Savcılıktan bir çağrı aldınız ya da hakkınızda soruşturma başlatıldığını öğrendiniz; suçlama “bilişim sistemine izinsiz girme.” Ya da tam tersine — sosyal medya hesabınıza, e-postanıza ya da kurumsal sisteminize birinin izinsiz girdiğini fark ettiniz ve ne yapacağınızı bilmiyorsunuz. Belki de eşinizin, eski sevgilinizin veya bir iş arkadaşınızın hesabına “sadece bakmak için” girdiniz ve bunun hukuki sonuçlarını merak ediyorsunuz. “Bilişim sistemine izinsiz girme suçu nedir ve cezası ne kadar?”
Bilişim sistemine izinsiz girme suçu, Türk Ceza Kanunu’nun 243. maddesinde düzenlenmiştir. Bir bilişim sistemine sahibinin izni olmadan girmek ya da orada kalmaya devam etmek bu suçu oluşturur. Ceza basit halde 1 yıla kadar hapis veya adli para cezasıyken; verilerin zarar görmesi, banka sistemlerinin hedef alınması, veri naklinin izlenmesi gibi nitelikli hallerde bu ceza ciddi biçimde artmaktadır. Üstelik bu suç şikayete bağlı değildir; savcılık re’sen soruşturma başlatabilir.
Beluk Partners Hukuk Bürosu olarak hazırladığımız bu kapsamlı rehberde “TCK 243 nedir ve tam kapsamı nelerdir?”, “Sosyal medya hesabına girmek suç mu?”, “Savcılıktan çağrı aldım, ne yapmalıyım?”, “Rıza savunması ne zaman işe yarar?” ve “Fail IP adresiyle gerçekten bulunabilir mi?” sorularını Yargıtay kararları, teknik bilgi ve güncel mevzuat çerçevesinde eksiksiz yanıtlıyoruz.
Bilişim sistemine izinsiz girme suçunun cezası nedir?
TCK m. 243/1’e göre bir bilişim sistemine hukuka aykırı olarak giren kişiye 1 yıla kadar hapis veya adli para cezası verilir. Sisteme giriş sonucunda veriler zarar görürse 6 aydan 2 yıla kadar hapis, veri naklini izleme (araya girme) suçunda ise 1 yıldan 3 yıla kadar hapis öngörülmektedir. Suç şikayete bağlı değildir. Dava zamanaşımı 8 yıl, ceza zamanaşımı 10 yıldır.
Bilişim Sistemi Nedir? — Hukuki ve Teknik Tanım
TCK m. 243’teki “bilişim sistemi” kavramını doğru anlamak, suçun kapsamını kavramak açısından temel bir adımdır. Maddenin gerekçesinde bilişim sistemi şu şekilde tanımlanmıştır: “Verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tabi tutma olanağı veren manyetik sistemler.”
Bu tanım çok geniş yorumlanmaktadır. Günümüzde bilişim sistemi kapsamına giren başlıca unsurlar şunlardır:
- Kişisel bilgisayarlar, dizüstü bilgisayarlar, tabletler
- Akıllı telefonlar ve içlerindeki tüm uygulamalar (WhatsApp, Instagram, e-posta vb.)
- Kurumsal ağlar, sunucular ve bulut sistemleri
- İnternet bankacılığı ve ödeme sistemleri
- E-posta hesapları ve sosyal medya profilleri
- Nesnelerin İnterneti (IoT) cihazları — akıllı ev sistemleri, kameralar
- ATM ve POS cihazları
- Devlet ve kamu kurumu sistemleri
Bu geniş tanım; yalnızca büyük ölçekli bilgisayar sistemlerine yapılan saldırıları değil, günlük hayatta karşılaşılan tüm dijital erişim ihlallerini de kapsadığı anlamına gelir. Birinin Instagram hesabına girmek ile büyük bir kurumun veritabanına sizmak, teorik olarak aynı suçu oluşturmaktadır; ancak ceza belirlenirken zarar boyutu ve sistem niteliği belirleyici faktörler haline gelir.
TCK Madde 243 — Dört Farklı Fıkra, Dört Farklı Suç
Fıkra 1 — Temel Hal: Sisteme İzinsiz Giriş veya Kalmaya Devam
Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak girmek ya da orada kalmaya devam etmek bu fıkra kapsamındadır. Burada iki seçimlik hareket bulunmaktadır: girmek veya kalmaya devam etmek. Bu iki eylemden birinin gerçekleşmesi suçu tamamlamaya yeterlidir.
“Kalmaya devam etmek” ifadesi önemlidir: Başlangıçta yetkili olan bir kişinin, yetkisinin sona erdiği halde sistemde kalmaya devam etmesi de bu suçu oluşturur. Örneğin eski bir çalışanın erişim iptal edildikten sonra eski şifreleriyle sisteme girmeye devam etmesi bu kapsamdadır. Ceza: 1 yıla kadar hapis veya adli para cezası.
Fıkra 2 — Hafifletici Hal: Ücretli Sistemler
Bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde verilecek ceza yarı oranında indirilir. Bu hükmün arkasındaki mantık, söz konusu sistemlerin zaten bir bedel karşılığı sunulan ve kullanıcı tabanının geniş olduğu platformlar olmasıdır. Örneğin ücretli bir oyun platformu ya da ödeme gerektiren bir içerik sitesi bu kapsamda değerlendirilebilir.
Fıkra 3 — Ağırlaştırıcı Hal: Veri Zararı
Sisteme girilmesi nedeniyle veriler yok olur ya da değişirse ceza 6 aydan 2 yıla kadar hapise yükselmektedir. Buradaki kritik nokta şudur: Failin verileri bizzat silmesi ya da değiştirmesi şart değildir; sisteme girişin doğal bir sonucu olarak verilerin zarar görmesi yeterlidir. Örneğin bir hesaba girerek şifrenin değiştirilmesi ve bu şekilde hesap sahibinin kendi verilerine erişiminin engellenmesi bu fıkra kapsamındadır.
Fıkra 4 — Araya Girme Suçu: Veri Naklini İzlemek
Bilişim sistemleri arasındaki veri naklini, sisteme bizzat girmeksizin teknik araçlarla hukuka aykırı olarak izleyen kişiye 1 yıldan 3 yıla kadar hapis cezası verilir. Bu fıkra, ağ trafiğini dinleyen, Wi-Fi ağındaki veri paketlerini izleyen ya da paket yakalama yazılımı kullanan kişileri hedef almaktadır. Avrupa Konseyi Siber Suç Sözleşmesi’nde “yasadışı müdahale” olarak tanımlanan bu eylem, özellikle kurumsal casusluk ve açık ağ istismarı davalarında uygulanmaktadır.
Önemli Uluslararası Bağlam: TCK m. 243, Türkiye’nin taraf olduğu Avrupa Konseyi Siber Suç Sözleşmesi’nin (Budapest Sözleşmesi) “kanunsuz erişim” başlıklı 2. maddesiyle uyumlu biçimde hazırlanmıştır. Bu sözleşme, bilişim suçlarında uluslararası işbirliğinin hukuki çerçevesini oluşturduğundan, yurt dışından gerçekleştirilen saldırılarda adli yardımlaşma mekanizmaları bu çerçevede işletilmektedir.
Günlük Hayattan Örnekler — Suç Oluşur mu?
| Eylem | Sonuç | İlgili Fıkra |
|---|---|---|
| Eski sevgilinin şifresini bilerek Instagram’a girmek | Suç oluşur | TCK m. 243/1 |
| Eşin telefonunu alarak WhatsApp mesajlarına açıkken bakmak (kasıt yoksa) | Genellikle oluşmaz | Kasıt unsuru eksik; TCK 132 değerlendirilebilir |
| İş arkadaşının bilgisayarını şifresiz bıraktığı sırada kasıtlı olarak açmak | Suç oluşur | TCK m. 243/1 |
| Phishing (oltalama) sayfası üzerinden birisinin e-posta şifresini ele geçirmek ve kullanmak | Suç oluşur | TCK m. 243/1 + 244 |
| Keylogger yazılımı kurarak şifre ele geçirip sisteme girmek | Suç oluşur | TCK m. 243 + 245/A |
| Kurumsal ağda yetkili olmadığı bir alana kasıtla erişmek | Suç oluşur | TCK m. 243/1 |
| İşten ayrılan eski çalışanın erişim iptali sonrası sisteme girmesi | Suç oluşur | TCK m. 243/1 |
| Halka açık Wi-Fi ağındaki trafiği paket dinleme yazılımıyla izlemek | Suç oluşur | TCK m. 243/4 |
| Güvenlik açığı araştırması (yetkili pentest — yazılı izinle) | Suç oluşmaz | Rıza hukuka uygunluk sebebi oluşturur |
| Banka hesabına girerek başka hesaba para transferi yapmak | Suç oluşur (ağır) | TCK m. 243 + 142/2-e |
Rıza Savunması — Ne Zaman Geçerlidir?
TCK m. 243 kapsamındaki suçta en yaygın kullanılan savunma, “sistemin sahibinin rıza gösterdiği” argümanıdır. Ancak bu savunmanın mahkemede geçerli sayılabilmesi için rızanın belirli nitelikleri taşıması zorunludur:
Geçerli Bir Rızanın Koşulları
- Açık ve güncel olmalıdır: “Şifremi geçmişte söylemiştim” ya da “bir keresinde izin vermişti” gibi tarihsel rızalar, o anki girişi meşrulaştırmaz. Rıza, girişin gerçekleştiği an için geçerli olmalıdır.
- Kapsamı belirli olmalıdır: Yalnızca belirli bir bölüm ya da işlem için verilen rıza, sistemin tamamına erişim yetkisi vermez. Örneğin e-posta sistemine erişim için verilen izin, kurumun muhasebe sistemine erişimi kapsamaz.
- Özgür iradeyle verilmiş olmalıdır: Baskı, hile veya yanıltma yoluyla elde edilen rıza geçersizdir.
- İspat edilebilir olmalıdır: “Rıza vardı” iddiasının mahkemede ispatlanması gerekir. Yazılı izin belgesi, e-posta onayı veya ses kaydı bu açıdan değerli delillerdir.
Uygulamadan Örnek: Yargıtay kararlarına göre, bir kişinin şifresini bir kez paylaşmış olması ya da “buyur gir” demiş olması, o hesaba her zaman ve her amaçla girilebileceği anlamına gelmez. Rızanın süregelen ve güncel nitelikte olması gerektiğinden, geçmişteki bir izin sonraki girişleri meşrulaştırmaz.
Bu Suçla Birlikte Oluşabilecek Diğer Suçlar
Bilişim sistemine izinsiz girme suçu, çoğu zaman tek başına değil başka suçlarla birlikte işlenmektedir. Bu kombinasyonlar cezaları önemli ölçüde artırabilir:
| Ek Suç | Madde | Tipik Senaryo |
|---|---|---|
| Sistemi engelleme / verileri silme | TCK m. 244 | Sisteme girip şifre değiştirmek, dosyaları silmek |
| Haberleşmenin gizliliğini ihlal | TCK m. 132 | Sisteme girip mesajları okumak |
| Kişisel veri ele geçirme | TCK m. 135-136 | Sisteme girip kişisel veri toplamak / dağıtmak |
| Bilişim yoluyla hırsızlık | TCK m. 142/2-e | Sisteme girip para transferi yapmak |
| Nitelikli dolandırıcılık | TCK m. 158/1-f | Sisteme girip sahte işlem yapmak, kişiyi aldatmak |
| Yasak cihaz / program bulundurma | TCK m. 245/A | Sisteme girmek için özel yazılım / şifre kırıcı kullanmak |
| Özel hayatın gizliliğini ihlal | TCK m. 134 | Sisteme girip özel fotoğraf / video ele geçirmek |
| 7545 SK kapsamında siber saldırı | 7545 Sayılı Kanun | Kritik altyapıya, kamu kurumuna saldırı |
Şikayet, Zamanaşımı ve Tutuklama
Şikayete Bağlı Değil — Savcılık Re’sen Soruşturur
TCK m. 243 kapsamındaki suç şikayete bağlı değildir. Bu, savcılığın suçun öğrenilmesiyle birlikte mağdurun şikayeti olmaksızın re’sen soruşturma başlatabildiği anlamına gelir. Bir ihbar, anonim bildirim, başka bir soruşturma sırasında ortaya çıkan yan delil veya güvenlik birimi tespiti soruşturmanın başlaması için yeterlidir.
Bu özellik, mağdur için önemli bir avantaj sağlar: Şikayetten vazgeçilmesi bile davayı düşürmez; savcılık yargılamayı sürdürmek zorundadır. Öte yandan şüpheli için ciddi bir risk oluşturur: Mağdurla uzlaşmak ya da mağdurun şikayetçi olmadığını beyan etmesi suçlamadan kurtulmak için yeterli değildir.
Zamanaşımı Süreleri
Dava zamanaşımı süresi 8 yıl; ceza zamanaşımı ise 10 yıldır. Dava zamanaşımı suçun işlendiği tarihten, ceza zamanaşımı ise kesinleşmiş mahkumiyet kararının tarihinden itibaren işlemeye başlar. Zamanaşımının dolması halinde dava düşer ya da verilen ceza infaz edilemez.
Tutuklama — Yasak ve İstisnalar
TCK m. 243/1, 2 ve 3 kapsamındaki suçlar için kanun koyucu açıkça tutuklama yasağı öngörmüştür. Bu madde kapsamında tutuklama kararı verilememekte; yerine adli kontrol tedbirleri (imza yükümlülüğü, yurt dışı çıkış yasağı, banka hesap kısıtlaması vb.) uygulanabilmektedir.
Ancak TCK m. 243/4 (araya girme / veri nakli izleme) suçunda tutuklama yasağı bulunmamaktadır. Ayrıca suçun başka suçlarla birlikte (örn. TCK m. 244, m. 142/2-e, m. 158/1-f) işlenmesi halinde bu diğer suçlardaki tutuklama koşulları değerlendirilebilir.
HAGB, Erteleme ve Adli Para Cezasına Çevirme
Hükmün Açıklanmasının Geri Bırakılması (HAGB)
TCK m. 243/1 kapsamındaki suçta verilen ceza genellikle 2 yıl sınırı içinde kalabildiğinden HAGB uygulanabilir. HAGB için şu koşulların sağlanması gerekir:
- Hükmedilen ceza 2 yıl veya daha az olmalıdır
- Sanık daha önce kasten suç işlememiş olmalıdır
- Varsa mağdurun zararı giderilmiş olmalıdır
- Sanığın yeniden suç işlemeyeceğine dair kanaat oluşmalıdır
- Sanık HAGB’yi kabul etmelidir
HAGB kararının ardından 5 yıllık denetim süresi boyunca kasıtlı suç işlenmemesi halinde kamu davası hiç açılmamış, cezaya hükmedilmemiş sayılır ve adli sicile hiçbir kayıt işlenmez.
Hapis Cezasının Adli Para Cezasına Çevrilmesi
TCK m. 243/1’de hapis cezasına alternatif olarak “veya adli para cezası” seçeneği de öngörülmüştür. Mahkeme, somut olayın koşullarına göre hapis yerine adli para cezasına da hükmedebilir. Adli para cezası belirlenirken günlük 20 ile 100 TL arasında belirlenen gün-para miktarı ile 1 ile 730 gün arasında belirlenen gün sayısı çarpılarak hesaplanır.
Fail Nasıl Tespit Edilir? — Teknik Boyut
Bilişim suçlarında faillerin tespiti, teknik bilgi ve savcılık yetkilerinin birlikte kullanılmasını gerektiren özel bir süreçtir. Türkiye’deki Siber Suçlarla Mücadele birimleri bu alanda uzmanlaşmıştır ve aşağıdaki yöntemlerle faillere ulaşabilmektedir:
IP Adresi Tespiti
Sisteme her giriş yapıldığında, giriş yapan cihazın IP adresi sunucu tarafında kayıt altına alınır. Savcılık talebiyle internet servis sağlayıcısından ilgili IP adresinin kime ait olduğu bilgisi alınabilir. Ancak bir IP adresi birden fazla kişiye PORT numarasıyla verilebilmektedir; bu nedenle yalnızca IP adresi yeterli olmayabilir, port bilgisi ve zaman damgası da gerekebilir. Yargıtay, salt IP adresinin tek başına yeterli delil sayılamayacağına hükmettiği kararlar vermiştir.
Platform Kayıtları
Sosyal medya platformları (Meta/Instagram, X/Twitter, Google) ve diğer servis sağlayıcılar, savcılık kanalıyla gelen yasal taleplere yanıt olarak kullanıcı oturum kayıtlarını paylaşmak zorundadır. Bu kayıtlar; giriş tarihi-saati, kullanılan cihaz, işletim sistemi ve konum bilgisini içerebilir.
Adli Bilişim İncelemesi
Casus yazılım ya da keylogger gibi araçlar kullanılmışsa, hedef cihazın adli bilişim uzmanı tarafından incelenmesi bu yazılımları tespit edebilir. Yazılımın ne zaman yüklendiği, ne kadar çalıştığı ve hangi verileri ilettiği rapor halinde mahkemeye sunulabilir.
VPN Kullanımı
“VPN kullandım, bulunamam” savunması çoğu zaman işe yaramaz. Çünkü VPN sağlayıcıları da kendi sunucu kayıtlarını tutmakta ve yasal zorunluluk halinde bu kayıtları paylaşmaktadır. Üstelik savcılık, çapraz teyit yöntemleriyle (zaman damgaları, diğer platform kayıtları ile eşleştirme) faili tespit edebilmektedir.
Mağdursanız Ne Yapmalısınız?
1. Erişimi derhal sonlandırın: Hesabın şifresini değiştirin, yetkisiz cihazları oturumdan çıkarın, iki faktörlü kimlik doğrulamayı aktif edin.
2. Delilleri belgeleyin: Giriş bildirimleri, şüpheli aktivite kayıtları, oturum geçmişi, IP adresi bilgileri ve ekran görüntülerini saklayın. Mümkünse noter e-Tespit yaptırın.
3. Suç duyurusunda bulunun: Suç şikayete bağlı olmadığından her zaman başvurabilirsiniz. Cumhuriyet Başsavcılığı’na veya Emniyet Siber Suçlarla Mücadele Birimi’ne başvurabilirsiniz.
4. Tazminat talep edin: Ceza davasından bağımsız olarak maddi ve manevi tazminat davası açabilirsiniz.
Sık Sorulan Sorular
Savcılıktan bilişim sistemine girme suçundan çağrı aldım, ne yapmalıyım?
Herhangi bir yerde beyanda bulunmadan önce mutlaka bir avukattan destek alın. Susma hakkınız anayasal güvence altındadır; kullanmanız hem hakkınız hem de çıkarınızdır. Avukatınız dosyayı savcılık aşamasında inceleyerek delil durumunu değerlendirebilir ve size özel bir savunma stratejisi oluşturabilir. İfade sırasında yapılan tek bir hatalı beyan, sonraki savunmayı kökten zorlaştırabilir. Beluk Partners olarak bu konuda acil danışmanlık sunuyoruz.
Şifreyi bana kendisi verdi, yine de suç oluşur mu?
Büyük ihtimalle evet. Rızanın kapsamı ve geçerliliği belirleyicidir. Şifrenin bir kez verilmiş olması, o sisteme her zaman ve her amaçla girilebileceği anlamına gelmez. Rızanın güncel, açık ve kapsamlı olması gerekir. Hesap sahibinin haberi olmadan tekrarlı girişler, hesap sahibinin rızasının bittiği bir dönemde yapılan giriş ya da verilen şifreyi kullanarak başka bölümlere erişmek suç oluşturabilir.
Bu suçta adli sicile kayıt olur mu?
Mahkeme kararına bağlı olarak evet. Ancak HAGB kararı verilmesi ve 5 yıllık denetim süresinin başarıyla tamamlanması halinde adli sicile hiçbir kayıt işlenmez, kişi suçu hiç işlememiş gibi hayatına devam eder. Cezanın ertelenmesi veya adli para cezasına çevrilmesi de olası sonuçlardandır.
Fail IP adresiyle tespit edilebilir mi?
Evet, çoğu durumda mümkündür. Savcılık talimatiyle internet servis sağlayıcısından IP adresi, oturum tarihi-saati ve port bilgisi talep edilir. Sosyal medya platformları da kullanıcı ve giriş verilerini mahkeme kararıyla paylaşmak zorundadır. VPN kullanımı tespiti zorlaştırsa da teknik çapraz inceleme yöntemiyle çoğunlukla atlatılabilir. Yargıtay, salt IP adresini tek başına yeterli bulmayıp ek delil de aramaktadır.
Güvenlik testi (penetrasyon testi) yaparken sisteme girdiysem suç mu?
Eğer sisteme ait yetkili kişiden, tercihen yazılı ve kapsam belirlenmiş biçimde açık bir izin aldıysanız suç oluşmaz; rıza hukuka uygunluk sebebi oluşturur. Ancak “izin alacaktım” ya da “fark ettirmeden test etmek istedim” gerekçesi geçerli değildir. Yetkisiz güvenlik testleri, amacı ne olursa olsun TCK m. 243 kapsamında soruşturmaya konu olabilir. Penetrasyon testlerinde yazılı izin belgesi hem mesleğin etiği hem hukuki güvence açısından zorunludur.
Beluk Partners Hukuk Bürosu olarak bilişim sistemine izinsiz girme davalarında hem mağdur hem de şüpheli konumundaki müvekkillerimize kapsamlı hukuki destek sunuyoruz. Savcılık soruşturmasından yargılama sürecine, tazminat taleplerinden delil yönetimine kadar tüm aşamalarda deneyimli bilişim hukuku avukatlarımız yanınızdadır.
