API Key ile Algoritmik Dolandırıcılık: Kripto Paralarla TCK 158

Giriş: Dijitalleşmenin Getirdiği Yeni Tehdit

Geleneksel dolandırıcılık yöntemleri artık yerini yüksek teknolojili, kod tabanlı ve ulusal sınırları aşan dijital dolandırıcılık türlerine bırakmış durumda. Özellikle kripto para platformları, API Key erişimleri, algoritmik işlem botları, DeFi (merkeziyetsiz finans) uygulamaları gibi araçlar, hem yatırımcıların ilgisini çekiyor hem de suçlular için yeni fırsatlar doğuruyor.

1. 🔐 API Key Nedir ve Nasıl İstismar Edilir?

API Key (Application Programming Interface Anahtarı), bir kullanıcının üçüncü taraf bir yazılım ya da uygulamaya kendi dijital verilerine sınırlı veya tam erişim yetkisi verdiği şifreli kimlik kodudur. Özellikle kripto para borsalarında, botlar veya yatırım takip yazılımları tarafından portföy verilerinin izlenmesi ya da otomatik alım-satım işlemlerinin yapılabilmesi için kullanıcı tarafından API key oluşturulur.

📍 Hukuki Tanımlama ve Suçla Bağlantısı:

Türk Ceza Kanunu açısından API Key’lerin kötüye kullanımı, TCK 244 (Bilişim sistemine hukuka aykırı müdahale) ve dolandırıcılık kastı varsa TCK 158/1-f (bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık) kapsamında değerlendirilmektedir. Buradaki temel mesele, API Key’in fail tarafından meşru görünüm altında fakat gizli kast ile edinilmiş olmasıdır.

📘 Prof. Dr. Faruk Turhan, bilişim suçlarına dair akademik açıklamasında şu ifadeyi kullanır:
“Veriye erişim yetkisinin teknik olarak verilmiş olması, her zaman hukuki yetkiyi doğurmaz; iyi niyet sınırlarının ötesinde kullanım, cezai sorumluluğu tetikler.”
(Kaynak: Bilişim Hukukunun Güncel Meseleleri, s. 142)

1.1 Teknikten Suça: API Key Nasıl İstismar Edilir?

1. Kullanıcının Güveninin Kazanılması:
   Saldırgan, yatırım danışmanlığı, alım-satım robotu ya da sinyal paylaşımı gibi meşru görünüm yaratan bir platform veya kişi kılığına girer.

2. API Key Talebi:
   Kullanıcıya, sadece izleme veya işlem yapma yetkili bir API anahtarı oluşturması istenir. Kullanıcıdan bu anahtar ve “secret key” paylaşması talep edilir.

3. Arka Kapı Kodlar ile Sistem Erişimi:
   Bu key’ler, arka planda çalışan bir yazılım aracılığıyla analiz edilir ve API’nin eriştiği cüzdan hareketleri, işlem geçmişi, varlık miktarı öğrenilir.

4. Yetki Dışı Emir Gönderimi / Cüzdan Boşaltma:
   Eğer işlem veya para çekme yetkisi de verilmişse, algoritma aracılığıyla yüksek komisyonlu işlemler ya da cüzdan transferi gibi telafisi zor sonuçlar doğurabilecek hamleler yapılır.

1.2 Hukuki Değerlendirme: Sözleşme Görünümü Altında Gizlenen Kast

Birçok dolandırıcılık olayında fail, kullanıcıyla dijital bir hizmet sözleşmesi veya kullanım şartı üzerinden API erişimi elde eder. Ancak bu durum, “hukuka uygunluk nedeni” oluşturmaz. Zira, kast en başta kötüye kullanım amacına yöneliktir.

• Borçlar Hukuku açısından bu ilişki “hizmet sözleşmesi” gibi gözükse de,

• Ceza Hukuku açısından failin gerçek amacı veriyi ele geçirerek mağdura zarar vermektir.

API Key istismarı genellikle “iradeyi sakatlayan davranışlar” yoluyla edinilmiş teknik erişim olarak değerlendirildiğinden, burada hem haksız fiil, hem de cezai sorumluluk doğar. Yürürlük TCK 158 manasında çokça suç ihlaline sebep olan bir eylem tipidir.

2. Algoritmik İşlem (Bot Trading) Kılıfıyla Yapılan Yatırım Tuzakları (Suçları)

Yapay zekâ, makine öğrenmesi ve algoritmik işlem sistemleri gibi kavramlar, yatırımcılara “bilimsel yatırım” izlenimi verir. Ancak bu alanda denetimsizlik fazladır.

Dolandırıcılar genellikle şunları yapar:

• Yüksek takipçili sosyal medya hesapları ile “%90 başarı oranı” gibi iddialarla bot reklamı yapar.

• Ücretsiz demo vererek kullanıcıyı ikna eder.

• Premium erişim için kredi kartı veya kripto ödeme ister.

• Son aşamada ya kullanıcı fonları boşaltılır ya da bot çökertilir ve iletişim kesilir.

Bu tarz dolandırıcılıklar hem Türk Ceza Kanunu hem de Sermaye Piyasası Hukuku açısından birçok suç unsurunu bir arada barındırır.

3. Kripto Paralarla Yapılan Dolandırıcılığın Benzersiz Gücü: İz Sürmenin Zorluğu

Kripto para dolandırıcılıklarında;

• İşlem merkeziyetsizdir, yani tek bir kurum ya da aracı yoktur.

• Para transferleri, soğuk cüzdanlara ya da karıştırıcı (mixer) yazılımlara gönderilerek izlenemez hale getirilir.

• Dolandırıcılık yapan kişi, VPN, sahte kimlik, offshore e-mail adresleri ile iz bırakmadan ortadan kaybolur.

Bu da bu tür suçları hem tespit etmeyi hem de cezalandırmayı geleneksel suçlara göre çok daha zor hale getirir.

4. Bu Suçlar Hangi Kanunlara Girer? (Hukuki Dayanaklar)

API key kullanılarak gerçekleştirilen kripto para dolandırıcılığı ve algoritmik manipülasyonlar, hem ceza hukuku, hem idare hukuku, hem de mali denetim alanlarını ilgilendiren çok yönlü suçlardır. Bu nedenle aşağıdaki kanunlarda doğrudan veya dolaylı olarak düzenlenmiş hükümler devreye girmektedir:

4.1 Türk Ceza Kanunu (TCK)

• TCK m.158/1-f: Bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık.

  API ile yatırımcıdan veri toplayarak cüzdan erişimini kötüye kullanmak bu kapsamda değerlendirilir.

• TCK m.244: Bilişim sistemine hukuka aykırı müdahale, sistemi bozma, verileri yok etme veya erişilmez kılma.

• TCK m.245/2: Başkasına ait banka veya ödeme aracının izinsiz kullanılması.

• TCK m.220: Suç işlemek amacıyla örgüt kurma – Dolandırıcılık eylemleri organize biçimde yürütülüyorsa devreye girer.

4.2 İcra ve İflas Kanunu (İİK)

• İİK m.331 vd.: Hileli iflas ve borçlunun malvarlığını kaçırmaya yönelik hareketleri, kripto varlıklar ile tespit edildiğinde bu kapsama girer.

4.3 Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 Sayılı Kanun)

• Kripto para üzerinden gerçekleştirilen işlemler, şüpheli işlem bildirimi yükümlülüğü kapsamındadır.

• Bir kimsenin API key üzerinden cüzdan kontrolü sağlayarak gelir elde etmesi ve bunu sistem dışında dövize/fiat’a çevirmesi halinde, bu kazanç aklama şüphesi doğurur.

• MASAK Genel Tebliği’ne göre kripto varlık hizmet sağlayıcılar ve finansal kuruluşlar, bu tür şüpheli işlemleri en geç 10 iş günü içinde MASAK’a bildirmekle yükümlüdür.

4.4 KVKK ve 5237 sayılı TCK m.136:

API key aracılığıyla elde edilen cüzdan bilgileri ve işlem geçmişi, kişisel veri olarak kabul edilir. İlgili kişinin rızası olmaksızın bu verilerin kaydedilmesi veya paylaşılması, verilerin hukuka aykırı olarak ele geçirilmesi suçu kapsamında değerlendirilir.

4.5 Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketleri Kanunu (6361):

Kripto para işlemlerinde API key üzerinden sağlanan işlem yetkileri, yatırım vaadiyle bir finansal hizmet gibi sunuluyorsa ve şirketleşmiş bir yapı varsa, bu kanun kapsamındaki denetim ve izin yükümlülükleri gündeme gelir.

Bu suçlar yalnızca ceza yargılamasında değil, vergi incelemesi, mali denetim, suç gelirlerinin aklanması, idari para cezaları ve hatta yaptırım listelerine alınma gibi birçok farklı hukuki sonucu doğurur. API Key istismarının hukuki boyutu, sadece TCK ile sınırlı olmayıp; çoklu disiplinler arası değerlendirme gerektirir. Ayrıca SPK mevzuatı uyarınca, lisanssız yatırım danışmanlığı, yatırım hizmeti sunumu ve izinsiz portföy yönetimi de suçtur.

5. Dijital Delil Zincirinin Korunması (Chain of Custody) – Mahkeme Önünde Geçerli Dijital Delil Nasıl Oluşturulur?

Ceza yargılamasında dijital delillerin hukuka uygun elde edilmesi kadar, delil zincirinin eksiksiz korunması (chain of custody) da yargılamanın kaderini belirler. Özellikle kripto varlık dolandırıcılığı, sosyal mühendislik saldırıları veya şantaj içerikli verilerin analizinde elde edilen dijital deliller, eğer usulüne uygun muhafaza edilmemişse, mahkeme tarafından hükme esas alınamaz.

Hukuki Zemin:

• Ceza Muhakemesi Kanunu m. 217 gereği, hâkim hükmünü sadece duruşmaya getirilen ve hukuka uygun olarak elde edilen delillere dayandırabilir.

• Anayasa m. 38 ve AİHS m.6 uyarınca, sanığın adil yargılanma hakkı ihlal edilemez; hukuka aykırı deliller bu hakkı zedeler.

• Doktrinde bu husus, “delilin usulüne uygun elde edilmesinin yeterli değil, zincirleme delil korumasının da garanti edilmesi gerekir” ilkesiyle açıklanır.

Teknik Yöntemler:

1. Delil Toplama Aşaması:

   • Dijital delil ilk olarak alınırken hash değeri (SHA-256 gibi) alınır.

   • Orijinal dosya değiştirilmeden, bit düzeyinde (bitstream) imaj alınarak kopyalanır.

2. Delilin Saklanması ve Taşınması:

   • Veri, salt okunur ortamda, delil poşetiyle ve mühürle saklanır.

   • Taşıma sırasında delil kayıt defteri (custody log) oluşturulur; kimin elinde, ne kadar süreyle olduğu kayıt altına alınır.

3. Mahkemeye Sunulma Aşaması:

   • Delilin kaynağı, alındığı yer, tarih-saat, hash doğrulaması, orijinallik raporu bilirkişi eşliğinde sunulur.

   • Gerekirse ulusal veya uluslararası bilirkişi sistemleri (TÜBİTAK-BİLGEM, Interpol Veri Laboratuvarları) destek alınarak sunulabilir.

Bu aşamaların herhangi birinde eksiklik olması, delilin sahtelenmiş olabileceği iddiasına açık kapı bırakır ve yargılamayı sakatlayabilir. Özellikle kripto para dolandırıcılıkları gibi yüksek teknik nitelik taşıyan suç tiplerinde, delil zincirinin korunması hem savcılık hem de müdafii açısından yargılama taktiğinin temelini oluşturur.

• Adli Bilişim Hukuku, Algoritmik Dolandırıcılıkla Mücadelede En Güçlü Silahınızdır
  Dolandırıcılığın kripto para ile yapıldığı her olayda teknik izler bırakılır. Bu izlerin bilimsel, sistematik ve uluslararası yöntemlerle incelenmesi için siber suçlara odaklı adli bilişim desteği şarttır. Avukat Orhan Önal, her bir adli süreci teknik altyapı desteğiyle yöneterek delillendirme, rapor analizi ve bilirkişi değerlendirmelerine etkili şekilde müdahil olur.

Bu tarz siber dolandırıcılıklarda birden fazla teknik katman (kriptografi, otomasyon, siber mühendislik) olduğu için ceza avukatı ile birlikte adli bilişim uzmanı eşliğinde çalışmak gerekir.

6. Avukat ÖNAL ile Bu Suçlara Karşı Etkin Hukuki Mücadele

Avukat Orhan Önal, İzmir merkezli hukuk bürosunda, kripto varlık dolandırıcılığı, bilişim sistemleriyle işlenen suçlar ve adli bilişim temelli savunmalarda uzmanlaşmıştır.

📌 Özellikle şu alanlarda kapsamlı hizmet sunmaktadır:

• Kripto para cüzdanı boşaltılması

• API key ile zimmet / dolandırıcılık

• Algoritmik yatırım botu mağduriyetleri

• DeFi ve NFT dolandırıcılığı

• Sosyal medya aracılığıyla yürütülen yatırım vaadi dolandırıcılıkları

Tüm bu durumlarda cezai süreçlerin yanı sıra maddi tazminat davaları da açılmakta ve mağdurun zararı geri alınmaya çalışılmaktadır.

7. Adli Bilişim Perspektifinden Kripto Dolandırıcılık İncelemesi: Log Analizi, IP Takibi ve Cüzdan İzleme Teknikleri

Kripto varlıklar üzerinden gerçekleştirilen algoritmik dolandırıcılıklar, sadece ceza hukuku perspektifinden değil, adli bilişim disiplini çerçevesinden de değerlendirilmelidir. Suçun dijital izlerinin ortaya çıkarılması, çoğu zaman klasik delil araçlarından çok daha karmaşık süreçler gerektirir.

7.1. Log Analizi: Dijital Ayak İzlerinin Haritası

Dolandırıcılığın gerçekleştiği web arayüzü, borsa platformu ya da yatırım botunun barındığı sunucuya ait erişim logları, olayın zaman çizelgesini ortaya koyar.

Hangi IP’lerden bağlantı sağlandığı

Kullanıcı davranışları (tıklama, API çağrısı, komut gönderme)

Bot davranış örüntüleri (otomatik çekim, sahte emir tetikleyici kodlar)

Bu loglar, sistemde otomatikleştirilmiş dolandırıcılık yapıldığını kanıtlamak için kullanılır.

7. 2. IP ve VPN Analizi: Sahte Kimliğin Ardındaki Gerçek

Dolandırıcılar genellikle VPN veya proxy sunucuları kullanarak kimliklerini gizler. Ancak gelişmiş adli analizlerle:

IP eşleştirme

WebRTC sızıntısı analizi

DNS sorgu geçmişi

Mobil cihazların konum geçmişi

gibi yöntemlerle gerçek fiziksel kullanıcıya ulaşmak mümkün olabilir.

7. 3. Cüzdan İzleme ve Transfer Zinciri Analizi

Kripto paralar, blockchain kayıtları sayesinde açık ama anonim bir iz bırakır. Adli bilişim uzmanları, özel yazılımlar kullanarak:

Soğuk cüzdan rotaları

Karıştırıcı (mixer) kullanımı

Şüpheli borsalara yönlendirilen transferler

Dark web satış verileri

gibi unsurları ortaya koyabilir. Özellikle şantaj, ifşa ve para transferi içeren olaylarda, cüzdan iz sürümü (wallet tracing) suçun delillendirilmesinde kritik rol oynar.

7.4. Kod Analizi ve Sahte Algoritma İncelemesi – Yazılımın Suç Unsurunu Taşıyıp Taşımadığı Nasıl Tespit Edilir?

Kripto varlıklarla bağlantılı dolandırıcılık suçlarının temelinde yer alan algoritmalar, çoğu zaman yatırımcının güvenini kazanmak amacıyla kurgulanmış sahte işlem mantıkları ve önceden belirlenmiş manipülatif yazılım blokları içerir. Burada hedef, yatırımcının “otomatik işlem” yanılsaması içinde bilinçli şekilde zarara uğratılmasıdır.

Bu noktada adli bilişim uzmanları ve teknik bilirkişiler, söz konusu yazılımın doğası gereği dolandırıcılığa elverişli olup olmadığını incelemekle yükümlüdür. Türk Ceza Kanunu madde 157 ve 158 çerçevesinde değerlendirilen bu suç tipinde, failin kastını ortaya koymak adına kod analizinin metodolojik ve hukuken geçerli şekilde yapılması elzemdir.

7.4.1 Hukuki Dayanak ve Doktriner Yaklaşım:

• Suçun oluşumu için “hileli davranış”ın bilişim aracıyla sistematik olarak yapılması gerekir.

• Kod içerisinde “kar oranı yüksek göster”, “risk düşük yaz”, “gerçek emir yerine simülasyon oynat” gibi manipülasyon içeren fonksiyon blokları yer alıyorsa, bu TCK 158/1-f kapsamında nitelikli dolandırıcılık suçu oluşur.

• Yazılımın “otomatik ticaret” kılıfıyla işlediği “kişiyi aldatmaya yönelik algoritmik işlem” analizi, ceza hukukunda araç ile amaç arasındaki bağı belirlemek açısından önemlidir.

7.4.2 Teknik İnceleme Aşamaları:

1. Kod bütünlüğünün hash değeriyle korunması

2. Geri mühendislik (reverse engineering) ile gömülü komutların ayrıştırılması

3. Algoritmanın gerçek zamanlı emir üretip üretmediği test edilir

4. Yanıltıcı arayüz (fake UI) veya önceden belirlenmiş veri akışı var mı incelenir

5. Yazılımın API üzerinden hangi parametreleri gönderdiği, bu parametrelerin kullanıcının izni dışında sistemden emir çıkarıp çıkarmadığı analiz edilir

Bu değerlendirme sonucunda, kodun suçun asli aracı olduğu yönünde teknik ve hukuki kanaat oluşursa, bu durum doğrudan kastın varlığına delalet eden teknik veri olarak mahkemeye sunulabilir.

Sonuç

Algoritmik ve API tabanlı dolandırıcılık yöntemleri teknik görünümlerinin arkasına saklansa da, amaç klasik dolandırıcılıktan farklı değildir: Aldatma yoluyla maddi menfaat elde etmek.

Eğer siz de benzer bir mağduriyet yaşadıysanız veya şüphe duyduğunuz bir yatırım aracıyla karşılaştıysanız, mutlaka halkın genel deyimi ile uzman bir siber suç avukatı yani adli bilişim hukuku, dijital delilleri irdeleyen, adli bilişim ceza hukuku çalışan bir avukata başvurun.

🔍 Unutmayın: Erken başvuru ve delil korunması, geri dönüşü olmayan zararların önüne geçebilir.

• Son Uyarı;

  • API key üzerinden gerçekleştirilen algoritmik kripto dolandırıcılığı, yalnızca TCK kapsamında bilişim ve dolandırıcılık suçlarını değil, aynı zamanda kara para aklama şüphesi doğurduğu için 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun çerçevesinde MASAK yükümlülüklerini ve bildirim zorunluluğunu da tetikleyebilir.