LLM ve Graf Tabanlı Sahtekârlık Motorları: Finans Sektöründe Yeni Nesil Dolandırıcılıkla Mücadele

Ödeme Stratejileri ve İnovasyon Lideri Mehmet Evirgen, Fintechtime Haziran sayısı için yazdı “LLM ve Graf Tabanlı Sahtekârlık Motorları: Finans Sektöründe Yeni Nesil Dolandırıcılıkla Mücadele”.

“Makalemde, LLM ve graf tabanlı sahtekârlık tespit sistemlerinin nasıl çalıştığını, geleneksel yöntemlere kıyasla ne gibi avantajlar sunduklarını ve finans sektöründen PoC (Proof of Concept) örnekleriyle elde edilen kazanımları inceliyorum. Ayrıca Avrupa Birliği AI Act tasarısı, Birleşik Krallık FCA ve Türkiye’de MASAK ile BDDK gibi düzenleyici kurumların bu alandaki tutum ve uygulamalarını değerlendirirken, bu ileri teknolojileri uygulamak isteyen kurumlar için bir rehber ve geleceğe dönük öngörüleri aktaracağım.”

LLM ve Graf Tabanlı Sahtekârlık Motorları: Finans Sektöründe Yeni Nesil Dolandırıcılıkla Mücadele

Finans sektörü her yıl yüz milyarlarca dolarlık dolandırıcılık girişimiyle karşı karşıya kalıyor. İnternet bankacılığı, mobil ödemeler ve dijital kanalların yaygınlaşmasıyla sahtekârlık riski ve saldırı yüzeyi giderek genişliyor. Geleneksel olarak bankalar sahtekârlığı tespit etmek için kural tabanlı sistemlere ve basit istatistiksel modellere güvendiler. Ancak bu yaklaşımlar, sürekli evrilen dolandırıcılık taktikleri karşısında yetersiz kalmaya başladı. Örneğin, Danske Bank’ın Teradata ile yürüttüğü 2017 tarihli “Deep Learning Fraud Detection” vaka çalışmasında eski kurallı sistemi toplam sahtekârlık vakalarının yalnızca %40’ını yakalayabilirken, ürettiği uyarıların %99.5’i yanlış alarmlardan (false positive) oluşuyordu. Bu kadar yüksek yanlış alarm oranı, hem müşterilerin masum işlemlerinin gereksiz yere engellenmesine hem de bankaların her gün binlerce vakayı incelemek zorunda kalmasına yol açıyordu.

Son yıllarda, Büyük Dil Modelleri (Large Language Models – LLM) ve graf tabanlı sahtekârlık motorları gibi yapay zekâ teknolojileri finans alanında çığır açıcı çözümler olarak öne çıkıyor. Bu yeni nesil yaklaşımlar, karmaşık dolandırıcılık ağlarını ve belirsiz kalıpları tespit etmede “insanüstü” bir yetkinlik vaat ediyor. LLM’ler dil bazlı verilerde ve mantık yürütmede benzersiz bir “sağduyu” becerisine sahipken, graf analitiği ise işlemler arasındaki ilişkileri ve ağ yapılarını ortaya çıkararak alışılmışın dışındaki bağlantıları fark edebiliyor. Bu makalede, LLM ve graf tabanlı sahtekârlık tespit sistemlerinin nasıl çalıştığını, geleneksel yöntemlere kıyasla ne gibi avantajlar sunduklarını ve finans sektöründen PoC (Proof of Concept) örnekleriyle elde edilen kazanımları inceleyeceğiz. Ayrıca Avrupa Birliği AI Act tasarısı, Birleşik Krallık FCA ve Türkiye’de MASAK ile BDDK gibi düzenleyici kurumların bu alandaki tutum ve uygulamalarını değerlendireceğiz. Son olarak, bu ileri teknolojileri uygulamak isteyen kurumlar için bir rehber ve geleceğe dönük öngörüler sunacağız.

Teknolojik Altyapı: LLM ve Graf Tabanlı Modeller Nasıl Çalışır?

Büyük Dil Modelleri (LLM), devasa metin veri setleri üzerinde eğitilmiş yapay zekâ modelleridir. Temel olarak insan dilindeki kalıpları ve anlamsal ilişkileri öğrendikleri için, doğal dil anlama ve üretme kabiliyetleri çok yüksektir. Peki sahtekârlık tespitinde LLM’ler nasıl kullanılıyor? Birincisi, LLM’ler yapılandırılmamış verileri ve metinleri taramada ustadır. Örneğin bir bankanın sahtekârlık birimi, dolandırıcılık şüphesi taşıyan e-postaları, belgeleri veya sohbet kayıtlarını incelemek zorunda kalabilir. LLM tabanlı sistemler, bu tür belgeleri otomatik olarak OCR ile dijitalize edip kritik bilgileri ayıklayabilir. Örneğin fatura finansmanında, LLM destekli OCR sayesinde faturalar, taşıma irsaliyeleri ve sözleşmeler taranarak adres, tutar ve ürün açıklaması gibi alanlardaki tutarsızlıklar tespit edilebilir. Eskiden bu işlemler manuel yapılıyor veya güvensiz OCR araçlarıyla defalarca kontrol gerekiyordu; artık LLM tabanlı OCR “insan seviyesinde” doğrulukla çalışarak ciddi zaman tasarrufu sağlıyor.

İkincisi, LLM’ler bir anlamda “mantık yürütme motoru” gibi kullanılabiliyor. Andrew Ng’nin popülerleştirdiği bu yaklaşımda, LLM’ler bilgi tabanı olarak değil, belirsiz ve karmaşık vakalarda çıkarım yapan akıl yürütme araçları olarak konumlandırılıyor. Örneğin, sahtekârlık soruşturmaları bir nevi dedektiflik bulmacası gibi ele alınıp LLM’lere adım adım akıl yürütme yaptırılabiliyor. LLM, eldeki ipuçlarını (işlem notları, müşteri açıklamaları, geçmiş kayıtlar vb.) bağlamsal olarak değerlendirip olası senaryolar üretebiliyor. Bu sayede “dijital dedektif” rolü oynayan model, insan uzmanlara ön-analiz sunarak karar destek sağlıyor. Önemli bir nokta: LLM’ler doğru yönlendirilmezse hayalî veya alakasız sonuçlar (halüsinasyon) üretebilir. Bu yüzden kurumlar genellikle özel hazırlanmış istemler (prompt) kullanarak modele alanına özgü mantık kurallarını benimsetiyor ve çıktıları insan denetimiyle birleştiriyor.

LLM’lerin gücünü gösteren somut bir örnek, varlık eşleştirme (entity matching) problemindeki başarılarıdır. Klasik sistemler metin benzerliği üzerinden eşleşme yaparken hata payı yüksektir. Örneğin “LHR” ile “London Heathrow” ifadesinin aynı havalimanına karşılık geldiğini kural tabanlı bir sistem anlamakta zorlanabilir. Oysa geniş dil modelleri, eğitimleri sırasında edindikleri dünya bilgisi ve bağlamsal anlayış sayesinde bu iki ifadenin aynı varlığı işaret ettiğini “anlayabilir”. Bu sayede sahtekârlık tespitinde sık görülen tutarsız kayıtlar veya kasıtlı küçük farklılıklar (örneğin adresteki kısaltmalar) doğru şekilde eşleştirilebilir. Sonuç olarak LLM destekli kontroller, veri tutarlılığını artırır ve yanlış alarm üreten gereksiz eşleşmeleri büyük ölçüde azaltır.

Diğer tarafta, graf tabanlı sahtekârlık motorları, veriler arasındaki ilişkileri ve ağ yapılarını analiz ederek çalışır. Bankacılıkta her müşteri, hesap, işlem, cihaz vb. bir düğüm (node) olarak düşünülebilir ve bunlar arasındaki para transferleri, ortak bilgiler gibi bağlantılar da kenarlar (edge) olarak modellenir. Ortaya çıkan graf (graph), finansal ekosistemi bir bütün olarak temsil eder. Grafik veritabanları ve Graf Sinir Ağları (Graph Neural Networks – GNN) bu graf yapısı üzerinde çalışarak, geleneksel yöntemlerle görülemeyecek kalıpları ortaya çıkarır. Örneğin, klasik bir makine öğrenimi modeli genelde tekil işlem özelliklerine bakar ve bu işlem için bir skor üretir. Halbuki sahtekârlar giderek daha fazla ağ yapılarını kullanarak izlerini gizlemeye çalışıyor. Bir dolandırıcı, çalıntı parayı onlarca hesap arasında dolandırarak transfer edebilir ya da sahte kimliklerle birbirine bağlı kredi başvuruları yapabilir. GNN modeli, işlemleri izole olaylar olarak değil bir ağın parçası olarak ele alır. Diyelim ki normal görünen bir hesap, geçmişte dolandırıcılıkla ilişkilendirilmiş başka hesaplarla dolaylı bağlantılara sahip; graf analizi bu ilişkiyi ortaya çıkarabilir ve tek başına masum gözüken hesabın aslında riskli olduğunu anlar. Yine benzer şekilde, bir işlem tek başına şüpheli görünmese de, aynı cihazdan farklı kimliklerle birçok hesap açılmış olduğunu graf analitiği gösterebilir.

Graf tabanlı modellerin en büyük avantajlarından biri, bağlamsal farkındalık sayesinde yanlış alarmları azaltması ve atlanabilecek sahtekârlıkları yakalamasıdır. NVIDIA’nın finans sektöründe sahtekârlıkla mücadeleye dair hazırladığı bir çalışmada, graf sinir ağları kullanan sistemlerin daha yüksek doğruluk sağladığı ve özellikle daha az yanlış alarm ürettiği belirtiliyor. Çünkü graf modeli, sadece işlemin miktarına veya lokasyonuna bakmakla kalmayıp tüm ağ bağlamında değerlendiriyor; böylece meşru işlemlerin gereksiz yere reddedilmesi daha az yaşanıyor. Bu da hem müşteri deneyimini koruyor hem de operasyon ekiplerinin üzerindeki yükü azaltıyor. Ek olarak graf veritabanları büyük ölçekli verilerde dahi gerçek zamanlı analiz imkânı sunacak şekilde ölçeklenebiliyor. Bugün dünya çapındaki en büyük bankalardan dördü, gerçek zamanlı sahtekârlık tespitinde TigerGraph gibi graf platformlarını kullanıyor (kaynak), bu da graf teknolojisinin sektörde hızla benimsendiğini gösteriyor.

LLM ve graf yaklaşımları birbirini dışlayan değil, aslında tamamlayan teknolojilerdir. Hibrit bir düzenek kurmak mümkündür: Örneğin bir graf motoru, şüpheli bir işlem kümesi veya bağlantılı bir hesap grubu tespit ettiğinde, LLM’ler bu vakalara ait açıklamaları, müşteri iletişimlerini veya destek kayıtlarını analiz ederek niteliksel içgörü sağlayabilir. Böylece saf sayısal verinin ötesinde, dolandırıcıların davranışsal izleri (alışılmadık dil kullanımı, benzer metin kalıpları gibi) de ortaya çıkarılabilir. Nitekim LLM’ler, insan analistlerin gözünden kaçabilecek incelikte detayları yakalayabiliyor; bir örnekte LLM, görünüşte ilgisiz birkaç şirket faturasındaki dilbilgisi hatalarının benzerliğini fark ederek bunların aynı sahtekârlık çetesine ait olduğunu ortaya çıkarmıştı. Bu tür bir insan + yapay zekâ iş birliği, sahtekârlıkla mücadelede yeni standart haline geliyor.

Saha Örnekleri ve PoC Başarıları

LLM ve graf tabanlı sahtekârlık tespiti konusunda finans sektöründe şimdiden pek çok umut verici deneme çalışması (PoC) ve uygulama örneği birikmiş durumda. Bu bölümde, hem büyük bankalardan hem de fintech girişimlerinden elde edilen bazı somut sonuçları ele alıyoruz:

• Danske Bank (Derin Öğrenme ile Sahtekârlık Tespiti): Nordik bölgenin büyük bankalarından Danske Bank, eski kurallı sahtekârlık sisteminin performansından memnun değildi. Yukarıda değindiğimiz gibi, kurallı motor sadece vakaların %40’ını yakalıyor, her gün 1.200’ü aşkın yanlış alarm üretiyor ve soruşturulan vakaların %99.5’i aslında temiz çıkıyordu. Banka, Teradata’nın danışmanlık birimiyle birlikte yapay zekâ tabanlı yeni bir çözüm geliştirdi. Bu çözüm, gelişmiş makine öğrenimi ve derin sinir ağlarını bir arada kullanarak hem işlem verilerini hem müşteri davranışlarını analiz etti. Sonuçlar çarpıcıydı: Yanlış alarmlarda %60 azalma sağlandı ve bu oranın zamanla %80’e ulaşması bekleniyor. Ayrıca gerçek sahtekârlık yakalama oranı da %50 artış gösterdi. Teradata’nın paylaştığı bir grafikte, eski kural motorunun (grafikte kırmızı nokta ile gösteriliyor) ne kadar düşük başarıma sahip olduğu, yeni derin öğrenme modelinin ise hem doğruluk hem de verimlilikte büyük sıçrama getirdiği görülüyor. Bu, yapay zekâ yatırımlarının somut operasyonel faydaya dönüştüğüne dair önemli bir kanıt niteliğinde.
• HSBC (Yapay Zekâ ile AML ve Dolandırıcılıkta Dönüşüm): Avrupa’nın dev bankası HSBC, finansal suçlarla mücadelede Google Cloud ile ortak geliştirdiği AI tabanlı sistemi “Dynamic Risk Assessment” ile büyük ilerleme sağladı. 2021’de pilot uygulama olarak başlayan bu sistem, 2022 itibariyle geniş çaplı kullanılmaya başlandı. Sonuçları banka yöneticileri şu sözlerle özetliyor: “Eskisine göre 2 ila 4 kat daha fazla finansal suçu, çok daha yüksek bir doğrulukla tespit ediyoruz. Tarihsel olarak yanlış alarm sayımız çok yüksekti; gereksiz yere müşterileri arayıp meşru işlemlerini sorgulamak zorunda kalıyorduk. Şimdi yanlış pozitif vakaları %60 oranında azalttık”. Bu gelişme sayesinde HSBC, her ay 1,3 milyar işlemi tararken çok daha az sayıda hatalı uyarı üretiyor. AI sistemi sayesinde şüpheli faaliyetlere ilişkin alarm hacminin düşmesi, uyum ekiplerinin zamanının boşa harcanmasını önlediği gibi, gerçekten önemli vakalara odaklanabilmelerini sağladı. Ayrıca HSBC, bu yapay zekâ sayesinde eskiden haftalar süren geniş ölçekli işlem analizlerini birkaç güne indirebildiklerini belirtiyor. Bu örnek, global bir bankanın yapay zekâyı operasyonel süreçlere entegre ederek hem müşteri memnuniyetini hem de suçu tespit hızını nasıl artırabildiğini gösteriyor.
• Mastercard (Grafik Analitiği ile Karar Sistemi): Ödeme teknolojileri şirketi Mastercard, 143 milyar/yıl gibi muazzam sayıdaki işlemi gerçek zamanlı değerlendiren “Decision Intelligence” platformunu yakın zamanda yapay zekâ ve graf analitiğiyle güçlendirdi (kaynak). Mastercard’ın sistemine entegre ettiği yeni nesil AI, trilyonlarca veri noktasını tarayarak işlemler içindeki aktörler (hesaplar, işletmeler, cihazlar vb.) arasındaki ilişkileri daha derinlikli analiz edebiliyor (kaynak). Bu sayede her bir işlemin riskini değerlendirirken çok boyutlu bir bakış mümkün oluyor. Mastercard’ın açıkladığı verilere göre, bu güncellenen sistem sahtekârlık tespit oranlarını ortalama %20 artırdı; bazı özel senaryolarda ise eski modele kıyasla performans %300’e varan oranlarda iyileşti (kaynak). Bu muazzam gelişme, özellikle kart sahtekârlıklarında daha önce tespit edilemeyen kalıpların (örneğin farklı ülkelerdeki benzer dolandırıcılık girişimleri arasındaki bağlantılar) artık yakalanabildiğini gösteriyor. Mastercard örneği, graf sinir ağlarıyla zenginleştirilmiş yapay zekânın, dünya ölçeğinde ödeme ağlarında bile ne denli etkili olabileceğini kanıtlıyor.
• Fintech PoC: GraphSAGE ile Yanlış Alarmların Azaltılması: Sadece büyük bankalar değil, fintech şirketleri de bu alanda yenilikçi denemeler yapıyor. Örneğin ismi açıklanmayan önde gelen bir fintech şirketi, işlem verilerindeki karmaşık bağlantıları yakalayamadığı ve müşterilerini kızdıran yüksek yanlış alarm oranları nedeniyle sorunlar yaşıyordu. Bu şirket, PyTorch Geometric kütüphanesi kullanarak GraphSAGE adı verilen bir GNN modelini PoC kapsamında uygulamaya aldı. GraphSAGE, büyük ölçekli graf verilerinde düğümler için verimli temsil öğrenebilen bir modeldir. Uygulama sonucunda fintech şirketi çok net faydalar elde etti: Yanlış pozitif alarmlarda %50 azalma sağlandı ve bu sayede müşteri memnuniyeti belirgin biçimde arttı. Operasyon ekibinin gereksiz inceleme yükü yarıya inince şirket hem zamandan hem maliyetten tasarruf etti. Bu PoC, graf tabanlı yaklaşımların sadece teoride kalmadığını, gerçek iş ortamlarında da ölçülebilir iyileştirmeler getirdiğini ortaya koyuyor.

• Yeni Nesil Dijital Banka Örneği – bunq: Avrupa merkezli dijital banka bunq, sahtekârlıkla mücadelede üretken yapay zekâ ve GPU hızlandırmalı derin öğrenme tekniklerini kullanarak dikkat çekici bir başarı elde etti. NVIDIA’nın paylaştığı bir vakada, bunq’ın dolandırıcılık tespit modelinin eğitim süresini yeni nesil AI altyapısıyla neredeyse 100 kat hızlandırdığı belirtiliyor (kaynak). Eğitim sürelerinin günlerden saatlere inmesi, modelin daha sık güncellenebilmesi ve yeni tehditlere karşı hızla uyum sağlayabilmesi anlamına geliyor. bunq ayrıca graf analitiğiyle desteklenen modeli sayesinde, klasik yöntemlerle bulunması güç kalıpları gerçek zamanlı yakalayabilir hale geldi. Bu tür dijital bankalar, esnek altyapıları sayesinde LLM ve graf teknolojilerini hızlıca benimseyerek rekabette avantaj sağlamaya çalışıyorlar.
• TigerGraph Kullanımı ve NewDay Vakası: Graf veritabanı çözümleri sunan TigerGraph’ın yaygın kullanımı dikkat çekiyor. TigerGraph’ın verilerine göre, dünyadaki en büyük 5 bankadan 4’ü gerçek zamanlı sahtekârlık tespitinde TigerGraph teknolojisini kullanıyor (kaynak). Bu teknolojinin bir kullanıcısı da Birleşik Krallık’taki kredi kartı şirketi NewDay. NewDay, pandemi sonrası artan organize kredi başvurusu sahtekârlıklarını tespit edebilmek için veritabanı altyapısını graf yaklaşımına yükseltmiş durumda. TigerGraph kullanarak silo halindeki verileri bir araya getiren NewDay, bilinen sahtekâr ağlar ile yeni başvurular arasındaki bağlantıları neredeyse gerçek zamanlı yakalayabiliyor. TigerGraph’ın sağladığı graf sorgulama araçları sayesinde NewDay’in sahtekârlık inceleme ekipleri, geliştirici desteğine ihtiyaç duymadan görsel sorgularla veride “fırtınalı düşünme (train-of-thought)” analizi yapabildiklerini belirtiyor. Bu ileri analiz, sahtekârlık çetelerinin ilişkilerini açığa çıkarmak ve şüpheli başvuruları hızla reddetmek anlamında büyük fark yaratmış. Sonuç olarak NewDay milyonlarca dolarlık potansiyel zararı engelledi ve tüm portföylerinde dolandırıcılık vakalarının azalmasını bekliyor. NewDay örneği, graf analitiğinin sahada doğrudan finansal faydaya dönüştüğünü göstermesi bakımından önemli.
• LLM ile Operasyonel Verimlilik – Fintech Deneyimi: Bir fintech şirketinin LLM kullanımına dair bir anekdot, LLM’lerin insan uzmanlarla nasıl işbirliği yapabileceğine dair güzel bir tablo çiziyor. Söz konusu fintech, sahtekârlık incelemelerinde yüzlerce pdf fatura ve evrağı kontrol etmek zorunda kalan ekiplerine yardımcı olması için LLM tabanlı bir “dedektif” sistem geliştirdi. LLM modeline, her bir fatura seti için “bu belgelerde tutarsız veya şüpheli görünen ne var?” şeklinde özel istemler verildi. Model, faturalardaki adres, tutar ve ürün açıklamalarını çapraz kontrol ederek dakikalar içinde raporlar üretmeye başladı. Sonuç: İnsan analistlerin harcadığı süre %60’tan fazla azaldı. Dahası, modelin bulduğu bazı kalıplar analistlerin gözünden kaçıyordu – örneğin farklı şirketler tarafından yollanan ancak hep benzer yazım hataları içeren faturaların bir çeteye ait olabileceğini model ortaya koydu. Bu sayede şirket, o zamana dek bağlantısız sandığı vakaların aslında örgütlü olduğunu tespit etti. LLM modelinin her sektöre ve ülkeye göre özelleştirilebilir istemlerle çalışmasının önemini vurgulayan fintech ekibi, genel amaçlı bir dil modelinden ziyade, sürekli hatalardan öğrenen ve kendini o şirkete göre optimize eden bir özel AI iş akışının en iyi sonucu verdiğini belirtiyor.

Yukarıdaki örnekler, LLM ve graf tabanlı yaklaşımların geleneksel kural setlerine ve hatta önceki nesil makine öğrenimi modellerine kıyasla ciddi avantajlar sağladığını net biçimde ortaya koyuyor. Özetle bu avantajlar: (1) Daha yüksek tespit oranı – yakalanan gerçek dolandırıcılık vakalarının artması; (2) Daha düşük yanlış alarm oranı – masum işlemlerin gereksiz yere engellenmesinin azalması; (3) Operasyonel verimlilik – analistlerin zaman kazanması, inceleme yükünün düşmesi; (4) Karmaşık sahtekârlık şebekelerinin ortaya çıkarılması – önceden tespit edilemeyen bağlantı ve kalıpların gün yüzüne çıkması. Bu kazanımların her biri, finansal kurumlar için hem maliyet tasarrufu hem de daha iyi müşteri deneyimi anlamına geliyor.

Şekil 1: Farklı yaklaşımların günlük yanlış alarm (false positive) sayıları üzerindeki etkisi (temsilî verilerle). Geleneksel kural tabanlı sistem en yüksek yanlış alarmı üretirken, makine öğrenimi modeli bunu azaltıyor; LLM + Graf gibi ileri AI yaklaşımları ise yanlış alarm oranlarını çarpıcı biçimde düşürerek sahtekârlık tespitinde yeni bir seviye sağlıyor.

Regülasyon Tarafındaki Gelişmeler

Finans sektöründe yapay zekâ kullanımının yükselişiyle birlikte, düzenleyici otoriteler de bu trende kayıtsız kalmıyor. Hem uluslararası arenada hem de Türkiye’de, AI tabanlı sahtekârlık tespit sistemlerine yönelik düzenlemeler ve destekleyici girişimler dikkat çekiyor. Bu bölümde Avrupa Birliği, Birleşik Krallık ve Türkiye özelinde gelişmelere göz atacağız.

Avrupa Birliği – AI Act ve Finansal Hizmetler: AB, yapay zekâya ilişkin ilk kapsamlı çerçeve olacak AI Act üzerinde çalışmalarını sürdürüyor. Bu düzenleme, yapay zekâ uygulamalarını risk seviyelerine göre sınıflandırıp buna göre yükümlülükler getiriyor. İlk taslaklarda finansal alanda kullanılan bazı AI sistemlerinin “yüksek riskli” kategorisine girebileceği belirtilmişti. Örneğin kredi skorlaması yapan AI modelleri, kişiler üzerinde doğrudan etkileri olabileceği için yüksek riskli sayılabilir. Ancak Parlamento, finansal dolandırıcılığı tespit amacıyla kullanılan AI sistemlerinin yüksek risk kapsamında değerlendirilmeyeceğini önerdi. Yani eğer bu öneri kabul görürse, bankaların sahtekârlık önleme için kullandığı LLM veya GNN tabanlı araçlar en katı regülasyon yükümlülüklerine tabi olmayacak. Bunun nedeni, bu araçların esasen müşteriye sunulan bir ürün değil, iç süreçleri iyileştiren ve mevcut finansal düzenlemelere (örn. kara para aklama karşıtı yasalar) hizmet eden araçlar olarak görülmesi. Yine de AI Act, finans kurumlarının yapay zekâ kullanırken bazı temel prensiplere uymasını şart koşacak. Verinin kalitesi, model şeffaflığı, insan gözetimi ve kayıt tutma gibi konularda hali hazırda finans sektöründe var olan sıkı iç kontrol mekanizmalarının, AI Act ile uyumlu olduğuna dair bir hukuki karine bulunacak. Özetle AB, sahtekârlıkla mücadelede yapay zekânın potansiyelini kabul ederken, bunun sorumlu ve şeffaf bir biçimde uygulanmasını temin etmeye çalışıyor.

Birleşik Krallık – FCA ve Dijital Sandbox: İngiltere’de finansal düzenleyici FCA (Financial Conduct Authority), AI alanında AB’ye kıyasla daha esnek, “pro-innovation” (yenilik yanlısı) bir tutum sergiliyor. FCA, 2023-2024 iş planında yapay zekâyı dolandırıcılık ve finansal suçları önlemede etkin şekilde kullanma taahhüdünde bulundu. Regülatör, gelişmiş veri analitiği ve AI destekli sistemlerle, sektörde artan dolandırıcılık riskine karşı proaktif adımlar atılacağını belirtiyor. Bu yaklaşımın somutlaştığı en önemli girişimlerden biri Dijital Sandbox programı. FCA, 2020’den beri pilot olarak yürüttüğü bu programı 2023 yazında kalıcı hale getirdi. Dijital Sandbox, fintech şirketleri ve bankalar için yapay verilerden oluşan bir test ortamı sunuyor (kaynak ). Burada firmalar, gerçek müşteri verisine erişmeden, sentetik işlem verileri üzerinde AI modellerini eğitebiliyor ve prototiplerini deneyebiliyorlar (kaynak). Örneğin yakın zamanda düzenlenen bir “TechSprint” etkinliğinde, sandbox ortamında yetkisiz itibar ödemesi (APP fraud) tespiti üzerine çalışan girişimlerin %40’ının etkinlik sonrasında ürün lansmanı yapabildiği veya yatırım alabildiği belirtiliyor. Bu, regülatör destekli güvenli ortamların inovasyonu hızlandırabileceğine güzel bir örnek. Ayrıca FCA, Bank of England ile birlikte AI Public-Private Forum gibi oluşumlarda AI’in finansal risklere etkisini değerlendirip uygun düzenleyici çerçeveyi tartışıyor (kaynak). İngiltere’nin yaklaşımı özetle: Yeniliklere kapıyı açık tutmak, deneme yanılma için güvenli alanlar sağlamak, fakat aynı zamanda AI kaynaklı risklerin (bias, model riski vs.) farkında olarak ilkeler geliştirmek. Bu denge, diğer ülkelere de örnek olabilecek bir model sunuyor.

Türkiye – MASAK ve BDDK’nın Pozisyonu: Türkiye’de finansal suçlarla mücadelede yetkili olan MASAK (Mali Suçları Araştırma Kurulu) ve bankacılık sektörünü denetleyen BDDK, yapay zekâ konusunda son dönemde önemli adımlar attı. MASAK, 2023’te yayımladığı uzaktan müşteri kimlik tespiti tebliğinde, ilk kez yapay zekâ temelli doğrulama uygulamalarının kullanımına izin verdi. Bu düzenleme sayesinde bankalar ve finansal kurumlar, yeni müşteri alımlarında video konferans veya selfie gibi yöntemlerle kimlik doğrulaması yaparken AI tabanlı yüz tanıma, belge doğrulama gibi araçları yasal zeminde kullanabiliyor. Bu, regülatörün KYC (müşterini tanı) süreçlerinde yapay zekâyı teşvik eden bir adım attığını gösteriyor. Öte yandan MASAK, sadece uyum süreçlerinde değil, doğrudan dolandırıcılık ve kaçakçılıkla mücadelede de AI kullanımına yöneliyor. Kasım 2024’te Hazine ve Maliye Bakanlığı koordinasyonunda toplanan Mali Suçlarla Mücadele Kurulu sonrasında Bakan Mehmet Şimşek şu açıklamayı yaptı: “Sanal ortamda gerçekleştirilen dolandırıcılık, yasa dışı bahis ve kumar faaliyetlerini izlemek için özel yazılımlar ve yapay zekâ destekli tespit sistemleri devreye alınacak” (kaynak). Bu beyan, yasa dışı bahis çeteleri ve online dolandırıcılıkla mücadelede devletin yapay zekâ teknolojilerini aktif olarak kullanmaya hazırlandığını gösteriyor. Yani MASAK, klasik yöntemlerin ötesine geçip büyük veri ve AI kullanarak anomali tespiti, şüpheli hareket analizi gibi konularda atılım yapma hazırlığında.

Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) cephesinde ise, yapay zekâ odaklı inovasyonların desteklendiğini görüyoruz. 2023 yılında BDDK ilk defa tamamen dijital ve yapay zekâ temelli bir bankaya faaliyet izni verdi. Colendi fintech şirketinin iştiraki olan ColendiBank, “Türkiye’nin ilk yapay zekâ temelli doğuştan dijital mevduat bankası” unvanıyla Ekim 2024’te lisans aldı ve 2025 Mayıs ayı itibariyle müşteri kabulüne başladı (kaynak). Bankanın altyapısında kredi değerlendirmeden müşteri etkileşimine pek çok noktada yapay zekâ teknolojileri kullanacağı açıklanıyor. BDDK’nın bu kararı, dijital bankacılıkta yenilikçiliğe alan tanınması ve AI kullanımının teşvik edilmesi açısından önemli bir sinyal. Elbette BDDK, yapay zekâ modellerinin bankacılık uygulamalarında kullanılmasında risk yönetimi, algoritmik denetim gibi konulara da eğilecektir. Nitekim global düzenleyiciler arasındaki eğilim, AI sistemlerinin bir model risk yönetimi çerçevesine oturtulması yönünde. Türkiye’de de bankaların, BDDK’nın iç kontrol ve risk yönetimi düzenlemelerine uygun olarak, AI tabanlı sistemleri için gerekli kontrolleri (düzenli model performans raporlaması, beklenmedik sonuçlar için insan onayı, vb.) sağlaması beklenir.

Özetle, Türkiye’de MASAK ve BDDK yapay zekânın finansal suçlarla mücadelede kullanımını engellemek bir yana, doğru uygulandığında destekleyici bir tutum sergiliyor. Bu da bankalar ve fintech’lerin, regülasyon engeline takılmadan, inovatif sahtekârlık önleme çözümlerini hayata geçirebilmeleri için uygun bir ortam yaratıyor.

Uygulama Rehberi: LLM + Graf Yaklaşımını Hayata Geçirmek

LLM ve graf tabanlı sahtekârlık motorlarının potansiyeli yüksek olsa da, bir finans kurumu için bunları başarıyla uygulamak dikkatli bir planlama ve adım adım ilerlemeyi gerektirir. İşte alan uzmanlarının ve öncü kurumların deneyimlerine dayanarak bir uygulama rehberi:

1. Veri Entegrasyonu ve Graf Modelinin Kurulumu: İlk adım, kuruma ait veri varlıklarının bir araya getirilmesidir. Sahtekârlık tespitinin etkin olması için, müşteri hesapları, işlemler, cihaz bilgileri, lokasyon verileri, müşteri iletişim kayıtları gibi çeşitli kaynakları entegre etmek gerekir. Bu veriler arasındaki ilişkileri modelllemek için bir graf veritabanı kurulması önerilir. Örneğin Neo4j, TigerGraph gibi graf platformları, bankacılık verisini düğümler ve bağlantılar şeklinde organize etmeye olanak tanır. Bu aşamada veri kalitesi ve temizliği kritik önemdedir; hatalı veya eksik veriler model performansını düşürecektir. Ayrıca müşteri gizliliği ve KVKK kapsamında, hassas verilerin korunması için gereken anonimizasyon veya maskeleme teknikleri de entegrasyon aşamasında uygulanmalıdır.
2. Küçük Ölçekli PoC ve Model Seçimi: Büyük bir dönüşüme hemen girişmeden önce, sınırlı bir kapsamda PoC yapmak değerlidir. Örneğin sadece kredi kartı sahtekârlığı veya sadece yeni hesap dolandırıcılığı alt senaryosuna odaklanan bir pilot çalışma başlatılabilir. Bu PoC için hangi yapay zekâ tekniklerinin uygun olacağı belirlenir: Eğer metin analizi ve mantık yürütme ön plandaysa LLM bileşenine ağırlık verilir; eğer bağlantısal anomali tespiti kritikse GNN modelleri öne çıkar. Çoğu durumda en iyi sonucu veren, bu ikisinin melez bir kombinasyonu olacaktır. Örneğin bir kredi başvurusu fraud inceleme PoC’sinde, GrafSAGE veya GAT (Graph Attention Network) gibi bir GNN modeli başvuru sahipleri arasındaki bağlantıları analiz edebilir, aynı zamanda bir LLM modeli başvuru formlarındaki metinleri tarayarak şüpheli ifadeleri yakalayabilir. PoC aşamasında açık kaynak araçlardan yararlanmak bütçe dostu ve esneklik kazandıran bir yaklaşımdır. PyTorch Geometric, DGL (Deep Graph Library) gibi kütüphaneler GNN uygulamak için; Hugging Face Transformers gibi kütüphaneler ise LLM uygulamak için kullanılabilir.
3. İteratif Geliştirme ve İnce Ayar (Fine-tuning): PoC’den elde edilen ilk sonuçlara göre modelin zayıf noktaları tespit edilmelidir. Örneğin yanlış alarm oranı hedefin hala üzerindeyse, tetikleyici olan özellikler incelenip modele ek veri özellikleri verilebilir veya eşik değerleri ayarlanabilir. LLM için prompt engineering (istem mühendisliği) bu aşamada devreye girer. İlk denemede çok genel kalan bir istem, LLM’in alakasız sonuçlar üretmesine yol açabilir. Bunun yerine, “Bu işlemdeki tutarsızlıkları bul” gibi genel bir istem yerine “Fatura numarası ile ödeme tutarı eşleşiyor mu? Aynı müşteri ID’si ile birden çok alıcı var mı?” gibi daha spesifik ve yönlendirici istemler kullanılabilir. Modelin ürettiği her hatalı veya kaçırılan durum, bir öğrenme fırsatıdır: Yanlış pozitif ve yanlış negatif örnekler toplanarak modele geri besleme verilir, gerekiyorsa model mimarisinde değişiklik veya ek eğitim (fine-tuning) yapılır. Bu döngüsel geliştirme yaklaşımı, gerçek operasyon koşullarında modellenmemiş durum kalmayana dek sürdürülmelidir.
4. İnsan ile İşbirliği ve Onay Mekanizmaları: En gelişmiş AI sistemleri bile tamamen özerk bırakılmamalıdır – özellikle finans gibi kritik bir alanda. Bu nedenle, uygulamada bir insan gözden geçirme ve onay katmanı eklemek en iyi pratiktir. Örneğin model çok yüksek risk puanı ile bir işlemi sahtekârlık olarak etiketliyorsa, otomatik reddetmek yerine bir fraud analistine inceleme görevi atanabilir. Taktile gibi sektördeki öncüler, LLM’lerin “ön eleme” yapıp son kararı insana bırakmasının optimum denge olduğunu vurguluyor. Bu sayede AI sistemleri analistlerin işini kolaylaştırır ama nihai kritik kararlar (hesap kapatma, kolluk bildirim vs.) deneyimli uzmanlarca verilir. İnsanların onayladığı/verdiği kararlar da sisteme etiketli veri olarak geri beslenip modelin gelecekte benzer durumları kendi başına halledebilme kabiliyeti arttırılabilir.
5. Gerçek Zamanlı İzleme ve Bakım: Sahtekârlık tespit sistemleri, tehdit ortamı kadar iyidir – yani dolandırıcılar yeni taktikler geliştirdikçe sistemin de kendini güncellemesi gerekir. Bu yüzden modeli canlıya aldıktan sonra da sürekli performans izleme yapılmalıdır. Yanlış alarm oranı hedeflenen seviyede mi? Belirli bir dönemde yakalanamayan dolandırıcılık vakası oldu mu? Modelin kararlarında önyargı veya sistematik hata emareleri var mı? Bu tür sorular için düzenli metrik raporlamaları ve drift detection mekanizmaları kurulmalıdır. Örneğin, modelin çıktıları zaman içinde gerçek gerçekleşmelerle kıyaslanarak, modelde oluşan bir kayma (drift) erken tespit edilebilir. Bu durumda modele yeni veriyle yeniden eğitim gerekebilir. Bazı ileri finans kurumları, MLOps (Makine Öğrenimi Operasyonları) prensiplerini uygulayarak model versiyonlarını, performans loglarını ve uyarıları otomatik takip eden sistemler kuruyor. Böylece AI modeli bir kere kurulup bırakılan değil, canlı bir organizma gibi sürekli bakım gören bir unsur haline geliyor.
6. Regülasyon ve Etik Uyum Kontrolleri: Uygulama sürecinin başından sonuna, regülasyon boyutu göz ardı edilmemeli. AI tabanlı sistemlerin sonuçları, ayrımcılık yapmama, açıklanabilirlik ve müşteri hakları açısından incelenmeli. Özellikle AB AI Act yürürlüğe girdikten sonra, finans kurumları kullandıkları yapay zekâ sistemleri için risk değerlendirmeleri yapmak, gerektiğinde denetleyici kurumlara teknik dokümantasyon sunmak durumunda kalacaklar. Bu kapsamda, modelin açıklanabilir olması büyük önem taşıyor. Graf + XGBoost kombinasyonu gibi yaklaşımlar, karar ağacının açıklanabilirliği sayesinde bir derece şeffaflık sunabilir. LLM’ler ise bir “kara kutu” gibi görülse de, onların da hangi kelime veya özelliklere dayanarak sonuca gittiğini analiz eden teknikler (örn. SHAP analizi, attention görselleştirme) mevcuttur. Kurum içi denetim ekipleri, AI sisteminin yanlı kararlar verip vermediğini test etmelidir. Örneğin sahtekârlık modelinin belli bir müşteri segmentine (yaşa, bölgeye vs.) orantısız şekilde fazla alarm üretmediğinden emin olunmalıdır. Eğer böyle bir durum tespit edilirse, eğitim verisindeki dengesizlikler giderilmeli veya modele düzeltici kurallar eklenmelidir.
7. Eğitim ve Yetkinlik Gelişimi: Son olarak, teknoloji kadar insan kaynağı da başarının belirleyicisi. Finans kurumları, AI destekli sahtekârlık sistemi devreye alırken mevcut ekiplerini yeni süreçlere uygun şekilde eğitmeliler. Fraud analistleri, artık AI çıktılarıyla zenginleştirilmiş vakaları inceleyeceklerinden, temel AI kavramlarına aşina olmalı, modelin zayıflıklarını bilmeli ve gerektiğinde geri bildirim verebilmeli. Aynı şekilde teknoloji ekipleri de finansal suçlar ve regülasyonlar konusunda bilgi sahibi olmalı ki, geliştirdikleri sistem gerçek ihtiyaçlara cevap versin. Kısacası, disiplinlerarası bir ekip yapısı kurulmalı: Veri bilimciler, yazılım mühendisleri, uyum/regülasyon uzmanları ve sahtekârlık inceleme uzmanları birlikte çalışmalı. Bu işbirliği kültürü, AI sisteminin sadece teknik açıdan değil, operasyonel ve yasal açıdan da uyumlu olmasını sağlayacak en önemli faktördür.

Sonuç ve Öngörüler

LLM ve graf tabanlı sahtekârlık motorları, finans sektöründe dolandırıcılıkla mücadelede paradigma değişimi yaratma potansiyeline sahip. Bu makalede ele aldığımız örnekler, doğru uygulandığında bu teknolojilerin halihazırda önemli kazanımlar sağladığını gösteriyor: Yanlış alarmların azalmasıyla müşterilerin meşru işlemleri kesintiye uğramıyor, operasyon ekipleri vakitlerini gerçek tehditlere ayırabiliyor; öte yandan önceden tespit edilemeyen karmaşık dolandırıcılık şebekeleri ortaya çıkarılıyor ve kurumlar milyonlarca dolarlık zarardan kurtuluyor. Kısacası, daha akıllı ve proaktif bir sahtekârlık savunması mümkün hale geliyor.

Önümüzdeki dönemde bu alandaki gelişmelerin ivmelenerek devam etmesi beklenebilir. LLM’ler, GPT-4 gibi modellerle başlayan finans sektörüne özel uyarlamalarını sürdürecek; belki de kurumlar kendi özel dil modellerini eğitecekler. Örneğin, yalnızca Türkçe finansal metinler ve dolandırıcılık senaryoları üzerinde eğitilmiş bir LLM, MASAK ve bankaların ortak çabasıyla geliştirilebilir ve sektöre sunulabilir. Graf tarafında ise, zaman-serisi graf analitiği, anında öğrenme (streaming GNN) gibi yenilikler gerçek zamanlı tespiti daha da güçlendirecek. Şu anda bile bazı girişimler, işlem gerçekleşir gerçekleşmez graf modelini güncelleyip bir saniyenin altında risk skorları üretebiliyor. Gelecekte bu hızlar mikro saniyelere inerek adeta dolandırıcı ile aynı hızda karşı önlem alınabilecek.

Regülatörler açısından bakıldığında, muhtemelen yapay zekâ kullanımını tamamen engelleyen değil, onu yönlendiren bir yaklaşım görmeye devam edeceğiz. Avrupa Birliği AI Act ile ev ödevini yapıp asgari standartları belirlemeye çalışırken, Birleşik Krallık ve Singapur gibi merkezler daha esnek rehberlerle inovasyonu teşvik ediyor. Türkiye’nin de benzer şekilde, MASAK ve BDDK üzerinden yayınlayacağı kılavuzlarla (örneğin “Bankacılıkta Yapay Zekâ Uygulamaları Rehberi” gibi) sektöre ışık tutması faydalı olabilir. Özellikle açıklanabilir yapay zekâ, veri gizliliği ve model doğrulama konularında net beklentiler ortaya konması, kurumların hem yenilik yapmasını hem de hesap verebilir olmasını sağlayacaktır.

Unutulmamalı ki, suçlular da boş durmuyor. Yapay zekâ teknolojileri dolandırıcılık önleme tarafında kullanılırken, dolandırıcılar da aynı teknolojileri sosyal mühendislik, deepfake veya otomatik saldırı üretimi için kullanabilir. Bu bir süregelen kedi-fare oyunu adeta. Dolayısıyla finans sektörü, savunma cephesinde teknolojik üstünlüğünü korumak zorunda. LLM ve graf tabanlı sistemler bu üstünlüğü sağlamak için büyük bir fırsat sunuyor, ancak sürekli yatırım ve güncelleme şart.

Sonuç olarak, vizyoner bir bakışla söyleyebiliriz ki birkaç yıl içinde AI destekli sahtekârlık tespit sistemleri bir lüks olmaktan çıkıp bir zorunluluk haline gelecek. Bu dönüşüm, sadece büyük bankaları değil fintech’lerden sigorta şirketlerine kadar geniş bir yelpazeyi kapsayacak. Erken harekete geçen ve AI ekosistemine entegre olan kurumlar, hem finansal kayıpları azaltma hem de müşterilerine güven verme açısından avantaj elde edecekler. Sahtekârlıkla mücadelede insan uzmanlığı ile yapay zekânın güç birliği, finansal sistemin güvenilirliğini yeni bir seviyeye çıkarabilir. Yeter ki bu teknolojileri doğru, sorumlu ve işbirlikçi bir yaklaşımla hayata geçirelim. Geleceğin finans dünyasında, belki de dolandırıcılık girişimleri daha başlamadan sofistike AI “bekçileri” tarafından durdurulacak – işte bu hedef, artık bilim kurgu değil ulaşılabilir bir gerçeklik olarak önümüzde duruyor.