Türkiye’de finansal teknolojiler (fintek) sektörü, hızla büyürken beraberinde yeni riskleri de getirmektedir. Özellikle ödeme ve elektronik para kuruluşları için yasa dışı faaliyetlerin önlenmesi, hem yasal bir zorunluluk hem de kurumsal itibarın korunması açısından hayati önem taşır. Türkiye Cumhuriyet Merkez Bankası’nın (TCMB) yayımladığı risk yönetimi rehberi, bu alandaki kuralları net bir şekilde ortaya koyarak manuel takip sistemlerinin yetersizliğini vurgulamış ve otomatik takip mekanizmalarının kurulmasını zorunlu kılmıştır. Bu makalede, fintek şirketleri için otomatik takip mekanizmasının ne anlama geldiğini, yasal dayanaklarını, TCMB tarafından belirlenen asgari risk senaryolarını ve bu zorunluluklara uyum sağlamada teknolojik çözümlerin rolünü detaylı bir şekilde ele alacağız.
Fintek’te Otomatik Takip Mekanizmasının Yasal Çerçevesi ve Önemi
Finansal ekosistemin güvenliğini sağlamak amacıyla düzenleyici otoriteler, kuruluşların yasa dışı faaliyetlere karşı proaktif önlemler almasını beklemektedir. Bu beklentinin merkezinde, işlemleri anlık olarak analiz eden ve şüpheli durumları tespit eden otomatik takip mekanizmaları yer alır. Bu sistemler, büyük veri setleri içinde gizlenen karmaşık dolandırıcılık desenlerini insan müdahalesine göre çok daha hızlı ve etkin bir şekilde ortaya çıkarır.
Otomatik Takip Mekanizması Nedir?
Otomatik takip mekanizması, ödeme ve elektronik para kuruluşlarının gerçekleştirdiği tüm işlemleri gerçek zamanlı olarak izleyen, önceden tanımlanmış kurallara veya yapay zeka modellerine göre riskli olarak işaretleyen ve ilgili birimlere uyarı gönderen teknolojik altyapıdır. Bu mekanizmalar, sadece bilinen dolandırıcılık yöntemlerini değil, aynı zamanda normal davranış kalıplarından sapan anormal aktiviteleri de tespit ederek yeni ve gelişen tehditlere karşı koruma sağlar.
Hukuki Dayanak: 6493 Sayılı Kanun ve İlgili Yönetmelikler
Türkiye’de otomatik takip mekanizmalarının hukuki temelini 20/6/2013 tarihli ve 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” oluşturur. Bu kanun ve kanuna dayanılarak çıkarılan yönetmelikler, kuruluşlara suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesi gibi konularda ciddi yükümlülükler getirir. Bu yasal çerçeve, fintek şirketlerinin sadece birer teknoloji sağlayıcı değil, aynı zamanda finansal sistemin güvenliğinden sorumlu birer paydaş olduğunu vurgular.
T.C. Merkez Bankası’nın (TCMB) Risk Yönetimi Rehberi’nin Amacı ve Kapsamı
TCMB tarafından yayımlanan “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, 6493 sayılı Kanun kapsamındaki kuruluşlar için yol haritası niteliğindedir. Rehberin temel amacı, yasa dışı bahis, kumar ve dolandırıcılık gibi faaliyetlerin önlenmesi için alınması gereken minimum idari ve teknik tedbirleri standartlaştırmaktır. Rehber, kuruluşların kendi iç kontrol ve risk yönetimi süreçlerini bu asgari unsurlar üzerine inşa etmesini zorunlu kılar.
Otomatik Takip Zorunluluğu: Manuel Süreçlerin Yetersizliği ve Riskler
TCMB Rehberi, takip mekanizmalarının manuel olamayacağını açıkça belirtir. Günümüzdeki işlem hacimleri ve dolandırıcılık yöntemlerinin karmaşıklığı göz önüne alındığında, manuel süreçler yetersiz kalmaktadır. İnsan gözüyle yapılan kontroller yavaştır, hataya açıktır ve milyonlarca işlem arasındaki gizli ilişkileri tespit edemez. Manuel süreçlere güvenmek, hem düzenleyici kurumlar tarafından verilecek cezalara hem de ciddi finansal ve itibar kayıplarına yol açabilir.
Otomatik Takip Sistemlerinin Temel Çalışma Prensipleri
Etkin bir otomatik takip sistemi, sadece belirli kuralları uygulamakla kalmaz, aynı zamanda dinamik bir şekilde yeni tehditlere adapte olabilen akıllı bir yapıya sahip olmalıdır. Bu sistemlerin temel amacı, yasa dışı faaliyetleri proaktif bir şekilde tespit ederek finansal ekosistemi ve kullanıcıları korumaktır.
Risk Temelli Yaklaşımın Benimsenmesi
TCMB Rehberi, kuruluşların “risk temelli bir yaklaşımla” hareket etmesini şart koşar. Bu, her müşterinin, her işlemin ve her işyerinin aynı risk seviyesine sahip olmadığı gerçeğini kabul etmek anlamına gelir. Otomatik sistemler, müşteri profili, işlem geçmişi, coğrafi konum, kullanılan cihaz gibi onlarca farklı parametreyi analiz ederek her bir işlem için bir risk skoru oluşturur. Düşük riskli işlemler sorunsuz bir şekilde akarken, yüksek riskli olarak değerlendirilen işlemler ek doğrulamaya tabi tutulur veya engellenir.
Proaktif ve Sürekli İzleme Yükümlülüğü
Yasa dışı faaliyetlerle mücadele, tek seferlik bir kontrol değildir. Rehber, risk unsurlarının “proaktif ve devamlı olarak geliştirilmesi” gerektiğini vurgular. Bu, otomatik takip sistemlerinin sürekli olarak yeni dolandırıcılık senaryoları ve kurallarla güncellenmesi, makine öğrenmesi modellerinin yeni verilerle beslenerek daha akıllı hale getirilmesi gerektiği anlamına gelir. Amaç, dolandırıcıların her zaman bir adım önünde olmaktır.
Tespit, Değerlendirme ve Aksiyon Süreleri: Üç Saatlik Müdahale Kuralı
Rehberin en kritik maddelerinden biri, tespit edilen şüpheli durumlara müdahale süresiyle ilgilidir. Asgari risk unsurlarını içeren senaryoların “işlem anında” tespit edilmesi ve alınacak aksiyonların “işlem anından itibaren en geç üç saat içerisinde” belirlenmesi zorunludur. Bu dar zaman çerçevesi, manuel süreçlerle yönetilemeyecek kadar kısıtlıdır ve gerçek zamanlı çalışan otomatik sistemleri mutlak bir gereklilik haline getirir.
Teknolojik Altyapı: İHS Teknoloji’nin Sunduğu Fraud.com “Bulut İşlem İzleme” (aiReflex) Platformu
TCMB’nin belirlediği bu katı kurallara ve kısa müdahale sürelerine uyum sağlamak, gelişmiş teknolojik altyapılar gerektirir. Bu noktada Bulut İşlem İzleme (aiReflex) platformu gibi çözümler devreye girer. Fraud.com’un global tecrübesini IHS Teknoloji’nin yerel uzmanlığı ile birleştiren bu platform, kural tabanlı motorları yapay zeka ve makine öğrenmesi ile birleştiren hibrit bir yapı sunar. Davranışsal analiz, cihaz parmak izi (Device Fingerprinting) ve Velocity Check gibi gelişmiş yetenekleri sayesinde işlemleri milisaniyeler içinde analiz eder, TCMB rehberindeki tüm senaryoları otomatik olarak takip eder ve üç saatlik müdahale kuralına tam uyum sağlar. Bulut tabanlı (SaaS) yapısı sayesinde, fintek kuruluşları uzun ve maliyetli kurulum süreçleri olmadan bu gelişmiş teknolojiye hızla adapte olabilir.
| Özellik | Manuel Takip Süreçleri | Otomatik Takip Mekanizması (aiReflex) |
|---|---|---|
| Hız | Yavaş, saatler veya günler sürebilir | Gerçek zamanlı (milisaniyeler içinde) |
| Kapsam | Sınırlı sayıda işlem incelenebilir | Tüm işlemlerin %100’ü analiz edilir |
| Tespit Yeteneği | Sadece bilinen ve basit senaryolar | Karmaşık, gizli ve yeni dolandırıcılık desenleri |
| TCMB 3 Saat Kuralı | Uyum sağlamak neredeyse imkansız | Tam uyum sağlar |
| Verimlilik | Yüksek personel maliyeti, hataya açık | Düşük operasyonel maliyet, yüksek doğruluk |
| Ölçeklenebilirlik | İşlem hacmi arttıkça verimsizleşir | İşlem hacminden bağımsız olarak ölçeklenebilir |
Ödeme Hesabına İlişkin Hizmetlerde Otomatik Takip Senaryoları
TCMB Rehberi, ödeme hesapları üzerinden gerçekleştirilen işlemlerde yasa dışı faaliyetlerin tespitine yönelik çok sayıda spesifik senaryo belirlemiştir. Otomatik takip sistemleri, bu senaryoları anlık olarak izleyerek şüpheli durumları ortaya çıkarmakla yükümlüdür.
Bireysel Müşteri İşlem Davranışlarının İzlenmesi
Bir müşterinin normal işlem davranışlarındaki ani ve belirgin değişiklikler, yasa dışı faaliyetlerin en önemli göstergelerinden biridir. Sistemler, bu anormallikleri tespit etmek için hem bireysel hem de genel müşteri davranışlarını sürekli analiz eder.
Günlük ve Aylık Para Transfer Adetlerinin Takibi
Rehbere göre, bir bireysel müşterinin ödeme hesabından günde 10’dan veya ayda 15’ten fazla farklı kişiye para transferi yapması şüpheli bir durumdur. Otomatik sistemler, bu eşikleri anlık olarak takip eder ve limit aşıldığında alarm üretir. Bu kural, hesapların para katırı (money mule) olarak kullanılmasını engellemeyi hedefler.
Çok Sayıda Farklı Kişiye/Kişiden Para Transferlerinin Tespiti
Benzer şekilde, bir ödeme hesabına gün içinde 5 veya ay içinde 15 farklı kişiden para gelmesi de riskli bir göstergedir. Bu durum, genellikle yasa dışı bahis veya benzeri illegal organizasyonlarda küçük tutarlı tahsilatların tek bir hesapta toplanması senaryosunda görülür. Otomatik sistemler bu “dağıtık toplama” veya “toplu dağıtma” desenlerini kolayca tespit edebilir.
Yeni ve Genç Müşteri Hesaplarına Yönelik Özel İzleme Kuralları
Rehber, 20 yaşından küçük veya yeni açılmış bireysel hesaplara özel bir önem atfeder. Bu hesaplarda bir ay içinde 50’den fazla işlem yapılması veya toplam işlem tutarının 27.500 TL’yi aşması durumunda sistemin uyarı vermesi gerekir. Bu kural, finansal tecrübesi az olan gençlerin veya kimlik hırsızlığı ile açılmış yeni hesapların suistimal edilmesini önlemeye yöneliktir.
Erişim ve Kimlik Güvenliği Anormalliklerinin Tespiti
İşlemin kendisi kadar, işleme erişim şekli de önemli ipuçları barındırır. Dolandırıcılar genellikle kimliklerini gizlemek için çeşitli teknikler kullanır. Otomatik takip sistemleri, bu teknik anormallikleri tespit ederek fraud tespit ve önleme süreçlerini güçlendirir.
IP Adresi Bazlı Şüpheli Erişimlerin İzlenmesi (Tek IP’den Çoklu Erişim, Tek Hesaba Çoklu IP’den Erişim)
Aynı gün içinde aynı IP adresinden 5 veya daha fazla farklı bireysel müşteri hesabına giriş yapılması, bu hesapların tek bir merkezden kontrol edildiğine dair güçlü bir işarettir. Tersine, bir müşterinin hesabına aynı gün içinde 5 farklı IP’den erişilmesi ise hesabın ele geçirilmiş olabileceğini düşündürür. Sistemler, IP adresi, coğrafi konum ve zaman verilerini ilişkilendirerek bu tür şüpheli erişimleri anında yakalar.
Güvenilmeyen E-posta Sunucuları ve Ardışık E-posta Adreslerinin Kontrolü
Tek kullanımlık veya güvenilirliği düşük e-posta sunucularından alınan adreslerle hesap açılması bir risk faktörüdür. Ayrıca, “isim1@mail.com”, “isim2@mail.com” gibi ardışık veya benzer desenlere sahip e-posta adresleriyle çok sayıda hesap açılması, organize bir dolandırıcılık girişimini işaret edebilir.
Riskli Ülke Kodlu Cep Telefonu Numaralarının ve IP Adreslerinin İzlenmesi
Off-shore merkezler, yasa dışı bahis faaliyetlerinin yasal olduğu ülkeler veya MASAK tarafından yüksek riskli olarak tanımlanan bölgelere ait IP adresleri ve telefon numaraları üzerinden yapılan işlemler otomatik olarak daha yüksek bir risk skoru almalıdır. Sistem, bu coğrafi verileri anlık olarak kontrol ederek riskli işlemleri işaretler.
İşlem İçeriklerinin ve Amaçlarının Analizi
İşlemin açıklama alanı gibi metinsel veriler, işlemin gerçek amacı hakkında değerli bilgiler içerebilir. Modern sistemler, doğal dil işleme (NLP) yetenekleriyle bu alanları analiz ederek şüpheli anahtar kelimeleri veya anlamsız ifadeleri tespit eder.
Anlamsız veya Şüpheli Anahtar Kelimeler İçeren İşlem Açıklamaları
İşlem açıklaması alanında “kumar, bahis, bet, kmr, bhs” gibi kelimelerin veya kısaltmaların kullanılması ya da anlamsız, ardışık veya tekrar eden karakterlerin yer alması, işlemin yasa dışı bir faaliyete yönelik olabileceğini gösterir. Sistemler, bu tür ifadeleri içeren işlemleri otomatik olarak bloke edebilir veya incelemeye yönlendirebilir.
Belirli Riskli İş Kollarında (Kuyumculuk, Oyun Pini vb.) Yoğunlaşan İşlemler
Bir bireysel ödeme hesabının, ticari bir amaç gütmeksizin sürekli olarak kuyumculuk, oyun pini alım-satımı, kontör yükleme gibi yüksek riskli sektörlerde kullanılması, ticari faaliyetlerin bireysel hesap üzerinden gizlenmeye çalışıldığını düşündürür. Davranışsal analiz modelleri, bu tür anormal kullanım desenlerini tespit eder.
Tekrarlayan ve Çoklu Hesap Açma Girişimlerinin Tespiti
Aynı T.C. kimlik numarasıyla birden fazla hesap açılması veya aynı e-posta/telefon numarası kullanılarak farklı kimliklerle hesap açılmaya çalışılması önemli bir risk göstergesidir. Sistem, daha önce hesabı kapatılmış bir müşterinin farklı bilgilerle yeniden sisteme girmeye çalışmasını da engelleyebilmelidir.
Ödeme Aracının Kabulüne İlişkin Hizmetlerde (Sanal & Fiziki POS) Otomatik Takip Senaryoları
Üye işyerleri, yasa dışı faaliyetlerin finansal sisteme entegre olmasında kritik bir rol oynayabilir. Bu nedenle TCMB Rehberi, sanal ve fiziki POS hizmetleri sunan kuruluşlara, üye işyerlerinin işlem desenlerini yakından takip etme sorumluluğu yükler.
Üye İşyeri Ciro ve İşlem Hacmi Analizi
Bir işyerinin cirosundaki ani ve açıklanamayan değişiklikler, genellikle sahte veya yasa dışı işlemlerin bir göstergesidir. Otomatik sistemler, her işyeri için bir normal davranış profili oluşturur ve bu profilden sapmaları anında tespit eder.
Sektör Ortalamasının Üzerindeki Ani ve Olağandışı Ciro Artışları
Bir işyerinin cirosunun, ticari hayatın olağan akışına aykırı şekilde bir anda sektör ortalamasının üzerine çıkması veya bir önceki güne göre dört kat ve üzeri bir artış yaşaması, rehbere göre şüpheli bir durumdur. Örneğin, küçük bir e-ticaret sitesinin bir gecede büyük bir pazar yeri gibi ciro yapmaya başlaması, muhtemelen yasa dışı bahis tahsilatı gibi bir faaliyete işaret eder.
Yeni Kurulan İşyerleri İçin Kademeli Ciro Limitlerinin Takibi
Rehber, ticari geçmişi olmayan yeni işyerleri için kademeli limitler belirler: ilk ay 250.000 TL, ilk iki ay 500.000 TL ve ilk üç ay 1.000.000 TL. Otomatik sistemler, bu limitleri aşan yeni işyerlerini otomatik olarak incelemeye alarak “vur-kaç” tipi dolandırıcılıkları önler.
Ticari Geçmişle Uyumsuz Ciro Desenlerinin Tespiti
Daha önce düşük ve düzensiz ciroya sahip bir işyerinin aniden yüksek ve düzenli ciro yapmaya başlaması, işyerinin el değiştirdiğini veya yasa dışı faaliyetler için kullanılmaya başlandığını gösterebilir. Yapay zeka tabanlı sistemler, bu tür desen değişikliklerini normal dalgalanmalardan ayırabilir.
Şüpheli İşlem Desenlerinin İzlenmesi
İşlemlerin ne zaman, ne kadar tutarda ve ne sıklıkla yapıldığı, yasa dışı faaliyetlerin tespiti için önemli ipuçları sunar. Dolandırıcılar genellikle belirli kalıplar içinde hareket ederler.
Gece Saatlerinde ve Hafta Sonlarında Yoğunlaşan İşlemler
Bir işyerinin toplam işlem hacminin %50’sinin gece 21:00 ile sabah 06:00 arasında veya %75’inin hafta sonu gerçekleşmesi, meşru ticari faaliyetlerle genellikle uyumsuzdur. Bu durum, özellikle yasa dışı bahis sitelerinin en aktif olduğu zaman dilimleriyle örtüşür.
Tekrar Eden Düz Tutarlı (50, 100, 500 TL vb.) İşlemlerin Tespiti
Bir işyerinin aylık işlem tutarının %25’inin 50, 100, 250 TL gibi sürekli tekrar eden yuvarlak rakamlardan oluşması, standart bir ürün veya hizmet satışından çok, belirli paketler halinde sunulan yasa dışı hizmetlere (örneğin, bahis kredisi) işaret edebilir.
Çok Kısa Aralıklarla Gerçekleşen Seri İşlemler
İşlemlerin 1-2 dakika gibi çok sık aralıklarla art arda gerçekleşmesi, manuel olarak yapılan alışverişlerden ziyade, botlar veya otomatik sistemler tarafından tetiklenen sahte işlemleri düşündürür.
Teknik ve Operasyonel Risk Göstergeleri
İşlemin finansal verilerinin yanı sıra, teknik ve operasyonel veriler de dolandırıcılık tespiti için kritik öneme sahiptir. Bu veriler, işyerinin güvenilirliği ve operasyonel bütünlüğü hakkında bilgi verir.
Yüksek Harcama İtirazı (Chargeback) Oranlarının Takibi
Bir işyerine gelen haftalık harcama itirazlarının (chargeback) toplam işlem adedine veya tutarına oranının %5’i aşması, satılan mal/hizmetin kalitesiz, sahte veya hiç gönderilmemiş olabileceğini gösteren güçlü bir alarmdır.
İşyeri Domain Yaşı ve Sık IBAN Değişikliklerinin İzlenmesi
İşlem yapılan web sitesinin domain yaşının 3 aydan küçük olması, dolandırıcılık amacıyla hızla kurulan ve kapatılan sitelere işaret edebilir. Benzer şekilde, bir işyerinin son 3 ayda 3’ten fazla IBAN değiştirmesi, fonların izini kaybettirme çabası olarak yorumlanabilir.
Başarısız PIN veya SMS OTP Giriş Sayılarının Kontrolü
Bir POS cihazında veya sanal POS’ta son bir saat içinde 5 veya daha fazla sayıda “hatalı pin” veya “hatalı SMS OTP” uyarısı alınması, çalıntı kart bilgilerinin denendiği bir “kart test etme” (carding) saldırısını gösterebilir.
İşyeri Web Sitesi (URL) ve POS IP Bilgisi Uyumsuzlukları
Fiziki POS’un sık sık lokasyon değiştirmesi veya Türkiye’de faaliyet gösteren bir işyerinin POS sunucu IP’sinin yurtdışı olması gibi teknik uyumsuzluklar, paravan şirketler veya coğrafi kısıtlamaları aşmaya yönelik girişimler hakkında önemli sinyaller verir.
| Hizmet Türü | Risk Unsuru | TCMB Rehberi Eşik Değeri |
|---|---|---|
| Ödeme Hesabı (Bireysel) | Günlük farklı kişiye transfer | 10 adetten fazla |
| Ödeme Hesabı (Bireysel) | Aylık farklı kişiden transfer | 15 farklı kişiden fazla |
| Ödeme Hesabı (Yeni/Genç) | Aylık işlem tutarı (ilk ay) | 27.500 TL’den fazla |
| Sanal/Fiziki POS | Haftalık harcama itirazı oranı | %5’i aşması |
| Sanal/Fiziki POS | Gece (21:00-06:00) işlem oranı | Toplam cironun %50’sini aşması |
| Fatura Ödeme (Bireysel) | Aylık fatura ödeme adedi | 30 adetten fazla |
Fatura Ödemeleri, Para Havalesi ve Mobil Ödeme Hizmetlerinde Otomatik Takip
TCMB Rehberi, sadece geleneksel ödeme hesapları ve POS hizmetlerini değil, aynı zamanda fatura ödemeleri, para havalesi ve mobil ödeme gibi spesifik hizmet türlerini de kapsayan detaylı risk senaryoları sunar. Bu hizmetlerin doğası gereği farklı suistimal riskleri barındırması, onlara özel takip kurallarının oluşturulmasını gerektirir.
Fatura Ödemelerine Aracılık Hizmetleri İçin Risk Unsurları
Fatura ödeme noktaları veya platformları, yasa dışı fonların sisteme sokulması için bir araç olarak kullanılabilir. Bu nedenle temsilci ve müşteri bazında işlem adet ve hacimlerinin takibi kritik öneme sahiptir.
Bireysel ve Kurumsal Müşteriler İçin Aylık Fatura Adet Limitleri
Rehbere göre, bir bireysel müşterinin bir ayda 30’dan fazla fatura ödemesi veya bir işyerinin 70’ten fazla fatura ödemesi normal dışı bir davranış olarak kabul edilir. Bu durum, başkaları adına fatura ödeyerek komisyonculuk yapma veya yasa dışı fonları aklama şüphesini doğurur.
Olağandışı Fatura Sorgulama Sayılarının Tespiti
Ödeme yapılmasa bile, bir ay içinde bireysel bir müşterinin 90’dan, bir işyerinin ise 210’dan fazla fatura sorgulaması yapması bir risk göstergesidir. Bu, potansiyel kurbanların borç bilgilerini ele geçirmeye yönelik bir “veri toplama” faaliyeti olabilir.
Temsilci Bazında Ani Ciro Artışlarının ve Coğrafi Aykırılıkların İzlenmesi
Bir fatura ödeme temsilcisinin cirosunda ani ve dört katı aşan bir artış yaşanması veya faaliyet gösterdiği il dışındaki iller için yoğun bir şekilde fatura ödemesi yapması (günde 10, ayda 100 adetten fazla) şüpheli bir durumdur. Bu, temsilcinin yasa dışı bir tahsilat ağına dahil olmuş olabileceğini gösterir.
Para Havalesi Hizmetleri İçin Risk Unsurları
Para havalesi hizmetleri, fonların hızla ve genellikle daha az denetimle transfer edilmesine olanak tanıdığı için yasa dışı faaliyetlerde sıklıkla tercih edilir.
Düşük Müşteri Sayısına Rağmen Yüksek Ciro Elde Eden Temsilciler
Bir para havalesi temsilcisinin, hizmet verdiği müşteri sayısı az olmasına rağmen orantısız şekilde yüksek bir ciroya ulaşması, işlemlerin aslında birkaç büyük ve şüpheli kaynaktan geldiğini düşündürür.
Temsilcinin Kendi Hesabına Yüksek Tutarlı Fon Aktarımı
Temsilci konumundaki bir şirket ortağının, temsilcilik faaliyetleri üzerinden kendi şahsi hesaplarına 200.000 TL ve üzerinde fon aktarması, sistemin suistimal edildiğine ve gelirin kaynağının gizlenmeye çalışıldığına dair ciddi bir işarettir.
Mobil Ödeme Hizmetleri İçin Risk Unsurları
Mobil ödeme, özellikle “operatör faturalandırması” yoluyla yapılan ödemeler, takip edilmesi gereken kendine özgü riskler barındırır. TCMB, bu alanda gönderici (GHS) ve alıcı (AHS) hizmet sağlayıcıları için farklı sorumluluklar tanımlar.
Gönderen (GHS) Tarafında Gece Yapılan veya Tekrarlayan İşlemler
Gönderenin ödeme hizmeti sağlayıcısı (genellikle mobil operatörle ilişkili kuruluş) için, bir müşterinin gece 21:00 ile 06:00 arasında 3 adet mobil ödeme yapması veya aynı cep telefonu numarasından bir saat içinde aynı işyerine 3’ten fazla işlem yapması riskli kabul edilir. Ayrıca, uzun süredir mobil ödeme yapmamış bir hattın aniden bu hizmeti kullanmaya başlaması da şüphelidir.
Alıcı (AHS) Tarafında Üye İşyeri Kurallarının Uygulanması
Alıcının ödeme hizmeti sağlayıcısı (parayı işyeri adına tahsil eden kuruluş) için ise, “Ödeme Aracının Kabulüne İlişkin Hizmetler” başlığı altında detaylandırılan tüm üye işyeri takip kuralları (ciro takibi, şüpheli işlem desenleri vb.) geçerlidir.
API Bağlantılarının Güvenliği ve İzlenmesi
Uygulama Programlama Arayüzleri (API), fintek ekosisteminin temel yapı taşlarıdır. Ancak güvenliği ve izlenmesi sağlanmayan API’lar, yasa dışı faaliyetler için bir arka kapı oluşturabilir. TCMB Rehberi, API güvenliğine özel bir bölüm ayırarak kuruluşlara bu alanda net sorumluluklar yüklemiştir.
API Üzerinden Gerçekleşen Normal Dışı Davranış Desenlerinin Tespiti
Otomatik takip sistemleri, API üzerinden gelen istekleri de anlık olarak analiz etmelidir. Örneğin, tek bir IP adresinden çok sayıda farklı müşteri adına API üzerinden işlem yapılması veya bir müşteri hesabına kısa süre içinde farklı coğrafi konumlardaki IP’lerden API aracılığıyla erişilmesi gibi normal dışı davranışlar derhal tespit edilip engellenmelidir.
Denetim İzlerinin (Audit Trail) Eksiksiz Tutulması ve İçeriği
Kuruluşlar, API üzerinden geçen her işleme dair detaylı denetim izleri (log) tutmakla yükümlüdür. Bu izler asgari olarak; işlemin türü, tutarı, tarihi, saati, müşteri ve işyeri bilgileri, kaynak ve hedef IP adresleri gibi bilgileri içermelidir. Bu kayıtlar, olası bir sahtekarlık durumunda olayın aydınlatılması için hayati kanıt niteliğindedir.
Erişim Güvenliği Tedbirleri
API’ların yetkisiz ve amaç dışı kullanımını engellemek, sistem güvenliğinin temelidir. Rehber bu konuda katı kurallar getirmiştir.
Statik IP Zorunluluğu ve Beyaz Liste (Whitelist) Uygulaması
API üzerinden iletişim kuracak işyeri veya temsilci IP adreslerinin statik (sabit) olması esastır. Kuruluş, bu statik IP adreslerinden bir “beyaz liste” (whitelist) oluşturmalı ve bu liste dışından gelen tüm API isteklerini engellemelidir. Bu tedbir, API anahtarlarının çalınması durumunda bile yetkisiz erişimi büyük ölçüde önler.
API Anahtar Güvenliği ve Yetkilendirme Mekanizmaları
API’lere erişim, güçlü kimlik doğrulama ve yetkilendirme mekanizmaları ile kontrol edilmelidir. API anahtarları (API keys) gizli tutulmalı, düzenli olarak değiştirilmeli ve yetkisiz erişime karşı korunmalıdır. Tüm API iletişimi, SSL/TLS gibi güvenli protokoller üzerinden şifrelenerek yapılmalıdır.
URL ve IP Adresi Kısıtlamaları ile Amaç Dışı Kullanımın Önlenmesi
Kuruluş, bir işyerine sunduğu API’nin sadece o işyerinin beyan ettiği web sitesi (URL) ve IP adresi üzerinden çalışmasını sağlamalıdır. API token’ının kopyalanarak başka bir sitede kullanılmasının önüne geçilmelidir. Amaç dışı kullanımı tespit edilen işyeri veya temsilci ile iş ilişkisi derhal kesilmelidir.
TCMB Rehberine Uyumsuzluğun Sonuçları ve Yaptırımlar
TCMB tarafından yayımlanan risk yönetimi rehberi, bir tavsiye niteliği taşımaktan öte, 6493 sayılı Kanun kapsamında uyulması zorunlu bir düzenlemedir. Bu rehberde belirtilen asgari risk unsurlarını dikkate almayan ve gerekli otomatik takip mekanizmalarını kurmayan kuruluşlar, ciddi yaptırımlarla karşı karşıya kalabilir.
Yükümlülüklere Aykırılık Durumunda Uygulanacak Yaptırımlar
Rehberdeki talimatlara uyulmaması; “iç kontrol”, “risk yönetimi”, “riskli ve şüpheli işlemlerin takibi” ve “bilgi güvenliği” gibi temel yükümlülüklerin ihlali olarak kabul edilir. Bu tür ihlaller, TCMB’nin kuruluşun faaliyetlerini geçici veya kalıcı olarak durdurmasına kadar varabilecek ciddi idari tedbirleri gündeme getirebilir.
6493 Sayılı Kanun Çerçevesinde İdari Para Cezaları
İdari tedbirlerin yanı sıra, Kanun’un 27. maddesi uyarınca kuruluşlara yüksek tutarlı idari para cezaları uygulanabilir. Cezanın miktarı, ihlalin niteliği, tekrarlanıp tekrarlanmadığı ve kuruluşun finansal büyüklüğü gibi faktörler dikkate alınarak belirlenir. Bu cezalar, kuruluşların finansal sağlığını ciddi şekilde olumsuz etkileyebilir.
Operasyonel ve İtibari Risklerin Yönetimi
Yasal yaptırımların ötesinde, yasa dışı faaliyetlere aracılık ettiği tespit edilen bir kuruluşun yaşayacağı itibar kaybı, en büyük risklerden biridir. Müşteriler ve iş ortakları nezdinde güvenin kaybedilmesi, telafisi zor ve uzun süren bir sürece yol açar. Etkin bir otomatik takip mekanizması, bu operasyonel ve itibari riskleri yönetmenin en temel aracıdır.
Fintek’te Etkin Otomatik Takip Mekanizması İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
TCMB’nin karmaşık ve detaylı rehberine tam uyum sağlamak, sadece bir teknoloji satın almaktan daha fazlasını gerektirir. Bu süreç, hem yerel mevzuata hakimiyet hem de global ölçekte kanıtlanmış bir teknolojik altyapı ihtiyacını doğurur. IHS Teknoloji, bu iki kritik ihtiyacı tek bir çatı altında birleştirerek fintek kuruluşlarına anahtar teslim bir çözüm sunar.
TCMB Rehberindeki Tüm Senaryolara Uyumlu Hazır Kural Setleri
IHS Teknoloji, TCMB Rehberi’nde yer alan tüm asgari risk unsurlarını (ödeme hesabı, POS, fatura ödeme vb.) analiz ederek bunları önceden yapılandırılmış, hazır kural setleri haline getirmiştir. Bu sayede kuruluşlar, haftalar sürecek analiz ve kural yazma süreçleriyle uğraşmadan, platformu devreye aldıkları andan itibaren mevzuata uyumlu bir izleme altyapısına kavuşur.
Global Lider Fraud.com’un Gelişmiş aiReflex Platformu
IHS Teknoloji, sahtekarlık tespiti alanında dünya lideri olan Fraud.com’un Türkiye’deki özel iş ortağıdır. aiReflex platformu, sadece bilinen kuralları değil, aynı zamanda yapay zeka ve makine öğrenmesi modelleri ile daha önce hiç görülmemiş, karmaşık ve gizli dolandırıcılık desenlerini de proaktif olarak tespit eder. Bu hibrit yaklaşım, dolandırıcıların her zaman bir adım önünde olmanızı sağlar.
Yapay Zeka ve Makine Öğrenmesi ile Dinamik Risk Tespiti
Statik kurallar zamanla dolandırıcılar tarafından aşılabilir. aiReflex’in davranışsal analiz ve anomali tespiti yetenekleri, her kullanıcı ve işyeri için normal bir “davranış parmak izi” oluşturur. Bu normalin dışına çıkan her türlü şüpheli aktivite, geleneksel kuralların gözden kaçırabileceği durumlarda bile anında tespit edilir. Bu, “false positive” oranını düşürerek operasyonel verimliliği artırır.
Yerel Mevzuata Hakim Uzman Kadro ve Danışmanlık Desteği
Teknoloji tek başına yeterli değildir. IHS Teknoloji’nin uzman kadrosu, 6493 sayılı Kanun ve ilgili TCMB düzenlemeleri konusunda derin bilgiye sahiptir. Sadece teknik destek değil, aynı zamanda mevzuata uyum ve en iyi uygulamalar konusunda da danışmanlık hizmeti sunarak fintek kuruluşlarının yasal yükümlülüklerini eksiksiz bir şekilde yerine getirmelerine yardımcı olurlar.
Kolay Entegrasyon ve Ölçeklenebilir Bulut Altyapısı
aiReflex, bulut tabanlı bir SaaS (Software as a Service) platformudur. Bu, kuruluşların herhangi bir donanım yatırımı yapmadan, karmaşık kurulum süreçleri olmadan, basit API entegrasyonları ile sisteme hızla dahil olabilecekleri anlamına gelir. İşletmeniz büyüdükçe, bulut altyapısı da sizinle birlikte sorunsuz bir şekilde ölçeklenerek artan işlem hacminizi rahatlıkla karşılar.