Kurucusu olduğum European Innovation Bridge bünyesinde, her birisi kendi alanında profesyonel bir kariyere sahip uzmanlar ile hazırladığımız Avrupa Ekosistem Raporu’nun ikinci bölümünü FinTech İstanbul’da paylaşmaktan mutluluk duyuyorum. Her hafta yeni bir bölümünü paylaşacağım bu raporun ilk bölümüne aşağıdaki linkten ulaşabilirsiniz.

Finansta CBDC Dönemi: Merkez Bankaları Herkesin Bankası mı Oluyor?

Yazar: Haluk İnanmış, Inted Ltd. (Almanya)

Özgeçmiş: Kariyerinin büyük bir bölümünü İş Bankası bünyesinde, bankanın yurtiçi ve yurtdışındaki iştiraklerinde bilgi teknolojileri, uluslararası bankacılık, dijital bankacılık ve ödeme sistemleri alanlarında uzmanlaşarak geçiren Haluk İnanmış, 18 yılından başlayarak kurucusu olduğu Inted Ltd. bünyesinde, Almanya’da,  başta Açık Bankacılık olmak üzere Kriptovarlık ve Dijital Kimlik Sistemleri alanında küçük ve orta ölçekli yabancı Banka ve Fintech’lere danışmanlık hizmeti vermektedir.

Finans Sektöründe Güvenli İletişim ve Dijital Kimlik ile İlgili Gelişmeler

Dijital dönüşüm bir dizi sektörde olduğu gibi, finans sektöründe de önemli etkiler yarattı.  Bunlardan belki de en önemlisi, bankaların müşteri verilerini ve farklı kanallar üzerinden sundukları bankacılık hizmetlerini, müşterinin izni doğrultusunda dış şirketlerin kullanımına açmalarıydı. Açık bankacılık olarak adlandırılan bu uygulama, bir yandan söz konusu şirket ve bankalar arasında yeni işbirliği fırsatları doğururken öte yandan önlem alınması gereken bir dizi yeni riski de beraberinde getirdi.

2018 yılında İngiltere’de Fintech Futures ve TLT Hukuk bürosu tarafından açık bankacılık ile ilgili risk ve problemler konusunda bir anket düzenlendi. Finans sektörünün değişik kesimlerinden üst düzey yüz otuz yöneticinin katıldığı ankette, katılımcıların yüzde altmış yedisi müşteri verilerinin amacı dışında kullanılması veya veri kaybı neticesinde, müşteri güveninin yitirilmesini, en büyük risk faktörü olarak değerlendirdi. Katılımcıların yüzde elli ikisi ikinci büyük risk faktörü olarak verilere erişim yetkisine sahip üçüncü tarafların veri kaybına uğramasını görürken, katılımcıların yarısı en büyük risk faktörü olarak finansal kurumlarda geniş kapsamlı bir bilgisayar korsanlığı saldırısı neticesinde oluşabilecek dolandırıcılık riskini gördü.

Söz konusu bu risklerin oluşmasının önüne geçebilmek, açık bankacılık sistemine taraf olan şirketlerin, müşteri verileri ve veri iletişiminin güvenliği konusunda gereken önlemleri alabilmesine bağlıdır. Ayrıca, kimlik doğrulamadan başlayarak tüm süreci uçtan uca herhangi bir dolandırıcılığa ihtimal vermeden güvenli bir şekilde hayata geçirmek de son derece önemlidir.

Avrupa Birliği’ne üye tüm ülkelerde Eylül 2019’da devreye giren PSD2 Açık Bankacılık Yönetmeliği, AISP (Account Information Service Provider) ve PISP (Payment Initiation Service Provider) tarafından, bireysel müşterilerin bankalardaki ödeme hesaplarının sorgulanmasının ve bankalara ödeme talimatı iletim işlemlerine aracılık etmesinin önünü açıyor.  Burada söz konusu iki kuruluş, bankalar nezdindeki kimlik doğrulamalarını ve güvenli iletişimi, eIDAS mevzuatına uygun elektronik sertifikalar (QWAC, QSEALC) kullanarak sağlar. Buna göre bankalar ancak paylaşılan sertifikanın geçerliliğini ve üçüncü tarafın söz konusu işlem için yetkili olup olmadığını, gerçek zamanlı olarak kontrol ettikten sonra üçüncü taraflara talep ettikleri işlem için erişim izni verir.

PSD2 kapsamında bireysel müşterilerin üçüncü taraflar üzerinden bankalara erişim sağlayabilmeleri için SCA (Strong Customer Authentication) adı verilen, çift faktör ve işlem bağlantılı bir koda dayanan, kimlik doğrulama sistemi tarafından onaylanmaları gerekir. Ayrıca müşterilerin bankalarına, üçüncü taraflara yönelik süreli bir veri erişim yetkisi bilgilendirmesinde (Consent Management) bulunmaları da gerekir.

Her ne kadar PSD2 ile Avrupa’da açık bankacılık uygulanıyor gibi görünse de, özellikle güvenli iletişim yöntemlerine, müşteri ile üçüncü tarafların kimlik doğrulama süreçlerine ve üçüncü taraf yetkilendirmelerine bakıldığında, bankadan bankaya farklılıklar olduğu görülebilir. Bu da bu alanda faaliyet gösteren üçüncü tarafları ya sadece belli bankalarla uyumlu olmaya ya da tüm bankalarla uyumlu olabilmek adına karmaşık bir yapıyı hayata geçirmeye yönlendirmektedir. Bu sorunun çözümüne yönelik, piyasada üçüncü taraflara güvenlik hizmeti sağlayacak bazı platformlar oluşmuş olsa da tüm bu sorunlu alanları adresleyecek güvenlik platformu sayısı hâlihazırda yok denecek kadar azdır.

Açık bankacılığın yanı sıra güvenli iletişim ve kimlik doğrulaması alanını adresleyen birtakım düzenleme de Avrupa Birliği’nde yer alan finansal kuruluşları ve ilgili üçüncü tarafları derinden etkilemeye devam ediyor:

  • GDPR ile birlikte gelen, müşterinin iznine bağlı olarak bankanın, hangi müşteri bilgilerini, kimlerle, ne amaçla ve ne kadar süreyle paylaşılabileceğine dair kısıtlar Mayıs 2018 itibarıyla devreye girdi.
  • Artan siber güvenlik riskleri nedeniyle bankacılık bilgi sistemleri verilerinin saklanması, verilere güvenli erişim gibi alanlarda yerine getirmesi gereken asgari şartlar arttırıldı. (BAIT)
  • Avrupa Birliği’nde Kasım 2015’te yürürlüğe giren “e-identification” yönetmeliği Eylül 2018’den itibaren elektronik kimliklerin (eID) tüm üye ülkelerce kabulünü gerektiriyor.
  • Gerek yürürlükte olan dördüncü Kara Para Aklama Yasası gerekse Temmuz 2018’den itibaren yürürlüğe giren ve Ocak 2020’de üye ülkelerce yasalaştırılan, beşinci Kara Para Aklama Yönetmeliği’nde KYC süreçleri dijitalleştirildi.

Tüm bu yasal düzenlemelerden bağımsız olarak finansal kuruluşların dijital kanallar üzerinden müşterilerine sundukları bankacılık hizmetlerinin giderek daha karmaşık hale gelmesi ve sürece birçok ulusal ya da uluslararası kurumun katılımını gerektirmesi, güvenli iletişim ve kimlik doğrulamaya olan ihtiyacı da arttırmakta.

Değişen Banka ve Müşteri İlişkisi

Dijital bankacılık alanındaki gelişmeler alışılagelmiş banka ve müşteri ilişkilerini de değiştiriyor. Son dönemde meydana gelen ve sektörde rekabeti arttırmaya yönelik regülasyon kaynaklı değişiklikler piyasada finansal hizmet sunan bir dizi farklı kurumun (Elektronik Para Kuruluşları, Ödeme Servis Sağlayıcıları, AISP, PISP, PIISP gibi) ortaya çıkmasına neden oldu. Bunun sonucu olarak da müşterilerin bankalarına yönelik beklentilerinde değişiklikler gözlendi. Bunun yanı sıra yeni teknolojik altyapıların (API, bulut, IoT gibi) finans sektöründe giderek yaygınlaşmasının da, bu değişimde büyük rolü olduğu su götürmez bir gerçek.

Bireysel müşterilerin ve bankaların, dijital bankacılıktan beklentilerini inceleyelim.

A- Bireysel müşteriler dijital bankacılıktan neler bekliyor?

  • Uzaktan, dijital kimlikleriyle banka müşterisi olabilmeyi,
  • Tüm ürün başvurularını dijital kanallar üzerinden gerçekleştirebilmeyi,
  • Farklı bankalardaki finansal durumlarını birleşik şekilde izleyebilmeyi,
  • Çalıştıkları bankayı istediklerinde değiştirerek, tüm bankacılık ürünlerini dijital ortam üzerinden başka bir bankaya aktarabilmeyi,
  • Bankaların, bankacılık dışında işlemlere de (seyahat, eğitim, sağlık gibi) aracılık etmesini,
  • Dijital kanallar üzerinden başvurarak bankalardan anında ev ve araç kredisi alabilmeyi,
  • Dijital kanallar üzerinden işlemlerini herhangi bir dolandırıcılığa maruz kalmadan güvenli bir şekilde gerçekleştirebilmeyi,
  • Alınan izne uygun olarak kendi verilerine kimlerin, ne amaçla eriştiğini takip edebilmeyi.

B- Bankalar dijital bankacılıktan neler bekliyor?

  • Dijital kimlik yoluyla dijital kanallar üzerinden yeni müşteri kazanımı sağlayabilmeyi,
  • Müşterilerinin ürün başvurularını dijital kanallar üzerinden alabilmeyi,
  • Müşterilerinin başka bankalardaki durumunu ve ürün kullanımını takip edebilmeyi,
  • Açık bankacılık kapsamında, belirli hizmetleri dış firmalara açıp parasallaştırabilmeyi,
  • Finansal teknoloji şirketleriyle iş birliğine giderek müşterilerine, kendilerine ek gelir yaratabilecekleri, yeni, bankacılık dışı hizmet ve ürünler sunabilmeyi,
  • Şu ana kadar şubeler aracılığıyla sunulabilen ticari kredi, dış ticaret işlemleri gibi karmaşık bankacılık hizmetlerini de müşterilerinin dijital kimlik bilgilerini kullanarak dijital kanallar üzerinden sunabilmeyi,
  • GDPR ile birlikte giderek daha önemli bir hale gelen müşteri verilerinin güvenliği kapsamında, müşterinin yetkisi doğrultusunda ilgili tarafların bu verilere güvenli bir şekilde erişim sağlayabilmesini,
  • Dijital kimlik kullanımını arttırarak, şubeye gidilmesi gereken ve bankaya operasyonel yükü yüksek (Due Diligence, KYC gibi) süreçleri de daha verimli hale getirebilmeyi,
  • Dijital kimlik kullanımını arttırarak kimlik dolandırıcılığı nedeniyle ortaya çıkan mali kayıplarını asgari düzeye indirebilmeyi.

Banka ve bireysel müşterilerin dijital bankacılıktan beklentilerinin büyük oranda örtüştüğü söylenebilir. Beklentilerin büyük bir kısmı; veri güvenliği, güvenli iletişim ve dijital kimlik ile ilgili altyapıların şekillenmesiyle birlikte çözümlenebilir görünüyor.

Dijital Kimlik Alanındaki Yeni Katma Değerli Hizmetler

Yazının önceki kısımlarında değindiğimiz, dijital bankacılıkla birlikte gelişen banka ile müşteri ilişkilerine ve ilgili düzenlemelerle birlikte güvenlik alanına getirilen yeni yükümlülüklere baktığımızda, üç temel hizmetin ön plana çıktığını söyleyebiliriz. Bu üç hizmet; veri güvenliği, güvenli iletişim ve dijital kimliktir. Piyasada veri güvenliği ve güvenli iletişim konusunda belli olgunluğa erişmiş bir dizi ürün bulmak mümkün ama dijital kimlik alanındaki çözümler henüz emekleme aşamasında denebilir.

Avrupa’da dijital kimlik alanında kayda geçen en belirgin düzenleme, 2015 yılında AB Komisyonu tarafından 2019 Eylül’ünde yürürlüğe girmek üzere kabul edilen “e-identification” yönetmeliğidir. Bu yönetmelik, elektronik kimliklerin (eID) üye ülkelerce karşılıklı kabulünü öngörür ve eIDAS elektronik sertifika standartlarına dayanır. Mevcut durumda her üye ülke kendi bünyesinde birbirinden farklı dijital kimlik uygulamaları kullanıyorken bu değişiklikle birlikte, üye ülkelerin kullandıkları bu uygulamaların ülkeler arası uyumlu ve kabul görür olması hedeflenmektedir.

Avrupa’da birçok ülkede dijital kimlikler kart olarak (eIC) devlet kurumları tarafından dağıtılıyor. Norveç, İsveç ve Finlandiya’da ise bu kimlikler, bankalar tarafından (BankId) bilgisayar veya cep telefonu üzerine kurulmak üzere de dağıtılmakta. Bu sayede güvenli bir kart okuyucu bulundurma ihtiyacının da ortadan kaldırılması hedefleniyor. Bununla birlikte, kart olarak dağıtılan elektronik kimliklerin, kart okuyucu işlevini görecek NFC özellikli cep telefonları üzerinden güvenli bir şekilde okunmasını sağlayacak uygulamaların da mevcut olduğunu belirtmekte fayda var.

Örneğin Almanya’da akıllı cep telefonlarına yüklenebilen “Ausweisapp2” isimli bir uygulama, mevcut kimlik kartları üzerinde yer alan kimlik ve elektronik sertifika bilgilerini NFC yoluyla okuyabiliyor. Bu sayede dijital kimlik doğrulama süreçleri, elektronik imza gerektiren aşamalar da dahil olmak üzere tümüyle dijital hale getirilmiş oluyor. Söz konusu uygulama gerek kamu gerekse özel sektör tarafından kullanılabilir özellikler taşıyor. Hatta AMLD5 uyumlu olması sayesinde, bazı bankalarca yeni müşteri edinimi kapsamında da değerlendirildiğini eklemeliyiz. Ayrıca uygulamanın eIDAS uyumlu olması, diğer üye ülkelerde de kullanım imkânı bulmasının yolunu açıyor.

Son dönemde banka ve müşteri ilişkileri alanında kaydedilen bu gelişmeler değerlendirildiğinde, finansal kuruluşların hizmetlerini dijital kimlik doğrulama yoluyla belki de ilk kez, mevcut müşterilerinin yanı sıra henüz müşterileri olmayan bir kesime de götürme imkânı bulacağını güvenle söyleyebiliriz.

Bunun dışında dünya üzerinde henüz finansal ekosisteme dahil olmamış (unbanked population) geniş bir kitlenin de mevcut olduğunu unutmamak gerekir. Dijital kimlik uygulamalarıyla söz konusu nüfusun kimlik doğrulama işlemleri gerçekleştirilebilirse, bu finansın (financial inclusion) yanı sıra daha pek çok sektörde de önemli kazanımlar oluşturur. McKinsey tarafından Nisan 2019’da yapılan bir araştırmaya göre, dijital kimlik pazarının ilerleyen dönemde nasıl bir iyileşme sağlayabileceği değerlendirildi. Buna göre bu pazarın, 2030 sonuna kadar gelişmiş ülkelerde GSMH’nin yüzde üçü, gelişmekte olan ülkelerde ise GSMH’nin yüzde altısı kadar bir ek değer yaratacağı öngörülüyor. Bu payın hesaplanmasındaki varsayıma, dijital kimliğin sadece finans sektöründeki kullanımı değil, aynı zamanda devlet, sağlık, sigortacılık gibi alanlardaki kullanımı da dahil. Dijital kimlik kullanımı şirketlerin kimlik doğrulama, “KYC”, “Due dilligence” gibi alanlardaki operasyonel maliyetlerini düşürdüğü gibi, bireylerin ve şirketlerin bu alana vakfettikleri zamanı da asgariye indirecektir. Aynı zamanda, kimlik dolandırıcılığı neticesinde oluşan mali kaybın da dijital kimlik kullanımı ile düşürüleceği öngörülüyor. Yine aynı araştırmada dijital kimlik ile birlikte geliştirilecek dijital süreçlerle, yeni müşteri edinme maliyetlerinin yüzde doksan oranında düşürüleceği ve bu yolla henüz dünyada bankacılık hizmetine erişimi olmayan 1,7 milyar kişiye ulaşabilmenin de mümkün hale geleceğine inanılıyor.

Avrupa Ekosistem Raporu Hakkında

Gelişen teknoloji ve değişen piyasalar sebebiyle tüm dünyada olduğu gibi Türkiye FinTech ve bankacılık ekosistemindeki yasa koyucuların iş günden güne artmaktadır. Piyasaların dinamikliğinden kaynaklanan genel geçer zorluklara ek olarak Türkiye piyasasında yasa koyma ve denetleme süreçlerinin farklı kurumlarca yönetiliyor olması, referans yasaların Avrupa’dan alınması sebebiyle, patchwork regülasyonlar ortaya çıkmakta ve gün be gün gelişen yeni teknoloji ve iş modelleri de göz önünde bulundurulunca regülatörlerin yaşadıkları zorlukların piyasadaki ilgili paydaşlara da yansıdığı görülmektedir.  Bu noktada, aynı ekosistemde farklı alanlarda ve iş modelleri ile faaliyet gösteren oyuncuları ilgilendiren ortak konuların sistematik şekilde ele alınmaması durumunun piyasada rekaberlik (rekabet ve beraberlik), inovasyon ve yeni iş modeli yaratma süreçlerini sürüncemeye uğrattığı gözlenmektedir. 

Özel hukuk regülasyonlarının çoğunluğunun yaratılma sürecinde olduğu gibi finansal teknoloji alanındaki regülasyonlar için de Avrupa’ya bakılması Türk hukuk teamülleri ile uyumlu olsa da finansal teknoloji ve finansal inovasyon özelinde regülasyon entegrasyon süreçlerinin teknolojinin ve piyasaların değişen ve gelişen yapısından ötürü daha az kazuistik ve daha esnek, iletişime ve gelişmeye açık ve pratik odaklı olması gerektiği son yıllarca tüm yasa koyucularca anlaşılmıştır. Hal böyle iken Avrupa Birliği’nce seneler önce yürürlüğe sokulan yasanın güncellemelere, ek çalışmalara ve pratik sonuçlara dikkat edilmeksizin doğrudan yürürlüğe sokulması faydadan çok zararlı olabilir. Bu noktada Avrupa’daki (ve İngiltere, Singapur gibi diğer öncü bölgelerdeki) olumlu ve olumsuz uygulamalara bakılması, uzmanlarla konuşulması hem kısa hem uzun vadede yasa koyucunun ve piyasadaki paydaşların işini kolaylaştıracaktır.

Bankacılık ve finans piyasasını ilgilendiren konular iş modeli ve kullanılan teknolojiler kapsamında nevi şahsına münhasır olsa da paydaşların çoğunluğunu alakadar eden ve iş süreçlerini etkileyen dijital kimlik, lisanslama, müşteri tanıma gibi birçok konu bulunmaktadır. Bu ortak konuların daha sistemli ve piyasa yanlısı şekilde yönetilmesinin ve bu konudaki know-how’In paylaşılmasının ekosisteme fayda sağlayacağı aşikardır. İşte Avrupa piyasasında faaliyet göstererek veya Avrupa’daki şirketlerle çalışarak bu öğrenim ve deneyimleri sınırlı şekilde de olsa edinme imkânı edinmiş (özellikle Türkiye kökenli ve Türkiye piyasası bilgisine sahip) bireylere bu know-how’ın aktarılması hususunda ciddi bir görev düşmektedir. Bahsi geçen profile uyan katılımcılara sahip European Innovation Bridge de belirli konularda tüm paydaşları ortak paydada buluşturmak ve özellikle iki ekosistemde de faal girişimcilerin önünü açmak fikirlerinden yola çıkarak Avrupa’daki iyi örneklerin (best practice) de göz önünde bulundurulduğu bir kaynak oluşturulması amacıyla bu raporu derlemiştir.

Kişisel zamanlarından fedakârlık ederek rapora katkı sağlayan tüm yazar ve destekçilerimize ve raporun geniş bir kitleye ulaştırılması için ön ayak olan FINTECH Istanbul ekibine çok teşekkür ederiz. Bir yıla yakın bir hazırlık sürecine sahip bu raporun tüm paydaşlara faydalı olmasını diliyoruz.

European Innovation Bridge
adına

Ş. Elif Kocaoğlu Ulbrich, Kurucu

European Innovation Bridge (EIB) Hakkında

European Innovation Bridge (EIB), FinTech, inovasyon ve girişimcilik alanlarında Avrupa’da faaliyet gösteren veya yerleşik, Türkiye kökenli, alanında uzman birey ve şirketlerin bir araya geldiği, kâr amacı gütmeyen bir topluluktur. Topluluk, belirli alanlarda deneyim sahibi bireylerin arasında fonksiyonel ve profesyonel bir iletişim ağı oluşturarak, bilgi alışverişi ve beraber çalışma imkanları yaratılması ve bu çalışmalar yardımıyla Avrupa ve Türkiye arasındaki teknolojik ve ticari diyaloğun artırılması amacını taşımaktadır.

2020 Kasım ayından beri faal olan Berlin merkezli European Innovation Bridge (EIB), bilgi paylaşım, networking etkinlikleri ve araştırma, rapor tarzı projelerle ekosistemler arası bilgi değişimi, sinerji ve işbirliği yaratılması süreçlerine katkıda bulunmaktadır.

https://www.europeaninnovationbridge.com

Elif Kocaoğlu Ulbrich
https://www.contextualsolutions.de/
Gazi Üniversitesi Hukuk Fakültesi mezunu Ş. Elif Kocaoğlu Ulbrich, Galatasaray Üniversitesi’nden Özel Hukuk ve WHU – Otto Beisheim School of Management’tan İşletme Yüksek Lisans derecelerine sahiptir ve ilaveten Jean Monnet, Joachim Herz Stiftung bursiyeridir. İstanbul ve Ankara’da muhtelif uluslararası hukuk bürolarında altı seneden fazla avukat olarak çalıştıktan sonra, Denizbank A.Ş. ile başlayan bankacılık ve finans kariyerine 2013 itibariyle Hamburg ve daha sonra Berlin’deki FinTech startuplarında (FinLeap, Cringle, Lendico) iş geliştirme, proje yönetimi, FinTech regülasyon ve lobi faaliyetleri alanlarında uzmanlaşarak devam etmiştir. FINTECH Circle ve Wiley iş birliğiyle 2020’de yayımlanması planlanan The PAYTECH Book, The AI Book ve The LegalTech Book kitaplarında eş yazar olan Kocaoğlu Ulbrich, kurucusu olduğu Berlin merkezli Contextual Solutions aracılığıyla 2019'dan beri danışmanlık, eğitim ve yayım hizmetleri sunmaktadır.