Dijital Labirentte Adalet: Bankacılık Suçlarında "Algoritma Yanılgısı" ve Kusursuz Savunma Stratejileri:

 

    Bankacılık ve finans suçları, Türk Ceza Kanunu ve Bankacılık Kanunu (Madde 160) ekseninde genellikle "zimmet" veya "sistemi engelleme/bozma" üzerinden değerlendirilir. Ancak günümüz yargılamalarında, yerleşik içtihatların bile henüz tam evirilmediği, savunmanın kaderini değiştirecek üç kritik gri alan bulunmaktadır. Bunları kısaca açıklamamız gerekirse;

I-"Sistem Kayıtlarının Mutlakiyeti" Yanılgısı:

Çoğu iddianame, banka log kayıtlarını (LOG files) değişmez hakikat kabul eder. Oysa BAM ve Yargıtay’ın son dönem eğilimleri, "kayıtların manipüle edilebilirliği" ve "sistem hatası olasılığı" üzerinde durmaktadır.

Burada naçizane savunma stratejisi, müvekkilin işlemi yaptığı iddia edilen saatteki "eş zamanlı sistem yükü" ve "backend gecikmeleri" (latency) sorgulanmalıdır.Konunun hassaslığı karşısında şu kritik argüman da göz ardı edilmemelidir. "Log kaydı bir eylemin kanıtı olabilir ama o eylemin arkasındaki iradenin veya sistemsel bir hatadan kaynaklanmadığının garantisi değildir."

II- "Zimmet" mi, "Operasyonel Hata" mı? (BAM Kararları Işığında)

Bölge Adliye Mahkemeleri'nin (BAM) bazı güncel kararlarında, banka personelinin yaptığı hatalı işlemlerin "zimmet" kastı taşımadığı, bankanın denetim mekanizmalarındaki (iç kontrol) zafiyetin sanık aleyhine yorumlanamayacağı vurgulanmaktadır.

Bu konuda ileri sürülmesi gereken nokta bankanın "7248 sayılı Kişisel Verilerin Korunması" veya "BDDK Bilgi Sistemleri Yönetmeliği"ne aykırı alt yapı eksiklikleri, suçun oluşumunda "mütesebbib" (sebep olan) faktör olarak sunulmalıdır. Eğer banka kapıyı açık bıraktıysa, içeri gireni doğrudan ağırlaştırılmış zimmetle suçlamak "kusursuz sorumluluk" ilkesine aykırıdır.

III-Uzaktan Bankacılık ve "Kimlik Hırsızlığı" Paradoksu

Mobil bankacılık üzerinden işlenen dolandırıcılık veya sisteme müdahale suçlarında, Yargıtay artık sadece IP adresini yeterli görmemektedir.Savunmanın hassas noktası elbette yine Yargıtay Vurgusu olacaktır. IP adresinin "çakıştığı" veya "maskelendiği" durumlarda, sanığın cihazına yönelik bir "Remote Access Trojan" (Uzaktan Erişim Virüsü) incelemesi yapılmadan kurulan hükümler bozulmaktadır.Bu noktada müvekkile verilecek mesaj: "Sizin telefonunuzdan yapılmış görünmesi, sizin yaptığınız anlamına gelmez; biz sistemin o anki güvenliğini yargılayacağız." Olabilir.

Bu kısa yazımızdan çıkarılacak sonuç , savunmanın dijital mimariyle dansı şeklinde nitelendirilebilir. Dans konusunda doğuştan yetenekli olmak elbette bir beceridir, ancak çok çok çalışmak her uğraşta olduğu gibi bu işte de emek harcayanı, çok çalışanı ön plana çıkaracaktır. Bankacılık suçlarında iyi bir ceza avukatı, sadece hukukçu değil, aynı zamanda bir sistem analisti gibi düşünmelidir. Savunmamızı, "illiyet bağının teknik kopuşu" üzerine kuruyoruz. Adalet, sadece dosyaya bakmak değil, dosyanın satır aralarındaki kod hatalarını görebilmektir. Bir de bildiklerini kendine saklamayan avukat sanki  daha iyi avukattır.

Bu yazının en can alıcı noktası  elbette biz hukukçuların en sevdiği şey olan uygulamanın bu konulara bakış açısını yansıtacak kararların ne olduğu noktası yani son bölümü olacaktır. Öyleyse şimdi bildiklerimizi, gördüklerimizi,  tecrübelerimizi  Yargıtay ve BAM kararları ışığı altında elimizden geldiğince aktaralım. Bunu da en iyi bildiğimiz şey ile, doğruya ulaşabilmek adına doğru sorular sormalıyız disturu ile yapalım.

Soralım: Yargıtay “Log Kayıtlarının ve IP Adresinin Tek Başına Delil Sayılamayacağı Üzerine” ne demiş;

Yargıtay 8. Ceza Dairesi, E. 2021/14235, K. 2023/4120 bu konuda özetle; Sadece IP adresinin sanığa ait olmasının mahkumiyet için yeterli olmadığı; cihazın ele geçirilip geçirilmediği veya başkaları tarafından uzaktan erişimle (trojan vb.) kullanılıp kullanılmadığının teknik bilirkişi marifetiyle saptanması gerektiğini dosyada bu eksikliklerin bulunması halinde yerel mahkeme kararın bozulacağını dile getirmiş.

Peki, “Banka İç Denetim Mekanizmalarının Kusuru ve "Zimmet" Kastının Değerlendirilmesi” konusunda  bir şey söylemiş mi? Elbette. Yargıtay 9. Ceza Dairesi, E. 2022/894, K. 2023/1566 yine  hassas içerikli bu konuda kısaca “ Banka personelinin gerçekleştirdiği işlemlerin, bankanın kendi iç kontrol ve limit aşım sistemleri tarafından engellenmemesinin "denetim görevinin ihmali" kapsamında değerlendirilmesi ve suç vasfının tayininde bu ihmalin sanık lehine yorumlanması gerekliliği” noktasına temas etmiş.

Birde BAM ‘ın Uzaktan Bankacılıkta "İlliyet Bağının Kesilmesi" ve Şüphe Karinesi konusundaki tutumunu belirttik mi sanki daha mutlu olacağız ya olalım o vakit deyip bu konuda ;İstanbul Bölge Adliye Mahkemesi (BAM) 23. Ceza Dairesi, E. 2023/112, K. 2023/1455 sayılı ilamı ile BAM; “Bankacılık bilişim sistemlerindeki güvenlik açıklarının ve işlem anındaki sistem anomalilerinin, sanığın kastını ortadan kaldırabileceği; "şüpheden sanık yararlanır" ilkesinin dijital delillerde de katı şekilde uygulanması gerektiğini düşünmektedir.

Son olarak yine Yargıtay’ın Mobil Onay Kodlarının Manipülasyonu ve Üçüncü Kişi Müdahalesi ile ilgili görüşünü açıklayacak olursak bu konuda da Yargıtay 11. Ceza Dairesi, E. 2020/5632, K. 2022/9814 sayılı ilamında “ SIM kart kopyalama veya zararlı yazılımlarla gelen onay kodlarının yönlendirilmesi durumunda, mudinin veya banka görevlisinin doğrudan sorumlu tutulamayacağı, teknik altyapı eksikliğinin cezai sorumluluğu etkileyeceğini belirtmektedir.

Başlık her ne kadar “kusursuz savunma stratejileri” olarak makalenin çatısında hoş görünen bir tamlama olarak yer alsa da günümüz de teknolojinin bu denli hızlı gelişmesi karşısında zamanla kelime anlamını yitireceğini ancak biz hukukçuların da zamana ayak uydurarak çağın ve teknolojinin gerisinde kalmadan işimizi gereği ile yapmamız gerektiğini bir kez daha hatırlatıyor bu yazının faydalı olmasını temenni ediyorum.