Farkın neden önemli olduğu
Günlük iletişimde "elektronik imza" ve "dijital imza" kavramları eşanlamlı olarak kullanılır, ancak hukuki ve teknik olarak aynı şey değildirler. Fark akademik değildir: yüz binlerce avro değerinde bir sözleşme imzaladığınızda veya bir mahkeme sürecine girdiğinizde, seçilen imza türü belgenin kanıt olarak kabul edilip edilmeyeceğini, karşı tarafın itiraz edip edemeyeceğini ve işi kâğıt formunda tekrarlamak zorunda kalıp kalmayacağınızı doğrudan etkiler.
Geniş hukuki kavram olarak elektronik imza
Elektronik imza, irade beyanının her dijital biçimini kapsayan şemsiye kavramdır. Buna elektronik ortamda imzalayanı tanımlayan pratikte her şey girer:
- E-posta mesajının sonuna yazılmış isim
- PDF'e yapıştırılmış el yazısı imzanın taranmış görüntüsü
- "Koşulları kabul ediyorum" düğmesine tıklamak
- Tablet ekranında parmak veya stylus kalemle imza
- PIN kodu veya tek seferlik şifre girişi
- Biyometrik onay (parmak izi, yüz)
Tüm bu biçimler hukuki olarak "elektronik imzadır", ancak güvenlik düzeyi ve mahkeme önündeki kanıt gücü açısından farklılık gösterir.
Kriptografik alt küme olarak dijital imza
Dijital imza, asimetrik kriptografi ve dijital sertifikalar kullanan elektronik imzaların teknik olarak belirli bir alt kümesidir. Üç temel özellik:
- Asimetrik şifreleme: anahtar çifti (imzalama için özel, doğrulama için açık). Özel anahtar yalnızca sahibi tarafından bilinir, açık anahtar herkese açıktır.
- Dijital sertifika: bir sertifikasyon kuruluşu tarafından düzenlenir ve belirli bir açık anahtarın belirli bir kişiye ait olduğunu onaylar.
- Hash fonksiyonu: belgenin matematiksel parmak izi. İmzadan sonraki her değişiklik hash'i değiştirir ve imzayı geçersiz kılar, bu da inkâr edilemezlik (non-repudiation) sağlar.
Başka bir deyişle: her dijital imza elektroniktir, ancak her elektronik imza dijital değildir. İlişki kare ve dikdörtgen gibidir.
5070 sayılı Elektronik İmza Kanunu ve eIDAS düzenlemesine göre üç düzey
Türkiye'nin 5070 sayılı Elektronik İmza Kanunu (AB eIDAS düzenlemesiyle uyumlu) elektronik imzanın üç düzeyini tanımlar:
| Düzey | Teknik gereklilikler | Hukuki güç | Tipik örnek |
|---|---|---|---|
| Basit (temel) e-imza | Herhangi bir elektronik tanımlama biçimi | Hukuken geçerli ancak zayıf kanıt gücü; ispat yükü imzaya dayananın üzerinde | E-posta imzasındaki isim, "Kabul ediyorum" tıklaması, taranmış imza |
| Gelişmiş e-imza (AdES) | İmzalayana benzersiz bağlı, imzalayanın tanımlanmasını sağlar, kontrollü araçlarla oluşturulur, belgeye sonradan yapılacak her değişikliğin fark edilebileceği şekilde bağlanır | Daha güçlü kanıt gücü; ispat yükü tersine, karşı kanıt yoksa imza geçerli kabul edilir | QSCD cihazı olmaksızın nitelikli sertifika ile imza, örn. yazılım sertifikası |
| Nitelikli e-imza (QES) | Kayıtlı nitelikli sağlayıcı tarafından düzenlenmiş nitelikli sertifikaya dayalı olarak nitelikli imza oluşturma cihazı (akıllı kart, USB token, HSM) ile oluşturulan gelişmiş imza | Tüm hukuki ilişkilerde el yazısı imzayla hukuken eşitlenir; ek doğrulama olmadan tüm AB ülkelerinde otomatik olarak kabul edilir | E-Devlet smart kart, BTK onaylı USB token, bankada HSM modülü |
Türkiye'deki nitelikli sağlayıcılar
Türkiye'de nitelikli sertifikaları, Bilgi Teknolojileri ve İletişim Kurumu'na (BTK) kayıtlı Elektronik Sertifika Hizmet Sağlayıcıları (ESHS) düzenler. En bilinenler TÜBİTAK Kamu SM, E-Güven, EBG Bilişim, TürkTrust ve birkaç ticari sağlayıcıdır. Nitelikli sertifika fiyatı, sağlayıcıya ve taşıyıcı türüne (kart, token, cloud) bağlı olarak yıllık 150 ila 800 TL arasında değişir.
Hangi düzey hangi durumda yasal olarak gereklidir
| Belge türü | Minimum düzey | Sebep |
|---|---|---|
| İç iletişim, yazışmalar | Basit | Dış hukuki ağırlığı yok |
| Sipariş formları, raporlar | Basit veya gelişmiş | Şirketin iç politikasına göre |
| Şirketler arası ticari sözleşmeler | Gelişmiş önerilir | Uyuşmazlık mahkemeye giderse ispat daha kolay |
| İş sözleşmeleri | En az gelişmiş, nitelikli önerilir | İş mahkemesi önündeki herhangi bir uyuşmazlık |
| Vergi amaçlı faturalar | Gelişmiş (e-Fatura/GİB sistemi üzerinden) | Türkiye'de e-Fatura mevzuatı |
| Mahkeme dilekçeleri ve davalar | Nitelikli (zorunlu) | Usul kanunları QES gerektirir |
| Gayrimenkul sözleşmeleri | Noter onaylı | Elektronik imza yetersiz; noter şekli gerekli |
| Yüksek tutarlı banka belgeleri | Nitelikli | Bankanın iç gereklilikleri ve mali düzenleme |
| Devlet kurumlarının belgeleri, e-Devlet | Nitelikli | e-Devlet ve mahkeme portalları daha düşük düzeyi kabul etmez |
Pratikte emsal: mahkemenin basit e-imzayı reddettiği durumlar
Türk mahkemelerinin uygulamasında uyuşmazlıktaki tarafın kanıt olarak "taranmış imzalı" sözleşme sunduğu, mahkemenin bilirkişi incelemesi talep ettiği vakalar kayda geçmiştir. Bilirkişi taranmış imzanın başka bir belgeden sonradan kopyalanmadığına dair garanti sağlamadığını tespit etmiş ve mahkeme böyle bir imzayı yalnızca ek delillerle (tanıklar, yazışma, ödemeler) kabul etmiştir. Nitelikli elektronik imza varsa, mahkeme onu kâğıttaki el yazısı imza gibi ek ispat olmadan kabul eder.
AB'de sınır ötesi geçerlilik
Türkiye'de eIDAS standardına göre düzenlenen nitelikli elektronik imza, ek tasdik olmaksızın tüm AB ülkelerinde hukuken geçerlidir. Bu, AB'de iş ortakları olan şirketler için özellikle önemlidir, çünkü seyahat, kurye ve sözleşmelerdeki fiziksel mühür ihtiyacını ortadan kaldırır. Gelişmiş imza bazı ülkelerde kabul edilirken, basit imza ülkeden ülkeye farklı işlem görür.
Sizin durumunuz için düzeyi nasıl seçersiniz
- Yasal yükümlülük: kanun veya düzenleyici belirli bir düzeyi açıkça talep ediyorsa onu kullanın (örn. e-Fatura nitelikli imzalı; mahkeme dilekçeleri nitelikli).
- Belgenin değeri veya riski: ortalama bir çalışanın yıllık maaşından daha değerli sözleşme en az gelişmiş, ideal olarak nitelikli imzayı hak eder.
- Sınır ötesi kullanım: belge yurt dışına gidiyor veya yurt dışından geliyorsa, nitelikli imza tek güvenli seçimdir.
- Uzun süreli saklama: 5 yıldan uzun süre saklanan belgeler imzanın uzun süreli doğrulamasına izin veren bir formata sahip olmalıdır (LTV, örn. PDF için PAdES-LTV).
- Operasyonel rahatlık: toplu imza için (günde yüzlerce sözleşme), cloud'daki QSCD'ye yatırım değerli olabilir, çünkü fiziksel token ihtiyacını ortadan kaldırır.
