Dijitalleşme günümüzde hemen her iş kolunda en trend başlıklar arasında yer almaktadır. Her geçen gün dijital uygulamaların hayatımızda edindiği yer artmakta, yeni iş kolları ve yeni şirketler hayatımıza girmektedir. Bu şirketlerin bir kısmı regüle piyasalarda çalışmakta olup çeşitli yasal yükümlülüklere tabidirler. İlgili mevzuat setine uyum sağlamak bu şirketler için bir gerekliliktir. Ayrıca regüle olsun ya da olmasın dijital iş modellerinde operasyonel verimlilik en önde gelen özelliklerden birisidir.
Regülasyon teknolojileri dijital şirketlerin mevzuata uygun, etkin ve verimli çalışmasını sağlayan çözümler üretmektedirler. Regülasyon teknolojisi piyasasının en önemli uygulamalarından birisi uzaktan kimlik tespitini de içeren dijital kimlik doğrulama (digital identification) üst başlığı ile sınıflandırdığımız sektördür. Başta finansal sektör olmak üzere bazı sektörlerde müşterinin tanınması (know your customer) yasal bir yükümlülüktür. Ayrıca, tüm dijital işletmeler sahtecilik, dolandırıcılık, kötüye kullanma gibi riskleri yönetmek amacıyla müşterinin tanınması uygulamaları kullanmaktadır. Tüm dijital iş fikirlerinde dijital ortamda sözleşme tesis edilmesinde karşı tarafın kimliğinin doğrulanması ihtiyacı bulunmaktadır.
Dijital kimlik doğrulama süreçlerinin finansal sektörde kullanımının bankacılık sistemine girmemiş büyük bir kitlenin önemli bir kısmını finansal sisteme entegrasyonunda faydaları olacağı da çalışmalarda gösterilmiştir. McKinsey tarafından 2019 yılında yayınlanan bir rapora göre büyüyen dijital kimlik doğrulama sektörü çok sayıda olumlu sonucu olacak: finansal hizmetlerin kullanımını artıracak, işe erişimi kolaylaştıracak, tarımsal verimliliği artıracak, zaman ve para tasarrufu sağlayacak, sahtecilik ve dolandırıcılık olaylarını azaltacak, ticari satışları artıracak, verimliliği artıracak, vergi toplamayı kolaylaştıracak.[1]
- Finansal Sektörde Uzaktan Kimlik Tespiti
26 Haziran 2020 tarihli 7247 sayılı Kanunla finansal hizmet veren kuruluşlar için müşteri edinim aşamalarındaki “Kimlik tespiti” ve “Sözleşme tesisi” süreçlerinin fiziki olarak yürütülmesi zorunluluğu ortadan kalkmıştır. BDDK da 1 Nisan 2021 tarihinde yayınladığı “Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik” ile birlikte bankalar tarafından yeni müşteri kazanımında ve müşteri kimliğinin doğrulanmasında kullanılabilecek uzaktan kimlik tespiti yöntemlerine ilişkin detayları belirlemiştir. BDDK 11 Ocak 2022 tarihinde yayınladığı “Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik” ile de banka dışı finansal kuruluşların uzaktan kimlik tespitine ilişkin usul ve esasları belirlemiştir.
SPK tarafından ise 8 Şubat 2022’de “Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ” yayınlanarak uzaktan kimlik tespitine ilişkin usul ve esaslar belirlenmiştir.
TCMB tarafından 1 Aralık 2021 tarihinde yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik ile aynı tarihli tebliğ kimlik doğrulamaya ilişkin süreçleri detaylı şekilde düzenlemiştir. Söz konusu mevzuat kimlik doğrulamanın fiziken olmasına ilişkin bir kısıtlama getirmemiştir. Fintech şirketlerinin yapısı dikkate alındığında bu sektörde kimlik doğrulamanın tamamen dijital ortamda yapılması beklenmektedir. Ödeme ve elektronik para kuruluşları bildirilen bir kimliğin gerçekten bildiren kişiye ait olduğuna dair güvence sağlayan mekanizma kurmakla yükümlüdür.
Böylece finansal regülasyon otoriteleri kuruluşların uzaktan kimlik tespiti ile müşteri edinimine ilişkin yasal altyapıyı tamamlamıştır.
- Telekomünikasyon Sektöründe Uzaktan Kimlik Tespiti
Bilgi Teknolojileri ve İletişim Kurumu (BTK) 26 Haziran 2021 tarihinde yayınladığı Elektronik Haberleşme Sektöründe Başvuru Sahibinin Kimliğinin Doğrulanma Süreci Hakkında Yönetmelik ile telekomünikasyon sektörünün uzaktan müşteri edinimine ilişkin standartları belirlemiştir. Yönetmelik’in yürürlük tarihi 31 Aralık 2021 olarak belirlenmiş, ancak daha sonra 1 Mart 2022 olarak değiştirilmiştir.
- MASAK Mevzuatında Uzaktan Kimlik Tespiti
Suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesi (AML/CFT) konusunda çalışmalar yapan ve standartları belirleyen uluslararası örgüt olan FATF 2020 yılında ilgili düzenlemelere ilişkin uygulamalarda dijital kimlik doğrulamanın kullanılabilmesine ilişkin bir rehber yayınlamıştır.
Öte yandan MASAK tarafından yayınlanan 30 Nisan 2021 tarihli 19 no’lu tebliğ ile MASAK mevzuatına göre müşteri kimliğinin doğrulanması amacıyla kullanılacak uzaktan kimlik tespiti yöntemlerine ilişkin usul ve esasları düzenlenmiştir.
- Kimlik Doğrulama Mevzuatı
22 Ekim 2020 tarihli Resmi Gazete’de “Türkiye Cumhuriyeti Kimlik Kartı Elektronik Kimlik Doğrulama Sistemi Yönetmeliği” yayınlanmıştır. Yönetmeliğin amacı Türkiye Cumhuriyeti kimlik kartı ile gerçekleştirilen elektronik kimlik doğrulama sistemi ile ilgili usul ve esasları belirlemektir. Yönetmeliğe göre kimlik doğrulama, kimlik kartını ibraz eden kişinin kimlik doğrulama sertifikası, PIN, biyometrik veri, dijital fotoğraf veya kartın fiziksel güvenlik öğeleri kullanılarak doğrulanmasını ve geçerlenmesini; elektronik kimlik doğrulama sistemi (EKDS) ise Türkiye Cumhuriyeti kimlik kartının elektronik kimlik doğrulama işlemlerinde kullanılabilmesini sağlayan sistemi ifade eder. EKDS standartlarına uygun olarak elektronik kimlik doğrulama ve kimlik doğrulamanın arşivlenmesine ilişkin hizmeti sağlayan kamu veya özel hukuk tüzel kişileri Kimlik Doğrulama Hizmet Sağlayıcı (KDHS) olarak tanımlanmıştır.
KDHS olabilmek için kamu veya özel hukuk tüzel kişilerinin aşağıdaki asgari şartları taşımaları zorunludur:
- TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibi olmak.
- TSE tarafından EKDS ile ilgili yayımlanan standartlara uygunluğunu belgelemek.
- KDHS’nin sorumluluk alanıyla ilgili EKDS’nin güvenliği ve idamesine dair alınacak idari ve teknik tedbirleri kapsayan taahhütnameyi imzalamak.
EKDS standartlarını TSE belirlemiş durumdadır. KDHS başvuruları İçişleri Bakanlığına yapılacaktır.
Halihazırda İçişleri Bakanlığı beş adet lisans vermiştir. Bunlar Polien Bilişim Teknolojileri A.Ş. (POLSAN iştirakidir, henüz internet sitesi aktif durumda değildir), TC Ziraat Bankası A.Ş., TNB Bilişim Teknolojileri Sanayi ve Ticaret A.Ş. (E-imza alanında çalışan bir firma), Türksat Uydu Haberleşme Kablo TV ve İşletme AŞ ile Tapu ve Kadastro Genel Müdürlüğü’dür. Görüldüğü üzere Ziraat Bankası dışında henüz finans sektörüne hizmet verebilecek bir kuruluş EKDS lisansı almamıştır.
[1] https://www.mckinsey.com/business-functions/mckinsey-digital/our-insights/digital-identification-a-key-to-inclusive-growth
