Data Privacy & On-Chain Security

Kripto Ekosisteminde Kişisel Verilerin Önemi

Kimlik Avı (Phishing) Saldırıları

Son zamanlarda yatırımcılar, kripto odaklı siber kimlik avı saldırılarına sıkça maruz kalmaktadırlar. Kimlik avı, kişisel verilerin yasa dışı ele geçirilmesiyle meydana gelen ve siber dolandırıcılarca en çok tercih edilen tehlikeli bir metottur.

Dolandırıcılar; Klon Kimlik Avı, Pharming, Phishing, Buzla Kimlik Saldırısı ve Kötü İkiz (Evil Twin) gibi karmaşık teknikler kullanmaktadır. Bu saldırıların bir kısmı sosyal mühendislik manipülasyonlarına dayanırken, bir kısmı ise doğrudan kötü amaçlı yazılımlarla (malware) gerçekleştirilir.

Tipik Bir Phishing Vakası:Yatırımcılar, aktif kullandıkları borsaların web sitesinden gelmiş gibi süslenen sahte e-postalarla sahte (klon) sitelere yönlendirilir. Burada girilen kullanıcı adı, şifre, 2FA kodları veya cüzdan gizli anahtarları siber korsanların eline geçer. Korsanlar, yatırımcının rızası olmaksızın dijital cüzdanlardaki tüm fonları tek bir işlemle boşaltır. Bu durum, veri güvenliği ihlaliyle birlikte doğrudan finansal bir yıkım doğurur.

Bilinçsiz Uygulama Kullanımı Riskleri

Kişisel veri ihlallerine yönelik yüksek farkındalık oluşturularak mağduriyet oranları düşürülebilir.

⚠️ Sektörel Uyarı // Veri İhlali Haberleri:Telefon üzerinden kripto varlık madenciliği yapılmasına olanak tanıyan Pi Network projesinin, yaklaşık 17 GB’lık devasa bir kişisel veri sızıntısına ve kimlik hırsızlığı zafiyetine sebep olduğuna dair küresel haberler, mobil ekosistemde kullanıcıların ne denli büyük bir tehdit altında olduğunu açıkça kanıtlamaktadır.

6698 SAYILI KANUN

Kişisel Verilerin Korunması Kanunu m.18

Veri güvenliği ve aydınlatma yükümlülüklerine aykırılık halinde veri sorumlusu şirketlere uygulanan yasal yaptırımlar (Kabahatler):

Aydınlatma Yükümlülüğü İhlali

10. maddede öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar idari para cezası verilir.

Veri Güvenliği Yükümlülüğü İhlali

12. maddede öngörülen veri güvenliğine ilişkin teknik ve idari yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

Kurul Kararlarına Aykırılık

15. maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

ç)

Veri Sorumluları Sicili (VERBİS)

16. maddesinde öngörülen Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar idari para cezası verilir.

TÜRK CEZA KANUNU MEVZUATI

Kişisel Verilere Karşı İşlenen Suçlar

Hukuka aykırı veri işleme faaliyetlerinde doğrudan gerçek kişi veri sorumluları ve failler için öngörülen hapis cezası yaptırımları:

Madde 135

Kişisel Verilerin Kaydedilmesi

Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir. Verilerin cinsel yaşam, sağlık, dini/siyasi görüş veya ırki kökene ait olması durumunda ceza yarı oranında artırılır.

Madde 136

Verileri Hukuka Aykırı Verme/Ele Geçirme

Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.

Madde 137

Nitelikli Haller

Suçların kamu görevlisi tarafından görevin verdiği yetki kötüye kullanılmak suretiyle veya belli bir meslek ve sanatın sağladığı kolaylıktan yararlanarak işlenmesi halinde ceza yarı oranında artırılır.

Madde 138

Verileri Yok Etmeme

Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.

🏢

Kripto Borsalarının Hukuki Sorumluluğu

Kripto varlık hizmet sağlayıcıları, tıpkı bankalar gibi ağırlaştırılmış objektif özen yükümlülüğü altındadırlar. Platformlar, sistem güvenliğini bilinen en son teknolojik gelişmelere uygun hale getirmekle ve siber saldırganların girişini engelleyecek mekanizmaları kurmakla mükelleftir. Bu doğrultuda, borsalar hafif kusurlarından dahi tam sorumlu kabul edilirler.

Fail ihlali durumlarında, borsanın özen ve koruma yükümlülüğüne aykırı davranarak sözleşmeyi ihlal etmesinden ötürü TBK m.49 ve m.112 uyarınca mağdur yatırımcının maddi zararını tazmin etme yükümlülüğü doğmaktadır. Borsalar sorumlu olmadığını ispat etmekle mükelleftir.

🔥 YENİ 7518 SAYILI REFORM KANUNU (TBK m.71):6362 sayılı kanunda yapılan son değişikliklerle, siber saldırı veya personelin hatalı davranışları nedeniyle yaşanan kripto varlık kayıplarından doğrudan kripto varlık hizmet sağlayıcıları (borsalar) tehlike sorumluluğu esasına göre hukuken sorumlu tutulmuştur.

👤

Yatırımcının Özgün Sorumluluğu

Güvenli bir işlem ortamının sürdürülebilmesi için dürüstlük kuralı gereğince bireysel yatırımcılar da kendi üzerlerine düşen azami güvenlik tedbirlerini almakla yükümlüdürler. Kullanıcı hatasından kaynaklanan zafiyetler borsanın sorumluluğunu hafifletebilir veya tamamen ortadan kaldırabilir.

Yatırımcı Güvenlik Protokolü:

Borsa şifreleri karmaşık seçilmeli ve düzenli aralıklarla değiştirilmelidir.
Bilinmeyen kaynaklardan gelen şüpheli e-postalar ve linkler asla açılmamalıdır.
Güvenlik açığı oluşturabilecek umumi internet kafeler veya şifresiz ortak Wi-Fi ağları üzerinden asla kripto transfer işlemi yapılmamalıdır.

TBK MADDE 52 // MÜTERAFİK KUSURYatırımcının kendi hesap güvenliğini korumada ağır ihmali mevcutsa, bu durum yargı makamlarınca "müterafik kusur" (ortak kusur) olarak değerlendirilir ve platformun ödeyeceği tazminat miktarında kusur oranında indirime gidilmesine sebep olur.