GÜNDEMDEKİ “TWITCH PLATFORMU BİT DOLANDIRCILIĞI” ÜZERİNDEN HAREKETLE TCK’DA DÜZENLENEN BİLİŞİM VE SAİR SUÇ HÜKÜMLERİNİN DEĞERLENDİRMESİ

I. GİRİŞ

                              Genel anlamda ceza muhakemesinin amacı suç işlediği şüphesi olan faillerin tespiti aşamasındaki usulleri belirlemek, yapılan tespit neticesinde şahsın yargılanma usul ve esaslarını tarif etmek ve bu vesileyle yapılan yargılamada da suçu işlediği sabit olan şahsın cezalandırılma usulünü doğru ve yerinde tespitin ne şekilde yapılacağını belirtmektir.

                              Metne konu maddi vakıa değerlendirmesi, yargı mensubu okurlarımızın naçizane istifa edeceği usul ve esaslar hakkında fikir beyan etmek için hazırlanmış olup, hiçbir platformu, gerçek veya tüzel kişiyi zan altında bırakacak nitelikte olmayıp, yalnızca konunun daha iyi ifade edilebilmesi amacıyla güncel olarak gündemde duran, açık kaynak bilgilerinden derlenmiş maddi vakıanın kıyas edilmek suretiyle, TCK’nın 245. maddesinde ve diğer düzenlemelerde yer alan bilişim suçlarının karşımıza çıkabileceği modelizasyonları ifade etmek için yapılmıştır.

A. “Twitch” Platformu Nedir?

                              Basit anlamda “Twitch” online bir televizyon programıdır. Canlı sohbet seçeneği olan “Twitch”, izleyiciler ve yayıncının anlık olarak iletişimde olduğu, yayıncılar tarafından oyun oynamak ya da belli yeteneklerini izleyicilere sunmak suretiyle canlı yayın açılarak, yayıncılar ve platform sağlayıcısı arasında kurulan finansal partnerlik (yayından elde edilen gelirlerin pay edilmesi) ilişkisiyle gelir elde edilen bir yer sağlayıcısıdır.

B. Ceza Yargılamasına Ne Şekilde Konu Edilebilir?

                              5651 sayılı “İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun” hükümlerinin ne şekilde tatbik edileceğini düzenleyen yönetmelikte, Yer sağlayıcı: “İnternet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler” şeklinde tarif edilmiştir.

                              Twitch platformu da yer sağlayıcısı niteliğinde olması hasebiyle TCK 245. md. ve/ veya genel, özel ceza kanunlarında düzenlenmiş sair birçok suçlara kasten, ihmalen ya da bilmeksizin kendi platformları üzerinden işlenmesine sebebiyet vermektedir. Teknoojinin ilerlemesi, bu ve benzeri platformların kullanımının artması, kullanım yaşının 9-10’a kadar düşmüş olması gözetildiğinde gelinen aşama itibariyle ceza yargılamasına konu olacağı muhakkaktır.

C. Muadil Platformlar Nelerdir?

                              Muadil platformlar yine uygulama alanları itibariyle benzer nitelikte olup, -tatbik edilecek kanun maddeleri ve maddi vakıa değerlendirmeleri yönünden önem arz ettiğinden- değerlendirmelerimize eklemiş bulunmaktayız. Facebook, Twitter, Instagram, TikTok, Youtube vb. yayıncı/kullanıcı ile izleyici/başka bir kullanıcı arasında iletişim imkânı veren, aralarında maddi anlamda alışverişe türlü vesilelerle yer sağlayan platformlar yine “Twitch” niteliğinde yer sağlayıcısı pozisyonundadır. Bu sebeple TCK 245. md. vb. birçok bilişim suçlarına kasten/ihmalen ya da bilmeksizin hizmet etmektedirler.

D. Gündemdeki “Twitch Bit Dolandırcılığı” Nedir?

                              Twitch dolandırıcılığı genel olarak, herhangi bir ülke vatandaşlarına ait kredi kart bilgilerinin, bilgisayar korsanları tarafından çeşitli vesilelerle elde edilmesi (Gündemdeki olayda kredi kartı bilgilerinin deep web/ dark web olarak tabir edilen normal bilgisayar kullanıcılarının ulaşamadığı aracı bir tarayıcıyla ulaşılan sitelerden açık kaynak forum siteleri üzerinden erişildiği iddia edilmektedir) ve elde edilen bu bilgiler üzerinden çalıntı kredi kartları ile yapılacak alışverişin takibini zorlaştırmak amacıyla, aracı kuruluşlar (Gündemdeki olayda Twitch platformu kullanıldığı iddia olunsa da Youtube, TikTok vb. muadil platformlarda da aynı nitelikte kullanıma elverişli olması sebebiyle ilerleyen aşamalarda suç işlendiği iddia olunabilecektir.) kullanmak suretiyle ilgili yayıncıya online bağış atarak, (donate sistemleri aracılığıyla) yayıncının elde ettiği bu gelirin belli bir oranını bilgisayar korsanlarının, yayıncıdan kripto varlık cüzdanına alması şeklinde gerçekleştirilmektedir.

E. “Bit Scam” Nedir?

                              “Bit Scam” ise dolandırıcılığın tarif edilen şekilde gerçekleştirilmesi işlemine, online literatürde verilen isimlendirmedir. Literatürde “Scam” dolandırıcılık anlamında kullanılmaktadır. Tam tercümesi mümkün olmamakla beraber yaklaşık anlam olarak “Bit Dolandırıcılığı” şeklinde tercümesi mümkündür.

II. TCK KAPSAMINDA HANGİ SUÇLARIN OLUŞACAĞININ DEĞERLENDİRMESİ

                              Her kanun maddesinin, müstakil olarak kendi özelinde detaylı şekilde değerlendirilmeyi gerektirmesine rağmen, yazının niteliği itibariyle konu başlıklarına değinerek özet olarak konu izah edilmeye çalışılmıştır. Bu nedenle kanun maddeleri değerlendirmeleri bu yönüyle özet mahiyettedir.

Twitch vb. platformlar “yer sağlayıcısı” olmaları nedeniyle TCK ve/veya özel ceza kanunlarında tanımlanmış birçok suça kasten/ihmalen yahut bilmeyerek zemin oluşturulmaktadır. Örneklemek anlamında gündemdeki maddi vakıayı değerlendirmek gerekirse;

A. TCK 245. Madde Özelinde Özet İnceleme

                              Bir kısım bilgisayar korsanları, yasadışı yollarla elde ettiği(korsanın elde ettiği veriyi elde ediş biçimine göre başkaca suçların oluşması da değerlendirilecektir)başkalarına ait kredi/banka kart bilgilerini kullanmak suretiyle mağdurun rızası dışında tasarrufta bulunduklarından, eylemin TCK 245. md. kapsamında kaldığını değerlendirmek daha uygun düşecektir. Çünkü TCK 245. md. aynen;

                              “…(1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezası ile cezalandırılır…” şeklinde düzenlenmiştir.

                              Bu nedenle eylemin değerlendirmesinde, açık kaynak bilgilerinden hareketle maddi vakıa kabulü yapıldığında, dosyadaki diğer delil ve ifadeler incelenmeksizin ilk aşamada yapılabilecek yorum, suçun işlenmesi amacıyla kredi/banka kartı bilgilerini temin eden hacker (bilgisayar korsanı)’ın kredi/banka kartı bilgilerini temin ederken ceza kanunlarında tanımlı başkaca suçları işlemeksizin bu bilgilere ulaştığı kabulünde, kart bilgilerini temin ettikten sonra bu bilgileri kullanmak suretiyle mağdurun rızası alınmaksızın yaptığı her harcama ve harcama nev’indeki tasarrufu bu kapsamda değerlendirilecektir.

                              Pek tabii ki hackerin bu kredi/banka kartı bilgilerini kullanmak suretiyle bizatihi tasarrufta bulunması, hackerin tespitine imkân sağlayacağından ya da tespitini nispeten kolay kılacağından hackerlar bu bilgiler üzerinden doğrudan tasarrufta bulunmak yerine, maddi vakıadaki gibi aracı kuruluşlar kullanarak atılı suçu işlemeyi tercih edeceklerdir.

                              Bu kapsamda hackerin kullanacağı aracı kuruluşun cezai ve hukuki sorumluluğunun değerlendirilmesi, müstakil olarak yalnızca bu konunun incelenmesini gerektirir nitelikte bir husus olduğundan şimdilik yüzeysel geçmek gerekirse; yer sağlayıcılarının işlendiği iddia olunan suça yönelik siber güvenlik (yazılımsal olarak sunucularının güvenliğini sağlamak) ve algoritmasal olarak olağanın dışındaki finansal hareketlerin tespitini sağlamaya yönelik önlem almak dışında herhangi bir sorumluluğu bulunmamaktadır.

                              Örneğin, ortalama 20-30 bandında canlı, anlık izleyicisi olan bir yayıncının hayatın olağan akışı içerisinde elde ettiği ve etmesi gereken ortalama bağıştan çok daha fazlasını alması durumunda ve bu bağışın genellikle anonim şekilde alınması durumunda ilgili platform sağlayıcılarının yazılımları bir uyarı vererek bunun normal bir bağış olmadığını fark edip ilgili platform sağlayıcı yetkililerine otomatik bildirimde bulunması gerekmektedir. Bu bildirimi yapmadığı veya bu bildirimi yapacak önlemin platform sağlayıcısı tarafından alınmadığı takdirde bu husustan haberdar olduğu, haberdar olmasa bile zımnen (susarak) buna göz yumduğu sonucu ortaya çıkacaktır.

                              Bu kapsamda değerlendirildiğinde platform sağlayıcılarının sahiplerinin ve yetkililerinin ceza hukuku anlamında, hackerlar tarafından işlendiği iddia olunan suçu basit bir yazılımla tespit etme imkânı varken bu yazılıma sahip olmamaları durumunda suça iştirak edip etmediklerinin değerlendirilmesi gerekmektedir. Kasti şekilde bu vb. suçların işlenmesine olanak sağlamaları veya bilgisi dâhilinde bu işlemin yapılması durumunda atılı suçun iştirak edeni pozisyonunda kalacaklardır.

                              Yine aynı şekilde hackerların bu bilgileri elde ettikten hemen sonra paraya dönebilmek için iletişim kurduğu yayıncılarınbu işlemden bilgisi olması, bu işleme aracılık etmesi durumunda da yayıncılar da aynı şekilde suça iştirak eden pozisyonunda kalacaklardır.

                              Dolayısıyla maddi vakıanın kabulüne göre suçun işlenişi ve şüpheli değerlendirmeleri “adi nitelikteki” suçlara göre daha titiz ve kapsamlı soruşturmayı gerektirir niteliktedir.

B. TCK 245/A. Madde Özelinde Özet İnceleme

                              Bilgisayar korsanlarının kredi/banka kartı verilerini elde etmek amacıyla bir yazılım, ya da bilgisayar programı kullanması durumunda ise maddi vakıayı ayrıca TCK 245/a. md. kapsamında değerlendirmek daha uygun düşecektir. Çünkü TCK 245/a. md. aynen;

                              “…Bir cihazın, bilgisayar programının, şifrenin veya sair güvenlik kodunun; münhasıran bu bölümde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçların işlenmesi için yapılması veya oluşturulması durumunda, bunları imal eden, ithal eden, sevk eden, nakleden, depolayan, kabul eden, satan, satışa arz eden, satın alan, başkalarına veren veya bulunduran kişi, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır…” şeklinde düzenlenmiştir.

                              Bilgisayar korsanlarının, bu banka/kredi kartı bilgilerini, bir bilişim sistemini “hack” etmek ya da gayri resmi ya da cihaz kullanılması suretiyle ele geçirmeleri durumunda ayrıca bu madde hükümlerinden de soruşturulması gerekecektir. Yayıncı ve yer sağlayıcısı pozisyonundaki platformların yetkilileri de iştirak sayılabilecek eylemleri var ise aynı suç kapsamında soruşturmaya dahil edileceklerdir.

C. TCK 243. Madde Özelinde Özet İnceleme

                              Bilgisayar korsanlarının kredi/banka kart bilgilerini temin ederken, bu bilgileri meşru şekilde elinde bulunduran (sigorta şirketleri, bankalar vb. finans veya başkaca kuruluşlar) kurum ve kuruluşların bilişim sistemlerine “sızma” yolunu kullanmaları durumunda ayrıca TCK 243. md. özelinde değerlendirmek daha uygun düşecektir. Çünkü TCK 243. md. aynen;          

                              “…(1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren veya orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir…” şeklinde düzenlenmiştir.

                              Her ne kadar gündemdeki olayda bu verilerin temini bu şekilde gerçekleşmemiş olsa da, yaklaşık 3 yıl önce gerçekleşen “17 milyon insanın kart bilgileri çalındı” şeklindeki gazete manşetlerinden haberdar olduğumuz şekilde bir kurum veya kuruluşun bilişim sistemlerine “sızılarak” da bu suçun işlenmesi için gerekli bilgi ve belge temini sağlanabildiğinden yapılacak soruşturmada bu hususu da dikkate almak daha isabetli olacaktır.

D. TCK 282. Madde Özelinde Özet İnceleme

                              Gündemdeki maddi vakıada gerçekleştiği iddia olunduğu gibi bilgisayar korsanları tarafından, ceza kanunlarında tanımlı bir suçun işlenmesi suretiyle (öncül suç) elde edilen gayrimeşru menfaatin meşrulaştırılabilmesi ve/veya finans sistemine sokulabilmesine yönelik eylem ve faaliyetlerinin TCK 282. md. özelinde değerlendirmek daha uygun düşecektir. Çünkü TCK 282. md. aynen; “…Alt sınırı altı ay veya daha fazla hapis cezasını gerektiren bir suçtan kaynaklanan malvarlığı değerlerini, yurt dışına çıkaran veya bunların gayrimeşru kaynağını gizlemek veya meşru bir yolla elde edildiği konusunda kanaat uyandırmak maksadıyla, çeşitli işlemlere tâbi tutan kişi, üç yıldan yedi yıla kadar hapis ve yirmi bin güne kadar adlî para cezası ile cezalandırılır...” şeklinde düzenlenmiştir

                              Bu nedenle suç teşkil eden eylem ve/ veya fiillerden elde edilen mal varlığı değerine ilişkin olarak TCK 282. maddesindeki seçimlik hareketlerden birini yapan fail hakkında TCK 282. maddesinde tanımlanan suç yönünden ayrıca soruşturma yürütülecektir.

III. DEĞERLENDİRME VE SONUÇ

                              Bilişim suçları, bilişim suçlarının yargılama usül ve esasları bizatihi kitap olabilecek nitelikte bir konu olmakla birlikte, yazımızda genel hatlarıyla gündemde duran “Twitch bit dolandırıcılığı” yönüyle özet mahiyette incelemeler yapılmıştır.

                              Konunun anlatımı esnasında subjektif nitelikte değerlendirme yapmaktan kaçınıldığından değerlendirme ve sonuç kısmında mevcut mevzuat ve içtihatlar ışığında nesnel yorum yapmak daha sağlıklı olacaktır. Bilişim suçlarına yönelik hali hazırdaki TCK ve sair ceza kanunlarındaki kanun maddeleri, aslında değişen ve gelişen teknoloji, sosyal yaşantı ve kültürel alışkanlıklara göre sürekli şekilde yenileme, güncelleme, tavzih gerektirmektedir.

                              Kanun koyucunun bilişim suçlarına yönelik hem TCK kapsamında belirli değişiklikler yaparak hem de sair mevzuatsal düzenlemeler yaparak gelişen ve değişen teknoloji doğrultusunda yaptığı çalışmalar her ne kadar isabetli ve yerinde olsa da gelinen aşama itibariyle, cep telefonunun dahi kullanım yaşının 3-4 yaş aralığına düştüğü düşünüldüğünde halihazırdaki mevzuatın maddi vakıa değerlendirmesi neticesindeki suç ve ceza arasındaki orantılılık ilkesine mugayir durumda olması, failin tespitine yönelik usul ve esasları belirlemekte yetersiz olması, düzenlemelerin teknolojinin doğurduğu yeniliklere (kripto varlık borsaları, metaverse teknolojisi, e-spor hukuku, yer sağlayıcısı olarak hizmet veren platformlar, blockchain tabanlı yazılımlar, yapay zeka kullanılarak yapılan yazılımlar, akıllı kontratlar) yönelik ihtiyacı karşılamaya artık elverişli olmaması ve sair bir çok nedenle, mutlak suretle müstakil olarak kodifike edilmesi gereken bir hal almıştır.

                              Bu kodifikasyon yapılırken, kanaatimce bilişim suçuna konu olabilecek her türlü platform özelinde bir kanun çalışmasının hem teknik anlamda mümkün olmaması hem amacına hizmet edecek nitelikten çıkacak olması nedeniyle, bizatihi bu ve benzeri yenilikleri içeren genel mahiyette, kapsamlı, bir kanun çalışması yapılarak, kanunun ilgili kısımlarında, yukarıda bahsettiğimiz yapay zeka, blockchain tabanlı yazılımlar, yer sağlayıcıları üzerinden işlenen suçlar vb. konulara yönelik hükümler derç edilerek, hükümlerin tatbiki hususunda da yönetmeliklerce düzenleme yapılmasının daha isabetli olacağını değerlendirmekteyim.

                              Mevcuttaki mevzuatın yetersizliğini yalnızca bir örnek üzerinden delillendirmek gerekirse, hali hazırda bilişim suçlarına yönelik savcılık aşamasındaki yetki itirazlarını değerlendiren Yargıtay 5. Ceza Dairesinin güncel kararları ve yıllara sarih uygulaması gözetildiğinde (2020/6029 E. 2021/241 K, 2021/5658 E. 2021/5324 K, 2021/5616 E. 2021/5535, 2021/5661 E. 2021/5327K) soruşturma yapmaya yetkili mercii menfaatin temin edildiği yer olarak belirlemiştir. Bu kapsamda menfaat teminini ilgili banka/kredi kartı üzerinden harcamanın yapıldığı yer olarak kabul etmiş ve bunun üzerinden yetki kabulü yapılması gerektiğine karar vermiştir.

                              Peki maddi vakıada anlattığımız gibi bir kredi kartı veya banka kartı üzerinden fiziken değil online bir işlem yapılması durumunda yetkili yer neresi olacaktır? Yani bilgisayar korsanı tarafından elde edilen kart bilgileri kullanılarak bir AVM’ye gidip harcama yapmak yerine makalemizde değindiğimiz gibi online bir işlem yapılırsa, yapılan işlemdeki mağdur Türk vatandaşı olmazsa, işlemin yapıldığı online platformun Türkiye temsilciliği bulunmuyorsa, aracı kuruluşun sunucuları yurt dışında bulunuyorsa ve sair bir çok sorunun cevabı yetkiyi tayin edeceğinden, hali hazırdaki mevzuatın gerçekleşen dolandırıcılık vakıasında dahi tam manasıyla yetki tayini sorusunu yanıtlayamıyor olması bilişim suçlarına özgü bir kesin yetki kuralının getirilmesi ihtiyacını kanaatimce göstermektedir.

                              Bu nedenle benzeri olaylarda Cumhuriyet başsavcılığınca yapılacak ilk vakıa değerlendirmesi, soruşturmanın kolluk marifetiyle etkin bir şekilde yürütülmesi, verilerin ve delillerin kaybolabilme riski yüksek olduğundan ve soruşturmanın “adi nitelikteki suçlara” göre çok daha hızlı yürütülmesi gerektiğinden, bu neviden suçlarda dosyanın farklı yer Cumhuriyet savcılıkları arasında yetkisizlik kararıyla dolaşmasının neden olduğu zaman kaybı maddi vakıanın ve gerçek failin tespitini güçleştirmektedir.

                              Her ne kadar 08.07.2021 tarihli değişiklikle CMK 12. md.’ye bu ihtiyacın hasıl olduğunun bilincinde olan kanun koyucu tarafından “Bilişim sistemlerinin, banka veya kredi kurumlarının ya da banka veya kredi kartlarının araç olarak kullanılması suretiyle işlenen suçlarda mağdurun yerleşim yeri mahkemeleri de yetkilidir.” hükmü eklenmişse de, düzenlemenin kesin yetki kuralı niteliğinde getirilmemiş olması yine başkaca düzenlemeye ihtiyaç olmasına sebebiyet vermiştir.

                              Mevcut bir düzenlemenin bulunmaması, CMK kapsamındaki yetkiye yönelik hükümlerin dahi gelişen ve değişen teknolojiye yönelik ihtiyacı şu aşamada karşılayamıyor olması nedeniyle, mevzuatsal bir çalışma yapılana kadar soruşturmanın nerede başladığı önemli olmaksızın delillerin karartılma tehlikesi gözetildiğinde ilgili yer savcılığınca kolluk marifetiyle acele şekilde bilgi, belge ve ifade prosedürleri tamamlanıp yetki konusunun bilahare değerlendirilmesinin daha sağlıklı olacağını değerlendirmekteyim.

                              Bilişim suçlarının işlenebileceği platformlar gözetilerek güncel bir kanun çalışması ihtiyacı çok açıkça ortadadır.

                              Sonuç olarak bilişim suçlarının işlenebileceği platformlar gözetilerek yukarıda belirtilen tespit ve sorunlar kapsamında, konuyu tüm yönleriyle ele alan geniş çaplı bir kodifikasyon çalışmasının yapılmasına ihtiyaç duyulmaktadır. Bu şekilde güncel ve konuyu tüm yönleriyle ele alan mevzuatın yapılması hem uygulayıcıların tereddütlerini giderecek hem de maddi vakıanın tüm yönleriyle aydınlatılarak şüphelilerin tespitini kolaylaştıracaktır.

Hasan Serhat YİĞİT

Avukat