Bir kullanıcı aynı tutarı, aynı alıcıya, benzer bir zamanda gönderir.
Bir banka işlemi sorunsuz geçirir.
Diğeri doğrulama ister.
Bir başkası işlemi durdurur.
Bu durum çoğu kullanıcı için kafa karıştırıcıdır.
“Aynı işlemse, neden tepkiler farklı?”
Cevap basittir ama sezgisel değildir:
Çünkü bankalar işlemi değil, riski değerlendirir.
Güvenlik Kararı İşleme Değil, Bağlama Verilir
Bankalar güvenlik kararını yalnızca işlem tutarına bakarak vermez.
Asıl belirleyici olan bağlamdır.
– işlemin zamanı, – kullanıcının geçmiş davranışları, – cihaz ve kanal bilgisi, – lokasyon, – işlem sıklığı.
Aynı işlem, farklı bağlamlarda tamamen farklı risk profilleri üretir.
Bu nedenle bankalar “aynı işlem” görmez.
Farklı risk senaryoları görür.
Her Bankanın Risk Toleransı Farklıdır
Bankalar güvenliği aynı hedefle kurmaz.
Her kurumun:
– risk iştahı, – müşteri profili, – operasyonel öncelikleri
farklıdır.
Bazı bankalar:
– daha korumacı, – daha düşük toleranslı
çalışır.
Bazıları ise:
– sürtünmeyi azaltmayı, – müşteri deneyimini öne almayı
tercih eder.
Bu tercih, güvenlik tepkisinin sertliğini doğrudan etkiler.
Davranışsal Skorlar Kurumdan Kuruma Değişir
Modern bankacılıkta güvenlik, davranışsal skorlarla yönetilir.
Bu skorlar:
– kullanıcının geçmiş işlemlerini, – alışkanlıklarını, – normal dışı sapmaları
hesaba katar.
Ancak bu skorlar:
– her bankada aynı verilerle beslenmez, – aynı ağırlıklarla hesaplanmaz.
Bu nedenle bir bankada “normal” görünen davranış,
başka bir bankada “olağandışı” kabul edilebilir.
Veri Derinliği Tepkiyi Belirler
Bir banka kullanıcıyı uzun süredir tanıyor olabilir.
– düzenli işlem geçmişi, – tutarlı davranışlar, – benzer örüntüler.
Bu durumda sistem daha sakin tepki verir.
Diğer bir banka için aynı kullanıcı:
– yeni, – sınırlı veriyle tanınan, – bağlamı eksik
olabilir.
Veri azaldıkça, güvenlik refleksi sertleşir.
Güvenlik Sistemleri Aynı Olsa Bile Kurallar Aynı Değildir
Birçok banka benzer teknoloji altyapılarını kullanır.
Ancak:
– eşik değerler, – alarm seviyeleri, – müdahale noktaları
kurumdan kuruma değişir.
Bu yüzden “aynı sistem” ifadesi yanıltıcıdır.
Aynı sistem, farklı şekilde ayarlanmış olabilir.
Müşteri Deneyimi Güvenliği Şekillendirir
Güvenlik kararları teknik olduğu kadar stratejiktir.
Bazı bankalar için:
– yanlış alarm kabul edilebilir, – müşteri rahatsızlığı ikinci plandadır.
Bazıları için ise:
– her ek doğrulama bir sürtünmedir, – kullanıcıyı kaybetme riski daha kritiktir.
Bu yaklaşım farkı, güvenlik tepkilerini doğrudan etkiler.
Gerçek Zamanlı Risk Değerlendirmesi Sabit Değildir
Bankaların risk motorları statik çalışmaz.
– günün saati, – genel dolandırıcılık yoğunluğu, – sistemsel uyarılar
anlık olarak risk eşiğini değiştirebilir.
Aynı işlem:
– sabah normal, – gece riskli
olarak değerlendirilebilir.
Bu da farklı tepkiler üretir.
“Biri Geçirdi, Diğeri Engelledi” Yanılsaması
En yaygın yanlış çıkarım şudur:
“Biri doğru yaptı, diğeri abarttı.”
Oysa çoğu zaman:
– biri daha toleranslı, – diğeri daha ihtiyatlı
davranmıştır.
Bu fark, güvenliğin yanlış ya da doğru olduğu anlamına gelmez.
Farklı güvenlik felsefeleri olduğu anlamına gelir.
Bu Durum Kullanıcı İçin Ne Anlama Gelir?
Kullanıcı açısından bu tablo şunu gösterir:
– güvenlik mutlak değildir, – tek bir bankanın tepkisi referans alınmamalıdır, – “geçtiyse güvenlidir” varsayımı risklidir.
Bir işlemin sorunsuz geçmesi,
her zaman güvenli olduğu anlamına gelmez.
En Büyük Yanılgı
“Aynı işlem, aynı sonucu vermelidir.”
Finansal güvenlikte amaç aynı sonucu üretmek değil;
her kurumun kendi risk algısına göre en az zararla ilerlemesini sağlamaktır.
Bankalar aynı işlem için farklı güvenlik tepkileri verir çünkü:
– bağlamları farklı okurlar, – risk toleransları değişkendir, – davranışsal skorları farklı hesaplarlar, – müşteri deneyimini farklı öncelerler.
Gerçek finansal farkındalık;
“hangisi doğru?” diye sormakta değil, güvenliğin neden tek tip olmadığını anlayabilmekte başlar.
Sessiz güç, net etki tam da burada ortaya çıkar:
bir bankanın sessiz kalmasına güvenmekte değil, farklı tepkilerin ne anlatmaya çalıştığını okuyabilmekte.
