Son yıllarda yaşanan siber saldırıların sayılarındaki ciddi artış diğer ülkelerde olduğu gibi Türkiye için de büyük sorun ve tehdit oluşturmaya başlamıştır. Özellikle Türkiye’nin büyük ölçekli kurum ve kuruluşları hedef alan fidye yazılımı saldırılarında dünyada ilk 5 sırada yer alması ve KVKK’nın resmi sitesinde yayınlanan veri ihlalleri birçok şirketin fidye yazılımı başta olmak üzere çeşitli siber saldırılara maruz kaldığı gerçeğini ortaya çıkarmaktadır. Uygulamada sıklıkla şirketlerin hak düşürücü süre içinde mahkemeye başvurmadıkları için zayi belgesi taleplerinin reddedildiğini görmekteyim. Konuyla ilgili ise birbirinden farklı ilk derece ve BAM kararları mevcut olup henüz bir yeknesaklık sağlanamamıştır. Peki buradaki hak düşürücü süre nasıl belirlenecektir? Yani elektronik ticari defter ve kayıtları siber saldırıya uğrayan şirketler, hacklenen e- defterlerle ilgili olarak veri kurtarma şirketine başvurup gerekli kurtarma çabalarının sarf ederek sonuç alamayacağını öğrenmesiyle mi birlikte 15 günlük hak düşürücü süre içinde mahkemeye başvuracak yoksa TTK’nın 82/7 maddesine göre zıyaın öğrenildiği tarihten itibaren 15 günlük hak düşürücü süre içerisinde mi başvurması gerekecektir?
6102 sayılı TTK’ nın 82/7 maddesi; “Bir tacirin saklamakla yükümlü olduğu defterler ve belgeler; yangın, su baskını veya yer sarsıntısı gibi bir afet veya hırsızlık sebebiyle ve kanuni saklama süresi içinde zıyaa uğrarsa tacir zıyaı öğrendiği tarihten itibaren onbeş gün içinde ticari işletmesinin bulunduğu yer yetkili mahkemesinden kendisine bir belge verilmesini isteyebilir.” şeklindedir.
9 Ekim 2019 tarih ve 30923 sayılı resmi gazetede yayınlanan 3 nolu Elektrorik Defter Tebliğinin 7.1 maddesine göre ise; “E- Defter tutanlar, Vergi Usul Kanunu’nda belirtilen mücbir sebep halleri nedeniyle e- Defter veya beratlarına ait kayıtların bozulması, silinmesi, zarar görmesi veya işlem görememesi ve e- Defter ve barat dosyalarının muhafaza edildiği e- Defter saklama hizmeti veren özel entegratör kuruluşlarından veya Başkanlıktan ikincil örneklerinin temin edilemediği hallerde, söz konusu durumların öğrenilmesinden itibaren tevsik edici bilgi ve belgeleri ile birlikte 15 gün içinde ticari işletmesinin bulunduğu yetkili mahkemesine başvurarak kendisine bir zayi belgesi verilmesini istemelidir” şeklinde düzenlenmiştir.
İstanbul BAM 43 HD. E.2021/309 K.2021/1056 sayılı kararına göre Vergi Usul Kanunundaki düzenlemenin vergisel yükümlülüklerle ilgili olduğu, TTK’nın 82/7. maddesinde ticari defterlerin sahibinin elinden rızası dışında çıkmış olması halinin zayi belgesi verilmesini gerektiren bir olay olarak sayılmadığı ve tadadi olarak sayılan bu sebeplerle de benzerlik göstermediğinden sırf ticari defterlerin sahibinin elinden rızası dışında çıkmış olmasının ticari defterlerin TTK’nın 87/2 maddesinin aradığı şartlarda zayi olmuş sayılamayacağını belirtmiştir. Zira bu karara göre, Elektronik Defter Genel Tebliği’nin 7.1 maddesinde sadece Vergi Usul Kanununda belirtilen “mücbir sebep” ve ikincil örneklerin temin edilememesi halinin aranmış olması TTK’nın 82/7. Maddesindeki hususların aranmayacağı anlamına gelmez. Zira Elektronik Defter Genel Tebliği’nin 7.1 maddesindeki düzenleme TTK’nın 82/7. maddesindeki düzenlemenin kapsamını değiştirecek nitelikte değildir. Dolayısıyla tacirin saklamakla yükümlü olduğu defterler ve belgelerin kanuni saklama süresi içinde zıyaa uğradığı iddiasına dayalı zayi belgesi verilmesi isteminde TTK’nın 82/7. koşulları aranmalıdır.
İstanbul BAM 14.HD E.2021/1771 K. 2021/1503 sayılı 2.12.2021 tarihli kararında ise, 3 nolu Elektrorik Defter Tebliği’nin 7.1 maddesin gereğince, Gelir İdaresi Başkanlığı tarafından, taleplerinin değerlendirilmesi için mahkemeden zayi belgesi alınması gerektiğine dair bildirimin davacı şirkete tebliğ edildiği tarihin, davacının ziyaı öğrendiği tarih olarak kabul edeceği belirtilmiştir. Yani bu karara göre Gelir İdaresi Başkanlığının mahkemeden zayi belgesi alınması gerektiğine dair bildirimine ve bu bildirimin davacıya tebliğine ilişkin davacıdan bilgi ve belgelerinin sorularak dosyaya kazandırılması, buna göre iş bu bildirim tarihine göre değerlendirme yapılarak davanın süresinde olup olmadığının değerlendirilmesi gerekmektedir. Yukarıda izah edildiği üzere buna benzer birbirinden farklı mahkeme kararları olmakla birlikte kanımca gerek 9 Ekim 2019 tarih ve 30923 sayılı resmi gazetede yayınlanan 3 nolu Elektrorik Defter Tebliğinin amacı gerekse de özellikle siber saldırılarda teknik müdahalenin gerekliliği ve bu doğrultuda erişim sağlanıp sağlanamayacağı önemli bir etken olacağından açılacak davada hacklenen e-defterlerle ilgili olarak veri kurtarma şirketine başvurup gerekli kurtarma çabalarının sarf edilerek sonuç alınamayacağının öğrenilmesi ile birlikte 15 günlük hak düşürücü sürenin başlaması gerekmektedir.
Yine karşılaştığım diğer bir sorun ise şirketlerin ticari defter ve kayıtlarının saklanmasında basiretli tacir gibi davranmayıp yeterli önlemleri almadıkları için zayi belgesi taleplerinde yaşanan ihtilaflardır.
19/10/2019 tarih ve 30923 sayılı Resmi Gazetede yayımlanan Elektronik Defter Genel Tebliğinde Değişiklik Yapılmasına Dair Tebliğin “e-Defter Dosyaları, Berat Dosyaları ve Muhasebe Fişlerinin Muhafaza ve İbrazı” başlıklı 4.4. Maddesinin 1-e bendinde ” e-Defter dosyaları ile bunlara ilişkin berat dosyalarının ikincil kopyalarının, gizliliği ve güvenliği sağlanacak şekilde e-Defter saklama hizmeti yönünden teknik yeterliliğe sahip ve Başkanlıktan bu hususta izin alan özel entegratörlerin bilgi işlem sistemlerinde ya da Başkanlığın bilgi işlem sistemlerinde 1/1/2020 tarihinden itibaren asgari 10 yıl süre ile muhafaza edilmesi zorunludur. e-Defter ve beratların teknik yeterliğe sahip ve Başkanlıktan bu hususta saklama izni verilen özel entegratörlerin bilgi işlem sistemlerinde muhafaza usulü ile muhafaza edilmesi sürecinde e-Defter uygulamasına dâhil olan mükellefler ve özel entegratörler tarafından uyulması gereken genel, gizlilik ve güvenliğe ilişkin usul ve esaslar, Başkanlık tarafından hazırlanarak edefter.gov.tr adresinde yayımlanan “e-Defter Saklama Kılavuzu”nda açıklanır. e-Defter ve berat dosyalarına ait ikincil kopyalarının bu fıkra uyarınca muhafazası için gerekli yükleme işlemlerinde bu Tebliğin (4.3.4) numaralı fıkrasında belirtilen süreler dikkate alınır.” düzenlemesi yer almaktadır. Bu doğrultuda şirketler öncelikle e-Defter saklama hizmeti veren özel entegratör kuruluşlarında defteri kebir yevmiye defterleri, tüm e-fatura, e-arşiv kayıtları vs. gibi kayıtların saklanması için hizmet alması gerekmektedir. Aksi halde basiretli tacir gibi davranma yükümlülüklerini ihlal ettikleri gerekçesiyle zayi belgesi taleplerinin reddine karar verilebilir.
TTK’nın 82/7. maddesinde, zayi belgesi verilmesini gerektirecek zayi olma durumları sınırlı olarak sayılmamış ise de tacirin zayi belgesi isteyebilmesi için, defterlerin zayi olmasında kusur ve sorumluluğunun bulunmaması, tedbirli bir tacir gibi davranmasına rağmen zayi olayına engel olamamış durumda olması gerekir. Dolayısıyla mükelleflerin, e-defter ve kayıtlarının muhafaza ve ibrazı konusunda gerekli önlemleri almaları, bu kapsamda bilgi işlem sistemlerinde yaşanabilecek sorunlar nedeniyle elektronik defter ve kayıtlarının mutlaka farklı ortamlarda yedeklemeleri ve e-defter kayıtlarını sadece tek bir bilgisayarda tutanlarının yükümlülüklerini yerine getirmediği kabul edilmelidir. Açıklanan nedenlerle bilgi işlem sistemlerinde muhafaza edilen elektronik defter ve kayıtların silinmesi, zarar görmesi, virüs bulaşması, siber saldırı v.b. nedenlerle ulaşılamaz hale gelmelerini önlemek için mükelleflerin, e-defter ve kayıtlarının muhafaza ve ibrazı konusunda ve ayrıca kullandıkları bilgi işlem sisteminin sağlıklı biçimde çalışabilmesi ile ilgili yeterli teknik ve güvenlik önlemlerini almaları, bu kapsamda bilgi işlem sistemlerinde yaşanabilecek sorunlar nedeniyle elektronik defter ve kayıtlarını farklı ortamlarda yedeklemeleri gerekmektedir. Aksi halde basiretli tacir gibi davranmayıp elektronik defter ve kayıtların siber saldırıya uğraması nedeniyle zayi belgesine ilişkin taleplerinin reddiyle karşılaşabileceklerdir.
İngiliz hacker Marcus Hutchins Yargılaması ve Türk Ceza Kanunu Açısından Analizi
Dünyanın en büyük fidye yazılım saldırısı olan WannaCry’ı durduran ve kahraman ilan edilen İngiliz hacker Marcus Hutchins, saldırıyı durdurduktan kısa bir süre sonra “Kronos” adında yazılımı üretmekle suçlanarak 2017 yılında FBI tarafından tutuklanmıştı. Wisconsin Eyaleti Federal mahkemesine sunulan iddianame de Federal Temel Yasanın 18. md.1030 (a) (5) (A) başta olmak üzere 6 farklı suçtan yargılanan MarcusHutchins ifadesinde, amacının kötü amaçlı bir yazılım yazmak olmadığını ve yalnızca bir hata yapıp kodu başka birine sattığını ve bu kodun sonrasında başka birinin bankacılık trojanını oluşturmak için başka kötü amaçlı yazılıma dahil edildiğini belirtmiş ve yargılama sonucunda mahkeme tarafından WannaCry saldırısını durdurmayı başaran Marcus’un toplum için tehdit oluşturmadığını belirterek Marcus’un WannaCry saldırısındaki katkılarından dolayı serbest bırakılmasına karar verilmiştir . Söz konusu olayda hacker Marcus, ABD yasalarına göre kötü amaçlı yazılım ürettiği gerekçesiyle yargılanmışsa da başka bir fidye yazılım saldırısını durdurduğu için serbest bırakılmıştır.
Türk Ceza Hukuk sistemi açısından bu olay değerlendirildiğinde ise MarcusHutchins’in imal ettiği, ithal ettiği sevk ettiği, naklettiği, depoladığı, kabul ettiği, satışa arz ettiği, satın aldığı, başkalarına verdiği veya bulundurduğu şeyin cihaz, şifre ve sair güvenlik kodu olduğunu bilmesi gerekip ayrıca bu filleri bilişim alanında suçlar bölümünde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçları işlemek amacıyla oluşturması gerektiğinden sırf bu nitelikte cihaz veya programların oluşturulması Türk Ceza Kanuna göre suç oluşturmadığından Marcus Hutchins’in eylemi TCK’ya göre cezalandırılması mümkün olmayacaktı. Failin imal ettiği, ithal ettiği sevk ettiği, naklettiği, depoladığı, kabul ettiği, satışa arz ettiği, satın aldığı, başkalarına verdiği veya bulundurduğu şeyin cihaz, şifre ve sair güvenlik kodu olduğunu bilmesi gerekip ayrıca bu filleri bilişim alanında suçlar bölümünde yer alan suçlar ile bilişim sistemlerinin araç olarak kullanılması suretiyle işlenebilen diğer suçları işlemek amacıyla oluşturulduğunu bilmesi gerekir.
Leave A Comment