Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ Taslağı’nın Getirdiği Yenilikler
Günümüz dünyasında teknolojinin sürekli bir değişim ve gelişim halinde oluşu, hayat kolaylaştıran birtakım uygulamalara öncülük etmektedir. Eskiden bilfiil ve bedenen yapılması gereken pek çok uygulama ve hukuki işlem, bugün teknolojik gelişmeler sayesinde mesafeli şekilde de yapılabilmeye başlanmıştır. Bu konudaki en güncel örnek Bankacılık Düzenleme ve Denetleme Kurulu’nun (“BDDK”) yayımlamayı planladığı Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ’in öngördüğü usullerle uygulanmaya başlayacak olan yeni uzaktan kimlik tespiti yöntemidir. Bu yazıda yakın zamanda yayımlanması öngörülen tebliğin yeni yayımlanmış olan taslak metninin incelemesi yapılacaktır.
A. HUKUKİ ARKA PLAN
5411 Sayılı Bankacılık Kanunu’nun 76’ıncı maddesinin ikinci fıkrasında “… uzaktan iletişim araçlarının kullanılması suretiyle mesafeli olarak ya da mesafeli olsun olmasın Kurulun yazılı şeklin yerine geçebileceğini belirlediği ve bir bilişim veya elektronik haberleşme cihazı üzerinden gerçekleştirilecek ve müşteri kimliğinin doğrulanmasına imkân verecek yöntemler yoluyla kurulacak sözleşmeler ile düzenlenir ve buna ilişkin usûl ve esaslar Kurul tarafından belirlenir.” şeklinde ifade edilmek suretiyle bankalarca yapılacak uzaktan kimlik tespiti uygulamalarında uygulanacak usul ve esasların BDDK tarafından belirleneceği hükme bağlanmıştır.
15.03.2020 tarihli Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in (“Yönetmelik”) 43’üncü maddesi de aynı şekilde BDDK’yı “…müşterinin veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla, uzaktan kimlik tespiti yöntemleri kullanabilir ya da hâlihazırda müşteri veya müşteri adına hareket eden kişi için daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alabilir. Bu fıkranın uygulanmasına ilişkin usul ve esasları belirlemeye Kurul yetkilidir.” hükmü ile bu konuda yetkilendirmektedir.
BDDK, bu iki hükme dayanarak bir tebliğ hazırlamış ve bu tebliğin taslağını (“Taslak”) 21.09.2020 tarihinde yayımlamıştır. Henüz resmiyete kavuşmamış olan bu Taslak’ın yakın bir zamanda yürürlüğe girmesi beklenmektedir.
B. HUKUKİ İNCELEME
Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ’in amacı Taslak metninin ilk maddesinde “bankalar tarafından yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ilişkin usul ve esasları düzenlemek” şeklinde ifade edilmiştir. Buna göre, bahsi geçen kimlik doğrulama usulü, banka ile müşteri arasında yeni bir sözleşme kurulmasına ve mevcut bir müşterinin bankada işlem yapmasına özgülenmiştir.
Yeni düzenleme ile gelen uzaktan kimlik tespiti, ilgili Taslak’ın 4’üncü maddesinin ilk fıkrasında “müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması” şeklinde tanımlanmıştır. Aynı maddenin devamı hükümlerde uzaktan kimlik tespitine ilişkin genel ilkeler yer almaktadır. Bu ilkeler arasında en dikkat çekeni görev ayrılığı hususunun düzenlemesidir.
Yönetmelik’in 3’üncü kısmı “Bilgi Güvenliği Yöntemi” olarak isimlendirilmiştir. Taslak’ta da atıf yapılan Yönetmelik’in 11’inci maddesinin 5’inci fıkrası görev ayrılığı prensibini detaylı bir şekilde açıklamakta olup görev ayrılığı tanımının ve amacının netleştirilmesi hedeflemiştir. Keza, ileride de değinileceği üzere, görev ayrılığı prensibinin sağlanması amacıyla aşamalı bir sistem getirilmiş ve bankalar tarafından uzaktan kimlik tespiti yöntemine geçilmeden önce bu yöntemin sorunsuz bir şekilde icra edilebilirliğinin test edilmesi şartı aranmıştır. Düzenleme uyarınca, bu husustan dolayı bu süreç belgelenmeli, yazılı hale getirilmelidir. Sürecin devamında ise güvenlik olaylarının ve dolandırıcılık gibi suçların önüne geçilebilmesi adına sistemin yılda bir defa teste tabii tutulması ve gözden geçirilmesi gerektiği düzenlenmiştir.
Taslak’ın 5’inci maddesinde uzaktan kimlik tespitini yapacak olan müşteri temsilcisinin eğitimi ve işbu işlemi nasıl bir ortamda yapacağı düzenlenmiştir. Buna göre müşteri temsilcisi, uzaktan kimlik tespitinin ne şekilde yapılması gerektiği, hangi belgelerin kullanılması gerektiği ve bu belgelerin nitelikleri konusunda eğitilir ve böylelikle gerçekleşmesi muhtemel dolandırıcılık faaliyetlerine karşı temkinli olması sağlanacak olup ayrıca, müşteri temsilcisinin ilgili diğer mevzuatlardaki yükümlülüklere dair bilgi sahibi olması da sağlanacaktır. Bu eğitim yılda en az bir defa ve her güncelleme sonrasında tekrar yapılacaktır. Bununla birlikte, maddenin dördüncü fıkrasında ortaya çıkabilecek güvenlik zafiyetlerinin önüne geçilebilmesi için müşteri temsilcisinin “erişimi sınırlandırılmış ayrı bir alanda” çalışmasının sağlanacağı da belirtilmiştir. Buradaki erişimi sınırlandırılmış alanla kastedilen ortamın nasıl bir ortam olduğu muğlaktır. Dolayısıyla, bu düzenleme bir açıklamaya muhtaç olmaktadır. Burada son olarak belirtmek gerekir ki, maddenin son fıkrasında engelli kişilere hizmet vermek için ayrı bir görevlinin bulundurulması düzenlemesi de oldukça isabetlidir.
Taslağın 6,7 ve 8’inci maddelerinde sırasıyla başvurunun bir form ile alınması, gösterilen kimliğin doğrulanması, en son kişinin doğrulanması ve bütün bunların nasıl bir usulle yapılacağı ayrıntılı olarak düzenlenmiştir. Tabii ki belirtmek gerekir ki, bütün bu işlemlerin Yönetmelik’in 11’inci maddesinin beşinci fıkrasına uygun şekilde, görev ayrılığı prensibi ile farklı görevlilerce yapılması sağlanmalıdır.
Taslak’ın 6’ıncı maddesinde uzaktan kimlik tespiti sürecinde uyulması gereken ilkeler belirlenmiştir. Buna göre süreç boyunca müşteri temsilcisinin soracağı sorular asgari olarak belirlenmelidir. Görsel-işitsel iletişim bütünlüğü ve gizliliği oldukça önem arz etmesi sebebiyle de uzaktan kimlik tespiti gerçek zamanlı, kesintisiz ve uçtan uca güvenli iletişim ile yapılması belirtilmiştir. Önemli bir diğer husus ise, ses ve görüntü kalitesinin yeterli seviyede mevcut olmasıdır. Bu sebeple de görüntü kalitesinin yeterliliği tebliğde “beyaz ışık altında görsel olarak doğrulanabilirlik” şeklinde ifade edilmiştir. İlgili madde uyarınca, bütün bu ilkeler sağlandıktan sonra öncelikle kişinin başvurusu bir form ile alınmalıdır. Hemen akabinde yapılacak olan görüntülü görüşme ile kişinin açık rızası da kayıt altına alınır ve bu sayede uzaktan kimlik tespit süreci başlamış olur.
Uzaktan kimlik tespitinin ikinci aşaması kimlik tespiti aşamasıdır. Taslak’ın 7’inci maddesi uzaktan kimlik tespitinde kullanılabilecek kimlik belgeleri ve bu belgelerin doğrulanma usullerinden bahsetmektedir. Buna göre, “asgari olarak giyoş, gökkuşağı baskı, optik değişken mürekkep, gizli görüntü, hologram ve mikro yazı güvenlik öğelerine, fotoğraf ve ıslak imzaya sahip…” nitelikte olan kimlik belgeleri bu süreçte kullanılır. Hayatın olağan akışında sıkça kullanılan T.C. kimlik kartı ve sürücü ehliyeti yukarıda belirtilen tanıma uyan kimlik belgeleri olmaktadır.
Bu aşamada müşteri temsilcisi, kimliği tespit edilmekte olan kişiye kimliğini kamera karşısında çeşitli açılarda hareket ettirme talimatı verecek ve müşteri temsilcisinin gizli görüntü, hologram ve mikro yazıları tespit etmesi sağlanacaktır. Aynı anda müşteri temsilcisi kimliğin çeşitli açılardan fotoğraflarını oluşturacaktır. Bu işlemdeki amaç, fotoğraflanan kimlik belgesinde hiçbir yapaylık bulunmadığından emin olunmasıdır. Bu kapsamda yapılan incelemede gösterilen kimliğin sahip olduğu yazı tipinin, büyüklüğünün, düzeninin, standart bir kimlik belgesi ile aynı olduğunun saptanması, kimliğin üzerindeki bilgilerin bankanın erişimine açık müşteri bilgileriyle uyuştuğunun doğrulanması gerekmektedir.
Uzaktan kimlik tespiti sürecinin üçüncü aşaması kimliği tespit edilen kişinin doğrulanmasıdır. Taslak’ın 8’inci maddesinin ilk iki fıkrası sırasıyla kişinin canlılığını ve kimlik belgesindeki bilgilerin kişiyle uyuştuğunu teyit etmeyi amaçlayan somut tespitlerin yapılmasını gerektirmektedir. Takip eden fıkralarda ise somut teyit işlemlerinden öte psikolojik bir test gerçekleştirilmesi öngörülmektedir. Buna göre müşteri temsilcisi psikolojik sorgulama ve gözlemlerle sağlanan bilgilerin doğruluğunu çeşitli sorularla ve kişinin gerçek iradesini hal ve hareketlerinin inandırıcılığını değerlendirerek tespit edecektir. Bunun için müşteri temsilcisinin özel bir eğitim alması sağlanır ki dolandırıcılık ve irade sakatlığı durumlarına karşı her an teyakkuzda olabilsin.
Uzaktan kimlik tespit sürecinin son aşaması ise Taslak’ın 10’uncu maddesinde hükme bağlanmıştır. Buna göre, SMS ile gönderilen tek kullanımlık şifrenin çevrimiçi olarak uygulama ara yüzünden bankaya geri gönderilmesi sonucu yapılan doğrulama onaylanır ve süreç böylelikle tamamlanmış olur.
Taslak’ın 9’uncu maddesinde ise kimlik tespiti sürecinin -tamamlanamadan- sonlandırılması düzenlenmiştir. Maddeye göre “zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Tebliğde belirtildiği şekilde görsel doğrulama yapmanın ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespiti süreci iptal edilir.” Bununla birlikte süreçte bir tutarsızlık, belirsizlik yahut dolandırıcılık şüphesi söz konusu ise aynı şekilde sürecin iptal edilmesi gerektiği de ayrıca düzenlenmiştir.
Taslak, ayrıca alınan verilerin saklanmasını da hükme bağlamıştır. 11’inci maddeye göre “Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek şekilde kayıt altına alınır ve saklanır.” Tabii ki bu veri saklama işlemi 6698 sayılı Kişisel Verilerin Korunması Kanunu’na uygun şekilde gerçekleştirilmek mecburiyetindedir.
Uzaktan kimlik tespiti işlemi sırasında sorumluluğun nasıl paylaşılacağı ise Taslak’ın 12’inci maddesinde öngörülmüştür. Buna göre düzenlemede “Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. …Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankadadır.” denmek suretiyle bankaya ciddi bir sorumluluk yüklenmiştir. İlgili maddenin 2’nci fıkrası ise Taslak’ta yer alan şartların yerine getirilmesi halinde Yönetmelik’in 34’üncü maddesine yer alan gerekliliklerin sağlandığı hususunda bir karine oluşturmaktadır.
Yönetmelik’in “kimlik doğrulama ve işlem güvenliği” başlıklı 34’üncü maddesi uyarınca kimliğin doğrulanabilmesi için kişinin belirli bileşenleri doğrulaması gerekir. Bu bileşenlerin kişiye özgü olması ve taklit edilememesi gibi çeşitli güvenlik prosedürleri bu düzenlemede öngörülmüştür. Dolayısıyla, Taslak’ta öngörülen prosedürler ile Yönetmelik’in 34’üncü maddesinin ilk fıkrasındaki çeşitli ve özgü bileşenlerden oluşan kimlik doğrulama mekanizması şartları sağlanmaktadır. Nitekim Taslak’ın 12’nci maddesi de bu doğruluğu teyit niteliğindedir.
C. DEĞERLENDİRME VE SONUÇ
Gerek insanların yoğun hayatları gerek de salgın hastalıkların ciddiyeti ile bakış açımızın değiştiği yaşantımızda işlemlerin uzaktan yapılabilmesi yönündeki talepler artmakta ve bu durum adeta bir ihtiyaç haline gelmektedir. Bankacılık gibi oldukça önemli ve mahiyet itibariyle riskli bir sektörde getirilen bu yenilik de oldukça dikkat çekicidir. Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ Taslağı, uzaktan kimlik tespitindeki olası riskleri gözetmiş ve 15.03.2020 tarihli Resmi Gazete’de yayımlanmış olan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile paralel düzenlemeler öngörmüştür. Taslak’ın resmiyete kavuşması durumunda, Yönetmelik’e ek olarak yukarıda açıklanmış olan ek prosedürler de hayata geçecektir. Yeni düzenlemeler çerçevesinde bankaların uzaktan kimlik tespiti işlemini gerçekleştirecek personellerini önceden belirlemesi ve eğitmesi bir gereklilik halini alacaktır. Dolayısıyla, bu eğitimlerin şimdiden gerçekleştirilmeye ve uzaktan kimlik tespiti sisteminin alt yapısı üzerine çalışılmaya başlanması, topluma kolaylık sağlayacak bu uygulamanın bir an önce bankacılık sistemine entegre edilmesi noktasında yerinde olacaktır.