SIM Swap Saldırısı Mağdurları İçin Hukuki Rehber
Mağdurun cep telefonu hattının yetkisiz biçimde başka bir SIM karta aktarılması suretiyle bankacılık ve kripto borsa hesaplarına erişim sağlanması; hem operatör sorumluluğu hem de bankacılık ve ceza hukuku boyutuyla bütüncül ele alınması gereken vaka tipidir.
Tipik Mağdur Profilleri (Anonim Vakalar)
Aşağıda büromuza ulaşan başvurulardan hareketle hazırlanmış, kişisel veri içermeyen, anonim/hipotetik mağdur profilleri yer almaktadır. Bu profiller; benzer durumda olan kişilerin durumlarını hukuken nitelendirmelerine yardımcı olmak amacıyla paylaşılmıştır. Her vaka kendine özgü koşullara sahip olup, hukuki süreç müvekkilin somut delil ve durumuna göre şekillenir.
Profil A – Bankacılık hesabından yetkisiz havale yaşayan mağdur
Hattın devralındığı saatlerde internet bankacılığı parolası SMS doğrulamasıyla sıfırlanmış ve birden fazla hesaba havale yapılmıştır.
Hukuki nitelendirme: Operatörün kimlik doğrulama prosedürü incelenir; bankanın anormal davranış tespit sistemleri 6493 sayılı Kanun çerçevesinde değerlendirilir.
Profil B – Kripto borsa hesabı boşaltılan mağdur
İki faktörlü doğrulamanın SMS tabanlı tutulduğu kripto borsa hesabına yetkisiz giriş yapılmış ve varlıklar yurt dışı borsalara aktarılmıştır.
Hukuki nitelendirme: Borsanın güvenlik tedbirleri ve operatörün yükümlülükleri yan yana incelenir; zincir analizi ve borsa işbirliği belirleyicidir.
Profil C – Operatör çalışanının iç müdahalesi şüphesi taşıyan vaka
SIM kart değişikliği fiziksel başvuru olmaksızın gerçekleşmiş, sahte kimlik veya sızdırılmış kişisel veri kullanılmış olabileceği değerlendirilen vaka.
Hukuki nitelendirme: 5237 sayılı Kanun’un nitelikli dolandırıcılık ve görevi kötüye kullanma boyutları öne çıkar; 6698 sayılı Kanun kapsamında veri ihlali bildirimi süreci ayrıca yürütülür.
Profil D – İş yerinde kullandığı kurumsal hattın saldırıya uğradığı yönetici
Hat devralındıktan sonra kurumsal e-posta ve bulut hizmetlerine de erişim sağlanmış, ticari sır boyutu eklenmiş vaka.
Hukuki nitelendirme: Bireysel mağduriyetin yanında kurumsal veri sızıntısı boyutu, KVKK ve ticari sır hükümleri çerçevesinde paralel yürütülür.
Profil E – Aile bireyinin sosyal mühendislikle elde ettiği bilgilerle yapılan vaka
Faylin doğrudan mağdurla yakın çevreden temas kurarak hatta erişim sağladığı vakalar.
Hukuki nitelendirme: Yakın çevre içi vakalar, delil ve şikayet boyutuyla farklı stratejiler gerektirir; ancak suç tipi değişmez.
İlgili Mevzuat
Bu alanda uygulanan başlıca resmi mevzuat aşağıdaki tabloda gösterilmiştir. Tablo yalnızca yürürlükteki kanun maddelerine atıf yapar; herhangi bir mahkeme kararı içermez.
| Kanun No | Kanun Adı | İlgili Madde | Konu |
|---|---|---|---|
| 5237 | Türk Ceza Kanunu | Md. 142 | Bilişim sistemi aracılığıyla hırsızlık |
| 5237 | Türk Ceza Kanunu | Md. 158 | Nitelikli dolandırıcılık (bilişim sistemleri aracılığıyla) |
| 5237 | Türk Ceza Kanunu | Md. 243-245 | Bilişim sistemine girme, sistemi engelleme, banka kart ve hesaplarının kötüye kullanılması |
| 5809 | Elektronik Haberleşme Kanunu | Md. 4, 50, 60 | Kullanıcı haklarının korunması ve operatör yükümlülükleri |
| 6493 | Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu | Md. 14, 18 | Ödeme hizmeti ve güvenlik yükümlülükleri |
| 5411 | Bankacılık Kanunu | Md. 73, 76 | Sır saklama yükümlülüğü ve müşterinin korunması |
| 6698 | Kişisel Verilerin Korunması Kanunu | Md. 12, 17 | Veri güvenliği yükümlülüğü ve veri ihlali |
| 6098 | Türk Borçlar Kanunu | Md. 49 vd., 112-114 | Haksız fiil ve sözleşmesel sorumluluk |
Süreç Akış Şeması
Mağdurun başvurusundan itibaren izlenebilecek genel süreç adımları aşağıdaki gibidir. Her vakada adımların sırası ve içeriği farklılık gösterebilir.
[1] Hattı acil kapatın ve geri alın
Operatör müşteri hizmetleri ve operatör mağazası kanalıyla hattın derhal askıya alınmasını ve mağdura geri aktarılmasını talep edin.
↓
[2] Banka ve borsalara bildirim
Bankacılık uygulamalarına erişiminiz olmasa bile bankanızın çağrı merkezini arayarak hesabınızı koruma altına aldırın; aynı şekilde kripto borsalara hesap dondurma talebi iletin.
↓
[3] Tüm parolaları yenileyin ve 2FA’yı yeniden yapılandırın
E-posta, bankacılık ve borsa hesaplarında SMS yerine uygulama veya donanım tabanlı 2FA’ya geçilir.
↓
[4] Operatör nezdinde resmi başvuru
Hattın nasıl devralındığına dair operatörden işlem kayıtları talep edilir; ilgili tutanak ve yazışmalar muhafaza edilir.
↓
[5] Cumhuriyet Başsavcılığına şikayet
5237 sayılı Kanun’un 142, 158, 243-245. maddeleri kapsamında suç duyurusu hazırlanır.
↓
[6] Koruma tedbiri ve zincir analizi
Aktarılan varlıklara yönelik el koyma talepleri ve kripto varlık aktarımları için zincir analizi yürütülür; MASAK ve borsalara işbirliği bildirimi yapılır.
↓
[7] Tazminat süreci
6098 sayılı Türk Borçlar Kanunu çerçevesinde operatöre ve sorumlu tarafa karşı tazminat değerlendirmesi yapılır; 6502 sayılı Kanun kapsamında tüketici uyuşmazlığı boyutu da incelenir.
SIM Swap Saldırılarının Hukuki Çerçevesi
SIM swap (hat devralma); failin operatöre yapılan başvuru sürecini sosyal mühendislik veya iç sızıntı ile manipüle ederek mağdurun hattını kendisine ait SIM karta aktarması ve böylece SMS tabanlı doğrulama mesajlarını ele geçirmesi şeklinde işlenir. Hat devralındıktan sonra çoğunlukla bankacılık uygulaması parolası sıfırlanır, kripto borsa hesabına giriş yapılır ve hızlı transferlerle varlıklar tasfiye edilir.
Hukuki sorumluluk birden fazla noktada doğabilir. Operatörün kimlik doğrulama prosedürlerini gereği gibi uygulamadığı tespit edilirse 5809 sayılı Elektronik Haberleşme Kanunu ve ikincil düzenlemeler kapsamında sorumluluğu gündeme gelir. Bankaların güvenli ödeme hizmetleri çerçevesinde aldığı önlemler 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu ile 5411 sayılı Bankacılık Kanunu hükümleri bakımından değerlendirilir. Failin eylemleri ise 5237 sayılı Türk Ceza Kanunu’nun 142, 245 ve 158. maddeleri kapsamında incelenir.
Saldırının fark edildiği ilk dakikalar belirleyicidir; hattın geri alınması, banka ve borsalara acil bildirim yapılması, koruma tedbiri taleplerinin hızla yöneltilmesi sürecin temelini oluşturur.
Sıkça Sorulan Sorular
Hattım devralındı, ilk yapmam gereken nedir?
Önce operatörü arayarak hattı askıya aldırın ve hattın size geri aktarılmasını sağlayın. Ardından banka ve borsalarınızı arayarak hesaplarınızı koruma altına aldırın.
Operatör sorumlu olur mu?
Operatörün kimlik doğrulama prosedürünü gereği gibi uygulamadığı, sahte kimlikle veya iç sızıntıyla SIM değişimine izin verdiği tespit edilirse 5809 sayılı Kanun ve ikincil düzenlemeler ile 6098 sayılı Kanun çerçevesinde sorumluluğu doğabilir.
Banka, oluşan zararı geri ödemek zorunda mıdır?
6493 sayılı Kanun’un güvenli ödeme hizmetlerine ilişkin hükümleri çerçevesinde değerlendirme yapılır; bankanın anormal davranış tespit, ek doğrulama ve müşteri koruma yükümlülükleri belirleyicidir. Sonuç somut olaya göre şekillenir.
İki faktörlü doğrulama olarak SMS kullanmak güvenli mi?
SMS tabanlı 2FA, SIM swap saldırılarına karşı güçsüz kabul edilmektedir. Mümkün olan her hesapta uygulama veya donanım tabanlı 2FA tercih edilmesi yaygın olarak önerilir.
Kripto borsadan kaybedilen varlıkları geri almak mümkün mü?
Geri alma; varlıkların ulaştığı borsa, hızlı koruma tedbiri ve zincir analizine bağlıdır. Garanti verilemez ancak hızlı ve sistematik müdahale geri alma şansını artırır.
Tüketici Hakem Heyeti veya mahkemesi süreci uygun mu?
Operatörle yaşanan uyuşmazlıklarda 6502 sayılı Kanun kapsamında tüketici uyuşmazlığı yolu açıktır; tutar ve uyuşmazlığın yapısına göre Tüketici Hakem Heyeti veya Tüketici Mahkemesi yetkili olur.
KVKK boyutu nedir?
Hattın devralınması sürecinde kişisel verilerin yetkisiz kullanımı veya operatör tarafından gerekli güvenlik tedbirlerinin alınmaması 6698 sayılı Kanun kapsamında veri ihlali değerlendirmesi gerektirir; KVKK’ya başvuru yapılması gündeme gelir.
Manevi tazminat talep edilebilir mi?
Kişilik haklarına saldırı, ağır mağduriyet ve maddi zarar ötesinde manevi acı doğmuşsa, 6098 sayılı Kanun’un 58. maddesi kapsamında manevi tazminat değerlendirmesi yapılabilir.
İlgili Hukuki Konular
Bilgilendirme: Bu sayfa genel bilgilendirme amaçlıdır ve avukat-müvekkil ilişkisi kurmaz. Somut bir hukuki sorununuz için doğrudan iletişime geçmeniz önerilir. Türkiye Barolar Birliği Meslek Kuralları gereği herhangi bir sonuç vaadi içermez.
SIM Swap Saldırısının Teknik İşleyişi
SIM swap saldırıları temel olarak şu adımları izler: failin önce hedef hakkında istihbarat toplaması (sosyal medyadan elde edilen ad-soyad, doğum tarihi, son işlem geçmişi gibi bilgiler), ardından operatör müşteri kanallarına başvurarak SIM değişim talebi iletmesi, son olarak yeni SIM kartın aktif edilmesi ve mağdurun hattının bu yeni SIM’e yönlendirilmesidir. Aktivasyondan itibaren mağdurun telefonu sinyalsiz kalır ve SMS doğrulama kodları failin SIM’ine düşmeye başlar. Saldırının başarılı olduğu vakalarda fail; e-posta parolasını sıfırlar, oradan bankacılık ve borsa hesaplarına erişir, kısa sürede varlıkları taşır.
Operatör Sorumluluğunun Kapsamı
5809 sayılı Elektronik Haberleşme Kanunu ve ikincil düzenlemeler operatöre kullanıcı kimliğini güvenilir biçimde doğrulama yükümlülüğü yükler. Operatörün sorumluluğu özellikle şu noktalarda yoğunlaşır:
- Kimlik doğrulama prosedürünün gereği gibi uygulanması
- SIM değişim talebi anında ek bilgi ve doğrulama unsurları aranması
- SIM değişikliği sonrası kullanıcıya çoklu kanaldan bilgilendirme yapılması
- İç sızıntıya karşı denetim mekanizmaları
- Olağandışı talepler için risk skorlaması
Operatörün bu yükümlülükleri ihmal ettiği tespit edilirse 6098 sayılı Türk Borçlar Kanunu çerçevesinde tazminat sorumluluğu doğabilir. Tüketici uyuşmazlığı boyutuyla 6502 sayılı Kanun kapsamında Tüketici Hakem Heyeti veya Tüketici Mahkemesi yolu ayrıca açıktır.
Banka ve Ödeme Hizmeti Sağlayıcısının Sorumluluğu
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu, ödeme hizmeti sağlayıcılarına güçlü kimlik doğrulama yükümlülüğü yükler. Bankanın aşağıdaki unsurlara dikkat etmesi beklenir:
- Anormal davranış tespit (olağandışı saatte yüksek tutarlı havale, yeni cihazdan giriş, yeni alıcıya transfer)
- İki bağımsız kanaldan doğrulama (SMS yetersiz kabul ediliyorsa cihaz tabanlı imza, biyometri)
- SIM değişiklik bildirimleri sonrası kısa süreli hassas işlem kısıtı
- Müşteri çağrılarına hızlı yanıt ve hızlı koruma uygulamaları
5411 sayılı Bankacılık Kanunu’nun müşterinin korunması yönündeki ilkeleri ile birlikte değerlendirildiğinde, bankanın mevcut güvenlik standartlarının altında kalan davranışı tazminat sorumluluğu doğurabilir.
Kripto Borsa Sorumluluğu
7518 sayılı Kanun ile düzenlenen kripto varlık hizmet sağlayıcıları açısından da güçlü kimlik doğrulama ve müşteri koruma yükümlülükleri bulunmaktadır. SMS tabanlı tek faktörlü doğrulamayla yüksek tutarlı çekim yapılmasına izin verilmesi, IP/cihaz değişikliklerine rağmen ek doğrulama aranmaması veya hızlı dış cüzdan transferlerinin kısıtlanmaması gibi durumlarda borsanın sorumluluğu somut olaya göre incelenir.
Suç Nitelendirmesi: Failin Eylemleri
Failin eylemi tek bir suçta değil, aşamalı biçimde birden fazla suçta değerlendirilir:
- 5237 sayılı Kanun m.142/2-h: Bilişim sisteminin kullanılması suretiyle hırsızlık (varlıkların hesaplardan alınması)
- 5237 sayılı Kanun m.158/1-f: Bilişim sistemleri, banka veya kredi kurumlarının araç olarak kullanılması suretiyle nitelikli dolandırıcılık
- 5237 sayılı Kanun m.243: Bilişim sistemine girme
- 5237 sayılı Kanun m.244: Sistemi engelleme, bozma, verileri yok etme veya değiştirme
- 5237 sayılı Kanun m.245: Banka veya kredi kartlarının kötüye kullanılması (kart bilgileri kullanılmışsa)
- 5237 sayılı Kanun m.135-136: Kişisel verilerin hukuka aykırı kaydedilmesi/verilmesi (kimlik bilgilerinin elde edilme biçimine göre)
KVKK Boyutu ve Veri İhlali Bildirimi
Operatör nezdindeki kullanıcı verilerine yetkisiz erişim veya iç sızıntı söz konusu ise, 6698 sayılı Kanun’un 12. maddesi kapsamında veri güvenliği yükümlülüğünün ihlali ve 17. madde kapsamında suç tipi gündeme gelir. Veri sorumlusu konumundaki operatörün, veri ihlalini öğrendikten sonra makul süre içinde Kurul’a bildirim yapması ve etkilenen kullanıcılara haber vermesi gerekir. Mağdur, KVKK’ya doğrudan başvurarak inceleme talep edebilir; kurul kararı sonrasında oluşacak idari yaptırımlar ve tespitler özel hukuk süreci için önemli delil işlevi görür.
Önleyici Tedbirler ve Mağdurların Tekrar Saldırıdan Korunması
SIM swap mağduru olan kişilerin tekrar hedef alınma riski yüksektir. Bu nedenle olay sonrası uygulanması önerilen tedbirler özetle şunlardır:
- SMS tabanlı 2FA’nın tüm hesaplarda uygulama veya donanım anahtarı tabanlı 2FA ile değiştirilmesi
- Operatörden “SIM kart koruma” veya “PIN tabanlı doğrulama” gibi ek tedbirlerin talep edilmesi
- E-posta hesapları için kurtarma yöntemlerinin telefon yerine yedek e-posta veya donanım anahtarı olarak ayarlanması
- Bankacılık uygulamalarında yüksek tutarlı işlemler için ek doğrulama mekanizmalarının aktif edilmesi
- Sosyal medya hesaplarında genel paylaşımlardan kişisel veri kategorisindeki bilgilerin kaldırılması
Tüketici Uyuşmazlığı Yolu
Operatörle yaşanan uyuşmazlıklarda 6502 sayılı Tüketicinin Korunması Hakkında Kanun çerçevesinde Tüketici Hakem Heyeti veya Tüketici Mahkemesi yolu açıktır. Tutar parasal sınırın altında ise hakem heyeti yetkili olur. Hakem heyeti kararları her iki taraf için de bağlayıcı olmakla birlikte itiraz yolu açıktır. Sürecin paralel olarak ceza yargılamasıyla yürütülmesi delil bütünlüğü sağlar.
Manevi Tazminat Boyutu
SIM swap mağduriyeti çoğunlukla yalnızca maddi zarar değil, ağır psikolojik etkiler ve kişilik haklarının ihlali boyutunu da içerir. Hesapların yetkisiz kullanımı, aile-iş çevresinde itibarın etkilenmesi, uzun süreli süreçte yaşanan kaygı ve günlük yaşamın aksaması gibi etkiler 6098 sayılı Türk Borçlar Kanunu’nun 58. maddesi kapsamında manevi tazminat değerlendirmesini gerektirir. Manevi tazminat takdiri hâkimde olmakla birlikte, somut olayın ağırlığı, tarafların ekonomik durumu ve mağdurun yaşadığı somut etkiler gerekçelendirilmelidir.
Uluslararası Boyut ve İş Birliği
SIM swap saldırılarının önemli bir bölümünde varlıklar yurt dışı borsalara aktarılmaktadır. Avrupa Konseyi Siber Suç Sözleşmesi (Budapeşte Sözleşmesi) çerçevesinde adli yardım talepleri, MASAK’ın muadili kuruluşlarla iş birliği ve uluslararası borsalarla doğrudan koruma talepleri sürecin temel araçlarındandır. Hızlı müdahalenin başarı şansını ciddi biçimde artırdığı, gecikmenin ise varlıkların izinin kaybolma riskini büyüttüğü göz önünde bulundurulmalıdır.