Kısaca: Yargıtay 2. Ceza Dairesi’nin 18.11.2025 tarihli 2023/17723 E., 2025/20247 K. sayılı kararı, phishing (oltalama) yöntemiyle banka hesap bilgilerini ele geçirip para transferi yapma eyleminin TCK m.142/2-e bilişim sistemleri kullanılarak hırsızlık suçunu oluşturduğunu hüküm altına almıştır. Daire, 5-10 yıl hapis cezası, şikayete tabi olmama, uzlaştırma kapsamı dışında olma ve zorunlu müdafi atanma sonuçlarıyla bu içtihadı yerleşik hale getirmiştir.
Bir Bakışta Karar
| Konu | Bilgi |
|---|---|
| Mahkeme | Yargıtay 2. Ceza Dairesi |
| Esas No | 2023/17723 |
| Karar No | 2025/20247 |
| Karar Tarihi | 18.11.2025 |
| Konu | Phishing yoluyla banka hesabına erişim |
| Hukuki Nitelendirme | TCK m.142/2-e bilişim hırsızlığı |
| Karar Sonucu | Onama (Tebliğname’ye aykırı) |
| Doğrulama | Bedesten Doc 1195456700 |
⚠️ Yasal Uyarı: Bu içerik hukuki bilgilendirme amacıyla hazırlanmıştır; somut olayınız için avukatınıza danışmanız gerekmektedir.
Phishing (Türkçe karşılığı oltalama), bilişim suçları arasında en yaygın sosyal mühendislik yöntemidir. Eylem fiziksel olmadığı, IBAN ve şifre üzerinden yürüdüğü için hukuki nitelendirilmesi uzun yıllar tartışmalı kalmıştır. Yargıtay 2. Ceza Dairesi’nin 18.11.2025 tarihli 2023/17723 E., 2025/20247 K. sayılı kararı, bu tartışmayı TCK m.142/2-e bilişim sistemleri kullanılarak hırsızlık lehine sonlandırmıştır.
Bu makalede DOLUNAY Projesi kapsamında soruşturulacak phishing vakalarının hukuki çerçevesini şekillendiren bu kararın detaylı analizi, TCK m.142/2-e, TCK m.245 ve TCK m.158 arasındaki sınır, iştirak halinde sorumluluk ve savunma stratejileri ele alınmaktadır.
Olayın Özeti
Hızlı Cevap: Sanıklardan biri phishing yöntemiyle (sahte banka sitesi) katılanın internet bankacılığı şifresini ele geçirmiş; ele geçirilen şifre kullanılarak katılanın hesabından sanık adına kayıtlı GSM hattının IP’si üzerinden başka bir hesaba 3.200,00 TL havale yapılmış; havale edilen tutar diğer sanık tarafından çekilmiştir. İlk Derece Mahkemesi eylemi TCK m.142/2-e bilişim hırsızlığı olarak nitelendirmiş, Bölge Adliye Mahkemesi istinaf başvurusunu reddetmiş, Yargıtay 2. CD ise hükmü onamıştır.
Phishing Yöntemi Nasıl Çalıştı?
Olayın teknik akışı şu şekildedir:
- Sahte site oluşturma: Bankanın resmi web sitesinin görsel olarak aynı görünümüne sahip sahte bir alan adı oluşturulmuştur.
- Mağduru sahte siteye yönlendirme: Genellikle SMS veya e-posta ile katılan mağdura sahte URL gönderilir.
- Bilgi yakalama: Mağdur, gerçek banka sitesi zannederek kullanıcı adı ve şifresini sahte sitede yazar.
- Bilgileri toplama: Sahte site arkasındaki saldırgan bu bilgileri toplar.
- Gerçek hesaba erişim: Saldırgan, gerçek banka sitesine bağlanır ve mağdurun hesabına giriş yapar.
- Para transferi: Hesaptan başka bir IBAN’a havale yapılır.
- Para çekme: Havalenin yatırıldığı hesap sahibi parayı ATM’den çeker.
Olayda Ele Geçen Deliller
- Phishing yöntemiyle çalınan banka şifresi
- Para transferinin yapıldığı sanık adına kayıtlı GSM hattının IP adresi
- Havale dekontu (3.200,00 TL)
- Diğer sanığın ATM’den çekim kayıtları
- HTS (Historical Tracking System) raporu — hattın olay tarihinde kullanımı
Mahkemenin Phishing Tanımı (Birebir Alıntı)
Daire kararında phishing yöntemi birebir şöyle tanımlanmıştır:
“Katılanın hesabına ait bilgilerin ve şifresinin internet üzerinden ‘phishing’ yöntemi (Bankanın web sitesi ile aynı görünümde sahte site açıp, bu siteyi bankanın gerçek sitesi zannederek internet bankacılığı yoluyla hesabına girmek isteyen hesap sahiplerinin girmiş olduğu hesap bilgileri ve şifresinin ele geçirilmesi) ile ele geçirilmesinden sonra…”
Bu tanım, Yargıtay’ın phishing’i:
- Sahte site oluşturma boyutu
- Mağduru aldatma boyutu (görsel benzerlik üzerinden)
- Bilgi/şifre ele geçirme boyutu
olarak üç ana unsuruyla kavradığını gösterir.
Mahkemenin Hukuki Nitelendirmesi
Hızlı Cevap: Daire, eylemin TCK m.142/2-e bilişim sistemlerinin kullanılması suretiyle hırsızlık suçunu oluşturduğunu kabul etmiş; Tebliğname’deki bozma düşüncesine iştirak etmemiş ve hükümleri onamıştır. Bu, Yargıtay’ın phishing eylemini bilişim hırsızlığı olarak konumlandırma yönündeki yerleşik içtihadının bir teyididir.
Neden TCK m.142/2-e Bilişim Hırsızlığı?
TCK m.142/2-e: “Bilişim sistemlerinin kullanılması suretiyle” işlenen hırsızlık nitelikli hırsızlık olarak düzenlenmiştir.
Daire’nin yorumu:
- Mağdurun şifresi/bilgisi rızası dışında ele geçirilmiştir
- Ele geçirilen bilgilerle bilişim sistemine erişim sağlanmıştır
- Bu erişim üzerinden mal varlığı (para) aktarılmıştır
- Tüm süreç bilişim sistemleri aracılığıyla gerçekleşmiştir
Neden TCK m.155 Güveni Kötüye Kullanma DEĞİL?
Sanık müdafii temyiz dilekçesinde eylemin TCK m.155/1 basit güveni kötüye kullanma olarak nitelendirilmesi gerektiğini ileri sürmüştür. Daire bu görüşü kabul etmemiştir çünkü:
- Mağdur şifresini sanığa rızasıyla vermemiştir
- Sanık ile mağdur arasında güven ilişkisi yoktur
- Eylem teknik olarak sahte site üzerinden işlemiştir
Neden TCK m.245 Banka Kartı Kötüye Kullanma DEĞİL?
TCK m.245 fiziksel veya sahte kart kullanımı odaklıdır. Olayda:
- Fiziksel kart kullanılmamıştır
- Sadece internet bankacılığı şifresi çalınmıştır
- Bu nedenle TCK m.245 değil, TCK m.142/2-e uygulanmıştır
Neden TCK m.158/1-f Bilişim Dolandırıcılığı DEĞİL?
Bu sınır en tartışmalı husustur. Yargıtay yaklaşımı:
- Dolandırıcılık (TCK 158): Hile ile mağdurun rızasıyla mal transferi
- Bilişim hırsızlığı (TCK 142/2-e): Rıza olmadan bilişim sistemiyle mal transferi
Phishing’de mağdur şifresini girer ama bunun banka olduğunu zanneder — rıza yoktur, dolayısıyla hırsızlıktır.
TCK 142/2-e vs TCK 245 vs TCK 158 Karşılaştırma Tablosu
| Kriter | TCK m.142/2-e (Bilişim Hırsızlığı) | TCK m.245/1 (Banka Kartı Kötüye Kullanma) | TCK m.158/1-f (Bilişim Dolandırıcılığı) |
|---|---|---|---|
| Eylem Tipi | Şifre çalıp hesaba erişim | Kart ve şifre kötüye kullanma | Hile ile yarar sağlama |
| Ceza Alt Sınırı | 5 yıl hapis | 3 yıl hapis | 4 yıl hapis |
| Ceza Üst Sınırı | 10 yıl hapis | 6 yıl hapis | 10 yıl hapis |
| Para Cezası | Yok | 5.000 güne kadar | 5.000 güne kadar |
| Görevli Mahkeme | Asliye Ceza | Asliye Ceza | Ağır Ceza |
| Şikayet | Re’sen | Re’sen | Re’sen |
| Uzlaştırma | Hayır | Hayır | Hayır |
| Zorunlu Müdafi | Evet (5 yıl) | Hayır | Hayır |
| Tipik Örnek | Sahte site ile şifre + havale | Çalınmış kartla çekim, 3D Secure | Yatırım dolandırıcılığı |
| Yargıtay Daire | 2. CD | 8. CD | 11. CD |
İştirak Halinde Sorumluluk
Hızlı Cevap: Yargıtay 2. CD bu kararda iki sanığın iştirak halinde sorumluluğunu kabul etmiştir: (1) Hattının IP’si üzerinden işlem yapan sanık ve (2) Havalenin yatırıldığı hesaptan parayı çeken sanık. “Salt hat sahibi olma” veya “salt para çekme” savunması iştirak iradesini ortadan kaldırmaz; iştirakçi TCK m.37 müşterek fail veya TCK m.39 yardım eden olarak sorumlu tutulur.
Sanıklar Arasındaki Rol Ayrımı
- Sanık A — Hat sahibi: Adına kayıtlı GSM hattının IP’si üzerinden katılanın banka hesabına erişim sağlanmıştır. Müdafii, hat sahibinin “olayı bilmediğini” ileri sürmüştür ancak Daire bunu kabul etmemiştir.
- Sanık B — Para çeken: Havale edilen 3.200 TL’yi ATM’den çekmiştir. Müdafii, sanığın “sadece arkadaşına yardım ettiğini” ileri sürmüştür ancak Daire bunu da kabul etmemiştir.
İştirak İradesinin İspatı
Daire’nin yaklaşımı:
- Salt hat sahibi olmak iştirak iradesini ortadan kaldırmaz
- Salt para çekmek iştirak iradesini ortadan kaldırmaz
- HTS raporu, hesap hareketleri, mesajlaşma kayıtları bütününde iştirak iradesi değerlendirilir
- Müdafii argümanı “diğer sanıkla husumet” olsa bile diğer somut deliller ağır basar
Pratik Savunma Stratejileri
Hızlı Cevap: Phishing davalarında sanık müdafii için kritik savunma noktaları: (1) İştirak iradesinin ispatlanmaması, (2) HTS raporu detaylı incelemesi (hattın gerçekten sanık tarafından kullanılıp kullanılmadığı), (3) Cihazda phishing programı/malware tespiti yapılmadıysa kasıt eksikliği, (4) Etkin pişmanlık ile paranın iadesi (TCK m.168 - 1/2 veya 2/3 indirim), (5) Sanığın “aldatılan” konumda olduğu durumlarda beraat (Yargıtay 8. CD 2024/24160 K.).
1. İştirak İradesinin İspatı Gerekliliği
Yargıtay 11. Ceza Dairesi’nin yerleşik içtihadına göre salt hesap kullandırma iştirak için yeterli değildir; iştirak kastının somut delillerle ispatlanması gerekir. Örnek: İBAN kiralama davalarında Yargıtay 8. CD 2024/24160 K. sayılı kararı sanığın aldatılan konumda olabileceği, dolandırıcılık suçunun işleneceğini bildiğine dair kesin delil yoksa beraat verilmesi gerektiğine hükmetmiştir.
2. HTS Raporu İncelemesi
GSM hattının IP’si üzerinden işlem yapıldığı iddia edilen sanık için HTS (Historical Tracking System) raporu kritiktir. Müdafiinin sorgulaması gereken:
- Hat olay tarihinde sanık tarafından mı kullanılmıştır?
- Aynı dönemde sanığın başka konumlarda kayıtları var mı?
- Hat olay öncesinde iptal edilmiş mi?
- Hat başka bir kişiye verilmiş veya kiralanmış mı?
3. Cihaz İncelemesi
Phishing yöntemi için belirli yazılım ve uygulamalar kullanılır (URL kısaltıcılar, sahte sayfa oluşturma araçları, otomatik gönderim botları). Sanığın cihazında bu tür programlar tespit edilmemişse:
- Kasıt eksikliği argümanı kullanılabilir
- TCK m.21 kasıt unsurunun gerçekleşmediği savunulabilir
- Sanık başkası tarafından kullanılmış olabilir
4. Etkin Pişmanlık (TCK m.168)
Bu suçta etkin pişmanlık önemli bir indirim sağlar:
- Kovuşturma öncesi iade: 2/3 oranına kadar indirim (m.168/1)
- Kovuşturma başladıktan sonra hüküm verilinceye kadar iade: 1/2 oranına kadar indirim (m.168/2)
- Kısmi iade halinde mağdurun muvafakati aranır
5. Aldatılan Konum Savunması
Sanık, kendi banka hesabını başkasına “iş teklifi” sözüyle kullandırdı ise:
- Phishing arkasındaki şebekeden habersiz olabilir
- Yargıtay 8. CD 2024/24160 K. gibi içtihatlarla TCK m.39 yardım eden veya beraat argümanı
6. Usulü İtirazlar
Yargıtay 2. CD 2023/7292 K. sayılı karar gereği:
- Zorunlu müdafi atanmadıysa kuvvetli bozma sebebi
- Mazeretli müdafi yokluğunda esaslı işlem yapıldıysa CMK m.188/1 ihlali
- Tutuklu sanığın duruşmaya getirilmemesi CMK m.196 ihlali
DOLUNAY Projesi ve Phishing Müdahalesi
Hızlı Cevap: DOLUNAY Projesi kapsamında phishing vakalarına 18 dakika içinde müdahale planlanmaktadır. Yapay zeka destekli sistem zararlı URL’leri otomatik tespit eder, Siber Güvenlik Başkanlığı’na erişim engelleme talimatı çıkartır ve IBAN’a anlık bloke konulmasını sağlar.
DOLUNAY’ın phishing özelindeki müdahale modeli:
- URL Engelleme: Sahte banka sitesi 5651 sayılı Kanun m.8/A çerçevesinde erişime engellenir
- IBAN Bloke: BKM koordinasyonuyla dolandırıcı hesaplara anlık bloke
- GSM Hat Kesme: BTK aracılığıyla dolandırıcı hatları kapatma
- Savcı Onayı: 24/7 görev yapan Cumhuriyet Savcısı 5 dakikada karar verir
- Adli Soruşturma: TCK m.142/2-e kapsamında re’sen soruşturma başlatılır
Yargıtay’ın Diğer Phishing/Bilişim Suçu İçtihatları
Yargıtay 8. CD 02.07.2025, 2025/2912 E. - 2025/5592 K.:
- 3D Secure phishing: SMS ile “kart puanı aktivasyonu” bahanesiyle 3D Secure kodu çalma
- Hukuki Nitelendirme: TCK m.245/1 banka kartı kötüye kullanma
- Sonuç: Mahkumiyet onandı
Yargıtay 11. CD 26.02.2026, 2025/2685 E. - 2026/2152 K.:
- Bilişim sistemi aracılığıyla nitelikli dolandırıcılık
- Delillerin mahkeme önünde doğrudan tartışılması zorunluluğu
- Hukuki Nitelendirme: TCK m.158/1-f
Yargıtay 11. CD 19.01.2026, 2022/831 E. - 2026/709 K.:
- Sahibinden.com sahte ilan
- İstinaf mahkemesi duruşma açmadan beraat veremez
- Bozma sebebi
Sonuç
Yargıtay 2. Ceza Dairesi’nin 18.11.2025 tarihli 2023/17723 E., 2025/20247 K. sayılı kararı, Türk hukukunda phishing yönteminin hukuki nitelendirmesi konusunda temel ve yerleşik içtihat niteliği taşır. Daire, phishing eylemini TCK m.142/2-e bilişim sistemleri kullanılarak hırsızlık kapsamında değerlendirmiş; bu eylemin basit güveni kötüye kullanma veya banka kartı kötüye kullanma olarak nitelendirilemeyeceğini ortaya koymuştur.
Suç tipinin sonuçları açısından phishing davalarında 5-10 yıl hapis cezası, re’sen soruşturma, uzlaştırma kapsamı dışı olma ve zorunlu müdafi atanma gibi kritik usul kuralları uygulanır. DOLUNAY Projesi ile devreye alınacak yapay zeka destekli müdahale sistemi, phishing vakalarına 18 dakikada müdahale ederek paranın geri kazanılma şansını ciddi biçimde artıracaktır.
Sanık müdafii açısından phishing davalarında iştirak iradesinin ispatı, HTS raporu detayı, cihaz incelemesi, etkin pişmanlık ve usulü itirazlar kritik savunma stratejilerini oluşturur. Mağdur açısından ise DOLUNAY mobil uygulaması veya 112 ile anında ihbar, IBAN bloke talebi ve avukat desteği en kritik adımlardır.
Bilişim hukuku ve ceza hukuku alanındaki uzman desteği için iletişime geçebilirsiniz.
İlgili İçerikler:
- DOLUNAY Projesi Nedir? 2026 Hukuki Rehber
- Siber Dolandırıcılık Mağdur Rehberi 2026
- Banka Kartı Kötüye Kullanma TCK 245
- Dolandırıcılık Suçu ve Cezası 2026
- İBAN Kiralama HAGB
- Emsal: Yargıtay 2. CD 2023/17723 (Phishing)
- Emsal: Yargıtay 2. CD 2023/7292 (Savunma Hakkı)
- Sözlük: Phishing (Oltalama)
- Faaliyet Alanı: Bilişim Hukuku
Bu Makalede Geçen Hukuki Terimler
Av. Kazım İsmail Kazdal
Kurucu Avukat
İstanbul Barosu Sicil No: 75389
İlk ve orta öğrenimini Rize'de tamamlamış, 2009 yılında lise eğitiminden mezun olmuştur. Aynı yıl Marmara Üniversitesi Tarih Öğretmenliği Bölümünü kazanmış, 2015 yılında bu bölümden mezun olmuştur. İkinci üniversite eğitimi kapsamında Maltepe Üniversitesi Hukuk Fakültesinde öğrenim görmüş ve 2019 yılında hukuk fakültesinden mezun olmuştur. Anadolu Üniversitesi İktisat Fakültesi diplomasını da almıştır. Avukatlık stajını tamamladıktan sonra kendi hukuk bürosunu kurarak serbest avukatlık faaliyetlerine başlamıştır. Başta özel hukuk alanları olmak üzere, mesleki çalışmalarını titizlik ve çözüm odaklılık ilkesiyle sürdürmektedir.