Bankaların Uzaktan Müşteri Edinimine İlişkin Düzenleme Uyum Çalışmaları
Bilindiği üzere Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından 15 Mart 2020’de yayımlanan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği (Bilgi Sistemleri Yönetmeliği) uzaktan kimlik tespiti ve 3.tarafa güven başlıklı 43.maddesi ile uzaktan müşteri edinimi (digital onboarding) ilk defa düzenlenmişti. 26 Haziran 2020 tarihinde yayımlanan 7247 Sayılı Kanun ile de finansal kuruluşların müşterileriyle akdettikleri bankacılık işlemleri, kart, sermaye piyasası işlemleri, ödeme hizmetleri, finansal kiralama, faktoring ve finansman sözleşmelerinin elektronik ortamda kurulmasının önü açılmıştı. Bununla birlikte bankalarca yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerini belirlemek üzere Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ Taslağı 21 Eylül 2020 tarihinde BDDK’nın internet sitesinde yayımlanarak kamuoyu ile paylaşılmıştı. Kronolojik olarak belirttiğimiz bu süreçte sitemizde 10 Nisan 2020’de Finansal Hizmetlerde Uzaktan İletişim Araçlarıyla Mesafeli Sözleşmelerin Kurulmasına İlişkin Taslak Torba Kanunun Getirdikleri, 29 Haziran 2020’de 7247 sayılı Kanun ile Finansal Hizmetlerde Yeni Dönem: Uzaktan Müşteri Edinimi “Digital Onboarding”, 21 Eylül 2020’de Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Tebliğ Taslağı adı altındaki yazılarımızı tafsilatlı bir şekilde kaleme alarak yayımlamıştık.
Bu doğrultuda epey bir süredir beklenen Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik (Uzaktan Kimlik Tespitine İlişkin Yönetmelik) 1 Nisan 2021 tarihli ve 31441 sayılı Resmî Gazete’de yayımlanmıştır. Söz konusu Yönetmelik, Mali Suçları Araştırma Kurulu Başkanlığı’nın (MASAK) yakın dönemde yayımlanan ikincil mevzuatı ile paralel şekilde 1 Mayıs 2021 tarihinde yürürlüğe girecektir. Finansal sistemde köklü bir dönüşümün habercisi sayılabilecek bu gelişmeler ışığında bankalar ile potansiyel müşteriler arasında ilk defa sözleşme ilişkisi tesis edilirken yüz yüze gelme ihtiyacı ortadan kaldırılarak 01.05.2021 tarihinden itibaren sürecin dijital ortamda başlayıp dijital ortamda sonlanması mümkün hale gelmiştir.
Uzaktan müşteri edinimi (digital onboarding) ile ilgili muhtelif yazılarımızda içeriğine ve olası etkilerine ziyadesiyle değinildiği için bu yazımızda yer verilmeyecektir. Bunun yanı sıra Uzaktan Kimlik Tespitine İlişkin Yönetmelik kapsamında açıklığa kavuşan belli başlı konulara kısaca aşağıda değinebiliriz:
- Bankalar uzaktan kimlik tespitinde; müşterinin yalnızca Türkiye Cumhuriyeti Kimlik Kartı’nı kullanabilecek ve sadece “gerçek kişilerin” ve “gerçek kişi tacirlerin” kimlikleri tespite konu olabilecektir.
- Uzaktan kimlik tespitine ilişkin kullanılacak süreçler ve sistemler, Bilgi Sistemleri Yönetmeliği’nde düzenlenen “kritik bilgi sistemleri” kapsamına alındığı için bu konuda hem destek hizmeti alımında hem de teknoloji sağlayan firmaların hizmetlerini sunumunda öngörülen yükümlülükleri taşıması gerekecektir.
- Bankaların uzaktan kimlik tespiti sürecini uçtan uca görevler ayrılığı prensibiyle tasarlayıp, bu konuda eğitimli bir ekip kurmaları gerekeceği ve bu ekibi dış hizmet olarak almalarının mümkün gözükmediği söylenebilecektir.
- Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlama sorumluluğu ve kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü bankalara verilmektedir.
- Elektronik ortamda sözleşme ilişkinin kurulması için “iki bileşenli kimlik doğrulaması” gerekli kılınmaktadır.
Bununla birlikte Uzaktan Kimlik Tespitine İlişkin Yönetmelik kapsamında bankalarca alınması gereken aksiyonlara ise uyum çalışmalarına katkı sunması açısından genel hatlarıyla 8 ana başlıkta 42 adet eylem maddesi olarak aşağıda yer verebiliriz:
1 | Dokümantasyona İlişkin Alınacak Aksiyonlar |
1.1 |
Uzaktan kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin banka içi detaylı dokümanların oluşturulması |
1.2 |
Bankanın belirlediği uzaktan kimlik tespiti sürecinin uygulanmasından önce, süreç dokümanlarının oluşturulması |
2 |
Uzaktan Kimlik Tespiti Sürecinin Etkinliğinin Teminine İlişkin Alınacak Aksiyonlar |
2.1 |
Uzaktan kimlik tespiti yönteminin yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanması |
2.2 |
Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel vb. riskler dikkate alınarak yeterli seviyede güvenlik önlemlerinin alınması |
2.3 |
Uzaktan kimlik tespiti işleminin görevler ayrılığı prensibi doğrultusunda bilgi teknolojileri veya müşteri temsilcisi tarafından tek başına başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanması ve işletilmesi |
2.4 |
Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve müşteri temsilcisi tarafından yapılacak onaylama ve ek kontroller ile tamamlanmasının sağlanması |
2.5 |
Müşteri temsilcisi tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlemin ikinci bir onaya gönderilmesi veya sonlandırılmasının sağlanması |
2.6 |
Sürecin etkinliğinin test edilerek sonuçlarının yazılı hale getirilmesi |
2.7 |
Test sonuçlarının başarılı bulunmaması durumunda süreçte gerekli güncellemelerin yapılması ve sürecin etkinliği ve yeterliliğinden emin olunmadıkça yeterliliği sağlanmadıkça sürecin uygulanmaması |
2.8 |
Uzaktan kimlik tespitinin sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınması ve saklanması |
2.9 |
Uzaktan kimlik tespiti sürecinin yılda 2 defa gözden geçirilmesi |
2.10 |
Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, bankanın muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesinin sağlanması ve gerekli güncellemelerin yapılması |
2.11 |
Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasının sağlanması |
2.12 |
Uzaktan kimlik tespiti ile kimlik tespiti yapılan kişilerin farklı bir risk profilinde izlenmesi, bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemlerinin uygulanmasının sağlanması |
3 |
Müşteri Temsilcisi Eğitimlerine İlişkin Alınacak Aksiyonlar |
3.1 |
Uzaktan kimlik tespitinin görüntülü görüşme aşamasını gerçekleştirecek müşteri temsilcisinin bu konuda eğitim almasının sağlanması |
3.2 |
Müşteri temsilcisinin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, bu Yönetmelikte ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olmasının sağlanması |
3.3 |
Müşteri temsilcisinin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dâhil olmak üzere eğitim almasının sağlanması |
3.4 |
Müşteri temsilcisinin, kişinin banka müşterisi olma veya bankacılık hizmetlerinden yararlanma isteğini kendi iradesiyle bankadan talep ettiğine dair karar verebilmesi konusunda eğitim almasının sağlanması |
3.5 |
Engelli kişilere hizmet verebilmek amacıyla en az bir müşteri temsilcisine gerekli eğitimlerin verilmesinin sağlanması |
4 |
Müşteri Temsilcisinin Çalışma Ortamına İlişkin Alınacak Aksiyonlar |
4.1 |
Uzaktan kimlik tespiti sürecinde müşteri temsilcisinin, yaşanılabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışmasının sağlanması |
4.2 |
Kişiye (müşteriye) güven vermesi açısından müşteri temsilcisinin banka adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılmasının sağlanması |
5 |
Uzaktan Kimlik Tespiti Sürecine İlişkin Alınacak Aksiyonlar |
5.1 |
Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin (müşteri) başvurusunun banka uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınması |
5.2 |
Müşteriden alınan veriler kullanılarak kişi hakkında risk değerlendirmesinin gerçekleştirilmesi, sonucunda gerekiyorsa görüntülü görüşme başlatılmadan sürecin sonlandırılması |
5.3 |
Müşterinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisinin kullanılması halinde buna dair açık rızasının elektronik ortamda kayıt altına alınması |
5.4 |
Müşteri temsilcisine uzaktan kimlik tespiti işlemleri atanırken belirli bir kişinin belirli bir müşteri temsilcisine atanması gibi önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmaların tesis edilmesi |
5.5 |
Kişi ile yapılacak görüntülü görüşmeden önce müşteri temsilcisinin soracağı asgari soruların belirlenmesi |
5.6 |
Müşteri temsilcisi ile kişi arasındaki görüntülü görüşmenin uçtan uca güvenli iletişim ile gerçekleştirilmesinin sağlanması |
5.7 |
Gerçekleşen iletişimin görüntü ve ses kalitesinin, bu Yönetmelikte yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olmasının sağlanması |
5.8 |
Görüntü kalitesinin; sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine imkan tanıması |
5.9 |
Kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP’nin kişiye iletiminin ve başarılı şekilde onaylanmasının sağlanması |
6 |
Kimlik Belgesi ve Doğrulanmasına İlişkin Alınacak Aksiyonlar |
6.1 |
Uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip olan kimlik belgesi kullanılmasının sağlanması |
6.2 |
Yakın alan iletişimi (Near Field Communication – NFC) kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanmasının sağlanması |
6.3 |
NFC teknolojisi kullanılarak doğrulamanın herhangi bir nedenle yapılamaması halinde kimlik belgesinin sahip olduğu görsel güvenlik unsurlarından en az dört adedinin şekil ve içerik bakımından doğrulanmasının sağlanması |
6.4 |
Sadece görsel güvenlik unsurlarının doğrulanması hallerinde bankanın ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka bankadaki kişinin kendi hesabından yapılmasının zorunlu tutulması |
6.5 |
Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulamanın yapılması |
7 |
Kimliği Tespit Edilecek Kişinin Doğrulanmasına İlişkin Alınacak Aksiyonlar |
7.1 |
Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılması, sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirlerin alınması |
7.2 |
Uzaktan kimlik tespiti sürecinde kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırmasının yapılmasının sağlanması |
7.3 |
Uzaktan kimlik tespitinin görüntülü görüşme aşamasının sonunda kişinin verilecek bankacılık hizmetleri hakkında bilgilendirilmesi ve banka müşterisi olacağını kabul ettiğine ilişkin sözlü onayının alınması |
8 |
Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Alınacak Aksiyonlar |
8.1 |
Uzaktan veya şubelerden müşteri kimliğinin tespit edilmesini müteakiben internet bankacılığı ya da mobil bankacılık dağıtım kanallarından herhangi biri kullanıma açık olan müşterilerce gerçekleştirilmek istenen işlemlere yönelik sözleşme ilişkisinin mesafeli olarak kurulması durumunda müşterinin sözleşmeyi kuran irade beyanının iki bileşenli kimlik doğrulama sonrasında alınması |
8.2 |
Elektronik Ortamda kurulacak sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde internet bankacılığı ya da mobil bankacılık dağıtım kanalları üzerinden müşteriye iletilmesi |
8.3 |
Sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının, müşteriye özgü şifreleme gizli anahtarı ile imzalanarak bankaya iletilmesi |
8.4 |
Elektronik Ortamda iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması |
Saygılarımızla,
Vahdet Deniz AKÇAOĞLU
“UYARI: Bu çalışmada yer alan görüşler, yazarın kendi görüşleri olup, çalıştığı kurumun görüşlerini yansıtmamaktadır. Bu yazı yalnızca bilgilendirme amacıyla yayımlanmış olup, herhangi bir hukuki görüş, yönlendirme ve tavsiye içermemektedir. Ayrıca, bilgiler yazının hazırlandığı tarihteki mevzuat göz önünde bulundurularak verilmiş olup, yazı içeriği aradan geçen zaman içerisinde mevzuat değişiklikleri ve ilgili kurumların konu hakkındaki görüşleri çerçevesinde güncelliğini yitirmiş olabilir.”
Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik:
Emeginize saglik hocam. Yonetmelik tarihi 01.04.2021 olacak
Merhaba,
Geri bildiriminiz için teşekkürler. İlgili tarih kısmı güncellendi. Sağlıcakla kalın. iyi günler,
Saygılarımla,