Bilgi casusları, özel frekans tarayıcıları kullanarak 25 ile 100 metre uzaklıklara varan mesafelerdeki bilgisayar ekranlarında yer alan görüntüleri, hatta bilgisayardan yazıcıya gönderilen dokümanları, elektromanyetik dalgaları kopyalayarak ele geçirebiliyor.

Mutfaktaki mikserin veya mikro dalga fırının yaydığı elektromanyetik dalga önemli değildir. Ama sözkonusu alet şifre çözen elektronik bir aygıt veya önemli bilgileri barındıran bir bilgisayarsa bunlardan yayılan elektromanyetik dalga çok önemlidir. Nitekim bu bilgiler bir şekilde havada yayılırken çeşitli cihazlar yardımı ile yakalanıp deşifre edildiğinde, o önemli bilgileri elde etmek çok zor değil.

1950′li yılların başında ABD hükümeti, yaptırdığı araştırma ve deneyler sonucunda elektromanyetik dalgaları yakalayıp tekrar yapılandırılabilen teknolojiyi geliştirmeyi başardı. Ardından özellikle ABD Savunma Bakanlığı’nda önemli verileri aktaran ve kayıt eden aletlerden bu bilgilerin elektromanyetik dalga yolu ile sızmasını engellemek için TEMPEST (Transient Elektromagnetic Pulse Emanation Standard) adını veren teknolojiyi geliştirdi.

TEMPEST Nedir?

TEMPEST, elektromanyetik darbe sızıntı standardı anlamına geliyor. Bu standart; elektronik cihazların elektromanyetik yayınım sınırlarını, zırhlama ve ekranlama standartlarını belirliyor. TEMPEST teknolojisinin amacı, bir bilgisayarın veya herhangi bir elektronik aygıtın çalışması esnasında yaydığı elektromanyetik ışınımların üçüncü bir kişi tarafından alınmasını veya elde edilen işaretlerin işlenerek söz konusu elektronik aygıtın işlediği bilgilere ulaşılmasını engellemek.

Özellikle ABD, İngiltere, Almanya gibi devletler tarafından, askerî ve gizli bilgileri muhafaza etmek amacıyla bilgisayar ve çevre birimleri (yazıcı, tarayıcı, monitör, yedekleme ünitesi vb) ile üretilen bilgilerin, elektromanyetik dalga ile gözlenmesini engellemek için başarıyla kullanılıyor. Bu standardın lisans hakkı, sadece ABD Hükümeti ve NATO tarafından veriliyor. Bugün, dünyada 50 kadar firma, TEMPEST adı verilen bu güvenlik standardına uygun donanım üretiyor.

Elektromanyetik dinleme nasıl oluyor?

Elektronik cihazlarda işlenen işaretler hava yolu ile, elektrik dağıtım şebekelerinden gürültü olarak veya kabloların yüzeylerinden iletilen elektromanyetik dalgalar yolu ile yayılır. Yayılan bu işaretler, geliştirilen özel anten ve elektromanyetik dalga alıcısı cihazları ile toplanarak, uygun bir işleme devresinden geçirilerek (filtreleme, şiddetlendirme, eksik kısımları yeniden oluşturma, sayısal işaret işleme gibi) kullanılabilir şekle getirilir.

HESABI BOŞALTABİLİRLER

Daha iyi anlaşılabilmesi için konuyu örnek bir senaryo ile anlatacak olursak; içi elektromanyetik dinleme aygıtları ile donatılmış (Anten, TEMPEST receive ve sayısal işaret işleme yapabilen bilgisayar) bir kamyonet herhangi bir banka şubesinin yakınına park eder. Dinleme yapabilmek için gerekli düzeneklerini hazırladıktan sonra banka içinde çalışmakta olan herhangi bir memurun bilgisayarının yaydığı işaretleri yakalayarak işlemeye başlar. O anda hesabında yüklü miktarda para olan bir müşterinin işlemlerini yapan memurun ekranındaki görüntülerin kopyasını alan saldırgan kısa sürede emeline kavuşur. Normalde saldırgan bir şekilde ağa bağlanıp da bu bilgileri ele geçirmek için uğraşsaydı işi daha zor olabilirdi. Çünkü banka memurunun bilgisayarındaki bilgiler şifrelenmiş olarak saklanmakta veya ağ üzerinde dolaşmakta olacaktı. Hesap bilgilerini içeren şifreli dosya yakalanmış olsa bile şifreleri çözmek ya imkânsız ya da çok uzun sürecekti.

Soğuk savaşın bitmesinden sonra bütün dünyada bilgi casusluğu boy göstermeye başladı. Bilgiyi ele geçirmek için her türlü teknolojik gelişmelerden yararlanıldı. Artık sadece internete bağlı bilgisayardan bilgi çalmakla yetinmeyen casuslar elektromanyetik dalgalarla yayılan bilgileri de ele geçirmeye başladı. Elektromanyetik dalgaların dinlenebilmesi ile ortaya çıkan bu güvenlik sorunu, sadece savunma sistemleri için değil, özel sektör kuruluşları için de büyük risk oluşturuyor. Bu sistemi kullanan sanayi casusları, rakip firmanın geliştirdiği teknolojileri ele geçirmek için çaba sarf ediyor.

Elektromanyetik dinleme nasıl engellenir?

Sıradan kullanıcıları dinlemek için pahalı bir teknoloji olan elektromanyetik dinleme aygıtlarının bilgileri çalmasını engellemek için özel tekniklerle izole edilmiş TEMPEST uyumlu elektronik aygıtlar kullanılmalı. Çalışılan bina ya da bilgisayar ve elektronik aygıtların bulunduğu veri merkezleri “Faraday Kafesi” içine alınmalı ya da bir iletken zırhı kılıfı ile izole edilmeli. Şebeke toprağı dışında sistem ayrıca topraklanmalı. Yayılan dalgaları gürültü ekleyerek anlaşılmaz kılmalı veya aletlerin çalışma temelini değiştirerek yayılan işaretleri işlenen bilgiden arındırmalı.

Türkiye’de TEMPEST

Türkiye’de ASELSAN ve TÜBİTAK Ulusal Elektronik ve Kriptoloji Araştırma Enstitüsü (UEKAE) TEMPEST projeleri ile uğraşıyor. UEKAE elektromanyetik sızıntıları izole edilmiş bilgisayar hatta elektrik prizi bile üretirken, ASELSAN çeşitli askeri iletişim malzemeleriyle, ağ kripto ürünleri geliştiriyor. Bunun yanında Türkiye’nin yurtdışı konsolosluk ve elçiliklerinde kripto aygıtları “Strong Room” adı verilen TEMPEST zırhlı odalarda çalışırken, Genelkurmay Başkanlığı’nın da olduğu yüksek güvenlik gerektiren kurumlarda TEMPEST uyumlu bilgisayarlar yıllardır var.

UEKAE-ETTM tarafından tasarlanan TEMPEST PC MST 401-1 standardının (AMSG 720B eşdeğeri) koşullarını sunmaktadır ve SDIP-27 standardına göre Seviye A cihazıdır. Bu cihaz kullanılarak ÇOK GİZLİ seviyesine kadar gizlilik dereceli bilgi bütün bölgelerde güvenlikle işlenebilir.

ABD hükümeti TEMPEST projesini büyük bir gizlilik içinde yürüttüğü için TEMPEST teknolojisi ve elektromanyetik dalga aracılığı ile dinleme veya bilgi hırsızlığı yapma konularında yeterince ayrıntılı teknik bilgiye sahip olmak şimdilik çok zor.

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

[There is a video that cannot be displayed in this feed. Visit the blog entry to see the video.]

Sahte sayfa kullanıcıya hesabının geçici olarak kilitlendiğini, isim, soyisim, eposta adresi, doğum tarihi, şifre bilgilerini girip “doğrulama teyidi” için 20 Euro’luk Ukash çeki almalarını söylüyor. Aldatmacanın devamında çek alındığında “hesabın açılacağı ve 20 Euro’nun kullanıcının Facebook hesabına yatırılacağı” söyleniyor.

Elbette Facebook hesabı kilitli değil. Bu sadece tarayıcı ile araya girme saldırısı. Bu saldırı bankacılık uygulamaları için yapılan saldırılara çok benziyor ancak biraz daha zekice tasarlanmış. Bankacılık uygulamalarında saldırganın parayı bir başka hesaba aktarması gerekiyor ve bu arkasında iz bırakmasına neden oluyor. Bu tür çeklerde ise saldırgan çeki kolayca pek çok yerde bozdurarak kullanabiliyor ve arkasında çok küçük bir iz bırakarak bu sahtekarlığı gerçekleştirmiş oluyor.

Kaynak:  http://www.clubkasperskyturkey.com/haberler/5-haberler/133-carberp-truva-at-ile-facebook-finans-sahtekarl

(CONVENTION ON CYBERCRIME)

Budapeşte ,23.11.2001

ÖNSöZ

Avrupa Konseyine üye Ülkeler ve bu belgeyi imza eden diğer Ülkeler ; (Avrupa Konseyine Üye olmayan ;ABD, Japonya, Kanada ve Güney Afrika)

Avrupa Konseyinin amacının üyeler arasında daha geniş bir birlik sağlamak olduğu düşüncesinden hareketle;

Bu Sözleşmeye taraf olan diğer Ülkelerle işbirliğinin geliştirilmesi amacıyla;

Toplumun siber suçlara karşı korunması için atılacak diğer adımlarla birlikte gerekli mevzuatın kabul edilmesi ve uluslararası işbirliğinin geliştirilmesi yollarıyla ortak bir cezaî politikanın öncelikli olarak kabul edilmesi gereğiyle;

Dijitalizasyon sayesinde networkler üzerinde önemli değişiklikler için ortak bir noktada birleşmek ve networkleri üzerinde devam eden globalizasyonun devamını sağlamak ;

Bilgisayar ağlarının ve elektronik bilgilerin suç işlenmesi amacıyla kullanılabileceği ve bu tür suçlara ilişkin delillerin bu ağlarda saklanabileceği ve yine bu ağlar üzerinden aktarılabileceği riskini göz önünde bulundurarak;

Siber suçlara karşı mücadelede kamu ve özel sektör arasında işbirliğinin gerekliliği ve bilgi teknolojilerinin kullanımı ve geliştirilmesine ilişkin yasal hakların korunması ihtiyacının bilincinde olarak;

Siber suçlarla karşı etkin mücadelenin suça ilişkin konularda, ivedi ve işlevsel gelişen bir uluslararası işbirliğiyle gerçekleşeceğine inanarak ;

Bu anlaşmanın, bilgisayar sistemlerinin, ağlarının ve bilgisayar verilerinin gizliliğine, doğruluğuna ve ulaşılabilirliğine zarar verici faaliyetlerin, ayrıca bu sistemlerin, ağların ve verilerin suç işlemek maksadıyla kullanımının engellenmesi için bu fiillerin bu anlaşmada tanımlanan şekilde suç kapsamına sokularak yeterli ,etkin mücadele yetkilerinin sağlanması ulusal ve uluslararası düzeyde tespit soruşturması ve yargılamanın yapılan eşgüdüm anlaşmalarıylal sağlanması gerekliliğine inanarak ;

Her bireyin herhangi bir etki altında kalmaksızın düşünme, düşündüklerini ifade edebilme hürriyeti bu bağlamda , her türlü bilgiyi ve fikri arama, elde etme ve iletme özgürlüğünü gizlilik haklarına saygılı bir çerçevesinde hiçbir sınıra tabii olmadan kullanmasını ortaya koyan 1950 Avrupa Konseyi İnsan Hakları ve Temel Özgürlükler Anlaşması , 1966 Birleşmiş Milletler Uluslararası Sivil ve Siyasi Haklar Sözleşmesi ve diğer insan hakları anlaşmalarında belirtildiği şekilde , yasaların yürütülmesi ile temel insan hak ve özgürlüklerine saygı konusunda sağlıklı bir denge belirlenmesine ihtiyaç duyulduğunu bilerek;

1981 tarihli Kişisel Verilerin Otomatik İşlenmesi ve Bireylerin Korunması Konulu Avrupa Konseyi Sözleşmesinde belirtildiği şekliyle kişisel bilgilerin korunmasına hususuna gerekli hassayeti göz önüne alarak ;

1989 Birleşmiş Milletler Çocuk Hakları Konvansiyonu ve 1999 Uluslararası Çalışma Örgütü Çocuk İşçilerin Kötü çalışma koşulları hakkındaki Anlaşma göz önünde bulundurarak;

Cezalarda ve cezaların uygulanmasında yeknesaklığın sağlanması hususundaki mevcut Avrupa Konseyi Anlaşmasını ve benzer diğer anlaşmaları dikkate alarak ve bu anlaşmanın suçların elektronik ortamdaki delillerinin toplanmasının sağlanması ve bilgisayar sistemleri ve bilgisayar verileri ile ilgili suç soruşturmasının ve bu suçlarla ilgili usul hukukunun etkinleştirilmesi için bahsi geçen anlaşmaların tamamlayıcısı olduğunu vurgulayarak;

Birleşmiş Milletler ,OECD, Avrupa Birliği ve G8 in faaleyetlerini içeren siber suçla mücadelede işbirliği ve luuslararası anlayışı büyük ölçüde geliştiren son gelişmeleri kapsayarak;

İletişime müdahale konulu taslak görüşmelerine bağlı olarak Suç içerikli konularda karşılıklı Yardımlaşmaya ilgili Avrupa konseyinin uygulamaya ilişkin R (85) sayılı Tavsiye Kararını, telif ve telife ilişkin haklar üzerinde korsanlığı düzenleyen R (88) 2 sayılı Tavsiye Kararını, güvenlik kuvvetlerinin şahsi bilgileri kullanmasını düzenleyen R (87) 15 sayılı Tavsiye Kararını, iletişim hizmetleri ve bu çerçevede özellikle telefon hizmetleri alanında kişisel verilerin korunması hakkındaki R (95) sayılı Tavsiye Kararını, bilgisayarla işlenen suçların tanımlanmasına ilişkin olarak ulusal yasama organlarına yol gösteren ve bilgisayarla ilgili suçlar hakkındaki R (89) 9 sayılı Tavsiye Kararını, ilave olarak Bilgi Teknolojisi ile bağlantılı ceza muhakemeleri usul hukukunun açıkları hakkındaki R (95) 13 sayılı Tavsiye Kararını dikkate alarak;

1997 Haziranında Prag da yapılan Bakanlar Kurulu’na , Avrupa Suc Problemleri Komitesi’nin ( CDPC ) , siber suclari sorusturmanin etkin araclarinin kullanabilmesini saglama ve ulusal kanunlardaki siber sucu duzenleyen maddeleri birbirine yakinlastirma calismalarini desteklemesini tavsiye eden 21.Avrupa Adalet Bakanlari Toplantisi ‘nda hazirlanan 1 Nolu Duzenlemeyi, ve 2000 Haziraninda Londra’da yapilan , mumkun olan en cok devleti bu anlasmaya taraf kilmak icin uygun cozumler arayarak taraflarin gorusmelerini destekleyen ve siber sucla mucadelede ihtiyac duyulan ozel konulari gereken sekilde ele alan aninda mudahele imkani taniyan verimli uluslararasi isbirligi sisteminin gerekligini ortaya koyan 23. Avrupa Adalet Bakanlari Toplantisinda ortaya konan 3. Nolu Duzenlemeyi dikkate alarak;

Bunlara ilaveten Avrupa Konseyi Devlet Baskanlari Konferansinin 10-11 Ekim de Strasburg’daki ikinci oturumda ortaya konan Avrupa Konseyinin temel degerleri ve standartlari uzerine inşa edilen yeni bilgi teknolojileri gelisimi karsisinda olusturulacak ortak davranis bicimleri ortaya koyma amacli, Eylem Plani dikkate alinarak;

Aşağıdaki hususlarda mutabık kalmışlardır:

BÖLÜM 1- Kullanılan Terimler

MADDE 1- Tanımlar

İşbu sözleşmede geçen terimlerin anlamı aşağıdadır:

a) “Bilgisayar sistemi” herhangi bir cihaz ve birbiriyle bağlantılı bir grup veya cihazlar yoluyla bir veya birden fazla program tarafından devam ettirilen verinin otomatik olarak işlenmesi, bu işlemin yerine getirilmesi

b) ” Bilgisayar verisi” belirli durumların, bilgilerin kaydı ya da bir bilgisayarın bır işlemi gerçekleştirmesini sağlayacak biçimleri de içeren bilgisayar sistemince icra edilebilecek bir işlemler bütünüdür..

c) “Servis sağlayıcı”

i. sistemi aracılığıyla kullanıcılarına bilgisayar sistemleriyle iletişim imkan sunan kamuya açık veya özel kuruluşlardır.

ii. veya bu iletişimin datalarını servis sağlayıcı ya da kullanıcıları adına işleyen ve tutan kamuya açık ya da özel kuruluşlardır.

d) Veri trafiği kayıtları; bilgisayar verisinin bilgisayar sistemi aracılığıyla bir iletişim parçası olan bir bilgisayar tarafından oluşturulan ve iletişimin başlangıç noktasını , istikametini, izlediği yolu, tarihini, boyutlarını, devam süresini ve kullandığı hizmeti belirten veridir.

BÖLÜM 2 -Ulusal düzeyde önlemlerin alınması

Kısım 1 : Suçlara ait kanun maddesi

Bilgisayar veri sistemlerinin ulaşılabilirliği bütünlüğü ve gizliliğine karşı işlenen suçlar

MADDE 2 – Kanunsuz Erişim

Her bir taraf devlet bir bilgisayar sisteminin tamamı veya herhangi bir bölümüne haksız ve kasıtlı olarak erişilmesini suç kapsamına almak için gerekli kanuni düzenlemeyi yapmalı gerekli önlemleri almalıdır. Taraf devlet bu suçun oluşması için erişimin güvenlik önlemleri ihlal edilerek ya da bilgisayar sistemine bağlı diğer bir bilgisayar sistemi aracılığıyla bilgisayar verisini almak ya da başka kötü niyetlerle kullanmak şartına bağlayabilir.

MADDE 3 – Kanunsuz Araya Girme

Her bir taraf devlet kamuya açık olmayan elektromanyetik emisyon da dahil olmak üzere bigisayarlar arasında gerçekleşen bir iletişimin arasına bilerek isteyerek ve haksız olarak arasına girmeyi kanununda suç olarak tanımlamalı ve diğer gerekli tüm önlemleri almalıdır. Taraf devlet bu suçun oluşmasını kötü niyet şartına bağlı kılabilir.

MADDE 4 – Veriye Müdahele

1 – Her bir taraf devlet , bir kimsenin bilgisayar verisine hakkı olmadığı halde,bilerek ve isteyerek zarar verme, silme, bozma, değiştirmeye ya da ortadan kaldırma fiilleri işlemesini suç olarak düzenlemek üzere gerekli kanuni düzenlemeyi yapmalı ve gerekli diğer önlemleri almalıdır.

2 – Taraf devlet 1. paragrafta belirtilen durumun oluşmasını ciddi zarar oluşma olasılığına bağlı tutma hakkına sahiptir.

MADDE 5 – Sistem Engellemeleri

Her bir taraf devlet veri yükleyerek, aktararak zarar vererek, silerek,, bozarak,değiştirerek veya müdahale ederek bilgisayar sisteminin kullanımında hakkı olmadığı halde bilerek ve isteyerek bilgisayarın sisteminin çalışmasını sekteye uğratma fiilini ulusal kanununda suç olarak düzenlemeli ve gerekli diğer düzenlemeleri yapmalıdır.

MADDE 6 – Cihazları Kötüye Kullanma

Kasıtlı bir şekilde ve haksız olarak işlenen suçlarda benimsenecek bir yasa ve diğer lokal lüzumlu olan kanunların tesis edilmesi sağlanacak buna göre :

a

i) 2 ila 5. maddelerdeki suçları işlemek amacıyla tasarlanmış ya da uyarlanmış , bir program da olabilecek bir aracı,

ii) 2 ila 5. maddelerdeki suçları işlemek amacıyla ,bir bilgisayar sisteminin tamamına ya da bir kısmına erişimi sağlayan şifre , giriş kodu, ya da benzer verinin, üretimi , satımı, kullanım izni, ihracı, dağıtımı ya da başka şekilde ulaşılabilir kılma

b Yukarıda parağraf a . 1 ve 2′de değinilen vasıtaların 2 den 5′e maddelerde belirtilen suçlara teşebbüs etme amacıyla kullanma niyetiyle bulundurulmasını gerekli yasal ve benzeri önlemlerle iç hukukunda birer suç eylemi olarak ortaya koymalıdır. Bir Taraf devlet, bu tür vasıtalara suç sorumluluğun yüklenmesinden önce sahip bulunulması gereken bir sınır gerek görebilir.

2. Bu madde, bu maddenin birinci parağrafında değinilen bu vasıtaların üretimi, satımı, ithali, dağıtımı, temin edilebilir hale getirilmesi veya sahip olunmasına yönelik suç sorumluluğunun empoze edilmesinin, bir bilgisayar sisteminin yetkili olarak test edilmesi veya korunmasında olduğu gibi, bu anlaşmanın 2 den 5 e kadar olan maddelerinde ortaya konmuş bir suça teşebbüs etme amacına yönelik olmadığı şeklinde yorumlanamaz..

3. Her bir Taraf devlet, parağraf 1 (a) (2) de değinilen vasıtaların temin edilebilir hale getirilmesine,dağıtımına, satımına tesir etmiyorsa bu maddenin birinci parağrafını uygulamama bir hakkını muhafaza edebilir.

2.Başlık – Bilgisayar Bağlantılı Suçlar

Madde 7- Bilgisayar Bağlantılı Sahtekarlık

Her bir Taraf devlet, bir hak olmaksızın kasıtlı olarak yapılan, açıkça okunabilir ve anlaşılabilir olup olmadığına bakmaksızın, yasal amaçlar için kullanılması ve ele alınması niyetiyle sahte veriler olarak sonuçlanan bilgisayar verilerinin girilmesi, değiştirilmesi, silinmesi veya yerlerinden kaldırlmasına yönelik fiilleri gerekli yasal ve benzeri önlemlerle iç hukukunda birer suç eylemi olarak ortaya koymalıdır. Bir Taraf devlet suç sorumluluğunun yüklenmesinden önce sahtekarlık nveya benzeri bir kötü niyeti aramaya gerek duyabilir.

MADDE 8- Bilgisayar Bağlantılı Dolandırıcılık

Her bir Taraf devlet, bir hak olmaksızın kasıtlı olarak yapılan kendi veya başkasına ekonomik bir menfaat temin etmek kötü niyetiyle veya dolandırıcılık niyetiyle diğer bir kişinin mal kaybına sebep olan,

a . her türlü bilgisayar veri girişi, değiştirilmesi, silinmesi ve yerinden kaldırılması,

b . bir bilgisayar sisteminin çalışmasına yönelik hr türlü müdahale fiillerini gerekli yasal ve benzeri önlemlerle iç hukukunda birer suç eylemi olarak ortaya koymalıdır.

3.Başlık İçerik Bağlantılı Suçlar

MADDE 9- Çocuk Pornografisi İle Bağlantılı Suçlar

1. Her bir Taraf devlet, bir hak olmaksızın kasıtlı

a . bilgisayar sistemi vasıtasıyla dağıtmak amacıyla çocuk pornografisi üretmek,

b . bilgisayar sistemi vasıtasıyla çocuk pornografisini temin edilebilir hale getirmek veya göstermek,

c . bilgisayar sistemi vasıtasıyla çocuk pornografisini aktarmak veya dağıtımını yapmak,

d . kendisi veya başkası için bilgisayar sistemi vasıtasıyla çocuk pornografisi temin etmek,

e . bir bilgisayar sisteminde veya bilgisayar veri depolama ortamında çocuk pornografisine sahip olmak

Fiillerinden sorumlu tutulması için gerekli kanuni düzenlemeyi yapmalı ve ihtiyaç duyulan önlemleri almalıdır.

2-Yukarıdaki 1.paragrafta geçen “çocuk pornografisi”

a)Bir küçüğün cinsel olarak kullanılmasını

b)Bir küçük gibi görünen kişinin cinsel olarak kullanılmasını

c)Bir küçüğü temsil eden gerçekçi bir imajın cinsel olarak kullanılmasını

görsel olarak içeren pornografik materyaldir.

3-Yukarıda 2.paragrafta geçen “küçük” de amacın 18 yaşın altındaki herkestir. Taraf devlet buna karşın, 16 yaşından az olmamak üzere daha düşük bir yaş sınırı belirleyebilir.

4.BaşlıkTelif hakları ve bununla bağlantılı hakların ihlaline ilişkin suçlar.

MADDE 10 -Telif hakları ve bununla bağlantılı hakların ihlaliyle ilişkili suçlar

1-Herbir taraf devlet telif hakları ihlallerini 24 Temmuz 1971 Paris Şartıyla yükümlülük altına girilen Yazın ve Sanat Ürürlerinin Korunmasına ilişkin Bern Anlaşması’na Fikri Ürün haklarının ticari yönü üzerine anlaşma ve WIPO Telif hakları anlaşmasına uygun olarak anlaşmalarda belirtilen etik hak istisnaları saklı kalmak üzere bilgisayar sistemleri aracılığıyla ticari boyutta ve isteyerek gerçekleştiğinde ulusal kanununda suç olarak tanımlamak için gerekli hukuki düzenlemeyi yapmalı ve gerekli diğer önlemleri yerine getirmelidir.

2-Her bir taraf devlet belirtilen konularla ilişkili hakların ihlallerini kendi kanununda tanımlandığı üzere Roma’da yapılan Uluslar arası Fonogram üreticileri ve kullanıcılarını ve yayıncı kurumları koruma anlaşması (Roma Anlaşması) fikri ürün haklarının ticari yönleri hakkındaki anlaşma, WIPO uygulayıcılar ve

Fonogramlar Antlaşması ile yükümlülük altına girilen anlaşmalara uygun olarak, bu anlaşmalarla belirtilen etik hakların istisnaları saklı kalmak üzere, böylesi fiiller isteyerek, ticari bir boyutta ve bilgisayar sistemleri vasıtasıyla işlendiğinde bu fiillerin suç tanımlamasını kendi kanunlarında düzenlemeli diğer önlemleri almalıdırlar.

3-Taraf devlet, başkaca etkin çıkar yolun olmadığı ve bu maddenin 1. Ve 2. Paragrafında geçen Uluslar arası gerekceleride ortaya konan taraf devletin Uluslar arası sorumlulukları arasında yer almayan bir koruma sınırlı bazı durumlarda bu maddenin 1. Ve 2. Paragraflarında belirtilen suç sorumluluğunu uygulama hakkını saklı tutar.

5. Başlık ikincil Sorumluluk ve Yaptırımlar

MADDE 11-Teşebbüs ve yardım etme ya da kışkırtma

1-Her bir taraf devlet, mevcut anlaşmanın 2-10. Maddelerindeki suçların işlenmesi niyetiyle yardım ya da kışkırtmalar gerçekleştirildiğinde, bu fiillerin ulusal kanunda suç fiilleri olarak yer alması için gerekli kanuni düzenlemeler ve önlemler yapılmalıdır.

2-Her bir taraf devlet, bu anlaşmanın 3.maddeden 5,7,8,9(1)a ve 9(1)c maddelerine kadar düzenlenen fiillere isteyerek işleme teşebbüsünü kendi ulusal kanununda suç olarak tanımlanabilmesi için gerekli hukuki yapıyı ve önlemleri düzenlemeleridir.

3-Her bir taraf devlet bu maddenin 2. Paragrafının bir kısmını ya da tamamını uygulamama hakkını saklı tutar.

MADDE 12-Yardımlaşma Yükümlülüğü

1-Her bir taraf devlet, hukuki bir şahsı yöneten hukuki kişiliğin(hükmi kişilik) bir organına ya da bireysel olarak bir doğal şahsın fiilinden yarar sağlayan hukuki şahsın bu anlaşmada bahsedilen suç tanımlamalarına uygun olarak ulusal kanunda gerekli hukuki düzenlemeyi yapmalı ve önlemleri almalıdır.

Bu fiilleri gerçekleştiren gerçek kişi fiilleri,

a) Hukuki şahsı temel yetkisine

b) Hukuki şahıs adına karar alma otoritesine

c) Hukuki şahıs içerisinde kontrol gerçekleştirme otoritesine dayanarak yapmalıdır.

d) Bilgisayar sistemleri aracılığıyla dağıtmak üzere çocuk pornografisi üretmek

2-Halihazırda 1. Paragrafta belirtilen durumlar dışında, her bir taraf devlet, Anlaşmada belirtilen suçları 1. Paragrafta bahsedilen yetki ve kontrolü olmayan , bir gerçek şahsın otoritesi altındaki hukuki kişinin işlemesi halinde, hukuki kişinin sorumlu tutulabilmesi için gerekli önlemleri almalıdır.

3-Taraf devletin hukuki prensiplerine bağlı olarak hukuki kişinin sorumluluğu, cezai, hukuki ya da idari olabilir.

MADDE 13-Yaptırımlar ve Önlemler

1-Her bir taraf devlet 2 ila 11. Maddelerde düzenlenen suç fiillerinin etkili, oranlı ve caydırıcı şekilde, cezalandırılabilir olmasını sağlayacak gerekli kanuni düzenlemeyi yapmalı; diğer ihtiyaç duyulan önlemleri almalıdır. Bu cezalar hak mahrumiyetini içerebilir.

2-Her bir taraf devlet, 12. Maddeye uygun olarak sorumlu tutulan hukuki şahsın, maddi yaptırımları da içerecek biçimde cezai ya da ceza dışı etkili, oranlı caydırıcı yaptırım ve tedbirlere konu olmasını sağlamalıdır.

BÖLÜM 2 -USUL HUKUKU

1.Başlık-Genel Önlemler

MADDE 14- Usul Önlemlerinin Etki Alanı

1.Her bir taraf devlet bu bölümde yer alan özel suç tahkikatı ve usullerini gerçekleştirebilmek için gerekli yetki ve prosedürü için ihtiyaç duyulan hukuki düzenlemeyi ve önlemleri uyumlu hale getirmelidir.

2.a) Bu anlaşmanın 2-11 maddelerine göre suç fiilleri,

b) Bilgisayar vasıtasıyla işlenen diğer suç fiilleri ve

c) Elektronik formdaki suç fiillerinin (delillerinin) toplanması.

3.a) Her bir anlaşma tarafı 21. maddeye dayanan önlemleri gerektiren suçlar dairesinden daha sınırlayıcı olmayan suç ve suç kategorileri olmak üzere yalnız koruma kapsamında belirlenmiş suçlar olarak 20. maddeye dayanan önlemlere başvurma hakkını saklı tutar. Her bir anlaşma tarafı koruma tedbirlerini 20. maddenin belirttiği önlemlerin en yaygın şekilde uygulanmasına başvuracağı düşünülebilir.

b) Taraf mevcut anlaşmanın uyum sürecinde yürürlükteki kanun sınırları nedeniyle

i) Kapalı bir grubun yararları için kullanılan sistem ve

ii) Konu iletişim ağlarını kullanmayan ve umumi yada özel olsun başka bir bilgisayar sistemiyle bağlantılı olmayan bilgisayar hizmetlerine sahip hizmet sunucuları aracılığıyla aktarılan iletişimine 20. ve 27. maddelerde belirtilen önlemleri uygulamadığında taraf böylesi bir iletişim için hakkını saklı tutar. Her bir taraf 20. ve 21. maddelere dayanan önlemlerin en yaygın uygulamasını sağlayan bir sınırlayıcı korumayı düşünebilir.

MADDE 15 -Şartlar ve Önlemler

Her bir taraf bu bölümde sunulan kurulmuş yükümlülük ve uygulamaların, yetki ve prosedürlerinin insan hakları ve özgürlüklerine yeterince koruma sağlayan

1950 tarihli temel özgürlüklerin ve insan haklarının korunmasına ilişkin Avrupa Konseyi Anlaşmasıyla üstlenilen yükümlülükler gereği başvuru haklarını 1966 tarihli (United Nation İnternational Covenaniont On Civil On Political Rights) ‘Birleşmiş Milletler Kişisel ve Siyasal Haklara ilişkin uluslar arası sözleşme ve diğer başvurulabilir uluslar arası insan hakları organları içeren ve oranlılık ilkesiyle uyumlu ulusal kanunları çerçevesinde şartlar ve önlemleri olduğunu garanti etmelidir.

1. Bu şartlar ve önlemler yetkinin ve doğanın uygun sürece yetki ve prosedürün geçerliliği süresince ve yetki alanında hukuki yada diğer bağımsız nitelikler uygulamayı ve sınırlamayı haklı gösteren sebepleri içermelidir.

2. kamu yararı söz konusu olduğunda özellikle bir anlaşma tarafı bu bölümdeki yetki ve prosedürlerin haklar sorumluluklar ve üçüncü kişilerin yasal menfaatlerine olan etkisini hesaba katmalıdır.

2. Başlık- Saklanmış bilgisayar verisinin derhal muhafaza altına alınması

MADDE 16- Kolaylaştırılmış Bilgisayar Data Korunumu

1-Her bir taraf devlet, gerekli makamların bilgisayar verisinin değiştirilmeye açık olduğuna dair inandırıcı sebepleri mevcutsa, veri trafiği kayıtlarını da içermek üzere, belirli bir bilgisayar sistemi verisinin acil olarak muhafaza altına alınmasına yetkilendirmek için gerekli kanuni düzenlemeyi yapmalı, diğer önlemleri almalıdır.

2-Bir taraf devlet yukarıdaki 1. Paragrafı bir kişiyi, sahipliğindeki ya da kontrolündeki bilgisayar verisini muhafazasını talimatla isteyerek yürütüyorsa; kişiyi, yetkili makamların veriyi araştırabilmesi için gerekli görülen bir süre boyunca, bilgisayar verisinin bütünlüğünü korumaya zorunlu kılmak için gerekli hukuki düzenlemeyi yapmalı, diğer önlemleri almalıdır. Bu süre 90 günden fazla olamaz.

3-Her bir anlaşma tarafı bilgisayarın sahibi yada bilgisayar verisini korumakla yükümlü diğer kişileri bu prosedür gereği ulusal hukukta belirtilen süre zarfında gizli tutmakla yükümlü kılması gerekliliğine binaen hukuki yapısını ve önlemlerini uygun hale getirmelidir.

4- Bu maddede bahsi geçen yetkiler ve uygulamalar 14. ve 15. maddeye konu olabilir.

MADDE 17- Veri akışının kısmi ifşasının ve muhafazasının kolaylaştırılması.

1. Her bir anlaşma tarafı 16. maddede belirtilen korunması gerekli veri akışına saygı göstererek, aşağıda belirtilen durumlarda gerekli olabilecek hukuki düzenlemeyi ve uygulamaları uyumlu hale getirmelidir.

a) Veri akışı muhafazasının, bu iletişimi aktarımına bir yada daha fazla servis sağlayıcıları katılmış olsun olmasın kolaylaştırılması garantilendirmek

b) Yetkilendirilmiş taraf devlet otoritesine yada otorite tarafından belirlenmiş kişiye iletişimin geçekleştiği hattı ve servis sağlayıcıları tanıtabilecek yeterlilikte ve akışının kolaylaştırılmış ifşasının sağlanması

2. Bu maddede bahsi geçen yetkiler ve uygulamalar 14. ve 15. maddeye konu olabilir.

3. Başlık Üretim Emri

MADDE 18 -Üretim Emri

1. Her bir anlaşma tarafı yetkili otoriteye aşağıdaki emretme yetkilerini sağlamak için gerekli hukuki düzenlemeyi ve önlemleri uyumlu hale getirmelidir.

a) Bilgisayar sistemlerinde yada bilgisayar verileri depolama araçlarında saklanan verileri kontrolünde yada sahipliğinde olan kişilerin belirli bilgisayar verilerini kendi yetki alanında ise almak ve,

b) Taraf devletin yetki alanında hizmet sunan servis sağlayıcılarının hizmetle ilgili servis sağlayıcının sahipliğinde yada kontrolünde olan abone birliğini almak.

2. Bu maddede bahsi geçen yetkiler ve uygulamalar 15. maddeye konu olabilir.

3. Bu maddenin amacına yönelik olarak ‘abone bilgisi’ ile kastedilen

a) İletişim servisinin kullandığı şekil, bundan başka alınan teknik önlemler ve servis süresi

b) Abone kimliği, posta ve coğrafi adresi, telefon ve diğer giriş numaraları, faturalandırma ve ödeme bilgileri gibi servisin anlaşması ve düzenlemesi çerçevesinde elde edilebilir olduğu

c) Servis anlaşması yada düzenlemeleri çerçevesinde elde edilebilir iletişim araçlarının konumlandırılma sitelerinde bulunan herhangi diğer bilgiler yada bilgi akışındaki servis abonesindeki servis sağlayıcıda tutulan bilgisayar verisi yada herhangi diğer formda olan her türlü veridi

4.Başlık Saklanmış Bilgisayar Verisinin Aranması Ve Zaptı

MADDE 19-Stoklanmış Bilgisayar Verisinin Araştırılıp Bulunması1. Her bir anlaşma tarafı yetkili otoriteye gerekli aşağıdaki araştırmaları ve ulaşımları gerçekleştirme yetkisini sağlamak için hukuki düzeni ve önlemleri uyumlu hale getirmelidir.

a) Bilgisayar verisinin içinde saklandığı bilgisayar yada sistemin bir parçasında,

b) Bilgisayar verisinin saklanabileceği bilgisayar verisi saklama araçlarında

2. Her bir anlaşma tarafı kendi yetki alanında aranan bir verinin başka bir bilgisayar sisteminde veya parçasında saklandığına inandırıcı sebepler varsa ve hukuka uygun bir ulaşımı olan yada mevcut olan bir başlangıç sistemi ise 1. paragraf a bendine uygun olarak, yetkili makamın aradığı benzer şekilde ulaştığı özel bilgisayar sistemleri yada onların parçalarında, bu makamların kolaylaştırılmış bir sınırda diğer sistemlerdearaştırma yapmasının yada ulaşmasının garantilenmesi gerektiğinden gerekli hukuksal düzen ve önlemlerin uyumunu sağlanmalıdır.

3. Her bir anlaşma tarafı yetkilendirilmiş makamların paragraf 1′e ve aşağıda belirtilecek maddeler çerçevesinde benzer şekilde korunan bilgisayar verilerine ulaşımına yada alıkoymaya yetkilendirilmesi için gerekli hukuki düzen ve önlemlerin uyumunu sağlanmalıdır.

Bu düzenlemeler şunlar için yetkilendirir;

a) El koyma yada benzer şekilde bilgisayar sistemi yada sistemin bir parçası yada bilgisayar verisi saklama araçlarının korunması,

b) Bu bilgisayar verilerinin kopyasının alınması ve elde tutulması,

c) İlişkili saklanmış bilgisayar verisinin bütünlüğünün korunması

d) Girilen bilgisayar sistemindeki bilgisayar verilerini taşımak yada ulaşılmaz kılmak

4. her bir taraf devlet yetkili makamları, 1. ve 2. paragraflarında bahsedilen önlemleri etkin kılabilmek için bilgisayar sisteminin işleyişi ve içinde bulunan bilgisayar verilerinin korunması için başvurulan yöntemler hakkında bilgiye sahip kişileri makul sınırlarda gerekli hukuki düzen ve önlemlerin uyumunu sağlamalıdır.

5. Bu maddede bahsedilen yetkiler ve prosedürler 14. ve 15. maddenin konusu olabilir.

MADDE 20 – Bilgisayar verisinin Gerçek zamanlı olarak toplanması

1. Her bir taraf devlet yetkili makamları aşağıda belirtilenleri yapabilmesi için gerekli kanuni düzen ve önlemleri uyumlu hale getirmelidir.

a) Taraf devletin yetki alanında teknik araçlar kullanılmak suretiyle toplanması, kaydedilmesi

b) Servis sağlayıcı, onun mevcut teknik imkanları çerçevesinde;

i) Taraf devletin yetki alanında teknik araçlar kullanmak suretiyle toplanması ve kaydedilmesi,

ii) Yetkili makamla toplama ve kaydetmede işbirliğine gidilmesi ve yetkili makama yardım edilmesi,

Devletin yetki alanında bilgisayar sistemleri aracılığıyla gerçekleştirilen iletişimiyle bağlantılı, gerçek zamanlı olarak veri trafiğini:

1. Bir taraf devlet kurulu bulunan hukuk düzeninin prensiplerinden ötürü 1(a) paragrafında bahsedilen önlemleri uygulayamıyorlarsa bunun yerine kendi yetki alanındaki teknik araçlarla aktarılan belirli bir iletişimle ilişkili veri trafiğinin eş zamanlı olarak toplanması ve kaydedilmesi gerekebileceğinden kanuni yapısını ve diğer önlemleri uyumlu hale getirmelidir.

2. Her bir taraf devlet bu madde kapsamındaki herhangi bir yetkinin kullanılması yada kullanılmasıyla elde edilen bilginin gizli tutulması için servis sağlayıcı zorunlu kılması gerekebileceğinden gerekli kanuni düzen ve önlemleri uyumlu hale getirmelidir.

3. Bu maddede bahsedilen yetkiler ve prosedürler 14. ve 15. maddenin konusu olabilir.

MADDE 21- Veri kapsamının alınması

1. Her bir taraf devlet, kendi ulusal kanunca belirlenmesi gereken pek çok ciddi suçla ilişkili olarak, bilgisayar sistemleri aracılığıyla yetki alanında aktarılan belirlenmiş bir iletişimin data içeriğinin eş zamanlı olarak

a) Taraf devletin yetki alanındaki teknik araçlara başvurarak toplanması ve kaydedilmesi

b) Servis sağlayıcı sahip olduğu teknik imkanlarına başvurarak

I. Taraf devletin yetki alanındaki teknik araçların kullanılmasıyla toplanması ve kaydedilmesi

II. Yetkili makamla belirtilen veri içeriğinin toplanması ve kaydedilmesinde yardım edilmesinde yardım edilmesi ve işbirliğinde bulunmasına zorunlu kılınması.

2. Taraf devlet kurulu yasal sistemin prensiplerinden ötürü 1(a) paragrafındaki kriterleri sağlayamadığında bunun yerine kanun ve diğer önlemleri kendi yetki alanı dahilindeki teknik araçların kullanılmasıyla kendi alanındaki belirli iletişimin veri içeriğini eş zamanlı elde si ve kaydedilmesi gerekebileceğinden uyumlu hale getirebilir.

3. Her bir taraf devlet bu maddedeki yetkilerin kullanılmasıyla ele geçen her hangi bir bilginin gizli tutulması için servis sağlayıcıları zorunlu kılması gerekeceğinden gerekli kanunları ve önlemleri uyumlu hale getirmelidir.

4. Bu maddede bahsi geçen yetki ve prosedürler 14.ve 15. maddeye tabidir.

BÖLÜM 3- YARGILAMA HAKKI

MADDE 22- Yargılama hakkı

1. Her bir taraf devlet

a) Kendi topraklarında

b) Taraf devletin bayrağını bulunduğu seyahat eden gemilerde

c) Taraf devletin yasalarına göre kayıt altında bulunan yolculuktaki uçaklarda

d) Kendi vatandaşlarından biri tarafından işlendiği yerin ceza kanununa göre ceza gerektiren bir suç ise ya da her hangi bir devletin yargılama hakkı bulunan topraklarının dışında işlenen bir suçsa,

2. Her bir taraf devlet , 1(b)-1(d) paragraflarında ya da buraya kadar olan kısımlarda sunulan yargılama hakkı kuralların sadece belirli durum ve şartlar için uygulama hakkını saklı tutar.

3. Her bir taraf devlet zanlı devletin topraklarında olduğunda ve kişinin milliyetinden ötürü iadesi istemine rağmen diğer bir taraf devlete iade edilemediğinde anlaşmanın 24. Maddenin 1.paragrafında bahsedilen suçlardan, ötürü yargılama hakkını oluşturması gerekeceğinden gerekli ölçüleri uyumlu hale getirmelidir.

Bu anlaşma ulusal kanundan kaynaklanan suçlu yargılama hakkını dışarıda bırakmaz.

5. Anlaşma bağlamında işlediği iddia edilen bir suç üzerine birden fazla taraf devlet yargılama hakkı iddiasında bulunduğunda taraflar yargılama için en uygun yargılama hakkını belirlemelidirler.

III.BAB-ULUSLAR ARASI İŞBİRLİĞİ

1.BÖLÜM -Genel Prensipler

1.Başlık -Uluslararası işbirliği ile ilgili genel prensipler

Taraf devletler birbirleriyle, bu babda belirtilen koşullar çerçevesinde, tek tip olarak ya da karşılık şekilde kabul edilen anlaşmaları ve suça karşı uluslararası işbirliği kurumlarını kullanarak, bilgisayar sistem ve verileriyle ilişkili suçların soruşturulması ve hukuki işlemlerin gerçekleştirilmesi ya da bir suçla ilgili elektronik formdaki delillerin elde edilmesi amacıyla en üst seviyede işbirliğine gitmelidir.

2.Başlık-İade ile ilgili prensipler

1.a-Bu madde üst sınırı en az bir yıl ya da daha ağır olan mahkumiyet cezalarında her iki tarafın kanunlarına göre cezalandırılabilir. Anlaşmanın 2 ila 11. Maddeleri arasında belirtilen suçlarda iade için uygulanır.

b-Suçluların iadeli Avrupa sözleşmesini içermek kaydıyla karşılıklı ya da tek tip yasama üzerine kabul edilen antlaşmalara bağlı olarak, iki ya da daha fazla devlette değişik alt cezalar uygulanabiliyorsa, bu antlaşmalar çerçevesinde en alt ceza uygulanmalıdır.

2.Bu maddenin 1. Paragrafında açıklanan suç fiilleri, tarafların ikili ve çoklu iade anlaşmalarına göre iade edilebilir suçlar arasında sayılmalıdır. Taraf devletler ikili ve çoklu iade antlaşmalarında bu suçları iade edilebilir suçlara dahil etmeyi üstlenirler.

3.İade için bir iade antlaşmasının varlığını şart koşan bir devlet eğer arasında iade antlaşması olmayan diğer bir devletten iade talebi alırsa, anlaşmanın bu maddesinin 1.paragrafını göz önüne alarak, bu anlaşmayı iadenin hukuki gerekçesi olarak kabul edilebilir.

4. İade için bir anlaşmanın varlığını şart koşmayan devletler, bu maddenin 1.paragrafında bahsedilen suçları kendi aralarında iade edilebilir suçlar olarak tanımladılar.

5.İade, talepte bulunulan devletin iade talebini reddetme sebeplerini içerecek biçimde, uygulanan iade anlaşmalarına yada talepte bulunulan taraf devletin kanunlarındaki şartlara bağlı olmalıdır.

6. Eğer bu maddenin 1. paragrafında bahsedilen suçlardan ötürü bir iade talebi, sadece aranan kişinin milliyeti ya da talepte bulunulan devletin o suç üzerinde yargılama hakkı olduğunu addetmesi üzerine geri çevrilirse; talepte bulunulan devlet, talepte bulunulan devletin talebini kendi yetkili makamlarına yargılama için sunmalı ve takip eden süreçle sonuçları talepte bulunan devlete bildirmelidir. Bu makamlar taraf devletin Kanunlarının doğasıyla orantılı olan herhangi bir diğer suç olayında gibi kararlarını alırlar, araştırmalarını ve işlemlerini sürdürürler.

7. a. Her bir anlaşma tarafı, anlaşmanın imzası sırasında ya da onaylama, kabul organına sunarken, Avrupa konseyi Genel Sekreteriyle iade talebinde bulunacak ve talepte bulunulacak ya da anlaşmanın olmadığı durumlarda şartlı tutuklama makamlarının adını ve adresini bildirmelidir.

b. Avrupa konseyi Genel Sekreteri taraf devletlerce belirlenen makamların kaydını oluşturmak ve bunları güncel tutmalıdır, her bir taraf devlet tutulan kayıtların ayrıntıların her zaman doğru olmasını sağlamalıdır.

3.Başlık Karşılık Yardımıyla İlgili Genel Prensipler

MADDE 25 -Karşılıklı yardımla ilgili genel prensipler

1. Bütün taraf devletler, bilgisayar sitemleri ve verileriyle ilişkili suçlarla ya da bir suç fiilinin elektronik formdaki delillerin toplanmasıyla ilişkili işlemler ve araştırmalar konusunda mümkün olan en geniş ölçüde karşılıklı yardım sağlanmalıdır.

2. Her bir taraf devlet 27 ve 35 maddeler boyunca ortaya konan yükümlülükleri gerçekleştirmek gerekeceğinden gerekli kanuni düzenlemeyi ve diğer önlemleri uyumlu hale getirmelidir.

3. Her bir taraf devlet gecikmesinde sakınca bulunan durumlarda fax ya da elektronik postayı içeren hızlı iletişim araçlarının bu gibi araların uygun güvenlik ve doğrulanan seviyeler ölçüsünde (gerektiğinde şifrelemeyi içerecek şekilde) izlenecek resmi kabullerle talepte bulunan taraf devletçe istendiğinde iletişimi ya da karşılıklı yardımlaşma talebinde bulunabilir. Talepte bulunulan devlet bunu kabul etmeli ve talebe hızlı iletişim araçlarıyla karşılık vermelidir.

4. Talebin geri çevrilmesi bu babtaki maddelerde özel olarak tanımlanmıştır, karşılıklı yardımın; talepte bulunulan devletçe işbirliği talebinin reddedilmesinin sebepleri içerecek biçimde, başvurulan karşılıklı yardım anlaşmaları ya da talepte bulunulan devletin kanunu hesaba katılarak oluşturulan koşullara bağlıdır. Talepte bulunulan devlet, 2 ila 11 maddeleri arasında geçen suçlarda ilgili sadece talep konusu suçun mali bir suç olduğunu düşünüyorsa karşılıklı yardımı reddetme hakkını kullanmayabilir.

5. Bu babdaki önlere uygun olarak, eğer yardımlaşmanın oluşturulmaya çalışıldığı suç hakkındaki kanı bunun talepte bulunan taraf devletin kanunlarına göre bir suç fiili olduğu ise, talepte

bulunulan devletin kanunlarınca talep eden taraf devletin kanunlarınca aynı kategoride bir suç olup olmadığına ya da aynı terminolojide ifade edilip edilmediğine bakılmaksızın talepte bulunulan devletin karşılıklı yardım talebini kabulü iki kanunca suçun varlığına bağlı ise bu şart yerine getirilmiş kabul edilir.

MADDE 26- Kendiliğinden Elde Edilen Bilgi

1. Bir taraf devlet, kendi ulusal kanuni çerçevesinde daha önce bir talep olmaksızın, kendi araştırmalarının içinde elde ettiği bilginin, diğer taraf devletin olması halinde, Anlaşma bağlamında bir suçla ilişkili bir işlemin ya da soruşmanın başlamasına yardımcı olacağına ya da taraf devletin işbirliği talebine bu bab kapsamında sebep olacağına inandığında bu bilgiyi o devlete sunabilir.

2. Bu bilgi sağlanmadan önce, taraf devlet bu bilginin gizli tutulmasını ya da koşullara bağlı olarak kullanılmasını isteyebilir.

MADDE 27 – Uygulanabilir uluslar arası antlaşmaların yokluğunda karşılıklı yardım taleplerine dair prosedürler.

1. Talep eden ve talep edilen taraflar arasında, tek bir temel de birleşen (Tarfların yasama otoriteleri arasında ) bir antlaşma veya düzenleme bulunmadığında – bu durumlara önlem olarak hazırlana 2. maddede 9. maddeye kadar ki kısımlar uygulanır. Taraflar bu maddenin tamamını uygulamakta mutabık olmadıkça, bu antlaşmalarda ve düzenlemelerde belirtilen önlemler uygulanmayacaktır

2. Karşılıklı yardım taleplerinin yetkili otoritelere iletilmesi veya bu taleplerin yerine getirilmesinde sorumlu otorite veya otoriteler tayin edilecektir.(Her bir taraf tarafında)

b) Merkezi otoriteler birbirleriyle doğrudan iletişim kurarlar.

c) Her bir taraf kabul, tasdik, onay, uygun görme yazılarını veya imzalarını adres ve isimleri bu parağrafa uygun olarak düzenlenmiş Avrupa Konseyi Genel Sekreterliğine iletirler.

d) Avrupa Konseyi Genel Sekreterliği taraflar tarafından tespit edilecek merkezi otoritelerin birer kayıt defterini kurup güncelleştirecek

3. Bu maddede düzenlenen karşılıklı yardımda takip edilecek prosedür talepte bulunulan devletin kendi kanunları ile çatışmadığı sürece talepte bulunan taraf devletin öngördüğü prosedür çerçevesinde gerçekleştirilir.

4. Talepte bulunulan taraf 25. maddenin 4. paragrafında belirtilen reddetme zeminine ek olarak şu şartlarda da talepleri geri çevirebilir;

a) Talep; talep edilen tarafın politik bir suç veya politikayla bağlantılı olduğunu düşündüğü bir suç türüyse

b) Talebin ifası onun hükümranlığına, güvenliğine, kamusal otoritesine veya diğer bir özel ilgi alanına karşı bir ön yargı oluşturuyorsa.

5. Bir taraf otoriteleri tarafından yapılan araştırmalar hakkında önyargı oluşturacaksa kendisinden talepte bulunulduğunda bu talebe ilişkin uygulamasında erteleme yapabilir.

6. Talebin reddinden ya da ertelenmesinden önce, talepte bulunulan devlet, uygun durumlarda talepde bulunan devletle görüşerek anlaşmanın kısmen kabul edilebileceğini ya da gerekli gördüğü hallerde yardımın uygulanmasının bazı şartlara bağlı tutabilir.

7. Talepte bulunulan taraf kendisinden talepte bulunan tarafa talebin sonucu hakkında ivedi cevap vermeli,bilgilendirmelidir. Eğer talep reddedilmiş veya ertelenmişse bunun nedenleri de belirtilecektir. Talep edilen taraf talepte bulunan tarafa talebinin yerine getirilmesini imkansız kılan nedeni veya gecikme sebebini belirtecektir.

8. Talepte bulunan taraf talebinin yerine getirilmesinde hayati gerekli bölümler haricinde, bu bölümde ele alınan kısımlar da kendi talebinin veya talebindeki esasların gizli kalmasını isteyebilir.

9. a- Gecikmesinde sakınca bulunan hallerde karşılıklı destek veya o ana değin görüşmeleri talep eden taraf devletin mahkeme makamlarına talepte bulunulan karşı taraf makamları tarafından gönderilmelidir. Böylesi her durumda aynı anda talep eden taraf merkezi otoritesiı aracılığıyla talepte bulunulan taraf devlet merkezi otoritesine bir kopya gönderilir.

b- Bu paragraf altında belirtilen her bir talep ya da görüşme interpol arcılığıyla gerçekleştirilebilir.

c- (a) alt paragrafına uygun olarak yapılan talep gerçekleşir ve talebi alan makamlar bu talebi yerine getirmeye yetkili makam değilse bu makam talebi ulusal yetkili makama gönderir ve durumdan talepte bulunan taraf hemen haberdar eder.

d- Zorunlu işlemler gerektirmeyen bu paragraf bağlamında gerçekleştirilen iletişim ve talepler talepte bulunan devlet yetkili makamları ile talepte bulunulan devlet yetkili makamlarınca direk olarak yapılabilir.

e- Her taraf devlet anlaşmanın imzası ya da onayına organca sunumu esnasında Avrupa Konseyi Genel Sekreterini verimlilik sağlanması amacıyla bu paragraf bağlamdaki merkezi makamlarla gönderilmesi gereken taleplerden haberdar etmelidir.

MADDE 28 – Gizlilik ve uygulamanın sınırları;

1.Talep eden ve talepte bulunan taraf devletler arasında tek tip ya da orantılı kanunlara bağlı düzenlemeler ya da karşılıklı yardım anlaşmaları yoksa bu maddedeki önlemler uygulanır. Bu maddedeki önlemler ilgili taraflar bu maddenin geri kalan bölümlerinin bir kısmını ya da tamamını uygulama konusunda anlaşmadıkça, bir karşılıklı yardım kanunu, anlaşması ya da düzenlemesi varsa uygulamaz.

1. Talepte bulunan taraf devlet, sunulan bilgi ya da materyallerin aşağıdaki şartlara uyulması talebine bağlı kalabilir.

a- Bu şartların olmaması halinde karşılıklı hukuki yardıma uyumlu olmaması halinde sunulan bilgi ve materyallerin gizli tutulması.

b- Talepte belirtilenler dışında başka işlemler ve araştırmalar için kullanılmaması.

2. Eğer tarafta bulunan devletin 2. Paragraf da ki şartlardan birine uyamayacağı bilginin sunulmasından sonra anlaşılırsa dahi diğer taraf devleti bilgilendirir. Taraf devlet şartı kabul ettiği andan itibaren şartları sınırlandırılmıştır.

3. 2. Paragrafta belirtilen koşullardan birine bağlı olarak bilgi ya da materyal sunan herhangi bir taraf devlet, diğer taraf devletten koşulla ilişkili olarak böylesi bir bilgi ya da materyallerin kullanımının açıklanmasını isteyebilir.

2. BÖLÜM

ÖZEL ÖNLEMLER

1.Başlık- Şartlı Düzenlemelere Bağlı Karşılıklı Yardım

Madde 29- Saklanmış bilgisayar verisinin kolaylaştırılmış muhafazası

1.Bir taraf devlet bir verinin ifşasını, korunması, el konulması, o veriye ulaşılması ya da araştırılması için karşılıklı yardım talebi sunmak niyetinde olduğu ve diğer taraf devletin topraklarında bulunan bilgisayar sistemi aracılığıyla saklanan bu verinin istenmesi, bu olmuyorsa, (kolaylaştırılmış) koruma tedbirinin(hemen) alınması talebinde bulunabilir.

1. 1. Paragraf kapsamında koruma tedbiri (kapsamı) talebi

a- Koruma tedbiri isteyen makam

b- Suç soruşturma ve işlemlere konu suçu ve ilgili durumların açıklayıcı bir özetini

c- Korunması gereken saklanmış bilgisayar verisini ve suçla ilişkisini

d- Bilgisayar verisi sahibi olanın kimliği veya bilgisayar sisteminin yeriyle ilgili mevcut tüm bilgileri

e- Korumanın gerekliliği

f- Bilgisayar verisinin ifşası, saklanması, elde edilmesi, ulaşılması ya da araştırılması talebinin hangi taraf devletlerce isteneceğini belirlemelidir.

2. Başka bir taraf devletten talep alınması üzerine, talepte bulunan devlet, ulusal yasaya uygun olarak belirlemiş verinin muhafazası için gerekli tüm önlemleri almalıdır. Talebe cevap vermek için iki kanunca suçluluk muhafazanın bir şartı olarak gerekli değildir.

3. Verinin aranması ya da benzer veri ulaşımı, veri zaptı ya da benzer muhafazaya alınması ya da ifşası için karşılıklı yardım talebine cevap verme koşulu olarak iki kanunca suçluluğu kabul eden taraf devlet, anlaşmanın 2 ile 11. Maddeleri arasında belirlenen suçların dışındaki suçları dikkate alarak verinin ifşası anında, iki kanunca suçluluk prensibinin oluşamayacağına inandığı durumlarda bu madde kapsamındaki

muhafaza talebini geri çevirme hakkını saklı tutabilir.

4. Bunlara ilave olarak talep sadece

a- Talepte bulunulan devlet talebe konulu suçun siyasi suçla bağlantılı bir suç olduğu kanaatindeyse

b- Talepte bulunan devlet talebin yerine getirilmesinin kendi egemenliği, güvenliği, kamu düzeni veya diğer birincil menfaatlerine zarar verebileceği kanaatindeyse geri çevirebilir.

6. Talepte bulunulan taraf devlet muhafaza altına almanın veriye ileriki bir tarihteki erişimi garanti edemeyeceğine ya da gizliliğini tehdit edeceğine ya da aksi halde talepte bulunulan tarafın soruşturmasına zarar vereceğine inandığında , talepte bulunulan tarafı önceden haberdar etmeli ve bunun sonrasında talebin buna rağmen yerine getirilip getirilemeyeceğini belirlemelidir

7. 1.Paragrafa dayana bir talebin gereği gerçekleşen her hangi bir muhafaza altına alma talepte bulunan tarafın de veriyi almak, ulaşma , güvence altına alma ya da araştırma için talep sunabilmesi için 60 günden az olmayacak bir zaman süresine devam etmelidir.

Madde 30- Tutulan veri trafiği kayıtlarının derhal ifası

1 Belirli bir iletişimin veri trafiği kayıtlarının 29 .Madde gereğince sunulması için yapılan talebin yerine getirilmesi esnasında , talepte bulunulan devlet iletişimin aktarımına başka bir devletteki servis sağlayıcının katıldığını tespit ederse iletişimin gerçekleştiği yolun ve servis sağlayıcının tanımlanabilmesi için yeterli boyutta veri trafiği kaydını talepte bulunulan devlete ivedi şekilde sunmalıdır.

2 1.paragraf gereğince veri trafiği kayıtlarının ifasının askıya alınması sadece aşağıdaki durumlarda olabilir.

a) Talepli ilgili suçun talepte bulunulan devletçe siyasi bir suçlu ya da siyasi suçla bağlantılı olduğu değerlendirildiğinde

b) talepte bulunulan devlet talebin yerine getirilmesinin devletin bütünlüğüne, güvenliğine, kamu düzenine ya da diğer hayati menfaatlerine zarar vereceği muhtemel olduğu kanaatindeyse

2. Başlık Soruşturmu Yetkileriyle iİgili Karşılıklı Yardım

Madde 31- Saklanmış bilgisayar verisine erişimiyle ilgili karşılıklı yardım

1.Bir taraf devlet başka bir taraf devletten , 29 maddeye uygun şekilde muhafaza altına alınan veriyi de içeren , talepte bulunulan devletin yetki alanında konuşlanmış bilgisayar sistemleri aracılığıyla saklanan verinin ifasını, güvenlik altına alınmasını, erişmeyi zaptını ve araştırmayı isteyebilir.

2. Talepte bulunulan taraf , talebe 23. maddede bahsedilen uluslar arası kanunlar, anlaşmalarla ve organlara başvurarak ve bu baptaki ilgili önlemlere uygun olarak cevap vermelidir.

3. talep aşağıdaki durumlarda acilen cevaplandırılmalıdır.

a) İlgili verinin özellikle kaybedilme ya da değiştirilme tehlikesine açık olması; ya da

b) 2. Paragrafta bahsedilen oran , anlaşma ve kanunların acil yardımlaşmayı gerektirmesi.

Madde 32- Saklanmış bilgisayar verisine kamu açık olduğunda ya da muvafakatli olarak sınır ötesi erişim

Bir taraf devlet, başka bir taraf devletin onayı olmadan

a) Saklanmış bilgisayar verisinin coğrafi olarak nerede konuşlandırılacağına bakılmaksızın kamuya açık (açık kaynak) veriye ulaşabilir.

b) Kendi yetki alanındaki bilgisayar sistemleri aracılığıyla , başka bir taraf devlette bulunulan bilgisayar verisinin eğer bilgisayar verisini açıklamaya yetkili kimseden gönüllü muvaffakattını resmen almışsa , bu bilgisayar verisine ulaşabilir ya da gönderildiğinde alabilir.

Madde 33- Veri trafiği kayıtlarının gerçek zamanlı olarak toplanması ile ilgli karşılıklı yardım

1. Taraflar birbirlerine , kendi yetki alanlarında bilgisayar sistemleri aracılığıyla gerçekleşen belirli bir iletişimin gerçek zamanlı veri trafiği kayıtları hususunda karşılıklı yardım sağlanmalıdır.

2- Her bir taraf devlet bu yardımı en azından ülke içinde benzer bir durumda gerçekleşen suçla ilgili gerçek zamanlı veri trafiği kaydının toplanmasındaki nitelikte sağlanmalıdır.

3. Bu anlaşma, en az üç Avrupa Konseyi üyesi ülkesi de dahil olmak üzere, 5 üye ülkenin anlaşmanın birinci ve ikinci paragraflarının şartlarına bağlı kalacaklarına dair onaylarını verdikten sonra, üç aylık surenin dolmasını takip eden ayin ilk günü yürürlüğe girecektir.

4. Bağlılıklarını ifadelerini müteakiben, taraf herhangi bir ülkeden birisiyle ilgili olarak

paragraf 1 ve ikinin şartları gereğince, bu anlaşmaya bağlı kalacakları onayını verdikleri tarihten sonraki

üç ayın bitimini takip eden ayin ilk günü bu anlaşma yürürlüğe girecektir.

1. Ülkelerden herhangi birisi, Anlaşmayı imzaladığı veya onay ve kabul belgesini sunduğu esnada bu anlaşmanın uygulanacağı bölge veya bölgeleri belirtebilir.

2. Ülkelerden herhangi birisi, her an, Avrupa Konseyi Genel Sekreterliğine hitaben yolladığı deklarasyonla bu anlaşmanın deklarasyonda belirteceği herhangi diğer bir bölgeye uygulamayı genişletebilir. Böyle bir bölgeyle ilgili olarak, Anlaşma deklarasyonun Genel Sekreterlik tarafından kabulünü takip eden üç aylık surenin bitiminden sonraki ayin ilk günü yürürlüğe girecektir.

3. Bu iki paragrafta belirtilen Böyle bir deklarasyonda herhangi bir bölgeyle ilgili olarak, , Böyle bir deklarasyonda belirtilen bölge talebi, Avrupa Konseyi Genel Sekreterliğine hitaben yazılan bir belgeyle geri çekilebilir. Bu işlem, Böyle bir müracaatın Genel Sekreterliğe ulaşmasından sonraki üç aylık bir surenin bitiminindin sonraki ayin ilk günü itibariyle yürürlüğe girer.

4.Başlık Son Önlemler

Madde 36 -İmza ve kayda geçiş

1-Bu anlaşma Avrupa Konseyi Üyesi devletler ve anlaşmanın hazırlanmasına katılan diğer üye olmayan devletlerce imzaya açılmıştır .

2-Bu anlaşma onay, onama ve oylama ile kabule tabidir. Onaylama organı ,onayı Avrupa Konseyi Genel sekreterine teslim etmelidir

MADDE 37 – Anlaşmaya Dahil Olmak

1. Bu anlaşmanın yürürlüğe girmesinden sonra, Avrupa Konseyi Bakanlar Komitesi, Anlaşmaya bağlı ülkelerin tümüne danışıp onaylarını aldıktan sonra , Konsey üyesi olmayan ve anlaşmayı onaylamak için yapılan hazırlık toplantılarına katılmayan herhangi bir ülkeyi davet edebilir. Bu karar, Avrupa Konseyi Kararnamesi Madde 20 (d) gereğince çoğunluk tarafından ve taraf ülkelerin Bakanlar Komitesi temsilcilerinin çoğunluk oyları neticesi alınacaktır

2. Yukarıda belirtilen 1. Paragraf altında Anlaşmaya dahil olmakla ilgili olarak, bu Anlaşma, katilim belgesinin Avrupa Konseyi Genel Sekreterliğine tesliminden sonraki üç aylık surenin bitimini takip eden ayin ilk günü yürürlüğe girecektir

MADDE 38 – Bölgesel Müracaat

1. Ülkelerden herhangi birisi, Anlaşmayı imzaladığı veya onay ve kabul belgesini sunduğu esnada bu anlaşmanın uygulanacağı bölge veya bölgeleri belirtebilir.

2. Ülkelerden herhangi birisi, her an, Avrupa Konseyi Genel Sekreterliğine hitaben yolladığı deklarasyonla bu anlaşmanın deklarasyonda belirteceği herhangi diğer bir bölgeye uygulamayı genişletebilir. Böyle bir bölgeyle ilgili olarak, Anlaşma deklarasyonun Genel Sekreterlik tarafından kabulünü takip eden üç aylık surenin bitiminden sonraki ayin ilk günü yürürlüğe girecektir.

3. Bu iki paragrafta belirtilen Böyle bir deklarasyonda herhangi bir bölgeyle ilgili olarak, , Böyle bir deklarasyonda belirtilen bölge talebi, Avrupa Konseyi Genel Sekreterliğine hitaben yazılan bir belgeyle geri çekilebilir. Bu işlem, Böyle bir müracaatın Genel Sekreterliğe ulaşmasından sonraki üç aylık bir surenin bitiminindin sonraki ayin ilk günü itibariyle yürürlüğe girer. MADDE 39 – Anlaşmanın Etkileri

1. Bu mevcut anlaşmanın amacı taraflar arasındaki ikili veya çok taraflı sözleşmelere veya teşkilatlara aşağıdaki şartlar da dahil olmak üzere uygun ilaveler yapabilmektir

13 Aralık 1957 yılında (ETS No 30) Paris’te imzalaya açılan Suçluların İadesi Avrupa Sözleşmesi

20 Nisan 1959 yılında (ETS No. 30) Strasburg’da imzalanan Müşterek Cezai Konular Anlaşması

17 Mart 1978 (ETS No. 99) Strasburg’da imzalanan Müşterek Cezai Konular Anlaşmasının ek Protokolü

2. Şayet iki veya daha fazla taraflar, halihazırda bu anlaşmanın konularıyla ilgili hususlarda bir mutabakata varmışlar veya bu konularda ilişkilerini tespit etmişlerse,

veya bunu ileride yapacaklarsa, bu anlaşmayı tespit edilecek ilişkilere göre de ayarlama yetkisine sahip olacaklardır. Mamafih, eğer taraflar ilişkilerini, yeni düzenlenen sartlarr yerine, mevcut anlaşmanın içerdiği şartlar çerçevesinde tesis edeceklerse, bunu anlaşmanın hedef ve prensiplerine uygun olacak bir şekilde yapmalıdırlar.

3. Bu anlaşmanın içindeki hicbirsey tarafların diğer haklarını, kısıtlamaları, yükümlülük ve mesuliyetlerini etkilemez.

MADDE 40 – Deklarasyonlar

Herhangi bir Ülke anlaşmanın imza aşamasına veya onay ve kabulünü bildiren işlem sırasında, Avrupa Konseyi Genel Sekreterliğine hitaben sunduğu bildiride, Madde 2,

Madde 3, Madde 6 paragraf 1(b), Madde 7, Madde 9, paragraf 3 ve Madde 27, paragraf 9 (e) de sağlanan ilave unsurları talep etme imkanını sağlayabilir.

Madde 41- Federal Hüküm

1. Federal bir Ülke, anlaşmanın esas prensiplerine uygun olarak, Bolum II altındaki yükümlülüklerini , Merkezi Hükümet ve onu oluşturan Eyaletler arasındaki ilişkiyi veya Bolum III altında temin edilen diğer benzer bölgesel yerleşimleri temin eden haklarının saklı olduğunu addedebilir.

2. Paragraf 1 altında bir çekince koyulduğunda, Federal Ülke Böyle bir çekincenin anlamlarını

hariç tutan veya Bolum II de belirtilen boyutlardaki yükümlülüklerini kapsamlı bir şekilde azaltmayı uygulayabilir.

3. Bu anlaşmanın hükümleriyle ilgili olarak, Federasyonun anayasal sistemiyle hukuki tedbirler almaya zorlanmayan Bileşik Eyaletler veya benzer bölgesel yerleşimler cezai hükümleri altında kalan uygulamalarda, federal hükümet, bu ülkenin ehil otoritelerini onları yuruluge koymak için uygun işlemin hayata geçirilmesi için,bahsi gecen hükümlerden haberdar edeceklerdir

MADDE 42 – Çekinceler

Avrupa Konseyi Genel Sekreterine hitaben yazılan bir başvuruda, herhangi bir ülke, imza aşamasında veya onay veya kabulünü bildiren işlem sırasında Madde 4, paragraf 2, Madde 6, paragraf3, Madde 9, paragraf4, Madde 10, paragraf 3, madde 11, paragraf3, Madde 14, paragraf 3, Madde 22, paragraf 2, Madde 29, parağraf 4, ve madde 41 paragraf 1 de gösterilen çekince haklarını kullanabilir.

MADDE 43 – Çekincelerin statüsü ve geri çekilmesi

1. Madde 42 uyarınca cebinci koyan bir taraf Genel Sekreterliğe verdiği bir yazı ile bunu tümüyle veya kısmen geri çekebilir. Böyle bir geri çekme talebi Genel Sekreterlik tarafından yazının kendilerine ulaştığı tarih itibariyle yürürlüğe girer. Şayet bildiri çekincenin geri çekilmesi için özel bir tarih belirtiliyorsa, ve bu tarih bildirinin Genel Sekreterliğe ulaştığı tarihten daha sonra bir tarihse, bu dürümde bildirideki tarih dikkate alınır.

2. Şayet bir taraf Madde 42 atfen bir çekince yapmışsa Böyle bir çekinceyi şartlar müsaade eder etmez tümüyle veya kısmen geri çekebilir.

3. Avrupa Konseyi Genel Sekreterliği periyodik olarak taraflara, Madde 42 ye atfen yaptıkları çekinceleri geri çekip çekmeme ihtimallerini sorabilir.

MADDE 44 – İlave veya Düzeltmeler

1. Bu Anlaşmaya ilaveler herhangi bir taraf tarafından teklif edilebilir, ancak bu değişiklik Avrupa Konseyi Genel Sekreteri tarafından Avrupa Konseyi üye ülkeleri, bu anlaşmanın ayrıntılarına dahil olan ama üye olmayın Ülkelerle olduğu gibi ayrıca Madde 37hukumlerince davetli olan ve onay veren herhangi bir ülke ile görüştükten sonra yapılabilir

2. Taraflarca teklif edilen herhangi bir ilave, Avrupa Suçlar Meseleleri Komitesi (CDOC) ile koordine edilecek ve bu değişiklik konuşsundan görüşlerini Bakanlar Komitesine sunacaklardır.

3. Bakanlar Komitesi, bu ilave teklifini ve Avrupa Suçlar Meseleleri Komitesinin (CDPC) görüşlerini anlaşmanın üye olmayan ülkelerine danıştıktan sonra kabul edebilir.

4. Bu maddenin 3. Paragrafı gereğince Bakanlar Komitesince kabul edilme herhangi bir ilave metni taraflara onay için gönderilecektir.

5. Bu maddenin 3 uncu paragrafı gereğince kabul edilen herhangi bir ilave bütün taraflar Genel Sekreterliğe onaylarını verdikten 30 gün sonra yürürlüğe girecektir.

Madde 45 – ihtilafların Giderilmesi

1. Avrupa Suçlar Meseleleri Komitesi (CDPC) bu Anlasmanın yorumu ve uygulaması konusunda bilgilendirilecektir.

2. Taraflar arasındaki bu anlaşmanın yorumu ve uygulaması konusunda ihtilaf durumunda ya karşılıklı görüşerek veya durumu vereceği karar tarafları bağlayıcı olan Avrupa Suçlar Meseleleri Komitesine ve Uluslararası Adalet Mahkemesine hakemlik yapmaları için taşımak da dahil, tercih edilecek herhangi bir barışsal yolla halledilir.

MADDE 46 – Tarafların Danışmaları

1. Taraflar uygun durumlarda periyodik olarak aşağıdakileri kolaylaştırmak konusunda görüşmelerde bulunacaklardır:

a. Problemlerin tespiti ve ayni zamanda bu Anlaşma altında yapılan herhangi bir deklarasyon veya çekincenin etkileri de dahil olmak üzere anlaşmanın uygulanmasını yeterli olup olmadığı,

b. Önemli hukuki politik veya teknolojik gelişmelerle ilgili siber suc ve elektronik form delilleri üzerinde bilgi alışverişinde bulunmak ,

c. Anlaşma üzerinde muhtemel ilave veya değişiklik düşünceleri

2. Birinci paragrafta belirtilen konsultasyonlarin neticeleriyle ilgili Avrupa Suçlar Meseleleri Komitesi periyodik olarak bilgilendirilecektir.

3. Avrupa Suçlar Meseleleri Komitesi uygun olduğunda, birinci paragrafta atıfta bulunan konsultasyonlari kolaylaştıracak ve taraflara Anlaşmaya ilave veya değişiklik yapmak için yardımcı olarak gereken işlemi yapacaktır. Şimdiki anlaşmanın yürürlüğe girmesinden en son üç yıl sonra, Avrupa Suçlar Meseleleri Komitesi Tarafların yardımıyla anlaşmanın bütün hükümlerini gözden geçirecek ve gerekirse uygun ilaveleri tavsiye edecektir.

4. Avrupa Konseyince deruhte edilmediği durumlarda, birinci paragrafın hükümlerini icra ederken ortaya çıkacak masraflar, kendilerince tespit edilecek bir şekilde karşılanacaktır.

5. Bu maddeyle uygun olarak faaliyetlerini icra ederken taraflara Avrupa Konsey Sekreterliği yardımcı olacaktır.

Madde 47 – Kınama

1. Avrupa Konseyi Genel Sekreterliği aracılığıyla yollanan bir bildiriyle taraflardan herhangi biri herhangi bir zamanda kınanabilir.

2. Böyle bir Kınama, Kınama bildirisinin Genel Sekreterliğin yolladığı tarihten üç ay sonraki gün yürürlüğe girer.

MADDE 48- İhbar

Avrupa Konseyi Genel Sekreterliği Avrupa Konseyi üye ülkelerini, bu anlaşmanın detaylarına dahil üye olmayan ülkeleri olduğu gibi bu Anlaşmaya onay veren davetli herhangi bir ülkeyi aşagıdakiler hakkında haberdar eder

a. Herhangi bir imza

b Herhangi bir onay, kabul veya katilim için verilen belge

c Madde 36 ve 37 ile ilgili olsak bu Anlaşmaya yapılan herhangi bir katilimin yürürlüğe giris tarihi.

d. Madde 42 ile ilgili olarak Madde 40altinda yapılan herhangi bir deklarasyon

e. Bu Anlasmayla ilgili herhangi diğer bir işlem, bildiri ve görüşme

Tam yetki ile donanmış olup aşağıdaki imzası bulunan tanıklığında işbu Konvansiyon imzalanmıştır

Budapeşti de 2001 Kasımının 23 üncü günü, her iki versiyonuda orijinal olmak üzere ingilizce ve fransızca olarak yapılmış ve orijinal nüshası Avrupa Konseyi arşivlerinde saklanacaktır. Avrupa Konseyi Genel Sekreterliği onaylanan kopyaları Avupa Konseyi üye Ülkelerinin, üye olmayıp bu anlaşmanın detaylarına dahil olan Ülkelerin ve davetli olup katılan Ülkelerin her birine yollayacaktır.

Olay yerinde bulunabilecek fiziksel delilleri:

*Bilgisayar Sistemleri (desktop, laptop, server)
*Bilgisayar Bileşenleri (HDD, Memory)
*Erişim Kontrol Araçları (Smart kartlar, dongle, biometrik tarayıcılar)
*PDA ve Palm Cihazları
*Harici Harddiskler
*Hafıza Kartları
*Network Araçları (Modem, Switch, Router)
*Yazıcılar,Tarayıcılar ve fotokopi makinaları
*Çıkarılabilir Yedekleme Üniteleri (Disket, CD, DVD, USB)
*Kredi Kartı Okuyucuları
*Dijital Saatler, Dijital Kameralar
*Çağrı Cihazları, Telefonlar

Fiziksel deliller kolay zarar görecek deliller oldukları için alındıkları yerde fotoğraf makinası veya video kamera ile kaydedilerek kuralına uygun olarak paketlenip gerekli incelemenin yapılması için laboratuvara gönderilmelidir.Fiziksel deliller laboratuvarda incelenerek suçun aydınlatılmasında gerekli olan diital deliller elde edilir. Bilgisayardan alınan loglar, Msn konuşmaları vb. önemli kayıtlar dijital delil kapsamına girer.

R. GÜÇLÜ
Bilişim Suçları Uzmanı
Olay Yeri İnceleme Uzman Yrd.

Eğer Msn ve Facebook hesabı ele geçirilen kişiyi belli bir davranışı yerine getirme zorlama veya tehdit amacıyla yapılırsa, önceki cezaya ek olarak, “şantaj” suçu da oluştuğundan, TCK.nun 107. maddesi uyarınca bir yıldan üç yıla kadar hapis ve beşbin güne kadar adli para cezasına çarptırılması söz konusudur.

Msn ve Facebook hesabı hackleme kişinin huzurunu bozmak ve ona sıkıntı vermek amacıyla yapılmışsa önceki cezaya ek olarak TCK.nun 123. maddesi gereğince gereğince faile üç aydan bir yıla kadar hapis cezası verilebilecektir.

Ek olarak TCK.nun 124. maddesinde düzenlenen “haberleşmenin engellenmesi suçu” da oluştuğundan, failin önceki cezalara ek olarak altı aydan iki yıla kadar hapis veya adli para cezasına çarptırılması söz konusu olabilecektir.

Msn ve Facebook hesabı ve bununla birlikte e-posta hesabı ele geçiren kişi haberleşmenin gizliliğini de ihlal etmiş olacağından, TCK.nun 132. maddesi uyarınca önceki cezalara ek olarak, altı aydan iki yıla kadar hapis veya adli para cezası ile cezalandırılabilecektir. Ele geçirilen haberleşme bilgileri ayrı bir yerde kaydedildiği takdirde ise bu ceza maddenin devamındaki hükümlere göre bir yıldan üç yıla kadar ceza hapis cezasına dönüşebilecektir. Ayrıca bu haberleşme bilgileri hukuka aykırı olarak ifşa edildiği takdirde TCK. 124/II uyarınca bir yıldan üç yıla kadar hapis cezası söz konusu olacaktır.

Ayrıca Msn ve Facebook hesabı hackleme özel hayatın gizliliğini ihlal suçu kapsamına girdiğinden failin TCK.nun 134.maddesi uyarınca altı aydan iki yıla kadar hapis veya adli para cezası ile cezalandırma söz konusu olabilecektir.
Sayılan suçlar failin sahip olduğu özel bilgi ve beceriyi kullanması sayesinde işlenmişse -ki bu suçun işlenmesi her halukarda böyle değerlendirilebilir- faile verilecek ceza yarı oranında artırılacaktır.

Msn ve Facebook Hesabınızın ele geçirilmesi halinde Msn ve Facebook hesabınızı ele geçiren kişi hakkında Türk Ceza Kanunun yukarıda belirtilen maddelerinden hakkında dava açılarak her suç için öngörülen cezalar toplanıp, Msn adresinizi veya Facebook hesabınızı ele geçiren kişi veya kişilere ceza olarak verilecektir. Artık Msn ve Facebook hesabı hacklemek çok kolay…

BİLİŞİM SUÇLARINDA GÖREVLİ MAHKEME 1 Haziran 2005 tarihinde yürürüğe giren 5237 sayılı Yeni Türk Ceza Yasasında 243 -246. maddeleri arasında düzenlenen Bilişim Suçlarına bakmakla görevli mahkeme kanunun metninde tayin edilmemiştir.Dolayısı ile bu konuda Ceza Hukukunun yargılamaya ilişkin genel görevle ilgili kuralları uygulama alanı bulacaktır.Buna göre; Sulh Ceza ve Ağır Ceza Mahkemelerinin görevleri dışında kalan,özel yasasında Asliye Ceza Mahkemesince görülüp karara bağlanacağı açıklanan veya özel yasasında hangi mahkemede görülüp karara bağlanacağı açıklanmamış olmakla birlikte Sulh ve Ağır Ceza Mahkemesinin görevi içinde bulunmayan bütün ceza davalarına bakmakla görevli olan Asliye Ceza Mahkemeleri, BİLİŞİM SUÇLARINA bakmakla da görevli mahkemeler olacaktır. Yeni Türk Ceza Yasasının Bilişim Suçlarıile ilgili düzenlemeleri incelendiği vakit görev alanları Kanunla belirtilmiş olan Sulh Ceza Mahkemeleri ile yine görev alanları yasa ile belirlenmiş olan Ağır Ceza Mahkemelerinin görev tanımı ile ilgili bir ilişkilendirme yapılmadığı,suçun hangi mahkeme tarafından bakılacağının belirtilmediği görülecektir.Dolayısı ile yukarıda da arz edildiği üzere görev alanları belirtilmemiş bu suçlara ait yargılamaya genel görevli mahkeme olan ASLİYE CEZA MAHKEMELERİ tarafından bakılacaktır.Nitekim uygulamada bu şekilde davalar görülmekle birlikte yargılamaya ilişkin görev yönünden uyşmazlık çıkmamaktadır.

BİLİŞİM ŞUÇLARINDA YER YÖNÜNDEN YETKİLİ MAHKEME; Bilişim Suçlarında yer yönünden yetkili mahkemenin tayininde Ceza Usul Kanunun 12.maddesinin 1.ve 2.fıkraları uygulama alanı bulacaktır. CMUK-12 MADDE: 1-Davaya bakmak yetkisi Suçun işlendiği yer mahkemesine aittir. 2-Teşebbüste son icra hareketinin yapıldığı,kesintisiz suçlarda kesintinin yapıldığı yer mahkemesi yetkilidir. Seçimlik hareketli fiiller ile işlenebilen Bilişim Suçları teşebbüse de müsait suçlardır.Dolayısı ile Yer yönünden yetkili mahkemeninin tayininde CMK 12 maddenin 1-2. fıkralarının işlerliği Farklı olabilecektir. A-243/1-Bilişim Sisteminin Bütününe veya bir kısmına hukuka aykırı olarak girme veya orada kalma Yeni Türk Ceza Kanunun 243/1. maddesine yönelik suçun işlenmiş olduğu her durumda yer yönünen yetkili mahkeme genel kural gereği şuçun işlendiği yer Mahkemesi yani ‘’Bilgileri otomatik işleme tabi tutulmuş sistemin tamamına yada bir kısmına hukuka aykırı olarak girme ’’şeklinde gerçekleşen fiilin işlendiği yer mahkemesi olan Asliye Ceza Mahkemesi olacaktır. 243/1 fıkrada belirtilen seçimik hareketli suçun diğer bir işlenme şekli olan bilişim sistemine girmenin yanında orada kalma şeklinde de işlenebilmesi halidir.Yani sisiteme yasa dışı girmek suçu oluşturuken sistemde yasa dışı kalmakta suçun oluşumunu sağlayacaktır.Kalmak fiili ise Ceza hukukunda eylem olarak ,devam eden eden, süreklilik(kesintisiz) arz eden hareket gruplarındandır.Dolayısı ile CMK 12-2 Maddesi gereği ‘’kesintisiz suçlarda kesintinin başladığı yer mahkemesi’’ görevli olacaktır. Teşebbüs halinde ise son icra hareketin yapıldığı yer mahkemesi yer yönünden yargılamayı yapacak olan mahkeme olacaktır. B-244/1Sistemi engelleme,bozma,veri yerleştirme,verileri yok etme,verileri değiştirme şeklinde birden fazla seçimlik hareketle suçun işlenebileceğini netice itibari ile engelleme,bozma,yerleştirme yok etme,değiştirme fiillerinin işlendiği yer mahkemesi davayı görecektir.Teşebbüse müsait olup CMK 12 Maddesinin 1 ve 2.fıkraları uygulama bulacaktır. C-245/1Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa,şeklinde tanzim edilen bu bu şuçta cezalandırılan hareket kullanma ,kullandırtma sonucu kendisi veya başkasına menfaat temini şeklinde düzenlenmiş olup bu hali ile kullanma kullandırma fiilinin işlendiği yer mahkemesi yargılamada yer yönünden yetkili mahkeme olacaktır. TCK 245/1 Teşebbüsse müsait bir suç tipi olup suçun teşebbüs aşamasında kalması halinde ise genel kural gereği son icra hareketinin yapıldığı yer mahkemesi yer yönünden yetkili mahkeme olacak ve yargılamayı yürütecektir. D-245/2Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi,şeklinde düzenlenen bu fıkra 245/1 in ağırlaştırılmış halini tanzim etmiş olup yasa menfaat teminini cezalandırmaktadır.Suç, Sahte oluşturulan veya üzerinde sahtecilik yapılan banka yada kredi kartını kullanmak sureti ile kendi yada başkasına menfaat teminin sağlandığı anda oluşacaktır.Suça teşebbüs hali mümkündür.Bu fiilden dolayı yer yönünden yetkili mahkeme sahte veya sahtecik yapılan banka yada kredi kartının kullanıldığı yer fiilin işlendiği yer olarak kabul edilecek dolayısı ile bu yer mahkemesi CMK 12/1 gereği yer yönünden yetkili mahkeme olacaktır.

Engelleme veya Zarar Verme: Bu saldırı türünde, bilgiye Erişim engellenir. Bilgi ya kaybolmuştur / silinmiştir; ya kaybolmamıştır, ama ulaşılamaz durumdadır; veya kaybolmamıştır ve ulaşılabilir durumdadır, ama yetkili kullanıcılar tarafından kullanılamaz durumdadır (örn: donanımın kırılması, veya DoS veya DDoS gibi Erişim Reddi saldırıları).

Değişiklik Yapma: Bu saldırı türü, bilginin yetkili Kullanıcıya ulaşmadan önce saldırganın Amaçları doğrultusunda bilgide değişiklik yapmasını içerir. Program kodları, durgun veri, veya aktarılmakta olan veri üzerinde yapılması mümkündür (örn: virüsler ve truva atları).

Üretim: Bu saldırı türü, gerçekte olmaması gereken verinin üretilmesini içerir. Üretilen veri, daha önceki gerçek bir verinin taklidi olabileceği gibi, gerçeğe uygun tamamen yeni bir veri şeklinde olabilir (örn: sahte veri, ya da veri taklidi).
Bunların yanısıra saldırıları aktif ve pasif olmak üzere de gruplandırmak mümkün. Izinsiz Erişim türündeki saldırılar pasif grupta, diğer saldırılar aktif saldırı grubunda yer alır.
Güvenlik Amaçları
Kullanıcılar için değerli, saldırganlar için ise birer hedef olan yazılım, donanım ve veriye saldırı türlerinden bahsettikten sonra, bu saldırılara karşı yapılan savunmada amacın ne olduğundan bahsedelim. Bilgiyi korurken hangi amaçlara ulaştığımızda bilginin korunmakta ve “güvenli” olduğunu söyleyebiliriz? Örneğin bir antivirüs programı ile virüslerden korunması amaçlanan, veya bir ateşduvarı kurulmuş Kişisel bir bilgisayar için “güvenli” denilebilir mi? Ya da hangi durumlarda bilginin “güvenli” oluşundan bahsedebiliriz. Bu soruların cevapları için öncelikle koruduğumuz sistemler için korunduklarını ölçebileceğimiz amaçlar koymak gerekir. Bu amaçlar genel olarak, korunmakta olan bilginin gizliliği, bütünlüğü, ve ulaşılabilirliği olarak ifade edilebilir.
Bilginin gizli oluşu demek, yani gizlilik amacı, bilgiye sadece izin verilen kişilerin izin verilen yollarla erişimi anlamına gelir. Burdaki Erişim, okumaya yönelik bir erişimdir (örn: kopyalama, yazıcıdan çıkarma, Basılı durumdaki bilgi için fotokopi). Hatta bazı durumlarda bir bilginin varlığının bilgisi dahi kısıtlama altında olabilir. Yani yetkisi olmayan kişilerin herhangi bir bilginin varlığının bilgisine erişimleri dahi gizlilik amacının bir ihlali olabilir. Bu amacı ihlal etmeye yönelik saldırı türü izinsiz erişimdir.
Bilginin bütün oluşu, duruma göre bir çok anlama gelebilir. Özel durumlar için bilginin bütünlüğü, özel şeyleri ifade etmek için kullanılabilir. Bütün oluştan kasıt, bilginin herşeyden önce doğru ve kesin oluşu, şüphe uyandırmayan bir durumda oluşudur. Bilgi aynı zamanda değiştirilemez olmalı, bir başka deyişle, sadece izin verilen yani yetkisi olanlarca, ve sadece izin verilen yollarla değiştirilebilmelidir. Bilginin anlamlı ve tutarlı oluşu, kendi içinde çelişik olmaması da bilgi bütünlüğündeki amaçlar olarak sıralanabilir. Bilginin bütünlüğünü ihlale yönelik saldırı türleri engelleme veya zarar verme, değişiklik yapma, ve üretim olabilir.
Bilginin ulaşılabilir oluşu, en az bilginin gizlilik ve bütünlük Amaçları kadar önemli bir amaçtır. Ulaşılabilirlik demek, bilginin yetkili kişilerce erişilebilir olmasının yanında kullanılabilir de olması demektir. Aynı zamanda bilgi kullanıcılar tarafından zamanında ulaşılabilmeli, ve ulaşım Sırasındaki kaynak paylaşımı izin verilen şekilde olmalıdır. Ulaşılabilirliğe yönelik saldırı türleri engelleme veya değişiklik yapma şeklinde olabilir.
Güvenlik Açıkları
Donanımın maruz kalabileceği iki saldırı türü bulunur: Zarar Verme ve İzinsiz Erişim. Zarar verme nerdeyse her seferinde izinsiz Erişim sonucu olur. Ama İzinsiz erişimin olmadığı durumlarda da zarar verme saldırısı olabilir; bu tür saldırıların içeriden, örneğin bizzat donanımdan sorumlu Kişisel tarafından yapılması mümkündür. Bu noktada donanıma yönelik verilebilecek zararları kasıtsız ve kasıtlı olmak üzere ikiye ayırmak da mümkün: Kasıtlı zararlar, çalınma, parçalama, kırma, bozma gibi önceden planlanarak yapılan eylemleri içerir.
Kasıtsız zararlar ise çoğunlukla ihmal ve umursamazlık sonucu ortaya çıkan kazalar olabileceği gibi, yıldırım düşmesi, veya yangın gibi doğal olmayan bir afet sonucu da olabilir ve sel gibi doğal afetler deprem. Bilgisayarın yakınında yiyecek ve içecek bulundurmak, en sık yapılan ihmallerden biridir. Bunun yanında küçük böceklerin elektronik devrelere girerek kısa devreye yol açması, ya da farelerin kabloları kemirmesi de rastlanan durumlar arasındadır. Temizliğin ihmali sonucu Oluşan Biriken Tözün yine devrelere ve güç kaynağına, özellikle soğutucu sistemlerde bulunan hareketli parçaların çalışmasını engellemesi hiç de düşük bir Probability değildir. Ya da küçük dikkatsizlikler Çok basitçe hor kullanım (statik elektrik gibi) bile bilgisayarların donanımına zarar verebilir. Donanım çoğunlukla hassas elektronik devrelerden oluşur, ve taşırken veye fiziksel bir müdahelede, olağandan biraz daha fazla dikkat edilmesi gerekir. Kasıtsız zararlar, kasıtlı zararların aksine kötü niyetle yapılan saldırılar değildir, fakat Yol Açtığı Kayıplar, kötü niyetli bir saldırganın verdiği kayıptan çok daha fazla olabilir.
Yazılımın maruz kalabileceği saldırılar arasında, silinme baş sırayı almaktadır. Silinme de kasıtlı veya kasıtsız olabilir. Kullandığınız işletim sisteminin yönetici yetkilerindeki kullanıcısını (örn: Windows için Administrator, Unix için root kullanıcısı), sadece ihtiyacınız olduğunda kullanmalı, diğer zamanlardaki olağan işlerinizi, normal yetkilerde, yani Yetkileri kısıtlandırılmış olan bir kullanıcı ile gerçekleştirilmelisiniz. Özellikle sistem yöneticilerine sıkça yapılan bu hatırlatmanın amaçlarından biri, Yanlışlıkla silinen Dosyaların en aza indirgenmesi içindir.
Yazılımın tek zayıflığı silinebilir olması değildir. Yazılım üzerinde aynı zamanda değişiklik de yapılabilir. Derlenmiş bir program üzerinde değişiklik yapmak metin bir dosya üzerinde değişiklik yapmaktan çok daha zor ve özel bir bilgi ve özel programlar kullanmayı gerektirir. Bununla birlikte, herhangi bir programın üzerinde değişiklik yapacak programlar yazılabilir. Belki de en çok kişinin aşina olduğu saldırı türü, aslında yazılıma yönelik değişiklik yapma saldırısıdır, virüsler ve truva atları bu amaçla hazırlanan programlardan başka bir şey değildir aslında. Virüsler belli bir amaca yönelik bu saldırıyı yaparlar, ve bu amaçlar çok değişik olabilir. Sadece bir ileti görüntüleyen virüsler de vardır, bütün bilgisayardaki dosyaları ulaşılmaz hale getiren virüsler de. Truva atları, genelde bulaştığı bir bilgisayarda, SALDIRGAN için sınırsız Erişim olanağı sağlar (bazı durumlarda Bilgisayarın başında normal yollarla yapılamayacak işlemlerin bile yapılabilmesine olanak TANIR). Truva atlarının varlığını anlamak virüslerden farklı olarak kolay olmayabilir, çünkü belirtileri tamamen truva atını koyan kişinin yapacaklarına bağlıdır, yine virüslerden farklı olarak truva atları kendi başlarına () yayılmazlar genelde.
Virüs ve truva atlarının yanında, yazılıma konmuş arka kapılar olabilir. Bunlar programı yazan kişi tarafından oluşturulmuş, ve programın Erişim sınırlamalarının ötesine geçme amacını taşıyor olabilir. Hatta sadece bilgi sızdırma amacıyla da yazılım üzerinde izinsiz değişiklik yapmak istenebilir.
Yazılıma yönelik bir başka açık, hırsızlıktır. Nispeten daha kolay kopyalanabilmesinden kaynaklanan lisanssız kullanım örnek olarak gösterilebilir .. Izinsiz kopyalama da bu anlamda Hırsızlığa dahil edilebilir. Yani mutlaka lisanssız kullanmak gerekmez, örneğin başkalarının lisanssız kullanabilmesine olanak tanımak da yazılıma yönelik bir saldırı olarak düşünülebilir.
Yazılım ve donanımın olduğu kadar, verinin de Açıkları, yani Zayıf Yönleri vardır. Herşeyden önce veri, niteliği gereği, zaman zaman yazılım ve donanımdan çok daha değerli olabilmektedir. Bu nedenle sık sık veriye erişimin kısıtlanması gerekebilir. Dolayısıyla veriye sadece izinsiz Erişim bile güvenliğini ihlal etme anlamına gelebilir. Konuşmaların dinlenmesi, yahut insanları ikna yoluyla bilgi sızdırma gibi, hiç de “olmayan yollarla yapılabileceği gibi, telefon dinleme teknolojik,” (Ağda aktarılan verinin bir kopyasının çıkarılması), gibi değişen teknolojide araçlar kullanılarak da yapılabilir Kayıt Cihazları, “Ağ koklama ses. İzinsiz erişimin yanı sıra, veriye Erişim engellenebilir, veya veride / veya kullanılmaz hale getirilebilir değişiklik yapılarak ulaşılamaz ve. Sahte veri üretimi ya da özgün verinin kopyalanarak amaca yönelik değişiklik yapılması, yani veri taklidi de veriye yönelebilecek saldırı türleri arasındadır.
Gerektiği Kadar Koruma İlkesi
Yazılım, donanım ve veri gibi, sizin için değeri olan şeyleri, sadece değerleri geçerli olduğu sürece korunmalı, ve koruma için harcanan para, çaba ve süre kendilerinden daha değerli olmamalı.
Bu ilkedeki amaç, korumanın anlamsýz olduğu şeyleri korumamaktır. Örneğin, bir çok işletim sisteminin Varsayılan yapılandırmasındaki kurulumunda, yüksek olasılıkla kullanmayacağınız bir çok hizmet programı da kurulur, ve otomatik olarak çalıştırılır. Kullanmadığınız Hizmetlerin zayıflıkları yoluyla bilgisayar sisteminizin güvenliğini tehlikeye atmamak için iki seçenek vardır: Ya çalışmakta olan bu hizmet programının güvenliği için de para, çaba ve süre unsurlarından bir veya birkaçını kullanacaksınız, ya da basitçe kullanmadığınız tüm hizmet Programlarını kapatacaksınız. Hizmet programları, genelde birden fazla kullanıcının kullanmasına yönelik olduğu için, kişisel bilgisayarınızdaki tüm hizmet Programlarını kapatmak isteyebilirsiniz (Tabii ki işletim sisteminin çalışması için gereken en az sayıda hizmet programının çalışmasına izin vermek şartıyla).
Yine aynı ilkenin bir diğer sonucu, koruduğunuz şeyin güvenliği ihlal edildiğinde, yerine koymak için uğrayacağınız zarardan daha yüksek bir Karşılığı, o şeyi korumak için harcamamaktır. Yani büyük olasılıkla evinizde kullandığınız Kişisel bilgisayara yüzbinlerce dolarlık bir ateşduvarı yazılımı kurmanız gereksizdir.
SALDIRGAN Grupları
Saldırılardan ve saldırganlardan çokça bahsedilmesine rağmen, genelde tam olarak somut örneklerden aynı çoklukta bahsedilmez. Bilgisayarlarımıza girmek isteyen, “kötü adam” ları şu şekilde gruplandırmak mümkün:
Amatörler: Bu grupta yer alan saldırganlar, aslında sıradan bilgisayar kullanıcılarından başkası değildir. Bu tür saldırılarda genelde saldırının Oluş şekli sistemdeki bir açıklığı farkedip yararlanma şeklinde olur. Örneğin, bir Unix sistem üzerindeki bir kullanıcının / etc / passwd dosyasının Erişim izinlerinin uygun olduğunu görüp dosyayı silmesi gibi. Veya aynı şekilde bir başka kullanıcının sistem üzerinde kendine bir dosya sınırlaması olmadıgını farkedip yüzlerce MB boyutundaki bir dosyayı sisteme indirmesi gibi. Çok küçük açıklar olarak görünse de, ilk örnek sisteme yönetici (root) dahil kimsenin girememesine; ikinci örnek ise, Dosyanın bulunduğu disk bölümüne göre, programların çalışmamasından, sistemde kimsenin e-mektup alamamasına kadar varan sonuçlara yol açacaktır. Amatörlerin genel olarak saldırılarını çok fazla planlamadıkları söylenebilir.

Kırıcılar (Cracker): Bu grupta yer alan saldırganlar çoğunlukla bir lise veya üniversite öğrencisinin merak duygusuna sahiptirler. Çoğunlukla yanlış bir biçimde “hacker” olarak adlandırılan bu grubun doğru isimlendirmesi “cracker” olup, saldırılarını amatörlere göre biraz daha PLANLI ve Programlı yapan kisilerden oluşur. Saldırının çok belirli bir amacı olmayıp, merak etme, yapılabildiğini gösterme, ya da sırf yapmış olmak için yapma gibi amaçlar olabilir. Açıkları tesadüfen farkedebildikleri gibi, aslında yaptıkları plan ve program sistemin açıklarını bulmaya yönelik bir uğraştır. Bilgisayar sistemlerini “KIRMAK” için uğraştıklarından dolayı bu grubu “Kırıcılar” olarak adlandırmak da mümkün.

Profesyonel suçlular: Bu gruptaki saldırganlar, yukarıdaki iki grubun aksine, güvenlik kavramlarını ve amaçlarını anlayan, ve bozmaya yönelik eylemler içinde bulunan kişilerdir düzenleyebilirsiniz. Birden fazla kisilerden Oluşan ekipler kurarak güvenliği bozmaya yönelik saldırılar gerçekleştirebilirler. Belki sayıca değil ama nitelik açısından en tehlikeli grubu oluşturdukları söylenebilir, çünkü bu kişiler yaptıkları iş karşılığında para kazanırlar. Saldırıların hedefleri önceden belirlidir, PLANLI ve organize şekilde saldırıda bulunurlar.
Savunma Denetimleri
Güvenliğin amaçlarını açıkladıktan, hedeflere kimler tarfından ne tür saldırıların olabileceğini, saldırganların hedeflerinin zayıf noktalarını inceledikten sonra, artık savunmaya yönelik neler yapılabilir tartışabiliriz.
En güçlü savunma yöntemlerinden biri şifrelemedir. Özellikle verinin şifreli biçimde tutulması, veriye olan izinsiz erişimi anlamsýz hale getirir. Ayrıca şifreleme, Kimlik Doğrulama ve kimliğin inkar edilememesi gibi Doğrulama mekanizmalarında da önemli bir yoldur. Şifreleme yalnız başına etkili olmadığı gibi, yanlış veya dikkatsiz kullanım sonucu kendisi bir güvenlik Açığı haline gelebilir. Örneğin, açık Anahtarlı şifreleme tekniğinde iki anahtar vardır, biri herkese açık, diğeri sadece kişiye özeldir. Bütün açık Anahtarlı şifrelemenin güvenliği kişiye özel anahtarın ne denli iyi korunduğuna bağlıdır. İyi korunmayan veya iyi seçilmemiş bir özel anahtar, kolayca bulunup şifreli verinin şifresi çözülebilir. Üstelik şifreli olduğu için iyi korunduğu Varsayılan bilgi için aslında olmayan bir güvenlik varmış gibi görünür. Bu yüzden şifreleme kullanırken diğer güvenlik önlemlerini gözden kaçırmamak gerekir.
Savunmaya yönelik diğer bir denetim, yazılım denetimidir. Özellikle birden fazla kullanıcının kullanması düşünülen yazılımlarda, Yazılımın iç güvenlik denetiminin beklendiği gibi çalıştığından emin olunmalıdır. Yazılım kimlik doğrulamayı düzgün yapabilmeli, ve buna uygun Erişim sınırlamalarını eksiksiz yerine getirebilmelidir. Yazılımın bunu yapamadığı durumlarda işletim sistemi bu denetimi devralmalı, ve Yazılımın yetki sınırını aşmadığını garantileyebilmelidir. Yazılım Geliştirme aşamasında yapılan tasarım, kodlama, sınama, ve yazılımdaki sorun gidermeye yönelik bakım işleri standartlara bağlı olmalı, buna uygun bir yordam hazırlanmış olmalıdır.
En az yazılım denetimi kadar önemli bir diğer savunma yolu donanımın denetimidir. Bu denetim için bazen çok basit ve masrafsız ama etkili çözümler üretilebilir: Kasaların kilit takılabilen türlerinin seçilmesi, ve kilitlerin sürekli Kasalar üzerinde tutulması, her şeyden önce kilitsiz bir Kasaya göre çok daha caydırıcı bir etki sağlar. Belki kilit kasanın açılamamasını sağlamaz, ama açılan bir kasanın çok daha çabuk farkedilmesini sağlayacaktır, çünkü büyük olasılıkla açılmanın fiziksel izleri daha belirgin olacaktır.
Elbetteki korunan bilginin değerine göre donanıma olan fiziksel erişimi kısıtlanmak ve denetim altında tutmak için daha gelişmiş yollar da kullanılabilir (örn: akıllı kart ya da diğer gelişmiş Kimlik Doğrulama sistemleri gibi). Çok gelişmiş bir sistem kullanılması bilginin değeriyle orantılıdır, fakat en azından donanımın bulunduğu oda kapılarının kilitli tutulması, güvenlik personelinin görevlendirilmesi gibi önlemler, donanıma yönelik izinsiz Erişim ve zarar verme saldırılarının çoğunu engelleyebilir, yine bir çoğunda da caydırıcı etki sağlayabilir. Elbette donanımın fiziksel güvenliğini sağlarken yedeklerin fiziksel güvenliğini de göz ardı etmemek gerekir. Deprem kuşağında bulundurulmaması da rastlanan güvenlik önlemleri arasındadır Yine korunan bilginin değerine göre, birden fazla yedek tutmak, ve hatta tutulan iki yedek kopyanın aynı yerde tutulmaması gibi yordamları da oluşturabilirsiniz (bazı durumlarda bu iki yedek kopyanın aynı şehirde veya aynı).
Bütün bu savunma yollarını belirleyip karar vermek, ve denetimlerin uygulandığından emin olmak bir güvenlik politikası hazırlamak ile mümkündür. Aslında herhangi bir kurum / kuruluşun güvenliğini ve güvenilirliğini sağlamak bir güvenlik politikası hazırlamak ile başlar. Bu konuda Kanunlar çoğu durumda yetersiz kalır, çünkü Kanunlar teknolojik gelişmeye oranla daha yavaş kalır. Etik kurallar oluşturulabilir, fakat etik kuralların da tek başına yaptırım gücü yoktur, ya da çok azdır, çünkü bu her şeyden önce “resmi” kurallar değildirler kurallar. Dolayısıyla, güvenlik politikası hazırlamak, hazırlanan güvenlik politikasına uygun yordamlar oluşturmak güvenliği oluşturmada ilk adımdır.
Özet olarak, güvenlik politikanız yoksa güvenliğiniz yok demektir.
Etkili Savunma Denetimi Oluşturma
Yukarıda bahsedildiği gibi savunma ilk adımı bir güvenlik Politikasının oluşturulmasıdır. Fakat Politikasının Güvenlik ve savunmaya yönelik diğer güvenlik denetimlerinin güvenliği sağlamada etkili olabilmesi için bir kaç noktayı akıldan çıkarmamak gerekir.
Bunlardan ilki, ve bütün güvenliğin temeli, sorunun farkında olmaktır. Güvenliği sağlamak bir sorundur, ve bu sorunun farkında olmak, çözüme yönelik atılacak ilk adımdır. Sadece kullanıcı veya sistem yönetimi bazında değil, idari yönetim bazında da sorunun farkına varma, ve çözüme yönelik eylemler için Katkıda bulunma isteği tabanı oluşturulmadan, bilişim teknolojileri unsurlarının güvenliğini sağlamak mümkün değildir. Sorunun anlaşılması, aynı zamanda çözüm için gereken bir başka şeyi de kolaylaştırır: İşbirliği. Herhangi bir kurum / kuruluşta güvenliği sağlamak için kullanıcıların, sistem / güvenlik yöneticilerinin ve idari yönetimin İşbirliği içinde olması şarttır. İşbirliği içinde oluşturulan savunma denetimleri her zaman daha etkilidir.
Elbette savunmaya yönelik denetim oluştururken, kullanılabilecek denetim oluşturmaya özen göstermek gerekir. Kullanıcıların çabucak anlayabileceği, ve uygulayabilmek için istekli olacakları denetimler oluşturulmadığı sürece, bu denetimler kağıt üzerinde kalacak, ve hayata geçirilmesinde başarı sağlanamayacaktır. Abartılı bir örnek vermek gerekirse, 2 günde kullanıcıların bir parolalarını değiştirmelerini Öngören bir kuralın, uygulanamayacağı nerdeyse kesindir.
Son olarak, oluşturulan denetimlerin düzenli aralıklarla gözden geçirilmesi, aksayan noktaların bulunması ve düzeltilmesi, yani savunma denetimlerinin kendisinin düzenli aralıklarla denetlenmesi, gerektiği durumlarda yenilenmesi, ekleme veya çıkarma yapılması, bilişim güvenliğine yönelik oluşturulan denetimlerin teknolojinin gerisinde kalmaması açısından son derece önemlidir.
Güvenlik, örneğin kurulan bir program veya bir defaya mahsus alınması gereken bir kaç önlemler topluluğu değildir. Herhangi bir sistem için “güvenliği sağlandı, artık yapılması gereken bir şey yok” denemez. Güvenlik, içinde sürekliliği taşır. Güvenliğin kendisi bir süreçtir, üstelik oldukça uzun bir süreçtir. Güvenlik, ne kadar sürekli altında tutulması gereken bir olgu olarak anlaşılırsa, bilişim denetim sistemlerinin güvenliğini korumada oluşturulacak savunma denetimleri de o kadar etkili olur.
Bilişim Teknolojileri, Şimdiye tek hızla gelişmiş, şu anda hızla gelişen, ve Gelecekte de hızla gelişmeye devam edecek gibi görünen konuları içerir. Temel güvenlik kavramlarını anlamak ve benimsemek, bu Hıza ayak uydurabilmek açısından son derece önemli. Bugün bir ateşduvarı, bir antivirüs yazılımı, veya basit şifreleme kullanımı, bir çok Kişisel Bilgisayarın veya sunucunun güvenliğini sağlamada etkili birer denetim olabilir, fakat bu yarın da aynı derecede etkili olacaklarının garantisi değildir.
Bilginin güvenliğini sağlamak ve özellikle hızlı teknoloji ile değişen şartlara uygun araç ve savunma denetimlerini belirleyebilmek için, temel bilgi güvenliği kavramlarının iyi anlaşılması ve yerleştirilmesi, şimdi olduğu kadar, Gelecekte de önemini korumaya devam edecek gibi görünmektedir.
Yazan: Tufan Karadere

MADDE 1 – Bu Kanunun amacı; banka kartları ve kredi kartlarının çıkarılmasına, kullanımına, takas ve mahsup işlemlerine ilişkin usûl ve esasları düzenlemek suretiyle kartlı ödemeler sisteminin etkin çalışmasını sağlamaktır.

Kapsam
MADDE 2 – Kartlı sistem kuran, kart çıkaran, üye işyeri anlaşması yapan kuruluşlar ile üye işyerleri ve kart hamilleri bu Kanun hükümlerine tâbidir.
Kendi işyerleri ile sınırlı olmak üzere, mal veya hizmetlerin vadeli satışı ile alıcının borç alacak durumunun izlenmesi amacıyla kart çıkaran veya sistem oluşturan veya herhangi bir kredilendirme işlemi yapılmaksızın veya hesaba bağlı olmaksızın önceden belirlenen bir tutarla sınırlı olmak üzere kart düzenleyen gerçek veya tüzel kişiler bu Kanun hükümlerine tâbi değildir.
Tanımlar
MADDE 3 – Bu Kanunun uygulanmasında;

a) Kurul: Bankacılık Düzenleme ve Denetleme Kurulunu, b) Kurum: Bankacılık Düzenleme ve Denetleme Kurumunu, c) Banka: Mevduat bankaları ve katılım bankaları ile kalkınma ve yatırım bankalarını,
d) Banka kartı: Mevduat hesabı veya özel carî hesapların kullanımı dahil bankacılık hizmetlerinden yararlanmayı sağlayan kartı,

e) Kredi kartı: Nakit kullanımı gerekmeksizin mal ve hizmet alımı veya nakit çekme olanağı sağlayan basılı kartı veya fizikî varlığı bulunmayan kart numarasını,

f) Kartlı sistem kuruluşu: Banka kartı veya kredi kartı sistemi kuran ve bu sisteme göre kart çıkarma veya üye işyeri anlaşması yapma yetkisi veren kuruluşları,

g) Kart çıkaran kuruluş: Banka kartı veya kredi kartı düzenleme yetkisini haiz bankalar ile diğer kuruluşları,

h) Üye işyeri anlaşması yapan kuruluş: Banka kartı veya kredi kartı kabulünü sağlamak amacıyla işyerleriyle anlaşma yapan bankalar ya da kuruluşları,

i) Üye işyeri: Üye işyeri anlaşması yapan kuruluşlar ile yaptığı sözleşme çerçevesinde kart hamiline mal ve hizmet satmayı veya nakit temin etmeyi kabul eden gerçek veya tüzel kişiyi,

j) Kart hamili: Banka kartı veya kredi kartı hizmetlerinden yararlanan gerçek veya tüzel kişiyi,

k) Harcama belgesi: Banka kartı veya kredi kartı ile yapılan işlemler ile ilgili olarak üye işyeri tarafından düzenlenen, kart hamilinin işlemden doğan borcu ile diğer bilgileri gösteren ve kart hamilinin kimliğinin bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemle belirlendiği haller dışında kart hamili tarafından imzalanan belgeyi,

l) Nakit ödeme belgesi: Bankalarca veya yetkili üye işyerlerince banka kartı veya kredi kartı hamiline yapılan nakit ödemelerde düzenlenerek, kart hamilinin kimliğinin bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemle belirlendiği haller dışında kart hamili tarafından imzalanan belgeyi,

m) Son ödeme tarihi: Kart hamilinin, dönem borcunu veya ödemesi gereken asgarî tutarını gecikmeye düşmeden ödeyebileceği son günü,

n) Dönem borcu: Hesap kesim tarihine kadar oluşan borç ve alacak kayıtlarının bakiyesi ile önceki hesap özeti bakiyesinin toplamını,

o) Asgarî tutar: Dönem borcunun ödenmesi gereken en az tutarını,

p) Alacak belgesi: Banka kartı veya kredi kartı kullanılarak alınmış olan malın iadesi veya hizmetin alımından vazgeçilmesi veya yapılan işlemin iptali halinde kart hamilinin hesabına alacak kaydedilmek üzere üye işyeri tarafından düzenlenen belgeyi,

r) Bildirim, talep, şikâyet ve itirazlar: Kart hamilinin yazılı olarak, elektronik ortamda veya telefon ile yapacağı bildirim, talep, şikâyet ve itirazları, ifade eder.

İKİNCİ BÖLÜM
İzne Tâbi İşlemler
Faaliyet izni

MADDE 4 – Kartlı sistem kurma, kart çıkarma, üye işyerleri ile anlaşma yapma, bilgi alışverişi, takas ve mahsuplaşma faaliyetinde bulunmak isteyen kuruluşların Kuruldan izin almaları şarttır.
Bu kuruluşların;

a) Anonim şirket şeklinde kurulması, b) Kurucularının gerekli malî güç ve itibara sahip bulunması, işin gerektirdiği dürüstlük ve yeterliliğe sahip olması ve banka ortaklarında aranan diğer nitelikleri haiz olması, c) Hisse senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması, tüzel kişi kurucuların yönetim ve denetimine sahip gerçek kişilerin kim olduğunun belgelenmesi,
d) Nakden ve her türlü muvazaadan arî olarak ödenmiş olan sermayesinin altı milyon Yeni Türk Lirasından az olmaması,

e) Ana sözleşmesinin bu Kanun hükümlerine uygun olması,

f) Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması, şikâyet ve itirazlarla ilgili birimleri oluşturması,

g) (d) bendinde belirtilen sermayenin yüzde beşi tutarındaki sisteme giriş payının Kurum hesabına yatırıldığına dair belgenin ibraz edilmesi şarttır.

Kuruluşların bu Kanun kapsamındaki faaliyetlerinin kurumsal yönetim hükümlerine uygunluğunu sağlaması zorunludur.

Merkezi yurt dışında bulunan kartlı sistem kuruluşlarının Türkiye’de şube ya da kredi kartı sistemi kurmamak, kart çıkarmamak ve üye işyeri anlaşması yapmamak kaydıyla temsilcilik açmaları Kurulun iznine tâbidir.

Bu maddenin uygulanmasına ilişkin usûl ve esaslar Kurumca çıkarılacak yönetmelikle düzenlenir.

Faaliyet izninin iptali

MADDE 5 – Kartlı sistem kurma, kart çıkarma, üye işyerleri ile anlaşma yapma, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının, 4 üncü maddede belirtilen şartları kaybetmesi, iznin gerçeğe aykırı beyanlarla alınmış olduğunun tespit edilmesi, iznin alınmasından itibaren altı ay içinde faaliyete geçilmemesi veya bir yıl içinde kesintisiz altı ay süre ile faaliyette bulunulmamış olması hallerinden birinin gerçekleşmesi halinde Kurul, bu Kanun kapsamındaki işlemlere ilişkin faaliyet iznini iptal edebilir.
Faaliyet izni verilmesine ilişkin kararlar ile verilmiş olan izinlerin iptaline ilişkin gerekçeli kararlar Resmî Gazetede yayımlanır.
Ana sözleşme, pay edinim ve devirleri

MADDE 6 – Kartlı sistem kurma, kart çıkarma, üye işyerleri ile anlaşma yapma, bilgi alışverişi, takas ve mahsuplaşma kuruluşlarının ana sözleşme ve değişiklikleri, pay edinim ve devirleri ve dolaylı pay sahipliğinin belirlenmesine ilişkin hususlar Kurulca belirlenir.
İzin başvurularının değerlendirilmes

MADDE 7 – Bu Kanun hükümleri uyarınca Kuruma yapılan izin başvuruları, denetimin etkin bir şekilde ifa edilmesine engel olabilecek nitelikte doğrudan veya dolaylı herhangi bir ilişkinin varlığı veya izne tâbi işlem için öngörülen koşulların, niteliklerin, yeterliliklerin izin başvurusu esnasında ya da değerlendirme sürecinde sağlanamaması veya kaybedilmesi halinde Kurulca reddedilir. Red kararları ilgililere gerekçeli olarak bildirilir.
ÜÇÜNCÜ BÖLÜMKart Çıkaran Kuruluşların Yükümlülükleri Kart çıkarma ve buna ilişkin yükümlülükler

MADDE 8 – Kart çıkaran kuruluşlar, talepte bulunmayan veya sözleşme imzalamayan kişiler adına hiçbir şekil ve surette kart veremezler. Bu kuruluşlarca genel müdürlük veya şube haricinde kredi kartı talebi toplanabilecek yerler Kurumun uygun görüşü alınarak Türkiye Bankalar Birliği ve Türkiye Katılım Bankaları Birliği tarafından müştereken belirlenir.
Asgarî tutarın son ödeme tarihini takip eden üç ay içinde ödenmemesi durumunda kart çıkaran kuruluşça kart hamiline yapılacak bildirimden itibaren bir aylık süre içerisinde bu tutarın ödenmemesi ya da banka kartı ile kredi kartı kullanımından dolayı adli cezaların uygulanması halinde, ilgili kart çıkaran kuruluşça kart hamiline verilen kredi kartları iptal edilir ve borcun tamamı ödeninceye kadar yeni kredi kartı düzenlenemez.
Kart çıkaran kuruluşlar, kartların düzenli ve güvenli kullanımı ile bildirim, talep, şikâyet ve itirazlara ilişkin gerekli tedbirleri almaya yönelik sistemi kurmak ve kesintisiz olarak açık tutmakla yükümlüdür.
Kart çıkaran kuruluşlar, kartın verilmesi anında kart hamilini yeteri derecede bilgilendirmek ve talep edilmesi halinde, gerçekleştirilmiş işlemlere ait kayıtları otuz günü geçmemek üzere işlemin mahiyetine uygun bir süre zarfında sağlamakla yükümlüdür. Yurt dışı işlemlerinde bu süre altmış gün olarak uygulanır.
Kart çıkaran kuruluşlar, kartların kullanılması bir kod numarası, şifre ya da kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa, bu tür bilgilerin gizli kalması amacıyla gerekli önlemleri almak ve harcama ve alacak belgesinin müşteri nüshası üzerinde ve yazışmalarda kart numarasının açıkça yer almasını engellemekle yükümlüdür.
Kart çıkaran kuruluşlar, banka kartı ve kredi kartlarının asıl kart hamiline teslim edilmesini sağlayacak önlemleri almak, reşit olmayan ek kart hamilleri adına düzenlenen banka ve kredi kartlarının asıl kart hamillerine teslimini sağlamakla yükümlüdür.
Kredi kartı limiti

MADDE 9 – Kart çıkaran kuruluşlar, kredi kartı almak isteyen kişilerin yasaklılık veya engel durumu, ekonomik ve sosyal durumu, aylık veya yıllık ortalama geliri, diğer kart çıkaran kuruluşlarca bu kişilere tahsis edilen kredi kartı limiti, bir model veya skorlama sistemi sonuçları, müşterini tanı ilkeleri ile 29 uncu madde çerçevesinde temin edilecek bilgileri dikkate alarak yapacakları değerlendirmeye istinaden kullanım limiti tespit etmek zorundadır. Kart çıkaran kuruluşlar kart limitlerini bu hüküm çerçevesinde güncelleyebilirler. Kart çıkaran kuruluşlar, kart hamilleri talep etmedikçe kart limitlerini artıramazlar. Kart hamillerinin harcamalarıyla kart limitlerini aşmaları halinde, aşılan miktara işlem tarihi ile ödeme tarihi arasındaki süre için, akdi faizden başka herhangi bir ücret talep edilemez.
Kart çıkaran kuruluş tarafından bir gerçek kişinin sahip olduğu tüm kredi kartları için tanınacak toplam kredi kartları limiti, ilk yıl için, ilgilinin aylık ortalama net gelirinin iki katını, ikinci yıl için ise, dört katını aşamaz. Bu fıkra uygulamasında bin Yeni Türk Lirasına kadar limitler hariç olmak üzere, aylık veya yıllık ortalama gelir düzeyi kart hamili tarafından beyan edilen ve ilgili kuruluşlarca teyit edilen gelirler üzerinden tespit edilir.
Kart hamilinin talebi üzerine üçüncü kişiler adına asıl karta bağlı ve asıl kart limitini aşmamak kaydı ile ek kredi kartı düzenlenebilir. Kurul, ikinci fıkrada yer alan sınırlama da dahil olmak üzere, kart çıkaran kuruluşların genel ve bireysel risk sınır ve oranlarını belirlemeye yetkilidir.
Hesap özeti

MADDE 10 – Kurulca belirlenecek usûl ve esaslar çerçevesinde, kredi kartı hesap özeti düzenlenmesi, yazılı veya kart hamilinin talebi üzerine elektronik ortam veya başka etkin yollarla bildirilmesi zorunludur.
Şikâyet ve itirazlar

MADDE 11 – Kart çıkaran kuruluşlar, kart ve ek kart hamillerinin kart kullanımıyla ilgili olarak yapacakları şikâyet ve itiraz başvurularını, başvuru tarihinden itibaren yirmi gün içinde hamilin başvuru yöntemi kullanılarak ve gerekçeli bir şekilde cevaplandırmak zorundadır. Kuruluşlar, kart ve ek kart hamillerinin şikâyet ve itirazlarının ilgili birimlerine kolaylıkla ulaşmasını sağlayacak tedbirleri almakla yükümlüdür.
Kredi kartı ile yapılan işlemlere, son ödeme tarihinden itibaren on gün içinde, kart çıkaran kuruluşa başvurmak suretiyle itiraz edilebilir. Kredi kartı hamili, yapacağı başvuruda, hesap özetinin hangi unsurlarına itiraz ettiğini gerekçesiyle belirtmek zorundadır. Süresi içerisinde itiraz edilmeyen hesap özeti kesinleşir. Hesap özetinin kesinleşmesi genel hükümlere göre dava hakkını ortadan kaldırmaz.
Kartın haksız kullanımı ve sigortalanması

MADDE 12 – Kartın ya da 16 ncı maddede belirtilen bilgilerin kaybolması veya çalınması halinde kart hamili, yapacağı bildirimden önceki yirmidört saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zararlardan yüzelli Yeni Türk Lirası ile sınırlı olmak üzere sorumludur. Hukuka aykırı kullanımın, hamilin ağır ihmaline veya kastına dayanması veya bildirimin yapılmaması hallerinde bu sınır uygulanmaz.
Kart çıkaran kuruluş, yapılacak talep ve ilgili sigorta prim bedelinin ödenmesi koşulu ile kart hamilinin birinci fıkrada belirtilen yüzelli Yeni Türk Lirası tutarındaki sorumluluğunun sigortalanmasını sağlamakla yükümlüdür. Kartların sigortalanması ve sorumluluğun paylaşılmasına ilişkin usûl ve esaslar Kurum tarafından çıkarılacak yönetmelikle belirlenir.
Kurumsal yönetime ilişkin hükümler

MADDE 13 – Kart çıkarma, bilgi alışverişi, takas ve mahsuplaşma faaliyetinde bulunan kuruluşların yönetim ve teşkilat yapısına, muhasebe ve raporlama sistemine ve kurumsal yönetime ilişkin usûl ve esaslar Kurulca belirlenir.
Kart çıkaran kuruluşlar, kredi kartlarına uyguladıkları faiz, gecikme faizi, yıllık ücret ve her türlü komisyon oranları ile istenilen diğer bilgileri kamuoyuna yayınlanmak üzere aylık olarak Kuruma iletir. Yayınlanacak bilgi ve belgelerin içeriği ve yayınlama usûl ve esasları Kurulca belirlenir.
Koruyucu hükümler

MADDE 14 – Kurul, bu Kanunun 4 üncü maddesi uyarınca faaliyet izni verilen kuruluşların varlıkları, alacakları, özkaynakları, borç, yükümlülük ve taahhütleri, gelir ve giderleri arasındaki ilgi ve dengelerin ve malî bünyeyi etkileyen diğer tüm unsurların ve maruz kalınan risklerin tespiti, tahlili, izlenmesi, ölçülmesi ve değerlendirilmesi amacıyla sermaye ve likidite yeterliliği de dahil sınırlamalar ve standart oranlar belirlemek suretiyle, gerekli düzenlemeleri yapmaya ve bunlar hakkında her türlü tedbiri almaya yetkilidir. Bu Kanunun 4 üncü maddesi uyarınca faaliyet izni verilen kuruluşlar, yapılan düzenlemelere uymak, belirlenen sınırlamaları ve standart oranları hesaplamak, tutturmak ve idame ettirmek ve bunlara ilişkin olarak Kurul tarafından istenen tedbirleri belirlenen süreler içinde almak ve uygulamakla yükümlüdür.
DÖRDÜNCÜ BÖLÜM
Kart Hamillerinin Yükümlülükleri
Kart kullanımına ilişkin yükümlülükler

MADDE 15 – Kart kullanımından doğan sorumluluk, sözleşme imzalandığı ve kartın zilyetliğine geçtiği veya fizikî varlığı bulunmayan kart numarasının öğrenildiği andan itibaren, kart hamiline aittir. Kartın imza hanesinin kart hamili tarafından imzalanmış olması zorunludur. Üye işyerinin talep etmesi durumunda kart hamili, kartın kullanımı sırasında kimlik belgesi ibraz etmek zorundadır. Bu Kanunun 20 nci maddesi uyarınca harcama belgesi düzenlenmeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla yapılan mal ve hizmet alımlarındaki hukuka aykırı kullanımlardan kaynaklanan zararlardan kart hamili sorumlu tutulamaz.
Bildirim zorunluluğu

MADDE 16 – Kart hamili, kendisine tevdi edilen kartı ve kartın kullanılması bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa bu bilgileri güvenli bir şekilde korumak ve başkaları tarafından kullanılmasına engel olacak önlemleri almak, kartın kaybolması, çalınması veya iradesi dışında gerçekleşmiş herhangi bir işlemi öğrenmesi halinde kart çıkaran kuruluşu derhal haberdar etmek zorundadır. Kart hamili adresinde meydana gelen değişiklikleri, değişiklik tarihinden itibaren onbeş gün içinde kart çıkaran kuruluşa bildirmekle yükümlüdür.
BEŞİNCİ BÖLÜM
Üye İşyeri ve Üye İşyeri Anlaşması Yapan Kuruluşlara İlişkin Yükümlülükler
Kartın kontrol ve kabulü

MADDE 17 – Üye işyerleri, kart hamillerinin yapmış oldukları mal ve hizmet alımlarının bedelini banka kartı ya da kredi kartı ile ödeme taleplerini kabul etmek zorundadır. Bu zorunluluk indirim dönemlerinde de geçerlidir. Üye işyerleri, kart hamilinden kartın kullanılması dolayısıyla komisyon veya benzeri bir isim altında ilave bir ödemede bulunmasını isteyemez. Bu hükme aykırı davranılması halinde, üye işyeri anlaşması yapan kuruluşlar tarafından üye işyeri sözleşmesi feshedilir ve bir yıl süreyle yeni bir sözleşme yapılamaz. Üye işyerleri, mal ve hizmet bedeli karşılığını banka kartı veya kredi kartı ile ödemek isteyen kişilerin imza gerektiren işlemlerde imza kontrolünü yapmak, kartın tahrifata uğrayıp uğramadığını kontrol etmek ve üye işyeri anlaşması yapan kuruluşlarca kendilerine ulaştırılan bilgiler çerçevesinde kartın geçerliliğini tespit etmekle yükümlü olup, gerekli durumlarda kart üzerinde yer alan bilgilerle kimlik belgesi üzerinde yer alan bilgileri karşılaştırmak üzere geçerli bir kimlik belgesi ibrazını talep etmek ve harcama belgesi üzerindeki bilgilerle kredi kartı üzerindeki bilgileri karşılaştırarak kontrol etmekle yükümlüdür. Bu kontrollerin yapılmamasından doğan zararlardan üye işyerleri sorumludur.
Bilgilendirme ve sistemin güvenliğinin sağlanması

MADDE 18 – Üye işyerleri, banka kartı ve kredi kartı ile işlem yapıldığını gösteren işaretleri, işyerinin girişinde ve kart hamilleri tarafından kolayca görülebilecek bir yere koymak, üye işyeri sözleşmeleri herhangi bir nedenle sona erdiği takdirde de, bu işaretleri kaldırmakla yükümlüdür. Üye işyerleri, teknik bir nedenle geçici bir süreyle işlem yapılamadığı hallerde kart hamillerini uyarmakla yükümlüdür. Üye işyerleri, 20 nci madde uyarınca harcama belgesi düzenlenmeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla işlem yapılmasına olanak sağlamak üzere kuracakları sistemlerin güvenli bir şekilde çalışmasını temin etmekle yükümlüdür.
Harcama ve alacak belgesi

MADDE 19 – Üye işyerleri, mal ve hizmet bedellerinin banka kartı ya da kredi kartı ile ödenmesi veya nakit talep edilmesi halinde, 20 nci madde hükümleri saklı kalmak kaydıyla, elektronik ya da mekanik cihazları kullanarak harcama belgesi veya nakit ödeme belgesi düzenlemek ve aslını sözleşmede belirtilen süre içinde muhafaza etmek ve bir nüshayı da kart hamiline vermek zorundadır. Bu hükme aykırılık halinde satılan hizmet veya mal bedeli üye işyeri anlaşması yapan kuruluştan talep edilemez. Üye işyerleri kart kullanılarak satın alınmış bir malın iadesi veya hizmetin alımından vazgeçilmesi veya yapılan işlemin iptali halinde, alacak belgesi düzenleyerek bir nüshasını kart hamiline verdikten sonra diğer bir nüshayı da muhafaza etmekle yükümlüdür.
İmza gerektirmeyen işlemler

MADDE 20 – İşlemin niteliği nedeniyle harcama ve alacak belgesi düzenleme imkânı olmayan hallerde kartlar, hamil tarafından çeşitli iletişim araçları ile kart numarası bildirilmek veya imza yerine geçen kod numarası, şifre ya da kimliği belirleyici benzeri başka bir yöntemle işlem yapılmak suretiyle de kullanılabilir.
Üye işyeri anlaşması yapan kuruluşlar

MADDE 21 – Üye işyeri anlaşması yapan kuruluşlar, kartın kabulü hususunda kart çıkaran kuruluştan onay alınmasını sağlayacak alt yapıyı oluşturmakla yükümlüdür. Üye işyeri anlaşması yapan kuruluşlar sözleşme yaptıkları işyerleri için işlem limiti tespit edebilir. Üye işyeri anlaşması yapan kuruluşlar, sözleşme yaptıkları üye işyerlerine kart hamillerinin gerçekleştirdikleri işlem bedellerini sözleşme hükümlerine uygun olarak ödemek zorundadır. Anlaşma yapılacak üye işyerlerinin kapsamını ve işlem türlerini sınırlandırmaya Kurul yetkilidir.
İşlem limiti

MADDE 22 – Üye işyerleri, tek bir kredi kartı ile yapılacak harcama tutarının belirlenen işlem limitini aşması halinde kart çıkaran kuruluştan kartın kabulü için yetki almakla yükümlü tutulmuş ise harcamanın tamamı için yetki almak zorundadır. Aynı kart ile aynı ödeme işlemi için birden fazla harcama belgesi düzenlenemez. Bu hükme aykırı davranılması halinde üye işyerleri satılan hizmet veya mal bedelini üye işyeri anlaşması yapan kuruluştan talep edemez.
Bilgilerin saklanması

MADDE 23 – Üye işyerleri, kartın kullanımı sonucunda kart ve kart hamili ile ilgili edindikleri bilgileri, kanunla yetkili kılınan kişi, kurum ve kuruluşlar hariç olmak üzere kart hamilinin yazılı rızasını almadan başkasına açıklayamaz, saklayamaz ve kopyalayamaz. Üye işyerleri, kart bilgilerini üye işyeri anlaşması yaptığı kuruluş dışındaki şahıs veya kuruluşlarla paylaşamaz, satamaz, satın alamaz ve takas edemez. Üye işyeri anlaşması yapan kuruluşlar, bu fıkranın uygulanmasını gözetmekle yükümlüdür.
Kart çıkaran kuruluşlar, edindikleri kişisel bilgileri gizli tutmak, kendi hizmetlerinin pazarlanması dışında başka amaçlarla kullanmamak ve kanunla yetkili kılınan kişi, kurum ve kuruluşlar dışında kalanların bu bilgilere ulaşmasını engellemek amacıyla gereken önlemleri almakla yükümlüdür.
ALTINCI BÖLÜMSözleşme Şekli ve Genel İşlem Şartları Sözleşme şartları

MADDE 24 – Kart çıkaran kuruluşlar ile kart hamilleri arasındaki ilişkiler, bu Kanun ve ilgili diğer mevzuat çerçevesinde en az oniki punto ve koyu siyah harflerle hazırlanacak yazılı sözleşme ile düzenlenir. Sözleşmenin bir örneği, kart hamiline ve varsa kefile verilir. Sözleşme hükümleri ve kartın kullanımı hakkında kart hamiline ayrıntılı bilgi verilmesi zorunludur. Kart çıkaran kuruluşların kart hamilleri ile akdedeceği sözleşmelerin şekil ve içeriğinde yer alması gereken asgarî hususlar Kurulca belirlenir. Sözleşmede belirtilen asgarî tutar, dönem borcunun yüzde yirmisinden aşağı olamaz. Hesap özetinde yer alan asgarî ödeme tutarı son ödeme tarihinde ödenmediği takdirde kart hamili ödenmeyen tutar için sözleşmede öngörülen gecikme faizi dışında bir yükümlülük altına sokulamaz.
Kart hamilinin yaptığı işlemler nedeniyle, sözleşmede yer almayan faiz, komisyon veya masraf gibi adlar altında hiçbir şekil ve surette ödeme talep edilemez ve kart hamilinin hesabından kesinti yapılamaz. Sözleşmede kart hamilinin haklarını zedeleyici ve kart çıkaran kuruluş lehine tek taraflı haksız şartlar sağlayan hükümlere yer verilemez.

Kart hamilinin borcu kefile bildirilmedikçe, kefil için temerrüt durumunun oluşmayacağı sözleşmede gösterilir. Sözleşme hükümlerinde kefilin sorumluluğunu artırıcı nitelikteki değişikliklere ve kartın kullanım limitinin yükseltilmesine ilişkin olarak kefilin ilave şartlara dair sorumluluğunun başlaması için kefilin yazılı onayının alınması şarttır. Kredi kartı kullanımlarındaki kefalet, Borçlar Kanununda belirtilen adi kefalet hükümlerine tâbidir. Asıl borçluya başvurulup borcun tahsili için tüm yollar denenmeden kefilden borcun ifası istenemez.

Sözleşme değişiklikleri
MADDE 25 – Sözleşmede yapılacak değişiklikler kart hamiline bildirilir. Bu değişiklikler bildirimin yapıldığı döneme ilişkin son ödeme tarihinden itibaren hüküm ifade eder. Bildirimin ait olduğu döneme ilişkin son ödeme tarihinden sonra kartın kullanılmaya devam olunması halinde, sözleşmede meydana gelen değişikliklerin kabul edildiği addolunur. Faiz oranının artırılması durumunda ise bu değişikliğin hüküm ifade edebilmesi için otuz gün önceden kart hamiline bildirilmesi zorunludur. Kart hamili faiz artırımına ilişkin bildirim tarihinden itibaren en geç altmış gün içinde tüm borcunu ödeyip kredi kartını kullanmaya son verdiği takdirde faiz artışından etkilenmez. Kart hamili, talep etmek suretiyle kartı iptal ettirmek ve sözleşmeyi feshetmek hakkına sahiptir.
Faiz hesaplaması

MADDE 26 – Bir hesap dönemine ilişkin toplam borç tutarı veya hesap bakiyesi üzerinden, o döneme ilişkin hesap özetinin düzenlendiği hesap kesim tarihinden önceki bir tarih itibarıyla faiz yürütülebileceğine ilişkin kayıtlar hükümsüzdür. Nakit kullanımına ilişkin borçlar hakkında işlem tarihi esas alınabilir. Nakit kullanımı kapsamında değerlendirilecek işlemler Kurulca belirlenir. Dönem borcunun bir kısmının ödenmesi halinde kalan hesap bakiyesi üzerinden faiz hesaplanır. Kalan hesap bakiyesine, asgarî tutar ve üzerinde ödeme yapılması durumunda akdi faiz, asgarî tutarın altında ödeme yapılması durumunda ise gecikme faizi uygulanır. Temerrüt hali de dahil olmak üzere, kart uygulamasından doğan borçlarda bileşik faiz uygulanmaz. Türkiye Cumhuriyet Merkez Bankası, azami akdi ve gecikme faiz oranlarını tespit etmeye yetkilidir ve belirlediği bu oranları 3 ayda bir açıklar.
Hesap kesim tarihi ile son ödeme tarihi arasında on günden az bir süre olamaz.

Katılım bankaları açısından bu Kanun uygulamasında yer alan faiz kâr payı, gecikme faizi ise gecikme cezası olarak uygulanır.

4077 sayılı Tüketicinin Korunması Hakkında Kanunun 10 uncu maddesinin ikinci fıkrasının (f) bendi kredi kartları için uygulanmaz.

YEDİNCİ BÖLÜM
Denetim ve Alınacak Önlemler
Denetim

MADDE 27 – Bu Kanunun 4 üncü maddesine istinaden faaliyet izni verilen kuruluşların, bu Kanun hükümleri çerçevesinde gerçekleştirdikleri faaliyetlerin denetim ve gözetimi Kurum tarafından sağlanır. Bu kuruluşlar, öncelikle iç kontrol, risk yönetimi ve iç denetim sistemleri, muhasebe ve finansal raporlama birimi kurmak, finansal tablolara ilişkin bilgi ve belgeler başta olmak üzere her türlü kayıt, bilgi, belge, yapı ve sistemlerini denetime uygun ve hazır hale getirmek zorundadırlar.
Kanun kapsamında yer alan kişi ve kuruluşlar, Kurulca belirlenecek usûl ve esaslar çerçevesinde gizli dahi olsa bu Kanunun uygulanması ile ilgili olarak her türlü bilgi ve belgeyi talep üzerine Kuruma tevdi etmekle yükümlüdür.
Denetim ve gözetime ilişkin usûl ve esaslar Kurum tarafından çıkarılacak yönetmelikle belirlenir.
Alınacak önlemler

MADDE 28 – Yapılan denetimler sonucunda, 14 üncü madde çerçevesinde tespit edilen hususlar ile ilgili tedbirleri almayan, bu Kanunun 4 üncü maddesine istinaden faaliyet izni verilen kuruluşların faaliyet iznini kaldırmaya en az beş üyesinin aynı yöndeki oyuyla Kurul yetkilidir.
SEKİZİNCİ BÖLÜMKuruluşlar ve Kurumlar Arası İşbirliği Bilgi alışverişi, takas ve mahsup işlemleri

MADDE 29 – Kart hamillerinin risk durumlarının izlenmesi, değerlendirilmesi, kontrolü ve müşteri hizmetlerinin yerine getirilmesi amacıyla yapılacak bilgi ve belge alışverişi veya kartların kullanımından doğan borç ve alacakların takas ve mahsup işlemleri kart çıkaran kuruluşların aralarında akdedecekleri yazılı sözleşmeler çerçevesinde kendi aralarında veya en az beş kart çıkaran kuruluş tarafından kurulacak şirketler vasıtasıyla gerçekleştirilir. Bilgi alışverişine ilişkin olarak kurulacak sistemlerden, ilgili gerçek ve tüzel kişiler ücret karşılığında faydalanır. Bu hakkın kullanımına veya alınan bilgi ve belgelere ilişkin uyuşmazlıklarda bu Kanunun 44 üncü maddesi hükümleri uygulanır. Bu hüküm gereğince yapılacak bilgi ve belge alışverişi 31 inci maddenin ikinci fıkrası hükmü dışındadır. Birinci fıkraya istinaden kurulacak şirketler, Kurumca istenilen tüm bilgi ve belgeleri belirlenen usûl ve esaslara uygun olarak vermekle yükümlüdür. Kurum, alınacak bilgi ve belgeleri gözetim ve denetim sisteminde ve yapılacak kanunî işlemlerde kullanmaya yetkilidir. Bu şirketlerin faaliyet usûl ve esasları, üyelik şartları ile gözetim ve denetimine ilişkin hususlar Türkiye Cumhuriyet Merkez Bankasının görüşü alınmak suretiyle Kurul tarafından yönetmelikle düzenlenir. Kurulca gerek görülmesi halinde bu şirketlerin gözetim ve denetimine ilişkin yetki Kurum tarafından Türkiye Cumhuriyet Merkez Bankası ile birlikte kullanılabilir.
Kurumlar arası işbirliği

MADDE 30 – Bu Kanunun uygulanması ve kredi kartları politikalarının yürütülmesiyle ilgili konularda; Kurum, Maliye Bakanlığı, Sanayi ve Ticaret Bakanlığı, Hazine Müsteşarlığı, Rekabet Kurumu, Türkiye Cumhuriyet Merkez Bankası ve Kurulca belirlenecek diğer kurumlar karşılıklı mütalâa veya bilgi teatisinde bulunurlar.
Kurum ve Türkiye Cumhuriyet Merkez Bankası bu Kanunda belirtilen görevleri yerine getirmek amacıyla veri tabanlarında yer alan ve birlikte üzerinde uzlaşılan bilgileri gizlilik hükümleri çerçevesinde paylaşırlar. Bilgi paylaşımına ve diğer hususlara dair yapılacak işbirliğine ilişkin usûl ve esaslar ilgili tarafların görüşü alınmak suretiyle Kurulca belirlenir.
DOKUZUNCU BÖLÜM
Kanunî Yükümlülükler
Sırların saklanması

MADDE 31 – Kurul üyeleri ile Kurum personeli, görevleri sırasında öğrendikleri bu Kanun kapsamındaki kuruluşlara, kart hamillerine ve kefillere ait sırları kanunen açıkça yetkili olanlardan başkasına açıklayamaz ve kendi yararlarına kullanamazlar. Kartlı sistem kuran, kart çıkaran, üye işyeri anlaşması yapan kuruluşlar, 29 uncu maddede yer alan kuruluşlar ile üye işyerleri, bunların ortakları, yönetim kurulu üyeleri, mensupları, bunlar adına hareket eden kişiler ile görevlileri, sıfat ve görevleri dolayısıyla öğrendikleri sırları kanunen açıkça yetkili kılınan mercilerden başkasına açıklayamazlar. Kart çıkaran kuruluşların destek hizmeti aldığı kuruluş ve çalışanları hakkında da bu hüküm uygulanır.
İspat yükü

MADDE 32 – Kart numarası bildirilmek suretiyle üye işyerinden telefon, elektronik ortam, sipariş formu veya diğer iletişim araçları yoluyla yapılan işlemlerden doğacak anlaşmazlıklarda ispat yükü üye işyerine aittir. Kart çıkaran kuruluş ile kart hamili arasında oluşabilecek herhangi bir uyuşmazlık halinde, işlemin hatasız bir şekilde kaydedildiği, hesaba intikal ettirildiği ve herhangi bir teknik yetersizlik veya arıza halinin bulunmadığını ispat etme yükümlülüğü kart çıkaran kuruluşa aittir. Bu Kanun kapsamında telefonla yapılan bildirimlerin, konuşmaların kaydedildiği çağrı merkezlerine veya ilgili yerlerde sağlanan kayıt cihazları aracılığıyla yapılması zorunludur. Kart çıkaran kuruluşların ilân ettikleri ve duyurdukları çağrı merkezlerine iletilen telefonla yapılan bildirimlere ilişkin ses kayıtları, bildirim tarihinden itibaren bir yıl süreyle saklanır. Bunlardan ihtilaflı olanların bu süre ile sınırlı olmaksızın ihtilaf sonuçlanıncaya kadar muhafazası zorunludur.
Mikrofilmlerden veya mikrofişlerden alınan kopyalar ya da elektronik veya manyetik ortamlardan çıkarılan bilgileri içeren belgeler, bu kopya ve belgelerin birbirlerini teyit etmeleri kaydıyla asıllarına gerek kalmaksızın 2004 sayılı İcra ve İflas Kanununun 68 inci maddesinin birinci fıkrasında belirtilen belgelerden sayılır.

Özen yükümlülüğü

MADDE 33 – Kartlı sistem kuran, kart çıkaran, üye işyeri anlaşması yapan kuruluşlar ve üye işyerleri bu Kanun ve ilgili düzenlemeler ile getirilen yükümlülüklerin yerine getirilmesinde gerekli basiret ve özeni göstermekle yükümlüdür.
Mesleki faaliyetin korunması

MADDE 34 – Bu Kanuna göre kartlı sistem kurma, kart çıkarma veya üye işyerleri ile anlaşma yapma yetkisi olanlar dışında, hiçbir gerçek veya tüzel kişi aslen veya fer’an meslek edinerek kartlı sistem kuramaz, kart çıkaramaz veya üye işyerleri ile anlaşma yapamaz, ticaret unvanları ve her türlü belgeleri ile ilân ve reklâmlarında bu işlerle uğraştıkları izlenimini yaratacak hiçbir kelime veya tâbiri kullanamazlar.
ONUNCU BÖLÜMİdarî ve Adlî Cezalar İdarî para cezaları

MADDE 35 – Kurul kararıyla ve gerekçesi belirtilmek suretiyle bu Kanun kapsamındaki kuruluşlara, bu Kanunun;
a) 8 inci maddesinin birinci, ikinci ve üçüncü fıkralarına aykırılık halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar, b) 9 uncu maddesinin birinci fıkrasına aykırılık halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar, ikinci fıkrasına aykırılık halinde beşbin Yeni Türk Lirasından az olmamak üzere, aykırılık oluşturan tutarın yüzde biri tutarına kadar, c) 10 uncu maddesi ve 11 inci maddesinin birinci fıkrasına aykırılık halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar,
d) 14 üncü maddesi hükümlerine aykırılık halinde onbin Yeni Türk Lirasından ellibin Yeni Türk Lirasına kadar,

e) 18 inci maddesinin ikinci fıkrasına aykırılık halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar,

f) 24 üncü ve 25 inci maddelerine aykırılık halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar,

g) 27 nci maddesinin birinci fıkrasına aykırılık halinde onbin Yeni Türk Lirasından ellibin Yeni Türk Lirasına kadar,

h) İlgili maddelerine göre, Kurul tarafından bu Kanuna dayanılarak alınan kararlara, çıkarılan yönetmelik ve tebliğlere ve yapılan diğer düzenlemelere uyulmaması halinde ikibin Yeni Türk Lirasından onbin Yeni Türk Lirasına kadar veya aykırılık teşkil eden tutarın yüzde biri oranına kadar idarî para cezası uygulanır.

Bu Kanunda belirtilen para cezaları her yıl başında 5326 sayılı Kabahatler Kanununun ilgili hükümleri uyarınca artırılır.

Sahte belge düzenlenmesi

MADDE 36 – Gerçeğe aykırı olarak harcama belgesi, nakit ödeme belgesi ya da alacak belgesi düzenlemek veya bu belgelerde ne surette olursa olsun tahrifat yapmak suretiyle kendisine veya başkasına yarar sağlayanlar, iki yıldan beş yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılırlar.
Gerçeğe aykırı beyan, sözleşme ve eki belgelerde sahtecilik

MADDE 37 – Banka kartı veya kredi kartını kaybettiği ya da çaldırdığı yolunda gerçeğe aykırı beyanda bulunarak kartı bizzat kullanan veya başkasına kullandıran kart hamilleri ile bunları bilerek kullananlar bir yıldan üç yıla kadar hapis ve ikibin güne kadar adlî para cezası ile cezalandırılırlar. Kredi kartı veya üye işyeri sözleşmesinde veya eki belgelerde sahtecilik yapanlar veya sözleşme imzalamak amacıyla sahte belge ibraz edenler bir yıldan üç yıla kadar hapis cezasına mahkûm edilirler.
İzinsiz kart çıkarma

MADDE 38 – Bu Kanunun 4 üncü maddesinde belirtilen izinleri almaksızın kartlı sistem kuran, kredi kartı çıkaran veya üye işyeri anlaşması yapan veya ticaret unvanları, her türlü belgeleri, ilân ve reklamları veya kamuoyuna yaptıkları açıklamalarda bu işlerle uğraştıkları izlenimini yaratacak söz ve deyimleri kullanan gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve bin güne kadar adlî para cezası ile cezalandırılırlar. Birinci fıkraya aykırılık halinde Kurumun, ilgili Cumhuriyet Başsavcılığını muhatap talebi üzerine sulh ceza hâkimince, dava açılması halinde davaya bakan mahkemece işyerlerinin faaliyetleri ve reklamları geçici olarak durdurulur, ilânları toplatılır. Bu tedbirler, hâkim kararı ile kaldırılıncaya kadar devam eder. Bu kararlara karşı itiraz yolu açıktır.
Bilgi güvenliği yükümlülüğüne aykırı davranılması

MADDE 39 – Bu Kanunun 8 inci maddesinin beşinci fıkrası ve 23 üncü maddesi hükümlerine kasten aykırı hareket eden kuruluşlar, üye işyerleri ve üye işyeri anlaşması yapan kuruluşların işlerini fiilen yöneten görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adlî para cezası ile cezalandırılırlar. Kartların kullanılması için zorunlu olup gizli kalması gereken kod numarası, kart numarası, şifre ya da kimliği belirleyici başka bir yöntemin dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik veya emir ve kurallara aykırılık nedeniyle açığa çıkmasına neden olan kart çıkaran kuruluşlar, üye işyerleri ve üye işyeri anlaşması yapan kuruluşların işlerini fiilen yöneten görevli ve ilgili mensupları bin güne kadar adlî para cezası ile cezalandırılırlar. Bu Kanunun 31 inci maddesine aykırı davrananlar hakkında bir yıldan üç yıla kadar hapis ve bin güne kadar adlî para cezası uygulanır.
Üye işyerlerinin cezaî sorumluluğu

MADDE 40 – Bu Kanunun 17 nci maddesinin birinci fıkrasına, 18 inci maddesindeki banka kartı ve kredi kartı ile işlem yapıldığını gösteren işaretleri kaldırma yükümlülüğüne ve 19 uncu maddesinin ikinci fıkrasına aykırı hareket eden üye işyerlerinin işlerini fiilen yöneten görevli ve ilgili mensupları bin güne kadar adlî para cezası ile cezalandırılırlar.
Denetimde istenilen bilgi ve belgeleri vermemek

MADDE 41 – Bu Kanunun 27 nci maddesinin ikinci fıkrası uyarınca istenilen bilgi ve belgeleri vermeyenler ile bu bilgi ve belgeleri gerçeğe aykırı olarak verenler, üç aydan bir yıla kadar hapis ve binbeşyüz güne kadar adlî para cezası ile cezalandırılırlar.
Kovuşturma usûlü

MADDE 42 – Bu Kanunun 38 inci, 39 uncu ve 41 inci maddelerinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, Kurum tarafından Cumhuriyet Başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir. Bu fıkra uyarınca yapılan soruşturmalar neticesinde açılan kamu davalarında, başvuruda bulunması halinde Kurum, başvuru tarihinde müdahil sıfatını kazanır. Birinci fıkra hükümlerine göre başlatılan soruşturmalar neticesinde Cumhuriyet savcıları kovuşturmaya yer olmadığına karar verirlerse, bu karar Kuruma tebliğ edilir. Kurum, kendisine tebliğ edilecek bu kararlara karşı 5271 sayılı Ceza Muhakemesi Kanununa göre itiraza yetkilidir. Kamu davası açılması halinde, iddianamenin bir örneği Kuruma tebliğ edilir. Bu Kanunun 39 uncu maddesinde belirtilen suçtan dolayı ilgililerin Cumhuriyet Başsavcılığına başvuru hakkı saklıdır.
ONBİRİNCİ BÖLÜM
Diğer Hükümler
Kurumsal kredi kartları

MADDE 43 – Bu Kanunun 8 inci maddesinin ikinci fıkrası, 9 uncu, 12 nci, 24 üncü, 25 inci, 26 ncı ve 44 üncü maddesi hükümleri tacirlere verilen kurumsal kredi kartları hakkında uygulanmaz.
Yetkili mahkeme ve merciler

MADDE 44 – Bu Kanunun uygulanmasıyla ilgili uyuşmazlıklarda kart hamilinin tüketici olması halinde, 4077 sayılı Tüketicinin Korunması Hakkında Kanunun 22 nci ve 23 üncü maddesi hükümleri uygulanır.
Kart çıkaran kuruluşlar tarafından kart hamilleri aleyhine açılacak davalarda 1086 sayılı Hukuk Usulü Muhakemeleri Kanununun görev ve yetkiye ilişkin hükümleri uygulanır.
Tebligat

MADDE 45 – Bu Kanun uyarınca kart hamiline ve kefillerine yapılacak ihtarlar 7201 sayılı Tebligat Kanunu hükümleri saklı kalmak kaydıyla, sözleşmedeki veya başvuru formundaki adresine, kart hamilinin bu adresini değiştirdiğini bildirmiş olması halinde ise bildirilen son adresine yapılır.
Katılma payı

MADDE 46 – Bankalar hariç olmak üzere, bu Kanunun 4 üncü maddesi uyarınca faaliyet izni verilen kuruluşlar bir önceki yıl sonu bilanço toplamının onbinde üçünü geçmemek üzere Kurulca belirlenecek oranda katılma payını Kuruma öderler.
Belirlenen süre içerisinde ödenmeyen katılma payları 6183 sayılı Amme Alacaklarının Tahsil Usulü Hakkında Kanun hükümlerine göre tahsil edilir. Bu kuruluşlarca Kuruma ödenen katılım payı tutarları kurumlar vergisi matrahının tespitinde gider olarak kabul edilir.
Parasal tutarlar

MADDE 47 – Para cezalarına ilişkin hükümler hariç olmak üzere, bu Kanundaki parasal tutar ve sınırlardan her biri, her yıl, Türkiye İstatistik Kurumu tarafından açıklanan üretici fiyatları endeksindeki artış oranının gerektirdiği miktarı geçmemek üzere Kurul kararıyla artırılabilir.
Yönetmelikler

MADDE 48 – Bu Kanuna göre çıkarılacak yönetmelikler bir yıl içerisinde hazırlanarak Kurumca yürürlüğe konulur.
GEÇİCİ MADDE 1 – Bu Kanun hükümleri kapsamına giren kuruluşlar durumlarını bir yıl içinde bu Kanun hükümlerine uygun hale getirmek zorundadırlar. GEÇİCİ MADDE 2 – Bankalar hariç olmak üzere, bu Kanunun yürürlüğe girdiği tarihte 4 üncü maddede belirtilen faaliyetlerde bulunan kuruluşlar, anılan maddede öngörülen yönetmeliğin yayımı tarihinden başlayarak üç ay içinde Kuruma başvurarak gerekli izinleri almak zorundadır.GEÇİCİ MADDE 3 – Bu Kanunun kapsamındaki kart çıkaran kuruluşlar faiz hesaplamasına ilişkin uygulamalarını üç ay, diğer uygulamalarını ise bir yıl içerisinde bu Kanun hükümlerine uygun hale getirmek zorundadırlar.
Ancak, 24 üncü maddenin üçüncü fıkrasındaki asgarî tutar bu Kanunun yürürlüğe girdiği tarihten itibaren altı ay yüzde on olarak uygulanır.

GEÇİCİ MADDE 4 – Bu Kanunun yürürlüğe girdiği tarih itibariyle, kendisine dönem sonu borcunun ödenmesi için ihtar çekilmiş veya haklarında icra takibi başlatılmış ya da 31/1/2006 tarihine kadar temerrüde düşmüş olan kredi kartı borçluları, altmış gün içerisinde ilgili kredi kartı veren kuruluşa veya avukatına yazılı olarak, güncel tebligat adresi de belirtmek suretiyle müracaat ederek, borçlarını taksitle ödemek istediklerini beyan etmeleri halinde, düzenlenecek ödeme plânını imzalamaları ve ilk taksiti de peşin ödemeleri şartıyla kendisine bildirilen son dönem borcu tamamen tahsil edilinceye kadar yıllık % 18 faiz oranı üzerinden hesaplanacak borç tutarını; icra takibine konu olmuş ise takip, dava masraf ve harçları, vekâlet ücreti ile birlikte onsekiz eşit taksitte ödeme hakkına sahip olurlar.

Temerrüt tarihindeki ana para borcu kart çıkaran kuruluş tarafından kart hamiline o tarihte gönderilen son dönem borcunda belirtilen toplam borç tutarıdır.

Kredi kartı borçlusunun bu maddenin birinci fıkrasına uygun olarak alacaklıya müracaat etmesi ve yapılan ödeme plânı doğrultusunda taksit tutarlarını ödemesi şartıyla, halihazırda yapılmış işlemler baki kalmak kaydıyla icra işlemleri durur, İcra ve İflas Kanununda belirtilen süreler işlemez.

Kredi kartı borçlusu bu ödeme plânına karşı ancak, plân doğrultusunda ödeme yapmak ve ödemelere devam etmek koşulu ile itiraz yoluna başvurabilir.

İşbu geçici madde kapsamında yeniden yapılandırılan borçlarda, borçlunun yapılandırma öncesi dönemde borca vaki itirazları ortadan kalkar. Ödeme plânı uyarınca son taksitin de vadesinde ödenmesi üzerine icra takibi sona erer.

Taksitlerden herhangi birinin vadesinde ödenmemesi halinde bu madde ile sağlanan haklar ortadan kalkar ve bu Kanunun 26 ncı maddesinde belirtilen gecikme faizi üzerinden mevcut icra takip işlemlerine devam edilir.

İşbu geçici madde Kanunun yürürlüğe giriş tarihinden önce yapılmış ödemeleri geri isteme hakkı vermez.

Yürürlük
MADDE 49 – Bu Kanun yayımı tarihinde yürürlüğe girer.
Yürütme

MADDE 50 – Bu Kanun hükümlerini Bakanlar Kurulu yürütür.