Makale

Geleneksel bankacılık anlayışını kökten değiştiren açık bankacılık, finansal hizmetlerin sunumunda yeni bir dönemi başlatmıştır. Müşterilerin rızası doğrultusunda bankalarda tutulan finansal verilerin uygulama programlama arayüzleri (API) aracılığıyla üçüncü taraf sağlayıcıların erişimine açılması, paylaşım ekonomisinin en belirgin yansımalarından biridir. Bu yenilikçi sistem, tüketicilere finansal verilerini daha etkin yönetme ve yenilikçi hizmetlere ulaşma imkânı tanırken, beraberinde veri mahremiyeti ve tüketicinin korunması gibi kritik hukuki sorunları da getirmektedir. Finansal verilerin çok sayıda kuruluş arasında dolaşıma girmesi, kişisel verilerin korunması mevzuatına tam uyumu ve üst düzey siber güvenlik tedbirlerinin alınmasını zorunlu kılmaktadır. Hukuki açıdan bakıldığında, açık bankacılık ekosisteminde yer alan aktörlerin, hem Kişisel Verilerin Korunması Kanunu hem de Tüketicinin Korunması Hakkında Kanun çerçevesindeki yükümlülüklerini eksiksiz yerine getirmesi, sistemin güvenilirliği için hayati bir öneme sahiptir.

Açık Bankacılıkta Kişisel ve Hassas Verilerin Korunması

Açık bankacılık işlemlerinin temelinde yer alan veri paylaşımı, hukuki açıdan değerlendirildiğinde kişisel veriler, hassas müşteri verileri ve müşteri sırrı olmak üzere üç farklı boyutta incelenmelidir. Bu verilerin işlenmesi kural olarak Kişisel Verilerin Korunması Kanunu kapsamında veri sahibinin açık rızasına tabidir. Ödeme hizmeti sağlayıcılarının, hizmetlerini sunabilmesi için müşterilerin finansal verilerine erişmesi kaçınılmazdır. Ancak hukuki bir perspektifle, alınan bu rızanın belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan bir rıza olması şarttır. Öte yandan, ödeme emrinin verilmesinde ve müşteri kimliğinin doğrulanmasında kullanılan hassas müşteri verileri, yetkisiz işlemler gibi hileli faaliyetlerde kullanılabilecek nitelikte olduğundan daha sıkı güvenlik protokollerine tabidir. İlgili mevzuat uyarınca, üçüncü taraf sağlayıcılar bu hassas verilere yalnızca hizmetin gerektirdiği ölçüde erişebilir, bu verileri saklayamaz ve müşterinin açıkça talep ettiği hizmetin sunulması dışında başka hiçbir amaçla kullanamazlar.

Güvenli Veri Paylaşımı ve API Zorunluluğu

Finansal verilerin güvenli bir şekilde paylaşılabilmesi için ekran kazıma gibi riskli yöntemler yerine uygulama programlama arayüzlerinin (API) kullanımı zorunlu kılınmıştır. Ekran kazıma yöntemi, müşterinin kimlik doğrulama bilgilerinin paylaşılmasını gerektirdiği için güvenlik zafiyetlerine ve yetkisiz işlem risklerine yol açmaktadır. Türk hukuku uyarınca, üçüncü taraf sağlayıcılar ile hesap hizmeti sağlayıcıları arasındaki veri alışverişinin Bankalararası Kart Merkezi (BKM) API geçidi üzerinden yapılması hukuki bir yükümlülüktür. API'lerin kullanımı, insan müdahalesi olmaksızın şifrelenmiş protokoller üzerinden iletişimi sağlayarak veri ihlallerini asgari düzeye indirmekte ve veri yönetimi konusunda hem müşteriler hem de bankalar için hukuki güvenliği tahsis etmektedir.

Güçlü Kimlik Doğrulama Mekanizması

Açık bankacılık kapsamında işlem güvenliğinin sağlanması ve tüketicinin korunması amacıyla yasa koyucu tarafından güçlü kimlik doğrulama mekanizması ihdas edilmiştir. Bu mekanizma, ödeme işlemlerinde dolandırıcılık faaliyetlerini önlemek ve yetkisiz erişimleri engellemek için aşağıda sayılan üç temel bileşenden en az ikisinin birlikte kullanılmasını şart koşmaktadır:

• Müşterinin bildiği bileşen niteliğindeki şifre, parola veya işlem doğrulama kodu
• Müşterinin sahip olduğu bileşen niteliğindeki cep telefonu, akıllı cihaz veya ödeme kartı
• Müşterinin biyometrik karakteristik özelliği olan parmak izi, yüz veya ses tanıma

İşlem anında bu doğrulama adımlarından birinin ele geçirilmesi, diğerinin güvenliğini tehlikeye atmayacak şekilde bağımsız tasarlanmalıdır. Hukuki uyuşmazlıklarda, güçlü kimlik doğrulamanın eksiksiz uygulanmış olması, ödeme hizmeti sağlayıcısının özen yükümlülüğünü yerine getirdiğinin ispatı açısından kritik bir delil teşkil eder. Nitekim yasal düzenlemeler, kimlik doğrulama süreçlerindeki veri ve güvenlik ihmallerinden doğacak zararlarda doğrudan finansal hizmet sağlayıcıyı sorumlu tutmaktadır.

Finansal Tüketicinin Mesafeli Sözleşmelerle Korunması

Açık bankacılık kuruluşlarının iş modelleri gereği müşterilerle kurdukları ilişkiler çoğunlukla elektronik ortamda yürütülmektedir. Bu durum, hukuki açıdan finansal hizmetlere ilişkin mesafeli sözleşmeler rejiminin uygulama alanı bulmasına neden olur. Tüketicinin Korunması Hakkında Kanun uyarınca, açık bankacılık hizmeti sunan kuruluşlar, sözleşme kurulmadan önce tüketiciyi sunulan hizmetin kapsamı, cayma hakkı ve olası riskler hakkında açık ve anlaşılır bir dille bilgilendirmek zorundadır. Bu ön bilgilendirme yükümlülüğü, ticari amaçla yapıldığı açıkça belli olacak şekilde ve en az on iki punto büyüklüğünde metinlerle tüketicinin dikkatine sunulmalıdır. Bilgilendirme yükümlülüğünün mevzuata uygun şekilde yerine getirildiğinin ispat yükü tamamen finansal hizmet sağlayıcısına aittir ve ilgili kayıtların yasal süreler boyunca güvenle saklanması gerekmektedir.

Cayma Hakkı ve Bilgilendirme Yükümlülüğü

Finansal tüketicinin korunmasındaki en güçlü hukuki mekanizmalardan biri olan cayma hakkı, açık bankacılık veri ve ödeme hizmetlerinde de titizlikle uygulanmaktadır. Tüketici, mesafeli sözleşmenin kurulduğu tarihten itibaren on dört gün içinde herhangi bir gerekçe göstermeksizin ve cezai şart ödemeksizin sözleşmeden dönme hakkına sahiptir. Hizmet sağlayıcılar, cayma hakkı bildirimi ulaştığı andan itibaren, tahsil ettikleri tüm bedelleri tüketiciye hiçbir masraf yansıtmadan derhal ve tek seferde iade etmekle yükümlüdür. Finansal dalgalanmalara bağlı olarak fiyatı anlık değişen hizmetler bu hakkın istisnasını oluştursa da standart açık bankacılık sözleşmelerinde tüketicinin bu hakkı mutlaktır. İşletmeler ile tüketiciler arasında adil bir hukuki zemin oluşturulabilmesi adına tüm bu şeffaflık ve koruma kurallarına mutlak uyum sağlanması yasal bir mecburiyettir.