Kısa cevap: Hayır. Tek başına IP adresinin tespit edilmiş olması, internet üzerinden işlendiği iddia edilen bir suçun failinin kesin olarak belirlendiği anlamına gelmez. Özellikle günümüzde yaygın olarak kullanılan CGNAT (Carrier Grade Network Address Translation) teknolojisi nedeniyle aynı kamuya açık IP adresi, aynı zaman diliminde binlerce farklı kullanıcı tarafından paylaşılabilmektedir. Bu nedenle bilişim suçları soruşturmalarında yalnızca IP adresi değil; kaynak port (source port), zaman damgası (timestamp), NAT log kayıtları, abonelik bilgileri ve dijital cihaz incelemeleri birlikte değerlendirilmelidir.
İnternet üzerinden işlenen suçlarda soruşturma makamlarının ilk başvurduğu teknik verilerden biri, eylemin gerçekleştirildiği IP (Internet Protocol) adresidir. Çünkü internet ortamında gerçekleştirilen her bağlantı belirli bir IP adresi üzerinden kurulur ve ilk aşamada bu adresin hangi internet aboneliğine ait olduğu internet servis sağlayıcılarından temin edilebilir.
Ancak uygulamada en sık karşılaşılan hatalardan biri, IP adresinin doğrudan faili gösterdiğinin kabul edilmesidir. Oysa teknik açıdan IP adresi yalnızca bağlantının hangi internet erişimi üzerinden gerçekleştiğine ilişkin bir veridir. Bu bilgi tek başına bağlantıyı gerçekleştiren kişinin kim olduğunu ortaya koymaz.
Örneğin aynı internet bağlantısını kullanan aile bireyleri, iş yerindeki çalışanlar, kafelerdeki kullanıcılar veya misafir ağını kullanan kişiler aynı kamu IP adresi üzerinden internete erişebilirler. Dolayısıyla yalnızca abonelik kaydına ulaşılmış olması, suç teşkil eden işlemi gerçekleştiren kişinin belirlenmesi bakımından yeterli değildir.
Ceza muhakemesinin temel ilkelerinden biri olan maddi gerçeğin her türlü şüpheden uzak şekilde ortaya çıkarılması ilkesi gereğince, elektronik deliller de tek başına değil, birbirini doğrulayan teknik verilerle birlikte değerlendirilmelidir. Bu nedenle IP adresi; port bilgisi, zaman damgası, NAT kayıtları, modem logları, cihaz incelemesi ve gerektiğinde bilirkişi raporları ile desteklenmediği sürece kesin delil niteliği taşımaz.
Önemli bilgi: Bir internet aboneliğinin sizin adınıza kayıtlı olması, bağlantıyı sizin gerçekleştirdiğiniz anlamına gelmez. Ceza soruşturmasında asıl belirlenmesi gereken husus, suç tarihinde ilgili bağlantıyı hangi cihazın ve hangi kullanıcının gerçekleştirdiğidir.
IP adreslerinin tek başına delil olarak kabul edilememesinin en önemli nedenlerinden biri, günümüzde internet servis sağlayıcılarının büyük çoğunluğu tarafından kullanılan Carrier Grade Network Address Translation (CGNAT) altyapısıdır.
IPv4 adreslerinin sınırlı olması nedeniyle geliştirilen bu teknoloji sayesinde tek bir kamuya açık IP adresi aynı anda çok sayıda farklı internet abonesi tarafından paylaşılabilmektedir. Başka bir ifadeyle, dış dünyadan bakıldığında binlerce farklı kullanıcı aynı IP adresini kullanıyormuş gibi görünmektedir.
Dolayısıyla soruşturma dosyasında yalnızca "185.xxx.xxx.xxx IP adresi suç tarihinde kullanılmıştır." şeklindeki bir tespit, bağlantının hangi gerçek kullanıcı tarafından gerçekleştirildiğini göstermeye yetmez.
İşte tam bu noktada kaynak port numarası (source port) ile zaman damgası (timestamp) hayati önem taşımaktadır. Çünkü internet servis sağlayıcıları CGNAT sistemlerinde her bağlantıya belirli bir port numarası tahsis etmekte ve bu eşleştirmeleri NAT log kayıtlarında saklamaktadır. Aynı IP adresini kullanan binlerce kişi arasından doğru abonenin belirlenebilmesi, ancak IP adresi + port bilgisi + zaman damgası üçlüsünün birlikte değerlendirilmesiyle mümkündür.
| Teknik Veri | Failin Belirlenmesine Katkısı |
|---|---|
| IP Adresi | Düşük |
| IP + Port Bilgisi | Orta |
| IP + Port + Timestamp | Yüksek |
| NAT Logları | Çok Yüksek |
| Cihaz İncelemesi | En Güçlü Teknik Delillerden Biri |
CGNAT altyapısında aynı IP adresini aynı saniyede çok sayıda kullanıcı paylaşabileceğinden, yalnızca IP adresine dayanılarak yapılan abonelik sorguları yanlış kişinin şüpheli olarak belirlenmesine yol açabilir. Bu nedenle soruşturma makamlarının internet servis sağlayıcısından talep edeceği trafik bilgilerinde mutlaka kaynak port numarası ile bağlantının kesin tarih ve saatini gösteren zaman damgasının da yer alması gerekir.
Port numarası ve zaman damgası birlikte değerlendirildiğinde, internet servis sağlayıcısının tuttuğu NAT log kayıtları üzerinden bağlantının hangi aboneye tahsis edildiği teknik olarak büyük ölçüde belirlenebilir. Bunun ardından elde edilen abonelik bilgisinin de dijital materyaller üzerinde yapılacak adli bilişim incelemesiyle desteklenmesi gerekir.
Bilişim suçları soruşturmalarında IP adresi, çoğu zaman teknik incelemenin yalnızca başlangıç noktasını oluşturur. Her internet bağlantısı oluşturulduğunda, internet servis sağlayıcısı belirli bir tarih, saat ve port numarası ile bu bağlantıyı kayıt altına alır. Teknik anlamda NAT logları olarak adlandırılan bu kayıtlar sayesinde, aynı kamu IP adresini kullanan binlerce abone arasından bağlantıyı gerçekleştiren gerçek abonelik tespit edilebilir.
Dolayısıyla soruşturma dosyasında yalnızca IP adresine yer verilmesi, elektronik delil zincirinin eksik bırakılması anlamına gelir. Gerçek failin belirlenebilmesi için soruşturma makamlarının internet servis sağlayıcısından en az aşağıdaki bilgileri talep etmesi gerekir:
| Talep Edilmesi Gereken Teknik Veri | Hukuki Önemi |
|---|---|
| IP Adresi | Bağlantının hangi kamu IP'si üzerinden yapıldığını gösterir. |
| Kaynak Port Numarası | CGNAT kullanan abonelerin birbirinden ayrılmasını sağlar. |
| Zaman Damgası (Timestamp) | Bağlantının kesin tarih ve saatini gösterir. |
| NAT Log Kayıtları | IP, port ve zaman bilgisini gerçek abonelik ile eşleştirir. |
| Abonelik Bilgileri | Bağlantının hangi internet aboneliği üzerinden gerçekleştirildiğini ortaya koyar. |
Uygulamada sık yapılan hata: Bazı soruşturmalarda internet servis sağlayıcısından yalnızca IP adresine ilişkin abonelik bilgilerinin talep edildiği görülmektedir. Oysa özellikle CGNAT altyapısının kullanıldığı bağlantılarda port numarası ve zaman damgası istenmeksizin yapılan eşleştirmeler teknik açıdan güvenilir kabul edilemez. Bu eksiklik, yanlış kişinin şüpheli sıfatıyla soruşturulmasına neden olabileceği gibi maddi gerçeğin ortaya çıkarılmasını da güçleştirebilir.
Yargıtay'ın son yıllarda verdiği kararlar birlikte değerlendirildiğinde ortak yaklaşım oldukça açıktır: Yüksek Mahkeme, yalnızca IP adresinin tespit edilmiş olmasını mahkûmiyet için yeterli görmemekte; bağlantıyı gerçekleştiren gerçek kullanıcıya ulaşabilecek teknik araştırmaların eksiksiz yapılmasını aramaktadır.
Yargıtay 2. Ceza Dairesi'nin 2016/14786 E., 2018/15164 K. sayılı ilamında; sanığın kullandığı IP adresi üzerinden üçüncü kişilerin internete erişim sağlayıp sağlayamayacağının araştırılması gerektiği vurgulanmıştır. Daire; internet hattının dışarıya açık olup olmadığı, kablosuz ağ şifresinin üçüncü kişiler tarafından kırılmasının mümkün bulunup bulunmadığı, bağlantının gerçekleştirildiği bilgisayarların belirlenmesi ve çoklu IP kullanımı söz konusu ise PORT ve MAC adresi bilgilerinin ilgili internet servis sağlayıcısından temin edilmesini zorunlu görmüştür.
Kararın hukuki önemi: Bu karar, IP adresinin tek başına yeterli delil oluşturmadığını açık biçimde ortaya koymaktadır. Yargıtay, yalnızca abonelik kaydına dayanılarak hüküm kurulmasını yeterli görmemiş; teknik incelemenin bilirkişi marifetiyle derinleştirilmesini istemiştir. Dolayısıyla elektronik delillerin değerlendirilmesinde teknik uzmanlık gerektiren hususların araştırılması gerektiği yönünde önemli bir içtihat niteliği taşımaktadır.
Yargıtay 8. Ceza Dairesi'nin 2019/12225 E., 2019/14952 K. sayılı ilamında; kontör satış işlemlerinin gerçekleştirildiği IP adreslerinin suç tarihindeki kullanıcılarının tespit edilmemesi, üyelik oluşturulurken kullanılan e-posta adresinin kime ait olduğunun araştırılmaması ve işlem kayıtlarının eksiksiz getirtilmemesi nedeniyle soruşturmanın yetersiz yürütüldüğü kabul edilmiştir.
Kararın hukuki önemi: Kararda dikkat çeken husus, Yargıtay'ın yalnızca IP bilgisini yeterli görmemesi; dijital delil zincirinin tamamlanmasını istemesidir. IP kayıtlarının yanında elektronik posta bilgileri, üyelik kayıtları ve işlem loglarının birlikte değerlendirilmesi gerektiği belirtilerek elektronik deliller arasında korelasyon kurulmasının zorunlu olduğu vurgulanmıştır.
IP adresine dayalı bir ceza soruşturmasında savunmanın ilk sorması gereken soru, "Bu IP adresi kime ait?" değil, "Bu teknik veri gerçek kullanıcıyı tekilleştirmeye yeterli mi?" olmalıdır. Zira bir IP adresinin müvekkilin internet aboneliğiyle eşleşmesi, suça konu işlemin müvekkil tarafından gerçekleştirildiğini kendiliğinden ispatlamaz.
Özellikle CGNAT kullanılan internet bağlantılarında IP adresi, port bilgisi ve zaman damgası birlikte değerlendirilmeden gerçek kullanıcıya ulaşılması teknik olarak mümkün olmayabilir. Bu nedenle savunma makamınca öncelikle dosyadaki IP tespit tutanağı ve internet servis sağlayıcısından gelen cevabi yazı incelenmelidir. Tespitin yalnızca IP adresi ve tarih-saat bilgisine dayanıp dayanmadığı; kaynak port bilgisinin bulunup bulunmadığı ve zaman bilgisinin hangi hassasiyetle tutulduğu araştırılmalıdır.
CGNAT kullanılan bir bağlantıda port bilgisinin bulunmaması, aynı kamuya açık IP adresini kullanan abonelerin birbirinden ayrılmasını güçleştirir. Başka bir ifadeyle soruşturma makamının elinde bir IP adresi bulunabilir; ancak bu IP adresinden bağlantı gerçekleştiren gerçek kullanıcının kim olduğu henüz belirlenmemiş olabilir.
İşte savunma açısından kritik ayrım tam olarak buradadır: İnternet aboneliğinin tespit edilmesi ile suçun failinin tespit edilmesi aynı şey değildir.
Bu nedenle CGNAT ihtimali bulunan dosyalarda; servis sağlayıcıdan IP adresi, kaynak port numarası ve bağlantı zamanını birlikte gösteren kayıtların getirtilip getirtilmediği mutlaka kontrol edilmelidir. Bu üç veri arasında sağlıklı bir eşleştirme yapılmadan gerçekleştirilen abone tespitinin doğrudan fail tespiti olarak kabul edilmesi, ciddi bir teknik ve hukuki yanılgıya neden olabilir.
Savunmanın ikinci aşamasında, IP adresi ile müvekkilin kullandığı dijital cihaz arasında teknik bir bağlantı kurulup kurulamadığı araştırılmalıdır. Müvekkile ait bilgisayar veya cep telefonu üzerinde yapılan adli bilişim incelemesinde; suça konu internet sitesine, sisteme veya kullanıcı hesabına ilişkin herhangi bir log kaydı, tarayıcı verisi, oturum bilgisi, uygulama kalıntısı ya da sair dijital iz tespit edilmiş midir?
Eğer cevap hayır ise şu sorunun cevaplandırılması gerekir: Suça konu işlemin müvekkil tarafından gerçekleştirildiği hangi teknik delille ortaya konulmaktadır?
Yalnızca internet aboneliğinin müvekkil adına kayıtlı olması; özellikle ortak kullanılan ev veya iş yeri internetlerinde, kablosuz ağ bağlantılarında ve CGNAT altyapısında gerçek kullanıcıyı her durumda göstermeyecektir. Bu nedenle IP adresinin işaret ettiği abonelik ile eylemi gerçekleştiren cihaz ve kullanıcı arasındaki dijital bağın kurulması gerekir.
IP adresinin temel delillerden biri olduğu bir ceza dosyasında, savunma makamınca özellikle şu soruların cevapları aranmalıdır:
Bu sorular cevaplandırılmadan IP adresinden doğrudan fail sonucuna ulaşılması, teknik bir bağlantı verisinin kişi deliline dönüştürülmesi anlamına gelebilir. Bu sebeple IP adresine dayalı ceza soruşturmalarında savunmanın temel amacı, yalnızca IP adresine itiraz etmek olmamalıdır. Asıl yapılması gereken; IP adresinden gerçek kullanıcıya ulaşılmasını sağlayan teknik delil zincirinin eksiksiz kurulup kurulmadığını denetlemektir.
Önemli: Bu yazı genel bilgilendirme amaçlıdır ve hukuki danışmanlık yerine geçmez. IP adresi tespitine dayalı bir soruşturma veya kovuşturmayla karşı karşıyaysanız, teknik delillerin doğru değerlendirilmesi için bilişim suçları alanında çalışan bir avukattan destek almanızı öneririz.
