2026 Kurumsal Ödeme Güvenliği İçin 12 Maddelik Checklist

BEC (Business Email Compromise), yani CEO dolandırıcılığı, 2026’da en pahalı kurumsal dolandırıcılık türlerinden biri olmaya devam ediyor. Nedeni basit: saldırgan teknolojiye değil, yetkiye ve alışkanlığa saldırıyor. Sahte bir e-posta/mesajla “acil ödeme” refleksi tetikleniyor; para çıkıyor, fark edildiğinde ise çok geç oluyor.

Bu yazı, BEC’in ne olduğunu tek çerçevede anlatır ve kurumlarda hemen uygulanabilecek 12 maddelik ödeme güvenliği checklist’i sunar.

BEC (CEO Dolandırıcılığı) Nedir?

BEC, saldırganın yönetici (CEO/CFO) gibi davranarak e-posta, mesaj veya arama yoluyla acil ve istisnai ödeme talimatı verdirdiği hedefli dolandırıcılıktır.

BEC’in gücü yazılımda değil; hiyerarşi ve hızdadır.

2026’da BEC Neden Hâlâ Etkili?

• Taklit çok iyi: Alan adı benzerlikleri, imza kopyaları, yapay zekâ ile üretilmiş dil.
• Çok kanallı baskı: E-posta + WhatsApp + kısa arama.
• Aciliyet dili: “Toplantıdayım”, “hemen”, “kimseye söyleme”.
• İstisna yaratma: Normal süreçler bilerek baypas edilir.

2026 Kurumsal Ödeme Güvenliği: 12 Maddelik Checklist

1) “Acil Ödeme” Tanımı Yazılı mı?

• Acil sayılan durumlar önceden tanımlı mı?
• Tanım yoksa, her şey “acil” olur.

2) İstisna Ödemeler İçin Çift Onay Zorunlu mu?

• Tutar küçük olsa bile iki imza/iki onay şart mı?
• Tek kişinin onayıyla para çıkıyor mu?

3) Ödeme Talimatı Kanalı Sabit mi?

• Talimat yalnızca tanımlı kanaldan mı gelir?
• WhatsApp/kişisel e-posta talimat sayılıyor mu?

4) Alan Adı ve Gönderici Kontrolü Yapılıyor mu?

• CEO/CFO adresi harf farkı ile taklit ediliyor mu?
• “reply-to” adresi kontrol ediliyor mu?

5) IBAN Değişiklikleri İçin Bekleme Süresi Var mı?

• Tedarikçi IBAN değiştiğinde 24–48 saat bekleme var mı?
• Değişiklik ikinci kanaldan doğrulanıyor mu?

6) İkinci Kanal Doğrulaması Zorunlu mu?

• Talimatı veren yönetici, farklı bir kanaldan (kurumsal hat) teyit ediliyor mu?
• “Toplantıdayım” bahanesi kabul ediliyor mu?

7) “Gizlilik” Talebi Alarm mı?

• “Kimseye söyleme” dili otomatik alarm mı?
• Gizlilik talebi varsa süreç yavaşlıyor mu?

8) Tutar Parçalama Kontrolü Var mı?

• Aynı gün/hafta parçalı gönderimler izleniyor mu?
• Parçalama, eşik atlatmak için kullanılıyor mu?

9) Ödeme Öncesi Son Kontrol Listesi Uygulanıyor mu?

• Tutar–IBAN–alıcı adı–açıklama eşleşiyor mu?
• Açıklama boş bırakılabiliyor mu?

10) Yetki Matrisi Güncel mi?

• Kim, hangi tutara kadar yetkili?
• İzinler düzenli gözden geçiriliyor mu?

11) Eğitim ve Tatbikat Yapılıyor mu?

• Finans ekibi yılda en az 1 kez BEC senaryosu görüyor mu?
• Sahte tatbikatlar (table-top) yapılıyor mu?

12) Olay Anı Prosedürü Hazır mı?

• Yanlış ödeme fark edilince ilk 10 dakika ne yapılacak belli mi?
• Banka itirazı, dondurma, delil toplama akışı yazılı mı?

30 Saniyelik “BEC Şüphesi” Testi

Aşağıdakilerden iki tanesi varsa dur:
1) Acil + gizli dil
2) İstisna talimat
3) Kanal dışı iletişim
4) IBAN/hesap değişikliği
5) Yetkiyi aşan tutar

Dur–Doğrula–Belgele.

Olay Olursa İlk 10 Dakika

• Ödemeyi durdur/dondur (banka ile acil temas)
• Ekran görüntüsü al (talimat, başlık, alan adı, IBAN)
• İkinci kanal ile yöneticiye ulaş
• Şifre/oturum kontrollerini yap
• Olay kaydı aç

BEC, “daha iyi filtre” ile değil; daha iyi süreç ile durdurulur.
2026’da güvenli ödeme; hızdan önce doğrulama, yetkiden önce iz demektir.

Sessiz güç burada başlar:
aciliyetle değil, kontrolle para çıkarmak.