Bilişim Sistemine Girme Suçu Nedir?
Türk hukuk sistemimiz kişilerin ve kamu düzeninin korunması adına hak ve menfaatleri için yasalar düzenlemektedir. Yıllar geçtikçe gelişen teknolojiyle birlikte hukuk sisteminde yeni kavramlar da yer almaya başlar. Bilişim alanı da hukuk sistemimizde yerini almış ve yaşanan mağduriyetleri bertaraf etmek ve önlemek için düzenlemeler yapmıştır.
Bilişim sisteminden kasıt bilgisayarlardır. Bilişim alanı ise bilgisayar aracılığıyla yapabildiğimiz her şeyi kapsamına almaktadır. Günlük hayatta en çok kullandığımız, internet kanalıyla özel hayatımızı paylaştığımız şifreli hesaplarımız olan instagram, twitter, facebook gibi sosyal medya uygulamaları, yayıncılık alanındaki abonelikle erişim sağladığımız şifreli kanallar, internet bankacığı ve kredi kartlarıyla yaptığımız alışverişler bu kapsama girmektedir.
5237 sayılı TCK’nın onuncu bölümüne baktığınızda “Bilişim Alanında Suçlar” başlığını göreceksiniz. Bu başlıkta bilişim sistemine girme, sistemi engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması ve yasak cihaz ve program kullanarak bilişim sistemine erişim düzenlenmiştir.
Güvenlik araçlarıyla korunan bilgisayar sistemine girme suçunun oluşabilmesi için kanun koyucu bilişim sistemine izinsiz erişim sağlanmasını ve orada bir süre kalmaya devam edilmesini aramaktadır.(TCK-243/1) Erişimden elde edilecek bir menfaat aranmaz, sistemde bir süre kalarak bireylerin dijital ortamdaki özel alanını ihlale yönelik bir amaç olması, suçun gerçekleşmesi için yeterlidir. Mesela bir kişinin sosyal medya hesabına izinsiz erişmek, verilen rızayı kötüye kullanmak eylemi, bu suçun işlemesi için yeterlidir. Ya da kişinin bilgisayarını fiziki olarak izinsiz kullanarak içinden bir takım belgelere bakmak, almak vs de bu suçu oluşturur.
Yani bilişim sistemine erişim şekli önemli değildir. Kişi hilafına doğrudan bilgisayarına girilmesiyle veya internet kanalıyla uzaktan kod kırma gibi hackerlık yöntemleriyle olabilir. TCK 244. Maddede düzenlendiği üzere bir “bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen” kişileri de cezalandırmıştır. TCK 245/A maddesinde ise “yasaklı cihaz ve programlarla” bilgisayara erişim suçu düzenlenmiştir. Bu kapsamda Truva atı, masum görünen bazı gönderilere eklenen virüsler, macro virüsü, solucan gibi bilgisayar için zararlı olan yazılımları kullanmak, imal etmek, ithal etmek, sevk etmek, nakletmek, depolamak, kabul etmek, satmak, satışa arz etmek, satın almak, başkalarına vermek veya bulundurmak suç teşkil etmektedir.
Bilişim alanına giren suçlarla ilgili olarak açıklayıcı bir Yargıtay kararını sunuyoruz.
T.C. YARGITAY 8. CEZA DAİRESİ
Esas No:2014/19342 Karar No:2015/2322
(TCK’nın 243. Maddesi) “Bilişim sistemine girmek”, bir bilişim sisteminde bulunan verilerin bir kısmına veya tamamına, fiziken ya da uzaktan başka bir cihaz yoluyla erişilmesidir. Erişimi gerçekleştirmek için gevşek güvenlik önlemlerinden faydalanılabileceği gibi, var olan güvenlik önlemlerindeki boşluklar da kullanılabilir. Ağ üzerinden virüsler (komik resimler, kutlama kartları veya ses ve görüntü dosyaları gibi ekler halinde), truva atı (trojan horse), macro virüsü, solucanlar gibi kullanılarak veya sistemin açık kapıları zorlanarak giriş yapılabilir. Bilgisayar veri ve sistemlerine yapılan izinsiz giriş, aynı zamanda, “bilgisayara tecavüz”, “kod kırma” ya da “bilgisayar korsanlığı” olarak da tanımlanmaktadır. Suçun, başkasına ait bilgisayarın açılarak içindeki verilerin görülmesi biçiminde olabileceği gibi bir ağ aracılığıyla bilişim sisteminde oturum açılması yoluyla da işlenebilir. Girmede, iletişimin kablolu veya kablosuz olması ile mesafenin yakın ve uzak olması arasında da fark yoktur. Bir bilişim sistemine e-posta veya dosya gönderilmesi durumunda, bilişim sistemine girme söz konusu olmayıp yalnızca veri gönderildiğinden bu durum girme kapsamında düşünülemez. Mağdurun kişisel bilgisayarına ait işletim sistemine (windows, linux vs.), bir başka internet kullanıcısının, mağdurun rızası olmaksızın girmesi de suç oluşturacaktır. E-posta adresi kullanıcısının erişiminin engellendiğine ilişkin şikayeti üzerine öncelikle erişimi engellenen adresin ve sanığa ait olduğu iddia olunan e-mail adresinin sanığa ve şikayetçiye ait olup olmadığı saptanmalı, bu husus ilgili internet sağlayıcısından sorularak adreslerin oluşturulma tarihi, kim tarafından oluşturulduğu ve IP (İnternet Protokolu) numarası sorulmalıdır. Microsft Corporation’den de erişimin engellediği iddia olunan tarih/tarihler ve takip eden günlerde şikayetçinin e-mail adresine giriş yapıp yapmadığı, erişim sağlanmışsa IP bilgileri, bu tarihler itibariyle e-mail adresine ait şifrenin değiştirilip değiştirilmediği, değiştirilmiş ise ne zaman ve hangi IP numarası ile yapıldığı araştırılmalıdır. IP adresi kayıt bilgilerinden, ilgili Telekom Müdür- lüklerinden, sisteme giriş yapan veya başarısız olan IP numaraları kullanıcılarının adres ve telefon bilgileri istenmeli, aynı şekilde sanığa ait olduğu iddia olunan e-mail adresini kullanan IP numaraları saptanıp adres ve telefon bilgileri de istenmelidir. Erişimin sağlanamaması halinde, giriş yapmak isteyenler arasında şikayetçinin de bulunup bulunmadığının IP numarasından tespit edilerek iddianın doğruluğu belirlenmelidir. Şikayetçi ve sanığın bilgisayarlarına el konulup hard diskleri incelenerek bilgisayarlar arasında bağlantı ve veri akışı olup olmadığı saptanıp ele geçirilen adresten bir başka adrese yazı veya görüntü gönderilmiş ise, bu olaya ilişkin bilgi sahipleri ile ele geçirilen adres kullanılarak ulaşılan adres sahipleri varsa tanık olarak dinlenmelidir.
Somut olayda; sanığın, katılanın kullandığı “…………………..@hotmail. com” e-posta adresi ile irtibatlı olan facebook adresine bilgisi ve rızası olmaksızın değiştirerek erişilmez kıldığından bahisle açılan davada, yapılan soruşturma ve kovuşturma yetersiz olup olaya ilişkin deliller toplanmadan mahkumiyet hükmü kurulmuştur. Sanığın suçlamayı kabul etmediği gibi hattına başkalarının girmiş olabileceği savunmasına ilişkin olmak üzere internet hattını sanık dışında başkalarının da kullanıp kullanmadığı ve kendisine ait olduğu belirtilen e-mail adresinin sanığa aidiyeti hususunda dosyada bir bilgiye rastlanmamıştır. Katılanın 27.05.2011 tarihinden itibaren e-mail adresine giremediğini belirttiğinin anlaşılması karşısında, anılan tarihten şikayet tarihine kadar olan dönemde, bu adresin faal olup olmadığı, katılan tarafından kendi adresine erişim sağlanıp sağlanmadığı tespit edilmemiştir. Sanık tarafından 22.05.2011 tarihinden sonra giriş yapılıp yapılmadığı, adrese ait şifrenin değiştirilip değiştirilmediği, şifre değiştirilmişse hangi tarihte ve hangi IP numarası ile erişim sağlanarak şifrenin değiştirildiği ilgili internet sağlayıcısından sorulmadan hüküm kurulmuştur.
Bu itibarla; yukarıda açıklanan yöntem izlenerek eksiklikler yerine getirilip sonucuna göre tüm deliller birlikte değerlendirilip gerektiğinde bilirkişiden de görüş alınarak sanığın hukuki durumunun takdir ve tayini gerekirken, katılanın beyanına itibar edilerek ve eksik araştırmaya dayanarak yazılı şekilde hüküm kurulması, Yasaya aykırı, sanık müdafiinin temyiz itirazları bu itibarla yerinde görülmüş olduğundan hükmün bu sebepten dolayı 5320 sayılı Yasanın 8/1. maddesi uyarınca uygulanması gereken 1412 sayılı CMUK.nun 321. maddesi gereğince (BOZULMASINA), 03.02.2015 gününde oybirliğiyle karar verildi.
Sadece sosyal medya hesaplarına izinsiz girme ve bilgisayar hackerlama yoluyla değil, kredi kartı bilgilerinin internet ortamına aktarılması üzerinden bu bilgilerin ele geçirilmesi veya kötüye kullanılmasıyla kişiler ekonomik olarak da mağdur edilmektedir. TCK 245. Maddesinde “başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlayan” kişiye üç yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası verileceği düzenlenmiştir.