Sahte Otel Sitelerine Karşı Hukuki Süreç Rehberi: TCK 158, 244, 245 ve 5651 Sayılı Kanun

Bir müşterimizin deneyiminde, kendi otellerinin adını kullanan sahte bir rezervasyon sitesi üç hafta boyunca aktif kaldı. Bu süre zarfında en az 40 misafirin ödeme yaptığı, ancak asla rezervasyon onayı alamadığı belirlendi. Otel yönetimi hem sahte siteyi kaldırmak hem de mağdur misafirlere destek olmak için aynı anda birden fazla cephede mücadele vermek zorunda kaldı.

Bu tür vakalarda "ne yapmalıyım?" sorusunun yanıtı net değil gibi görünebilir. Hangi makama başvurulacak, nasıl delil toplanacak, domain nasıl kaldırılacak — bunların hepsi ayrı süreçler ve her birinin farklı kanalları var. Bu rehber, sahte otel sitelerine karşı hukuki ve teknik süreçleri adım adım açıklıyor.

Sahte otel sitesi sorunları, tek bir yasal düzenlemeye ya da tek bir kuruma tam olarak oturmuyor. Türk hukuku açısından birden fazla suç tanımına girdiği için birden fazla makama başvurmak gerekiyor. Öte yandan domain kaldırma ve site engelleme süreçleri, teknik ve idari kanalları da kapsıyor. Uluslararası boyut eklendiğinde (çoğu sahte site yurt dışı sunucularda barınıyor) süreç daha da karmaşık bir hal alıyor.

İyi haber şu: her aşama sistematik biçimde yürütüldüğünde sonuç alınabiliyor. Araştırmamızda gördük ki doğru kanalları kullanan otellerin büyük çoğunluğu sahte siteleri 2-4 hafta içinde kaldırtmayı başarıyor.

Bu madde, bilişim sistemleri aracılığıyla gerçekleştirilen dolandırıcılığı kapsar. Sahte otel siteleri üzerinden misafirlerden para alınması bu madde kapsamında değerlendirilebilir.

Ceza: 3 ila 10 yıl hapis cezası ve adli para cezası.

Sektör uzmanları belirtiyor ki bu madde kapsamındaki suçlar, savcılık tarafından re'sen (şikayete gerek kalmadan) soruşturulabilir. Ancak otel yönetiminin şikayeti, soruşturmanın önünü açar ve delilleri somutlaştırır.

Sahte site operatörlerinin otelin web altyapısını klonlaması ya da kullanıcıları yönlendirmesi bu madde kapsamına girebilir.

Ceza: 1 ila 5 yıl hapis cezası.

Sahte sitede gerçek kredi kartı bilgileri toplanıyorsa bu madde de devreye girer.

Ceza: 3 ila 7 yıl hapis cezası.

Sahte site operasyonunun birden fazla kişi tarafından koordineli şekilde yürütüldüğü durumlarda ek suç unsuru oluşabilir.

Ek ceza: 2 ila 6 yıl.

Sahte sitede otelinizin logosu, fotoğrafları ve yazılı içerikleri izinsiz kullanılıyorsa telif hakkı ihlali gündeme gelir. Bu, domain kaldırma süreçlerinde güçlü bir destekleyici delil niteliği taşır.

Hukuki süreçte en kritik aşama delil toplamaktır. Tüm başvurularınızın dayanağı bu deliller olacak; bu nedenle sistematik ve eksiksiz belgeleme yapılmalı.

• Ekran görüntüleri: Sahte sitenin ana sayfası, rezervasyon formu, ödeme sayfası, iletişim bilgileri, otel adı ve logosu kullanılan tüm bölümler. Tarih ve URL'nin görünür olduğundan emin olun.
• WHOIS kaydı: who.is veya whois.domaintools.com üzerinden sorgulanabilir. Domain sahibi, kayıt tarihi, kayıt firması bilgileri yer alır. Bu bilgileri kaydedin çünkü ileride gizlenebilir.
• SSL sertifikası bilgileri: Tarayıcı üzerinden sertifika detayları (kim tarafından, ne zaman alınmış, hangi domain için).
• DNS kayıtları: MXToolbox veya benzer araçlarla sorgulanabilir. IP adresi, nameserver bilgileri.
• Arşiv kayıtları: Wayback Machine'de (web.archive.org) sahte sitenin kaydı varsa bu da belgelenebilir.
• Ödeme kanıtları: Mağdur misafirlerden ödeme dekontları toplanabilirse güçlü destekleyici delil oluşturur.

Bir müşterimizin deneyiminde, savcılığa başvurduklarında WHOIS bilgilerini kaydetmeyi unutmuşlardı. Başvurudan sonraki birkaç gün içinde saldırgan domain gizlilik hizmetini etkinleştirdi ve kayıt sahibi bilgileri görünmez hale geldi. Bu nedenle delil toplama mümkün olan en kısa sürede yapılmalı.

Toplanan delillerle birlikte en yakın Cumhuriyet Başsavcılığı'na yazılı suç duyurusunda bulunulabilir. Dilekçede şunlar yer almalı:

• Otelinizin kimliği ve ticaret unvanı
• Sahte sitenin URL'si ve tespit tarihi
• Kullanılan TCK maddeleri (158/1-f, 244, 245)
• Tüm dijital deliller (ekran görüntüleri, WHOIS kaydı vb.)
• Mağdur misafir varsa bunların ifadesi
• Talebiniz: soruşturma başlatılması ve sanığın tespiti

Özellikle büyük şehirlerde Siber Suçlarla Mücadele Bürosu bulunan savcılıklara başvurmak süreci hızlandırabilir. İstanbul, Ankara, Antalya ve İzmir'de bu bürolar aktiftir.

Türkiye'den erişimi engelleme ya da içerik kaldırma için 5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında iki farklı yol mevcuttur.

Belirli suç kapsamındaki içerikler için mahkeme ya da BTK kararıyla Türkiye'den erişim engellenebilir. Süreç şöyle işler:

• Sulh Ceza Hakimliği'ne başvurulur
• Hakim 24 saat içinde karar verebilir
• Karar onaylanırsa BTK erişim engelini uygular

Bu yol, siteyi tamamen kaldırmaz; yalnızca Türkiye'den erişimi engeller. Saldırganlar VPN ile siteye erişmeye devam edebilir ve misafirler de yapmaları halinde aynı durumla karşılaşır. Bu nedenle tek başına yeterli değildir.

İçerik sahibine (site operatörüne) ve barındırma hizmet sağlayıcısına yönelik kaldırma talebi gönderilebilir. Yanıt alınmazsa mahkeme yoluyla zorunlu kaldırma kararı talep edilir.

Hukuki başvurular dışında, sahte sitelerin teknik olarak kaldırılmasını hızlandıracak paralel kanallar da var.

Sahte sitelerin büyük çoğunluğu Cloudflare CDN arkasında barınıyor. Cloudflare'ın "abuse.cloudflare.com" adresi üzerinden kötüye kullanım bildirimi yapılabilir. Bildirimleri phishing ve marka ihlali olarak sınıflandırın ve delillerinizi ekleyin.

Google'ın Safe Browsing sistemine sahte siteyi bildirin. Site "tehlikeli" olarak işaretlendiğinde Chrome ve diğer tarayıcılarda uyarı gösterilmeye başlar. Bu, kullanıcıların siteye erişimini fiilen kısıtlamanın en etkili yollarından biridir.

Bing ve Internet Explorer/Edge kullanıcıları için eşdeğer mekanizmadır. Microsoft'a ayrıca bildirim yapılmalıdır.

WHOIS sorgusunda belirlenen registrar'ın abuse e-posta adresine kötüye kullanım bildirimi gönderin. ICANN politikası gereği registrar'lar bu bildirimleri değerlendirmek zorundadır.

BTK bünyesindeki USOM, Türkiye'deki siber tehditleri koordineli biçimde takip eder. [email protected] adresine bildirim yapılabilir.

BTK'nın ihbar formu (ihbar.btk.gov.tr) üzerinden doğrudan başvurulabilir.

Sahte site operatörü, otelinizin ticaret unvanını ya da marka adını içeren bir domain kullanıyorsa ICANN'ın Uniform Domain-Name Dispute-Resolution Policy (UDRP) süreci işletilebilir.

UDRP başvurusunda üç koşulun sağlanması gerekir:

1. Domain adı, başvurucunun ticari markasıyla karışıklığa yol açacak derecede benzer
2. Domain sahibinin bu ad üzerinde meşru bir hakkı ya da çıkarı yoktur
3. Domain kötü niyetle (bad faith) kaydedilmiş ve/veya kullanılmaktadır

Süreç, WIPO veya Forum gibi yetkili tahkim kurumları aracılığıyla yürütülür ve ortalama 45-60 gün sürer. Başarılı başvurularda domain sahte operatörden alınarak başvurucuya transfer edilir ya da iptal edilir.

Sektör uzmanları belirtiyor ki UDRP süreci, hukuki açıdan güçlü delillere sahip vakalarda son derece etkili sonuçlar veriyor. Özellikle ticari marka tescili bulunan otel markalarının başarı oranı oldukça yüksek.

Araştırmamızda gördük ki tüm kanalları eş zamanlı kullanan oteller şu zaman dilimlerinde sonuç alıyor:

• Google Safe Browsing işaretleme: 24-72 saat
• Registrar kaldırma kararı: 3-14 gün (registrar'a göre değişir)
• BTK/5651 erişim engeli: 1-7 gün
• Cloudflare hizmet kesimi: 3-10 gün
• UDRP süreci: 45-60 gün
• Savcılık soruşturması: Birkaç ay (uzun vadeli süreç)

Pratik olarak en hızlı etki yaratanlar Google Safe Browsing ve registrar bildirimleridir. UDRP ise domain'i kalıcı olarak geri almak isteyenler için en kesin sonucu verir.

Bu süreci hiç konu almayan ama kritik öneme sahip bir unsur: ticari marka tescili. Otel adınızın Türk Patent ve Marka Kurumu (TÜRKPATENT) nezdinde tescilli bir ticari markası varsa, hem UDRP sürecinde hem de mahkeme aşamalarında çok daha güçlü bir konumdaysınız.

Tescilli marka, birkaç pratik avantaj sağlar:

UDRP'de güçlü zemin: Tahkim sürecinde başvurucunun hakları somut belgeye dayanıyor. Saldırgan "ben de bu ismi kullanabilirim" savunması yapamıyor.

Hızlı ihtiyati tedbir: Mahkeme aşamasında geçici erişim engeli için ihtiyati tedbir talep ederken tescilli marka sahibi olmak, talebin kabul olasılığını önemli ölçüde artırıyor.

Registrar'a daha güçlü bildirim: Pek çok uluslararası registrar, tescilli marka ihlali bildirimlerine şikayetsiz domain kayıt sözleşmesi kapsamında çok daha hızlı yanıt veriyor.

Otel adınız henüz tescilli değilse, bu süreç Türkiye'de ortalama 12-18 ay alıyor. Süreç uzun olsa da başlatmak önemli; tescil başvurusu yapılmış olmak bile bazı prosedürlerde destekleyici belge işlevi görüyor.

Sahte site mağduru olan misafirlerinize doğru rehberlik etmek hem etik bir sorumluluk hem de itibarınızı korumaya yönelik pratik bir adım. Şikayetleri duyan ama yönlendirilmeyen misafirler zaman zaman sosyal medyada durumu otelin sorumluluğunda gibi aktarabiliyor.

1. Banka veya kredi kartı şirketi ile iletişim: Mağdur misafir ödemeyi kredi kartıyla yaptıysa, chargeback (ödeme iptali) talep etmesini önerin. Bu talep genellikle işlem tarihinden itibaren 60-120 gün içinde yapılabiliyor ve sahte sitelerden yapılan ödemelerde başarı oranı oldukça yüksek.

2. Emniyet Müdürlüğü'ne bireysel şikayet: Mağdurların bireysel olarak Siber Suçlarla Mücadele şubesine ya da e-devlet üzerinden şikayette bulunması, savcılık soruşturmasını güçlendirir.

3. Tüketici Hakem Heyeti: Mali kayıpların giderilmesi amacıyla başvurulabilecek idari bir kanal.

Müşterimizin deneyiminde: bir resort oteli sahte site mağdurlarına ayrıntılı bir bilgilendirme e-postası gönderdi; chargeback rehberini ve şikayet form linklerini içeriyordu. Misafirlerin büyük çoğunluğu ödemelerini geri aldı ve otel bu süreçte misafir memnuniyetini korudu. Hatta bazı misafirler süreci dürüstçe yöneten otel için olumlu yorumlar paylaştı.

Bu süreçlerin bir maliyeti var, bunu göz ardı etmemek gerekiyor. Ancak sahte sitelerin yol açtığı itibar kaybı ve misafir kayıplarıyla karşılaştırıldığında bu maliyetler genellikle haklı çıkıyor.

Avukatlık ücreti: Siber suç alanında deneyimli bir avukat, suç duyurusu ve 5651 başvuruları için 3.000-8.000 TL arasında ücret talep ediyor. UDRP başvurusu için ek ücret gerekiyor.

UDRP başvuru ücreti: Tahkim kurumuna göre değişiyor; WIPO'da tek panelist için yaklaşık 1.500 dolar.

Zaman maliyeti: Tüm kanalları koordineli şekilde yönetmek, otel yöneticisinden ya da iletişim sorumlusundan haftada 3-5 saatlik zaman gerektiriyor.

Araştırmamızda gördük ki süreci bilen ve hızlı harekete geçen otellerin, süreci bilmeyen otellere kıyasla hem daha hızlı sonuç aldığı hem de toplam maliyetlerin önemli ölçüde düştüğü ortaya çıktı. İlk 48-72 saat içinde başlatılan eylemler, uzun vadeli yasal süreçleri sıklıkla gereksiz kılıyor.

Sahte sitenin tespit edilmesinin ardından otel sitenizin nasıl kopyalandığını ve bu konuda neler yapabileceğinizi adım adım öğrenmek için otel siteniz kopyalandığında yapılması gerekenleri anlatan rehberimize başvurabilirsiniz. Uluslararası tahkim süreçlerinde başvurulabilecek kurumlara erişmek için WIPO UDRP portalı ve ICANN WHOIS veritabanından yararlanabilirsiniz.

Sahte siteyi kapatmak için mutlaka avukata mı ihtiyacım var? Registrar bildirimi ve BTK/USOM başvurusu için avukat zorunlu değildir; bu adımları kendiniz yürütebilirsiniz. Ancak savcılık suç duyurusu ve UDRP süreçlerinde siber hukuk deneyimli bir avukatla çalışmak sürecin etkinliğini ve hızını önemli ölçüde artırır. Karmaşık davalarda (çok sayıda mağdur, yurt dışı sunucu) hukuki destek kesinlikle önerilir.

Yurt dışında barındırılan sahte siteleri de kapatabilir miyim? Evet; ancak süreç daha uzun sürebilir. Uluslararası hosting sağlayıcılarına Abuse bildirimi, Google Safe Browsing'e URL bildirimi ve WIPO UDRP başvurusu bu durumda en etkili araçlardır. Türkiye'deki mahkemeler yurt dışı sunuculara doğrudan yaptırım uygulayamaz; ancak UDRP ve Cloudflare gibi CDN sağlayıcıları üzerinden domain düzeyinde sonuç alınabilir.

Sahte site kaldırıldı; tekrar açılırsa ne yapmalıyım? Aynı saldırganın yeni bir domain kayıt etmesi sık karşılaşılan bir durumdur. Bu nedenle süreci tek seferlik değil sürekli bir izleme rutini olarak kurmak önemlidir. Bir domain kapatıldığında tahkim kararı bulunuyorsa sonraki başvurular için emsal oluşturur ve süreç hızlanır.

TCK kapsamında açılan davalarda ceza ne kadar? TCK Madde 158/1-f kapsamındaki nitelikli bilişim dolandırıcılığında 3 yıldan 10 yıla kadar hapis cezası öngörülmektedir. 244. madde kapsamındaki bilişim sistemlerine zarar verme suçunda 1 yıldan 5 yıla kadar hapis öngörülür. Mahkumiyet oranları, delil gücüne ve sanığın Türkiye'de erişilebilir olup olmadığına bağlı olarak değişmektedir.

Sahte otel sitenizi tespit edin, gerekli delilleri toplayın ve hukuki süreci başlatın. RuuSafe platformu, takedown dilekçesi şablonlarını, BTK/USOM bildirim formlarını ve UDRP başvuru rehberini hazır olarak sunar. Ücretsiz taramayla sahte sitelerinizi bugün tespit edin.