NCMEC Raporu Nedir? Türkiye’de Ne İfade Eder?

NCMEC raporu, uygulamada sıkça görüldüğü üzere “suç sabittir” anlamına gelmez. Ceza muhakemesinde çoğu dosyada NCMEC/CyberTipline bildirimi; soruşturmayı başlatan ihbar–başlangıç verisi niteliğinde değerlendirilmesi gereken bir kayıt setidir. Asıl mesele, raporun “ne dediği” değil; rapordaki iddianın şüpheliye/sanıga hukuka uygun delillerle bağlanıp bağlanmadığıdır. Çünkü ceza yargılamasında mahkûmiyet; şüpheden sanık yararlanır ilkesi ve hukuka uygun delil rejimi içinde, “somut bağ” kurulmadan ayakta kalamaz.

Bu yazı, uzun yıllara dayalı olarak hem sahadan edindiğimiz savunma tecrübeleri hem de akademik çalışmalarımıza göre kaleme alınmıştır. Özellikle NCMEC raporu, NCMEC mağduriyeti, dijital delil, IP adresi–CGNAT, log kayıtları, adli bilişim, CMK 134 incelemesi, TCK 226 müstehcenlik suçu başlıklarında; dosyayı gerçekten bilen bir müdafi refleksiyle, “iddia → test → talep” omurgasını kurar.

1) NCMEC Raporunun Hukukî Değeri: “Delil” mi, “İhbar Verisi” mi?

Ceza muhakemesinde kilit soru şudur: NCMEC raporu, şüpheli/sanık ile isnat edilen fiil arasında “kesintisiz ve doğrulanabilir” bir bağ kuruyor mu?

NCMEC/CyberTipline raporlarında çoğu kez şu tür alanlar bulunur:

• IP adresi (tekil gibi görünür ama çoğu zaman kimliklendirme için yetersizdir),

• zaman damgası (UTC/yerel saat uyumu kritik),

• hesap kimliği / platform verisi (kullanıcı adı, ID, e-posta/telefon doğrulaması vb.),

• dosya/etiket/hâş (hash) gibi teknik işaretler.

Ancak bu alanların varlığı tek başına “fail kimliği” üretmez. Özellikle hash eşleştirme, çoğu zaman “içerik benzerliği/tekrar tespiti” açısından teknik bir kolaylıktır; kim yaptı sorusunun cevabı değildir. Bu nedenle NCMEC raporu çoğu dosyada, en fazla soruşturmayı başlatan veri ve “hangi kayıtlar istenmeli?” sorusuna yön veren bir iz olarak okunmalıdır.

NCMEC raporu mahkûmiyet delili gibi okunursa ne olur?

• IP = fail yanılgısı doğar.

• CGNAT, dinamik IP, ortak ağ ihtimalleri dışlanır.

• Zaman damgası hataları (UTC–yerel saat kayması) “aynı an” sanılıp yanlış kişiye döner.

• Dosya, “rapor var → suç var” kolaycılığına sürüklenir; bu da NCMEC mağduriyeti riskini artırır.

2) NCMEC Dosyalarında “Somut Bağ” Eşiği: CMK Mantığıyla Üçlü Test

NCMEC temelli soruşturmalarda mahkemenin ikna eşiği çoğunlukla şu üçleme üzerinde yükselir:

2.(i) Hukuka Uygun Elde Ediliş ve Muhafaza (Zincir)

Dijital delilin kıymeti; nasıl elde edildiği, nasıl kopyalandığı (imaj), nasıl korunduğu ve nasıl incelendiği ile ölçülür. Arama–el koyma–inceleme süreçlerinde (özellikle CMK 134 hattında) “zincir” kırılırsa, en güçlü görünen teknik veri bile tartışmalı hâle gelir.

Kontrol soruları:

• Arama/el koyma kararı ve kapsamı net mi?

• İmaj alma yöntemi, hash değerleri, tutanaklar tam mı?

• Kopya inceleme mi yapıldı, yoksa asıl veri üzerinde mi işlem yapıldı?

• Teslim–tesellüm ve muhafaza kayıtları tutarlı mı?

2.(ii) Sanığa Matuf Kimliklendirme (IP/Hesap/Cihaz Bağı)

Ceza yargılamasında kritik eşik: “bu veriler beni değil, beni gösteriyor” seviyesidir. IP, hesap ve cihazın aynı kişiye işaret etmesi için oturum–cihaz–log sürekliliği aranır.

Kontrol soruları:

• IP statik mi dinamik mi? Abonelik eşleştirmesi hangi tarihte hangi saat aralığında?

• CGNAT varsa port bilgisi ve zaman damgası var mı?

• Modem/wi-fi ortak kullanım mümkün mü (ev/iş yeri/komşu ağ/ misafir)?

• Hesap erişimi için cihaz parmak izi, oturum geçmişi, doğrulama kayıtları (2FA) var mı?

2.(iii) Kast ve Fiil (TCK 226 Uygulamasında “Fiilin Niteliği”)

NCMEC dosyaları çoğu kez TCK 226 müstehcenlik suçu bağlamında tartışılır. Burada mahkeme, “dosyada bir görüntü var mı?” sorusundan önce şu ayrımı arar:

• bulundurma mı?

• yayma/dağıtma mı?

• erişim sağlama mı?

• bilinçli irade/kast var mı, yoksa teknik bir senaryo mu?

Dijital verinin cihazda bulunması, her zaman bilinçli bulundurma anlamına gelmez. Önbellek (cache), otomatik indirme, üçüncü kişi erişimi, zararlı yazılım, senkronizasyon gibi ihtimaller; savunmada “kast” tartışmasını açan başlıklardır.

3) “NCMEC Mağduriyeti” Nasıl Doğar? En Sık Teknik ve Usulî Kaymalar

NCMEC mağduriyeti çoğu zaman “kötü niyet” değil; yanlış kimliklendirme veya teknik veriyi tek boyutlu okuma ile başlar. En sık görülen risk alanları şunlardır:

• Dinamik IP / IP havuzu: Aynı IP farklı zamanlarda farklı aboneye dönebilir.

• CGNAT: IP aynı kalır; kullanıcılar port–zaman üzerinden ayrışır. Port yoksa kimliklendirme eksik kalabilir.

• Ortak Wi-Fi / paylaşımlı modem: Ev/işyeri ağı, misafirler, çalışanlar, komşu sarkması.

• VPN / proxy / uzaktan erişim: IP’nin “coğrafî” ve “kişisel” anlamı zayıflar.

• Zararlı yazılım / otomasyon: Kullanıcının iradesi dışında veri üretimi/indirimi iddiası teknik incelemeye muhtaçtır.

• Zaman damgası uyumsuzluğu: UTC–TR saati kayması, rapordaki “an”ı farklı güne taşıyabilir.

Bu ihtimallerin hiçbiri tek başına “otomatik beraat” demek değildir; ama hepsi şunu söyler: dosyada “somut bağ” kurulmadan hüküm kurmak, telafisi zor mağduriyet üretir.

4) NCMEC’in “partner” ağı ve CyberTipline ihbarlarının en çok geldiği uygulamalar (resmî 2024 verisi)

Bu başlığı yazarken önce iki kavramı net ayırmanı öneririm; çünkü dosyalarda en çok kavram karmaşası buradan çıkıyor:

1. “Partnerlik / iş birliği” (kurumsal destek, teknoloji–altyapı katkısı, program iş birliği)

2. “CyberTipline’a rapor gönderen kaynak” (Electronic Service Provider/ESP olarak bildirim yapan platform)

Bu ikisi aynı şey değildir. Bir şirket NCMEC ile “kurumsal partner” olabilir; ayrıca (veya ayrıca olmadan) CyberTipline’a yükümlülük/ gönüllülük çerçevesinde rapor gönderebilir.

4.1 CyberTipline raporları kimin tarafından geliyor?

NCMEC’in kendi CyberTipline Data sayfasına göre:

• CyberTipline’a kamu + elektronik hizmet sağlayıcılar (ESP’ler) rapor gönderebilir.

• 2024’te toplam 20,5 milyon rapor var; bunun 164.497’si kamu, 20.348.306’sı ESP raporları.

• 2024’te rapor gönderebilecek şekilde 1.900+ ESP kayıtlı olmasına rağmen, yalnız 296 şirket fiilen rapor göndermiş; ilk 10 ESP, raporların %95’inden fazlasını oluşturmuş.

• ABD merkezli ESP’ler, platformlarında CSAM/çocuk istismarı materyali gibi içerikten haberdar olduklarında CyberTipline’a bildirim yapmakla yükümlü; ancak proaktif tarama yapma veya raporun hangi asgari teknik alanları içermesi gerektiğine dair yeknesak bir zorunluluk olmadığı vurgulanıyor.

Bu veri, “NCMEC raporu = her platform eşit yoğunlukta raporlar” varsayımını çürütür: Rapor hacmi, çoğu zaman (i) kullanıcı tabanı + (ii) tespit altyapısı + (iii) raporlama politikası ile ilgilidir; tek başına “suçun kesinliği” veya “failin kimliği” değildir.

4.2 NCMEC’in resmî “Corporate Partners” sayfasında teknoloji tarafında kimler öne çıkıyor?

NCMEC’in “Corporate Partners & Foundations” sayfasında teknoloji/online güvenlik ekseninde öne çıkarılan iş birlikleri; donasyon (finansal/in-kind), altyapı, eğitim programları ve gönüllü endüstri inisiyatifleri üzerinden anlatılıyor. Bu sayfada özellikle büyük teknoloji şirketleri ve bazı sosyal ağlarla “çocuk güvenliği / çevrim içi istismar ile mücadele” odaklı iş birliklerinden söz ediliyor.

Özetle; “NCMEC partnerliği; delilin doğruluğu için değil, ‘platform kaynaklı ihbar üretim mekanizmasının’ nasıl çalıştığını anlamak için önemlidir.” Tek kıstas ise bu üyelik olmayıp NCMEC çok taraflı diğer uygulamalar tarafından da ihbar raporu aldığı uygulamada nadir de olsa görülmektedir.

4.3 2024’te NCMEC CyberTipline’a en çok ihbar hangi uygulamalardan geliyor? (ESP rapor sayıları)

Aşağıdaki liste, NCMEC’in yayımladığı “2024 Reports by ESP” PDF’inde geçen rapor sayılarıdır (bir “rapor” birden çok öğe/hesap/içerik içerebilir; ayrıca raporlamada “bundling” gibi yöntemler hacmi etkileyebilir).

En yüksek hacimli sosyal ağ / mesajlaşma / içerik platformları (seçilmişler):

• Facebook: 8.590.359

• Instagram: 3.320.008

• WhatsApp: 1.851.086

• TikTok: 1.359.806

• Google: 1.175.084

• Snapchat: 1.174.698

• X: 686.176

• Imgur: 554.710

• Reddit: 334.597

• Discord: 241.354

Aynı ekosistem notu (savunma stratejisi açısından çok kritik): Ayrı ayrı listelenen Facebook + Instagram + WhatsApp + Threads toplamı 13.764.805 rapor yapıyor; bu da 2024 ESP toplamının yaklaşık %68’i demek.

• Bu ek olarak çok nadiren çoğalan TELEGRAM NCMEC ihbarları da değerlendirilmelidir. Burada asıl husus telegram ihbarlarının doğrudan mı, dolaylı mı olduğu ile ilgilidir.

4.4 Bu sayıların ceza dosyasında “nasıl okunması” gerekir? (NCMEC raporu – müstehcenlik – dijital delil)

Bu alt kısmı yazına eklersen, okuyucu “bu işi bilen avukat” hissini tam burada alır:

• Rapor sayısı ≠ suçun sabitliği. Bu rakamlar; tespit algoritmaları, kullanıcı ölçeği, raporlama politikası, “bundling”, uçtan uca şifreleme gibi teknik/operasyonel faktörlerle şişebilir veya düşebilir. NCMEC 2024 değerlendirmesinde, bazı platformlardaki rapor düşüş nedenlerini (ör. “bundling”, bazı süreç değişimleri, şifreleme geçişleri) ayrıca tartışıyor.

• NCMEC raporu, CMK mantığıyla “başlangıç verisi/ihbar” niteliğinde ele alınmalı; mahkûmiyet için “sanığa matuf kimliklendirme + hukuka uygun elde ediş + kastı gösteren somut delil bütünlüğü” aranmalı (CMK 134 dijital inceleme, log-oturum-cihaz eşleşmesi, IP/port/timestamp doğrulaması, hash eşleşmesi, zincir).

• “Hangi uygulama?” sorusu savunmada şunu sağlar: Raporun kaynağına göre hangi log setleri (oturum açma kayıtları, cihaz tanımlayıcıları, mesajlaşma/medya yükleme event’leri, CDN/edge log’ları, IP türü–CGNAT–port, UTC zaman uyumu) talep edileceği daha netleşir.

5) Etkin Savunmanın Omurgası: “İddia → Test → Talep” (Dosyayı Kazandıran Şablon)

NCMEC dosyalarında güçlü metin, süslü cümleyle değil; test edilebilir itiraz ve somut talep ile kurulur.

5.A) İddia (dosyanın iddia cümlesi)

“Rapor, şu IP/hesap/zaman üzerinden isnat kuruyor.”

5.B) Test (iddianın kırılacağı noktalar)

“Bu isnat sanığa somut bağ kurmuyor; çünkü…”

• IP, abonelik eşleştirmesi ile kişiye gider; fakat CGNAT/port/zaman yoksa kimliklendirme tamamlanmaz.

• Zaman damgası UTC/yerel uyumlu değilse “an” kayar.

• Hesap–cihaz–oturum sürekliliği kurulmadan “ben yaptım” denemez.

• Cihaz incelemesi, rapordaki iddiayı doğrulamıyor veya doğrulama yöntemi tartışmalıdır (imaj/hash/zincir).

5.C) Talep ( yargılama seyrine göre tevsii tahkikatın hedefi)

“Bu eksiklerin giderilmesi için…”

• Platform logları / oturum geçmişi / cihaz bilgisi istenmesi,

• IP–port–timestamp üçlüsünün netleştirilmesi,

• Adli bilişim incelemesinin (imaj, hash, rapor metodolojisi) denetlenmesi,

• Ortak kullanıcı/erişim iddiaları için tanık–yer–ağ altyapısı araştırması,

• Gerekirse bağımsız bilirkişi incelemesi.

Bu yapı, metni “laf” olmaktan çıkarır; mahkeme ikna diline taşır.

6) Müdafii/Şüpheli İçin “İlk 48 Saat” Kontrol Listesi

• NCMEC raporunun tam içeriği dosyaya girmiş mi? (ekler/metadata/hash alanları)

• Arama–el koyma işlemlerinde CMK 134 hattı doğru işletilmiş mi?

• İmaj/hash/tutanaklar tam mı? Zincir açık mı?

• IP’nin niteliği (statik/dinamik/CGNAT) belirli mi? Port var mı?

• Zaman damgası UTC mi, yerel mi? Çakışma var mı?

• Hesap–cihaz–oturum sürekliliği var mı?

• Cihazda iddiayı doğrulayan “kullanıcı davranışı” izleri var mı? (klasörleme, arama geçmişi, aktif erişim, paylaşım izleri)

  • Hepsinden öncesi ise duruma göre avukat zamanla yarıştığı için özellikle gözaltı ve ifade süreci öncesi dosya kapsamında en etkin ve en seri şekilde neyi nerede bulacağını görmektir.

Bu kontrol listesi, “NCMEC raporu var” cümlesini delil rejimine oturtur.

7) Sonuç Olarak NCMEC Nedir, Ne Değildir?

NCMEC raporu, genelde Türk yargısında en çok TCK 105, TCK 226 ve TCK 103 soruşturmalarını başlatmaya elverişli bir ihbar/başlangıç verisi olabilir; ancak ceza yargılamasında mahkûmiyet, yalnızca “raporda ad geçmesi” veya “bir IP görülmesi” ile kurulamaz. Mahkûmiyet için aranan eşik; sanığa matuf kimliklendirme, hukuka uygun elde edilmiş dijital delil zinciri ve kastı gösteren somut delil bütünlüğüdür. Bu bütünlük kurulmadan teknik verinin tek boyutlu yorumlanması; masum kişiler hakkında NCMEC mağduriyeti doğurur ve ceza muhakemesinin temel güvenceleriyle bağdaşmaz.

2024 yılı NCMEC verileri, CyberTipline raporlarının çok dar bir ESP grubunda toplandığını; özellikle büyük sosyal ağlar ve mesajlaşma servislerinin rapor hacminde belirleyici olduğunu gösterir. Ancak bu tablo, NCMEC raporunun tek başına mahkûmiyet delili sayılamayacağının da teknik ispatıdır: Rapor hacmi platform ölçeğini ve tespit/raporlama mimarisini yansıtır; fail kimliği ve kast ise ancak CMK’ya uygun dijital delil zinciri, sanığa matuf log/cihaz eşleştirmesi ve içerik doğrulaması ile kurulabilir.

Avukat Orhan ÖNAL’ın Bu Konuda Çok Sık Okunan Başka Yazıları;

• Avukat Orhan ÖNAL çizgisinde hazırlanan NCMEC Davaları & Soruşturmaları yazıları; tecrübeye dayalı genel bilgilendirme amaçlıdır; somut dosya stratejisi, evrak ve teknik rapor içeriğine göre ayrıca değerlendirilmelidir. Bu hususta ve benzeri nitelikte konularda ise uzun yıllardır üzerinde çalıştığımız ancak bir türlü tamamlayamadığımız “NCMEC Uygulamaları Kitabında” da detaylıca yer verilmektedir.
• Teknik ve hukuk alanında tecrübe gerektiren bu konularda telafisi imkansız hak kayıplarına uğramamak için, mutlaka avukatınıza danışmanızı şiddetle önermekteyiz.
• Benzer NCMEC’den doğan ceza davalarından gördüğümüz; her nevinden NCMEC davalarında farklı savunma argümanları geliştirilerek hareket edilmesi gerekliliğinin unutulmamasını ve mutlaka avukatınızla hareket edilerek savunma yapılmasını unutmamanızı şiddetle tavsiye ederiz.
• Aradığınız dava türü veya hukuki ihtilaf hakkında *yazılar*  bölümüne veya *NCMEC DAVALARI için* tıklayarak ya da sağ üst köşeden arama yaparak onlarca davanız hakkında dilediğinizi okuyup, araştırabilirsiniz.

  • AVUKAT DESTEĞİ

    Randevu almak için çalışma saatleri içerisinde aşağıdaki telefon aracılığı ile ulaşabilir, whatsapp hattına yazabilir (tıkla) veya aşağıdaki adrese mail atabilirsiniz. 

    Hafta içi: 09:00 – 19:00
    Cumartesi: 10:00 – 18:00

    Telefon: +90 532 282 25 23

    Gizlilik

    Gizlilik, bir avukatın ve hukuk büromuzun en önemli etik ilkelerinden biridir; 1136 sayılı Kanunda tanımlanan gizlilik ve ifşa etmeme ilkesini çok dikkatli ve hassas bir şekilde uygular. Ancak büromuz, müvekkillerinin bilgi, belge ve bilgilerini gizlilik ve bilgi sorumluluğu sınırları içinde gizli tutar ve hiçbir şekilde ve hiçbir koşulda üçüncü kişi ve kurumlarla paylaşmaz.