Hukuk ve Uyum Görevlisi Avukat Emre Avşar, Fintechtime Eylül sayısı için yazdı “Merkeziyetsiz Kimlik (DID) ve Uyum”.

“Makalemde merkeziyetsiz kimlik (DID) ve öz-egemen kimlik (SSI) kavramlarını ele alıyor, bireylerin kimliklerini merkezi otoritelerden bağımsız şekilde yönetebilmesini sağlayan bu modelin finans sektöründeki KYC/AML süreçlerine getirdiği yenilikleri aktarıyorum. DID/SSI sayesinde kullanıcıların kimlik bilgilerini seçici ve güvenli biçimde paylaşabildiğini, verilerin tekrar kullanılabilir hale geldiğini ve maliyetlerin düştüğünü vurguluyorum. Türkiye özelinde düzenleyici belirsizlikler ve teknik altyapı eksikliklerine dikkat çekerken, Avrupa Birliği’nin eIDAS 2.0 düzenlemesi gibi uluslararası girişimlerin bu alandaki gelişimi hızlandırdığına işaret ediyorum. Sonuçta, hukuki ve teknik engeller aşıldığında DID sistemlerinin finansal hizmetlerde standart hale gelerek daha güvenli, verimli ve kullanıcı merkezli bir ekosisteme zemin hazırlayacağını savunuyorum.”

 

Merkeziyetsiz Kimlik (DID) ve Self-Sovereign Identity (SSI) Nedir?

Merkeziyetsiz Kimlik (Decentralized Identity – DID), dijital kimlik bilgilerinin herhangi bir merkezi otoriteye bağlı olmadan yönetilebilmesini sağlayan yeni nesil bir yaklaşımdır. Teknik olarak DID, blockchain üzerinde tanımlanan benzersiz bir kimlik tanımlayıcısıdır ve kullanıcı tarafından bağımsız olarak oluşturulup yönetilebilir. Bu modelde kimlik verileri tek bir kurumun veritabanında tutulmaz; birey kendi kimliğinin kontrolüne sahiptir. Self-Sovereign Identity (SSI) kavramı ise bu yaklaşımın felsefesini tanımlar: bireyler dijital kimliklerinin sahibi olur, hangi bilgiyi ne zaman ve kimle paylaşacaklarına kendileri karar verir. Örneğin, SSI prensipleri sayesinde bir kullanıcı, 18+ yaş doğrulaması gereken bir durumda doğum tarihini veya T.C. kimlik numarasını ifşa etmeden sadece yetişkin olduğunu kriptografik olarak kanıtlayabilir.

DID ve SSI genellikle birlikte anılır çünkü SSI ekosisteminde kimlik bilgilerinin yönetimi için DID standartları kullanılır. World Wide Web Consortium (W3C) gibi standart kuruluşları DID ve Doğrulanabilir Kimlik Bilgileri (Verifiable Credentials) için teknik standartlar tanımlamıştır. Bu sayede farklı platformlar ve kuruluşlar arasında birlikte çalışabilir bir kimlik ekosistemi oluşturmak amaçlanır. Özetle, DID/SSI yaklaşımı ile dijital kimlikler kullanıcı merkezli, güvenli ve taşınabilir hale gelir; kullanıcılar Facebook veya devlet gibi merkezi otoritelere bağımlı kalmadan kendi dijital kimliklerini oluşturup kullanabilirler.

 

KYC/AML Süreçlerinde DID/SSI Uygulamaları

KYC (Know Your Customer- Müşterini Tanı) ve AML (Anti-Money Laundering- Kara Para Aklamayı Önleme) yükümlülükleri finans sektörü için kritik öneme sahiptir. Geleneksel KYC süreçlerinde bankalar ve fintech şirketleri, kripto varlık hizmet sağlayıcıları her yeni müşteri için kimlik belgeleri toplar, doğrular ve arşivler. Haliyle müşteriler her seferinde aynı bilgileri farklı platformlara sunmak zorunda kalır, bu da hem kullanıcı deneyimini zedeler hem de verilerin pek çok yerde kopyalanmasına yol açarak güvenlik riskleri doğurur.

DID tabanlı KYC konseptinde, bir kullanıcı kimliğini bir kez doğrulatıp dijital bir kimlik cüzdanına doğrulanmış kimlik bilgilerini alabilir. Örneğin, bir müşteri ilk defa bir bankaya kaydolurken kimlik belgelerini sunar ve banka bu kişinin kimliğini doğruladıktan sonra kullanıcıya dijital bir doğrulanmış kimlik bilgisi (verifiable credential) verebilir. Bu dijital kimlik bilgisi, kullanıcının ad-soyad, yaş, vatandaşlık gibi KYC için gereken unsurlarının doğruluğunu kriptografik olarak onaylar. Kullanıcı daha sonra başka bir finansal hizmete kaydolurken (örneğin bir Kirpto Varlık Alım Satım Platformuna), cüzdanındaki bu doğrulanmış kimlik bilgisini paylaşarak tekrar belge göndermeye gerek kalmadan kimliğini anında ispatlayabilir. Bu işleyiş “yeniden kullanılabilir KYC” olarak da anılır ve her kurumda sıfırdan kimlik doğrulama yapılması yerine, önceden doğrulanmış kimlik bilgilerini güvenli biçimde yeniden kullanmaya dayanır.

DID tabanlı KYC süreçlerinde veriler kriptografik olarak imzalanmış şekilde paylaşıldığından alıcı kurum, bilgilerin geçerliliğini anında teyit edebilir. Üstelik kullanıcılar seçici veri paylaşımı (selective disclosure) sayesinde her seferinde tüm kişisel bilgilerini vermek zorunda kalmaz; sadece gerekli olanları karşı tarafa açarlar . Örneğin bir kripto varlık alım satım platformu sadece müşterinin kara listede olmadığını veya belirli bir ülkenin vatandaşı olduğunu onaylayan bir kimlik bilgisini talep edebilir, ama gereksiz diğer detayları görmez. Bu yöntem, hem GDPR/KVKK gibi veri koruma düzenlemelerine uyumu kolaylaştırır hem de müşterinin mahremiyetini korur.

Sonuç olarak, SSI/DID sistemleri KYC/AML yükümlülüklerini yerine getirirken işlemleri hızlandırma, maliyetleri düşürme ve müşteri deneyimini iyileştirme vaadi taşır. Nitekim Avrupa Birliği’nin yeni dijital kimlik düzenlemesinde (eIDAS 2.0) öngörülen dijital cüzdanlar ile banka müşteri tanıma süreçlerinin bu tür doğrulanmış kimlik bilgilerinden yararlanması beklenmektedir.

 

DID Tabanlı Yapıların Teknik ve Operasyonel Avantajları

Merkeziyetsiz kimlik çözümleri, geleneksel kimlik yönetimi modellerine kıyasla birçok teknik ve operasyonel avantaj sunar:

  • Veri Minimizasyonu ve Gizlilik: DID/SSI, yalnızca ihtiyaç duyulan verinin paylaşılmasını mümkün kılarak “veri minimizasyonu” ilkesini hayata geçirir. Kullanıcılar bir hizmete kaydolurken veya bir işlemi onaylatırken gereksiz kişisel detayları ifşa etmez. Örneğin yalnızca yaşının 18’den büyük olduğunu veya belli bir statüye sahip olduğunu kanıtlayabilir. Bu sayede kişisel veriler olabildiğince az paylaşıldığı için gizlilik riski azalır ve GDPR/KVKK uyumluluğu sağlanması kolaylaşır.
  • Yeniden Kullanılabilirlik: DID tabanlı kimlik bilgileri, kullanıcı tarafından farklı platformlarda tekrar tekrar kullanılabilir. Tek bir doğrulanmış dijital kimlik, farklı bankalar, fintech uygulamaları veya kripto varlık platformları hatta gelecekte kamu kurumlarında bile geçerli olabilir. Standartlara (W3C DID/VC) dayalı olduğu için birlikte çalışabilirlik yüksektir; yani “tek kimlik, çoklu uygulama” vizyonu mümkün hale gelir. Bu da her seferinde yeniden kimlik doğrulama işlemi yapma gerekliliğini ortadan kaldırır.
  • Güvenlik ve Veri Koruma: Veriler merkezi sunucularda toplanmadığı için büyük ölçekli veri ihlali riskleri azalır. Her bir kimlik bilgisi, kriptografik dijital imzalarla korunduğundan tahrif edilmesi veya sahtesinin üretilmesi son derece zordur. Ayrıca, merkezi bir veritabanına saldırı yapılsa bile kullanıcıların kimlik verileri saldırıya maruz kalmaz çünkü veriler dağıtık şekilde veya kullanıcının cihazında tutulur. Bu yapı, tekil hata noktalarını (single point of failure) ortadan kaldırarak daha sağlam bir güvenlik modeli sunar.
  • Kullanıcı Kontrolü ve Rıza: SSI yaklaşımı, kimlik üzerindeki kontrolü tamamen kullanıcıya verir. Kişi, hangi kurumla hangi bilgisini paylaşacağını bilinçli onayıyla belirler. Merkezi sistemlerdeki gibi arka planda veri paylaşımı veya izinsiz erişim söz konusu olmaz.
  • Operasyonel Verimlilik ve Maliyet Tasarrufu: DID tabanlı KYC, finansal kurumlar için tekrar eden doğrulama işlemlerini azaltarak ciddi operasyonel kolaylık sağlar. Bankalar ve şirketler, farklı kurumlarca önceden doğrulanmış kimlik verilerini kabul ederek süreçlerini hızlandırabilirler. Bu, özellikle müşteri kabul (onboarding) süreçlerinde bekleme süresini ve evrak işini azaltır. Ayrıca, manuel belge inceleme ve depolama ihtiyacı düştüğü için kurumların uyum maliyetleri de azalır.

Yukarıdaki avantajlar sayesinde hem kullanıcılar hem de hizmet sağlayıcılar kazanır. Kullanıcılar için tek noktadan, zahmetsiz bir kimlik yönetimi; kurumlar için ise daha güvenli ve etkin bir uyum süreci mümkün hale gelir.

  • Türkiye Perspektifinden Hukuki ve Regülasyonel Zorluklar

DID ve SSI sistemlerinin hayata geçmesi sadece teknik değil, aynı zamanda hukuki ve düzenleyici engellerin de aşılmasını gerektiriyor. Özellikle Türkiye özelinde bakıldığında birkaç önemli zorluk öne çıkmaktadır:

Mevcut yasal çerçevemizde merkeziyetsiz kimlik kavramı açıkça tanımlanmış değildir. Bankacılık, finans ve kripto varlık sektörü için müşteri kimlik tespiti yükümlülükleri genelde belirli resmi belgelere (nüfus cüzdanı, pasaport vb.) ve merkezi kurumların doğrulamalarına dayanır. Kullanıcının kendi oluşturduğu veya üçüncü bir tarafın (ör. yabancı bir şirketin) çıkardığı dijital kimlik bilgilerini yasal olarak tanımak konusunda haliyle belirsizlikler vardır. Kısacası, bir bankanın SSI yoluyla sunulan bir kimlik bilgisini kabul etmesi halinde bunun mevzuat karşısındaki geçerliliği net değildir. Bu noktada MASAK Tedbirler Yönetmeliğinin 21. Maddesinde üçüncü tarafa güven ilkesi kapsamında DID/SSI konusunu tekrar ele alacağız.

  • Teknik Altyapı ve Ekosistem Hazırlığı: Merkeziyetsiz kimlik çözümlerinin uygulanabilmesi için hem kamu hem özel sektörde belirli teknik altyapının kurulması gerekir. Kullanıcılar için güvenli dijital kimlik cüzdanları, kurumlar için doğrulama yapabilecekleri arayüzler ve ortak standartlar gereklidir. Türkiye’de henüz geniş kitlelere yayılmış bir dijital kimlik cüzdanı uygulaması bulunmamaktadır (e-Devlet üzerinden sunulan bazı dijital kimlik kartı doğrulama hizmetleri olsa da SSI cüzdanı konseptinde değildir). Ayrıca, farklı kurumların bu sistemleri entegre kullanabilmesi için standartların ve protokollerin benimsenmesi zaman alacaktır. Ek olarak, olası siber güvenlik risklerine karşı hem kullanıcıların hem kurumların bilinçlendirilmesi gerekecektir. Bu hazırlık süreci, teknolojinin benimsenme hızını belirleyecek önemli bir faktördür.
  • Regülasyonel Uyum ve Denetim: Bankacılık kanunları ve MASAK mevzuatı, müşteri bilgilerini belirli sürelerle saklama, denetimlerde ibraz etme yükümlülüğü getirmektedir. Merkeziyetsiz kimlik modelinde müşteri verisi bankanın sisteminde değil, müşteride saklandığı için bu yükümlülüklerin nasıl yerine getirileceği net değildir. Örneğin, bir denetçi bankadan belli bir müşterinin kimlik doğrulama kaydını istediğinde, banka bu kaydı kendisi tutmadıysa (sadece müşterinin dijital cüzdanından alıp doğrulamışsa) bu durum mevzuata uygun sayılacak mıdır? Bu tür belirsizliklerin giderilmesi için yasal çerçevenin güncellenmesi ve belki de “dijital kimlik bilgisiyle kimlik tespiti” kavramının mevzuatta yer alması gerekecektir. Bu noktada Tedbirler Yönetmeliği’nin “Üçüncü Tarafa Güven İlkesini” Kapsayan 21. Maddesine bakmamız faydalı olacaktır.

 

Üçüncü Tarafa Güven İlkesi ve DID Perspektifi

Tedbirler Yönetmeliği’nin 21. maddesi (25.12.2024 değişiklikleriyle birlikte), finansal kuruluşların ve kripto varlık hizmet sağlayıcılarının (KVHS) müşteri adına hareket eden diğer finansal kuruluşların kimlik tespitine ve işlem amacına güvenerek işlem tesis edebilmesini düzenlemektedir. Bu çerçevede, üçüncü tarafa güven esasının geçerli olabilmesi için KYC yükümlülüklerinin eksiksiz yerine getirilmiş olması, kimlik belgelerinin onaylı örneklerinin temin edilebilmesi ve ilgili kuruluşun riskli ülkelerde ikamet etmemesi şartları aranır. Ayrıca, müşteriye ilişkin kimlik bilgilerinin özellikle uzaktan sözleşme tesisinde dijital kanallardan derhal alınması gerekmektedir.

Bu madde, DID sistemleriyle önemli bir paralellik göstermektedir. DID altyapısında bir finansal kuruluş, müşterisinin kimliğini doğruladıktan sonra ona Doğrulanabilir Kimlik Bilgileri (Verifiable Credentials) verir. Müşteri bu kimlik bilgisini başka bir kuruma sunduğunda, söz konusu kurum üçüncü tarafa güven ilkesi çerçevesinde bu credential’a dayanarak işlem tesis edebilir. Böylece yönetmelikte öngörülen güven mekanizması, teknolojik açıdan kriptografik ispatlarla güçlendirilmiş bir biçimde işletilmiş olur.

Öte yandan, mevzuatın halen “onaylı belge örneği” şartını araması, DID tabanlı çözümler için önemli bir uyumsuzluk yaratmaktadır. Zira DID sistemlerinde belgenin kendisi paylaşılmaksızın, doğrulamanın sonucu kriptografik olarak kanıtlanır. Dolayısıyla, bu tür credential’ların hukuken “belge ile eşdeğer” kabul edilmesi, Türkiye’deki uygulamanın ön koşulu olacaktır.

Sonuç itibarıyla, Madde 21’in öngördüğü üçüncü tarafa güven mekanizması, DID’in sunduğu hızlı, güvenli ve kullanıcı merkezli kimlik doğrulama modeliyle büyük ölçüde örtüşmektedir. Ancak regülasyonların, “belge” yerine “doğrulanabilir kimlik bilgisi”ni geçerli kabul etmesi gerekmektedir. Bu dönüşüm sağlandığında, DID altyapıları hem finansal kuruluşlar hem de KVHS’ler için uyum yükümlülüklerini daha etkin ve güvenilir biçimde yerine getirme fırsatı sunacaktır.

 

Uluslararası Örnek Projeler ve Girişimler

Dünyada merkeziyetsiz kimlik ve dijital kimlik alanında hem kamu otoriteleri hem özel sektör tarafından yürütülen çeşitli önemli proje ve girişimler bulunmaktadır.

AB eIDAS 2.0 ve Avrupa Dijital Kimlik Cüzdanı: Avrupa Birliği, elektronik kimlik regülasyonu eIDAS’ı güncelleyerek 2021’de tüm üye ülkelere yaygın bir dijital kimlik altyapısı oluşturma hedefi koydu. eIDAS 2.0 kapsamında her AB vatandaşı ve işletmesi, resmi olarak tanınan dijital kimlik bilgilerini saklayabileceği bir Avrupa Dijital Kimlik Cüzdanı (EUDI Wallet) edinebilecek. Bu cüzdanlar, mobil uygulama şeklinde çalışarak kullanıcıların ehliyet, diploma, banka hesabı bilgisi gibi çeşitli kimlik verilerini güvenli biçimde depolamasına ve paylaşmasına olanak tanıyor. Yeni çerçeve, müşterinin verilerine tamamen hükmettiği kimlik yaklaşımını benimsiyor ve kullanıcının tüm kimlik verilerinin kontrolünü elinde tutmasını öngörüyor. Örneğin, AB’de bir banka hesabı açarken müşteri, cüzdanındaki doğrulanmış kimlik verilerini bankaya sunarak hızlıca KYC işlemini tamamlayabilecek; banka da gerekli durum tespitini bu cüzdan üzerinden yapabilecek. Kasım 2023’te AB kurumları Dijital Kimlik Cüzdanı üzerinde nihai anlaşmaya vardı ve önümüzdeki birkaç yıl içinde üye ülkelerin teknik altyapıyı hayata geçirmesi bekleniyor. Bu adım, merkeziyetsiz/dijital kimlik sistemlerinin regülatif olarak desteklenmesine güçlü bir örnek teşkil ediyor. Bunun dışında Polygon, Microsoft gibi büyük şirketlerde kendi DID çözümlerini geliştirmektedir.

 

Gelecek Öngörüleri

Finans sektörü, dijital dönüşümün etkisiyle kimlik doğrulama ve uyum süreçlerinde yeni standartlara ihtiyaç duyuyor. Merkeziyetsiz kimlik (DID) sistemleri, önümüzdeki yıllarda bu yeni standartlardan biri haline gelebilir. Uluslararası düzeyde atılan adımlar (AB eIDAS 2.0 gibi regülasyonlar) ve büyük finansal kuruluşların pilot projeleri, DID yaklaşımının giderek daha fazla benimsendiğini gösteriyor. Özellikle sınır ötesi finansal işlemlerin, dijital müşteri ediniminin ve uzaktan bankacılık hizmetlerinin arttığı bir dünyada, taşınabilir ve güvenilir dijital kimlik ihtiyacı büyüyecektir.

DID/SSI sistemlerinin finans dünyasında standart hale gelmesi için kritik bazı faktörler bulunuyor: Öncelikle regülatörlerin bu sistemlere duyduğu güvenin artması ve gerekli yasal düzenlemeleri yapması gerekiyor. Avrupa’da atılan adımların benzerlerinin Türkiye’de de atılması, bankaların, fintech şirketlerinin ve kripto varlık hizmet sağlayıcıların önünü açacaktır. İkincisi, finansal ekosistemde ortak standartların ve altyapıların oturması önemli. Tüm kurumların uyacağı teknik protokoller ve güven çerçeveleri (örneğin hangi kurumların kimlik bilgisi düzenleyici/issuer olabileceği gibi) netleşmeli. Üçüncü olarak da  kullanıcı tarafında dijital kimlik okuryazarlığının gelişmesi gerekiyor; insanlar bu cüzdanları kullanmaya alışmalı ve güven duymalı.

Gidişata bakıldığında, birkaç yıl öncesine kadar sadece kavramsal tartışmalar düzeyinde olan SSI konusu, bugün somut uygulamalarla karşımıza çıkıyor. Önümüzdeki 5-10 yıl içinde, bankalar arası müşteri kimlik transferlerinden uluslararası dijital kredi skorlarına kadar pek çok alanda DID altyapılarının kullanılması olasıdır. Bu gerçekleştiğinde, finansal hizmetlerde tekrarlayan kimlik doğrulama külfeti azalacak, bir kez doğrulanmış kimlik bilgisiyle birden çok kuruma erişim mümkün olacaktır. Böyle bir gelecekte, bir bireyin DID’si sayesinde eğitiminden işe, bankacılık hizmetlerinden sigortaya kadar tek bir dijital kimlikle işlem yapabildiği bir düzen hayal değil.

Nihayetinde, DID teknolojileri finans sektörü için bir paradigma değişimi potansiyeli taşıyor. KYC/AML uyum süreçlerinin daha güvenli, hızlı ve kullanıcı dostu hale gelmesi; müşteri verilerinin daha iyi korunması, yeni dijital finans ürünlerinin regülasyonlara uyumlu şekilde gelişebilmesi gibi avantajlar, DID sistemlerinin cazibesini artırıyor. Eğer hukuki ve teknik engeller aşılabilirse, DID bazlı kimlik doğrulama yöntemleri finans dünyasında yaygın bir standart haline gelebilir. Bu da daha dahil edici, güvenli ve verimli bir finansal ekosisteme geçiş anlamına gelecektir. Geleceğin dijital ekonomisinde kimliğin anahtarı kullanıcıların elinde olacak gibi görünüyor.