Aksi takdirde, delil zincirindeki herhangi bir kopukluk veya usulsüzlük, elde edilen bulguların mahkemece geçersiz sayılmasına ve soruşturmanın akamete uğramasına neden olabilir”29. Bu nedenle, adli bilişim süreçlerinin titizlikle yürütülmesi, siber suçlarla etkin mücadelede temel bir gereklilik olarak karşımıza çıkmaktadır.

B. Teknik Uzmanlar

Bilişim bağlantılı suçlarda teknik uzmanların bilgi ve tecrübelerinin yeterli ve güncel olması büyük önem arz etmektedir. Zira bu tür suçlarda delillerin niteliği gereği, bilirkişilerin özellikle IP adresi tespiti, dijital verilerin doğrulanması, log kayıtlarının incelenmesi ve sistem üzerinde yapılan müdahalelerin tespit edilmesi gibi teknik konularda sağlıklı değerlendirmeler yapabilmesi gerekir.

Nitekim Yargıtay’ın birçok kararında30, bilirkişi raporlarının teknik bulguları esas alınarak hüküm kurulduğu ve bilirkişilik müessesesinin bu davalarda belirleyici bir rol üstlendiği görülmektedir. Bu nedenle bilirkişilerin sadece teknik bilgi açısından değil, ceza muhakemesine ilişkin ilkeler ve delil değerlendirme yöntemleri konusunda da yetkin olmaları büyük önem taşımaktadır.

C. Uluslararası İş Birliği ve Yetki Alanı Sorunları

Siber saldırıların çoğu, sınır aşan niteliktedir. Failin yurtdışında bulunması, saldırının farklı ülkelerdeki sunucular üzerinden gerçekleştirilmesi, yetki ve iş birliği sorunlarını gündeme getirmektedir. Uluslararası adli yardımlaşma süreçlerinin yavaş işlemesi, delil toplama ve failin iadesi gibi konularda uygulamada ciddi gecikmelere yol açmaktadır. “Ulusal siber güvenlikle ilgili en sık görülen eylemlerden birisi bilişim sistemlerine yetkisiz erişim ile bu sistem üzerinde işlenen sistemin işleyişini engelleme ve verilere müdahalede bulunma fiilleri olduğundan, bu suça konu eylemlerin herhangi bir boşluk yaratmayacak biçimde ulusal kanunlarda düzenlenmesi ve uluslararası siber güvenlikle mücadelede iş birliği için de bu hükümlerin mümkün olduğunda yeknesaklaştırılması elzemdir.”31

D. Mevzuatın Yetersizliği ve Güncellenme İhtiyacı

TCK’da bilişim suçlarına ilişkin düzenlemeler; temel olarak bilişim sistemine izinsiz giriş (TCK m. 243), sistemi engelleme, bozma, verileri yok etme veya değiştirme (TCK m. 244) ve banka veya kredi kartlarının kötüye kullanılması (TCK m. 245) gibi suç tiplerini kapsamaktadır. Bu maddeler, bilişim sistemlerinin bütünlüğünü ve güvenliğini korumaya yönelik önemli bir hukuki çerçeve sunmakla birlikte, teknolojinin son yıllardaki hızlı gelişimi karşısında mevzuatın güncelliği ve yeterliliği giderek daha fazla tartışılmaktadır. Özellikle fidye yazılımları (ransomware), kripto para hırsızlıkları, yapay zeka destekli saldırılar ve gelişmiş siber dolandırıcılık yöntemleri gibi yeni nesil tehdit türleri, mevcut kanun maddelerinde açık biçimde tanımlanmamıştır. Bu durum, söz konusu eylemlerin hangi suç tipine girdiği konusunda uygulamada ciddi tereddütlere yol açmaktadır.

Yargı kararlarında da görüldüğü üzere, örneğin bir sosyal medya hesabının şifresinin değiştirilerek sahibinin erişiminin engellenmesi gibi fiiller, mevcut düzenlemeler çerçevesinde ancak geniş yorumlarla cezalandırılabilmektedir. Bu tür normatif boşluklar hem suçun doğru şekilde vasıflandırılmasını hem de failin adil şekilde yargılanmasını zorlaştırmakta; uygulamada çelişkili kararların ve farklı içtihatların ortaya çıkmasına neden olmaktadır. Ayrıca, uluslararası siber suçlarla etkili bir şekilde mücadele edilebilmesi için, mevzuatın güncel teknolojik tehditleri kapsayacak şekilde revize edilmesi ve yeni suç tiplerinin açıkça tanımlanması gerektiği hem doktrinde hem de uygulamada sıklıkla dile getirilmektedir. Bu nedenle, TCK’da bilişim suçlarına ilişkin düzenlemelerin teknolojik gelişmeler ışığında sürekli olarak gözden geçirilmesi ve güncellenmesi, hukuki güvenliğin sağlanması ve etkin bir ceza adalet sisteminin sürdürülebilmesi açısından zorunlu hale gelmiştir.

E. Mağdurların Hak Arama Yollarında Karşılaştığı Engeller

Siber saldırı mağdurlarının hak arama yollarında karşılaştığı engeller, ceza ve hukuk yargılaması süreçlerinde çok boyutlu ve karmaşık bir görünüm arz etmektedir. Mağdurlar, ceza yargılaması yoluyla failin cezalandırılmasını talep edebildikleri gibi, hukuk mahkemelerinde maddi ve manevi zararlarının tazminini de isteyebilmektedirler. Ancak, siber saldırıların çoğunlukla anonim ağlar veya yurt dışı kaynaklı olarak gerçekleştirilmesi, failin kimliğinin tespitini zorlaştırmakta ve çoğu zaman ceza soruşturmasının sonuçsuz kalmasına yol açmaktadır. Bu durum, mağdurun hukuk mahkemelerinde açacağı tazminat davalarında da önemli bir engel teşkil etmektedir; çünkü failin tespit edilememesi, davanın muhatabının belirlenememesi ve zararın tazmininin fiilen imkansız hale gelmesi sonucunu doğurmaktadır. Ayrıca, yargılama süreçlerinin uzun sürmesi, mağdurun zararının giderilmesini geciktirerek adalete erişimini zorlaştırmaktadır.

Bunun yanı sıra, siber saldırıların yol açtığı zararlar çoğu zaman yalnızca maddi kayıplarla sınırlı kalmayıp, kişisel verilerin ifşası, özel hayatın gizliliğinin ihlali ve itibar kaybı gibi maddi olmayan boyutlar da içermektedir. Bu tür zararların objektif olarak hesaplanması ve mahkemede ispatlanması, mevcut hukuk sisteminde önemli bir sorun olarak öne çıkmaktadır. Özellikle kişisel verilerin korunması alanında, mağdurun uğradığı manevi zararın tespiti ve tazmini konusunda hem yargı kararlarında hem de doktrinde farklı yaklaşımlar bulunmaktadır. Türkiye’de 2020 yılında yürürlüğe giren “Suç Mağdurlarının Desteklenmesine Dair Cumhurbaşkanlığı Kararnamesi”32 ile adli destek ve mağdur hizmetleri müdürlükleri kurulmuş, mağdurların adli süreçte bilgilendirilmesi ve psiko-sosyal destek alması amaçlanmıştır. Ancak, bu destek mekanizmalarının siber saldırı mağdurlarının özel ihtiyaçlarına ne ölçüde cevap verdiği ve zararlarının etkin şekilde tazmini konusunda uygulamada hala önemli eksiklikler bulunmaktadır.

Sonuç olarak, siber saldırı mağdurlarının hak arama yollarında karşılaştığı başlıca engeller; failin tespitindeki güçlükler, yargılamanın uzun sürmesi, zararın niteliğinin ve miktarının belirlenmesindeki zorluklar ile mevcut destek mekanizmalarının yetersizliğidir. Bu sorunların aşılması için hem mevzuatın güncellenmesi hem de mağdurlara yönelik özel destek ve tazminat mekanizmalarının geliştirilmesi gerekmektedir.

VI. YARGI MAKAMLARININ BAKIŞ AÇILARI

Yargıtay uygulamasında, bilişim sistemine izinsiz giriş, verilerin yok edilmesi veya değiştirilmesi, sistemin işleyişinin engellenmesi gibi fiillerin TCK m.243 ve 244 kapsamında cezalandırılması gerektiği açıkça belirtilmiştir. Örneğin, bir kişinin elektronik posta hesabının şifresini ele geçirerek hesabına giren ve şifreyi değiştirerek mağdurun erişimini engelleyen failin, TCK m.244/2 kapsamında cezalandırılması gerektiği kabul edilmiştir.

Ayrıca, sosyal medya hesaplarının ele geçirilmesi, virüs veya kötü amaçlı yazılım kullanılarak sisteme giriş yapılması, kamu kurumları arasındaki haberleşmenin engellenmesi gibi fiiller de bilişim suçları kapsamında değerlendirilmiştir.

“Hem ilk derece mahkemelerinin hem de Yargıtay’ın gerek bilişim suçlarında gerekse bilişim yoluyla işlenen suçlarda ciddi çelişkiler olduğu görülmektedir. Benzer eylemlerle işlenen suçlarda farklı mahkemelerin hem esas hem usul yönünden farklı uygulamalarda bulunulduğu gibi, farklı Yargıtay daireleri de farklı içtihatlar geliştirilmiştir. Bununla birlikte somut olaylarda dahi aynı daire üyelerinin dahi farklı görüşlerde olduğu görülmüştür.”33

VII. ULUSLARARASI MEVZUAT VE İŞ BİRLİĞİ

Siber suçların doğası gereği sınır aşımına uygun nitelikte olması, bu alandaki mücadeleyi yalnızca ulusal hukuk çerçevesiyle sınırlı bırakmayı imkansız hale getirmiştir. Faillerin farklı ülkelerde bulunabilmesi, saldırıların çok uluslu dijital altyapılar üzerinden gerçekleştirilmesi ve dijital delillerin farklı yargı alanlarında yer alması, uluslararası iş birliğini siber suçlarla mücadelenin vazgeçilmez bir unsuru haline getirmiştir. Bu nedenle, siber suçların soruşturulması, kovuşturulması ve önlenmesi süreçlerinde etkili bir uluslararası mevzuat ve eşgüdüm hayati önem taşımaktadır.

Türkiye, bu alandaki ilk ve en kapsamlı uluslararası metin olan Avrupa Konseyi Siber Suçlar Sözleşmesi’ne (Budapeşte Sözleşmesi) taraftır. Sözleşme, taraf devletler arasında delil paylaşımı, failin iadesi, hızlı bilgi temini ve adli yardımlaşma gibi birçok konuda iş birliği mekanizmaları öngörmekte; ortak suç tanımları ve usul kuralları getirerek ülkeler arasında hukuki uyum sağlamayı amaçlamaktadır.

Ancak uygulamada çeşitli zorluklar devam etmektedir. Öncelikle, ülkeler arasında mevzuat farklılıkları, suç tanımlarındaki uyumsuzluklar ve veri koruma standartlarındaki eşitsizlik, delil paylaşımı ve adli yardımlaşma süreçlerini yavaşlatmakta; soruşturmaların etkinliğini azaltmaktadır. Bunun yanında, karşılıklı tanıma ve yürütme ilkesinin sınırlı uygulanması ile bürokratik prosedürlerin fazlalığı da uluslararası iş birliğini sekteye uğratan önemli faktörlerdendir.

Sonuç olarak, siber suçlarla mücadelede yalnızca ulusal değil, aynı zamanda çok taraflı ve teknik açıdan donanımlı bir uluslararası iş birliği yaklaşımına ihtiyaç duyulmaktadır. Türkiye’nin uluslararası normlara uyumunu artırması, ikili ve çok taraflı iş birliği protokollerini çeşitlendirmesi ve karşılıklı adli yardımlaşma mekanizmalarını hızlandırması, bu alandaki etkinliğini önemli ölçüde artıracaktır.

VIII. ÇÖZÜM ÖNERİLERİ VE DEĞERLENDİRME

Siber saldırılarla etkin mücadelede öncelikli olarak mevcut mevzuatın güncellenmesi gerekmektedir. 5237 sayılı Türk Ceza Kanunu’nda bilişim suçlarına ilişkin düzenlemeler, kabul edildikleri dönemde yeterli görülse de günümüzde teknolojik gelişmelerin hızına yetişememektedir.

Özellikle fidye yazılımları ve yapay zeka destekli saldırılar gibi yeni nesil tehditlerin mevzuatta doğrudan karşılığının bulunmaması, uygulamada normatif belirsizliklere yol açmakta ve suçun doğru şekilde vasıflandırılmasını zorlaştırmaktadır. Bu nedenle, başta TCK olmak üzere ilgili mevzuatın teknik gelişmelere paralel olarak güncellenmesi, suç tiplerinin ayrıntılı biçimde tanımlanması ve ceza yaptırımlarının orantılı şekilde yeniden düzenlenmesi büyük önem taşımaktadır.

Teknik kapasitenin artırılması da siber suçlarla mücadelede vazgeçilmez bir unsurdur. Soruşturma ve yargılama süreçlerinde görev alan adli ve idari aktörlerin teknik bilgi düzeyinin yükseltilmesi, bilişim suçlarına özgülenmiş uzman birimlerin güçlendirilmesi ve adli bilişim alanında yetkin personel istihdamının artırılması gerekmektedir. Ayrıca, bu alanda çalışanların sürekli mesleki eğitimlerle desteklenmesi, üniversiteler ve ilgili kamu kurumlarıyla sürdürülebilir teknik iş birliği tesis edilerek hem uzman insan kaynağı yetiştirilmesi hem de uygulamada bilimsel temelli çözümler geliştirilmesi sağlanmalıdır.

Siber suçların ispatında dijital delillerin güvenilir biçimde toplanması, korunması ve mahkemeye sunulması süreci büyük bir titizlik gerektirir. Dijital delil toplama işlemlerinin uluslararası standartlara uygun hale getirilmesi, elde edilen verilerin mahkeme nezdinde geçersiz sayılması riskini azaltacaktır. Bu kapsamda, adli bilişim süreçlerine ilişkin mevzuat ve kılavuzların oluşturulması ile dijital delillerin yasal çerçevede değerlendirilebilmesi için ilgili kurumlara rehberlik edecek uygulama standartlarının benimsenmesi gerekmektedir.

Siber saldırıların sıklıkla sınır ötesi boyut taşıması, uluslararası düzeyde etkin bir iş birliğini gerekli kılmaktadır. Türkiye’nin taraf olduğu uluslararası düzenlemeler çerçevesinde adli yardımlaşma, bilgi paylaşımı ve failin iadesi süreçlerinin etkinleştirilmesi; çok taraflı platformlarda aktif rol üstlenilmesi ve bilişim suçlarıyla mücadelede ikili anlaşmaların yaygınlaştırılması önem arz etmektedir. Bununla birlikte, farklı ülkelerdeki mevzuat uyumsuzlukları ile kişisel verilerin korunmasına ilişkin farklı uygulamaların giderilmesinde diplomatik ve hukuki gelişim kritik bir rol oynamaktadır34.

Son olarak, siber güvenliğin yalnızca devlet kurumlarının değil, bireylerin ve özel sektörün de sorumluluğunda olduğu unutulmamalıdır. Kamuoyunun siber tehditler konusunda bilinçlendirilmesi, bireysel ve kurumsal düzeyde alınacak önlemlerin teşvik edilmesi büyük önem taşır. Okullarda, üniversitelerde ve kamu kurumlarında siber güvenlik temelli eğitim programlarının yaygınlaştırılması; medya, sivil toplum kuruluşları ve özel sektör aracılığıyla koruyucu ve önleyici politikaların desteklenmesi gerekmektedir. Özellikle dijital ortamda daha savunmasız olan çocuklar ve yaşlılar gibi grupların bilinçlendirilmesi, toplumsal siber direnç açısından özel bir önem arz etmektedir.

IX. SONUÇ

Gelişen teknolojiyle birlikte dijital dünyanın sunduğu imkanlar, aynı zamanda yeni tehdit türlerini de beraberinde getirmiştir. Siber saldırılar, yalnızca bireylerin kişisel mahremiyetini ve ekonomik varlıklarını değil, aynı zamanda kurumsal güvenliği, kamu düzenini ve hatta ulusal güvenliği tehdit eden çok boyutlu suç tipleri arasında yer almaktadır. Türk Ceza Hukuku bakımından bu tehditlerin önlenmesi ve faillerin etkili şekilde cezalandırılması amacıyla çeşitli düzenlemeler getirilmiş olmakla birlikte, TCK’nın mevcut hükümlerinin dinamik siber tehditleri karşılamakta yetersiz kaldığı, uygulamada ise önemli boşluklar ve zorluklar yaşandığı görülmektedir.

TCK’nın 243 ve 244. maddelerinde düzenlenen hükümler, temel siber suç tiplerini kapsasa da günümüzde karşılaşılan karmaşık ve gelişmiş saldırı yöntemlerini tanımlamakta ve cezalandırmakta sınırlı kalmaktadır. Bu durum, özellikle fidye yazılımları, kripto para dolandırıcılığı, kimlik avı (phishing) saldırıları gibi yeni nesil tehditler karşısında normatif boşluklara neden olmaktadır. Ayrıca, dijital delil yönetiminde yaşanan sorunlar, teknik bilgi eksikliği, kolluk ve yargı birimlerinin siber suçlar konusunda yetersiz kalması, faillerin sınır ötesi faaliyet göstermesi ve bu nedenle uluslararası iş birliği gerekliliğinin artması, ceza sorumluluğunun tesisi bakımından büyük engeller teşkil etmektedir.

Siber suçlarla etkin mücadele edilebilmesi için yalnızca mevzuat değişikliği yeterli olmayıp, multidisipliner bir yaklaşım benimsenmelidir. Bu kapsamda; teknik altyapıların güçlendirilmesi, siber suçlar konusunda uzmanlaşmış adli birimlerin oluşturulması, delil toplama ve değerlendirme süreçlerinin uluslararası standartlara uygun hale getirilmesi büyük önem arz etmektedir.

Sonuç itibarıyla, siber saldırılarla mücadelede yalnızca cezai yaptırımlara dayalı değil, aynı zamanda önleyici, eğitici ve iş birliğini esas alan bütüncül bir strateji benimsenmesi gerekmektedir. Hukukun teknolojik gelişmelere uyum sağlaması, dijital çağda toplumsal güvenliğin korunması bakımından zorunludur. Bu bağlamda, Türk Ceza Hukuku’nun değişen koşullara uygun şekilde geliştirilmesi, ulusal düzenlemelerin uluslararası standartlarla uyumlu hale getirilmesi ve uygulayıcıların gerekli teknik bilgi ve donanımla desteklenmesi, gelecekte siber suçlarla daha etkili mücadele imkanı sağlayacaktır35.