Blog

Mahkeme Kararlarında Fidye Yazılımı (Ransomware) Saldırıları Ne Kadar Yaygın?

Fidye yazılımı (ransomware) saldırılarının mahkeme kararlarındaki yaygınlığı, uygulanan TCK maddeleri ve örnek kararlar üzerinden değerlendirme içerir.

De Jure Hukuk EkibiOkuma süresi: ~3 dakika
fidye yazılımı
ransomware
mahkeme kararları
bilişim suçları

Yapay zeka uyarısı

Bu blog yazısında bağlantı verilen mahkeme kararları gerçektir ve doğruluğu garanti edilmektedir ancak blog yazısı yapay zeka tarafından üretilmiştir ve hata içerebilir. Açıklamak gerekirse; linkle tıklanarak açılan karar dokumanlarının doğruluğu garanti edilmektedir. Ancak linkle açılmayan, doğrudan blog yazısında geçen her ifade; bunlara blog yazısında yer alan künye bilgileri de dahil olmak üzere yapay zeka tarafından üretilmiştir ve hata içerebilir.

1. Mahkeme Kararlarında Fidye Yazılımı (Ransomware) Saldırıları Ne Kadar Yaygın?

Genel olarak incelenen bilişim suçları kararlarında sosyal medya/e-posta hesabı ele geçirme, bilişim sistemine hukuka aykırı erişim ve veri değiştirme ağırlıklı yer almaktadır. Fidye yazılım (ransomware) şeklindeki saldırılara sık rastlandığını söylemek zordur; ancak mevcut kararlardan bazıları, veri şifreleyerek sonrasında para talep eden eylemleri içermektedir.

Örneğin, şu kararda fidye talebine dayalı bir saldırı açıkça yer almaktadır:

“…Sanığın müştekinin yetkilisi olduğu X Medikal A.Ş.’ye ait bilgisayara uzaktan erişim sağlayarak verileri şifrelediği ve şifreleri tekrar vermesi için 250 Avro talep ettiği…”
(Yargıtay 8. Ceza Dairesi, E. 2022/4121 K. 2024/2002 T. 29.02.2024, Link)

Bu örnek, fidye yazılımı benzeri bir vakayı yansıtmaktadır. Ancak toplam içinde, bu tür “ransomware” formatlı saldırıların sınırlı sayıda olduğu görülmektedir.

2. En Sık Uygulanan TCK Maddeleri ve Fidye Talebi Durumunda Özellikle Hangi Maddeler Uygulanır?

Bilişim suçlarına ilişkin kararların büyük çoğunluğunda TCK 243 (Bilişim Sistemine Girme) ve TCK 244 (Sistemi Engelleme, Verileri Bozma vb.) maddeleri uygulanmaktadır.

  • TCK 243: Hukuka aykırı erişim ve orada kalma.
  • TCK 244: Verileri yok etme, sisteme veri yerleştirme, sistemi engelleme, haksız çıkar sağlama vb.

Fidye isteme şeklinde bir menfaat temini öngörülüyorsa, TCK 244/4 (bilişim sistemi aracılığıyla çıkar sağlama) ve bazen TCK 158 (nitelikli dolandırıcılık) devreye girer. Örneğin:

“…verileri şifreleyip fidye talep ederek haksız çıkar sağlama girişimi, TCK 244/4 çerçevesinde değerlendirilebilmektedir…”

3. Fidye Talebinin, “Bilişim Sistemine Hukuka Aykırı Giriş” Suçunu Nitelikli Hale Getirmesi

Fidye talebi, genellikle TCK 244’ün dördüncü fıkrası kapsamına giren “çıkar sağlama” unsurunu doğurmaktadır. Dolayısıyla mahkemeler fidye istemini, sisteme girme veya verileri bozma eyleminin nitelikli bir şekli olarak değerlendirmekte ve cezayı artırıcı etken sayabilmektedir. Özellikle:

“…Sisteme hukuka aykırı şekilde girmenin yanında fidye talep edilmesi, suçu TCK 244/4’teki ‘haksız çıkar sağlama’ boyutuna taşımaktadır…”

4. Kararlar Bireysel Hesaplara mı Yoksa Kurumsal Sistemlere mi Odaklanıyor?

Emsal kararlarda bireysel sosyal medya/e-posta ihlalleri (Facebook, Hotmail şifresini değiştirme vb.) oldukça yaygındır. Ancak kurumsal sistemlere yönelik saldırılar da yer alır. Örneğin, bir şirkete ait sunucuya siber saldırı düzenleyip verileri şifreleyerek fidye isteme vakası veya bir banka/kamu kurumu sistemine erişme vakası da mevcuttur:

“…sanığın müştekiye ait kurumsal bilgisayara uzaktan erişim sağlayarak bilişim sistemine girdiği, verileri şifreleyip fidye talep ettiği…”
(Yargıtay 8. Ceza Dairesi, E. 2022/4121 K. 2024/2002 T. 29.02.2024, Link)

Dolayısıyla hem bireysel (sosyal medya/e-posta) hem de kurumsal (şirket, banka vs.) saldırılara dair kararlar söz konusudur.

Sonuç Değerlendirme

  • Fidye yazılımı (ransomware) tarzındaki saldırılar, genel bilişim suçları arasında yer almakla birlikte daha az sıklıkla karşımıza çıkmaktadır.
  • TCK 243 ve TCK 244, en yaygın uygulanan maddelerdir. Fidye talebiyle menfaat sağlandığı vakalarda ise genellikle TCK 244/4 ve/veya nitelikli dolandırıcılık hükümleri (TCK 158) devreye girmektedir.
  • Fidye talebi, “suçu nitelikli hâle getiren” bir unsur olarak kabul edilir; bu kapsamda mahkemeler, verileri şifreleyip geri vermek için para istemeyi haksız çıkar sağlama şeklinde değerlendirmektedir.
  • İncelenen kararlar hem bireysel hesaplar (sosyal medya, e-posta vb.) hem de kurumsal sistemlere (sunucu, şirket verisi, kamu kurumu vs.) yönelik saldırıları kapsamaktadır.