Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, finansal teknolojiler sektöründe faaliyet gösteren kuruluşlar için bir dönüm noktası niteliğindedir. Bu rehber, yasa dışı bahis, dolandırıcılık ve diğer mali suçların önlenmesi amacıyla alınması gereken idari ve teknik tedbirleri net bir şekilde ortaya koyarak, sektörün güvenliğini ve itibarını korumayı hedefler. Kuruluşların bu rehbere uyum sağlaması, sadece yasal bir zorunluluk değil, aynı zamanda sürdürülebilir bir iş modeli için de kritik bir öneme sahiptir.
TCMB Risk Yönetimi Rehberi’nin Amacı ve Kapsamı
TCMB tarafından hazırlanan bu rehber, ödeme ve elektronik para sektörünün sağlıklı ve güvenli bir zeminde büyümesini sağlamak amacıyla oluşturulmuştur. Temelinde, sunulan hizmetlerin suç gelirlerinin aklanması, terörizmin finansmanı ve yasa dışı bahis gibi faaliyetlerde bir araç olarak kullanılmasının önüne geçilmesi yatmaktadır.
Rehberin Temel Amacı Nedir?
Rehberin ana amacı, 6493 sayılı Kanun kapsamında faaliyet gösteren kuruluşların, hizmetlerini yasa dışı eylemlere karşı korumak için benimsemesi gereken minimum standartları ve yöntemleri belirlemektir. Bu sayede hem tüketicilerin mağduriyet yaşaması engellenmekte hem de kuruluşların operasyonel ve itibari riskleri en aza indirilmektedir. Amaç, reaktif değil, proaktif bir risk yönetimi kültürü oluşturmaktır.
Hangi Kuruluşlar Bu Rehberin Kapsamındadır?
Rehber, 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” çerçevesinde faaliyet izni almış olan tüm ödeme ve elektronik para kuruluşlarını kapsamaktadır. Bu kuruluşlar, lisans türü veya faaliyet hacmi fark etmeksizin rehberde belirtilen tüm yükümlülüklere uymak zorundadır.
Risk Temelli Yaklaşımın Önemi ve Proaktif Geliştirme Yükümlülüğü
TCMB, kuruluşlardan körü körüne bir kurallar listesini takip etmelerini değil, “risk temelli bir yaklaşım” benimsemelerini beklemektedir. Bu, her kuruluşun kendi iş modeline, müşteri profiline ve hizmetlerine özgü riskleri analiz etmesi, değerlendirmesi ve bu risklere uygun kontroller geliştirmesi anlamına gelir. Rehberde belirtilen unsurlar asgari düzeydedir ve kuruluşlar, bu unsurları sürekli olarak proaktif bir şekilde geliştirmekle yükümlüdür.
Diğer Yasal Mevzuatlar (MASAK vb.) ile İlişkisi
Bu rehber, tek başına bir düzenleme değildir. Kuruluşların 5549 sayılı Kanun çerçevesindeki Mali Suçları Araştırma Kurulu (MASAK) yükümlülükleri başta olmak üzere, terörizmin ve kitle imha silahlarının finansmanının önlenmesine dair diğer tüm yasal düzenlemelere uyumunu tamamlayıcı bir nitelik taşır. Rehbere uyum, diğer yasal sorumlulukları ortadan kaldırmaz.
Rehberin Hukuki Dayanağı ve Yasal Çerçevesi
Rehber, sağlam bir yasal zemin üzerine inşa edilmiştir ve TCMB’nin düzenleyici otorite olarak yetkilerini kullandığı temel kanun ve yönetmeliklere dayanmaktadır. Bu hukuki çerçeve, kuruluşlar için uyulması zorunlu bir yol haritası sunar.
6493 Sayılı Kanun ve İlgili Yönetmelikler
Rehberin birincil hukuki dayanağı, Türkiye’de ödeme hizmetleri alanını düzenleyen temel metin olan 6493 sayılı Kanun’dur. Kanun, TCMB’ye sektörü düzenleme, denetleme ve gerekli tedbirleri alma yetkisi vermektedir. Rehber, bu kanunun ruhuna uygun olarak hazırlanmıştır.
Yönetmelik ve Tebliğ Maddeleri ile İlişkisi
Daha spesifik olarak rehber, 1 Aralık 2021’de yayımlanan “Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” ve ilgili “Bilgi Sistemleri Tebliği” maddelerine dayanmaktadır. Özellikle Yönetmeliğin 27. ve Tebliğin 19. maddeleri, yasa dışı faaliyetlerin önlenmesi için alınacak idari ve teknik tedbirleri zorunlu kılmakta ve bu rehber de bu maddelerin nasıl uygulanacağını detaylandırmaktadır.
Banka Talimatlarına Uyum Zorunluluğu
Yönetmelik ve tebliğlerin yanı sıra, TCMB’nin ödemeler alanının güvenliğini sağlamak, tüketici mağduriyetlerini önlemek ve kuruluşların itibarını korumak amacıyla yayımladığı tüm talimatlara uyum da esastır. Rehber, bu talimatlarla bir bütün olarak ele alınmalı ve uygulanmalıdır.
Yasa Dışı Faaliyetlerin Tespiti İçin Kurulması Gereken Takip Mekanizmaları
TCMB, yasa dışı işlemlerin tespitinde manuel ve insan hatalarına açık süreçlerin yetersiz kaldığını vurgulamakta ve teknoloji odaklı, otomatik sistemlerin kurulmasını zorunlu kılmaktadır. Bu mekanizmalar, şüpheli aktiviteleri anlık olarak yakalamalı ve hızlı bir şekilde aksiyon alınmasını sağlamalıdır.
Otomatik Takip Sistemlerinin Zorunluluğu
Rehber, sahtekârlık, dolandırıcılık, yasa dışı bahis ve kumar gibi mali suçların tespiti için kurulacak takip mekanizmalarının kesinlikle manuel olamayacağını belirtir. Kuruluşlar, rehberde belirtilen ve kendi risk analizleriyle belirleyecekleri senaryoları gerçek zamanlı olarak izleyebilen otomatik sistemler kurmakla yükümlüdür. Bu noktada Bulut İşlem İzleme platformları, gelişmiş algoritmaları ile bu zorunluluğu karşılamada etkin bir rol oynar.
Manuel Süreçlerin Destekleyici Rolü
Otomasyon zorunlu olmakla birlikte, manuel süreçler tamamen ortadan kalkmamaktadır. Manuel kontroller, otomatik sistemlerin ürettiği alarmları incelemek, doğrulamak ve daha derinlemesine analiz yapmak için destekleyici bir rol üstlenir. İnsan zekası ve tecrübesi, otomasyonun yakaladığı anormallikleri anlamlandırmada kritik bir işlev görür.
Asgari Risk Unsurlarının Anlık Tespiti ve Aksiyon Süreleri
Rehberdeki en kritik maddelerden biri zamanlamayla ilgilidir. Belirlenen asgari risk unsurlarını içeren senaryoların tespiti “işlem anında” (gerçek zamanlı) yapılmalıdır. Tespit edilen bu riskli duruma ilişkin değerlendirme ve alınacak aksiyonlar ise işlem anından itibaren “en geç üç saat içerisinde” tamamlanmalıdır. Bu kural, kuruluşların yavaş ve hantal sistemler yerine, anlık karar alabilen ve müdahale edebilen çevik altyapılara yatırım yapmasını zorunlu kılar.
Ödeme Hesabı Hizmetlerine Yönelik Asgari Risk Unsurları
Bireysel ve kurumsal ödeme hesapları, yasa dışı faaliyetler için en sık kullanılan kanallardan biridir. Bu nedenle rehber, bu hesaplardaki işlem desenleri, müşteri profilleri ve teknik izler üzerine yoğunlaşan çok sayıda spesifik kural getirmiştir.
Bireysel Müşteri İşlem Limitleri ve Desenleri
Normal dışı para transferi akışları, yasa dışı faaliyetlerin en önemli göstergelerindendir. Bu kapsamda, bireysel müşterilerin işlem limitleri ve davranış kalıpları yakından izlenmelidir.
Günlük ve Aylık Para Transferi Adet Sınırları
Bir bireysel müşterinin ödeme hesabından bir günde 10’un üzerinde veya bir ayda 15’ten fazla farklı kişiye para transferi yapması şüpheli işlem olarak kabul edilir ve takibe alınır. Bu limitler, normal bir bireysel kullanıcının ihtiyaçlarının ötesinde bir aktiviteye işaret edebilir.
Farklı Kişilere ve Farklı Kişilerden Gelen Transferlerin İzlenmesi
Benzer şekilde, bir ödeme hesabına gün içinde 5 veya ay içinde 15 farklı kişiden para gelmesi de bir risk unsurudur. Bu durum, hesabın yasa dışı bahis gibi faaliyetlerde “toplama” veya “dağıtma” amacıyla kullanıldığına dair bir gösterge olabilir. Bu tür karmaşık ilişki ağlarını tespit etmek için gelişmiş fraud tespit ve önleme çözümleri gereklidir.
Riskli Müşteri Profillerinin Takibi
Bazı müşteri profilleri, doğaları gereği daha yüksek risk taşıyabilir. TCMB, özellikle gençler ve yeni hesap açan kullanıcılar için ek kontrol mekanizmaları talep etmektedir.
Yaş ve Yeni Hesap Kriterlerine Göre İşlem Limitleri
Hesap sahibinin 20 yaşından küçük olması veya hesabın yeni açılmış olması durumunda, ilk bir ay içinde yapılan işlem adedinin 50’yi veya toplam işlem tutarının 27.500 TL’yi aşması riskli kabul edilir. Bu kural, finansal tecrübesi az olan veya kimlik bilgileri çalınarak hesap açılan kişilerin suistimal edilmesini önlemeyi amaçlar.
Teknik ve Dijital İzleme Kriterleri
Finansal işlemler artık sadece parasal bir hareket değil, aynı zamanda dijital bir izdir. Rehber, bu dijital izlerin analiz edilmesini zorunlu kılar.
IP Adresi Anormallikleri (Aynı IP’den Farklı Hesap, Farklı IP’den Aynı Hesap)
Aynı gün içinde tek bir IP adresinden 5 veya daha fazla farklı bireysel hesaba girilmesi (hesapların kontrol edildiği şüphesi) veya tam tersi, tek bir hesaba 5 farklı IP’den erişilmesi (hesabın çalınmış olabileceği şüphesi) önemli birer risk göstergesidir.
E-posta Sunucusu ve Adres Yapılarının Analizi
Güvenilmeyen veya geçici e-posta hizmeti sunan sunucular üzerinden açılan hesaplar ve “test1, test2, test3” gibi ardışık veya anlamsız e-posta adresleriyle yapılan işlemler dikkatle izlenmelidir. Bu, organize bir sahtekarlık girişimine işaret edebilir.
Cep Telefonu Numarası ve Operatör Bilgilerinin Değerlendirilmesi
Sağlayıcısı bilinmeyen veya sanal operatörlere ait cep telefonu numaraları ile yapılan işlemler, kimlik gizleme çabası olabileceğinden daha yüksek riskli olarak değerlendirilmelidir.
Riskli Ülke IP ve Cep Telefonu Numaraları ile Yapılan İşlemler
Yüksek riskli olarak sınıflandırılmış ülkeler, off-shore merkezler veya yasa dışı bahis faaliyetlerinin yasal olduğu ülkelerden gelen IP adresleri veya bu ülkelere ait telefon numaralarıyla yapılan tüm işlemler anında takibe alınmalıdır.
İşlem İçerik ve Davranış Analizi
İşlemin kendisi kadar, işleme eşlik eden veriler ve müşterinin genel davranışları da önemlidir. Davranışsal analizler, anormallikleri tespit etmede kilit rol oynar.
Açıklama Metinlerinin Anlamsızlığı ve Şüpheli Kelimeler
Para transferlerinin açıklama kısımlarının boş bırakılması, anlamsız karakterler içermesi (asdfg, 12345 vb.) veya “kumar, bahis, bet, kmr” gibi yasa dışı faaliyetleri çağrıştıran kelimeler içermesi durumunda işlem derhal şüpheli olarak işaretlenmelidir.
Mükerrer Hesap Açma Girişimleri
Aynı T.C. kimlik numarası, e-posta adresi veya cep telefonu numarası kullanılarak birden fazla hesap açılmaya çalışılması, sahtekarlık veya kimlik gizleme girişiminin bir parçası olabilir. Özellikle daha önce hesabı kapatılmış bir müşterinin farklı bilgilerle yeniden sistemde yer almaya çalışması engellenmelidir.
Belirli İş Kollarına (Kuyumculuk, Oyun Pini vb.) Yoğunlaşma
Bir bireysel ödeme hesabının, ticari bir nitelik taşıyan kuyumculuk, sürekli kontör veya oyun pini alım-satımı gibi alanlarda dikkat çekici şekilde kullanılması, hesabın amacına aykırı kullanıldığına ve potansiyel bir mali suça aracılık ettiğine işaret edebilir.
Yardım Kuruluşlarına Yapılan Transferlerin İzlenmesi
Kar amacı gütmeyen veya yardım faaliyetlerinde bulunan organizasyonlar, ne yazık ki bazen yasa dışı fonların aklanması için kullanılabilmektedir. Bu nedenle, bir müşterinin bu tür bir kuruluşa bir ay içinde 3’ten fazla veya toplamda 55.000 TL’den fazla transfer yapması, işlemin gerçekliğinin teyit edilmesi gereken bir durum olarak ele alınır.
Ödeme Aracının Kabulüne İlişkin Hizmetlerde (Sanal/Fiziki POS) Risk Unsurları
Üye işyerlerine sunulan sanal ve fiziki POS hizmetleri, yasa dışı faaliyetlerin finansmanı için bir diğer önemli kanaldır. TCMB, kuruluşların sadece son kullanıcıları değil, hizmet verdikleri işletmeleri de etkin bir şekilde denetlemesini istemektedir.
Ciro Takibi ve Anormalliklerin Tespiti
Bir işyerinin cirosundaki ani ve açıklanamayan değişiklikler, en temel şüphe uyandıran unsurların başında gelir.
Sektör Ortalamasının Üzerinde Ciro Artışı
Bir üye işyerinin, kendi sektöründeki diğer benzer işletmelerin ortalamasının belirgin bir şekilde üzerinde günlük ciro yapması, bu cironun kaynağının sorgulanmasını gerektirir.
Ticari Geçmişle Uyumsuz Hızlı Büyüme
Yeni kurulmuş veya ticari geçmişi zayıf olan bir şirketin, ticari hayatın olağan akışına aykırı bir şekilde çok hızlı ciro artışı yaşaması, paravan bir şirket olabileceği şüphesini doğurur.
Olağandışı Ciro Artış Oranları
Ticari geçmişinden bağımsız olarak, bir işyerinin günlük cirosunda dört kat ve üzeri bir artış yaşanması, manuel inceleme ve işyeri ile temasa geçmeyi gerektiren kırmızı bir bayraktır.
İşlem Desenleri ve Zamanlaması
İşlemlerin “ne kadar” olduğu kadar “nasıl” ve “ne zaman” yapıldığı da önemlidir. Anormal işlem kalıpları, sahtekarlığın habercisi olabilir.
Yüksek Harcama İtirazı (Chargeback) Oranları
Bir işyerine yapılan haftalık harcamalara gelen itirazların (chargeback) sayısının veya tutarının, toplam işlem adedine/tutarına oranının %5’i aşması, işyerinin sahtekarlığa karıştığını veya güvenlik zaafiyetleri olduğunu gösterebilir.
Hafta Sonu ve Gece Saatlerinde Yoğunlaşan İşlemler
Faaliyet alanıyla uyumlu olmayacak şekilde, bir işyerinin aylık cirosunun %75’inin hafta sonu veya %50’sinin 21:00-06:00 saatleri arasında gerçekleşmesi, özellikle dijital hizmet satmayan fiziki mağazalar için şüphe çekicidir.
Tekrar Eden Düz Tutarla Yapılan İşlemler
Bir işyerinin aylık işlem tutarının %25’inin 50 TL, 100 TL, 500 TL gibi tekrar eden ve yuvarlak rakamlı tutarlardan oluşması, gerçek bir mal veya hizmet satışından ziyade, yasa dışı bahis ödemeleri gibi standartlaştırılmış para transferlerine işaret edebilir.
İşyeri (Üye İşyeri) Risk Profili Analizi
İşyerinin kimliği, dijital varlığı ve finansal alışkanlıkları, risk profilini oluşturan temel bileşenlerdir.
Domain Yaşının Kontrolü
Online satış yapan bir işyerinin internet sitesi alan adının (domain) yaşının 3 aydan küçük olması, dolandırıcılık amacıyla hızla kurulup kapatılan “vur-kaç” sitelerinden biri olabileceği riskini artırır.
Sık IBAN Değişikliği
Bir işyerinin son 3 ayda 3 veya daha fazla kez ödeme alacağı IBAN adresini değiştirmesi, fonların izini kaybettirme veya el konulmasını engelleme çabası olarak yorumlanabilir.
Yeni İşyerleri İçin Kademeli Ciro Sınırları
Faaliyete yeni başlayan ve finansal geçmiş sunamayan işyerleri için kademeli limitler uygulanmalıdır. İlk ayda 250.000 TL, ilk iki ayda 500.000 TL ve ilk üç ayda 1.000.000 TL ciroya ulaşmaları durumunda, bu işyerleri özel olarak incelenmelidir.
Faaliyet Konusu ve İşlem Tutarlarının Uyumsuzluğu
İşyerinin web sitesinde veya ticari sicil kayıtlarında beyan ettiği faaliyet konusu ile gerçekleşen işlem tutarlarının uyumsuz olması (örneğin, e-kitap satan bir sitenin yüksek tutarlı ve sürekli işlemler alması) şüpheli bir durumdur.
Şirket Yapısı ve Sahiplikle İlgili Riskler
Şirketin yasal yapısı ve sahiplik bilgileri, paravan oluşumları tespit etmede kritik öneme sahiptir.
Benzer Ortaklık Yapıları ve Düşük Sermayeli Şirketler
Aynı kişilerin, düşük sermayelerle, benzer ortaklık yapılarına sahip çok sayıda şirket kurarak ödeme kuruluşu müşterisi olması, bu şirketlerin organize bir ağın parçası olabileceği şüphesini doğurur. Bu tür bir durumda tüzel kişi kimlik tespiti süreçlerinin titizlikle yürütülmesi gerekir.
Tecrübesiz Kişilerce Kurulan ve Hızla Yüksek Ciroya Ulaşan Şirketler
Genç yaşta veya beyan ettiği sektörde hiçbir tecrübesi olmayan kişiler tarafından kurulan şirketlerin, kısa sürede sektör ortalamasının çok üzerinde ciroya ulaşması, bu kişilerin paravan olarak kullanılıyor olabileceğini gösterir.
Nihai Faydalanıcının Gizlenmesi
Bir şirketin ticaret sicil kayıtlarında görünen ortakları ile şirketi gerçekte kontrol eden nihai faydalanıcıların farklı olduğunun tespit edilmesi, en önemli risk unsurlarından biridir ve iş ilişkisinin gözden geçirilmesini gerektirir.
Teknik Güvenlik ve POS Kullanımına İlişkin Göstergeler
POS cihazlarının ve sanal POS altyapılarının teknik kullanım verileri de sahtekarlık tespiti için değerli bilgiler sunar.
| Risk Kategorisi | Asgari Risk Unsuru | Potansiyel Tehdit |
|---|---|---|
| İşlem Limitleri | Bireysel hesaptan günde 10+ transfer | Hesabın para dağıtma/mule hesabı olarak kullanılması |
| Müşteri Profili | 20 yaş altı, 1 ayda 50+ işlem veya 27.500 TL+ ciro | Gençlerin veya yeni hesapların suistimal edilmesi |
| Teknik İzleme | Aynı IP’den 5+ farklı hesaba erişim | Organize dolandırıcılık, hesapların ele geçirilmesi |
| İşyeri Cirosu | Günlük ciroda 4 kat ve üzeri artış | Yasa dışı bahis gelirlerinin sisteme sokulması |
| İşyeri Profili | Domain yaşının 3 aydan küçük olması | “Vur-kaç” tipi dolandırıcılık siteleri |
Hatalı PIN ve SMS OTP Girişleri
Bir üye işyerinde bir saat içinde 5 veya daha fazla “hatalı PIN” veya “hatalı SMS OTP” uyarısı alınması, çalıntı kartların denendiği bir “kart test etme” (carding) saldırısına işaret edebilir.
Back URL ve Web Sitesi Bilgilerinin Uyumsuzluğu
Sanal POS işlemlerinde, işlemin yapıldığı web sitesi ile ödeme sonrası yönlendirilen “back URL” bilgisinin farklı olması, POS’un başka bir sitede usulsüz kullanıldığını gösterir.
Yurtdışı IP’li POS Sunucuları ve Fiziki POS Lokasyon Değişiklikleri
Türkiye’de faaliyet gösteren bir işyerinin POS sunucusunun IP adresinin yurtdışında olması veya fiziki bir POS cihazının faaliyet konusuyla uyumsuz şekilde sürekli lokasyon değiştirmesi (örneğin, bir restoran POS’unun sürekli farklı şehirlerden sinyal vermesi) şüpheyle karşılanmalıdır.
Fatura Ödemeleri, Para Havalesi ve Mobil Ödeme Hizmetlerindeki Risk Unsurları
Rehber, sadece hesap ve POS hizmetlerini değil, aynı zamanda fatura ödemesi, para havalesi ve mobil ödeme gibi spesifik hizmet türlerini de özel risk senaryoları ile ele almaktadır.
Fatura Ödemelerine Aracılık Hizmetleri
Fatura ödeme noktaları (temsilciler), yüksek işlem hacimleri nedeniyle risk barındırabilir.
Bireysel ve Ticari Müşteriler İçin Aylık Fatura Adet Limitleri
Bir bireysel müşterinin bir ayda 30’dan fazla, bir ticari müşterinin ise 70’ten fazla fatura ödemesi normal dışı kabul edilir. Bu durum, başkaları adına fatura ödeme veya şüpheli fonları sisteme sokma girişimi olabilir.
Aylık Sorgulama Adetlerinin Takibi
Ödeme yapılmasa dahi, bir ay içinde bireysel bir müşterinin 90’dan, ticari bir müşterinin ise 210’dan fazla fatura sorgulaması yapması, veri toplama veya sistemleri test etme gibi şüpheli bir aktiviteye işaret edebilir.
Temsilci Cirosundaki Olağandışı Artışlar
Bir fatura ödeme temsilcisinin cirosunda ani ve dört katı aşan artışlar yaşanması, bu noktada yasa dışı bir faaliyetin yoğunlaştığının göstergesi olabilir.
Para Havalesi Hizmetleri
Para havalesi hizmetleri sunan temsilcilikler, fonların izinin kaybettirilmesi için kullanılabilir.
Temsilcinin Faaliyet Alanı Dışında Yoğun İşlem Yapması
Fiziki olarak faaliyet gösteren bir temsilcinin, kendi bulunduğu ilin dışındaki illere ait çok sayıda (günde 10, ayda 100) fatura ödemesi yapması, coğrafi olarak mantıksız bir işlem modelidir.
Düşük Müşteri Sayısına Rağmen Yüksek Ciro Elde Edilmesi
Bir para havalesi temsilcisinin, az sayıda müşteriye hizmet vermesine rağmen orantısız şekilde yüksek bir ciro elde etmesi, işlemlerin ortalama tutarının çok yüksek olduğunu ve muhtemelen şüpheli fon transferlerine aracılık ettiğini gösterir.
Temsilcinin Kendi Hesaplarına Yüksek Tutarlı Fon Aktarımı
Bir temsilcinin, temsilcilik faaliyeti üzerinden kendi şahsi veya şirket hesaplarına 200.000 TL ve üzerinde fon aktarması, hizmetin suistimal edildiğine dair kuvvetli bir delildir.
Mobil Ödeme Hizmetleri
Mobil ödeme, hızı ve kolaylığı nedeniyle dolandırıcılar tarafından tercih edilebilen bir yöntemdir. Rehber, hem alıcı hem de gönderen taraftaki ödeme hizmeti sağlayıcıları için kurallar belirler.
Gönderenin Ödeme Hizmeti Sağlayıcısı (GHS) İçin Risk Senaryoları
Mobil ödeme işlemlerinde gönderenin ödeme hizmeti sağlayıcısı (genellikle mobil operatörle ilişkili kuruluş), son kullanıcıların davranışlarını izlemekle yükümlüdür.
Gece Saatlerinde Yapılan Mobil Ödeme İşlemleri
Bir bireysel müşterinin 21:00 ile 06:00 saatleri arasında 3 adet mobil ödeme işlemi gerçekleştirmesi, genellikle dolandırıcılık veya yasa dışı bahis işlemlerinin yoğunlaştığı saat diliminde anormal bir aktivite olarak değerlendirilir.
Kısa Sürede Tekrarlanan Mobil Ödeme İşlemleri
Aynı cep telefonu numarasından bir saat içinde aynı işyerine 3’ten fazla veya farklı işyerlerine 5’ten fazla mobil ödeme yapılması, hesabın ele geçirilmiş olabileceği veya organize bir suça alet edildiği şüphesini uyandırır.
API Bağlantılarının Güvenliği ve Risk Yönetimi
API (Uygulama Programlama Arayüzü) bağlantıları, modern fintek ekosisteminin can damarıdır. Ancak bu bağlantılar, aynı zamanda ciddi güvenlik riskleri de barındırır. TCMB, API’lerin güvenliğine ve denetimine özel bir önem vermektedir.
API Kullanan İşyerleri İçin Risk Değerlendirmesi Zorunluluğu
Bir ödeme kuruluşu, API hizmeti sunacağı her bir işyeri için kapsamlı bir risk değerlendirmesi yapmakla yükümlüdür. Bu değerlendirme, işyerinin API’yi yasa dışı faaliyetlerde kullanma potansiyelini analiz etmeli ve gerekli önlemlerin alınmasını sağlamalıdır.
API Üzerinden Gerçekleşen İşlemlerin İzlenmesi
API üzerinden geçen tüm işlemler, en az diğer kanallardan geçen işlemler kadar sıkı bir şekilde izlenmelidir. Bu izleme, anormal davranışları ve organize saldırıları tespit etmeye odaklanmalıdır.
Anormal Davranış Desenlerinin Tespiti
API kullanılarak aynı IP üzerinden çok sayıda farklı ödeme hesabına erişilmesi veya bir ödeme hesabına kısa süre içinde çok farklı IP’lerden giriş yapılması gibi normal dışı davranış desenleri otomatik olarak tespit edilmeli ve engellenmelidir.
IP Adresi ve Hesap İlişkilerinin Kontrolü
API üzerinden giriş yapılan hesaplardan benzer nitelikteki diğer hesaplara sistematik bir fon akışı olup olmadığı kontrol edilmelidir. Bu, organize bir para aklama ağının deşifre edilmesinde yardımcı olabilir.
Denetim İzlerinin (Audit Trail) Tutulması ve İçeriği
Kuruluşlar, API üzerinden geçen her işleme dair detaylı denetim izlerini (log kayıtlarını) tutmak zorundadır. Bu kayıtlar; işlem türü, tutarı, tarihi, müşteri ve işyeri bilgileri, kaynak ve hedef IP adresleri gibi bilgileri asgari düzeyde içermelidir.
API Envanteri Oluşturma ve Güncelleme Yükümlülüğü
Her kuruluş, hizmet verdiği işyerlerine sunduğu tüm API’lerin bir envanterini tutmalıdır. Bu envanter; işyeri URL’si, API’nin bağlandığı IP adresi, verilme tarihi gibi bilgileri içermeli, her 3 ayda bir güncellenerek üst yönetime raporlanmalıdır.
Amaç Dışı Kullanımı Önlemeye Yönelik Teknik Tedbirler
API’lerin sadece tanımlandığı amaç ve kapsamda kullanılmasını sağlamak için katı teknik kontroller uygulanmalıdır.
IP Adresi Kısıtlaması ve Beyaz Liste (Whitelist) Uygulaması
API üzerinden iletişim kuracak IP adresleri için bir “beyaz liste” (whitelist) oluşturulması esastır. Bu liste dışından gelen tüm erişim talepleri engellenmelidir. Bu, yetkisiz erişimlerin önüne geçmek için en etkili yöntemlerden biridir.
Statik IP Zorunluluğu
API bağlantısı kuracak işyerlerinin dinamik IP yerine statik bir IP adresi kullanması tercih edilmelidir. Bu, hem güvenlik hem de denetim açısından izlenebilirliği artırır.
API Token ve Back URL Güvenliği
API anahtarının (token) benzersiz olması ve sadece tanımlandığı web sitesi (URL) için çalışması sağlanmalıdır. Ayrıca, ödeme sonrası dönülecek “back URL” bilgisinin, API’nin kurulduğu web sitesi ile aynı olması kontrol edilerek sahte yönlendirmelerin önüne geçilmelidir.
Yasa Dışı Faaliyet Tespiti Halinde İlişkinin Sonlandırılması
Bir işyerinin, temsilcinin veya müşterinin API’yi veya diğer hizmetleri yasa dışı faaliyetlerde kullandığının tespit edilmesi halinde, kuruluşun bu kişi veya kurumla iş ilişkisini derhal sonlandırması zorunludur. Bu durum kayıt altına alınmalı, üst yönetime raporlanmalı ve kayıtlar en az 10 yıl süreyle saklanmalıdır.
Yaptırımlar ve Rehbere Uyumsuzluğun Sonuçları
TCMB, rehberde belirtilen kurallara uyumu bir tavsiye değil, bir zorunluluk olarak görmektedir. Uyumsuzluk halinde kuruluşları ciddi yaptırımlar beklemektedir. Bu yaptırımlar, kuruluşların hem finansal sağlığını hem de faaliyet lisansını tehlikeye atabilir.
İhlallerin Hangi Yükümlülüklere Aykırılık Oluşturduğu
Rehberdeki talimatlara ve risk unsurlarına uymamak; “iç kontrol”, “risk yönetimi”, “şüpheli işlemlerin takibi” ve “bilgi güvenliği” gibi temel yükümlülüklerin ihlali olarak kabul edilir. Bu, sadece bir kuralın çiğnenmesi değil, kuruluşun kurumsal yönetim zafiyeti olarak değerlendirilir.
6493 Sayılı Kanun Kapsamında Uygulanacak Yaptırımlar
Tespit edilen ihlaller, 6493 sayılı Kanun’un ilgili maddeleri uyarınca yaptırıma tabi tutulur. Bu yaptırımlar, uyarıdan başlayarak idari para cezalarına ve en ağır durumda faaliyet izninin iptaline kadar varan geniş bir yelpazeyi kapsar.
İdari Para Cezaları ve İlgili Esaslar
Kanun’un 27. maddesi uyarınca, yükümlülüklere aykırılık tespit edilmesi halinde TCMB tarafından idari para cezası uygulanır. Cezanın miktarı, ihlalin niteliği, tekrar edip etmediği ve kuruluşun finansal büyüklüğü gibi faktörler göz önünde bulundurularak belirlenir.
Otomasyon ve Yapay Zeka ile TCMB Rehberine Uyum: aiReflex Bulut İşlem İzleme Çözümü
TCMB Risk Yönetimi Rehberi’nin getirdiği karmaşık kurallar, yüksek işlem hacimleri ve anlık müdahale zorunluluğu, manuel takip yöntemlerini tamamen işlevsiz kılmaktadır. Bu noktada, otomasyon ve yapay zeka tabanlı çözümler bir seçenek değil, bir zorunluluk haline gelmektedir.
Manuel Takibin Yetersizliği ve Otomasyonun Gerekliliği
Bir analistin, saniyede gerçekleşen binlerce işlemi rehberdeki onlarca farklı senaryoya göre anlık olarak kontrol etmesi ve 3 saat içinde aksiyon alması fiziksel olarak imkansızdır. Manuel süreçler yavaş, hataya açık ve ölçeklenemezdir. Otomasyon ise milyonlarca işlemi milisaniyeler içinde analiz ederek tutarlı ve hızlı sonuçlar üretir.
| Özellik | Manuel Takip Süreçleri | aiReflex ile Otomatik İzleme |
|---|---|---|
| Hız | Yavaş, saatler/günler sürebilir | Gerçek zamanlı (milisaniyeler içinde) |
| Kapsam | Sınırlı sayıda işlem (örneklem bazlı) | Tüm işlemlerin %100’ü |
| Tutarlılık | Analistin tecrübe ve dikkatine bağlı | Kurallara dayalı, %100 tutarlı |
| Karmaşıklık | Basit senaryoları tespit edebilir | Karmaşık ve gizli ilişkileri (IP-hesap-cihaz) ortaya çıkarır |
| TCMB 3 Saat Kuralı | Uyum sağlamak neredeyse imkansız | Tam uyum, anlık alarm ve aksiyon imkanı |
| Operasyonel Yük | Yüksek, çok sayıda personel gerektirir | Düşük, otomasyon sayesinde verimlilik artar |
aiReflex Nedir?: Kural Bazlı ve Davranışsal Analiz Yetenekleri
aiReflex, Fraud.com’un küresel tecrübesiyle geliştirilmiş, IHS Teknoloji tarafından Türkiye’deki kuruluşların hizmetine sunulan yeni nesil bir işlem izleme platformudur. Hibrit bir yapıya sahiptir: Hem TCMB rehberindeki gibi net ve belirli kuralları (örn: “günde 10’dan fazla transfer”) uygulayabilen bir kural motoruna, hem de daha önce tanımlanmamış anormallikleri tespit edebilen yapay zeka ve makine öğrenimi algoritmalarına sahiptir. Bu sayede hem bilinen hem de bilinmeyen tehditlere karşı koruma sağlar.
Rehberdeki Karmaşık Senaryoların aiReflex ile Anlık Tespiti
aiReflex, rehberde belirtilen “aynı IP’den farklı hesaplara girilmesi”, “sektör ortalamasının üzerinde ciro artışı”, “tekrar eden düz tutarlı işlemler” gibi onlarca karmaşık senaryoyu, işlem gerçekleştiği anda otomatik olarak tespit eder. Davranışsal analiz yetenekleri sayesinde her kullanıcı ve işyeri için bir normal davranış profili oluşturur ve bu profilin dışına çıkan her aktiviteyi anında şüpheli olarak işaretler.
Raporlama, Alarm Yönetimi ve Denetim İzlerinin Kolaylaştırılması
Platform, tespit edilen her şüpheli işlem için detaylı bir vaka (case) oluşturur ve ilgili birimlere alarm gönderir. Bu vakalar, analistlerin karar verme sürecini hızlandıracak tüm kanıtları (işlem detayları, ilişkili hesaplar, IP bilgileri vb.) bir arada sunar. Ayrıca, tüm işlemler ve alınan kararlar için denetime hazır, değiştirilemez log kayıtları (audit trail) tutarak yasal raporlama yükümlülüklerini kolaylaştırır.
API Güvenliği ve İzlemesinde aiReflex’in Rolü
aiReflex, API üzerinden geçen işlemleri de aynı titizlikle izler. IP adresi kısıtlamaları, velocity check (belirli bir zamanda belirli bir kaynaktan gelen işlem sıklığı) kontrolleri ve cihaz parmak izi (device fingerprinting) gibi teknolojilerle API’lerin kötüye kullanılmasını engeller. Anormal API kullanım desenlerini tespit ederek kuruluşları potansiyel saldırılara karşı uyarır.
TCMB Uyumlu Risk Yönetimi İçin Neden IHS Teknoloji’yi Tercih Etmelisiniz?
TCMB rehberine uyum, sadece doğru teknolojiye sahip olmakla değil, aynı zamanda bu teknolojiyi yerel mevzuatın inceliklerine hakim bir iş ortağıyla hayata geçirmekle mümkündür.
Yerel Mevzuata Hakimiyet ve Uzman Destek
IHS Teknoloji, Türkiye’deki ödeme sistemleri ve regülasyonları konusunda derin bir uzmanlığa sahiptir. TCMB rehberindeki tüm senaryoları ve gereklilikleri, sunduğu çözümlere önceden entegre ederek kuruluşların uyum sürecini hızlandırır ve kolaylaştırır.
Fraud.com’un Küresel Teknolojisi ile Yerel İhtiyaçlara Özel Çözümler
Dünya lideri Fraud.com’un teknolojisini Türkiye pazarına sunan IHS Teknoloji, küresel düzeyde kanıtlanmış bir altyapıyı, yerel ihtiyaçlara ve yasal zorunluluklara göre özelleştirilmiş çözümlerle birleştirir. Bu sayede müşteriler, en son teknolojiden yerel destekle faydalanır.
Hızlı Entegrasyon ve Ölçeklenebilir Bulut Altyapısı
aiReflex’in bulut tabanlı (SaaS) mimarisi sayesinde, uzun ve maliyetli kurulum süreçlerine gerek kalmaz. Kuruluşlar, basit bir API entegrasyonu ile haftalar içinde sistemi kullanmaya başlayabilirler. Bulut altyapısı, artan işlem hacimlerine göre esneklik ve ölçeklenebilirlik sunar.
Sürekli Güncellenen Senaryolar ile Gelişen Tehditlere Karşı Proaktif Koruma
Dolandırıcılık yöntemleri sürekli gelişmektedir. IHS Teknoloji, küresel ve yerel tehdit ortamını sürekli izleyerek risk senaryolarını ve yapay zeka modellerini güncel tutar. Bu, müşterilerin sadece bugünün değil, geleceğin tehditlerine karşı da proaktif bir şekilde korunmasını sağlar.
Operasyonel Yükü Azaltarak Kaynakların Verimli Kullanımını Sağlama
Etkin bir bilgi güvenliği ve sahtekarlık önleme sistemi, operasyonel verimliliği artırır. aiReflex, “false positive” (yanlış alarm) oranını düşürerek ve manuel inceleme gerektiren vaka sayısını azaltarak, uyum ekiplerinizin zamanını ve enerjisini gerçekten riskli olan işlemlere odaklamasını sağlar. Bu da kaynakların çok daha verimli kullanılması anlamına gelir.