Son zamanlarda yatırımcılar, Kripto odaklı kimlik avı saldırılarına sıkça maruz kalmaktadırlar. Peki kimlik avı saldırısı nedir? Kimlik avı, kişisel verilerin çalınması ile meydana gelen ve dolandırıcılarca sıkça tercih edilen bir siber saldırı türüdür. Yani gerçek ya da tüzel kişilere ait kişisel bilgilerin yetkisiz kişilerce dolandırıcılık ve diğer suçlarda kullanılmak üzere ele geçirilmesi, iletilmesi, muhafazası ya da kullanılmasıdır. Dolandırıcılar, kimlik avı saldırıların gerçekleşmesini sağlayabilmek amacıyla nice yöntemler kullanmakta ve her geçen gün de bu yöntemleri geliştirip çeşitlendirmektedirler.
Örneğin; Klon Kimlik Avı Saldırısı, Pharming Saldırısı, Phishing Saldırısı, Buzla Kimlik Saldırısı, Kötü İkiz Saldırı gibi…Bunlardan bazıları sosyal mühendisliğin ürünü iken; bazıları ise kötü amaçlı yazılımların ürünüdür.
Daha somut ilerleyebilmek adına Phishing saldırı yöntemine örnek verelim. Bireysel yatırımcılar; sürekli olarak tercih etmiş oldukları platformun web sitesi tarafından gönderildiğini düşündükleri e-posta yardımıyla sahte sitelere yönlendirilmektedirler. Böylece bireysel yatırımcılara ait kullanıcı adı, şifre, ağ kimlik bilgileri veya kredi kartı gibi kişisel veriler kötü niyetli kişilerce elde edilerek; bireysel yatırımcıların rızası olmaksızın da dijital cüzdanlarından yüklü transferler gerçekleştirmek suretiyle dijital varlıkları çalınabilmektedir. Görüldüğü üzere kişisel verilerin hukuka aykırı bir şekilde eldesi, kullanımı ve kaydedilmesi ayrıyeten ise veri güvenliğine ilişkin yükümlülüklerin yerine getirilmemesi gibi kişisel veri ihlali mevzu bahistir.
İşbu hukuka aykırı eylemlerin yaptırımları hem Türk Ceza Kanunu’nda hem de Kişisel verilerin Korunması kanununda mevcuttur. Ki bilindiği üzere Kişisel Verileri Kanunu uyarınca kişilerin finans ve ekonomik bilgileri, kişilerin internet paylaşımları, şifreleri ve e postaları ile ziyaret ettiği sitelerin bilgileri de kişisel veri olarak değerlendirilmektedir. KVKK kapsamında veri güvenliğine ilişkin ve diğer çeşitli yükümlülüklerin yerine getirilmemesi halinde idari para cezası yaptırımı öngörülmüşken; TCK kapsamında ise hapis cezası yaptırımı öngörülmüştür.
Kabahatler
MADDE 18-
(1) Bu Kanunun;
a) 10 uncu maddesinde öngörülen aydınlatma yükümlülüğünü yerine getirmeyenler hakkında 5.000 Türk lirasından 100.000 Türk lirasına kadar,
b) 12 nci maddesinde öngörülen veri güvenliğine ilişkin yükümlülükleri yerine getirmeyenler hakkında 15.000 Türk lirasından 1.000.000 Türk lirasına kadar,
c) 15 inci maddesi uyarınca Kurul tarafından verilen kararları yerine getirmeyenler hakkında 25000 Türk lirasından 1.000.000 Türk lirasına kadar,
ç) 16 ncı maddesinde öngörülen Veri sorumluları siciline kayıt ve bildirim yükümlülüğüne aykırı hareket edenler hakkında 20.000 Türk lirasından 1.000.000 Türk lirasına kadar, idari para cezası verilir.
(2) Bu maddede öngörülen idari para cezaları veri sorumlusu olan gerçek kişiler ile özel hukuk tüzel kişileri hakkında uygulanır.
Kişisel Verilerin Kaydedilmesi
Madde 135-
(1) Hukuka aykırı olarak kişisel verileri kaydeden kimseye bir yıldan üç yıla kadar hapis cezası verilir.
(2) Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır.
Verileri Hukuka Aykırı Olarak Verme Veya Ele Geçirme
Madde 136-
(1) Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır.
(2) (Ek:17/10/2019-7188/17 md.) Suçun konusunun, Ceza Muhakemesi Kanununun 236 ncı maddesinin beşinci ve altıncı fıkraları uyarınca kayda alınan beyan ve görüntüler olması durumunda verilecek ceza bir kat artırılır.
Nitelikli Haller
Madde 137-
(1) Yukarıdaki maddelerde tanımlanan suçların;
Verileri Yok Etmeme
Madde 138-
(1) Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir.
(2) (Ek: 21/2/2014-6526/5 md.) Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır
Kişisel veri ihlaline yönelik yüksek farkındalıklar oluşturularak mağdurların sayısı bir nebze de azaltılabilir. Ayrıca telefon üzerinden kripto varlık madenciliği yapılmasına olanak tanıyan Pi Network yaklaşık 17 GB’lık bir kişisel veri hırsızlığına sebep olduğuna dair haberler ile birlikte kullanıcıların daha dikkatli olmasında fayda vardır.
Uygulamada ortaya çıkan en önemli sorun hiç kuşkusuz güvenlik sorunudur. Kişisel verilerin hukuka aykırı elde edilerek kullanılması hem platformlar (kripto hizmet sağlayıcıları) için hem de bireysel yatırımcılar için ciddi bir risk teşkil etmektedir. Bireysel yatırımcılar tabi ki güvenli bir platformda işlemleri yapabilmeyi talep etmek isteyeceklerdir. Bu nedenledir ki; Platformlar, üzerlerine düşen objektif özen yükümlülüklerini yerine getirmeli ve de kullanıcılarını koruma amaçlı gerekli güvenlik önlemlerini almaları gerekmektedir. Platformlar, Kripto varlık hizmet sağlayıcıları sıfatıyla daha fazla bireysel yatırımcı kitlesine ulaşarak daha fazla kazanç elde etmeyi hedeflediklerinden ötürü bu hedefe paralel olarak platforma ait sistemin güvenliğine yönelik tüm tedbirleri almalı, sistem hatalarını ve eksikliklerini tespit ederek bu hatalar ve eksikleri gidererek sistemi bilinen en son teknolojik gelişmeye uygun hâle getirmeleri bu anlamda büyük önem taşımaktadır. Platformlar örneğin kötü niyetli üçüncü kişilerin hem kullanıcılarına hem de kendi sistemlerine zarar vermemeleri amacıyla; bu kişilerin platforma girişlerini engelleyecek güvenlik mekanizmasını oluşturmaları, sistemlerini sürekli güncelleyerek yenilemeleri, herhangi bir usulsüz işlemle karşılaşıldığında gerekli önlemleri almalarının yanı sıra kullanıcılarına da bu anlamda anında bilgilendirmesi gerekmektedir. O hâlde platformlar da aslında bankalar gibi ağırlaştırılmış sorumluluğun bir gereği olarak objektif özen yükümlülüğü altında bulunmaları ve buna karşılık olarak ise hafif kusurlarından dahi sorumlu olmaları gerekmektedir. Sorumluluğun sözleşmenin tek tarafına yüklenmesi de tabi ki dürüstlük kuralı gereği beklenemez. Güvenli bir işlem hizmetinin sunulabilmesi için bireysel yatırımcılar da platformlara kıyasla azami sorumluluklarını yerine getirmekle yükümlüdür. Örneğin; platformda kullanmış olduğu şifreyi düzenli aralıklarla değiştirmeli, üçüncü kişilerce kolayca çözülebilecek şifreler tercih etmemeli, tanımadığı kişilerden gelen e-postaları açmamalıdırlar ve güvenlik zaafı olabileceğini düşünerek bilmediği yerlerden ya da umumi olarak kullanılan internet kafe gibi yerlerden işlem yapmamayı tercih etmelidirler.
Bireysel yatırımcılar kişisel verilerinin üçüncü kişilerin eline geçmemesi için gerekli bütün tedbirleri özenle almış olsalar dahi herhangi bir ihlal yaşanmışsa ki eğer; Platformlar özen ve koruma yükümlülüğüne aykırı davranarak sözleşmenin ihlâline neden olmasından dolayı TBK m.49, m.112 uyarınca tazminatla yükümlü olmaları gerekmektedir. Bu yükümlülüklerin ihlal edilmesinde bireysel yatırımcının da kendi kusuru mevcut ise kusuru oranında sorumluluğa katlanması gerekmektedir .Bu itibarla yatırımcının, dijital hesabının çalınmasında ve kişisel bilgilerinin kötü niyetli üçüncü kişilerin eline geçmesinde kusuru var ise, TBK m. 52 uyarınca bu kusur, müterafik kusur olarak değerlendirilebilecektir. Bu durumda platformlar sözleşmeden doğan yükümlülüğünü yerine getirememesinde kusurlu olmadığını TBK’nın 112 maddesi gereğince ispat etmek durumunda olup ayrıca yatırımcısının müterafik kusurlu olduğunu ispat etmekle de yükümlüdür.
Yeni yasal düzenlemelerle birlikte, kripto varlık hizmet sağlayıcılarının bilişim sistemlerinin işletilmesi konusunda ciddi sorumluluklar yüklenmiştir. 6098 sayılı Kanun’un 71. maddesi uyarınca herhangi bir siber saldırı, bilgi güvenliği ihlali ya da personelin hatalı davranışları nedeniyle yaşanan kripto varlık kayıplarından kripto varlık hizmet sağlayıcıları sorumlu tutulacaktır.