23/03/2026
Türkiye'de E-İmza Hukuki Geçerliliği: Gerçekler ve Dijital Riskler
Türkiye’de e-imza hukuki geçerliliği, 5070 Sayılı Elektronik İmza Kanunu'nun 5. maddesi ile kesinleşmiş olup; güvenli elektronik imza, kanunların resmi şekle veya özel bir merasime tabi tuttuğu işlemler (evlenme, emlak satışı vb.) haricinde ıslak imza ile aynı ispat gücüne sahiptir. Modern dijital imza mevzuatı, bu teknolojiyi sadece bir veri türü olarak değil, inkar edilemezlik ve veri bütünlüğü sağlayan bir elektronik sertifika mekanizması olarak tanımlar. BTK (Bilgi Teknolojileri ve İletişim Kurumu) tarafından yetkilendirilmiş hizmet sağlayıcılar aracılığıyla oluşturulmayan imzalar, yargı önünde "Nitelikli Elektronik İmza" vasfı taşımaz.
Türkiye’de E-İmzanın Hukuki Statüsü ve Islak İmza ile Eşdeğerliği
Güvenli e-imza, Türk hukukunda "imza sahibinin kimliğinin tespitini sağlayan ve imzalanan metinde sonradan yapılan değişikliğin fark edilmesine imkan veren" yapısı sayesinde ıslak imza eşdeğerliği kazanır. Bu hukuki statü, 5070 Sayılı Kanun'un 5. maddesinde açıkça "Güvenli elektronik imza, elle atılan imza ile aynı hukukî sonucu doğurur" ifadesiyle tescillenmiştir. Kurumsal hiyerarşide imza yetkisi bulunan kişilerin, nitelikli sertifika kullanarak gerçekleştirdiği her işlem, Borçlar Kanunu çerçevesinde şahsı veya kurumu doğrudan bağlayıcıdır.
5070 Sayılı Kanun Kapsamında E-İmzanın Bağlayıcılığı
5070 Sayılı Kanun, elektronik imzanın teknik altyapısını hukuki bir çerçeveye oturtarak taraflar arasındaki güven ilişkisini yasallaştırır. İlgili kanun maddeleri (özellikle Madde 4), bir imzanın "Güvenli Elektronik İmza" sayılabilmesi için; sadece imza sahibine bağlı olması, imza oluşturma araçlarının (token, akıllı kart) münhasıran imza sahibi kontrolünde bulunması ve herhangi bir veri değişikliğinin tespit edilebilir olması şartlarını koşar. Bu şartlar sağlanmadığında, atılan imza hukuken zayıf delil statüsüne düşebilir; ancak şartlar sağlandığında yasal bağlayıcılık tamdır.
Yargı Süreçlerinde E-İmzanın Delil Niteliği
Hukuk Muhakemeleri Kanunu (HMK) Madde 205 uyarınca, usulüne uygun güvenli elektronik imza ile oluşturulmuş elektronik veriler "senet" hükmündedir. Bu durum, delil niteliği açısından e-imzalı belgenin, aksi ispatlanana kadar kesin delil sayılması demektir. Yargıtay'ın yerleşik mahkeme delilleri hakkındaki içtihatlarına göre, HMK e-imza entegrasyonu kapsamında sunulan belgeler üzerinde sahtecilik iddiası varsa, bu ancak teknik bir bilirkişi incelemesiyle (hash değerlerinin kontrolü) kanıtlanabilir; basit bir itiraz belgeyi geçersiz kılmaz.
Sözleşmelerde Geçerlilik Şartları ve İtiraz Durumları
E-imza ile kurulan akitlerde sözleşme geçerliliği, tarafların irade beyanlarının zaman damgasıyla mühürlenmesi sayesinde güçlenir. Borçlar Kanunu e-imza kullanımını genel sözleşme hürriyeti kapsamında destekler. Ancak, uygulamada sıkça karşılaşılan itiraz durumları, imza sahibinin "şifremi başkası kullandı" veya "kartım iradem dışında kullanıldı" şeklindeki savunmalarıdır. Yargıtay Hukuk Genel Kurulu kararlarına göre, imza oluşturma araçlarının güvenliğini sağlamak imza sahibinin sorumluluğunda olduğundan, bu tür itirazlar genellikle hukuki karşılık bulmamaktadır.
| Kriter | Islak İmza | Nitelikli E-İmza (5070) |
|---|---|---|
| İspat Gücü | Kesin Delil (Senet) | Kesin Delil (Senet) |
| İnkar Durumu | İmza sirküleri/Grafolojik analiz | Kriptografik doğrulama / Log kaydı |
| Veri Güvenliği | Tahrifata açıktır | Tahrifat anında imza bozulur |
| Kullanım Alanı | Tüm işlemler | Evlenme, Emlak, Veraset hariç her yer |
Hukuki çerçevenin sunduğu geniş yetkilere rağmen, e-imzanın her türlü işlemde mutlak bir geçerliliğe sahip olduğu düşüncesi yanıltıcıdır. Mevzuat, belirli alanlarda kamu düzenini ve işlemin sıhhatini korumak adına dijital imzaya kapıları kapatmıştır.
E-İmzanın Uygulamalardaki Hukuki Sınırları
Türkiye'de e-imza kullanımı, her ne kadar ıslak imza ile eşdeğer sayılsa da, 5070 Sayılı Kanun'un 5. maddesinin ikinci fıkrası ile çizilmiş net hukuki sınırlar mevcuttur. Kanun, "kanunların resmî şekle veya özel bir merasime tâbi tuttuğu işlemler" ile "teminat sözleşmeleri"nin güvenli elektronik imza ile yapılamayacağını hükme bağlar. Bu bağlamda, noter huzurunda yapılması zorunlu olan taşınmaz satışları (tapu işlemleri) veya vasiyetname düzenlenmesi gibi istisnai durumlar dijital ortamda gerçekleştirilemez. Ayrıca, kişilerin şahsına sıkı sıkıya bağlı hakların söz konusu olduğu aile hukuku e-imza kullanımı açısından tamamen kapalıdır; örneğin e-imza ile evlenmek veya boşanma protokolü imzalamak hukuken mümkün değildir.
E-İmzanın Hukuki Geçerliliğini Etkileyen Dijital Riskler
E-imza, kağıt üzerindeki bir imzadan teknik olarak daha güvenli kabul edilse de, varlığı tamamen dijital ortama bağlı olduğu için bir dizi dijital riskler ile karşı karşıyadır. Bu riskler, sadece teknik arızalarla sınırlı kalmayıp, imzanın mahkemeler nezdindeki ispat gücünü zayıflatabilecek siber güvenlik açıklarını da kapsar. İmzalanan belgenin değiştirilmediğini kanıtlayan veri bütünlüğü, dosya formatındaki bozulmalar veya kullanılan yazılımın güncel olmaması nedeniyle tehlikeye girebilir.
Sahtecilik ve Kimlik Ele Geçirme Girişimleri
Dijital dünyada sahtecilik, ıslak imza taklidinden çok daha sofistike yöntemlerle, doğrudan imza oluşturma verisinin (şifre ve sertifika) hedeflenmesiyle gerçekleşir. Kötü niyetli aktörlerin uyguladığı kimlik hırsızlığı, genellikle kullanıcının dikkatsizliğinden faydalanan phishing riskleri (oltalama) üzerinden yürütülür. Eğer bir kullanıcı, e-imza şifresini sahte bir web sitesine girerse veya token cihazını bilgisayarında takılı bırakarak uzaktan erişime izin verirse, kimlik ele geçirme vakası kaçınılmaz hale gelir. Yargıtay emsal kararlarına göre, bu durumda imza sahibinin "ağır kusuru" olduğu kabul edilmekte ve imzanın sonuçlarından sorumlu tutulmaktadır.
Sertifika Süresi, İptali ve Hukuki Aksaklıklar
Bir e-imzanın hukuken sonuç doğurabilmesi için, imzanın atıldığı saniyede sertifikanın aktif ve geçerli olması şarttır. Sertifika süresi dolmuş veya çalınma bildirimi üzerine iptal durumları listesine (CRL) girmiş bir sertifika ile atılan imzalar, geriye dönük olarak geçersiz sayılabilir. Bu noktada zaman damgası, imzanın tam olarak ne zaman atıldığını ispatlayarak hukuki aksaklıkların önüne geçer; ancak zaman damgası kullanılmayan işlemlerde, sertifikanın geçerlilik süresine dair itirazlar ciddi ispat sorunları doğurabilir.
Donanım ve Yazılım Kaynaklı Geçersizlik Riskleri
E-imza kullanımı, akıllı kartlar ve okuyucular gibi fiziksel unsurlara bağımlıdır. Donanım riskleri, özellikle chip bozulmaları veya token arızaları nedeniyle imza oluşturma verisine erişilememesi durumunda iş süreçlerini aksatır. Ayrıca, yazılım kaynaklı geçersizlik durumları, kullanılan imzalama kütüphanelerinin (API) güncel mevzuat standartlarına (örneğin PAdES veya XAdES formatları) uymaması sonucunda belgenin doğrulanamamasına yol açabilir.
Kritik Not: Uzmanlara göre, e-imza itirazlarının %80'i teknik altyapı yetersizliğinden değil, token cihazının ve şifrenin üçüncü şahıslarla paylaşılması gibi kullanıcı hatalarından kaynaklanmaktadır.
E-İmzanın Hukuki Güvenliğini Artırmak İçin Alınması Gereken Önlemler
E-imza kullanımında en yüksek hukuki güvenlik seviyesine ulaşmak, hem teknik donanımın korunmasını hem de bilinçli bir kullanım protokolünün uygulanmasını gerektirir. Yasaların sunduğu korumadan tam yararlanabilmek için kullanıcıların sadece "imza atmayı" değil, imzanın arkasındaki delil zincirini korumayı da öğrenmesi şarttır. Alınacak stratejik önlemler, olası bir uyuşmazlık anında yargı organlarına sunulacak teknik ispatların gücünü doğrudan belirler.
Güvenli İmza Oluşturma Araçlarının Kullanımı ve Korunması
Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından onaylanmış güvenli imza oluşturma araçları (nitelikli akıllı kartlar ve USB tokenlar), imza oluşturma verisinin dışarıya sızdırılmasını fiziksel olarak engelleyen çipler içerir. Bu cihazların güvenliği için şu adımlar hayati önem taşır:
- Fiziksel Erişim Kontrolü: Token cihazları, işlem bittikten sonra asla bilgisayar üzerinde takılı bırakılmamalıdır. Uzaktan erişim yazılımları (TeamViewer, AnyDesk vb.) aktifken cihazın takılı olması, siber saldırganlara kapı aralar.
- PIN Güvenliği: Doğum tarihi veya "1234" gibi tahmin edilebilir şifrelerden kaçınılmalı; şifreler hiçbir dijital dosyada veya cihazın üzerinde yazılı olarak saklanmamalıdır.
- İki Faktörlü Doğrulama (2FA): Özellikle bulut tabanlı e-imza çözümlerinde, sadece şifre ile değil, mobil onay veya SMS gibi iki faktörlü doğrulama yöntemleri aktif edilerek kimlik doğrulama katmanı çiftlenmelidir.
Hukuki İspat Gücünü Artıran Teknik Detaylar
Bir belgenin sadece imzalanmış olması yeterli değildir; o belgenin yıllar sonra bile "değiştirilmediğinin" kanıtlanması gerekir. Bunun için:
- Zaman Damgası Entegrasyonu: Her imza işlemi mutlaka bir zaman damgasıyla mühürlenmelidir. Bu, sertifikanın iptal edildiği veya süresinin dolduğu iddialarına karşı, işlemin "sertifika geçerliyken" yapıldığını mühürleyen tek resmi kanıttır.
- Uzun Süreli Arşivleme (LTV): İmzalanan belgelerin, sertifika makamının (ESHS) kök sertifikaları ve iptal listeleri (OCSP/CRL) ile birlikte paketlenmesi (PAdES-LTV formatı), belgenin 10-20 yıl sonra bile geçerliliğinin doğrulanabilmesini sağlar.
- Log Kayıtlarının Saklanması: Kurumsal imza süreçlerinde, imzanın hangi IP adresi üzerinden ve hangi oturum bilgileriyle atıldığına dair sistem kayıtlarının tutulması, "şifrem çalındı" şeklindeki haksız itirazları çürütmek için en güçlü yan delildir.
Emsal Karar Hatırlatması: Yargıtay'ın 5070 Sayılı Kanun çerçevesindeki kararlarında, e-imza aracını ve şifresini koruma yükümlülüğünün "şahsi" olduğu, bu verilerin üçüncü kişilerle paylaşılmasının "ağır kusur" teşkil ettiği ve bu nedenle doğacak zarardan imza sahibinin sorumlu olduğu defaatle vurgulanmıştır.
Türkiye'de E-İmza Hukuki Geçerliliği Hakkında Sıkça Sorulan Sorular
Hangi durumlarda e-imza hukuken geçersiz sayılır?
E-imza; taşınmaz malların alım-satımı (tapu işlemleri), evlenme, vasiyetname düzenlenmesi gibi resmi merasim gerektiren hallerde ve aile hukuku kapsamındaki işlemlerde geçersizdir. Ayrıca, BTK tarafından yetkilendirilmemiş bir kurumdan alınan veya imza anında iptal edilmiş bir sertifika ile atılan imzaların nitelikli delil vasfı yoktur.
Sertifika süresi dolmuş bir e-imza belgeyi geçersiz kılar mı?
Eğer imza atıldığı sırada sertifika geçerliyse ve işlem "zaman damgası" ile mühürlenmişse, sertifika süresi sonradan dolsa bile belge hukuki geçerliliğini korur. Ancak zaman damgası yoksa ve imza anının sertifika geçerlilik süresi içinde olduğu teknik olarak kanıtlanamıyorsa, belgenin ispat gücü ciddi oranda zayıflar.
E-imzalı belgeye itiraz edilebilir mi?
Evet, e-imzalı belgeye itiraz edilebilir ancak bu itiraz "imza bana ait değil" şeklinde basit bir beyanla yapılamaz. İtirazın kabul görmesi için imza oluşturma verisinin irade dışında ele geçirildiği veya sistemde teknik bir sahtecilik yapıldığı bilimsel ve teknik raporlarla ispatlanmalıdır; aksi halde 5070 Sayılı Kanun uyarınca imza sahibi sorumludur.
Mobil imza ile e-imza hukuken aynı mıdır?
Hukuki sonuçları bakımından mobil imza ile e-imza tamamen aynı ispat gücüne ve eşdeğerliğe sahiptir. Aralarındaki tek fark teknolojik altyapıdır; e-imza için fiziksel bir USB token gerekirken, mobil imza operatörler üzerinden SIM kart aracılığıyla aynı nitelikli elektronik sertifika yapısını kullanır.