Bir gün sizi Emniyetin “Siber Suçlar Mücadele Şube Müdürlüğü” tarafından  veya Ağır Ceza Mahkemesi Savcılığından aranıp ifadeye davet edilebilirsiniz. İlk defa duyacağınız, içinde olmadığınız “Dijital Dolandırıcılık” suçlaması ile karşı karşıya kalabilirsiniz.  “O kadar kolay mı” der gibisiniz; o zaman okuyup karar verin…

AKÖDE, PAPARA, Western Union, Sipay, Global, Vezne24, Pay Fix, Vodafone, Hızlıpara, CEO, Efix, Sender, Misyon, TT, Turkcell, Gönderal, UPT, Cemete… diye gidiyor liste. Ne bunlar? Belki de ismini ilk defa okuduğunu bu firmalar; TCMB ve BDDK onay, izin ve denetimi ile kurulan ve faaliyetine devam eden sayıları 36’yı bulan Elektronik Para ve Ödeme Hizmetleri veren firmalardan bazıları.

Bu firmalar ne zaman kuruldu ne işe yarar

İlki 2015 yılında, sonuncusu 2024 yılında lisans alan bu firmalar kısaca banka hesabına gerek kalmadan, ağırlıklı cep telefondan saniyeler içinde açılabilen hesaplar ile aktifleşen ve hesap sahibine “para transferi sağlayan bir para ödeme aracı hizmeti veren” kurumlar. Başka bir ifade ile yetkilendirilmiş bu firmalar gönderen ile alıcı arasında para transfer işlemini yürütmekte. Hesaplara geçen paralar başkalarına gönderilebilmekte, ATM’lerden nakit çekilebilmekte, alışverişte kullanılabilmekte. Bu hesapları ağırlıklı Gerçek Kişiler tarafından belirlenen limitler içinde para gönderip alınmasını sağlamakta. Bu firmalar 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” kapsamında kurulmuş ve bu kanuna tabi faaliyet göstermekte. Bu firmaların kurulması TCMB ve BDDK tarafından lisans, onay verilmesi sürecinde bir sorun yok fakat işleyişte ciddi sıkıntılar var. Öyle ki bu firmaların bazıları dolandırıcıların merkezi haline gelmiş durumda ve firmalar Dijital Güvenlikten sınıfta kaldı. Bu firmalardaki güvenlik açığı nedeni ile yüzlerce masum insan hapis alırken, mahkemelerde devam eden binlerce dosya yığılmış durumda.  Hadi işleyişteki aksaklılara, hepimizi ilgilendiren güvenlik açıklarına birlikte bakalım. Okurken zaten siz de hak vereceksiniz…

Hesap açılışlarında güvenlik açığı oluştu

Bu firmaların hemen hemen hepsinde akıllı dediğimiz cep telefonu kullanılarak uzaktan hesap açabiliyorsunuz. Sorunlardan biri o aşamada oluştu. Özelikle bazı firmaların örneğin, AKBANK iştiraki olan AKÖDE- TOSLA hesabı, 2018’de ilk faaliyete başladığında hesap açılışında herhangi bir kişinin İSMİ, TC NO ve DOĞUM TARİHİ elinizde ise veya bu bilgileriniz herhangi birinin eline geçti ise (ki hayatın olağan akışında bu bilgilere ulaşmak çok zor değil) bu bilgiler ile hesap açabiliyordunuz. Kontrol sistemi sadece hesap açtığını cep telefona gelen onay kodu ve girmiş olduğunuz mail adresine gelen onay kodu. O kadar! Üstelik girdiğiniz telefon numarası sizin üzerinize olması bile zorunlu değil!

Yabancı uyruklu telefonlar sorun oldu

Firmalar hesap açımında girilen cep telefon numarası ile kullanıcısının aynı kişi olması veya bu telefon hattına sahip kişiye ulaşılabilirliğinin kolay olup olmamasına bakmadan hesaplar açıldı. Sorun ise bu hesaplar kullanılarak dolandırıcılıklar başlayınca ortaya çıktı. Emniyete ve Yargıya yansıyan şikayetlerde girilen telefon hat sahibi ulaşmada zorluklar yaşandı. Zira, özellikle Suriye gibi ülkelerden gelen yabancıların tespit edilmesine rağmen adreslerinin tespiti veya ülke dışına çıkması nedeni ile ulaşılması nerede ise imkansız hale geldi; özellikle dolandırıcılıkta kullanılan telefonlarda hat sahipleri yıllar önce ülkeyi terk etmiş oluyor. Mahkemeler hat sahibine ulaşamayınca Kavuşturmaya Yer Olmadığına dair Takipsizlik kararı veriyor.  Bu durumda adına sahte hesap açılan vatandaş ilk defa bilgilerinin dolandırıcılıkta kullanıldığını Ağır Ceza soruşturmasını yürüten Savcı veya Hakimin karşısında çıkınca haberi oluyor. Tabi içinde olmadığı bir organizasyona ait olmadığınızı anlatmak kadar bir zorluk yok. Hatırlayın bir Suriyelinin üzerinde kendisine ait 9 adet kimlik çıkmıştı. Her Türkiye’ye girişte yeni geliyormuş gibi kimlikler çıkarmıştı. Yabancılara verilen kimliklerin çoğu beyana tabi çıkarılıyor, düzensiz göçmenlerin çoğunun üzerinde kendi ülkesinin kimliği dahi yok!

Mahkemeler ve Bilirkişiler gerçek dolandırıcıyı tespitte zorlanıyor               

Son yıllarda özellikle dolandırıcılık davalarında bu firmaların ismi çok geçti. Bu firmalara mahkemelere veya Emniyet Müdürlüklerine kaç kişi hakkında bilgi istendiğini ve bilgi verildiğini TCMB ve BDDK isteyip kamuoyuna açıklarsa şikayet ve yargıya yansıyan olay adetini de ortaya çıkmış olur. Bu sayede vatandaş da şikayetlerin hangi firmalarda yoğunlaştığı hangi firmalarda daha fazla güvenlik açığı olduğu da anlamış olur. Mahkemeler ya da Emniyet bu firmalardan bilgi istediğinde hesaba para geçen veya gönderilen hesap bilgilerinde ismi geçen  kişinin tüm bilgilerini derken elindeki İsim, TC no, hesapta açılan cep telefon no ve mail adresini paylaşıyor. Emniyet de haklı olarak bu isim üzerinden Mahkemeye sevk ediyor ve Mahkemeler de hesap sahibi hakkında soruşturma açıp davaya dönüştürüyor. Burada can alıcı nokta hesap sahibinin hesabı ile hiç ilgisinin olmama olasılığı çünkü Elektronik Para ve Ödeme Hizmetleri firmaları bir de “basit usulde doğrulama” diye bir kavram uydurmuşlar, mahkemelere hesap “basit usulde doğrulanarak açılmıştır” diye cevap yazıyorlar. Mahkemelerin sorduğu ise “bu hesap gerçekte kime ait” olduğu; oysa basit usulde sorgulamak sadece cep telefonuna giden onay kodu ve mail adresine giden onay kodu ile bu hesapların açıldığını diğer ana can alıcı isim-TC bilgilerinin hesabın asıl sahibinin olduğunu daha doğrusu kesin GERÇEK KİMLİK DOĞRULAMA anlamına gelmemekte. Vahamete bakar mısınız? Sizin TC ve Doğum tarih bilgisine eline geçiren biri hesap açabilir, vatandaşı dolandırabilir fakat sanki siz yapmışsınız gibi   mahkemeye bilgileriniz gitsin. Bir anda kendinizi bu davaların görüldüğü Ağır Ceza Savcısı ve Hakimi karşısında buluyorsunuz ve sizden bu hesabın size ait olmadığının kanıtlanması isteniyor. Mahkeme Bilirkişi Raporu talep etse bile Türkiye’deki birçok Bilirkişi bu firmalardaki hesap açma prosedürlerini bilmediği için dosyada ismi geçen ve bu firmalar tarafından bildirilen ismi suçlayacak şekilde rapor hazırlıyor bu raporlarla birlikte mahkemede hiç ilgisi olmadığı halde vatandaşa dolandırıcılıktan hapis cezası veriyor.  Elektronik Para ve Ödeme Hizmetleri firmalarındaki güvenlik açığı nedeni ile yüzlerce insan hapis cezası almış, hapis yatmış durumda, halen mahkemelerde devam eden binlerce de dava var.

Daha vahimi var: Güvensiz hesaplar hala aktif!

Mahkemelerde ve vatandaştan şikayetler gidince bu firmalar ek tedbirler aldı. Yöne örnekten davam edelim AKÖDE-TOSLA bu yönde şikayet ve dolandırıcılık davaları artınca güvenlik tedbirlerini artırmış; Dijital Kimlik Doğrulama sistemine geçmiştir.  NFC, “Yakın Alan İletişimi” doğrulama kontrolünü uygulamaya koymuş; Yabancı uyruklu, eski nüfus cüzdanı olan, kimliğinde fotoğrafı bulunmayan ve NFC destekli cihazı olmayan kişiler Tosla dijital kimlik doğrulamasını gerçekleştiremiyor ve hesap açamıyor. Ama vahim olan taraf Tosla’da BASİT USULDE DOĞRULAMA şeklinde açılan eski hesaplar hala açık ve aktif. Oysa bu güvenlik açığı ortaya çıktığında firmalar anında bu hesapları pasif hale getirmesi ve kimlik doğrulamadan sonra AKTİF hale getirmesi gerekiyordu. TCMB ve BDDK 2015’den beri bu firmaları denetlerken bu açığı nasıl atlar veya bu yönde nasıl karar almaz ve eski hesaplara da kimlik doğrulama zorunluluğu getirmez, akıl alır gibi değil. Bu güvenlik açıklarını bilip tedbir almamak, sadece “yeni hesaplarda güvenlik tedbirlerini artırdık” demek resmen dolandırıcılar ile işbirliği yapmakla aynı anlama gelir. Milyonlarca lirası dolandırılan insanların, bu davalardan hiç ilgisi olmadığı halde yargılanan masum insanların, bu firmaların güvenlik açığı nedeni ile hapis yatan insanların hesabı sorulmayacak mı; sorulmamalı mı? Bu firmalar para kazanacak diye güvenlik açıklarını kapamak yerine tepkisiz kalmak, dolandırıcılar ile işbirliği yapmakla aynı anlama gelmez mi? Bu yazıdaki tespit ettiğim Güvenlik açıklarına rağmen bu hesapları aktif bırakan, göz yuman, üst yöneticileri TCMB, BDDK ve Bağımsız Mahkeme savcı ve hakimlerine ihbarımdır! Yok öyle mahkemelerden gelen bilgi taleplerine iki satır yazı yazıp cevaplayıp aradan çekilmek!

Beterin beteri de var: Kartınız başka bir kişinin hesabına tanımlı olabilir  

Elektronik Para ve Ödeme Hizmetleri firmalarındaki güvenlik açığı bunla da bitmiyor. Beterin beteri de var. “Daha ne olabilir ki” diyor insan ama var! Normal banka hesabınıza 3. Kişilerin ATM Kartı veya Kredi Kartını banka hesabınıza bağlayamazsınız. Veya sizin ATM ve Kredi Kartlarını başkasının eline geçip kendi hesaplarına bağlanamaz. Mantık da bankacılık iş yapış şekli de bunu gerektirir zaten. Ama sıkı durum bu durum Elektronik Para ve Ödeme Hizmetleri firmalarındaki hesaplar için geçerli değil. Siz bu hesaplara sahipseniz (Örnek: TOSLA) 3. Kişilerin kartlarını hangi bankaya ait olduğu önemli olmadan, kendi hesabınıza tanımlayabiliyorsunuz veya sizin kart bilgilerinizi eline geçiren biri kendi hesaplarına size ait kartı bağlayıp hesabınızdan para çekebilir. Vahimin vahimi bu kart bağlanırken kart sahibinin haberi ve onayı olmuyor. Üstelik kartlar sadece bu Elektronik Para ve Ödeme Hizmetleri firmalardaki hesap sahibine giden onay kodu ile bağlanıyor. Komik ama dolandırıcıya dolandıracağı kartın hesabına bağlanması için onay kodu da gönderiyor. Resmen dolandırıcılarla bu kurumlar iş birliği yapmış, işini kolaylaştırmış! Bu uygulama hala aktif ve kullanıma açık! Bu firmalar şu sorunun cevabını vermek zorundalar ve veremezler: 3. kişilerin onayı ve bilgisi olmadan ATM Kartını veya Kredi Kartını nasıl olur da başka birinin hesabına bağlattırıp, hesabından, kredi kartından para çekmesini sağlayabilirsiniz? KVKK ihlali değil mi, dolandırıcıların işini kolaylaştırma değil mi bu?

TCMB ve BDDK durdurmaz ise Mahkeme kararları ile güvensiz hesaplar dondurulmalı

Her ne kadar bu firmalar mahkemeye “BASİT USULDE DOĞRULAMA” diye yazı yazsa da bunun ne anlama geldiğini, bu hesapların niçin gerçek kimliği yansıtamayacağını belirten bir açıklama göndermiyor hali ile mahkemelerde (bankacı bilirkişiler) gelen yazılara istinaden bu hesaplarda ismi geçen kişileri “kimlik bilgileri doğrulanmış” geçen kişiler olarak var sayıyor ki normal, hiç ilgisi olmayan vatandaşı sorguluyor, yargılıyor cezalandırıyor iyi mi!

Maddi manevi cezaları bu firmalar karşılayabilir

Beyniniz yanmadı ise devem edelim. Şu ana benim duyduğum bu firmalara yönelik böyle bir suçlama olmadı ama bir gün eminim bu yöndeki Bilirkişi Raporlarını dikkate alan bir mahkeme emsal teşkil etmesi açısında maddi manevi zararın bu firmaların güvenlik açığına nedeni ile oluştuğunu tespit eder. Bu güvenlik açığına neden olan masum insanları yargılanmasına, hapis cezası almasına neden olan bu firmalar davalara dahil edilebilir, üst yöneticiler de yargılanabilir oluşan/oluşacak zararların bu firmalar tarafından karşılanması ile karşı karşıya kalabilir. Aksi taktirde bu güne kadar masum insanların hapis cezası alması yetmediği gibi yeni mağduriyetler yaratılmasının da önüne geçemeyiz. Adaletin  ana uygulayıcısı Bağımsız Mahkemelerdir. Mahkemelerin bu bilgiler ışığında tepkisiz kalmamasını resen harekete geçerek bu tür davalara bir de bu gözle bakmasını ihbar ediyorum.

Kiralık hesaplarda patlama oldu

Dolandırıcıların sık kullandığı yöntemlerden biri de başkası üzerine olan hesap sahiplerini para karşılığı ikna edip kullanmaları. Her ne kadar hesap sahipleri “dolandırıcılıkta kullanıldığı bilmiyordum” diye açıklama yapsa da bu savunma ile mahkeme karşısında ceza almaktan kurtulamıyorlar. Firmaların hesap sözleşmelerine göz attım çoğu firmada bu yönde bir uyarı bulunmuyor. Müşteriler bu yönde uyarılmalı mı, kesinlikle evet! Bu firmalarda geç aksiyon alınmasını bir nedeni de dolandırıldığınızı arayıp bu firmaları aradığınızda “mahkeme kararı olmadan birşey yapamayacaklarına” yönelik karşılık veriyorlar (AKÖDE’de 2023’de yaşayarak deneyimledim). Mahkeme kararı da öyle hemen çıkacak birşey olmadığından müşteri olarak fark edip firmayı uyarmanız fazla bir işe yaramıyor. Bu kadar güvenlik açığı olan firmalar için bu tür şikayetlerde gecici bloke uygulaması olması gerekiyor mu, kesinlikle gerekiyor. Bankalar bunu Kredi Kartı, POS işlemlerinde yapıyor. TCMB ve BDDK’nın bu yönde tedbir almasını öneririm.

TCMB ve BDDK acil harekete geçmeli  

Elektronik Para ve Ödeme Hizmetleri firmalarına lisan vererek onaylayan sonraki işleyiş ve uygulamalarını yakından denetleyen TCMB ve BDDK’nın vatandaşın mağduriyetini giderilmesi için acilen vatandaşın dolandırılmasında Güvenlik Açığı olan eski hesapların gerçek kimlik doğrulanana kadar PASİF HALE GETİRİLMESİ için müdahale etmesi gerekir. TCMB ve BDDK Denetcileri bu açıkları nasıl sorgulamaz ve yakalayamaz anlamış değilim. Her ne kadar bu hesaplara bağlanan kartlar ile ilgili görüştüğüm Genel Müdürlerden birinin tabiri ile “sadece az miktarda para aktarılması için” dese de dolandırıcılığın küçüğü büyüğü olmaz, zaten çoğu bu tür dolandırıcılar da küçük küçük paralar ile milyonlarca lira vatandaşı zarara sokuyor. Bu kafa yapısından zaten güvenlik önlemlerinin almasını beklemek iyi niyetlilik olur! Sizin için küçük meblağlar vatandaş için büyük oluyor. Ne yani “hırsızlık küçük küçük meblağda” diye sizin gibi tepkisiz mi kalalım, göz mü yumalım.

Çoğu Adliyede Dijital Dolandırıcılık ile ilgili ayrı mahkemeler kuruldu, binlerce dosya yığılmış durumda. Bankalar yanında çoğu dosyada Elektronik Para ve Ödeme Hizmetleri firmaların ismi geçiyor. Meblağlar küçük olabilir ama bu alandaki kaçak deliği kapamak mahkemelerdeki dosya sayısının azalmasına neden olacağı gibi dolandırıcıların bu alandaki işlerini de zorlaştıracaktır. Sosyal Sorumluluğumuz gereği sorgulamamız da yaptığımız da budur zaten!

Erol TAŞDELEN – Ekonomist, Adalet Bakanlığı İzmir Bölge Bankacı Bilirkişisi (sc:48413)    www.bankavitrini.com

***************

AKBANK FENA TOSLADI!

Dijital dönüşüm ve Bankacılıkta Siber Güvenlik?

Dijital bankacılıkta siber tehditlerden kurtulmanın formülleri

GASA: “Dolandırıcılık kayıpları 55 milyar doları aştı”