Fraud, Chargeback ve Ödeme Sistemleri Uzmanı
İbrahim Kudret Elçiboğa
Fraud, Chargeback ve Ödeme Sistemleri Uzmanı İbrahim Kudret Elçiboğa, Fintechtime okurları için kaleme aldı, “Açık Bankacılık = Açık Risk mi?”.
Açık Bankacılık için fintech’ler ve kurulacak işbirlikleri büyük öneme sahiptir. PSD2 ve yerel regülasyonlar ile müşteri ve banka arasına giren üçüncü parti sağlayıcıların yapı ve işleyişleri zaten belirlenmiş durumda. Bankalar temel yeteneklerine odaklanırken açtıkları API’ler ile bunlardan yeni iş modelleri oluşturan fintech’leri kendilerine bağlıyorlar ve böylece işlem maliyetlerinden tasarruf ederken müşteri memnuniyetinden kaynaklanan gelir artışını yakalıyorlar. Bu sayede hem bankalar hem de fintech’ler kazanırken, müşteriler de finansal hizmetlere daha kaliteli ve uygun koşullarda ulaşıyorlar.
PSD2 ve dünyanın farklı yerlerinde devam eden Açık Bankacılık gelişmeleri ile iki milyondan fazla müşteri açık bankacılık özellikli ürünleri kullanmaya başladı. Bu gelişmeler, bankacılığın operasyonel etkinliğini ve müşteri deneyimini arttırmış olsa da, bireyleri gizlilik ve güvenlik açıklarına maruz bırakmakla da tehdit ediyorlar.
Fintech şirketleri veri kaybı, kimlik hırsızlığı, veri koruma ihlalleri, kara para aklama ve terörün finansmanı ile ilgili risklerin hem kaynağı hem de “taşıyıcısı” olabilir. Fintech şirketlerinin geliştirdiği yeni uygulamalar ve üzerinde çalıştıkları sistemler yeterince güvenli değilse, bilgisayar korsanları büyük olasılıkla bu uygulamaları “dolandırıcıların ihtiyaçları” için kullanacaklardır. Bu nedenle, Açık API’ler aracılığıyla yapılan işlemler, bir bütün olarak sistem için ek riskler oluşturabilir.
Kimlik doğrulama ve dolandırıcılığı önleme hem Açık Bankacılık girişiminin hem de Açık API’nin temel bileşenleri olsa da, kişisel verilerin kaybolması veya çalınması, veri koruma ihlalleri, kara para aklama ve terörün finansmanı ile ilgili riskleri içinde barındırıyor. İşlemler ve bakiye gibi müşteri bankacılığı verilerine erişim her zaman bilgisayar korsanlarının önceliğinde olmuştur. Açık API, altyapıda depolanan müşteri verilerine erişim sağlar ve siber güvenlik için ciddi bir risk oluşturabilir. Bankalar sistemlerini ve API’lerini nasıl güvence altına almaya çalışırsa çalışsın, veri hırsızları her zaman zayıf bir nokta bulabilir. Bu, bazı müşteri verilerinin diğer tarafların kullanımına açık olacağı anlamına gelir. Finansal kayıpların yanı sıra bankaların itibarı da zarar görebilir.
Müşteri verilerinin ve finansal bilgilerinin korunabilmesi ve Açık Bankacılık ekosisteminin amaçlandığı gibi güvenli bir şekilde çalışabilmesi için, tüm düzenlemeye tabi kuruluşların dijital kimlik teknolojisine geçmesi bir çözüm olabilir. Blockchain teknolojisinin değişmezliği ile desteklenen ve ödeme kaynağına bağlı biyometrik olarak doğrulanmış dijital kimlikleri kullanmak, yalnızca üçüncü taraf işletmelerin finansal verileri güvende tutma yükünü ortadan kaldırmakla kalmaz, aynı zamanda sahte ödemeler ve kimlik hırsızlığı riskini de ortadan kaldırabilir.
Dijital olarak doğrulanmış kimlikler, anında ödeme sahtekarlığını azaltmaya (hatta ortadan kaldırmaya) yardımcı olur. İşlemin her iki tarafında da doğrulanmış kimlikler ile, yerleşik kanallar dışında yapılan ödeme talepleri işleme alınamaz ve alınmayacaktır. Belki de en önemlisi, dijital kimlikler, giriş yapan kişinin gerçek sahibi olmasını ve bir kullanıcıyı bankasına bağlayan hizmetin bunu güvenli bir ortamda yapmasını sağlar. Bu aynı zamanda tüm bilgilerin kriptografik olarak güvence altına alındığı veri ihlalleri olasılığını da ortadan kaldırır.
Açık Bankacılık, finansal hizmet sektörünü değiştirecek tetikleyicidir. Yeni girişimlerin daha uygun fiyatlı ve kişiselleştirilmiş hizmetler sunabilecekleri bir alandır. Son kullanıcılar finansal hizmetler pazarında çok daha fazla seçeneklerle kazanacaklar. Bununla birlikte hangi API’lerin, hangi kapsamda açılacağı, verilerin nasıl korunacağı, siber güvenlik ve kişisel verilerin korunması konuları Açık Bankacılık için her zaman önemli olacaktır. Açık Bankacılık’ın başarılı olması için tüketici güveninin kazanılması ve tüketicilerin üçüncü parti kurumlarla veri paylaşımı ile ilgili soru işaretlerinin tamamen ortadan kaldırılması şart.