Kripto Para Hırsızlığı ve Mağdurların Yasal Hakları

Kripto Para Hırsızlığı ve Mağdurların Yasal Hakları. Türkiye’de kripto varlık ekosistemi, 2024 yılında yürürlüğe giren 7518 sayılı Sermaye Piyasası Kanunu değişikliği ve 2025 yılındaki SPK tebliğleri ile yasal belirsizlikten kurtularak denetlenebilir ve güvenli bir yapıya kavuşmuştur. Kripto varlıkların “gayri maddi varlık” statüsüne alınarak “Vahşi Batı” döneminin sona erdirildiği bu yeni hukuki düzlemde; siber saldırı ve hırsızlık mağdurlarının hak arama süreçleri, borsaların kusursuz sorumluluğu, zimmet suçu kapsamındaki ağır cezai yaptırımlar ve zorunlu siber güvenlik sigortası gibi mekanizmalarla güçlendirilmiştir. Bu rapor, yasal boşlukların giderildiği söz konusu reform sürecini merkeze alarak, mağdurların cezai ve hukuki haklarını, tazminat taleplerini ve izlemeleri gereken güncel yargısal yol haritasını derinlemesine analiz etmektedir.

Konu ile ilgili diğer yazımız; Türkiye’deki Yasal Düzenlemelerle Kripto Para Borsası

1. Kripto Varlık Hırsızlığında Ceza Hukuku Perspektifi ve Suç Vasıflandırması

Kripto varlıkların sahibinin rızası dışında elinden çıkması (çalınması), eylemin gerçekleşme biçimine göre Türk Ceza Kanunu’nda farklı suç tiplerine vücut verebilir. Bu bölümde, Yargıtay içtihatları ve doktrinel tartışmalar ışığında, hırsızlık, dolandırıcılık, güveni kötüye kullanma ve zimmet suçları arasındaki ince sınırlar analiz edilmektedir.

1.1. Hırsızlık Suçu (TCK m. 141-142) vs. Bilişim Suçu (TCK m. 244)

Kripto varlık cüzdanlarının özel anahtarlarının (private key) ele geçirilerek varlıkların transfer edilmesi eyleminin hukuki nitelendirmesi, ceza hukukunun en tartışmalı alanlarından biridir.

1.1.1. Bilişim Sistemlerinin Kullanılması Suretiyle Hırsızlık (TCK m. 142/2-e)

Hırsızlık suçu, “zilyedinin rızası olmadan başkasına ait taşınır bir malı, kendisine veya başkasına bir yarar sağlamak maksadıyla bulunduğu yerden alma” fiilidir. Klasik ceza hukuku dogmatiğinde “mal” kavramı genellikle fiziksel, dokunulabilir (cismani) varlıkları ifade eder. Ancak, ekonomik hayatın dijitalleşmesiyle birlikte Yargıtay, “ekonomik değeri olan” her türlü varlığı hırsızlık suçunun konusu olarak değerlendirme eğilimine girmiştir.

Özellikle internet bankacılığı dolandırıcılıklarında Yargıtay Ceza Genel Kurulu ve 11. Ceza Dairesi, banka hesabındaki paranın başka hesaba havale edilmesini, bilişim sisteminin “araç” olarak kullanılması suretiyle işlenen Nitelikli Hırsızlık (TCK m. 142/2-e) olarak kabul etmektedir. Bu kıyas yoluyla, kripto varlıkların da bir cüzdandan diğerine izinsiz transferi, mağdurun malvarlığında azalma meydana getirdiği ve failin malvarlığında artış sağladığı için nitelikli hırsızlık kapsamında değerlendirilmektedir. Bu suçun cezası 5 yıldan 10 yıla kadar hapistir.

Gerekçe: Mağdurun dijital cüzdanı üzerindeki egemenlik yetkisi, özel anahtarın (şifrenin) kullanılması suretiyle kırılmakta ve varlık üzerindeki zilyetlik sona erdirilmektedir.

1.1.2. Bilişim Sistemini Engelleme, Bozma, Verileri Yok Etme veya Değiştirme (TCK m. 244)

Karşıt görüş ise, kripto varlıkların özü itibarıyla birer “veri” (data) olduğunu savunur. Blokzincir üzerindeki bir işlem, aslında dağıtık defterdeki verinin güncellenmesinden ibarettir. Bu bakış açısına göre, bir kişinin cüzdanındaki kripto parayı kendi cüzdanına aktaran fail, aslında “sisteme hukuka aykırı olarak girip verileri değiştirmek suretiyle haksız çıkar sağlamaktadır”. Bu eylem TCK 244/4 maddesine uyar.

TCK 244/4 Düzenlemesi: “Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beş bin güne kadar adlî para cezasına hükmolunur.”
İçtihat Farklılıkları: Yargıtay 8. Ceza Dairesi ve 11. Ceza Dairesi arasında zaman zaman görev ve vasıflandırma uyuşmazlıkları yaşanmaktadır. Bazı kararlarda, eylemin sadece veri manipülasyonu olduğu durumlarda TCK 244 uygulanırken, somut bir ekonomik değer kaybının net olduğu durumlarda TCK 142 (Hırsızlık) veya TCK 158 (Dolandırıcılık) tercih edilmektedir. Mağdurlar açısından TCK 142’nin uygulanması, hem zamanaşımı sürelerinin daha uzun olması hem de cezanın alt sınırının yüksek olması nedeniyle daha lehedir.

1.2. Nitelikli Dolandırıcılık (TCK m. 157-158)

Hırsızlık suçunda mağdurun rızası hiç yoktur; ancak dolandırıcılık suçunda mağdur, failin hileli davranışları sonucu hataya düşürülerek (iradesi sakatlanarak) varlığı kendi eliyle teslim eder. Kripto ekosisteminde “Oltalama” (Phishing) ve “Yatırım Dolandırıcılığı” vakaları bu kategoriye girer.

Bilişim Sistemlerinin Araç Olarak Kullanılması (TCK m. 158/1-f): Failin sahte bir borsa sitesi kurması, sosyal medya üzerinden sahte airdrop linkleri paylaşması veya kendisini yatırım danışmanı olarak tanıtarak mağduru para göndermeye ikna etmesi durumunda Nitelikli Dolandırıcılık suçu oluşur.
Ceza Miktarı: Bu suçun cezası 3 yıldan 10 yıla kadar hapis ve beş bin güne kadar adli para cezasıdır. Ancak, TCK 158/1-son fıkrası uyarınca, bilişim sistemlerinin kullanılması suretiyle işlenen dolandırıcılık suçunda hapis cezasının alt sınırı 4 yıldan, adli para cezasının miktarı ise elde edilen menfaatin iki katından az olamaz.
Yargıtay 15. Ceza Dairesi İçtihatları: Yargıtay, mağdur ile failin yüz yüze gelmeden, internet, telefon veya sosyal medya üzerinden iletişim kurarak gerçekleştirdiği dolandırıcılık eylemlerinde, bilişim sistemlerinin “suçun işlenmesini kolaylaştıran bir araç” olarak kullanıldığını kabul etmekte ve nitelikli halden hüküm kurmaktadır.

1.3. Güveni Kötüye Kullanma (TCK m. 155) ve Yeni “Zimmet” Suçu

Kripto varlıklarını bir borsada (merkezi platform – CEX) tutan kullanıcılar, hukuki olarak varlıkların zilyetliğini borsaya devretmiş sayılırlar. Borsa yetkililerinin bu varlıkları amacı dışında kullanması, eskiden TCK 155/2 (Hizmet Nedeniyle Güveni Kötüye Kullanma) kapsamında değerlendirilmekteydi (1 yıldan 7 yıla kadar hapis). Ancak 7518 Sayılı Kanun ile bu durum kökten değişmiştir.

1.3.1. Kripto Varlık Hizmet Sağlayıcılarda Zimmet (SPKn m. 110/A)

Yeni yasa ile kripto varlık borsası yöneticilerinin ve çalışanlarının, müşterilere ait varlıkları kendilerine veya başkalarına aktarmaları Zimmet suçu olarak tanımlanmıştır. Bu, bankacılık zimmetiyle benzer ağırlıkta, çok daha ciddi bir suç tipidir.

Ağır Yaptırımlar: Suçun cezası 8 yıldan 14 yıla kadar hapis ve zararın üç katına kadar adli para cezasıdır. Ayrıca, bu suçtan mahkum olanlar hakkında “şahsi iflas” mekanizması işletilerek, sadece borsanın değil, yöneticilerin tüm kişisel malvarlıklarına el konulmasının önü açılmıştır.
İzinsiz Faaliyet Suçu (SPKn m. 109/A): SPK’dan izin almadan kripto varlık hizmet sağlayıcısı olarak faaliyet gösteren kişiler (merdiven altı borsalar), 3 yıldan 5 yıla kadar hapis cezası ile cezalandırılır. Bu madde, mağdurların lisanssız platformlarda yaşadığı kayıplarda, devletin ceza sopasını daha etkin kullanmasını sağlar.

Aşağıdaki tablo, kripto varlık hırsızlığı bağlamında suç tiplerini ve cezai yaptırımları özetlemektedir:

Suç Tipi	Yasal Dayanak	Eylemin Niteliği	Ceza Yaptırımı
Nitelikli Hırsızlık	TCK m. 142/2-e	Cüzdana izinsiz erişim, hackleme, varlık transferi.	5 – 10 Yıl Hapis
Bilişim Suçu	TCK m. 244/4	Sistem verilerini bozma, değiştirme, menfaat sağlama.	2 – 6 Yıl Hapis
Nitelikli Dolandırıcılık	TCK m. 158/1-f	Hile, kandırma, phishing, sahte proje ile ikna.	3 – 10 Yıl Hapis (Alt sınır 4 yıl)
Zimmet	SPKn m. 110/A	Borsa yöneticilerinin müşteri varlıklarını mal edinmesi.	8 – 14 Yıl Hapis + Adli Para
İzinsiz Faaliyet	SPKn m. 109/A	Lisanssız borsa işletmek.	3 – 5 Yıl Hapis

2. İkincil Düzenlemeler ve İdari Sorumluluk: SPK Tebliğleri (2025)

7518 sayılı Kanun’un genel çerçevesini çizdiği yapının içini, 2025 yılında SPK tarafından yayımlanan III-35/B.1(Kuruluş ve Faaliyet Esasları) ve III-35/B.2 (Çalışma Usul ve Esasları) sayılı tebliğler doldurmuştur. Bu tebliğler, mağdurların haklarını korumak adına “önleyici hukuk” mekanizmalarını devreye sokmuştur.

2.1. Siber Güvenlik Sigortası ve Sermaye Yeterliliği

Mağdurların en büyük sorunu, davayı kazansalar bile karşı tarafta (borsada) tahsil edebilecekleri bir varlık bulamamalarıdır. SPK, bu riski minimize etmek için finansal bariyerler getirmiştir.

Siber Güvenlik Sigortası: III-35/B.2 Tebliği uyarınca, platformların olası siber saldırılar, teknik arızalar ve personel hatalarından kaynaklanacak müşteri zararlarını karşılamak üzere siber güvenlik sigortası yaptırması teşvik edilmiş, sigorta yaptırılmaması durumunda ise belirli bir tutarın sermaye olarak bloke edilmesi zorunlu kılınmıştır. Bu düzenleme, kripto piyasasında bir nevi “Tasarruf Mevduatı Sigorta Fonu” (TMSF) benzeri, ancak özel sektör eliyle yürütülen bir koruma kalkanı oluşturmaktadır.
Sermaye Yeterliliği Tabanı: Kripto varlık hizmet sağlayıcılarının, risk profillerine uygun olarak dinamik bir sermaye yeterliliği hesaplaması yapması ve özsermayelerini belirli bir seviyenin üzerinde tutması gerekmektedir. Duran varlıklar, maddi olmayan varlıklar ve riskli kalemler özsermayeden indirilerek net likit sermaye bulunur.

2.2. Saklama (Custody) Kuralları ve Varlık Ayrıştırması

Borsa iflaslarında veya hırsızlıklarında müşteri varlıklarının korunması için en kritik düzenleme “saklama” kurallarıdır.

Müşteri Varlıklarının Ayrıştırılması: SPK Tebliğleri, müşteri nakitlerinin ve kripto varlıklarının, platformun kendi malvarlığından tamamen ayrı tutulmasını zorunlu kılar. Platformun borçları nedeniyle müşterilerin kripto varlıklarına haciz konulamaz, iflas masasına dahil edilemez.
Soğuk Cüzdan Zorunluluğu: Platformların, müşteri varlıklarının büyük bir bölümünü internete kapalı “soğuk cüzdanlarda” (cold wallets) saklaması zorunludur. Bu oran ve teknik standartlar TÜBİTAK tarafından belirlenen kriterlere göre denetlenir. Böylece, sıcak cüzdanlara (hot wallets) yapılabilecek bir siber saldırıda kaybın tüm varlıklara yayılması engellenir.
Bankaların Rolü: Nakit varlıkların saklanması konusunda bankalarla entegrasyon zorunluluğu getirilmiş, böylece itibari para (TL) akışı devletin gözetimi altındaki bankacılık sistemi üzerinden güvenceye alınmıştır.

3. Özel Hukuk Kapsamında Tazminat Sorumluluğu

Ceza davası kamu düzenini sağlarken, mağdurun ekonomik kaybının telafisi hukuk mahkemelerinde açılacak tazminat davaları ile mümkündür.

3.1. Sözleşmesel Sorumluluk ve “Sorumsuzluk Kayıtları”

Geçmişte birçok borsa, kullanıcı sözleşmelerine “siber saldırılardan sorumlu değiliz” maddesi ekleyerek sorumluluktan kurtulmaya çalışırdı. 7518 Sayılı Kanun bu yolu kapatmıştır. Kanun açıkça, “Kripto varlık hizmet sağlayıcıların müşterilerine karşı sorumluluğunu ortadan kaldıran veya sınırlandıran her türlü sözleşme şartı geçersizdir” hükmünü getirmiştir.

Bu hüküm, TBK m. 115 (Sorumsuzluk Anlaşması) ile de uyumludur. Ancak özel kanun (SPKn) niteliğinde olduğu için daha keskin bir koruma sağlar. Artık bir borsa, hacklendiği zaman “sözleşmede yazıyordu” diyerek tazminattan kaçamaz.

3.2. Basiretli Tacir ve Kusur Sorumluluğu (TBK m. 112 & TTK m. 18)

Türk Ticaret Kanunu (TTK) uyarınca, her tacir ticaretine ait faaliyetlerinde “basiretli bir iş adamı” gibi hareket etmek zorundadır. Kripto varlık borsaları için basiretli davranmak; en güncel siber güvenlik önlemlerini almak, penetrasyon testlerini düzenli yapmak ve personeli eğitmektir.

Yargıtay Hukuk Genel Kurulu, tacirlerin öngörülebilir risklere karşı tedbir almakla yükümlü olduğunu belirtir. Kripto dünyasında siber saldırı “mücbir sebep” değil, “öngörülebilir ticari risk”tir. Bu nedenle, gerekli güvenliği sağlamayan borsa, TBK m. 112 (Sözleşmeye Aykırılık) ve m. 49 (Haksız Fiil) kapsamında müşterinin tüm zararını (müsbet zarar) ve yoksun kalınan kârı tazminle yükümlüdür.

3.3. İcra ve İflas Hukuku Boyutu

Hukuk mahkemesinden alınan ilamın (kararın) icrası aşamasında kripto varlıkların durumu da netleşmiştir. Kripto varlıklar “haczedilebilir malvarlığı” olarak kabul edilmektedir. Borçlunun (dolandırıcı veya kusurlu borsa) kripto cüzdanlarına İcra Müdürlükleri aracılığıyla haciz ihbarnamesi gönderilerek bloke konulabilir. Hatta mahkeme kararlarının doğrudan “bitcoin ödenmesi” şeklinde verilebileceği ve bunun ilamlı icraya konu olabileceği hukukçular tarafından öngörülmektedir.

4. Delil Yönetimi, İspat ve Yargılama Usulü

Kripto varlık hırsızlığı davalarında başarının anahtarı, teknik verilerin hukuki delile dönüştürülmesidir.

4.1. Blokzincir Analizi ve Delil Niteliği

Blokzincir kayıtları (transaction hashes – TXID) değiştirilemez ve şeffaftır, ancak anonimdir (cüzdan adresi kişiyi doğrudan göstermez).

Yargıtay Yaklaşımı: Yargıtay 11. Ceza Dairesi, kripto transfer kayıtlarının tek başına sanığın kimliğini ispata yetmeyebileceğine, ancak IP adresleri, borsa KYC bilgileri, telefon sinyal kayıtları (HTS) ve tanık beyanları ile desteklendiğinde “takdiri delil” olarak hükme esas alınabileceğine karar vermiştir.
Bilirkişi Raporları: Mahkemeler, çalınan fonların izini sürmek için “Blokzincir Analiz Raporları” (Blockchain Forensics) talep eder. Bu raporlar, fonların hangi cüzdanlardan geçip hangi merkezi borsaya (Binance, Paribu, BTC Turk vb.) girdiğini görselleştirir. Çin gibi bazı ülkelerde blokzincir verileri doğrudan delil sayılırken, Türkiye’de bilirkişi incelemesine tabi tutulması usulün bir gereğidir.

4.2. Soruşturma Aşaması ve MASAK

Mağdurların izlemesi gereken ilk ve en önemli adım, Cumhuriyet Başsavcılığına etkili bir şikayet dilekçesi vermektir.

Dilekçe İçeriği: Dilekçede; çalınan tutar, işlem tarih/saati, gönderici ve alıcı cüzdan adresleri (TXID), kullanılan borsa bilgileri detaylıca yer almalıdır. “Hırsızlık” ve “Dolandırıcılık” suçlarının her ikisinden de şikayetçi olunmalı, hukuki niteleme savcıya bırakılmalıdır.
MASAK İşbirliği: Savcılıklar, kripto suçlarında Mali Suçları Araştırma Kurulu (MASAK) ile koordineli çalışır. MASAK, Türkiye’deki tüm lisanslı KVHS’lerden anlık bilgi alma yetkisine sahiptir. Şüphelinin kimlik tespiti genellikle MASAK raporları ile sağlanır. Ancak Yargıtay, MASAK raporlarının “ihbar” niteliğinde olduğunu, tek başına mahkumiyet için yeterli olmadığını, mahkemenin bu verileri yargılama aşamasında doğrulaması gerektiğini belirtmiştir.

4.3. Uluslararası İstinabe (Adli Yardımlaşma)

Kripto suçlarının sınır aşan doğası en büyük handikaptır. Çalınan paralar genellikle dakikalar içinde yurt dışı merkezli borsalara veya karıştırıcılara (mixers) aktarılır.

Adalet Bakanlığı Genelgeleri: Adalet Bakanlığı, 2024-2025 döneminde savcılıkların uluslararası taleplerini hızlandırmak için yeni genelgeler yayımlamış ve savcılara kripto cüzdanlara el koyma konusunda daha geniş yetkiler tanınması yönünde çalışmalar yapmıştır.
Zorluklar: Yabancı borsalar (örneğin Seyşeller veya Cayman Adaları merkezli) Türk mahkemelerinin taleplerine her zaman yanıt vermeyebilir. Bu durumda ikili anlaşmalar ve Interpol bültenleri devreye girer.

5. Önerilerimiz

Kripto varlık hırsızlığında mağdurların yasal hakları, Türkiye’de son iki yılda yapılan reformlarla teorik düzlemden pratik ve uygulanabilir bir zemine taşınmıştır. 7518 Sayılı Kanun ve SPK Tebliğleri, kripto varlıkları “yasal koruma altındaki varlık” statüsüne kavuşturarak, hırsızlık ve dolandırıcılık eylemlerinin cezalandırılmasında yargının elini güçlendirmiştir.

Özellikle Zimmet suçunun getirilmesi, borsaların siber güvenlik sigortası yaptırma zorunluluğu ve sorumsuzluk kayıtlarının geçersizliği, mağdurlar için güçlü bir tazminat altyapısı oluşturmuştur. Artık mağdurlar, sadece “faili meçhul” hackerlarla değil, güvenlik zafiyeti gösteren kurumsal yapılarla da hukuki mücadeleye girme imkanına sahiptir.

Ancak, teknolojinin hızı hukuktan her zaman daha ileride olduğu için, merkeziyetsiz finans (DeFi) protokolleri ve sınır aşan işlemler konusundaki boşluklar devam etmektedir. Mağdurların haklarını tam olarak alabilmesi için;

Olay anında tüm dijital delilleri (ekran görüntüsü, TXID) sabitlemesi,
Zaman kaybetmeden savcılığa başvurarak cüzdanlara “blokaj” talep etmesi,
Hukuk davasında “kusursuz sorumluluk” ve “basiretli tacir” ilkelerine dayanarak borsayı da davalı olarak göstermesi kritik önem taşımaktadır.

Türkiye’nin kripto hukuku rejimi, inovasyonu engellemeden yatırımcıyı koruma dengesini gözeterek, AB’nin MiCA düzenlemeleriyle uyumlu, modern ve proaktif bir yapıya evrilmiştir. Bu yapı, dürüst yatırımcılar için güvenli bir liman, kötü niyetli aktörler için ise aşılması zor bir hukuki duvar örmektedir.

En Son Eklenen Yazılarımız

« Önceki Yazı

Sonraki Yazı »