Mobil pazarlama olarak da adlandırılan ve GSM operatörleri aracılığıyla kullanıcılara ürün pazarlayan veya satışa arz edilen ürünleri kullanıcıların onayı ile teslimle yükümlü bulunan firmalar, tüketici tarafından onaylanan bu ticari elektronik iletinin içeriğinden ne derecede sorumludur? Bilişim sistemi kullanıcılarının öznelerini çoğaltacak olursak, soruyu şu şekilde yöneltmemiz de mümkündür; yalnızca ödeme faaliyeti kapsamında hukuki sorumluluğu belirlenen mobil ödeme kuruluşları ile elektronik para kuruluşlarının, ödeme faaliyetlerini yürütürken kullandıkları bilgi sistemleri veya sistem işleticilerinin, ödeme hizmeti kullanıcılarına yönelik bilgilerin güvenliğine/gizliliğine veya kişisel verilerin korunmasına yönelik hangi ölçüde ceza sorumluluğu bulunmaktadır?

Kısa mesaj hizmetini kullanarak elektronik ortamda gerçekleştirilen ve ticari amaçla gönderilen her türlü veri, ses ve görüntü içerikli bu iletileri, ticari elektronik ileti kabul etmek mümkündür[1]. Cep telefonlarına gönderilen kısa mesaj yoluyla, farklı nitelikte birçok ürün pazarlayan bu firmaların, GSM operatörleri ile gerçekleştirdikleri alım-satım sözleşmesi neticesinde, kısa mesajı onaylayan tüketicilerden sağladıkları yarar karşılığında, ürünün alıcıya tesliminden sorumlu oldukları kabul edilmektedir.

“Mobil pazarlama” olarak adlandırılan bu usul, 27.11.2014 tarihli Resmi Gazete’de yürürlüğe giren Mesafeli Sözleşmeler Yönetmeliği’nin 4. maddesinde, “satıcı veya sağlayıcı ile tüketicinin eş zamanlı fiziksel varlığı olmaksızın, mal veya hizmetlerin uzaktan pazarlanmasına yönelik olarak oluşturulmuş bir sistem çerçevesinde, taraflar arasında sözleşmenin kurulduğu ana kadar ve kurulduğu an da dahil olmak üzere uzaktan iletişim araçlarının kullanılması suretiyle kurulan” mesafe sözleşmeleri olarak tanımlanmaktadır. Ticari veya mesleki olmayan amaçlarla hareket eden gerçek veya tüzel kişi tüketici ile satıcı veya sağlayıcı arasında kurulan ve mal veya hizmet aktarımına konu edilen bu sözleşme uyarınca; sözleşmesel ilişki kurulmadan veya tüketici kendisine iletilen teklifi kabul etmeden önce, sözleşmenin ayrılmaz parçası olan ve taraflarca aksini kararlaştırılmadıkça değiştirilemez nitelik taşıyan “ön bilgilendirme” usulünün satıcı veya sağlayıcı tarafından ifası zorunludur[2]. Yine Yönetmeliğin “Bilgilerin saklanması ve ispat yükümlülüğü” başlıklı 20. maddesinde sorumluluk sahası genişletilen satıcı veya sağlayıcıların; bu Yönetmelik kapsamında düzenlenen cayma hakkı, bilgilendirme, teslimat ve diğer hususlardaki yükümlülüklerine dair her bir işleme ilişkin bilgi ve belgeyi üç yıl boyunca saklaması zorunludur[3].

Esasında ürünü pazarlayan/satışa arz eden firmaların, hizmete konu “icap” niteliği taşıyan bu kısa mesajları, tüketicinin önceden iznini almak suretiyle ticari faaliyete konu edilebildikleri görülmektedir. 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 14. maddesi ile 5809 sayılı Elektronik Haberleşme Kanunu’nun 50. maddesinin 5. fıkrasına göre; “İşletmeciler tarafından, sundukları hizmetlere ilişkin olarak abone ve kullanıcılarla, önceden izinleri alınmaksızın otomatik arama makineleri, fakslar, elektronik posta, kısa mesaj gibi elektronik haberleşme vasıtalarının kullanılması suretiyle pazarlama veya cinsel içerik iletimi gibi maksatlarla haberleşme yapılamaz. İşletmeciler, sundukları hizmetlere ilişkin olarak abone ve kullanıcılarıyla siyasi propaganda içerikli haberleşme yapamazlar”. Yine 6563 sayılı Kanunun 6. maddesine göre ticari elektronik iletiler, alıcılara ancak önceden onayları alınmak kaydıyla gönderilebilir ve bu onay yazılı olarak veya her türlü elektronik iletişim araçlarıyla alınabilir.

Telekomünikasyon İletişim Başkanlığı’na bildirimde bulunmakla yükümlü kılınan yer sağlayıcılar ise; ticari amaçlı hosting (web sahifelerini yüklemek için sunuculara ayrılan alan) hizmeti verenler ile kendi bünyelerinde hosting hizmeti verenler şeklinde iki bünyede toplanmaktadır[4]. 5651 sayılı Kanunun 2. maddesinin (m) bendinde tanımlanan “yer sağlayıcı” firmalar; hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler olup, Kanunun 5. maddesinin ilk iki fıkrası uyarınca, yer sağladığı içeriği kontrol etmek veya hukuka aykırı bir faaliyetin sözkonusu olup olmadığını araştırmakla yükümlü olmayıp, yer sağladığı hukuka aykırı içeriği bu Kanunun 8. ve 9. maddelerine göre haberdar edilmesi halinde yayından çıkarmakla yükümlüdür. Bu hükümle doğrudan bağlantılı özel bir ceza normu bulunmamakla birlikte; teknik açıdan mümkün olduğu halde, erişim engelleme kararının gereğini yerine getirmeyen yer sağlayıcıların sorumluluğu, 5651 sayılı Kanunun 8. maddesinin 10. fıkrasında öngörülmüştür. İlgili hükme göre; koruma tedbiri olarak verilen erişimin engellenmesi kararının gereğini yerine getirmeyen yer sağlayıcılarının sorumluları, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, beş yüz günden üç bin güne kadar adli para cezası ile cezalandırılmaktadır.

Yine 5651 sayılı Kanunun 5. maddesinin 3. fıkrasına göre; yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür[5]. Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmeliğin 4. maddesine göre; “Türkiye Cumhuriyeti sınırları içerisinde erişim sağlayıcı olmak isteyen sermaye şirketleri ile yer sağlayıcı olarak faaliyet göstermek isteyen gerçek veya tüzel kişiler, hizmet vermeye başlamadan önce Kurum tarafından düzenlenecek faaliyet belgesini almakla yükümlüdür”. Maddenin üçüncü fıkrasına göre; Türkiye Cumhuriyeti sınırları içerisinde, yer sağlayıcı faaliyet belgesi almaksızın yer sağlayıcılığı faaliyetinde bulunanların internet erişim hizmeti, Başkanlık kararıyla ilgili erişim sağlayıcı tarafından durdurulacaktır.

Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmelik ise, hizmet sağlayıcı ve aracı hizmet sağlayıcıların[6] elektronik ticaret işlemlerinin yapıldığı ağ üzerinde bulundurmakla yükümlü oldukları genel bilgiler ile sözleşme öncesinde ve sipariş sürecinde alıcılara sunmaları gereken bilgilere ve elektronik ticaret ile ilgili diğer uygulamalara ilişkin usul ve esasları düzenlemektedir. Elektronik iletişim araçlarıyla verilen siparişlerde; hizmet sağlayıcı, siparişin onaylanması aşamasında ve ödeme bilgilerinin girilmesinden önce, ödeyeceği toplam bedel de dahil olmak üzere, sözleşmenin şartlarının alıcı tarafından açıkça görülmesini sağlar ve alıcının siparişini aldığını gecikmeksizin elektronik iletişim araçlarıyla teyit eder[7]. Ancak aracı hizmet sağlayıcıların internet ağı üzerinden gerçekleştirdikleri siparişlere yönelik bilgi verme yükümlülüğü ile mal ve hizmet satışına ilişkin sözleşmeden doğan yükümlülükler ve tedbirleri kapsayan bu Yönetmeliğin öngördüğü hukuki sorumluluk sınırlı tutulmuştur. Yönetmeliğin 2. maddesinin 2. fıkrasında da öngörüldüğü üzere, “…münhasıran elektronik posta, telefon araması, kısa mesaj veya elektronik ortamda doğrudan iletişime imkan veren benzeri bireysel iletişim araçlarıyla yapılan sözleşmelere uygulanmaz”.

İnternet bağlantısı üzerinden pazarlanan/satışa arz edilen ürünleri, alıcı tarafından gönderilen onay kodu neticesinde, öncesinde tespit edilen tutarı, yalnızca ödeme faaliyetini üstlenmekle satıcıya aktaran firmaların hukuki ve cezai sorumluluğu, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunu ile tespit edilmektedir. 6493 sayılı Kanunun 3. maddesinin (d) bendinde tanımlanan “elektronik para kuruluşu”[8], elektronik para ihraç etme yetkisi verilen tüzel kişiyi ifade ederken; aynı maddenin (ü) bendinde tanımlanan “ödeme kuruluşu”[9] ise, ödeme hizmeti sağlamak ve gerçekleştirmek için bu Kanun kapsamında yetkilendirilmiş tüzel kişidir.

Ödeme kuruluşlarının bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması zorunludur[10]. Ayrıca, 6493 sayılı Kanunun 14. maddesine göre; ödeme hizmetleri alanında faaliyette bulunmak isteyen ödeme kuruluşu, Bankacılık Düzenleme ve Denetleme Kurulu’ndan izin almak kaydıyla faaliyette bulunabilir. Anonim şirket şeklinde kurulması şart olan ödeme kuruluşlarının, operatörlerle sözleşme yapsın veya yapmasın, faaliyet belgesi almaksızın Türkiye’de “mobil ödeme” ağını aracı kullanılarak servis (ödeme servisi) sağlayıcı hizmetini üstlenmesi hukuken mümkün değildir[11].

Gerek ödeme kuruluşu ve gerekse elektronik para kuruluşunun 6493 sayılı Kanun kapsamında hukuki denetimi, Bankacılık Düzenleme ve Denetleme Kurumu tarafından yapılmakta ve denetimin kapsamını düzenleyen 21. madde uyarınca bu kuruluşlar, her türlü kayıt, bilgi ve belge ile defter ve belgelerini “gizli dahi olsa” uygun süre ve ortamda Kuruma tevdi ederek inceleme ve denetime hazır hale getirmekle sürekli ve münferiden yükümlü tutulmuştur. Her iki kuruluş için de ortak hüküm niteliği taşıyan ve 6493 sayılı Kanunun altıncı bölümünde düzenlenen bu yükümlülükler, 6493 sayılı Kanunun 23. maddesinin 1. fıkrası ile genişletilmiş ve “Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkan sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur.” şeklinde belge ve kayıtların saklanmasına ve kişisel bilgilerin korunması ile değişikliklerin bildirilmesine yönelik ek tedbirler öngörülmüştür.

Bankacılık Düzenleme ve Denetleme Kurumu’nun cumhuriyet savcılığına bildirimde bulunması suretiyle özel soruşturma ve kovuşturma usulüne tabi tutulan bu kuruluşların, faaliyet belgesi almaksızın ödeme işlemleri yürütmesinde, bilgi ve belgelerin saklanmasında, denetim ve gözetim faaliyetleri sırasında gösterdiği ihmal ve aykırılıklar için hapis ve/veya adli para cezası olmak üzere çeşitli yaptırım usulleri öngörülmüştür[12]. Bu özel soruşturma usulü, hem BDDK’nın denetim etkinliğinin artırılması ve hem de denetim sonrasında belirlenenlerle sınırlı soruşturma başlatılması suretiyle yargının iş yükünün artırılmaması noktasında yerinde olmuştur.

Gerek “mobil ödeme” sistemleri ile alıcının onayını alan ve ödeme miktarını satıcıya aktaran firmaların ve gerekse “mobil pazarlama” olarak adlandırılan usulle ticari faaliyetini internet bağlantıları üzerinden kullanıcılarına ulaştıran firmaların cezai sorumluluğunun tespitini belirleyebilmek amacıyla; suça konu eylemin gerçekleştirilmesine iştirak etmese dahi, bu suçun konusunu oluşturan sistemi (ödeme sistemi gibi), ticari amaçla kullanıcıya sunan ve bu sistemler aracı kılınmak suretiyle alım-satım ilişkisine müdahil olan bu firmalar bakımından, yukarıda sıraladığımız kanunların niteliğine uygun düşecek ölçüde çeşitlendirilebilecek tedbirler ve koruma mekanizmaları ile cezai sorumluluk sahasını genişletmek mümkündür[13].

Mobil ödeme sistemini işleten ödeme hizmeti sağlayıcılarının cezai sorumluluğunu tayin ederken, esasında Özel Hukuk sorumluluğundan bağımsızlaştıramayacağımız bazı başlıklar üzerinde de durulması gerekmektedir. Öncelikle; ödeme hizmeti sağlayan firmaların, tüketiciye veya kullanıcıya sunduğu hizmetin şartlarını, kapsamını veya kullanım oranını belgelendirmesinin, sorumluluk alanının tespiti bakımından kaçınılmaz önemi haiz olduğunu belirtmek isteriz. Ödeme hizmeti sağlayan bu firmaların, asgari düzeyde bir kontrol mekanizması kurmasının, bilgi güvenliğinin denetimi bakımından tartışmasız etki doğuracağı ortadadır; zira tüketiciye gönderilen şifrenin/kodun, hangi koşullarda hizmete açık tutulduğunun öngörülebilirliği, güvenli bir ödeme ağının varlığına inanan ve bu güven ilişkisi neticesinde tarafına iletilen şifreyi/kodu onaylayan tüketicinin sorgusuna açık bir denetim işlevi üstlenecektir. Neticede kullanıcı da, tarafınca onayladığı ödemenin aktarımına dair ilgili firmaya duyduğu güven ilişkisi sebebiyle bu ödeme ağına başvurmaktadır.

Ödeme hizmetini elde ettiği menfaat karşılığında, “hızlı” veya “kolay” olması itibariyle tercih edilebilir kılan bu firmalar, yürütülen aktarım faaliyeti sırasında doğabilecek hukuki sorumluluğu üstlendiklerini gösteren ticari bir profili çizmektedirler. Anonim şirket olarak kurulmaları 6493 sayılı Kanun uyarınca zorunlu olan bu ödeme hizmeti kuruluşlarının, “şeffaflık” ilkesi gereğince de, yürüttükleri tüm ödeme aktarımı faaliyetine yönelik denetime açık ve sorgulanabilir işleyiş sistemini tesis edip benimsemesi zorunludur. İşlem güvenliği tesis etmekle yükümlü olan bu ödeme kuruluşlarının, şifrenin/kodun işlevini denetlemekle yükümlü olması ve tüketici karşısında güven açıklığı oluşturmaması gerekmektedir.

Mal ve hizmet veya sözde, yani gerçekte mesafeli satışa konu mal ve hizmetin bulunmadığı, alıcının dolandırıldığı, mal ve hizmeti alamadığı ödemeler mağdurun faturasına yansıtılmaktadır. Dolayısıyla mağdur, ödemeyi aslında GSM operatörüne yapmaktadır. Bu sözde hizmet GSM operatörleri tarafından sunulmadığına göre, fatura yoluyla alınan ödemeleri GSM operatörü ile anlaşma yapan mobil ödeme firmasına aktarması gerektiğine göre, bu ödemelerin kime ve hangi hesaba aktarıldığı soruları ilgili GSM operatörüne sorulmalı ve operatör de bu sorulara cevap vermek zorunda bırakılmalıdır.

Günümüzde birçok mobil ödeme numarası bulunmakta, bu numaralar her geçen gün daha da artmakta ve bireyler bu yolla sıklıkla dolandırılmaktadır. Bu numaraların açılması, kişi veya kuruluşlara tayin edilmesi gibi konularda TİB’in kontrol, denetim veya incelemesi olup olmadığı, varsa bu numaraların açılışının hangi şartlara tabi tutulduğu, ilgili kişi veya kuruluşlardan belge talep edilip edilmediği hususlarının da önemli olduğu bir gerçektir. Mobil kodu talep eden her ödeme hizmeti sağlayan firmanın kolaylıkla mobil ödeme numarası sahibi olduğu ve bu numaraları hangi şartlar ile niteliklere sahip müşterilerine kullandırdığı sorgulanmadığı, daha da önemlisi bu konuda mobil ödeme yapan firmalara sorumluluk yüklenmediği sürece, internet ve mobil ağlar kullanılmak suretiyle işlenen dolandırıcılık ve bilişim suçlarında artışın önüne geçilemez.

Esasında 6493 sayılı Kanunun da yürürlük amacı; ödeme hizmeti sağlayıcılarının hukuki ve cezai sorumluluk sahalarının tespit edilebilir ve denetlenebilir kılınmasını hedeflemek ve mobil ödeme aktarımının meşrulaştırılmasını, yani hukuki temel yerleştirilmesini sağlamaktır. Çünkü görünürde işlemi tesis eden, ödeme hizmeti sağlayan bu kuruluşlardır. Kolay ve hızlı ödeme imkanı sağlayan bu kuruluşların, tüketicide de salt bu sebeple güven edinmeyi hedeflediği, bu maksatla tanıtım yaptığı ve müşteride güven oluşturduğu ortadadır. Eğer ki, “mobil ödeme” olarak adlandırılan bu hizmeti meslek haline getirmişseniz, yani ticari faaliyetinizin konusu, esasında fiilen “para aktarımı” olarak da adlandırılabilecek bir eyleme yönelik ise, bu işleyişten kar elde ediyorsanız; nasıl sorumsuzluk rejiminin varlığını, yani cezai veya hukuki sorumluluğun yokluğunu ileri sürebilirsiniz?

Neticede; bu sistemlerin ticari hayatta yer aldıkları, para kazanmayı hedefledikleri ve uymak zorunda oldukları kuralların gerekliliği dikkate alındığında, ödeme kuruluşlarının layüsel, yani sorumsuz, yani nimet külfet dengesinde yük üstlenmeyen bir düsturla ilerlemeleri ve iş yapmaları kesinlikle kabul edilemez. Bu tür firmaların da hukuk düzeninde iki yükümlülüğü olmalıdır; kazandıklarından vergi vermek ve ticari hayatlarında başkalarının hak ve hürriyetlerine zarar vermemek, bu konuda kabul edilebilir sorumlulukları üstlenmektir. Hızla gelişen ve insanların yeterli teknik bilgiden yoksun olduğu, birçok yatırımcının agresif para kazanma yolu olarak gördüğü internet üzerinden yürüttüğü muhtelif ticari faaliyetler, kesinlikle devletin denetimi ve gözetimi dışında cereyan edemez. Aksi halde, birçok insanın kabul edilemez mağduriyetler yaşamasının önü açılmış olur ki, tüm bunlar “devlet” kavramının varlık sebebinin ve fonksiyonlarının sorgulanmasına sebebiyet verir. Kamu otoritesi, “ne yapalım sen de kanmasaydın” demek suretiyle işin içinden çıkamaz ve sorumluluktan kaçınamaz.    

Ödeme hizmeti sağlayıcısı için kastedilen elbette “sınırsız sorumluluk” rejimi değildir, ancak sorumluluk sahasının sınırları da hukukun evrensel ilke ve esasları ışığında tayin ve tespit edilmek zorundadır; zira hak-menfaat dengesi uyarınca, kar elde edilen işleyişin karşılığında belirli yükümlülükleri üstlenmekle yükümlü olmak işin doğasında vardır ve nimet-külfet dengesi de bunu gerekli kılar.

Bazı eylemlerden dolayı ceza sorumluluğu doğmasa dahi, sözleşme ilişkisi uyarınca Özel Hukuk sorumluluğu doğması kaçınılmaz olan bu kuruluşlarda sorumluluğun hukuki temeli “ödeme hizmet” sözleşmesine dayanmaktadır. Çünkü asgari ihtimallerde dahi taahhüt edilen yegane yükümlülük, ödeme hizmetine aracılık etmektir. Ödeme hizmeti kuruluşu sıfatıyla ödeme aktarımına dair taahhüdün karşılığında, tüketiciden veya kullanıcıdan menfaat temin edilmekte ve muhtemelen hizmet bedelinin üzerine, aracılık faaliyeti kapsamında (tıpkı havale veya EFT usulü gibi) önceden belirlenmiş bir komisyon bedeli eklenmektedir.

6493 sayılı Kanunun 12. maddesinin (ç) bendine göre ödeme hizmeti, ödeme işleminin yapılmasına dair kullanıcı tarafından gönderilen onayı bilişim veya elektronik haberleşme cihazı aracılığıyla, ödeme hizmeti kullanıcısından mal veya hizmet sağlayıcı kuruluşa ileten ödeme işlemlerini, fatura ödemelerine aracılık edilmesine yönelik diğer hizmetleri ve para havalelerini de kapsamaktadır. Bu sebeple, yürütülen faaliyetin sınırlarını belirleyebilmek adına, kuruluşun organizasyon şemasına kadar, ticari faaliyetin sunumuna dair her türlü işlemde “şeffaflık” ilkesine tabiyet şartı aranmaktadır.

Yalnızca ödeme faaliyetini üstlenmenin, cezai ve hukuki sorumluluk sahasını daralttığı kabul edilemez; zira yürütülen faaliyetten menfaat elde edilmesi, risk paylaşımını (riskin paylaştırılması sorumluluğunu) da beraberinde getirecektir. Ödeme faaliyetine yönelik doğacak cezai veya hukuki risk, tek taraflı olarak kullanıcıya yüklenemez. Kaldı ki, ödeme kuruluşu sıfatıyla üstlenilen kontrol ve denetim yükümlülüğü tek taraflı olarak bertaraf edilemez. Sorumluluk alanının nerede başlayıp nerede bittiği, kullanıcının bilgisine açık olmadığı takdirde, ödeme aktarım faaliyetinin de sıhhatinden şüphe etmek gerekecektir.

Mobil operatörler ile kurulan sözleşme ilişkisi sebebiyle “güvenli ödeme kurumu” sıfatını üstlenen bu firmaların denetimi, 6493 sayılı Kanunla Bankacılık Düzenleme ve Denetleme Kurumu tarafından yapılmaktadır; zira kullanıcının tercih sebebini ve dolayısıyla mağdurun iradesini etkileyen bu “güvenli ödeme kurumu” sıfatını taşıyabilmesi, ancak Kurumun etkin denetim faaliyeti neticesinde şekillenecektir. Faaliyet belgesi olmaksızın ödeme hizmeti sağlayan kuruluşların cezai sorumluluğunu öngören 6493 sayılı Kanun uyarınca, faaliyet belgesi yeterliliğini haiz olması beklenen, faaliyet belgesi alabilmesi için Kanunda aranan koşulları taşıması gereken bu kuruluşların; tüm işlemlerinin “muvazaadan ari” olması, sermayesinin yeterli düzeye erişmesi ve ödeme aktarım faaliyeti için güven ilişkisinden ziyade “teminat” göstermesi gerekmektedir.

Yeri gelmişken, Kanunda geçen faaliyet belgesi olmaksızın Türkiye Cumhuriyeti’nde mobil ödeme hizmetinde bulunan ve bu faaliyet belgesi olmaksızın mobil ödeme kuruluşu ile sözleşme yapan firmaların bu tür Kanuna aykırı faaliyetlerine göz yumulmamalı, bu kapsamda BDDK denetim etkinliğini artırmalı, hem faaliyet belgesi olmaksızın mobil ödeme hizmeti sunan firmalar ve hem de bunlarla çalışan diğer firmalar hakkında gerekli yasal takipleri yerine getirmelidir. Bu noktada, mobil ödeme sunan hakkında gerekli takibi BDDK yapması gerekirken, örneğin telekomünikasyon firması hakkında bağlı olduğu Bilgi Teknolojileri İletişim Başkanlığı gerekli yasal prosedürü işletmelidir.

Mobil hizmetten yararlanan kullanıcıların mağdur olmaması için yürürlüğe giren 6493 sayılı Kanun, ödemeye aracılık eden kuruluşun hukuki ve cezai sorumluluğunu tespit ederken, henüz satıcıya aktarılmadan kaçırılan, yani dağıtılması gerektiği halde alıcısına havale edilmeyen ödeme tutarlarının denetimini de bu yolla sağlayacaktır.

Bilişim sistemleri aracılığıyla dolandırıcılık eylemleri; uygulamada sıklıkla, failin başka bir şahsa ait sosyal medya üzerinden (messenger, yahoo, facebook ve sair) ya da elektronik posta giriş şifrelerini ele geçirerek, şifresini ele geçirdiği şahsın arkadaşlarına kendisini profil sahibi gibi tanıtıp para istemesi, belli bir telefona kontör yüklenmesini talep etmesi veya mobil pazarlama faaliyeti ile uğraşan firmaların unvanını haksız şekilde kullanmak suretiyle hediye çeki/paketi kazandığını bildirmesi gibi çoğaltılabilecek hileli hareketlerle, mağdurun iyi niyetinden veya arkadaşına olan güveninden faydalanarak, ürüne tanımlanan kodu onaylattırmak suretiyle gerçekleştirilmekte ve fail bu yolla açtığı sahte hesap üzerinden ve ürünü satışa arz eden firmadan bağımsız şekilde yarar sağlamaktadır. Bilişim suçlarında bu yöntem “phishing” olarak adlandırılmaktadır. Özet tanımı ile phishing şifre avcılığı olup, spam göndericileri tarafından uygulanan bu yöntemde kullanıcıya gönderilen elektronik posta ile bilgilerini güncellenmesi istenmekte ve posta içinde hazırlanmış kutulara ya da tıklanınca açılan gerçek görünümlü sahte sitedeki kutulara kullanıcı adı ve şifre gibi bilgilerin girilmesi sağlanmaktadır[14].

Sosyal paylaşım platformlarında hesabı bulunan gerçek kişilerin kimlik bilgilerini kullanmak suretiyle sahte kullanıcı hesabı açan ve bu hesap üzerinden mağdur ile iletişime geçen diğer şahıslara hesabın asıl kullanıcısıymış gibi kendisini tanıtan ve aldatıcı hareketlerle ilgili kişilerin banka hesap numaralarını veya kredi kartı bilgilerini ele geçiren veya hediye paketi kazandığından bahisle hileye düşürerek, satış işlemi için gereken onayı temin eden faillerin, TCK m.134’de düzenlenen özel hayatın gizliliğini ihlal, TCK m.243 uyarınca yetkisiz erişime açık olmayan bilişim sistemine hukuka aykırı olarak girme ve sistemde kalma veya TCK m.135 uyarınca kişisel verilerin ele geçirilmesi suçundan ve suçun unsurları tamamlanmışsa TCK m.158/1’in (f) bendi uyarınca bilişim sisteminin aracı olarak kullanılması suretiyle dolandırıcılık[15] suçunun cezalandırılması gerekmektedir.

Benzer bir olayda Yargıtay 11. Ceza Dairesi, 18.03.2010 tarihli, 2007/5408 E. ve 2010/3253 K. sayılı kararında; “…şikayetçi ile eşinin internet ortamında MSN’de iletişim yaptıkları sırada müştekinin eşine ait elektronik posta adresine ait şifreyi bir şekilde elde edip şikayetçi eşiymiş gibi görüşmeye devam ederek onu kandırıp cep telefonu için kontör isteyip şikayetçinin MSN’den gönderdiği kontörleri satmak suretiyle haksız yarar sağlayan sanığın eyleminin bilişim sisteminin araç olarak kullanılması suretiyle 5237 sayılı Türk Ceza Kanunu’nun 158. maddesinin 1. fıkrasının (f) bendi uyarınca dolandırıcılık suçunu oluşturduğunu” kabul etmiştir.

Yine Yargıtay 11. Ceza Dairesi’nin 13.10.2010 tarihli, 2010/7788 E. ve 2010/11083 K. sayılı kararında; “…Sanığın, mağdur S. A. ile adı geçen mağdurun arkadaşı olan İ. D.’in elektronik posta bilgilerini kullanarak elektronik posta yolu ile iletişim kurmak suretiyle kendisini İ. D. gibi tanıtıp, hastası olduğu ve bu nedenle paraya ihtiyacı olduğundan bahisle banka hesap numaraları ve şifrelerini göndermesini istediği, mağdurun şüphelenip ‘seni arayacağım’ diyerek internet kanalıyla görüşmeyi bırakıp arkadaşı İdil'i arayarak gerçeği öğrendiği somut olayda, banka hesap numarasının istenmesi ve öğrenilmesi hazırlık hareketi olup, hesap numarasının öğrenilmesinden sonra bu numaranın kullanılarak çıkar sağlanmaya yönelik icra hareketlerinin başlaması gerektiği ve sanığın bu bilgileri öğrense bile her zaman dolandırıcılık suçunun icra hareketlerine başlanmaktan vazgeçmesinin mümkün bulunduğu, bu nedenle olayda dolandırıcılık suçuna kalkışmaktan söz edilemeyeceği, hazırlık hareketinin kişisel verileri elde etmek suçunu oluşturup oluşturmayacağı, bu konuda dava bulunup bulunmadığı tartışılarak sonucuna göre sanığın hukuki durumunun tayin ve takdirinin gerektiği” belirtilmiştir.

Yer itibariyle Türkiye Cumhuriyeti Devleti’nin denetimi ve otoritesi kapsamına girmeyen bu hukuka aykırı eylemler karşısında, failin kimlik bilgilerine ulaşılamaması sebebiyle kovuşturmaya yer olmadığına dair verilen kararlarla veya erişimin engellenmesine dair verilen mahkeme kararlarının icra edilememesi neticesinde, adına sahte hesap açılan mağdur hukuken çaresiz bırakılmaktadır; zira suça konu bu paylaşım veya mesajın kim tarafından gönderildiğinin tespiti amacıyla, fail tarafından kullanılan iletişim ağının tespitine yarayan IP adresine ulaşılamamaktadır. Cezai soruşturmanın akıbetini tümü ile yabancı internet şirketinin insafına veya o şirketin bulunduğu yere hakim devletin takdir ve değerlendirmesine terk eden bu uygulama sebebiyle; merkezi Türkiye’de bulunmayan ve temsilciliği de olmayan sosyal paylaşım platformlarının kullanıcılarına ait IP adreslerinin temini için, ilgili suç türünden uluslararası cezai istinabe yoluna başvurulması zorunluluk gerektirmektedir.

İnternet ortamında işlenen suçlara yönelik uluslararası ceza istinabe işlemlerinde sıklıkla başvurulan Adalet Bakanlığı’nın 10.07.2013 tarihli ve 69/2 sayılı Genelgesi’nde ise, uyuşmazlığı tamamen çıkmaza sokan ve soruşturmanın akıbetini etkileyen özel hayatın gizliliğini ihlal, hakaret, iftira, banka veya kredi kartı bilgilerini kullanarak işlenen suçlarla ilgili adli yardımlaşma taleplerinin, zararın önemsizliği gerekçesiyle iade edileceğinin bildirildiği görülmektedir. Uygulamada savcılık makamı; şüphelinin internet servis sağlayıcısından temin edilecek “kullanıcı” profiline ait IP bağlantısı üzerinden tespit edilebileceğini ve IP bilgisinin tespiti için, Amerika Birleşik Devletlerinde (ABD’de) faaliyet gösteren yer sağlayıcı bu firmalara (Twitter, messenger veya Facebook gibi) bilgi temini amacıyla talimat yazılması gerektiğini belirtmekle birlikte, Genelgede gösterilen gerekçeyi dayanak alarak kovuşturma olağanının bulunmadığına ve CMK m.172/1 uyarınca şüpheli hakkında kovuşturmaya yer olmadığına karar vermektedir.

Özellikle Twitter, Facebook, MSN (messenger), Yahoo ve sair sosyal paylaşım platformlarında sahte hesap açmak suretiyle gerçekleştirdiği hukuka aykırı eylemleri ile dolandırıcılık suçunu işleyen faillerin, kimlik bilgileri teşhis edilemediğinden bahisle fiilen cezasız kaldığı görülmektedir. Uygulamada; bu tür sosyal paylaşım platformlarının taraf olduğu güvenlik protokolü uyarınca, mahkeme kararı olmasına rağmen “https” ile başlayan URL adreslerine erişimin engellenemediği ve ilgili paylaşımların internet ortamından kaldırılamadığı görülmektedir. Kanunda açıkça “suç” olarak düzenlenmesine rağmen takipsiz ve yaptırımsız kalan bu paylaşım ve mesajların; uluslararası alanda da, internet yoluyla işlenen suçların takibi, faillerin ortaya çıkarılıp delillerin toplanması, yargılama ve infaz konularında mutabakat sağlanamaması, merkezi Türkiye’de bulunmayan ve temsilcilik açmayıp yurtdışından faaliyetlerini sürdüren bu internet şirketlerinden bilgi alınamaması sebebiyle, maddi hakikatin araştırılıp delillerin elde edilememesine ve şüphelilerin sorumlulukları yoluna gidilememesine yol açtığı görülmektedir.

 

[1] 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un 2. maddesinin (c) bendi uyarınca; ticari elektronik ileti, telefon, çağrı merkezleri, faks, otomatik arama makineleri, akıllı ses kaydedici sistemler, elektronik posta, kısa mesaj hizmeti gibi vasıtalar kullanılarak elektronik ortamda gerçekleştirilen ve ticari amaçlarla gönderilen veri, ses ve görüntü içerikli iletilerdir.

[2]  Mesafeli Sözleşmeler Yönetmeliği’nin 5. maddesinde öngörülen bu bildirim zorunluluğunun kapsamı; sözleşme konusu mal veya hizmetin temel nitelikleri, sözleşmenin kurulması aşamasında uzaktan iletişim aracının kullanım bedelinin olağan ücret tarifesi üzerinden hesaplanamadığı durumlarda, tüketicilere yüklenen ilave maliyet gibi madde hükmünde sınırlı sayıda belirlenmiştir.

 

[3] Mesafeli Sözleşmeler Yönetmeliği’nin 20. maddesinin 2. fıkrası uyarınca; “Oluşturdukları sistem çerçevesinde, uzaktan iletişim araçlarını kullanmak veya kullandırmak suretiyle satıcı veya sağlayıcı adına mesafeli sözleşme kurulmasına aracılık edenler, bu Yönetmelikte yer alan hususlardan dolayı satıcı veya sağlayıcı ile yapılan işlemlere ilişkin kayıtları üç yıl boyunca tutmak ve istenilmesi halinde bu bilgileri ilgili kurum, kuruluş ve tüketicilere vermekle yükümlüdür”.

 

[4] İlgili listeye http://www.tib.gov.tr/tr/tr-menu-57-yer_saglayicilar_listesi.html adresinden erişim mümkündür. Erişim tarihi: 25.03.2016.

 

[5]  “Trafik bilgisi” kavramı; 5651 sayılı Kanunun 2. maddesinin (j) bendinde; taraflara ilişkin IP adresi, verilen hizmetin başlama ve bitiş zamanı, yararlanılan hizmetin türü, aktarılan veri miktarı ve varsa abone kimlik bilgileri olarak tanımlanmıştır.

[6]  “Aracı hizmet sağlayıcı” kavramı; Elektronik Ticarette Hizmet Sağlayıcı Ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 4. maddesinin (ç) bendinde, “Başkalarına ait iktisadi ve ticari faaliyetlerin yapılmasına elektronik ticaret ortamını sağlayan gerçek ya da tüzel kişiler” olarak tanımlanmıştır.

 

[7] Elektronik Ticarette Hizmet Sağlayıcı ve Aracı Hizmet Sağlayıcılar Hakkında Yönetmeliğin 4. maddesinin 1. fıkrasında, siparişin içeriği ve usulü belirlenmiştir.

 

[8] Bankacılık Düzenleme ve Denetleme Kurumu’nun resmi internet adresinde ilan edilen başlıca elektronik para kuruluşları;https://www.bddk.org.tr/WebSitesi/turkce/Kuruluslar/Elektronik_Para_Kuruluslari/Elektronik_Para_Kuruluslari.aspx

[9] Bankacılık Düzenleme ve Denetleme Kurumu’nun resmi internet adresinde ilan edilen başlıca ödeme kuruluşları; https://www.bddk.org.tr/WebSitesi/turkce/Kuruluslar/Odeme_Kuruluslari/Odeme_Kuruluslari.aspx

[10] Bu sorumluluk kaydı, 6493 sayılı Kanunun m.14/2’nin (e) bendinde öngörülmüştür.

[11] Mobil ödeme servisi sağlayıcılarına örnekleyecek olursak; http://www.3pay.com/tr/Bireysel_3PayNedir.aspx adlı erişim adresinden ilgili kurumun çeşitli operatörlerle yürüttüğü faaliyeti görebiliriz.

 

[12] 6493 sayılı Kanunun yedinci bölümünde, yaptırımların içeriği ile soruşturma ve kovuşturma usulüne yönelik düzenlemeler mevcuttur.

[13] Benzer düzenleme, 5607 sayılı Kaçakçılıkla Mücadele Kanunu’nun 3. maddesinin 5. fıkrasında da öngörülmekle; 5607 sayılı Kanunun 3. maddesinin 1. ve 4. fıkralarında tanımlanan fiillerin işlenmesine iştirak etmeksizin, bunların konusunu oluşturan eşyayı, bu özelliğini bilerek ve ticari amaçla satın alan, satışa arz eden, satan, taşıyan veya saklayan kişi, bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacağı belirtilmiştir.

 

[14] Murat Volkan Dülger, Bilişim Suçları ve İnternet iletişim Hukuku, 2. Baskı, Seçkin Yayınevi, Ankara, 2012, s.548.

 

[15] Yargıtay 11. Ceza Dairesi’nin 23.03.2009 tarihli, 2008/16004 E. ve 2009/2891 K. sayılı kararında; “…bilişim sistemi, verileri toplayıp yerleştirdikten sonra bunları otomatik işlemlere tabi tutma olanağını veren manyetik sistemler olup, bu sistemlerin araç olarak kullanılıp gerçek bir kişinin hileli hareketlerle kandırılıp, çıkar sağlanması halinde bilişim sistemlerinin kullanılması suretiyle dolandırıcılık suçunun oluşacağı” kabul edilmiştir.