BEC (Business Email Compromise) dolandırıcılığı, saldırganın şirket yöneticisinin e-postasını taklit ederek veya ele geçirerek finans birimini yanıltmasıyla gerçekleştirilir. Yüksek tutarlı havale/EFT talimatları genellikle hafta sonu ve tatil günleri hedef alınır. Bu rehber hukuki boyutu, önleme stratejilerini ve mağduriyet sonrası süreci ele alır.
BEC Senaryoları
CEO fraud (yönetici taklidi), satıcı tedarikçi hesabı değişimi, avukat/danışman taklidi ve maaş hesabı değiştirme gibi senaryolar başlıca varyantlardır. Spear phishing ve alan adı benzeri (typosquat) teknikler kullanılır.
Hukuki Nitelendirme
Eylem TCK m.158/1-f (bilişim sistemleri kullanılarak nitelikli dolandırıcılık) kapsamında değerlendirilir. Şirket e-posta sunucusuna erişim sağlanmışsa 243. madde, veri değişikliği 244. madde ile birlikte uygulanabilir.
Para İzleme ve Geri Alma
Saldırı tespit edilir edilmez alıcı bankaya recall talebi, havale takibi ve dondurma işlemi istenir. SWIFT mesajlaşması üzerinden MT192/195 iptal talepleri düzenlenebilir.
İç Kontrol ve Önleme
Çift onay mekanizması, telefonla geri arama ile doğrulama, alan adı uyarıları (DMARC/DKIM/SPF), eğitimler ve kırmızı bayrak prosedürleri temel önleme araçlarıdır.
Sigorta ve Rücu
Siber sigorta poliçeleri BEC zararlarını farklı limitlerle kapsayabilir. Şirket içi ihmal, bankanın uyarı yükümlülüğü ve üçüncü taraf servis sağlayıcı sorumluluğu ayrıca tartışılır.
Sıkça Sorulan Sorular
BEC dolandırıcılığında para geri alınabilir mi?
Havale tamamlanmadıysa banka recall talebiyle dondurma mümkün olabilir; tamamlandıysa alıcı banka ile işbirliği gerekir.
Şirket iç kontrolü yoktu, sorumluluk kimde?
İç kontrol zafiyeti yöneticinin özen yükümlülüğü çerçevesinde değerlendirilir; şirket içi denetim önem taşır.
E-posta sunucumuz ihlal edilmiş mi kontrol?
Hesap aktivite logları, ters IP sorguları ve şüpheli mail yönlendirme kuralları incelenmelidir.
DMARC politikası nedir?
Alan adı kimlik doğrulama politikasıdır; saldırganların sahte e-posta göndermesini zorlaştırır.
Bu içerik bilgilendirme amaçlıdır ve bireysel hukuki danışmanlık yerine geçmez. Somut olayınız için bir avukatla görüşmeniz önerilir.
İlgili Yargısal Yaklaşımlar
Bilişim Sistemine Girme — Yargısal Yaklaşım
Yargıtay Ceza Genel Kurulu ve Yargıtay 8. Ceza Dairesi kararlarında TCK m.243 bakımından sistem bütünlüğünün bozulup bozulmadığı araştırılmaktadır. Sanığın IP-cihaz-kullanıcı eşleşmesinin kesintisiz olarak ispatlanamadığı hallerde beraat kararları verilmektedir. Ayrıca rıza savunmasının somut olarak değerlendirilmesi, sistem sahibinin eski personel olması veya ortak kullanım bulunması halleri kritik savunma argümanlarıdır. Anayasa Mahkemesi bireysel başvuru kararlarında dijital delil elde edilmesinde CMK m.134’e uyumun sıkı biçimde denetlendiği ifade edilmektedir.
Yargısal kararların güncel ve tam metinleri için mevzuat.adalet.gov.tr veritabanından sorgulama yapılabilir. Burada özetlenen yaklaşımlar somut olayın koşullarına göre değişebilir.
Bölgenizdeki Bilişim Avukatlığı Danışmanlığı
Konuyla İlgili Video İçerikler
Bilişim hukuku, KVKK, siber suçlar ve dijital delil konularındaki anlatımlarımız için @bilalalyar YouTube kanalını takip edebilirsiniz.
Bu içerik 17 Nisan 2026 tarihinde gözden geçirilmiştir.