1 Nisan 2026’da yürürlüğe giren BTK kararları, yıllardır vatandaşları bunaltan dolandırıcılık SMS’lerine ve sahte aramalara karşı ciddi teknik engeller getirdi. Peki bu düzenlemeler gerçekten işe yarar mı? Hangi boşluklar hâlâ açık? Ve bireysel olarak kendimizi nasıl koruyabiliriz?
Giriş: Dijital Duvarlar Örülüyor — Ama Yeterli mi?
Telefonunuza günde kaç tane istenmeyen SMS geliyor? Kaç kez “bankanızdan arıyoruz” diyen bir sesle karşılaştınız? Kaç kez “kargonuz teslim edilemedi, şu linke tıklayın” mesajı aldınız?
Türkiye’de milyonlarca vatandaş bu soruların cevabını çok iyi biliyor. BTK’ya iletilen şikayet sayıları her yıl rekor kırıyor. Dolandırıcılık yöntemleri giderek daha sofistike hale geliyor. Ve devlet, sonunda harekete geçti.
Bilgi Teknolojileri ve İletişim Kurumu (BTK), 2025/DK-YED/399 ve 2025/DK-YED/412 sayılı kararlarıyla 1 Nisan 2026 itibarıyla kapsamlı bir düzenleme paketini yürürlüğe soktu. E-imza zorunluluğu, operatörlere “sadece kendi aboneni ara” kuralı, yurt dışı kaynaklı linkli mesajlara otomatik filtre…
Bu blog yazısında bu düzenlemeleri tek tek ele alıyor, neyin işe yaradığını, neyin hâlâ açık kapı bıraktığını ve vatandaş olarak bizlerin hangi önlemleri alması gerektiğini net bir şekilde ortaya koyuyoruz.
1. E-İmza Zorunluluğu: Sahte Şirketlerin Sonu mu?
Ne Getirildi?
BTK’nın yeni düzenlemesiyle birlikte toplu SMS panellerine artık kullanıcı adı ve şifreyle giriş yapmak yeterli değil. Sisteme giriş yapabilmek için yetkili kişinin güvenli elektronik imzasıyla (e-imza veya mobil imza) kimlik doğrulaması yapması zorunlu hale geldi. Ayrıca yeni abonelik başvuruları artık yalnızca Kayıtlı Elektronik Posta (KEP) üzerinden kabul ediliyor.
Bunun yanı sıra kritik bir başka değişiklik daha var: Abone numarası kullanılarak SMS gönderimi 1 Nisan 2026 itibarıyla tamamen yasaklandı. Artık tüm SMS gönderimleri onaylı gönderici adı (başlık) üzerinden yapılmak zorunda.
Neden Önemli?
Bugüne kadar işleyen klasik dolandırıcılık yöntemi şuydu: Sahte veya kısa ömürlü bir şirket kur, toplu SMS paneline kullanıcı adı ve şifreyle gir, binlerce kişiye mesaj gönder, hesabı kapat, iz bırakma.
E-imza bu döngüyü kırıyor. Çünkü e-imza kişiye özel ve fiziksel bir cihaza bağlı — kullanıcı adı ve şifre gibi çalınıp başkasına devredilebilen bir şey değil. Sisteme giren kişinin kimliği artık inkar edilemez biçimde kayıt altına alınıyor.
Kamil Koç gibi tanınmış markaların adını taklit ederek gönderilen sahte SMS’lerin büyük çoğunluğu bu düzenlemeyle birlikte işlevsiz hale geliyor. O markayı taklit etmek için sisteme girmen, sisteme girmek için de e-imzanın olması gerekiyor.
Hangi Boşluklar Kaldı?
Düzenleme web tabanlı SMS panelleri için geçerli — ancak API üzerinden otomatik gönderim yapan sistemlerde e-imza zorunluluğu bulunmuyor. Bu, düzenlemenin en kritik açığı. Organize ve teknik kapasitesi yüksek dolandırıcılık grupları zaten API entegrasyonuyla çalıştığı için bu kanal henüz kapatılmış değil.
Ayrıca sahte kimlikle e-imza edinme riski de teorik olarak mevcut — ancak BTK’nın 2024’te fiziksel başvuruyu tamamen kaldırıp NFC kimlik doğrulama ve e-Devlet üzerinden başvuruya geçmesi bu riski önemli ölçüde azalttı.
Sonuç
E-imza zorunluluğu, fırsatçı ve düşük profilli dolandırıcılık girişimlerini büyük ölçüde durduruyor. Panel üzerinden çalışan “merdiven altı” yapılar için bu düzenleme gerçek bir engel. Ancak organize, teknik altyapısı güçlü gruplar için alternatif yollar hâlâ mevcut. Düzenleme problemi çözmüyor — ama çok daha pahalı ve riskli hale getiriyor.
2. “Sadece Kendi Abonesini Ara” Kuralı: 0850’li Hatların Sonu
Ne Getirildi?
BTK’nın yeni düzenlemesiyle birlikte operatörler, internet servis sağlayıcıları ve bunların acente/bayileri artık yalnızca kendi mevcut abonelerini arayabiliyor veya onlara mesaj gönderebiliyor. Başka bir operatörün müşterisini aramak, elindeki veri tabanından rastgele kişileri aramak doğrudan mevzuat ihlali sayılıyor.
Bunun yanı sıra 0850’li numaraların SMS gönderim yetkisi alındı. Coğrafi alan kodlarıyla (0212, 0312 vb.) başlayan sabit hatlar artık toplu SMS iletimi için kullanılamıyor. Kural ihlali durumunda ise işletmecinin çağrı taşıma ve sonlandırma hizmetleri kısıtlanabiliyor, hatta tamamen durdurulabiliyor.
Neden Önemli?
Yıllardır vatandaşların en büyük şikayetlerinden biri olan “0850’li hattan gelen altyapı sorgulama” aramaları artık büyük ölçüde tarihe karışıyor. Bu aramaların büyük çoğunluğu, operatör veya İSS adına hareket eden çağrı merkezlerinden geliyordu. Artık bu yapılar yalnızca kendi müşteri portföyleriyle iletişime geçebilecek.
Düzenleme kağıt üzerinde kalan bir yasak değil — operatör seviyesinde teknik engelleme getirdiği için uygulanabilirliği çok daha güçlü.
Hangi Boşluklar Kaldı?
Bu düzenleme kurumsal aktörleri kapsıyor. Bireysel dolandırıcılar veya kayıt dışı yapılar için doğrudan bir engel oluşturmuyor. Elinde birkaç SIM kart olan ve 05xx’li kişisel hattan arayan biri bu kuralın dışında kalıyor.
Yani resmi görünümlü, kurumsal kimlikli taciz aramaları bitiyor. Ama sokaktaki dolandırıcı, farklı bir hattan aynı taktiği sürdürebilir.
Sonuç
“Vodafone’dan arıyorum, size özel bir teklifimiz var” veya “TTNet altyapı sorgulaması yapıyoruz” dönemine büyük ölçüde son veriliyor. Bu, günlük yaşam kalitesi açısından gerçekten önemli bir kazanım. Ancak dolandırıcılık tamamen bitmedi — sadece daha bireysel ve dağınık bir hal alacak.
3. URL Engelleme Kararı: Linkli Tuzaklar Artık Geçemiyor
Ne Getirildi?
BTK’nın en teknik ve en kapsamlı hamlelerinden biri bu: Yurt dışından Türkiye’deki abonelere gönderilen SMS ve MMS içeriklerinde herhangi bir URL veya internet bağlantısı bulunması halinde, bu mesajlar operatörler tarafından kullanıcıya ulaşmadan otomatik olarak engelleniyor.
Öte yandan yurt dışından gelen ancak link içermeyen sıradan bilgilendirme mesajları iletilmeye devam edecek — bu önemli bir nüans. Filtre içeriğe değil, linkin varlığına bakıyor.
Neden Önemli?
Dolandırıcılık SMS’lerinin büyük çoğunluğunun iki ortak özelliği var: yurt dışı kaynaklı olmaları ve içlerinde bir link barındırmaları. “Kargonuz teslim edilemedi — tıklayınız”, “Hesabınız askıya alındı — doğrulayınız”, “PTT teslimat bildirimi” gibi mesajların neredeyse tamamı bu kalıba uyuyor.
Bu filtre devreye girdiğinde söz konusu mesaj kategorisinin büyük çoğunluğu Türkiye’ye ulaşmadan engelleniyor. Özellikle yaşlılar ve teknoloji okuryazarlığı düşük bireyler için bu önlem hayat kurtarıcı nitelikte.
Hangi Boşluklar Kaldı?
Dolandırıcılar adapte olabilir. Link yazmak yerine mesajın içine direkt telefon numarası yazabilirler — “şu numarayı arayın” taktiği bu filtreyi aşıyor. Alternatif olarak yurt dışı yerine Türkiye’deki bir hat veya altyapı üzerinden gönderim yapabilirler.
Ayrıca URL kısaltma servisleri veya QR kod gibi görsel unsurlar üzerinden yönlendirme denenebilir. Teknik engel aşılabilir — sadece çok daha zahmetli hale geliyor.
Sonuç
Mevcut dolandırıcılık tuzaklarının büyük çoğunluğunu kesiyor. Ama kalıcı bir çözüm değil — dolandırıcılar şekil değiştirecek. Bu düzenleme yeterliliğin değil, doğru yönde atılmış önemli bir adımın göstergesi.
4. Vatandaş Olarak Hangi Önlemleri Almalıyız?
Devlet kapıları kapatıyor — ama her kapıyı kapatamaz. Ve dolandırıcılar her zaman açık kalan pencereden giriyor.
Bireysel olarak dikkat edilmesi gereken noktalar şunlar:
Telefon Aramaları Hâlâ En Büyük Risk
URL filtreleri, e-imza zorunlulukları — bunların hiçbiri telefon aramasını engelleyemiyor. “Bankanızdan arıyoruz”, “savcılık soruşturmanız var”, “oğlunuz kaza yaptı” gibi senaryolar için hiçbir teknik bariyer yok.
Altın kural: Telefonda asla şifre, SMS kodu veya kart bilgisi vermeyin. Hiçbir banka, savcılık veya devlet kurumu sizi arayıp bu bilgileri istemez.
Aradığı İddia Edilen Kurumu Bizzat Arayın
Sizi arayan kişinin gerçekten bankanızdan veya ilgili kurumdan olup olmadığından emin olmak istiyorsanız tek yapmanız gereken şey şu: Telefonu kapatın. Kartınızın arkasındaki numarayı veya kurumun resmi web sitesindeki telefon numarasını arayın.
Bu tek adım, telefon dolandırıcılığının büyük çoğunluğunu engelliyor. Çünkü dolandırıcı sizi arayabilir — ama kartın arkasındaki numarada onu bulamazsınız.
Aciliyet Hissi Yaratan Her Şeye Şüpheyle Yaklaşın
“Son 24 saat”, “hesabınız hemen kapatılacak”, “şimdi işlem yapmazsanız…” — bunların tamamı klasik baskı taktikleri. Gerçek kurumlar sizi bu şekilde köşeye sıkıştırmaz. Ne kadar acil görünürse görünsün, duraksayın ve doğrulayın.
Yapay Zeka Artık Ses Taklit Edebiliyor
Bu noktayı özellikle vurgulamak gerekiyor: Dolandırıcılar artık yapay zeka teknolojisiyle yakınınızın sesini taklit edebiliyor. “Anne, kaza yaptım, para lazım” senaryosu artık gerçek sesle geliyor.
Bu tür durumlarda duyduğunuz sese değil, bizzat aradığınız numaraya güvenin. İlgili kişiyi siz arayın ve doğrulayın.
Kurumsal Tarafta İnsan Faktörü Hâlâ En Büyük Açık
Bu maddeler bireyler için geçerli — ama kurumlar için de aynı prensip geçiyor. BTK’nın getirdiği teknik engeller ne kadar güçlü olursa olsun, bir çalışanın sahte bir e-postaya inanıp kimlik bilgilerini girmesi, ya da telefonda “IT departmanından arıyorum” diyen birine sisteme erişim vermesi tüm bu duvarları anlamsız kılıyor.
Sosyal mühendislik saldırıları — yani insan psikolojisini hedef alan manipülasyon teknikleri — teknik filtrelerden geçmiyor. Çünkü hedef sistem değil, insan.
Bu noktada Nesil Teknoloji olarak geliştirdiğimiz nesil.ai platformu devreye giriyor: Kurumların çalışanlarını gerçek dolandırıcılık ve sosyal mühendislik senaryolarıyla test eden, zayıf halkaları önceden tespit eden bir yapay zeka platformu. Çünkü en güçlü teknik engel bile, yanlış kişiye bilgisini veren tek bir çalışan yüzünden aşılabiliyor.
Genel Değerlendirme: Bir Paket Olarak Bakıldığında
BTK’nın 1 Nisan 2026 paketini bir bütün olarak değerlendirdiğimizde şunu görüyoruz: Bu düzenlemeler mevcut dolandırıcılık ekosisteminin büyük çoğunluğunu hedef alıyor ve gerçek teknik engeller getiriyor. Kağıt üzerinde kalan yasaklar değil — operatör seviyesinde uygulanabilen, ihlali tespit edilebilen mekanizmalar.
Ancak hiçbir teknik düzenleme dolandırıcılığı tamamen bitiremez. Dolandırıcılar adapte olur, yeni yöntemler geliştirir, açık kalan kanalları kullanır. Bu bir kedi-fare oyunu ve bu oyun bitmeyecek.
Asıl kazanım şu: Bu düzenlemeler düşük profilli, fırsatçı, teknik kapasitesi sınırlı dolandırıcıları büyük ölçüde devre dışı bırakıyor. Yüksek hacimli, rastgele hedef alan saldırılar zorlaşıyor. Vatandaşın maruz kaldığı “gürültü” önemli ölçüde azalacak.
Ama organize, sofistike, teknik altyapısı güçlü gruplar için bu engeller aşılabilir nitelikte. Ve bu grupların hedefi genellikle bireyler değil — kurumlar.
Sonuç
BTK’nın yeni düzenlemeleri doğru yönde atılmış, somut ve teknik olarak uygulanabilir adımlar. E-imza zorunluluğu, “sadece kendi abonesini ara” kuralı ve yurt dışı linkli mesaj filtresi birlikte çalıştığında mevcut dolandırıcılık trafiğinin önemli bir kısmını kesiyor.
Ama vatandaş olarak devletin bu adımlarına güvenip rahatlamak doğru değil. Telefonla gelen aramalar, yapay zeka destekli ses taklitleri ve kurumsal çalışanları hedef alan sosyal mühendislik saldırıları için teknik bir filtre yok.
En güçlü savunma hâlâ bilinç. Duraksama, doğrulama ve şüphecilik — bu üç alışkanlık, en sofistike dolandırıcılık girişimini bile büyük ölçüde etkisiz kılıyor.
Nesil Teknoloji, kurumların siber güvenlik farkındalığını artırmak ve sosyal mühendislik saldırılarına karşı direncini test etmek için nesil.ai platformunu geliştirmiştir. Detaylı bilgi için nesilteknoloji.com adresini ziyaret edebilirsiniz.
