Bankalarda Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin İkincil Mevzuat Çalışmaları Hakkında Hukuki Değerlendirme
Nisan 2021, ERDEMİR&ÖZMEN AVUKATLIK ORTAKLIĞIBankalarda Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin İkincil Mevzuat Çalışmaları Hakkında Hukuki Değerlendirme
Digital Onboarding (Uzaktan Müşteri Edinimi) Dayanak Mevzuat
Türk Bankacılık Sektörü, banka ile müşteri arasındaki ilişkinin ilk kurulma aşamasında sözleşmeleri yazılı olarak akdetmek zorundayken, 7247 sayılı Kanun ile birlikte “onbording” in uzaktan ve dijital yöntemlerle yapılması imkânı kanun düzleminde sağlanmıştır. 7247 Sayılı Kanun’un 6. Maddesi ile 19.10.2005 tarihli ve 5411 sayılı Bankacılık Kanununun 76. maddesinin ikinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“Bu Kanun’un 4. maddesinde yer alan faaliyet konularına ilişkin bankalar ve müşteriler arasındaki ilişkiler, yazılı şekilde veya uzaktan iletişim araçlarının kullanılması suretiyle mesafeli olarak ya da mesafeli olsun olmasın Kurulun yazılı şeklin yerine geçebileceğini belirlediği ve bir bilişim veya elektronik haberleşme cihazı üzerinden gerçekleştirilecek ve müşteri kimliğinin doğrulanmasına imkân verecek yöntemler yoluyla kurulacak sözleşmeler ile düzenlenir ve buna ilişkin usûl ve esaslar Kurul tarafından belirlenir. 07.11.2013 tarihli ve 6502 sayılı Tüketicinin Korunması Hakkında Kanun hükümleri saklı kalmak kaydıyla, bankalar ile bireysel müşterileri arasında akdedilecek sözleşmelerin içeriğinde yer alması gereken asgarî hususlar ile tip sözleşmelerin uygulanacağı işlemler, Kurulun uygun görüşü alınarak kuruluş birlikleri tarafından belirlenir.”
Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) bu Kanun maddesindeki değişiklik ile yetki alarak yaptığı ve yapacağı ikincil nitelikteki düzenlemeler ile bankalara artık sözleşmelerini akdederken iki farklı şekil şartından birisini tercih etmek zorunluluğunu düzenlemiştir. Bunlardan birincisi eski düzende olduğu gibi adi yazılı şekil diğeri ise BDDK’nın belirleyeceği kimlik doğrulama sistemlerine uygun olarak yapılacak mesafeli sözleşmelerdir.
Bu Kanun değişikliğinden sonra ilk ikincil mevzuat BDDK tarafından düzenlenmiştir. 15.03.2020 tarihli Resmi Gazete’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 43. maddesi de aynı şekilde BDDK’yı “…müşterinin veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla, uzaktan kimlik tespiti yöntemleri kullanabilir ya da hâlihazırda müşteri veya müşteri adına hareket eden kişi için daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alabilir. Bu fıkranın uygulanmasına ilişkin usul ve esasları belirlemeye Kurul yetkilidir.” maddesindeki düzenleme ile yetkilendirmiştir.
Bir diğer ikincil mevzuat ise 01.04.2021 tarihli Resmi Gazete’de yayınlanan Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik olmuştur. Nitekim anılan Yönetmelik’in 14. maddesi uyarınca işbu Yönetmelik hükümlerini Bankacılık Düzenleme ve Denetleme Kurumu Başkanı yürütmektedir.
Yönetmeliğin yayınlanamsından önce değişmesi beklenen “Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte Değişiklik Yapılmasına ilişkin Yönetmelik” 24.02.2021 tarihinde yayınlanmış olup, Kimlik tespitine yönelik 6A maddesi eklenmiş ve yürürlük tarihi 01.05.2021 olarak belirlendiği için BDDK Yönetmeliği de 01.05.2021 tarihinde yürürlüğe girecektir.
Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’ in getirdiği düzenlemeler
“Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine Ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (“Yönetmelik”)” 01.04.2021 tarihli Resmi Gazete’de yayınlanmış olup 01.05.2021 tarihinde yürürlüğe girecektir. İlgili Yönetmelik ile bankalar tarafından yeni müşteri kazanımında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve müşteri kimliğinin tespit edilmesini müteakip sunulacak bankacılık hizmetlerine yönelik olarak mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlenmektedir.
Uzaktan kimlik tespiti süreci nasıl işler?
Yönetmelik’in 4. maddesi uyarınca uzaktan kimlik tespiti, müşteri temsilcisi ile kişinin; fiziksel olarak aynı ortamda bulunması gerekmeksizin çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılır.
Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemlerinin alınması gerekmektedir.
İşbu bilgi notuna konu Yönetmelik’e göre uzaktan kimlik tespitine ilişkin kullanılacak süreçler ve sistemler, Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 29. maddesinin 10. fıkrası kapsamında kritik bilgi sistemleri olarak değerlendirilmektedir. Anılan madde uyarınca;
“Kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye'de üretilmesi veya üreticilerinin ar-ge merkezlerinin Türkiye’de bulunması için azami özen gösterilir ve dış hizmet alımında önemli bir kriter olarak değerlendirilir. Bu tür sağlayıcıların ve üreticilerin Türkiye'de müdahale ekiplerinin bulunması şarttır. Kurum, bankaların kullanacağı güvenlik ürünleri ve diğer bilgi teknolojileri unsurları hakkında ilave şartlar belirlemeye yetkilidir.” hükmünü haizdir.
Uzaktan kimlik tespiti süreci başlatılmadan önce kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulması gerekmektedir. Bankanın belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanları oluşturulmalı ve sürecin etkinliği test edilerek sonuçları yazılı hale getirilmelidir. Test sonuçlarının başarılı olmaması halinde sürece yönelik gerekli güncellemeler yapılması gerekecektir. Nitekim Yönetmelik uyarınca sürecin etkinliği ve yeterliliği sağlanmadıkça süreç uygulamaya konulmayacaktır.
Uzaktan kimlik tespiti sürecinin yılda en az 2 defa gözden geçirilmesi gerekmektedir. Bununla birlikte;
· Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi,
· İlgili mevzuatta değişiklik yapılması,
· Bankanın muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması,
· Kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması
gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi ve gerekli güncellemelerin yapılması aranmaktadır.
Görüntülü görüşme aşaması nasıl gerçekleştirilir?
Yönetmelik’in 5. maddesinde uzaktan kimlik tespitine ilişkin çalışma düzeni hakkında bilgiler verilmiş olup bu doğrultuda uzaktan kimlik tespitinin görüntülü görüşme aşaması, bu konuda eğitim almış müşteri temsilcileri tarafından gerçekleştirilecektir.
Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, Yönetmelik’te ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olmasının sağlanması gerekmektedir. Ayrıca müşteri temsilcisine uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı dâhil olmak üzere eğitim verilmelidir.
Engelli kişilere hizmet verilmesi amacıyla en az 1 müşteri temsilcisine gerekli eğitimlerin verilmesi gereklidir.
Uzaktan kimlik tespiti sürecinde kişiye güven verilmesi açısından müşteri temsilcisinin banka adına çalıştığını gösterir uygun bir ortamın oluşturulması veya buna yönelik yöntemler kullanılması gerekmektedir.
Yönetmelik’in 6. maddesi gereğince görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği banka uygulaması üzerinden elektronik ortamda doldurulan bir form ile almalı ve alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilmelidir. Risk analizi yapıldıktan sonra yapılan analiz sonucuna göre görüntülü görüşme başlatılmadan sürecin sonlandırılması mümkündür.
Uzaktan kimlik tespiti sürecinde uyulması gereken genel ilkeler
Yönetmelik’in 6. maddesinde süreç boyunca uyulması gereken genel ilkelere değinilmiştir. Bu doğrultuda uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilecek olup kişinin buna dair açık rızasının elektronik ortamda kayıt altına alınması gerekmektedir.
Kişi ile yapılacak görüntülü görüşmeden önce müşteri temsilcisinin soracağı asgari sorular belirlenmiş olmakla birlikte sorulan soruların sırası ve/veya türü değişkenlik gösterebilecektir.
Gerçekleşen iletişimin görüntü ve ses kalitesinin, Yönetmelik’te yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanmalıdır.
Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen tek kullanımlık parola elektronik haberleşme işletmecilerinin sunduğu kısa mesaj servisi (“SMS OTP”) aracılığıyla iletilecektir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanacak ve SMS OTP’nin sistemde başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış kabul edilecektir.
Uzaktan kimlik tespitinde kimlik doğrulaması
Yönetmelik’in 7. maddesi uyarınca;
“Uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip”
kimlik belgeleri kullanılmaktadır. Kimlik belgelerinin doğrulanması için;
· Kullanılan kimlik belgesinin belgeyi çıkaran yetkili makam tarafından verilip verilmediğinin,
· Kimlik belgesinin temassız yongası üzerindeki bilgilerin değiştirilip değiştirilmediğinin,
· Kimlik belgesinin temassız yongası üzerindeki anahtarların kopyalanarak oluşturulup oluşturulmadığının
kontrol edilmesi gerekmektedir. Buna karşılık doğrulamanın herhangi bir nedenle yapılamaması halinde kimlik belgesinin sahip olduğu görsel güvenlik unsurlarından en az 4 adedinin şekil ve içerik bakımından doğrulanması sağlanacaktır.
Görsel kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve müşteri temsilcisinin vereceği talimata göre ilave hareketler yapması sağlanacaktır. Bu doğrultuda kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenecektir.
Müşteri temsilcisinin, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı ve sahteliği gösteren hiçbir yapaylık bulunmadığından emin olması gerekmektedir.
Kimliği tespit edilecek kişi nasıl doğrulanır?
Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılacağı Yönetmelik’in 8. maddesinde hükme bağlanmıştır. Bu doğrultuda bankanın sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirler alması gerekmektedir.
Uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırması yapılacaktır. Müşteri temsilcisinin, kullanılan kimlik belgesindeki fotoğraf ile kişisel bilgilerin kişi ile uyuştuğundan emin olması gereklidir.
Müşteri temsilcisi, kimlik tespiti sürecinde kişi ile kuracağı diyalog ve yapacağı gözlemler neticesinde kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğuna kanaat getirmelidir.
Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit etme riskini en aza indirecek şekilde kullanılmasını sağlamak bankanın sorumluluğundadır. Banka uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izleyecektir. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanacaktır.
Kişinin, görüntülü görüşme aşamasının sonunda verilecek bankacılık hizmetleri hakkında bilgilendirilmesi ve banka müşterisi olacağını kabul ettiğine ilişkin sözlü onayının alınması akabinde süreç tamamlanmış olacaktır.
Görüntülü görüşme sürecinin sonlandırılması
Yönetmelik’in 9. Maddesinde görüntülü görüşme sürecinin sonlandırılmasına sebebiyet verebilecek haller hükme bağlanmıştır.
Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle Yönetmelik’te belirtildiği şekilde görsel doğrulama yapılmasının ve/veya kişi ile sözlü iletişim kurulmasının mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılacaktır. Süreçte başkaca bir tutarsızlık veya belirsizlik bulunması durumunda da görüşme aşamasının sonlandırılması mümkündür.
Kişi tarafından sunulan belgenin geçerliliği, dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden şüphe edilmesi durumunda da süreç sonlandırılabilecektir.
Uzaktan kimlik tespiti sürecinin tamamı sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınacak ve saklanacaktır.
Elektronik ortamda sözleşme ilişkisinin kurulması
Yönetmelik’in 12. maddesine göre Yönetmelik’te yer alan şartlar dâhilinde uzaktan kimlik tespitinin yapılması veya şubeler aracılığıyla müşteri kimliğinin yüz yüze tespit edilmesi akabinde internet bankacılığı ya da mobil bankacılık dağıtım kanallarından herhangi biri kullanıma açık olan müşterilerce gerçekleştirilmek istenen işlemlere yönelik sözleşme ilişkisinin mesafeli olarak kurulması durumunda, müşterinin sözleşmeyi kuran irade beyanının Bankaların Bilgi Sistemleri Ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’in 34. maddesinin 1. fıkrasına uygun olarak gerçekleştirilmiş bir kimlik doğrulama sonrasında söz konusu dağıtım kanalları üzerinden alınması şarttır. Anılan Kanun maddesi uyarınca elektronik bankacılık hizmetleri için bankaların müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilecektir. Nitekim müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
Müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için;
· Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet bankacılığı ya da mobil bankacılık dağıtım kanalları üzerinden müşteriye iletilmesi,
· (a) bendine göre müşteriye iletilen sözleşme ve bu sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının müşteriye özgü şifreleme gizli anahtarı ile imzalanarak bankaya iletilmesi,
· (a) bendine göre iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (b) bendine göre müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması şarttır.
Sonuç
BDDK’nın ikincil düzenlemelerinin yayınlanması ile digital onboarding ve Yönetmelik’te düzenlenen bankacılık sözleşmelerinin kurulması için potansiyel müşterinin gerekli kimlik doğrulama yöntemlerine müteakip artık bankanın müşterisi olmasından sonra müteakip işlemlerde herhangi bir fiziksel temasa gerek duymaksızın işlemlerini dijital ortamda gerçekleştirmesi sağlanacaktır. Ayrıca internet bankacılığı kullanımının açılması, kişisel verilerin paylaşımı rızasının verilmesi gibi uygulamada fiilen müşterilerin şubeye gitmesini zorunlu kılan dayatmalar da son bulacaktır. BDDK Yönetmelik ile Yeni Nesil Dijital Bankaların Türkiye’ de kurulması veya mevcut yurtdışında kurulu dijital bankaların Türkiye’ de faaliyet gösterebilmesi için gerekli bankacılık lisanslarının düzenlenebilmesinin önünü açmış olacaktır. Şubesiz ve dijital bankacılık dönemi 01.05.2021 tarihinde başlayacaktır.
KAYNAKÇA
https://www.resmigazete.gov.tr/eskiler/2021/04/20210401-7.htm
https://www.resmigazete.gov.tr/eskiler/2020/03/20200315-10.htm
https://www.resmigazete.gov.tr/eskiler/2020/06/20200626-1.htm
https://www.resmigazete.gov.tr/eskiler/2005/11/20051101M1-1.htm