Kredi kartı dolandırıcılığı, Türkiye'de uzun süredir emniyet ve savcılık kanalıyla izlenen bir suç kategorisi durumunda. 7 Haziran gecesi binlerce vatandaşa gece boyunca ulaşan şüpheli işlem SMS'leri ise soruşturmayı bu alışılmış rotadan çıkardı: operasyonun koordinasyonunu Milli İstihbarat Teşkilatı üstlendi. Bu tercihin arkasında tesadüf değil, kapsamlı bir yasal çerçeve ve kurumsal mimari yatıyor.
2937 sayılı Kanun: "Uluslararası suçlar ve siber güvenlik"
MİT'in yasal dayanağını oluşturan 2937 sayılı Devlet İstihbarat Hizmetleri ve Milli İstihbarat Teşkilatı Kanunu, teşkilatın yetki alanını yalnızca casusluk veya terörle mücadeleyle sınırlı tutmuyor. 2014 yılında yapılan değişiklikle kanuna eklenen hüküm, MİT'e "dış istihbarat, terörle mücadele ve uluslararası suçlar ile siber güvenlik konularında her türlü teknik istihbarat usul ve araçlarıyla bilgi, belge ve veri toplamak, kaydetmek ve analiz etmek" yetkisi tanıdı. Kanunun bir başka maddesi ise "yabancı unsurların vatandaşların iletişim güvenliğini tehdit eden faaliyetlerinin engellenmesine yönelik çalışmalar" yürütmeyi doğrudan MİT'in görev tanımına dahil etti.
Kritik eşik burada beliriyor: bir siber faaliyet "organize" nitelik taşıdığında ve geniş kitleleri etkileyebilecek ölçeğe ulaştığında, yalnızca bireysel suç olmaktan çıkarak ulusal güvenliği ilgilendiren bir tehdit olarak değerlendiriliyor. Olayı bu eşiğe taşıyan da 7 Haziran gecesi sabaha kadar kesintisiz süren ve çok sayıda vatandaşı kapsayan SMS dalgasıydı; güvenlik birimleri faaliyetin "finansal güvenliği hedef alan" organize bir siber operasyon olduğunu değerlendirerek koordinasyonu MİT'e bıraktı.
SGB ve MASAK: Yeni mimari, yeni yetkiler
MİT'in koordinatör rolünü üstlenebilmesi, aynı zamanda 2025 yılının başında kurulan Siber Güvenlik Başkanlığı'nın (SGB) devreye girmesiyle mümkün oldu. 177 sayılı Cumhurbaşkanlığı Kararnamesi ve ardından çıkarılan 7545 sayılı Siber Güvenlik Kanunu ile hayata geçirilen SGB, siber tehditlere karşı ulusal politikayı tek merkezden belirlemek, olaylara doğrudan müdahale etmek ve kurumlar arasındaki teknik koordinasyonu sağlamak üzere tasarlandı. Öncesinde bu işlevi fiilen BTK bünyesindeki USOM yürütüyordu; SGB'nin kuruluşuyla birlikte ulusal siber savunma mimarisi yeniden yapılandırıldı. Kredi kartı operasyonunda SGB, IP adresleri ve sunucu kayıtlarının teknik analizini üstlenirken MASAK'ın mali iz analizi şüphelilerin kimliğinin tespit edilmesinin önünü açtı.
Siber güvenlik gibi ulusal güvenlik meselesi olan bir konuda bakanlığın ötesinde inisiyatif alan bir yapıya ihtiyaç vardı; SGB bu boşluğu kapatmak için kuruldu.
Siber güvenlik uzmanları, Ocak 2025Neden emniyet değil, neden MİT?
Kredi kartı dolandırıcılığı, olağan koşullarda Emniyet Müdürlükleri'nin Siber Suçlarla Mücadele birimi ya da Cumhuriyet Savcılıkları tarafından yürütülen rutin bir soruşturma konusuydu. Bu vakada işin yönü farklı aktı: faaliyetin "organize siber suç" niteliği taşıdığının ve geniş kitleleri etkileyebilecek kapasitede olduğunun değerlendirilmesi, olayı ulusal güvenlik gündemine taşıdı. Nitekim operasyonu fiilen sahada yürüten yine Jandarma'nın Siber Suçlarla Mücadele Şube Müdürlüğü ekipleriydi; ancak koordinatör koltuğunda MİT oturuyordu, Ankara Cumhuriyet Başsavcılığı soruşturmayı resmen başlatıyordu. Bu tablo, standart bir ceza soruşturmasının kurumsal katmanlarına istihbarat birimleriyle teknik uzmanların nasıl eklemlendiğini somut biçimde gösteriyor.
Güvenlik kaynakları, olay kapsamında herhangi bir maddi kaybın yaşanmadığını açıklarken kullanılan yöntemin "organize siber suç faaliyetlerinde yaygın olarak tercih edilen yöntemlerden biri olduğunu" da kayıt altına aldı. Şüphelilerin elinde bulunan veri setleri ve kart test yazılımları, soruşturmanın olayın boyutuyla sınırlı kalmayacağına işaret ediyor.
