WhatsApp Delil Olur Mu? Yasal Süreç ve Adli Bilişim
WhatsApp ekran görüntüsü mahkemede neden zayıf delil. msgstore.db.crypt14 ve anahtar dosyasından adli bilişim ile çıkarma. Aile, iş, ceza, ticaret mahkemesi kabul kriterleri. Silinen mesaj geri gelir mi sorusunun gerçek cevabı.
WhatsApp Delil Olur Mu? Yasal Süreç ve Adli Bilişim
TL;DR: WhatsApp mesajları Türk mahkemelerinde delil olarak kabul edilebilir, ama belirleyici olan içerik değil, mesajın nasıl elde edildiğidir. Telefondan çekilmiş bir ekran görüntüsü, yasal açıdan tek başına çok zayıf bir kanıttır çünkü Photoshop veya benzeri araçlarla kolayca manipüle edilebilir. Buna karşılık doğrudan cihazdan adli bilişim yöntemiyle çıkarılan
msgstore.db.crypt14veritabanı, anahtar dosyası ve cihaz artefaktları birleştiğinde mahkemede zor çürütülen bir delil paketi oluşur. WhatsApp uçtan uca şifreli (E2E) olduğu için Meta sunucularında mesaj içeriği bulunmaz, sadece metadata vardır. Bu nedenle plaintext mesaja ulaşmanın yegâne yolu kullanıcının cihazı veya bulut yedeğidir.
Ekran görüntüsü delil sayılır mı?
Türk hukukunda HMK'nın 199 ila 201. maddeleri belgeyi geniş yorumlar: yazılı, basılı, elektronik tüm kayıtlar belge sayılır. Yani prensipte bir ekran görüntüsü davaya sunulabilir. Sorun, kabul edilebilirliğin yeterli olmaması, hâkimin delilin kanıt gücüne bakmasıdır.
Bir ekran görüntüsü, üzerinde isim, profil fotoğrafı, baloncuk rengi ve zaman damgası taşıyan piksel verisidir. Bu görselin değiştirilmediğini kanıtlamak için hash imzası, çekim anında alınmış meta bilgi veya bağımsız tanık yoktur. Hâkim karşısında karşı vekil iki cümleyle çürütür: "Bu görsel müvekkilime ait cihazdan değil davacının kendi cihazından çekilmiştir, manipülasyona açıktır." Bu nedenle ekran görüntüsünün hukuken yaşaması için bilirkişi raporu, tercihen CMK madde 67 ile 73 çerçevesinde alınmış uzman mütalaası gerekir.
WhatsApp neden farklı bir durum?
WhatsApp, Signal Protocol tabanlı uçtan uca şifreleme kullanır. Bu, mesajın gönderici cihazda şifrelendiği, Meta altyapısı üzerinden geçerken sunucunun içeriği okuyamadığı, yalnızca alıcı cihazda çözüldüğü anlamına gelir. Meta Transparency Reports yayınlarında da açıkça belirtildiği gibi şirket; mesaj metni, fotoğraf veya ses kaydını tutmaz. Sadece metadata tutulur: hangi numara hangi numarayla, hangi tarih ve saatte, hangi IP üzerinden, ne kadar süreyle iletişim kurmuştur.
Bu mimari, hukuki delillendirmeyi telekomünikasyon kayıtlarından tamamen farklı bir noktaya taşır. Plaintext yani okunabilir mesaj içeriğinin bulunduğu üç olası lokasyon vardır:
- Gönderici kullanıcının cihazı
- Alıcı kullanıcının cihazı
- iCloud veya Google Drive yedeği
Bu üç nokta dışında dünyada başka hiçbir yerde o mesajın açık hali bulunmaz. Adli bilişim çalışmasının yönü bu noktalardan birine yönelir.
Doğru delil nasıl toplanır?
Cihaz fiziksel olarak ele geçti
Android tarafında WhatsApp veritabanı /sdcard/WhatsApp/Databases/msgstore.db.crypt14 yolunda şifreli olarak tutulur. Bu dosyayı açabilmek için /data/data/com.whatsapp/files/key (veya yeni sürümlerde key-encrypted) dosyası birlikte alınmalıdır. İkisi olmadan veritabanı çözümü neredeyse imkânsızdır. Cellebrite UFED, Magnet AXIOM veya Oxygen Forensic Detective gibi araçlar bu çıkarımı chain of custody'yi bozmadan, ISO/IEC 27037 standardına uygun şekilde gerçekleştirir.
iOS tarafında WhatsApp verisi uygulamanın iTunes/Finder yedeği içinde bulunur. Yedek parola korumalıysa, parola bilinmediğinde adli bilişim ortamında brute-force veya Magnet AXIOM'un iOS backup parser modülü devreye girer. Yedek alınamayan durumlarda checkm8 zafiyetinden faydalanan eski iPhone modelleri için fiziksel imaj alımı hâlâ teknik olarak mümkündür.
Cihaz yok, WhatsApp Web oturumu var
Karşı tarafın WhatsApp Web oturum çerezi (session.json, IndexedDB, LocalStorage) bir bilgisayarda aktifse, o anda açık olan konuşmalar görülebilir. Burada kritik kural, canlı sistem üzerinde çalışmaktır. Bilgisayar kapatılırsa oturum kaybolur. Bu nedenle yerinde memory dump ile beraber tarayıcı profilinin ayna kopyasının alınması gerekir. Alınan kayıtların SHA-256 özetleri tutanağa geçirilir.
Sadece bulut yedeği var
Google Drive yedeği 2023 sonrasında opsiyonel olarak uçtan uca şifreli kayıt seçeneğine sahiptir. Kullanıcı bu özelliği açtıysa yedek, Google'a verilen mahkeme kararıyla bile çözülemez; kullanıcının 64 haneli anahtarı veya WhatsApp şifresi gerekir. iCloud yedeği için Apple ID parolası veya iCloud Keychain erişimi şarttır. Şifresiz klasik yedekler ise hâlâ çoğunlukta olduğu için adli bilişim açısından en pratik kaynak Google Drive'dır.
Meta'ya yasal talep yolu
Türk savcılığı veya yetkili mahkeme kararı ile Meta'ya yapılan başvurularda izlenecek prosedür WhatsApp resmi yasal talep portalinde açıkça tanımlanmıştır. Yabancı ülke makamlarından gelen talepler MLAT (karşılıklı adli yardımlaşma) zinciri üzerinden ilerler ve aylar sürebilir. Sonuç olarak Meta sadece abone kaydı (numara, kayıt tarihi, son giriş IP), bağlantı logları ve cihaz türü verir. Mesaj içeriği teknik olarak hiçbir koşulda verilmez çünkü Meta'da yoktur.
Hangi mahkemeler kabul eder?
WhatsApp mesajlarının kabul gördüğü dört temel mahkeme türü vardır:
Aile mahkemesi: Boşanma davalarında sadakat ihlali, hakaret, tehdit, mal kaçırma niyeti gibi vakalarda yaygın olarak kullanılır. Hâkim takdir yetkisi geniştir, ancak ekran görüntüsüne karşı vekilin itirazı kuvvetlidir.
İş mahkemesi: İşveren veya çalışan tarafından geçerli sebep fesih iddiasında, performans yazışmalarında, mobbing iddialarında kullanılır.
Ceza mahkemesi: Tehdit, şantaj, hakaret, dolandırıcılık, örgüt iletişimi gibi suçlarda CMK çerçevesinde delil değerlendirilir. Burada hukuka aykırı elde edilen delil yasağı en katı uygulanır; bir başkasının cihazına izinsiz erişip alınan mesaj büyük olasılıkla delil olmaktan çıkar.
Ticaret mahkemesi: Sipariş onayı, sözleşme niyeti, ön mutabakat gibi ticari iletişim çoğunlukla WhatsApp üzerinden yürüdüğü için artık ticaret hâkimleri bu mesajlara aşinadır.
Her dört mahkeme türünde de adli bilişim raporu olmadan sunulan ekran görüntüsünün kabul oranı belirgin biçimde düşer. Rapor varlığı, delilin kanıt değerini dramatik şekilde artırır.
Karşı tarafın itiraz senaryoları
Adli bilişim raporu, karşı tarafın klasik itiraz hattını kırmak için tasarlanır:
- "Bu mesajları yazmadım, sahte." Cihaz extraction'ında SQLite tablosundaki satır kimliği, gönderim zaman damgası ve cihaz id'si bu iddiayı çürütür.
- "Bağlam değişmiş, kesilip biçilmiş." Tam thread, önceki ve sonraki mesajlar, eksiksiz zaman akışı ile sunulduğunda bağlam savunması düşer.
- "Cihaz başkasının elindeydi o sırada." Cihazın o saat dilimindeki konum verisi, baz istasyonu kaydı, IMEI ve aktif kullanıcı oturumu çapraz okunarak yanıtlanır.
- "Mesaj silinmiş, manipüle edilmiştir." SQLite WAL log, write-ahead journal, ve Google Drive snapshot karşılaştırması ile silme ve değiştirme izi gösterilir.
Bu dört eksende hazırlanmış bir rapor, mahkemede yazılı savunma niteliği kazanır.
Silinen WhatsApp mesajı geri gelir mi?
Vakaların büyük çoğunluğunda evet. Birkaç farklı yoldan geri getirilebilir:
Birincisi, kullanıcı silmeden önceki son Google Drive yedeği genellikle hâlâ duruyor olur. WhatsApp varsayılan olarak günlük veya haftalık yedek alır. Silinen mesaj yedek alındıktan sonra silindiyse, yedekten geri yüklenir.
İkincisi, iOS tarafında iCloud backup'ları benzer şekilde çalışır.
Üçüncüsü, fiziksel cihaz elde olduğunda SQLite veritabanının WAL (write-ahead log) ve journal dosyaları, silinmiş satırların bir kısmını hâlâ tutar. Magnet AXIOM gibi araçlar "Recover deleted records" işlemiyle bu artefaktları çıkarır.
Dördüncüsü, alıcı tarafın cihazı korunuyorsa, "herkesten sil" özelliği kullanılmış olsa bile bildirim merkezi kalıntısı, geri bildirim metadata'sı ve push notification arşivlerinden iz bulunabilir.
"Bu mesajı sildim, kimse göremez" yanılgısı
Mesaj silindiğinde gönderen cihazdan kaybolur. Ancak aynı mesajın kopyaları başka noktalarda durur:
- Karşı tarafın cihazında "herkesten sil" yapılmadıysa veya zaman penceresi geçtiyse mesaj orijinal hâliyle durur.
- Web istemcisinin cache'inde, IndexedDB veritabanında izleri kalabilir.
- O gün alınmış otomatik bulut yedeği mesajı içerir.
- Kurumsal kullanımda WhatsApp Business API entegrasyonu varsa firmaya ait sunucu kaydı bulunur. Bu kayıt KVKK kapsamında veri sorumlusunun saklama yükümlülüğü doğurur.
Yani "sildim, bitti" inancı tekniksel olarak yanlıştır. Adli bilişim çoğu zaman silmeden sonra da çalışabilir bir senaryoya sahiptir.
KVKK boyutu
KVKK düzenlemesi WhatsApp delili meselesini iki yönlü etkiler. Birincisi, WhatsApp grup yöneticisi bazı durumlarda veri sorumlusu sayılabilir ve grup üyelerinin kişisel verileri için yükümlülük taşır. İkincisi, başka birinin telefonundan izinsiz alınan mesaj, hem KVKK 6. madde kapsamında özel nitelikli veri ihlali hem de TCK 134. madde kapsamında özel hayatın gizliliğini ihlal suçu doğurabilir.
KVKK'nın 12. maddesi veri güvenliği yükümlülüğünü düzenler. Bir şirketin kurumsal WhatsApp'larını yedeklerken aldığı önlemler, ileride yaşanacak ihtilafta delil zincirinin temelini oluşturur. KVKK 28. madde ise istisnaları sayar; soruşturma, kovuşturma ve yargılama süreçlerinde kişisel verilerin işlenmesi sınırlı şekilde mümkündür. Yani adli süreçte mesaj verisinin paylaşılması KVKK ihlali değildir, ama bu paylaşımın çerçevesi yargı kararıyla çizilir.
Avukat ne yapmalı?
Mesajların delil değerinin korunabilmesi için avukat müvekkiline ilk gün şu dört noktayı söylemelidir:
- Ekran görüntüsünü tek başına delil olarak görmeyin. Çekildiyse bile saklayın ama tek başına dosya hazırlamayın.
- Cihaza dokunmayın, fabrika ayarlarına dönmeyin, WhatsApp'ı yeniden yüklemeyin. Cihaz olduğu hâliyle adli bilişim uzmanına teslim edilmelidir.
- Bulut yedeklerinin senkronizasyonunu kapatın. Yeni yedek alınması, mevcut yedek üzerinde kanıt deformasyonu yaratabilir.
- Erken aşamada adli bilişim uzmanıyla koordine olun. CMK madde 67 ila 73 çerçevesinde uzman mütalaası talep edilmeli, gerekirse cihazın el konulması için hâkim kararı istenmelidir.
Bu dört adım, kanıtın mahkeme öncesi kaybolma riskini en aza indirir.
Sıkça Sorulan Sorular
WhatsApp ekran görüntüsü tek başına delil olur mu?
Hukuken sunulabilir ama kanıt gücü zayıftır. Karşı taraf "manipüle edilmiştir" itirazını basitçe ileri sürer. Bilirkişi raporuyla desteklenmediği sürece tek başına hüküm kurmaya çoğunlukla yetmez.
Karşı taraf "ben yazmadım" derse ne olur?
Bu itirazın çürütülmesi için cihaz extraction'ı, SQLite kayıtları, IMEI ve oturum logları gibi teknik delil katmanları gerekir. Adli bilişim raporu olmadan inkâr büyük olasılıkla işe yarar.
Silinmiş WhatsApp mesajı geri gelir mi?
Çoğu durumda evet. Bulut yedeği, SQLite WAL log, karşı tarafın cihazı veya bildirim arşivleri olası kaynaklardır.
Bilirkişi raporu olmadan da kullanılabilir mi?
Kullanılabilir ama hâkimin takdiri çok geniştir ve kabul oranı düşüktür. CMK 67 ile 73 çerçevesinde uzman mütalaası almak şiddetle önerilir.
Bulut yedeği şifreliyse okuyabilir misiniz?
WhatsApp'ın uçtan uca şifreli yedek özelliği aktifse, 64 haneli anahtar veya kullanıcı parolası olmadan içerik çözülemez. Klasik yedekler ise mahkeme kararıyla çözülebilir.
WhatsApp'tan metadata alınabilir mi?
Evet. Meta, mahkeme kararı doğrultusunda abone kaydı, son giriş IP'si, kayıt tarihi ve bağlantı loglarını paylaşır. Mesaj içeriği teknik olarak verilemez çünkü şirket altyapısında bulunmaz.
DSET ile çalışmak
WhatsApp delili gibi şifreli iletişim verilerinin doğru toplanması, ekibimizin standart çalışma alanlarından biridir. Süreci Adli Bilişim Süreci 2026 pillar yazımızda KVKK, delil zinciri ve mahkeme entegrasyonu eksenlerinde anlattık. Yazıda atıfta bulunulan ISO/IEC 27037 standardı, HMK belge rejimi ve CMK uzman mütalaası mekanizmaları, WhatsApp özelindeki çalışmalarımızın da hukuki çerçevesini oluşturur.
Cihazın elde olduğu, sadece bulut yedeğinin durduğu veya yalnızca karşı tarafın cihazına ulaşılabildiği senaryolarda farklı teknik patikalar izleriz. Her vakada öncelik, kanıtın bütünlüğünü bozmadan tam içerik çıkarımıdır.
Hacettepe Teknokent Ankara Telefon: +90 536 662 38 09 E-posta: [email protected]
Kaynaklar: CMK, HMK, KVKK, ISO/IEC 27037, WhatsApp resmi yasal talep portali, Meta Transparency Reports.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.