Haberler

Av. Ahmet Karaca Yazıları

Av. Ahmet Karaca Yazarın Profili >
Av. Ahmet Karaca

Bilişim Hukuku ve Bilişim Avukatı 2026 | Av. Ahmet Karaca

30.05.2026 15:31
Haber Detay Image

Bilişim hukuku, dijital dünyadaki her faaliyetin —yazılım sözleşmelerinden e-ticarete, siber dolandırıcılıktan kişisel verilerin korunmasına kadar— hukuki çerçevesini çizen, çok disiplinli bir ihtisas alanıdır. Bilişim avukatı ise yalnızca kanun maddesini bilen değil; bir log kaydını (sistem hareket kaydını) okuyabilen, IP adresini sorgulayabilen, dijital delilin nasıl toplandığını adım adım denetleyebilen hukukçudur. 2026 itibarıyla bu alanın ayırt edici gerçeği nettir: bilişim davaları çoğu zaman kanun maddeleriyle değil, verilerle kazanılır.

Öğretide bilişim hukuku; teknolojinin hızı ve dijital delilin kendine özgü yapısı nedeniyle klasik hukuk dallarından ayrışan, bağımsız bir alan olarak kabul edilir. Bu yüzden bir bilişim avukatından beklenen, "iyi bir hukukçu" olmanın ötesinde, bilişim sistemlerinin işleyişine ve adli bilişim (dijital adli inceleme) yöntemlerine dair gerçek bir teknik okuryazarlıktır. Bu yazıda; siber dolandırıcılıkta sorumluluğun kimde olduğunu, dijital delilin nasıl korunacağını, veri ihlalinde atılacak adımları ve bir bilişim avukatının süreci somut olarak nasıl değiştirdiğini, yerleşik yargı kararları ışığında ele alıyoruz.

Bilişim Hukuku Nedir ve Neden Ayrı Bir Uzmanlık İster?

Kısa cevap: Çünkü bu alanda usule ve tekniğe dair küçük bir ayrıntı, çoğu zaman davanın tamamını belirler. Bir e-postanın başlık bilgisi, bir işlemin saniye saniye dökümü ya da bir verinin değişmeden saklandığını kanıtlayan teknik değer; hukuki sonucu doğrudan değiştirir. Bilişim hukukunu diğer dallardan ayıran şey de tam budur: burada hukuk bilgisi tek başına yetmez, tekniği okuyabilmek gerekir.

Yargı da bu ihtiyacı görmüştür. Bilişim suçları için ihtisas mahkemelerine yönelinmesi, alanın ne denli uzmanlık gerektirdiğinin kurumsal bir kabulüdür. Öğreti, bilişim avukatının rolünü üç katmanda tanımlar: elektronik delilin karmaşıklığından doğan "ciddi hata" risklerini yöneten kişi; adli bilişim sürecindeki usuli eksiklikleri (tutanak, mühürleme, yedekleme) denetleyen bir usul müfettişi; ve hâkim ile teknik gerçeklik arasında köprü kuran bir teknik-hukuk tercümanı. Sahada gördüğümüz tablo da bunu doğruluyor: bir dosyanın kaderini çoğu zaman kanun maddesi değil, o maddeyi destekleyecek teknik delilin sağlamlığı tayin ediyor.

Bilişim Avukatı Ne Yapar, Ne Zaman Gerekir?

Doğrudan cevap: Bir uyuşmazlığın içinde dijital bir iz varsa, bilişim avukatına ihtiyaç var demektir. Bir banka işlemi, bir yazışma, bir paylaşım, bir IP kaydı… Hepsi delil niteliği taşır ve hepsi yanlış ele alındığında geri dönülmez biçimde değer kaybeder. Bilişim avukatının asıl işlevi, hem hukuki temsili yürütmek hem de delil toplama sürecinin usulüne uygun ilerlemesini denetlemektir.

Bir bilişim avukatının katkısı özellikle şu uyuşmazlıklarda belirleyici olur:

  • İnternet bankacılığı ve banka/kredi kartı dolandırıcılığı
  • Bilişim suçları (sisteme izinsiz girme, veriyi yok etme/bozma, kart kötüye kullanımı)
  • KVKK kapsamındaki veri ihlalleri ve idari para cezaları
  • İnternette kişilik haklarına saldırı, içerik kaldırma ve erişim engelleme
  • Yazılım, lisans ve e-ticaret sözleşmelerinden doğan anlaşmazlıklar
  • Fikri ve sınai mülkiyet ihlalleri, marka taklitleri ve alan adı uyuşmazlıkları
İnternet Bankacılığında Para Çalınırsa Sorumlu Kimdir?

Net cevap: Yargıtay'ın yerleşik içtihadına göre, internet bankacılığı üzerinden gerçekleşen usulsüz işlemlerde kural olarak banka sorumludur. Banka hukukta "güven kurumu" sayılır; mevduatı sahtekârlara karşı özenle korumak zorundadır ve hafif kusurundan dahi sorumlu tutulur. Yargıtay 11. Hukuk Dairesi'nin kabulüyle, hesaptan rızanız dışında çekilen para hukuken doğrudan bankanın zararıdır; mevduat sahibinin bankadaki alacağı ise aynen devam eder. Yani teoride paranız hâlâ bankadadır.

Bankanın yükümlülüğü pasif de değildir. Oltalama (phishing) ve sahte SMS yoluyla yapılan dolandırıcılığa (smishing) karşı, en güncel teknolojiye uygun güvenlik sistemlerini —yapay zekâ destekli şüpheli işlem tespiti, IP ve log analizi gibi— kurmak zorundadır. Olağandışı bir işlem trafiğini fark etmesi gerekirken fark etmeyen bankalar, mahkemelerce yer yer %80'e varan ağır oranlarda kusurlu bulunabilmektedir.

Madalyonun bir de öbür yüzü var: müterafik kusur, yani kusurun paylaştırılması. Müşteri kendi bilgilerini korumada ihmalkâr davranmış —şifresini paylaşmış ya da cihazına zararlı yazılım bulaşmasına sebep olmuşsa— mahkeme kusur paylaşımına gidebilir. Nitekim bir yerel mahkeme kararında zarar, bankaya %60, müşteriye %40 oranında paylaştırılmıştır. Ancak burada kritik bir incelik vardır: bankanın bu paylaşımdan yararlanabilmesi için müşterinin kusurunu somut delillerle ispat etmesi gerekir. İspatlayamazsa, istinaf mahkemelerinin de teyit ettiği üzere zararın tamamından yine banka sorumludur. Çözümlediğimiz dolandırıcılık dosyalarında tekrar eden bir tablo var: zarar çoğu zaman tek bir tıkla değil, sistemin yakalaması gereken bir dizi "olağandışı" işlemle büyüyor.

Bilişim Suçları: Sisteme Girme, Veriyi Yok Etme ve Kart Dolandırıcılığı (TCK m. 243-245)

Türk Ceza Kanunu, bilişim suçlarını üç temel başlıkta toplar:

  1. Bilişim sistemine girme (m. 243): Bir sisteme hukuka aykırı şekilde girmek veya orada kalmaya devam etmek. Sistemdeki verilerin yok olması ya da değişmesi cezayı ağırlaştırır.
  2. Sistemi engelleme, bozma, verileri yok etme (m. 244): Bir sistemin işleyişini engellemek, verileri bozmak veya erişilmez kılmak. Bu fiilin banka veya kamu kurumuna karşı işlenmesi ağırlaştırıcı sebeptir.
  3. Banka veya kredi kartlarının kötüye kullanılması (m. 245): Başkasına ait kartın rıza dışı kullanımı ya da sahte kart üretimi ve kullanımı.

Ceza yargılamasında en sık duyulan savunma şudur: "O işlemi ben yapmadım; hattımı ya da cihazımı başkası kullanmış olabilir." Bu savunma havada bırakılamaz. Yargıtay 8. Ceza Dairesi'nin bir kararında vurgulandığı üzere, böyle bir iddia karşısında internet sağlayıcı kayıtlarının, IP numaralarının ve dijital adli inceleme (forensic) raporlarının eksiksiz incelenmesi zorunludur. İşte burada teknik hâkimiyet, suçluluk ile suçsuzluk arasındaki ince çizgiyi belirler; eksik bir log incelemesi, masum bir kişiyi de mahkûm edebilir, gerçek faili de kurtarabilir.

Dijital Delil ve "Delil Bütünlüğü": Bir Ekran Görüntüsü Yeter mi?

Net cevap: Tek başına bir ekran görüntüsü çoğu zaman yetersizdir. Çünkü dijital delilin değeri, içeriği kadar nasıl toplandığına bağlıdır. Bir veri mahkemede ayakta durabilsin diye "delil bütünlüğünün" korunması şarttır.

Bunun teknik karşılığı şudur: el koyma sırasında verinin birebir kopyası (imaj) alınmalı ve bu kopyanın hiç değişmediğini kanıtlayan bir dijital parmak izi —teknik adıyla "hash değeri"— hesaplanmalıdır. Uygulamada, imaj alınmadan veya hash/elektronik mühürleme yapılmadan gerçekleştirilen el koyma işlemlerine karşı, deneyimli bir bilişim avukatı "delil bütünlüğü zedelendi" gerekçesiyle itiraz geliştirir. Atalarımız "söz uçar, yazı kalır" demiş; dijital dünyada ise her tıklama geride bir iz, doğru korunan her iz de bir delil bırakır.

Kanun, dijital sistemlerde aramayı sıkı şartlara bağlar. Ceza Muhakemesi Kanunu'nun 134. maddesine göre bilgisayar ve kütüklerinde aramaya, ancak "başka surette delil elde etme imkânı yoksa" başvurulabilir; el koyma sırasında verilerin bir kopyası şüpheliye ya da vekiline verilmelidir. Burada öğretide tartışılan hassas bir denge vardır: Bir avukatın bilişim sistemlerinde arama yapılması gerektiğinde, avukatlık sırrını ve savunma hakkını koruyan CMK m. 130 mu, yoksa bilişim sistemlerine müdahaleyi düzenleyen m. 134 mü uygulanacaktır? Baskın görüş, m. 130'un böyle bir aramaya doğrudan izin vermediği; m. 134'e ancak "son çare" olarak ve m. 130 güvenceleri gözetilerek geçilebileceği yönündedir. Bu yüzden avukat bürolarındaki aramalarda baro başkanı veya temsilcisinin hazır bulunması, avukat–müvekkil gizliliği bakımından hayatidir. Bu usuli güvenceler kâğıt üzerinde basit görünür; oysa bir davayı ayakta tutan da, çökerten de çoğu zaman bu ayrıntılardır.

Bilişim Sözleşmeleri ve Yazılım Uyuşmazlıkları

Doğrudan cevap: Yazılım ve dijital hizmet uyuşmazlıklarında temel dayanak, taraflar arasındaki sözleşme hükümleri ve edimlerin kime ait olduğudur. Yargı kararları, herkesin kendi yükümlülüğünü yerine getirmesini esas alır.

Örneğin bir yerel mahkeme; içerik yönetiminin müşteriye, teknik paketin tesliminin ise yükleniciye ait olduğu bir sözleşmede, kendi yükümlülüğünü yerine getirmeyen müşterinin sözleşmeden dönmesini haksız bulmuştur. Bir başka önemli ilke ise şudur: yazılı bir sözleşme bulunmasa dahi, e-posta ve teklif formları üzerinden geçerli bir ticari ilişki kurulabilir. Nitekim entegrasyonu tamamlanmamış olsa bile tek başına değer taşıyan bir arşiv yazılımının bedelinin ödenmesi gerektiği kabul edilmiştir. Sahadan bir gözlem: yazılım projelerindeki uyuşmazlıkların büyük kısmı, kötü niyetten değil, kimin neyi teslim edeceğinin sözleşmede net yazılmamasından doğuyor. İyi kaleme alınmış bir sözleşme, çoğu davayı daha doğmadan bitirir.

KVKK Kapsamında Veri İhlali: Ne Yapmalısınız?

Kısa cevap: Veri sorumlusu sıfatını taşıyorsanız —yani başkalarının kişisel verilerini işliyorsanız— bir veri ihlali (sızıntı) durumunda iki yönlü bildirim yapmak yasal zorunluluğunuzdur. Hem Kişisel Verileri Koruma Kurulu'na bildirim yapmalı, hem de etkilenen ilgili kişilere ulaşmalısınız. Kurul, kanundaki "en kısa süre" ifadesini, ihlali öğrenmenizden itibaren 72 saat olarak yorumlamaktadır.

Ancak KVKK m. 12 daha sızıntı yaşanmadan da yükümlülük yükler: veri sorumlusu, kişisel verilere hukuka aykırı erişimi önlemek için "gerekli her türlü teknik ve idari tedbiri" almak zorundadır. Pratikte bunun anlamı; güçlü şifreleme, erişim yetkilerinin sınırlandırılması, düzenli sızma testleri ve personel farkındalığıdır. Kurumlara yönelik farkındalık çalışmalarımızda en çok altını çizdiğimiz nokta da budur: veri güvenliği bir kez kurulup unutulan bir ürün değil, sürekliliği olan bir disiplindir. İhmalin bedeli yalnızca itibar değil, ciddi idari para cezalarıdır.

İnternette Kişilik Haklarının İhlali: İçerik Kaldırma ve Erişim Engelleme

Doğrudan cevap: Kişilik haklarınız ya da özel hayatınızın gizliliği internette ihlal edildiyse, Sulh Ceza Hâkimliği'ne başvurarak içeriğin çıkarılmasını veya ilgili adrese erişimin engellenmesini talep edebilirsiniz. Bu, 5651 sayılı Kanun'un tanıdığı hızlı bir korumadır.

Sürecin en güçlü yanı hızıdır. Verilen karar, Erişim Sağlayıcıları Birliği'ne bildirildikten sonra en geç dört saat içinde yerine getirilir. Dijitalde bir itibarın zedelenmesi saniyelerle ölçülürken, bu hız çoğu zaman onarılamaz bir zararın önüne geçer. Aynı mekanizma yalnızca bireyleri korumakla kalmaz; internet üzerinden yapılan marka ihlallerinde, taklit ürün satan alan adlarına erişimin engellenmesi gibi teknik tedbirler de bu çerçevede uygulanabilmektedir. Fikri mülkiyet uyuşmazlıklarında ise dijital veriler ve bilgisayar kayıtları, eser sahipliği ve intihal iddialarında çoğu zaman tek başına belirleyici delil niteliği taşır.

İşletmeler İçin Görünmez Risk: Siber Saldırı ve Zayi Belgesi

Şirketler için kritik cevap: Türk Ticaret Kanunu'nun 82. maddesi, tacirlere ticari defter ve belgelerini on yıl saklama yükümlülüğü getirir. Bir siber saldırı —örneğin verileri şifreleyip kilitleyen "Cryptolocker" benzeri bir fidye yazılımı— bu kayıtları erişilmez hale getirirse, 30 gün içinde mahkemeye başvurarak "zayi belgesi" (kayıp belgesi) talep etmek gerekir.

Burada işletmelerin sık gözden kaçırdığı acı bir gerçek var: mahkemeler bu belgeyi otomatik vermez. "Basiretli tacir" ilkesi gereği, e-defter ve beratlarını çevrimdışı ortamlarda yedeklememiş, yetkin entegratörlerden saklama hizmeti almamış işletmelerin talepleri reddedilmektedir. Buna karşılık, tüm yedekleme ve özel entegratör desteğini almış olmasına rağmen saldırıya uğrayan bir tacire zayi belgesi verilebilmektedir. Kısacası ihmal, sadece veriyi değil, hukukun sağladığı korumayı da zayıflatır. Tedbir burada hem ticari hem hukuki bir zırha dönüşür.

Bir hatırlatma da sözleşmeler için: güvenli elektronik imza, 5070 sayılı Kanun uyarınca elle atılan imza ile aynı hukuki sonucu doğurur. Yine de tapu, evlenme gibi resmi şekle tabi işlemler e-imza ile yapılamaz. Dijital ortamda sözleşme kurarken bu sınırı bilmek, ileride büyük baş ağrılarından korur.

Sahte Tıklama, Bilirkişi ve İspat Yükünün Yer Değiştirmesi

Net cevap: Bilişim uyuşmazlıklarında ispat yükü, davanın teknik niteliğine göre yer değiştirebilir. İnternet reklamcılığındaki "sahte tıklama" iddialarında, sistemin sahte ziyaretçi ile gerçek ziyaretçiyi ayırt etme kabiliyeti bilirkişi marifetiyle incelenir; teknik olarak bir ayrıştırma yapılamıyorsa ispat yükü iddia sahibinin üzerinde kalır.

Bu, bilişim hukukunun en kritik mekanizmalarından biridir. Hâkimin elektronik belgeleri değerlendirmede zorlanabileceği durumlarda bilirkişi desteği devreye girer. Bilişim avukatının asıl değeri de burada ortaya çıkar: bilirkişi raporundaki teknik hataları —yanlış bir IP/log analizini, doğrulanmamış bir zaman damgasını— görebilecek donanımda olmak. Çünkü teknik dili okuyamayan bir savunma, en haklı dosyada dahi sessiz kalmaya mahkûmdur.

Sık Sorulan Sorular (SSS)

İnternet bankacılığından param çalınırsa banka geri öder mi? Kural olarak evet. Yargıtay içtihadına göre banka "güven kurumu" sayıldığı için usulsüz işlemlerden hafif kusuruyla dahi sorumludur ve çekilen para hukuken bankanın zararı kabul edilir; mevduat sahibinin alacağı aynen devam eder. Yalnızca müşterinin kusuru somut delille ispatlanırsa kusur paylaşımına (müterafik kusur) gidilebilir.

Bilişim avukatı tam olarak ne iş yapar? Siber dolandırıcılık, bilişim suçları, veri ihlalleri, içerik kaldırma ve yazılım sözleşmesi uyuşmazlıklarında hem hukuki temsil sağlar hem de dijital delillerin (IP, log, hash) teknik doğruluğunu denetler. Kısacası hukuk ile teknoloji arasında tercümanlık yapar ve adli bilişim sürecinin usuli denetçiliğini üstlenir.

Ekran görüntüsü mahkemede delil sayılır mı? Sayılabilir, ancak tek başına çoğu zaman zayıftır. Delilin değeri, ham verinin ve delil bütünlüğünün korunmasına bağlıdır. Mümkünse veri, üzerine yazılmadan ve teknik doğrulamasıyla (imaj/hash) birlikte muhafaza edilmelidir.

Siber dolandırıcılığa uğradığımda ilk ne yapmalıyım? Önce hesabınızı veya kartınızı bloke ettirip işlemi bankaya yazılı olarak bildirin; ardından savcılığa şikâyette bulunun. En önemlisi, cihazınızdaki kayıtları, mesajları ve işlem geçmişini değiştirmeden saklayın. Delili korumak, çoğu zaman davayı korumaktır.

Veri ihlali bildirimi kaç saatte yapılmalı? Kurul, KVKK'daki "en kısa süre" ifadesini ihlali öğrenmenizden itibaren 72 saat olarak yorumlar. Bildirim hem Kurul'a hem de etkilenen ilgili kişilere yapılmalıdır.

İnternetteki hakaret veya özel içerik nasıl kaldırılır? Sulh Ceza Hâkimliği'ne başvurarak içeriğin çıkarılmasını veya erişimin engellenmesini talep edebilirsiniz. Karar, Erişim Sağlayıcıları Birliği'ne bildirildikten sonra en geç dört saat içinde uygulanır.

Yazılı sözleşmem yok; yine de hak iddia edebilir miyim? Çoğu zaman evet. Yargı kararlarına göre e-posta ve teklif formları üzerinden de geçerli bir ticari ilişki kurulabilir; tek başına değer taşıyan bir yazılımın bedeli, sözleşme imzalanmamış olsa dahi talep edilebilir. Yine de yazışmalarınızı ve teslim kayıtlarınızı eksiksiz saklamanız belirleyicidir.

Son Söz

Bilişim hukuku, hukukun en hızlı akan kollarından biridir; içinde durmak yoktur, ya yüzersiniz ya da sürüklenirsiniz. Bu alandaki gerçek fark, kalın kanun kitaplarını ezberlemekte değil; bir log kaydının ne anlattığını okuyabilmekte, bir delilin ne zaman değer yitirdiğini bilmekte ve mağdurun çaresizliğini somut bir hak arayışına çevirebilmekte yatar. Yargı kararlarının da gösterdiği gibi, dijitalde adalet çoğu zaman en doğru ve en hızlı ilk hamleyle kazanılır; gecikmiş bir refleks ise en güçlü hakkı bile zayıflatır.

Unutmayın: teknolojinin dilini bilmeyen bir savunma sessiz kalmaya mahkûmdur. Hakkınız dijital bir izde saklıysa, o izi hem hukuken hem teknik olarak okuyabilecek birine ihtiyacınız var.

Av. Ahmet Karaca Bilişim Hukuku ve Teknoloji Hukuku

Yazarın Tüm Yazıları

Siber Suçlar ve Siber Suçlar Avukatı 2026 - Av. Ahmet Karaca

Siber Suçlar ve Siber Suçlar Avukatı 2026 -..

Siber suç, bir bilişim sisteminin ya hedef ya da silah olarak kullanıldığı her türlü hukuka aykırı fiildir; siber suçlar avukatı ise bu fiillerin hem..

Devamını Oku
Yasa dışı bahis operasyonu: 3 milyon yasa dışı bahis oynayan kişi tespit edildi. Cezası var mı? Av. Ahmet KARACA

Yasa dışı bahis operasyonu: 3 milyon yasa..

3 Milyon Kişinin TC Kimliği Tespit Edildi: Yasa Dışı Bahis Oynayanlara Ne Olacak? Tam 13 milyon 800 bin kullanıcı kaydı. Bunlardan 3 milyon 173..

Devamını Oku
Yargıtay 11. hukuk dairesi banka dolandırıcılığı emsal kararlar - 2026 | Av. Ahmet KARACA

Yargıtay 11. hukuk dairesi banka..

Yargıtay İçtihatları Işığında Değerlendirmelerimiz: Hesabınızdaki Para Çalındıysa, Dolandırıldıysanız Banka Sorumlu mu? Bir sabah uyandığınızda..

Devamını Oku
Tüm Yazıları
Şampiyonlar Ligi'nde resmen para yağdı! İşte kasayı ağzına kadar dolduran takımlar

Şampiyonlar Ligi'nde resmen para yağdı! İşte kasayı ağzına kadar dolduran takımlar
ABD’nin Türkiye Büyükelçisi Tom Barrack, Irak ve Suriye Özel Başkanlık Temsilcisi olarak atandı

ABD’nin Türkiye Büyükelçisi Tom Barrack, Irak ve Suriye Özel Başkanlık Temsilcisi olarak atandı
Uruguay'ın 2026 Dünya Kupası kadrosu belli oldu! Lucas Torreira yok

Uruguay'ın 2026 Dünya Kupası kadrosu belli oldu! Lucas Torreira yok
Evinde ölü bulunan gencin sevgilisi cinayet şüphesiyle gözaltına alındı

Evinde ölü bulunan gencin sevgilisi cinayet şüphesiyle gözaltına alındı
CHP’de yargı krizi derinleşiyor: 221 eski milletvekilinden kurultay çağrısı

CHP’de yargı krizi derinleşiyor: 221 eski milletvekilinden kurultay çağrısı
Dev toz bulutu Hindistan'da bir kenti yuttu

Dev toz bulutu Hindistan'da bir kenti yuttu