Sosyal medya hesabınızın ele geçirilmesi (account takeover), 5237 sayılı TCK m.243 (bilişim sistemine hukuka aykırı giriş), m.244 (sistemi bozma) ve kötüye kullanım durumunda m.158/1-f (nitelikli dolandırıcılık) suçlarını oluşturur. Instagram, Facebook, X (Twitter), TikTok, WhatsApp, Telegram ve LinkedIn hesaplarının phishing, sim-swap, oltalama veya zayıf şifre yoluyla ele geçirilmesi halinde mağdurun derhal atması gereken hukuki adımlar bulunmaktadır.
Hesap Ele Geçirme Eyleminin Hukuki Nitelendirilmesi
Hesaba izinsiz erişim TCK m.243 kapsamında bilişim sistemine hukuka aykırı giriş suçunu oluşturur ve bir yıla kadar hapis veya adli para cezası öngörülmüştür. Eylemle birlikte şifre değişikliği, veri silme, yetki devri gibi müdahaleler gerçekleşmişse m.244/1 uyarınca altı aydan iki yıla kadar hapis, banka hesabına bağlı işlemlerde m.244/2 ile cezanın yarı oranında artırılması söz konusudur. Hesap aracılığıyla mağdurun tanıdıklarından para talep edilmesi halinde TCK m.158/1-f nitelikli dolandırıcılık (3-10 yıl hapis) bağımsız suç olarak eklenir.
Mağdurun Atması Gereken İlk 24 Saat Adımları
Ele geçirme fark edildiği anda: (1) platformun kendi “hesap kurtarma” akışını başlatın (Instagram Support, Meta Account Center, X Help Center), (2) bağlı e-posta ve telefon numarasına erişimi tekrar alın, (3) iki faktörlü doğrulama (2FA) ayarlayın, (4) tüm aktif oturumları kapatın. Aynı saatte kolluğa veya cumhuriyet başsavcılığına şikayet dilekçesi sunulmalı; Siber Suçlarla Mücadele Şube Müdürlüğü ve USOM (Ulusal Siber Olaylara Müdahale Merkezi, usom.gov.tr) bildirim kanallarına başvurulmalıdır.
Delil Toplama: Ekran Görüntüsü, Metadata, Adli Bilişim
Ekran görüntüleri yalnız başına yeterli değildir; dijital delilin hukuki niteliği için metadata (zaman damgası, IP, cihaz bilgisi) ve hash değeri önem taşır. Mağdur şu kanıtları düzenli arşivlemelidir: hesap giriş bildirim e-postaları, bağlı cihaz listeleri, ödeme/mesaj geçmişi, sahte ödeme talepleri. Mahkeme aşamasında CMK m.134 çerçevesinde adli bilişim raporu ile delil zinciri tamamlanır.
Phishing ile Ele Geçirmede Platform Sorumluluğu
5651 sayılı Kanun m.5 çerçevesinde yer sağlayıcıların, hukuka aykırı içerik bildirildiğinde kaldırma yükümlülüğü bulunmaktadır. Meta, X, TikTok ve Google temsilci atama yükümlülüğü kapsamındadır (5651 SK m.Ek-4) ve Türkiye’de hukuki tebligata muhatap olmak zorundadır. Platformun kurtarma sürecini geciktirmesi veya hesabı iade etmemesi halinde BTK’ya ve KVKK Kuruluna şikayet yolu açıktır.
Paralı/Ticari Hesapların Ele Geçirilmesi ve Tazminat
Ticari faaliyet yürütülen, reklam geliri elde edilen veya takipçi sayısı yüksek hesapların ele geçirilmesi halinde maddi ve manevi tazminat davası açılabilir. TBK m.49-58 çerçevesinde haksız fiilin tüm unsurları (fiil, kusur, zarar, illiyet) ispatlandığında; yoksun kalınan kazanç (TBK m.54), itibar kaybı ve müşteri portföyü zararı talep edilebilir. Hesabı phishing sitesine yönlendirerek ele geçiren failin tespiti halinde rücu yolu da açıktır.
Mevzuat Özeti
| Konu | Kanun / Madde | Yaptırım |
|---|---|---|
| Hesaba izinsiz giriş | TCK m.243 | 1 yıla kadar hapis / adli para |
| Şifre değiştirme, veri silme | TCK m.244/1 | 6 ay – 2 yıl hapis |
| Bankacılık verisi üzerinden işlem | TCK m.244/2 | Cezada 1/2 artırım |
| Hesap üzerinden para talebi | TCK m.158/1-f | 3-10 yıl hapis |
| Kişisel veri ele geçirme | TCK m.136 | 2-4 yıl hapis |
| Platform içerik kaldırma | 5651 SK m.9 | 24 saat – URL engelleme |
| Temsilci atama | 5651 SK m.Ek-4 | Reklam yasağı, IPCA |
| Manevi tazminat | TBK m.58 | Mahkemece belirlenen |
Sıkça Sorulan Sorular
Hesap ele geçirildi, doğrudan dava mı açmalıyım yoksa şikayet mi?
Öncelikle cumhuriyet başsavcılığına suç duyurusunda bulunulur; faili tespit için adli makamların IP, log ve MAC adresi talebi gereklidir. Takipsizlik kararı verilmesi halinde sulh ceza hakimliğine itiraz (CMK m.173), verilen mahkumiyet kararı akabinde hukuk mahkemesinde tazminat davası açılır.
Failin yurt dışında olması durumunda ne yapılır?
Adli yardımlaşma anlaşmaları çerçevesinde MLAT (Karşılıklı Adli Yardım) talebi gönderilir. 23 Kasım 2001 tarihli Siber Suçlar Sözleşmesi’ne (Budapeşte Sözleşmesi) taraf ülkelerde log ve IP talebi hızlandırılmış prosedürle alınabilir.
İki faktörlü doğrulama (2FA) olmasaydı platform sorumlu olur mu?
2FA’nın kullanıcı tercihine bırakılması platformu sorumluluktan kurtarmaz; KVKK m.12 uyarınca veri sorumlusunun uygun güvenlik tedbirini alma yükümlülüğü mevcuttur. Platformun sistematik zafiyetleri, rıza alınmadan veri paylaşımı veya ihlal bildiriminin geciktirilmesi ayrı KVKK ihlali teşkil eder.
İlgili Rehberler
- Bilişim Avukatı Ana Rehber
- TCK m.243-244 Savunma Rehberi
- KVKK Veri İhlali Bildirimi
- Adli Bilişim Raporu
Bu rehber genel bilgilendirme içerir; hesabı ele geçirilen mağdurların somut olaya uygun hukuki strateji için bilişim avukatı ile görüşmesi önerilir.