kudret_elciboga
İbrahim Kudret Elçiboğa
ATLASGLOBAL
FRAUD VE CHARGEBACK MÜDÜRÜ

Sanal ortamda mal ve hizmet satın almak basit ve güvenli olduğunda herkes kazanır: Şirketler, bankalar ve tüketiciler…

Ancak bu işlemleri hem basit, hem de güvenli hale getirmek giderek zorlaşıyor. Bu hız ve basitliğe olan ihtiyaç, genellikle güvenlik açıklarına sebep oluyor.

Geçmişe dönüp baktığımızda, 1980 öncesi dönemde kredi kartlarının üzerinde bulunan kabartma (emboss) bilgilerin, imprinter cihazı ile kredi kartı slibi üzerine aktarılması suretiyle yapılan işlemlerde büyük boyutlu dolandırıcılıklara ortam hazırlandığını görüyoruz. Yaşanan bu güvenlik zafiyetine, sahtekarlık ve dolandırıcılığa karşı tedbir olarak, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant (Magnetic Stripe)” bilgi iletişimi tekniği kullanılmaya başlandı.

Belli bir süre sonra, manyetik bandın yapısında bulunan kopyalanabilme zafiyeti fark edildi. Kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte yeni bir arayış başladı. İlk laboratuvar çalışmaları, 1980 yılının ikinci yarısında IC (integrated Circuit) Cards adı ile başlayan ve nihayetinde kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmesi kararı alındı.

Chip & PIN sisteme geçiş sancılı oldu

Uluslararası kart kuruluşları Visa ve Mastercard tarafından 10 yıldan fazla devam eden hazırlık dönemi sonucunda, “Chip&PIN” uygulamasına geçiş sürecinin tek düze olması mümkün olamadı. Özellikle Amerika ve Kanada Bölgesi, başlangıçta çip uygulamasına sıcak bakmadı ve yıllarca bu uygulamadan uzak kaldı.

Diğer bölgeler için de süreç kolay işlemedi. Gerek kredi kartları üzerine çip konulması, gerekse POS’ların kartlardaki çipleri okuyacak hale gelmesi, çok önemli tutarda yatırım gerektiren işlerdi. Çip yatırımları için uzun bir geçiş dönemi tanındı. Geçiş sürecinde, bankaların birbirlerine ödedikleri takas komisyonunda farklılık yaratılarak sistem önce teşvik edildi. Çipi olmayan bankanın dolandırıcılık riskini üstlenmesi şart koşularak, uygulama zorunlu hale getirildi ve yaygınlaşması sağlandı.

Ülkemizde, 2005 yılının ocak ayında başlayan kredi kartlarında Chip&PIN uygulamasına geçiş süresi, 01.07.2007 tarihinde zorunlu uygulama haline gelmiş, aynı yıl 3D Secure uygulamaları da küçük çaplı olarak devreye girmeye başlamıştı. Bu zorunluluk Türk bankalarına ait kartlar için söz konusuydu. Henüz kartına çip konmamış olan yabancı ülke bankalarına ait kartlar manyetik bant üzerinden işlem yapmaya devam etmekteydi.

Kart dolandırıcılığında ilk kırılım

Ülkemiz için kart dolandırıcılığında trend kaymasının ilk kırılımı bu tarih itibarıyla başlar. Kartların çipli basılması ve kart hamillerinin kredi kartlarını şifreli kullanmaya başlamasıyla, kartın fiziksel olarak kullanıldığı işlemler kaynaklı sahte kart ve kayıp çalıntı dolandırıcılıklarında büyük bir düşüş yaşandı.

Bu düşüş ile ülkemizdeki toplam dolandırıcılık tutarlarının aşağıya çekilmesi beklenirken, dolandırıcılık tutarında bir değişiklik olmadı, çünkü sadece kart dolandırıcılığı şekil, yani trend değiştirdi. Artık bu tarihten sonra ülkemizde kart dolandırıcılığı kart hamillerinin fiziksel olarak işyerinde bulunmadığı, 5464 sayılı banka kartları ve kredi kartları kanunda mesafeli işlem (mail order, telefon order, elektronik ticaret) olarak adlandırılan işlemler kaynaklı sanal ortamda gerçekleşen işlemlere kaydı.

Bu trend kayması aynı zamanda kart dolandırıcılığı ile birlikte dolandırıcılık nedeniyle oluşan mali sorumluluğun da kayması anlamına gelmekteydi. Fiziksel ortamda gerçekleşen kart dolandırıcılığı işlemlerinde mali sorumluluk büyük ölçüde bankalara kalırken, sanal ortamda gerçekleşen kart dolandırıcılığı işlemlerinde mali sorumluluk büyük ölçüde iş yerlerine kaldı. Sanal ortamda 3D Secure olarak gerçekleşen fraud işlemlerin mali sorumluluğu ise kart hamiline kaldı.

ABD, Türkiye’den 10 yıl geride

Özellikle ABD ve diğer ülkelerde o yıllarda çipe geçiş süreci tamamlanmadığı için, hala fiziksel ortamda gerçekleşen kart dolandırıcılığı ülkemizde belli oranlarda hep devam etti. Bütün bölgelerde zaman içinde çipe geçiş süreci tamamlandı ve ABD için son tarih Ekim 2015 olarak belirlendi. ABD’de, ülkemizden yaklaşık 10 yıl sonra çip uygulamasına geçildi.

Ekim 2015 tarihinden sonra ülkemizde kart dolandırıcılığında trend kaymasının ikinci kırılımı yaşandı. Artık ülkemizde toplam gerçekleşen kart dolandırıcılığı yüzde 85 ila 90 oranlarında sanal ortamda gerçekleşen kart dolandırıcılığına kaydı. 2016 yılında ülke tarihimizin en yüksek kart dolandırıcılığı rakamlarına ulaşıldı. Dünyada bu konuda ilk 10’u zorladık. 2017 yılı ile ilgili rakamlar da çok farklı olmadı.

Ayrıca şunu da belirtmek gerekir: kart dolandırıcılığında ikinci kırılımın yaşandığı 2015 yılında, aynı zamanda ülkemiz açısından 6493 no’lu yasa ile ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirildiği, lisans sürecinin başlatıldığı yıldır. Artık banka dışında bu kurumlarda sanal pos hizmeti vermeye başladı ve bankaların kara listesinde bulunan kişilerde artık bu kurumlar üzerinden sanal POS kullanmaya başladılar. Bu geçiş sürecinin de kart dolandırıcılığı artışında etkisi olduğu aşikar olmakla birlikte, toplam içinde ne kadar etkisi olduğu tartışılır.

Online alışverişe kapalı kart dönemi

Dünyayla paralel olarak ülkemizde kart dolandırıcılığında yaşanan bu trend kayması, BDDK tarafından alınan yeni bir kararı ortaya çıkardı. Buna göre, bankalar müşterilerine kredi kartı gönderirken, online alışveriş özelliği kapalı biçimde gönderecekler ve halihazırda pazarda kullanıcılar tarafından kullanılan tüm kredi kartları da online alışveriş özelliğine kapatılacak kararı alındı.

Diğer taraftan, kart sahiplerinin kartlarını internet işlemlerine açmak için onay vermesi ya da tercihlerini değiştirmesi halinde internete açık kartını kapalı, kapalı kartını açık hale getirmesi her zaman mümkün. Bankalar çağrı merkezi, internet şube, mobil şube gibi farklı kanallardan kart hamillerinin taleplerini alıp işleyebilecekleri altyapıyı oluşturmuş durumdalar. Uygulamaya geçiş sonrası, onayını ya da değişen tercihini bankaya iletmek isteyen kart hamili tercih ettiği bir kanaldan bankaya ulaşarak istediği anda işlemini yapabiliyor.

Dolandırıcılar yeni yöntemler keşfediyor

Sanal ortamda mal ve hizmet satın almak basit ve güvenli olduğunda herkes kazanır: Şirketler, bankalar ve tüketiciler… Ancak bu işlemleri hem basit, hem de güvenli hale getirmek giderek zorlaşıyor. Ne yazık ki, bu hız ve basitliğe olan ihtiyaç, genellikle güvenlik açıklarına sebep oluyor. Siber hırsızlar, gerçek kart detaylarını ele geçirmek için her geçen gün farklı ve çeşitli hilelere başvuruyorlar. Şirketler, müşterilerinin alışveriş deneyimini güvenceye almak için çalışırken, dolandırıcılar hileli alımlar yapmak için yeni ve daha kolay yollar üzerinde çalışıyorlar.

Sonuç olarak kart dolandırıcılığı; terörizm, yasa dışı göç, insan kaçakçılığı ve uyuşturucu ticareti gibi en ciddi suçları işlemek için kullanılır. Bankaların ve şirketlerin kart dolandırıcılığı hakkında tüketicileri bilgilendirmesi ve bilinçlendirmesi bir ölçüde yardımcı olur, ancak sahtekarlıkla gerçekten savaşmak için bu kurumların sahtekarlık önleme stratejisine sahip olması, doğru yetenekleri kullanması ve takımlarına son teknolojik dolandırıcılık tespit ve önleme araçları sağlamaları gerekmektedir. Kart sahtekarlığını büyük oranda azaltmanın tek yolu uçtan uca ilgili kurumların sistemlerinin güvenliğini sağlamalarıdır.

Sahte Kredi Kartları Hakkında Bilmeniz Gerekenler