Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmeliğin Değerlendirilmesi
Banka Dışı Mali Kuruluşların Uzaktan Kimlik Tespiti
11.01.2022 Tarihli Resmi Gazetede yayınlanan "Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik" ("Yönetmelik") ile Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman şirketlerinin ("banka dışı mali kuruluşlar") uzaktan kimlik tespiti yoluyla müşterilerinin kimlik tespitlerini gerçekleştirmelerine olanak sağlanmış, ayrıca uzaktan kimlik tespiti işlemin gerçekleştirilmesini takiben bu banka dışı mali kuruluşların müşterileriyle uzaktan sözleşme kurmalarının esasları düzenlenmiştir. Bu sayede bankalar dışında burada sayılan türdeki şirketlerin kimlik tespiti yapmalarında sürecin uzaması önlenmiş, bu tür şirketlerin uzaktan müşteri bulma ve uzaktan elektronik ortamda sözleşme ilişkisi kurabilmelerine olanak sağlanmıştır. Ayrıca aynı gün BDDK tarafından yapılan duyuruda da bu banka dışı mali kuruluşların da uzaktan müşteri edinme imkânı getirildiği, Yönetmelik ile bunlara uygulanacak usul ve esasların belirlendiği duyurulmuştur.
Yönetmeliğin hükümleri "Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik" ("Banka Yönetmelik") hükümleri ile büyük ölçüde bağdaşmaktadır. İşbu çalışmanın kapsamımdaysa Yönetmeliğin, Banka Yönetmeliğinden ayrışan hükümleri yer almaktadır. Bu çerçevede, Banka Yönetmeliğinde yer almayan ancak "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik"te yer alan hükümlerden, Yönetmeliğin "Kimlik Doğrulama ve İşlem Güvenliği" başlıklı 12. maddesi ve 7.500 TL sınırına kadar olan işlemlerde kimlik tespitinin "Yapay Zekâ Temelli Uygulamalar" ile yapılabilmesine olanak sağlayan 14. madde hükümleri, Yönetmelik ile Banka Yönetmeliği arasındaki temel farkları oluşturmaktadır. Bunlar dışında diğer hükümlerde yer alan farklılıklar da incelenmiştir.
Bu farklılıklar dışında banka dışı mali kuruluşlar için de uzaktan kimlik tespitine yönelik iş akışı, Banka Yönetmeliği ile uyumlu bir şekilde ilerlemektedir. Bu akışın kısaca özetlenmesi gerekirse; Potansiyel müşteri şirketin uygulaması üzerinden bir form doldurarak süreci başlatır. Bu forma istinaden risk değerlendirmesi yapılır ve müşteri riskli görülürse görüntülü görüşme başlamadan süreç sonlandırılır, kişinin risksiz olduğu kabul edildiğinde görüntülü görüşme aşamasına geçmek üzere kişiye SMS OTP iletilir ve kişinin cep telefonu numarası doğrulanır. Çevrimiçi görüntülü görüşmede öncelikle yakın alan iletişimi kullanılarak kimlik belgesinin doğrulanması gerçekleştirilir. Doğrulama bu aşamada gerçekleştirilemezse, görsel güvenlik unsurlarının kullanılması ile kimlik doğrulaması gerçekleştirilmeye çalışılır. Burada sürekli iş ilişkisi tesisinden önce şirketin risk temelli yaklaşımla sıkılaştırılmış tedbirleri uygulaması beklenmektedir. Müşteri temsilcisi bu görüşme boyunca, kişinin canlılığını tespit edici yöntemler kullanır, kişi ile kimlik belgesinin eşleştiğinden emin olur, bu şekilde gerçekleştirilen işlemler sonucu kimlik doğrulaması gerçekleştirilebilirse, müşteri temsilcisi kişiyi, kişinin kimlik belgesini ve üzerindeki bilgileri gösteren ekran görüntüleri oluşturur. Görüntülü görüşme sonrasında kişinin şirket tarafından verilecek hizmetler hakkında bilgilendirilmesi ve kişinin müşteri olacağına dair sözlü onayının alınması ile süreç tamamlanmış
olur. Bu konudaki süreç aşağıdaki şemada gösterildiği gibidir:
1. Süreç başlatılmadan önce uyulması gereken genel ilkeler
Yönetmeliğin 4. maddesinin 5. fıkrasında, uzaktan kimlik tespitine ilişkin olarak kullanılacak süreç, sistem, ürün ve hizmetlerin Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye'de olmasına özen gösterileceği ve bunun dış hizmet alımında önemli bir kriter olduğu belirtilmiştir. Aynı hüküm Banka Yönetmeliği'nin 4. maddesinin 5. fıkrasında, bu süreçlerin ve sistemlerin kritik bilgi sistemleri olarak değerlendirileceği şeklinde düzenlenmiştir. Kritik bilgi sistemlerinin tanımlandığı "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik" 29. madde hükmünde ise bu sistemlerin Türkiye'de üretilmesi veya ar-ge merkezlerinin Türkiye'de bulunması gerekliliği yer almaktadır. O halde iki yönetmeliğin ifadeleri arasındaki fark, esasa etkili bir farklılık olmayıp, uzaktan kimlik tespitine ilişkin sistemlerin Bankacılık mevzuatında kritik bilgi sistemi olarak kabul edilmesinden kaynaklanmaktadır. Hem banka dışı mali kuruluşlar bakımından hem de bankalar bakımından bu sistemlerin kullanılması dış hizmet alımında kritik olarak değerlendirilecektir.
2. Uzaktan kimlik tespitini yapacak müşteri temsilcisi ve çalışma ortamı
Yönetmeliğin 5. maddesinin 8. fıkrası ile BDDK'ya banka dışı mali kuruluşlar bakımından bankalardan farklılaşan bir düzenleme yetkisi getirilmiştir. Buna göre BDDK tarafından, banka dışı mali kuruluşların dış hizmet alımıyla müşteri temsilcisi istihdam etmeleri halinde, bu müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalışabilmesi konusunda izin verilmesi gerekecektir. Bu Şirketlerde dış hizmet alımıyla müşteri temsilcisi çalıştırılmak isteniyorsa ve bu müşteri temsilcisinin şirkete özel erişimi sınırlandırılmış ayrı bir alanda çalıştırılması planlanıyorsa, banka dışı mali kuruluşların BDDK'ya başvurarak izin alması zorunludur.
3. Sürecin başlatılması ile uyulması gereken genel ilkeler
Yönetmeliğin 6. maddesi 3. fıkrasında daha önceden Banka Yönetmeliğinde de yer alan hükmün dilinin sadeleştirilmesi kapsamında bir değişiklik yapılarak, Banka Yönetmeliğinde yer alan "belirli bir kişinin belirli bir müşteri temsilcisine atanması gibi" ifadesi Yönetmeliğe alınmamıştır. Ancak bu durum, banka dışı mali kuruluşlar bakımından bu işlemin yapılabileceğini göstermez. Zira bu şirketlerin uzaktan kimlik tespiti işleminde tahmin edilebilir durumlardan kaynaklanabilecek suistimal olasılığını azaltmak için gerekli mekanizmalar tesis etme yükümlülüğü devam etmektedir. Banka yönetmeliğindeki bir kişinin belirli müşteri temsilcisine atanması şeklindeki uygulama, tahmin edilebilir uygulamalar kapsamında gösterilen örneklerden birisidir. Banka dışı mali kuruluşların da müşterileri nezdinde bu şekilde gerçekleşebilecek tahmin edilebilir durumlardan kaçınması gerekmektedir.
4. Kullanılabilecek kimlik belgesi ve doğrulanması
Her iki yönetmeliğin 7. maddesinde kimlik tespitinin yapılması ve kullanılan kimlik belgesinin doğrulanması düzenlenmektedir. 3. fıkrada ise 1 ve 2. fıkralar kapsamında doğrulanamayan belgenin var olması halinde; sadece görsel güvenlik unsurları doğrulanabiliyorsa, banka dışı mali kuruluşların kişi ile sürekli iş ilişkisi tesis etmesinden önce sıkılaştırılmış tedbirlerin uygulanacağı, bu sıkılaştırılmış tedbirlerden risk temelli yaklaşımla birinin veya birden çoğunun ya da tamamının uygulanabileceği düzenlenmiştir. Bu madde kapsamında atıf yapılan sıkılaştırılmış tedbirler, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun uyarınca çıkarılmış olan, "Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik"in 26/A maddesinde yer alan tedbirlerdir. Bu maddenin bankalar tarafından uygulanmasındaysa, sürekli iş ilişkisi tesis edilmeye çalışılan banka nezdinde gerçekleştirilen ilk finansal hareketin, müşterinin tanınması esaslarının uygulandığı başka bir bankadan yapılmasının zorunlu tutulması şeklinde gerçekleşmektedir.
5. Kimlik doğrulama ve işlem güvenliği
Yönetmeliğin, Banka Yönetmeliğinden ayrılan düzenlemelerinden birisi 12. maddede yer alan kimlik doğrulama ve işlem güvenliği başlıklı maddesidir. Banka Yönetmeliğinde bu maddeyi doğrudan karşılayan bir madde bulunmamaktadır. Ancak burada yer alan düzenlemeler de yine bankacılık mevzuatından alınmıştır. Yönetmeliğin 12. maddesinde yer alan hükümler genel olarak, bankalar için "Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik" ("ebankacılık Yönetmeliği") içerisinde Elektronik Bankacılık Kısmı altındaki Kimlik Doğrulama ve İşlem Güvenliği başlıklı 34. maddede düzenlenmiştir. Ancak 34. maddede yer alan hükümler dışında; Yönetmeliğin 12. maddesinin 13. fıkrası, e-bankacılık Yönetmeliği'nin 38. maddesinden, Yönetmeliğin 12. maddesinin 14. fıkrası ise, e-bankacılık Yönetmeliği'nin 39. maddesinden alınarak Yönetmeliğe eklenmiştir.
Bunların karşılığında ise e-bankacılık Yönetmeliği'nde yer alıp da banka dışı mali kuruluşlara ilişkin Yönetmeliğe alınmayan, 34. maddenin 11, 12, 13. fıkraları, bankacılık işlemlerine özgü oldukları için kapsam dışında bırakılmıştır.
6. Yapay zekâ temelli uygulamalar
Yönetmeliğin 14. maddesi müşteri temsilcisi tarafından yapılacak işlemlerin yapay zekâ sistemleri tarafından da yapılabileceğini belirtmektedir. Bu kapsamda maddede, 7.500 TL sınırını aşmayan işlemler için, Yönetmelikte müşteri temsilcisi tarafından yerine getirileceği düzenlenmiş olan işlemlerin, yapay zekâ temelli yöntemler ile yapılabilmesine ilişkin esasların BDDK tarafından belirleneceği düzenlenmiştir. Bu kapsamda, banka dışı mali kuruluşların yapabileceği işlemlerde uzaktan kimlik tespitine yönelik gereklilikler, BDDK'nın bu konudaki düzenlemesinden sonra yapay zekâ temelli uygulamalar ile de gerçekleştirilebilecektir. Yönetmelik bu işlemlerin 7.500 TL sınırına kadar yapay zekâ ile yapılabileceğini düzenlemiş olsa da bu yöntemin detaylarının düzenlenmesi gerekmektedir. Bu konuda BDDK'nın ileride yapacağı düzenleme takip edilmelidir. BDDK tarafından yapılacak düzenlemede kimlik tespitinin uzaktan yapay zekâ aracılığı ile yapılmasına olanak sağlayacak bu sistemde gerekli önlemlerin alınması sağlanarak, Şirketler tarafından yaygın biçimde kullanılmaya elverişli şekilde düzenlenmesi beklenmelidir. BDDK tarafından yapılan duyuruda da Cumhurbaşkanlığının Ağustos 2021'de yayımladığı Ulusal Yapay Zekâ Stratejisi doğrultusunda, uzaktan müşteri ediniminde 7.500 TL sınırını aşmayan işlemlere ilişkin uygulamaların esaslarının BDDK tarafından belirlenebileceği duyurulmuştur.
7. Yürürlük Tarihi
Yönetmelik hakkında son olarak belirtilmesi gereken husus, Yönetmeliğin yürürlüğünün yayımı tarihinden bir ay sonra olarak belirlenmiş olmasıdır. Buna göre banka dışı mali kuruluşların, bu Yönetmelik kapsamındaki imkanlardan yararlanabileceği ve bu kuruluşların Yönetmelik kapsamındaki faaliyetlere ilişkin yükümlülüklerinden sorumluluğunun başlayacağı tarih 11 Şubat 2022 tarihi olacaktır.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
