Payten Kıdemli İş Analisti
İbrahim Kudret Elçiboğa
Payten Kıdemli İş Analisti İbrahim Kudret Elçiboğa, Fintechtime okurları için kaleme aldı, “Sanal Kart Uygulamaları ve Sanal Kartla Gerçekleşen İşlemlerde Sorumluluk”.
3D Secure ve dijital cüzdan dışında güvenli ödeme olarak bir diğer yöntemde sanal kart tanımlamaktır. Sanal kart, internet/mobil bankacılığı üzerinden tanımlanır ve tanımlanmış olan sanal kart bilgileri kullanılarak online alışveriş işlemleri gerçekleştirilir.
Kredi kartına bağlı olarak açılabilen, fiziki varlığı olmayan ancak tüm online alışverişlerde kullanılabilinen sanal kartlar ücretsiz olarak verilmekte, limiti kullanıcının isteğine göre belirlenmektedir. Sanal kartta limit kalması durumunda hesaba geri aktarma şansı da bulunmaktadır. Sanal kart kullanıma açıldığında limiti 0 TL olarak belirlenir. Ardından belirlenen miktar, müşterisi olunan bankanın internet/mobil bankacılığı aracılığıyla kredi kartının limitinden aktarılır. Özellikle de kredi kartı limiti yüksek olanlar için sanal kart önemli bir gerekliliktir.
Sanal kart tanımlanabilmesi için öncelikle müşterisi olunan banka ile internet bankacılığı sözleşmesi imzalanması gerekir. İnternet/mobil bankacılığı bulunan çoğu bankanın sanal kart uygulaması bulunmaktadır. Sanal kart, asıl fiziki kartın limitiyle bağlı olduğundan, kart sahibi bu limit dahilinde online bankacılık sistemi üzerinden dilediği kadar sanal kart çıkarabilir.
Bu şekilde üretilen sanal kartların en önemli özelliği, fiziki kart bilgilerinden farklı bilgiler içermesi, yani fiziki kartta yer alan kart numarası ile CVV2/ CVC2 numarası dışında başka numaralardan oluşmasıdır. Ayrıca bu tür kartlar sistem tarafından sıfır limitle çıkarıldığından kart sahibi tarafından önceden bir limit belirlenmesi gerekir. Yapılan her işlem sonrasında, işlem tutarı kadar limit düşüşü gerçekleşir. Bu nedenle kart sahibi, güvenliği tam anlamıyla sağlamak adına yapacağı her işlem öncesinde sipariş tutarı kadar miktarı sanal karta limit olarak tanımlayabilir ve bu limitin geçerliliğini belirli bir süreyle sınırlandırabilir. Böylece, sanal kart kullanan kart sahibi hem gerçek kart bilgilerini üye işyeriyle paylaşmamış olur hem de sanal kart limitini işlem tutarıyla ve belirli bir süreyle sınırlandırarak kötüye kullanım rizikosuna karşı çifte koruma sağlamış olur.
Bu çifte korumaya karşılık sanal kart bilgilerinin üçünçü kişiler tarafından kötüye kullanılması da mümkündür. Bu bakımdan sanal kart sahibi, müşteri numarası /TC kimlik numarası ile internet bankacılığı şifresini güvenli bir şekilde korumakla yükümlüdür. Kötüye kullanım yalnızca bu bilgilerin kullanılması gerçekleşebileceğinden, 3D Secure da olduğu gibi kart sahibinin kötüye kullanımından dolayı ağır ihmalinin veya kastının bulunduğundan bahsedilebilinir. Ancak kart sahibi, kötüye kullanıma hiçbir şekilde kendi kusurunun neden olmadığı ve haberi olmadan bilgisayarına sızıldığı( phishing,pharming,man in the middle….) şeklinde bir iddia ortaya atabilir.
Eğer 3. kişiler tarafından, davacının kişisel bilgileri çalınarak bilgisi dışında internet /mobil bankacılığı başvurusu yapılıp, internet bankacılığı şifresi oluşturulma ve sanal kart tanımlama durumu varsa, bankaya yapılan sahte başvurunun tespit edilememesi olarak değerlendirilir. Ve tüm sorumluluk bankaya aittir.
Bunun dışında eğer banka müşterisinin internet bankacılığı şifresinin veya parolasının 3. kişiler ile paylaşması veya internet bankacılığını kullandığı bilgisayarın güvenlik zaafı nedeniyle bilgisayar korsanları tarafından şifresinin ele geçirilme ve sanal kart tanımlanması durumu varsa, banka sorumlu tutulamaz. Banka kendi sisteminin güvenliğini sağlamanın yanında, banka müşterisinin bilgisayarının da güvenliği sağlamakla sorumlu tutulamaz. Bu nedenle, internete bağlanan herkes bilgisayarının güvenliğinden kendisi sorumludur.
Benim kanaatim şu yönde; güvenlik altyapısı en yüksek kurumlar bile siber saldırılara karşı çaresiz kalabiliyor. Bu nedenle, gerek sanal kart ile gerekse internet/ mobil bankacılığı üzerinden yapılan dolandırıcılık vakalarında, banka müşterilerinin kusurlu/özensiz hareket etmesinden doğan kusur mu var ya da bankanın güvenlik sistemi zaaflardan mı kaynaklı kusur var yoksa hem bankanın hem banka müşterisinin ortak kusuru mu var , vakaya göre değişiklik gösterir. Her vakanın kendi içinde ayrı olarak değerlendirilmesi gerekir. Ancak yapılacak teknik inceleme sonucunda kart sahibine kusur isnat edilemeyeceği anlaşılırsa sistem kurucusu olan bankanın finansal sorumluluğu taşıması gerekir.