Adli Bilişim Bilirkişi Raporu Yapısı: Mahkemenin Kabul Ettiği Format ve Bölümler

Adli bilişim bilirkişi raporu, dijital delilin mahkeme önünde hayat bulduğu belgedir. Dosyadaki imaj, hash değeri, log kaydı veya WhatsApp yedeği ne kadar güçlü olursa olsun, hâkim bu delili rapor üzerinden okur. Raporun yapısı bozuksa, içerikteki teknik mucize bile sonucu kurtarmaz. Bu rehberde HMK ve CMK'nın çizdiği çerçeveyi, uluslararası standartların (ISO/IEC 27037, NIST SP 800-86, SWGDE) talep ettiği bölümleri ve Yargıtay kararlarında tekrar eden ret örüntülerini tek bir formatta birleştiriyoruz.

İlgili pillar yazı için bakınız: Adli Bilişim: Türkiye'de Dijital Delil Rehberi. Konuya özel davalar için: WhatsApp delil değeri, Boşanmada dijital delil, Casus yazılım tespiti, KVKK ihlal başvurusu. Hizmet sayfası: Ankara adli bilişim.

Bilirkişi Kim, Uzman Kim? HMK ile CMK'nın Ayrımı

Hukuk Muhakemeleri Kanunu (HMK) 266-287. maddeler bilirkişiliği düzenler. Çözümü özel ve teknik bilgiyi gerektiren hâllerde mahkeme bilirkişiye başvurur (HMK 266). Bilirkişi mahkemece atanır, görev tanımı dosyaya işlenir, yemin metni dosyaya geçer. HMK 293 ise tarafların kendi imkânlarıyla aldıkları "uzman görüşü"nü düzenler; bu görüş bilirkişi raporu değildir, taraf delili niteliğindedir ve hâkimi bağlamaz, ancak değerlendirmeye alınır.

Ceza Muhakemesi Kanunu (CMK) 62-73 bilirkişiliği, 67. madde son fıkrası ile 67/6 ve 68. maddeler uzman mütalaasını düzenler. Cezada uzman mütalaası, sanığın veya katılanın kendi seçtiği uzmandan aldığı yazılı/sözlü görüştür; mahkemece atanmış bilirkişiye ek olarak dosyaya girer. Aradaki fark formal değildir, etkisi farklıdır: bilirkişi raporu doğrudan delil değerlendirme aracıdır, uzman görüşü/mütalaası ise bilirkişi raporuna itiraz silahıdır.

Bilirkişilik Daire Başkanlığı (https://bilirkisilik.adalet.gov.tr) her yıl uzmanlık alanları listesini ve etik ilkeleri yayımlar; "Bilişim Teknolojileri" temel alt alanı altında "Adli Bilişim İncelemesi" alt uzmanlığı bulunur. Mahkemenin listeden seçtiği isim raporu hazırlar, listede olmayan uzman tarafça uzman görüşü hazırlayabilir.

Mevzuat metinleri için: HMK tam metni (https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6100.pdf), CMK tam metni (https://www.mevzuat.gov.tr/mevzuatmetin/1.5.5271.pdf).

Raporun Zorunlu 9 Bölümü

Aşağıdaki yapı; HMK 279, CMK 67, Bilirkişilik Daire Başkanlığı şablonu, ISO/IEC 27037 (https://www.iso.org/standard/44381.html) ve NIST SP 800-86 (https://csrc.nist.gov/pubs/sp/800/86/final) tavsiyelerinin Türkiye uygulamasına uyarlanmış birleşimidir.

1. Başlık ve Dosya Künyesi

İlk sayfa raporun kimlik kartıdır. Yer alması gerekenler: mahkeme adı, dosya esas numarası (taraflar değil sadece esas no), rapor tarihi, rapor numarası (bilirkişinin kendi defter numarası), tarafların adı ve sıfatı (davacı, davalı, sanık, katılan), bilirkişinin adı soyadı, sicil numarası, uzmanlık alanı, iletişim bilgisi. Tek bir kalemde "dosyaya sunulan rapor" ibaresi ve sayfa sayısı yer alır. Esas numarası olmayan veya tarafları yanlış yazılmış rapor, daha açılmadan UYAP'ta itirazla geri döner.

2. Atanma ve Görev Tanımı

Mahkemenin hangi celse, hangi tarihli ara kararı ile bilirkişiyi atadığı, dosyanın bilirkişiye hangi tarihte teslim edildiği, ek süre talebi olduysa hangi tarihte verildiği yazılır. Bu bölüm HMK 273 (süre) ve CMK 66 (atama) ile birebir bağlantılıdır. Rapor süresi kaçırıldığında bilirkişi ücreti düşebilir, ağır gecikmede atama iptal edilebilir. Görev tanımı kelimesi kelimesine alıntılanmalıdır; bilirkişi göreve eklenmemiş bir soruya cevap veriyorsa rapor "görev sınırının aşılması" gerekçesiyle reddedilir.

3. İnceleme Konusu ve Sorulan Sorular

Mahkemenin ara kararındaki soruların aynen listelenmesi gerekir. Soru 1, Soru 2 şeklinde numaralandırılır ve rapor sonundaki cevaplar bu numaralarla eşleşir. Eklenen yorum, çıkarılan kelime olmamalıdır. Yargıtay'ın çeşitli dairelerinin kararlarında tekrar eden ret örüntülerinden biri, bilirkişinin sorulan sorulara değil, kendisinin önemli gördüğü konulara cevap vermesidir.

4. Uygulanan Yöntem ve Standartlar

Adli bilişim raporunu sıradan teknik rapordan ayıran bölüm budur. Şu başlıklar açıkça belirtilir:

• İmaj alma yöntemi (bit-bit kopya, mantıksal kopya, canlı sistem imajı).
• Kullanılan donanım (write-blocker marka modeli, imaj alma cihazı seri numarası).
• Kullanılan yazılım ve sürümü (FTK Imager, X-Ways, Autopsy, Cellebrite UFED, Magnet AXIOM, Oxygen Forensic; sürüm numarası eklidir).
• Hash algoritması (MD5 ve SHA-256 birlikte verilir; tek başına MD5 günümüzde yetersiz sayılır).
• Çalışma ortamı (klimalı laboratuvar, ağdan izole iş istasyonu).
• Referans alınan standart: ISO/IEC 27037 (delil tanıma, toplama, edinim, koruma), NIST SP 800-86 (entegrasyon süreci), SWGDE (https://www.swgde.org) en iyi uygulama notları.

Yöntem yazılmamış rapor "hangi metodoloji ile bu sonuca varıldığı denetlenemediğinden" itiraza açıktır. Bu, Yargıtay 12. Hukuk Dairesi ve 8. Ceza Dairesi içtihatlarında sık görülen iade gerekçesidir; kararlar https://karararama.yargitay.gov.tr üzerinden taranabilir.

5. Delil Zinciri (Chain of Custody)

Cihazın kim tarafından, hangi tarihte, hangi tutanakla teslim alındığı, kimlerin elinden geçtiği, hangi koşulda saklandığı tablolanır. Tablo şu sütunları içerir: tarih saat, işlem, sorumlu kişi, imza durumu, hash kontrolü. ISO/IEC 27037 bu zincirin kopmaması gerektiğini ve her aşamada doğrulanabilir kayıt tutulmasını şart koşar.

Cihaz teslim alma tutanağında cihazın seri numarası, IMEI, marka model, fiziksel durum (çizik, kırık, açılma izi) yer alır. Mühür numarası varsa belirtilir. Mühür açıldıysa açılma anının fotoğrafı ektedir. Zincirin tek bir halkasında imza eksikse, delilin bütünlüğü tartışmalı hâle gelir.

6. Teknik Bulgular

En uzun bölümdür ve en disiplinli olması gerekendir. Burada bilirkişi sadece "ne gördüğünü" yazar, "ne anlama geldiğini" yazmaz. Yorum bir sonraki bölüme aittir. Bulgular şu alt başlıklarda sunulur:

• Cihaz teknik bilgileri (model, işletim sistemi, sürüm, IMEI, son açılış tarihi).
• Disk yapısı, bölümler, dosya sistemi.
• Çıkartılan dosya kategorileri (mesajlaşma, çağrı kayıtları, fotoğraf, video, konum, uygulama veritabanları).
• Silinmiş ve kurtarılabilen veriler (carving sonucu).
• Zaman damgaları (UTC ve yerel saat birlikte).
• Veritabanı sorgu çıktıları (örneğin WhatsApp msgstore.db sorguları).
• Ekran görüntüleri ve raporda yer alma sıraları.

Her bulgu tabloda veya numaralı listede sunulur, bulgu numarası rapor sonuna kadar değişmez. Subjektif sıfat kullanılmaz; "şüpheli", "kasıtlı", "sahte" gibi kelimeler bu bölümde geçmez. Bulgu "ham veri"dir.

7. Yorum, Değerlendirme ve Sonuç

Bilirkişi bu bölümde her bulguyu sorulan soru ile eşleştirir. "Soru 3'e ilişkin bulgu B-7 incelendiğinde" cümlesi tipiktir. Yorum teknik çıkarımdır, hukuki nitelendirme değildir. "Suç oluşmuştur" veya "haksız fiil sabittir" denmez; bunlar hâkimin alanıdır. Doğru cümle: "Bulgular X verisinin Y tarihinde Z cihazından gönderildiğine işaret etmektedir; hukuki nitelendirme mahkemenin takdirindedir."

Sonuç kısmı, sorulan her soru için ayrı paragraf hâlinde yazılır. Belirsizlik varsa açıkça belirtilir: "Mevcut veri ile cevaplandırılamamıştır", "Cihaza fiziksel erişim olmaksızın kesin sonuca varılamamaktadır." Mahkemeler kesin görünmeye çalışan ama dayanağı zayıf raporları geri çevirmektedir.

8. Ekler

Eklerin sırası raporda anılış sırasıdır. Tipik ekler:

• Atama yazısı fotokopisi.
• Teslim tutanağı.
• Hash kontrol çıktıları (imaj alma sırası ve sonrası).
• Ekran görüntüleri (her biri numaralı, alt yazılı, tarih-saat damgalı).
• Veritabanı çıktıları (CSV veya PDF).
• Kullanılan yazılım lisans ve sürüm ekran görüntüsü.
• Bilirkişi yemin metni (CMK 64, HMK 271).
• Bilirkişi sicil belgesi fotokopisi.

Eklerin her biri sayfa numaralı ve raporun ana metniyle çapraz referanslıdır. Metinde "Ek 4'te görüleceği üzere" denilip ek yoksa, rapor güvenilirliğini kaybeder.

9. İmza ve Yemin Beyanı

Son sayfada yemin beyanı tekrarlanır: HMK 271 ve CMK 64 uyarınca, "Görevimi sadakat ve özenle yerine getireceğime; bilimsel ve teknik esaslara bağlı kalarak tarafsız ve gerçek dışı görüş bildirmekten kaçınacağıma namusum, şerefim ve kutsal saydığım bütün inanç ve değerlerim üzerine yemin ederim." Bilirkişi adı, sicil numarası, imzası ve raporun düzenlendiği tarih yer alır. Birden fazla bilirkişi varsa hepsinin ayrı imzası bulunur; ortak imza geçersizdir.

Sık Görülen 7 Hata

Yargıtay kararlarında ve bilirkişi etik ihlallerinde tekrar eden örüntüler aşağıdaki listede toplanır. Bu hatalar raporu doğrudan ret veya ek rapor istenmesi sebebi yapar.

1. Subjektif bulgu: "Şüpheli kişi muhtemelen", "büyük olasılıkla kasıtlı" gibi ifadeler. Bilirkişi olasılık atfetmez, oran verir veya veri yoksa "veri yetersiz" der.
2. Eksik hash: Sadece imaj alma anının hashı verilip, inceleme sonrası doğrulama hashı verilmemesi. Veya yalnız MD5 verilip SHA-256 atlanması.
3. Yöntem belirtmeme: "Cihaz incelenmiştir" denip hangi araç, hangi sürüm, hangi standart kullanıldığının yazılmaması. Yöntemsiz rapor denetlenemez.
4. Hukuki yorum: "Suç işlenmiştir", "kusurludur", "iftiradır" gibi nitelendirmeler. Hukuki nitelendirme hâkime aittir.
5. Fotoğraf ve ekran görüntüsü eksikliği: Bulgu metinle anlatılıp görselle desteklenmemesi. SWGDE en iyi uygulama notları görsel kanıtı esas alır.
6. Kaynak göstermeme: Kullanılan standart, makale veya teknik dokümantasyona atıf yapılmaması. Bilirkişi bilgisinin nereden geldiği denetlenebilir olmalıdır.
7. Gerçek zaman damgası eksikliği: Sadece yerel saat yazılıp UTC verilmemesi, ya da cihazın saat ayarı kontrol edilmeden zaman damgasının doğru kabul edilmesi. Cihaz saatinin kayık olduğu durumda tüm zaman çizelgesi yanlış çıkar.

Yargıtay Kararlarında Tekrar Eden Ret Sebepleri

Yargıtay karar arama (https://karararama.yargitay.gov.tr) üzerinden "bilirkişi raporu", "adli bilişim", "imaj alma", "delil zinciri" anahtarlarıyla yapılan taramalarda şu örüntüler öne çıkar:

• Görev sınırının aşılması: Bilirkişinin sorulmayan konuya cevap vermesi veya hukuki nitelendirme yapması.
• Yöntem belirsizliği: Hangi yazılım sürümü, hangi standart uygulandığının yazılmaması.
• Hash zinciri kopukluğu: İmaj alma ile inceleme sonu arasında hash karşılaştırması yapılmaması.
• Tek bilirkişi ile yetersizlik: Çok disiplinli vaka (örneğin hem mobil cihaz hem sunucu logu) tek bilirkişiye verildiğinde, eksik kalan alan için ek rapor istenir.
• Çelişkili rapor: Aynı dosyada birden fazla rapor varsa, çelişkinin giderilmesi için Adli Tıp Kurumu veya üçüncü bilirkişi heyetine gönderim.

Bu örüntüleri bilen bilirkişi raporunu baştan dirençli yazar; bilmeyen, ek rapor turlarında dosyayı uzatır.

ISO/IEC 27037, NIST SP 800-86 ve SWGDE'nin Pratik Karşılığı

Türk mahkemeleri uluslararası standartları doğrudan uygulamaz, ancak rapor bu standartlara atıf yapıyorsa güvenilirliği artar. ISO/IEC 27037 dijital delilin tanınması, toplanması, edinimi ve korunması için kavramsal çerçeve sunar. NIST SP 800-86 bütünleşik adli bilişim süreci için aşama tanımları verir: toplama, inceleme, analiz, raporlama. SWGDE en iyi uygulama notları belirli cihaz tipleri (mobil, bulut, IoT) için uygulamalı kontrol listeleri sağlar.

Rapor "ISO/IEC 27037 madde 5.4 uyarınca edinim sırası kayıt altına alınmıştır" gibi atıflar içerdiğinde, itiraz eden tarafın "yöntem belirsiz" iddiası zayıflar.

Süreler ve Pratik Notlar

HMK 273 bilirkişiye verilen süreyi düzenler; mahkeme genelde üç ay verir, gerekçeli talep üzerine uzatır. CMK 66/3 ceza dosyalarında üç ayı geçen bilirkişilik için yeniden değerlendirme öngörür. Süresinde teslim edilmeyen rapor için ücret düşürme yaptırımı uygulanır. Hukuk dosyalarında HMK 274 uyarınca bilirkişi mazereti varsa derhal bildirmek zorundadır; mazeretsiz gecikme disiplin sorumluluğu doğurur.

Rapor UYAP'a PDF olarak yüklenir, ekler tek dosyada birleşik veya ek belge tipinde yüklenebilir. Fiziksel cihaz iadesi tutanakla yapılır. İmaj kopyaları bilirkişide en az saklama süresi boyunca tutulur. Bilirkişilik Daire Başkanlığı etik ilkeleri, imaj kopyalarının dosya kesinleşene kadar muhafaza edilmesini ve kesinleşme sonrası güvenli imha tutanağı düzenlenmesini önerir.

Ücret konusunda bilirkişi, mahkemenin takdir ettiği ücret dışında taraftan doğrudan ödeme alamaz. Tarafça hazırlanan uzman görüşü/mütalaası ise sözleşme ilişkisine dayanır ve fatura ile belgelenir; bu görüş raporu mahkemeye taraf vekili eliyle sunulur.

Bilirkişi Raporuna İtiraz ve Ek Rapor

Rapor mahkemeye sunulduktan sonra taraflara tebliğ edilir. HMK 281 hukuk yargılamasında, CMK 67 ceza yargılamasında itiraz mekanizmasını düzenler. Taraflar iki hafta içinde itiraz dilekçesi verebilir, eksik veya çelişkili bulduğu yönleri belirtebilir. Mahkeme itirazı haklı bulursa ek rapor ister veya yeni bilirkişi atar.

Uzman görüşü/mütalaası, itiraz dilekçesine güç katan en etkili araçtır. Karşı tarafın uzmanı, mahkeme bilirkişisinin yöntem hatasını, hash eksikliğini veya yorum kaymasını teknik dille belgelendirir. Bu nedenle ciddi adli bilişim davalarında taraflar yalnız mahkemeye güvenmek yerine, kendi uzman görüşünü dosyaya koyar.

Çelişkili raporlar için mahkeme üçüncü bilirkişi heyetine başvurabilir veya Adli Tıp Kurumu Bilişim Suçları İhtisas Dairesi'ne yönlendirebilir. Bu süreç dosyayı uzatır; bu nedenle ilk raporun kusursuz hazırlanması her iki taraf için de tasarruftur.

Kapanış

İyi bir adli bilişim bilirkişi raporu üç kalemden oluşur: hukuki çerçeveye sadakat (HMK, CMK), uluslararası teknik standartlara hizalanma (ISO/IEC 27037, NIST SP 800-86, SWGDE) ve disiplinli yazım (bulgu ile yorumun ayrılması, kaynak gösterme, zaman damgası bütünlüğü). Bu üç ayak sağlamsa rapor mahkemede yaşar; biri eksikse en güçlü teknik bulgu bile etkisini kaybeder.

Ankara'da Mahkemeye Uygun Bilirkişi Raporu

DSET Adli Bilişim, Hacettepe Teknokent Ankara merkezli çalışır. Kurucu Hamza Aytaç Doğanay 6 yıl Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele biriminde görev yapmış, Ankara Üniversitesi'nde tezli yüksek lisansını tamamlamıştır. Mahkeme atamalı bilirkişilik ve taraf adına uzman görüşü/mütalaa hazırlığı için iletişim: +90 536 662 38 09. Tüm raporlar bu yazıda anlatılan 9 bölüm yapısına, HMK ve CMK çerçevesine ve uluslararası standartlara hizalı şekilde teslim edilir.