Kurumsal Şirketlerin Siber Kabusu: Ceo Fraud Ve Önleyici Hukuk Kalkanı

Gelişen kurumsal iletişim ağları ve uzaktan çalışma modelleri, şirketlerin karar alma mekanizmalarını dijital platformlara taşırken, siber suç şebekelerine de şirketlerin hiyerarşik yapılarını sömürme imkanı tanımıştır. Basit bir operasyonel hata gibi görünen ancak arkasında aylarca süren istihbarat ve sosyal mühendislik çalışmaları barındıran bu suç türü, Türk Ceza Kanunu (TCK) ve ticaret hukuku düzleminde çok boyutlu bir hukuki mücadeleyi zorunlu kılmaktadır.

1. CEO Fraud Nedir? Kurumsal Yapının Manipülasyonu

CEO Fraud, siber korsanların bir şirketin üst düzey yöneticisinin (CEO, CFO veya Genel Müdür) e-posta hesabını ele geçirmesi veya bu hesabı aslına çok yakın bir alan adıyla (domain) taklit etmesiyle başlar. Failler, şirketin muhasebe veya finans departmanında çalışan personeli hedef alarak; acil, gizli ve çok yüksek meblağlı bir para transferi talimatı gönderir. Genellikle “çok gizli bir şirket satın alması”, “aciliyeti olan bir dış ticaret ödemesi” veya “vergi dairesine yapılacak ivedi bir transfer” senaryosu kurgulanır.

Bu eylem, Türk Ceza Kanunu’nun 158. maddesinin birinci fıkrasının (f) bendi uyarınca “Bilişim sistemlerinin araç olarak kullanılması suretiyle nitelikli dolandırıcılık” suçunun tipik ve en organize halini oluşturur. Suçlular, şirketin kendi bilişim altyapısını, kurumsal dilini ve iç hiyerarşisini mağdur şirkete karşı bir silah olarak kullanmaktadır.

2. Hukuki Açıdan “Aldatma Kabiliyeti” ve Kusur Dağılımı

CEO Fraud vakaları adli makamlara yansıdığında, en büyük hukuki tartışma “Hile” unsurunun niteliği ve şirket personelinin müterafık (ortak) kusuru üzerinde yürütülmektedir. Türk Borçlar Kanunu ve Yargıtay’ın yerleşik içtihatları çerçevesinde, somut uyuşmazlığın çözümü için şu soruların cevabı aranır: Şirket personeli asgari özen yükümlülüğünü yerine getirseydi bu dolandırıcılığı fark edebilir miydi? Failin kurguladığı dijital senaryo aldatma kabiliyetine (iğfal kabiliyeti) haiz midir?

Yargıtay’ın güncel eğilimlerine göre; failin sadece bir e-posta atarak para istemesi basit bir yalan olarak görülebilir. Ancak siber korsanların;

  • Şirketin geçmiş e-posta yazışmalarını (gerçek faturalar, sözleşme taslakları vb.) geriye dönük inceleyerek kurumsal üslubu birebir taklit etmesi,

  • E-posta adresinde sadece tek bir harf değiştirerek (Örn: onur@onurcubukcu.av.tr yerine onur@onurcubukcuu.av.tr) kurumsal körlükten faydalanması,

  • Ödeme talimatını şirketin CFO’sunun izinli veya seyahatte olduğu bir güne denk getirecek şekilde istihbarat çalışması yapması,

durumunda, ortada basit bir yalan değil, “yoğun ve nitelikli bir hileli kurgu” olduğu kabul edilir. Bu tür durumlarda, personelin talimatı yerine getirmesi tam bir irade sakatlanması olarak nitelendirilir ve suçun TCK m. 158/1-f kapsamındaki unsurları eksiksiz oluşur.

3. Şirket Yönetim Kurulunun ve Müdürlerin Hukuki Sorumluluğu

Olayın ceza hukuku boyutu siber suçluların takibiyle ilerlerken, şirket içinde uğranılan devasa maddi zararın faturası ticaret hukuku düzleminde yeni bir kriz doğurur. Türk Ticaret Kanunu (TTK) m. 369 uyarınca, anonim şirketlerde yönetim kurulu üyeleri, limited şirketlerde ise şirket müdürleri, görevlerini yerine getirirken “basiretli bir yöneticinin özen yükümlülüğü” ile hareket etmek zorundadır.

Şirket siber güvenliğinin sağlanmaması, finansal ödeme protokollerinin (çift onay mekanizmaları, ıslak imzalı teyit süreçleri) yazılı kural haline getirilmemesi ve personelin siber hijyen eğitimi almaması gibi eksiklikler, yönetim organlarının “gözetim yükümlülüğünü” ihlal ettiği şeklinde yorumlanabilir. Dolayısıyla, CEO Fraud neticesinde şirketin uğradığı zarardan dolayı, ortaklar veya şirket alacaklıları tarafından yönetim kurulu üyelerine karşı TTK uyarınca hukuki sorumluluk (tazminat) davası açılması riski mevcuttur. Bu durum, siber tehditlerin yönetim kurulu seviyesinde hukuki bir sorumluluk doğurduğunun en net göstergesidir.

4. Önleyici Hukuk Kalkanı: Şirketler Kendini Nasıl Korumalı?

CEO Fraud ve benzeri bilişim dolandırıcılıkları gerçekleştikten sonra paranın blokzincir ağlarında veya yurt dışı banka hesaplarında izini sürmek son derece meşakkatli bir süreçtir. Bu nedenle kurumsal şirketlerin siber kabuslarla karşılaşmaması için “Önleyici Hukuk” mekanizmalarını kurumsal kültür haline getirmesi gerekir.

A. Çok Aşamalı Finans Protokollerinin Hukukileştirilmesi

Şirket içi ödeme yönergeleri ve imza sirküleri dijital çağa uygun olarak revize edilmelidir. Belli bir meblağın üzerindeki transferlerde, sadece e-posta talimatı ile işlem yapılması şirket içi yönetmeliklerle kesin olarak yasaklanmalıdır. E-posta talimatının yanı sıra, önceden belirlenmiş güvenli hatlar üzerinden sesli teyit (callback) veya çift aşamalı (biyometrik/mobil şifreli) onay mekanizmaları yasal prosedür olarak şirketin ana tüzüğüne veya iç yönergesine işlenmelidir.

B. İş Sözleşmeleri ve Siber Hijyen Yönetmelikleri

Çalışanların siber güvenlik zafiyetleri yaratması, kurumsal bilgileri kişisel cihazlarda muhafaza etmesi veya şüpheli e-postalara karşı duyarsız kalması durumunda doğacak sorumluluklar, İş Kanunu çerçevesinde iş sözleşmelerine ve ek disiplin yönetmeliklerine eklenmelidir. Personele düzenli olarak “Sosyal Mühendislik ve Oltalama” eğitimleri verilmeli, bu eğitimler hukuki birer iş güvenliği/özen yükümlülüğü belgesi olarak özlük dosyalarında saklanmalıdır.

C. Tedarikçi Sözleşmelerinde Siber Güvenlik Klozları

CEO Fraud suçunda sadece sizin sistemleriniz değil, iş yaptığınız tedarikçilerin e-posta sistemlerinin hacklenmesi de sıklıkla karşılaşılan bir yöntemdir. Tedarikçinin hacklenen e-posta adresinden size gönderilen sahte bir IBAN’a ödeme yapılması riskine karşı, ticari sözleşmelere “Bilişim Güvenliği ve Hesap Değişikliği Bildirim Protokolleri” eklenmelidir. Bu klozlar uyarınca, banka hesap değişikliklerinin sadece e-posta ile yapılamayacağı, noter onaylı imza sirküleri ve resmi yazı ile bildirilmeyen hesap değişikliklerinden doğan zararlardan bildirimde bulunan tarafın sorumlu olacağı açıkça kararlaştırılmalıdır.

Sonuç

Siber evrende işlenen suçlar artık sadece bireysel birer mağduriyet olmaktan çıkmış, kurumsal şirketlerin ticari varlığını, itibarını ve yönetim kurullarının hukuki geleceğini tehdit eden makro bir risk haline gelmiştir. CEO Fraud, teknolojinin karanlık yüzünün kurumsal hiyerarşiyle birleştiği nokta olup, bu tuzağı bozmanın yolu yalnızca antivirüs programları kullanmak değil, şirketi sarsılmaz bir önleyici hukuk kalkanı ile çevrelemektir.

Dijital dünyada haklar ve sermaye, sadece teknik olarak korunanlar değil, hukuki altyapısını dijital risk paradigmalarına göre inşa eden basiretli şirketler nezdinde güvendedir.

İletişim Bilgileri

  • Adres: İlkbahar Mah. Medine Müdafi Cad. No: 54 Çankaya/ANKARA
  • Gsm: 0530 527 97 80
  • E-Posta: onur@onurcubukcu.av.tr

Sosyal Medya

Linkedin Instagram

Bu site, T.B.B. Reklam Yasağı Yön.’nin 9/1. mad.’deki “Bu Yönetmelik kapsamında olanlar internet dahil, teknolojinin ve bilimin olanak tanıdığı her tür ortamda kendisini ifade etme hakkına sahiptir.” kuralına uygun olarak düzenlenmiş olup, reklam amacı taşımaz.Hukuk Büromuz, bu sitede yayımlanan bilgilerin hatasız veya eksiksiz olduğu konusunda bir garanti vermemektedir. Bu nedenle bilgilerin ne şekilde olursa olsun içeriğinden, iletilmesinden, alınmasından, saklanmasından sorumlu değildir. Verilen bilgiler genel nitelikte olup, bir davanın açılmak istenmesi durumunda, avukata danışılması önerilir; çünkü hukuk, olaya ve duruma göre değişiklik arz eder.

Tüm Hakları Saklıdır. © 2025 | Onur Çubukçu Hukuk ve Arabuluculuk Bürosu

Feryal Reklam tarafından yapılmıştır.

×

Merhaba! Randevu ve diğer talepleriniz için iletişime geçebilirsiniz.

× Whatsapp Destek