Kısa cevap: Hayır. Yargıtay'ın yerleşik uygulamasına göre CGNAT kayıtları birer "üst veri (metadata)" olması nedeniyle tek başına kesin delil niteliği taşımaz; ancak failin belirlenmesinde önemli bir "belirti delil (emare)" olarak değerlendirilir. Yargıtay Ceza Genel Kurulu, ByLock uyuşmazlığında bu ilkeyi açıkça hükme bağlamıştır.
Günümüzde dünya genelinde IPv4 protokolü hâlen yaygın olarak kullanılmaktadır; ancak yaklaşık 25 yıl önce geliştirilen bu versiyon, ilk tasarlandığı dönemlerde internet kullanımının bu denli kitlesel olmaması nedeniyle adres tükenmesi gibi teknik bir soruna yol açmamaktaydı. Teknolojinin hayatın her alanına nüfuz etmesiyle birlikte, sınırlı adres kapasitesine sahip olan bu versiyon, artan cihaz ve kullanıcı sayısı karşısında yetersiz kalmaya başlamıştır. IPv4'ün göze çarpan en büyük eksikliği, adres kapasitesinin 32 bit olarak sınırlı olmasıdır; geliştirilmekte olan IPv6 protokolünde ise 32 bitlik adreslerin yerine 128 bitlik IP adresleri kullanılarak bu kapasite kayda değer biçimde artırılmıştır.
Türkiye Cumhuriyeti de IPv4'ten IPv6'ya geçiş süreci için birtakım girişimlerde bulunmuş ve bu konudaki ilk adımı, 08/12/2010 tarihinde 27779 sayılı Resmî Gazete ile yayımlanan Başbakanlık Genelgesi ile atmıştır. Bununla birlikte IPv6 protokolüne tam geçişin uzun bir takvim gerektirdiği açıktır; IPv4 ve IPv6 uyumsuz olduğundan, IPv6 tasarımcıları IPv4 adres alanı tükendiğinde çift yığınlı bir dağıtım öngörmektedir. Hâl böyle olunca, geçiş tamamlanana kadar NAT adı verilen teknoloji ile mevcut IPv4'ler yeterli hâle getirilmeye çalışılmaktadır.
NAT teknolojisinin bilişim suçlarının soruşturulmasında ortaya çıkardığı en büyük sorun; özel bir ağ ile genel bir ağ geçidinin arkasına gizleme işlevi görerek, ağ geçidi üzerinden iki yönlü iletişimin karışıklık yaşanmadan uygulanmasını sağlamak için çeşitli teknikler kullanılmasıdır. Bu durum sonucunda; internete bağlı binlerce veya yüz binlerce makineye sahip büyük kurumlar halka açık internette yalnızca birkaç yüz IP adresiyle temsil edilebildiğinden, gerçek faillerin tespiti oldukça zorlaşmaktadır. NAT IP'nin çalışma mantığını "IP Adresi Nedir?" başlıklı yazımızda şemalı olarak açıklamıştık.
CGNAT teknolojisi ile gerçekleştirilen internet erişimleri de aynı sonuçları doğurmaktadır. CGNAT sistemi, teknik olarak somutlaştırmak gerekirse, telefon santralleriyle benzer şekilde çalışmaktadır: Bir telefon santraline benzetildiğinde, telefon santrali olan bir binada olduğu gibi, CGNAT sistemi de belirli bir dizi genel IP adresine (örnek olarak "telefon numarası") ve bu adreslerin altında bulunan özel IP adreslerine (dâhili telefon numarası) dayanmaktadır. Binadaki telefon santrali gibi, CGNAT sistemi de dışarı arama yapmak isteyen bir cihazın (örneğin bir bilgisayarın) talebini aldığında bir genel IP adresi tahsis etmekte; cihazın işlemi tamamlandığında, temin edilmiş bu genel IP adresi serbest bırakılıp başka bir cihaza atanmaktadır.
Binadan dışarı arama yapıldığında arayanın kimliğinin belirlenebilmesi için dâhili arama kayıtlarını tutan bir sistem ve arama zamanının doğru şekilde tespit edilmesi gerekmektedir. Bu koşullar CGNAT sistemi için de geçerlidir; çünkü harici IP adresi (genel IP) ile dâhili IP adresi (özel IP) arasında bir özdeşlik kurulması gerekmektedir.
CGNAT (NAT444) ile standart NAT teknolojisi arasındaki en temel fark; standart NAT'ın özel bir IPv4 adresini genel IPv4 adresine çevirmesine karşın, CGNAT (NAT444) teknolojisinin ek bir çeviri katmanı daha kullanmasıdır. Bu katman sayesinde; internet servis sağlayıcılarının kendi genel IPv4 adreslerini korumalarına, abone trafiğini hizmet sağlayıcının özel IPv4 ağı üzerinden işlemelerine ve aynı zamanda kendi özel IPv4 ağlarına, birden fazla konuma veya cihaza sahip olan aboneleri ya da işletmeleri desteklemelerine olanak tanınmaktadır.
Bazı İSS'lerin her müşterisine ayrı ve özel olarak tahsis edebilecek sayıda IP adresine sahip olmaması; IPv4 teknolojisinin sürekli büyümeyi hedefleyen yapısı karşısında yetersiz kalan bu IP adreslerinin birden çok kullanıcı arasında paylaştırılmak zorunda kalınması ve IPv4 protokolünün kimlik gizleme yöntemlerinin yol açabileceği sorunları çözebilecek şekilde tasarlanmamış olması, bilişim suçlarının soruşturulmasında gerçek faillere ulaşılması noktasında ciddi sorunlara sebebiyet vermektedir. Bireysel IPv4 adreslerinin birden fazla müşteri arasında paylaşılması gerektiğinden bu duruma "İSS düzeyinde adres paylaşımı" denilmektedir.
Dolayısıyla Cumhuriyet savcılıkları tarafından IP adreslerinin tespiti yapılırken yazılan müzekkerelere cevap olarak genellikle yalnızca hangi IP adresi üzerinden bağlantının gerçekleştirildiği bilgisi verilmekte ve çoğu zaman da soruşturma makamları bu bilgilerle yetinmektedir. Gerçek faillerin tespit edilebilmesi için doğru ve eksiksiz bilgilerin temini, yargılamaların haksız sonuçlara sebebiyet vermemesi açısından son derece önemlidir. Ayrıntılı trafik bilgilerinin temin edilememesi; söz konusu bilgilerin tutulmamasından ya da kurumlar arasındaki iş birliğinin sağlanamamasından kaynaklanabilmektedir.
Ayrıca bu durum; genel IP adreslerinin birçok kullanıcı tarafından ortaklaşa kullanılması nedeniyle, internet trafik verilerinin tasnif edilerek kaydedilmesini ve bu kayıtlar üzerinden adli makamlardan gelen taleplere doğru, yanıltıcı olmayan cevaplar verilmesini zorlaştırmaktadır. Normal şartlarda bir İSS, belirli bir IP adresinden belirli bir süre zarfında gelen trafiği kaydederek adli makamların taleplerini karşılayabilmekteyken; IP adreslerinin ortak kullanımı durumunda ilgili IP adresi "benzersiz olma" niteliğini kaybettiğinden, son kullanıcının doğru şekilde tanımlanması da bir hayli zorlaşmaktadır.
Yargıtay'ın yerleşik uygulaması; CGNAT kayıtlarının birer "üst veri" (metadata) olması nedeniyle tek başına kesin delil niteliği taşımadığı, ancak failin belirlenmesinde önemli bir "belirti delil (emare)" olarak değerlendirilmesi gerektiği yönündedir. Nitekim Yargıtay Ceza Genel Kurulu, önüne gelen bir uyuşmazlıkta bu hususu şöyle ifade etmiştir:
"ByLock sunucusuna ait 9 adet IP adresine Türkiye IP'lerinden bağlanan abonelerin bu bağlantılarına dair internet trafik kayıtlarını içeren ve operatörler tarafından tutulan CGNAT (HIS) kayıtları ise bir çeşit üst veridir. Bu veriler; aboneye ait IP adresinin ByLock sunucusuna ait IP adreslerine bağlandığını belirlediğinden, kişinin ByLock sistemine dahil olmuş olabileceği konusunda önemli bir emare olmakla birlikte, IP adreslerine bağlantı yapmanın ötesinde ilgili aboneye sisteme dahil olması için User-ID numarası atanıp atanmadığı ve atanmışsa bu numaranın ne olduğu konusunda bilgi içermemektedir." (Yargıtay CGK, 2018/420 E., 2019/230 K., 19/03/2019)
Söz konusu değerlendirmenin yerinde olduğu kanaatindeyiz. Şöyle ki; CGNAT teknolojisinin doğası gereği bu kayıtların ancak "belirti delil" olarak kabul edilmesi ve "çamurdaki bir ayakkabı izi" gibi değerlendirilmesi gerekirken, bunların mahkûmiyete esas teşkil edebilecek derecede "önemli bir emare" olarak konumlandırılması hak mağduriyetlerine yol açabilecektir.
Bu örneği somutlaştırmak gerekirse: yalnızca çamurdaki bir ayakkabı izinin hükme esas alındığı bir senaryoda, o ayakkabı modeline sahip olan herkesin şüpheli sıfatıyla adli tahkikata dahil edilmesi; hem kolluk kuvvetlerinin mesai ve enerjisinin verimsiz kullanılmasına hem de masum bireylerin yargısal süreçlerle haksız yere muhatap olmasına sebebiyet verecektir. Bu nedenle CGNAT kayıtları; kaynak port ve zaman damgası eşleştirmesi, cihaz incelemesi ve diğer somut delillerle desteklenmeden mahkûmiyetin tek dayanağı yapılmamalıdır.
Önemli: Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. CGNAT/HIS kayıtlarına dayalı bir soruşturma veya kovuşturmayla karşı karşıyaysanız, bu kayıtların delil değerinin doğru tartışılması için alanında deneyimli bir bilişim suçları avukatından — İstanbul'da iseniz bir İstanbul bilişim suçu avukatından — destek almanızı öneririz.
