NCMEC Davalarında Kritik Hatalar & Beraata Giden Savunma

Türkiye’de Soruşturma Aşaması – Kırılgan Gerçeklik ve Teknik-Hukuki Yoğunluk

NCMEC ihbarları üzerine yürütülen soruşturmalar, Türk ceza muhakemesi bakımından özel bir dikkat gerektirir; zira delilin ilk kaynağı yabancı bir kuruluş olup, delilin üretim koşulları Türk hukuk normlarına göre şekillenmemektedir. Bu nedenle soruşturma aşaması, bir yandan CMK hükümleri çerçevesinde maddi gerçeğin araştırılması zorunluluğunu, diğer yandan adli bilişim incelemesinin teknik gerekliliklerini aynı anda karşılamak durumunda olan kırılgan bir süreçtir.

Aşağıda, soruşturma evresinde sıklıkla karşılaşılan hatalar ile bunların Türk ceza yargılamasına etkileri, hem hukuki hem teknik açıdan sistematik biçimde incelenmektedir. Bu yaparken de Avukat Orhan ÖNAL’ın “-NCMEC hakkında yayımlanmış özel rehber kitabından-“ da esinlenilmiştir.

1. Soruşturmanın Başlangıcı: CMK 160’ın Uygulanmaması

NCMEC ihbarı savcılığa ulaştığında yapılması gereken ilk işlem, ihbarın niteliğini değerlendirmektir. CyberTip kaydı, CMK 158 anlamında “ihbar” niteliği taşır ancak:

• Suçun işlendiğini göstermez,

• Failin kimliğini göstermez,

• Delilin kendisini içermez,

• Cihaz veya kullanıcıyla doğrudan bağlantı kurmaz.

CMK 160/2’de savcıya yüklenen “maddi gerçeği araştırma” yükümlülüğünün gereği olan teknik inceleme ve doğrulama adımları çoğu zaman uygulanmadan doğrudan şüpheli hakkında arama, elkoyma veya gözaltı işlemlerine geçildiği görülmektedir. Bu durum hem CMK’nın ruhuna hem de AİHM’in Bykov v. Russia kararında vurgulanan “delil bütünlüğü” ve “usule uygunluk” ilkelerine aykırıdır.

2. Arama ve Elkoyma Sürecindeki Hatalar: CMK 119 – 127 – 134 İlkesel Sıralaması

Bir NCMEC ihbarı sonrası şüphelinin konutunda veya işyerinde yapılan aramalarda en sık karşılaşılan hata, arama gerekçesinin soyut kalmasıdır. Arama kararı şu unsurları açıkça içermelidir:

• Şüpheli olduğu iddia edilen eylem,

• Eylemin hangi cihazda işlenmiş olabileceği,

• CyberTip içeriğinin teknik niteliği,

• Arama işleminin neden gerekli olduğu.

Ne yazık ki uygulamada birçok arama kararı “NCMEC bildirimine istinaden…” şeklindeki son derece yetersiz bir gerekçeye dayanmaktadır. Bu tür kararlar, CMK 119’un gerekçe zorunluluğunu yerine getirmediği için hukuka aykırıdır.

Elkoyma aşamasında yapılan bir diğer yapısal hata ise, CMK 127’ye aykırı şekilde cihazın imajının alınmadan götürülmesidir. Cihaz imajının alınması zorunluluğu CMK 134’te açıkça düzenlenmiş olup, imaj alınmadan yapılan incelemeler adli bilişim açısından geri dönüşü olmayan delil kayıplarına yol açmaktadır.

Burada Av. Orhan ÖNAL’ın daha önce saptadığı önemli nokta şudur:
“Arama ve elkoyma işlemlerinin usulsüzlüğü, dijital delilin hukuka aykırı hâle gelmesine sebep olur; bu durumda mahkûmiyet değil, takipsizlik veya beraat gündeme gelmelidir.”

Bu tespit Yargıtay’ın 2019/2748 E., 2020/1246 K. kararındaki şu ifadeyle de uyumludur:

“Arama ve elkoyma işlemlerinin usulüne uygun yapılmadığı durumlarda, dijital materyaller delil niteliğini kaybeder.”

3. Cihaz İncelemesi Yapılmadan Yürütülen Soruşturmalar (Türkiye’de En Yaygın Hata)

Türkiye’de NCMEC dosyalarında en kritik hata şudur:

Cihazlar üzerinde CMK 134’e uygun adli bilişim incelemesi yapılmadan iddianame düzenlenmesi.

Bu durumun hukukî sonuçları çok ağırdır:

• Fail tespiti yapılamaz.

• Hash eşleşmesi doğrulanamaz.

• Görüntü içeriği incelenemez.

• Kullanıcı farkındalığı (kast) belirlenemez.

• Thumbnail/caching/auto-sync gibi masum senaryolar ayırt edilemez.

• Cihazı farklı bir kişi kullanmış olabilir.

• Zararlı yazılım ihtimali yok sayılamaz.

CMK 217’nin bağlayıcı ifadesi uyarınca mahkeme, ancak duruşmada ortaya konulan delillere göre karar verir. Cihaz incelemesi yoksa delil de yoktur.

AİHM’in “Söderman v. Sweden” kararının şu ilkesi burada önemlidir:

“Dijital içeriklerde kast ve kullanıcı iradesi ortaya konmadan mahkûmiyet kurulamaz.”

4. Trafik Verilerinin Değerlendirilmesindeki Teknik Çöküş: IP ve CGNAT Gerçekliği

Türkiye’de kullanılan CGNAT sisteminde binlerce kişi aynı IP havuzunu paylaşır. Bu nedenle bir CyberTip kaydında görünen IP adresi failin kimliğini göstermez. Failin IP ile eşleştirilebilmesi için:

• Port bilgisi,

• Zaman damgası,

• Operatörün log kayıtları,

• Cihaz MAC adresi,

• Kullanıcı hesabı bilgileri

gerekir.

Ancak operatör kayıtları çoğu zaman saniyeler düzeyindeki kaymalar nedeniyle sağlıklı değildir.

Yargıtay 12. CD’nin 2023/……… K. kararında şu ifadeye yer verilmiştir:

“Tek başına IP adresi sanığın suçu işlediğini göstermez; cihaz ve kullanıcı bilgisi ile desteklenmeyen log verileri hükme esas alınamaz.”

Bu karar, Türkiye’de CyberTip dosyalarındaki temel problemi birebir karşılamaktadır.

5. Soruşturma Evresinde Kastın Tespitine Yönelik Yanlış Yaklaşımlar

Çocuk istismarı görüntülerine ilişkin soruşturmalarda, savcılık makamlarının zaman zaman kast unsurunu hiç araştırmadan iddianame düzenlediği görülmektedir. Oysa TCK 21 gereği kast, ceza sorumluluğunun çekirdeğidir.

Kastın tespiti için şu sorular yanıtlanmalıdır:

• Şüpheli görüntüyü bilerek mi indirdi?

• Görüntü cihazda nasıl oluştu?

• Görüntü şüpheli tarafından açıldı mı?

• Görüntü önizleme (thumbnail) mi, yoksa gerçek dosya mı?

• Cihazda arama geçmişi var mı?

• Görüntüyü cihazdaki bir uygulama mı üretti?

Bu soruların hiçbiri CyberTip raporunda yer almaz. Dolayısıyla kastın ispatı ancak adli bilişim raporu ile mümkündür.

Bu konuda Av. Orhan ÖNAL’ın defalarca dile getirdiği temel ilke şudur:

“Bir dosyanın cihazda bulunması, failin onu bilerek ve isteyerek bulundurduğu anlamına gelmez.”

6. Soruşturma Aşamasında Hukuka Aykırı Delil Sorunu

Hukuka aykırı deliller Türk ceza muhakemesinin hiçbir aşamasında kullanılamaz (CMK 206, 217).
NCMEC dosyalarında hukuka aykırılık üç temel noktada ortaya çıkar:

1. Arama-elkoyma kararı yetersiz gerekçeyle alınmışsa, delil geçersizdir.

2. Cihazdan imaj alınmamışsa, delil yoktur.

3. CyberTip kaydı doğrulanmamışsa, delilin kaynağı meçhuldür.

Bu üç durumdan biri dahi gerçekleştiğinde mahkûmiyet kararı verilmesi hukuken mümkün değildir. Bu hususta da yine somut olayı özelliklerine ve tüm ayrıntılarına göre avukatınız ile çok etkin ve titiz bir şekilde savunma argümanları hazırlamanız telafisi imkansız hak kayıplarının önüne geçmek için şarttır.

Yargıtay Ceza Genel Kurulu’nun 2017/…..E., 2019/…..K. kararında:

“Hukuka aykırı delil ile desteklenen bir mahkûmiyet, adil yargılanma hakkını ihlal eder.”

denilmiştir.

7. Avukatın Müdahalesi: Dijital Delil Odaklı “Teknik + Hukuki Bütünleşik Savunma Modeli”

(NCMEC Soruşturmalarında Teknik İnceleme, CMK 134 Süreç Yönetimi, IP–CGNAT Analizi ve Beraat/Takipsizlik Stratejileri)

NCMEC ihbarları ve dijital cinsel istismar suçlarında savunmanın temeli, klasik ceza hukukunun yetmediği; teknik delil incelemesi, adli bilişim metodolojisi ve CMK’nın usul güvencelerini aynı potada birleştiren hibrit bir savunma mimarisi gerektirir.

Bu nedenle Av. Orhan ÖNAL’ın uygulamada geliştirdiği model, Türkiye’de NCMEC dosyalarında en güçlü savunma çerçevelerinden biri olarak öne çıkmaktadır. Modelin esası, her bir dijital delilin varlığının “hukuki geçerlilik + teknik doğruluk” testinden geçirilmesi ilkesine dayanır.

Aşağıdaki alt başlıklar bu sistematik modelin bütününü ortaya koyar:

7.1. Savunmanın İlk Teması: CyberTip Üretim Sürecinin Teknik Teşhisi

– Hash Eşleşmesi, Thumbnail/Yalancı Görseller, Cloud Senkronizasyonu, Otomatik İndirme –

Savunmanın başlangıcı, CyberTip kaydının orijin, üretim mantığı ve doğruluk katsayısı üzerinden teknik sorgulamasıdır. Avukat, ABD’deki platformun:

• hangi algoritmayla hash tespiti yaptığı,

• hangi görselin gerçek, hangisinin manipülatif/thumbnail olduğu,

• bildirimin hangi kullanıcı hareketinden doğduğu,

• raporun otomatik mi manuel mi oluşturulduğu

gibi unsurları inceleyerek savcılık aşamasının yönünü belirler.

Neden önemlidir?

Çünkü hash çakışması ihtimali, otomatik senkronizasyon, önbellek oluşumu, yanlış bayraklama (false positive) savunmayı kökten değiştiren olgulardır. Bu aşama doğru yapılırsa, çoğu dosyada daha baştan “bu ihbar teknik olarak doğrulanamaz” sonucu ortaya çıkmaktadır.

7.2. CMK 134 Kapsamında Cihaz İncelemesinin “Mutlak Şart” Olduğunun Vurgulanması

– İmaj Alma, Write Blocker Kullanımı, Delil Zinciri (Chain of Custody) Analizi –

Avukatın temel müdahalesi, savcılığın cihazın imajını almadan işlem yapmasını teknik ve hukuki yönden durdurmaktır.

Bu kapsamda avukat:

• Cihaz imajının alınmasını,

• Write-blocker kullanılmasını,

• İnceleme sırasında delil zincirinin korunmasını,

• Log ve metadata analizinin yapılmasını,

• Görsellerin gerçek-tarih bilgisinin doğrulanmasını

talep ederek CMK 134’ün içini doldurur. Bu nokta, mahkemenin beraat/takipsizlik kararını belirleyen en kritik savunma kaldıraçlarından biridir.

7.3. IP – Port – CGNAT Kayıtlarının Teknik Çürütülmesi

– Ortak IP Havuzu, Modem Paylaşımı, Zaman Farkları, Çok Kullanıcılı Erişim –

Savunmanın teknik ayağının en önemli bölümü, Türkiye’de binlerce kişiyi aynı havuzda toplayan CGNAT sistemi nedeniyle IP eşleştirmelerinin tek başına delil olamayacağını ortaya koymaktır.

Avukat şu soruları sorar:

• Port numarası var mı?

• Operatör log kayıtlarında saniye bazlı kayma mevcut mu?

• Modem ortak kullanılıyor mu?

• WiFi şifresi üçüncü kişilerce biliniyor mu?

• Aynı saat diliminde başka kullanıcı bağlantıları var mı?

Bu analiz, savcılığı çoğu zaman “IP kesin delil değildir” sonucuna götürür.

7.4. Kast Unsurunun Bilimsel ve Adli Bilişime Dayalı Çürütülmesi

– Thumbnail – Auto-Sync – Önizleme – Zararlı Yazılım Senaryoları –

Ceza sorumluluğunun çekirdeği olan kast unsuru teknik olarak araştırılmadan hiçbir NCMEC dosyasında mahkûmiyet kurulamaz.

Savunma şu ihtimalleri bilirkişi önüne koyar:

• Görüntü otomatik oluşturulmuş olabilir.

• Önizleme dosyası gerçek içerik değildir.

• Cloud eşleştirme cihazda dosya oluşturmuş olabilir.

• Zararlı bir yazılım içeriği cihazda “zombi dosya” olarak yaratmış olabilir.

• Dosya farklı bir kullanıcı tarafından indirilmiş olabilir.

AİHM’in Söderman, J.B., Bykov kararları, bu argümanların tamamını destekleyen güçlü dayanaklardır.

7.5. Delil Geçerliliği Testi: Hukuka Aykırılık – Teknik Geçersizlik – Şüpheden Uzaklık Ölçütü

– CMK 119 – 127 – 134 – 206 – 217 Çerçevesi –

Avukat, tüm süreç boyunca delillerin şu üç testten geçirilmesini sağlar:

1. Hukuka uygun mu?
   (Arama–elkoyma gerekçesi yeterli mi? CMK 119-127 ihlali var mı?)

2. Teknik olarak güvenilir mi?
   (İmaj alındı mı? Hash doğrulandı mı? Log kayıtları tutarlı mı?)

3. Şüpheden uzak mı?
   (Fail–cihaz–kullanıcı ilişkisi kanıtlandı mı?)

Bu testlerden biri bile çökerse savunmanın temel yaklaşımı şudur: “Delil çökerse, iddia çöker; iddia çökerse takipsizlik/beraat gündeme gelir.”

7.6. Savcılık Aşamasının Yönlendirilmesi: Doğru Soru – Doğru Uzman – Doğru Rapor

– Rapor Talebi, Uzman Seçimi, Teknik Soruların Belirlenmesi –

Savunmanın aktif görevi, soruşturmayı pasif biçimde izlemek değil; süreci doğru teknik eksende yönlendirmektir.

Bu noktada avukat:

• Adli bilişim uzmanı atanmasını,

• Soruların hash, metadata, log kayıtları, thumbnail ihtimali üzerine kurulmasını,

• İncelemenin CMK 134’e uygun yapılmasını,

• Operatörlerden ek log talep edilmesini,

• Platformlardan ek doğrulama istenmesini

talep eder.

Bu yaklaşım, savcılık makamının hatalı bir şekilde dosyayı iddianameye bağlamasını engeller.

7.7. Savunmanın Gücü: Teknik Bulguların Hukuki Argümanla Birleştirilmesi

– Adli Bilişim + Ceza Hukuku Senkronizasyonu –

Son aşamada avukat teknik veriyi hukuki normla birleştirir:

• Teknik eksiklik → hukuka aykırılık

• Hash doğrulanamazsa → suçun maddi konusu yoktur

• Cihaz incelemesi yapılmamışsa → delil yoktur

• IP eşleşmesi yoksa → fail belirlenemez

• Kast ispat edilemiyorsa → mahkûmiyet kurulamaz

  • Böyle bir dosyada mahkûmiyet değil, takipsizlik veya beraat hukuki zorunluluktur.

“Dijital delil varsa teknik analiz; teknik analiz varsa doğru hukuk; doğru hukuk varsa sonuç özgürlüktür.”

8. Son Olarak; Türkiye’de CyberTip Soruşturmalarının Zayıf Noktaları

Türkiye’de NCMEC odaklı soruşturmalar incelendiğinde üç temel eksiklik ortaya çıkmaktadır:

• Delilin kaynağı yabancı bir kurumdur ve Türk hukukuna uygunluk denetiminden geçmemiştir.

• Cihaz incelemesi çoğu zaman yapılmadan iddianame düzenlenmektedir.

• IP ve log kayıtlarının fail tespiti için yetersizliği göz ardı edilmektedir.

Bu nedenle soruşturma evresindeki hukuki hatalar, CMK’nın öngördüğü “şüpheden uzak kesin delil” sistematiğini çoğu zaman yok eder. Savunmanın temel görevi, tam da bu aşamada tüm çarpıklıkları açığa çıkarmak ve soruşturmayı hukuk + teknik bütünlüğündeki doğruluk eksenine taşımaktır.

Avukat Orhan Önal’ın Bu Suçlarda En Çok Okunan Yazıları

• Teknik ve hukuk alanında tecrübe gerektiren bu konularda telafisi imkansız hak kayıplarına uğramamak için, mutlaka avukatınıza danışmanızı şiddetle önermekteyiz.
• Aradığınız dava türü veya hukuki ihtilaf hakkında *yazılar*  bölümüne veya *NCMEC DAVALARI için* tıklayarak ya da sağ üst köşeden arama yaparak onlarca davanız hakkında dilediğinizi okuyup, araştırabilirsiniz.

  • AVUKAT DESTEĞİ

    Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir, whatsapp hattına yazabilir (tıkla) veya aşağıdaki adrese mail atabilirsiniz. 

    Hafta içi: 09:00 – 19:00
    Cumartesi: 10:00 – 18:00

    Telefon: +90 532 282 25 23

    Gizlilik

    Gizlilik, bir avukatın ve hukuk büromuzun en önemli etik ilkelerinden biridir; 1136 sayılı Kanunda tanımlanan gizlilik ve ifşa etmeme ilkesini çok dikkatli ve hassas bir şekilde uygular. Ancak büromuz, müvekkillerinin bilgi, belge ve bilgilerini gizlilik ve bilgi sorumluluğu sınırları içinde gizli tutar ve hiçbir şekilde ve hiçbir koşulda üçüncü kişi ve kurumlarla paylaşmaz.