Bilişim sistemine girme suçu, başkasına ait bilgisayar, sunucu, ağ veya benzeri bilişim sistemine hak sahibi olmadan erişmek, orada kalmak veya verilere ulaşmaktır. Hukuki dayanak 5237 sayılı Türk Ceza Kanunu m.243'tür.

Suçun Tanımı (TCK m.243/1)

"Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye" hapis cezası öngörülmektedir. Suçun tipiklik unsurları:

  • Bilişim sistemi: Bilgisayar, sunucu, ağ, mobil cihaz, akıllı telefon, IoT cihazı, kontrol panel sistemi, kurumsal ERP/CRM sistemi vb.
  • Hukuka aykırılık: Sistem sahibinin/yetkilinin rıza ve izninin bulunmaması.
  • Girme veya kalmaya devam etme: Yetkisiz olarak ilk erişim ya da yetki sona erdikten sonra çıkış yapmama.

Suç kasten işlenebilir; taksirle bilişim sistemine girme suç oluşturmaz.

Mevzuatta Öngörülen Ceza Aralığı

TCK m.243/1'e göre temel ceza 1 yıla kadar hapis veya adli para cezasıdır. Ancak somut olayda verilecek ceza; suçun işleniş biçimi, neden olunan zarar, failin geçmişi, takdiri indirim sebepleri ve mahkemenin takdir yetkisine göre değişebilir. Aşağıdaki nitelikli hâllerde ceza artırılır.

Nitelikli Hâller

Bedeli Karşılığı Yararlanma Sistemleri (TCK m.243/2)

Bedeli karşılığı yararlanılabilen sistemler hakkında bu fiilin işlenmesi hâlinde ceza yarı oranına kadar indirilir. Örneğin abonelik gerektiren bir VOD platformuna sızmak.

Veri Elde Etme veya Sistemin Bozulması (TCK m.243/3)

Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, 6 aydan 2 yıla kadar hapis cezasına hükmolunur. Bu fıkra, salt sızmadan ileri gidip veri tahrip eden faillere uygulanır.

Sistemin İşleyişine Engel Olma (TCK m.243/4)

Bir bilişim sisteminin işleyişini engelleyen veya bozanlar hakkında 1 yıldan 5 yıla kadar hapis cezasına hükmolunur. DDoS saldırıları, sunucuyu çalışmaz hâle getirme bu kapsamdadır.

Uygulamada Karşılaşılan Senaryolar

  • Eski çalışanın görevden ayrıldıktan sonra şirket sistemine erişimi sürdürmesi
  • Eşin/sevgilinin başkasının e-posta veya sosyal medya hesabına şifresini öğrenerek girmesi
  • Kiracı, ortak veya ev arkadaşının ortak ağdaki cihazlara izinsiz erişimi
  • "Etik hacker" veya güvenlik araştırmacısı olduğunu iddia eden kişilerin yetki almadan sızma testi yapması
  • Ortak çalışılan projede yetki sınırlarının aşılması (örn. yetkili kullanıcının başka kullanıcıların verilerine erişmesi)
  • Wi-Fi ağına şifre kırılarak girilmesi
  • Anlık mesajlaşma uygulamalarında "Web" girişi yapılarak başka cihazda oturum sürdürülmesi

Şikâyet ve Soruşturma Süreci

TCK m.243 suçu, şikâyete bağlı olmayıp resen kovuşturulan bir suçtur. Sistemin sahibi veya yetkili kişi, savcılığa veya kolluğa başvurarak suç duyurusunda bulunabilir. Soruşturma kapsamında:

  • IP adresi tespiti (loglar üzerinden)
  • Adli bilişim incelemesi (cihaz, hard disk, hafıza imajı)
  • Sistem log kayıtlarının analizi
  • Tanık ifadeleri

delillerinin toplanması yapılır. Adli bilişim raporu çoğu dosyada belirleyici delildir.

Zamanaşımı

Dava zamanaşımı süresi, ceza miktarına göre 8 yıldır (TCK m.66/1-e). Bu süre fiilin işlendiği tarihten itibaren işlemeye başlar.

Görevli ve Yetkili Mahkeme

  • Görevli mahkeme: Asliye Ceza Mahkemesi (cezanın üst sınırı 5 yılı aşmadığı için).
  • Yetkili mahkeme: Suçun işlendiği yer mahkemesi (CMK m.12); bilişim suçlarında suçun işlendiği yer çoğu kez sistemin bulunduğu yer veya zararın doğduğu yer olarak değerlendirilir.

Yargıtay Yaklaşımı

Yargıtay 8. Ceza Dairesi ve sonradan görev devralan ilgili daireler, bilişim sistemine girmenin "fiilen erişim" anına bağlandığı, sadece şifre tahmininin teşebbüs aşamasında kalabileceği yönünde içtihatlar oluşturmuştur. Ayrıca yetkinin sınırlarının aşılması (örn. çalışanın kendi yetkili olduğu modüller dışına çıkması) da bu suçu oluşturabilir.

Sıkça Karşılaşılan Hukuki Sorular

Eşimin telefonuna girip mesajlarına bakarsam suç işlemiş olur muyum?

Eş veya sevgili dahi olunsa, başkasının kişisel cihazına/şifresine izinsiz erişim TCK m.243 kapsamında değerlendirilebilir; ayrıca TCK m.135-136 kişisel verilerin hukuka aykırı kaydı/yayma suçu da gündeme gelebilir. Sonuç dosya koşullarına ve mahkemenin değerlendirmesine bağlıdır.

Eski iş yerimin sunucusuna girip kendi dosyalarımı alabilir miyim?

İş ilişkisi sona erdikten sonra şirket sistemlerine giriş yetkisi de sona erer. Kişisel olduğunu düşündüğünüz dosyalar olsa bile, yazılı izin alınmadan sisteme giriş hukuki risk taşır. Bu tür konular için işverene yazılı talep yöneltilmesi ve yanıt alınamadığında yargı yoluna başvurulması daha güvenli bir yoldur.

"Etik hacker" / penetrasyon testi yaptığımı söylesem yeterli mi?

Yetki olmaksızın yapılan sızma testleri suç oluşturabilir. Etik hacker faaliyetleri için sistem sahibiyle ayrıntılı yazılı sözleşme (kapsam, izin, gizlilik) yapılması ve sınırların aşılmaması büyük önem taşır.

Hukuki Süreçte Önemli Noktalar

  • Adli bilişim raporlarına ve log kayıtlarına itiraz hakkı kullanılmalıdır.
  • İlgili IP'nin kullanıcısının kim olduğu, paylaşımlı IP/VPN kullanılıp kullanılmadığı dikkatlice incelenmelidir.
  • Tarafsız bilirkişi raporu talep edilmesi ihmal edilmemelidir.
  • Mağdur konumundaysanız delil zinciri (chain of custody) bozulmadan adli bilişim incelemesi başlatmak kritiktir.