Dijitalleşme, yapay zekâ alanındaki gelişmeler ve robot teknolojisinin hayatımıza girmesi ciddi güvenlik açıklarını ve siber tehditleri beraberinde getirdi. Gelişen teknoloji ile birlikte yapay zekâ artık sesimizi bile taklit etmeye başladı. Experian’ın açıkladığı 2020 yılı veri ihlalleri sektör tahminleri raporu siber suçluların veri hırsızlığı noktasında birçok teknik ve yönteme sahip olduğunu bir kez daha kanıtlamış oldu. Nitekim siber saldırganların yeni yöntemi ise “Bir yapay zekâ ürünü olan ve görüntü ve ses teknolojisinin kullanıldığı “Deepfake” oldu. Dolandırıcılıklara karşı ses yazılımı tasarlayan Pindrop isimli bir siber güvenlik firması 2013 yılından itibaren sahte ses teknolojisi kullanılarak gerçekleştirilen suçlarda %350 oranında artış olduğunu açıkladı[1].

Peki, bu sahte ses teknolojisinin kullanıldığı bir nevi ses klonlama olan “Deepfake” nedir? Deepfake, “ deep learning (derin öğrenme) ve fake (sahte) kelimelerinden oluşan yapay zeka temelli manipülasyon sistemidir[2]. Yani Deepfake, görüntülerden elde ettiği verileri yapay zekâ ve makine öğrenimi ile işleyip dudak hareketleri ve mimiklerde değişiklik yapan tamamen görüntüdeki kişiye özel bir algoritma oluşturabilen bir teknolojidir”[3]. Bu şekilde bir kişinin sesi kullanılarak aslında söylemediği sözlerden oluşan sahte bir konuşma yaratılmaktadır. Nitekim siber saldırganlar da son zamanlarda bu sahte ses teknolojisini kullanarak dünyada büyük infiallere sebep olmuştur. Örneğin; ses klonlama yöntemiyle dolandırıcılık yapıldığının haberini ilk kez Wall Street Journal yapmıştır. 2019 yılının mart ayında gerçekleştiği ileri sürülen habere göre, bir Alman teknoloji şirketinin çalışanları yapay zekâ destekli bir ses oluşturma yazılımını kullanarak 243 bin dolar değerinde dolandırıcılık yapmışlardır. Olayda siber saldırganlar, İngiltere’de faaliyet gösteren bir enerji şirketinin yöneticisini Almanya’daki patronunun sesini yapay zekâ ile birebir kopyalayarak aramışlar ve Macaristan’daki bir tedarikçiye acil olarak 243 bin dolar ödeme yapmasını istemişlerdir. İngiltere’deki yönetici, telefonda firmasının Almanya’daki büyük hissedarı olan şirketin CEO’sunun sesini duyduğu için hiçbir şeyden şüphelenmemiş ve oluşan nakit açığı kısa sürede başka bir ödeme ile kapatılacağından ödemeyi gerçekleştirmiştir. Ancak daha sonra açığı kapatacak ödeme gelmeyince sonunda Macaristan’a gönderilen paranın Meksika’ya ve başka yerlere gönderildiği anlaşılmıştır”[4]. Bu olay deepfake teknolojisi kullanılarak tespit edilen ilk siber dolandırıcılık vakası olarak kayıtlara geçmiştir. Deepfake kavramı ilk kez Deepfake rumuzlu Reddit kullanıcısı tarafından paylaşılan görüntülerde kullanılmıştır. Ancak ünlü ve politik isimlerin ses ve mimikleri değiştirilerek başka görüntülerde kullanılması ve bu paylaşımların trend olması birçok skandalı beraberinde getirmiştir[5]. Buna en yakın örnek olarak; “ABD temsilciler meclis başkanı Nancy Pelosi’nin konuk olduğu bir programdan sonra internete düşen videolarda sarhoş gibi gösterilmesi ya da Donald Trump’un yüzünün Nicolas Cage ile değiştirildiği meclis konuşmasının alay konusu olması örnek verilebilir[6]. Aslında deepfake ilk kez Reddit kullanıcıları tarafından kullanılmış olsa da mazisi 2014 yılına dayanmaktadır. 2014 yılında google araştırmacısı olan “Ian Goodfllow ve arkadaşları yapay sinir ağlarını kullanarak gerçeğinden ayırt edilemeyen sahte insan yüzleri, sahte sesler ve yazılar üreten Generative Adversarial Networks (GAN)” yapay sinir ağ modelini geliştirmişlerdir[7]. İnsan yüzünü kusursuz şekilde kopyalayan algoritma kişilerin yüzlerini, seslerini ve mimiklerini kullanarak sahte videolar oluşturabilmektedir[8]. Yani Deepfake yöntemi “bir kişinin yüzünü bir başkasının vücuduna yerleştirmeyi ve ses kayıtlarını manipüle etmeyi mümkün kılan hedefin sesini veya yüzünü taklit etmek için makine öğrenme algoritmasına dayalı bir tür yazılımdır[9]. Bu yöntem bir zamanlar “dijital görüntüleri derinlemesine anlayarak insanların yaptığı görsel işleri makinelerin üstlenmesini inceleyen bir bilim olarak” geliştirilmişti[10]. Ancak siber saldırganlar tarafından bu yöntemin araç haline getirilmesi günümüzde GAN teknolojisini ve beraberinde deepfake'i “silahlanma yarışı”[11] olarak algılanmasına neden olmuştur. Saldırganlar deepfake ses profili oluştururken öncelikle hedefteki sesi belirliyorlar. Bu sesleri genellikle konuşmalar, sunumlar veya kurumsal videolar gibi halka açık kaynaklardan topluyorlar”[12]. Daha sonra sahte sesin okunmasına yönelik senaryolar için konuşma metni yazılımları hazırlıyorlar. Siber saldırganlar aynı zamanda sahte sesin kusurlarını gizlemek için de arka plan gürültüsü kullanıyorlar[13]. “Örneğin parazitli bir cep telefonu bağlantısından çağrı yapan veya yoğun bir trafik gürültüsüne sahip bir alandan görüşme yapan birini taklit etmek karşı tarafın kusurları fark etmesini engelliyor[14]. Bu nedenle, Deepfake ses klonlamaları Deepfake siber saldırılarının adli kayıtlara giren ilk örneklerinden birini oluşturuyor”[15]. Bilinen Deepfake yöntemleri ise ; “yüz değiştirme (takası), ses (takası), videolardan nesne silme ve ekleme, hızlandırma, yavaşlatma”[16]’şeklinde bilinmektedir. Peki, gelecekte yapay zekânın suç makinesi haline dönüşeceği deepfake’in hukuki mahiyeti nedir, siber suçlar kapsamında nasıl değerlendirmek gerekiyor?

DeepFake’in konusu olan ses ve görüntü bir kişisel veridir. 6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Kanunda kişisel veriler sınırlı sayma yoluyla belirlenmediğinden mevcut duruma göre kişisel veri kapsamı genişletilebilecektir. Bu tanımla kişinin, yaşı mesleği, sesi, görüntüsü, imzası veya özgeçmişi gibi bilgiler kişiyi belirgin kıldığı müddetçe kişisel veri olarak kabul edilecektir. 6698 sayılı kanun “işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığına maruz kalmasına neden olma riski taşıyan verileri özel nitelikli kişisel veriler (hassas veriler) olarak tanımlamıştır. Bu bağlamda; “Özel Nitelikli Kişisel Verilerin İşlenme Şartları” başlığını taşıyan 6. Maddesine göre özel nitelikli kişisel veriler (hassas veriler); “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik verileri”dir. Bu veriler “işlenmeleri halinde ilgili kişilerin mağdur olmasına veya ayrımcılığa maruz kalmasına neden olma riski taşıyan verilerdir”[17]. Hassas veriler kanunda sınırlı sayıda belirlenmiş olduğundan genişletilemez. Hassas veriler ancak 6698 sayılı kanunun 6. maddesinde yer alan istisnai hallerde işlenebilecektir.

5237 sayılı Türk Ceza Kanununda ise kişisel verilerin korunmasına ilişkin suç ve yaptırımlar belirlenmiştir. 5237 s. TCK’nın kişilere karşı suçlar başlıklı ikinci kısmının “Özel Hayata Ve Hayatın Gizli Alanına Karşı Suçlar” bölümünde yer alan 135. maddesinde kişisel verilerin kaydedilmesi suçu, 136. maddesinde kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçu ve 138. maddesinde kişisel verileri yok etmeme” eylemleri suç olarak düzenlenmiştir. Yine 5237 sayılı TCK’ da “Bilişim Alanında Suçlar” bölümünde yer alan 243. maddesinde bilişim sistemine girme suçu, 244. maddesinde sistemi engelleme bozma, verileri yok etme veya değiştirime suçu, 245. maddesinde banka veya kredi kartlarını kötüye kullanılması suçu, 245/A maddesinde yasak cihaz ve programlar kullanma suçu düzenlenmiştir. Öte yandan TCK’nın diğer maddelerinde bilişim sistemi aracılığıyla işlenmesi mümkün olan suçlar düzenlenmiştir. Bunlar; TCK m.124; haberleşmenin engellenmesi, TCK m.125; hakaret, TCK m.132; haberleşmenin gizliğini ihlal, TCK m. 142/2-e; bilişim sisteminin kullanılması yoluyla işlenen hırsızlık, TCK m.158/1-f; bilişim sisteminin kullanılması yoluyla işlenen dolandırıcılık suçlarıdır. Peki yapay zekâ destekli deepfake’in bu süreçteki aşamaları, bilişim suçları, kişisel verilerin kaydedilmesi, kişisel verilerin hukuka aykırı olarak verilmesi veya ele geçirilmesi suçları ile dolandırıcılık suçları açısından nasıl değerlendirilmelidir?

Siber saldırgan (fail), başkasına ait kişisel verileri bir bilişim sistemine hukuka aykırı olarak girerek, bozarak veya verileri yok ederek elde etmişse hem 5237 s. TCK md.136, hem de TCK 243 veya TCK md.244 hükümleri uygulanacaktır[18]. Yine bir kişiye ait kişisel verilerin başkasına verilmesi veya yayılması aynı zamanda hakaret suçunu oluşturmaktaysa farklı neviden fikri içtima ilişkisi ortaya çıkacak ve TCK’nın 136. Maddesi uygulanacaktır[19].

TCK m.158/1-f maddesinde düzenlenen bilişim sisteminin kullanılması yoluyla dolandırıcılık suçunun işlenebilmesi için suçun mağdurunun gerçek kişi olması ve hileli hareket bilişim sistemine yönelmemesi gereklidir[20]. Yine bu suçun işlenebilmesi için bilişim sistemlerine hukuka aykırı olarak girilmesi ve orda kalınması çoğu durumda zorunludur[21]. Fakat böyle durumlarda cezaların içtiması noktasında doktrinde birden fazla görüş bulunmaktadır[22]. Dolandırıcılık suçunun işlenmesi sırasında zorunlu olarak bilişim suçlarından herhangi biri işlenmişse bu durumda gerçek içtima hükümlerinin mi uygulama alanı bulacağı yoksa faile tek bir neticeden mi ceza verileceği noktasında doktrinde farklı görüşler mevcuttur. MAHMUTOĞLU' na göre; “Bilişim sistemlerine girilerek işlenmesi zorunlu bulunan başka bilişim suçunun işlenmesi bakımından araç suç niteliğinde olduğu yönünde doktrinde görüşler vardır. Örneğin hırsızlık (TCK md.142/2-e) veya dolandırıcılık (TCK md.158/1-f) suçlarını işlemek kastıyla bilişim sistemine girilmesi halinde bu suçlara nazaran geçit suç suç niteliğinde (tüketen-tüketilen norm ilişkisi) olan TCK md. 243 uygulanmayacağı belirtilse de burada TCK md. 42’de düzenlenen bileşik suç söz konusudur. Bilindiği gibi bu maddeye göre biri diğerinin unsurunu veya ağırlattırıcı nedenini oluşturan fiillerin varlığı halinde içtima kuralları uygulanmayacaktır. Bu bağlamda TCK md.243’te düzenlenen bilişim sistemine girme suçu, TCK md. 142/2-e ve md. 158/1-f açısından cezanın artmasına neden olan nitelikli unsur olduğundan fail yerine göre nitelikli hırsızlık veya nitelikli dolandırıcılıktan sorumlu olacaktır”[23]. Yargıtay’ın ise bu konuda yerleşik bir içtihadı bulunmayıp farklı dairelerince farklı kararlar verildiği görülmektedir.

Türk Ceza Kanunumuzda henüz bu tür kötülümcül yazılımlara karşı bir düzenleme bulunmazken deepfake tehdidine karşı önlemler almaya başlayan ülkeler mevcuttur. Nitekim Virginia eyaleti kişinin haberi ve rızası olmadan yapay zekâ teknolojisi ile oluşturulan video ve fotoğraflar için 12 aya kadar hapis ve para cezasını öngören yasayı kabul ederek, deepfake videolarını yasa kapsamı içine alan ilk eyaletlerden biri olmuştur[24]. 2019 yılı itibariyle de bu konuda önlem alan eyalet sayısı 41 olmuştur[25].

Sonuç olarak söylenebilir ki yapay zekâ ile klonlanan sesler, yüzler veya benzeri siber saldırılar geleceğimiz için ciddi tehditler oluşturmaktadır. Özellikle bu saldırıdan etkileneceklerin başında şirket ve işletmeler gelmektedir. New Knowledge’in Marka Dezenformasyon Etki Raporuna göre; ”Tüketicilerin %78’i sahte haber ve yanlış bilginin kurum ve marka itibarına zarar verdiğini düşünüyor. Şirketlere yönelik Deepfake tehdidinin bu denli ürkütücü olmasının iki nedeni; sınırsız bir saldırı senaryosuna sahip olması ve yapay zekanın makine öğrenmesi gücü sayesinde önlem almayı güçleştirecek biçimde kendini geliştirip mükemmel bir suç aracına dönüşebilme becerisidir”[26]. Dolayısıyla bu tehdide karşı dikkatli olunmaz ve yeterli önlemler alınmaz ise gelecekte gerek şirketler gerekse de kişisel verilerimiz büyük hasara uğrayacaktır. Özellikle sosyal medya kullanımındaki bu tür uygulamalara biraz daha temkinli yaklaşmak kendi önlemimizi almak açısından faydalı olacaktır.

Av. Cansu ADAM

--------------------------------------

[1] Teyit, “Ses Dolandırıcılığı 243 Bin Dolara Mal Oldu”, (2019, 14 Eylül), https://teyit.org/ses-dolandiriciligi-243-bin-dolara-mal-oldu/, E.T 30.03.2020.

[2] Geleceği Yazanlar Ekibi, , “Deepfake İle Gerçeğin Sonu Mu Geliyor?”, (2019, 19 Temmuz), https://gelecegiyazanlar.turkcell.com.tr/blog/deepfake-ile-birlikte-gercegin-sonu-mu-geliyor, E.T 30.03.2020.

[3] Hopi, “Deepfake Teknolojilerinin Geleceği”, https://hopi.com.tr/son-teknoloji/deepfake-teknolojilerinin-gelecegi, E.T 30.03.2020.

[4] Sabah Gazetesi , “CEO’nun Sesini Yapay Zeka İle Taklit Ettiler 1,4 Milyon TL Çaldılar”, ( 2019, 3 Eylül), https://www.sabah.com.tr/ekonomi/2019/09/03/ceonun-sesini-yapay-zekayla-taklit-ettiler-14-milyon-tl-caldilar, E.T 26.03.2020,

[5] https://gelecegiyazanlar.turkcell.com.tr/blog/deepfake-ile-birlikte-gercegin-sonu-mu-geliyor, E.T 30.03.2020.

[6] HADIMLI, Gönül, AdHoc, “Sinematografik Gerçeklikte Yeni Boyut: Deepfake,(2020, 6 Ocak), https://adhocdergi.com/sinematografik-gerceklikte-yeni-boyut-deepfake/, E.T 12.04.2020.

[7] Mc.ai, “Generative Adversarial Networks”, (2020, 6 Şubat), https://mc.ai/generative-adversarial-networks-gan-nedir/, E.T 15.04.2020.

[8] Chip Online, “DeepFake Nedir Ve Nasıl Çalışır? Yapay Zekanın Ürkütücü Örneği”, (2020, 21 Şubat), . https://www.chip.com.tr/haber/deepfake-nedir-ve-nasil-calisir-yapay-zekanin-urkutucu-ornegi_86613.html, E.T 17.04.2020.

[9] Hürriyet Gazetesi, “Yapay Zeka Teknolojisinin Karanlık Yüzü: Deepfake”, (2020, 26 Şubat), https://www.hurriyet.com.tr/teknoloji/yapay-zeka-teknolojisinin-karanlik-yuzu-deepfake-41455935, E.T 14.04.2020.

[10] Hürriyet, ( 2020, 26 Şubat).

[11] Fikirce, “Geleceğin Korkulan Teknolojisi- Deepfake”, (2019, 10 Eylül), https://www.fikirce.com/gelecegin-korkulan-teknolojisi-deepfake/, E.T 15.04.2020.

[12] Emre, Zemana Blog, “ Ses Takasından Tam Vücut Sentezine, DeepFake Yolculuğu”, https://blog.zemana.com/ses-takasindan-tam-vucut-sentezine-deepfake-yolculugu/,E.T 15.04.2020.

[13] Zemana Blog.

[14] Zemana Blog.

[15] Zemana Blog.

[16] Zemana Blog.

[17] Kişisel Verileri Koruma Kurumu, Kişisel Verilerin Korunması Kanunu Hakkında Sıkça Sorulan Sorular, KVVK Yayınları, Ankara 2018, s.22.

[18] KANGAL, Zeynel T. , Kişisel Verilerin Ceza Ve Kabahatler Hukukunda Korunması, On İki Levha Yayıncılık, 1. Baskı, İstanbul 2019, s. 139.

[19] KANGAL, s. 149.

[20] ERYİĞİT, Beyza Melek, Dolandırıcılık Suçu Ve Özel Olarak Bilişim Sistemlerinin, Banka Veya Kredi Kurumlarının Araç Olarak Kullanılması Suretiyle Nitelikli Dolandırıcılık Suçu, Yayımlanmamış Yüksek Lisans Tezi, İstanbul Üniversitesi Sosyal Bilimler Enstitüsü, İstanbul 2019, s. 72.

[21] ERYİĞİT, s. 122.

[22] ERYİĞİT, s. 122.

[23] MAHMUTOĞLU, Fatih Selami, “ Türk Ceza Kanununda Yer Alan Bilişim Alanında Suçlar Ve Karşılaşılan Sorunların Yargı Kararları Işığında Değerlendirilmesi”, İstanbul Üniversitesi Hukuk Fakültesi Mecmuası, C. 71, S.1, 2013, s. 864-865.

[24] Zemana Blog

[25] Zemana Blog

[26] Zemana Blog