Son zamanlarda ödeme ve teknoloji dünyasının en çok çalıştığı ve konuştuğu konulardan biri agentic payment. Bu yazımda agentic payment’ın ne olduğunu, büyük şirketlerin agentic payment’a yaklaşımını ve son olarak mevcut regülasyonları göz önüne alarak Türkiye’de uygulanabilirliğini tartışacağım.

Araştırma süreci boyunca öğrendiğim bilgileri Bain Company, Stripe, McKinsey, PwC, Google, OpenAI, Mastercard, Visa ve Amex gibi şirketlerin makale ve bloglarından faydalandım. Kaynakçayı metnin sonunda bulabilirsiniz.

Agentic commerce ve agentic payment nedir?

En basit haliyle agentic commerce, kullanıcının verdiği hedef ve sınırlar doğrultusunda ürün keşfi, karşılaştırma, karar verme ve satın alma akışının AI agent’ları ile yürütüldüğü bir e-ticaret modelidir. Agentic payment ise işin ödeme tarafı: bir AI agent’ın kullanıcı adına ödeme akışını başlatabildiği ya da belirli koşullar sağlandığında tamamlayabildiği modeldir.

“Neden müşteriler alışverişi e-ticaret sitelerinden yapmak yerine ChatGPT, Claude, Gemini gibi LLM uygulamalarını kullansın ki?” diye düşünüyor olabilirsiniz.

Alışveriş ve ödeme dediğimiz aslında sadece bir işlem değil; insanların harcama alışkanlıklarının bir sonucu. Artık günlük hayatta karşılaştığımız birçok soruyu LLM’lere soruyoruz.

Mesela bir kamera almak istiyoruz; ama kameraların teknik özelliklerini, bize ve bütçemize en uygun kameranın hangisi olduğunu bilmiyoruz. Böyle bir durumda Google’da onlarca site gezmek veya kullanıcı deneyim videosu izlemek yerine “hangi kamerayı almalıyım?” diye yapay zekâya soruyoruz. Yapay zekâ kullanım amacına göre seçenekleri daraltıyor; fiyat-performans, kalite ve bütçemize göre iki ya da üç güçlü adayı öneriyor. Ürün keşfi, karşılaştırma ve karar verme gibi alışverişin en zor aşamalarında yardımcı oluyor.

İnsanlar nerede araştırıyorsa, satış da oraya kayıyor

İnsanlar bir şeyi nerede araştırıyorsa, satın alma davranışı da zamanla oraya yaklaşmaya başlıyor. Bunun bir örneğini daha önce sosyal medyada gördük. İnsanlar vakitlerini sosyal medyada geçirdikçe markalar oraya taşındı; reklam oraya gitti, satış da oraya yaklaşmaya çalıştı. Instagram ve Facebook gibi platformlar marketplace’e dönüştü. Bugün benzer bir dönüşümün LLM’lerde yaşandığını düşünüyorum. Artık arama motorlarına yazmak yerine doğrudan LLM’lere soru soruyoruz. Bu durumda e-ticaretin ve ödemenin de yavaş yavaş bu alanın içine girmeye çalışması bana çok şaşırtıcı gelmiyor.

Şirketler arama motorlarında üst sıralarda görünmek için çok ciddi bütçeler harcıyor. Peki insanlar aramayı search engine’lerde değil de LLM’lerde yapmaya devam ederse, büyük şirketler için devasa SEO bütçeleri ayırmanın eskisi gibi bir anlamı kalır mı? İşte tam da bu soru yüzünden, henüz agentic payment’a ilişkin regülasyonlar bile netleşmeden bir ekosistem modeli kurulmaya çalışılıyor. Çünkü büyük şirketler dijital pazarlamanın, SEO’nun ve e-ticaretin nasıl dönüşeceğini öngörüyor.

Reklam tartışmasını bir kenara bırakırsak, LLM’lerde görünür olmanın teknik de bir boyutu var. Bain & Company’nin Mart 2026’da yayınladığı çalışmada havayolu şirketleri ve online seyahat acenteleri (OTA) , iki ayrı test üzerinden karşılaştırılıyor: İlk testte LLM’lere belirli rotalar için uçuş araması yaptırılıyor ve hangi kaynakları kullandıkları inceleniyor. İkinci testte ise gerçek bir rezervasyon akışında ödeme sayfasına kadar ilerleyip ilerleyemedikleri test ediliyor.

Makale içeriği
Figür 1: Bain & Company LLM testlerinde havayolu siteleri ile online seyahat acentelerinin öneri sıklığı karşılaştırması
Makale içeriği
Figür 2: LLM’lerin ödeme sayfasına ulaşmada başarı oran tesi

Testlerde LLM’ler ödeme sayfasına sorunsuz biçimde ulaşamıyor; ama uçuş aramalarında online seyahat acentelerini (OTA) havayolu sitelerine kıyasla daha sık önerildiği gözleniyor. Bunun önemli nedenlerinden biri, seyahat acentelerinin veriyi havayollarına kıyasla daha düzenli sunması ve LLM’lerin bu veriyi daha kolay okuyabilmesi. Bain bu problemi “generative engine optimization” olarak adlandırıyor.

Bu yüzden yeni dönemde rekabette “yapay zekâ kimin teklifini daha kolay anlayabiliyor?” sorusu da belirleyici olacak. Artık sadece insanların beğeneceği siteler değil, yapay zekânın da rahat okuyabileceği yapılar gerekecek.

Agentic payment nasıl çalışıyor?

Google, OpenAI, Stripe, Mastercard ve Visa gibi şirketler bu soruya kendi protokolleri ve altyapıları üzerinden yanıt üretmeye çalışıyor. Hepsi aynı soruya konsantre oluyor: Yapay zekâ, hangi yetkiyle ve nasıl ödeme yapabilir?

Agentic payment’ı ikiye ayırabiliriz: insanın ödeme anında sürece dahil olduğu senaryo ve olmadığı senaryo.

İnsanın dahil olduğu senaryo, klasik e-ticarete daha yakın. Kullanıcı checkout, yani ödeme sayfasında, satın aldığı ürünü, fiyatı ve sipariş detaylarını görür; ardından işlemi onaylar. Bu modelde agent daha çok yeni bir satış kanalı gibi çalışır. Ürünü bulur, seçenekleri karşılaştırır ve süreci hızlandırır; ancak son onay ve ödeme yetkisi yine kullanıcıda kalır. Bu yüzden de “işlemi gerçekten kullanıcı yaptı” demek yasal olarak daha kolaydır.

Dikkat çekici olan ise, insanın işlem anında ekranda olmadığı senaryodur. Burada kullanıcı önceden bir yetki tanımlar. Örneğin, “Şu konser bileti satışa çıktığında kişi başı şu limitin altında satın al” ya da “Ankara – İstanbul uçak bileti 2.000 TL’nin altına düşerse al” der. Agent da bu koşullar gerçekleştiğinde alışverişi kendi başına tamamlar. Riskin başladığı yer de tam olarak burasıdır.

Model nasıl çalışıyor?

Öncelikle merchant tarafındaki verinin, Bain örneğinde de gördüğümüz üzere, LLM’ler tarafından okunabilir olması gerekir. Ürün, fiyat, stok, katalog ve kurallar gibi bilgilerin API’ler ya da MCP benzeri yapılar üzerinden agent tarafından anlaşılabilir olması gerekir. Bunun üzerine üç temel kavram ortaya çıkıyor:

Intent. Kullanıcı tam olarak neye izin verdi? Yalnızca bir fiyat limiti mi tanımlandı, yoksa belirli bir tercihi de var mı? Otomatik satın alma hangi koşullarda devreye girecek? Bu katman, kullanıcının talimatlarının ve sınırlarının netleştirilmesiyle ilgili. Intent kullanıcının ne istediğini tanımlar; Payment Intent ise bunun hukuki ve operasyonel açıdan savunulabilir hale getirilmiş versiyonudur.

Identity. Bu talimatı taşıyan agent gerçekten güvenilir mi? Merchant, banka ya da kartı çıkaran kuruluş, karşısındaki yapının gerçek bir platform agent’ı mı yoksa sahte ya da kötü niyetli bir bot mu olduğunu anlamak ister. Buradaki mesele agent’ın sadece bir kimliğe sahip olması değil; gerçekten yetkili, doğrulanabilir bir araç olduğunun ispatlanabilmesidir.

Payment Credential. Ödeme hangi araçla yapılacak? Kullanıcının gerçek kart bilgisi mi kullanılacak, yoksa yalnızca bu işlem için üretilmiş, sınırları belirlenmiş bir token mi kullanılacak? Buradaki amaç, agent’a geniş ve belirsiz bir ödeme yetkisi vermek değil; kontrollü, kısıtlı ve güvenli bir yetki tanımlamaktır.

Mastercard ve Visa’nın 2030 vizyonu

Mastercard ve Visa’nın ödeme ekosisteminde ulaşmak istediği temel dönüşüm, kart bilgilerinin ödeme sürecindeki görünürlüğünü ve kullanımını en aza indirmek. Bugün alışveriş yaparken 16 haneli kart numarasını giriyor, son kullanma tarihi ve CVV bilgisini paylaşıyoruz. 2030 vizyonunda hedeflenen, kullanıcının bu bilgileri paylaşmasına veya merchant’ın bu hassas verileri saklamasına gerek bırakmamak.

Bu yapının temelinde token mantığı var. Token’ı basitçe, kart numaranızın yerine geçen güvenli bir dijital ödeme kimliği gibi düşünebiliriz. Aslında bunu Apple Pay, Google Pay gibi bazı alternatif ödeme yöntemlerinde kullanıyoruz. Kullanıcı kartını telefona veya dijital cüzdana eklediğinde, gerçek kart numarası merchant’a gönderilmez. Merchant’a giden, kart numarası yerine geçen güvenli ödeme verisi ve işlemi doğrulayan tek kullanımlık kriptografik bilgilerdir. Çoğu senaryoda yalnızca ilgili cihaz, işlem veya ödeme ortamı için geçerli olan güvenli bir ödeme bilgisi kullanılır.

Agentic payment da bu token tabanlı dönüşümün üzerine kuruluyor. Mastercard ve Visa’nın “agentic token” dediği, aynı Apple Pay örneğindeki token mantığının daha kontrollü ve amaç odaklı bir versiyonu gibi düşünülebilir: Agent’a verilen token, hangi merchant’ta, hangi limite kadar, hangi süre için geçerli olduğu baştan tanımlanan kurallar ve işlem kontrolleriyle sınırlandırılıyor.

Kullanıcı deneyimi açısından da bu dönüşüm ödemeyi daha da basitleştiriyor: Kart numarası yazmak yerine telefon, cüzdan veya kayıtlı ödeme yöntemini kullanarak ödeme yapılabilir hale gelecek.

Mevcut protokoller

Agentic payment alanında protokol, bir yapay zekâ agent’ının ödeme ve alışveriş sürecine nasıl dahil olacağını tanımlayan ortak kurallar bütünü olarak düşünülebilir. Burada amaç sadece agent’ın ödeme başlatması değildir. Bu işlemin kullanıcı iznine dayanıp dayanmadığını, merchant tarafından güvenilir kabul edilip edilemeyeceğini ve ödeme ekosisteminde nasıl izleneceğini belirlemektir.

Klasik ödeme akışında kullanıcı, merchant ve ödeme kuruluşları arasındaki roller daha nettir. Kullanıcı ürünü seçer, ödeme adımında onay verir, merchant işlemi bankaya iletir, issuer banka işlemi değerlendirir ve satış tamamlanır. Agentic commerce modelinde ise bu akışa yeni bir aktör eklenir: AI agent.

Agentic payment protokolleri üç temel ihtiyacı çözmeye çalışır: kullanıcının iznini kanıtlamak, merchant ve ödeme tarafı arasında güvenilir veri akışı kurmak, işlem sonrasında sorumluluğu izlenebilir ve denetlenebilir hale getirmek.

Protokoller de bu sorulara cevap verilebilmesini sağlayan standartlardır.

AP2 (Agent Payment Protocol) – Google

Google’ın AP2 yaklaşımı, “AI ödeme yapabilir mi?” sorusuna değil,  bir güven problemine odaklanıyor: Bir AI agent gerçekten kullanıcı adına ve kullanıcının çizdiği sınırlar içinde mi hareket ediyor?

AP2 burada üç temel kavramı merkeze koyuyor: yetki, doğruluk ve sorumluluk (authorization, authenticity, accountability). Başka bir ifadeyle: kullanıcı niyetinden sepete ve ödeme onayına kadar olan süreçlerde izlenebilir ve denetlenebilir bir güven zinciri oluşturmak. Bu sayede merchantlar, ödeme ağları ve issuer bankalar aynı işleme farklı açılardan bakabiliyor; ama hepsi ortak bir kanıt yapısı üzerinden hareket edebiliyor.

UCP (Universal Commerce Protocol) – Google

Google, AP2’yi duyurduktan bir süre sonra, 11 Ocak 2026’da ikinci bir protokol daha tanıttı: UCP.

UCP, AP2’nin yerine geçen bir yapı değil; AP2 ile birlikte çalışan, farklı bir sorunu çözmeye odaklanan tamamlayıcı bir protokol.

AP2 “Bu agent gerçekten yetkili mi, kullanıcı neye izin verdi, sorun çıkarsa bunu nasıl ispatlarız?” sorusuna odaklanırken UCP, merchant’ın ürün, fiyat, stok ve checkout bilgilerini AI sistemlerine daha düzenli şekilde aktarılmasını amaçlıyor.

Merchant verisi dağınık, eksik veya AI tarafından okunması zor bir formatta olursa, ödeme ne kadar güvenli olursa olsun alışveriş deneyimi sağlıklı çalışmaz.

UCP’de en önemli noktalardan biri, merchant’ın süreçlere ortak edilmesi. Google’ın yaklaşımında merchant, işlemin ticari sahibi olmaya devam ediyor. AI burada merchant’ın yerine geçen bir yapıdan çok, merchant’ın satış kanalı olarak keşfedilebilir ve işlem yapılabilir hale gelmesini sağlıyor.

ACP (Agentic Commerce Protocol) – OpenAI & Stripe

OpenAI ve Stripe tarafındaki yaklaşım Google’ın oluşturduğu protokollerden biraz daha farklı işliyor. Buradaki temel amaç, ChatGPT’yi merchant’ın ticari akışına bağlamak. Ürün keşfi, karşılaştırma, sepet oluşturma ve checkout deneyimi doğrudan konuşma ekranının içine taşınabilmesi. Ancak OpenAI burada, parayı doğrudan yöneten ya da işlemin hukuki sahibi olan taraf olmak da istemiyor.

Ödeme tarafındaki mantık şu şekilde işliyor: Kullanıcı almak istediği ürünü belirledikten sonra sohbet içinde ödeme yöntemini seçiyor, ardından Stripe bu işlem için Shared Payment Token (SPT) adı verilen özel bir token üretiyor. Bu token belirli bir merchant’a, belirli bir tutara ve belirli bir süreye bağlı şekilde sınırlandırılıyor. Sonrasında ödeme, merchant’ın kendi ödeme altyapısı üzerinden tamamlanıyor.

Dolayısıyla OpenAI ve Stripe’ın yaklaşımı, AI’a geniş bir ödeme serbestliği tanımaktan ziyade, mevcut merchant checkout yapısını ve ödeme altyapısını ChatGPT arayüzüne güvenli biçimde taşımayı hedefliyor.

Bu açıdan ACP, Google’ın sunduğu daha geniş yetki çerçevesine kıyasla daha dar kapsamlı; ama operasyonel olarak daha hızlı uygulanabilir bir model gibi duruyor.

Mastercard, Visa & Amex

Mastercard, Visa ve American Express, agentic payment’a kullanıcı deneyiminden çok ödeme sisteminin iç mimarisi açısından bakıyor. Onlar için asıl soru “agent kullanıcı adına alışveriş yapabilir mi?” değil; bu işlemin ödeme ağında nasıl tanımlanacağı, izleneceği ve sorumluluğunun nasıl yönetileceği.

Bir işlem agent tarafından başlatıldığında ödeme tarafının cevap vermesi gereken birkaç temel soru ortaya çıkıyor. İşlemi başlatan agent yetkili mi? Bu işlem hangi kullanıcı onayına dayanıyor? Kart bilgisi agent’a açılmadan ödeme nasıl başlatılabilir? Issuer banka, işlemin agent kaynaklı olduğunu ayırt edebiliyor mu? Fraud durumunda işlemin hangi bağlamda gerçekleştiği takip edilebiliyor mu?

Mastercard – Agent Pay. Mastercard’ın yaklaşımında agent önce sisteme kayıtlı ve doğrulanmış bir aktör haline geliyor. Ardından kullanıcı tarafından belirlenen limitler ve kurallar çerçevesinde tokenize edilmiş bir ödeme credential’ı üretiliyor; agent işlemi bu credential ile başlatıyor. Bu sayede issuer, gelen işlemin bir agent tarafından başlatıldığını network seviyesinde görebiliyor ve klasik kart işleminden ayırt edebiliyor. Merchant tarafında da işlemin doğrulanmış bir agent üzerinden geldiği anlaşılabiliyor. Önemli nokta: agent gerçek kart bilgisini hiçbir zaman görmüyor. Agent ödeme sürecine dahil oluyor ama kart numarasına sahip olmuyor. İşlem token üzerinden yürüyor ve kullanıcının verdiği yetkiyle sınırlandırılıyor.

Visa – Intelligent Commerce. Visa’da da benzer bir mantık var: agent’a özel tokenize credential’lar, harcama limitleri ve kullanıcı kuralları üzerinden agent’ın hareket alanı sınırlandırılıyor. Visa’yı ayıran nokta, sadece kendi kartlarını değil; farklı agent protokollerini ve diğer kart network’lerini de aynı altyapıya bağlamayı hedeflemesi. Yani Visa agentic payment’ı sadece kart sahibi ile agent arasındaki bir yetkilendirme problemi olarak değil, merchant tarafında da yönetilmesi gereken bir entegrasyon problemi olarak ele alıyor.

American Express – ACE Developer Kit. Amex ise ise konuya biraz daha işlem bağlamı ve sorumluluk yönetimi açısından yaklaşmaktadır. Amex yalnızca “agent yetkili mi?” sorusuna değil, aynı zamanda “agent, kullanıcının niyetine uygun bir işlem yaptı mı?” sorusuna da cevap aramaktadır. Çünkü bir işlem teknik olarak yetkili olsa bile, agent kullanıcının belirttiği niyetin dışına çıkmış olabilir. Bu nedenle sepet bilgisi, işlem bağlamı ve kullanıcı niyeti ödeme sürecinin önemli parçaları haline gelmektedir. Özellikle harcama itirazı durumlarında bu ayrım kritik önem taşımaktadır.

Özetle Mastercard, Visa ve American Express aynı probleme farklı açılardan yaklaşmaktadır. Üçünün de ortak noktası, agentic payment modelinde kart bilgisinin doğrudan agent ile paylaşılmamasıdır. Ödeme süreci; token, kullanıcı yetkisi ve işlem görünürlüğü üzerinden kontrol edilmektedir. Burada önemli olan yalnızca agent’ın alışveriş yapabilmesi değil, agent tarafından başlatılan bir ödemenin sorumluluk zincirinin ödeme sistemi içinde nasıl kurulacağıdır

ChatGPT & Walmart/ Starbucks deneyi

OpenAI, Instant Checkout özelliğini Eylül 2025’te Etsy ve Shopify satıcılarıyla başlattı. Bu modelde kullanıcı ChatGPT içinde ürünler hakkında soru sorabiliyor, istediği ürünü seçebiliyor ve sohbet ekranından ayrılmadan satın alma işlemini tamamlayabiliyordu.

Walmart da Kasım 2025’te bu modele dahil oldu ve yaklaşık 200.000 ürünü ChatGPT içinden satın alınabilir hale getirdi. Başlangıçta beklenti yüksekti. Ancak deney beklenen sonucu veremedi. Mart 2026’da Walmart yöneticisi Daniel Danker, verdiği röportajda ChatGPT içinde tamamlanan satın almaların, kullanıcıyı Walmart’ın kendi sitesine yönlendiren akışlara oranla üçte bir düşük kaldığını söyledi.

Burada iki temel problem ortaya çıktı.

İlki güven problemi. Kullanıcılar ürünü AI üzerinden keşfetmeye açık; ama satın alma anında ve sonrasında ne gibi riskler alacağını bilmediği için sürece mesafeli yaklaşıyor.

İkincisi deneyim tarafındaki kısıtlar. O dönemde Walmart – ChatGPT entegrasyonunda tek seferde yalnızca bir ürün satın alınabiliyordu. Bu da özellikle birlikte alınan ürünlerde süreci zayıflatıyor ve uzatıyordu. Örneğin kullanıcı market alışverişi yaparken her ürün için ayrı ayrı satın alma onayı vermek zorunda kalıyordu. Walmart tarafı da bu tek ürünlü onay deneyiminin kullanıcıyı rahatsız ettiğini açıkça belirtiyor.

Entegrasyon beklenen etkiyi vermese de Walmart, ChatGPT kanalını terk etmedi. Çünkü deney aynı zamanda AI’ın ürün keşfi tarafında oldukça güçlü olabileceğini gösterdi. Kullanıcılar ürünü ChatGPT içinde keşfedebiliyor, alternatifleri karşılaştırabiliyor ve satın alma niyeti oluşturabiliyordu. Zayıf kalan nokta, ödeme ve sepet oluşturma süreçlerinin ChatGPT içinde tutulmasıydı.

Walmart deneyi sonrası Starbucks da ChatGPT üzerinden sipariş verilebilmesi için bu deneye katılan markalardan biri oldu. Fakat Starbucks örneğinde süreç biraz daha farklı kurgulandı. Kullanıcı ChatGPT içinde içecek keşfedebiliyor, öneri alabiliyor, içeceğini kişiselleştirebiliyor. Ancak ödeme ChatGPT içerisinde değil, Starbucks uygulamasında tamamlanıyor. Bu sefer de müşteriler siparişi doğrudan Starbucks uygulamasından vermenin zaman ve kullanım deneyimi açısından daha verimli olduğunu söylüyor.

Bu iki örnek de şu soruyu sorduruyor. İnsanlar gerçekten ChatGPT’den ürün satın almak istiyor mu?

Bence bu örnekleri nihai bir sonuç gibi değil, erken dönem deneyleri gibi değerlendirmemiz gerekiyor. “Talep oluşmaya başlıyor, fakat arz tarafındaki deneyim henüz yeterince olgun değil”. Bugün firmalar AI’ın alışveriş yolculuğunda tam olarak nerede değer yaratabileceğini test ediyor. Walmart ve Starbucks örneklerinde de aynı sonucu görüyoruz: AI ürün keşfi, öneri ve kişiselleştirme aşamalarında güçlü, ancak satın alma davranışı mevcut kullanıcı alışkanlıklarına daha bağlı şekilde ilerliyor.

Bu protokollerin mevcut riskleri neler?

Tüketici tarafında güven, en büyük risk olarak öne çıkıyor. Worldpay’in yedi ülkede 8.000 tüketiciyle yaptığı araştırmaya göre, kullanıcıların yaklaşık %40’ı bir AI agent’ın kendi adına alışveriş yapmasına olumlu bakıyor. %33’ü bu fikre açık olduğunu söylüyor. AI’a hiçbir endişe duymadan kontrol vermeye hazır olanların oranı %6. Ankette en sık dile getirilen endişeler ise yanlış satın alma kararı, kimlik hırsızlığı, yetkisiz işlem, dolandırıcılık ve data leak riski.

Halüsinasyon riski. En çok sorulan sorulardan biri şu: “LLM’ler halüsinasyon görüyor; halüsinasyon gören bir şeye paramı nasıl emanet ederim?” Bu haklı bir soru, çünkü LLM’lerin halüsinasyon gördüğü bir gerçek. Ama burada asıl mesele, halüsinasyonun hangi katmanda yakalandığı. Zaten oluşturulan protokollerin amacı LLM’i halüsinasyon görmez hale getirmek değildir; bu mümkün değildir. Amaç, halüsinasyonun ödeme öncesi katmanda görünür, iptal edilebilir ve tazmin edilebilir hale gelmesini sağlamaktır. Mandate yapısı, agentic token’ın önceden belirlenmiş limitleri ve Amex’in Agent Purchase Protection yaklaşımı bu problemi önlemeye yönelik alınan örneklerdir. Güven, LLM’in kendisine değil, protokoller ile etrafına kurulan ödeme güvenlik yapısına dayanmalı.

“Agent’a kartımı teslim etmem” tartışması. Bu da güven probleminin başka bir uzantısı. Ancak burada gözden kaçan nokta, kullanıcıların hali hazırda bazı sistemlerde agentlara sınırlı ölçüde ödeme yetkisi vermektedir. Google Chrome’un auto-fill özelliği, Apple Pay, Netflix’in otomatik aylık ödemesi gibi süreçler belirli ölçüde agent güveni içerir. Bu nedenle “Ben agent’a kartımı teslim etmem” demek çoğu zaman “Ben mevcutta agent benzeri sistemlere güveniyorum, paramı emanet ediyorum; yenilerine güvenmiyorum” anlamına gelir. Buradaki fark kategorik değildir. Mevcut sistemlerin işlevi daha dardır. Agentic payment da  ise bu yetki alanını genişler.

Merchant tarafı. Merchant tarafında agentic payment yeni bir satış kanalı yaratabilir. Kullanıcıya daha hızlı ulaşmak, ödeme tamamlama oranını arttırmak gibi önemli fırsatlar sunabilir. Öte yandan aynı yapı, markayı kendi müşterisinden uzaklaştırma riskini de taşır. Çünkü user journey başka platformların içine kaydıkça merchant; doğrudan trafik, first-party data ve kanal kontrolü üzerinde kısmi kayıp yaşanabilir.

Platform kuralları ve yetkisiz erişim. Agentic commerce’de bulunan yetki sorunu yalnızca ödeme yetkisiyle sınırlı değildir. Merchant ve platform kuralları da ayrı bir yetki konusudur. Amazon ile Perplexity arasındaki yaşanan dava süreci de bunun bir örneği. Amazon, Perplexity’nin alışveriş agent’ının kullanıcı hesaplarına izinsiz eriştiğini ve davranışını insan davranışı gibi gizlediğini ileri sürdü. Mahkeme de Amazon lehine geçici engel kararı verdi. Dolayısıyla bir agent’ın meşru biçimde çalışabilmesi için yalnızca kullanıcı onayı değil, merchant tarafında da onayı gerekiyor.

Indirect prompt injection. Kötü niyetli birileri, bir merchant sitesinin ürün açıklamasına ya da sayfa içeriğine yalnızca agentların okuyabileceği gizli bir talimat gömebilir. Kullanıcı açısından sayfada hiçbir farklılık görünmez. Kullanıcı agent’a talimat verdiğinde, agent o sayfayı okurken gömülü talimatı fark etmeden uygulayabilir. Örneğin başka bir ürüne yönlenebilir veya payment token’ı farklı bir merchant’a aktarabilir. Burada saldırının asıl hedefi doğrudan kullanıcı değil, kullanıcının yerine içeriği okuyup işlem yapan agent’tır. Bu yüzden merchant tarafında paylaşılan içeriğin güvenli ve doğru olup olmadığı Agent tarafında ise gelen metnin içinde zararlı, yanıltıcı veya sistemi kandırmaya çalışıp çalışmadığı kontrol edilmelidir.

Chargeback ve sorumluluk. Agentic modelde harcama itirazları yalnızca “Bu işlemi ben yapmadım” şeklinde değil, “Agent benim adıma aldı ama benim kastettiğim ürün bu değildi” türü itirazlar da sık görülebilir. Özellikle “en iyi”, “uygun” veya “mantıklı” gibi sınırları net belirlenmemiş komutlarda, yetkisiz işlem ile yanlış yorumlanmış işlem arasındaki çizgi bulanıklaşabilir. Ödemenin tamamlandığı durumlarda sorumluluk merchant’ta mı, ödeme sağlayıcısında mı, issuer’da mı, yoksa agent’ı sunan platformda mı olacak soruları henüz net değil ve belirlenmesi de çok kolay görünmüyor.

Peki bundan sonra ne olacak?

Agentic payment tarafında iki senaryo yaşanabileceğini düşünüyorum.

İlki, süper-agent senaryosu. Bu modelde kullanıcının alışveriş süreçleri agentların içinde toplanıyor. Yani kullanıcı ürün aramaz, site gezmez; agent’a ne istediğini söyler ve agent onun adına satın alma sürecini tamamlar. Teknik olarak bu modelin temelleri şu anda hızla atılıyor.

İkincisi ise ekonomik gerçeklik senaryosu. LLM merkezli süper-agent modeli teknik olarak mümkün olsa bile, ekonomik olarak bugünkü kadar yaygın ve ucuz kalacağı garanti değildir. Bugün LLM kullanımı hâlâ oldukça maliyetli ve birçok hizmet yatırımcı desteğiyle ulaşılabillir kılınıyor. Agent’lar yaygınlaştıkça her işlem daha fazla token, entegrasyon ve güvenlik maliyeti yaratacak. OpenAI, Anthropic ve benzeri şirketler daha sürdürülebilir gelir modellerine geçmek zorunda kaldığında agent özellikleri premium paketlere, işlem başı ücrete veya reklam modeline bağlanabilir. Bu durumda “AI’a söyle, o benim yerime satın alsın” talimatı herkes için erişilebilir olmayabilir veya insanlar sınırlı tokenlerini alışveriş yapmak için harcamak istemeyebilir.

Agentic payment şu aşamada Türkiye’de uygulanabilir mi?

Türkiye’de ödeme alanı 6493 sayılı Kanun ile çiziliyor. En basit haliyle bakıldığında, Türkiye’de banka, elektronik para kuruluşu, ödeme kuruluşu ve PTT dışındaki kurumlar ödeme hizmeti sunamıyor. Bunun anlamı şu: eğer bir AI tool’u ya da teknoloji şirketi ödeme hizmeti sunuyorsa, “Ben sadece teknoloji şirketiyim” demesi tek başına yeterli olmayabilir. Faaliyetin niteliği lisanslı alanın içine giriyorsa, regülasyon doğrudan devreye girer.

Burada önemli bir ayrımı netleştirmek gerekiyor. Her ödeme alan şirket otomatik olarak ödeme kuruluşu olmuyor. Kendi mal veya hizmetinin bedelini tahsil eden bir merchant ile başkaları adına fon akışını yöneten bir yapı hukuken aynı koşullarda değildir. Bir şirket kendi sattığı ürünün veya hizmetin bedelini kendi adına tahsil ediyorsa bu merchant tahsilatıdır. Ama üçüncü taraflar adına fon toplayan, bu fonu bekleten ya da dağıtan bir ara katman kuruluyorsa bu yapı lisanslı ödeme alanına çok daha fazla yaklaşır.

Peki bu durumda AI şirketleri hiçbir şey yapamaz mı? Yapabilirler. Ama nerede durdukları çok önemli. Eğer şirket yalnızca veriyi işliyor, saklıyor, doğruluyor, sistemler arası entegrasyon sağlıyor, satış sürecini teknik olarak destekliyor ve işlemin hiçbir anında transfer edilen paranın sahibi olmuyorsa, bu faaliyet ödeme hizmeti olarak değerlendirilmeyebilir.

Türkiye’de eğer AI sistemi sadece ürün önerir, kullanıcıyı merchant’ın ödeme sayfasına götürürse bu rol daha çok teknik destek katmanı olarak görülebilir. Ancak sistem kullanıcı adına ödeme emri başlatır, banka hesabı bilgisine erişir veya fon akışının gerçekleşmesinde aktif rol oynarsa konu açık bankacılık ve lisanslı ödeme hizmetleri alanına yaklaşır. Çünkü Türkiye’de ödeme emri başlatma hizmeti ve hesap bilgisi hizmeti, kullanıcının rızasına dayansa bile sınırsız şekilde sunulabilecek faaliyetler değildir.

Agentic modelde kullanıcı, agent’a önceden belirli sınırlar içinde hareket etme yetkisi verebilir; ancak agent bu yetkiyi yorumlayarak ödeme işlemini başlattığında, “kullanıcı bu işlemi gerçekten istedi mi?” sorusu da karmaşık hale gelebilir. Bu nedenle yalnızca işlemin gerçekleşmiş olması yeterli değil; kullanıcının hangi işlem için, hangi kapsamda ve hangi sınırlar içinde onay verdiğinin sonradan ispat edilebilmesi gerekir. Türkiye’de mevcut ödeme mevzuatı ve tüketici hukuku, önceden verilmiş fakat daha sonra AI tarafından yorumlanarak kullanılan bu tür yetki hallerini henüz açık biçimde tanımlamamaktadır.

Güvenlik tarafı da yine en hassas alanlarından biridir. Çünkü mevzuat, kişisel güvenlik bilgilerinin yetkisiz erişime karşı korunmasını ve bu bilgilerin kullanıcıya güvenli şekilde ulaştırılmasını zorunlu kılar. Agent kart verisini görecek mi? Sadece token mı kullanacak? Kullanıcının şifresine ya da hassas kimlik doğrulama bilgilerine erişecek mi? 3D Secure veya benzer doğrulama yöntemleri bu modelde nasıl işleyecek sorularının cevabı; agentic payment’ın Türkiye’de hukuken savunulabilir olup olmadığını da belirleyecek.

Yazı boyunca incelediğimiz protokollerin ortak mantığı ve Türkiye mevzuatının çizdiği sınırlar birlikte değerlendirildiğinde, bugün Türkiye’de agentic payment için en savunulabilir model şu görünüyor:

  • Yapay zekâ, ürün keşfi, seçenekleri karşılaştırma ve yönlendirme süreci tarafında çalışmalıdır.
  • Ödeme, merchant’ın kendi tahsilat akışı içinde veya lisanslı bir ödeme hizmeti sağlayıcısı üzerinden tamamlanmalıdır.
  • Kullanıcı onayı açık, ispatlanabilir ve gerektiğinde geri alınabilir olmalıdır.
  • Kart bilgisi yerine token, işlem limiti, izinli işyeri listesi, ayrıntılı işlem kayıtları ve ek doğrulama kontrolleri devreye alınmalıdır.
  • AI, kart numarası, CVV, şifre veya tek kullanımlık doğrulama kodu gibi hassas müşteri verilerine doğrudan temas etmemelidir.

Avrupa’da ve dünya genelinde Agentic Payment yaygınlaştıkça, Türkiye’de de daha net düzenlemelerin gündeme gelmesi bence “kaçınılmaz” görünüyor.

Sonuç

Bu araştırmadan çıkardığım temel sonuç şu: agentic payment tek başına dünyayı değiştirecek bir teknoloji olmayabilir, ama kullanıcı kolaylığı ve e-ticaretin geleceği açısından süregelen dönüşümün önemli parçalarından biri olacak gibi görünüyor.

Kullanım alanı zamanla oldukça genişleyebilir. Tüketici tarafında uçak bileti alma, otel rezervasyonu, yemek siparişi, market alışverişi ve teknolojik ürün alımı, agent’ın öne çıkabileceği alanlardan. Günlük hayatın büyük bir kısmı zamanla bu akışın içine girebilir. Bunun yanında iş dünyasında stok takibi ve tedarik zinciri entegrasyonu, envanter yenileme, abonelik yönetimi gibi insanların tek tek uğraşmak istemediği ‘keşke otomatik olsa’ dediği işler de bu modelden en çok faydalanan alanlardan olabilir

Protokoller olgunlaştıkça, regülasyon netleştikçe ve merchant altyapıları hazırlandıkça, bu senaryoların hangilerinin hayata geçeceğini hep birlikte göreceğiz.

Konuk Yazar: Kerem Oktay

Kaynakça

  • American Express. (2026, Nisan 14).American Express Debuts Agentic Commerce Experiences (ACE)™ Developer Kit and Announces Industry-First Protection for Registered Agent Purchases. https://www.americanexpress.com/en-us/newsroom/articles/innovation/american-express-debuts-agentic-commerce-experiences–ace–devel.html
  • Bain & Company. (2026, Mart). Is the Airline Industry Ready for Agent-Led Bookings? https://www.bain.com/insights/is-the-airline-industry-ready-for-agent-led-bookings/
  • Google. (2026, Ocak 11). New Tech and Tools for Retailers to Succeed in an Agentic Shopping Era (Universal Commerce Protocol). https://blog.google/products/ads-commerce/agentic-commerce-ai-tools-protocol-retailers-platforms/
  • Google Cloud. (2025, Eylül 16). Announcing the Agent Payments Protocol (AP2).https://cloud.google.com/blog/products/ai-machine-learning/announcing-agents-to-payments-ap2-protocol
  • IBM Think. What Is Agentic Commerce? (Erişim: Nisan 2026). https://www.ibm.com/think/topics/agentic-commerce
  • McKinsey & Company & Skift Research. (2025, Eylül). Remapping Travel with Agentic AI.https://www.mckinsey.com/industries/travel/our-insights/remapping-travel-with-agentic-ai
  • OpenAI. (2025, Eylül 29). Buy It in ChatGPT: Instant Checkout and the Agentic Commerce Protocol.https://openai.com/index/buy-it-in-chatgpt/
  • OpenAI. (2026, Mart 24). Powering Product Discovery in ChatGPT. https://openai.com/index/powering-product-discovery-in-chatgpt/
  • PwC. (2025, Aralık). The Future of Agentic Commerce for Travel. https://www.pwc.com/us/en/industries/consumer-markets/library/agentic-commerce-travel.html
  • Strategy& (PwC). (2026, Mart). The Agentic AI Revolution in Retail: From Vision to Process Reality.https://www.strategyand.pwc.com/de/en/industries/consumer-markets/agentic-ai-revolution-retail.html
  • Stripe. What Is Agentic Commerce? A Guide to Getting Started. (Erişim: Nisan 2026). https://stripe.com/guides/agentic-commerce
  • Stripe. (2025, Eylül 29). Stripe Powers Instant Checkout in ChatGPT and Releases Agentic Commerce Protocol.https://stripe.com/newsroom/news/stripe-openai-instant-checkout
  • T.C. Resmî Gazete. (2013, Haziran 27). 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun. https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6493.pdf
  • Torys LLP. (2026, Şubat). Five Questions In-House Counsel Should Ask About Agentic Commerce.https://www.torys.com/our-latest-thinking/publications/2026/02/five-questions-in-house-counsel-should-ask-about-agentic-commerce
  • Visa. (2026, Nisan 8). Visa Opens the Door to AI-Driven Shopping for Businesses Worldwide (Intelligent Commerce Connect). https://usa.visa.com/about-visa/newsroom/press-releases.releaseId.22276.html
  • Visa Consulting & Analytics. (2025). The Rise of Agentic Commerce – Part 1: New Payment Journeys and Nascent Paradigms. https://corporate.visa.com/content/dam/VCOM/corporate/services/documents/vca-rise-of-agentic-commerce.pdf
  • Worldpay. (2025). How Global Travelers Feel About Agentic Commerce.https://www.worldpay.com/en/insights/articles/how-global-travelers-feel-about-agentic-commerce
  • Worldpay. (2025). Agentic Commerce Report 2025. https://www.worldpay.com/en/agentic-commerce-report
KaynakLinkedIn
Haber Merkezi
Haber Merkezi