TCK Madde 243: Bilişim Sistemine Girme – 2026

Birinci fıkra, suçun en temel biçimini düzenler. Ceza; 1 yıla kadar hapis veya adlî para cezasıdır — “veya” bağlacıyla seçimlik olarak öngörülmüştür. Hâkim somut olayın ağırlığına göre bu iki yaptırımdan birini seçer ya da TCK 50 çerçevesinde kısa süreli hapis cezasını seçenek yaptırımlara çevirebilir.

Somut örnekler:

• Başkasının e-posta hesabına şifresini ele geçirerek girmek.
• Eski sevgilinin sosyal medya hesabına yetkisiz erişmek.
• Şirket çalışanının yetkisi dışındaki sistemlere şifre kırarak ulaşması.
• Wi-Fi ağına şifresini kırarak yetkisiz bağlanmak.
• Bulut depolama sistemine izinsiz erişmek.

Suçun tamamlanması için failin sistem içinde herhangi bir işlem yapması zorunlu değildir; salt sisteme girmek ya da kalmak yeterlidir.

İkinci fıkra, 243/1’deki temel suçun özel bir görünümü olup indirim öngörür. Sisteme girmenin ücretli ya da abonelik gerektiren bir platforma yetkisiz erişim biçiminde gerçekleşmesi hâlinde verilecek ceza yarı oranına kadar indirilebilir.

Bu hükmün gerekçesi şudur: Bedeli karşılığı yararlanılan sistemlere giren kişi, ödeme sistemini atlatarak sistem sahibine doğrudan ekonomik zarar verir; ancak güvenlik ihlalinin ağırlığı, tamamen özel ve korumalı bir sisteme izinsiz girişten daha hafif nitelendirilebilir.

Örnekler: Netflix, Spotify gibi abonelik platformlarına şifre paylaşımı ya da kırma yoluyla ücretsiz erişmek; ücretli yazılım lisansını atlatarak sisteme girmek; ücretli e-dergi ya da veri tabanı platformlarına yetkisiz erişmek.

Dikkat: İndirim zorunlu değil; hâkimin takdirindedir. “Yarı oranına kadar” ifadesi, tam yarı indirimi değil, yarıya kadar indirim yapılabileceği anlamındadır.

Üçüncü fıkra, netice sebebiyle ağırlaşan bir hâldir. 243/1 kapsamındaki sisteme girme eylemi nedeniyle sistemdeki veriler yok olur ya da değişirse ceza 6 aydan 2 yıla kadar hapise yükselir. Bu hâlde adlî para cezasına seçimlik yer yoktur; yalnızca hapis cezasına hükmolunur.

Verilerin yok olması ya da değişmesi; girişin doğrudan sonucu olmak zorundadır. Fail sisteme girdikten sonra kasıtlı olarak silme/değiştirme yapmışsa TCK 244 (sistemi engelleme, bozma) ayrıca değerlendirilebilir. 243/3, failin bizzat kasıtlı olarak değiştirmediği fakat girişi nedeniyle bu sonucun doğduğu hâlleri kapsar.

Veri kaybı ya da değişikliği; saldırıya uğrayan sistemde antivirüs yazılımının, güvenlik duvarının veya sistem günlük dosyalarının etkilenmesi, dosyaların silinmesi ya da bozulması gibi sonuçlarla ortaya çıkabilir.

Dördüncü fıkra, 2016 yılında 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun yürürlüğe girmesiyle TCK’ya eklenen ve sisteme girmeksizin gerçekleştirilen bir eylemi suç olarak tanımlar.

Fıkranın iki temel özelliği vardır:

• Fail sisteme girmemiştir; bu nedenle 243/1’den bağımsız bir suç tipidir.
• Fail, teknik araçlar kullanarak —paket dinleyici (packet sniffer), ağ dinleme araçları, MITM saldırıları (ortadaki adam saldırısı)— veri akışını izlemektedir.

Örnekler: Ortak Wi-Fi ağında diğer kullanıcıların şifrelenmemiş trafiğini dinlemek; kurumsal ağ içindeki veri paketlerini yetkisiz araçlarla yakalamak; DNS zehirleme saldırısıyla trafiği yönlendirip izlemek.

Bu fıkranın cezası (1–3 yıl) 243/1’den (1 yıla kadar) daha ağırdır; çünkü kişisel veri ihlalinin boyutu daha büyük olabilmekte ve failin eylemleri sisteme giriş olmaksızın çok daha büyük veri kümelerini etkileyebilmektedir.

Başkasının Instagram, Twitter/X, Facebook, TikTok gibi sosyal medya hesabına şifresini öğrenerek ya da kırarak girmek TCK 243/1 kapsamında suç oluşturur. Hesabın kamuya açık olması ya da fail ile mağdurun tanışıklığı suçu ortadan kaldırmaz; belirleyici olan rızanın yokluğudur.

Eski eşin ya da sevgilinin hesabına girilmesi bu kapsamda değerlendirilir ve ayrıca TCK 134 (özel hayatın gizliliği ihlali) ile TCK 132 (haberleşmenin gizliliğini ihlal) suçları da gündeme gelebilir.

Başkasının kurumsal ya da kişisel e-posta hesabına şifresini ele geçirerek ya da şifreyi sıfırlama yoluyla girmek bu suçu oluşturur. İş hukuku davalarında delil toplamak amacıyla çalışanın e-posta hesabına giren işveren ya da tersi durumlar da bu kapsama girebilir. Çalışanın kurumsal e-posta üzerinde sınırlı bir gizlilik beklentisi olduğu tartışmalı olmakla birlikte, bu bilgi ispat için elde edilmiş olsa dahi TCK 243 kapsamındaki sorumluluğu ortadan kaldırmaz.

Şirketin VPN ya da kurumsal ağına izin alınmaksızın bağlanmak; çalışanın görevden ayrılmasına karşın hesabı kapatılmadan sisteme erişmeye devam etmesi; eski sistemlerde kalan güvenlik açıklarından yararlanarak ağa girmek bu suçun tipik iş hayatı görünümleridir.

Özellikle işten çıkarılan çalışanların yetkileri iptal edilmeden önce sisteme erişerek bilgi kopyalaması; hem 243/1 hem de TCK 244 ile TCK 136 (verileri hukuka aykırı olarak verme veya ele geçirme) kapsamında birden fazla suçu birden oluşturabilir.

Teknik araçlarla şifre kırma (brute force), kimlik avı e-postasıyla şifre ele geçirme (phishing), güvenlik açıklarından yararlanma (exploit) ve sosyal mühendislik yoluyla erişim bilgisi elde etme gibi yöntemlerle sisteme girmek TCK 243 kapsamındadır. Kullanılan tekniğin karmaşıklığı cezayı değiştirmez; önemli olan hukuka aykırı erişimin gerçekleşmiş olmasıdır.

Bu tür saldırılarda aynı zamanda TCK 244 (sistemi engelleme veya bozma), TCK 245 (banka veya kredi kartlarının kötüye kullanılması) ya da TCK 157 (dolandırıcılık) gibi başka suçlar da birlikte oluşabilir.

Komşunun ya da bir işyerinin şifreli Wi-Fi ağına izin alınmaksızın bağlanmak 243/1 kapsamında suç oluşturabilir. Şifresiz bırakılmış Wi-Fi ağlarına bağlanma hâlinde ise hukuka aykırılık unsuru tartışmalı olmakla birlikte; bu ağ üzerindeki trafiği teknik araçla dinlemek 243/4 kapsamında açıkça suç oluşturur.

TCK 243 kapsamındaki tüm hâller şikâyete bağlı değildir; savcılık re’sen harekete geçer. Mağdurun şikâyetçi olmaması ya da şikâyetten vazgeçmesi davayı durdurmaz.

Bununla birlikte, mağdurun şikâyet dilekçesi vermesi; soruşturmanın hızlanmasını, dijital delillerin ivedilikle güvence altına alınmasını ve mağdur sıfatı kazanılmasını sağlar. Bu nedenle her durumda şikâyet başvurusunda bulunmak pratik açıdan büyük önem taşır.

TCK 243/1, 243/2 ve 243/3 kapsamındaki suçlar uzlaşma kapsamında değerlendirilebilir. Savcılık aşamasında uzlaştırmacı atanır; taraflar anlaşırsa dava düşer ve sanığın sicili temiz kalır.

TCK 243/4 (veri nakillerini teknik araçla izleme) kapsamındaki suçlarda ise ceza aralığının üst sınırı nedeniyle uzlaşma mümkün olmayabilir; hâlin koşullarına göre değerlendirilmesi gerekir.

TCK 243’ün tüm hâllerinde azami ceza 3 yılı aşmadığından dava zamanaşımı 8 yıldır. Bu süre suçun işlendiği tarihten başlar. Dijital suçlarda suçun öğrenilme tarihi çoğu zaman gerçekleşme tarihinden sonraya denk gelmektedir; bu durumda dava zamanaşımı suçun işlendiği tarihten başlamaya devam eder.

• Erişim günlükleri (log kayıtları): Platformun güvenlik ayarlarından “son giriş” ya da “aktif oturumlar” bölümü; yetkisiz erişimin tarihi, saati ve IP adresini gösterir. Bu sayfanın ekran görüntüsü ivedilikle alınmalıdır.
• E-posta bildirimleri: “Hesabınıza yeni bir cihazdan giriş yapıldı” gibi bildirimler saklanmalıdır.
• Şifre değişikliği bildirimleri: Yetkisiz kişinin hesap bilgilerini değiştirdiğine dair e-postalar.
• Ekran görüntüsü ve tarih damgası: Mümkünse noter ya da e-devlet üzerinden onaylı ekran görüntüsü alınmalıdır.
• İnternet servis sağlayıcısına başvuru: Savcılık, şüpheli IP adresine ilişkin abone bilgisini ISP’den talep edebilir; bu sürecin başlatılması için şikâyet başvurusu kritiktir.

Kastın yokluğu: Failin sisteme yanlışlıkla girdiğini ve farkında olmadığını gösterir somut olgular —aynı ağda yanlış adrese bağlanma, test ortamı ile üretim ortamının karıştırılması— savunmanın temel dayanağı olabilir.

Rızanın varlığı: Sistem sahibinin açık ya da zımni izni kanıtlanırsa hukuka aykırılık unsuru ortadan kalkar. Yazılı izin, e-posta yazışması ya da görevlendirme belgesi bu konuda belirleyici delillerdir.

Penetrasyon testi / etik hacking yetkisi: Yetkili siber güvenlik uzmanları, sözleşmeli “beyaz şapka” testçiler bu kapsamda sorumsuzluk savunmasından yararlanabilir. Yetkiyi kanıtlayan sözleşme ya da görev belgesi kritik öneme sahiptir.

IP adresinin güvenilirliği: VPN, proxy ya da ele geçirilmiş cihaz üzerinden gerçekleştirilen erişimlerde IP adresi tek başına yeterli kanıt değildir. Savunma, dijital parmak izinin gerçek faile ait olup olmadığını tartışmalıdır.

TCK 243/1 kapsamında verilen somut ceza 2 yıl veya altında kalırsa HAGB kararı verilebilir. 243/3’te ise azami ceza 2 yıl olduğundan HAGB teorik olarak mümkündür; ancak ceza tam azami sınırda belirlenirse HAGB uygulanmaz. 243/4 kapsamında ceza 1–3 yıl arasında olduğundan HAGB yalnızca somut ceza 2 yılın altına inerse mümkündür.

Cezanın ertelenmesi 2 yıl ve altındaki cezalarda mümkündür. 243/1 ve bazı 243/3 hâllerinde erteleme sıkça başvurulan bir sonuçtur.

TCK 243/1’de hapis ile adlî para cezası seçimlik olarak öngörülmüştür. Mahkeme, somut olayın ağırlığı ve sanığın kişisel koşullarını değerlendirerek doğrudan adlî para cezasına hükmedebilir. Teknik merakla ya da düşük zarar doğuran ilk kez suç işleme hâllerinde adlî para cezası tercih edilebilir bir sonuçtur.

TCK 243/1 kapsamındaki temel hâlde 1 yıla kadar hapis veya adlî para cezası; 243/3’te veri yok olması/değişmesi hâlinde 6 aydan 2 yıla kadar hapis; 243/4’te teknik araçla veri nakli izleme hâlinde ise 1 yıldan 3 yıla kadar hapis cezası öngörülmektedir.

Evet. Başkasının sosyal medya hesabına rızası olmaksızın girmek TCK 243/1 kapsamında suç oluşturur. Hesabın kamuya açık olması ya da hesap sahibiyle tanışıklık bu suçu ortadan kaldırmaz. Hesap sahibinin bilgisi ve izni olmadan şifresini öğrenerek ya da başka yollarla giriş yapmak suç teşkil eder.

Hayır. TCK 243 kapsamındaki tüm hâller şikâyete bağlı değildir; savcılık re’sen soruşturma başlatır. Mağdurun şikâyetten vazgeçmesi davayı durdurmaz.

Hayır, eğer yetkili biçimde görevlendirilmişse. Sistem sahibinin yazılı olarak yetkilendirdiği siber güvenlik uzmanının sözleşme kapsamındaki sisteme gerçekleştirdiği penetrasyon testi (pentest), hukuka uygunluk nedenlerinden biri olan “ilgilinin rızası” kapsamında değerlendirilir ve suç oluşturmaz. Yetkiyi kanıtlayan sözleşme ve görevlendirme belgesi her zaman elde bulundurulmalıdır.

Abonelik, üyelik ücreti ya da birim başı ödeme gerektiren ve bu ödeme yapılmadan içeriğine ya da hizmetine erişilemeyen platformlar bu kapsamdadır. Ücretli video içerik platformları, veri tabanı abonelikleri, ücretli yazılım lisansları tipik örneklerdir. Bu tür sistemlere yetkisiz girişte ceza yarı oranına kadar indirilebilir; ancak bu indirim otomatik değil, hâkimin takdirindedir.

TCK 243’ün tüm hâllerinde dava zamanaşımı 8 yıldır. Bu süre suçun işlendiği tarihten itibaren başlar.