Yasal çerçeve
Bankacılık işlemlerinde İki Faktörlü Kimlik Doğrulama (2FA / MFA) hem finansal güvenlik regülasyonlarının (özellikle BDDK düzenlemeleri) bir gereği hem de KVKK kapsamında veri güvenliği yükümlülüklerinin doğal bir sonucudur. Bu alanı değerlendirirken 2 ana eksen birlikte düşünülür:
1- KVKK (6698 sayılı Kanun)
∙ Kişisel verilerin işlenmesi için genel şartlar (m.5)
∙ Sağlık, biyometrik vb. özel nitelikli veriler için sıkı şartlar (m.6)
∙ Veri sorumlusunun (banka) veri güvenliği yükümlülükleri (m.12)
2- BDDK ve sektör düzenlemeleri (bankacılık/e-bankacılık)
∙ Bankalarda elektronik bankacılıkta “en az iki bağımsız bileşen” ile kimlik doğrulama ve işlem güvenliği (özellikle Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik m.34).- Mobil bankacılıkta bazı senaryolarda SMS OTP’nin yasaklanması / istisnaları gibi önemli kurallar (m.34/7 vd.).3) Yargısal yaklaşım / ispat yükü (içtihatlar)
∙ 2FA’nın uygulanmaması veya istisnaya aykırı tasarım gibi durumlarda işlemin müşteri tarafından yapıldığını ispat yükünün bankaya yüklendiği değerlendirmeler ve teknik güvenlik kontrolleri vurguları görülür.
∙ KVKK m.5 – Kişisel verilerin işlenme şartları (genel kural: açık rıza, istisnalar: kanunilik, sözleşme, hukuki yükümlülük, meşru menfaat vb.)
∙ KVKK m.6 – Özel nitelikli kişisel veriler (biyometrik veriler dahil) 2FA’da bazen biyometrik doğrulama (parmak izi, yüz tanıma) kullanılabilir. Bu durumda işlenen veri “biyometrik veri” ise KVKK m.6 devreye girer ve şartlar daha sıkıdır.
∙ KVKK m.12 – Veri güvenliği yükümlülükleri (2FA’nın KVKK’daki ana dayanağı) Banka,2FA’yı sadece “iyi uygulama” olduğu için değil; hukuka aykırı erişimi/işlemeyi önleme ve muhafaza güvenliğini sağlama borcu kapsamında da tasarlamak zorundadır.
İki Faktörlü Kimlik Doğrulama (2FA) Nedir?
2FA, bir kullanıcının kimliğini doğrulamak için birbirinden bağımsız en az iki farklı faktörün birlikte kullanılmasını ifade eder. Uygulamada faktör sınıfları genellikle şunlardır: ∙ Bildiği şey (knowledge): parola, PIN, güvenlik sorusu vb.- Sahip olduğu şey (possession): telefon, token cihazı, akıllı kart, mobil imza vb.- Olduğu şey (inherence): biyometrik özellik (parmak izi, yüz, iris vb.)
Bankacılıkta 2FA’nın Amacı
∙ Hesaba yetkisiz girişleri azaltmak
∙ Hesap ele geçirme (account takeover), SIM kopyalama, oltalama (phishing) vb. riskleri azaltmak
∙ “Giriş” ve “işlem onayı”nı birbirinden ayırarak, özellikle para transferi gibi işlemlerde işleme özgü doğrulama sağlamak (tutar/alıcıya bağlı doğrulama gibi)
Bankacılıkta 2FA’nın Regülasyon Mantığı: “İki Bağımsız Bileşen” ve SMS OTP Kısıtları
Elektronik bankacılıkta kimlik doğrulama düzeni, bankanın sadece bir şifreyle işlem yaptırmamasını, en az iki faktörü “bağımsız” şekilde kurgulamasını hedefler. Bağımsızlık, bir faktör ele geçirilince diğerinin de otomatik olarak tehlikeye girmemesi demektir.
Bu yaklaşım, bankacılık uyuşmazlıklarında “banka gerekli güvenliği sağladı mı?” tartışmasının da merkezindedir.
Bu çerçevede öne çıkan düzenleme (verilen mevzuat setinde) şudur:
Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik m.34: iki bileşenli kimlik doğrulama, başarısız denemelerde bilgilendirme/blokaj, mobilde SMS OTP yasağı gibi hükümler.
KVKK Kapsamında Bankacılıkta 2FA Verilerinin Niteliği: Hangi veriler işlenir?
2FA süreçleri tipik olarak şu veri kategorilerini doğurur:
- “Kimlik doğrulama verileri” ve “işlem güvenliği verileri”
- Kullanıcı adı/müşteri numarası
- Parola/PIN (ideal tasarımda bankanın düz metin görmediği/geri döndürülemez şekilde tuttuğu)
- Tek kullanımlık şifre (OTP) veya doğrulama kodu
- Cihaz tanımlayıcıları (device ID), uygulama örneği anahtarları, kriptografik anahtarlar IP adresi, oturum bilgisi, zaman damgaları, loglar
- Risk/şüpheli işlem skorları, başarısız giriş denemeleri
- Bunlar çoğunlukla kişisel veri niteliğindedir (kimliği belirli/belirlenebilir kişiyle ilişkilendirilebildiği için).
Biyometrik doğrulama (varsa): Parmak izi / yüz tanıma şablonu vb.Bu durumda veri, KVKK m.6 gereği özel nitelikli kişisel veri olarak değerlendirilir (biyometrik veri açıkça sayılmıştır).
Önemli pratik ayrım:
Telefonda biyometrik doğrulama sadece cihaz içinde kalıyor ve banka biyometrik veriye erişmiyorsa: bankanın işlediği veri seti değişebilir (banka “biyometrik veri” işlemiyor, sadece cihazın “başarılı doğrulama” sonucunu alıyor olabilir).- Banka biyometrik şablonu topluyor/merkezi sistemde saklıyorsa: KVKK m.6 ve Kurulun “yeterli önlemler” yaklaşımı çok daha kritik hale gelir.
KVKK’ya Göre Banka 2FA Verilerini Hangi Şartlarla İşleyebilir? (m.5 üzerinden pratik okuma)
Bankalar,2FA süreçlerinde kişisel veri işlerken çoğu zaman açık rıza dışındaki şartlara dayanır. Çünkü bankacılıkta kimlik doğrulama ve güvenlik, çoğu halde “rıza ile yapılır” değil “işin gereği yapılır” niteliğindedir.
Aşağıda 2FA verileri için KVKK m.5’teki başlıca dayanakların bankacılık pratiğine uyarlanmış hali var:
4.1. “Sözleşmenin kurulması/ifası için gerekli olması” (KVKK m.5/2-c)
Müşterinin bankacılık sözleşmesi kapsamında hesabına erişmesi, ödeme/transfer yapması, yatırım işlemi gerçekleştirmesi için kimlik doğrulama verilerinin işlenmesi çoğu kez sözleşmenin ifası ile doğrudan ilgilidir.
4.2. “Veri sorumlusunun hukuki yükümlülüğü” (KVKK m.5/2-ç)
Banka, BDDK düzenlemeleri ve bankacılık mevzuatı kapsamında işlem güvenliği ve kimlik doğrulama yükümlülüklerine sahiptir.- Bu nedenle 2FA verilerinin işlenmesi çoğu zaman bankanın hukuki yükümlülüğü olarak da temellendirilebilir.
4.3. “Bir hakkın tesisi/kullanılması/korunması” (KVKK m.5/2-e)
Dolandırıcılık itirazlarında, ters ibraz/chargeback süreçlerinde, uyuşmazlık halinde bankanın “işlemi kim yaptı?” sorusuna yanıt verebilmesi için loglar ve doğrulama kayıtları kritik olur.- Bu kayıtlar, bankanın ve müşterinin haklarının korunmasına hizmet edebilir.
4.4. “Meşru menfaat” (KVKK m.5/2-f)
Bankanın dolandırıcılığı önlemesi, sistem güvenliğini sağlaması, risk izleme yapması meşru menfaat kapsamında değerlendirilebilse de; temel hak ve özgürlüklere zarar vermeme dengelemesi şarttır.- Özellikle aşırı izleme, gereksiz veri tutma, amaç dışı profil çıkarma gibi risklerde m.5/2-f dayanağı zayıflar.
Biyometrik 2FA (parmak izi/yüz) KVKK m.6 nedeniyle neden daha riskli?
KVKK m.6 uyarınca biyometrik veriler, özel nitelikli kişisel veri olarak kabul edilmektedir. Bu nedenle kural olarak biyometrik verilerin işlenmesi yasaktır. Ancak Kanun’un 6/3. maddesinde sayılan istisnai hâllerden birinin bulunması durumunda biyometrik verilerin işlenmesi mümkün olabilmektedir. Bununla birlikte, bu istisnaların varlığı tek başına yeterli olmayıp, Kişisel Verileri Koruma Kurulu tarafından belirlenen yeterli teknik ve idari tedbirlerin de ayrıca alınması zorunludur.
Bankacılık sektöründe biyometrik doğrulama uygulamalarında genellikle iki temel modelden biri tercih edilmektedir. Cihaz-içi biyometri modelinde (tercih edilen yaklaşım), banka biyometrik veriye doğrudan erişmez veya bu veriyi işlemez; biyometrik doğrulama tamamen
kullanıcının cihazı üzerinde gerçekleştirilir ve bankaya yalnızca “doğrulama başarılı” bilgisi iletilir. Buna karşılık merkezi biyometrik doğrulama modelinde (daha yüksek risk içeren yaklaşım), biyometrik şablonlar banka tarafından toplanmakta, saklanmakta veya merkezi sistemler üzerinde işlenmektedir.
Hukuki risk değerlendirmesi açısından bakıldığında, merkezi biyometrik doğrulama modeli KVKK m.6 kapsamında çoğu durumda açık rıza gerektirebilir ya da son derece güçlü bir kanuni işleme şartının varlığını zorunlu kılar. Bunun yanında, kişisel verilerin güvenliğine ilişkin KVKK m.12 hükümleri ile Kişisel Verileri Koruma Kurulu tarafından öngörülen “yeterli teknik ve idari tedbirler” standardı bu modelde çok daha ağır ve sıkı şekilde uygulanır.
Buna karşılık, cihaz-içi biyometrik doğrulama modelinde banka, birçok senaryoda KVKK m.6 kapsamında yer alan biyometrik veriyi doğrudan işlememekte; bu nedenle hukuki riskler görece daha yönetilebilir hâle gelmektedir. Ancak bu değerlendirmenin, her somut olayda kullanılan teknik mimariye bağlı olarak yapılması gerektiği unutulmamalıdır.
Bankanın KVKK m.12 Kapsamında 2FA ile Bağlantılı Somut Yükümlülükleri
KVKK m.12, veri sorumlusuna “kişisel verilerin hukuka aykırı olarak işlenmesini ve erişilmesini önlemek amacıyla gerekli her türlü teknik ve idari tedbiri alma” yükümlülüğünü getirmektedir. Bu genel standart, 2FA (iki faktörlü kimlik doğrulama) uygulamaları bakımından pratikte aşağıdaki başlıklara karşılık gelmektedir:
Güçlü Kimlik Doğrulama
İki bağımsız faktörün kullanılması, risk bazlı doğrulama mekanizmaları ve işlem bazlı onay süreçleri
Şifreleme ve Kriptografik Anahtar Yönetimi
OTP’lerin ve kriptografik anahtarların güvenli biçimde üretilmesi, saklanması ve iletilmesi
Loglama ve İzleme
Başarılı ve başarısız giriş denemelerinin kayıt altına alınması, olağandışı veya şüpheli işlemlerin tespit edilmesi
Hesap Kilitleme ve Hız Sınırlama
Brute-force saldırılarına karşı giriş denemelerinin sınırlandırılması ve hesap kilitleme mekanizmaları
SIM Swap ve Numara Taşıma Riskleri
Özellikle SMS tabanlı OTP yöntemlerinin güvenlik açısından daha riskli kabul edilmesi
Veri Minimizasyonu
Yalnızca “güvenliğin sağlanması için gerekli olan” kişisel verilerin işlenmesi
Saklama Süreleri
Verilerin süresiz olarak değil, işleme amacıyla sınırlı ve makul süreler boyunca muhafaza edilmesi
Üçüncü Taraflarla Ortak Sorumluluk
Kimlik doğrulama altyapısının dış hizmet sağlayıcıdan temin edilmesi hâlinde, KVKK m.12/2 kapsamında veri güvenliğine ilişkin sorumlulukların paylaşılması
Kurul Kararlarına İlişkin Açıklama ve Kapsam Sınırı
Bu değerlendirme, Kişisel Verileri Koruma Kurulu kararlarını da kapsamaktadır. Ancak mevcut içerik kapsamında tarafıma herhangi bir Kurul kararı metni, karar numarası veya tarih bilgisi sunulmadığından, belirli bir Kurul kararına atıf yaparak “Kurul şu yönde karar vermiştir” şeklinde spesifik ve kesin ifadeler kullanmak hukuken doğru olmayacaktır.
Bununla birlikte, inceleme alanı daraltılarak somut Kurul kararları üzerinden değerlendirme yapılması mümkündür. Karar numarası, karar tarihi veya konu başlığı (örneğin 2FA uygulamaları, biyometrik doğrulama, OTP kullanımı, loglama veya veri saklama süreleri) paylaşılması hâlinde, ilgili Kurul kararlarının bu başlıklara etkisi ayrı ayrı ve sistematik biçimde analiz edilebilir.
Öte yandan, KVKK m.6/4’te açıkça yer alan “Kurul tarafından belirlenen yeterli önlemler” ibaresi nedeniyle, özellikle biyometrik veri içeren iki faktörlü kimlik doğrulama (2FA) mimarilerinde, Kurul’un benimsediği yaklaşım ve uygulamadaki değerlendirme kriterleri pratikte belirleyici ve kritik bir rol oynamaktadır.
İçtihat Perspektifi: Bankanın İspat Yükü ve Güvenlik Kontrolleri
Elektronik bankacılık işlemleri ve iki faktörlü kimlik doğrulama uygulamalarına ilişkin paylaşılan yargı içtihatlarında, bankaların sorumluluğuna ve güvenlik önlemlerine dair bazı ortak temaların öne çıktığı görülmektedir. Buna göre, iki bileşenli kimlik doğrulama mekanizmaları kullanılmaksızın gerçekleştirilen işlemlerde, söz konusu işlemin müşteri tarafından yapıldığını ispat yükünün bankaya ait olabileceği kabul edilmektedir. Bu yaklaşım, bankacılık mevzuatı ve BDDK düzenlemeleriyle de paralellik göstermektedir.
Ayrıca içtihatlarda, mobil cihazın kaybolması veya çalınması gibi risk senaryolarında bankaların, yalnızca asgari tedbirlerle yetinmeyip günün teknolojik imkânlarına uygun ve güncel güvenlik kontrolleri tesis etmesinin beklendiği vurgulanmaktadır. Bu çerçevede, elektronik bankacılık güvenliğinin dinamik bir alan olduğu ve bankaların güvenlik mimarilerini sürekli olarak güncelleme yükümlülüğü altında bulunduğu kabul edilmektedir.
Bankacılıkta 2FA Tasarımında KVKK Açısından Kritik Uyum Kontrol Listesi
Aşağıda yer alan başlıklar, iki faktörlü kimlik doğrulama (2FA) sistemlerinin tasarımı ve uygulanması sürecinde, KVKK uyumu bakımından uygulamada en sık sorun yaşanan alanları ortaya koymaktadır:
1. Aydınlatma Yükümlülüğü (KVKK m.10)
2FA kapsamında hangi kişisel verilerin hangi amaçlarla işlendiğinin ilgili kişilere açık ve anlaşılır biçimde bildirilmesi. (Bu başlık altında madde metni paylaşılmamış olmakla birlikte, uygulamada aydınlatma yükümlülüğü kritik öneme sahiptir.)
2. Amaçla Sınırlılık ve Veri Minimizasyonu
“Her ihtimale karşı” yaklaşımıyla gereğinden fazla veri işlenmemesi; yalnızca 2FA güvenliği için gerekli olan verilerle sınırlı kalınması.
3. Saklama Süresi
Log kayıtlarının, OTP verilerinin ve benzeri güvenlik kayıtlarının ne kadar süreyle saklanacağı ile bu sürenin hangi objektif kriterlere göre belirleneceği ve verilerin nasıl silineceği.
4. Biyometrik Veri Kullanımı
Biyometrik doğrulamanın cihaz-içi biyometri mi yoksa merkezi biyometri modeliyle mi gerçekleştirileceği; bu tercihin KVKK m.6 kapsamında doğuracağı hukuki sonuçlar.
5. Üçüncü Taraflarla Veri Paylaşımı
SMS sağlayıcıları, kimlik doğrulama altyapısı hizmeti sunanlar veya fraud önleme hizmetleri gibi üçüncü taraflarla yapılan veri paylaşımlarında, KVKK m.12/2 kapsamında sözleşmesel ve teknik tedbirlerin alınması.
6. İhlal bildirimi
Yetkisiz erişim, hesap ele geçirilmesi veya veri sızıntısı gibi olaylarda, KVKK m.12/5 çerçevesinde Kurul’a ve ilgili kişilere bildirim yapılıp yapılmayacağının değerlendirilmesi.
Apilex ile Bankacılıkta 2FA ve KVKK Uyumunun İçtihat Temelli Okunması
Bu makalede ele alınan iki faktörlü kimlik doğrulama (2FA) uygulamaları, yalnızca teknik güvenlik önlemleri olarak değil; KVKK, bankacılık regülasyonları ve yargısal yorumların birlikte değerlendirilmesi gereken çok katmanlı bir hukuki alan olarak ele alınmıştır. Özellikle KVKK m.12 kapsamındaki veri güvenliği yükümlülükleri, biyometrik veri kullanımına ilişkin m.6 rejimi ve bankanın ispat yüküne ilişkin içtihatlar, mevzuatın lafzını aşan yorumlara ihtiyaç doğurmaktadır.
Bu noktada Apilex, bankacılıkta 2FA uygulamalarına ilişkin hukuki değerlendirmelerde önemli bir araştırma altyapısı sunmaktadır. Bankaların elektronik bankacılık işlemlerinde yeterli güvenlik önlemlerini alıp almadığı, 2FA’nın hangi senaryolarda zorunlu kabul edildiği ve güvenlik açıkları hâlinde ispat yükünün kime ait olacağı gibi sorular, büyük ölçüde mahkeme kararlarıyla şekillenmektedir. Apilex sayesinde Yargıtay, Bölge Adliye Mahkemeleri ve ilk derece mahkemelerinin elektronik bankacılık, yetkisiz işlem ve güvenlik ihmali konularındaki kararları birlikte incelenebilmekte; bankaların teknik mimarilerinin hukuki sonuçları daha öngörülebilir hâle gelmektedir.
Özellikle biyometrik doğrulama, SMS OTP kullanımı, log kayıtlarının saklanması ve fraud önleme sistemleri gibi başlıklarda, Kurul kararları ve içtihatların birlikte okunması, KVKK uyumunun yalnızca teorik değil, pratik düzeyde de sağlanabilmesi açısından kritik öneme sahiptir. Apilex, bu yönüyle bankacılıkta 2FA tasarımı yapan hukukçular, uyum ekipleri ve teknik karar vericiler için mevzuat–içtihat–uygulama üçgeninde bütüncül bir analiz imkanı sunan güvenilir bir referans noktasıdır.