Teknoloji Beni Tanıdı, Siz Kaçın: Finansal Kurum Müşterisi Olmak İçin Yeni Bir Süreç

[container section_title=’Container’ fullwidth=’no’ bgtransparency=’0′ top=’20’ bottom=’20’ innerbottomshadowsize=’0′ bordertop=’0′ borderbottom=’0′ collapse=’false’][column type=’12’ last=’1′][title fontfamily=’Muli’ textcolor=’#8224e3′ fontsize=’21’ fontweight=’700′ th_height=’10’ th_margintop=’5′ th_bgtransparency=’0′ th_bgpattern=’3′ animation=’default’]Teknoloji Beni Tanıdı, Siz Kaçın: Finansal Kurum Müşterisi Olmak İçin Yeni Bir Süreç[/title][text google_font=’Muli’ transparency=’0′ fontsize=’15’ fontweight=’500′ lineheight=’20’ animation=’default’]

Dijital ödemeler dünyada her yıl %12,7 oranında artıyor ve 2020 sonunda 726 milyar işleme ulaşılacağı tahmin ediliyor. 2022’ye geldiğimizde dünyanın gayri safi milli hasılasının %60’ı dijitalleşmiş olacak. Yaşadığımız Corona felaketi bu süreci şüphesiz hızlandırıyor. Yine şüphesiz hızlanan unsurlardan birisi de kişilerin kimliklerinin tespiti ve onaylanması.

Suç gelirlerinin aklanmasıyla mücadelede uluslararası yetkili FATF daha Corona öncesinde (Ocak-2020’de) dijital yöntemlerle kimlik tespiti-dijital hesap açılışı teknolojilerinin yaygınlaşması için bir rehber ortaya atmıştı. Bu rehberle Hükümetlere açık bir çağrıda bulunarak müşteri tanımada dijital yöntemlerin yaygınlaştırması talebinde bulunmuştu. Ocak 2020’deki temel motivasyon financial inclusion-finansal araçlara-piyasalara erişimin kolaylaştırılması idi. 

FATF bu sefer maksadı farklı olsa da Corona sürecinde de bu çağrısını yineledi. FATF bir yandan Corona kaynaklı para aklama riskleri konusunda ülkeleri uyarıyor, bir yandan elektronik ödeme yöntemlerini destekliyordu. Dijitalleşme çağrısında kimlik tespiti-müşteri tanıma sürecinde müşterinin ve işlemin riskliliğine göre farklı yöntemlerin uygulanabileceğini, önemli olanın finansal kuruluşun müşterinin ve işlemin riskini anlayacak kapasiteye sahip olması gerekliliğini ifade ediyordu.

2020 öncesinde video başta olmak üzere çeşitli elektronik yollarla kimlik tespiti konusunda Türkiye’nin aksine Avrupa ülkeleri oldukça fazla yol aldığını görüyoruz. Örneğin Belçika’da ItsMe adlı uygulama oldukça yaygın bir şekilde kullanılan müşteri tanıma uygulamasıdır. Çek Cumhuriyeti, Danimarka, Estonya, İsveç, Finlandiya, Fransa, Almanya, Macaristan, İrlanda, İtalya vs. onlarca Avrupa ülkesi bu süreci başarıyla uygulayan ve teknoloji sayesinde verimlilik artışı sağlayan ülkeler. Bu sebeple bankacılık teknolojileri adaptasyonu konusundaki marifetimizin burada geçerli olduğunu söyleyemeyiz. Tabi ki temel sebep regülasyonlardı.

Corona sosyal mesafenin sürdürülmesi için düzenleyici kuruluşları da teşvik eden önemli bir motivasyon kaynağı oldu. Kah yeni Chief Digital Officer’ımız kah musibetten doğan pozitif dışsallık derken  birden bire temassız ödeme imkanlarının, POS’tan çekim limitlerinin artırılması, para transfer-havale masraflarının azaltılması gibi Türkiye’ye has olmayan bir teknoloji teşvik hamlesi gördük.  

Ancak bu değişimin en önemli parçasını literatürde digital onboarding olarak adlandırılan müşterinin finansal kurumlardaki yolculuğunun A’dan Z’ye elektronik ortamda yapılabilmesi oluşturacak. Türkiye bu konuda kapının kilidini kaldırıyor. İnsanımızın fiziken korunmaya ihtiyacı olan bir dönemde finansal işlemlerini yapabilmek için en temel işlem olan üyelik-müşteri olma sürecini de uzaktan elektronik yöntemlerle yapabilmek Torba Kanun olarak adlandırılan kanun değişikliği ile uygulamaya geçecek. 

Böylece “vatandaş” ın hesap açılışında bizzat şubeye gitmesine gerek kalmaksızın video konferans, görüntülü kimlik tanıma sistemleri, elektronik imza, biyometrik özellikli kimlik kartları vb. yöntemler kullanılabilmesine imkan tanınacak. Bu yöntemlerin hangisinin hangi şartlarda kullanılabileceği muhakkak ikincil düzenlemelerle belli olacak. 

Finansal kurumlarda müşteri olma sürecinin hukuka bakan üç saç ayağı var. Bu üç yönü kavramadan “digital onboarding” ile içeriye müşteri alacağım demek acemi bir girişim olur. Bunlardan ilki finansal kurumların faaliyetlerine ilişkin temel düzenlemeler, ikincisi suç gelirlerinin aklanması düzenlemesi, üçüncüsü kişisel verilerin korunması düzenlemesi. 

Finansal Kurumların Temel Hizmet Sözleşmelerinin Elektronik Yollarla Alınması

Belirttiğim üzere Meclis’ten düzenlemenin geçmesiyle birlikte bankalar dahil tüm finansal kurumlar sözleşmelerini elektronik ortamdan gerçekleştirebilecek. Bununla birlikte ikincil düzenlemeler yayımlanacak. Burada başta bilgi güvenliğiyle ilgili olmak üzere asgari standartlar belirlenecek. Örneğin fotoğraf ve video kalitesinin ISO 19794 ’de belirtilen standartlarda olması, gerçek zamanlık video analizine imkan vermesi, fotoğrafın nasıl saklanacağı, iletişimin TLS ve diğer kriptografik yöntemlerle korunması, uçtan uca güvenli iletişim yönteminin kullanılması vs. gibi detaylar kendine yer bulacak.

MASAK ve Müşteri Tanı Prensipleri

İkinci konusu  suç gelirlerinin aklanmasına yönelik MASAK düzenlemeleri. MASAK geçtiğimiz yıllarda yüz yüze yapılmayan işlemler için basitleştirilmiş tedbirleri bir tebliğle uygulamaya koymuştu. Şimdi daha da ötesine izin vermesini bekliyoruz. Tıpki İsveç’te Bankid adlı çözüme, Almanya’da Verimi adlı uygulamaya olanak sağlanıldığı gibi MASAK’da bir tebliğ kanunun uygulanmasını yakın zamanda netleştirecektir. Böylece Türkiye’de benzer çözümü sunabilen IDScan gibi girişimler yaygınlaşacaktır. Belirttiğim gibi tüm bu süreci başlatan zaten MASAK’ın tabi olduğu uluslararası düzenlemelerdeki yumuşama oldu. 

Müşterinin tanınması-CDD adı verilen sürecin elektronik yöntemlerle gerçekleştirilmesi üç aşamalı bir yolculuğu içeriyor. 

• İlki uzaktan erişimle kimliğini sunan kişinin kimliğini kanıtlaması yani sen kimsin sorusunun teknik olarak cevap vermesi süreci. Bu aşamada finansal kuruluş veya finansal kuruluşun yetkilendirdiği üçüncü taraf şirket kişinin kimliğine ilişkin bilgileri toplar, doğrular ve kişinin gerçekliğini onaylar. Nihayetinde bu süreç elde edilen belgeyle kişinin gerçekten iddia ettiği kişi olduğu bilgisini eşleştirme sürecidir.

İkinci aşamada doğrulama ve kimliğin yaşam döngüsü yönetimini gerektirmektedir. Özellikle müşteri, banka vs. finansal kurumu fiziken veya online ziyaret ettiğinde, finansal kuruluş sistemine girmeye başladığında özetle aktif olarak işlemler yaptığında yapılması gereken teknik süreci içerir. Temelde sen gerçekten kaydolmak için bilgilerini paylaşan, onayladığımız müşteri misin sorusuna cevap aranır. Burada BDDK’nın da Bilgi Sistemleri ve Elektronik Bankacılık Yönetmeliği kapsamında mevzuatına dahil ettiği üç sorudan ikisinin müspet olarak cevaplanması gerekmektedir.

»  Müşterinin bildiği (şifre, parola vb. Kendi oluşturduğu gizli bilgi

»  Müşterinin sahip olduğu (mobil uygulama, güvenlik sertifikası, chip’li kimlikler

»  Müşteriye ait olan (parmak izi, avuç içi izi, göz retinası vb. Biyometrik veri)

Sürecin son bileşeni ise müşterinin tanınması, ilgili sisteme girebilmesi için kullanacağı mekanizmanın taşınabilir (portability) olmasıdır. Bir başka deyişle müşteri her zaman ve her yerde bu mekanizmayı kullanarak kimliğini ispat edebilmeli ve sisteme girebilmelidir. Taşınabilirlik teknik bir kavram olarak dijital kimlik mimarisinde ve protokolünde arzu edilen bir yapıdır. Nitekim yeni çipli kimlik kartlarımız buna müsaade etmektedir. 

Üç Saç Ayağının Sonuncusu Kişisel Verilerin Korunması

Bugünün dijital dünyasında en önemli risk şüphesiz kişisel verilerin korunması. Çok temel bir kural var ki eğer kişi, verisinin korunduğunu hissetmezse online işlem yapmaktan sakınır. Müşterinin bilgisinin amaçla bağlantılı, sınırlı ve ölçülü bir şekilde işlenmesi hem KVKK’da hem de GDPR’de aranan temel şartların başında gelmektedir. Mevzuat kapsamında verisi işlenen kişinin haklarının yanı sıra video vb. elektronik yollarla kişisel verisi işlenirken açık rızasının alınması önem arz ediyor. Açık rızanın doğru kurgulanması ve açık rıza alınırken aydınlatmanın doğru yapılması lazım. Ayrıca açık rızada özgür iradenin sakatlanmaması da önemli. Yani müşterinin video görüntüsü gibi kişisel verilerinin kaydedilmesini hesap açmada mutlak şart olarak zorunlu tutmak hukuken hatalı bir sonuç doğuracaktır. Burada biyometrik verinin alınması konusunda ölçüsüzlük tartışması olacak olsa da biyometrik veri bankacılıkta yaygın bir şekilde kullanılan ve Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te detaylıca yer bulmakta. Dolayısıyla açıkça mevzuatta düzenlenen ve regülatörün desteklediği bir veri tipinin alınmasını ölçüsüz olarak nitelendirmek oldukça zorlayıcı olacaktır. 

Sonuç olarak yıllar önce gelmesi gereken ve yine yıllar önce blog yazımızda belirttiğimiz digital onboarding-dijital hesap açılışı müessesesi corona sayesinde ülkemize geldi. Umuyoruz ki ikincil düzenlemeler bu sürecin benimsenmesini zorlaştırmaz. Batı’nın iyi yanlarını almanın zamanı geldi zira 😉

[/text][/column][/container]