Adli Bilişim Bilirkişi Raporları Mahkemede Neden Reddedilir? Yargıtay Karar Örüntü Analizi
Karararama.yargitay.gov.tr'de kamuya açık kararlardaki tekrar eden ret örüntüleri analizi. 10 ana ret kategorisi (zincir kırılması, hash eksik, write blocker yok, yöntem belirsiz, hukuki yorum, kaynaksız bulgu, çelişkili rapor, görev sınırı aşımı, yetersiz delil, dijital imza eksik). HMK 281 ek rapor, CMK 67-73 uzman mütalaası ilişkisi. 7 pratik öneri. Hamza Aytaç Doğanay (6 yıl EGM Siber + Ankara Üniv tezli yüksek lisans) saha deneyimi.
Adli Bilişim Bilirkişi Raporları Mahkemede Neden Reddedilir? Yargıtay Karar Örüntü Analizi
Adli bilişim bilirkişi raporu, dijital delillerin yargılamada anlam kazanmasını sağlayan teknik belgedir. Ancak Türk mahkemelerinde her bilirkişi raporu kabul görmez. Hâkim, raporu yetersiz, eksik veya yöntemsel olarak hatalı bulduğunda hükme esas almaz; bazen ek rapor ister, bazen yeniden inceleme için yeni bilirkişi atar, bazen de raporu tamamen göz ardı eder. Yargıtay'ın bozma kararlarına bakıldığında belirli ret kalıplarının tekrar tekrar karşımıza çıktığı görülür.
Bu makale, adli bilişim bilirkişi raporlarının mahkemede neden reddedildiğini, Yargıtay'ın kamuya açık karar arama sisteminde tekrar eden örüntüleri ve raporun ayakta kalması için uygulanması gereken metodolojiyi ele alır. İçerik, DSET adli bilişim süreci yazısının devamı niteliğindedir ve bilirkişi raporunun yapısı konusundaki temel bilgiyi tamamlayıcıdır.
Bilirkişi Raporu Mahkemeye Nasıl Ulaşır
Hukuk yargılamasında bilirkişi atama yetkisi 6100 sayılı Hukuk Muhakemeleri Kanunu'nun 266 ve devamı maddelerinde düzenlenmiştir. Ceza yargılamasında ise 5271 sayılı Ceza Muhakemesi Kanunu'nun 62 ila 73. maddeleri çerçevesinde bilirkişi görevlendirilir. Her iki usulde de hâkim veya cumhuriyet savcısı, çözümü teknik bilgiyi gerektiren konularda bilirkişi atar.
Atama kararında bilirkişinin görevi, sorulacak sorular ve teslim süresi belirlenir. Bilirkişi, dosyayı inceler, dijital materyalleri tetkik eder, ölçümlerini yapar, bulgularını yazılı rapora döker ve mahkemeye sunar. Raporun mahkemeye ulaşması tek başına yeterli değildir; raporun delil değeri kazanması için hâkimin onu yeterli bulması, taraf itirazlarını aşması ve gerekirse ek rapor veya kök raporla pekiştirilmesi gerekir.
Tam da burada sorun başlar. Adli bilişim, hâkimin doğrudan görmediği bir teknik alandır. Raporun her cümlesi şeffaf, izlenebilir ve tekrar edilebilir olmalıdır. Yargıtay'ın kamuya açık Karar Arama sistemi üzerinden incelenebilen bozma gerekçelerinde, raporun reddedilmesinin yaygın nedenleri belirli kalıplara oturur. Aşağıda bu örüntüler on ana kategoride toplanmıştır.
1. Delil Zincirinin Kırılması
Delil zinciri, dijital materyalin el konulduğu andan mahkemeye sunulduğu ana kadar kimden kime geçtiğini, ne zaman ve nasıl saklandığını gösteren kesintisiz kayıttır. Türk uygulamasında "muhafaza zinciri", "chain of custody" veya "elkoyma tutanağı zinciri" olarak da geçer. Uluslararası standartlarda ISO/IEC 27037 belgesi bu zinciri "dijital delilin tanımlanması, toplanması, edinilmesi ve korunması" başlığı altında düzenler.
Zincir kırıldığında rapor, üzerinde çalışılan verinin gerçekten dava konusu materyalden geldiğine dair güvence vermez. Yargıtay kararlarında sıkça görülen bir desen, bilgisayarın el konulmasından inceleme tarihine kadar geçen sürede materyalin nerede tutulduğunun, kimin eriştiğinin ve hangi koşullarda saklandığının belgelenmemesi nedeniyle raporun hükme esas alınamayacağıdır. Tipik bir tabloda materyal kolluk biriminden delil deposuna alınır, oradan ekspertiz birimine teslim edilir, inceleme sonunda muhafaza altında tutulmaya devam eder; ancak bu adımların her birinde teslim alan ve teslim eden kişinin kim olduğu, materyalin saklandığı kasanın mühür durumu ve mühür numarası belgelenmemişse zincir kopmuş kabul edilir.
Tipik bir başka problem, materyalin uzun süre kolluk birimi rafında "soğuk depoda" beklemesi ve bu bekleme süresinde sıcaklık, nem, manyetik alan gibi koşulların kaydedilmemesidir. Disk ve hafıza kartları üzerindeki veri, fiziksel ortamdan etkilenir. Raporda materyalin hangi koşullarda saklandığı belirtilmediğinde, bilirkişinin elindeki verinin "değişmemiş veri" olduğuna dair beyanı zayıflar.
Nasıl önlenir: El koyma anından itibaren ISO/IEC 27037 ve Bilirkişilik Daire Başkanlığı rehberlerinde belirtilen tutanak şablonları kullanılmalı; her teslim alma ve teslim etme adımı tarih, saat, kişi imzası ve hash değeri ile kayıt altına alınmalıdır. Materyalin saklandığı kasa veya delil odası mühür altına alınmalı, her açılışta yeni mühür ile yeniden kapatılmalı, mühür numaraları tutanağa işlenmelidir.
2. Hash Değerinin Alınmaması veya Doğrulanmaması
Adli bilişim metodolojisinin can damarı, dijital materyalin imajını aldıktan sonra hesaplanan kriptografik özet (hash) değeridir. MD5, SHA-1 veya tercihen SHA-256 algoritmaları ile alınan bu değer, materyalin inceleme sırasında değişmediğini matematiksel olarak ispatlar. MD5 ve SHA-1 algoritmalarında akademik çakışma saldırıları gösterilmiş olduğundan, güncel uygulamada SHA-256 ve SHA-512 tercih edilir.
Yargıtay kararlarında tekrarlayan bir gerekçe, bilirkişinin orijinal dijital materyalin hash değerini almadığı, imaj üzerinde çalışmadığı veya rapora eklediği hash değerini doğrulayabilir şekilde sunmadığı için raporun denetlenebilir olmadığıdır. Hash yoksa, raporun referans aldığı dosyanın gerçekten o dosya olduğunu kimse kanıtlayamaz. Bilirkişinin "inceleme orijinal materyal üzerinde yapılmıştır" demesi, hash olmadığında teknik anlamda bir güvence taşımaz.
Bir başka tekrarlayan örüntü, hash değerinin yalnızca imaj alma anında hesaplanması ve inceleme bittikten sonra yeniden doğrulanmamasıdır. Adli bilişim metodolojisinde hash, en az iki noktada (imaj alma sonrası ve rapor teslimi öncesi) doğrulanmalıdır. Aynı değerin tekrar üretilebilmesi, materyalin inceleme süresince hiç değişmediğinin matematiksel ispatıdır.
Nasıl önlenir: Materyal imajı alınırken kaynak ve hedef için ayrı ayrı SHA-256 değerleri hesaplanmalı, tutanağa yazılmalı, rapor ekine konulmalı ve inceleme sonunda yeniden doğrulanmalıdır. İmaj formatı olarak Expert Witness Format (E01) veya Advanced Forensic Format (AFF) gibi içsel doğrulama sağlayan formatlar tercih edilmeli, ham (dd / raw) imaj kullanılıyorsa hash dosyası ayrı olarak korunmalıdır. Bu nokta NIST SP 800-86 Computer Forensics Guide ve SWGDE Best Practices belgelerinde de açıkça düzenlenmiştir.
3. Yazma Engelleyici (Write Blocker) Kullanılmaması
İmaj alma işleminde, bilgisayara takılan diskin yanlışlıkla yazılmaya açık şekilde bağlanması, üzerinde tek bir dosyanın bile zaman damgasını değiştirebilir. Modern işletim sistemleri, bağlanan disklerin önbelleğine erişim için arka planda yazma işlemi gerçekleştirebilir; bu durum kullanıcı farkında olmasa bile diskin "son erişim zamanı" gibi üst veri alanlarını değiştirir. Bu, delilin bütünlüğünü kırar. Yazma engelleyici, donanım veya yazılım katmanında diskin yalnızca okumaya açık olmasını sağlar.
Yargıtay'a yansıyan örüntülerden biri, imaj alma sırasında yazma engelleyici kullanıldığına dair açık beyanın raporda bulunmamasıdır. Bu eksiklik, dijital delilin temas anında değişmemiş olduğuna dair güvenceyi ortadan kaldırır ve rapor "metodolojik olarak yetersiz" olarak değerlendirilir. Bazı vakalarda bilirkişi yazma engelleyici kullandığını sözlü olarak ifade etse bile, rapor metninde bu bilgi yer almadığından mahkeme bu beyanı doğrulayamaz.
Mobil cihaz incelemelerinde donanım tabanlı yazma engelleyici her zaman uygulanabilir değildir; bu durumda yazılım tabanlı koruma (örneğin Cellebrite UFED'in salt okunur modu, ADB komutlarının dikkatli sıralaması, JTAG/ISP modunda sektör seviyesi okuma) kullanılır. Hangi yöntem seçilirse seçilsin, rapor o yöntemin neden ve nasıl uygulandığını açıklamalıdır.
Nasıl önlenir: Raporun "kullanılan araçlar ve metodoloji" bölümünde, yazma engelleyicinin marka modeli, seri numarası ve doğrulama testi açıkça belirtilmeli; mümkünse fotoğraflanmış aksesuar logu eklenmelidir. Tableau, WiebeTech veya CRU gibi donanım tabanlı yazma engelleyicilerin model bilgisi ile uyumlu disk arabirimi (SATA, SAS, NVMe, IDE, USB) belirtilmelidir.
4. Yöntemin Belirsiz Bırakılması
Bir bilirkişi raporu, başka bir uzmanın aynı veriye aynı adımlarla yaklaştığında benzer sonuca ulaşacağı şekilde tekrar edilebilir olmalıdır. Bu, bilimsel yöntemin temel ilkesidir.
Yargıtay'da görülen bir başka tekrarlayan kalıp, bilirkişinin "incelemeyi yaptım, şu sonuca ulaştım" demesi ama hangi araçla, hangi sürümle, hangi sorgu ile, hangi parametreyle çalıştığını göstermemesidir. Yöntem belirsizse rapor denetlenemez. Hâkim, denetleyemediği raporu hükme esas almaz.
Nasıl önlenir: Rapor; "kullanılan araçlar" (örneğin EnCase 21.x, FTK Imager 4.7, Autopsy 4.20, Cellebrite UFED 7.x, X-Ways Forensics), "uygulanan yöntem" (imaj alma, hash doğrulama, dosya sistem analizi, dolgu alanı taraması, zaman çizelgesi çıkarma), "izlenen adımlar" ve "elde edilen ham veriler" bölümlerini ayrı ayrı içermelidir. Tercih edilen yaklaşım, raporda her tespit için kullanılan sorgunun (örneğin SQL deyimi, grep komutu, EnCase EnScript modülü) ekte yer alacak şekilde belgelenmesidir. Bu yaklaşım, başka bir uzmanın aynı sorgu ile aynı sonuca ulaşmasını mümkün kılar ve metodolojiyi "kara kutu" olmaktan çıkarır.
5. Hukuki Yorum Yapılması (Görev Sınırı Aşımı)
Bilirkişi, teknik bir soruya teknik cevap verir. Hukuki nitelendirme hâkimin tekelindedir. Bilirkişi raporunda "sanık suçludur", "bu mesaj tehdit içerir", "fiil dolandırıcılık unsurlarını taşır" gibi ifadeler yer alırsa, bilirkişi yetki sınırını aşmış olur. Bu sınır, hem usul ekonomisi hem de hâkimin takdir yetkisinin korunması açısından önemlidir.
Hem HMK 279/4 hem CMK 67 bilirkişinin hukuki değerlendirme yapamayacağını düzenler. Yargıtay'ın kararlarında bilirkişinin "delil değerlendirmesi" yaptığı, "vakıayı yorumladığı" veya "fiilin suç oluşturup oluşturmadığına dair görüş bildirdiği" gerekçesiyle raporun reddi sık karşılaşılan bir örüntüdür. Bilirkişinin görevi, hâkimin yerine geçmek değil, hâkime karar verebilmesi için teknik bir köprü kurmaktır.
Pratik bir örnekle, bir WhatsApp konuşmasının "tehdit içerip içermediği" sorusu hukuki bir sorudur ve bilirkişinin görev alanı dışındadır. Buna karşılık, "şu mesaj hangi WhatsApp veritabanı tablosunda yer almaktadır, mesajın zaman damgası nedir, mesaj silinmiş midir, eğer silinmişse hangi yöntemle kurtarılmıştır" soruları teknik sorulardır ve bilirkişinin alanına girer. Bu iki kategorinin karıştırılması raporun reddine yol açan en sık nedenlerden biridir.
Nasıl önlenir: Rapor yalnızca "şu cihazda şu dosya mevcuttu", "şu mesaj şu tarihte gönderilmişti", "şu IP adresi şu zaman aralığında bağlandı" gibi olgusal teknik tespitlerle sınırlanmalıdır. Yorum, takdir, suç nitelendirmesi hâkime bırakılmalıdır. Bilirkişi, raporun sonuna "yapılan tespitler teknik niteliktedir, hukuki değerlendirme mahkemenin takdirindedir" şeklinde standart bir kapanış cümlesi koymalıdır.
6. Kaynaksız Bulgu (Veri Çıkarmanın Yolu Gösterilmeden Sonuç Sunma)
Raporda "bu dosya silinmiştir ve geri kurtarılmıştır" denildiğinde, kurtarmanın hangi araçla yapıldığı, hangi sektörden okunduğu, MFT veya $LogFile kayıtlarının nasıl yorumlandığı belirtilmelidir.
Yargıtay kararlarında dikkat çeken bir örüntü, bilirkişinin "şu silinmiş kayıt bulundu" demesi ama kurtarma sürecinin teknik kanıtını sunmamasıdır. Aynı durum WhatsApp veya Telegram mesajları için de geçerlidir. Mesajın hangi veritabanı dosyasından (örneğin msgstore.db, wal/shm), hangi sürümde, hangi şifre çözme yöntemi ile alındığı gösterilmelidir. Bu konuda WhatsApp mesajlarının delil olarak kullanılması yazısında daha ayrıntılı bilgi yer almaktadır.
Nasıl önlenir: Her bulgunun yanına o bulgunun nereden, hangi araçla ve hangi parametreyle elde edildiği yazılmalıdır. Ham çıktılar (loglar, ekran görüntüleri, hexdump kesitleri) rapor ekine konulmalıdır.
7. Çelişkili Rapor
Aynı dosya içinde, raporun bir bölümünde söylenenle başka bir bölümünde söylenen birbiriyle uyuşmuyorsa rapor kendiyle çelişir. Örneğin metin bölümünde "şu IP adresi tespit edildi" denilip, ek tablo bölümünde başka bir IP yazıldığı durumlarda rapor bütünlüğünü kaybeder.
Yargıtay'ın bozma gerekçelerinde, raporun içsel tutarsızlık taşıması veya aynı uzman tarafından farklı tarihlerde verilen iki raporun birbiriyle çelişmesi nedeniyle hükme esas alınamayacağı sıkça vurgulanır. Çelişkili rapor, hâkimi tereddüde düşürür ve ek rapor isteme veya yeni bilirkişi atama yoluna iter.
Nasıl önlenir: Rapor teslim edilmeden önce bağımsız bir ikinci uzman tarafından kalite kontrolden geçirilmeli, sayısal değerler, tarihler, dosya yolları, hash değerleri ve özet bulgular bölümler arası karşılaştırılmalıdır.
8. Görev Sınırı Aşımı (Sorulmayana Cevap Verme)
Mahkemenin atama kararında bilirkişiye sorduğu sorular sınırlıdır. Bilirkişinin görevi, yalnızca o sorulara teknik cevap vermektir. Hâkimin sormadığı konularda kendiliğinden değerlendirme yapmak, görev sınırı aşımı sayılır.
Yargıtay'ın tekrarlayan yaklaşımı, bilirkişinin mahkemece sorulmayan konularda görüş bildirmesinin raporun kabul edilebilirliğini sarsacağı yönündedir. Hâkim, raporun cevap verdiği soruları okur; eklenen "ek değerlendirmeler" delil değeri taşımaz, hatta raporun bütününe gölge düşürebilir.
Nasıl önlenir: Rapor, atama kararındaki sorular madde madde alınarak yapılandırılmalı, her sorunun karşısına o sorunun cevabı yazılmalı; ek konular ancak "mahkemenin takdirine bırakılır" notuyla, sorulan sorulardan ayrı bir bölümde, sınırlı olarak yer almalıdır.
9. Yetersiz Delil Üzerine Kesin Sonuç
Adli bilişimde "tespit edilemedi", "veri kurtarılamadı", "log mevcut değil" sonuçları meşru ve geçerli sonuçlardır. Asıl sorun, bilirkişinin yetersiz veri üzerinden kesin sonuca atlamasıdır. Veri yokluğunun beyan edilmesi profesyonel bir tutumdur; veri yokluğunun varsayım ile doldurulması metodolojik bir hatadır.
Yargıtay kararlarında öne çıkan bir desen, eldeki dijital verinin (örneğin yalnızca ekran görüntüsünden ibaret bir delil, yalnızca kullanıcı beyanı ile sunulan bir mesaj çıktısı veya orijinali ibraz edilmeyen bir e-posta) güvenilirlik testinden geçirilmeden raporda kesin tespit gibi sunulmasının raporun delil değerini zayıflattığıdır. Özellikle ekran görüntüsü delillerinin manipüle edilmesi ihtimali her zaman gündemdedir. Bir mobil uygulama arayüzünün ekran görüntüsü, kaynağı doğrulanmadıkça, mesajın gerçekte gönderildiğine dair tek başına yeterli kanıt değildir.
E-posta delillerinde benzer bir sorun vardır. Kullanıcının kendi posta istemcisinden aldığı yazıcı çıktısı, e-postanın gerçekten o adresten geldiğine dair güvence sunmaz; çünkü istemci tarafında metin düzenlenebilir. Geçerli e-posta delili, sağlayıcının sunucu üst verilerini (received headers, DKIM imzası, SPF kaydı) içermelidir. Bu üst veriler olmadan e-posta üzerinden yapılan kesin tespitler, raporun reddine yol açar.
Nasıl önlenir: Bilirkişi, verinin yeterliliğini açıkça belirtmeli; eksikse "mevcut veri üzerinden kesin tespit yapılamamıştır, orijinal kaynak (örneğin sunucu logu, telefonun fiziksel imajı, e-posta sağlayıcısının üst veri kaydı) gereklidir" şeklinde sınırlamayı yazmalıdır. Mahkemeden ek delil temini istenmesi gerekiyorsa, raporun bir bölümü bu eksikliği teknik gerekçeleriyle açıklamalıdır.
10. Dijital İmza veya Elektronik İmza Eksikliği
5070 sayılı Elektronik İmza Kanunu kapsamında, dijital ortamda üretilen belgelerin hukuki geçerliliği nitelikli elektronik imza ile pekişir. Bilirkişi raporları artık birçok mahkemede UYAP üzerinden elektronik ortamda sunulur ve bu sunum bilirkişinin nitelikli elektronik imzası ile yapılır.
İmzasız veya imza doğrulaması başarısız olan rapor, sahibinin gerçekten o uzman olduğuna dair güvence sunmaz. Yargıtay kararlarında, imza eksikliğinin tek başına ret nedeni sayıldığı veya raporun şekil eksikliği üzerinden geri çevrildiği örüntüler belgelenmiştir.
Nasıl önlenir: Her rapor, bilirkişinin nitelikli elektronik imzasıyla imzalanmalı, fiziki teslimde ıslak imza ve mühür bulunmalı, gerekiyorsa zaman damgası (TSA) eklenmelidir.
HMK 281 Çerçevesinde Ek Rapor ve Yeniden İnceleme
Hâkim raporu yetersiz bulduğunda otomatik olarak reddetmez; öncelikle HMK 281. madde çerçevesinde itirazları toplar, eksik veya çelişkili gördüğü noktaları belirler ve aynı bilirkişiden ek rapor ister. Bu, rapor sürecinin doğal bir parçasıdır.
Ek rapor istenmesi, bilirkişinin işini yeterince yapmadığı anlamına gelmez; bazen taraflardan gelen itirazların değerlendirilmesi için istenir. Ancak ek rapor da yetersiz kaldığında veya bilirkişi ek rapor yazarken kök rapordaki çelişkileri gideremediğinde, hâkim ya yeni bir bilirkişi atar ya da raporu hükme esas almaz. Bu noktada usul şu sıra ile ilerler: kök rapor, taraf itirazları, ek rapor, gerekirse yeni bilirkişi heyeti raporu ve son aşamada hâkimin değerlendirmesi.
Tarafların raporu öğrendikten sonra itiraz hakkı vardır. İtirazlar somut, teknik ve gerekçeli olmalıdır. "Rapor yetersizdir" demek yeterli değildir; "hash değeri SHA-256 yerine MD5 ile alınmıştır, çakışma ihtimali nedeniyle bütünlük garantisi zayıftır" gibi teknik gerekçe sunulmalıdır. Bu tür somut itirazlar, hâkimin ek rapor isteme kararını desteklemek için en güçlü dayanaktır.
Ek rapor sürecinde önemli bir nokta, bilirkişinin önceki raporundaki tespitlerle çelişen bir cevap vermemesi gerekliliğidir. Eğer kök raporda söylenenle ek raporda söylenen birbiri ile tutarsızsa, bilirkişinin teknik güvenilirliği zedelenir. Bu durumda hâkim çoğunlukla yeni bir bilirkişi heyeti atama yoluna gider; bu yola "üçlü heyet" veya "uzman heyeti" denir ve genellikle birden fazla disiplinden uzmanın bir araya gelmesini içerir.
CMK 67 ve 73 Bağlamında Uzman Mütalaası
Ceza yargılamasında, mahkemece atanan bilirkişi yanında, taraflar kendi adlarına CMK 67/6 ve 178. madde çerçevesinde uzman mütalaası sunabilir. Bu mütalaa, atanmış bilirkişi raporunda görülen metodolojik hataları, yöntem eksikliklerini veya yorum sapmalarını teknik dille ortaya koyar. Uzman mütalaası bir "karşı rapor" olmaktan çok, atanmış raporun teknik denetimidir; raporun kabul edilebilirliğine dair somut, gerekçeli ve standartlara dayalı bir değerlendirme sunar.
Mahkemece atanan bilirkişinin raporu ile bağımsız uzmanın mütalaası arasında çelişki olduğunda, hâkim her iki belgeyi de değerlendirir; gerekirse her iki uzmanı bir araya getirip "müşterek inceleme" yaptırır. Uzman mütalaası, raporun reddi için kullanılabilecek en güçlü teknik araçlardan biridir. CMK 178. madde, sanığın delil toplanması için tanık veya uzman dinletilmesini isteme hakkını düzenlerken, mahkemenin bu isteği reddedebilmesinin sıkı koşullara bağlandığını belirtir.
Hukuk yargılamasında ise HMK 293. madde uyarınca taraflar "uzman görüşü" alabilir ve dosyaya sunabilir. Bu görüş, mahkemenin atadığı bilirkişi raporundan ayrı bir delil aracıdır ve hâkim tarafından serbestçe değerlendirilir. Uzman görüşü, atanan bilirkişiye yapılacak itirazları somutlaştırmak için kullanılır.
Boşanma davalarında dijital delil ve casus yazılım analizi gibi alanlarda atanmış bilirkişinin geniş kapsamı yakalayamadığı durumlarda, uzman mütalaası ile metodolojik açıkları ortaya koymak yaygın ve etkili bir yoldur. Özellikle mobil cihaz incelemeleri, bulut tabanlı kanıt analizleri ve gizli izleme yazılımı (stalkerware) tespitlerinde, uzmanlık alanı dar olan atanmış bilirkişinin gözden kaçırdığı detaylar bağımsız uzman mütalaası ile gün yüzüne çıkar.
Bilirkişi Raporunun Reddedilmemesi İçin Yedi Pratik Öneri
Aşağıdaki öneriler, hem bilirkişi olarak çalışan meslektaşlar hem de dosyalarında bilirkişi raporu bulunan taraflar için yol göstericidir.
Birincisi, metodoloji şeffaflığı temeldir. Raporun ilk bölümünde "kullanılan donanım, yazılım, sürüm numarası, yöntem, sıra" açıkça yazılmalıdır. ISO/IEC 27037, ISO/IEC 27042 ve NIST SP 800-86 referans alınmalı, gerekirse rapora atıf olarak eklenmelidir.
İkincisi, hash zinciri kesintisiz olmalıdır. İmajdan inceleme aşamasına, oradan rapor teslimine kadar her dosyanın SHA-256 değeri kaydedilmeli ve doğrulanmalıdır. Aynı değerin tekrar tekrar üretilebilir olması güvencedir.
Üçüncüsü, ham veri raporun eki olarak korunmalıdır. Bilirkişi sadece sonucu değil, sonuca götüren ham çıktıyı (örneğin log dosyaları, hexdump kesitleri, mesaj veritabanı tabloları, Cellebrite UFDR çıktıları) saklamalı ve gerektiğinde mahkemeye sunabilmelidir.
Dördüncüsü, görev tanımı dışına çıkılmamalıdır. Atama kararındaki sorular madde madde cevaplanmalı, hukuki yorumdan, suç nitelendirmesinden ve hâkimin takdirine girilen alanlardan uzak durulmalıdır.
Beşincisi, eksik veri açıkça belirtilmelidir. "Bu konuda kesin tespit yapılamamıştır" demek profesyonel bir tutumdur; varsayım üzerine kesin sonuç vermek raporu sakatlar. DSET'in anti-halüsinasyon yaklaşımı bu prensibe dayanır: kaynaksız iddia yoktur, her bulgunun kanıtı vardır.
Altıncısı, raporun dili sade, akademik ve duygusuz olmalıdır. Taraflardan birini öne çıkaran, "kötü niyetli", "kasıtlı olarak" gibi yan ifadelerden kaçınılmalı; teknik tespit nesnel olarak aktarılmalıdır.
Yedincisi, raporun teslim öncesi ikinci uzman incelemesinden geçmesi sağlanmalıdır. Tek başına yazılan rapor, gözden kaçan çelişkiler içerebilir. Bağımsız okuma, raporu mahkeme sürecinde ayakta tutar.
DSET Vaka Deneyiminden Çıkan Pratikler
DSET, kurucu uzmanı HAMZA AYTAÇ DOĞANAY'ın altı yıl Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele biriminde edindiği saha deneyimi ve Ankara Üniversitesi Adli Bilişim tezli yüksek lisans akademik birikimi üzerine kuruludur. Bu birikim, hem soruşturma aşamasında dijital delilin nasıl toplandığını hem de mahkeme sürecinde raporun nasıl test edildiğini birinci elden gözlemleme imkânı sunmuştur.
Bu vaka deneyiminden çıkan pratikler şu noktalarda toplanır:
Raporun mahkemede ayakta kalması, raporun yazıldığı an değil, dijital materyalin ele geçirildiği anda başlar. Tutanak ilk anda eksikse, sonraki teknik mükemmellik bu boşluğu kapatmaz.
Yaygın bir hata, raporu acele teslim etme baskısıyla metodoloji bölümünü kısa tutmaktır. Yargıtay'ın bozmalarında en sık karşılaşılan örüntülerden biri, sonucun ayrıntılı yazıldığı ama yöntemin geçiştirildiği raporlardır. Yöntem, raporun belkemiğidir.
Bir başka pratik gözlem, KVKK ihlali içeren incelemelerde bilirkişinin yetki sınırının aşılmasıdır. Kişisel veri içeren materyalde, atama kararında belirtilmeyen yan içeriklerin raporda yer alması hem usule aykırıdır hem KVKK açısından risk doğurur. Raporun yalnızca atama kararındaki kapsamla sınırlı kalması ilkesi titizlikle uygulanmalıdır.
Mobil cihaz incelemelerinde, özellikle WhatsApp ve Signal gibi uçtan uca şifreli uygulamaların verisinin çıkarılması sırasında kullanılan yöntemin teknik detaylarının raporda eksiksiz yer alması, raporun teknik denetime dayanmasını sağlar. Cellebrite UFED, Oxygen Forensic Detective veya Magnet AXIOM gibi araçların sürümleri ve hangi çıkarma profilinin kullanıldığı (logical, file system, full file system, physical) açıkça belirtilmelidir.
Olay yeri tutanakları ile rapordaki teknik bulgular arasında zaman damgası tutarlılığı sağlanmalıdır. UTC dilimi, yerel saat ve sistem saatinin doğru kaydedilmemesi, raporu çelişkili gösterebilir.
Ankara'da adli bilişim hizmetleri bağlamında DSET, hem mahkemece görevlendirilen bilirkişi raporları hem taraflarca talep edilen uzman mütalaası süreçlerinde, yukarıdaki on ret kategorisini bir kontrol listesi olarak uygular. Rapor teslim edilmeden önce kategori bazında doğrulama yapılır, eksiklik tespit edilen noktalar ek delil veya ek metodoloji ile kapatılır.
Hâkimin Raporu Değerlendirme Süreci
Hâkim, raporu eline aldığında öncelikle şu soruları sorar: Bu rapor atama kararındaki sorulara cevap veriyor mu? Yöntem belli mi? Tekrar edilebilir mi? Çelişki var mı? Hukuki yoruma girmiş mi? Hash zinciri tam mı? İmza ve şekil şartları yerinde mi?
Bu sorulardan herhangi birine "hayır" cevabı geliyorsa, hâkim taraf itirazlarını da değerlendirerek ek rapor isteme, yeni bilirkişi atama veya raporu hükme esas almama yollarından birini seçer. Yargıtay'ın denetimi de aynı sorular üzerinden ilerler. Yargıtay, bozma kararında çoğunlukla "bilirkişi raporunda kullanılan yöntem yetersizdir", "rapor denetlenebilir nitelikte değildir" veya "rapor görev sınırı aşılarak hukuki değerlendirme içermektedir" gibi gerekçeler kullanır.
Bu nedenle bilirkişinin görevi yalnızca "doğru cevabı bulmak" değil, doğru cevaba "şeffaf bir yöntemle ulaştığını ispatlamaktır". Adli bilişimde bilinmeyen bir gerçek vardır: sonuç ne kadar doğru olursa olsun, yöntem belirsizse rapor reddedilir; sonuç sınırlı bile olsa, yöntem şeffafsa rapor ayakta kalır.
Hâkim, raporun teknik kısmını anlamayabilir; bu durum hâkimin kusuru değil, alanın doğasıdır. Bilirkişinin görevi, raporu "hâkimin anlayabileceği şekilde" yazmaktır. Aşırı teknik jargon, açıklanmamış kısaltmalar ve gerekçesiz teknik kabuller, raporu hâkim için kullanılamaz hale getirir. İyi bir adli bilişim raporu, teknik derinliğini koruyarak, ayrıca hâkimin okuyacağı bir özet bölüm sunar. Bu özet kısa, basit cümlelerle yazılır; teknik ayrıntılar ekte yer alır.
Sonuç: Raporun Mahkemede Yaşaması İçin
Adli bilişim bilirkişi raporu, yalnızca bir teknik belge değildir; aynı zamanda bir hukuki argümandır. Hâkimi ikna eden, bilirkişinin "tespitim doğrudur" demesi değil, tespitin nasıl yapıldığını şeffaf, denetlenebilir ve metodolojik tutarlılıkla göstermesidir.
Yargıtay'ın kamuya açık Karar Arama sisteminde incelenebilen bozma kararları, on temel ret örüntüsünü tekrar tekrar gösterir: delil zincirinin kırılması, hash eksikliği, yazma engelleyicinin kullanılmaması, yöntem belirsizliği, hukuki yoruma kayma, kaynaksız bulgu, iç çelişki, görev sınırı aşımı, yetersiz veri üzerine kesin sonuç ve dijital imza eksikliği. Bu örüntüler, raporu yazan uzmanın hata haritasıdır.
Bilirkişi raporunun mahkemede yaşaması için yedi pratik öneri (metodoloji şeffaflığı, hash zinciri, ham veri saklama, görev tanımı sınırı, eksik veri beyanı, sade dil, ikinci uzman kontrolü) bir bütün olarak uygulanmalıdır. HMK 281 çerçevesinde ek rapor süreci ve CMK 67 ile 178 çerçevesinde uzman mütalaası mekanizması, raporun kalitesini test etmenin yasal araçlarıdır.
DSET, Ankara'da ve Türkiye genelinde, hem mahkemece atanmış bilirkişi olarak hem de taraflara uzman mütalaası sağlayan bağımsız teknik danışman olarak görev üstlenir. Adli bilişim raporunun reddedilmemesi için gerekli olan tüm metodolojik adımları, ISO/IEC 27037, NIST SP 800-86 ve SWGDE kılavuzlarına uygun şekilde uygular.
Rapor sürecinin her aşaması, bir öncekinin üzerine inşa edilir. Olay yeri tutanağı eksikse, imaj alma adımı boşlukla başlar. İmaj hash'i yoksa, inceleme aşaması zeminsiz ilerler. İnceleme yöntemi belirsizse, sonuç havada kalır. Bu zincirin her halkası, raporun mahkemede kabul edilebilirliğini etkiler. DSET'in vaka deneyiminden çıkan en önemli ders şudur: dijital delilin doğru toplanması ve doğru raporlanması, bir kerelik bir görev değil, bir dizi standartlaşmış adımdır. Her adımda yapılan küçük tutarsızlıklar, sonunda raporun tamamını riske atar.
Yargıtay'ın denetim eşiği, son yıllarda dijital delilin yaygınlaşmasıyla birlikte yükselmiştir. Bir dönem yeterli sayılan "incelenmiş ve şu sonuç bulunmuştur" tipi raporlar bugün artık yeterli kabul edilmez. Standartlara dayalı, kaynaklı, izlenebilir ve dayanak gösteren rapor, hem hâkim hem de Yargıtay denetiminde ayakta kalır. Bu eşik yükseldikçe, adli bilişim bilirkişiliğinin yetkinlik düzeyi de yükselmek zorundadır.
DSET ile Çalışmak İçin
Adli bilişim bilirkişi raporu hazırlanması, mevcut bir bilirkişi raporuna karşı uzman mütalaası sunulması, dijital delillerin mahkeme öncesi metodolojik incelemesi veya HMK 281 kapsamında ek rapor hazırlığı gibi konularda DSET ekibinden destek alabilirsiniz.
Adres: Hacettepe Teknokent, Ankara Telefon: +90 536 662 38 09 Web: dset.com.tr
Uzman mütalaası hizmeti, mahkemenizdeki bilirkişi raporunun yukarıda sıralanan on ret kategorisi açısından test edilmesini, eksikliklerin teknik dille ortaya konmasını ve raporun yeniden incelemeye sevki için gerekli somut gerekçenin hazırlanmasını kapsar. Davanızdaki dijital delillerin mahkemede ayakta kalması için, raporunuzu metodolojik denetimden geçirmek, sürecin en kritik adımıdır.
Sürecimiz, ilk görüşmede dava dosyasındaki bilirkişi raporunun ve eklerinin gözden geçirilmesi ile başlar. Ardından dijital delil kaynakları (varsa imaj kopyaları, hash listeleri, kolluk tutanakları) talep edilir. Teknik analiz tamamlandığında, raporun hangi metodolojik açıkları taşıdığı, hangi noktalarda Yargıtay'ın bozma örüntülerine düştüğü ve hangi somut itirazların hâkime sunulabileceği bir uzman mütalaası belgesinde toplanır. Bu mütalaa, dosyaya delil olarak sunulur ve gerektiğinde duruşmada uzman dinletilmesi için temel oluşturur.
İletişime geçerek dava dosyanızdaki bilirkişi raporunun ön incelemesi için randevu alabilirsiniz. İlk değerlendirme aşamasında, raporun bu makalede sıralanan on ret kategorisi açısından risk taşıyıp taşımadığı kısa bir kontrol listesi ile belirlenir. Uzun yıllara dayanan saha ve akademik deneyim, raporunuzun mahkemede ayakta kalması için size somut bir yol haritası sunar.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.