Bankacılık sektörü son yıllarda hızlı bir dijital dönüşüm yaşıyor. Artık birçok işlem şubeye gitmeden, mobil uygulamalar üzerinden saniyeler içinde yapılabiliyor. Hesap açma, kredi başvurusu, para transferi ve kimlik doğrulama gibi süreçler büyük ölçüde dijital ortama taşınmış durumda.
Bu dönüşümün en kritik parçalarından biri de uzaktan kimlik doğrulama sistemleri. Bankalar, sahte hesap açılışlarını ve kimlik dolandırıcılıklarını engellemek için görüntülü görüşme, yüz tanıma ve canlılık kontrolü gibi yöntemlere başvuruyor. Vatandaşlardan kimliklerini kameraya göstermeleri, yüzlerini farklı açılardan çevirmeleri ve bazen de belirli hareketleri yapmaları isteniyor.
Ancak son dönemde bazı kullanıcıların aktardığı deneyimler, bu sürecin sınırlarını yeniden tartışmaya açmış durumda. Özellikle kamera ve flaş kontrolü gibi donanım erişimlerinin nasıl ve ne kadar kullanıldığı sorusu gündeme geliyor.
Kamera erişimi: teknik gereklilik mi, geniş yetki mi?
Normal şartlarda bir banka uygulamasının kamera kullanması, kimlik doğrulama sürecinin doğal bir parçasıdır. Ön kamera üzerinden yüz tanıma yapılması, kimlik kartının okutulması veya canlılık kontrolü gibi işlemler güvenlik açısından yaygın yöntemlerdir.
Ancak burada önemli bir ayrım var: Kamera erişimi ile cihazın donanım kontrolü aynı şey değildir.
Kullanıcı, bir uygulamaya kamera izni verdiğinde bu izin genellikle belirli bir işlem için geçerlidir. Yani uygulama, yalnızca doğrulama sürecinde kamerayı kullanabilir. Fakat cihazın arka kamerasına geçiş, flaşın kontrol edilmesi veya kameranın kullanıcı müdahalesi dışında yönlendirilmesi, teknik olarak daha geniş yetkiler anlamına gelir ve bu durum kullanıcıda doğal olarak bir “aşırı erişim” algısı oluşturur.
Güvenlik gerekçesi: sahteciliğe karşı yeni savaş
Bankaların bu tür gelişmiş doğrulama sistemlerine yönelmesinin temel nedeni, artan dijital dolandırıcılık vakalarıdır. Özellikle yapay zeka ile oluşturulan sahte yüzler, deepfake teknolojileri ve çalınmış kimlik bilgilerinin kullanıldığı sahte hesaplar, finansal sistemler için ciddi bir risk oluşturmaktadır.
Bu nedenle bankalar, yalnızca şifre veya SMS doğrulamasıyla yetinmeyip biyometrik doğrulama sistemlerine yönelmiştir. Canlılık testi (liveness detection) adı verilen sistemlerle, ekranda görünen kişinin gerçek bir insan olup olmadığı anlaşılmaya çalışılır.
Ancak güvenlik arttıkça, kullanılan teknolojinin kapsamı da genişlemekte ve bu durum mahremiyet tartışmalarını beraberinde getirmektedir.
En kritik konu: “minimum yetki” prensibi
Siber güvenlikte temel bir ilke vardır: Minimum yetki prensibi. Bu prensibe göre bir sistem, yalnızca çalışması için gerekli olan en az erişim hakkına sahip olmalıdır.
Bu çerçevede bir bankacılık uygulamasının kamera kullanması makul görülebilirken, cihazın tüm kamera donanımını kontrol etmesi, flaşı yönetmesi veya kullanıcı farkındalığı dışında aktif/pasif hale getirmesi ciddi bir soru işareti oluşturur.
Çünkü burada mesele sadece teknik bir işlem değil, aynı zamanda kullanıcı güveni meselesidir. Kullanıcı neye izin verdiğini bilmezse, sistem ne kadar güvenli olursa olsun şüphe oluşur.
Dolandırıcılık boyutu: taklit edilen bankacılık süreçleri
Bugün siber dolandırıcıların en sık kullandığı yöntemlerden biri, bankacılık süreçlerini birebir taklit etmektir. Vatandaşlara “güvenlik doğrulaması yapıyoruz”, “hesabınız risk altında”, “kimlik teyidi gerekiyor” gibi ifadelerle ulaşılır.
Daha ileri vakalarda sahte uygulamalar yükletilir, ekran paylaşımı istenir veya kamera erişimi talep edilir. Kullanıcı da bunun gerçek bir banka işlemi olduğunu düşünerek kişisel verilerini paylaşabilir.
Bu noktada asıl risk, teknolojinin kendisinden çok bu teknolojinin taklit edilebilir olmasıdır. Yani kullanıcı, gerçek ile sahteyi ayırt etmekte zorlanır.
Mahremiyet ve güvenlik arasındaki ince çizgi
Dijital sistemlerde en hassas denge, güvenlik ile mahremiyet arasındaki dengedir. Bankalar için amaç finansal güvenliği artırmakken, kullanıcı açısından önemli olan kendi cihazı üzerindeki kontrolünü kaybetmemektir.
Eğer bir işlem sırasında kullanıcı “neden bu kamera açılıyor?”, “neden flaş çalışıyor?”, “bu veriler nerede kullanılıyor?” sorularına net cevap alamıyorsa, burada şeffaflık sorunu ortaya çıkar.
Şeffaflık eksikliği ise doğrudan güven sorununa dönüşür. Çünkü dijital dünyada güven, yalnızca teknik koruma ile değil, aynı zamanda anlaşılabilirlik ile sağlanır.
Vatandaş neye dikkat etmeli?
Bu tür süreçlerde kullanıcıların bilinçli hareket etmesi büyük önem taşır. Öncelikle, bankacılık işlemleri hiçbir zaman sadece telefon araması üzerinden tamamlanmamalıdır. Resmi mobil uygulama veya internet bankacılığı dışında yapılan yönlendirmelere karşı temkinli olunmalıdır.
İkinci olarak, kamera, mikrofon, ekran kaydı ve erişilebilirlik izinleri düzenli olarak kontrol edilmelidir. Gereksiz izinler kapatılmalıdır.
Üçüncü olarak, “hemen işlem yapın”, “hesabınız kapanacak” gibi baskı oluşturan ifadeler genellikle dolandırıcılık işaretidir. Bu tür durumlarda en doğru yöntem, işlemi sonlandırıp doğrudan bankanın resmi kanallarına başvurmaktır.
Teknoloji ilerliyor ama güven duygusu belirleyici
Bankacılıkta dijitalleşme geri döndürülemez bir süreçtir. Yeni doğrulama yöntemleri, finansal sistemi daha güvenli hale getirmek için geliştirilmiştir. Ancak bu süreçte göz ardı edilmemesi gereken en önemli unsur kullanıcı güvenidir.
Bir sistem ne kadar gelişmiş olursa olsun, kullanıcı kendini güvende hissetmiyorsa o sistem tam anlamıyla başarılı sayılmaz. Bu nedenle dijital bankacılıkta asıl hedef sadece dolandırıcılığı önlemek değil, aynı zamanda kullanıcıya net, şeffaf ve kontrol edilebilir bir deneyim sunmak olmalıdır.