Bilişim Suçları Nelerdir?
Bilişim; insanların teknik, ekonomik ve toplumsal alanlardaki iletişiminde kullandığı ve bilimin dayanağı olan bilginin, özellikle elektronik makineler aracılığıyla düzenli ve akla uygun bir biçimde işlenmesi bilimidir. Bu süreçte işlenen ve kanunda suç olarak tanımlanmış olan fiiller de ‘bilişim suçları’nı oluşturur. Bilişim suçu ile eş anlamlı olarak internet suçu, siber suç, elektronik ortamda işlenen suçlar gibi kavramlar da kullanılmaktadır.
Bilişim suçları için bir tanım yapacak olursak; cep telefonu, bilgisayar gibi çağdaş iletişim araçları ya da pos cihazı gibi elektronik alışveriş araçları kullanılmak suretiyle elektronik ortamda işlenen suçlar, bilişim suçlarıdır.
Bilişim suçları hukukumuzda 5237 Sayılı Türk Ceza Kanunu’nun (TCK) 243 ile 245 maddeleri arasında düzenlenmiştir:
- Bilişim Sistemine Girme (TCK m. 243)
- Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme (TCK m. 244)
- Banka veya Kredi Kartlarının Kötüye Kullanılması (TCK m. 245)
- Yasak Cihaz veya Programlara İlişkin Suçlar (TCK m. 245/A)
Bilişim Sistemine Girme (TCK madde 243)
Bilişim sistemine girme suçu, TCK madde 243’te ‘bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak girmek veya orada kalmaya devam etmek’ olarak tanımlanmıştır. Bu suçla korunmak istenen değer, bilişim sisteminin güvenliğinin sağlanması ve özel hayatın gizliliğinin korunmasıdır. Bir internet kullanıcısının izni olmaksızın, çeşitli sitelerde oluşturduğu kullanıcı hesaplarına girmek, oradaki verilere erişmek bilişim suçunu oluşturur.
Örnek olarak kişinin sosyal medya hesaplarına ya da elektronik posta hesabına izinsiz olarak girmek verilebilir. Bu durumda kişinin rızasının olması (şifresini kendi isteğiyle verip hesabına girilmesine izin vermiş olması) bir hukuka uygunluk sebebi teşkil eder ve fiili suç olmaktan çıkarır.
Bilişim sistemine girme suçu, güvenlik önlemlerindeki boşluklardan faydalanmak, internet üzerinden virüsler göndermek gibi farklı yöntemler kullanılarak işlenebilir. Failin bilişim sistemine ne suretle ve hangi amaçla girdiği suçun oluşması bakımından önemli değildir. Kişinin rızası olmaksızın, kişisel bilgisayarının işletim sistemine erişilmesi (Windows vb.) de bilişim sistemine girme suçunu oluşturur.
Bir bilişim sistemine girip hiçbir değişiklik yapmadan çıkıldığında oluşan, suçun basit şekli için kanunda öngörülen ceza, bir yıla kadar hapis veya adli para cezasıdır. Bilişim sistemine girme suçunun bedeli karşılığı yararlanılan sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir. Bilişim sistemine girme fiili nedeniyle, sistemdeki veriler yok olur ya da değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
Bunun için failin verileri yok etmek ya da değiştirmek amaçlı özel bir çabasının olmaması, sadece sisteme girilmesi nedeniyle bu sonucun kendiliğinden doğmuş olması gerekir. Aksi halde, failin verileri yok etme ya da değiştirme gayesi varsa, TCK madde 244’teki başka bir suç tipi gündeme gelecektir. Bir bilişim sisteminin kendi içinde veya diğer sistemlerle arasında gerçekleşen veri nakillerini, sisteme girmeksizin teknik araçlarla hukuka aykırı olarak izleme fiili de, TCK madde 243 kapsamında suç olarak düzenlenmiştir.
Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme (TCK madde 244)
TCK madde 244/1’de ‘bir bilişim sisteminin işleyişini engelleyen veya bozan kişi’ denilerek bilişim sistemini konu alan seçimlik hareketli suç düzenlenmiştir. Bu seçimlik hareketler, bilişim sisteminden yararlanma hakkı olan kişilerin sisteme erişiminin engellenmesi ya da bilişim sisteminin teknik altyapısına uygun şekilde çalışmasının engellenmesi şeklinde olabilir.
Örnek vermek gerekirse bir kimsenin internet ortamındaki kullanıcı hesaplarına girip şifrelerini değiştirerek bu kimsenin kendi hesaplarına erişiminin engellenmesi ya da bir e-ticaret sitesinin müşterileriyle bağlantı kurmasını engellemek amacıyla yazılımının bozulması TCK madde 244/1 kapsamında suç teşkil eder. Bu şekilde bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
Maddenin ikinci fıkrasında ‘bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi’ şeklinde bu suçu oluşturan diğer seçimlik hareketler sayılmıştır. Örneğin bir kimsenin rızası olmaksızın Instagram profiline girilip kendisini tanıttığı yazının değiştirilmesi, bazı gönderilerin silinmesi, önceden paylaşılmış gönderiler üzerinde değişiklik yapılması, yeni gönderilerin paylaşılması TCK madde 244/2 kapsamında suç teşkil edecektir.
Bu fiillerden herhangi birinin gerçekleştirilmesi suçun oluşması için yeterlidir. İkinci fıkradaki fiillerden herhangi birini işleyen kişi, altı aydan üç yıla kadar hapis cezasıyla cezalandırılır.
Sistemi engelleme, bozma, verileri yok etme veya değiştirme fiillerinin bir banka veya kredi kurumuna ya da bir kamu kurum ya da kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır. Söz konusu fiiller işlenerek failin kendisi veya bir başkası yararına haksız çıkar sağlanmış ve bundan kaynaklı olarak başka bir suç oluşmamışsa, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezasına hükmolunur.
Ancak failin amacı bu şekilde bankadaki ya da kamu kurumundaki paranın ya da parasal değerin mülkiyetini elde etmekse, bu durumda bilişim suçu değil nitelikli hırsızlık suçu oluşmuş olur.
Banka veya Kredi Kartlarının Kötüye Kullanılması (TCK madde 245)
TCK madde 245’in birinci fıkrasında, başkasına ait bir banka veya kredi kartını, herhangi bir şekilde ele geçiren veya elinde bulunduran kimsenin, ilgili kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına bir yarar sağlaması halinde, banka veya kredi kartlarının kötüye kullanılması suçunun oluşacağı düzenlenmiştir. Banka veya kredi kartının herhangi bir yerde bulunup kullanılması, kartın çalındıktan sonra kullanılması, bankamatiklere kurulan düzeneklerle kart fiziken ele geçirildikten sonra kullanılması ve kart sahibi faile kartı rızasıyla vermiş olmasına rağmen sonradan onun rızasına aykırı şekilde geri verilmeyerek kullanılması durumlarının tamamında bu suç oluşur. Suçun bu şeklinde öngörülen yaptırım üç yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezasıdır.
Suçun bu fıkrada düzenlenmiş haline, malvarlığına karşı suçlara ilişkin etkin pişmanlık hükümleri uygulanır. Ayrıca suçun bu hali için şahsi cezasızlık halleri düzenlenmiştir: Suçun birinci fıkrada düzenlenen şeklinin; eşlerden birinin, üstsoy veya altsoyun veya bu derece kayın hısımlarından birinin ya da evlat edinenin veya evlatlığın, aynı konutta yaşayan kardeşlerden birinin zararına olarak işlenmesi halinde faile ceza verilmez (TCK m.245/4).
Maddenin ikinci fıkrasında başkalarına ait banka hesaplarıyla ilişkilendirerek sahte banka veya kredi kartı üretmek, satmak, devretmek, satın almak veya kabul etmek suç olarak düzenlenmiştir. Suçun oluşması için bu fiillerden herhangi birinin işlenmesi yeterlidir, hepsinin bir arada bulunmasına gerek yoktur. Ayrıca sahte olarak üretilen, satılan, devredilen, satın alınan veya kabul edilen kredi kartının mutlaka başkasına ait gerçek bir banka hesabıyla ilişkilendirilmesi gerekir. Suçun bu şekli için düzenlenen yaptırım üç yıldan yedi yıla kadar hapis ve on bin güne kadar adli para cezasıdır.
Banka veya kredi kartını kötüye kullanma suçunun maddenin üçüncü fıkrasında düzenlenen hali ise sahte oluşturulan veya üzerinde sahtecilik yapılan bir kredi veya banka kartını kullanarak kendisine veya başkasına yarar sağlamak şeklindedir.
Kredi veya banka kartını kullanarak kişinin kendisine veya başkasına yarar sağlaması bu suçun oluşması için şarttır. Sahte kredi ya da banka kartı kullanılmış fakat bir yarar sağlanamamışsa suç teşebbüs aşamasında kalır. Üçüncü fıkrada bahsedilen fiil, daha ağır cezayı gerektiren bir suç oluşturmuyorsa, dört yıldan sekiz yıla kadar hapis ve beş bin güne kadar adli para cezası öngörülmüştür.
Yasak Cihaz veya Programlara İlişkin Suçlar (TCK madde 245/A)
Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; bilişim suçları ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
Bu suçu oluşturan durumlara verilebilecek en temel örnek Keylogger denen yazılım ile bilgisayarda basılan her tuşun kayıt altına alınması ve böylelikle şifrelerin ve özel bilgilerin ele geçirilmesidir.
Yasak cihaz ve programlara ilişkin suçlarda kast unsurunun üzerinde ayrıca durulması gerekir. Zira bu nevi yasak cihaz ve programlar sızma testi (pentest) yapan şirketler tarafından da kullanılmaktadır. Bu şirketler maddede sayılan fiilleri, bilişim sistemlerinin güvenirliğini test etmek amacıyla gerçekleştirdiğinden, burada suç işleme kastı yoktur.
Test yapan şirketlerin bu konuda bilişim sistemi sahipleriyle imzalayacağı bir sözleşme neticesinde hukuka aykırılık ortadan kalkmış olur ve madde 245/A’daki suç oluşmaz.