Şirket Birleşme ve Devralmalarında Lisanssız Yazılım Riski

Şirket birleşme ve devralmalarında lisanssız yazılım riski, çoğu işlemde ilk bakışta finansal tablolar kadar görünür değildir; ancak kapanış sonrasında en pahalı sürprizlerden birine dönüşebilir. Bunun temel nedeni, bugün yazılımın yalnızca yardımcı bir araç değil, muhasebe, üretim, tasarım, mühendislik, ERP, CRM, bulut iş akışları ve veri yönetiminin merkezindeki ana varlıklardan biri olmasıdır. Türk hukukunda bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında korunan eserler arasındadır ve WIPO Lex’te yer alan güncel konsolide kayıt, Kanun’un 21 Aralık 2021 tarihli 7346 sayılı değişikliklere kadar güncellendiğini göstermektedir. Bu yüzden bir hedef şirkette lisanssız, eksik lisanslı, kapsam aşımı içeren veya sözleşme dışı kullanılan yazılım bulunması, sıradan bir BT aksaklığı değil; doğrudan telif, sözleşme, tazminat ve hatta ceza riski yaratabilen bir hukukî problemdir.

Birleşme ve devralma işlemlerinde bu riskin ağırlığı, sorunun çoğu zaman “geçmişte kalmaması”ndan kaynaklanır. Türk Ticaret Kanunu’na göre şirketler devralma şeklinde veya yeni kuruluş şeklinde birleşebilir; birleşme tescille geçerlilik kazanır ve tescil anında devrolunan şirketin bütün aktif ve pasifi kendiliğinden devralan şirkete geçer. Aynı resmi metin, devrolunan şirketin birleşmenin ticaret siciline tescili ile sona erdiğini de açıkça düzenler. Bu yapı, hedef şirkette bulunan lisans ihlali kaynaklı risklerin yalnızca tarihsel bir not olarak kalmayıp devralan yapıya taşınabileceğini gösterir.

Benzer şekilde, işlem teknik olarak birleşme değil de işletmenin veya malvarlığının devri şeklinde kurgulanmış olsa bile, borçlar hukukundaki sonuçlar hafife alınamaz. Türk Borçlar Kanunu m.202’ye göre bir malvarlığını veya bir işletmeyi aktif ve pasifleriyle devralan kişi, alacaklılara bildirim veya ilan tarihinden itibaren o malvarlığı ya da işletmedeki borçlardan sorumlu olur; ayrıca önceki borçlu da iki yıl boyunca müteselsil sorumlu kalır. TBK m.203 de işletmelerin birleşmesinde alacaklıların bir malvarlığının devralınmasından doğan haklara sahip olacağını söyler. Bu nedenle işlem “hisse devri” yerine “işletme devri” veya “varlık devri” diye kurgulanmış olsa bile, lisanssız yazılım kaynaklı borç ve taleplerin devralan bakımından hukuken önemsiz olduğu söylenemez.

Sorunun merkezinde çoğu zaman şu yanlış varsayım bulunur: “Yazılım kuruluysa ve iş görüyorsa, işlem bakımından önemli olan da budur.” Oysa FSEK sistematiğinde önemli olan programın teknik olarak açılması değil, korunan yazılım üzerindeki kullanım hakkının hangi kapsamda verildiğidir. Kültür ve Turizm Bakanlığı’na göre telif hakkı, eserin meydana getirilmesiyle doğar; zorunlu tescil şartı yoktur ve isteğe bağlı kayıt-tescil esasen ispat kolaylığı sağlar. Bu nedenle hedef şirkette kullanılan bir yazılımın yerel tescil kaydı bulunmaması, hak sahibinin talep ileri süremeyeceği anlamına gelmez. Koruma zaten vardır; tartışma, kullanımın o koruma sınırları içinde olup olmadığı üzerinedir.

Lisanssız yazılım riski birleşme ve devralmalarda farklı şekillerde ortaya çıkar. En kaba örnek crackli kurulumdur; ancak pratikte daha yaygın olan riskler tek kullanıcı lisansının ekipçe kullanılması, seat aşımı, abonelik süresi bittiği halde kullanımın sürmesi, eğitim veya trial lisansların ticari faaliyete sokulması, OEM lisansın yanlış cihaza taşınması, grup şirketleri arasında lisans paylaşımı, reseller zincirinin yetkisiz olması ve bulut hizmetlerinde named user hesaplarının ortak kullanılmasıdır. Kültür ve Turizm Bakanlığı’nın telif ihlali açıklamasında, yazılı izin olmaksızın işleme, temsil etme, çoğaltma, değiştirme, dağıtma, umuma iletme ve yayımlama ile hukuka aykırı çoğaltılmış eserleri ticarî amaçla satın alma, ithal etme, ihraç etme, kişisel kullanım dışında elde bulundurma veya depolamanın yaptırım alanına girdiği açıkça belirtilmektedir. Bu yüzden “korsan yazılım” yalnızca crack dosyasından ibaret değildir; kapsam dışı ticari kullanım da aynı uyuşmazlık alanına girebilir.

Birleşme ve devralma süreçlerinde riskin büyümesinin ilk nedeni külli halefiyet veya borç devri değil, gecikmiş farkındalıktır. Hedef şirket çoğu zaman kullandığı yazılımın gerçekten hangi lisans modeliyle alındığını, bu modelin hangi kullanıcıyı veya hangi cihazı kapsadığını, lisans zincirinin yetkili bir kaynaktan gelip gelmediğini ve kullanımın sözleşmeye uygun sürdürülüp sürdürülmediğini kendisi de net biçimde bilmiyor olabilir. İşte bu nedenle due diligence sürecinde lisans incelemesini yalnızca “fatura var mı?” sorusuna indirgemek büyük hatadır. Türk telif hukukunda mali haklara ilişkin sözleşme ve tasarrufların yazılı olması ve konu olan hakların ayrı ayrı gösterilmesi gerekir; bu da yazılım lisanslarının kapsamının metin üzerinden incelenmesini zorunlu kılar.

M&A özelinde ilk dikkat edilmesi gereken konu, hedef şirketin kullandığı yazılım envanterinin gerçekliği ile sözleşmesel lisans haritasının örtüşüp örtüşmediğidir. Burada yalnızca kurulu yazılım listesi değil; kullanıcı sayısı, cihaz eşleşmesi, abonelik bitiş tarihi, ürün tipi, trial/education/commercial ayrımı, bulut oturumları, merkezi yönetim paneli kayıtları, reseller sözleşmeleri ve önceki denetim yazışmaları birlikte incelenmelidir. Çünkü lisans ihlali çoğu zaman “program var mı yok mu?” sorusundan değil, “hangi kapsamda kullanılıyor?” sorusundan doğar. Kültür ve Turizm Bakanlığı’nın telif ihlali açıklamasında hukuk ve ceza yollarının birlikte açık olduğunun belirtilmesi de, bu incelemenin sadece ticari fiyatlama işi olmadığını göstermektedir.

İkinci kritik nokta, birleşme veya hisse devri sonrası lisans sözleşmelerinin otomatik olarak aynı koşullarla devam edip etmeyeceğidir. Burada tek ve genel bir cevap yoktur. Türk Borçlar Kanunu m.205’e göre sözleşmenin devri, sözleşmeyi devralan ile devreden ve sözleşmede kalan taraf arasında yapılan, devredenin sözleşmeden doğan bütün hak ve borçlarını devralana geçiren bir anlaşmadır; sözleşmenin devrinin geçerliliği de devredilen sözleşmenin şekline bağlıdır. Bu düzenleme, M&A işlemlerinde yazılım lisans sözleşmelerinin “nasıl olsa şirket el değiştirse de aynen devam eder” diye varsayılamayacağını gösterir. Eğer lisans metninde devir, alt kullanım, bağlı şirket kullanımı, kontrol değişikliği veya organizasyon dışı erişim bakımından sınırlamalar varsa, bunların her biri ayrı ayrı incelenmelidir.

Özellikle bulut ve abonelik tabanlı yazılımlarda bu mesele daha da hassastır. Birçok üreticinin güncel resmî belgelerinde lisansın named user veya yetkili kullanıcı mantığıyla verildiği, seat’lerin paylaşılamayacağı ve hesapların başka kullanıcıya veya başka kuruluşa devredilemeyeceği açıkça yazılıdır. Bu tür ürünlerde hedef şirketin bugün kurallara uygun görünen kullanımı, işlem sonrasında grup içi entegrasyon, kullanıcı konsolidasyonu veya ortak BT altyapısı nedeniyle bir anda sözleşme dışına taşabilir. Bu nedenle kapanıştan sonra “tek tenant altında toplama” veya “şirketler arası ortak kullanım” planı varsa, bunun lisans veren bakımından onay gerektirip gerektirmediği işlem öncesinde tespit edilmelidir.

Üçüncü kritik risk alanı, OEM ve cihaz bağlı lisanslardır. Özellikle donanımla birlikte alınan işletim sistemi, ofis ürünleri veya bazı dikey yazılımlarda lisansın belirli cihazla bağlı olması söz konusu olabilir. Böyle durumlarda hedef şirketin cihaz yenilemeleri sırasında lisansları eski cihazlardan yeni altyapıya fiilen taşıması, teknik olarak çalışsa bile hukukî olarak geçerli olmayabilir. İşlem öncesi BT konsolidasyonu veya devralma sonrası envanter birleştirmesi sırasında bu tür lisansların yeni mimariye taşınması ayrıca incelenmelidir; aksi halde alıcı, kapanış sonrasında farkında olmadığı tarihsel ihlalleri ve yeni ihlalleri aynı anda devralabilir. Bu sonuç, yazılım üzerindeki kullanım yetkisinin sözleşmeyle belirlenmiş dar kapsamına ilişkin genel hukukî yapıdan çıkar.

Dördüncü önemli alan, trial ve eğitim lisanslarının ticari kullanım geçmişidir. Hedef şirketler özellikle tasarım, mühendislik ve yazılım geliştirme alanlarında deneme sürümlerini uzun süre kullanmış, eğitim erişimlerini profesyonel iş akışına taşımış veya çalışanların bireysel/öğrenci erişimlerini kurumsal projelerde fiilen kullanmış olabilir. Üreticilerin resmî koşullarında bu tür erişimlerin açıkça sınırlı amaçlarla verildiği görülür. Türk hukukunda ise sorun, bu kullanımın iznin kapsamı dışına çıkmasıdır. Böyle bir durumda alıcı sadece geçmiş lisans eksikliğiyle değil, gerektiğinde üç kat bedel ve tazminat iddiasıyla da karşılaşabilir.

Tam bu noktada FSEK m.68, birleşme ve devralma hukukçularının özellikle dikkat etmesi gereken hükümlerin başında gelir. Resmî metne göre, yazılı izin olmadan işleme, çoğaltma, yayma, temsil veya umuma iletim halinde hak sahibi, sözleşme yapılmış olsaydı isteyebileceği bedelin veya kanuna göre tespit edilecek rayiç bedelin en çok üç katını isteyebilir. Bu talep, klasik zarar hesabından farklı ve caydırıcı bir taleptir. Bir M&A işleminde hedef şirket yıllardır lisanssız veya kapsam dışı kullanım yapmışsa, alıcının devraldığı ekonomik risk yalnızca eksik lisans satın alma bedeli değildir; geçmiş dönemi de kapsayan katlanmış bir mali yük olabilir.

Üç kat bedel talebine ek olarak FSEK m.70 çerçevesinde maddi tazminat ve temin edilen kârın devri de gündeme gelebilir. Özellikle lisanssız kullanılan yazılım, hedef şirketin gelir üreten süreçlerinde yer aldıysa — örneğin CAD, ERP, muhasebe, veri tabanı, tasarım veya üretim yazılımıysa — hak sahibi “yalnızca yazılımımı izinsiz kullanmadınız, bu kullanım sayesinde ekonomik fayda da elde ettiniz” diyebilir. M&A bağlamında bu, alıcının yalnızca tarihsel uyumsuzluk değil, tarihsel kârlılık üzerinden de bir risk devraldığı anlamına gelir. Bu nedenle hukukî incelemede yalnızca kurulum sayısı değil, lisanssız yazılımın iş modelindeki ağırlığı da analiz edilmelidir.

Birleşme ve devralmalarda lisanssız yazılım riskinin kritikleştiği bir başka alan, FSEK m.66 ve m.69 kapsamındaki ref ve men davalarıdır. Hedef şirkette lisanssız yazılım kullanımı mevcutsa, hak sahibi yalnızca para istemekle kalmayıp kullanımın kaldırılmasını ve gelecekteki kullanımın önlenmesini de talep edebilir. M&A sonrası entegrasyon döneminde temel iş süreçlerini taşıyan bir yazılıma yönelik böyle bir talep, devralan bakımından doğrudan operasyonel kriz yaratabilir. Muhasebe, proje yönetimi, CAD, bulut ofis, üretim planlama veya CRM altyapısının kapanıştan hemen sonra tartışmalı hale gelmesi, işlemin değerini fiilen düşürebilir.

Due diligence aşamasında en çok ihmal edilen alanlardan biri de delildir. FSEK m.76, mahkemeye önemli bir araç verir: davacı iddiasını kuvvetle destekleyen yeterli delil sunarsa, kullanıcı taraftan gerekli izin ve yetki belgeleri veya kullanılan eserlerin listesi istenebilir; bunların sunulamaması haksız kullanıma karine teşkil eder. Bu hüküm, alıcı taraf açısından şu anlama gelir: hedef şirket lisans belgelerini, kullanıcı eşleştirmelerini, reseller zincirini, abonelik kayıtlarını ve admin panel geçmişini düzenli tutmamışsa, ileride açılacak bir davada savunma zemini çok zayıflayabilir. Yani belge eksikliği, yazılım uyumsuzluğu kadar değer düşürücü bir unsurdur.

Bu nedenle işlem öncesi inceleme yalnızca mali müşavirlik mantığıyla değil, delil mantığıyla da yapılmalıdır. Şu soruların her biri doğrudan önemlidir: Hangi yazılımlar kurulu? Hangi sürümler kullanılıyor? Kaç kullanıcı aktif? Kimlere hangi seat atanmış? Trial/eğitim/kurumsal ayrımı net mi? OEM lisanslar hangi cihazlara bağlı? Grup şirketleri arası paylaşım var mı? Yetkisiz reseller şüphesi mevcut mu? Her lisansın faturası, sözleşmesi ve yenileme geçmişi saklı mı? Daha önce denetim, ihtarname veya audit yaşandı mı? Bu sorulara sağlam yanıt veremeyen bir hedef şirkette, lisanssız yazılım riski sözleşme tasarımına doğrudan yansıtılmalıdır.

İşlem sözleşmesi aşamasında da riskin doğru dağıtılması gerekir. Burada kanunun tek tek “şu klozu yazın” dediği bir liste yoktur; ancak TBK ve FSEK birlikte okunduğunda işlem pratiğinde belirli araçların neden standartlaştığı anlaşılır. Alıcı taraf, yazılım lisanslarına ilişkin beyan ve tekeffül hükümleri, açıklama listeleri, kapanış öncesi düzeltme yükümlülükleri, fiyat uyarlama, escrow veya özel tazmin mekanizmaları kurmak ister. Bunun nedeni soyut bir pazarlık avantajı değil, TTK birleşme hükümleri ile TBK m.202-205 ve FSEK yaptırımlarının birleşince yarattığı gerçek hukukî risktir. Eğer işlem belgesinde bu risk açıkça düzenlenmezse, kapanış sonrasında “yazılım lisansı beklediğimiz gibi değilmiş” demek çoğu zaman geç kalınmış bir tespittir.

Bulut yazılımlar ve SaaS ekosistemleri ayrıca KVKK boyutu da taşır. Kişisel Verileri Koruma Kurumu, bulut bilişim hizmeti sunan şirketin bazı durumlarda müşterileri bakımından veri işleyen sıfatıyla hareket edebileceğini açıkça belirtmektedir. Yine Kurum’un veri güvenliği rehberi, bulut ortamlardaki kişisel verilerin şifrelenmesi, ayrı şifreleme anahtarları kullanılması ve bulut hizmet ilişkisi sona erdiğinde anahtarların da yok edilmesi gerektiğini ifade etmektedir. Eğer hedef şirket lisanssız veya yetkisiz bulut hesaplarıyla kişisel veri işliyorsa, risk sadece telif ihlali değildir; veri güvenliği ve veri işleme mimarisi bakımından da ayrı bir sorun vardır.

Özellikle yabancı bulut sağlayıcılarının kullanıldığı işlemlerde yurt dışına veri aktarımı boyutu da gözden kaçırılmamalıdır. KVKK’nın “Kişisel Verilerin Yurt Dışına Aktarılması Rehberi”, 2024/959 sayılı Kurul kararıyla dört tip standart sözleşme metninin kabul edildiğini ve uygun güvence yöntemi olarak tarafların kendi durumlarına uygun standart sözleşmeyi seçmeleri gerektiğini belirtmektedir. Bu da şu sonuca götürür: Hedef şirket yalnızca lisans koşullarını değil, veri aktarım zeminini de eksik kurmuş olabilir. M&A incelemesinde SaaS kullanımı varsa, lisans uyumu ile veri aktarım uyumu birlikte değerlendirilmelidir.

Ceza boyutu da birleşme ve devralmalarda küçümsenmemelidir. Kültür ve Turizm Bakanlığı’nın açıklamasında telif ihlali halinde ceza davası açılabileceği, izinsiz işleme, çoğaltma, dağıtma, yayımlama ve hukuka aykırı çoğaltılmış eserleri ticari amaçla elde bulundurma veya depolamanın ceza alanına girdiği ifade edilmektedir. WIPO Lex’teki güncel kayıt da 2021 değişiklikleriyle FSEK m.72’nin teknolojik önlemleri etkisiz kılmaya ilişkin hükümlerinin güncellendiğini göstermektedir. Eğer hedef şirkette crack, patch, lisans kırma aracı veya aktivasyon bypass’ı varsa, alıcı sadece tazminat riskini değil, ceza şikâyeti baskısını da devralabilir.

Bütün bu nedenlerle, şirket birleşme ve devralmalarında lisanssız yazılım riski “IT checklist”e bırakılacak tali bir konu değildir. Bu risk doğrudan işlem değeri, fiyat, kapanış sonrası entegrasyon, sözleşme sorumluluğu, operasyon sürekliliği ve dava maruziyeti üzerinde etkilidir. TTK birleşmede aktif ve pasiflerin kendiliğinden geçeceğini; TBK malvarlığı veya işletme devrinde borçların devralana yöneleceğini; FSEK ise lisanssız kullanımın üç kat bedel, tazminat, men, ref ve ceza riski yaratabileceğini gösterir. Bu mevzuat birlikte okunduğunda, lisanssız yazılımın M&A’da “gizli borç” niteliği taşıyabileceği çok açıktır.

Sonuç olarak, iyi bir birleşme ve devralma incelemesi yazılımı yalnızca “var mı?” diye sormaz; “hangi hakla, hangi kullanıcılarca, hangi kapsamda, hangi sözleşme zemininde, hangi reseller zinciriyle, hangi veri akışı içinde kullanılıyor?” diye sorar. Eğer bu soruların cevapları net değilse, işlem sözleşmesinde riskin açıkça fiyatlanması ve tahsis edilmesi gerekir. Aksi halde alıcı, kapanıştan sonra hedef şirketin muhasebe kayıtlarından değil, kullandığı yazılımlardan dolayı da beklenmedik bir hukukî fatura ile karşılaşabilir.