Finansal teknolojilerin hızla gelişmesiyle birlikte ödeme ve elektronik para kuruluşları için fırsatlar kadar riskler de artmaktadır. Özellikle yasa dışı bahis, dolandırıcılık ve kara para aklama gibi faaliyetlerin finansal sistem üzerinden gerçekleştirilmeye çalışılması, bu kuruluşlar için ciddi bir tehdit oluşturur. Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan risk yönetimi rehberleri, bu tehditlere karşı alınması gereken önlemleri net bir şekilde ortaya koymaktadır. Bu makalede, üye işyeri şüpheli işlem tespitinin ne olduğunu, yasal dayanaklarını ve TCMB rehberi kapsamında belirlenen kritik senaryoları detaylı bir şekilde inceleyeceğiz. Ayrıca, bu karmaşık süreçte teknolojik çözümlerin nasıl bir fark yarattığını ve uyum sağlamayan kuruluşları bekleyen yaptırımları ele alacağız.
Üye İşyeri Şüpheli İşlem Tespiti ve Yasal Çerçevesi
Üye işyeri şüpheli işlem tespiti, ödeme ve elektronik para kuruluşlarının, hizmet verdikleri ticari işletmelerin (üye işyerleri) gerçekleştirdiği finansal işlemleri sürekli olarak izleyerek, yasa dışı veya standart dışı faaliyetleri belirleme sürecidir. Bu süreç, sadece finansal kayıpları önlemekle kalmaz, aynı zamanda kuruluşların yasal yükümlülüklerini yerine getirmesini ve itibarını korumasını sağlar.
Üye İşyeri Şüpheli İşlem Tespiti Nedir?
Bu kavram, bir üye işyerinin ticari profiline, sektör ortalamalarına ve işlem geçmişine uymayan anormal finansal aktivitelerin proaktif olarak saptanmasını ifade eder. Örneğin, bir işyerinin cirosunda ani ve açıklanamayan bir artış, gece saatlerinde yoğunlaşan işlemler veya çok sayıda harcama itirazı (chargeback) alınması gibi durumlar şüpheli işlem olarak değerlendirilir. Tespit süreci, hem kural tabanlı sistemler hem de yapay zeka destekli analizlerle yürütülür.
Finansal Ekosistem İçin Önemi ve Amacı
Şüpheli işlemlerin etkin bir şekilde tespiti, finansal ekosistemin genel sağlığı ve güvenliği için hayati önem taşır. Temel amaç, yasa dışı bahis, terörizmin finansmanı ve kara para aklama gibi suçların ödeme sistemleri aracılığıyla gerçekleştirilmesini engellemektir. Bu sayede hem tüketiciler korunur hem de ödeme kuruluşlarının itibarı ve finansal istikrarı güvence altına alınır. Aynı zamanda, yasal düzenlemelere tam uyum sağlanarak olası cezalardan kaçınılır.
Yasal Dayanak: T.C. Merkez Bankası (TCMB) Risk Yönetimi Rehberi
Türkiye’de faaliyet gösteren ödeme ve elektronik para kuruluşları için şüpheli işlem takibinin yasal çerçevesi, temel olarak 6493 sayılı Kanun ve bu kanuna dayanılarak TCMB tarafından yayımlanan yönetmelik, tebliğ ve rehberler ile çizilmiştir.
Rehberin Amacı, Kapsamı ve Hukuki Dayanağı
TCMB tarafından hazırlanan “Ödeme ve Elektronik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, 6493 sayılı Kanun kapsamında faaliyet gösteren kuruluşların alması gereken tedbirleri ve izlemesi gereken yöntemleri belirler. Rehberin hukuki dayanağı, ilgili kanun ve bu kanuna bağlı olarak çıkarılan “Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik” ve ilgili tebliğlerdir. Amacı, yasa dışı faaliyetlerin engellenmesi için asgari standartları oluşturmaktır.
Kuruluşların Yükümlülükleri ve Risk Temelli Yaklaşım Zorunluluğu
Rehber, kuruluşlara sadece belirli kuralları takip etme görevi vermez; aynı zamanda proaktif ve risk temelli bir yaklaşım benimsemelerini zorunlu kılar. Bu, her kuruluşun kendi müşteri ve işyeri portföyünü, sunduğu hizmetlerin niteliğini ve operasyonel risklerini analiz ederek kendi iç kontrol ve takip mekanizmalarını sürekli olarak geliştirmesi gerektiği anlamına gelir. Kuruluşlar, rehberde belirtilen asgari unsurlarla sınırlı kalmamalı, kendi dinamiklerine uygun ek senaryolar ve kontroller oluşturmalıdır.
TCMB Rehberi Kapsamında Takip Mekanizmalarının Asgari Unsurları
TCMB, rehber aracılığıyla şüpheli işlemlerin tespitinde kullanılacak takip mekanizmalarının temel çerçevesini çizmiştir. Bu çerçeve, manuel süreçlerin yetersizliğini vurgulayarak otomatik sistemlerin önemini ortaya koyar ve işlem anında tespit ile hızlı aksiyon alınmasını zorunlu kılar. Kuruluşların bu asgari unsurları temel alarak daha kapsamlı sistemler kurması beklenmektedir.
Otomatik Takip Sistemlerinin Gerekliliği
Rehber, şüpheli işlem takip mekanizmalarının manuel olamayacağını açıkça belirtir. İşlem hacimlerinin büyüklüğü ve anlık analiz ihtiyacı göz önüne alındığında, manuel takip hem yavaş kalır hem de hata payı yüksektir. Bu nedenle, kuruluşların kural tabanlı motorlar, yapay zeka ve makine öğrenmesi gibi teknolojileri kullanan otomatik sistemler kurması bir zorunluluktur. Bu sistemler, milyonlarca işlemi saniyeler içinde analiz ederek riskli kalıpları anında tespit edebilir.
İşlem Anında Tespit ve Aksiyon Süreleri
TCMB’nin en kritik beklentilerinden biri zamanlamadır. Rehbere göre, şüpheli işlem senaryolarına ilişkin tespitlerin “işlem anında” (real-time) gerçekleştirilmesi esastır. Tespit edilen bu riskli duruma ilişkin değerlendirme yapılması ve gerekli tedbirlerin alınması için tanınan süre ise işlem anından itibaren “en geç üç saattir”. Bu kısa süre, manuel müdahaleyi neredeyse imkansız hale getirerek otomasyon tabanlı dolandırıcılık tespit ve önleme sistemlerini kaçınılmaz kılmaktadır.
Ödeme Hesabına İlişkin Hizmetlerde Risk Göstergeleri
Bireysel veya kurumsal ödeme hesapları üzerinden gerçekleştirilen işlemlerde dikkat edilmesi gereken birçok risk göstergesi bulunmaktadır. Bu göstergeler, genellikle işlem sıklığı, tutarı, tarafların ilişkisi ve kullanılan cihaz/IP bilgileri gibi verilere dayanır.
| Risk Kategorisi | Bireysel Müşteri Limiti | Açıklama |
|---|---|---|
| Günlük Para Transferi | 10’un üzerinde | Bir hesaptan bir günde yapılan toplam transfer adedi (işyeri ödemeleri hariç). |
| Günlük Farklı Alıcı/Gönderici | 5 ve daha fazla | Bir hesabın gün içinde farklı kişilere para göndermesi veya farklı kişilerden para alması. |
| Aylık Farklı Alıcı/Gönderici | 15 ve daha fazla | Bir hesabın bir ay içinde farklı kişilere para göndermesi veya farklı kişilerden para alması. |
| Genç/Yeni Hesaplar (İlk Ay) | 50+ işlem veya 27.500 TL+ tutar | 20 yaşından küçük veya yeni açılmış hesaplar için belirlenen özel limitler. |
| Aynı IP’den Erişim | 5+ farklı müşteri hesabı | Aynı IP adresinden bir günde birden fazla bireysel hesaba erişilip işlem yapılması. |
Para Transferi Adet ve Sıklık Limitleri (Günlük ve Aylık)
Bir ödeme hesabından günlük 10’un üzerinde veya aylık 15’ten fazla farklı kişiye para transferi yapılması, hesabın kişisel kullanım amacı dışına çıktığına dair bir işaret olabilir. Bu durum, özellikle “para katırları” (money mules) olarak bilinen ve yasa dışı fonları sisteme sokmak için kullanılan hesaplarda sıkça görülür.
Farklı Kişilere/Kişilerden Gelen Transfer Yoğunluğu
Bir hesaba gün içinde 5, ay içinde ise 15’ten fazla farklı kişiden sürekli olarak para gelmesi veya aynı şekilde bu hesaptan farklı kişilere para gönderilmesi, hesabın bir toplama veya dağıtım merkezi olarak kullanıldığı şüphesini doğurur. Bu tür desenler, yasa dışı bahis veya piramit sistemlerde sıkça rastlanan bir yöntemdir.
Genç ve Yeni Hesaplara Yönelik İşlem ve Tutar Limitleri
Dolandırıcılar, genellikle finansal tecrübesi az olan gençleri veya yeni açılmış “temiz” hesapları hedef alır. Bu nedenle TCMB, 20 yaşından küçüklerin sahip olduğu veya yeni açılan hesapların ilk bir ay içindeki aktivitelerine özel limitler getirmiştir. Bir ay içinde 50’den fazla işlem yapılması veya toplam işlem tutarının 27.500 TL’yi aşması, bu hesapların detaylı incelenmesini gerektirir.
IP Adresi ve Cihaz Kullanım Anormallikleri
Teknolojik takip, şüpheli işlem tespitinin temel taşlarından biridir. Aynı gün içinde aynı IP adresinden 5 veya daha fazla farklı bireysel hesaba erişilmesi, bu hesapların tek bir merkezden kontrol edildiği şüphesini uyandırır. Benzer şekilde, bir müşterinin hesabına aynı gün 5 farklı IP’den erişilmesi de hesap ele geçirme (ATO) riskini veya hesabın paylaşımlı kullanıldığını gösterebilir.
E-posta ve Cep Telefonu Numarası Kullanım Desenleri
Güvenilmeyen veya geçici e-posta sunucularından (throwaway emails) alınan adreslerle hesap açılması, dolandırıcılık girişimleri için yaygın bir yöntemdir. Ayrıca, aynı e-posta veya cep telefonu numarasının bir yıl içinde birden fazla hesap açmak için kullanılması da önemli bir risk göstergesidir. Sağlayıcısı bilinmeyen operatörlere ait telefon numaraları da şüpheyle yaklaşılması gereken bir diğer unsurdur.
Riskli Ülke ve Bölgelerden Yapılan İşlemler
MASAK ve diğer uluslararası kuruluşlar tarafından yüksek riskli olarak tanımlanan ülkeler, off-shore merkezler veya bahis faaliyetlerinin yasal olduğu ülkelerden kaynaklanan IP adresleri veya bu ülkelere ait telefon numaraları ile yapılan işlemler otomatik olarak şüpheli kabul edilmeli ve daha sıkı bir kontrole tabi tutulmalıdır.
İşlem Açıklamalarındaki Şüpheli İfadeler ve Kalıplar
Para transferlerinin açıklama (dekont) kısımları önemli ipuçları barındırabilir. Anlamsız, ardışık veya tekrar eden karakterler (örn: “asdfg”, “1111”), yasa dışı faaliyetleri çağrıştıran kelimeler veya kısaltmalar (“kumar”, “bhs”, “bet”, “kacak” vb.) içeren açıklamalar, işlemin yasa dışı bir amaca hizmet ettiğinin güçlü bir göstergesidir.
Yüksek Riskli İşKollarında Hesap Kullanımı
Kuyumculuk, oyun pini (e-pin) satışı, kontör yükleme ve döviz alım-satımı gibi nakit akışının yoğun ve takibinin zor olduğu iş kollarında bireysel bir ödeme hesabının sürekli ve dikkat çekici bir şekilde kullanılması, ticari faaliyetlerin bireysel hesap üzerinden gizlenmeye çalışıldığına işaret edebilir ve bu durum da detaylı inceleme gerektirir.
Ödeme Aracının Kabulüne İlişkin Hizmetlerde (Sanal/Fiziki POS) Şüpheli İşlem Senaryoları
Üye işyerlerine sunulan sanal veya fiziki POS hizmetleri, yasa dışı faaliyetlerin finansmanında en sık kullanılan kanallardan biridir. Bu nedenle TCMB rehberi, bu alandaki şüpheli işlem senaryolarını detaylı bir şekilde ele almaktadır. İzleme mekanizmaları temel olarak ciro anormallikleri, harcama itirazları, işlem zamanlaması ve tutar kalıpları üzerine odaklanır.
Ciro Takibine Dayalı Risk Göstergeleri
Bir işyerinin cirosu, ticari faaliyetlerinin en temel göstergesidir. Cirodaki anormal değişimler, genellikle altta yatan şüpheli bir aktivitenin ilk işaretidir.
Sektör Ortalamasının Üzerinde Anormal Ciro
Her sektörün kendine özgü bir ciro dinamiği vardır. Bir ödeme kuruluşunun, kendi portföyündeki benzer işyerlerinin ortalamasını alarak bir “sektör ortalaması” belirlemesi gerekir. Yeni kurulan veya küçük ölçekli bir işyerinin, bu ortalamanın çok üzerinde günlük ciro yapması, ticari hayatın olağan akışına aykırıdır ve incelenmelidir.
Ticari Geçmişle Uyumsuz Hızlı Ciro Artışı
Bir işyerinin uzun süredir devam eden istikrarlı ciro grafiğinin aniden ve hızla yükselmesi şüphe çekicidir. Özellikle ticari geçmişiyle uyumlu olmayan bu tür sıçramalar, işyerinin yasa dışı fonları aklamak için kullanılıyor olabileceğini veya dijital dolandırıcılık faaliyetlerine aracılık ettiğini gösterebilir.
Belirli Oranların Üzerindeki Ani Ciro Sıçramaları
Rehber, bu konuda somut bir eşik de belirlemiştir. Bir işyerinin günlük cirosunda, ticari geçmişinden bağımsız olarak “dört kat ve üzeri” bir artış yaşanması, otomatik olarak riskli bir durum olarak kabul edilir ve derhal inceleme gerektirir. Bu kural, ani ve büyük ölçekli dolandırıcılık girişimlerini erken aşamada tespit etmeyi amaçlar.
Harcama İtirazı (Chargeback) Oranlarının Takibi
Harcama itirazı, kart sahibinin yaptığı bir işleme itiraz etmesi durumudur. Yüksek chargeback oranları, genellikle işyerinin sahte veya yanıltıcı satışlar yaptığının, ürün/hizmet teslim etmediğinin veya müşteri bilgilerini kötüye kullandığının bir göstergesidir. Haftalık harcama itirazlarının toplam işlem adedine veya tutarına oranının %5’i aşması, TCMB tarafından belirlenmiş kritik bir alarm seviyesidir.
İşlem Zamanlaması ve Konumuna İlişkin Anormallikler
İşlemlerin ne zaman ve nerede yapıldığı, en az tutarı kadar önemlidir. Dolandırıcılar genellikle dikkat çekmemek için mesai saatleri dışında veya beklenmedik konumlardan işlem yapmayı tercih eder.
Hafta Sonu Gerçekleşen İşlem Yoğunluğu
Çoğu sektörde ticari faaliyetler hafta içi yoğunlaşırken, bir işyerinin toplam işlem hacminin %75’inin hafta sonu gerçekleşmesi olağan dışı bir durumdur. Bu, özellikle hafta sonu denetimlerin daha az olacağını düşünen yasa dışı bahis siteleri için tipik bir işlem modelidir.
Gece Saatlerinde (21:00-06:00) Gerçekleşen İşlem Yoğunluğu
Benzer şekilde, bir işyerinin aylık cirosunun %50’sinin gece saatleri olarak kabul edilen 21:00 ile 06:00 arasında yapılması da önemli bir risk göstergesidir. Bu durum, yasa dışı kumar ve bahis sitelerinin veya uluslararası dolandırıcılık ağlarının faaliyet gösterdiği zaman dilimleriyle örtüşebilir.
Fiziki POS Lokasyon Değişikliği Sıklığı
Fiziki POS cihazlarının, kurulu olduğu adres dışında veya sürekli farklı lokasyonlarda kullanılması, POS’un amacı dışında kullanıldığına işaret eder. Özellikle faaliyet konusuyla uyumsuz yerlerde (örneğin, bir market POS’unun sürekli farklı şehirlerdeki otellerde kullanılması) işlem yapılması, POS’un “kiralandığı” veya yasa dışı faaliyetler için gezdirildiği şüphesini doğurur.
İşlem Tutarı ve Sıklığına İlişkin Desenler
Dolandırıcılar, işlemleri belirli kalıplar içinde gerçekleştirerek tespit mekanizmalarını atlatmaya çalışır. Bu desenlerin analizi, şüpheli faaliyetlerin ortaya çıkarılmasında kritik rol oynar.
Tekrar Eden Düz Tutarlı İşlemlerin Oranı
Bir işyerindeki aylık işlemlerin %25’inin 50, 100, 250, 500 TL gibi sürekli tekrar eden yuvarlak rakamlardan oluşması, “chip dumping” olarak bilinen ve kumar/bahis sitelerinde bakiye yüklemek için kullanılan bir yönteme işaret edebilir. Gerçek ticari işlemlerde tutarlar genellikle daha çeşitli ve küsuratlıdır.
Aynı Ödeme Aracıyla Kısa Sürede Çok Sayıda İşlem Yapılması
Bir işyerinde aynı kredi kartı veya ödeme aracından iki saat gibi kısa bir süre içinde 5 veya daha fazla sayıda işlem yapılması, kartın çalınmış olabileceği (kart kopyalama dolandırıcılığı) veya test amaçlı kullanıldığı şüphesini artırır. Bu durum, “velocity check” olarak bilinen hız kontrolü kuralları ile tespit edilir.
Sık Aralıklarla (1-2 Dakika) İşlem Gerçekleşmesi
İşlemlerin 1-2 dakika gibi çok sık aralıklarla art arda gerçekleşmesi, bu işlemlerin bir otomasyon veya bot tarafından yapıldığını gösterir. İnsan davranışına uymayan bu sıklık, genellikle sahte üyelik oluşturma, bakiye yükleme veya sistem açıklarını test etme gibi amaçlarla kullanılır.
İşyeri Bilgileri ve Ticari Faaliyete İlişkin Riskler
Sadece işlemleri değil, işyerinin kendisini de tanımak ve değerlendirmek önemlidir. İşletmeni Tanı (KYB) süreçleri, riskin kaynağında önlenmesini sağlar.
İşyeri Domain Yaşının Yeni Olması
Dolandırıcılık amacıyla kurulan web siteleri genellikle kısa ömürlüdür. Bu nedenle, bir sanal POS başvurusunda bulunan işyerinin internet sitesinin (domain) yaşının 3 aydan yeni olması, şüpheyle yaklaşılması gereken bir durumdur.
Sık IBAN Değişikliği
Bir işyerinin, ödeme alacağı banka hesabını (IBAN) son 3 ayda 3 veya daha fazla kez değiştirmesi, fonların izini kaybettirme veya bloke olan hesaplar yerine sürekli yeni hesaplar açma çabası olarak yorumlanabilir.
Yeni Kurulan İşyerleri İçin Belirlenen Ciro Eşikleri
Ticari geçmişi olmayan veya finansal bilgilerini sunamayan yeni işyerleri, yüksek riskli kabul edilir. TCMB, bu tür işyerleri için ciro limitleri belirlemiştir: İlk ay 250.000 TL, ilk iki ay 500.000 TL ve ilk üç ay 1.000.000 TL’ye ulaşan ciro, detaylı bir inceleme ve belge talebi gerektirir.
Web Sitesindeki Ürün/Hizmet Fiyatları ile İşlem Tutarı Uyumsuzluğu
İşyerinin web sitesinde satılan ürünlerin fiyatları (örneğin, 10-20 TL’lik dijital ürünler) ile POS’tan geçen işlem tutarlarının (örneğin, sürekli 500-1000 TL’lik işlemler) uyumsuz olması, sitenin bir paravan olarak kullanıldığını ve asıl amacın yasa dışı para transferi olduğunu gösteren en güçlü kanıtlardan biridir.
Şüpheli Ortaklık ve Yetkili Yapıları
Aynı kişilerin, düşük sermayeli ve benzer ortaklık yapılarına sahip birden fazla şirket kurarak bu şirketler üzerinden ödeme hizmeti almaya çalışması, organize bir dolandırıcılık girişimine işaret edebilir. Özellikle tecrübesi olmayan genç kişiler adına kurulan ve kısa sürede sektör ortalamasının çok üzerinde ciro yapan şirketler dikkatle izlenmelidir.
Fatura Ödemeleri, Para Havalesi ve Mobil Ödeme Hizmetlerindeki Risk Unsurları
POS hizmetlerinin yanı sıra, fatura ödemelerine aracılık, para havalesi ve mobil ödeme gibi diğer ödeme hizmetleri de yasa dışı faaliyetler için kullanılabilmektedir. TCMB rehberi, bu hizmet türlerine özgü risk senaryolarını da tanımlayarak kuruluşların dikkat etmesi gereken noktaları belirlemiştir.
Fatura Ödemelerine Aracılık Hizmetleri
Fatura ödeme noktaları veya “temsilciler” aracılığıyla sunulan bu hizmetler, nakit akışının sisteme dahil edildiği önemli kanallardır. Bu nedenle temsilci ve müşteri bazında çeşitli kontrollerin yapılması gerekmektedir.
Bireysel ve Ticari Müşteriler İçin Aylık Fatura Adet Limitleri
Bir bireysel müşterinin bir ay içinde 30’dan fazla fatura ödemesi veya bir ticari müşterinin 70’ten fazla fatura ödemesi, olağan dışı bir durum olarak kabul edilir. Bu, kişinin başkaları adına fatura ödeyerek komisyonculuk yaptığı veya yasa dışı fonları sisteme küçük parçalar halinde sokmaya çalıştığı anlamına gelebilir.
Aylık Fatura Sorgulama Adet Limitleri
Fatura ödemeden sürekli olarak sorgulama yapılması da bir risk göstergesidir. Bir bireysel müşterinin ayda 90, bir işyerinin ise 210’dan fazla sorgulama yapması, bu hizmetin bilgi toplama veya sistem açıklarını test etme gibi farklı amaçlarla kullanıldığı şüphesini doğurur.
Temsilci Cirosundaki Ani Artışlar
Bir fatura ödeme temsilcisinin günlük veya haftalık cirosunda dört kat ve üzeri bir artış yaşanması, POS hizmetlerindeki gibi bir alarm durumudur. Bu, temsilcinin yasa dışı bir organizasyonla iş birliği içine girmiş olabileceğine işaret eder.
Para Havalesi Hizmetleri
Para havalesi hizmetleri, özellikle uluslararası fon transferlerinde kara para aklama için kullanılma riski taşır. Temsilciler üzerinden yürütülen bu işlemlerde de dikkat edilmesi gereken bazı özel durumlar vardır.
Temsilcinin Aynı Zamanda Sanal POS Üye İşyeri Olması
Bir temsilcinin hem para havalesi hizmeti sunup hem de sanal POS üye işyeri olması, çıkar çatışması ve kontrol zorluğu yaratabilir. Bu durum, bir kanaldan gelen şüpheli fonun diğer kanal kullanılarak aklanmasını kolaylaştırabilir ve bu nedenle riskli olarak değerlendirilir.
Düşük Müşteri Sayısına Rağmen Yüksek Ciro Elde Edilmesi
Bir para havalesi temsilcisinin işlem yaptığı müşteri sayısı az olmasına rağmen toplam cirosunun çok yüksek olması, yapılan işlemlerin büyük tutarlı ve muhtemelen şüpheli olduğunu gösterir. Bu durum, organize suç örgütlerinin yüklü miktardaki paraları transfer etmek için belirli temsilcileri kullandığı senaryolarda görülebilir.
Mobil Ödeme Hizmetleri
Mobil ödeme, GSM operatörleri aracılığıyla yapılan ve ödeme tutarının telefon faturasına yansıtıldığı veya mevcut bakiyeden düşüldüğü bir sistemdir. Bu hizmetin kolaylığı ve hızı, dolandırıcılar için de cazip hale gelmektedir.
Gece Saatlerinde Yapılan Mobil Ödeme İşlemleri
POS işlemlerinde olduğu gibi, bir bireysel müşterinin gece 21:00 ile 06:00 saatleri arasında 3 adet mobil ödeme işlemi gerçekleştirmesi, riskli bir davranış olarak kabul edilir. Bu saatler, genellikle çevrim içi oyun ve bahis sitelerinin aktif olduğu zaman dilimleridir.
Aynı Numaradan Kısa Sürede Çok Sayıda Mobil Ödeme Yapılması
Bir cep telefonu numarasından bir saat içinde aynı işyerine 3’ten fazla veya farklı işyerlerine toplamda 5’ten fazla mobil ödeme yapılması, hesabın kötüye kullanıldığına veya dolandırıcılık amacıyla işlem yapıldığına dair güçlü bir işarettir.
Uzun Süre Pasif Olan Numaradan İlk Mobil Ödeme İşleminin Yapılması
Son bir yıl içinde hiç mobil ödeme yapmamış bir telefon numarasından aniden ilk mobil ödeme işleminin yapılması bir alarm durumudur. Bu, “uyuyan” bir hattın ele geçirilerek veya sahte belgelerle yeniden aktive edilerek dolandırıcılık için kullanıldığı anlamına gelebilir.
API Bağlantılarının İzlenmesi ve Güvenliğine İlişkin Tedbirler
Ödeme kuruluşlarının işyerlerine veya temsilcilerine sunduğu API (Uygulama Programlama Arayüzü) bağlantıları, işlemlerin hızlı ve otomatik bir şekilde gerçekleştirilmesini sağlar. Ancak bu teknolojik kolaylık, doğru yönetilmediğinde ciddi güvenlik riskleri de barındırır. TCMB rehberi, API güvenliği ve izlenmesi konusunda kuruluşlara önemli sorumluluklar yüklemektedir.
API Kullanan İşyerleri İçin Risk Değerlendirmesi Zorunluluğu
Bir işyerine API hizmeti sunmadan önce, kuruluşun kapsamlı bir risk değerlendirmesi yapması zorunludur. Bu değerlendirme, işyerinin faaliyet alanını, ticari geçmişini ve API’yi ne amaçla kullanacağını kapsamalıdır. Amaç, API’nin yasa dışı bahis gibi faaliyetlerde kullanılmasını en başından engellemektir. Bu süreç, etkin bir KYB (İşletmeni Tanı) mekanizmasının parçasıdır.
API Üzerinden Gerçekleşen Anormal Davranış Desenlerinin Kontrolü
API üzerinden gelen işlemlerin, normal dışı bir ödeme, fon transferi veya davranış deseni gösterip göstermediği sürekli olarak kontrol edilmelidir. Bu kontroller, özellikle IP adresi ve fon akışı üzerine yoğunlaşmalıdır.
IP Adresi Anormalliklerinin Takibi
API’ler aracılığıyla aynı IP adresinden çok sayıda farklı müşteri hesabına işlem yapılması veya bir müşteri hesabına çok kısa süreler içinde farklı IP’lerden giriş yapılması, hesapların kötüye kullanıldığını gösteren kritik sinyallerdir. Bu tür aktiviteler, hesap ele geçirme veya kimlik hırsızlığı gibi dolandırıcılık türlerine işaret edebilir.
Benzer Hesaplara Fon Akışının İzlenmesi
API kullanılarak şüpheli bir hesaptan sürekli olarak benzer özellikler gösteren diğer hesaplara (örneğin, hepsi yeni açılmış veya aynı bölgeden olan hesaplar) fon akışı olması, organize bir para aklama ağının varlığına işaret edebilir. Bu tür bağlantı analizleri, şüpheli ağların ortaya çıkarılmasında oldukça etkilidir.
API İşlemleri İçin Denetim İzlerinin Tutulması (Audit Trail)
Kuruluşlar, API üzerinden geçen her işleme dair detaylı denetim izlerini (log kayıtları) tutmakla yükümlüdür. Bu kayıtlar, olası bir sahtekarlık durumunda geriye dönük inceleme yapılmasına ve sorumluların tespit edilmesine olanak tanır. Kayıtlar asgari olarak işlem türü, tutarı, zamanı, müşteri ve işyeri bilgileri, kart verileri (güvenli standartlara uygun olarak) ve API isteğine ilişkin kaynak/hedef IP adresi gibi detayları içermelidir.
API Güvenlik Tedbirleri ve Amaç Dışı Kullanımın Engellenmesi
API’lerin güvenli bir şekilde yapılandırılması ve sadece izin verilen amaçlar doğrultusunda kullanılmasının sağlanması, kuruluşların en temel sorumluluklarından biridir.
| Güvenlik Tedbiri | Açıklama | Önemi |
|---|---|---|
| IP Adresi Kısıtlaması (Whitelist) | API’ye sadece önceden tanımlanmış, statik ve güvenli IP adreslerinden erişim izni verilmesi. | Yetkisiz ve şüpheli kaynaklardan gelen erişim taleplerini otomatik olarak engeller. |
| Güçlü Kimlik Doğrulama | API erişimi için çok faktörlü kimlik doğrulama (MFA) gibi güçlü mekanizmaların kullanılması. | Çalınan veya zayıf parolalarla API’ye sızılmasını önler. |
| API Token ve Back URL Kontrolü | Her işyeri için benzersiz (unique) API token’ı oluşturulması ve işlemlerin sadece bildirilen web sitesi (URL) üzerinden gelmesinin zorunlu kılınması. | API anahtarının çalınarak başka bir sitede kullanılmasını (amaç dışı kullanım) engeller. |
| Güvenli İletişim Protokolleri | Tüm API iletişiminin TLS gibi şifreli ve güvenli protokoller üzerinden yapılmasının sağlanması. | Verilerin ağ üzerinde dinlenerek çalınmasını (man-in-the-middle saldırıları) önler. |
IP Adresi Kısıtlaması ve Beyaz Liste (Whitelist) Uygulaması
API bağlantılarının güvenliğini sağlamanın en etkili yollarından biri, erişim için bir “beyaz liste” (whitelist) oluşturmaktır. Bu listeye sadece işyerinin bildirdiği statik IP adresleri eklenir ve liste dışından gelen tüm erişim talepleri engellenir. Bu basit ama etkili yöntem, yetkisiz erişim denemelerinin büyük çoğunu durdurur.
API Token Güvenliği ve Back URL Kontrolü
Her işyerine verilen API anahtarı (token) benzersiz olmalı ve sadece o işyerinin bildirdiği web sitesiyle ilişkilendirilmelidir. Sistem, işlem isteği geldiğinde, isteğin geldiği kaynak URL ile işyerinin kayıtlı URL’sinin aynı olup olmadığını kontrol etmelidir (Back URL kontrolü). Bu, API anahtarının çalınıp başka bir dolandırıcılık sitesinde kullanılmasını engeller.
Güçlü Kimlik Doğrulama ve Güvenli İletişim Protokolleri
Tüm API erişimleri, güçlü kimlik doğrulama mekanizmaları ile korunmalıdır. Ayrıca, API üzerinden iletilen tüm veriler, hem aktarım sırasında (in-transit) hem de depolandığı yerde (at-rest) şifrelenmelidir. Güvenli iletişim için TLS gibi güncel protokollerin kullanılması zorunludur.
Etkin Şüpheli İşlem Tespiti İçin Teknolojik Çözümler: Bulut İşlem İzleme (aiReflex)
TCMB rehberinde belirtilen yüzlerce senaryoyu, milyonlarca işlemi ve 3 saatlik aksiyon süresini manuel olarak yönetmek imkansızdır. Bu noktada, Bulut İşlem İzleme gibi otomasyon ve yapay zeka tabanlı teknolojik çözümler devreye girerek kuruluşların hem yasal yükümlülüklerini yerine getirmesini hem de operasyonel verimliliğini artırmasını sağlar.
Manuel Takibin Yetersizliği ve Otomasyonun Rolü
Manuel şüpheli işlem takibi, reaktif, yavaş ve insan hatasına açık bir yöntemdir. Günde milyonlarca işlemin gerçekleştiği bir ortamda, bir analistin tüm risk senaryolarını anlık olarak kontrol etmesi mümkün değildir. Otomasyon, bu sürecin gerçek zamanlı, tutarlı ve ölçeklenebilir bir şekilde yürütülmesini sağlayarak manuel süreçlerin yarattığı riskleri ortadan kaldırır.
Fraud.com Teknolojisi ile Gerçek Zamanlı İşlem İzleme
IHS Teknoloji’nin sunduğu AiReflex platformu, Fraud.com’un gelişmiş teknolojisini temel alır. Bu platform, gelen her bir işlemi milisaniyeler içinde yüzlerce kural ve risk senaryosuna göre analiz eder. Gerçek zamanlı (real-time) izleme yeteneği sayesinde, şüpheli bir işlem gerçekleştiği anda tespit edilir ve kuruluşun 3 saatlik aksiyon süresine tam uyum sağlamasına olanak tanır.
TCMB Rehberindeki Senaryoları Karşılayan Kural Motoru ve Yapay Zeka Desteği
AiReflex, TCMB rehberinde yer alan tüm asgari unsurları (ciro artışı, işlem sıklığı, IP kontrolleri, riskli kelime analizi vb.) içeren önceden tanımlanmış bir kural seti ile birlikte gelir. Ancak platformun gücü, sadece statik kurallarla sınırlı değildir. Yapay zeka ve makine öğrenimi algoritmaları, sürekli olarak işlem verilerini analiz ederek daha önce bilinmeyen yeni dolandırıcılık desenlerini ve anormallikleri proaktif olarak tespit eder. Bu hibrit yapı, hem bilinen hem de bilinmeyen tehditlere karşı kapsamlı bir koruma sağlar.
Davranışsal Analiz ve Anomali Tespiti Yetenekleri
Modern dolandırıcılıkla mücadele, sadece işlem verilerine bakmanın ötesine geçer. AiReflex, davranışsal biyometri teknolojisi kullanarak kullanıcıların fare hareketleri, yazma hızı, cihaz tutuş açısı gibi davranışsal özelliklerini analiz eder. Bir hesabın her zamankinden farklı bir şekilde kullanıldığını tespit ederek, kimlik hırsızlığı ve hesap ele geçirme gibi gelişmiş saldırıları bile önleyebilir. Cihaz parmak izi (Device Fingerprinting) ve velocity check gibi özellikler, bu yetenekleri daha da güçlendirir.
Raporlama ve Denetim Süreçlerinde Sağladığı Kolaylıklar
Yasal uyum, sadece tespit yapmakla bitmez; aynı zamanda yapılanları kanıtlamak ve raporlamakla da ilgilidir. AiReflex, tespit edilen tüm şüpheli işlemler, alınan aksiyonlar ve analiz sonuçları hakkında detaylı ve denetime hazır raporlar sunar. Bu, kuruluşların TCMB veya diğer denetim kurumları karşısında şeffaf ve sorumlu bir duruş sergilemesini kolaylaştırır, denetim süreçlerini hızlandırır.
Uyumsuzluğun Sonuçları ve Yaptırımlar
TCMB tarafından belirlenen kurallara ve rehberdeki talimatlara uymamak, ödeme ve elektronik para kuruluşları için ciddi sonuçlar doğurabilir. Bu sonuçlar sadece finansal cezalarla sınırlı kalmaz, aynı zamanda operasyonel ve itibari riskleri de içerir.
6493 Sayılı Kanun Kapsamındaki Yükümlülük İhlalleri
Rehberde belirtilen takip yöntemlerine uymamak ve risk unsurlarını dikkate almamak, 6493 sayılı Kanun nezdinde “iç kontrol”, “risk yönetimi”, “riskli ve şüpheli işlemlerin takibi” ve “bilgi güvenliği” gibi temel yükümlülüklerin ihlali olarak kabul edilir. Bu durum, kuruluşun yasalara aykırı faaliyet gösterdiği anlamına gelir ve doğrudan yaptırım nedenidir.
Uygulanabilecek İdari Para Cezaları
Yükümlülüklerini yerine getirmeyen kuruluşlara, 6493 sayılı Kanun’un 27. maddesi uyarınca idari para cezası uygulanır. Bu cezaların miktarı, ihlalin niteliğine ve tekrarına göre önemli ölçüde artabilir. TCMB’nin yayımladığı “İdari Para Cezalarına İlişkin Açıklama Rehberi”, uygulanacak ceza oranları ve esasları hakkında detaylı bilgi içermektedir. Bu cezalar, kuruluşların karlılığını doğrudan etkileyen ciddi mali yükler oluşturabilir.
İtibar Kaybı ve Operasyonel Riskler
Yasal yaptırımların ötesinde, adının yasa dışı faaliyetlerle anılması bir ödeme kuruluşu için en büyük risklerden biridir. Müşteri ve iş ortakları nezdinde yaşanacak güven kaybı, telafisi zor bir itibar zedelenmesine yol açar. Ayrıca, sürekli olarak dolandırıcılık vakalarıyla uğraşmak, chargeback maliyetlerinin artması ve operasyonel verimliliğin düşmesi gibi ek riskler de ortaya çıkar.
Üye İşyeri Şüpheli İşlem Tespiti İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
TCMB’nin giderek sıkılaşan denetimleri ve karmaşıklaşan dolandırıcılık yöntemleri karşısında, doğru teknoloji ortağını seçmek ödeme ve elektronik para kuruluşları için hayati bir karardır. IHS Teknoloji, sunduğu AiReflex Bulut İşlem İzleme platformu ile bu zorlu süreçte kuruluşlara uçtan uca bir çözüm sunar. Platform, TCMB rehberinin gerektirdiği tüm teknik ve operasyonel beklentileri karşılamakla kalmaz, aynı zamanda kuruluşları geleceğin tehditlerine karşı da hazırlar. Gerçek zamanlı analiz, yapay zeka destekli anomali tespiti ve esnek kural motoru sayesinde, manuel süreçlerin yarattığı riskleri ortadan kaldırır ve 3 saatlik kritik aksiyon süresine tam uyum sağlar. SaaS (Bulut Tabanlı Hizmet) modeli sayesinde hızlı bir şekilde kurulup devreye alınabilen AiReflex, kuruluşların hem yasal cezalardan korunmasına hem de operasyonel mükemmelliğe ulaşmasına yardımcı olur.
