SIM Swap (SIM Kart Yetkisiz Aktarımı) Mağdurları İçin Hukuki Rehber
SIM swap; failin mağdurun hat numarasını farklı bir SIM karta taşıtarak SMS doğrulama tabanlı tüm hesaplara (banka, e-posta, kripto borsa) erişim sağladığı saldırı türüdür. Bu rehber; mağdurların başvurabileceği hukuki yolları ve yürürlükteki mevzuat çerçevesini özetler.
Tipik Mağdur Profilleri (Anonim Vakalar)
Aşağıda büromuza ulaşan başvurulardan hareketle hazırlanmış, kişisel veri içermeyen, anonim/hipotetik mağdur profilleri yer almaktadır. Bu profiller; benzer durumda olan kişilerin durumlarını hukuken nitelendirmelerine yardımcı olmak amacıyla paylaşılmıştır. Her vaka kendine özgü koşullara sahip olup, hukuki süreç müvekkilin somut delil ve durumuna göre şekillenir.
Profil A — Banka Hesabından Yetkisiz EFT
Kişinin telefonu aniden şebeke dışı kalmış, kısa süre sonra bankadaki tüm bakiyenin başka hesaplara aktarıldığını öğrenmiştir.
Hukuki nitelendirme: Bilişim sistemleri kullanılarak dolandırıcılık ve operatör/banka özen yükümlülüğü; ayrı ayrı incelenir.
Profil B — Kripto Borsadan Çekim
Hat numarasının yetkisiz aktarımının ardından mağdurun kripto borsa hesabına SMS doğrulamayla girilmiş ve varlıklar başka cüzdanlara çekilmiştir.
Hukuki nitelendirme: Borsanın iki adımlı doğrulama uygulamaları ve SIM swap saldırılarına karşı önlemleri sözleşmesel sorumluluk yönünden değerlendirilir.
Profil C — Çoklu Hesap Saldırısı
Mağdurun hattının yetkisiz aktarımı sonrasında e-posta, sosyal medya ve banka hesapları ardı ardına ele geçirilmiştir.
Hukuki nitelendirme: Tek bir SIM swap eyleminden doğan zincirleme zarar; her bir hesap için ayrı suç vasıfları ve sorumluluk değerlendirmesi gerektirir.
Profil D — Operatör Çalışanı İhmali İddiası
Mağdur, operatöre başvurusunda SIM değişikliğinin yetersiz kimlik doğrulamasıyla yapıldığını öğrenmiştir.
Hukuki nitelendirme: Operatörün özen yükümlülüğü ihlali; sözleşmesel sorumluluk ve haksız fiil çerçevesinde değerlendirilir.
Profil E — Yurt Dışından Saldırı
Yetkisiz işlemlerin yurt dışı IP’lerden gerçekleştirildiği tespit edilmiştir.
Hukuki nitelendirme: Sınır ötesi unsurlar uluslararası hukuki yardım gerektirebilir; merkezi platform kayıtları temel delildir.
İlgili Mevzuat
Bu alanda uygulanan başlıca resmi mevzuat aşağıdaki tabloda gösterilmiştir. Tablo yalnızca yürürlükteki kanun maddelerine atıf yapar; herhangi bir mahkeme kararı içermez.
| Kanun No | Kanun Adı | İlgili Madde | Konu |
|---|---|---|---|
| 5237 | Türk Ceza Kanunu | m. 243 | Bilişim sistemine yetkisiz erişim |
| 5237 | Türk Ceza Kanunu | m. 244 | Sistemi engelleme, bozma, verileri yok etme |
| 5237 | Türk Ceza Kanunu | m. 245 | Banka veya kredi kartlarının kötüye kullanılması, bilişim suistimali |
| 5237 | Türk Ceza Kanunu | m. 158/1-f | Bilişim sistemleri kullanılarak dolandırıcılık |
| 5237 | Türk Ceza Kanunu | m. 135-136 | Kişisel verilerin hukuka aykırı kaydı/ele geçirilmesi |
| 5809 | Elektronik Haberleşme Kanunu | Genel hükümler | Operatörün yükümlülükleri |
| 5411 | Bankacılık Kanunu | Genel hükümler | Bankanın özen yükümlülüğü |
| 6698 | Kişisel Verilerin Korunması Kanunu | Genel hükümler | Veri güvenliği |
| 6098 | Türk Borçlar Kanunu | m. 49 vd. | Haksız fiil ve tazminat |
Süreç Akış Şeması
Mağdurun başvurusundan itibaren izlenebilecek genel süreç adımları aşağıdaki gibidir. Her vakada adımların sırası ve içeriği farklılık gösterebilir.
[1] Hattın Acil Olarak Kapatılması
Operatörle iletişime geçilerek hat derhal kapatılır ve eski SIM'in iadesi/yeni SIM çıkarılması talep edilir.
↓
[2] Banka ve Borsa Hesaplarının Donmadrılması
Bankaya ve kripto borsalara bildirim yapılarak hesapların geçici olarak işleme kapatılması talep edilir.
↓
[3] Delillerin Toplanması
Operatör tarafındaki SIM değişiklik kayıtları, IMEI bilgileri, hat hareketleri, banka EFT kayıtları, borsa giriş logları talep edilir.
↓
[4] Cumhuriyet Başsavcılığına Suç Duyurusu
TCK m. 243, m. 244, m. 245, m. 158/1-f ve m. 135-136 hükümleri kapsamında suç duyurusu yapılır.
↓
[5] Operatör/Banka Aleyhine Talep
Operatörün ve bankanın özen yükümlülüğü ihlali iddiasıyla idari/hukuki başvurular değerlendirilir.
↓
[6] BTK ve KVKK Bildirimi
Bilgi Teknolojileri ve İletişim Kurumu'na ve gerektiğinde KVKK'ya bildirim yapılması değerlendirilir.
↓
[7] İhtiyati Tedbir
Çekim yapılan banka ve cüzdan adreslerine yönelik ihtiyati tedbir kararı talep edilir.
↓
[8] Tazminat Davası
Maddi ve manevi zararlar için TBK m. 49 vd. çerçevesinde dava açılır.
SIM Swap Saldırısının Hukuki Boyutu
SIM swap; mağdurun haberi olmadan ve rızası alınmadan, hat numarasının farklı bir SIM karta taşınmasıdır. Saldırı tipik olarak şu adımları izler: (1) failin mağdura ait kişisel bilgileri toplaması (sosyal mühendislik, veri sızıntıları), (2) operatöre başvurarak SIM değişikliği talep etmesi, (3) hat aktif olduktan sonra SMS doğrulamayla mağdurun banka, e-posta ve kripto borsa hesaplarına girmesi, (4) varlıkların hızla başka hesaplara aktarılması.
Mağdurun Karşılaştığı Tipik Sonuçlar
- Banka hesabından EFT/havale yoluyla para çekilmesi.
- Kripto borsa hesabının ele geçirilmesi ve varlıkların çekilmesi.
- E-posta üzerinden diğer hesaplarda parola sıfırlama.
- Sosyal medya hesaplarının ele geçirilmesi.
Hukuki Çerçeve
SIM swap; bilişim sistemine yetkisiz erişim (TCK m. 243), bilişim suistimali (TCK m. 245), dolandırıcılık (TCK m. 158/1-f), kişisel verilerin hukuka aykırı ele geçirilmesi (TCK m. 135-136) hükümleri kapsamında değerlendirilebilir. Operatörün ve bankanın özen yükümlülüğü ihlali sözleşme ve haksız fiil hukuku açısından ayrıca incelenir.
Sıkça Sorulan Sorular
Hattım bir anda şebekesiz kaldı, SIM swap olabilir mi?
Hattın aniden şebekesiz kalması, ardından e-posta veya bankadan beklenmeyen bildirimler gelmesi SIM swap göstergesi olabilir. İlk adım operatörle iletişim ve hattın askıya alınmasıdır.
Operatör değişiklik talebimi yetersiz kimlik doğrulamasıyla işleme almışsa sorumluluğu nedir?
Elektronik haberleşme mevzuatı ve sözleşmesel ilişki çerçevesinde operatörün özen yükümlülüğü değerlendirilir. Sözleşmesel ve haksız fiil sorumluluğu açısından inceleme yapılır.
Banka çalınan parayı iade etmek zorunda mı?
Bankanın özen yükümlülüğü, müşterinin ihmali, doğrulama mekanizmasının yeterliliği gibi unsurlar birlikte değerlendirilir. Tek bir cevap verilemez; somut olay incelenir.
Kripto borsasından çalınan varlıklar için sorumluluk borsada mı yoksa bende mi?
Borsanın güvenlik tedbirleri, müşterinin iki adımlı doğrulama tercihleri ve sözleşme şartları birlikte değerlendirilir. Bazı durumlarda borsanın sorumluluğu söz konusu olabilir.
Hangi delilleri ne kadar sürede toplamalıyım?
Operatörün SIM değişiklik logları, banka işlem kayıtları ve borsa giriş logları zamanla silinme veya saklanma süresi nedeniyle sınırlı tutulabilir. Mümkün olan en kısa sürede yazılı talep edilmelidir.
Yurt dışı IP’den giriş yapılmışsa fail bulunabilir mi?
IP adreslerinin yer aldığı sağlayıcılarla uluslararası hukuki yardım kanalıyla iletişim kurulabilir. Pratikte sınır ötesi süreçler uzayabilir; ancak merkezi platform kayıtları çoğu zaman fail tespitine olanak verir.
Tazminat alma şansım nedir?
Sonuç; faillerin tespiti, operatör/banka özen ihlalinin ispatı ve dosyanın delil durumuna bağlıdır. TBB Meslek Kuralları gereği herhangi bir başarı vaadi verilmez.
SMS yerine uygulama tabanlı doğrulama kullansaydım yine etkilenir miydim?
Uygulama tabanlı doğrulama (TOTP) SIM swap’a karşı SMS’e göre daha dayanıklıdır. Ancak donanım anahtarı (FIDO2) kullanımı en güçlü korumayı sağlar.
İlgili Hukuki Konular
Bilgilendirme: Bu sayfa genel bilgilendirme amaçlıdır ve avukat-müvekkil ilişkisi kurmaz. Somut bir hukuki sorununuz için doğrudan iletişime geçmeniz önerilir. Türkiye Barolar Birliği Meslek Kuralları gereği herhangi bir sonuç vaadi içermez.