Şirket Bilgisayarlarında Kaçak Yazılım Bulunmasının Ticari Denetimlere Etkisi

Şirket bilgisayarlarında kaçak yazılım bulunması, yalnızca telif hakkı ihlali sorunu değildir. Türk hukukunda bu durum bağımsız denetim, iç denetim, ticari belge düzeni, KVKK uyumu, ceza riski, yatırım incelemesi ve kurumsal itibar üzerinde ciddi sonuçlar doğurabilir.

Şirket bilgisayarlarında kaçak yazılım bulunması, ilk bakışta yalnızca bir bilgi işlem veya lisans yönetimi sorunu gibi görünür. Oysa Türk hukukunda mesele bundan çok daha geniştir. Bilgisayar programları eser olarak korunur; bunların izinsiz çoğaltılması, çalıştırılması, depolanması veya ticari faaliyette kullanılması Fikir ve Sanat Eserleri Kanunu bakımından hak ihlali doğurabilir. Aynı durum, ticari defter ve belge düzeni, bağımsız denetim kapsamı, iç kontrol sistemleri, veri güvenliği, yönetsel özen borcu ve gerektiğinde ceza soruşturması bakımından da sonuç üretir. Bu yüzden kaçak yazılım tespiti, şirketin yalnızca bir lisans eksikliği yaşadığını değil; çoğu zaman kurumsal uyum ve denetim mimarisinde zafiyet bulunduğunu gösteren önemli bir işaret olarak değerlendirilir.

Türk hukukunda bilgisayar programı açıkça tanımlanmıştır. FSEK’te bilgisayar programı, bir bilgisayar sisteminin özel bir işlem veya görev yapmasını sağlayacak biçimde düzenlenmiş emir dizgesi ve buna ilişkin hazırlık çalışmaları olarak kabul edilir. Aynı Kanun’da bilgisayar programları ilim ve edebiyat eseri sayılmış; ayrıca programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanmasının eser sahibinin çoğaltma hakkı alanına girdiği kabul edilmiştir. Bu nedenle “kaçak yazılım” yalnızca korsan CD veya crack dosyası anlamına gelmez; lisans dışı kurulum, yetkisiz çoğaltma, lisans sınırını aşan kullanıcı sayısı, hukuka uygun edinilmeyen sürümün şirket içinde aktif tutulması veya sahte aktivasyon da aynı risk alanına girebilir.

Kaçak yazılım neden ticari denetim konusu hâline gelir?

Ticari denetim, yalnızca muhasebe kayıtlarının toplanması ve bilanço rakamlarının kontrol edilmesi anlamına gelmez. Türk Ticaret Kanunu’na göre tacir, ticari defterlerini ve belgelerini işletmenin faaliyetleri ile finansal durumunu üçüncü kişi uzmanlara makul süre içinde fikir verecek şekilde tutmak zorundadır; işletme faaliyetlerinin oluşumu ve gelişmesi defterlerden izlenebilmelidir. Ayrıca işletmeyle ilgili her türlü belgenin kopyasının yazılı, görsel veya elektronik ortamda saklanması gerekir. Bu çerçevede şirket bilgisayarlarında kaçak yazılım bulunması, çoğu zaman yalnızca telif ihlali değil, belge ve kayıt düzeninin nasıl kurulduğu, yazılım envanterinin tutulup tutulmadığı ve şirket faaliyetlerinin ne kadar şeffaf izlenebildiği konusunda da soru doğurur.

Bağımsız denetim bakımından da konu önemlidir. TTK m.397 çerçevesinde bağımsız denetim, şirketlerin finansal tabloları ve yıllık faaliyet raporu üzerinde yapılır; Kamu Gözetimi Kurumu da 17 Mart 2026 tarihli duyurusunda, 11066 sayılı Cumhurbaşkanı Kararı ile 1 Ocak 2026 ve sonrasında başlayan hesap dönemleri için denetime tabi olma ölçütlerinin güncellendiğini duyurmuştur. Yine KGK, denetimin finansal tabloların Türkiye Muhasebe Standartlarına uygun hazırlanıp hazırlanmadığı konusunda kullanıcıya makul güvence sağlamayı hedeflediğini belirtmektedir. Bu nedenle kaçak yazılım özellikle muhasebe, stok, üretim, satış, insan kaynakları veya raporlama altyapısında kullanılıyorsa, sorun sadece “lisans eksikliği” değil; finansal verinin üretildiği altyapının güvenilirliği ve iç kontrol kalitesi bakımından da önem kazanır.

Burada önemli bir ayrım vardır. Şirket bilgisayarında kaçak yazılım bulunması, her olayda otomatik olarak aynı bağımsız denetim sonucunu doğurmaz. Etki; kullanılan yazılımın finansal raporlamadaki rolüne, verilerin o yazılım üzerinden üretilip üretilmediğine, iç kontrol zafiyetinin ne kadar yaygın olduğuna ve şirketin bunu öğrenince ne yaptığına göre değişir. Bu, mevzuatın bağımsız denetimi finansal tablo güvenilirliği ve iç kontrolle ilişkilendirmesinden çıkan bir değerlendirmedir. Yani kaçak yazılım tespiti, küçük ve sınırlı bir teknik olay da olabilir; şirketin finansal ve yönetsel sistemi üzerinde yapısal risk yaratan ağır bir uyum ihlali de olabilir.

FSEK bakımından ticari denetime yansıyan temel sonuçlar

Şirket bilgisayarlarında kaçak yazılım bulunmasının en doğrudan hukuki sonucu FSEK kaynaklıdır. Kanun, hak sahibinden yazılı izin alınmaksızın eserin işlenmesi, çoğaltılması, çoğaltılmış nüshaların yayılması, temsil edilmesi veya umuma iletilmesi hâlinde hak sahibine güçlü talepler tanır. FSEK m.68’e göre hak sahibi, sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katına kadar bedel talep edebilir. FSEK m.70 de manevi tazminat, kusur varsa maddi tazminat ve elde edilen kârın devri talebine imkân verir. Bu nedenle bağımsız denetim, iç denetim veya yatırım incelemesi sırasında tespit edilen kaçak yazılım, yalnızca “düzeltilmesi gereken bir teknik açık” değil; doğrudan parasal dava riskine dönüşebilecek bir hukuki açık olarak ele alınmalıdır.

FSEK’in 66. maddesi ticari denetim açısından ayrıca önemlidir. Bu maddeye göre manevi ve mali hakları ihlal edilen kişi, tecavüzün ref’ini dava edebilir; ihlal, bir işletmenin temsilcileri veya çalışanları tarafından hizmetin ifası sırasında yapılmışsa işletme sahibi hakkında da dava açılabilir ve bunun için kusur şartı aranmaz. Bu düzenleme, denetimde ortaya çıkan kaçak yazılımın “bir personel kendi başına kurmuş” savunmasıyla kolayca etkisizleştirilemeyeceğini gösterir. Ticari denetim raporunda veya iç incelemede böyle bir tespit varsa, şirketin dış dünyaya karşı riski çoğu dosyada kendi tüzel kişiliği üzerinden devam eder.

Ticari defterler, belge düzeni ve denetim kabiliyeti üzerindeki etkisi

Kaçak yazılım tespiti, çoğu zaman şirketin belge ve kayıt disiplinini de sorgulatır. TTK m.64, her tacirin ticari defterlerinde ticari işlemlerini, malvarlığı durumunu ve finansal tablolara esas süreci açıkça göstermekle yükümlü olduğunu; defterlerin üçüncü kişi uzmanlara makul sürede fikir verecek şekilde tutulması gerektiğini söyler. Aynı maddede, işletmeyle ilgili gönderilmiş her türlü belgenin kopyasının bilgisayar kaydı da dâhil olmak üzere saklanması zorunlu tutulur. Şirket bilgisayarlarında lisans durumu belirsiz, kökeni belli olmayan, kim tarafından kurulduğu saptanamayan veya faturası bulunmayan yazılımlar bulunması, bu düzen karşısında denetim izi sorununa işaret eder. Çünkü denetçi veya inceleme yapan uzman, verinin hangi yazılımdan geçtiğini, bu yazılımın yetkili olup olmadığını ve üretilen kayıtların ne kadar güvenilir olduğunu sorgulamak zorunda kalabilir.

Bu sorun, yaptırım boyutuna da taşınabilir. TTK m.562’ye göre defter tutma yükümünü yerine getirmeyenler, belgelerin kopyasını sağlamayanlar ve belgeleri ibraz etmeyenler hakkında adlî para cezası veya belirli hâllerde hapis cezası öngörülmüştür. Aynı maddede, denetime yetkili kişilerce istenmesine rağmen defter, kayıt ve belgeleri vermeyenler, eksik verenler veya denetim elemanlarının görevini yapmasını engelleyenler için üç aydan iki yıla kadar hapis cezası öngörülmektedir. Bu nedenle kaçak yazılımın ticari denetime etkisi, yalnızca “yazılım lisansı yok” sonucunda kalmaz; bazen denetim için gerekli veri, lisans kaydı, satın alma belgesi, kullanıcı logu ve erişim geçmişi eksikse, mesele belge ibrazı ve denetim engelleme boyutuna da kayabilir.

Ayrıca TTK m.210, ticaret şirketlerinin işlemlerinin Bakanlık denetim elemanları tarafından denetlenebileceğini düzenler. Yani ticari denetim sadece bağımsız denetçiyle sınırlı değildir; şirketler, kanundan doğan başka denetim mekanizmalarıyla da karşılaşabilir. Şirket bilgisayarlarında kaçak yazılım bulunması, özellikle şirketin işlem güvenliği, kayıt düzeni ve ticari faaliyetlerinin kanuna uygunluğu bakımından daha geniş bir denetim alanını tetikleyebilir. Bu yüzden konu yalnızca telif riski değil, ticaret şirketi olarak denetlenebilirliğin kalitesi sorunudur.

İç denetim, due diligence ve yatırım incelemelerine etkisi

Kaçak yazılım bulgusu, şirketin kendi iç denetiminde veya yatırım/devralma incelemesinde de çok ciddi bir “red flag” olarak değerlendirilir. Bunun nedeni doğrudan ayrı bir kanun maddesi değil; FSEK, TTK ve KVKK’nın birlikte yarattığı risk tablosudur. Eğer şirket, kullandığı kritik yazılımlar için lisans envanteri, kullanıcı listesi, sözleşme ve satın alma zinciri gösteremiyorsa; bu durum yatırımcı veya alıcı taraf için yalnızca bir teknik maliyet değil, geçmişe dönük tazminat riski, devam eden ihlal riski, veri güvenliği zafiyeti ve yönetim kalitesi sorunu anlamına gelir. Bu noktada ticari denetimin etkisi, mahkeme dosyası açılmadan önce dahi şirket değerlemesini, teminat taleplerini ve sözleşmedeki garanti-muafiyet düzenini etkileyebilir. Bu, mevzuattan çıkan sonuçların ticari hayata yansımasına ilişkin bir değerlendirmedir.

Özellikle finansal tabloların dayandığı muhasebe veya ERP altyapısında kaçak yazılım bulunması, alıcı veya yatırımcı açısından daha ağır algılanır. Çünkü KGK’nın da vurguladığı üzere bağımsız denetimin amacı, finansal tabloların standartlara uygun hazırlanıp hazırlanmadığı konusunda kullanıcıya makul güvence sağlamaktır. Eğer bu tabloları üreten sistem lisanssız, izinsiz, logları düzensiz veya teknik desteği belirsiz bir yapıdaysa, finansal veri doğruluğu kadar kurumsal sürdürülebilirlik de sorgulanır. Bunun sonucu bazen doğrudan fiyat indirimi, bazen sözleşmeye özel tazminat klozu, bazen de işlemden vazgeçilmesi olabilir. Bu son cümle, hukuki düzenlemeler ışığında yapılan ticari çıkarımdır.

KVKK ve siber güvenlik denetimleri üzerindeki etkisi

Kaçak yazılım, ticari denetimlerde yalnızca telif ve finansal kayıt boyutuyla değil, kişisel veri güvenliği bakımından da ciddi önem taşır. KVKK m.12’ye göre veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini, erişilmesini ve verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Kurulun veri güvenliğine ilişkin yükümlülükler sayfası da aynı şekilde veri sorumlusunun veri güvenliği önlemleri alma ve denetim yapma yükümlülüğünü vurgular. Kaçak yazılımın güvenlik güncellemeleri belirsiz olabilir, zararlı kod riski taşıyabilir, lisans dışı eklentiler içerebilir veya log bütünlüğünü bozabilir. Bu nedenle ticari denetim sırasında kurumsal cihazlarda lisanssız yazılım bulunması, aynı zamanda veri güvenliği mimarisinin zayıf kurulduğuna dair ciddi bir işaret sayılabilir.

Bu başlık, özellikle çalışan verileri, müşteri verileri, finansal hareketler veya sağlık/sigorta verileri işleyen şirketlerde daha da kritikleşir. Çünkü kaçak yazılım yalnızca telif ihlali doğurmakla kalmayıp, veri ihlali ihtimalini artırıyorsa şirketin ticari denetim raporlarında, uyum raporlarında veya alıcı incelemelerinde risk seviyesi yükselir. Başka bir deyişle, kaçak yazılım tespiti birçok olayda “lisans maliyeti çıkar” seviyesinde değil; “KVKK ve siber güvenlik açığı da var” seviyesinde değerlendirilir. Bu, KVKK’daki teknik ve idari tedbir yükümlülüğünün doğal sonucudur.

Ceza soruşturması ve adli bilişim riskine etkisi

Şirket bilgisayarlarında kaçak yazılım bulunması, bazı dosyalarda ceza riskini de gündeme taşır. FSEK m.71, hak sahibi kişilerin yazılı izni olmaksızın eseri işleyen, çoğaltan, dağıtan, yayımlayan veya hukuka aykırı çoğaltılmış eserleri ticari amaçla satın alan, ithal veya ihraç eden, kişisel kullanım dışında elinde bulunduran ya da depolayan kişiler hakkında hapis veya adli para cezası öngörmektedir. Şirket ortamında kurulu kaçak yazılım, özellikle ticari amaçla kullanım ve depolama boyutuna ulaşıyorsa, hak sahibinin şikâyetiyle ceza soruşturması ihtimali doğabilir. Bu nedenle ticari denetimde ortaya çıkan bulgu, bazen doğrudan savcılık riski taşıyan bir hukuki sorun anlamına gelir.

Ceza soruşturması aşamasında dijital delil rejimi de önemlidir. CMK m.134, somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememesi hâlinde bilgisayar ve bilgisayar programlarında arama yapılmasına, kayıtların kopyalanmasına ve çözümlenmesine karar verilebileceğini düzenler. Bu da şu anlama gelir: ticari denetimde kaçak yazılım tespit edilen bir şirket, yalnızca bir lisans tedarik tartışması yaşamaz; bazı olaylarda sunucular, istemciler, lisans kayıtları ve loglar adli bilişim incelemesine konu olabilir. Bu nedenle denetim sonrasında verileri silmek, sistemi sessizce kaldırmak veya kayıtları bozmak çoğu zaman sorunu küçültmez; aksine delil yönetimini daha riskli hâle getirir.

Haksız rekabet ve ticari itibar boyutu

Kaçak yazılımın ticari denetimlere etkisi, rakipler ve pazar düzeni bakımından da önemlidir. TTK m.54’e göre haksız rekabet hükümlerinin amacı, bütün katılanların menfaatine dürüst ve bozulmamış rekabetin sağlanmasıdır; rakipler ile müşteriler arasındaki ilişkileri etkileyen aldatıcı veya dürüstlük kuralına aykırı ticari uygulamalar hukuka aykırıdır. Şirket, lisans maliyetlerini hiç taşımadan daha düşük teklif veriyor, buna rağmen müşteriye tam uyumlu ve kurumsal altyapı sunduğunu söylüyorsa; kaçak yazılım meselesi salt telif ihlalini aşıp haksız rekabet ve ticari itibar sorununa dönüşebilir. Ticari denetim veya due diligence sırasında böyle bir bulgunun ortaya çıkması, şirketin yalnızca hak sahibine değil pazardaki rakiplere ve sözleşme taraflarına karşı da zayıf duruma düşmesine yol açabilir.

İtibar boyutu da küçümsenmemelidir. Ticari denetim raporunda şirket bilgisayarlarında kaçak yazılım bulunduğunun tespit edilmesi, özellikle kurumsal müşteri, finans kuruluşu, yatırımcı veya kamuya yakın iş yapan şirketler açısından ciddi güven kaybı yaratabilir. Çünkü böyle bir bulgu genellikle şu soruyu doğurur: “Şirket lisans yönetimi ve temel uyum yükümlülüklerini dahi düzgün kuramıyorsa, diğer kontrol alanları ne durumda?” Bu sonuç, kanundaki dürüst rekabet ve güvenilir kayıt düzeni mantığının ticari itibara yansımasıdır.

Denetimde kaçak yazılım tespit edilirse şirket ne yapmalı?

İlk adım, paniğe kapılıp izleri yok etmek değil, kontrollü bir iç inceleme başlatmaktır. HMK m.199, elektronik ortamdaki verileri belge kabul eder; m.400 ise delilin kaybolacağı veya ileri sürülmesinin zorlaşacağı hâllerde delil tespiti imkânı tanır. Bu nedenle şirket, hangi cihazlarda hangi yazılımın kurulu olduğunu, lisans belgesinin bulunup bulunmadığını, yazılımın kritik süreçlerde kullanılıp kullanılmadığını ve hangi personel tarafından yönetildiğini hızla ama usulüne uygun biçimde tespit etmelidir. İç incelemenin amacı sadece “kaç lisans eksik” sorusunu cevaplamak değil; riskin kapsamını, delil durumunu ve dış dünyaya karşı sorumluluk hattını belirlemektir.

İkinci adım, ihlalin devamını durdurmaktır. FSEK m.69, mali veya manevi haklarda tecavüz tehlikesi varsa veya mevcut tecavüzün devamı yahut tekrarı muhtemelse önleme davasına imkân verir; m.77 de kuvvetli ihlal ihtimalinde ihtiyati tedbire olanak tanır. Bu sebeple şirket, tespit ettiği kaçak yazılımı “bir sonraki bütçe dönemine kadar kullanalım” yaklaşımıyla sürdürmemelidir. Çünkü öğrenildikten sonra devam eden kullanım, hem hukuki riski hem de ticari denetimdeki olumsuz etkiyi büyütür.

Üçüncü adım, yönetsel ve ticari düzeltme planı oluşturmaktır. Şirket; lisans envanterini güncellemeli, satın alma ve kurulum yetkilerini yeniden tanımlamalı, kritik sistemler için fatura-sözleşme-log üçlüsünü tamamlamalı, ayrılan personel hesaplarını kapatmalı ve özellikle finansal rapor üretiminde kullanılan yazılımları ayrı önceliklendirmelidir. TTK m.64’ün belge ve kayıt düzeni ile TTK m.562’nin ibraz ve muhafaza yaptırımları, bu planın yalnızca iyi uygulama değil, hukuken gerekli bir kurumsal kontrol olduğunu gösterir.

Sonuç

Şirket bilgisayarlarında kaçak yazılım bulunmasının ticari denetimlere etkisi, sanıldığından çok daha geniştir. Mesele sadece bir lisans eksikliği değildir. Bilgisayar programları FSEK kapsamında korunduğu için kaçak yazılım tespiti telif hakkı ihlali, üç kat bede kadar talep, tazminat ve ceza riski doğurabilir. Aynı bulgu, TTK bakımından ticari defter ve belge düzeni, bağımsız denetim, denetim elemanlarına ibraz yükümlülüğü ve kurumsal kontrol sistemleri üzerinde de doğrudan etkilidir. Kaçak yazılım ayrıca KVKK bakımından veri güvenliği zaafı ve bazı durumlarda haksız rekabet ve itibar sorunu da yaratabilir.

Bu nedenle ticari denetimde kaçak yazılım bulgusu, “satın alır düzeltiriz” diye küçültülmemelidir. Asıl soru, o yazılımın şirket faaliyetlerinin hangi noktasında yer aldığı, veriyi ve raporlamayı ne ölçüde etkilediği, şirketin bunu ne kadar süredir bildiği ve denetim altyapısının neden bunu daha önce yakalayamadığıdır. Güçlü bir şirket savunması, yalnızca lisans satın almakla değil; kayıt düzeni, iç kontrol, delil yönetimi ve kurumsal uyum sistemini aynı anda düzeltmekle kurulur. Çünkü ticari denetimlerde sorun çoğu zaman kaçak yazılımın kendisi kadar, o yazılımın şirkette nasıl bu kadar uzun süre görünmeden kalabildiğidir.

Sık Sorulan Sorular

Şirket bilgisayarında kaçak yazılım bulunması bağımsız denetimde otomatik olumsuz sonuç doğurur mu?
Hayır, her olayda otomatik aynı sonucu doğurmaz. Etki; yazılımın finansal raporlama, iç kontrol, belge üretimi ve veri güvenliği üzerindeki ağırlığına göre değişir. Ancak özellikle kritik iş süreçlerinde kullanılıyorsa, denetim açısından ciddi uyum ve güvenilirlik sorunu yaratabilir.

Kaçak yazılım tespiti hâlinde şirket mi, çalışan mı sorumlu olur?
Çoğu olayda dış dünyaya karşı şirket de risk taşır. FSEK m.66, ihlal çalışan veya temsilci tarafından hizmet sırasında yapılmışsa işletme sahibi hakkında da dava açılabileceğini söyler. İç ilişkide ise kusurun ağırlığına göre çalışan ve yöneticiler hakkında ayrıca değerlendirme yapılabilir.

Denetim sırasında lisans kayıtları ibraz edilmezse ne olur?
TTK m.64 ve m.562 çerçevesinde belge kopyalarını saklama ve yetkili denetim elemanlarına ibraz yükümlülüğü önemlidir. Gerekli kayıtların verilmemesi, eksik verilmesi veya denetimin engellenmesi adli para cezası ya da bazı hâllerde hapis cezası riskini doğurabilir.

Kaçak yazılım aynı zamanda KVKK sorunu yaratır mı?
Evet, yaratabilir. Lisanssız veya güvenliği belirsiz yazılımlar veri güvenliği zaafı doğuruyorsa, veri sorumlusunun teknik ve idari tedbir yükümlülüğü bakımından ayrıca sorun çıkarabilir.

Denetimde kaçak yazılım tespit edilirse ilk yapılacak şey nedir?
Delilleri bozmadan iç inceleme başlatmak, ihlalin kapsamını saptamak, kullanımın devamını durdurmak ve lisans/kurulum/log zincirini hukuka uygun biçimde belgelemektir. HMK’daki belge ve delil tespiti rejimi bu aşamada önem taşır.