KYC’nin 6 derecesi olduğunu biliyor muydunuz?
Uzmanlar, gerçek şahısların çalınan kimliklerini yahut evraklarını kullanarak gerçek banka hesabı açabilen dolandırıcıların sayısının her geçen gün arttığını belirtiyor. Çevrimiçi bankacılık hizmetlerinin popülaritesinin artmasıyla birlikte, bankacılık bilgilerinin çalınması, internetteki en yaygın kabahat faaliyetlerinden biri haline geldi. Siber hatalılar, ferdî banka hesapları ve kurumsal banka hesapları için erişim kodlarını çalmanın yanı sıra kredi kartlarının ve öbür ödeme kartı tiplerinin numaralarını da çalabiliyorlar.
Spam, makûs maksatlı yazılım ve kimlik avı hücumları yoluyla ele geçirilen mağdurun şahsî dataları, dokümanları ve fotoğrafları, düzmece hesaplar açılarak çeşitli dolandırıcılık davalarında ve kara para aklamada kullanılabiliyor. Bu nedenle, bankaların ve fintech şirketlerinin, finansal cürümlerle gayret etmek ve süratle genişleyen ekosistem içinde kara para aklama ile çaba etmek için KYC süreçlerine uyması her zamankinden daha değerli. Öte yandan şahısların siber güvenliklerini sağlamak ve bu tıp dolandırıcılık olaylarından kaçınmak için siber güvenlik yazılımlarını kullanmaları ehemmiyet taşıyor.
Dünya genelinde pek çok ülkede müşterileri tanımlamak ve kimlik bilgilerini doğrulamak için prosedürler benzerlik gösterse de zarurî KYC denetimlerinin tam listesi ülkeden ülkeye farklılaşabiliyor. Örneğin Almanya’da işletmelerin, evrak tabanlı doğrulamaya ek olarak müşterilerle manzaralı görüşmeler yapma zaruriliği varken, Birleşik Krallık üzere pek çok ülkede bu türlü bir mecburilik bulunmuyor. Uzmanlar dünya genelindeki prosedürler incelendiğinde Müşterini Teşhis yani Know Your Costomer (KYC) süreçlerinde 6 derece bulunduğunu iletiyor. Identify Türkiye ehemmiyeti giderek artan KYC konusuna ait dalı ve şirketleri bilgilendirmeye devam ediyor. Şirket KYC’nin 6 derecesine ait ayrıntıları ve bu süreçlerin kullanım alanlarıyla ilgili bilgileri şöyle özetliyor:
KYC Süreçlerinin 6 Derecesi
KYC1 kimlik denetimi kademesi, müşterinin bir telefon, tablet ya da bilgisayar kamerasıyla kimliğindeki bilgilerin OCR ile okunması yahut NFC ile kimlik yongasındaki bilgilerini okutması olarak tanımlanıyor.
Müşteri Durum Tespiti olarak isimlendirilen ve KYC süreçlerinin en kritik adımlarından olan KYC2’de ise şahıstan alınan bir fotoğraf (selfie) vasıtasıyla kişinin canlılık denetimi gerçekleştirilip şahsın kimlikteki kişi ile tıpkı olduğunun doğrulaması yapılıyor.
KYC3 aşamasında süreç biraz daha genişleyerek elde edilen müşteri bilgilerinin güvenlik denetimlerinin yapılması mecburî hale geliyor. Burada ibraz edilen kimlik dokümanının güvenlik öğeleri ve kimliğin geçerli bir kimlik evrakı olduğunun denetimleri yapılıyor.
KYC4 kademesinde doğrulanan kimlik bilgilerinin müşteri temsilcisi tarafından onaylanmasını mecburî kılınıyor.
KYC5 aşamasında ise süreçlerin risk düzeyi artış gösteriyor ve mevzuatta kuruluşun müşteriden elde edilen biyometrik bilgilerin bir müşteri müfettişi ile gerçekleştirilecek olan görüntü görüşme ile teyit edilmesi mecburî kılınıyor. Müşteri müfettişinin AML, fraud (dolandırıcılık), siber güvenlik bahislerinde tam donanımlı ve yönetmeliklerin sunduğu tüm güvenlik doğrulama süreçlerini, çapraz sorgulamaları, kimlik denetimlerini muvaffakiyetle yürütmesi ehemmiyet taşıyor. Aksi taktirde bu durum kuruluşun riskli bir müşteriyi kabul etmesiyle sonuçlanıyor.
KYC6 ise Elektronik imza (QES) ile dijital mukavele imzalamayı mümkün kılıyor. Bu süreç şimdi Türkiye’de kullanılır halde bulunmuyor.
KYC Siber Güvenlik Kadar Hassas Bir Konu
Bu noktada değeri daha da artan KYC süreçlerinin ve derecelerinin kesimde yeterli bir halde anlaşılmasının en az siber güvenlik kadar kritik bir kıymet taşıdığını belirten Identify Türkiye Genel Müdürü Ali Haydar Ünsal, “Çalıntı kimlik bilgileriyle banka hesabı açan ya da banka hesabı sahiplerini mağdur eden çok sayıda dolandırıcılık olayı yaşanıyor. Öte yandan, dijital cüzdan kullanımının Türkiye üzere dijitale süratli adapte olan bir ülkede çok süratli biçimde benimsendiğini ve uzaktan müşteri edinim süreçleriyle kullanımının katlanarak artacağını düşünüyoruz. Bankacılık ve fintech alanları başta olmak üzere Türkiye’de şu an KYC4 ile KYC5’in ortasında bir süreç tasarlanıyor. Mevzuatlar şu basamakta Selfie Ident ve Görüntü Ident tahlillerini tek başına kâfi olarak görmüyor. Bu yüzden zati süreç limitlerine, şirketlerin büyüklüklerine nazaran süreçler değişim gösteriyor. Identify olarak geliştirdiğimiz Hybrid KYC tahlilimiz Türkiye’deki tüm süreçleri karşılıyor. Ayrıyeten şirket olarak müşteri müfettişlerinin eğitimini çok önemsiyor ve geliştirdiğimiz Akademi Programımız ile iş ortaklarımızın eKYC süreçlerinde konumlandıracaklar müşteri temsilcilerini eğiterek birer müşteri müfettişi haline getirmeyi hedefliyoruz. “
Kaspersky Türkiye Pazarlama Müdürü Ünsal Yurdakonar ise şunları söyledi: “Bir banka hesabını çalmak için bir siber cürümlünün, kişinin değerli şahsî bilgiler, fotoğraflar, evraklar üzere bir dizi kullanıcı verisine sahip olması gerekiyor. Tüm bunları elde etmek için hatalılar makûs maksatlı yazılımları, bilhassa Truva atlarını, spam ve kimlik avı metotlarını kullanabilir. Kaspersky olarak her yıl milyonlarca kimlik avı sayfasını engelliyoruz. Örneğin Kaspersky araştırmacıları, 2021’de 469 farklı kimlik avı kitine dayalı geçersiz sayfa şablonlarıyla hazırlanmış 1,2 milyon ferdi kimlik avı sayfasını engelledi ve siber hatalıların zahmetsizce kimlik avı başlatmasının önüne geçildi. Bu sayfalar sadece birkaç saat sürse de birden fazla maksadına ulaşmayı ve kullanıcı bilgilerini çalmayı başarıyor. Bu atakların kapsamını genişletmek için dolandırıcıların her gün binlerce düzmece sayfa oluşturması gerekiyor. Kimlik avı kitleri bunu yapmanın kolay bir yolu haline geldi. Sadece en yetenekli bilgisayar korsanlarının bir kimlik avı sitesi geliştirebileceği ve kullanıcıları ferdî bilgilerini ortaya çıkarmak için kaldırabileceği günler geride kaldı. Artık rastgele bir amatör kendi kimlik avı sayfasını oluşturabiliyor. Bu nedenle, bir e-posta yahut iletileşme servislerinden gelen ilişkileri takip ederken bilhassa dikkatli olunması gerekiyor. Kullanıcılar, güvenlik meselelerini otomatik olarak çözebilen ve kullanıcının güvenliğini ve parasını koruyan sağlam bir güvenlik tahlili kullanmalıdır.”
Kaynak: (BYZHA) – Beyaz Haber Ajansı
