Bilişim Suçları Rehberi: Haklarınız, Riskler ve Yapmanız Gerekenler
Bir anlık dalgınlıkla tıklanan bir link, ele geçirilen bir hesap, sızdırılan bir fotoğraf…
Bilişim suçları artık “birilerinin başına gelen” şeyler değil, hepimizin gündelik hayatını
doğrudan ilgilendiren olgular. Bu rehberde TCK 243-246 arasındaki bilişim suçlarını, online
dolandırıcılığı, sosyal medya üzerinden işlenen suçları, veri ihlali ile KVKK çerçevesini ve
en önemlisi mağdur olduğunuzda hangi adımları atmanız gerektiğini sade bir dille ele alıyoruz.
Bilişim Suçu Nedir?
Teknik ve hukuki anlamda “bilişim suçu” ifadesi; bir bilişim sisteminin ya doğrudan hedef
alındığı (örneğin sisteme yetkisiz girilmesi) ya da bir suçun işlenmesinde araç olarak
kullanıldığı (örneğin e-posta yoluyla tehdit edilmesi) her türlü eylemi kapsar. Türk hukukunda
bu suçların temel kaynağı 5237 sayılı Türk Ceza Kanunu’nun (TCK) 243-246. maddeleridir;
ancak sadece bu maddelere bakmak yeterli değildir. Hakaret (TCK 125), tehdit (TCK 106),
dolandırıcılık (TCK 157-158), özel hayatın gizliliğini ihlal (TCK 134) ve kişisel verilerle
ilgili suçlar (TCK 135-140), internet üzerinden işlendiğinde çoğu zaman nitelikli hâl
kapsamında değerlendirilir ve ceza ağırlaşır.
Bir başka önemli bilgi: bilişim suçlarının önemli bir kısmı şikâyete bağlı değildir.
Yani mağdur şikâyetçi olmasa bile savcılık, olayı kendiliğinden öğrenince soruşturma başlatmak
zorundadır. Bu durum özellikle sisteme girme, veri silme gibi fiillerde geçerlidir. Buna karşılık
hakaret ve tehdidin bazı nitelikli hâlleri ile özel hayatın gizliliğinin ihlali gibi kişiye sıkı
sıkıya bağlı haklarda şikâyet zorunludur ve genellikle altı aylık şikâyet süresi
vardır. Bu süre, eylemi ve failini öğrendiğiniz andan itibaren işler.
TCK 243-246: Türk Ceza Kanunu’nun Bilişim Suçları Kalbi
TCK, bilişim suçlarını “Bilişim Alanında Suçlar” başlığı altında Onuncu Bölüm’de düzenler.
Bu bölüm dört temel maddeden oluşur ve bu maddeler birbirinin devamı niteliğindedir. Önce
sisteme girme yasaklanır (243), sonra sistemi veya verileri bozma-yok etme
cezalandırılır (244), ardından bu teknolojinin en çok istismar edildiği alan olan banka-kredi
kartı suçları düzenlenir (245) ve son olarak bu suçları işlemek için kullanılan
yasak cihaz ve programlar ayrıca suç sayılır (245/A).
TCK 243 — Bilişim Sistemine Girme
Bir bilişim sisteminin bütününe veya bir kısmına hukuka aykırı olarak giren
ya da orada kalmaya devam eden kişi cezalandırılır. Bu eylem sonucu sistem içindeki verilerin
yok olması veya değişmesi ağırlaştırıcı sebeptir. Bedeli ödenerek yararlanılabilen sistemlere
ücretsiz girmek ise ayrı bir fıkrada düzenlenmiştir.
Ceza: Bir yıla kadar hapis veya adli para cezası (nitelikli hâllerde daha ağır)
Günlük hayatta “birinin Instagram şifresini ele geçirip hesabına girmek”, “eski sevgilinin
e-postasına girip mesajları okumak”, “ortaklıktan ayrılan kişinin şirket sistemine parolayla
girip dosyaları incelemesi” gibi olaylar bu suç kapsamında değerlendirilir. Girmek yeterlidir;
zarar vermek şart değildir. Bir hesabın şifresini öğrenip sadece giriş yapmak bile
tamamlanmış bir bilişim sistemine girme suçudur.
biri — zararı yok ki, olay da yok” diye düşünmek. Hukuken zarar aranmaz; sadece giriş eyleminin
gerçekleşmesi yeterlidir.
TCK 244 — Sistemi Engelleme, Bozma, Verileri Yok Etme veya Değiştirme
Bir bilişim sisteminin işleyişini engelleme veya bozma; sistemdeki verileri bozma, yok etme,
değiştirme, erişilmez kılma, sisteme veri yerleştirme veya var olan verileri başka yere
gönderme eylemlerini cezalandırır. Bu fiil sonucu haksız çıkar sağlanması ayrıca ağır
biçimde cezalandırılır.
Ceza: Bir yıldan beş yıla kadar hapis; haksız çıkar sağlanmışsa altı aya kadar hapis ve beşbin güne kadar adli para cezası
Ransomware (fidye yazılımı) saldırıları, DDoS ile bir siteyi çökertmek, şirket sunucusundaki
dosyaları silmek, web sitesinin içeriğini değiştirmek (defacement) bu madde kapsamında
değerlendirilir. Kartın klonlanarak para çekilmesi gibi bazı eylemlerde hem TCK 244 hem de
dolandırıcılık/hırsızlık hükümleri gündeme gelebilir; Yargıtay içtihatlarında bu tür olaylar
çoğunlukla nitelikli dolandırıcılık (TCK 158/1-f) olarak nitelendirilir.
TCK 245 — Banka veya Kredi Kartlarının Kötüye Kullanılması
Başkasına ait banka veya kredi kartını, sahibinin veya bunun verdiği yetkisi olanın rızası
olmaksızın kullanan veya kullandıran kişi; ayrıca sahte banka-kredi kartı üreten, satan,
devreden, satın alan veya kabul eden kişi cezalandırılır.
Ceza: Üç yıldan altı yıla kadar hapis ve beşbin güne kadar adli para cezası (nitelikli hâllere göre değişir)
Skimming (kart kopyalama), kartın fotoğrafını alarak internet alışverişi yapmak, ailenize ait
bir kartın bilgilerini izinsiz kullanmak, “kart bilgileri güncellendi” diye gönderilen sahte
SMS ile başkasının kartıyla alışveriş yapmak bu suç kapsamındadır. Kart sahibinin haberi olmadan
kullanım yeterlidir; somut olarak zarar görüp görmediği değerlendirme dışıdır.
TCK 245/A — Yasak Cihaz veya Program
Bu bölümde yer alan suçların işlenmesinde kullanılmak üzere yapılmış cihaz ve bilgisayar
programları ile şifrelerin ve sair güvenlik kodlarının; imal, ithal, sevk, nakil, depolama,
kabul, satış, satın alma, başkalarına verme veya bulundurma eylemleri suçtur.
Ceza: Bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezası
Keylogger, RAT (Remote Access Trojan), kart kopyalama cihazı, çalıntı kart bilgisi veritabanı
gibi araçları geliştirmek, satmak, satın almak ya da üzerinde bulundurmak başlı başına suçtur.
Sanıldığının aksine, bu araçları yalnızca “güvenlik araştırması” amacıyla bulundurmak kişiyi
hukuki açıdan otomatik korumaz; yetkili makamlarca onaylanmış penetrasyon testi sözleşmesi gibi
hukuki bir dayanak gerekir.
Online Dolandırıcılık ve Phishing
İnternet üzerinden işlenen dolandırıcılık, Türk hukukunda çoğunlukla nitelikli
dolandırıcılık (TCK 158) kapsamında değerlendirilir. Özellikle TCK 158/1-f ve 158/1-g
bentleri; bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması hâlinde
temel cezanın iki katına çıkarılmasını öngörür. Ayrıca suçun tespit edilemez bir örgüt çerçevesinde
işlenmesi, kamu kurumu kimliği kullanılması gibi nitelikli hâller cezayı daha da ağırlaştırır.
En Sık Rastlanan Yöntemler
Phishing (Olta Saldırısı)
Bankadan, kargo şirketinden, vergi dairesinden ya da büyük bir e-ticaret sitesinden geliyormuş
gibi görünen e-posta veya SMS; sizi sahte bir giriş sayfasına yönlendirir. “Hesabınız
askıya alındı, hemen giriş yapın” veya “Kargonuz bekliyor, adresi doğrulayın” gibi ifadelerle
aciliyet yaratılır. Girdiğiniz kullanıcı adı, şifre ve SMS kodu anında saldırganın eline geçer.
Smishing ve Vishing
SMS yoluyla (smishing) veya telefon araması yoluyla (vishing) yapılan benzer saldırılar.
“Adınıza MASAK’tan soruşturma başlatıldı”, “Hesabınızdan yetkisiz işlem yapıldı, iptal için 1’e
basın”, “Çocuğunuz kaza geçirdi, para lazım” senaryoları 2024-2026 döneminde en yaygın
modeller arasında yer aldı. Arayanın bankanızın veya devletin numarasıyla görünmesi teknik olarak
caller ID spoofing denilen yöntemle mümkündür; bu durum size gerçek bir arama olduğu
hissi verir.
Yatırım Dolandırıcılığı
“Kripto, forex, altın” gibi cazip sözlerle sosyal medyadan pazarlanan yatırım fırsatları.
Küçük tutarlarla başlayan “kâr” ekranları güven sağlar; ardından yatırım büyütüldüğünde platform
aniden kapanır veya “vergi”, “hesap açma komisyonu” gibi bahanelerle sürekli yeni para istenir.
Bu model çoğu zaman TCK 158/1-f + 158/1-g’nin yanı sıra suç örgütü niteliğindeki yapılanmalar
üzerinden işlenir.
Sahte E-Ticaret Siteleri ve İkinci El Platform Dolandırıcılığı
“Sahibinden” ve benzeri platformlardan ya da sahte mağaza sayfalarından, pazarlıktan sonra “havale
ile ödeme” istemek; “kargo firmasının sigortası için geçici bir ücret yatırmanız gerekli” deyip
sahte bir ödeme linkine yönlendirmek. Bu senaryolarda dolandırıcılık cezası yanında TCK 245
banka/kredi kartı suçu da gündeme gelir.
doğrulama kodu, şifre veya tek kullanımlık parola sormaz. Telefonda “güvenlik için”
başka bir hesaba para transferi yapmanızı da kesinlikle istemez. Bu tür bir talep
geldiğinde yanıt vermeyin, kapatın ve bankanızı resmi numarasından siz arayın.
Sosyal Medya Suçları
Twitter/X, Instagram, Facebook, TikTok ve WhatsApp gibi platformlar üzerinden işlenen suçlar,
aslında TCK’da zaten düzenlenmiş klasik suçların dijital ortamdaki görünümleridir. Ancak
“basın ve yayın yoluyla” ya da “aleniyet unsuru” nedeniyle birçoğunda cezalar artırılır.
En sık karşılaşılan tipler:
Hakaret (TCK 125)
Bir kimsenin onur, şeref ve saygınlığını rencide edebilecek somut bir fiil veya olgu isnadı ya
da sövme yoluyla yapılır. Sosyal medyada paylaşılan bir tweet, yoruma verilen bir cevap ya da
bir WhatsApp grubuna yazılan mesaj; ilgili kişi okuyabilecek durumda ise yeterlidir. Aleni
hakaret (kamuya açık bir paylaşım) daha ağır cezalandırılır. Sadece emoji, gif ya da çarpıtılmış
fotoğraf kullanmak, hakaretten kurtulmak için yeterli değildir.
Tehdit ve Şantaj (TCK 106, 107)
“Şunu yapmazsan fotoğrafını yayarım”, “adresini biliyorum, geleceğim” gibi ifadeler ciddi biçimde
mesajlarda gözükmesi hâlinde tehdit, bir menfaat sağlamak amacıyla yapılırsa şantaj suçunu
oluşturur. Yüz yüze söylenmesi gerekmez; ekran görüntüsü delil olarak güçlüdür.
Özel Hayatın Gizliliğini İhlal (TCK 134)
Başkasının haberi olmadan fotoğrafını, sesini, videosunu kaydedip paylaşmak bu suçu oluşturur.
“İfşa” adı verilen paylaşımlar, intikam amaçlı fotoğraf-video yayınları (revenge porn) bu
kapsamda değerlendirilir ve ağır cezayı gerektirir. Mağdurun iznini herhangi bir içerik için
verdiği varsayımı, başka bir içerikle ilgili suçu ortadan kaldırmaz.
Kişisel Verileri Hukuka Aykırı Olarak Verme veya Ele Geçirme (TCK 135-136)
“Birinin adres, telefon, TC numarası gibi bilgilerini izinsiz paylaşmak” (doxxing), işveren veya
ortak tarafından çalışan verilerinin izinsiz aktarılması, bir veritabanından ele geçirilen
bilgilerin satılması bu suç kapsamındadır. Bu madde özellikle veri sızıntılarında
(breach) sorumluluk zinciri belirlemek için kullanılır.
Siber Zorbalık (Cyberbullying) ve Taciz
Israrlı takip ve mesaj atma (stalking), sürekli aşağılama ve maruz bırakma gibi davranışlar
TCK’da ayrı bir “siber zorbalık” başlığı altında düzenlenmemiş olsa da; eylemin niteliğine göre
tehdit, şantaj, hakaret, özel hayatın ihlali, kişilerin huzur ve sükûnunu bozma (TCK 123) gibi
farklı suçları oluşturabilir.
Deepfake ve Kimlik Hırsızlığı
Yapay zekâyla üretilen sahte ses, fotoğraf veya video (deepfake) içerikler son iki yılda ciddi
biçimde yaygınlaştı. Birinin yüzünün başka bir videoya yerleştirilmesi, tanıdık bir kişinin
sesiyle “acil para gönder” talep edilmesi gibi senaryolar hem özel hayatın gizliliğini ihlal
(TCK 134), hem hakaret (TCK 125), hem de nitelikli dolandırıcılık (TCK 158) kapsamında
değerlendirilir. Deepfake içerikler “değiştirilmiş veriler” niteliğinde olduğu için aynı
zamanda TCK 136 kapsamına girebilir.
Kimlik hırsızlığı ise bir başkasının TC numarası, nüfus bilgileri, biyometrik verileri
kullanılarak kredi çekilmesi, hat açılması, hesap açılması gibi pek çok biçimde ortaya çıkar.
Mağdur olduğunuzda bankaya, GSM operatörüne ve MERNİS/e-Devlet’e “haksız işlem itirazı”
başvurusu yapmak ilk adımdır. Aynı zamanda savcılığa suç duyurusu şarttır; aksi hâlde açılan
krediden veya yapılan işlemlerden sorumlu tutulabilirsiniz.
Veri İhlali ve KVKK
2016 yılında yürürlüğe giren 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), bireylerin
kişisel verileri üzerindeki haklarını düzenler. 12 Mart 2024 tarihli Resmî Gazete’de yayımlanan
7499 sayılı Kanun ile KVKK’da önemli değişiklikler yapılmış ve bu değişikliklerin
kilit hükümleri 1 Haziran 2024’te yürürlüğe girmiştir. 2024-2026 döneminde KVKK uygulamasındaki
en önemli gelişmeler şunlar:
Yurt Dışına Veri Aktarımının 3 Aşamalı Sistemi
Daha önce yurt dışına veri aktarımı için “açık rıza” pratikte tek yol hâline gelmişti.
7499 sayılı Kanun ile bu yapı GDPR’a yakınlaştırılarak üç kademeli sistem getirildi:
- Yeterlilik kararı: Kurul’un “bu ülkede yeterli koruma vardır” dediği
ülkelere, standart aktarım kuralları çerçevesinde aktarım mümkündür. - Uygun güvenceler: Yeterlilik kararı olmayan ülkeler için; Kurul’un
onayladığı standart sözleşme metinleri, bağlayıcı şirket kuralları (BCR) ya da uluslararası
andlaşmalar gibi güvencelerle aktarım yapılabilir. - Arızi durumlar: Yukarıdaki iki yolun bulunmadığı, tek seferlik veya
geçici durumlarda açık rıza alınarak — ve ilgili kişi risklerden bilgilendirilerek —
aktarım yapılabilir.
Bu değişiklik, uluslararası şirketlerin Türkiye’deki veri aktarım süreçlerini yeniden
yapılandırmalarını zorunlu kılmış; aynı zamanda bireylere daha net bilgilendirme hakkı
getirmiştir.
Veri İhlali Bildirimi
Veri sorumlusu (verileri işleyen kurum/şirket), işlediği kişisel verilerin hukuka aykırı yollarla
başkaları tarafından elde edildiğini öğrenir öğrenmez en geç 72 saat içinde Kurul’a
bildirim yapmak ve ihlalden etkilenen ilgili kişilere de bildirimde bulunmak zorundadır.
Bildirilen ihlaller Kurul’un web sitesinde kamuoyuyla paylaşılır. Mağdur iseniz bu sayfa,
durumunuzun tespit edilip edilmediğini anlamak için başvurulacak ilk kaynaklardandır.
İlgili Kişi Hakları ve Başvuru
KVKK 11. maddesi size şu hakları tanır: kişisel verilerinizin işlenip işlenmediğini öğrenme,
işlenmişse bilgi talep etme, amaca uygun kullanılıp kullanılmadığını öğrenme, yurt içi veya
yurt dışı üçüncü kişilere aktarılıp aktarılmadığını öğrenme, eksik/yanlış işlenmişse düzeltilmesini
isteme, silinmesini veya yok edilmesini isteme, bu işlemlerin üçüncü kişilere bildirilmesini
isteme, yalnızca otomatik sistemlerle analiz sonucu aleyhinize bir sonuç çıkarılmasına itiraz
etme ve zarara uğramanız hâlinde tazminat talep etme.
Başvuru yolu şudur: Önce veri sorumlusuna (şirkete) yazılı olarak başvurursunuz. Şirket
size 30 gün içinde cevap vermekle yükümlüdür. Cevap gelmezse ya da cevap yetersizse 30 günlük
süreyi takiben 30 gün içinde Kişisel Verileri Koruma Kurulu’na şikâyette
bulunabilirsiniz.
7545 Sayılı Siber Güvenlik Kanunu
19 Mart 2025 tarihinde Resmî Gazete’de yayımlanarak yürürlüğe giren 7545 sayılı Siber
Güvenlik Kanunu, Türkiye’nin bu alandaki ilk çerçeve kanunudur. 8 Ocak 2025 tarihli 177
sayılı Cumhurbaşkanlığı Kararnamesi ile kurulan Siber Güvenlik Başkanlığı, hem gerçek hem tüzel
kişilere yönelik siber güvenlik alanındaki esas düzenleyici ve denetleyici otoritedir. Kanun ile
getirilen başlıca yenilikler:
- Kritik altyapıları işleten kurumlara siber güvenlik yükümlülükleri (risk analizi, önleyici tedbirler, olay raporlama).
- Siber olayların Siber Güvenlik Başkanlığı’na raporlanmasına ilişkin esaslar.
- Siber güvenlik hizmeti veren şirketlere yönelik yetkilendirme rejimi.
- İdari para cezaları ve gerektiğinde cezai sorumluluk.
Alt düzenlemeler için kanunun tanıdığı bir yıllık süre 19 Mart 2026’da sona erdi; bu tarih
itibarıyla Başkanlık tarafından çıkarılmış yönetmelik ve tebliğlerin gündeme gelmesi beklenmektedir.
Bireysel kullanıcı açısından bu kanun doğrudan günlük hayatı etkilemese de; bankanızın, GSM
operatörünüzün, hastanenizin veri güvenliği standartlarının belirlenmesinde doğrudan söz
sahibidir. Dolayısıyla siz de dolaylı olarak korunan tarafsınız.
Mağdur Olduğunuzda Ne Yapmalısınız?
Bilişim suçlarında en kritik unsur zamanında ve doğru delil toplamaktır. Dijital
deliller çok hızlı silinebilir; özellikle sosyal medyadaki bir paylaşım birkaç saat içinde
kaldırılabilir, saldırganın hesabı kapatılabilir, IP adresi değiştirilebilir. Bu nedenle aşağıdaki
adımları sırayla uygulamanız hayati önem taşır.
- Ekran görüntüsü alın ve URL’leri kaydedin. Mesajın, paylaşımın, e-postanın
tamamını — gönderen bilgileri dahil — ekran görüntüsüyle belgeleyin. Tarayıcı adres
çubuğunu ve tarih-saat bilgisini çerçeveye dahil edin. Birden fazla kaynaktan (bilgisayar +
telefon) çekin. Mümkünse olay yerinin tam URL’sini ve içerik ID’sini de not edin. - Video kaydı alın. Ekran görüntüsü yetmediğinde, telefonunuzun kamera
uygulamasıyla ekranın kaydedildiği bir video çekin. Mouse’u hareket ettirerek tarihi,
URL’yi, içeriği göstermek adli açıdan kuvvetli bir delildir. - Resmi bildirim yapın. İki yol var: (a) e-Devlet üzerinden CİMER
ya da doğrudan Cumhuriyet Başsavcılığı’na suç duyurusunda bulunma; (b) karakola gidip
ifade verme. İnternet üzerinden en hızlısı CİMER veya Siber Suçlarla Mücadele Daire
Başkanlığı’nın ihbar@egm.gov.tr adresidir. Dolandırıcılık vakalarında banka ile
eş zamanlı temas kurmak çok önemlidir. - Banka ve hesap sağlayıcılarıyla iletişime geçin. Dolandırıcılık yaşadıysanız
bankanın 7/24 çağrı merkezinden işlem iptal talebi yapın. “Geri alım” (chargeback) şansı
mümkün olabilir. Ele geçirilen sosyal medya hesapları için platformun resmi kurtarma
süreçlerini başlatın; e-posta şifrelerini değiştirin ve 2 faktörlü doğrulama açın. - KVKK başvurusu yapın (veri ihlali varsa). Kişisel verileriniz sızdırılmış
ya da hukuka aykırı olarak paylaşılmışsa, önce ilgili şirkete (veri sorumlusuna) yazılı
başvuru yapın. 30 gün içinde cevap gelmezse veya yetersizse Kişisel Verileri Koruma
Kurulu’na şikâyet edin. - Avukata danışın. Özellikle zararınız büyük, şantaj-tehdit sürüyor ya da
karmaşık bir deepfake/ifşa durumu varsa; ceza hukuku alanında deneyimli bir avukatla
çalışmak hem sürecin doğru yürümesini, hem tazminat hakkınızın korunmasını sağlar. - Süreci takip edin. Savcılıktaki dosya numarasını öğrenin, UYAP üzerinden
takip edin. Eksik delil olduğunda ek beyan verme, şahit gösterme, bilirkişi incelemesi
talep etme hakkınız var.
yedekleme servisine (bulut, e-posta eki olarak kendinize gönderme) yükleyin. Telefonunuzun
kaybolması veya bozulması hâlinde deliller yok olmasın.
Korunma Önerileri
Hukuk ne kadar gelişmiş olursa olsun; bir bilişim suçunun en iyi çözümü, mağdur olmamaktır.
Uygulaması kolay ama çoğunun ihmal ettiği temel önlemler:
- İki faktörlü doğrulama (2FA) her yerde. E-posta, sosyal medya, banka,
e-Devlet — mümkün olan her yere 2FA açın. Tercihen SMS değil, bir authenticator app
veya fiziksel güvenlik anahtarı kullanın (SIM swap saldırılarına karşı). - Parola yöneticisi kullanın. Her hesaba uzun, rastgele ve farklı parolalar
atamak bir parola yöneticisi olmadan imkânsızdır. 1Password, Bitwarden, Apple Keychain
gibi seçenekler mevcuttur. - Link tıklamadan önce bakın. SMS veya e-posta ile gelen linkleri tıklamak
yerine, ilgili kurumun resmi sitesine kendiniz gidin. Alan adındaki bir harf farklılığı
çoğu phishing’i ele verir (örn. garanti-bbva.com.tr ile garantibbva-com.tr
arasındaki fark). - Sosyal mühendisliğe karşı panik yapmayın. “Hemen”, “acil”, “tehdit altındasın”
gibi kelimeler birer kırmızı bayraktır. Telefonu kapatın, kendi bildiğiniz resmi numaradan
ilgili kurumu siz arayın. - Cihaz ve uygulamaları güncel tutun. Güvenlik açıklarının büyük çoğunluğu
yamaları olmayan eski sürümlere yöneliktir. Otomatik güncellemeyi açın. - Halka açık Wi-Fi’da hassas işlem yapmayın. Havalimanı, kafe gibi ortamlarda
bankacılık, e-Devlet gibi işlemler için mobil verinizi veya güvenilir bir VPN’i tercih edin. - Verinizin nereye gittiğini bilin. Bir uygulama kurmadan önce hangi izinleri
istediğini, kullanmadığınız eski uygulamaların aktif olup olmadığını kontrol edin. KVKK
haklarınızı kullanın: gereksiz hizmetlere verdiğiniz onayı geri alın. - Çocuklar ve yaşlı yakınlarınızla konuşun. Saldırganlar çoğu zaman bu yaş
gruplarını hedef alır. “Utanç” ya da “ailem öğrenirse” gibi duygulardan faydalanılmaması
için açık iletişim, en iyi korunmadır.
Sıkça Sorulan Sorular
Şifremi paylaşan arkadaşım hesabıma girdi; bu suç mudur?
İzin verdiyseniz suç oluşmaz; ancak “izin” açık, belirli ve geri alınabilir bir olgudur.
Önceden şifreyi verdiğinizi sonradan geri aldığınızı bildirdiyseniz, kişi hâlâ giriyorsa
TCK 243 kapsamında suç oluşur. İzin, her zaman açıkça yapılmış bir beyanı gerektirir;
varsayımsal rıza yeterli değildir.
Ekran görüntüsü tek başına delil olur mu?
Ekran görüntüsü başlangıç delilidir; tek başına sanığın mahkûmiyetini sağlamayabilir.
Ancak savcılık araştırmasının açılmasına yeterlidir. Asıl deliller iletişim kayıtları
(platformdan istenir), IP adresleri, cihaz bilgileri ve bilirkişi incelemesiyle elde edilir.
Bu nedenle ekran görüntüsünü aldıktan sonra bildirimde gecikmemek çok önemlidir.
Saldırgan yurt dışında; şikâyetim sonuç verir mi?
Türkiye, Budapeşte Sözleşmesi’ne (Siber Suç Sözleşmesi) taraftır ve pek çok ülke ile adli
yardımlaşma anlaşmaları vardır. Yurt dışı bağlantısı süreci uzatır ama imkânsızlaştırmaz.
Platformlar (Meta, X, Google vb.) Türk savcılıklarının hukuki taleplerine cevap verebilir.
Büyük çaplı dolandırıcılıklarda Interpol ve Europol devreye girebilir.
Telefonumdaki bir uygulama kişisel verilerimi izinsiz satıyorsa ne yapabilirim?
Önce uygulamanın veri işleyen şirketine (veri sorumlusuna) yazılı başvuru yapın ve
verilerinizin ne şekilde işlendiğini, kimlere aktarıldığını, silinmesini talep edin.
30 gün içinde cevap yoksa ya da tatmin edici değilse Kişisel Verileri Koruma Kurulu’na
şikâyet edin. Ayrıca uygulamanın aldığı izinleri geri alın ve gerekirse kaldırın.
“İfşa” tehdidi alıyorum; ne yapmalıyım?
Bu çok ciddi bir durum ve asla faile ödeme yapmayın — ödeme size zaman kazandırmaz,
tam tersine talepleri artırır. Derhal: (1) Tüm yazışmaları ekran görüntüsüyle belgeleyin.
(2) İletişimi tek yönlü yapın; tartışmaya girmeyin. (3) Cumhuriyet Başsavcılığı’na aynı gün
suç duyurusunda bulunun (TCK 107 şantaj, TCK 134 özel hayatın gizliliği). (4) Güvendiğiniz
bir yakınınıza durumdan bahsedin; yalnız kalmak riski artırır. (5) Avukata mutlaka başvurun.
Savcılıktan “yayın engelleme” kararı çıkarılabilir.
Bir grup sohbetinde benimle dalga geçiyorlar; hakaret sayılır mı?
Kapalı bir grupta bile, grup üyelerinin hakarete maruz bıraktığı kişi ya da onu
tanıyabilecek üçüncü kişiler varsa hakaret suçu oluşur. Sosyal mesafenin azlığı suçu
ortadan kaldırmaz; ancak ceza miktarını ve aleniyet ağırlaştırıcısını etkileyebilir.
Hakaret şikâyete tabidir ve öğrendiğiniz günden itibaren 6 ay içinde şikâyet etmelisiniz.
Kredi kartı bilgilerim çalınıp kullanıldı; zararımı banka karşılar mı?
Türk bankacılık düzenlemelerine göre, kart sahibinin ağır kusuru yoksa yetkisiz işlemlerden
doğan zararlardan banka sorumludur. Olayı öğrenir öğrenmez bankayla temasa geçin ve kartı
bloke ettirin; yazılı itirazınızı ibraz edin ve suç duyurusunda bulunun. Şifrenizi veya
tek kullanımlık kodu sadece bir telefon görüşmesinde paylaştıysanız “ağır kusur”
değerlendirmesi yapılabilir; bu nedenle olayın bütünlüğüyle avukat desteği almak faydalıdır.
Sonuç
Bilişim suçları artık “istisnai, teknik, başkasının başına gelen” olgular değil; hayatımızın her
alanına nüfuz etmiş gerçekliklerdir. 2024-2026 arası dönem Türkiye için bu alanda önemli bir
yasal olgunlaşma sürecidir: KVKK’nın yurt dışı aktarım reformu, 7545 sayılı Siber Güvenlik
Kanunu’nun yürürlüğe girmesi, Siber Güvenlik Başkanlığı’nın kurulması, TCK uygulamasındaki
Yargıtay içtihatlarının kararlılık kazanması… Kısacası hukuk, teknolojik gerçeklikle arasındaki
makası kapatıyor.
Bir birey olarak sizin için üç temel çıkarım var: İlk olarak, hakkınızı
bilmek yarıdan fazla korumadır. İkinci olarak, şüphelendiğiniz anda yavaşlamak, düşünmek ve
resmi bir kanaldan doğrulamak; saldırganın en büyük düşmanıdır. Üçüncü olarak, mağdur olduğunuzda
sessiz kalmak yerine belgeleyin ve bildirin — hem kendi hakkınızı almak hem de sonraki
mağdurlara yaşanan olayın tekrarlanmaması için. Hukuk işlediğiniz deliller ve vermekten
çekinmediğiniz ifadelerle çalışır.
Her somut olayın kendine özgü koşulları vardır; bir ceza hukuku veya veri koruma avukatıyla
birebir görüşmeden önemli kararlar almaktan kaçının. Kanun ve ikincil mevzuat hızla değişmektedir;
bu yazı Nisan 2026 itibarıyla güncel bilgileri içermektedir. Bağlayıcı metinler için Resmî Gazete,
KVKK, Siber Güvenlik Başkanlığı ve Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire
Başkanlığı’nın resmi yayınlarını esas alın.