Cihaz, Program, Şifre ve Güvenlik Kodlarının Bilişim Suçlarının İşlenmesi Amacıyla İmal ve Ticareti Suçu

The Crime of Manufacturing and Trading Devices, Programs, Passwords and Security Codes to Commit Cybercrimes

İbrahim KORKMAZ

5237 sayılı Türk Ceza Kanununun (TCK) “Yasak Cihaz ve Programlar” başlıklı 245/A maddesinde cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imal ve ticareti suçu düzenlenmiştir. Bu maddeye göre bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun TCK’nın “Bilişim Alanında Suçlar” başlıklı 10. Bölümünde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi cezalandırılacaktır.

Çalışmada bu suçun TCK m. 245/A’daki kanuni düzenleniş şekline, Avrupa Konseyi Sanal Ortamda İşlenen Suçlar Sözleşmesi’nde yer alan düzenleme ile farklarına yer verilerek, hukuki konusu, maddi konusu, faili, mağduru, unsurları, ortaya çıkış biçimleri, nitelikli halleri, yaptırımı ve muhakemesi incelenmiştir. İlaveten, suç ile ilgili doktrinde yer alan görüşlere yer verilmiş, ilgili problemler, tartışmalı konular ve bu problemlerle ilgili çözüm tavsiyelerine değinilmiştir.

Bilişim Suçu, Yasak Cihaz, Bilgisayar Programı, Şifre, Güvenlik Kodu, Suç, Türk Ceza Hukuku.

The crime of manufacturing and trading devices, programs, passwords and security codes crime to commit cybercrimes is regulated in Article 245/A of the Turkish Penal Code (TPC) no.5237 with title “Prohibited Devices and Programs”. According to this article, when a device, computer program, password or other security code is made or created to commit crimes regulated in TPC’s “Crimes in Computing” section and other crimes that can be committed through the use of computer systems; the person who manufactures, imports, transports, stores, accepts, sells, prepares to sell, buys, keeps or gives to others shall be punished.

In this study, how this crime is regulated in Article 245/A of TPC, differences with the Convention on Cybercrime, legal issue, material issue, guilty, victim, elements, emergence forms, qualified cases, sanction and judgment is examined. Also, the opinions mentioned in the doctrine related to this crime are included, and the problems and issues related to the crime and suggestions for solutions to these problems are mentioned.

Cybercrime, Prohibited Device, Computer Program, Software, Password, Security Code, Turkish Criminal Law.

Giriş

1980’li yıllardan itibaren kişisel bilgisayarlar ile birlikte veri ağları ve internetin hızlı gelişimi sonucunda insanların bilgiye ulaşması kolaylaşmış ve ekonomik ve sosyal hayatlarında birçok değişiklik meydana gelmiştir.¹ Bilişim teknolojisindeki bu gelişmeler aynı zamanda, bilişim sistemlerinin kötüye kullanılması sonucunda kişilerin haklarının ihlal edilmesi, maddi ve manevi zararlar verilmesi, bilgi sistemlerine yetkisiz girilerek verilerin çalınması gibi eylemlerle ceza hukukunda yeni suçların oluşmasına yol açmıştır.² Bilişim suçlarının sonuçları klasik suçlara kıyasla çok daha büyük ve zarar vericidir.³ Ortaya çıkan bu gelişmeler bilişim teknolojisinde yeni güvenlik önlemlerinin alınmasına ve bu alandaki suçlulukla ilgili yeni düzenlemeler yapılmasına yol açmıştır.⁴

Bilişim suçları,⁵ işlenme şekilleri ve işlemede kullanılan araçların farklılığı ve fazlalığı nedeniyle klasik suçlardan ayrılmaktadır. Bilişim suçları da bilişimin kendisi gibi sürekli ve hızlı şekilde değişmekte, devamlı olarak değişen ve sayısı artan birçok değişik araçla işlenebilmektedir.⁶ Bilişim suçlarında klasik suçlardaki gibi fiziksel bir eylem bulunmasa da bilişim sistemi üzerinde suç oluşturan eylemlerin gerçekleştirilmesi için çeşitli cihazların, programların, şifre ve kodların ya da tekniklerin kullanılması gerekmektedir.⁷ Bu programlara ya da tekniklere örnek olarak, sistem güvenliğinin kırılıp içeri girilmesi (hacking), salam tekniği, truva atı, ağ solucanları, tavşanlar, bukalemunlar, mantık bombaları, virüsler, casus yazılımlar,⁸ telefon çeviriciler, sazan avlama, arka kapılar, çöpe dalma, gizlice dinleme, veri aldatmacası vb. verilebilir.⁹

Günümüzde internet kullanıcıları, sıklıkla çeşitli kötü amaçlarla üretilen bilgisayar programlarının verdikleri zararlarla veya zarar tehditleriyle karşılaşmaktadırlar.¹⁰ Bilişim suçları herhangi bir cihaz, program veya kod kullanmadan işlenebilse de, çoğu zaman bunlar, suçların işlenmesini kolaylaştırdığından kullanılmaktadır. Bilişim suçlarıyla daha etkin ve kaynağında mücadele edebilmek için, bilişim suçlarının yaptırıma bağlanması yanında bu suçların işlenmesini sağlayan ve kolaylaştıran kötü amaçlarla hazırlanmış çeşitli bilgisayar programlarının, cihazların, kodların imal edilmesi, sevk edilmesi, nakledilmesi, depolanması, kabul edilmesi, satılması, satışa arz edilmesi, satın alınması, başkalarına verilmesi veya bulundurulmasının da yaptırıma bağlanması gerekir.¹¹ Böylece, bilişim suçlarına hazırlık hareketi niteliğindeki bu fiiller cezalandırılarak bilişim suçlarının işlenmesi önlenebilecektir. Bunu sağlayabilmek için, daha önce hukukumuzda düzenlenmeyen bu suç TCK m.245/A’da ayrı bir suç olarak mevzuatımıza dâhil edilmiştir.

Çalışmada, cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imali ve ticareti suçunun TCK’da nasıl düzenlendiği, suçla korunan hukuki değerin ne olduğu, unsurları, ortaya çıkış biçimleri, bu suç için öngörülen cezai yaptırım ve bu suçun muhakemesinin ne şekilde olacağına değinilmiştir. Ayrıca suç ile ilgili Yargıtay kararları ve öğretideki görüşlere yer verilmiştir.

I. Suça İlişkin Kanuni Düzenleme

Bu düşünceyle, 5237 sayılı Türk Ceza Kanununun “Bilişim Alanında Suçlar” başlıklı Onuncu Bölümüne, 24.03.2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanununun 30’uncu maddesiyle “Yasak cihaz ve programlar” başlıklı 245/A maddesi eklenmiştir. Madde aşağıdaki şekilde düzenlenmiştir.

“Yasak cihaz veya programlar

Madde 245/A- (Ek: 24.3.2016 - 6698/30 md.) (1) Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası ile cezalandırılır.”

Türk Ceza Kanununa cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imali ve ticareti suçunun eklenmesiyle, mevzuatımızda bilişim suçları açısından önemli bir boşluğun doldurulmuş olduğu söylenebilir.¹²

Bu madde, aynı zamanda taraf olduğumuz Avrupa Konseyi Siber Suç Sözleşmesinin, bilişim alanında suç işlenmesini kolaylaştıran cihazların kötüye kullanılmasını cezalandıran 6’ncı maddesinin mevzuatımızda uygulanması için de getirilmiştir.¹³

Avrupa Konseyi bünyesinde hazırlanarak 23 Kasım 2001 tarihinde Budapeşte’de imzaya açılan ve üçü Konsey üyesi toplam beş devletin onaylamasıyla 1 Temmuz 2004 tarihinde yürürlüğe giren Avrupa Konseyi Siber Suç Sözleşmesi, ülkemiz tarafından 10 Kasım 2010 tarihinde imzalanmıştır. Sözleşme, 47 Konsey üyesi ülke ile ABD, Japonya, Avustralya, Güney Afrika ve Kanada tarafından imzalanmış ve bugüne kadar 57 ülke tarafından onaylanmıştır.¹⁴ Sözleşme, internet ve diğer bilgisayar ağları aracılığıyla işlenen, özellikle telif hakkı ihlali, bilişim araçlarıyla dolandırıcılık, çocuk pornografisi ve ağ güvenliği ihlalleriyle ilgili suçları içeren ilk uluslararası anlaşmadır.¹⁵ Ayrıca bilgi sistemlerinin aranması ve müdahalesiyle ilgili tanımlar içerir. Sözleşmenin Giriş bölümünde ortaya konan temel amaç, özellikle uygun mevzuatın kabul edilmesi ve uluslararası işbirliğinin teşvik edilmesi yoluyla, siber suçlara karşı toplumun korunmasını amaçlayan ortak bir ceza politikası izlemektir.¹⁶

Sözleşme TBMM tarafından 22.4.2014 tarihli ve 6533 sayılı Kanunla kabul edilmiş olup 2.5.2014 tarihli ve 28988 sayılı Resmî Gazetede yayımlanarak yürürlüğe girmiş ve usulüne uygun olarak yürürlüğe konulduğundan dolayı kanun hükmünde uygulanma olanağı kazanmıştır.¹⁷

Burada üzerinde durulması gereken bir konu da, Anayasa’nın 90’ıncı maddesinin beşinci fıkrası uyarınca, usulüne göre yürürlüğe konulmuş Avrupa Konseyi Siber Suç Sözleşmesinin kanun hükmünde olması nedeniyle, Sözleşmenin yürürlüğe girdiği 2.5.2014 tarihi ile TCK m.245/A’nın yürürlüğe girdiği 24.3.2016 tarihleri arasındaki eylemlere uygulanıp uygulamayacağıdır. Bazı yazarlara göre, ulusal bir kanunda suç olarak yer verilmese de, usulüne göre yürürlüğe konulmuş bir uluslararası sözleşmede suç olarak düzenlenmiş bir eylemi yargılayıp cezalandırmak kanunilik ilkesine aykırı olmayacaktır.¹⁸ Buna göre ceza hukukuna ilişkin hükümler içeren uluslararası sözleşmeler, temel haklar ve özgürlükler ile ilgili olduklarından, ayrı bir kanuni düzenlemeye ihtiyaç olmadan doğrudan uygulanabilirler.¹⁹ Bazı yazarlara göre ise, uluslararası sözleşmeler bir kanunla uygun bulunsalar bile, ceza hukukunda doğrudan uygulanabilmeleri için bir kanunun doğrudan göndermede bulunması gerekmektedir.²⁰ Kanımızca, Avrupa Konseyi Siber Suç Sözleşmesinde bu eylem suç olarak düzenlenmiş olsa da verilecek ceza konusunda uygulanabilecek bir düzenleme bulunmadığından TCK m.245/A’nın yürürlüğe girmesinden önceki eylemler cezalandırılamaz.

Avrupa Konseyi Siber Suç Sözleşmesinin 4’üncü, 5’inci, ve 6’ncı maddelerinde “Veriye Müdahale”, “Sistemin Engellenmesi” ve “Cihazların Kötüye Kullanılması” eylemlerinin sözleşmeye taraf ülkelerin iç mevzuatlarında suç olarak düzenlenmesi gerektiği belirtilmiştir.²¹

Sözleşmenin 6’ncı maddesi aşağıdaki şekildedir.

“Madde 6- Cihazların Kötüye Kullanımı

1- Taraflardan her biri, kasten veya haksız yere gerçekleştirildiği zaman aşağıdakilerin kendi iç hukuku kapsamında cezai suç olarak tanımlanması için gerekli olabilecek yasama tedbirlerini ve diğer tedbirleri kabul edecektir:

a. Aşağıda belirtilenlerin 2 ila 5. maddelerde belirtilmiş herhangi bir suçun işlenmesi için kullanılmaları amacıyla üretimi, satışı, kullanım amaçlı tedarik edilmesi, kullanım amaçlı bulundurulması, ithal edilmesi, dağıtımı ve başka şekilde erişilebilir hale getirilmesi:

i. Bir bilgisayar programı da dâhil olmak üzere, öncelikli olarak yukarıda belirtilen 2 ila 5. maddelerde belirtilmiş herhangi bir suçu işlemek üzere tasarlanmış veya uyarlanmış bir cihaz;

ii. Bir bilgisayar sisteminin tamamına veya herhangi bir kısmına erişimi mümkün kılan bir bilgisayar şifresi, erişim kodu veya benzer veri.

ve

b. Yukarıda paragraf a.i veya ii’de atıfta bulunulmuş bir ögeye, 2 ila 5. maddelerde belirtilmiş herhangi bir suçun işlenmesi için kullanılması amacıyla bulundurma. Taraflardan biri, yasa gereği cezai sorumluluğun doğması için bahsi geçen ögelerden belli sayıda bulundurulmasını şart koşabilir.

2. İşbu madde, bu maddenin 1. paragrafında atıfta bulunulan üretme, satma, kullanım amaçlı tedarik, ithalat, dağıtma veya başka bir şekilde erişilebilir hale getirme veya bulundurmanın, 2 ila 5. maddeler uyarınca suç işlemek maksadıyla gerçekleştirilmemesi durumunda, örneğin bir bilgisayar sisteminin yetkililerce test edilmesi veya korunmasının amaçlandığı hallerde, cezai yükümlülük doğuracağı şekilde yorumlanmayacaktır.

3. Taraflardan her biri, çekincenin işbu maddenin 1.a.ii paragrafında sözü edilen ögelerin satışı, dağıtımı veya başka şekilde erişilebilir hale getirilmesiyle alakalı olmaması kaydıyla, işbu maddenin 1. paragrafının uygulamama hakkını saklı tutabilir.”

Türk Ceza Kanununun 245/A maddesi ile Sanal Ortamda İşlenen Suçlar Sözleşmesinin 6’ncı maddesi büyük ölçüde benzerlik göstermektedir.²² Kanunda ve Sözleşmede, suçu oluşturan hareketler tek tek sınırlı sayıda sayılmış iken, Sözleşmede benzer hareketlerin de madde kapsamına alınabilmesi için “başka şekilde erişilebilir hale getirilmesi” ibaresine yer verilmiştir. Böylece Sözleşme, bilgisayar teknolojisindeki gelişmeleri kapsayacak şekilde bir düzenleme yapmıştır.

Sözleşmede, cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun, Sözleşmenin 2’nci ilâ 5’inci maddelerinde belirtilmiş herhangi bir suçun işlenmesi için kullanılmaları amacıyla üretimi, satışı, kullanım amaçlı tedarik edilmesi, kullanım amaçlı bulundurulması, ithal edilmesi, dağıtımı ve başka şekilde erişilebilir hale getirilmesi suçun ön şartı olarak belirlenmiştir. Kanun ise, bunların Kanunun “Bilişim Alanında Suçlar” isimli Onuncu Bölümünde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılmasını veya oluşturulmasını suçun ön şartı olarak belirlemiştir. Böylece Kanunun, Sözleşmeye oranla suçun uygulanma alanını daha geniş olarak belirlediği anlaşılmaktadır.²³

Sözleşmede, taraf devletlerin, suçun oluşabilmesi için söz konusu cihaz, bilgisayar programı, şifre veya sair güvenlik kodundan belli sayıda bulundurulmasını şart koşabilecekleri belirtilmiş, ancak TCK m.245/A’da yer alan düzenlemede bu şekilde bir sayıya yer verilmemiştir.

Sözleşmede maddenin ikinci fıkrasında, birinci fıkrada sayılan fiillerin, 2’nci ilâ 5’inci maddeler uyarınca suç işlemek maksadıyla gerçekleştirilmemesi durumunda, suç olarak değerlendirilemeyeceğine yer verilmiştir. TCK’da bu şekilde bir ibareye yer verilmemiştir; ancak Kanunun lafzından aynı husus anlaşılmaktadır. Gerekçede de, suçun oluşmasında failin kastının dikkate alınması gerektiği, söz konusu cihaz, program, şifre ve kodların bilişim sistemlerinin güvenliğinin test edilmesi suretiyle yapılması veya oluşturulması durumunda TCK’nın 245/A maddesindeki suçun oluşmayacağı belirtilmiştir.²⁴

Burada Avrupa Konseyi Siber Suçlar Sözleşmesi ile ilgili Açıklayıcı Raporda yer alan bazı tartışmalara da yer vermekte fayda bulunmaktadır. Sözleşme metni oluşturulurken, münhasıran ya da spesifik olarak suç işlemek amacıyla tasarlanmış cihazların 6’ncı madde kapsamına alınması ve çift kullanımlı cihazların kapsam dışı bırakılması konusu tartışılmış; fakat bunun suçun kapsamının aşırı şekilde daraltılarak suçun işlenmesinin pratikte imkânsız veya çok nadir durumlar için uygulanabilir hale gelmesine yol açacağı belirtilerek kabul görmemiştir. Bu görüşe alternatif olarak ortaya konan, yasal olarak üretilmiş ve dağıtılmış olsa bile, suça elverişli bütün cihazları madde metni kapsamına almak görüşü de reddedilmiştir. Bu görüşün benimsenmesi, sadece bilişim suçları işlemeyi amaçlamanın ceza verilmesi için yeterli olması anlamına gelmektedir. Bu durum kalpazanlık suçlarında da benimsenmemiştir. Sözleşme, makul bir uzlaşma noktası olarak, 6’ncı maddede düzenlenen cihazların kötüye kullanılması suçunun kapsamını, öncelikli olarak suç işlemek için tasarlanan veya uygun hale getirilen cihazlarla sınırlı tutmuştur. Çift kullanımlı cihazlar çoğunlukla maddenin kapsamı dışındadır.²⁵

TCK’nın 7’nci maddesinde düzenlenen zaman bakımından uygulama ilkesi gereği, TCK’nın 245/A maddesi yürürlük tarihi olan 24.03.2016 tarihinden sonra işlenen fiiller için uygulanacaktır. Bu kapsamda, başka bir suç kapsamına girmediği sürece, bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun bu tarihten önce imal edilmesi, ithal edilmesi, sevk edilmesi, nakledilmesi, verilmesi, satılması suç oluşturmayacaktır.²⁶

TCK’nın 245/A maddesinde düzenlenen cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imali ve ticareti suçunun madde başlığında kullanılan “Yasak cihaz ve programlar” ifadesinin, suçun fiilini öne çıkarmaktan ziyade konusunu belirtmesi, bu nedenle de suçun içeriğini yansıtmaması, ayrıca madde başlığından cihazların ve programların yasak olduğu anlaşılsa da, bu ibarenin madde metninde geçmemesi nedenleriyle eleştirilmiştir.²⁷ Bu nedenle madde başlığının “Cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla bulundurulması, imal ve ticareti suçu” olarak değiştirilmesinin daha uygun olacağını değerlendiriyoruz.²⁸

II. Korunan Hukuki Değer

Yeni bir suç olarak mevzuatımızda yer alan ve TCK m.245/A’da düzenlenen “cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imal ve ticareti suçu” tarafından korunan hukuki değer konusunda doktrinde farklı görüşler yer almaktadır.

Bazı yazarlara göre, suç ile kamunun bilişim sistemlerine yönelik güveni korunmaktadır. Bu görüşteki yazarlara göre, maddede bahsedilen cihazların ve programların üretilmesi, kullanılması ve ticaretinin yaygınlaşması, toplumda bilişim sistemlerinin güvenilirliğini azaltabilir. Bu nedenle, kamunun bilişim sistemlerinin güvenilirliğine olan inancının korunması amacıyla suç düzenlenmiştir.²⁹

Bazı yazarlar ise, TCK m.245/A’da düzenlenen “cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imal ve ticareti suçu”yla, diğer bilişim suçları gibi, bir taraftan bilişim sistemlerinin güvenliği ve güvenilirliği sayesinde kişinin kendini özgürce geliştirebilme hakkı, diğer taraftan ise, kişinin malvarlığı değerleri korunmaktadır.³⁰

Diğer bazı yazarlar ise, suçla korunan hukuki değerin, toplum güvenliği, kişilerin özel hayatı, malvarlığı ve haberleşme özgürlüğü olduğunu savunmaktadırlar.³¹ Bazı yazarlar ise, “cihaz, program, şifre ve güvenlik kodlarının bilişim suçlarının işlenmesi amacıyla imal ve ticareti suçu”nun koruduğu hukuk değerin, bilişim sistemlerinin güvenliği ve güvenilirliği ile kamu düzeni ve güvenliği olduğunu benimsemektedirler.³² Bizce de suçla, özelde toplumda bilişim sistemlerinin güvenliğine ve güvenirliğine olan inanç ve genelde ise kamu düzeni korunmaktadır. Bu suç aynı zamanda dolaylı olarak bilişim suçları ve bilişim yoluyla işlenen suçların koruduğu değerlerden olan kullanıcıların özel yaşamının gizliliği, dokunulmazlığı ve haberleşme özgürlüğünü de korumaktadır.