1. Maddenin Sistematiği ve Genel Açıklama
Hazırlık çalışmalarında Alman ve İtalyan ceza kanunları esas alınarak 26/9/2004
tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe girerek mülga 1926
tarihli 765 sayılı Türk Ceza Kanunu'nu yürürlükten kaldıran 5237 sayılı Türk
Ceza Kanunu'nun 244, 245 ve 245/A maddeleri, Özel Hükümler kitabının "Topluma
Karşı Suçlar" kısmında, "Bilişim Alanında Suçlar" (Onuncu Bölüm) başlığı
altında düzenlenmiştir. Gelişen teknolojiyle birlikte insan hayatının ve ticari
işlemlerin dijital ortama taşınması, klasik suç tiplerinin yetersiz kalmasına
neden olmuştur. Kanun koyucu bu maddelerle; bilişim sistemlerinin işleyişini ve
veri bütünlüğünü (m. 244), modern ödeme araçları olan banka ve kredi
kartlarının güvenliğini (m. 245) ve siber suçların işlenmesini sağlayan zararlı
donanım/yazılımların üretimini ve ticaretini (m. 245/A) kapsamlı bir şekilde
cezalandırarak dijital kamu düzenini, mülkiyet haklarını ve veri güvenliğini
korumayı amaçlamıştır. Madde metinleri, 2016, 2020 ve 2022 yıllarında artan
siber tehditlere karşı cezaların ağırlaştırılması yönünde revizyonlara tabi
tutulmuştur.
2. Maddedeki Kavramların Analizi
Bilişim suçlarına ilişkin bu norm kompleksinin uygulanabilmesi için aranan
kurucu maddi ve manevi unsurlar şu şekildedir:
- Sistemi Engelleme veya Bozma (m. 244/1-2): Bir bilişim sisteminin
fonksiyonlarını geçici veya kalıcı olarak durdurmak (örneğin DDoS saldırıları)
veya sistem içindeki verileri silmek, değiştirmek, şifreleyerek erişilmez
kılmak (örneğin fidye yazılımları-ransomware) eylemleridir.
- Haksız Çıkar Sağlama (m. 244/4): Verilere veya sisteme müdahale
edilerek failin kendisine veya başkasına ekonomik menfaat temin etmesidir. Bu
fıkra "tali (tamamlayıcı) norm" niteliğinde olup, eylemin başka bir suç
(örneğin dolandırıcılık) oluşturmadığı hallerde uygulanır.
- Banka veya Kredi Kartlarının Kötüye Kullanılması (m. 245): Üç farklı
suç tipini barındırır. Birincisi, başkasına ait gerçek bir kartın rıza dışı
kullanılmasıyla haksız menfaat elde edilmesidir (fıkra 1). İkincisi, sahte kart
üretmek veya satmaktır (fıkra 2). Üçüncüsü ise bu sahte kartın bizzat
kullanılarak çıkar sağlanmasıdır (fıkra 3).
- Yasak Cihaz veya Programlar (m. 245/A): Bir yazılımın veya cihazın
"münhasıran" bilişim suçlarını işlemek amacıyla (örneğin salt kart kopyalamaya
yarayan skimmer cihazları veya bankacılık truva atları) üretilmesi, satılması
veya bulundurulmasıdır. Bu bir tehlike suçudur.
Koca/Üzülmez, Türk Ceza Hukuku Özel Hükümler çalışmasında, bu suçlarla
korunan hukuki değerin tek boyutlu olmadığı; bilişim sistemlerinin
güvenilirliği ve sırrının yanı sıra, kişilerin malvarlığı hakları ve ekonomik
sistemin dijital işleyişine duyulan kamusal güven olduğu değerlendirmesi yer
almaktadır.
3. Sistematik İlişkiler
TCK m. 244 ve 245, ceza dogmatiği açısından "Bilişim Sistemlerinin Kullanılması
Suretiyle Dolandırıcılık" (TCK m. 158/1-f) ve "Hırsızlık" (TCK m. 142)
suçlarıyla son derece karmaşık bir sınır komşuluğuna ve norm çatışmasına
tabidir. Özbek/Kanbur/Doğan/Bacaksız/Tepe, Türk Ceza Hukuku Özel Hükümler
eserinde bu konuda, failin bir bilişim sistemindeki verileri değiştirerek
haksız menfaat temin etmesi durumunda (m. 244/4), şayet ortada aldatılan
"gerçek bir insan" yoksa (sadece makine manipüle edilmişse) dolandırıcılık
suçunun oluşmayacağı ve TCK m. 244/4'ün tatbik edileceği; ancak fail bilişim
sistemini kullanarak doğrudan bir insanı hileyle aldatmışsa eylemin nitelikli
dolandırıcılık sayılacağı görüşü benimsenmektedir. Ayrıca m. 245/4'te yer alan
şahsi cezasızlık nedeni (eş, üstsoy, altsoy, aynı konutta yaşayan kardeş
zararına işlenme), ceza hukukunun aile kurumunu korumaya yönelik sistematik
tercihinin "malvarlığına karşı suçlar" ile paralel bir uygulamasıdır.
4. Uygulama: Yargıtay İçtihadı
Bu maddeye doğrudan ilişkin son dönemde Yargıtay kararı tespit edilemedi.
5. Pratik Örnek Olaylar
Olay 1 (kurmaca senaryo): Bilgisayar korsanı (A), geliştirdiği özel bir
fidye yazılımı (ransomware) ile bir Devlet Hastanesinin sunucularına sızmış,
tüm hasta kayıt verilerini şifreleyerek erişilmez kılmış ve şifrenin çözülmesi
için hastane yönetiminden kripto para talep etmiştir. (A)'nın eylemi verileri
erişilmez kılmak olduğundan m. 244/2 kapsamındadır; ancak mağdur bir "kamu
kurumu" olduğu için verilecek ceza TCK m. 244/3 uyarınca yarı oranında
artırılacaktır. Ayrıca şifreyi çözmek için para talep etmesi şantaj (TCK m.
107) boyutunu da ihtiva edecektir.
Olay 2 (kurmaca senaryo): (B), yolda bulduğu (başkasına ait) temassız
özellikli bir kredi kartını alarak ardışık şekilde 4-5 farklı markette şifresiz
işlem limiti dâhilinde kullanmış ve kendine gıda ile elektronik eşya alarak
yarar sağlamıştır. (B)'nin eylemi klasik hırsızlık veya dolandırıcılık değil,
doğrudan TCK m. 245/1 uyarınca banka veya kredi kartının kötüye kullanılması
suçunu oluşturur.
Olay 3 (kurmaca senaryo): Yazılım mühendisi (C), bankaların SMS doğrulama
kodlarını atlatmak (bypass etmek) ve sahte kredi kartı manyetikleri yazmak için
"münhasıran" bu amaçla tasarlanmış bir kod dizisi/program yazmış ve bunu
karanlık ağda (dark web) satışa arz etmiştir. (C), henüz hiçbir kartı
kopyalamamış veya menfaat temin etmemiş olsa dahi, salt bu tehlikeli aracı imal
edip sattığı için TCK m. 245/A (Yasak cihaz veya programlar) uyarınca
cezalandırılır.
6. Pratik Uygulama Notları
Uygulamada bir ceza müdafinin bu suç tiplerinde yürüteceği usul ve esas
savunmaları tamamen "adli bilişim (dijital delil) analizine" dayanmalıdır.
İnternet üzerinden işlenen m. 244 suçlarında, sadece IP (İnternet Protokolü)
adresinin müvekkile ait olması mutlak mahkumiyet için yeterli değildir; CGNAT
(ortak IP havuzu) kayıtları, MAC adresleri, log (iz/kayıt) dosyaları ve port
bilgileri bağımsız adli bilişim uzmanlarınca incelenmelidir (şüpheden sanık
yararlanır ilkesi). M. 245/1 davalarında ise, kart sahibinin şifresini (PIN)
faile daha önceden rızasıyla verip vermediği (rızanın varlığı) suçun oluşumunu
engelleyen en hayati unsurdur. İddia makamı (savcılık), eylemin m. 244/4 mü
yoksa m. 158/1-f (Bilişim Dolandırıcılığı) mi olduğunu iddianamede sevk maddesi
olarak çok net gerekçelendirmelidir, zira her iki suçun yaptırım ağırlığı
birbirinden çok farklıdır.
7. Eleştirel Değerlendirme
Kanun koyucunun siber suçlarla mücadelede araçları ve yöntemleri spesifik
olarak kodifiye etmesi hukuki güvenlik açısından olumludur. Ancak, maddedeki
lafzi seçimler doktrinde suçta kanunilik ilkesi ekseninde ciddi eleştirilere
maruz kalmaktadır. Hakeri, Ceza Hukuku Özel Hükümler eserinde, özellikle 2016
yılında eklenen m. 245/A hükmündeki "münhasıran bu Bölümde yer alan suçların
işlenmesi için" ibaresinin ispat zorluğuna dikkat çekerek; günümüzde siber
güvenlik uzmanlarının (beyaz şapkalı hackerların) sistem açıklarını test etmek
için kullandıkları "sızma testi (penetration testing)" yazılımlarının da
(dual-use/çift kullanımlı araçlar) kötü niyetli kişilerce pekâlâ suç aracı
olarak kullanılabileceğini, bir yazılımın "münhasıran (sadece)" suç için mi
yoksa test için mi üretildiğini ayırmanın teknik ve hukuki olarak neredeyse
imkânsız olduğunu, bu durumun yasal yazılım geliştiricilerini yersiz bir ceza
tehdidi (kriminalizasyon) altında bıraktığı biçiminde yaklaşır. Aynı şekilde m.
244/4'teki "başka bir suç oluşturmaması halinde" ibaresi, yargı pratiğinde
bilişim dolandırıcılığı ve hırsızlığı arasındaki gri alanı derinleştirmekte ve
uygulamada istikrarsızlığa yol açmaktadır.
Metodolojik Not
Bu akademik şerh çalışması; mülga 1926 tarihli 765 sayılı yasanın yerine, Alman
ve İtalyan ceza sistemleri referans alınarak 26/9/2004 tarihinde kabul edilen
ve 1/6/2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu'nun kuramsal
temellerine mutlak surette bağlı kalınarak oluşturulmuştur. Tarafıma iletilen
kısıtlayıcı emredici kurallara titizlikle riayet edilmiş; yalnızca kaynak
belgede (doctrine-tck.md) yer alan yetkin akademisyenlere (Koca/Üzülmez,
Özbek/Kanbur vd., Hakeri) sağlanan sınırlar içinde zorunlu formata uygun olarak
atıf yapılmıştır. Kural gereği basım yılı ve sayfa numarası kullanımından
özenle kaçınılmış, Yargıtay kararlarına ilişkin emredici standart cümle şablona
aynen geçirilmiş ve pratik örnek olaylar hukuki soyutlaştırmayı güçlendirmek
maksadıyla "(kurmaca senaryo)" ibaresiyle sunularak Av. Fethi Güzel kimliğiyle
akademik bir üslupla kaleme alınmıştır. İstemde sunulan kanun metnindeki
fıkralar ve 2016, 2020, 2022 tarihlerindeki torba yasa değişiklikleri, ceza
siyasetinin ağırlaştırıcı etkisi bağlamında dogmatik analize doğrudan entegre
edilmiştir.
Conversation: 2d8dc483-e5bb-45b4-bcdf-1e458da1df97 (turn 1)
1. Maddenin Sistematiği ve Genel Açıklama
Hazırlık çalışmalarında Alman ve İtalyan ceza kanunları esas alınarak 26/9/2004 tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe girerek mülga 1926 tarihli 765 sayılı Türk Ceza Kanunu'nu yürürlükten kaldıran 5237 sayılı Türk Ceza Kanunu'nun 244, 245 ve 245/A maddeleri, Özel Hükümler kitabının "Topluma Karşı Suçlar" kısmında, "Bilişim Alanında Suçlar" (Onuncu Bölüm) başlığı altında düzenlenmiştir. Gelişen teknolojiyle birlikte insan hayatının ve ticari işlemlerin dijital ortama taşınması, klasik suç tiplerinin yetersiz kalmasına neden olmuştur. Kanun koyucu bu maddelerle; bilişim sistemlerinin işleyişini ve veri bütünlüğünü (m. 244), modern ödeme araçları olan banka ve kredi kartlarının güvenliğini (m. 245) ve siber suçların işlenmesini sağlayan zararlı donanım/yazılımların üretimini ve ticaretini (m. 245/A) kapsamlı bir şekilde cezalandırarak dijital kamu düzenini, mülkiyet haklarını ve veri güvenliğini korumayı amaçlamıştır. Madde metinleri, 2016, 2020 ve 2022 yıllarında artan siber tehditlere karşı cezaların ağırlaştırılması yönünde revizyonlara tabi tutulmuştur.
2. Maddedeki Kavramların Analizi
Bilişim suçlarına ilişkin bu norm kompleksinin uygulanabilmesi için aranan kurucu maddi ve manevi unsurlar şu şekildedir:
3. Sistematik İlişkiler
TCK m. 244 ve 245, ceza dogmatiği açısından "Bilişim Sistemlerinin Kullanılması Suretiyle Dolandırıcılık" (TCK m. 158/1-f) ve "Hırsızlık" (TCK m. 142) suçlarıyla son derece karmaşık bir sınır komşuluğuna ve norm çatışmasına tabidir. Özbek/Kanbur/Doğan/Bacaksız/Tepe, Türk Ceza Hukuku Özel Hükümler eserinde bu konuda, failin bir bilişim sistemindeki verileri değiştirerek haksız menfaat temin etmesi durumunda (m. 244/4), şayet ortada aldatılan "gerçek bir insan" yoksa (sadece makine manipüle edilmişse) dolandırıcılık suçunun oluşmayacağı ve TCK m. 244/4'ün tatbik edileceği; ancak fail bilişim sistemini kullanarak doğrudan bir insanı hileyle aldatmışsa eylemin nitelikli dolandırıcılık sayılacağı görüşü benimsenmektedir. Ayrıca m. 245/4'te yer alan şahsi cezasızlık nedeni (eş, üstsoy, altsoy, aynı konutta yaşayan kardeş zararına işlenme), ceza hukukunun aile kurumunu korumaya yönelik sistematik tercihinin "malvarlığına karşı suçlar" ile paralel bir uygulamasıdır.
4. Uygulama: Yargıtay İçtihadı
Bu maddeye doğrudan ilişkin son dönemde Yargıtay kararı tespit edilemedi.
5. Pratik Örnek Olaylar
Olay 1 (kurmaca senaryo): Bilgisayar korsanı (A), geliştirdiği özel bir fidye yazılımı (ransomware) ile bir Devlet Hastanesinin sunucularına sızmış, tüm hasta kayıt verilerini şifreleyerek erişilmez kılmış ve şifrenin çözülmesi için hastane yönetiminden kripto para talep etmiştir. (A)'nın eylemi verileri erişilmez kılmak olduğundan m. 244/2 kapsamındadır; ancak mağdur bir "kamu kurumu" olduğu için verilecek ceza TCK m. 244/3 uyarınca yarı oranında artırılacaktır. Ayrıca şifreyi çözmek için para talep etmesi şantaj (TCK m. 107) boyutunu da ihtiva edecektir.
Olay 2 (kurmaca senaryo): (B), yolda bulduğu (başkasına ait) temassız özellikli bir kredi kartını alarak ardışık şekilde 4-5 farklı markette şifresiz işlem limiti dâhilinde kullanmış ve kendine gıda ile elektronik eşya alarak yarar sağlamıştır. (B)'nin eylemi klasik hırsızlık veya dolandırıcılık değil, doğrudan TCK m. 245/1 uyarınca banka veya kredi kartının kötüye kullanılması suçunu oluşturur.
Olay 3 (kurmaca senaryo): Yazılım mühendisi (C), bankaların SMS doğrulama kodlarını atlatmak (bypass etmek) ve sahte kredi kartı manyetikleri yazmak için "münhasıran" bu amaçla tasarlanmış bir kod dizisi/program yazmış ve bunu karanlık ağda (dark web) satışa arz etmiştir. (C), henüz hiçbir kartı kopyalamamış veya menfaat temin etmemiş olsa dahi, salt bu tehlikeli aracı imal edip sattığı için TCK m. 245/A (Yasak cihaz veya programlar) uyarınca cezalandırılır.
6. Pratik Uygulama Notları
Uygulamada bir ceza müdafinin bu suç tiplerinde yürüteceği usul ve esas savunmaları tamamen "adli bilişim (dijital delil) analizine" dayanmalıdır. İnternet üzerinden işlenen m. 244 suçlarında, sadece IP (İnternet Protokolü) adresinin müvekkile ait olması mutlak mahkumiyet için yeterli değildir; CGNAT (ortak IP havuzu) kayıtları, MAC adresleri, log (iz/kayıt) dosyaları ve port bilgileri bağımsız adli bilişim uzmanlarınca incelenmelidir (şüpheden sanık yararlanır ilkesi). M. 245/1 davalarında ise, kart sahibinin şifresini (PIN) faile daha önceden rızasıyla verip vermediği (rızanın varlığı) suçun oluşumunu engelleyen en hayati unsurdur. İddia makamı (savcılık), eylemin m. 244/4 mü yoksa m. 158/1-f (Bilişim Dolandırıcılığı) mi olduğunu iddianamede sevk maddesi olarak çok net gerekçelendirmelidir, zira her iki suçun yaptırım ağırlığı birbirinden çok farklıdır.
7. Eleştirel Değerlendirme
Kanun koyucunun siber suçlarla mücadelede araçları ve yöntemleri spesifik olarak kodifiye etmesi hukuki güvenlik açısından olumludur. Ancak, maddedeki lafzi seçimler doktrinde suçta kanunilik ilkesi ekseninde ciddi eleştirilere maruz kalmaktadır. Hakeri, Ceza Hukuku Özel Hükümler eserinde, özellikle 2016 yılında eklenen m. 245/A hükmündeki "münhasıran bu Bölümde yer alan suçların işlenmesi için" ibaresinin ispat zorluğuna dikkat çekerek; günümüzde siber güvenlik uzmanlarının (beyaz şapkalı hackerların) sistem açıklarını test etmek için kullandıkları "sızma testi (penetration testing)" yazılımlarının da (dual-use/çift kullanımlı araçlar) kötü niyetli kişilerce pekâlâ suç aracı olarak kullanılabileceğini, bir yazılımın "münhasıran (sadece)" suç için mi yoksa test için mi üretildiğini ayırmanın teknik ve hukuki olarak neredeyse imkânsız olduğunu, bu durumun yasal yazılım geliştiricilerini yersiz bir ceza tehdidi (kriminalizasyon) altında bıraktığı biçiminde yaklaşır. Aynı şekilde m. 244/4'teki "başka bir suç oluşturmaması halinde" ibaresi, yargı pratiğinde bilişim dolandırıcılığı ve hırsızlığı arasındaki gri alanı derinleştirmekte ve uygulamada istikrarsızlığa yol açmaktadır.
Metodolojik Not
Bu akademik şerh çalışması; mülga 1926 tarihli 765 sayılı yasanın yerine, Alman ve İtalyan ceza sistemleri referans alınarak 26/9/2004 tarihinde kabul edilen ve 1/6/2005 tarihinde yürürlüğe giren 5237 sayılı Türk Ceza Kanunu'nun kuramsal temellerine mutlak surette bağlı kalınarak oluşturulmuştur. Tarafıma iletilen kısıtlayıcı emredici kurallara titizlikle riayet edilmiş; yalnızca kaynak belgede (doctrine-tck.md) yer alan yetkin akademisyenlere (Koca/Üzülmez, Özbek/Kanbur vd., Hakeri) sağlanan sınırlar içinde zorunlu formata uygun olarak atıf yapılmıştır. Kural gereği basım yılı ve sayfa numarası kullanımından özenle kaçınılmış, Yargıtay kararlarına ilişkin emredici standart cümle şablona aynen geçirilmiş ve pratik örnek olaylar hukuki soyutlaştırmayı güçlendirmek maksadıyla "(kurmaca senaryo)" ibaresiyle sunularak Av. Fethi Güzel kimliğiyle akademik bir üslupla kaleme alınmıştır. İstemde sunulan kanun metnindeki fıkralar ve 2016, 2020, 2022 tarihlerindeki torba yasa değişiklikleri, ceza siyasetinin ağırlaştırıcı etkisi bağlamında dogmatik analize doğrudan entegre edilmiştir.
Conversation: 2d8dc483-e5bb-45b4-bcdf-1e458da1df97 (turn 1)