Dijital bankacılıkta son yıllarda ortak bir deneyim oluştu:
– daha fazla doğrulama, – daha sık ek kontrol, – daha az tolerans.
Kullanıcı tarafında bu durum genellikle şöyle yorumlanır:
“Eskiden bu kadar zor değildi.”
Bu tespit doğrudur.
Ama asıl soru şudur:
Neden artık daha zor?
Sertleşme Kullanıcıya Değil, Riske Yöneliktir
Yaygın bir yanılgı, kimlik doğrulamanın kullanıcıya karşı sertleştiğidir.
Gerçekte sertleşen şey:
risk algısıdır.
BDDK çerçevesinde bankalar, tekil işlemlerden çok;
– kimlik sahteciliği, – hesap ele geçirme, – uzaktan erişim istismarları
gibi sistemik risklere odaklanır.
Kimlik doğrulama, bu risklerin en erken temas noktasıdır.
Uzaktan Kimlik = Sahiplik Sorusu
Dijital bankacılıkta temel soru artık şudur:
“Bu kişi gerçekten hesabın sahibi mi?”
Eskiden bu soru;
– şifre, – kart, – SMS kodu
ile yeterince cevaplanabiliyordu.
Bugün bu cevaplar zayıfladı.
Çünkü:
– şifreler ele geçirilebiliyor, – SMS yönlendirilebiliyor, – cihazlar kopyalanabiliyor.
Bu yüzden doğrulama katmanları arttı.
BDDK Perspektifi: “Makûl Güvence”
BDDK düzenlemeleri bankalara şunu söylemez:
“Şu yöntemi kullan.”
Şunu söyler:
“Makûl güvence sağla.”
Makûl güvence;
– riskle orantılı, – teknolojiye uyumlu, – güncel tehditleri kapsayan
bir doğrulama düzeyi demektir.
Risk büyüdükçe,
güvence eşiği de yükselir.
Neden Biyometri ve Canlılık Öne Çıktı?
Çünkü kimlik doğrulamada artık iki ayrı şey aranıyor:
– kimlik gerçek mi, – kişi kimliğin sahibi mi?
Belge doğrulama ilk soruya cevap verir.
Canlılık ve biyometri ikinciyi hedefler.
Bu ayrım kritiktir.
BDDK çerçevesinde zayıf kalan nokta genellikle ikincisidir.
Bu yüzden en sertleşen adım,
canlılık doğrulaması olur.
Sertleşme Neden Herkeste Aynı Anda Olmuyor?
Çünkü doğrulama dinamik çalışır.
Sistemler şunlara bakar:
– cihaz alışkanlığı, – işlem davranışı, – bağlam değişimi.
Risk artarsa:
– doğrulama sayısı artar, – yöntem değişir, – süreç uzar.
Bu yüzden bazı kullanıcılar hiç hissetmezken,
bazıları ardışık doğrulamalara maruz kalır.
Kullanıcı Deneyimi Neden Geri Planda?
Çünkü BDDK açısından öncelik sırası nettir:
sistem güvenliği > kullanıcı konforu.
Bir güvenlik açığının maliyeti;
– bireysel kayıp değil, – sistemsel güven erozyonudur.
Bu yüzden bankalar,
kısa vadeli memnuniyetsizliği,
uzun vadeli güven için göze alır.
“Ben Zaten Güvenilir Kullanıcıyım” Yanılgısı
Sistemler kişilere değil;
oluşan risk tablosuna güvenir.
Geçmişte sorunsuz olmak,
gelecekte istisna olmayacağınız anlamına gelmez.
Bu yüzden güvenilirlik:
– sabit bir statü değil, – sürekli yeniden hesaplanan bir değerdir.
En Temel Mantık
Dijital bankacılıkta kimlik doğrulama neden sertleşiyor?
Çünkü:
– saldırılar daha sofistike, – sahtecilik daha ikna edici, – uzaktan erişim daha yaygın.
BDDK çerçevesinde bu tabloya verilen cevap nettir:
Doğrulama, riskin hızına yetişmek zorundadır.
Dijital bankacılıkta kimlik doğrulamanın sertleşmesi;
– kullanıcıya güvensizlik değil, – riskin değişmesine verilen tepkidir.
BDDK perspektifinde mesele;
“işlemi yaptırmak” değil,
yanlış kişiye yaptırmamaktır.
Gerçek finansal farkındalık;
“neden zorlaştı?” diye sormakta değil, bu zorluğun hangi risklere cevap verdiğini anlayabilmekte başlar.
Sessiz güç, net etki tam da burada ortaya çıkar:
konforun azaldığı yerde, güvenliğin neden arttığını okuyabilmekte.
