Dijital Dünyada Güvenin Anahtarı Elektronik İmza

DİJİTAL DÜNYADA GÜVENİN ANAHTARI: ELEKTRONİK İMZA

1.Giriş

Teknolojinin gelişmesiyle birlikte iletişim ve işlemler dijital ortama taşınmış olup elektronik imza (“e-imza”) kavramı bu sürecin doğal bir sonucu olarak ortaya çıkmıştır. Elektronik ortamda gerçekleştirilen işlemlerin hukuki niteliği belirlemek ve geçerliliğini sağlamak amacıyla ise ülkemizde 5070 sayılı Elektronik İmza Kanunu (“EİK”) kabul edilerek yürürlüğe girmiştir.

2.E-İmza’nın Tanımı

E-imzanın tanımı kapsamında ulusal ve uluslararası düzenlemelerde birden fazla tanım mevcut bulunmakta olup bu kapsamda,

• EİK’de e- imza, “Başka bir elektronik veriye eklenen veya onunla mantıksal bir bağlantısı bulunan ve kimlik doğrulama amacıyla kullanılan elektronik veri” olarak tanımlanmaktadır.
• Elektronik Ticaret Koordinasyon Kurulu ise (“ETKK”), “Elektronik imza, bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşmuş bir seti ifade eder.” [1] şeklinde tanım yapmaktadır.
• Avrupa Birliği’nin 1999/93 sayılı Direktifi’nin 2. maddesinde de “Elektronik imza, mantıken diğer elektronik verilere bağlı ya da bileşik olan ve bir tasdik yöntemi ile oluşturan elektronik formdaki bir veridir” şeklinde tanımlanmaktadır. [2]

Tüm bu bilgiler kapsamında e-imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan ve tarafların kimlikleri doğrulanarak iletilmesini sağlayan, harf, karakter veya sembollerden oluşan elektronik bir doğrulama yöntemi olarak tanımlanabilecektir. Bu kapsamda, elektronik olarak imzalanan belgenin e-imza sahibi tarafından düzenlendiği tespit edilebilmekte ve dijital ortamda verilen onay güvence altına alınmaktadır.

3.Türkiye’deki Düzenlemeler

EİK, 15 Ocak 2004 tarihinde kabul edilerek 23 Temmuz 2004’te yürürlüğe girmiş olup bu kanunla birlikte, e-imzanın ıslak imza ile aynı hukuki geçerliliğe sahip olduğu belirlenmiş ve güvenli e-imza kullanımının esasları oluşturulmuştur. Aynı zamanda, Elektronik Sertifika Hizmet Sağlayıcıları sisteminin getirilmesiyle e-imzanın güvenilirliği artmıştır.

2011 yılında, 7201 sayılı Tebligat Kanunu’nda yapılan değişiklik ile kamu kurumları ve özel hukuk tüzel kişileri için elektronik tebligat (“e-tebligat”) sistemine geçilmiştir. Bununla birlikte, Resmî Yazışmalarda Kullanılacak Usul ve Esaslar Hakkında Yönetmelik ile kamu kurumları arasında e-imza kullanımı yaygınlaştırılmıştır.

2013 yılında yürürlüğe giren Kayıtlı Elektronik Posta (“KEP”) sistemi, elektronik ortamda gerçekleştirilen resmî yazışmalara hukuki delil niteliği kazandırmış olup bu sistem ile özellikle ticari ve hukuki işlemlerde artan elektronik belgeleme ihtiyacına önemli bir kolaylık sağlanmıştır.

E-imzanın ticari hayatta daha aktif hale gelmesi, vergi mevzuatında da yenilikleri beraberinde getirmiştir. 2015 yılı ve sonrasında, Gelir İdaresi Başkanlığı (“GİB”) tarafından e-fatura, e-arşiv ve e-defter gibi uygulamalar zorunlu hale getirilmiş; bu uygulamalarda mali mühür veya e-imza kullanılması şartı getirilerek vergi denetimlerinde dijitalleşme sağlanmıştır.

Son dönemde, mobil imza ve biyometrik kimlik doğrulama gibi yeni teknolojilerle desteklenen e-imza sistemleri geliştirilmiş olup 2022 yılı ve sonrasında EİK’de yapılan değişikliklerle birlikte, e-Devlet ve bankacılık gibi alanlarda uzaktan kimlik doğrulama ve e-imza kullanımı yaygınlaştırılmıştır. Ülkemizde, Avrupa Birliği Elektronik Kimlik Doğrulama ve Güvenlik Hizmetleri Yönetmeliği (“Electronic Identification Authentication and Trust Services”, “eIDAS”) düzenlemelerine uyum sağlanarak dijital kimlik ve güvenli e-imza uygulamaları geliştirilmeye devam etmektedir.

4.Türkiye’deki E-İmza Çeşitleri

• Basit E- İmza: Basit e-imza, yalnızca verinin bütünlüğünü koruma işlevine sahiptir. Kullanımı son derece pratik olup daha önce fiziksel ortamda oluşturulan bir imzanın tarayıcı aracılığıyla dijital ortama aktarılmasıyla gerçekleştirilmektedir. Bu süreçte, imzanın elektronik belgelere entegre edilmesi sağlanırken, veri bütünlüğü korunmakta ve herhangi bir bozulma meydana gelmemektedir.
• Gelişmiş E-İmza: Gelişmiş e-imza, basit e-imzaya kıyasla ek güvenlik unsurları içeren bir yapıya sahiptir. Verinin bütünlüğünü koruma işlevinin yanı sıra, imza sahibinin kimlik doğrulamasını da sağlayarak güvenilirliği artırmaktadır. Ek olarak, kimlik sahteciliği ve dolandırıcılık risklerini önlemeye yönelik mekanizmalar içermekte olup elektronik ortamda gerçekleştirilen işlemlerin hukuki ve teknik güvenliğini üst seviyeye taşımaktadır.
• Güvenli Elektronik İmza: Güvenli e-imza, diğer e-imza türlerine kıyasen en kapsamlı ve güvenilir yöntem olarak öne çıkmaktadır. Bu imza türünün kullanılabilmesi için belirli teknik ve hukuki düzenlemelere uyulması gerekmektedir. Güvenli e-imza, yalnızca devlet tarafından yetkilendirilmiş sertifika hizmet sağlayıcıları tarafından verilen nitelikli elektronik sertifikalar aracılığıyla oluşturulabilmektedir. Güvenli e-imza, gelişmiş e-imzanın tüm unsurlarını içermekle birlikte, nitelikli elektronik sertifikaya dayanmakta ve yalnızca güvenli imza oluşturma araçları kullanılarak oluşturulmaktadır. Türkiye’de yürürlükte olan EİK’de, “nitelikli elektronik imza” yerine “güvenli elektronik imza” kavramı benimsenmiş olup gelişmiş e-imza ile güvenli e-imza arasında ayırıma gidilmemiştir. EİK’nin 4. maddesinde, güvenli e-imzanın taşıması gereken temel unsurlar açıkça düzenlenmiştir.
• Mobil İmza: Mobil imza, bireylerin cep telefonu ve SIM kart kullanarak elektronik ortamda kimlik doğrulama ve işlem yapmalarını sağlayan bir e-imza türüdür. Kullanımı kolay olup güvenli ve hızlı işlem imkânı sunmaktadır. Özellikle bankacılık ve e-devlet hizmetlerinde yaygın olarak tercih edilmektedir.

5.E-İmzanın Hukuksal Geçerliliği

Borçlar hukuku bakımından kural olarak imzanın, borç altına giren kimsenin el yazısıyla atılması gerekli olmakla birlikte Türk Borçlar Kanunu (“TBK”) madde 15 kapsamında güvenli e-imza, el ile atılan imza ile hukuki yönden aynı değere sahip olarak kabul edilmiştir. Buna ek olarak EİK madde 5’teki düzenleme de “Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur.” şeklindedir.

Ancak, her e-imzanın aynı hukuki sonuçları doğurmayacağı göz önünde bulundurulmalıdır. E-imzanın, elle atılan imza ile aynı hukuki geçerliliğe sahip olabilmesi için güvenli e-imza niteliğini taşıması gerekmektedir. Zira e-imza türleri içinde güvenilir, yaygın ve hukuki kabul gören yöntem, güvenli elektronik imzadır. Güvenli e-imzanın, EİK’de, özelliklerinden yola çıkılarak yapılmış bir tanımı bulunmaktadır. EİK madde 4’e göre, “Sadece imza sahibine bağlı ve onun tasarrufunda olan, güvenli imza oluşturma aracı ile üretilen, nitelikli sıfatına haiz elektronik sertifikaya dayanarak kimlik tespiti sağlayan, imzalanmış elektronik veride sonradan yapılabilecek değişikliklerin tespitini sağlayan elektronik imzadır.” şeklinde tanımlama yapılmaktadır.

6.E-İmzanın Temin Edilme Yöntemleri

EİK madde 3/c’ye göre, e-imza kullanımının gerçek kişilerle sınırlı olduğu belirtilmektedir. Ancak tüzel kişiler adına gerçek kişiler tarafından e-imza kullanılabilmektedir. Gerçek kişiler, e-imza alabilmek için bir sertifika hizmet sağlayıcı şirketle sözleşme yapmalıdır. Bu sözleşme çerçevesinde, sertifika sağlayıcıları, imza anahtar çiftini üreterek imza sahibine teslim etmekte ve gizli anahtara karşılık gelen açık anahtarın imza sahibine ait olduğunu nitelikli sertifika ile kamuya duyurmaktadır. Nitelikli elektronik sertifika, sertifika sağlayıcı tarafından resmi belgelere dayalı olarak verilmekte ve yalnızca imza sahibine özel olarak düzenlenmektedir.

Bireysel e-imza başvurusu yapmak isteyen kişilerden, başvuru sırasında T.C. kimlik numarasının yer aldığı nüfus cüzdanı, sürücü belgesi veya pasaport gibi kimlik belgelerinden birinin ibraz edilmesi istenmektedir. Ek olarak, başvuru sahibinin Nitelikli Elektronik Sertifika Taahhütnamesini imzalaması gerekmekte olup başvuru formunun eksiksiz bir şekilde doldurulması da zorunludur.

Kurumsal e-imza başvurusu yapmak isteyen kişilerden, öncelikle Ticaret Sicil Memurluklarından alınmış ve son 6 ay içinde düzenlenmiş Ticari Sicil Belgesi talep edilmektedir. Bununla birlikte, başvuruyu yapacak kişinin T.C. kimlik numarasının yer aldığı nüfus cüzdanı, pasaport veya sürücü belgesinden biri de gerekli belgeler arasında yer almaktadır. Bunun yanı sıra, başvuruda imza sirküleri veya imza beyannamesi ile Nitelikli Elektronik Sertifika Taahhütnamesi ve e-imza başvuru formunun da sunulması gerekmektedir. İşbu evraklarla birlikte e-imza başvurusu gerçekleştirilebilmektedir.

7.E-İmza Kullanım Alanları

Özel hukukta, yazılı şekle tabi sözleşmelerde güvenli e-imzanın kullanılması mümkündür. Sözleşmeye taraf olan kişiler, borç altına girdiklerinde imza atmak zorundadır. Eğer sözleşme her iki tarafı da borç yüklüyorsa, sözleşmenin tamamlanabilmesi için her iki tarafın da metni imzalayıp karşı tarafa göndermesi gerekmektedir.[3]

6100 sayılı Hukuk Muhakemeleri Kanunu (“HMK”)’nun 205/2 ve 3. maddesine göre, güvenli e-imza ile oluşturulmuş bir elektronik veri senet hükmündedir. Hakim, mahkemeye sunulan e-imzalı belgeleri inceleyerek güvenli e-imza ile oluşturulup oluşturulmadığını kontrol etmektedir. Bu inceleme için keşif veya bilirkişi raporu gerekebilecektir. EİK ve ikincil düzenlemelerle, e-imzanın elle atılan imza ile aynı hukuki sonucu doğuracağı ve kesin delil olarak kabul edileceği belirlenmiştir.[4]

Elektronik imza, kamu hizmetlerinin daha hızlı ve verimli sunulmasını sağlamak amacıyla e-devlet uygulamalarında yaygın olarak kullanılmaktadır. Örneğin, HMK’nın 445. maddesi uyarınca, Ulusal Yargı Ağı Projesi (“UYAP”) üzerinden güvenli elektronik imza ile dava açılabilmekte, harç ödenebilmekte ve dosyalar incelenebilmektedir.

Teknolojinin ilerlemesiyle kamusal işlemler elektronik ortama taşınmış ve e-imza; e-devlet uygulamaları, Elektronik Belge Yönetim Sistemleri (EBYS, DYS vb.), Elektronik Kamu Alımları Platformu (EKAP), UYAP, KEP, e-Fatura, Merkezi Sicil Kayıt Sistemi (MERSİS), sağlık uygulamaları, personel elektronik bordro gönderimleri, banka ve ödeme talimatları, başvuru işlemleri, e-belge ve mutabakat işlemleri gibi bir dizi alanda geçerliliğini sürdürmektedir.

8.E-İmzanın Geçerli Olmadığı Alanlar

Resmi şekle tabi olan sözleşmelerin, örneğin taşınmaz satış sözleşmesinin güvenli e-imza kurulması mümkün değildir. Aynı şekilde, özel merasime tabi olan hukuki işlemlerin örneğin evlilik sözleşmesinin bu şekilde yapılması mümkün değildir. Bununla birlikte, güvenli e-imza ile resmi vasiyetname ya da el yazılı vasiyetname düzenlenemez.

EİK’nin ilk halinde tüm teminat sözleşmelerinin güvenli e-imza ile yapılamayacağı düzenlenirken, EİK’de 15/7/2016 tarihli ve 6728 sayılı Kanun’un 45. maddesiyle değişikliğe gidilmiş ve banka teminat mektuplarının güvenli e-imza ile düzenlenmesinin yolu açılmıştır. Mevcut durumda, güvenli e-imza, yazılı şekle bağlı sözleşmelerde kullanılabilmekte iken resmi şekle bağlı sözleşmelerin kurulmasında ve özel merasime bağlı hukuki işlemlerde kullanılmayacak ve banka teminat mektupları dışındaki teminat sözleşmeleri de güvenli e-imza ile kurulamayacaktır.

Ek olarak, günlük hayatımızda birçok alanda karşımıza çıkan kambiyo senetlerinin e-imza ile yapılamayacağı 6102 sayılı Türk Ticaret Kanunu’nun 1526. maddesinde düzenlenmiştir. Düzenlemeye göre; poliçe, bono, çek, makbuz senedi, varant ve kambiyo senetlerine benzeyen senetler güvenli elektronik imza ile düzenlenemez. Bu senetlere ilişkin kabul, aval ve ciro gibi senet üzerinde gerçekleştirilen işlemler de güvenli e-imza ile yapılamaz.

9.E-İmza Kullanmanın Avantajları

• Yasal Güvenlik: E-imzalar, el yazısı imzaların yasal ikameleridir. EİK madde 6/b ve c’ye göre, imza verilerinin gizliliği korunmalı ve üçüncü kişiler tarafından erişilmemelidir. Güvenli e-imza, imzanın taklidini engelleyen ve kişisel bilgilerin korunmasını sağlayan bir sistemle yapılmalıdır. Ek olarak, imza sahibi şifresini korumak zorundadır.[5]
• Veri Bütünlüğü: Güvenli e-imza, verinin gönderildiği andan itibaren değişmediğini garantilemektedir. En ufak bir değişiklik imzanın bozulmasına yol açmakta olup güvenli e-imza, metnin tamamını şifrelemekte ve her türlü değişikliğin kolayca tespit edilmesini sağlamaktadır.[6]
• İnkar Edilemezlik: Güvenli e-imza ile gönderilen veriler hem gönderici hem de alıcı tarafından inkar edilemez. Bu durum teknik birtakım hususlar ile sağlanabilmektedir. EİK madde 7’ye göre, güvenli e-imzanın doğrulanmasında kullanılan araçlar, bu doğrulamanın yapılmasında kullanılan verileri, hiçbir değişiklik yapmadan doğrulama yapan kimseye sunmalıdır. Şu halde, saydığımız verilerin güvenilir biçimde doğrulaması yapılabiliyorsa imzanın inkar edilmezliği de sağlanmaktadır. [7]
• Zaman Tasarrufu: E-imza süreçleri, fiziksel imza süreçlerinden çok daha hızlı sonuçlanmakta ve mekân bağımsız olarak işlem tamamlanabilmektedir. Dijital dosyalar, kağıt israfını azaltarak daha kolay yöntemlerle depolanabilmektedir.
• Düşük Maliyet:  E-imzalar, genellikle posta yoluyla yapılan el yazısı imza süreçlerinden çok daha hızlı ve düşük maliyetli şekilde tamamlanmaktadır. Dijitalleştirme, sözleşme iş akışlarını optimize ederken yazdırma ve posta maliyetlerini azaltmaktadır.

[1] ⁾Altınışık, s. 78.

[2] İnci Biçkin, “Elektronik İmza ve Elektronik İmza ile İlgili Yasal Düzenlemeler”, TBB Dergisi, Sayı 63, 2006.

[3] Kocayusufpaşaoğlu/Hatemı̇/Serozan/Arpacı, S.282; Eren, S.296 Vd.; Reisoğlu, S.90.

[4] Yardım, S.105; Erturgut, S.67; Örer, S.86; Özbek, S.2260; Yılmaz, S.3476; Farklı Bir Değerlendirme İçin Bkz. Yardım, S.115 Vd.; Yardım (İmza İnkârı), S.107.

[5] Özbek, S.2253

[6] RÜSSMANN, S.346; ORER, S.50; Şifreleme ve İmzanın Oluşumu ile ilgili Teknik Bilgi İçin SÖZER, S.123 Vd.

[7] İnönü Üniversitesi Hukuk Fakültesi Dergisi (İnÜHFD), 12(2): 539-556 (2021), “Güvenli Elektronik İmza Sahibinin Hakları ve Yükümlülükleri” başlıklı makale, s. 539.