BDDK, dün yayımladığı yönetmelik ile bankaların dijital müşteri edinimi yöntemi olarak “görüntülü görüşme” yöntemini kullanabileceğini ve müşterilerle yapılan sözleşmelerin elektronik ortamda imzalanabileceğini düzenledi. Düzenleme 1 Mayıs 2021 tarihinde yürürlüğe girecek.

Finans dünyasında dijital müşteri edinimi tarafında uzun zamandır beklenen “Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik” (“Yönetmelik”) 1 Mayıs 2021 tarihinde yürürlüğe girmek üzere Resmi Gazete’de yayımlandı.

Bankacılık Düzenleme ve Denetleme Kurumu’nun (“BDDK”) Yönetmeliği ile birlikte MASAK ve alt düzenlemelerine ilişkin yükümlülükler saklı kalmak kaydıyla bankaların görüntülü görüşme yöntemi ile kimlik doğrulamasına ve elektronik ortamda sözleşme kurmasına izin verilmektedir.

MASAK, geçtiğimiz aylarda yaptığı düzenleme ile uzaktan kimlik tespiti konusunu bir sıkılaştırılmış tedbir olarak düzenlemiş ve detayların ayrı bir düzenleme ile belirleneceğini ifade etmişti. MASAK’ın belirttiği düzenlemenin de yürürlüğe girmesi ile beraber bankaların uzaktan kimlik tespiti süreçlerini hangi işlemler bakımından yürüteceği netlik kazanacaktır.

Yönetmelikte,

  1. Uzaktan kimlik tespitine ilişkin genel ilkeler
  2. Uzaktan kimlik tespitini gerçekleştirecek personel ve çalışma ortamına ilişkin hususlar,
  3. Görüntülü görüşme esnasında uyulması gereken ilkeler,
  4. Kullanılabilecek kimlik belgelerinin tipi ve kişi/doküman doğrulamanın nasıl gerçekleştirileceği ve
  5. Uzaktan kimlik tespitinde sorumluluğun kimde olacağı ve
  6. Elektronik ortamda sözleşme ilişkisinin kurulması

düzenlenmektedir.

Bu hususlardan önemli olanlara değinecek olursak;

Yönetmelik uyarınca çevrimiçi görüntülü görüşme yani video üzerinden müşterinin veya müşteri adına hareket eden kişinin kimliğinin tespiti mümkün kılınmakta ancak bu görüşmenin banka personeli olan ve bu konuda özel eğitim almış müşteri temsilcisi tarafından yapılması zorunlu kılınmaktadır.

Bu doğrultuda yüz yüze olma ilkesinin tamamen kalkmadığını, bir anlamda dijitale taşındığını söylemek mümkündür.

Bunun yanında görevler ayrılığı prensibi doğrultusunda kimlik tespiti işleminin tek bir kişi tarafından başlatılması, onaylanması ve tamamlanmasına imkan vermeyecek bir şekilde tasarlanması ve işletilmesi zorunlu kılınmaktadır. Bununla beraber, onay aşamasında riskli bir işlemin tespiti halinde ilgili işlemin farklı bir müşteri temsilcisine gönderilerek değerlendirilmesi gerektiği belirtilmiştir.

Dolayısıyla bankaların bu iş sürecini uçtan uca görevler ayrılığı prensibiyle tasarlayıp, bu konuda eğitimli bir ekip kurmaları gerektiğini ve bu ekibi dış hizmet olarak almalarının mümkün gözükmediğini söyleyebiliriz.

Yönetmelikte, uzaktan kimlik tespiti için öngörülen akış aşağıdaki şekildedir;

  1. Kişinin açık rızasının elektronik ortamda kayıt altına alınması,
  2. Kişinin kimlik belgelerinin doğrulanması (bu yapılırken kimlik belgelerinin belirli koşulları taşıyan görüntüleri alınması, NFC gibi uygun BT teknolojileri kullanılması ve Kimlik Paylaşım Sisteminden faydalanılması)
  3. Kişinin doğrulanması (kişinin canlılığının, görüşmeyi kendi isteğiyle yaptığının, herhangi bir sosyal mühendislik veya zorlamaya maruz kalmadığının tespitine ilişkin kontrollerin yapılması)
  4. SMS OTP ile doğrulama yapılması (Banka tarafından iletilen SMS OTP’nin kişi tarafından doğrulanması)

Yukarıda sürecin yürütülmesi esnasında, Yönetmelik uyarınca güvenlik ve kişinin doğrulanması amacıyla zorunlu kılınan diğer detaylı kontrollerin yapılması ve önlemlerin alınması gerekmektedir.

Söz konusu akışta en dikkat çekici husus yakın alan iletişim (“Near Field Communication/NFC”) teknolojisinin kimlik belgesinin doğrulanması esnasında birincil yöntem olarak kullanılmasının zorunlu kılınmasıdır.

Bu doğrultuda, BDDK’nın kimliğin doğrulanması esnasında ana kural olarak NFC ile kontrol yapılmasını, bunun herhangi bir sebep dolayısıyla gerçekleştirilememesi halinde, kimlik tespitinin görsel güvenlik unsurlarından seçilen en az 4 adet unsurun doğrulanmasını zorunlu kılmıştır.

İkinci yöntemin benimsendiği durumlarda bankaların ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka bankadaki kişinin kendi hesabından yapılması zorunlu kılınmıştır.

Bu noktada, bankaların, uzaktan kimlik tespiti süreçlerinde yalnızca Türkiye Cumhuriyeti Kimlik Kartını kullanabileceğini ve sadece gerçek kişilerin ve gerçek kişi tacirlerin kimliklerini tespit edebileceğini de not etmek gerekir.

Yönetmelikteki düzenleme uyarınca, kimlik tespiti sürecinde kullanılacak sistemler, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetlerine İlişkin Yönetmelikte (“Bilgi Sistemleri Yönetmeliği”) düzenlenen “kritik bilgi sistemleri” kapsamına alınmaktadır.

Bu durum gerek bankalar tarafında bu konuda destek hizmeti alımı esnasında, gerek bu alanda bankalara teknoloji sağlayan firmalara hizmetlerini sunumu esnasında bir takım yükümlülükler getirmektedir.

Bilgi Sistemleri Yönetmeliği uyarınca, ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerin AR-GE merkezlerinin, Türkiye’de bulunması konusunda azami özen gösterilmesi gerekmektedir. Ayrıca dış hizmet alımı kapsamında esas alınan işbu kriterlerin önem arz edileceği belirtilerek hizmet sunan sağlayıcı ve üreticilerin Türkiye’de müdahale ekiplerinin bulunmasının da bir şart olduğunun altını çizmek gerekir.

Yönetmelikte uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlama sorunluluğu ve işlemlere itiraz halinde ispat yükümlülüğü ise bankaya verilmektedir.

Yönetmelik ile beraber uzaktan kimlik tespitinin yanında aynı zamanda müşteri ile elektronik ortamda sözleşme ilişkisinin kurulmasına yönelik de düzenlemeler getirilmiştir.

Yönetmelikte, uzaktan kimlik tespitinin yapılmasını ya da şubeler aracılığıyla müşteri kimliğinin yüz yüze tespit edilmesini müteakiben, internet bankacılığı ya da mobil bankacılık dağıtım kanallarından herhangi biri kullanıma açık olan müşterilerce gerçekleştirilmek istenen işlemlere yönelik sözleşme ilişkisinin -iki bileşenli doğrulama yapılmak şartıyla- mesafeli olarak kurulabileceği düzenlenmiştir.

Bununla beraber, mesafeli olsun olmasın, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulabilmesi için;

  • sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet bankacılığı ya da mobil bankacılık dağıtım kanalları üzerinden müşteriye iletilmesi ve
  • Müşterinin irade beyanının müşteriye özgü şifreleme gizli anahtarı ile imzalanarak bankaya iletilmesi şartı konulmuştur.

Bu doğrultuda sadece kimlik tespiti aşamasındaki sözleşmelerin değil, tekil işlem bazındaki sözleşmelerin de mesafeli olarak imzalanmasının önü açılmıştır.

Son olarak, müşteriye sunulacak bankacılık hizmetlerine yönelik olarak banka ile müşteri arasındaki ilişkileri düzenleyen ve resmi şekle veya özel bir merasime tabi olmayan her türlü sözleşmenin;

  • Yukarıda belirtilen elektronik ortamda kurulması veya
  • Müşterinin irade beyanının uzaktan kimlik tespitinin görüntülü görüşme aşamasında kimlik tespitini müteakip alınması suretiyle mesafeli olarak kurulması hallerinde

yazılı şekil şartının sağlanacağı kabul edilmiştir.

Mehaz Düzenleme; Almanya Federal Mali Denetim Otoritesi’nin (BaFin) konuya ilişkin genelgesi

BDDK’nın ilk taslağına ilişkin yazımızda da belirttiğimiz üzere, Yönetmeliğin detaylarına bakıldığında BDDK’nın Almanya Federal Mali Denetim Otoritesi (BaFin)’in “Circular 3/2017 (GW) — video identification procedures” başlıklı genelgesini kaynak olarak benimsediği görülmektedir.

BDDK’nın kimlik tespiti için benimsenecek olan yöntemi yeni baştan yaratmayıp dünyadaki iyi uygulama örneklerinden olan Almanya örneğini benimsemesinin ve bunun üzerinden kendi ihtiyaçlarına ve iç mevzuatına göre süreci şekillendirmesinin olumlu bir adım olduğu söylenebilir.

Halihazırda başarıyla uygulanan bir yöntemin benimsenmesi, sürecin işletilmesi için kurumların sahip olması gereken BT Altyapısı’nın hızlı bir şekilde karşılanmasını ve uzaktan kimlik tespiti sürecinin hızlıca yaygınlaşmasını sağlayacaktır.

Yönetmelik, bankaların kimlik tespiti esnasında uyması gereken usul ve esasları belirlemektedir.

Fintechlerin veya finansal sektörde hareket eden bankalar dışındaki kurumların bu konuya ilişkin uyacağı kurallar TCMB ve ilgili düzenleyici ve denetleyici kurumlar tarafından belirlenecek olup, belirlenecek kuralların bu Yönetmeliktekine benzer olması beklenmektedir.

Bilindiği üzere, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (“Bilgi Sistemleri Yönetmeliği”) uyarınca bankalar, müşteri veya müşteri adına hareket eden kişinin kimliğini tespit etmek amacıyla,

  • BDDK tarafından belirlenen yöntemleri kullanabilir, ya da
  • hâlihazırda ilgili kişi için daha önce kimlik tespitinde bulunmuş başka bir bankadan, açık bankacılık servisleri aracılığıyla üçüncü tarafa güven ilkesi kapsamında hizmet alabilir.

Yönetmelik ile beraber, Bilgi Sistemleri Yönetmeliği uyarınca öngörülen ilk yöntemin detayları belirlenmekte olduğundan, kimlik tespiti için ikinci yöntem olan üçüncü tarafa güven ilkesi kapsamında yapılacak kimlik tespitine ilişkin hususların ayrı bir düzenleme ile belirleneceği düşünülmektedir.

Yönetmeliği Mayıs 2021 tarihinde yürürlüğe girmesi öngörülmektedir. Bu sayede, ilgili tarihte Yönetmelikte belirtilen seviyede teknolojik altyapı, iş süreci tasarımı ve insan kaynağı ihtiyaçlarını karşılayan bankaların kimlik tespiti ve sözleşme süreçlerini uzaktan yürütmesi mümkün olacaktır.


Av. Gülsima Palaz – Av.Yaşar K. Canpolat | Canpolat Legal

KaynakCanpolat Legal - Medium