Phishing (Oltalama) Dolandırıcılığı Avukatı 2026
Phishing — Türkçe karşılığıyla “oltalama” — sahte web sayfası, e-posta veya kısa mesaj aracılığıyla kullanıcıdan kimlik, banka erişim bilgisi veya kart verisi elde etmeyi amaçlayan bilişim suçu örüntüsüdür. Türkiye’de phishing dosyaları en sık 5237 sayılı TCK m.158/1-f bilişim sistemleri kullanılarak işlenen nitelikli dolandırıcılık ve aynı Kanun’un m.243 (sisteme girme), m.135 (kişisel verilerin hukuka aykırı ele geçirilmesi) hükümleri çerçevesinde değerlendirilir.
Mevzuat Çerçevesi
5237 sayılı TCK m.158/1-f hükmünün yanı sıra, 5651 sayılı Kanun (içerik kaldırma ve erişim engeli), 6698 sayılı Kanun (KVKK – veri ihlali), 6493 sayılı Kanun (ödeme hizmetleri), 5411 sayılı Bankacılık Kanunu phishing dosyalarında uygulama bulan temel mevzuattır.
Phishing Tipolojisi
- Sahte banka SMS’i: “Hesabınıza şüpheli giriş” konulu, kısaltılmış URL içeren mesaj.
- Sahte kargo/paket SMS’i: “Paketiniz teslim edilemedi, ücret ödeyin” tuzağı.
- Sahte e-Devlet sayfası: Resmi görüntü altında kimlik ve şifre alma.
- Sahte kripto borsa sayfası: Marka taklidi ile cüzdan anahtarı/seed phrase elde etme.
- Spear phishing: Hedeflenmiş kişiye özel sahte e-posta (kurumsal hedefler).
- Whaling: Yönetici hedefli phishing.
- Vishing: Telefon görüşmesiyle bilgi alma.
- Smishing: SMS odaklı phishing.
Mağdur Yol Haritası
- Hesap güvenliğini yeniden alın (parola sıfırlama, 2FA, oturumları kapatma).
- Olay öncesi/sonrası ekran görüntülerini ve mesaj geçmişini arşivleyin.
- Bankaya yazılı bildirim ve chargeback başlatın (kart işlemiyse).
- CMK m.158 uyarınca Cumhuriyet Başsavcılığı’na suç duyurusu yapın.
- USOM’a sahte sayfa bildirimi yapın.
- BTK’ya 5651 SK m.8/A çerçevesinde erişim engeli talep edin.
- Kişisel veri ihlali yönü varsa KVKK m.13 ve m.15 başvurusu yapın.
- TBK m.49 ve m.58 uyarınca tazminat davası değerlendirin.
Bankanın Sorumluluğu
Phishing dosyalarında bankanın 6493 sayılı Kanun ve BDDK düzenlemeleri çerçevesinde “yetkilendirilmemiş işlem” değerlendirmesi yapılır. Müşterinin “ağır kusuru” yokken gerçekleşen işlemlerde geri ödeme yükümlülüğü bankaya aittir; ancak OTP kodu, parola gibi bilgilerin paylaşımı durumunda kusur derecesi tartışılır. 3D Secure muafiyetlerinin uygulanma şekli, banka tarafının özen yükümlülüğü ve müşteri bilgilendirme süreçleri inceleme konusudur.
Süre Yönetimi
Yetkilendirilmemiş işlem bildirimi en geç 13 ay içinde yapılmalıdır. Chargeback için kart kuruluşunun belirlediği 120 günlük eşik kritiktir. Tazminat davası TBK m.72 uyarınca 2/10 yıllık sürelere tabidir.
Şüpheli Konumundaki Kullanıcılar
“Hesabımdan farkında olmadan harcama yapıldı” iddiasıyla başvuran ve kart bilgilerini paylaştığı tespit edilen kullanıcılar yönünden, savunmada “hile altında irade beyanı” ve “ağır kusur olmadığı” argümanları somut delillerle desteklenmelidir.
Resmi Mevzuat Atıf Tablosu
| Konu | Mevzuat | Madde |
|---|---|---|
| Bilişim ile dolandırıcılık | TCK | m.158/1-f |
| Sisteme girme | TCK | m.243 |
| Kişisel verileri hukuka aykırı ele geçirme | TCK | m.135-138 |
| Erişim engeli | 5651 SK | m.8/A, m.9 |
| Veri ihlali bildirimi | 6698 SK | m.12 |
| Ödeme hizmetleri | 6493 SK | Bütüncül |
| Tazminat | TBK | m.49, m.72 |
Sıkça Sorulan Sorular
OTP kodumu paylaştım, banka geri öder mi?
OTP paylaşımı ağır kusur olarak değerlendirilebileceğinden geri ödeme tartışmalıdır; ancak somut olayda bankanın bilgilendirme yükümlülüğü ihlali varsa sonuç farklılaşabilir.
Sahte sayfayı kim hazırladıysa o cezai sorumlu mu?
Evet; TCK m.158/1-f kapsamında nitelikli dolandırıcılık olarak yargılanır. Ek olarak 5651 SK çerçevesinde içerik müdahalesi süreci işler.
Phishing e-postasını silmek delil kaybına yol açar mı?
Evet; e-posta başlık (header) bilgisi delil değeridir. Silmeyin, başlıkları kopyalayıp avukatınıza iletin.
Yurt dışı sunucuya yapılan saldırılar takip edilebilir mi?
Adli yardımlaşma ile mümkündür; süreç uzun olabilir. Erken başvuru başarı şansını artırır.
Sahte sayfa kapatıldı, dosyam kapanır mı?
Hayır; soruşturma faillerin tespiti yönünden devam eder.
Kurumsal phishing saldırısında şirketin sorumluluğu nedir?
KVKK ve şirket yönetim kurulu sorumluluğu çerçevesinde değerlendirilir; bilgi güvenliği eğitimi ve teknik tedbirlerin yeterliliği esas alınır.