Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, sektör için bir dönüm noktası niteliği taşımaktadır. Bu rehber, ödeme ve elektronik para kuruluşlarının, hizmetlerinin yasa dışı bahis, kumar ve diğer mali suçlarda kullanılmasını engellemek amacıyla uygulamaları gereken asgari kuralları ve risk yönetimi çerçevesini net bir şekilde ortaya koymaktadır. Ancak rehberin ruhu, sadece belirtilen kurallara uymanın ötesinde, proaktif ve dinamik bir risk temelli yaklaşımı benimsemeyi zorunlu kılmaktadır. Gelişen suç taktikleri karşısında statik kurallar yetersiz kalmakta, bu durum kuruluşları yapay zeka ve makine öğrenmesi gibi yeni nesil teknolojilere yöneltmektedir. Bu makalede, TCMB rehberinin getirdiği yükümlülükleri, asgari unsurların sınırlarını ve bu sınırları aşarak tam uyum sağlamanın teknolojik yollarını detaylı bir şekilde ele alacağız.
TCMB Rehberi Işığında Yasa Dışı Faaliyetlerle Mücadelenin Yasal Çerçevesi
Türkiye’deki ödeme sistemleri ve finansal teknolojiler ekosistemi, TCMB’nin düzenleyici rolü altında hızla gelişmektedir. Bu süreçte en kritik konulardan biri, sunulan hizmetlerin güvenliğinin sağlanması ve yasa dışı faaliyetler için bir araç haline gelmesinin önlenmesidir. TCMB’nin yayımladığı Risk Yönetimi Rehberi, bu mücadelenin temel taşını oluşturarak kuruluşlara net sorumluluklar yüklemektedir.
6493 Sayılı Kanun ve İlgili Yönetmeliklerin Rolü
Rehberin hukuki dayanağı, 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” ve bu kanun kapsamında yayımlanan yönetmelik ve tebliğlerdir. Bu yasal çerçeve, ödeme ve elektronik para kuruluşlarına, sundukları hizmetlerin sahtekârlık, dolandırıcılık ve kara para aklama gibi mali suçlarda kullanılmasını önlemek için idari ve teknik tedbirler alma yükümlülüğü getirmektedir. Rehber, bu genel yükümlülüklerin nasıl somut adımlara dönüştürüleceğini detaylandırmaktadır.
TCMB Risk Yönetimi Rehberi’nin Amacı ve Kapsamı
Rehberin temel amacı, 6493 sayılı Kanun kapsamındaki kuruluşların yasa dışı faaliyetleri engellemek için alması gereken tedbirleri ve izlemesi gereken yöntemleri standartlaştırmaktır. Bu kapsamda, kuruluşların kendi iç kontrol, risk yönetimi ve takip mekanizmalarını kurmaları beklenmektedir. Rehber, bu mekanizmaların manuel süreçlere dayanmaması gerektiğini, otomatize sistemler ile anlık takip yapılmasının zorunlu olduğunu vurgulamaktadır.
Risk Temelli Yaklaşımın Zorunluluğu ve Kuruluş Sorumlulukları
Rehberin en önemli vurgusu “risk temelli yaklaşım”dır. Bu, kuruluşların sadece belirli kuralları ezbere uygulamasını değil, kendi müşteri portföyünü, ürünlerini ve iş modelini analiz ederek potansiyel riskleri kendilerinin tanımlamasını ve bu risklere özgü önlemler geliştirmesini gerektirir. Tespit edilen şüpheli işlemlere dair değerlendirmelerin ve alınacak aksiyonların, işlem anından itibaren en geç üç saat içinde belirlenmesi zorunluluğu, bu yaklaşımın ne kadar dinamik ve hızlı olması gerektiğini göstermektedir.
Asgari Unsurların Yetersizliği ve Proaktif Geliştirme Yükümlülüğü
TCMB, rehberde yer alan senaryo ve unsurların “asgari” nitelikte olduğunun altını çizmektedir. Bu, listelenen kuralların bir kontrol listesi gibi görülmemesi gerektiği anlamına gelir. Kuruluşlar, bu asgari unsurları bir başlangıç noktası olarak kabul edip, kendi risk değerlendirme sonuçları ve sektördeki güncel dolandırıcılık trendleri doğrultusunda sürekli olarak yeni senaryolar geliştirmekle yükümlüdür. Riskli işlemlerin tespiti ve takibi münhasıran kuruluşların sorumluluğundadır ve bu sorumluluk, proaktif bir şekilde sürekli güncellenen bir savunma mekanizması gerektirir.
Ödeme Hesabı Hizmetlerinde Asgari İzleme Unsurları ve Senaryoları
Ödeme hesapları, fon transferlerinin yoğun olarak gerçekleştiği alanlar olması sebebiyle yasa dışı faaliyetler için sıkça hedef alınmaktadır. TCMB Rehberi, bu hizmetlerdeki riskleri minimize etmek için işlem sıklığı, müşteri profili, teknik kriterler ve işlem içeriği gibi birçok farklı boyutta takip mekanizmaları kurulmasını zorunlu kılmaktadır. Bu mekanizmalar, normal dışı davranışları anında tespit etmeyi amaçlar.
İşlem Adet ve Sıklığına Dayalı Kurallar
Bu kurallar, belirli bir zaman dilimindeki işlem sayısını ve bu işlemlerin kimler arasında gerçekleştiğini izleyerek şüpheli para hareketlerini tespit etmeye odaklanır.
Bireysel Müşteriler İçin Günlük ve Aylık Para Transferi Limitleri
Bir bireysel müşterinin ödeme hesabından bir günde 10’un üzerinde veya bir ayda 15’ten fazla farklı kişiye para transferi yapması, potansiyel bir risk olarak değerlendirilir. Bu durum, hesabın “para katırı” (money mule) olarak kullanılıyor olabileceğine işaret edebilir ve anında incelenmelidir.
Farklı Kişilere/Kişilerden Yapılan Transferlerin İzlenmesi
Benzer şekilde, bir ödeme hesabına gün içinde 5 veya ay içinde 15 farklı kişiden para gelmesi de şüpheli bir aktivitedir. Özellikle bu transferlerin düzenli ve küçük tutarlı olması, yasa dışı bahis gibi faaliyetlerden elde edilen gelirlerin toplandığı bir hesap olabileceği şüphesini doğurur.
Müşteri Profili ve Davranışlarına Dayalı Kurallar
Müşterinin kim olduğu, yaşı ve hesabını hangi amaçlarla kullandığı gibi bilgiler, risk değerlendirmesinin temelini oluşturur. Rehber, özellikle bazı profiller ve kullanım alışkanlıkları için daha sıkı kontroller getirilmesini istemektedir.
Genç ve Yeni Müşteriler İçin İşlem ve Tutar Eşikleri
Hesap sahibinin 20 yaşından küçük olması veya hesabın yeni açılmış olması durumunda, ilk bir ay içinde 50’den fazla işlem yapılması veya toplamda 27.500 TL’yi aşan bir hacme ulaşılması dikkatle izlenmelidir. Bu profiller, finansal okuryazarlıklarının düşük olması nedeniyle dolandırıcılığa daha açık olabilirler.
Kuyumculuk, Kontör, E-Pin Gibi Yüksek Riskli İş Kolları Kullanımı
Bir ödeme hesabının sürekli olarak kuyumculuk, paket TL yükleme, oyun pini alım satımı gibi nakde çevrilmesi kolay ve takibi zor olan alanlarda kullanılması, hesabın amacının dışında kullanıldığına dair önemli bir göstergedir ve yakından takip edilmelidir.
Teknik ve Teknolojik Kriterlere Dayalı Kurallar
Finansal suçlular, kimliklerini gizlemek için çeşitli teknolojik yöntemlere başvururlar. Bu nedenle, işlemlerin yapıldığı cihaz, lokasyon ve iletişim bilgileri gibi teknik detayların analizi büyük önem taşır.
IP Adresi Analizleri (Aynı IP’den Çoklu Hesap Erişimi, Çoklu IP’den Tek Hesap Erişimi)
Aynı gün içinde aynı IP adresinden 5 veya daha fazla farklı bireysel hesaba girilmesi, bir dolandırıcılık şebekesinin bu hesapları kontrol ettiğine işaret edebilir. Tersine, bir müşterinin hesabına aynı gün 5 farklı IP’den erişilmesi ise bir hesap ele geçirme (ATO) saldırısının habercisi olabilir.
E-posta ve Telefon Numarası Analizleri (Güvenilmeyen Sunucular, Tekrar Eden Bilgiler)
Güvenilir olmayan (örneğin tek kullanımlık) e-posta sunucularına ait adreslerle hesap açılması veya aynı e-posta/telefon numarasının birden fazla hesap için kullanılması, sahte veya çalıntı kimliklerle hesap açma girişimlerini gösterebilir.
Riskli Ülke ve Bölgelerden Gelen İşlemlerin Takibi
Yasa dışı bahis faaliyetlerinin yasal olduğu ülkeler, off-shore merkezler veya MASAK tarafından yüksek riskli olarak tanımlanan bölgelere ait IP adresleri veya telefon numaraları üzerinden yapılan işlemler, otomatik olarak şüpheli kabul edilmeli ve ek kontrollere tabi tutulmalıdır.
İşlem İçeriği ve Detaylarına Dayalı Kurallar
İşlemin kendisi kadar, işleme ait açıklama gibi meta veriler de yasa dışı faaliyetlerin tespiti için değerli ipuçları barındırabilir.
Açıklama Metinlerinin Analizi ve Şüpheli Anahtar Kelimeler
Para transferlerinin açıklama kısmının anlamsız karakterler içermesi, boş bırakılması veya “kumar, bahis, bet, kmr” gibi kelimeler ve kısaltmalar içermesi, işlemin yasa dışı bir faaliyete yönelik olduğuna dair güçlü bir kanıttır. Bu tür açıklamalar içeren işlemler anında bloke edilmeli veya incelenmelidir.
Yardım Kuruluşlarına Yapılan Transferlerin İzlenmesi
Terörizmin finansmanı gibi riskleri önlemek amacıyla, kar amacı gütmeyen veya yardım faaliyetlerinde bulunan organizasyonlara bir ay içinde 3’ten fazla veya toplamda 55.000 TL üzerinde işlem yapılması da rehber kapsamında izlenmesi gereken bir diğer önemli unsurdur.
Ödeme Aracının Kabulüne İlişkin Hizmetlerde (Sanal/Fiziki POS) Asgari İzleme Unsurları
Sanal ve fiziki POS hizmetleri, yasa dışı faaliyetlerden elde edilen gelirlerin meşru ticari faaliyet gibi gösterilerek aklanması için kullanılabilmektedir. Bu nedenle TCMB Rehberi, üye iş yerlerinin işlem akışlarındaki, ciro hareketlerindeki ve genel iş modellerindeki anormalliklerin yakından izlenmesini şart koşmaktadır. Bu izleme, sadece finansal değil, aynı zamanda teknik ve operasyonel kontrolleri de içermelidir.
Ciro ve İşlem Akışına Dayalı Anomali Tespiti
Bir iş yerinin normal ticari faaliyetleriyle uyumlu olmayan ciro ve işlem desenleri, en önemli risk göstergelerindendir. Bu anomaliler, genellikle ani ve açıklanamayan değişikliklerle kendini gösterir.
Sektör Ortalamasını Aşan Anormal Ciro Artışları
Bir iş yerinin, faaliyet gösterdiği sektörün ortalamasının belirgin bir şekilde üzerinde günlük ciro yapması, özellikle bu durum süreklilik arz ediyorsa şüphe çekicidir. Kuruluşlar, kendi iş yeri portföylerini sektörel bazda analiz ederek bu ortalamaları belirlemeli ve sapmaları takip etmelidir.
Ticari Geçmişle Uyumsuz Ani Ciro Değişimleri
Uzun süredir belirli bir ciro seviyesinde faaliyet gösteren bir iş yerinin cirosunda, ticari geçmişiyle uyumlu olmayan ani ve hızlı bir artış yaşanması (örneğin günlük cironun dört katına çıkması), iş yerinin yasa dışı faaliyetlere aracılık etmeye başladığının bir işareti olabilir.
Gece Saatleri ve Hafta Sonu Yoğunlaşan İşlemler
Bir iş yerinin toplam işlem hacminin %50’sinin gece 21:00 ile sabah 06:00 arasında veya %75’inin hafta sonu gerçekleşmesi, özellikle iş yerinin faaliyet gösterdiği sektör (örneğin bir kitapçı) için bu durum olağan değilse, yasa dışı bahis gibi genellikle bu saatlerde yoğunlaşan faaliyetlere işaret eder.
İşlem Modelleri ve Müşteri Davranışlarına Dayalı Kurallar
İş yerinin cirosu kadar, bu ciroyu oluşturan işlemlerin yapısı ve bu işlemleri yapan müşterilerin davranışları da önemlidir. Tekrar eden ve olağan dışı işlem modelleri, sahtekarlığın habercisi olabilir.
Tekrar Eden Düz Tutarlı İşlemlerin İzlenmesi
Bir iş yerinin aylık işlem tutarının %25’inin 50, 100, 250, 1000 TL gibi sürekli tekrar eden düz tutarlardan oluşması, kart test etme (carding) veya belirli bir yasa dışı hizmet için standartlaştırılmış ödeme alındığı şüphesini doğurur.
Aynı Ödeme Aracından Kısa Sürede Çoklu İşlem Yapılması
Aynı kredi kartı veya ödeme aracından iki saat gibi kısa bir süre içerisinde 5 veya daha fazla sayıda işlem yapılması, hem kartın çalınmış olabileceğine hem de “busting” olarak bilinen, küçük tutarlarla başlayıp aniden yüksek tutarlı işlemlere geçen dolandırıcılık yöntemlerine karşı bir alarmdır.
Yüksek Chargeback (Ters İbraz) Oranlarının Takibi
Bir iş yerinin haftalık harcama itirazı (chargeback) oranının, toplam işlem adedine veya tutarına göre %5’i aşması, satılan mal/hizmetin kalitesiz, yanıltıcı veya hiç teslim edilmiyor olabileceğini gösterir. Bu durum, genellikle sahte e-ticaret sitelerinde gözlemlenir.
İş Yeri Risk Değerlendirmesine Dayalı Kurallar
Ödeme hizmeti sağlayıcısının, iş yeri ile çalışmaya başlamadan önce ve çalışırken yapacağı risk değerlendirmesi (due diligence) kritik öneme sahiptir. Özellikle yeni ve ticari geçmişi zayıf işletmeler daha yakından izlenmelidir.
Yeni Kurulan İşletmeler İçin Ciro Eşikleri (İlk Ay, İki Ay, Üç Ay)
Ticari faaliyetlerine yeni başlayan bir iş yerinin toplam işlem tutarının ilk ay 250.000 TL, ilk iki ay 500.000 TL ve ilk üç ay 1.000.000 TL’ye ulaşması gibi belirli ciro eşikleri, iş yerinin faaliyetlerinin yakından incelenmesi için bir tetikleyici olmalıdır.
İş Yeri Domain Yaşı ve IBAN Değişiklik Sıklığı
İşlem yapılan web sitesinin domain yaşının 3 aydan kısa olması, dolandırıcılık amacıyla hızla kurulan ve kapatılan sitelere işaret edebilir. Benzer şekilde, bir iş yerinin son 3 ayda 3 defadan fazla IBAN değiştirmesi de fonların izini kaybettirme çabası olarak yorumlanabilir.
Düşük Sermayeli ve Benzer Ortaklık Yapısına Sahip Şirketler
Aynı kişinin yetkilisi olduğu, düşük sermayeli birden fazla şirketin kurulması ve bu şirketlerin e-ticaret faaliyeti için ödeme hizmeti başvurusunda bulunması, paravan şirketler aracılığıyla bir suç ağı kurulduğuna dair önemli bir şüphedir.
Teknik ve Operasyonel Kriterlere Dayalı Kurallar
POS cihazlarının ve sanal POS altyapısının teknik verileri, yasa dışı faaliyetlerin tespiti için değerli bilgiler sunar. Bu verilerin analizi, fiziksel ve dijital dünyadaki uyumsuzlukları ortaya çıkarabilir.
Hatalı PIN ve SMS OTP Giriş Denemelerinin İzlenmesi
Bir iş yerinde kısa süre içinde çok sayıda “hatalı pin” veya “hatalı SMS OTP” uyarısı alınması, çalıntı kart bilgilerinin denendiği bir “brute force” saldırısının göstergesi olabilir.
İş Yeri Web Sitesi ve Back URL Uyumsuzlukları
Sanal POS işlemlerinde, işlemin yapıldığı web sitesi (front-end) ile işlemin kaynağını bildiren back URL bilgisinin farklı olması, ödeme sayfasının aslında başka bir yasa dışı siteye hizmet vermek için kullanıldığı (gateway aggregation) anlamına gelebilir.
Yurt Dışı IP’li POS Sunucularının Tespiti
Türkiye’de faaliyet gösteren bir iş yerinin POS sunucusunun IP adresinin yurt dışı kaynaklı olması, ticari faaliyetin beyan edilenden farklı olduğunu veya vergi kaçırma gibi amaçlarla karmaşık bir yapı kurulduğunu düşündürür.
Fatura Ödemeleri ve Para Havalesi Hizmetlerinde Asgari İzleme Unsurları
Fatura ödeme ve para havalesi hizmetleri, özellikle temsilciler (agent) aracılığıyla sunulduğunda, yasa dışı fonların küçük tutarlarla ve geniş bir ağ üzerinden aklanması için kullanılabilir. TCMB Rehberi, bu alandaki riskleri kontrol altına almak için hem bireysel/kurumsal müşteri işlemlerini hem de temsilci faaliyetlerini kapsayan özel izleme senaryoları belirlemiştir.
Bireysel ve Kurumsal Müşteri İşlem Limitleri
Bu kurallar, bir müşterinin normalin üzerinde fatura ödeme veya sorgulama yaparak sistemi kötüye kullanmasını engellemeyi hedefler.
Aylık Fatura Ödeme ve Sorgulama Adetlerinin Takibi
Bireysel bir müşterinin bir ayda 30’dan fazla, bir iş yerinin ise 70’ten fazla fatura ödemesi şüpheli bir durum olarak kabul edilir. Benzer şekilde, bir ayda bireysel müşteri tarafından 90, işyeri tarafından 210’dan fazla fatura sorgulaması yapılması da veri toplama veya sistem zafiyetlerini test etme amacı taşıyabilir.
Temsilci (Agent) Faaliyetlerinin İzlenmesi
Temsilciler, ödeme kuruluşlarının uç noktadaki yüzüdür ve bu nedenle risk yönetimi açısından en kritik halkalardan birini oluştururlar. Temsilcilerin faaliyetlerindeki anormallikler, genellikle daha büyük bir sorunun habercisidir.
Anormal Temsilci Ciro Artışlarının Tespiti
Bir temsilcinin cirosunda, ticari hayatın olağan akışına aykırı şekilde dört kat ve üzeri bir artış yaşanması, temsilcinin yasa dışı bir organizasyonla çalışmaya başladığına işaret edebilir. Bu durum, kuruluş tarafından anında incelenmelidir.
Coğrafi Olarak Alakasız Konumlara Yapılan Fatura Ödemeleri
Fiziki bir noktada faaliyet gösteren bir temsilcinin (örneğin İstanbul’daki bir büfe), sürekli olarak faaliyet gösterdiği ilin dışındaki illere (örneğin Van, Hakkari) ait faturaları ödemesi (bir günde 10, ayda 100 adetten fazla), bu faturaların yasa dışı bahis kazançlarının aklanması gibi amaçlarla kullanılıyor olabileceği şüphesini doğurur.
Temsilcinin Kendi Hesaplarına Yüksek Tutarlı Fon Aktarımı
Temsilci konumundaki şirket ortağının veya gerçek faydalanıcısının, temsilcilik aracılığıyla kendi kişisel hesaplarına tek seferde veya ardışık işlemlerle 200.000 TL ve üzerinde fon aktarması, temsilcilik faaliyetinden elde edilen gelirin usulsüz bir şekilde kişisel hesaplara çekildiğini gösterebilir.
Sektör Ortalamasının Üzerinde Ciro Yapan Temsilciler
Bir temsilcinin cirosunun, aynı bölgedeki ve benzer profildeki diğer temsilcilerin oluşturduğu sektör ortalamasının %75 üzerinde olması, bu temsilcinin normalin dışında bir müşteri kitlesine hizmet verdiğini ve ek kontrollere tabi tutulması gerektiğini gösterir.
Mobil Ödeme Hizmetlerinde Asgari İzleme Unsurları
Mobil ödeme, GSM operatör faturaları veya bakiyeleri üzerinden ödeme yapılmasını sağlayan bir hizmet olup, özellikle dijital ürün ve hizmetlerin satın alınmasında kullanılmaktadır. Bu hizmetin yapısı gereği, hem gönderenin (müşteri) hem de alıcının (iş yeri) ödeme hizmeti sağlayıcıları için farklı riskler ve sorumluluklar ortaya çıkmaktadır. TCMB Rehberi, bu iki taraf için de ayrı izleme mekanizmaları kurulmasını öngörmektedir.
Gönderenin Ödeme Hizmeti Sağlayıcısı (GHS) Sorumlulukları
Gönderenin ödeme hizmeti sağlayıcısı (genellikle elektronik haberleşme işletmecisinin kontrolündeki kuruluş), son kullanıcı olan müşterinin işlemlerindeki anormallikleri tespit etmekle yükümlüdür. Bu, özellikle dolandırıcılık ve kimlik hırsızlığı vakalarını önlemek için kritiktir.
Riskli Saatlerde (21:00-06:00) Gerçekleşen İşlemler
Bir bireysel müşterinin, genellikle insanların daha az dikkatli olduğu gece 21:00 ile sabah 06:00 saatleri arasında 3 adet mobil ödeme işlemi gerçekleştirmesi, hesabın kötüye kullanıldığına dair bir işaret olabilir ve ek bir doğrulama (örneğin arama ile teyit) gerektirebilir.
Kısa Süre İçerisinde Aynı veya Farklı İş Yerlerine Yapılan Çoklu İşlemler
Aynı cep telefonu numarasından bir saat içinde aynı iş yerine 3’ten fazla veya farklı iş yerlerine toplamda 5’ten fazla mobil ödeme yapılması, dolandırıcılık amacıyla limitlerin test edildiği veya küçük tutarlı çok sayıda işlemle fon çıkarılmaya çalışıldığı şüphesini uyandırır.
Uzun Süre Pasif Kalan Numaralardan Yapılan İlk İşlemler
Son bir yıl içinde hiç mobil ödeme işlemi yapmamış bir cep telefonu numarasından aniden bir işlem gerçekleştirilmesi, “SIM swap” dolandırıcılığı veya hattın sahibinin bilgisi dışında kullanıldığına dair önemli bir risk göstergesidir. Bu tür işlemler daha sıkı kontrollere tabi tutulmalıdır.
Alıcının Ödeme Hizmeti Sağlayıcısı (AHS) Sorumlulukları
Alıcının ödeme hizmeti sağlayıcısı, mobil ödeme ile müşteriden aldığı fonu iş yerine aktaran kuruluştur. Bu rolüyle, esasen bir POS hizmeti sunmaktadır. Bu nedenle, AHS’lerin sorumlulukları, POS hizmetlerindeki risk yönetimi kurallarıyla büyük ölçüde örtüşmektedir.
POS Hizmetleri İçin Belirlenen Senaryoların Uygulanması
Rehber, AHS’lerin “Ödeme Aracının Kabulüne İlişkin Hizmetler” başlığı altında detaylandırılan tüm senaryoları kendi iş yerleri için de uygulaması gerektiğini belirtir. Bu, anormal ciro artışlarının takibi, gece ve hafta sonu yoğunlaşan işlemlerin analizi, tekrar eden düz tutarlı işlemlerin izlenmesi ve yüksek chargeback oranlarının kontrolü gibi tüm maddeleri kapsar.
API Bağlantılarının Güvenliği ve İzlenmesi
API (Application Programming Interface), ödeme kuruluşlarının hizmetlerini iş yerleri ve temsilciler gibi üçüncü partilere entegre etmelerini sağlayan teknolojik köprülerdir. Bu esneklik, aynı zamanda ciddi güvenlik risklerini de beraberinde getirir. TCMB Rehberi, API’ler üzerinden gerçekleşen işlemlerin izlenmesi ve bu bağlantıların güvenliğinin sağlanması için kuruluşlara özel yükümlülükler getirmektedir.
API Kullanacak İş Yerleri İçin Risk Değerlendirmesi
Bir iş yerine API erişimi vermeden önce, kuruluşun kapsamlı bir risk değerlendirmesi yapması zorunludur. Bu değerlendirme, iş yerinin faaliyet alanını, iş modelini ve API’yi ne amaçla kullanacağını kapsamalıdır. Amaç, API’nin yasa dışı bahis gibi faaliyetlerde kullanılmasını en baştan engellemektir.
API Üzerinden Gerçekleşen Anormal Davranış Desenlerinin Tespiti
API’ler, otomatize ve çok sayıda işlemin kısa sürede yapılmasına olanak tanıdığı için anomali tespiti kritik öneme sahiptir. Kuruluşlar, API trafiğini sürekli olarak izleyerek normal dışı davranışları tespit etmelidir.
Çoklu Hesap Erişimi ve Fon Akışı Kontrolleri
API aracılığıyla aynı IP adresinden çok sayıda farklı müşteri hesabına işlem yapılması veya kısa süre içinde farklı IP’lerden aynı hesaba giriş yapılması gibi senaryolar yakından takip edilmelidir. Bu tür desenler, hesapların bir merkezden kontrol edildiği veya organize bir dolandırıcılık faaliyeti yürütüldüğü şüphesini artırır.
Denetim İzlerinin Tutulması ve Asgari İçeriği
Kuruluşlar, API üzerinden geçen her işleme dair detaylı denetim izlerini (audit trails) tutmakla yükümlüdür. Bu kayıtlar, olası bir sahtekarlık veya yasa dışı faaliyet durumunda geriye dönük analiz yapılmasına olanak tanır. Bu izler asgari olarak işlem türü, tutarı, tarihi, müşteri ve iş yeri bilgileri, kullanılan kart verileri (güvenli şekilde maskelenmiş) ve kaynak/hedef IP adresi gibi teknik detayları içermelidir.
API Envanteri Oluşturma ve Periyodik Gözden Geçirme
Her kurulu_şun, hizmet verdiği tüm iş yerleri, temsilciler ve müşteriler için kullandığı API’lerin bir envanterini tutması gerekmektedir. Bu envanter, iş yeri URL’si, API’nin bağlandığı IP adresi ve API’nin verilme tarihi gibi bilgileri içermelidir. Envanter, her 3 ayda bir gözden geçirilmeli, güncellenmeli ve üst yönetime raporlanmalıdır.
Teknik Güvenlik Tedbirleri
API’lerin amaç dışı kullanımını engellemek için bir dizi teknik bilgi güvenliği tedbiri alınması zorunludur. Bu tedbirler, API’lerin sadece yetkili ve meşru kaynaklar tarafından kullanılmasını sağlar.
IP Adresi Kısıtlaması ve Beyaz Liste (Whitelist) Uygulamaları
API üzerinden iletişim kuracak IP adreslerinin statik olması esastır. Kuruluş, her iş yeri için belirli IP adreslerinden oluşan bir beyaz liste (whitelist) oluşturmalı ve bu liste dışından gelen tüm erişim taleplerini engellemelidir. Bu, API anahtarlarının çalınması durumunda bile yetkisiz kullanımı büyük ölçüde önler.
API Token ve Back URL Doğrulaması
API’nin, iş yerinin bildirdiği web sitesi dışında başka bir yerde kullanılmasını engellemek için API token’ının benzersiz (unique) olması ve back URL’nin API’nin kurulduğu web sitesi ile aynı olması sağlanmalıdır. Bu doğrulama, API’nin kopyalanarak başka yasa dışı sitelere hizmet vermesinin önüne geçer.
Asgari Unsurların Sınırları ve Statik Kuralların Yetersizliği
TCMB tarafından belirlenen asgari unsurlar, yasa dışı faaliyetlerle mücadelede önemli bir temel oluştursa da, tek başlarına yeterli değildir. Bu kurallar, doğaları gereği reaktif ve kural tabanlıdır. Oysa finansal suçlular, sürekli olarak taktiklerini değiştiren, organize ve dinamik yapılardır. Sadece statik kurallara dayalı bir izleme sistemi, modern suç yöntemleri karşısında kaçınılmaz olarak zayıf kalacaktır.
Gelişen Suç Taktikleri Karşısında Kural Setlerinin Eskimesi
Dolandırıcılar, mevcut kural setlerini hızla öğrenir ve bu kurallara yakalanmamak için davranışlarını adapte ederler. Örneğin, bir kural “günlük 10’un üzerinde transfer” diyorsa, dolandırıcılar 9 transferde kalabilir veya farklı hesaplar kullanarak bu kuralı aşabilir. Her yeni dolandırıcılık yöntemi için manuel olarak yeni bir kural yazmak, sürdürülebilir bir strateji değildir.
Yüksek “False Positive” (Yanlış Alarm) Oranları ve Operasyonel Yük
Katı ve esnek olmayan kurallar, genellikle meşru müşteri işlemlerini de şüpheli olarak işaretler. Bu “yanlış pozitifler”, operasyon ekiplerinin zamanını ve kaynaklarını boşa harcamasına neden olur. Her alarmı manuel olarak incelemek zorunda kalan ekipler, gerçek tehditlere odaklanmakta zorlanır ve bu durum ciddi bir operasyonel verimsizlik yaratır.
“False Negative” (Gözden Kaçan Şüpheli İşlem) Riski
Statik kuralların en tehlikeli yanı, kural setinin öngörmediği yeni veya karmaşık dolandırıcılık desenlerini tamamen gözden kaçırma riskidir. Bir işlem, mevcut hiçbir kuralı birebir ihlal etmiyorsa, ne kadar şüpheli olursa olsun sistem tarafından “temiz” olarak kabul edilir. Bu “yanlış negatifler”, kuruluşların büyük finansal kayıplar yaşamasına ve yasal yaptırımlarla karşı karşıya kalmasına yol açabilir.
Müşteri Davranışlarının Karmaşıklığını Yakalayamama
Her müşterinin kendine özgü bir işlem yapma alışkanlığı vardır. Statik kurallar, “herkese uyan tek beden” bir yaklaşım benimsediği için bu bireysel farklılıkları göz ardı eder. Bir müşteri için normal olan bir işlem (örneğin, sık sık yurt dışına para gönderen bir ihracatçı), başka bir müşteri için son derece şüpheli olabilir. Kural tabanlı sistemler bu bağlamı anlayamaz.
İlişkili ve Organize Suç Ağlarını Tespit Etmedeki Zorluklar
Yasa dışı faaliyetler genellikle birden fazla hesap, iş yeri ve kişi arasında dağıtılmış karmaşık ağlar üzerinden yürütülür. Tekil işlemlere veya hesaplara odaklanan statik kurallar, bu “büyük resmi” göremez. Birbirinden bağımsız gibi görünen küçük işlemlerin aslında organize bir suç şebekesinin parçası olduğunu tespit etmek, kural tabanlı sistemlerin yeteneklerinin ötesindedir.
| Kriter | Statik Kural Tabanlı Sistemler | Dinamik ve Akıllı Sistemler (Yapay Zeka) |
|---|---|---|
| Tespit Yöntemi | Önceden tanımlanmış “EĞER-İSE” senaryoları | Davranışsal anomali tespiti, öğrenen algoritmalar |
| False Positive Oranı | Yüksek | Düşük |
| False Negative Riski | Yüksek (Bilinmeyen tehditleri kaçırır) | Düşük (Daha önce görülmemiş anormallikleri yakalar) |
| Adaptasyon Kabiliyeti | Düşük (Manuel güncelleme gerektirir) | Yüksek (Yeni verilerden sürekli öğrenir) |
| Operasyonel Verimlilik | Düşük (Yoğun manuel inceleme gerektirir) | Yüksek (Süreçleri otomatikleştirir) |
| Bağlamsal Analiz | Yok | Müşterinin geçmiş davranışlarını ve profilini dikkate alır |
Risk Temelli Yaklaşımın Yeni Nesil Teknolojilerle Güçlendirilmesi: Asgari Kuralların Ötesi
TCMB Rehberi’nin ruhunda yer alan proaktif ve dinamik risk yönetimi anlayışı, statik kuralların yetersiz kaldığı noktada yeni nesil teknolojilerin devreye girmesini zorunlu kılar. Finansal suçlarla etkili bir mücadele, artık sadece bilinen tehditlere karşı savunma yapmakla değil, aynı zamanda bilinmeyen ve öngörülemeyen tehditleri de proaktif olarak tespit edebilmekle mümkündür. Bu noktada yapay zeka (AI) ve makine öğrenmesi (ML) tabanlı sistemler, asgari kuralların çok ötesinde bir dolandırıcılık tespit ve önleme katmanı sunar.
Statik Kurallardan Dinamik Senaryo Yönetimine Geçiş
Yeni nesil sistemler, “EĞER X olursa, Y yap” şeklindeki katı kurallar yerine, birden çok değişkeni aynı anda değerlendiren dinamik senaryolar kullanır. Örneğin, sadece “işlem tutarı 10.000 TL’den büyükse” demek yerine; “işlem tutarı müşterinin ortalamasının %200 üzerindeyse, işlem gece saatlerinde yapılıyorsa, daha önce işlem yapılmayan bir ülkeden geliyorsa ve cihaz parmak izi şüpheliyse” gibi çok katmanlı ve bağlama dayalı senaryolar oluşturur. Bu, yanlış alarmları azaltır ve tespit doğruluğunu artırır.
Makine Öğrenmesi (Machine Learning) ve Yapay Zeka ile Anomali Tespiti
Makine öğrenmesi algoritmaları, milyonlarca işlemi analiz ederek bir “normal davranış” modeli oluşturur. Bu modelden sapan herhangi bir işlem, ne kadar küçük veya karmaşık olursa olsun, bir anomali olarak anında tespit edilir. Bu yaklaşım, dolandırıcıların sürekli değiştirdiği yeni taktikleri, önceden bir kural tanımlanmamış olsa bile yakalayabilir. Sistem, yeni verilerle kendini sürekli güncelleyerek suçluların her zaman bir adım önünde kalır.
Davranışsal Biyometri ve Kullanıcı Profili Analizi
Modern sahtekarlıkla mücadele sistemleri, sadece işlemin ne olduğuna değil, işlemi kimin yaptığına da odaklanır. Davranışsal biyometri, bir kullanıcının klavye kullanma hızı, fare hareketleri, telefonu tutuş açısı gibi benzersiz davranış kalıplarını analiz eder. Eğer bir hesabın şifresi doğru girilse bile, bu davranışsal veriler gerçek kullanıcıyla eşleşmiyorsa, sistem bunun bir hesap ele geçirme (ATO) girişimi olduğunu anlayabilir.
Ağ (Link) Analizi ile Gizli İlişkilerin ve Suç Şebekelerinin Ortaya Çıkarılması
Yapay zeka destekli ağ analizi araçları, farklı hesaplar, cihazlar, IP adresleri ve iş yerleri arasındaki gizli bağlantıları görselleştirerek ortaya çıkarır. Tek başına bakıldığında masum görünen birden çok hesabın, aslında aynı cihazı veya e-posta adresini paylaştığını ve organize bir “para katırı” (money mule) ağının parçası olduğunu bu teknoloji sayesinde tespit etmek mümkündür. Bu, statik kuralların asla yapamayacağı bir analizdir.
Gerçek Zamanlı Risk Skorlaması ile Anlık Karar Verme
Yeni nesil platformlar, her bir işlemi milisaniyeler içinde yüzlerce risk göstergesine göre analiz eder ve bir risk skoru üretir. Bu skor, işlemin onaylanması, reddedilmesi veya ek bir kimlik doğrulamasına (step-up authentication) tabi tutulması gibi kararların anlık ve otomatik olarak verilmesini sağlar. Bu, TCMB’nin “en geç üç saat içinde aksiyon alma” kuralına tam uyumun ötesinde, işlemi anında durdurma kapasitesi sunar.
İHS Teknoloji ve Fraud.com aiReflex (Bulut İşlem İzleme) ile TCMB Rehberine Tam Uyum ve Ötesi
TCMB’nin belirlediği asgari unsurlar ve risk temelli yaklaşım zorunluluğu, ödeme ve elektronik para kuruluşlarını teknolojik olarak gelişmiş çözümlere yöneltmektedir. İHS Teknoloji’nin Türkiye’de sunduğu Fraud.com aiReflex platformu, bu ihtiyaca tam olarak cevap veren, yapay zeka ve makine öğrenmesi destekli bir Bulut İşlem İzleme çözümüdür. AiReflex, sadece rehberdeki statik kuralları karşılamakla kalmaz, aynı zamanda dinamik ve öğrenen yapısıyla kuruluşları geleceğin tehditlerine karşı da korur.
Rehberdeki Tüm Asgari Unsurların Dinamik ve Akıllı Senaryolarla Karşılanması
AiReflex, TCMB Rehberi’nde listelenen tüm senaryoları (örneğin, günlük işlem limitleri, IP kontrolleri, şüpheli anahtar kelimeler) önceden tanımlı ve özelleştirilebilir kural setleriyle sunar. Ancak platformun asıl gücü, bu kuralları dinamik senaryolara dönüştürme yeteneğidir. Birden fazla kuralı birleştirerek, bağlama göre hareket eden ve yanlış alarm oranını minimuma indiren akıllı izleme mekanizmaları oluşturur.
Ödeme Hesabı Hizmetlerinde Davranışsal Analiz ile Risklerin Tespiti
Bir ödeme hesabına farklı IP’lerden erişilmesi gibi rehber maddeleri, AiReflex’in davranışsal biyometri ve cihaz parmak izi teknolojileriyle çok daha derinlemesine analiz edilir. Sistem, sadece IP adresini değil, aynı zamanda kullanılan cihazı, tarayıcıyı ve kullanıcının davranışsal kalıplarını da analiz ederek, bir hesabın gerçek sahibi tarafından mı yoksa bir dolandırıcı tarafından mı kullanıldığını yüksek doğrulukla tespit eder.
POS ve İş Yeri İzlemede Yapay Zeka Destekli Ciro ve Davranış Modelleri
Rehberde belirtilen anormal ciro artışları veya gece saatlerinde yoğunlaşan işlemler gibi unsurlar, AiReflex’in makine öğrenmesi modelleri tarafından otomatik olarak takip edilir. Platform, her iş yeri için ve her sektör için bir “normal davranış” profili oluşturur. Bu profilden herhangi bir sapma, anında anomali olarak işaretlenir ve incelenmek üzere operasyon ekibinin önüne getirilir. Bu, manuel ciro takibini ortadan kaldırır ve tespit hızını artırır.
API Güvenliğinde Anomali Tespiti ve Gerçek Zamanlı Müdahale
AiReflex, API üzerinden geçen tüm işlemleri gerçek zamanlı olarak analiz eder. Aynı IP’den çok sayıda hesaba erişim veya anormal fon akışı gibi desenleri anında tespit ederek şüpheli işlemleri otomatik olarak bloke edebilir. IP beyaz liste yönetimi ve cihaz parmak izi gibi özelliklerle API’lerin sadece yetkili kaynaklar tarafından kullanılmasını güvence altına alır.
Müşterinin 360 Derecelik Görünümü ile Bütünsel Risk Yönetimi
Platform, bir müşterinin veya iş yerinin tüm işlemlerini, kullandığı cihazları, giriş yaptığı lokasyonları ve davranışsal özelliklerini tek bir ekranda birleştirerek 360 derecelik bir risk profili sunar. Bu bütünsel bakış açısı, farklı kanallardan yapılan ve tek başlarına anlamsız görünen şüpheli aktiviteler arasındaki bağlantıyı kurmayı sağlar, böylece organize dolandırıcılık ağlarının tespitini kolaylaştırır.
| TCMB Rehberi Asgari Unsuru | Fraud.com aiReflex Çözümü |
|---|---|
| Günlük/Aylık transfer adet ve sıklığı takibi | Dinamik kural motoru ve Velocity Check |
| Aynı/Farklı IP’den çoklu hesap erişimi | Cihaz Parmak İzi (Device Fingerprinting) ve IP Analizi |
| Şüpheli açıklama metinleri (kumar, bahis vb.) | Akıllı metin analizi ve anahtar kelime takibi |
| Anormal ciro artışları (İş Yeri/Temsilci) | Yapay Zeka destekli anomali tespiti ve sektörel kıyaslama |
| Gece/Hafta sonu yoğunlaşan işlemler | Davranışsal modelleme ve zaman analizi |
| Tekrar eden düz tutarlı işlemler | İşlem deseni (pattern) analizi |
| API üzerinden anormal davranışlar | Gerçek zamanlı API trafiği analizi ve risk skorlaması |
| İlişkili ve organize ağların tespiti | Ağ (Link) Analizi ile gizli bağlantıların tespiti |
Risk Temelli Şüpheli İşlem İzleme İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
TCMB’nin yeni düzenlemeleri karşısında doğru teknoloji ortağını seçmek, ödeme ve elektronik para kuruluşları için hayati önem taşımaktadır. Bu seçim, sadece yasal uyumluluğu sağlamakla kalmaz, aynı zamanda operasyonel verimliliği artırır, müşteri memnuniyetini korur ve marka itibarını güçlendirir. İHS Teknoloji, sunduğu global teknoloji ve yerel uzmanlık ile bu süreçte kuruluşların en güvenilir ortağıdır.
Yerel Mevzuata ve TCMB Rehberine Hakim Uzman Kadro
İHS Teknoloji, Türkiye’nin finansal regülasyonlarını ve TCMB’nin beklentilerini yakından takip eden deneyimli bir ekibe sahiptir. Sunduğumuz çözümler, sadece teknik olarak üstün olmakla kalmaz, aynı zamanda yerel mevzuatın tüm gerekliliklerini tam olarak karşılayacak şekilde yapılandırılmıştır. Rehberin her maddesinin teknolojik karşılığını anlıyor ve bunu sizin için en verimli şekilde uyguluyoruz.
Fraud.com’un Küresel Tecrübesi ve Yapay Zeka Destekli aiReflex Platformu
İş ortağımız Fraud.com, dünya genelinde yüzlerce finansal kuruluşa hizmet veren, alanında lider bir teknoloji sağlayıcısıdır. AiReflex platformu, küresel ölçekte karşılaşılan en karmaşık dolandırıcılık taktiklerinden elde edilen verilerle eğitilmiş, son teknoloji yapay zeka ve makine öğrenmesi modelleri kullanır. Bu küresel tecrübe, sizi sadece bugünün değil, yarının tehditlerine karşı da korur.
Operasyonel Verimliliği Artıran ve Yanlış Alarmları Azaltan Akıllı Sistemler
Çözümümüzün en büyük avantajlarından biri, yanlış pozitif (false positive) oranını önemli ölçüde düşürmesidir. Yapay zeka destekli analiz yeteneği sayesinde, sadece gerçek risk taşıyan işlemler alarm üretir. Bu, sahtekarlıkla mücadele ekiplerinizin zamanını ve enerjisini doğru vakalara odaklamasını sağlar, operasyonel maliyetlerinizi düşürür ve verimliliğinizi artırır.
Geleceğin Finansal Suç Taktiklerine Karşı Sürekli Gelişen ve Öğrenen Teknoloji
Statik sistemlerin aksine, aiReflex platformu sürekli öğrenen bir yapıya sahiptir. Sistem, karşılaştığı her yeni işlem ve dolandırıcılık girişiminden ders çıkararak kendini otomatik olarak günceller. Bu, dolandırıcıların bir adım önünde kalmanızı ve sürekli değişen tehdit ortamına proaktif bir şekilde adapte olmanızı sağlar.
Esnek Entegrasyon Kabiliyetleri ve Ölçeklenebilir Bulut Altyapısı
AiReflex, SaaS (Software as a Service) mimarisi sayesinde mevcut sistemlerinize hızlı ve kolay bir şekilde entegre edilebilir. Bulut tabanlı yapısı, donanım yatırımı yapma ihtiyacını ortadan kaldırır ve iş hacminiz büyüdükçe kolayca ölçeklenebilen esnek bir altyapı sunar. TCMB Rehberi’ne uyum sürecinizi hızlandırmak ve risk yönetimi altyapınızı geleceğe taşımak için İHS Teknoloji ile iletişime geçin.
