NCMEC İhbarı Sonrası Eş Zamanlı Operasyon Pratiği

1) Siber Suçlar Müdürlükleri ve Cumhuriyet Başsavcılıkları Koordinasyonunda “Dijital Delil Rejimi” Odaklı Soruşturmalar

1.1) Samsun Cumhuriyet Başsavcılığı Merkezli 19 il operasyonu: “eş zamanlılık” artık istisna değil, model

NCMEC kaynaklı dosyalarda pratikte görülen şey şu: soruşturma tek bir ilde yürütülse bile, dijital izler–platform bağlantıları–IP eşleşmeleri ve kullanıcı ağları nedeniyle çok ilde eş zamanlı operasyon kararı verilebiliyor. Samsun örneğinde de soruşturmanın Samsun Cumhuriyet Başsavcılığı koordinesinde yürütüldüğü; 6 Ocak 2026 tarihinde Samsun merkezli 19 ilde operasyon yapıldığı, 40 şüphelinin gözaltına alındığı ve çok sayıda dijital materyale el konulduğu basına yansıdı.

Bu haberlerde kritik bir ayrıntı daha var: soruşturmanın “projeli” yürütüldüğü ve daha önce (7-10 Ekim 2025) yapılan eş zamanlı işlemde dijital materyallere el konulduğu, ardından inceleme neticesinde yakalama/gözaltı sürecine gidildiği aktarılıyor. Bu pratik, sahadaki genel gözlemi doğruluyor: önce dijitallere el koyma + imaj alma, sonra adli bilişim incelemesi ve eşleştirme, ardından 1–4 ay aralığında gözaltı/ifadeye davet dalgası.

• Aynı SAMSUN CBS’de tek soruşturmada, 79şüpheli, 40 gözaltı kararı, 96 saat gözaltı, tutuklamaya sevk süreçleri ve 4 müvekkilde tutuklama olmaması gibi hususları bu süreci daha detaylı olarak izah etmiştik.

1.2)“SİBERGÖZ” serisi: NCMEC/çocuk müstehcenliği başlığında ulusal ölçekte eş zamanlı operasyon pratiği

Samsun merkezli 19 il örneği tekil değildir. İçişleri Bakanlığı ve bağlı birimlerin kamuoyuna açık duyuruları; Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı koordinasyonunda “çevrim içi çocuk müstehcenliği ve tacizi” başlığının çok ilde eş zamanlı operasyonlarla yürütüldüğünü göstermektedir. Bu operasyonların ortak karakteri; dijital materyale el koyma, dijital izlerin hızlı güvence altına alınması ve soruşturmanın “klasik şikâyet dosyası” değil, dijital delil rejimi dosyası olarak kurgulanmasıdır.

2023 Ekim –2026 Ocak aralığında kamuya yansıyan merkez il örnekleri

• 31.10.2023 – İstanbul merkezli 48 il: “Çevrim içi çocuk müstehcenliği ve tacizi” kapsamında 48 ilde eş zamanlı operasyon ve 50 şüpheli bilgisinin kamuoyuna duyurulduğu görülmektedir.

• 22.02.2024 – SİBERGÖZ-22 / Kayseri merkezli 10 il: Kayseri merkezli 10 ilde “çevrim içi çocuk müstehcenliği ve tacizi” ile mücadele kapsamında eş zamanlı operasyon yapıldığı ve şüphelilerin yakalandığı duyurulmuştur.

• 14.03.2024 – SİBERGÖZ-25 / Yalova–İzmir–Sivas–Samsun merkezli 20 il: “Nitelikli dolandırıcılık” ile birlikte çevrim içi çocuk müstehcenliği ve tacizi suçlarına yönelik olarak Yalova, İzmir, Sivas ve Samsun merkezli 20 ilde eş zamanlı operasyon yapıldığı ve 50 şüpheli yakalandığı açıklanmıştır.

• 03.05.2024 – SİBERGÖZ-37 / 77 il: “Çevrim içi çocuk müstehcenliği ve tacizi” ile mücadele kapsamında 77 ilde operasyon yapıldığı ve 156 şüpheli yakalandığı; ayrıca koordinasyonun EGM Siber Daire tarafından yürütüldüğü duyurulmuştur.

• 21.08.2025 – 20 il merkezli (duyuru): “Çevrim içi çocuk müstehcenliği” başlığının da yer aldığı, 20 il merkezli bir operasyon duyurusunda 55 şüphelinin yakalandığı, bir kısmının tutuklandığı/adli kontrol uygulandığı bilgisi kamuoyuyla paylaşılmıştır.

• 10.10.2025 tarihinde dijitallere el konan, “2026 yılı Ocak İlk haftası ise” 19 İlde eş zamanlı, Samsun merkezli operasyonda yine müstehcenlik-çocuk pornografisi suçlaması ile 40 gözaltı gerçeklemiş olup, bir kısmı tutuklanmıştır.

Not: SİBERGÖZ başlığı kimi duyurularda “kod adı” olarak yer alırken, kimi duyurular kod adı kullanılmadan yayımlanabilmektedir. Ancak soruşturma tekniği değişmiyor: çok il–eş zamanlı icra, dijital materyalin toplanması, ardından adli bilişim incelemesiyle delil-atıf zincirinin kurulması.

• Yine yukarıda sayılan  çoğu operasyonda aktif avukatlık/müdafiilik yaparak, hem müvekkillere, hem de yargısal sürece faydalı olduk. En son güncel yapılan (Ocak 6 2025 başlangıç; gözaltına yönelik yakalama) Samsun CBS odaklı operasyonu da detaylıca kaleme alan bir genel avukatlık yazısı ile izah ettik.

Bu operasyonların sahaya yansıması: müdafilikte “ilk temas noktaları”

Bu tür dalga operasyonların ardından bize intikal eden dosyalarda (İzmir, Bursa, Samsun, Trabzon, Gaziantep, Diyarbakır hattı dâhil) müdafilik pratiği ağırlıkla şu eksende şekillenmektedir:

1. Arama–el koyma ve CMK 134 sürecinin hukuka uygunluğu (usul güvenceleri, tutanaklar, imaj alma/hashing),

2. Dijital verinin şüpheliye matufluğu (IP/oturum zinciri, CGNAT/dinamik IP, çoklu kullanıcı/cihaz paylaşımı),

3. İçerik varsa dahi bunun kasıt–kullanıcı eylemi–sistem izi ayrımı (cache/önbellek/otomatik kayıt tartışmaları),

4. Tutuklama değerlendirmesinde ölçülülük ve adli kontrol alternatifleri.

5. * Tüm bu hususların dışında da öngörülmesi düşük oranda farklı noktalar olabiliyor. İşbu durumda ise telafi imkansız hak kayıplarına sebep olmamak için mutlalaka avukatınızla savunmaya hazırlanın.

Samsun örneği tekil değil; İçişleri Bakanlığı duyurularında, Siber Suçlarla Mücadele Daire Başkanlığı koordinasyonunda çok sayıda ilde yapılan SİBERGÖZ operasyonlarında “çevrimiçi çocuk müstehcenliği ve tacizi” suç tipinin sıkça yer aldığı görülüyor:

• SİBERGÖZ-22 (Kayseri merkezli 10 il): EGM Siber Suçlarla Mücadele Daire koordinasyonu açıkça belirtiliyor; “çevrim içi çocuk müstehcenliği ve tacizi” kapsamında şüpheliler yakalanıyor ve dijital materyallere el konuluyor.

• SİBERGÖZ-25 (20 il): 20 ilde eş zamanlı operasyon; duyuruda “çevrimiçi çocuk müstehcenliği ve tacizi” suç tipi de yer alıyor ve dijital materyallere el koyma vurgulanıyor.

• SİBERGÖZ-37 (77 il): 77 ilde “çevrimiçi çocuk müstehcenliği ve tacizi” ile mücadele başlığıyla çok geniş çaplı eş zamanlı operasyon açıklanıyor.

Bu ölçek, senin ilk soruna net cevap: Evet, NCMEC bağlantılı/çocuk müstehcenliği eksenli dosyalarda “çok il–eş zamanlı” operasyon uygulaması var ve kurumsal koordinasyon dili (Siber Daire + yerel Siber Şube + Savcılık) resmi duyurularda açıkça kuruluyor.

1.3) Sahada kritik nokta: Dosya “sadece NCMEC bildirimi” değil — delil rejimi dosyanın kaderini belirler

NCMEC bildirimi çoğu dosyada tetikleyici ihbar niteliğinde; ancak mahkemenin baktığı yer, “ihbar geldi mi?” değil, şüpheliye matuf somut delil var mı ve bu delil hukuka uygun mu? İşte burada “dijital delil rejimi” devreye giriyor:

• Atıf (attribution) sorunu: CGNAT, modem/hat paylaşımı, statik IP yokluğu, cihazın birden fazla kişi tarafından kullanımı gibi olgular “fail varsayımı”nı zayıflatır.

• Teknik bağlam zorunluluğu: Oturum zinciri, cihaz parmak izi, login saatleri, yer verisi endeksi, hat sahibi–kullanıcı ayrımı; salt rapor çıktısından ibaret görülmemeli (bilirkişi/adli bilişim incelemesi ile bağlama oturtulmalı).

• Cache/önbellek ve otomatik kayıt tartışması: Özellikle mobil cihazlarda “kullanıcı iradesi” ile “sistem davranışı” ayrımı yapılmadan depolama/bulundurma isnadı otomatik kurulamaz.

• Uyuşmazlık analizi: Ele geçen içerik ile isnadın dayandığı platform içeriği/mesajlaşma içeriği eşleşmiyorsa, bu çelişki tutuklama değerlendirmesinde doğrudan önem kazanır.

• CMK 134 ve zincirleme muhafaza: El koyma–imaj alma–hash doğrulama–emanet süreçleri, sonradan “delilin bütünlüğü” tartışmasını kapatacak şekilde yürütülmelidir.

Senin görsellerdeki sözlü savunma omurgan da tam burada güçlü: “NCMEC/Europol/Interpol verisi tek başına değil; CMK muhakemesi içinde, teknik bağlamla ve şüpheliye matuf delille anlam kazanır.” Bu cümle, hem Sulh Ceza sorgusunda hem de tutuklamaya sevk değerlendirmesinde “kuvvetli suç şüphesi” ve “ölçülülük” tartışmasını doğru yere çeker.

1.4) Kısmi avukatlık pratiği anlatımına dair

• “Bu suç tipinde İzmir, Muğla, Balıkesir, Manisa, Denizli, İstanbul, Bursa, Samsun, Trabzon, Diyarbakır, Gaziantep başta olmak üzere birçok ilde; arama–el koyma sonrası dijital inceleme sürecinin yönetimi, CMK 134 ekseninde itirazlar, tutuklamaya sevk aşamasında ölçülülük ve delil-atıf tartışmaları üzerinden etkin müdafilik yürütmekteyiz.”

• “Samsun merkezli 19 il operasyonuna konu dosyada ise (dosya içi veriler çerçevesinde) dört şüpheli müvekkilin müdafiliği üstlenilmiş; ikisi hakkında gözaltı kararı bulunmaksızın süreç ifade/işlem düzeyinde ilerlerken, diğer iki müvekkil yönünden gözaltı tedbiri gündeme gelmiş; tutuklamaya sevk edilen müvekkiller bakımından kuvvetli suç şüphesinin somut delille desteklenmediği ve kaçma/delil karartma riskinin bulunmadığı ekseninde savunma kurulmuştur.”

• Diğer yukarıda bahse konu çok kapsamlı, eş zamanlı operasyonlar da yine şüpheli/sanık avukatlığı ifa etmiştik. (Bu hususta detaya girerek yazının hukuki mahiyetinden çıkmak istemiyoruz.)
• NCMEC kaynaklı (çevrim içi çocuk istismarı şüphesi içeren) ihbarlar, Türkiye’de çoğu zaman Siber Suçlarla Mücadele birimleri ile Cumhuriyet Başsavcılıklarının koordinasyonunda yürüyen, dijital delil ağırlıklı ve çok ilde eş zamanlı icra edilebilen soruşturmalara dönüşmektedir. Bu dosyaların karakteri klasik “şikâyet–tanık” kurgusundan farklıdır: soruşturmanın omurgasını, IP/oturum verileri, platform kayıtları, dijital materyal incelemesi, imaj alma–hash doğrulama ve zincirleme muhafaza (chain of custody) oluşturur.
• Bu kapsamın güncel ve somut bir örneği, Samsun Cumhuriyet Başsavcılığı koordinesinde Samsun merkezli 19 ilde gerçekleştirilen “çocuk müstehcenliği” operasyonudur. Basına yansıyan haberlere göre operasyonda 40 şüpheli gözaltına alınmış, çok sayıda dijital materyale el konulmuş, gözaltındaki şüphelilerin bir kısmı adliyeye sevk edilmiştir.

2) Operasyonun “zaman çizelgesi” neden gecikmeli işler?

Dijital materyale el koyma çoğu dosyada önce, çağrı/gözaltı ise aylar sonra gelebilir

NCMEC temelli dosyalarda uygulamada sık görülen model şudur:

1. Ön çalışma / tespit (platform verileri–IP/oturum–hesap ilişkileri),

2. Arama–el koyma (telefon, bilgisayar, disk, flash bellek, bulut oturumları),

3. Adli bilişim incelemesi (imaj alma, hash doğrulama, içerik analizi, log eşleştirme),

4. İnceleme çıktısına göre ifade daveti / gözaltı / yakalama.

Samsun merkezli operasyonun basına yansıyan detayları bu modeli çok net göstermektedir: haberde, 8 Ekim 2025’te projeli çalışma kapsamında şüphelilere ait dijital materyallere el konulduğu, inceleme neticesinde tespitler olgunlaşınca 6 Ocak 2026’da Samsun merkezli 19 ilde operasyon yapılarak şüphelilerin yakalandığı aktarılmaktadır.

Bu pratik; “dijitaller toplandıktan sonra 1–4 ay (hatta daha fazla) bekleyip” adli sürecin hızlanabildiğini açıklar: çünkü inceleme süreci, özellikle çok şüpheli–çok cihaz bulunan dosyalarda zaman alır. Tüm bunlara ek olarak, sahada aktif avukatlık yapan bir avukatlık ofisi olarak şu gözlemimizi de eklemek isteriz; yeteri kadar hakim-savcı-adliye personeli olmaması da bu süreçleri bir hayli uzamasına sebep olmaktadır.

3) “19 ilde eş zamanlı operasyon” neden tercih edilir?

Delil karartma riskini azaltmak ve dijital izleri aynı anda güvenceye almak için

Çok ilde eş zamanlı operasyonun temel gerekçesi dijital delilin kırılganlığıdır:

• Aynı ağ/komünite içinde şüphelilerin birbirini uyarması,

• Cihazların şifrelenmesi veya bulut oturumlarının kapatılması,

• İçeriğin platformdan kaldırılması,

• Telefon–bilgisayar üzerindeki kritik oturumların kapanması
  gibi riskler nedeniyle kolluk, arama–el koyma adımını senkron yürütmek ister.

Bu yaklaşım, İçişleri Bakanlığı’nın farklı tarihlerde paylaştığı geniş ölçekli “çevrim içi çocuk müstehcenliği” operasyonlarında da görülür: 77 ilde yapılan SİBERGÖZ operasyon duyuruları veya 20 il merkezli operasyon açıklamaları, uygulamada koordineli ve yaygın çalışmanın rutinleştiğini göstermektedir.

4) NCMEC ihbarından hangi suç tipleri tartışılır?

En sık TCK 226, dosyanın niteliğine göre TCK 103 ve TCK 105

Saha pratiğinde NCMEC ihbarları, soruşturmanın başında genellikle TCK 226 (müstehcenlik) – özellikle çocuk müstehcenliği ekseninde açılır. Ancak dosya büyüdükçe ve dijital inceleme derinleştikçe şu ihtimaller doğar:

• TCK 226 (çoğunlukla): İçeriğin bulundurulması, yayılması, temini/aktarım iddiaları.

• TCK 103 (çocuğun cinsel istismarı): İçerik üretimi, doğrudan istismar fiili, fail-mağdur teması veya ağırlaştırıcı veri/iletişim unsurları ortaya çıkarsa.

• TCK 105 (cinsel taciz): Çocuğa yönelik mesaj/ileti gönderimi, çevrim içi taciz, “yazışma–yönlendirme” gibi içerikler belirginleşirse.

Burada kritik nokta şudur: NCMEC ihbarı tek başına suç vasfını kilitlemez; vasıflandırma, çoğu zaman adli bilişim raporu, cihaz içeriği ve atıf (atıfın kime yapılabildiği) üzerinden şekillenir.

5) Dosyanın kalbi: “NCMEC bildirimi” değil, dijital delil rejimi

İspat, atıf ve hukuka uygunluk üçlüsü

NCMEC dosyalarında sonucu belirleyen “altın üçlü” şudur:

(A) Delil hukuka uygun mu?

Arama–el koyma ve CMK 134 sürecindeki usul hataları; imaj alma–hash doğrulama–zincirleme muhafaza zincirindeki kopmalar, delil değerini tartışmalı hale getirir.

(B) Delil kime atfedilebiliyor? (Attribution)

IP’nin tek başına “fail” demediği; CGNAT/dinamik IP, çoklu kullanıcı, paylaşımlı cihaz, ortak Wi-Fi gibi ihtimallerin atfı zayıflattığı dosyalarda kuvvetli suç şüphesi standardı ayrı ayrı tartışılır.

(C) Delil ne söylüyor? (İçerik–kasıt–fiil ayrımı)

Cache/thumbnail/önizleme gibi otomatik izlerin “kasten indirme/bulundurma” ile eşitlenmesine itiraz; dosya yolu–zaman damgaları–erişim kayıtları ile “kullanıcı eylemi”nin ayrıştırılması savunmanın merkezidir.

6) Müdafilik/Avukatlık pratiği: Samsun merkezli 19 il operasyonu ölçeğinde “dosya yönetimi”

Bu yazıyı kaleme almamızın nedeni, teori anlatmak değil; operasyon ölçeğinde NCMEC dosyalarının nasıl yürüdüğünü ve müdafinin nerede sonuç üretebildiğini somutlaştırmaktır.

Bu kapsamda, Samsun merkezli 19 il operasyonuna konu soruşturma dosyasında 4 şüpheli müvekkilin müdafiliğini yürüttük. Bu dört şüpheli bakımından koruma tedbirleri aynı yoğunlukta uygulanmadı: 2 müvekkil hakkında gözaltı kararı bulunmaksızın süreç ilerlerken, diğer 2 müvekkil hakkında gözaltı kararı verilerek soruşturma bu aşamada daha sert bir hatta yürüdü. (Bu ayrışma, NCMEC dosyalarında “herkese aynı tedbir” otomatiğinin olmadığını; dosya içi delil algısına göre tedbirin değişebildiğini gösterir.)

Tutuklamaya sevk aşamasında en etkili savunma ekseni

Tutuklama tedbiri bakımından savunmanın ana omurgası şunlara dayanır:

• Kuvvetli suç şüphesinin somutlaştırılması zorunluluğu,

• Dijital delilin atıf gücü (kimin eylemi?) tartışması,

• Delil zaten ele geçirilmişse delil karartma riskinin soyut bırakılmaması,

• Ölçülülük ilkesi gereği adli kontrol alternatiflerinin değerlendirilmesi.

Samsun örneğinde de basına yansıyan sevk–adliye süreçleri, operasyonun yalnız “yakalama” ile sınırlı olmadığını; dosyanın hızlıca adli makamlara taşındığını göstermektedir.

7) “İfade daveti” veya “gözaltı” ile karşılaşan şüpheliler için pratik hukuki çerçeve

NCMEC dosyalarında ifade daveti geldiğinde veya gözaltı söz konusu olduğunda, müdafinin ilk 24–48 saatlik refleksi genellikle şunlardır:

• Arama–el koyma kararları, el koyma tutanakları, imaj alma işlemi, hash değerleri, teslim–muhafaza zinciri,

• İddianın dayandığı platform/hattın oturum zinciri (hesap kime ait, hangi cihazdan giriş var),

• IP/CGNAT/port kayıtları (atıfın teknik zemini),

• Cihazda bulunan içeriğin oluşma/erişim zaman damgaları (kullanıcı eylemi mi, sistem izi mi),

• Tutuklama/adli kontrol aşamasında ölçülülük argümanlarının dosyaya işlenmesi.

Bu noktada önemli uyarı: Delile müdahale etmek (silme, format, bulut oturumlarını manipüle etme) savunma stratejisi değildir; ayrıca yeni riskler yaratabilir. Müdafilik, delili “yok etmek” üzerinden değil, delilin hukuki ve teknik değerini doğru tartıştırmak üzerinden yürür.

8) İzmir’den Samsun’a, Trabzon’dan Gaziantep’e: dosya ölçeği değişse de “çekirdek sorun” aynı

Pratiğimizde İzmir, Muğla, Balıkesir, Manisa, Denizli, İstanbul, Bursa, Samsun, Trabzon, Diyarbakır, Gaziantep gibi farklı illerde yürüyen NCMEC/çevrim içi çocuk müstehcenliği dosyalarında ortak payda değişmiyor:

Dosya, bir “NCMEC bildirimi” değil; dijital delil rejimi dosyasıdır. Bu nedenle iyi, etkin, stratejik savunma; kamuoyundaki peşin kabullerle değil, CMK’nın delil rejimi ve dijital atıf bilimiyle kurulur. Bu tip davalarda İzmir merkez üssü ofisimizden; Türkiye’nin dört bir yanında aktif dava ve soruşturma süreçlerini hali hazırda yönetmekteyiz.

Son İzahat

NCMEC ihbarı ile başlayan soruşturmalar, Türkiye’de artık “tekil dosya” mantığından çıkmış; Siber Suçlarla Mücadele birimleri ile Cumhuriyet Başsavcılıklarının koordinasyonunda, çok ilde eş zamanlı operasyon pratiğine evrilmiştir. Resmî duyuruların da gösterdiği üzere bu dosyaların merkezinde; klasik beyan delili değil, dijital delil rejimi vardır: arama–el koyma, CMK 134 kapsamında imaj alma, hash doğrulama, log–oturum zinciri ve şüpheliye matufiyet tartışması.

Bu nedenle savunma da “genel inkâr” ekseninde değil; delilin hukuka uygun elde edilişi, atıfın teknik olarak mümkün olup olmadığı, içeriğin kullanıcı eylemi mi yoksa sistem/önbellek izi mi olduğu ve kuvvetli suç şüphesi standardının somut olayda gerçekten karşılanıp karşılanmadığı üzerinden kurulmalıdır. Özellikle dijital materyal zaten ele geçirilmişken, “delil karartma” veya “kaçma” gerekçelerinin soyut bırakılması; tutuklama tedbirini ölçüsüz hale getirir.

Son kertede şunu açıkça ifade etmek gerekir: NCMEC bildirimi bir başlangıç verisidir; hüküm ise yalnızca hukuka uygun, doğrulanabilir ve şüpheliye matuf delille kurulur. Etkin müdafilik; tam da bu ayrımı görünür kılar, dosyanın teknik ve hukuki boşluklarını ortaya koyar ve koruma tedbirlerinin otomatikleşmesine karşı kişinin özgürlüğünü hukukun güvenceleriyle korur.

Avukat Orhan Önal’ın Benzer Konularda Çok Okunan Yazıları