A. TCK 226 Kapsamında Her Teknik İz Ceza Hukukunda “Bulundurma” veya “Depolama” Değildir

A.1 Giriş: Dijital Delil Vardır, Fakat Her Dijital Kalıntı Suç Delili Değildir

TCK 226 kapsamında yürütülen müstehcenlik soruşturmalarında en kritik hata, cihazda tespit edilen her görüntü, video, thumbnail, cache path, önbellek verisi veya uygulama artığının doğrudan “bulundurma” ya da “depolama” olarak kabul edilmesidir. Bu yaklaşım teknik olarak eksik, ceza hukuku bakımından ise tehlikelidir. Çünkü ceza yargılamasında mesele, yalnızca bir dosyanın cihazda bulunup bulunmadığı değildir. Asıl mesele şudur:

• Sanık bu dosyayı bilerek mi indirmiştir?
• Dosya üzerinde fiilî hâkimiyet kurmuş mudur?
• Dosyayı saklama, tasnif etme, yeniden açma veya kullanma iradesi var mıdır?
• Yoksa dosya, işletim sistemi veya uygulama tarafından otomatik olarak oluşturulmuş geçici bir dijital kalıntı mıdır?

İşte cache/önbellek savunması tam olarak bu ayrım üzerine kurulmalıdır. Bir dosyanın cihazda teknik olarak görünmesi, sanığın o dosyayı hukuken anlamlı şekilde “bulundurduğu” veya “depoladığı” anlamına gelmez.

A.2 TCK 226/3-2, “cihazda iz bulunmasını” değil, iradi seçimlik hareketleri cezalandırır

TCK 226/3. fıkranın ikinci cümlesinde; çocukların, temsili çocuk görüntülerinin veya çocuk gibi görünen kişilerin kullanıldığı müstehcen ürünleri ülkeye sokan, çoğaltan, satışa arz eden, satan, nakleden, depolayan, ihraç eden, bulunduran veya başkalarının kullanımına sunan kişinin cezalandırılacağı düzenlenmiştir. Kanun metninde dikkat edilmesi gereken nokta şudur: “Bir cihazda teknik iz bulunması” şeklinde bağımsız bir seçimlik hareket yoktur. Seçimlik hareketler failin iradesine, fiilî hâkimiyetine ve kastına bağlı davranışlardır.

Bu nedenle TCK 226/3-2. cümle kapsamında çocukların kullanıldığı müstehcen görüntüleri depolama veya bulundurma suçu, sadece adli bilişim raporunda bir dosya adının veya path bilgisinin görünmesiyle oluşmaz.

A.3 TCK 20 ve TCK 21 ile birlikte okuma zorunluluğu

Ceza sorumluluğu şahsidir. Kural olarak kast olmadan ceza sorumluluğu kurulamaz. Bu nedenle TCK 226/3-2 bakımından da sanığın, suç konusu olduğu ileri sürülen ürünü bilerek ve isteyerek depoladığı veya bulundurduğu ispatlanmalıdır.

Bu ispat yapılmadan, yalnızca “cihazda veri çıktı” denilerek mahkûmiyet kurulması, ceza hukukunu dijital otomasyonun arkasına saklamak anlamına gelir. Böyle bir yaklaşım, kusur ilkesini ve şüpheden sanık yararlanır ilkesini işlevsiz bırakır.

B. Cache / Önbellek Nedir ve Neden Doğrudan Suç Delili Sayılamaz?

B.1 Cache, çoğu zaman kullanıcının değil sistemin hareketidir

Cache/önbellek; telefon, bilgisayar, tarayıcı, sosyal medya uygulaması veya medya oynatıcı tarafından daha hızlı erişim sağlamak için oluşturulan geçici veri alanıdır. Kullanıcı bir dosyayı “indir” veya “kaydet” demeden de uygulamalar;

görsel önizleme, thumbnail, video parçası, mesaj eki kalıntısı, medya oynatıcı geçici dosyası, tarayıcı geçici internet dosyası, uygulama içi cache artefaktı oluşturabilir.

Bu nedenle dijital adli bilişimde bir dosyanın path/yol bilgisi hayati önemdedir.Örneğin dosya aktif kullanıcı klasöründe mi, galeri alanında mı, indirilenler klasöründe mi, yoksa /cache, /temp, thumbnail, app data, unallocated space, deleted items, video cache, WhatsApp/Media, Telegram cache, Whatsapp cache gibi teknik alanlarda mı bulunmuştur? Bu ayrım yapılmadan ceza hukuku bakımından sağlıklı bir sonuca varılamaz.

B.2 Cache path, failin kastını otomatik göstermez

Bir dosyanın cache path içinde bulunması, çoğu zaman şu ihtimalleri açık bırakır:

• Dosya otomatik önizleme olarak oluşmuş olabilir.
• Kullanıcı dosyayı hiç açmamış olabilir.
• Dosya tamamlanmamış parça veri olabilir.
• Dosya thumbnail olabilir.
• Dosya başka uygulamanın geçici medya önbelleği olabilir.
• Dosya eski kullanıcıdan, ikinci el cihazdan veya yedekten gelmiş olabilir.
• Dosya silinmiş alandan adli bilişim yazılımıyla kurtarılmış olabilir.

Bu ihtimaller teknik olarak dışlanmadan “bulundurma” veya “depolama” kabulü yapılamaz.

C. Yargıtay 12. Ceza Dairesi 2023/1096 E., 2023/5504 K.: Cache Savunmasının Ana Omurgası

C.1 Kararın özü

Yargıtay 12. Ceza Dairesi’nin 11.12.2023 tarihli, 2023/1096 E., 2023/5504 K. sayılı kararında sanığın telefonunda çocuk olduğu düşünülen cinsel içerikli görüntüler tespit edilmiş; sanık ise görüntülerin bir gruptan otomatik olarak telefonuna indiğini savunmuştur. Kararda bilirkişi raporunda dosya konumunun Phone\WhatsApp\Media\WhatsApp Video olarak gösterildiği, sanığın da bu görüntülerin otomatik indiğini savunduğu belirtilmiştir.

Yargıtay bu olayda doğrudan şu ayrımı yapmıştır: Bir bilişim sisteminde depolamadan söz edilebilmesi için verilerin ileride yeniden kullanılabilme amacıyla biriktirilmesi, tasnif edilmesi ve yeterli süre bulundurulması gerekir. Salt görüntülere bakmak, seyretmek veya dinlemek, depolama veya bulundurma amacı yoksa bu suçu oluşturmaz.

C.2 Kararın cache/önbellek bakımından en güçlü cümlesi

Kararda, internet sitesi ziyareti sırasında müstehcen verilerin otomatik olarak sistem dosyasına geçici şekilde kaydedilmesi hâlinde, bu iradi olmayan işlem nedeniyle kural olarak depolama veya bulundurma kastından söz edilemeyeceği kabul edilmiştir. Ayrıca Yargıtay, sosyal medya üzerinden gelen ve geçici şekilde kaydedilmiş görüntüler olup olmadığının tereddüde yer bırakmayacak şekilde araştırılması gerektiğini belirtmiştir.

Bu karar, özellikle WhatsApp, Telegram, Instagram, tarayıcı cache, video player önbelleği ve uygulama geçici dosyaları bakımından son derece önemlidir. Çünkü karar, telefon içindeki bir medya dosyasını otomatik olarak suç delili saymamakta; dosyanın hangi yolla oluştuğunu, geçici kayıt olup olmadığını ve sanığın depolama kastını ayrıca aramaktadır.

C.3 Kararın savunmaya verdiği net formül

Bu kararın TCK 226 savunmasına verdiği formül şudur:

• Cihazda veri bulunması tek başına yetmez.
• Veri geçici kayıt olabilir.
• Veri sosyal medya uygulaması tarafından otomatik indirilmiş olabilir.
• Veri cache/önbellek niteliğinde olabilir.
• Depolama için ileride yeniden kullanma, biriktirme, tasnif ve yeterli süre fiilî hâkimiyet gerekir.
• Bilinçli saklama ve yeniden kullanım teknik olarak ispatlanmadan mahkûmiyet kurulamaz.

Bu nedenle cache/önbellek dosyaları, sanığın açık bir indirme, saklama, taşıma, yeniden adlandırma, klasörleme, arşivleme veya yeniden kullanma iradesi gösterilmedikçe TCK 226/3-2 kapsamında depolama veya bulundurma sayılamaz.

D. Yargıtay 18. Ceza Dairesi 2018/377 E., 2019/9645 K.: Geçici İnternet Dosyaları ve Orijinal İmaj Zorunluluğu

D.1 Depolama, teknik değil hukuki bir kavramdır

Yargıtay 18. Ceza Dairesi’nin 23.05.2019 tarihli, 2018/377 E., 2019/9645 K. sayılı kararında da aynı çizgi güçlü biçimde kurulmuştur. Daire, TCK 226/3-2 ve 226/4 kapsamındaki suçlarda “depolama” kavramını açıklarken, bir bilişim sisteminde depolamadan söz edebilmek için verilerin ileride yeniden kullanma amacıyla biriktirilmesi, tasnif edilmesi ve yeterli süre bulundurulması gerektiğini belirtmiştir.

Kararda ayrıca şu kritik ilke ortaya konulmuştur: Depolama veya bulundurma eylem ve amacı olmadan salt görüntülere bakmak, seyretmek veya dinlemek suretiyle TCK 226 kapsamındaki suçlar işlenemez.

D.2 Temporary internet files / geçici internet dosyaları ayrımı

Yargıtay 18. Ceza Dairesi, müstehcen verilerin internet sitesi ziyareti sırasında otomatik olarak sistem dosyasına geçici şekilde kaydedilmesi hâlinde, bu iradi olmayan işlem nedeniyle kural olarak depolama veya bulundurma kastından söz edilemeyeceğini kabul etmiştir. Kararda açıkça “geçici internet dosyaları (temporary internet files)” ifadesi kullanılmaktadır.

Bu ifade, adli bilişim raporlarında geçen cache / önbellek / temp / temporary files alanlarının ceza hukuku bakımından nasıl değerlendirilmesi gerektiğini gösterir. Yargıtay’ın aradığı şey basittir: Dosya geçici alanda mı, otomatik mi oluşmuş, kullanıcı iradesi var mı, sanık dosyayı sonradan açmış veya kullanmış mı?

D.3 Şüphe varsa, Orijinal imaj üzerinden bilirkişi incelemesi şarttır

Aynı kararda Yargıtay, görüntülerin geçici internet dosyaları arasında olup olmadığının, işletim sistemi tarafından otomatik mi yoksa kullanıcı tarafından iradi olarak mı indirildiğinin, başka bir ortamdan mı kopyalandığının, orijinal sabit disk imajı üzerinden detaylı ve denetime açık uzman bilirkişi raporuyla belirlenmesi gerektiğini belirtmiştir.

Bu ilke, telefon dosyalarında da aynen uygulanmalıdır. Çünkü telefon adli bilişiminde de mesele aynıdır: Cihazda görünen dosyanın aktif kullanıcı iradesiyle mi, yoksa uygulama/işletim sistemi davranışıyla mı oluştuğu belirlenmelidir. Bu rapor alınmadan dosya içeriğinde cachepath gibi izler varsa; şüpheden sanık yararlanır denilerek beraate hükmedilmesi gerekir.

E. Yargıtay 18. Ceza Dairesi 2019/11389 E., 2020/6383 K.: Bilirkişi Raporu Yüzeysel Olamaz

E.1 Genel tarama raporu mahkûmiyet için yeterli değildir

Yargıtay 18. Ceza Dairesi’nin 2019/11389 E., 2020/6383 K. sayılı kararında da geçici internet dosyaları, otomatik kayıt, iradi indirme ve depolama kastı ayrımı yeniden vurgulanmıştır. Kararda, sanığın bilgisayarındaki görüntülerin geçici internet dosyalarında bulunup bulunmadığının, otomatik mi yoksa iradi mi kaydedildiğinin bilirkişi incelemesiyle belirlenmesi gerektiği ifade edilmiştir.

Bu kararın önemi şudur: Mahkeme, “bilgisayarda görüntüler bulundu” tespitiyle yetinemez. Hangi dosyanın nerede bulunduğu, nasıl oluştuğu, hangi tarihte yüklendiği, açılıp açılmadığı, geçici dosya mı yoksa bilinçli depolama alanı mı olduğu teknik olarak belirlenmelidir.

E.2 “Cache path” varsa bilirkişi soruları değişir

Bir dijital delil raporunda dosya yolunun cache/temp/temporary internet files/thumbnail/video cache gibi alanları göstermesi hâlinde mahkeme artık klasik “dosya var mı yok mu?” sorusunu değil, şu soruları sormalıdır:

1. Bu dosya kullanıcı tarafından mı oluşturulmuştur?
2. İşletim sistemi veya uygulama tarafından mı otomatik üretilmiştir?
3. Dosya tam ve oynatılabilir midir?
4. Dosya thumbnail veya fragment niteliğinde midir?
5. Dosya galeriye veya kullanıcı klasörüne taşınmış mıdır?
6. Kullanıcı dosyayı sonradan açmış, izlemiş veya paylaşmış mıdır?
7. Dosya üzerinde tasnifleme, adlandırma, arşivleme izi var mıdır?
8. Bu sorulara cevap verilmeden cache path üzerinden TCK 226/3-2 mahkûmiyeti kurulamaz.

F. Yargıtay 18. Ceza Dairesi 2018/5969 E., 2019/10900 K.: Salt Seyretme ve Depolama Ayrımı

Yargıtay 18. Ceza Dairesi’nin 2018/5969 E., 2019/10900 K., 19.06.2019 tarihli kararında da depolama kavramı açıklanmış; TCK 226/3-2 ve 226/4 kapsamındaki seçimlik hareketlerin oluşabilmesi için suç konusu ürünlerin depolanması veya bulundurulması gerektiği belirtilmiştir. Kararda depolama, bilişim alanında bir bellek cihazına veriyi yerleştirmek veya saklamak olarak ele alınmış; bilişim sisteminde depolama için verilerin ileride yeniden kullanma amacıyla biriktirilmesi, tasnif edilmesi ve yeterli süre bulundurulması gerektiği ifade edilmiştir.

Bu karar, cache savunmasında şu açıdan değerlidir: TCK 226/3-2 bakımından sanığın suç konusu ürün üzerinde hukuken anlamlı bir dijital hâkimiyet kurması gerekir. Salt teknik temas, salt görüntüye maruz kalma veya salt izleme iddiası depolama/bulundurma kastını tek başına göstermez.

G. Cache Dosyası Hangi Hâllerde Suç Delili Olamaz?

G.1 Otomatik oluşmuşsa

İşletim sistemi, tarayıcı, sosyal medya uygulaması veya mesajlaşma programı tarafından otomatik oluşturulan geçici kayıtlar, sanığın açık indirme veya saklama iradesini göstermez.

G.2 Kullanıcıya görünür değilse

Dosya normal galeri, indirilenler veya açık kullanıcı klasöründe değil; uygulama cache alanında, sistem klasöründe, thumbnail veritabanında veya silinmiş alanda bulunuyorsa, bu durum iradi bulundurma iddiasını zayıflatır.

G.3 Tam dosya değilse

Thumbnail, fragment, partial download, bozuk video, küçük önizleme veya medya indeks kalıntısı olan veriler, suç konusu ürünün sanık tarafından depolandığı sonucunu kendiliğinden doğurmaz.

G.4 Açılma / izlenme izi yoksa

Player history, recent files, MediaStore, galeri veritabanı, uygulama logu, erişim zamanı veya kullanıcı hareketi yoksa, dosyanın sanık tarafından bilerek kullanıldığı söylenemez.

G.5 Taşıma, adlandırma, klasörleme yoksa

Sanığın dosyayı başka klasöre taşıdığı, özel klasör açtığı, isimlendirdiği, arşivlediği veya gizlediği gösterilemiyorsa depolama kastı ispatlanmış olmaz.

G.6 Hash ve kaynak bağlantısı kurulmamışsa

NCMEC raporu, Telegram kanalı, WhatsApp grubu veya başka dijital kaynakla dosya arasında hash, timestamp, message ID, URL, kanal ID veya indirme logu eşleşmesi yoksa dosyanın kaynağı belirsiz kalır.

H. Cache Dosyası Hangi Hâllerde Aleyhe Yorumlanabilir? Bu Husus Çok Kritik!

Bu savunmanın güvenilir olması için istisnaları da dürüstçe görmek gerekir. Yargıtay da geçici dosya savunmasını mutlak ve sınırsız bir dokunulmazlık olarak kabul etmemektedir.

H.1 Kullanıcı bilerek geçici dosya alanına atmışsa (yani bir nevi kasıtlı bir kamulaj iddiası)

Kişi müstehcen verileri gizlemek amacıyla sistem dosyaları veya temporary internet files içine bilinçli biçimde yerleştirmişse, bu artık otomatik cache savunması değildir. Yargıtay 12. Ceza Dairesi de bu ihtimali istisna olarak kabul etmektedir.

H.2 Otomatik biriktiğini bilip sonradan yeniden kullanmışsa (ispatı zordur, etkin savunma ile yine beraat)

Fail, internet veya uygulama kullanımı sırasında görüntülerin geçici dosyalarda biriktiğini biliyor ve daha sonra bu dosyaları açarak yeniden kullanıyorsa, artık sadece pasif teknik kayıt değil, bilinçli yararlanma tartışılır.

H.3 Dosyalar tasniflenmiş, saklanmış veya arşivlenmişse (pathlar açık olmalı)

Özel isimli klasörler, tekrar izleme geçmişi, arşivleme, silinen veriyi geri getirme yazılımları, gizleme araçları veya çok sayıda düzenli dosya dizilimi varsa, depolama kastı tartışılabilir. Bu nedenle doğru savunma şudur:

İstisnai; “cache” (ön bellek verisi) dosyasından ceza verilemez. Ama bu cümle teknik olarak şöyle tamamlanmalıdır: Cache dosyasından, sanığın bilinçli indirme, saklama, tasnifleme, yeniden kullanma veya fiilî hâkimiyet kurma iradesi ayrıca ispatlanmadan ceza verilemez.

I. Adli Bilişim Raporlarında Aranması Gereken Zorunlu Teknik Veriler

I.1 “Cihazda bulundu” ifadesi rapor değildir; sonuç cümlesidir

TCK 226 müstehcenlik suçu bakımından adli bilişim raporunda “cihazda görüntüler bulundu” denilmesi yeterli değildir. Bu ifade, ceza yargılaması için teknik değil, sonuçsal bir cümledir. Gerçek bir adli bilişim raporu, her bir dosya için şu bilgileri ayrı ayrı göstermelidir:

Dosya path/yol bilgisi, Hash değeri, Oluşturulma, değiştirilme ve erişim zamanları, Kaynak uygulama, Kullanıcıya görünürlük durumu, Galeri veya MediaStore kaydı, Açılma/izlenme/geçmiş bilgisi, Dosyanın tam dosya mı, thumbnail mı, fragment mı olduğu, Silinmiş alan mı, aktif alan mı, cache alanı mı olduğu, Manuel indirme veya otomatik kayıt ayrımı

Bu bilgiler yoksa rapor, mahkûmiyete elverişli değildir. En fazla ek inceleme gerektiren ön rapor niteliğindedir. Ancak bu hususu Mahkeme’ye çoğu zaman izah etmek sandığımızdan da zor olabilir.

I.2 Path / dosya yolu: savunmanın ilk bakacağı yer

Dijital materyal incelemesinde en kritik alan path, yani dosya yoludur. Çünkü dosyanın nerede bulunduğu, çoğu zaman dosyanın nasıl oluştuğu hakkında ilk ve en önemli işareti verir. Bir dosya şu alanlarda bulunabilir:

• Downloads / İndirilenler
• DCIM / Kamera klasörü
• Gallery / Galeri
• WhatsApp/Media
• Telegram/Telegram Video
• Android/data/…/cache
• browser cache
• temporary internet files
• thumbnail klasörü
• video player temp
• deleted files
• unallocated space

Bu alanların hepsi hukuken aynı değildir. Galeride görünen ve kullanıcı tarafından yeniden adlandırılmış bir dosya ile, uygulama cache alanında kalan otomatik thumbnail aynı delil değerine sahip olamaz. Yargıtay 18. Ceza Dairesi’nin 2018/377 E., 2019/9645 K. sayılı kararında da geçici internet dosyaları/temporary internet files ayrımı yapılmış; verilerin otomatik geçici kayıt mı, yoksa iradi indirme mi olduğunun orijinal imaj üzerinden uzman bilirkişi raporuyla belirlenmesi gerektiği vurgulanmıştır.

Bursa tipi dosya örneği

Bursa’da görülen takip ettiğimiz bir soruşturma dosyasında; cihazda “video cache” alanında birkaç dosya bulunabilir. Kolluk raporu bunları “müstehcen video” diye listeleyebilir. Ancak path bilgisi, dosyaların bir video oynatıcının geçici belleğinde bulunduğunu gösterebilir. Bu hususta açılan eksik teknik veri ile devam eden davamızda sonuç aldık.

Bu durumda doğru soru şudur: Sanık bu videoları bilerek mi kaydetti, yoksa oynatma/önizleme sırasında sistem mi geçici veri oluşturdu?

I.3 Hash değeri: NCMEC, Telegram ve cihaz bağlantısının anahtarı

Hash değeri, dijital dosyanın parmak izidir. Bir dosyanın NCMEC raporundaki içerikle, Telegram kanalındaki arşivle veya cihazdaki video ile aynı olup olmadığını anlamanın en güvenilir yolu hash karşılaştırmasıdır. Bir dosya bakımından hash değeri yoksa, “bu içerik NCMEC raporundaki içeriktir” veya “bu dosya Telegram’dan indirilmiştir” demek çoğu zaman varsayımdır.

Adli bilişim raporunda her dosya için MD5, SHA-1 veya SHA-256 gibi hash değerleri gösterilmeli; NCMEC raporundaki hash, Telegram kaynak dosyası veya başka dosya ile karşılaştırılmalıdır.

Savunma burada şu cümleyi kurmalıdır: Hash yoksa teknik özdeşlik yoktur; teknik özdeşlik yoksa delil kümeleri birbirinin yerine kullanılamaz.

I.4 Timestamp / zaman damgası: olay tarihiyle dosya tarihi örtüşüyor mu?

Bir dosyanın ne zaman oluşturulduğu, ne zaman değiştirildiği, ne zaman erişildiği ayrı ayrı önemlidir. Sadece create date yeterli değildir. Modify date ve access date de incelenmelidir. Ayrıca cihaz saati, UTC/local time dönüşümü, yaz saati uygulaması, platform saat dilimi ve operatör kayıtları da uyumlu olmalıdır.

NCMEC raporlarında saat bilgisi UTC olabilir. Cihaz raporunda yerel saat olabilir. Operatör kaydında farklı zaman formatı olabilir. Bu farklar düzeltilmeden yapılan eşleştirme sağlıklı değildir.

I.5 Access log / açılma izi: dosya gerçekten görülmüş mü?

TCK 226/3-2 bakımından en önemli sorulardan biri şudur: Sanık dosyayı açmış mı, izlemiş mi, yeniden kullanmış mı?

Bunu gösterebilecek teknik alanlar şunlardır:

video player history, recent files, MediaStore kaydı, galeri indeks kaydı, uygulama veri tabanı, Telegram local database, WhatsApp media database, access timestamp, thumbnail üretim tarihi, paylaşım / forward kaydı….

Eğer dosyanın açıldığına veya izlendiğine dair teknik kayıt yoksa, özellikle cache/önbellek alanında bulunan veriler bakımından iradi depolama iddiası zayıflar.

Yargıtay 18. Ceza Dairesi’nin 2018/5969 E., 2019/10900 K. sayılı kararında temporary internet files/geçici internet dosyaları içinde bulunan görüntüler bakımından depolama yapılmadan internet üzerinden izleme ve geçici kayda düşme olgusunun beraat değerlendirmesinde önemli olduğu görülmektedir.

I.6 Dosya türü: tam video mu, thumbnail mı, fragment mı?

Adli bilişim raporlarında sıkça yapılan hatalardan biri, küçük önizleme görsellerinin veya fragment dosyalarının tam içerik gibi yazılmasıdır.

Oysa bir dosya;

• thumbnail,
• preview,
• partial download,
• bozuk video,
• metadata artığı,
• otomatik önizleme,
• temp fragment

olabilir.

Bu durumda o verinin hukuki anlamda “ürün” olarak kabul edilip edilemeyeceği ayrıca tartışılmalıdır. Özellikle TCK 226/3-2 gibi ağır sonuç doğuran suçlarda, dosyanın tam, oynatılabilir, erişilebilir ve kullanıcı hâkimiyetinde olup olmadığı açıklığa kavuşturulmalıdır.

Muğla tipi dosya örneği

Muğla’da (takip ettiğim bir Bodrum davamızda da gördüğümüz üzere) turistik bölgelerde ortak Wi-Fi, ortak cihaz, kiralık ev veya ikinci el telefon kullanımından kaynaklanan dosyalarda, cihazda bulunan verilerin kim tarafından, hangi ağ üzerinden ve hangi tarihte oluştuğu netleşmeyebilir. Bu durumda thumbnail veya cache verisinin doğrudan sanığa yüklenmesi, ceza hukukunun şahsilik ilkesine aykırı sonuç doğurabilir.

I.7 Kaynak uygulama: veri nereden geldi?

Dosya Telegram’dan mı geldi? WhatsApp grubundan mı otomatik indi? Instagram önizlemesi mi? Tarayıcı cache’i mi? Video oynatıcı geçici belleği mi? Bulut yedeğinden mi senkronize oldu? Kaynak uygulama bilinmeden kast kurulamaz.

Özellikle Telegram müstehcenlik soruşturması dosyalarında, cihazdaki her görüntünün Telegram’dan geldiği varsayılır. Bu teknik olarak hatalıdır. Aynı görsel farklı uygulamalardan, bulut yedeklerinden, eski cihazlardan, otomatik senkronizasyondan veya üçüncü kişiden gelebilir.

I.8 Kullanıcıya görünürlük: sanık bu dosyayı normal kullanımda görebiliyor muydu?

Bir dosyanın adli bilişim yazılımıyla bulunması, kullanıcının onu normal telefon arayüzünde gördüğü anlamına gelmez. Dosya kullanıcıya görünür değilse, galeriye düşmemişse, medya veritabanında indekslenmemişse, uygulama cache alanında kalmışsa veya silinmiş alandan kurtarılmışsa, failin dosya üzerindeki bilinçli hâkimiyeti ayrıca ispatlanmalıdır.

Bu noktada savunmanın cümlesi şudur: Adli bilişim yazılımının gördüğü her dosyayı kullanıcı görmüş saymak, teknik incelemeyi ceza sorumluluğunun yerine koymaktır.

I.9 Adli emanet ve imaj bütünlüğü

Dijital delilin güvenilirliği için yalnızca içerik değil, adli süreç de önemlidir. Mutlaka şu hususlar raporda bulunmalıdır:

• Cihaza ne zaman el konuldu?
• Cihaz kim tarafından teslim alındı?
• Fiziki cihaz bilgileri nelerdir?
• IMEI/seri numarası nedir?
• Adli imaj ne zaman alındı?
• İmaj hash değeri nedir?
• İnceleme orijinal cihazda mı, imaj üzerinde mi yapıldı?
• İnceleme aracı ve versiyonu nedir?
• Zincirleme muhafaza tutanağı tam mı?

Bu bilgiler eksikse dijital delilin güvenilirliği tartışmaya açılır.

İ. NCMEC, Telegram ve Cache Dosyaları Aynı Sepete Konulamaz

İ.1 Dijital müstehcenlik dosyalarında en büyük hata: delil kümelerini birbirine karıştırmak

TCK 226 kapsamında yürütülen müstehcenlik suçu soruşturmalarında, özellikle çocukların kullanıldığı müstehcen görüntüleri depolama veya bulundurma iddiası varsa, dosya çoğu zaman üç farklı delil kümesinden oluşur: NCMEC raporu, Telegram/para transferi iddiası ve telefon ya da bilgisayarda bulunduğu ileri sürülen cache/önbellek verileri. Bu üç alan birbirine benzer görünür; fakat ceza hukuku bakımından aynı şey değildir.

NCMEC raporu, çoğu zaman sosyal medya platformu kaynaklı bir bildirimdir. Telegram boyutu, genellikle bir kanal, grup, ödeme, IBAN, kripto ya da dijital içerik satışı iddiası etrafında şekillenir. Cache/önbellek verileri ise cihazın teknik işleyişi sonucunda oluşabilen geçici dosya, thumbnail, video cache, uygulama artığı veya sistem kalıntısı niteliğinde olabilir. Bu üç ayrı unsur, ancak teknik ve hukuki bağ kurulursa birlikte değerlendirilebilir. Aksi hâlde dosyada “şüphelerin toplamından mahkûmiyet” üretilmiş olur.

İ.2 NCMEC raporu fail aidiyetini tek başına ispatlamaz

NCMEC raporu, ceza soruşturması açısından önemlidir; ancak tek başına kesin fail tespiti değildir. Raporun içinde hesap adı, kullanıcı adı, IP, tarih-saat, içerik hash’i veya platform bildirimi bulunması, doğrudan sanığın suç işlediğini göstermez. Bir NCMEC dosyasında sorulması gereken ilk soru şudur: Bu hesabı olay tarihinde kim kullanıyordu?

İkinci soru şudur:Gönderim hangi cihazdan, hangi IP’den, hangi porttan, hangi oturumdan ve hangi user-agent bilgisiyle yapılmıştır?

Üçüncü soru ise daha da önemlidir: NCMEC raporundaki içerik ile sanığın cihazındaki dosya arasında hash, zaman damgası, mesaj ID’si veya kaynak uygulama bağlantısı var mıdır?

Bu bağlantılar kurulmadığında, NCMEC raporu ancak soruşturmayı başlatan bir ihbar niteliğinde kalır. Ceza mahkûmiyeti için ise raporun, teknik loglarla, hesap aidiyetiyle, cihaz eşleşmesiyle ve kullanıcı hareketleriyle desteklenmesi gerekir.

İzmir tipi dosya örneği

İzmir’de takip ettiğimiz bir savcılık dosyasında; NCMEC kaynaklı müstehcenlik dosyalarında sıkça görülen senaryo şudur: Instagram hesabı üzerinden çocuk olduğu iddia edilen bir hesaba görsel gönderildiği ileri sürülür. Fakat hesapta kullanılan telefon numarası eski hat olabilir, IP CGNAT arkasında kalabilir, port bilgisi dosyada bulunmayabilir veya hesabın olay tarihindeki aktif kullanıcısı netleşmemiş olabilir.

Böyle bir dosyada yalnızca NCMEC raporuna dayanarak TCK 226 kapsamında mahkûmiyet kurulamaz. Önce hesap, cihaz ve kullanıcı eşleşmesi tereddütsüz kurulmalıdır.

İ.3 Telegram para transferi, depolama veya bulundurma değildir

Telegram soruşturmalarında sık yapılan ikinci hata, bir hesaba para gönderilmesini doğrudan çocukların kullanıldığı müstehcen görüntüleri satın alma, depolama veya bulundurma şeklinde yorumlamaktır.

Oysa TCK 226/3-2. cümlede cezalandırılan seçimlik hareketler bellidir: ülkeye sokma, çoğaltma, satışa arz etme, satma, nakletme, depolama, ihraç etme, bulundurma veya başkalarının kullanımına sunma. Kanun metninde “satın alma” bağımsız bir seçimlik hareket olarak düzenlenmiş değildir. Bu nedenle para transferi iddiası, tek başına TCK 226/3-2 kapsamında mahkûmiyet delili olamaz. TCK 226’nın metninde depolama ve bulundurma gibi seçimlik hareketler açıkça sayılmaktadır; ancak bu hareketlerin her biri ayrıca ispatlanmalıdır.

Para transferinin ceza dosyasında anlam kazanabilmesi için şu bağlantılar kurulmalıdır:

• Ödeme hangi içerik için yapılmıştır?
• Ödeme karşılığında hangi link, dosya, kanal üyeliği veya arşiv gönderilmiştir?
• Bu linke sanık tarafından erişilmiş midir?
• Dosya indirilmiş midir?
• İndirilen dosya hangi cihazda, hangi path içinde bulunmuştur?
• Telegram’daki içerik ile cihazdaki veri arasında hash eşleşmesi var mıdır?

Bu zincir kurulmadan, Telegram para transferi yalnızca şüpheli bir ekonomik hareket olarak kalır. Ceza hukukunda ekonomik şüphe, tek başına dijital materyal bulundurma suçunu ispatlamaz.

Samsun tipi dosya örneği

Samsun merkezli soruşturmalarda sık görülen yapı, Telegram kanal yöneticisi olduğu iddia edilen kişilerden başlayan para trafiğinin farklı illere yayılmasıdır. Bir kişi belirli bir hesaba para göndermiş olabilir; ancak dosyada o kişinin Telegram kanalına girdiği, ödeme sonrası içerik aldığı, dosya indirdiği veya arşiv sakladığı teknik olarak gösterilmemiş olabilir.

Bu senaryoda savunmanın cümlesi nettir: Para hareketi, TCK 226 anlamında depolama veya bulundurma değildir.

İ.4 Cache / önbellek dosyaları bambaşka bir teknik dünyadır

Cache/önbellek dosyaları, adli bilişim raporlarında çoğu zaman sanki aktif kullanıcı klasöründe bulunan açık ve iradi dosyalarmış gibi sunulur. Bu çok ciddi bir yanılgıdır. Cache; tarayıcı, mesajlaşma uygulaması, video oynatıcı, sosyal medya programı veya işletim sistemi tarafından otomatik oluşturulabilen geçici veri alanıdır. Kullanıcı “indir”, “kaydet” veya “arşivle” demeden de cihazda geçici görüntü, thumbnail, önizleme, video parçası veya medya cache’i oluşabilir.

Yargıtay 12. Ceza Dairesi’nin 2023/1096 E., 2023/5504 K., 11.12.2023 tarihli kararında, internet veya sosyal medya kullanımı sırasında verilerin sistem dosyalarına otomatik ve geçici şekilde kaydedilmesi hâlinde, kural olarak depolama veya bulundurma kastından söz edilemeyeceği vurgulanmıştır. Kararda özellikle görüntülerin sosyal medya üzerinden gelen ve geçici şekilde kaydedilmiş görüntüler olup olmadığının araştırılması gerektiği belirtilmiştir.

Trabzon tipi dosya örneği

Trabzon’da karşılaşıp takip ettiğimiz bir dosyada; sanığın / şüpheli müvekkilin telefonunda Telegram veya WhatsApp video klasöründe bazı görüntüler bulunmuştu…. Ancak dosya yolu incelendiğinde verilerin uygulamanın otomatik medya indirme ayarından kaynaklandığı, manuel indirme veya özel klasörleme bulunmadığı anlaşılarak, TAKİPSİZLİK / KYOK alındı. Tabii bunu ekstra, harici Uzman Raporu alarak sağladık!!!

Bu durumda savunmanın odağı şudur: Otomatik medya kaydı, iradi depolama değildir.

İstanbul tipi dosya örneği

İstanbul’da takip ettiğimiz sayısız müstehcenlik dijital dosyalarda telefon, tablet, laptop, bulut hesabı, Telegram, Discord, Instagram ve NCMEC verileri birlikte gelir. Dosya hacmi büyüdükçe, delil kümeleri birbirine daha kolay karışır…

Bu tür bir dosyada savunma, kalabalık delil listesinden korkmamalıdır. Aksine her veriyi kendi yerine koymalıdır: NCMEC ayrı, Telegram ayrı, cache ayrı, aktif galeri ayrı, silinmiş alan ayrı, bulut senkronizasyonu ayrı değerlendirilmelidir.

J. TCK 226 Savunmasında En Güçlü Hukuki Tez

J.1 Birinci tez: Depolama kastı yoksa suç yoktur

Yargıtay’ın doğrulanabilir içtihat çizgisi açıktır: Depolama, sadece dosyanın cihazda bulunması değildir. Depolama; ileride yeniden kullanma amacı, biriktirme, tasnifleme ve yeterli süre fiilî hâkimiyet gerektirir.

J.2 İkinci tez: Geçici kayıt iradi kayıt değildir

İnternet, sosyal medya veya uygulama kullanımı sırasında otomatik oluşan geçici kayıtlar, kural olarak depolama veya bulundurma kastını göstermez. Yargıtay hem 12. Ceza Dairesi hem 18. Ceza Dairesi kararlarında bu ayrımı açıkça kurmuştur.

J.3 Üçüncü tez: Bilirkişi raporu dosya bazlı olmalıdır

Rapor; her dosya için path, hash, zaman damgası, kaynak uygulama, açılma/izlenme izi, kullanıcı görünürlüğü ve cache/aktif alan ayrımını göstermiyorsa, denetime elverişli değildir.

J.4 Dördüncü tez: Şüphe teknikse, sonuç hukuken beraattir

Teknik açıklık yoksa, ceza hukuku ihtimal üzerinden karar veremez. Cache mi, manuel indirme mi? Geçici kayıt mı, bilinçli saklama mı? Thumbnail mi, tam dosya mı? Eski kullanıcı kalıntısı mı, sanığın iradi verisi mi? Bu sorular cevapsızsa mahkûmiyet kurulamaz.

K. Bilirkişiye Sorulması Gereken Sorular

K.1 Birinci grup: dosya yolu ve teknik konum soruları

Bilirkişiye ilk sorulacak soru şudur: Suça konu olduğu iddia edilen her bir dosyanın tam path/yol bilgisi nedir? Bu sorunun devamında şu sorular yöneltilmelidir:

• Dosya aktif kullanıcı klasöründe mi bulunmuştur?
• Dosya cache/önbellek klasöründe mi bulunmuştur?
• Dosya temporary internet files veya temp alanında mıdır?
• Dosya thumbnail alanında mıdır?
• Dosya video player geçici veri klasöründe midir?
• Dosya silinmiş alandan veya unallocated space içinden mi kurtarılmıştır?
• Dosya normal telefon kullanıcısının erişebileceği görünür alanda mıdır?

Bu sorulara açık cevap verilmeden, dosyanın TCK 226 kapsamında bulundurma veya depolama sayılması mümkün değildir.

K.2 İkinci grup: otomatik kayıt mı, iradi indirme mi?

Bilirkişiye açıkça şu soru sorulmalıdır: Dosyalar kullanıcı tarafından manuel olarak mı indirilmiştir, yoksa uygulama veya işletim sistemi tarafından otomatik olarak mı oluşturulmuştur? Bu sorunun alt soruları şunlardır:

• İlgili uygulamada otomatik medya indirme ayarı açık mıdır?
• Dosya, grup mesajı veya kanal içeriği nedeniyle otomatik mi düşmüştür?
• Dosya yalnızca önişleme veya thumbnail üretimi nedeniyle mi oluşmuştur?
• Dosyanın manuel indirme butonuna basıldığını gösteren log var mıdır?
• Dosya başka klasöre kullanıcı tarafından taşınmış mıdır?
• Dosya yeniden adlandırılmış mıdır?
• Dosya favorilere, gizli klasöre veya özel arşive alınmış mıdır?

Yargıtay 12. Ceza Dairesi’nin 2023/1096 E., 2023/5504 K. kararında da otomatik inme/geçici kayıt savunması karşısında görüntülerin sosyal medya üzerinden gelen ve geçici şekilde kaydedilmiş görüntüler olup olmadığının araştırılması gerektiği açıkça belirtilmiştir.

K.3 Üçüncü grup: açılma, izlenme ve yeniden kullanım soruları

Bir dosyanın cache alanında bulunması başka, sanık tarafından açılıp izlenmesi başkadır. Bilirkişiye şu sorular sorulmalıdır:

• Dosyaların açıldığına dair player history var mıdır?
• Dosyaların izlendiğine dair video player logu var mıdır?
• Dosyalar recent files alanında görünmekte midir?
• MediaStore veya galeri veritabanında kullanıcıya açık şekilde indekslenmiş midir?
• Dosyalar paylaşılmış, forward edilmiş veya başka cihaza gönderilmiş midir?
• Dosyaların son erişim zamanı kullanıcı hareketiyle uyumlu mudur?
• Dosyalar tekrar tekrar açılmış mıdır?
• Dosyaların açılma kaydı sanığın cihazı kullandığı tarih ve saatlerle örtüşmekte midir?
• Bu sorular olumsuzsa, savunmanın sonucu açıktır: Dosya teknik olarak bulunmuş olabilir; fakat iradi kullanım ispatlanmamıştır.

K.4 Dördüncü grup: hash ve kaynak bağlantısı soruları

NCMEC, Telegram ve cihaz verilerini birbirine bağlamanın en temiz yolu hash karşılaştırmasıdır. Bilirkişiye şu sorular yöneltilmelidir:

• Her bir dosyanın hash değeri çıkarılmış mıdır?
• Bu hash değerleri NCMEC raporundaki hash değerleriyle eşleşmekte midir?
• Bu hash değerleri Telegram kanalından elde edilen dosyalarla eşleşmekte midir?
• Aynı dosyalar başka soruşturma materyalinde de var mıdır?
• Hash eşleşmesi yoksa dosyanın kaynağı nasıl belirlenmiştir?
• Dosya adı benzerliği teknik özdeşlik sayılmış mıdır?
• Thumbnail veya fragment dosyalar için hash değerlendirmesi nasıl yapılmıştır?
• Hash bağlantısı yoksa NCMEC, Telegram ve cihaz verileri ayrı delil alanları olarak kalır. Bunları aynı suç anlatısında birleştirmek için teknik dayanak gerekir.

K.5 Beşinci grup: dosya niteliği ve çocuk yaşı tespiti

TCK 226/3-2 bakımından içerikte çocukların, temsili çocuk görüntülerinin veya çocuk gibi görünen kişilerin kullanıldığı iddia ediliyorsa, yaş tespiti ayrıca önemlidir. Bilirkişiye ve gerekiyorsa uzman kuruma şu sorular sorulmalıdır:

• Görüntülerdeki kişilerin 18 yaşından küçük olduğu hangi teknik veya uzman raporuyla belirlenmiştir?
• Görüntüler gerçek kişi mi, temsili görüntü mü, yapay zekâ ürünü mü, animasyon mu, montaj mı?
• Görüntüler tam içerik mi, yoksa thumbnail veya bozuk veri parçası mı?
• Görüntünün müstehcen ürün niteliği hangi kriterle belirlenmiştir?
• Küçükleri Muzır Neşriyattan Koruma Kurulu raporu alınmış mıdır?
• Rapor alınmadıysa mahkemece neden gerekli görülmemiştir?

Burada önemli olan şudur: “Çocuk gibi görünüyor” ifadesi ile “hukuken çocukların kullanıldığı müstehcen ürün” kabulü aynı şey değildir. TCK 226 gibi ağır ceza tehdidi içeren bir dosyada yaş ve içerik niteliği tereddütsüz belirlenmelidir.

K.6 Altıncı grup: cihaz aidiyeti, ikinci el cihaz ve ortak kullanım soruları

Özellikle ikinci el telefon, ortak kullanılan bilgisayar veya işyeri cihazı varsa, bilirkişi raporu cihaz aidiyetini de incelemelidir. Sorular şunlardır:

• Cihaz ne zamandan beri sanığın kullanımındadır?
• Cihaz ikinci el midir? (Bu savunma argümanı en baştan titizlikle hazırlanır)
• Cihazda önceki kullanıcıya ait hesap izleri var mıdır?
• Cihazda başka Google, iCloud, Telegram, WhatsApp veya Instagram hesapları bulunmuş mudur?
• Hangi SIM kartlar hangi tarihlerde takılmıştır?
• Dosyaların oluşum tarihi, sanığın cihazı edinme tarihinden önce midir?
• Cihaz başkaları tarafından kullanılmış olabilir mi?
• Wi-Fi ağları, konum kayıtları ve kullanıcı oturumları sanıkla örtüşüyor mu?

Bu sorular cevaplanmadan cihazdaki her dosyanın sanığa ait olduğu varsayılamaz.

İstanbul ve Bursa ortak cihaz senaryosu

İstanbul’da ofis bilgisayarı davamız, Bursa’da aile içinde kullanılan ortak telefon gibi dosyalarda sık görülen hata, cihaz malikliği ile kullanıcı fiilinin karıştırılmasıdır. Bir cihazın sanığın evinde bulunması veya sanığa ait görünmesi, cihazdaki her cache verisinin sanığın bilinçli eylemi olduğu anlamına gelmez. Ceza sorumluluğu cihaz mülkiyetinden değil, failin somut fiilinden doğar.

K.7 Yedinci grup: Telegram bağlantısını test eden sorular

Telegram kaynaklı dosyalarda bilirkişiye ayrıca şu sorular sorulmalıdır:

• Sanığın Telegram kullanıcı ID’si nedir?
• İlgili kanala üyelik kaydı var mıdır?
• Üyelik tarihi nedir?
• Kanalda ödeme sonrası gönderilen link veya dosya var mıdır?
• Sanığın bu linke tıkladığını gösteren kayıt var mıdır?
• Telegram local database içinde chat ID, message ID veya download log var mıdır?
• Telegram dosyaları ile cihazdaki dosyalar hash olarak eşleşmekte midir?
• Dosyalar Telegram cache içinde mi, Telegram download/media alanında mı bulunmuştur?
• Telegram otomatik medya indirme ayarı açık mıdır?
• Bu sorular cevaplanmadan Telegram para transferi ile cihazdaki cache bulgusu arasında ceza hukuku bakımından sağlam bağlantı kurulamaz.

K.8 Sekizinci grup: NCMEC bağlantısını test eden sorular

NCMEC yönünden bilirkişiye ve ilgili platforma sorulması gereken sorular şunlardır: -uygulamada en sık ihlal edilen alan budur-

• NCMEC raporunun ham metni dosyaya kazandırılmış mıdır?
• Raporun yeminli tercümesi var mıdır?
• Rapor edilen içeriklerin hash değerleri nedir?
• Gönderim hangi hesap üzerinden yapılmıştır?
• Hesabın olay tarihindeki login IP, port ve cihaz bilgileri nedir?
• Hesap hangi telefon veya e-posta ile doğrulanmıştır?
• DM içeriği tam olarak nedir?
• Gönderilen şey dosya mı, link mi, önizleme mi, forward mı?
• Alıcı hesap gerçek mağdura mı aittir?
• Alıcı hesap olay tarihinde kimin kontrolündedir?
• NCMEC içeriği ile cihazdaki veri arasında hash eşleşmesi var mıdır?

NCMEC dosyasında bu sorular cevaplanmadan, raporun TCK 226 kapsamında kesin delil gibi kullanılması hukuken sorunludur.

L. Cache Path Ceza Değil, En Fazla Teknik Araştırma Konusudur

TCK 226 dosyalarında cache/önbellek verileri konusunda doğru hukuki cümle şudur:  Cache dosyasından ceza verilemez; çünkü cache dosyası, sanığın iradi depolama ve bulundurma kastını kendiliğinden göstermez. Ancak daha teknik ve mahkeme diliyle ifade etmek gerekirse:

Cache/önbellek, geçici internet dosyası, thumbnail, uygulama artığı veya otomatik medya kaydı niteliğindeki dijital veriler; sanığın bilerek ve isteyerek indirme, saklama, tasnifleme, yeniden kullanma veya fiilî hâkimiyet kurma iradesi ayrıca ve tereddütsüz biçimde ispatlanmadıkça TCK 226/3-2 kapsamında depolama veya bulundurma sayılmaz.

Bu yazının ana fikri budur. Dijital ceza yargılamasında cihazdaki her iz, sanığın kastı değildir. Her cache path, suç delili değildir. Her otomatik kayıt, iradi depolama değildir. Her teknik kalıntı, mahkûmiyet gerekçesi olamaz. TCK 226 kapsamında müstehcen görüntüleri depolama suçu, dijital cihazın otomatik davranışına değil, sanığın iradi davranışına dayanır.

Bu cache/önbellek noktasında kırılma noktası özetle;

Çocukların kullanıldığı müstehcen görüntüleri bulundurma suçu, sistemin oluşturduğu geçici dosyaya değil, failin bilinçli hâkimiyetine dayanır. NCMEC raporu, Telegram para transferi ve cache path verisi aynı sepete konulamaz.

TCK 226 gibi ağır sonuçlar doğuran müstehcenlik suçlarında yargılama, dijital raporun sonuç cümlesiyle değil; dosya yolu, hash değeri, erişim zamanı, kullanıcı hareketi, kaynak uygulama, geçici kayıt niteliği ve failin kastı üzerine kurulmalıdır. Bunun dışındaki her yaklaşım, ceza hukukunu teknik varsayıma indirger.

Avukatlık da tam bu noktada başlar: Dosyanın korkutucu başlığına değil, delilin gerçek teknik ve hukuki değerine bakmak gerekir. Cache/önbellek savunması, basit bir teknik itiraz değildir; ceza hukukunda kast, fiilî hâkimiyet, kanunilik, şüpheden sanık yararlanır ilkesi ve maddi hakikat mücadelesidir.

Dijital iz başka şeydir; ceza sorumluluğu başka şeydir. Her cache dosyası suç değildir. Her önbellek verisi depolama değildir. Her teknik kalıntı mahkûmiyet gerekçesi olamaz. Bu hususta telafisi imkansız hak kayıplarına uğramamak için mutlaka avukatınıza danışın!

Avukat Önal’ın Benzer Mahiyette Yüzlerce Çalışmasından Çok Okunan Beşi