Son zamanlarda yatırımcılar, Kripto odaklı kimlik avı saldırılarına sıkça maruz kalmaktadırlar. Peki kimlik avı saldırısı nedir? Kimlik avı, kişisel verilerin çalınması ile meydana gelen ve dolandırıcılarca sıkça tercih edilen bir siber saldırı türüdür. Yani gerçek ya da tüzel kişilere ait kişisel bilgilerin yetkisiz kişilerce dolandırıcılık ve diğer suçlarda kullanılmak üzere ele geçirilmesi, iletilmesi, muhafazası ya da kullanılmasıdır. Dolandırıcılar, kimlik avı saldırıların gerçekleşmesini sağlayabilmek amacıyla nice yöntemler kullanmakta ve her geçen gün de bu yöntemleri geliştirip çeşitlendirmektedirler.
Örneğin; Klon Kimlik Avı Saldırısı, Pharming Saldırısı, Phishing Saldırısı, Buzla Kimlik Saldırısı, Kötü İkiz Saldırı gibi…Bunlardan bazıları sosyal mühendisliğin ürünü iken; bazıları ise kötü amaçlı yazılımların ürünüdür.
Daha somut ilerleyebilmek adına, Phishing saldırı yöntemine örnek verelim. Bireysel yatırımcılar; sürekli olarak tercih etmiş oldukları platformun web sitesi tarafından gönderildiğini düşündükleri e-posta yardımıyla, sahte sitelere yönlendirilmektedirler. Böylece bireysel yatırımcılara ait kullanıcı adı, şifre, ağ kimlik bilgileri veya kredi kartı gibi kişisel veriler kötü niyetli kişilerce elde edilerek; bireysel yatırımcıların rızası olmaksızın da dijital cüzdanlarından yüklü transferler gerçekleştirmek suretiyle dijital varlıkları çalınabilmektedir. Görüldüğü üzere kişisel verilerin hukuka aykırı bir şekilde eldesi, kullanımı ve kaydedilmesi ayrıyeten ise veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi gibi kişisel veri ihlali mevzu bahistir.
İşbu hukuka aykırı eylemlerin yaptırımları hem Türk Ceza Kanunu’nda hem de Kişisel verilerin Korunması kanununda mevcuttur. Ki bilindiği üzere Kişisel Verileri Kanunu uyarınca kişilerin finans ve ekonomik bilgileri, kişilerin internet paylaşımları, şifreleri ve e postaları ile ziyaret ettiği sitelerin bilgileri de kişisel veri olarak değerlendirilmektedir.
KVKK kapsamında veri güvenliğine ilişkin ve diğer çeşitli yükümlülüklerin yerine getirilmemesi halinde idari para cezası yaptırımı öngörülmüşken; TCK kapsamında ise hapis cezası yaptırımı öngörülmüştür.
Kabahatler
MADDE 18-
(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
Kişisel Verilerin Kaydedilmesi
Madde 135-
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri Hukuka Aykırı Olarak Verme Veya Ele Geçirme
Madde 136-
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli Haller
Madde 137-
(1) Yukarıdaki maddelerde tanımlanan suçların;
Verileri Yok Etmeme
Madde 138-
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır
Kişisel veri ihlaline yönelik yüksek farkındalıklar oluşturularak mağdurların sayısı bir nebze de azaltılabilir. Ayrıca telefon üzerinden kripto para madenciliği yapılmasına olanak tanıyan Pi Network yaklaşık 17 GB’lık bir kişisel veri hırsızlığına sebep olduğuna dair haberler ile birlikte kullanıcıların daha dikkatli olmasında fayda vardır. Kripto Para Borsasında dikkat edilmesi gereken hususlar yazımız ise sizlere bu noktada bir nebze yol gösterici olacaktır.
Uygulamada ortaya çıkan en önemli sorun hiç kuşkusuz güvenlik sorunudur Kişisel verilerin hukuka aykırı elde edilerek kullanılması hem platformlar için hem de bireysel yatırımcılar için ciddi bir risk teşkil etmektedir. Bireysel yatırımcılar tabi ki güvenli bir platformda işlemleri yapabilmeyi talep etmek isteyeceklerdir. Bu nedenledir ki; Platformlar, üzerlerine düşen objektif özen yükümlülüklerini yerine getirmeli ve de kullanıcılarını koruma amaçlı gerekli güvenlik önlemlerini almaları gerekmektedir.
Platformlar, Kripto para borsasında daha fazla bireysel yatırımcı kitlesine ulaşarak daha fazla kazanç elde etmeyi hedeflediklerinden ötürü ; bu hedefe paralel olarak ise platforma ait sistemin güvenliğine yönelik tüm tedbirleri almalı, sistem hatalarını ve eksikliklerini tespit ederek, bu hatalar ve eksikliklikleri gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri bu anlamda büyük önem taşımaktadır.
Platformlar örneğin kötü niyetli üçüncü kişilerin hem kullanıcılarına hem de kendi sistemlerine zarar vermemeleri amacıyla, bu kişilerin platforma girişlerini engelleyecek güvenlik mekanizmasını oluşturmaları, sistemlerini sürekli güncelleyerek yenilemeleri, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almalarının yanı sıra kullanıcılarına da bu anlamda anında bilgilendirmesi gerekmektedir.
O hâlde platformlar da aslında bankalar gibi ağırlaştırılmış sorumluluğun bir gereği olarak objektif özen yükümlülüğü altında bulunmaları ve buna karşılık olarak ise hafif kusurlarından dahi sorumlu olmaları gerekmektedir. Nitekim mevzuatımızda platformlara özgü bir özel hüküm bulunmamış olsa da açıkçası Türk Borçlar Kanunu’nun genel hükümleri uyarınca bu sonuca ulaşmamıza engel bir hususun mevcut olmadığı görüşündeyiz.
Ancak sorumluluğun sözleşmenin tek tarafına yüklenmesi de tabi ki dürüstlük kuralı gereği beklenemez. Güvenli bir işlem hizmetinin sunulabilmesi için bireysel yatırımcılar da platformlara kıyasla azami sorumluluklarını yerine getirmekle yükümlüdür. Örneğin; platformda kullanmış olduğu şifreyi düzenli aralıklarla değiştirmeli, üçüncü kişilerce kolayca çözülebilecek şifreler tercih etmemeli, tanımadığı kişilerden gelen e-postaları açmamalıdırlar ve güvenlik zaafı olabileceğini düşünerek bilmediği yerlerden ya da umumi olarak kullanılan internet kafe gibi yerlerden işlem yapmamayı tercih etmelidirler.
Bireysel yatırımcılar kişisel verilerinin üçüncü kişilerin eline geçmemesi için gerekli bütün tedbirleri özenle almış olsalar dahi herhangi bir ihlal yaşanmışsa ki eğer; Platformlar özen ve koruma yükümlülüğüne aykırı davranarak sözleşmenin ihlâline neden olmasından dolayı TBK m.49, m.112 uyarınca tazminatla yükümlü olmaları gerekmektedir. Bu yükümlülüklerin ihlal edilmesinde bireysel yatırımcının da kendi kusuru mevcut ise kusuru oranında sorumluluğa katlanması gerekmektedir .Bu itibarla, yatırımcının, dijital hesabının çalınmasında ve kişisel bilgilerinin kötü niyetli üçüncü kişilerin eline geçmesinde kusuru var ise, TBK m. 52 uyarınca bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda platform, sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını TBK’nın 112 maddesi gereğince ispat etmek durumunda olup, ayrıca yatırımcısının müterafik kusurlu olduğunu ispat etmekle de yükümlüdür.
Yakın vakitte bir kripto donanım cüzdanı üreticisi olan Trezor, kripto kimlik avı saldırısına karşı özen ve koruma yükümlülüğü gereğince kullanıcılarını uyardığını da bu biliyoruz.