Kurucu
November 23, 2025
19 min read
Yirmi birinci yüzyılın ikinci çeyreğine girerken, dijital ekosistem; verinin mülkiyeti, kimliğin temsili ve varlıkların transferi konularında köklü bir paradigma değişimi yaşamaktadır. Geleneksel internetin (Web 2.0) merkezi otoriteler üzerine kurulu "feodal" yapısı, yerini blok zinciri teknolojisi, kriptografi ve yapay zeka (AI) destekli otonom sistemlerin şekillendirdiği "öz-egemen" (self-sovereign) bir yapıya bırakmaktadır. Bu dönüşüm, yalnızca teknolojik altyapıların güncellenmesi değil, aynı zamanda hukuk sistemlerinin temel varsayımlarını sarsan felsefi bir kırılmadır. Merkezi veritabanlarının yerini dağıtık defterlerin, ıslak imzanın yerini kriptografik anahtarların ve insan iradesine dayalı sözleşmelerin yerini otonom kod parçacıklarının (akıllı sözleşmeler) aldığı bu yeni düzende, hukuki belirlilik ilkesi ciddi sınavlar vermektedir. İşbu rapor, Öz-Egemen Kimlik (SSI), Hesap Soyutlama (Account Abstraction), Niyet Bazlı Mimariler (Intent-Centric Architectures), Yapay Zeka Ajanları ve Merkeziyetsiz Fiziksel Altyapı Ağları (DePIN) gibi teknolojik dikeyin hukuki ve teknik analizini, Avrupa Birliği'nin eIDAS 2.0 vizyonu ve Türkiye'nin yasal mevzuatı (KVKK, TMK, SPK, MASAK) ekseninde kapsamlı bir şekilde ortaya koymaktadır.
Dijital kimlik kavramı, uzun yıllar boyunca bireyin dijital dünyadaki izlerini takip eden, ancak kontrolü hizmet sağlayıcılarda (Google, Facebook, devlet kurumları vb.) olan bir "hesap" yönetimi olarak algılanmıştır. Ancak veri ihlalleri, gözetim kapitalizmi ve sansür riskleri, kimliğin mülkiyetinin kullanıcıya iade edildiği Öz-Egemen Kimlik (Self-Sovereign Identity - SSI) modelini zorunlu kılmıştır. Bu model, verilerin merkezi silolarda tutulduğu yapıların aksine, kullanıcının cüzdanında saklanan ve kriptografik olarak doğrulanabilen bir mimari sunar.
SSI, bireyi dijital kimlik ekosisteminin merkezine yerleştirerek, kendi kimliği üzerinde "yönetici" (administrator) değil, "malik" (owner) olmasını sağlayan bir yaklaşımdır. Bu yaklaşım, Christopher Allen tarafından 2016 yılında ortaya konan on temel ilke üzerine inşa edilmiştir. Bu ilkeler arasında en kritik olanları; kullanıcının kimlik verilerini kiminle paylaşacağına karar verme yetkisi (Kontrol), verilerin taşınabilirliği (Taşınabilirlik) ve işlem için gerekenden fazla verinin paylaşılmaması (Veri Minimizasyonu) ilkeleridir.
Bu felsefenin teknik omurgasını iki temel standart oluşturur: Merkeziyetsiz Tanımlayıcılar (DIDs) ve Doğrulanabilir Kimlik Bilgileri (Verifiable Credentials - VCs).
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
W3C tarafından standardize edilen DID'ler, herhangi bir merkezi kayıt otoritesine (nüfus idaresi, e-posta sağlayıcı veya alan adı kayıt kuruluşu gibi) ihtiyaç duymayan, kriptografik olarak doğrulanabilir, kalıcı ve küresel olarak benzersiz tanımlayıcılardır. Bir DID, did:method:specific-identifier formatında olup, öznenin (birey, kurum veya nesne) blok zinciri üzerindeki dijital varlığını ve egemenliğini temsil eder.
DID'lerin en devrimci özelliği "çözümleme" (resolution) mekanizmasıdır. Bir taraf, karşı tarafın DID'sini sorguladığında, o kimliğe ait genel anahtarları (public keys), kimlik doğrulama yöntemlerini ve servis uç noktalarını içeren bir "DID Dokümanı" elde eder. Bu doküman, kimlik sahibinin dijital imzalarını doğrulamak için gerekli kriptografik materyali sağlar ve bu süreçte hiçbir aracı kuruma güvenilmesi gerekmez.
Teknolojik çeşitlilik, farklı kullanım senaryoları için farklı DID metotlarının geliştirilmesine yol açmıştır. Bu metotların güvenlik, maliyet ve merkeziyetsizlik düzeyleri birbirinden ayrışmaktadır:
Altyapı ve Mekanizma: Blok zinciri gibi harici bir altyapı gerektirmez. DID, doğrudan kriptografik genel anahtardan türetilir ve anahtarın kendisi kimliği temsil eder.
Avantajları: Tamamen ücretsiz, çevrimdışı ve anında oluşturulabilir. Merkezi bir deftere veya otoriteye ihtiyaç duymadığı için yüksek düzeyde özerklik sunar.
Dezavantajları ve Riskler: En önemli riski, anahtar rotasyonunun (şifre değişimi) mümkün olmamasıdır. Anahtarın kaybolması durumunda kimlik kalıcı olarak kaybedilir. Bu nedenle daha çok tek seferlik veya geçici işlemler için uygundur.
Altyapı ve Mekanizma: Ethereum blok zinciri üzerinde, ethr-did-registry adı verilen bir akıllı sözleşme ile yönetilir. Bu sözleşme kimlik kayıtlarını tutar ve güncellemeleri sağlar.
Avantajları: Ethereum ağının kanıtlanmış güvenliğine ve yaygın kullanımına dayanır. Akıllı sözleşmeler aracılığıyla etkileşim (yetkilendirme ve temsilci atama gibi) ve anahtar yönetimi mümkündür.
Dezavantajları ve Riskler: Kimliğe dair her güncelleme işlemi (anahtar değişikliği vb.) Ethereum ağında "gas" (işlem ücreti) gerektirir. Ağ yoğunluğunun arttığı dönemlerde bu maliyetler ciddi oranda yükselebilir.
Altyapı ve Mekanizma: Bitcoin blok zinciri üzerine kurulu Katman-2 protokolü olan Sidetree kullanılarak çalışır. Veri depolama için IPFS'ten faydalanır ve kimlik özetlerini (hash'leri) düzenli aralıklarla Bitcoin blok zincirine çapalar (anchor).
Avantajları: Bitcoin'in küresel ve sansürlenemezliği üzerine kuruludur. Katman-2 çözümü sayesinde yüksek işlem hacmi sunar ve devlet düzeyinde kimlik sistemleri için gereken ölçeklenebilirliği sağlar.
Dezavantajları ve Riskler: Bitcoin blok onay sürelerine bağlı olarak hafif gecikmeler yaşanabilir. Kurulumu ve işletilmesi diğer metotlara göre teknik olarak daha karmaşık ve zahmetlidir.
Eğer DID'ler dijital dünyanın adres defteri ise, Doğrulanabilir Kimlik Bilgileri (VCs) bu adreslere atfedilen niteliklerdir. VC'ler; ehliyet, diploma, pasaport veya banka hesap cüzdanı gibi fiziksel belgelerin dijital, kriptografik olarak imzalanmış ve makineler tarafından okunabilir eşdeğerleridir.
VC ekosistemi, "Güven Üçgeni" (Trust Triangle) olarak adlandırılan bir mimariye dayanır:
Düzenleyici (Issuer): Kimlik bilgisini oluşturan ve kendi özel anahtarıyla imzalayan kurumdur (Örn: Üniversite, Nüfus Müdürlüğü).
Sahip (Holder): VC'yi alan, dijital cüzdanında saklayan ve paylaşmaya karar veren kullanıcıdır.
Doğrulayıcı (Verifier): VC'yi talep eden ve kriptografik imzasını doğrulayan taraftır (Örn: İşveren, Banka).
Bu modelin getirdiği en büyük yenilik, Doğrulayıcının belgenin geçerliliğini teyit etmek için Düzenleyici ile anlık bir iletişim kurma zorunluluğunun olmamasıdır. Doğrulayıcı, blok zincirinde yayınlanan Düzenleyiciye ait DID dokümanındaki genel anahtarı kullanarak imzayı matematiksel olarak doğrular. Bu, "Issuer" sunucuları kapalı olsa veya kurum iflas etse dahi belgenin geçerliliğinin teyit edilebilmesini sağlar (offline verification). Ayrıca bu yöntem, Düzenleyicinin (örneğin devletin), kullanıcının kimliğini nerelerde kullandığını (hangi bara girdiğini, hangi işe başvurduğunu) takip etmesini engelleyerek mahremiyeti korur.
Avrupa Birliği, dijital kimlik alanındaki parçalı yapıyı gidermek ve Dijital Tek Pazar hedefine ulaşmak için eIDAS tüzüğünü revize ederek eIDAS 2.0 çerçevesini hayata geçirmiştir. Bu düzenleme, 2026 yılına kadar her üye devletin vatandaşlarına, mukimlerine ve işletmelerine bir "Avrupa Dijital Kimlik Cüzdanı" (EUDI Wallet) sunmasını zorunlu kılmaktadır.
eIDAS 2.0, SSI prensiplerini kıtasal ölçekte yasal bir zemine oturtan dünyadaki en iddialı girişimdir. Tüzük, dijital cüzdanların sadece kimlik ibrazı için değil, aynı zamanda yasal geçerliliği olan "Nitelikli Elektronik İmza" (QES) oluşturmak ve ehliyet, diploma, reçete gibi resmi belgeleri (Attribute Attestations) saklamak için kullanılmasını öngörür.
Bu düzenlemenin en kritik bileşeni, "Seçici İfşa" (Selective Disclosure) ilkesinin yasal bir hak ve teknik bir zorunluluk olarak tanınmasıdır. Mevcut kimlik kartı ibrazlarında, kişi sadece yaşını kanıtlamak istese bile, kimlik kartındaki adı, adresi ve doğum yeri gibi tüm bilgileri karşı tarafa sunmak zorundadır. eIDAS 2.0 uyumlu EUDI Cüzdanları ile kullanıcı, "18 yaşından büyük mü?" sorusuna, doğum tarihini ifşa etmeden sadece "Evet" yanıtını içeren kriptografik bir kanıt sunabilecektir. Bu durum, AB Genel Veri Koruma Tüzüğü (GDPR) kapsamındaki "veri minimizasyonu" ilkesinin teknolojik olarak en ileri uygulamasıdır.
Ancak bu mimari, teknik ve politik tartışmaları da beraberinde getirmektedir. Kriptografi uzmanları ve gizlilik savunucuları, mevcut EUDI Cüzdan tasarımlarının (özellikle ISO 18013-5 standardına dayalı olanların) "bağlanamazlık" (unlinkability) ilkesini tam olarak karşılamadığını belirtmektedir. Eğer cüzdan işlemleri sırasında benzersiz tanımlayıcılar sızdırılırsa, hükümetler veya cüzdan sağlayıcıları, vatandaşların kullanım alışkanlıklarını takip edebilir ve profilleme yapabilir. Bu nedenle, W3C tarafından önerilen ve Sıfır Bilgi Kanıtları (ZKP) ile güçlendirilmiş daha gizlilik odaklı formatların (örneğin SD-JWT veya BBS+ imzaları) benimsenmesi yönünde güçlü bir teknik lobi faaliyeti yürütülmektedir.
Türkiye'de dijital kimlik ve veri yönetimi, temel olarak 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 5070 sayılı Elektronik İmza Kanunu ile düzenlenmektedir. Blok zinciri tabanlı SSI sistemleri, merkezi veri sorumlusu kavramına dayalı bu mevzuatlarla yapısal bir gerilim içindedir.
KVKK, veri işleme süreçlerinde hesap verilebilirliği sağlamak için merkezi bir "veri sorumlusu" (data controller) atfetmeye çalışır. Ancak SSI ekosisteminde verinin kontrolü teknik olarak kullanıcıdadır (Sahip). Veriyi üreten (Düzenleyici) ve talep eden (Doğrulayıcı) farklıdır. Daha da karmaşık olanı, bu verilerin taşındığı ve doğrulandığı blok zinciri ağını ayakta tutan binlerce düğüm (node) operatörünün hukuki statüsüdür. Bu operatörler, verinin içeriğini bilmeden sadece protokolü işlettikleri için "veri işleyen" midir, yoksa telekomünikasyon şirketleri gibi sadece "altyapı sağlayıcısı" mıdır?
Bu teknik gerçeklik, klasik "veri sorumlusu/veri işleyen" ayrımının yetersiz kaldığını göstermektedir. Raporlar, bu yapının GDPR'da da tartışılan "ortak veri sorumluluğu" (joint-controllership) modeline evrilmesi gerektiğini öne sürmektedir. Bu modelde:
Düzenleyici (Issuer): Verinin doğruluğundan ve ilk oluşturulma anındaki hukuka uygunluğundan sorumlu olur.
Sahip (Kullanıcı): Verinin cüzdanında güvenli saklanmasından ve rızası dahilinde paylaşımından sorumlu tutulur (kişisel kullanım istisnası saklı kalmak kaydıyla).
Doğrulayıcı (Verifier): Veriyi teslim aldıktan sonraki işleme faaliyetlerinden ve saklama süresinden sorumlu olur.
Blok zinciri teknolojisinin en temel vaadi olan "değişmezlik" (immutability), KVKK'nın 7. maddesinde düzenlenen "kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi" hakkı ile doğrudan bir teknik çatışma yaratır. Bir veri blok zincirine yazıldığında, teorik olarak sonsuza kadar orada kalır.
Bu hukuki çıkmazın çözümü, "Zincir Dışı (Off-Chain) Saklama ve Kriptografik Silme" modelidir. Bu modelde:
Hassas kişisel veriler (ad, soyad, biyometrik veri) asla doğrudan halka açık blok zincirine yazılmaz.
Blok zincirine, sadece bu verilere ait anlamsız kriptografik özetler (hash), şemalar veya iptal kayıtları (revocation registry) yazılır.
Kullanıcı "unutulma hakkını" kullanmak istediğinde, zincir dışı veritabanındaki asıl veri silinir veya veriyi şifreleyen özel anahtar imha edilir.
Anahtar imha edildiğinde, blok zincirindeki hash değeri artık hiçbir veriye işaret etmeyen, geri döndürülemez "çöp" bir veriye dönüşür. Hukuk otoritelerinin, bu "kriptografik silme" (cryptographic erasure) yöntemini, KVKK anlamında geçerli bir "yok etme" fiili olarak tanıması, teknolojinin önünü açacak en kritik yorum olacaktır.
5070 sayılı Elektronik İmza Kanunu, "Güvenli Elektronik İmza"yı, Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yetkilendirilmiş Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) tarafından verilen Nitelikli Elektronik Sertifikaya (NES) dayandırır. Bu, devletin yetkilendirdiği kurumlara dayalı, hiyerarşik ve merkezi bir güven modelidir.
Buna karşılık SSI ve VC'ler, merkeziyetsiz ve matematiksel bir güven modeline dayanır. Güvenin kaynağı bir kurumun "yetki belgesi" değil, kriptografik işlemin doğruluğudur. Bu temel felsefe farkı nedeniyle, mevcut kanun lafzı uyarınca, bir DID veya VC ile yapılan imzalama işlemi, 5070 sayılı Kanun anlamında "güvenli elektronik imza" kabul edilmez ve senet hükmünde (kesin delil) sayılmaz. Ancak Hukuk Muhakemeleri Kanunu (HMK) m. 202 kapsamında "delil başlangıcı" veya çok güçlü bir "takdiri delil" olarak kabul edilebilir. Türkiye'de e-Devlet için planlanan blok zinciri tabanlı kimlik sistemi, bu iki model arasında bir köprü kurarak, kamu kurumlarını "Güvenilir Düzenleyici" (Trusted Issuer) konumuna getirebilir.
Tokenizasyon ve dijital kimlik projeleriniz için yönetişim, risk ve uyumun karmaşıklıklarını aşın.
Kripto varlık ekosistemi, uzun yıllar boyunca "Harici Sahipli Hesaplar" (Externally Owned Accounts - EOA) olarak adlandırılan ilkel bir hesap yapısına mahkum kalmıştır. MetaMask veya Ledger gibi cüzdanların temelini oluşturan EOA'lar, tek bir özel anahtar (private key) ile yönetilir. Bu yapı, "anahtarı kaybeden varlığı kaybeder" kuralını dayatır ve kullanıcı hatasına tolerans göstermez. Bu katı yapı, finansal sistemlerin gerektirdiği karmaşık yetkilendirme ve güvenlik ihtiyaçlarını karşılamakta yetersiz kalmıştır. Bu sorunu çözmek için Ethereum ekosistemi, "Hesap Soyutlama" (Account Abstraction) devrimini başlatmıştır.
ERC-4337 standardı, blok zinciri protokolünde köklü bir değişiklik (hard fork) yapmadan, akıllı sözleşmelerin birer cüzdan (Smart Account) gibi davranmasını sağlayan bir altyapı sunar. Bu standart, işlemleri doğrudan blok zincirine göndermek yerine, "Kullanıcı İşlemleri" (UserOperations) adı verilen bir niyet havuzuna (alt-mempool) gönderir.
ERC-4337'nin getirdiği yenilikler, hukuki ve operasyonel açıdan varlık yönetimini yeniden tanımlamaktadır:
EOA'larda şifre unutulursa varlıklar kaybolur. Akıllı hesaplarda ise kullanıcı, önceden belirlediği "koruyucular" (Guardians - aile üyeleri, avukatlar veya donanım cüzdanları) aracılığıyla hesabını kurtarabilir. Hukuki açıdan bu, dijital mirasın intikali için devrimsel bir araçtır. Ancak koruyucuların "kötü niyetli işbirliği" (collusion) yaparak hesabı ele geçirme riski, koruyucular ile kullanıcı arasındaki hukuki ilişkinin (vekalet, emanet vb.) net tanımlanmasını gerektirir.
Şirketler için hayati olan bu özellik, bir işlemin gerçekleşmesi için birden fazla yöneticinin onayını şart koşabilir veya bir çalışana sadece belirli bir limit dahilinde harcama yetkisi verebilir.
Paymaster, kullanıcının işlem ücretini (gas) sponsorlu olarak ödeyen veya kullanıcının elindeki stabil kripto parayı (USDC) alıp karşılığında ETH ödeyen bir akıllı sözleşme mekanizmasıdır. Hukuki açıdan Paymaster'lar gri bir alandadır. Eğer bir Paymaster, kullanıcının tokenini alıp fiat para veya başka bir varlık karşılığında işlem ücreti ödüyorsa, bu faaliyet "para aktarıcısı" (money transmitter) veya "ödeme hizmeti sağlayıcısı" faaliyeti sayılabilir mi? ABD'de FinCEN, Türkiye'de TCMB düzenlemeleri kapsamında bu aktörlerin lisanslama yükümlülüğü doğabilir.
ERC-4337'nin benimsenmesi, mevcut EOA kullanıcılarının varlıklarını yeni akıllı hesaplara taşıma zorunluluğu nedeniyle yavaş ilerlemiştir. Bu sorunu çözmek için Vitalik Buterin ve ekibi tarafından önerilen EIP-7702, mevcut EOA cüzdanlarının tek bir işlemle geçici olarak akıllı sözleşme yetenekleri kazanmasını sağlar.
EIP-7702, yeni bir işlem türü ("set code transaction" - 0x04) ile kullanıcının, hesabının kontrolünü belirli bir süre veya işlem için bir akıllı sözleşmeye delege etmesine (delegation) izin verir. Hukukçular için bu işlem, "dijital bir vekaletname" niteliğindedir. Kullanıcı, irade beyanıyla (imzasıyla) kodun kendi adına işlem yapmasına izin verir.
EIP-7702, büyük güvenlik risklerini de beraberinde getirir. Eğer kullanıcı, kötü niyetli veya hatalı bir sözleşmeye yetki verirse ("drainer" kontratlar), cüzdanı tamamen boşaltılabilir. Ayrıca, bir kullanıcının bu yetkiyi verdikten sonra "azil" (revocation) hakkını nasıl kullanacağı kritiktir. Teknik olarak yetkiyi iptal etmek için yeni bir işlem yapılması gerekir, ancak kullanıcı o sırada hesabına erişemiyorsa (örneğin saldırı altındaysa) hukuki koruma mekanizmaları (mahkeme kararıyla işlemi durdurma) blok zincirinde işlemez. Bu durum kullanıcı arayüzlerinin (cüzdan uygulamalarının) kullanıcıyı "neye yetki verdiği" konusunda çok net bilgilendirmesi (aydınlatma yükümlülüğü) gerektiğini ortaya koyar.
ERC-4337 mimarisindeki bir diğer kritik aktör "Bundler"dır (Paketleyici). Bundler'lar, kullanıcı işlemlerini toplar, paketler ve blok zincirine işler. Bu rol, madencilere benzer ancak daha aktiftir. Hukuki tartışma, Bundler'ların OFAC yaptırımları veya AML kuralları karşısındaki durumudur. Eğer bir Bundler, yaptırım listesindeki bir adresten gelen işlemi paketlerse sorumlu tutulabilir mi? ABD'deki Tornado Cash kararları, teknik altyapı sağlayıcılarının dahi sorumlu tutulabileceğine dair emsal oluşturmaktadır. Bu nedenle gelecekte Bundler'ların da "Müşterini Tanı" (KYC) benzeri filtreleme mekanizmaları kullanması zorunlu hale gelebilir.
Hesap soyutlama ile başlayan süreç, blok zinciri etkileşimlerini "işlem odaklı" (transaction-based) yapıdan "niyet odaklı" (intent-based) yapıya taşımaktadır. Kullanıcılar artık "A tokenini B tokenine şu yolla çevir" demek yerine, sadece "Elimdeki A ile en çok B'yi istiyorum" diyerek niyetlerini (Intent) beyan etmektedir.
Niyet bazlı sistemlerde (UniswapX, CoW Swap, 1inch Fusion), kullanıcının niyetini gerçekleştirmek için en iyi yolu bulan ve işlemi yapan üçüncü taraf aktörlere "Solver" (Çözücü) veya "Filler" denir. Kullanıcı işlemi kendisi yapmaz, işlemi yapma hakkını (ve riskini) Solver'a devreder.
Hukuki açıdan Solver'ların statüsü karmaşıktır:
Broker/Dealer mı? Kullanıcı adına en iyi fiyatı bulup işlemi gerçekleştirdikleri için, geleneksel finanstaki "broker" tanımına yaklaşırlar. ABD sermaye piyasası kanunlarına göre bu faaliyet, lisans gerektiren bir aracılık faaliyeti olabilir.
Vekil (Agent) mi? Kullanıcının menfaatine hareket etme yükümlülükleri var mıdır? Eğer Solver, kullanıcıya en iyi fiyatı vermek yerine kendi karını maksimize edecek bir yol seçerse (MEV sömürüsü), bu "sadakat borcunun" ihlali sayılabilir mi?
Karşı Taraf (Counterparty) mı? Çoğu modelde Solver, işlemi kendi envanterinden karşılar. Bu durumda kullanıcı ile Solver arasında bir alım-satım sözleşmesi kurulmuş olur.
Niyet mimarisi, "Zincir Soyutlama" (Chain Abstraction) kavramını da mümkün kılar. Kullanıcı, hangi blok zincirinde işlem yaptığını bilmeden (örneğin Ethereum'daki bakiyesiyle Solana'daki bir uygulamayı kullanarak) işlem yapabilir.
Bu durum, sınır aşan işlemlerde yargı yetkisi (jurisdiction) ve uygulanacak hukuk sorunlarını daha da karmaşıklaştırır. Bir işlem Ethereum'da başlayıp, bir köprü (bridge) üzerinden Solana'ya geçip, orada bir Solver tarafından tamamlanıyorsa, olası bir uyuşmazlıkta (örneğin köprü hacklenirse) hangi ülke mahkemeleri yetkilidir? Hukuk doktrini, bu tür "yersiz-yurtsuz" (delocalized) işlemler için tahkim benzeri, blok zinciri tabanlı uyuşmazlık çözüm mekanizmalarının (Kleros, Aragon Court) önem kazanacağını öngörmektedir. Ancak bu mekanizmaların kararlarının, ulusal mahkemelerce (örneğin New York Konvansiyonu kapsamında) tenfiz edilip edilemeyeceği henüz belirsizdir.
Yapay zeka (AI) ve blok zincirinin birleşimi, finansal işlemleri insan müdahalesi olmadan gerçekleştirebilen "Otonom AI Ajanları/Temsilcileri"nı (Autonomous AI Agents) ortaya çıkarmıştır. ERC-4337 cüzdanları sayesinde, bir AI botu kendi cüzdanına sahip olabilir, varlık biriktirebilir ve DeFi protokollerinde işlem yapabilir.
Bir AI ajanının, sahibinden bağımsız olarak piyasayı manipüle etmesi, bir sözleşmeyi ihlal etmesi veya iflas etmesi durumunda kim sorumlu olacaktır?
Hukuki Kişilik Yokluğu: Türk hukuku ve dünyadaki çoğu hukuk sistemi, yapay zekaya "kişilik" atfetmemiştir. AI ajanları hukuken "eşya" veya "yazılım" statüsündedir. Dolayısıyla kendi adlarına hak ve borç altına giremezler.
Sorumluluk Zinciri: Mevcut rejimde, ajanın eylemlerinden onu "işleten" (operator) veya "kullanan" kişi sorumludur. Ancak ajanın bir DAO (Merkeziyetsiz Otonom Organizasyon) tarafından yönetildiği veya kodunun değiştirilemez olduğu (immutable) durumlarda, sorumlu bir muhatap bulmak ("Attribution Problem") imkansızlaşabilir.
Elektronik Kişilik Tartışması: Avrupa Parlamentosu'nun geçmişte gündeme getirdiği "elektronik kişilik" kavramı, bu tür otonom varlıklara sınırlı bir ehliyet verilmesini ve zararların tazmini için bu ajanların kendi sigorta fonlarına veya sermayelerine sahip olmasını önerir. Bu, AI ajanlarının yasal olarak tanınan birer "ekonomik aktör" haline gelmesi anlamına gelir.
2024'te kabul edilen AB Yapay Zeka Yasası, finansal risk değerlendirmesi yapan veya kritik altyapıları yöneten AI sistemlerini "Yüksek Riskli" olarak sınıflandırır.
Bu yasa, AI sistemlerinde "insan gözetimi" (human oversight) şartı aramaktadır. Ancak blok zinciri üzerinde çalışan, kodu değiştirilemeyen ve otonom hareket eden bir ajanın (örneğin bir Trading Bot) üzerinde nasıl bir insan gözetimi sağlanacağı teknik bir paradokstur. Yasa ayrıca "şeffaflık" ve "açıklanabilirlik" talep ederken, derin öğrenme (deep learning) modellerinin "kara kutu" (black box) doğası bu uyumu zorlaştırmaktadır.
Dahası, GDPR açısından bakıldığında, otonom olarak kişisel veri toplayan ve işleyen bir AI ajanı "Veri Sorumlusu" (Data Controller) olabilir mi? İngiltere mahkemeleri, bir yazılımın kendisinin değil, onu kontrol edenlerin sorumlu olacağı yönünde kararlar vermiştir. Ancak ajan otonomlaştıkça ve kontrol insan elinden çıktıkça, bu hukuki kurgu gerçeklikle bağını koparmaktadır.
Türkiye'de veri gizliliği, algoritmik önyargı ve kurumsal sorumlulukları kapsayan yapay zekanın hukuki sınırlarını keşfedin.
Finansal sistemlerde şeffaflık (kara para aklamayı önleme - AML için) ve mahremiyet (temel insan hakkı olarak) arasındaki çatışma, blok zinciri hukukunun en keskin fay hattıdır.
Sıfır Bilgi Kanıtı (Zero-Knowledge Proof - ZKP), bir tarafın (kanıtlayıcı) elindeki bir bilginin doğruluğunu, bilginin kendisini diğer tarafa (doğrulayıcı) ifşa etmeden matematiksel olarak kanıtlamasını sağlayan kriptografik bir protokoldür.
Bu teknoloji, özellikle Türk bankacılık sektörünün BDDK ve KVKK kıskacından kurtulması için stratejik bir anahtar sunar:
BDDK, banka verilerinin (müşteri sırrı) yurt dışına çıkmasını yasaklar. ZKP ile hassas veriler bankanın yerel sunucularında (on-premise) kalırken, bulut altyapısına sadece anlamsız matematiksel kanıtlar gönderilir. Bulut sağlayıcısı veriyi "görmediği" için, veri egemenliği ihlal edilmemiş olur ve bankalar bulutun işlem gücünden faydalanabilir.
ZKP, "Seçici İfşa" sağlar. Bir banka denetçisi, "Şüpheli işlem var mı?" diye sorduğunda, banka tüm işlem listesini açmak yerine, ZKP ile üretilmiş kesin bir "Hayır" kanıtı sunabilir. Bu, KVKK'nın veri minimizasyonu ilkesinin en uç noktasıdır.
Finansal uygulamalar için zk-SNARKs (kısa kanıt boyutu, hızlı doğrulama) idealdir ancak "güvenilir kurulum" (trusted setup) riski taşır. zk-STARKs ise şeffaftır (güvenilir kurulum gerektirmez) ve kuantum dirençlidir, ancak kanıt boyutları büyüktür.
Mahremiyet teknolojilerinin yasal sınırları, Tornado Cash davası ile test edilmiştir. ABD Hazine Bakanlığı (OFAC), ZKP tabanlı bir kripto karıştırıcı (mixer) olan Tornado Cash'i, Kuzey Koreli hackerların kara para aklama faaliyetlerinde kullanıldığı gerekçesiyle yaptırım listesine almıştır.
Projenin geliştiricileri (Alexey Pertsev ve Roman Storm), "kod yazmak" ve "yazılım geliştirmek" fiilleri nedeniyle tutuklanmış ve kara para aklama suçuna iştirakle yargılanmaktadır. Geliştiriciler, akıllı sözleşmelerin "değiştirilemez" (immutable) olduğunu ve protokolü durdurma yetkileri olmadığını (yani kontrolün ellerinde olmadığını) savunmuştur. Ancak mahkemeler ve savcılar, geliştiricilerin arayüzü (UI) yönettiklerini, protokolden kar elde ettiklerini ve AML önlemlerini bilinçli olarak sisteme eklemediklerini öne sürerek sorumluluk atfetme eğilimindedir.
Bu dava, "Kod Kanundur" (Code is Law) felsefesinin, devletin cebri gücü karşısında çöktüğü noktadır. Geliştiriciler için çıkarılan ders, sadece kodu yazıp bırakmanın sorumluluktan kurtarmadığı, protokol tasarım aşamasında uyum mekanizmalarının (örneğin "Proof of Innocence" veya kara liste filtreleri) entegre edilmesi gerektiğidir.
Merkeziyetsiz Fiziksel Altyapı Ağları (DePIN), blok zinciri teknolojisini kullanarak fiziksel altyapıların (telekomünikasyon, enerji, veri depolama) merkeziyetsiz bir şekilde kurulmasını ve işletilmesini sağlayan modellerdir.
DePIN projelerinde (örneğin Helium), bireyler evlerine cihazlar (hotspot) kurarak ağ kapsama alanı oluşturur ve karşılığında token kazanır. Bu model, Türkiye'de 5809 sayılı Elektronik Haberleşme Kanunu ile çatışma riski taşır.
Yetkilendirme: Elektronik haberleşme hizmeti sunmak BTK'dan yetki belgesi almayı gerektirir. Bireylerin lisanssız olarak internet paylaşımı yapması veya şifreli haberleşme altyapısı kurması, yasa dışı faaliyet olarak değerlendirilebilir.
Node Operatörü Sorumluluğu: Bir node işleticisi, cihazı üzerinden geçen verinin içeriğinden (örneğin suç unsuru içeren veri) sorumlu mudur? 5651 sayılı Kanun kapsamında "yer sağlayıcı" veya "erişim sağlayıcı" sorumlulukları gündeme gelebilir. Ancak şifreli ağlarda operatörün içeriği bilmesi mümkün değildir, bu da hukuki bir belirsizlik yaratır.
Türkiye, kripto varlık piyasasını düzenlemek adına 2024 yılında Sermaye Piyasası Kanunu'nda (7518 sayılı Kanun) önemli değişiklikler yapmıştır.
Kripto Varlık Hizmet Sağlayıcıları (KVHS): Borsalar ve saklama kuruluşları için lisans zorunluluğu getirilmiştir. Mevcut platformların Haziran 2025'e kadar faaliyet izni başvurusu yapması ve Haziran 2026'ya kadar lisanslarını alması gerekmektedir.
Sermaye ve Yapı: Platformların anonim şirket olarak kurulması, paylarının nama yazılı olması ve asgari 50 milyon TL sermayeye sahip olması şart koşulmuştur.
Saklama (Custody): Müşteri varlıklarının platformun varlıklarından ayrı tutulması esastır. Kanun, saklama hizmetinin yetkilendirilmiş bankalar veya saklama kuruluşları (Takasbank gibi) tarafından yapılmasının önünü açmıştır, ancak geçiş sürecinde platformların kendi bünyelerinde saklama yapmasına izin verilmiştir.
Dijital varlıkların (kripto paralar, NFT'ler) ölümden sonra akıbeti, Türk hukukunun en gri alanlarından biridir.
Tereke Tespiti: Yargıtay ve bölge adliye mahkemeleri (Antalya BAM kararı), kripto paraların ve dijital hesapların ekonomik değeri olduğunu ve terekeye (mirasa) dahil edilmesi gerektiğini kabul etmektedir.
Erişim Sorunu: Mahkeme kararı olsa bile, kripto varlığın bulunduğu cüzdanın şifresi (private key) bilinmiyorsa, varlığa teknik olarak erişmek imkansızdır. Bankaların aksine, merkeziyetsiz cüzdanlarda "yazı yazılacak" bir mercii yoktur.
Teknik Çözüm: Bu nedenle "Dead Man's Switch" (Ölü Adam Anahtarı) gibi, kullanıcının belirli süre inaktif kalması durumunda varlıkları otomatik olarak mirasçıya transfer eden akıllı sözleşmeler önerilmektedir. Ancak bu otomatik transfer, Türk Medeni Kanunu'ndaki "saklı pay" kurallarını ihlal ederse, mirasçılar arasında "tenkis davası"na konu olabilir.
Gerçek dünya varlıklarını yasal olarak nasıl tokenize edeceğinizi ve miras da dahil olmak üzere dijital yaşam döngülerini nasıl yöneteceğinizi anlayın.
Dijital kimlik ve varlık yönetiminin geleceği, ne tamamen anarşik bir "kod kanundur" düzeni, ne de teknolojiyi boğan katı bir bürokrasi olacaktır. Çözüm, "Law as Code" (Hukukun Kod Olarak İfadesi) prensibiyle, yasal kuralların akıllı sözleşmelere gömüldüğü hibrit yapılardadır.
SSI ve ZKP teknolojileri, KVKK ve eIDAS 2.0 ile uyumlu, mahremiyeti koruyan yeni bir veri ekonomisi yaratmaktadır. Hesap Soyutlama ve AI Ajanları, hukuki sorumluluğun "kontrol" (control) ve "fayda" (benefit) ilkelerine göre yeniden dağıtılmasını gerektirmektedir.
Türkiye, e-Devlet altyapısını blok zinciri tabanlı bir cüzdana dönüştürerek ve yeni kripto yasasıyla düzenleyici belirliliği sağlayarak, bu dönüşümde öncü bir rol oynama potansiyeline sahiptir.
Bu kapsamlı dönüşümün sağlıklı bir şekilde ilerlemesi, hukukçuların kodun mimarisini anlamasını; geliştiricilerin ise kodun toplumsal ve hukuki sonuçlarını kavramasını elzem kılmaktadır. Genesis Hukuk Bürosu olarak, bu karmaşık ve hızla değişen dijital hukuk alanında müvekkillerimize en güncel ve stratejik hukuki danışmanlık hizmetini sunmaya kararlıyız.
Dijital ekosistem; Web3, Yapay Zeka (AI) ve blok zinciri teknolojilerinin etkisiyle geleneksel hukuki yaklaşımları temelden sarsan, köklü bir dönüşüm yaşamaktadır. Bu değişim, kimlikten varlık yönetimine, sorumluluktan altyapı hizmetlerine kadar beş ana alanda belirginleşen hukuki kırılma noktalarını ve bu noktalara yönelik çözüm yönelimlerini zorunlu kılmaktadır.
Geleneksel kimlik yönetiminde (Nüfus İdaresi, Google, Facebook), bireyin verileri üzerindeki kontrolü sınırlıdır ve kimlik merkezi otoritelerce yönetilir. Yeni paradigma olan Öz-Egemen Kimlik (SSI) ise Merkeziyetsiz Tanımlayıcılar (DID) ve Doğrulanabilir Kimlik Bilgileri (VC) kullanarak bireyin kendi kimliğinin "maliki" olmasını hedefler; kimlik verileri merkezi silolar yerine kullanıcının cüzdanında saklanır.
Hukuki çatışma, 6698 sayılı KVKK'da tanımlanan merkezi "Veri Sorumlusu" kavramının bu dağıtık yapıda kime atfedileceği noktasında yaşanır. Teknik kontrol kullanıcıda (Sahip), veriyi üreten kurumda (Düzenleyici) ve kullanan tarafta (Doğrulayıcı) olduğu için, çözüm olarak sorumluluğun bu aktörlere yayıldığı "Ortak Veri Sorumluluğu" (Joint-Controllership) modeline geçiş önerilmektedir.
Geleneksel yaklaşımlar bir bilginin doğrulanması için bilginin tamamının ifşa edilmesini (Örn: kimlik kartının görülmesi) gerektirirken, Sıfır Bilgi Kanıtları (ZKP) bir bilginin doğru olduğunu, bilginin kendisini paylaşmadan matematiksel olarak kanıtlama imkanı sunar (Örn: doğum tarihini göstermeden 18 yaşından büyük olduğunu kanıtlama).
Bu teknoloji, AB'nin GDPR ve Türkiye'nin KVKK mevzuatlarında temel ilke olan "Veri Minimizasyonu" ilkesinin geleneksel yöntemlerle sağlanamamasının önüne geçmektedir. Gelecekte, ZK-KYC (Zero-Knowledge Know Your Customer) ve "Seçici İfşa" (Selective Disclosure) gibi ZKP temelli çözümlerle yasal zorunluluklar yerine getirilirken dahi mahremiyetin en üst düzeyde korunması hedeflenmektedir.
Geleneksel finansal varlıklar banka veya aracı kurumlar nezdindeki merkezi hesaplarda tutulurken, yeni paradigma özel anahtarla yönetilen ilkel hesapların yerini programlanabilir Akıllı Hesaplara (ERC-4337) bırakmaktadır.
Hukuki intikal krizi, özel anahtarın kaybolması durumunda varlığa erişimin teknik olarak imkansızlaşması ve Mülkiyet/Miras hukukunun klasik kurallarının yetersiz kalmasından kaynaklanır. Bu krizi aşmak için, aile üyeleri veya avukatlar atanabilen "Sosyal Kurtarma" (Social Recovery) mekanizmaları ve kullanıcının inaktif kalması durumunda varlıkları otomatik transfer eden "Dead Man's Switch" gibi akıllı sözleşme tabanlı miras araçlarının hukuken tanınması gerekmektedir.
Geleneksel yönetimde hukuki sorumluluk işlemi gerçekleştiren insan iradesine aitken, yeni ekosistemde kendi cüzdanına sahip olabilen ve otonom karar alıp işlem yapabilen Otonom Ajanlar/Temsilciler ile Merkeziyetsiz Otonom Organizasyonlar (DAO) gibi yapılar öne çıkmaktadır.
Hukuki Çatışma, Türk ve çoğu dünya hukuk sisteminde AI ajanlarına "Hukuki Kişilik" atfedilememesi nedeniyle, bir zarara yol açtıklarında Sorumluluğun kime yükleneceği ("Attribution Problem") sorununu yaratmaktadır. Önerilen çözüm, Avrupa Parlamentosu'nun da tartıştığı "Elektronik Kişilik" kavramının sınırlı bir ehliyetle tanınması ve bu ajanların potansiyel zararlarını karşılamak üzere kendi sigorta fonlarına/sermayelerine sahip olmalarının zorunlu kılınmasıdır.
Telekomünikasyon ve diğer fiziksel altyapılar (Örn: Türk Telekom), geleneksel olarak merkezi ve devletten lisanslı büyük kurumlar tarafından işletilir. Yeni paradigma olan Merkeziyetsiz Fiziksel Altyapı Ağları (DePIN) (Örn: Helium, Filecoin), bireylerin kendi evlerinde kurdukları cihazlarla altyapı hizmeti sunarak token kazanmalarını sağlar.
Bu durum, bireylerin lisanssız olarak elektronik haberleşme hizmeti sunmasının, 5809 sayılı Elektronik Haberleşme Kanunu kapsamındaki Yetkilendirme yükümlülükleriyle çatışması gibi hukuki belirsizlikler yaratır. Ayrıca, node işletmecilerinin "Yer Sağlayıcı" sorumluluğu taşıyıp taşımayacağı da hukuki bir tartışma konusudur. Çözüm olarak, merkeziyetsiz, çok sayıda ve dağınık aktörler için uygun, yeni nesil ve hafifletilmiş Yetkilendirme modellerinin (Örn: Genel İzin Rejimi) geliştirilmesi gerekmektedir.
Yasal Uyarı
İşbu rapor, yalnızca genel bilgilendirme amacıyla hazırlanmış olup, hukuki tavsiye veya mütalaa niteliği taşımamaktadır. Kripto varlık düzenlemeleri ve teknolojik standartlar hızla değiştiğinden, somut olaylarınızda profesyonel hukuki destek almanız önerilir.
