8 Mayıs 1998 tarihli Dış Ticaret Müsteşarlığı, Elektronik Ticaret Koordinasyon Kurulu, Elektronik Ticaret Hukuk Çalışma Grubu raporundaki Elektronik İmza’ya ilişkin bölüm aşağıdadır;

1.Elektronik İmza

Elektronik ticaretin gelişebilmesi ve kullanıcılar tarafından benimsenebilmesinin ilk şartı; açık ağ sistemine duyulan güvenin sağlanmasıdır. Bu açıdan; taraflar arasında iletilen bilginin gizliliği, bütünlüğü ve tarafların kimliklerinin doğruluğu kurulacak olan teknik ve yasal altyapı ile garanti edilebilmelidir. Söz konusu şartlar, elektronik imza ile sağlanabilmektedir. Bu nedenle, elektronik ticaretle ilgili çalışmalarda ileri bir çok ülkenin yasal düzenlemelerde önceliği elektronik imza mevzuatı çalışmalarına vermeleri bir rastlantı değildir. Elektronik imza yasaları halen Almanya, Singapur gibi ülkeler ile ABD’nin birçok eyaletinde uygulanmaktadır.

Elektronik imza; bir bilginin üçüncü tarafların erişimine kapalı bir ortamda, bütünlüğü bozulmadan (bilgiyi ileten tarafın oluşturduğu orijinal haliyle) ve tarafların kimlikleri doğrulanarak iletildiğini elektronik veya benzeri araçlarla garanti eden harf, karakter veya sembollerden oluşmuş bir seti ifade eder. Bu tanımda kullanılan "bilgi" sözcüğü, herhangi bir elektronik ortamda yaratılan, iletilen ya da depolanan ve daha sonra yeniden kulanılabilir şekilde geri çağırılabilen her türlü bilgiyi içermektedir. Elektronik imza, günümüz teknolojisinde çeşitli şekillerde olabilmektedir. Halen kullanılan imza dosyaları, biyometri tekniği (kullanıcının parmak ya da el izi, göz retinası vb. kişiye has özellikler) ile oluşturulan imzalar ve sayısal imzalar en çok bilinen ve tartışılan elektronik imza çeşitleridir.

Sayısal imza; elektronik imzanın özel bir çeşidi olup, bir anahtar çifti (açık ve gizli anahtarlar) ile elektronik ortamda iletilen veriye vurulan bir mühürdür. Sayısal imzalar göndericinin kimliğinin açık ve net bir biçimde teyidini, elektronik dokümanın orijinalliğini ve güvenilirliğini mümkün kılar. Gönderici için ve mesajın gönderildiği taraf için tek olan sayısal imzalar doğrulanabilir ve inkar edilemez.

Sayısal imzada amaç; elle imza atma işlemini elektronik ortamda yapabilmek için zemin yaratmaktır.

Sayısal imzanın işlevi; elektronik ortamda aslından ayrılamayan sahte imzayı ve orijinal dokümanların değiştirilmesini önlemektir.

Birleşmiş Milletler Genel Kurulunun 28 Mayıs-14 Haziran 1996 tarihleri arasında New York’ da yapılan 29. Toplantısında Elektronik Ticarete ilişkin Model Kanun ve konuya ilişkin Yasal Rehber’in kabul edilmesinden sonra, "sayısal imza ve onay makamları (certification authorities)" ile ilgili olarak diğer ülkelerin mevcut düzenlemelerinden de yararlanılmak suretiyle taslak bir metin hazırlanmıştır. Söz konusu Taslak’ta elektronik imza konusunda aşağıdaki hususlara yer verilmiştir.

İmza; "kimliğini ve ekli bilgiye onay verildiğini göstermek niyetiyle bir kimse tarafından (veya onun namına) kullanılan herhangi bir işaret veya kabul edilen herhangi bir güvenlik usulüdür."

Elektronik imza; "kimliğini ve mesaj içeriğine onay verildiğini göstermek niyetiyle bir kimse tarafından (veya onun namına) mesaja eklenen veya mantıksal olarak mesaja bağlı olan elektronik bilgidir."

Güvenli Elektronik İmza; "Taslağın 4 ve 5. Maddelerine uygun sayısal imza ya da bir güvenlik usulü aracılığıyla belirli bir kişiye ait olduğu tespit edilebilir elektronik imza ya da olayın özelliğine göre ticari ilişkiler çerçevesinde makul görülen ve taraflarca daha önce kararlaştırılan ve uygulanan elektronik imzadır."

Güvenli imzanın standart özellikleri, Taslak’ta şu şekilde özetlenmiştir;

a) Teklik : Elektronik imzaların birbirinden farklı olması anlamına gelmektedir. Ya parmak izi, retina taraması gibi biyometrik yöntemlerle ya da çift anahtar kullanımıyla teklik şartı yerine getirilebilmektedir.

b) Kimlik Tespiti: Elektronik imza sahibinin kimlik tespitinni sağlanması anlamına gelmektedir. Bu tespitin çabuk, nesnel ve otomatik olması özellikleri üzerinde durulmaktadır.

c) Güvenilirlik: Elektronik imzayı kullanan olarak kimliği tespit edilen kişinin gerçekten mesajı imzalamış olması anlamına gelmektedir. Üçüncü bir güvenilir kişinin (Trusted Third Party), örneğin onay makamının süreç içerisinde üstelendiği görevin önemi ve yararı belirtilmektedir.

d) Bağlantı; mesajla imza arasında bağlantı olması anlamına gelmektedir. Mesaj değiştiğinde, elektronik imza geçersiz hale gelmelidir.

Sayısal imza;

Bu konuda Taslak’ta iki değişik tanım mevcuttur:

1- Sayısal imza, mesaj özetleme fonksiyonu ve asimetrik şifreleme sistemi yardımıyla bir veri mesajının dönüştürülmesinden teşekkül eden bir tür elektronik imzadır. Bu şekilde dönüşüme uğramamış ilk mesaja ve imzacının açık anahtarına sahip bir kişi dönüşümün imzacının açık anahtarına denk gelen açık anahtarıyla gerçekleştirilip gerçekleştirilmediğini ve dönüşümden sonra ilk mesajın değişip değişmediğini kusursuz olarak tespit edebilir.

2- Sayısal imza; veri mesajına eklenen sayısal (bilgisayarlarca kullanılan ikili sistem açısından) değerdir. İmzacının gizli şifreleme anahtarına bağlı matematiksel bir usul kullanılarak, bu sayısal değer yalnızca imzacı tarafından üretilebilmektedir. Bu matematiksel usul açık anahtarla şifreleme esasına dayanmaktadır. Bu matematiksel usuller bir veri mesajına uygulandığında mesajı dönüştürmekte ve mesajı alan taraf imzacının açık anahtarını bildiğinden, dönüşümün imzacının açık anahtarına karşılık gelen gizli anahtarıyla gerçekleştirilip gerçekleştirilmediğini ve dönüşümden sonra orijinal mesajın değişip değişmediğini kusursuz olarak tespit imkanına sahip olmaktadır.

Eğer veri mesajı, bir onay makamı tarafından verilen bir sayısal imza sertifikasının geçerlilik süresi içinde imzalanmışsa, bu sayısal imza güvenli elektronik imza olarak kabul edilmektedir.

Taslak’ta yer alan ve elektronik imzaya ilişkin olarak aksi ispat edilene kadar geçerli olan karineler ise şunlardır:

a) Elektronik imza mesaja eklendiği andan itibaren mesaj değişmemiştir.

b) Elektronik imza ilgili şahsın imzasıdır.

c) Elektronik imza, imza sahibi tarafından mesajı imzalamak amacıyla mesaja eklenmiştir.

Teknolojik gelişmeler ya da diğer sebeplerle, elektronik imzanın doğrulanması için kullanılan bir usulün genel olarak güvenilir olmadığını gösteren deliller mevcutsa veya taraflarca kararlaştırılan güvenlik usulünün güvenli bir şekilde uygulanmadığına işaret eden deliller mevcutsa yukarıda sayılan karinelerin aksi ispat edilebilmektedir.

İspat hukuku açısından, elektronik imzalı mesajı alan ya da güvenen taraf karineye dayanacak, ispat yükü ise elektronik imza sahibi üzerinde olacaktır.

Elektronik imzanın aidiyeti konusunda aşağıdaki hüküm üzerinde anlaşmaya varılmıştır ;

"Güvenli bir elektronik imzanın yetkisiz olarak kullanıldığı ispat edilmedikçe, imzalayan olarak görünen taraf ile güvenen taraf arasında, güvenli bir elektronik imzanın, imzalayan olarak görünen tarafa ait olduğu kabul edilir."

Güvenli bir elektronik imzadan doğan sorumluluk şu şekilde ifade edilmiştir; "Yetkisiz bir elektronik imza kullanımıyla ilgili olarak, imzaya yetkili taraf, muhatabın böyle bir mesaja güvenmesini engelleyici makul bir özen göstermemişse, ortaya çıkan zararı tazmin etmekle yükümlüdür. Ancak güvenen taraf, uygun bir üçüncü şahıstan bilgi almışsa veya imzanın ilgili şahsa ait olmadığını biliyorsa yada bilmesi gerekiyorsa sorumluluk ortadan kalkar."

Taslak’ta ayrıca, ülkelerin; "Aksi yasa ile belirlenmediği sürece, bir elektronik imza, bir yazının imzalanması için kullanılabilecek olup, yazılı bir imza ile aynı güce ve etkiye sahip olacaktır." şeklinde bir yasal düzenlemeyi de yapmaları önerilmektedir.

Sayısal imza, birbirlerine karşılık gelen ve bir başka benzeri olmayan açık ve gizli anahtarların eşleşmesi ile tamamlanmakta ve uygulanmaktadır. Açık anahtarlar (public key), herkesce bilinir ya da bir veri tabanından (telefon rehberi gibi) ulaşılabilir. Gizli imza anahtarlarının, onay makamları tarafından saklanması konusunda henüz uluslararası bir görüş birliği oluşmuş değildir. Gizli imza anahtarları ve şifreleme, suç faaliyetlerinin gizlenmesine imkan tanıyabilmekte ve devletlerin yürütme (vergilendirme dahil) ve yargılama yeterlilikleri konusunda endişeler oluşturmaktadır. Bazı devletlerin yaklaşımı, şifreleme yöntemlerinin kullanımının kısıtlanması ve devletin gizli imza anahtarlarına erişiminin sağlanması yönündedir. Diğerleri, şifreleme kullanımının sınırlandırılmaması gerektiğine, gizli imza anahtarlarının üçüncü kişilerin erişiminin sisteme olan güveni azaltacağına inanmaktadır. Bu konuda hakim bir görüş olmayıp, devletler kendi tercihlerine göre düzenlemeler yapmaktadır.

Değişik ülkelerdeki uygulamaların birbirleri ile uyumunun sağlaması amacıyla, her ülkedeki açık anahtar uygulamasında aşağıdaki hususların belirlenmesi gerektiği öngörülmektedir.

1. Açık anahtar veri tabanı ile ilgili kurumların hiyerarşisi, sayısı ve statüsü,

2. Sadece açık anahtar vari tabanına sahip belirli yetkililerin şifreli çift anahtarı düzenleyip düzenleyemeyecekleri veya bu anahtar çiftinin kullanıcılar tarafından düzenlenip düzenlenemeyeceği,

3. Şifreli çift anahtarın geçerliliğini onaylayan onay makamlarının kamu kuruluşu olarak mı yoksa özel teşebbüs olarak mı faaliyet gösterecekleri,

4. Onay makamlarına yetki verme işleminin Devlet tarafından lisans verme biçiminde mi, yoksa akredite edilme şeklinde bir yöntemle mi olacağı,

5. Resmi kurumlara, şifrelenmiş bilgilere ulaşım konusunda verilecek yetkinin kapsamı ve sınırları.

1.1. Türk Hukukunda İmzaya İlişkin Hükümler:

Türk hukukunda, imzaya ilişkin hükümler Borçlar Kanununda düzenlenmiş bulunmaktadır.

Söz konusu Kanunun 13 üncü maddesinde;

"Tahriri olması icap eden akitlerde, borç deruhte edenlerin imzaları bulunmak lazımdır.

Hilafı kanunda yazılı olmadıkça imzalı bir mektup veya aslı borcu üzerine alanlar tarafından imza edilmiş olan telgrafname tahriri şekil makamına kaim olur." hükmü yer almaktadır.

Aynı Kanun’un "İmza" başlıklı 14 üncü maddesinde;

"İmza üzerine borç alan kimsenin el yazısı olmak lazımdır.

Bir alet vasıtasıyla vazolunan imza, ancak örf ve adetçe kabul olunan hallerde ve hususiyle çok miktarda tedavüle çıkarılan kıymetli evrakın imzası lazım geldiği takdirde kafi addolunur.

Amaların imzaları usulen tasdik olunmadıkça yahut imza ettikleri zaman muamelenin metnine vakıf oldukları sabit olmadıkça onları ilzam etmez." hükmü bulunmaktadır.

Ayrıca, aynı Kanun’un "İmza Makamına Kaim Olacak İşaretler" başlıklı 15 inci maddesinde de;

"İmza vaz’ına muktedir olmayan her şahıs, imza yerine usulen tasdik olunmuş ve el ile yapılmış bir alamet vazetmeye, yahut resmi bir şahadetname kullanmaya mezundur. Kambiyo poliçesine müteallik hükümler mahfuzdur" denilmektedir.

ÖNERİ

Borçlar Kanunu’na göre imzanın, borçlunun el yazısı ile olması zorunludur. Bu durumda, bir elektronik kayıt (belge) altında yer alan elektronik imza, mevcut mevzuatımıza göre imza olarak kabul edilmeyecektir. Dolayısıyla, elektronik ortamda bulunan ve elektronik imza ile imzalanmış belgelerin hukuki bir geçerliliği bulunmayacaktır.

Elektronik imzalarla ilgili yasal düzenlemenin yapılması durumunda, elektronik ortamda düzenlenmiş belgelere yasal geçerlilik sağlanması mümkün olabilecektir. Dolayısıyla "yazılı" ve/veya "imza" ile ilgili yasal gereklilikler "elektronik dokümanlar" ve "elektronik imza" yoluyla da yerine getirilecektir. Sayısal imzalar, elektronik dokümanların güvenliğini sağlayacak ve böylece bunlar, göndericinin kimliğinin teyit edilmesini sağlamaları yanında, iletişim sürecinde veya daha sonra değiştirilemeyeceklerdir.

Buna göre, elektronik ortamlarda bilgi alışverişi üzerine kurulmuş bulunan elektronik ticaret sisteminin ülkemizde gelişmesi ve yasal bir zemin üzerinde uygulanabilmesi için, öncelikle elektronik imzaya hukuki bir geçerlilik kazandıracak yasal düzenlemelerin yapılması gerekmektedir. Elektronik imza hukuken geçerli olduğunda, bu şekilde imzalanan ticari değeri olan ya da olmayan elektronik belgeler hukuki yükümlülük doğurabilecek, sisteme duyulan güven artacak ve kullanıcının sistemden beklentileri karşılanabilecektir.