NCMEC CyberTipline raporu, Türkiye'deki çocuk cinsel istismar materyali (CSAM) soruşturmalarının büyük çoğunluğunun başlangıç belgesidir. Ancak raporun kendi metninde açıkça yazılı olan "NCMEC does not investigate" beyanı, bu belgenin bir "tamamlanmış soruşturma sonucu" değil, yalnızca başlangıç ihbarı niteliğinde olduğunu tescil eder. Bu makalede, raporun nasıl oluştuğu, Türkiye'ye hangi usulle intikal ettiği, delil niteliğinin sınırları ve Türk ceza muhakemesinde hangi inceleme usulüne tâbi tutulması gerektiği; Yargıtay içtihatları, adli bilişim prensipleri ve ABD federal yargısının yakın tarihli Lawshe v. Verizon kararı ışığında ele alınmaktadır.

Dijital Çağda CSAM Soruşturması ve NCMEC'in Konumu

İnternetin sınır tanımayan yapısı, klasik ceza hukukunun egemenlik ve yetki alanına ilişkin temel varsayımlarını sarsmış; bilhassa çocuk cinsel istismar materyalinin (Child Sexual Abuse Material – CSAM) üretimi, depolanması ve yayılmasına yönelik suçlarda, ulusal kolluk birimlerinin tek başına yürütebileceği bir soruşturma modelini fiilen imkânsız kılmıştır. Materyalin üretildiği coğrafya, sunucuların bulunduğu ülke ve failin fiziksel konumu çoğunlukla birbirinden farklıdır. Bu uluslararası nitelik, başta ABD merkezli elektronik hizmet sağlayıcıları (Electronic Service Provider – ESP) olmak üzere, özel sektörün ve sivil toplum kuruluşlarının da dâhil olduğu yeni bir adli bilişim ekosisteminin doğmasına yol açmıştır.

Türkiye'de müstehcenlik suçlarına ilişkin dosyaların önemli bir bölümü — bilhassa TCK m. 226/3 ve 226/5 kapsamındaki çocuk pornografisi soruşturmaları — bu ekosistemin merkezindeki kurum olan NCMEC (National Center for Missing & Exploited Children) tarafından Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı'na iletilen CyberTipline raporları ile başlamaktadır. Ne var ki adlî pratikte bu raporların hukuki niteliği çoğu zaman yeterince irdelenmemekte; rapordaki IP adresi eşleşmesi, kullanıcı adı ya da hash değeri sanki tek başına mahkûmiyete yeter bir delilmiş gibi ele alınmaktadır.

Oysa hem Yargıtay'ın yerleşik içtihatları hem de raporun bizzat NCMEC tarafından kaleme alınmış metni, bu belgenin bir başlangıç ihbarı niteliği taşıdığını açıkça ortaya koymaktadır.

NCMEC'in Hukuki Statüsü ve CyberTipline'ın İşleyişi

Kuruluş, Yapı ve Amaç

NCMEC, 1984 yılında ABD Kongresi tarafından çocuk kaçırma, cinsel istismar ve sömürü olaylarına müdahale etmek amacıyla kurulmuş, kâr amacı gütmeyen özel statülü bir kuruluştur (nonprofit corporation). Bir devlet kurumu değildir; ancak federal finansman ve kamusal yetkilendirme ile çalışan, hükümet-özel sektör işbirliğine dayalı hibrit bir yapıdır. Bu ikili kimlik, raporların hukuki değerini tartışmaya açan temel etkendir: NCMEC, ceza muhakemesi anlamında ne bir kolluk kuvveti ne de resmî bir bilirkişi kuruluşudur.

Yasal Dayanak: 18 U.S.C. § 2258A

NCMEC'in temel işlevi, 18 U.S.C. § 2258A hükmü çerçevesinde şekillenir. Bu norm, ABD yetki alanında hizmet veren elektronik hizmet sağlayıcılarına (Facebook/Meta, Google, Microsoft, X/Twitter, Snapchat, Dropbox vb.) kendi sistemlerinde çocuk cinsel istismar materyali tespit ettiklerinde bu tespiti NCMEC'e bildirme yükümlülüğü getirmiştir. Ancak bildirim zorunluluğu getirilirken ESP'lere materyali aktif olarak arama zorunluluğu getirilmemiştir; yani buradaki tarama gönüllü bir mühendislik tercihidir, kanunî bir mecburiyet değildir.

CyberTipline: Bir "İhbar Takas Merkezi"

NCMEC'in yönettiği CyberTipline (Siber İhbar Hattı), hukuken bir clearinghouse — yani "ihbar toplama ve dağıtma merkezi" — olarak tanımlanır. Kendi başına bir soruşturma birimi değildir; gelen bildirimleri alıp, IP bazlı coğrafi analiz yaptıktan sonra ilgili ülkenin kolluk birimine yönlendirir. Türkiye söz konusu olduğunda bu irtibat, Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele Daire Başkanlığı aracılığıyla sağlanmaktadır.

This Report is provided solely for informational purposes pursuant to NCMEC's nonprofit mission. NCMEC does not investigate and cannot verify the accuracy of the information submitted by reporting parties. — CyberTipline Report, standart altbilgi metni

Bu altbilgi, raporun her sayfasında tekrarlanır ve NCMEC'in delil üretmediğini, yalnızca bilgilendirici amaçlı bir belge ürettiğini tescil eder. Türk yargı sürecinde de bu ibarenin duruşmalarda ve temyiz dilekçelerinde özellikle vurgulanması, savunmanın olmazsa olmaz argümanlarından biri hâline gelmiştir.

Raporun Doğuş Süreci: PhotoDNA ve Otomatik Hash Eşleşmesi

PhotoDNA Teknolojisi Nedir?

CyberTipline raporlarının teknik bel kemiğini, Microsoft tarafından geliştirilip NCMEC'e bağışlanan PhotoDNA adlı görüntü parmak izi çıkarma teknolojisi oluşturur. PhotoDNA, klasik bir kriptografik hash (MD5, SHA-1) değil; görselin küçük değişikliklerden (yeniden boyutlandırma, renk tonu ayarı, kısmi kırpma, format dönüşümü vb.) etkilenmeden aynı parmak izini üretebilen bir perceptual hash (algısal karma) algoritmasıdır. Algoritma, NCMEC'in sahip olduğu — daha önce bir insan uzman tarafından incelenip CSAM olarak doğrulanmış görsellerin — parmak izleri veritabanıyla karşılaştırma yapar.

Otomatik Bildirim Akışı

Platform düzeyinde tipik süreç şu aşamalardan geçer: Bir kullanıcı ESP'nin platformuna (örn. Facebook/Messenger) dosya yükler, paylaşır veya mesaj eki olarak gönderir. ESP sunucusu yüklenen dosyanın hash değerini hesaplar. Hesaplanan hash, PhotoDNA veya muadili sistemlerde bilinen CSAM parmak izleri listesiyle karşılaştırılır. Bir eşleşme tespit edildiğinde, sistem otomatik olarak bir CyberTipline raporu oluşturur ve NCMEC'e iletir. Bu akışın hiçbir aşamasında, ne ESP ne de NCMEC bünyesindeki bir insan moderatör dosyanın içeriğine bakmış olmak zorunda değildir.

"fileViewedByEsp: 0" Alanının Anlamı

NCMEC raporlarının teknik bölümünde yer alan iki alan — "Did Reporting ESP view entire contents of uploaded file?" sorusuna verilen "No" cevabı ile fileViewedByEsp: 0 metaverisi — dosyanın gönderim tarihinden önce hiçbir ESP çalışanı tarafından görüntülenmediğini resmen beyan eder. Buna rağmen raporda içeriğin "B1" (Pubescent Minor – Sex Act) gibi bir kategoriye yerleştirildiği görülebilir. Bu kategori atfı, mevcut dosyaya değil; o dosyanın hash'inin eşleştiği, daha önce başka bir zamanda incelenip kategorize edilmiş bir referans dosyaya aittir.

CyberTipline Raporunun Yapısı ve Bölümleri

Tipik bir CyberTipline raporu dört ana bölümden oluşur. Her bölümün içerdiği bilginin güvenilirlik derecesi ve delil değeri birbirinden farklıdır. Bu nedenle raporun bütününü tek bir belge olarak ele almak yerine, bölüm bölüm ayrıştırılarak değerlendirilmesi gerekir.

Section A – Raporlayıcı Tarafından Sunulan Bilgiler

Bu bölüm, rapor eden ESP'nin ilk gönderdiği verileri içerir: şüpheli bilgileri (kullanıcı adı, beyan edilen isim, e-posta adresi, telefon numarası, ESP User ID), yüklenen dosyalara ilişkin teknik veriler (dosya adı, MD5/SHA hash, dosya türü, boyut) ve eylemle ilişkilendirilen IP adresleri ile tarih saat damgaları. Section A'daki bilgilerin tümü beyana dayalıdır. Bilhassa "kullanıcı adı" veya "beyan edilen isim" alanları, hesabı açan kişi tarafından doğrulanmadan kayda alınan serbest metin verisidir; hiçbir kimlik doğrulama değeri taşımaz.

Section B – NCMEC Sistemleri Tarafından Eklenen Bilgiler

NCMEC, raporu aldığında otomatik bir Geo-Lookup (coğrafi çözümleme) işlemi yapar ve Section A'da beyan edilen IP adreslerinin hangi ülke, şehir, ISP ve yaklaşık koordinata karşılık geldiğini ekler. Bu eklemeler halka açık IP veritabanlarına (MaxMind vb.) dayanır. Raporda bu bölüm için kullanılan standart ibare son derece önemlidir: "Estimated Location – Not Verified" (Tahmini Konum – Doğrulanmamış). Bu ifade, NCMEC'in kendisinin de bu konum bilgisinin kesin olmadığını kabul ettiğinin resmî beyanıdır.

Section C – NCMEC Personelinin Eklediği Bilgiler

Bu bölümde NCMEC personelinin açık kaynak araştırmaları sonucunda elde ettiği bilgiler yer alır. Kritik bir alan "NCMEC Classification" başlığıdır. Eğer bu alanda "Files Not Reviewed by NCMEC" (NCMEC Tarafından İncelenmeyen Dosyalar) ibaresi bulunuyorsa, bu, ihbara konu asıl delilin — görüntünün veya videonun — NCMEC bünyesinde hiçbir uzman tarafından incelenmediğinin ve "gerçekten CSAM olduğu" hususunda bir doğrulamanın yapılmadığının resmî bir itirafıdır.

Section D – Kolluk İrtibat Bilgileri

Son bölüm, raporun hangi ülkenin hangi kolluk birimine ve hangi tarihte iletildiğini kayıt altına alır. Türkiye için bu bilgi tipik olarak şu şekildedir: Turkish National Police, Siber Suçlarla Mücadele Daire Başkanlığı, Çankaya — Ankara. Raporun kolluğa ulaştırılma tarih ve saati UTC zamanı olarak damgalanır.

Zaman Damgalarının Katmanlı Yapısı

Adli bilişim açısından raporun en güvenilir verileri UTC zaman damgalarıdır. Tipik bir Upload olayı için raporda iki farklı zaman bulunur: (i) sunucunun yerel saatiyle kaydedilen uygulama katmanı logu (ör. 2021-08-19T04:28:59-07:00, Kaliforniya PDT), (ii) veritabanı katmanında UTC'ye normalize edilmiş log (Uploaded August 19, 2021 at 11:28:59 UTC). Bu iki değerin matematiksel olarak birbirini tutması (04:28:59 + 7 saat = 11:28:59), logların sonradan manipüle edilmediğinin en güçlü teknik göstergesidir. Ancak bu saatlerin hiçbiri şüphelinin bulunduğu Türkiye'deki yerel saati göstermez.

Raporun Türkiye'ye İntikali ve Soruşturmanın Başlaması

Türkiye'ye yönlendirilen CyberTipline raporu aşağıdaki sıra dahilinde işlenir:

1. NCMEC → Türkiye İrtibatı: Rapor, NCMEC'in CyberTipline altyapısına kayıtlı VPN bağlantısı üzerinden doğrudan EGM Siber Suçlarla Mücadele Daire Başkanlığı'na iletilir.
2. EGM İçi Değerlendirme: Daire Başkanlığı, IP adresi ve diğer teknik verileri inceleyerek şüphelinin muhtemel bulunduğu yer il emniyet müdürlüğüne (çoğunlukla Siber Suçlarla Mücadele Şube Müdürlüğü'ne) dosyayı sevk eder.
3. Cumhuriyet Başsavcılığına İhbar: İl emniyet müdürlüğü, raporu kendi tutanağıyla yerel Cumhuriyet Başsavcılığı'na ihbar eder. Savcılık bu aşamada soruşturma numarası açar.
4. BTK Sorgulaması: Savcılık, raporda geçen IP adreslerinin hangi operatöre ve hangi aboneye ait olduğunu tespit için BTK'ya yazı yazar. BTK, ilgili tarih ve saat için operatörün RADIUS/NAT kayıtlarını sorgular.
5. Arama ve El Koyma: BTK kaydı bir aboneye ulaşırsa, savcılık sulh ceza hâkimliğinden CMK m. 134 uyarınca arama, imaj alma ve el koyma kararı talep eder.
6. Bilirkişi İncelemesi: El konulan materyal üzerinde — çoğunlukla il emniyet müdürlüğünün adli bilişim ekibi veya resmî bilirkişi tarafından — inceleme yapılır; hash değerleri tespit edilir ve CSAM içeriği varsa raporlanır.

Bu aşamaların her biri hem hukuki hem teknik olarak ayrı bir hata noktası potansiyeli taşır. Özellikle BTK sorgulamasının sonuçsuz kalması — NAT/CGNAT, veri saklama süresi, VPN/yabancı IP gibi nedenlerle — dosyadaki kimlik tespiti zincirinin ilk kırıldığı noktadır.

NCMEC Raporunun Hukuki Niteliği: Delil mi, İhbar mı?

Rapor Bir Suç İhbarı Niteliğindedir

Yargıtay içtihatlarında ve doktrinde yerleşmiş görüş, NCMEC CyberTipline raporunun bir suç ihbarı (denuntiatio) niteliğinde olduğu yönündedir. Bu nitelendirme, raporun kendi metnindeki "NCMEC does not investigate" beyanıyla tam örtüşür. Nitekim Yargıtay 4. Ceza Dairesi'nin 24.12.2020 tarihli 2020/14214 E., 2020/21479 K. sayılı kararında; NCMEC'in bildirimi üzerine yapılan soruşturmada bile, sanığın bulundurduğu materyallerdeki görüntülerin gerçekten çocuklara ait olup olmadığının "konusunda uzman bilirkişilerce" incelenmesi gerektiği ve eksik inceleme ile hüküm kurulamayacağı açıkça vurgulanmıştır.

"Files Not Reviewed by NCMEC" İbaresinin Hukuki Yansıması

Raporun Section C bölümünde bulunan bu ibare, raporun en belirleyici hukuki beyanlarından biridir. Bu ibarenin varlığı şu hukuki sonuçları doğurur:

• Uzman incelemesi yoktur: Ne ESP ne de NCMEC, dosyayı bir insan uzman tarafından görüntülemiştir.
• Kategori otomatiktir: Rapordaki "B1" vb. kategori atıfları geçmiş hash eşleşmelerine dayanır, mevcut dosyanın içeriğine değil.
• Doğrulama yükümlülüğü aktarılır: Materyalin gerçekten CSAM olup olmadığını teyit etme yükümlülüğü tamamen Türk kolluk makamlarına devredilmiştir.
• Bağımsız bilirkişi zorunludur: Türk yargı makamlarının, raporu alır almaz içeriği re'sen doğrulanmış kabul etmesi hukuki açıdan mümkün değildir.

Yargıtay'ın Yerleşik Tutumu

Yargıtay 4. Ceza Dairesi (Esas 2020/14214, 2020/15644, 2020/18202 sayılı kararlar), 12. Ceza Dairesi (Esas 2023/2350 sayılı karar) ve 14. Ceza Dairesi başta olmak üzere ilgili ceza daireleri, NCMEC raporundaki IP eşleşmesine dayanarak kurulan mahkûmiyet hükümlerini sistematik olarak bozma yoluna gitmiştir. Yüksek Daire'nin aradığı temel şartlar şunlardır:

• Sanığa ait dijital materyaller üzerinde konusunda uzman bilirkişilerce teknik inceleme yapılması,
• Rapor ekinde gönderilen görüntülerle ele geçirilen görüntülerin bire bir karşılaştırılması,
• Görüntülerde çocukların kullanılıp kullanılmadığının teknik olarak belirlenmesi (gerekirse Adli Tıp Kurumu'ndan yaş tespiti istenmesi),
• Paylaşımın sosyal medya ya da benzeri platform üzerinden yapılıp yapılmadığının belirlenmesi ve buna göre TCK m. 226'nın hangi fıkrasının uygulanacağının tartışılması,
• IP adresinin gerçekten şüpheli tarafından kullanılıp kullanılmadığının tereddüte yer bırakmayacak şekilde tespit edilmesi.

Bu şartlardan biri dahi eksik bırakıldığında, verilen hüküm eksik soruşturma ve araştırma gerekçesiyle bozulmaktadır.

Türk Ceza Muhakemesinde Zorunlu İnceleme Usulü

CMK m. 134 — Bilgisayarlarda Arama, Kopyalama ve El Koyma

Dijital materyallerde yapılacak her türlü arama, kopyalama ve el koyma işleminin hukuki omurgasını CMK m. 134 oluşturur. Bu maddenin ihlâli, dijital delilin "zehirli ağacın meyvesi" doktrini gereği hükme esas alınamaması sonucunu doğurur. Zorunlu adımlar şu şekildedir:

• Hâkim Kararı Zorunluluğu: Dijital materyallerde arama, ancak ve ancak sulh ceza hâkiminin yazılı kararıyla yapılabilir. Gecikmesinde sakınca bulunan hâllerde savcı emriyle başlansa bile 24 saat içinde hâkim onayı zorunludur. Hâkim onayı alınmamışsa, elde edilen tüm dijital veriler hukuka aykırı delil niteliği kazanır.
• Birebir İmaj Alınması: Materyalin fiziksel orijinali üzerinde doğrudan inceleme yapılmaz; adli bilişim standartlarına uygun şekilde birebir dijital kopyası (forensic image) alınır. Bu işlem veri bütünlüğünün korunması açısından olmazsa olmazdır.
• Hash Değeri Tespiti: İmaj alma anında, verinin dijital parmak izi olan hash değeri (MD5 ve/veya SHA-1/SHA-256) hesaplanır, tutanağa yazılır ve şüpheliye/vekiline bir suret olarak verilir. Yargıtay 8. Ceza Dairesi'nin 2012/21817 E. ve 2013/25428 K. sayılı kararında, hash değeri tespit edilmemiş bilgisayar incelemesinin delil değerinin düşük olduğu ve sonradan manipülasyon şüphesi yaratacağı açıkça vurgulanmıştır.
• Yedekleme ve Asıl Materyalin İadesi: Kural olarak asıl materyal, iki kopya alınıp bir kopyası şüpheliye bırakıldıktan sonra iade edilmelidir. Ancak çocuk pornografisi gibi suçlarda bu kural, suç konusu materyalin niteliği gereği farklılaşabilmektedir.

Bilirkişi İncelemesinin Zorunluluğu

TCK m. 226 davalarında bilirkişi raporu hayati önemdedir. Yargıtay'ın yerleşik tutumuna göre hâkim, içeriğin "müstehcen" olup olmadığını, görüntüdeki kişinin yaşını, eylemin "doğal olmayan" niteliği taşıyıp taşımadığını tek başına değerlendiremez. Bu değerlendirme, teknik ve bilimsel uzmanlık gerektirdiğinden bilirkişi raporu ile desteklenmek zorundadır.

Dijital Materyal Üzerinde Adli Bilişim İncelemesi

El konulan cihazlar (bilgisayar, telefon, harici bellek, tablet) üzerinde yapılacak adli bilişim incelemesi şu hususları içermelidir:

• İhbara konu görüntülerle cihazda bulunan görüntülerin hash bazlı ve görsel bazlı karşılaştırılması,
• Dosyaların cihaza hangi yolla (manuel indirme, WhatsApp/Telegram otomatik kaydı, önbellek, temporary klasör) geldiğinin belirlenmesi,
• Dosya yollarının (path) analizi: kullanıcının oluşturduğu özel klasörler mi, yoksa uygulamanın otomatik oluşturduğu sistem klasörleri mi?
• Meta verilerin (oluşturulma, erişim, değiştirilme tarihleri) incelenmesi — dosya hiç açılmış mı, yoksa kullanıcının haberi olmaksızın mı inmiş?
• Silinmiş alan (unallocated space) ve önbellekten (cache) geri getirilen verilerin bilinçli depolama kastını kanıtlayıp kanıtlamadığının değerlendirilmesi,
• Log kayıtları (tarayıcı geçmişi, sosyal medya uygulama oturum logları) ile sosyal medya paylaşımlarının doğrulanması.

Yaş Tespiti (Kemik Yaşı)

Görüntüdeki kişinin 18 yaşından küçük olduğu hususunda tereddüt varsa — özellikle 16–19 yaş aralığındaki sınır durumlarda — Adli Tıp Kurumu'ndan kemik yaşı tespiti veya görüntü bazlı morfolojik yaş analizi istenmesi usuldendir. Bu tespit yapılmadan "görüntüdeki kişinin çocuk olduğu" kabulüyle hüküm kurulması, eksik inceleme sayılır.

BTK İncelemesi ve IP Tespitinin Sınırları

Raporda geçen IP adreslerinin gerçekten şüpheliye ait olup olmadığı, BTK aracılığıyla Türk operatörlerine yapılacak sorgulamayla belirlenebilir. Ancak bu sorgulamanın sonuç verebilmesi için dört temel engel aşılmalıdır:

• Port Bilgisinin Bulunması: CGNAT kullanan operatörlerde (Türk Telekom, Vodafone, Turkcell büyük ölçüde CGNAT kullanır), bir IP aynı anda yüzlerce hatta binlerce kullanıcıya atanabilir. Belirli bir kullanıcıyı tespit edebilmek için IP adresinin yanında port numarasının da bildirilmiş olması gerekir. Savcılık BTK'ya sadece IP bildirip port numarası bildirmezse, operatör "PORT bilgisi gerekir" yanıtıyla sorguyu sonuçsuz iade eder.
• Veri Saklama Süresinin Geçerliliği: 5651 sayılı Kanun kapsamındaki yönetmelikler, operatörlerin trafik verilerini (RADIUS, NAT logları) genellikle 1, en fazla 2 yıl saklamasını zorunlu kılar. Bu süreler dolmuş olan IP sorgularında BTK "KAYIT BULUNAMADI" yanıtı verir.
• Yabancı (VPN/Proxy) IP'lerin Yetki Dışılığı: Raporda yer alan IP'lerin bir kısmı Vietnam'daki Viettel Group, Hollanda, Romanya vb. yabancı operatörlere ait çıkabilir. Bu durum, kullanıcının kimliğini gizlemek için VPN/proxy kullandığının güçlü teknik göstergesidir.
• Halka Açık Wi-Fi ve Kayıt Dışı Oturumlar: Otel, kafe, AVM Wi-Fi ağlarında misafir oturum logları çoğu zaman tutulmaz ya da çok kısa süreli saklanır.

Raporun Teknik Sınırları ve Yanlış Pozitif Riskleri

IP Adresi ≠ Kişi

Adli bilişimin temel kabullerinden biri, IP adresinin bir kişiyi değil, bir ağ bağlantı noktasını temsil ettiğidir. Bu bağlantı noktasını o anda kimin kullandığı ayrı bir araştırma konusudur. IP-kişi eşleşmesini zorlaştıran faktörler: CGNAT (tek kamu IP'sini binlerce abonenin paylaşması), dinamik IP (modem yeniden başlatıldığında veya belirli aralıklarla yenilenen IP), VPN/Proxy (Vietnam, Romanya, Panama gibi ülke IP'lerinin görünmesi aktif kimlik gizlemenin göstergesidir), halka açık/paylaşımlı Wi-Fi ve işyeri/okul ağları.

Hesap Ele Geçirme (Account Compromise)

NCMEC raporunda bir hesaptan CSAM paylaşıldığı bildirilse bile, bu paylaşımın hesap sahibinin kendisi tarafından yapıldığı peşinen kabul edilemez. Raporda incelenebilecek klasik hesap ele geçirme belirtileri: suç eyleminin hemen öncesinde veya sonrasında EmailConfirmEvent veya PhoneNumberChangeEvent kayıtları; kısa zaman dilimi içinde fiziksel olarak imkânsız konum değişimleri (örneğin Türkiye'den 42 saat sonra Vietnam'dan hesaba giriş); dakikalar içinde onlarca farklı IP'den aynı hesaba erişim (VPN zinciri veya botnet belirtisi); Login olayı ile Upload olayı arasında tutarsız cihaz/tarayıcı parmak izi. Bu tür anomaliler içeren raporlar, savunmada "hesabımı birisi ele geçirdi" iddiasının teknik zeminini sağlar.

Otomatik İndirme Sorunu ("WhatsApp Savunması")

Akıllı telefon uygulamaları, varsayılan ayarlarda gelen medyayı otomatik olarak cihaza kaydeder. Özellikle WhatsApp ve Telegram'da, kullanıcı kalabalık bir gruba üye ise, grupta paylaşılan yasadışı bir içerik kullanıcının haberi ve kastı olmaksızın telefonun hafızasına inebilir. Bu durumda TCK m. 226/3'teki "bulundurma" suçunun manevi unsuru (kast) oluşmaz. Savunma açısından adli bilişim incelemesinde özellikle şu hususlara odaklanılmalıdır: dosyanın yolu (/WhatsApp/Media/ gibi otomatik indirme klasörü mü, yoksa kullanıcının oluşturduğu özel arşiv klasörü mü?), oluşturulma ve son erişim tarihleri, küçük resim (thumbnail) varlığı, paylaşım/ileri gönderim logu.

ABD Yargısından Yakın Tarihli Emsal: Lawshe v. Verizon Kararı

ABD federal mahkemesinin 28 Şubat 2025 tarihli Lawshe v. Verizon Communications Inc. & Synchronoss Technologies, Inc. kararı, ESP'lerin otomatik hash eşleşmelerine dayanarak yaptıkları raporlamalar nedeniyle kullanıcılara karşı yasal sorumluluk doğabileceğini ortaya koyan çığır açıcı bir emsaldir. Bu karar, NCMEC süreçlerinin Türkiye'de de eleştirel bir bakış açısıyla değerlendirilmesi gerektiğinin uluslararası dayanağı niteliğindedir.

Davanın Konusu

Davacı William Lee Lawshe, Verizon'un bulut hizmetinde yasal erişkin pornografisi depolayan bir Verizon abonesidir. Verizon ve veri depolama alt yükleniciliği yapan Synchronoss, hash karşılaştırma teknolojisi kullanarak iki ayrı görseli CSAM olarak işaretleyip NCMEC'e iki ayrı CyberTip göndermiştir:

• Birinci CyberTip (29 Ekim 2022): NCMEC etiketi "apparent CSAM" (görünürde CSAM) — yani endüstride "kesin, açık veya aşikâr" CSAM olarak kabul edilen kategori.
• İkinci CyberTip (25 Ocak 2023): NCMEC etiketi "unconfirmed CSAM" (doğrulanmamış CSAM) — yaşı net olarak belirlenemeyen kişilerin bulunduğu içerikler için kullanılan kategori.

Mahkeme kararına göre her iki görseldeki kişiler "en yüzeysel bir incelemeyle bile yetişkin olarak kolayca tanımlanabilir" durumdaydı; yani her iki rapor da yanlış pozitifti. İkinci CyberTip Lawshe'nin tutuklanmasına yol açtı.

Mahkemenin Kritik Tespitleri

"Apparent" ve "Unconfirmed" Etiketleri Arasındaki Hukuki Ayrım

Mahkeme, 18 U.S.C. § 2258A(a) kapsamındaki "apparent violation" (görünürde ihlal) kavramının — ve dolayısıyla § 2258B uyarınca sağlayıcılara tanınan bağışıklığın — her hash eşleşmesinde otomatik olarak uygulanamayacağını hüküm altına almıştır:

• "Apparent CSAM" etiketli hash eşleşmesi → § 2258A(a) kapsamında raporlama zorunluluğu doğurur ve § 2258B bağışıklığı uygulanır. Mahkeme Birinci CyberTip'e ilişkin tüm talepleri (Counts II, IV, VI, VIII) bu gerekçeyle reddetmiştir.
• "Unconfirmed CSAM" etiketli hash eşleşmesi → tek başına raporlama zorunluluğu doğurmaz; sağlayıcının gönüllü bir ifşasıdır. Dolayısıyla § 2258B bağışıklığı otomatik olarak uygulanmaz. Mahkeme, bu etiketin "yalnızca NCMEC'te bir çalışanın, bilinmeyen bir tarihte, bilinmeyen yöntemlerle bir görseli CSAM olarak belirleyemediğini" gösterdiğini tespit etmiştir.

"Actual Malice" İstisnası ve Yalan Beyan

Mahkemenin en çarpıcı tespiti, İkinci CyberTip'te Synchronoss'un yaptığı üç temel beyanın gerçek dışı olduğudur:

1. "Dosyanın içeriğinin tamamı görüntülendi" (oysa fileViewedByEsp: 0),
2. "Dosya kamuya açık olarak mevcut değildi" (oysa halka açık bir web sitesinin filigranını taşıyordu),
3. "Görüntü ergenlik öncesi bir çocuğun müstehcen teşhirini içeriyordu" (oysa görüntüdeki kişi yetişkindi).

Mahkeme, bu gerçek dışı beyanların New York Times Co. v. Sullivan, 376 U.S. 254 (1964) kararında tanımlanan "actual malice" (gerçek kasıt) standardını karşıladığını — yani sağlayıcının beyanın yanlışlığını bildiği veya beyanın doğruluğuna karşı pervasız kayıtsızlıkla hareket ettiğini — ve bu durumun § 2258B bağışıklığının istisnasını oluşturduğunu kabul etmiştir.

"İyi Niyetli Yasal Dayanak" (Good Faith Reliance) Savunması

Mahkeme, 18 U.S.C. § 2707(e) kapsamındaki "iyi niyetli yasal dayanak" savunmasının salt algoritmik işaretleme veya veri tabanı eşleşmesine dayanarak otomatik sorumsuzluk hali yaratmadığını; bu savunmanın somut olayın özelliklerine göre ayrıca değerlendirilmesi gerektiğini tespit etmiştir.

TCK m. 226 Kapsamında Nitelendirme Sorunu

NCMEC raporuna dayalı dosyalarda karşılaşılan en sık hatalardan biri, eylemin TCK m. 226'nın hangi fıkrasına ve cümlesine uyduğunun doğru belirlenmemesidir. Yargıtay, bu nitelendirme hatasını tespit ettiğinde — bozma sebebi yaparak — davayı uzun yıllar boyunca geri döndürebilmektedir.

"Belirsiz Sayıda Kişi" Kriteri ve 226/3 – 226/5 Ayrımı

Yargıtay 4. Ceza Dairesi'nin 2020/15644 E., 2021/9009 K. sayılı kararında ifade edildiği üzere; bir müstehcen ürünün "basın ve yayın yoluyla yayma" sayılabilmesi için söz konusu içeriğe belirsiz sayıda kişinin ulaşma imkânının bulunması gerekmektedir. Ürünün yalnızca belirli bazı kişilere ulaştırılması veya internetin bireysel bir iletişim aracı olarak kullanılması durumlarında, TCK m. 226/5'teki nitelikli halin unsurları gerçekleşmez; eylem 226/3'ün ikinci cümlesindeki "başkalarının kullanımına sunma" fiilini oluşturur.

Ankara Bölge Adliye Mahkemesi 17. Ceza Dairesi'nin 17.05.2024 tarih ve 2024/392 E., 2024/619 K. sayılı kararı, bu ayrımı somutlaştıran önemli bir örnek teşkil etmektedir: Facebook Messenger üzerinden 131 ayrı kullanıcıya iletilen müstehcen video kaydı, kullanıcıların tek tek belirlenebilir olması nedeniyle TCK m. 226/5 değil, 226/3 – 2. cümle ("başkalarının kullanımına sunma") kapsamında değerlendirilmiştir.

Fikri İçtima (TCK m. 44) ve Çifte Ceza Yasağı

Bir sanığın elinde hem CSAM bulundurduğu (226/3 – 2. cümle) hem de bu içerikleri sosyal medyada belirsiz sayıda kişiye ulaşacak şekilde yayınladığı (226/5) tespit edildiğinde, iki ayrı suçun oluştuğu kabul edilir. Ancak TCK m. 44'te düzenlenen fikri içtima kuralı gereğince, bu iki ayrı suç için sanığa ayrı ayrı ceza verilmez; en ağır cezayı öngören TCK m. 226/5 hükmü uygulanır ve mağdur sayısı belirlenebiliyorsa mağdur sayısınca hüküm kurulur.

Depolama Kastı ve "İradi Bulundurma"

TCK m. 226/3'teki "depolama" ve "bulundurma" fiillerinin oluşması için bilinçli ve iradi bir davranış gereklidir. Yargıtay'ın yerleşik içtihadına göre, cihazdaki CSAM içeriğinin varlığı tek başına yeterli değildir. Bu içerikler otomatik uygulama indirmeleri sonucu kullanıcının haberi olmadan kaydedilmiş, tarayıcı önbelleğinde geçici olarak tutulmuş ve silinmiş, virüs veya kötü amaçlı yazılımla kullanıcının iradesi dışında yerleştirilmiş ya da ikinci el alınan bir cihazda önceki sahibinden kalma dosyalar olabilir. Bu olasılıkların teknik bilirkişi incelemesiyle ortadan kaldırılmadan, sanığın "bilinçli depolama" kastı içinde olduğu varsayılarak mahkûmiyet hükmü kurulması, eksik soruşturma gerekçesiyle bozma sebebidir.

Emsal Yargıtay Kararları

Savunma Açısından Stratejik Kontrol Listesi

NCMEC raporuna dayalı bir dosyada savunmayı üstlenen müdafi için, dosyanın teknik ve hukuki katmanlarını ayrıştırarak sistematik bir savunma stratejisi kurmak kritik meseledir. Aşağıdaki kontrol listesi savunmanın omurgasını oluşturmak üzere kullanılabilir.

Rapor Metni Üzerinden Kontrol

• Raporun "NCMEC Classification" alanında "Files Not Reviewed by NCMEC" ibaresi var mı? Varsa dilekçede vurgulanmalı.
• "Did Reporting ESP view entire contents of uploaded file?" sorusunun cevabı "No" mu? fileViewedByEsp: 0 mı?
• "Estimated Location – Not Verified" uyarısı bulunuyor mu?
• "Prior CT Reports" alanında aynı hesap/kullanıcı için geçmiş raporlar var mı? Varsa dava birleşmesi istenebilir.
• Olay türü ("Event Type") "Upload" mı, "Other" mı?
• Etiket "apparent" mı, "unconfirmed" mı? (Lawshe v. Verizon ayrımı)

Delil Zinciri (CMK m. 134) Denetimi

• Arama kararı hâkim tarafından mı verilmiş? Gecikmesinde sakınca bulunan hâl söz konusuysa savcı emrinin 24 saat içinde hâkim onayına sunulduğu tutanakla belgelendi mi?
• İmaj alma anında hash değeri (MD5/SHA) hesaplanıp tutanağa işlendi mi? Şüpheli veya müdafiye bir kopya verildi mi?
• Bulunan dosyalar hangi dizinde? Otomatik indirme klasörü, önbellek veya unallocated space ise iradi bulundurma kastı sorgulanmalı.
• Meta veriler: dosyalar hiç açılmamış veya yalnızca önizleme olarak görülmüşse, bu durum kastın oluşmadığına dair güçlü bir argümandır.

IP Analizi Üzerinden Savunma

• Raporda yer alan IP adresleri arasında yabancı ülke IP'si (Vietnam, Hollanda, Romanya vb.) var mı?
• Aynı hesaba kısa zaman dilimi içinde Türkiye'den ve yabancı ülkeden giriş kaydı var mı? ("Fiziksel imkânsızlık" argümanı)
• IP adresleri CGNAT havuzundan mı geliyor? Port bilgisi mevcut mu?
• BTK sorgulaması IP'nin kullanıldığı tarihten itibaren 1-2 yılı geçmişse veri saklama süresi dolmuş olabilir.
• İnternet aboneliği birden fazla kişi tarafından (aile, işyeri, kiralık konut) kullanılıyor mu?

Hesap Ele Geçirme Senaryosunun Geliştirilmesi

• Rapor döneminde hesapta şifre sıfırlama, e-posta/telefon değiştirme olayları mı olmuş?
• Hesaba aynı anda farklı cihazlardan çoklu giriş kaydı var mı?
• Kısa aralıklarla çok sayıda farklı IP'den erişim (IP flurry) — botnet veya kimlik avı göstergesi olabilir.
• Sanığın o tarihte başka bir yerde (tatilde, seyahatte, hastanede) olduğunu gösteren belge/tanık var mı?

Özel Bilirkişi Mütalaası

CMK'nın izin verdiği "uzman mütalaası" (m. 67/6) yolu, savunmanın elinde güçlü bir araçtır. Özellikle adli bilişim konusunda bağımsız bir özel bilirkişiden alınacak mütalaa; NCMEC raporundaki otomatik hash eşleşmesinin yanlış pozitif olasılığını, IP adresinin şüpheliyi temsil etmediğini, cihazdaki dosyaların otomatik kaydedilmiş olabileceğini teknik detaylarla ortaya koyabilir. Bu mütalaa, resmî bilirkişi raporuna karşı denge oluşturur ve mahkemenin yeniden inceleme yaptırmasına zemin hazırlar.

Sonuç

NCMEC CyberTipline raporu, 21. yüzyılın uluslararası siber suç mücadelesinin en yaygın ve sistematik araçlarından biridir. Türk hukukunda TCK m. 226 kapsamındaki soruşturmaların büyük çoğunluğu bu raporlarla başlamaktadır. Ne var ki raporun, yapısal olarak bir suç ihbarı niteliğinde olduğu, NCMEC'in ne içeriğini ne de doğruluğunu teyit ettiği, kendi metninde açıkça yazılıdır.

Bu gerçeği göz ardı ederek NCMEC raporundaki IP eşleşmesine veya hash kaydına dayalı olarak kurulan mahkûmiyet hükümleri, Yargıtay denetiminde istikrarlı bir şekilde bozulmaktadır. Yüksek Mahkeme'nin aradığı üçlü koruma zinciri — (i) CMK m. 134'e uygun hukuka uygun delil elde edilmesi, (ii) konusunda uzman bilirkişilerce kapsamlı teknik inceleme yapılması, (iii) suçun doğru fıkra altında nitelendirilmesi — her dosyada titizlikle takip edilmesi gereken bir adli standart halini almıştır.

ABD federal yargısının 2025 tarihli Lawshe v. Verizon kararı da, sağlayıcıların algoritmik hash eşleşmelerine dayalı "apparent" ve "unconfirmed" etiketli raporlamalarının farklı hukuki sonuçlar doğurduğunu; tek başına teknik bir ön tespitin mutlak bir suç belgesi değil, yargısal denetime tabi bir ihbar olduğunu uluslararası bir emsalle pekiştirmiştir.

Sonuç olarak; NCMEC raporu ne mutlak bir suçlama belgesi, ne de değersiz bir bildirimdir. Hukuka uygun şekilde üretilmiş teknik kayıtların toplamından oluşan, doğruluğu sorgulanabilen ve tamamlayıcı delillerle desteklenmeksizin mahkûmiyet için yeterli olmayan bir başlangıç belgesidir. Adli makamların ve avukatların bu raporları klasik bir delil gibi değil; teknik verilerle doğrulanması, hukuka uygunluk denetiminden geçirilmesi ve içtihat süzgecinden çıkarılması gereken karmaşık belgeler olarak değerlendirmesi, çağdaş bir ceza muhakemesinin kaçınılmaz bir gereğidir.