Uzaktan Kimlik Tespiti veya Doğrulama

Uzaktan kimlik doğrulama veya tespiti çok hassas bir konu olup yasal çerçevede ve güvenilir yöntemlerle yapılmasında sahtecilik, dolandırıcılık ve kara para aklama suçlarıyla mücadele açısından büyük önem bulunmaktadır. Uzaktan kimlik tespiti veya doğrulaması, saniyeler içinde müşteri, kullanıcı, çalışan, iş ortakları, hasta, öğrenci, sporcu veya oyuncularınızın kimlik tespitinin gerçekleştirilmesini sağlar. Yeni müşterilerinize hızlı ve etkili bir şekilde hesap açarken aynı zamanda sahtecilik, dolandırıcılık veya kara para aklama girişiminde bulunan veya yasaklı kişilerin sizi aldatarak işlem yapmasını önleyebilirsiniz. Online kimlik doğrulama; biometrik yüz tanıma yoluyla olabileceği gibi canlılık algılama yolu gibi yöntemler de gerçekleştirilebilir.

Uzaktan Kimlik Tespiti

Uzaktan Kimlik Tespiti veya Doğrulama

Sermaye Piyasası Kurulu (« SPK ») tarafından hazırlanmış olan “Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ” (« Tebliğ ») 08.02.2022 tarihinde 31744 sayılı Resmî Gazete’de yayımlanmıştır. Tebliğ, yayım tarihinden bir ay sonra, 08.03.2022 tarihinde yürürlüğe girecektir.

Tebliğ’de yer alan düzenlemeler, 1 Nisan 2021 tarihinde 31441 sayılı Resmî Gazete’de yayımlanan “Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik” (« Bankacılık Yönetmeliği ») ile oldukça benzerlik göstermektedir.

Tebliğ’de kimlik tespit sürecinde Mali Suçları Araştırma Kurulu (« MASAK ») tarafından çıkarılan müşteri kimliğinin doğrulanması amacıyla kullanılacak uzaktan kimlik tespiti yöntemlerini düzenleyen MASAK Genel Tebliği’nin (Sıra No:19) (“MASAK Genel Tebliği”) de dikkate alınacağı düzenlenmiştir.

Sermaye Piyasası Kurulu (« SPK ») tarafından hazırlanmış olan « Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik » (« Yönetmelik ») 11.01.2022 tarihli Resmi Gazetede yayınlanmıştır. an ile Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman şirketlerinin («  ») uzaktan kimlik tespiti yoluyla müşterilerinin kimlik tespitlerini gerçekleştirmelerine olanak sağlanmış, 

Uzaktan Kimlik Tespiti Nedir?

Uzaktan kimlik tespiti, belirlenen usul ve esaslar dâhilinde uzaktan kimlik tespiti yapma yetkisine sahip kurum personeli ile müşterisi olan gerçek kişilerin fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması işlemidir.  

Kimler Uzaktan Kimlik Tespiti Yapabilir?

Kurumlar ve Şirketler

  • Bankalar: Para, kredi ve sermaye konularına giren her çeşit işlemleri yapan ve düzenleyen, özel veya kamusal kişilerle işletmelerin bu alandaki her türlü ihtiyaçlarını karşılama faaliyetlerinde bulunan Türkiye’de kurulu “mevduat bankaları”, “katılım bankaları”, “kalkınma bankaları”, “yatırım bankaları”, “Finansal holding şirketleri”, “yurt dışında kurulu bu nitelikteki kuruluşların Türkiye’deki şubeleri” olarak kategorilere ayrılan ekonomik yapılar uzaktan kimlik tespiti yapabilecek kurum ve şirketler arasında yer almaktadır.
  • Banka dışı mali kuruluşlar: Finansal Kiralama, faktoring, finansman ve tasarruf finansman şirketlerinin uzaktan kimlik tespiti yoluyla müşterilerinin kimlik tespitlerini gerçekleştirmelerine 11 Şubat 2022 tarihi itibariyle olanak sağlanmıştır.
  • Aracı kurumlar: 6362 sayılı Kanunun 37 nci maddesinin birinci fıkrasındaki yatırım hizmet ve faaliyetlerinden mezkur fıkranın (a), (b), (c), (e) ve (f) bentlerinde yer alanları münhasıran yapmak üzere Sermaye Piyasası Kurulu tarafından yetkilendirilen yatırım kuruluşları uzaktan kimlik tespiti yapabilecek kurum ve şirketler arasında yer almaktadır.
  • Portföy yönetim şirketleri: 6362 sayılı Kanunun 55 inci maddesi hükümleri çerçevesinde faaliyet gösteren, ana faaliyet konusu yatırım fonlarının kurulması ve yönetimi olan sermaye piyasası kurumları uzaktan kimlik tespiti yapabilecek kurum ve şirketler arasında yer almaktadır.
  • Kripto varlık hizmet sağlayıcıları: Halihazırda kripto varlık hizmet sağlayıcıları uzaktan kimlik tespiti yapabilecek kurum ve şirketler arasında yer almamaktadır.

Uzaktan kimlik tespitini yapacak personel

Uzaktan kimlik tespitinin görüntülü görüşme aşaması bu konuda eğitim almış personel tarafından gerçekleştirilir. Personelin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, ilgili mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanır.

Personelin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da dâhil olmak üzere eğitim alması sağlanır. Personelin, kişinin aracı kurum veya portföy yönetim şirketi müşterisi olma veya hizmet ve faaliyetlerinden yararlanma isteğini aracı kurumdan veya portföy yönetim şirketinden kendi iradesiyle talep ettiğine şüphe bırakmayacak şekilde karar verebilmesi konusunda eğitim alması sağlanır.

Uzaktan kimlik tespiti çalışma ortamı

Uzaktan kimlik tespiti sürecinde personelin, yaşanabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanmalıdır.

Kişiye güven açısından personelin aracı kurum veya portföy yönetim şirketi adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılması sağlanmalıdır.

Aracı kurum veya portföy yönetim şirketi tarafından engelli kişilere hizmet verebilmek amacıyla gerekli önlemler alınması gerekir.

Uzaktan Kimlik Tespiti nasıl yapılır?

Uzaktan kimlik tespiti, kurum personeli ile kişinin fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması suretiyle yapılır. Uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.

Uzaktan kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulur.

Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınır.

Uzaktan kimlik tespiti için kullanılacak süreçler ve sistemler yoluyla uzaktan kimlik tespiti işlemi, kritik işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya personel tarafından başlatılması, onaylanması ve tamamlanmasına imkân vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve personel tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Personel tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir personele onaya gönderilir veya sonlandırılır.

Uzaktan kimlik tespitine ilişkin kullanılacak sistemlerin edinimi, yönetimi ve kullanılmasında 17/12/2013 tarihli ve 28854 sayılı Resmî Gazete’de yayımlanan Yatırım Kuruluşlarının Kuruluş ve Faaliyet Esasları Hakkında Tebliğ III-39.1’in 50 nci maddesi ile 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimi Tebliği (VII-128.9)’nin 18 inci maddesinde yer alan esaslara uyulur.

Aracı kurum ve portföy yönetim şirketi tarafından uzaktan kimlik tespiti sürecinin uygulanmasından önce, iş akış prosedürü oluşturulur ve prosedürde belirlenen sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda prosedürde gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliğinden emin olunmadıkça süreç uygulanmaz.

Prosedürün Gözden Geçirilmesi ve Güncellenmesi

Uzaktan kimlik tespiti prosedürü yılda en az iki defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, aracı kurumun ve portföy yönetim şirketinin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılır.

Uzaktan Kimlik Tespiti Aşamaları

Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği aracı kurum veya portföy yönetim şirketi uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir. Alınan formda asgari olarak  30/4/2021 tarihli ve 31470 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)’nin 6 ncı maddesinin birinci fıkrasında yer alan bilgilere yer verilir. Risk değerlendirmesi sonucunda gerekiyorsa görüntülü görüşme başlatılmadan süreç sonlandırılır.

Uygulanacak uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilir ve kişinin buna dair açık rızası elektronik ortamda kayıt altına alınır.

Personele uzaktan kimlik tespiti işlemleri atanırken belirli bir kişinin belirli bir personele atanması gibi önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilir.

Kişi ile yapılan görüntülü görüşmede personelin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz eder.

Uzaktan kimlik tespitinin görüntülü görüşme aşaması gerçek zamanlı ve kesintisiz şekilde yapılır. Personel ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilir.

Gerçekleşen iletişimin görüntü ve ses kalitesinin, şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkân vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanır. Görüntü kalitesinin, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanıması gerekir.

Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış olur.

Uzaktan kimlik tespiti ile sürekli iş ilişkisi tesisinde, müşteri ve hizmet riski ile 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmeliğin 18 inci ve 20 nci maddelerinde yer alan tedbirler göz önünde bulundurulur. Bu kapsamda tesis edilen iş ilişkisi hakkında risk temelli yaklaşımla sıkılaştırılmış tedbirler uygulanır. Risk temelli yaklaşımla sıkılaştırılmış tedbirlerin uygulanmasında Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)’nin 6 ncı maddesi hükümleri dikkate alınır.

Uzaktan kimlik tespitinde kullanılabilecek yöntemler

Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip olan kimlik belgesi kullanılır.

Yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir. Söz konusu doğrulama;

  • Kullanılan kimlik belgesinin, belgeyi çıkaran yetkili makam tarafından verildiği ve belgenin temassız yongası üzerindeki bilgilerin değiştirilmediği,
  • Kimlik belgesinin temassız yongası üzerindeki anahtarların kopyalanarak oluşturulmadığı,

kontrol edilerek yapılır.

Yakın alan iletişimi kullanılarak doğrulamanın herhangi bir nedenle yapılamaması halinde görüntülü görüşme ile uzaktan kimlik tespiti sürecinde; beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip olan kimlik belgesinin sahip olduğu görsel güvenlik unsurlarından seçilen en az dört adedinin şekil ve içerik bakımından doğrulanması sağlanır. Sadece görsel güvenlik unsurlarının doğrulanması suretiyle yapılan kimlik tespitinde ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluş üzerinden yapılması zorunludur.

Görsel güvenlik unsurlarının doğrulanması suretiyle yapılan kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve personelin vereceği talimata göre ilave hareketler yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenir.

Personel, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar ve/veya ekran görüntüleri oluşturur.

Personel, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı gösteren hiçbir yapaylık bulunmadığından emin olur.

Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, görüntülü görüşme ile uzaktan kimlik tespiti sürecinin bir parçası olarak gerçekleştirilir. Bu kapsamda asgari olarak;

  • Kimlik belgesinde bulunması gereken karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
  • Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,
  • Kimlik belgesi geçerlilik süresinin söz konusu kimlik belgesinin sahip olduğu standartlara aykırı olmadığı,
  • Kimlik belgesinin MRZ’sinde yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,
  • Kişiye ilişkin kimlik belgesinde yer alan bilgilerin aracı kurum veya portföy yönetim şirketi tarafından bilinen, Kimlik Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla aracı kurumun veya portföy yönetim şirketinin erişimine açık olan diğer bilgiler ile eşleştiği,
  • Kişiye görüntülü görüşme sırasında kimlik belgesinde yer alan seri numarası okutularak,

doğrulanır.

Kimliği tespit edilecek kişinin doğrulanması

Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılır. Aracı kurum veya portföy yönetim şirketi sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirler alır.

Uzaktan kimlik tespiti sürecinde, kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırması yapılır.

Personel, kişi ile kuracağı diyalog ve yapacağı gözlemler yardımıyla kimlik avı, sosyal mühendislik, başka bir tarafın zorlamasıyla baskı altında gerçekleşen hareketler ve benzeri dolandırıcılık yöntemlerini göz önüne alarak kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğundan ve kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğundan emin olur.

Uzaktan kimlik tespitinin görüntülü görüşme aşamasının sonunda kişiye, belirlenmiş olması halinde verilecek hizmet ve faaliyetlerin belirtilmesi ve kişiden aracı kurum veya portföy yönetim şirketi müşterisi olacağının kabulüne ilişkin sözlü onay alınması ile süreç tamamlanmış olur.

Görüntülü görüşmede sürecin sonlandırılması

Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle görsel doğrulama yapmanın ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılır. Süreçte herhangi başka bir tutarsızlık veya belirsizlik bulunması durumunda da sonlandırma yapılır.

Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişi tarafından sunulan belgelerin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşebbüsünden şüphe edilmesi durumunda, uzaktan kimlik tespiti süreci sonlandırılır.

Verilerin kaydedilmesi ve saklanması

Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gereklilikleri Belge Kayıt Tebliğinde yer alan bilgi ve belge saklama ile ilgili hükümleri aynen saklı kalmak koşuluyla uygulanır.

Uzaktan kimlik tespitinde sorumluluk

Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak aracı kurumun veya portföy yönetim şirketinin sorumluluğundadır. Aracı Kurum veya portföy yönetim şirketi uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü aracı kurum veya portföy yönetim şirketindedir.

Aracı Kurumun veya portföy yönetim şirketinin belirtilen standartlara uyum durumu, şikâyetler ile sahtecilik veya dolandırıcılık teşkil edebilecek eylemlerin değerlendirilmesi neticesinde ve gerekli görülen diğer hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Sermaye Piyasası Kurulu yetkilidir.

Konu hakkında detaylı bilgi ve danışmanlık hizmetlerimiz için bize ulaşın!

©Av. Prof. Dr. Vahit Bıçak

Comments

No comments yet.

Send Comment