NCMEC Temelli Müstehcenlik Suçlamasında Teknik Beraat Savunması
1. GENEL DEĞERLENDİRME VE SAVUNMA STRATEJİSİ
1.1. NCMEC Raporlarının Ceza Yargılamasındaki Niteliği
NCMEC tarafından gönderilen raporlar, teknik olarak istihbari bildirim niteliğinde olup, CMK 217 anlamında tek başına hükme esas alınabilir delil değildir.
1.2. Savunmanın Temel Mantığı
Savunma üç ana blokta kurulmuştur:
(i) Dijital delillerin hukuka aykırılığı,
(ii) Fail tespitinin imkânsızlığı (IP – hesap – cihaz üçlüsünün kopukluğu),
(iii) Kast unsurunun kesin olarak bulunmaması. ( Bu hususa dair daha önce savunma yaparak başarılı olunan belki onlarca davamız var ancak unutulmamalıdır ki; her somut vaka kendi içinde detaylı irdelemeye mahkumdur.)
2. NCMEC RAPORLARININ DELİL DEĞERİNE İLİŞKİN TEKNİK ELEŞTİRİ
2.1. Chain of Custody Eksikliği ve Delilin Meşruiyet Sorunu
NCMEC raporları, delilin nasıl elde edildiğini açıklamaz.
Bu durum, zincirleme delilin (chain of custody) başlangıç halkasının kopuk olduğu anlamına gelir.
2.1.a. Hash Doğrulama Yokluğu
Videoların SHA-256 / MD5 hash değerleri raporda yer almamaktadır.
Mahkemeye sunulan CD’deki içeriklerin, Google’ın tespit ettiği içerikle aynı olduğuna dair kriptografik bir doğrulama yoktur.
2.1.b. Orijinal Zaman Damgası (Timestamp) Eksikliği
Dosyaların Google Drive’a yüklenme zamanı, cihazda oluşturulma zamanı ve indirilme zamanı uyumsuz olabilir.
Bu uyumsuzluk incelenmediği için, dosyanın Drive’a otomatik senkron sırasında düşüp düşmediği belirsizdir.
2.2. Algoritmik İçerik Tespiti – Hata Payı – Benzerlik Eşleşmesi Sorunu
Google, içerikleri otomatik tarama algoritmaları ile NCMEC’e bildirir. Ancak algoritmaların çalışma prensibi yargılama dosyasında açıklanmamıştır.
2.2.a. PhotoDNA Eşleşme Hatası Olasılığı
Microsoft PhotoDNA veya Google CSAI Match gibi sistemler benzerlik oranına göre eşleşme üretir.
Bu sistemler mutlak doğru değildir.
Dolayısıyla yanlış pozitif (false positive) tespitin tamamen ihtimal dışı olmadığı kabul edilmelidir.
2.2.b. Thumbnail – Preview Odaklı Tespit Sorunu
Bazı durumlarda sistem:
-
Dosyanın tamamını değil,
-
Sadece küçük bir kısmını,
-
“Preview” datasını veya
-
Önceden raporlanmış bir dosyanın parçasını
algoritma eşleşmesiyle işaretler.
Bu, dosyanın kullanıcı tarafından bilinçli olarak indirilip indirilmediğini kesin olarak göstermez.
3. GOOGLE DRIVE SENKRONİZASYONU VE KULLANICI FARKINDALIĞI (BİLİNÇ UNSURU)
Drive mimarisi, otomatik yedekleme, istemsiz indirme – istemsiz yükleme ilişkisi
3.1. Google Drive’ın Teknik Mimarisinin Ceza Yargılamasına Katkısı
Google Drive hem mobil cihazlarda hem bilgisayarlarda arka planda çalışan bir senkronizasyon (sync engine) mantığına sahiptir.
Bu mimari, istem dışı veri aktarımını mümkün kılar.
3.1.a. “Watch Folder” Mantığı – Drive’ın klasörleri otomatik izlemesi
Drive belirli dizinleri watch folder olarak işaretler:
-
Windows “Downloads”,
-
Android “DCIM”,
-
iOS “Photos”,
-
WhatsApp Media,
-
Temp/Cache dizinleri.
Bu izleme özelliği, klasöre giren her dosyanın kullanıcının hiçbir müdahalesi olmadan Drive’a yüklenmesine yol açabilir.
3.1.b. Arka plan senkronizasyonu
Drive cihaz:
-
Şarja takıldığında,
-
Wifi’ye bağlandığında,
-
Ekran kilitliyken,
-
Uygulama kapalı görünürken bile
arka planda çalışır.
Bu nedenle yükleme zamanı ≠ bilinçli hareket zamanı.
3.1.c. İlk yükleme (initial sync) sırasında geçmiş dosyaların toptan aktarılması
Yeni cihazda Drive kurulumu yapıldığında tüm medya dosyalarını otomatik yükleyebilir. Kullanıcı fark etmese bile 5–10 saniyelik bağlantı yeterlidir.
3.2. İstemsiz Dosya İndirme – Pop-up / Malware / Reklam Paketleri
3.2.a. Bundled Download
Pornografik sitelerde tek tıkla birden fazla dosya arka planda indirilebilir.
3.2.b. Malvertising – Zararlı reklamlar
Gizli indirme, auto-download scriptleri ve redirect işlemleri Drive’a otomatik yüklemeye yol açabilir.
3.2.c. Ekran kilitliyken Drive’ın yükleme yapması
Android/iOS cihazlarda ekran kapalı olsa bile Drive dosya yükler.
3.3. İstem Dışı Kaydedilen Görseller – Media Scanner Hatası
3.3.a. WhatsApp – Telegram – Instagram önizleme dosyalarının bile yüklenmesi
Önizlemeler dahi otomatik olarak cihaz media klasörlerine kaydedilir ve Drive bunları yükler.
3.3.b. 3–5 saniyelik bağlantıda yüzlerce dosya yüklenebilmesi
Bu da bilinç unsurunu tamamen çürütür.
3.3.c. Önceden indirilen dosyaların Drive senkronu sırasında yüklenmesi
Bu durum TCK 226 kastını tamamen ortadan kaldırır.
3.4. Birden Fazla Cihazın Aynı Hesabı Kullanması
3.4.a. Çoklu cihaz riski
Hangi cihazın yükleme yaptığı belirsizleşir.
3.4.b. Ortak bilgisayar – ortak wifi
Fail tespitini tamamen imkânsız kılar.
3.4.c. Fotoğraf yedekleme hataları
Drive bazı güncellemelerde tüm galeriyi otomatik yükleyebilir.
3.5. Drive’ın “Sync Conflict” ve “Recovery Upload” Hataları
3.5.a. Sync Conflict
Aynı dosyanın kopyaları (Copy of…) oluşur.
3.5.b. Network glitch
Yarım dosya, thumbnail dosya gibi hatalı yüklemeler gerçekleşebilir.
3.5.c. Recovery Upload
Drive hata aldığında kullanıcıya sormadan tekrar yükleme yapabilir.
3.6. Bilinç Unsuru Açısından Hukuki Değerlendirme
Drive mimarisi dikkate alındığında videoların sanık tarafından bilinçli olarak:
-
İndirildiği,
-
Saklandığı,
-
Paylaşıldığı
-
Otomatik indirme veya depolama dışında bir kast,
kanıtlanamamıştır.
3.7. Sonuç: Drive Çalışma Mantığı “Bilinçli” Yüklemeyi ÇÜRÜTÜR
Bu nedenle TCK 226/3 bakımından bilinçli indirme unsuru yoktur → BERAAT zorunlu gibi düşünülse de çok etkin savunma argümanları ile Mahkeme’ye yönelik etkin bir savunma silsilesi hazırlanmalıdır. Buradan ise alanında çalışan avukatınızla mutlaka telafisi imkansız hak kayıpları için beraber yol alınız.
4. IP – PORT – CGNAT KAYITLARININ BELİRSİZLİĞİ
NCMEC Temelli Çocuk Pornografisi/Müstehcenlik Soruşturmalarında IP Adresi Fail Tespitine Yetmez
NCMEC ihbarı dosyalarında en kritik teknik değerlendirme, Google’ın ABD’den bildirdiği “IP adresi – tarih – saat” bilgilerinin Türkiye’de gerçek failin kim olduğunu ispatlamaya hiçbir zaman tek başına yeterli olmamasıdır. Çocuk pornografisi (TCK 226/3) ve müstehcenlik suçlamalarında, failin tespitinde IP adresi yalnızca trafik bilgisidir; kullanıcıyı, cihazı veya iradeyi ifade etmez.
Bu nedenle her NCMEC tabanlı soruşturmada ilk sorulması gereken şudur:
“Bu IP adresini o anda kim, hangi cihazla, hangi ağda, hangi koşullarda kullanıyordu?”
Bu soruların hiçbirinin yanıtı dosyada yoksa, fail tespiti teknik olarak imkânsızdır.
4.1. IP Adresi → Fail Bağı Kurmak İçin Yetersizdir
Yargıtay içtihatları yıllardır istikrarlıdır:
“IP adresi tek başına fail tespitine yeterli değildir.”
(Yargıtay 8. CD., 2018/9106 K.)
NCMEC tarafından bildirilen IP adresi, yalnızca Google sunucusunun algıladığı bağlantı noktasını gösterir; bu bağlantıyı yapan kişinin sanık olduğunu göstermez.
4.1.a. Aynı IP’den Çok Sayıda Kişi İnternet Kullanabilir
Sanığın:
-
Hem kendi adresinde,
-
Hem ablasının evinde,
-
Hem eniştesinin WiFi’ında,
-
Hem de ortak kullanılan bilgisayarlarda
aynı Google hesabını açtığı anlaşılmıştır.
Bu durum, aynı IP’nin onlarca farklı kullanıcı tarafından paylaşılmış olabileceğini gösterir.
CGNAT sisteminde bir IP’nin arkasında yüzlerce abone olabilir.
Bu nedenle IP → kişi eşleştirmesi asla kesin delil değildir.
4.2. CGNAT Kayıtları Eksik – Trafik Portu ve Zaman Damgası Yok
Bir çocuk müstehcenliği veya çocuk pornografisi soruşturmasında, teknik tespitin yapılabilmesi için CGNAT dosyasında şu bilgiler zorunludur:
-
Port numarası
-
Veri yönü (up/down stream)
-
UTC zaman farkı düzeltmesi
-
Trafik yoğunluğu
-
Session başlangıç/bitiş logları
Ancak dosyada bunların hiçbiri mevcut değildir.
4.2.a. Port Logu Olmadan Fail Tespiti İmkânsızdır
Bir IP adresi belirli bir anda yüzlerce farklı porttan bağlantı yapabilir.
Hangi portun Google Drive yüklemesine ait olduğu bilinmezse:
-
Aynı saniyede başka bir kullanıcı bağlanmış olabilir,
-
Trafik birden fazla kullanıcı tarafından paylaşılmış olabilir,
-
Yükleme eylemi sanığa ait olmayabilir.
Bu durumda şüphe giderilemez, sanık lehine yorumlanır.
4.3. IP – Cihaz – Hesap Üçlüsünün Bağı Kurulamamıştır
NCMEC ihbarlarında en temel sorun, Google’ın yalnızca sunucu tarafı logunu vermesi, Türkiye’de ise cihaz tarafının incelenmemiş olmasıdır.
4.3.a. Cihaz İmajsız Log Eşleştirmesi Yapılamaz
CMK 134 kapsamında cihaz imajı alınmadan:
-
Hangi cihazda Drive açıktı?
-
Yükleme hangi fiziksel cihazdan yapıldı?
-
O anda cihazda kullanıcı kimdi?
Bu soruların hiçbiri yanıtlanamaz.
4.3.b. Hesap giriş geçmişi incelenmediği için IP – kullanıcı bağının delili yoktur
Google hesabı birden fazla cihazda açık olabilir. Bu nedenle IP → hesap → fail zinciri kopuktur.
4.4. Ortak WiFi, Ortak Cihaz Kullanımı → Çocuk Pornografisi Suçlarında Fail Tespitini Tamamen Çökertebilir
NCMEC ihbarlı davalarda ortak kullanım en güçlü beraat sebebidir. Çünkü:
-
Aynı WiFi ağında onlarca cihaz olabilir,
-
Ortak bilgisayarda hesap açık kalmış olabilir,
-
Misafir ağı kullanılmış olabilir,
-
Mobil hotspot paylaşılmış olabilir.
4.4.a. Yüklemeyi kimin yaptığı teknik olarak tespit edilemez
Bu tür dosyalarda Google Drive’ın kendi iç logları bile kullanıcıyı isim olarak işaretlemez; yalnızca cihaz kimliği/oturum ID’si verir. Bu kimliğin kime ait olduğu adli bilişim incelemesi olmadan belirlenemez.
4.5. NCMEC Dosyalarında IP Kanıtı Asla Kesin Delil Değildir
Uluslararası cezai bilgi paylaşımı (MLAT) işletilmediği için:
-
Google tarafından verilen IP loglarının doğruluğu test edilemez,
-
Türkiye’de yeniden üretilemez,
-
Bağımsız olarak hash doğrulaması yapılamaz,
-
Cihaz tarafı loglarıyla karşılaştırılamaz.
Bu nedenle IP adresi, çocuk pornografisi suçlarında en zayıf delil tipidir.
4.5.a. IP adresinin yalnızca “trafik bilgisi” olduğu bilimsel olarak kabul edilmiştir
Ceza hukukunda fail tespiti için:
-
Cihaz,
-
Kullanıcı,
-
Eylem,
-
Bilinç
birbirine bağlanmalıdır.
NCMEC kayıtlarında bu dört unsurun hiçbiri yoktur.
4.6. Teknik ve Hukuki Sonuç
NCMEC temelli müstehcenlik / çocuk pornografisi suçlamalarında:
-
IP → kesin delil değildir,
-
Port → yok,
-
CGNAT → eksik,
-
Cihaz → incelenmemiş,
-
Kullanıcı → belirsiz,
-
Zaman damgası → doğrulanmamış,
-
Drive yükleme → otomatik olabilir.
Bu nedenle IP-fail bağı yoktur; yokluğu sanık lehinedir ve kast unsurunu bilimsel olarak ortadan kaldırır.
- 5. & 8 numaralı başlık arasına dair web sitemizde onlarca makalemiz olduğundan tekrar bu yazıda uzun uzun ele almak istemedik. Gerekli araştırma web sitemiz yazılar kısmından bakarak bulabilirsiniz.
5. CMK 134’E AYKIRILIK — CİHAZ İMAJI ALINMADAN MAHKÛMİYET MÜMKÜN DEĞİLDİR
5.1. Cihaz İncelemesi Yapılmamıştır
5.1.a. İzleme geçmişi yoksa bilinç yoktur
5.1.b. Dijital deliller hukuka aykırıdır → RED
6. HESAP SAHİPLİĞİ = FİİLİ İŞLEYEN ANLAMINA GELMEZ
6.1. Gmail’in çoklu cihazlarda açık olması
6.1.a. Somut Olaya Göre Çok sayıda erişim noktası vardır
6.1.b. Hesap ele geçirilmiş olabilir
7. TCK 226/3 AÇISINDAN KAST UNSURU TAMAMEN YOKTUR
7.1. Bilerek – İsteyerek – Kasıtlı İndirme Yoktur
7.1.a. Videoların hiç açılmamış olması beraat sebebidir
7.1.b. Toplu yedekleme → bilinç yoktur
8. ULUSLARARASI DELİLİN HUKUKİ DENETİMİ
8.1. ABD’den gelen veriler denetlenemez niteliktedir
8.1.a. MLAT prosedürü işletilmemiştir
8.1.b. Bu nedenle rapor ancak istihbaridir.
9. NCMEC İDDİALARI TEK BAŞINA GEÇERLİ DEĞİLDİR — MAKUL ŞÜPHE DEĞİL, AÇIK ŞÜPHE MEVCUTTUR
Adli Bilişim İncelemesi Yapılmadan Bu Dosyalar Çözülemez — Uzman Raporu Beraatin Temelidir
NCMEC ihbarı, teknik doğası gereği istihbari içeriktir ve CMK 217 bakımından tek başına mahkûmiyete esas alınamaz.
Bu dosyada:
-
Hash doğrulaması yok,
-
Chain of custody yok,
-
IP-port-log eşleşmesi yok,
-
Cihaz imajı yok,
-
İzleme geçmişi yok,
-
Bilinç unsuru yok,
-
Google Drive’ın teknik işleyişi çözümlenmemiş,
-
Büyük bölüm “otomatik yükleme – senkron – thumbnail” ihtimaliyle örtüşmektedir.
Bu eksiklikler makul şüpheyi aşacak deliller bulunmadığını değil, tam aksine:
Açık şüphe, ciddi teknik belirsizlik ve sanık lehine çözümlenmesi gereken onlarca unsur olduğunu ortaya koymaktadır.
9.1. NCMEC Tespitlerinin Bilimsel Olarak Test Edilemez Oluşu
NCMEC raporları Türkiye’de yeniden üretilebilir, doğrulanabilir veya adli bilişim standartlarıyla karşılaştırılabilir değildir.
Bu nedenle:
9.1.a. PhotoDNA – CSAI Match algoritmaları mahkemede test edilemez
Bu algoritmalar “benzerlik” esasına göre çalışır; false positive ihtimali hukukî değerlendirmede mutlaka göz önünde tutulmalıdır.
9.1.b. İçeriğin sanığa ait cihazda nasıl üretildiği veya nasıl yüklendiği ispatlanamaz
Bu sebeple her NCMEC dosyasında adli bilişim raporu alınması zorunlu bir aşamadır.
9.2. Adli Bilişim Uzman Raporu Bu Tip Davaların Bel Kemiğidir
Bu dosyada bilinç unsurunu değerlendirebilmek için yapılması gerekenler şunlardır:
9.2.a. Cihazın adli kopyasının (forensic image) alınması
SHA-256 hash eşleşmesiyle birebir doğrulama sağlanmalıdır.
9.2.b. Drive – cihaz – önizleme – senkronizasyon loglarının çıkarılması
Bir adli bilişim uzmanı aşağıdaki sorulara bilimsel yanıt verebilir:
-
Video gerçekten ne zaman indirilmiş?
-
Drive’a yükleme bilinçli mi, otomatik mi?
-
Video açılmış mı?
-
Thumbnail dosyası ne zaman oluşmuş?
-
Otomatik yedekleme mi, manuel yükleme mi?
9.2.c. Network, IP, WiFi ve cihaz geçmişinin uzman tarafından korelasyon analizi
CGNAT kayıtlarıyla kullanım zamanları arasında bir ilişki var mı?
Yoksa “fail tespiti teknik olarak imkânsızdır” sonucu doğar.
9.2.d. Drive’ın hata kayıtları — Sync Conflict – Recovery Upload analizleri
Bu teknik hatalar olmadan dosyanın neden iki kez göründüğü açıklanamaz.
9.3. Adli Bilişim Raporu Olmadan Kast Unsuru Değerlendirilemez
TCK 226/3 bakımından “bilerek–isteyerek indirme” unsuru, yalnızca adli bilişim raporuyla test edilebilir. Çünkü:
9.3.a. Videonun hiç açılmamış olması → kastın yokluğu
Bu durum uzman raporuyla saniyesine kadar tespit edilebilir.
9.3.b. Senkronizasyon kaynaklı otomatik yükleme → kusursuz hareket
Bu tür yüklemelerde failin iradesi tamamen devre dışıdır.
9.3.c. Önceden indirilmiş dosyanın yeni cihazda otomatik oluşması
Bu durum yalnızca uzman log analiziyle ortaya çıkar.
9.4. NCMEC Dosyalarında Beraatin En Güçlü Dayanağı: Teknik Belirsizlik
Bu tür çocuk müstehcenliği soruşturmalarında en kritik değerlendirme şudur:
“Faili, kastı, yükleme iradesini ve dosyanın kullanıcı tarafından bilinçli işlendiğini ispatlayan teknik veri var mı?”
Bu dosyada yoktur.
Adli bilişim raporu alınmadan:
-
Yüklemeyi kimin yaptığı,
-
Nasıl yaptığı,
-
Ne zaman yaptığı,
-
Bilinçli olup olmadığı,
-
Sanığın ilgili içeriği görüp görmediği
hiçbiri ispatlanamaz.
Bu nedenle:
Yalnızca makul şüphe değil, doğrudan sanık üzerine yüklenecek bir durum olmayan açık ve teknik olarak giderilemeyen şüphe mevcuttur.
9.5. Adli bilişim raporu alınmadan mahkûmiyet kurulması teknik olarak imkânsızdır.
NCMEC raporları istihbari niteliktedir; tek başına delil olamaz. Drive mimarisi bilinçli yüklemeyi bilimsel olarak çürütmektedir. IP – port – cihaz – kullanıcı bağı mevcut değildir.
Avukat Orhan Önal’ın Bu Suçlarda En Çok Okunan Yazıları
- Teknik ve hukuk alanında tecrübe gerektiren bu konularda telafisi imkansız hak kayıplarına uğramamak için, mutlaka avukatınıza danışmanızı şiddetle önermekteyiz.
- Aradığınız dava türü veya hukuki ihtilaf hakkında *yazılar* bölümüne veya *NCMEC DAVALARI için* tıklayarak ya da sağ üst köşeden arama yaparak onlarca davanız hakkında dilediğinizi okuyup, araştırabilirsiniz.
-
AVUKAT DESTEĞİ
Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir, whatsapp hattına yazabilir (tıkla) veya aşağıdaki adrese mail atabilirsiniz.
Hafta içi: 09:00 – 19:00Cumartesi: 10:00 – 18:00Telefon: +90 532 282 25 23Gizlilik
Gizlilik, bir avukatın ve hukuk büromuzun en önemli etik ilkelerinden biridir; 1136 sayılı Kanunda tanımlanan gizlilik ve ifşa etmeme ilkesini çok dikkatli ve hassas bir şekilde uygular. Ancak büromuz, müvekkillerinin bilgi, belge ve bilgilerini gizlilik ve bilgi sorumluluğu sınırları içinde gizli tutar ve hiçbir şekilde ve hiçbir koşulda üçüncü kişi ve kurumlarla paylaşmaz.
-
Leave A Comment