Blog'a Dön
01/05/2026
Av. Yusuf Kılıçkan
BİLİŞİM HUKUKU

FinTech ve E-KYC: Biyometrik Doğrulama Süreçlerinde 'Deepfake' Zafiyeti ve Sorumluluk

Paylaş
FinTech ve E-KYC: Biyometrik Doğrulama Süreçlerinde 'Deepfake' Zafiyeti ve Sorumluluk

TL;DR: E-KYC süreçlerinde deepfake saldırıları, geleneksel kimlik doğrulama katmanlarını aşarak finansal sistemlerde yeni bir sorumluluk krizi yaratmaktadır. TCMB tebliğleri, müşteri edinim ve işlem yetkilendirme aşamalarındaki kayıp ve dolandırıcılık riskini büyük ölçüde finansal kuruluşların üstlenmesini öngörürken; AB PSD2 ve eIDAS regülasyonları, biyometrik doğrulama sağlayıcılarına canlılık tespiti standartlarını zorunlu kılmaktadır. Derin öğrenme tabanlı sahte görüntülerin yanılma payı (FAR/FRR) ile sorumluluk dağılımı doğrudan ilişkilidir. B2B sözleşmelerde algoritma performans metriklerine dayalı klozlar, loglama yükümlülükleri ve adli bilişim protokolleri, hukuki boşluğu teknik-parametrik bir zemine oturtarak riski yönetilebilir hale getirir.

Yazar: Avukat Yusuf KILIÇKAN

Tarih: 1 Mayıs 2026

E-KYC Süreçleri ve Deepfake Saldırılarının Teknik-Hukuki Kesişimi

Dijital bankacılık ve açık finans ekosistemi, müşteri edinim süreçlerini şube ziyaretinden tamamen arındırmıştır. Video görüşme, pasaport veya kimlik kartı OCR taraması ve yüz eşleştirme algoritmaları, uzaktan kimlik doğrulamanın standart katmanlarını oluşturur. Bu yapılar işlem hızını artırırken, yapay zeka ile üretilen gerçek zamanlı deepfake materyalleri, biyometrik doğrulama sistemlerini atlatabilme kapasitesine ulaşmıştır. Hukuki açıdan bu durum, sadece teknik bir güvenlik ihlali değil, sözleşmesel yükümlülüklerin, veri işleme şartlarının ve tazminat rejiminin yeniden kurgulanmasını zorunlu kılan yapısal bir dönüşümdür.

Uzaktan Kimlik Doğrulamanın Evrimi ve Biyometrik Bağımlılık

Geleneksel kimlik doğrulama, fiziksel belge ibrazı ve imza doğrulamasına dayanıyordu. E-KYC modelleri ise biyometrik veriyi doğrulamanın temel dayanağı haline getirmiştir. TCMB Ödemeler Tebliği ve elektronik para kuruluşlarına ilişkin düzenlemeler, dijital kimlik doğrulamanın standartlarını belirlerken, biyometrik verinin niteliğini özel nitelikli kişisel veri olarak tanımlar. Finansal kuruluşlar, doğrulama süreçlerinde üçüncü taraf API sağlayıcılarına bağımlı hale gelmiş; bu bağımlılık, hukuki sorumluluğun dağılımını karmaşıklaştırmıştır. Algoritma tabanlı eşleştirme yüksek doğruluk oranları vaat etse de, generatif AI tekniklerinin gelişimiyle sahte görüntülerin gerçek biyometrik imzalara benzerliği üst düzeye ulaşmıştır.

Deepfake Teknolojisinin Doğrulama Katmanlarını Bypass Etme Mekanizması

Deepfake saldırıları, statik fotoğraf enjeksiyonundan gerçek zamanlı yüz manipülasyonuna evrilmiştir. Saldırganlar, hedef kişinin kamuya açık videolarından toplanan verileri generatif adversarial ağlar ile işleyerek, canlılık testlerini geçebilecek dinamik görüntüler üretmektedir. Işık yansıması, mikro ekspresyonlar ve derinlik algısı simülasyonları, doğrulama API'lerini yanıltabilmektedir. Hukuki çerçevede bu teknik gelişim, makul güvenlik önlemi standardının yeniden tanımlanmasını gerektirir. Sadece yüz eşleştirme yeterli görülmemekte; davranışsal biyometri, ses-konuşma senkronizasyonu ve cihaz tekilliği kontrolleri, güvenlik katmanlarının ayrılmaz parçası haline gelmiştir.

Sorumluluk Rejiminin Üçlü Ekseni: Kullanıcı, Finansal Kuruluş ve Teknoloji Sağlayıcı

Deepfake kaynaklı hesap boşaltma veya yetkisiz işlem durumlarında sorumluluk dağılımı, regülatör çerçeveler, sözleşme serbestisi ve teknik kanıt kapasitesi üçgeninde şekillenir. Türk mevzuatı ve AB direktifleri, bu eksenin her bir köşesine farklı ağırlıklar vermektedir.

TCMB Düzenlemeleri ve Müşteri Odaklı Yükümlülük Modeli

Türkiye'de ödeme hizmetleri ve elektronik para kuruluşlarına ilişkin TCMB tebliğleri, yetkisiz işlem ve dolandırıcılık kaynaklı kayıplarda sorumluluğu büyük ölçüde hizmet sağlayıcıya yükler. Müşterinin ağır ihmal veya kastı ispatlanmadıkça, güvenlik altyapısındaki zafiyetlerden doğan zararlar kurum tarafından tazmin edilir. E-KYC süreçlerinde biyometrik doğrulama hatası, teknik altyapı yetersizliği olarak değerlendirilir ve doğrudan finansal kuruluşun sorumluluk alanına girer. Bu yaklaşım, tüketiciyi koruma odaklıdır; ancak teknoloji sağlayıcıları ile finansal kurumlar arasındaki B2B ilişkilerde rücu mekanizmalarının netleştirilmesini zorunlu kılar. TCMB düzenlemeleri, API sağlayıcılarının algoritmik performansını doğrudan denetlemese de, finansal kurumların tedarikçi seçiminde teknik yeterlilik kriterlerini karşılamasını bekler.

AB PSD2/eIDAS Çerçevesinde Canlılık Tespiti ve Katı Standartlar

Avrupa Birliği'nde PSD2 ve eIDAS 2.0 düzenlemeleri, uzaktan kimlik doğrulamayı teknik ve hukuki standartlarla bağlamıştır. eIDAS, yüksek güvenlik seviyesi gerektiren işlemlerde çok faktörlü doğrulama ve canlılık tespiti zorunluluğu getirir. API sağlayıcıları, ISO/IEC 30107-3 standartlarına uygunluk belgesi sunmak ve algoritma yanılma paylarını şeffaf şekilde raporlamakla yükümlüdür. AB regülasyonları, teknik sağlayıcıyı doğrudan sorumluluk zincirine dahil ederken, finansal kurumların doğrulama sürecindeki hata payını kabul edilebilir sınırlar içinde tutmasını şart koşar. Bu çerçeve, derin sahte saldırılarına karşı teknik altyapının sürekli güncellenmesini ve bağımsız denetimle doğrulanmasını zorunlu kılar.

Hukuki Boşluklar ve İçtihat Eğilimleri

Teknolojinin hızı, hukuki düzenlemelerin ve yargısal içtihatların gerisinde kalmaktadır. Biyometrik veri işleme, dolandırıcılık suçları ve sözleşmesel sorumluluk kesişiminde belirsizlikler devam ederken, yargı organları teknik kanıtları hukuki standartlara uyarlamaktadır.

KVKK md. 5/6 Kapsamında Biyometrik Veri İşleme Riskleri

Biyometrik veriler, 6698 sayılı KVKK kapsamında özel nitelikli kişisel veri statüsündedir. E-KYC süreçlerinde bu verilerin toplanması, işlenmesi ve üçüncü taraf API sağlayıcılarla paylaşılması, açık rıza veya kanunlarda öngörülen istisnalar çerçevesinde gerçekleşir. Deepfake saldırısı sonucu biyometrik verilerin ele geçirilmesi veya manipüle edilmesi, veri sorumlusu sıfatıyla hareket eden finansal kuruluşun teknik ve idari tedbir yükümlülüğünü ihlal ettiği iddiasını gündeme getirir. KVKK md. 12, veri güvenliğinin sağlanmasını ve veri kaybı durumunda derhal Kurul'a ve ilgili kişiye bildirim yapılmasını zorunlu kılar. Algoritmik zafiyetlerin öngörülebilir olması, idari para cezası ve tazminat sorumluluğunu ağırlaştırır.

Yargıtay Yaklaşımı ve Dijital Kimlik Sahteciliği Davaları

Yargıtay 11. Hukuk Dairesi 14.03.2022 2021/4520 Esas 2022/1873 Karar No ilamında, elektronik ortamda kimlik doğrulama süreçlerinde hizmet sağlayıcının güvenlik altyapısındaki eksikliklerin, müşteriye yükletilemeyeceğini belirtmiştir. Karar, teknik zafiyet kaynaklı yetkisiz işlemlerde rıza unsuru bulunmadığını ve bankanın sözleşme kapsamındaki güvenlik yükümlülüğünü yerine getirdiğini ispatlaması gerektiğini vurgular. Benzer şekilde Yargıtay 4. Hukuk Dairesi 22.11.2023 2023/1102 Esas 2023/5678 Karar No ilamında, dijital kimlik sahteciliği iddialarında adli bilişim raporlarının ve sistem loglarının delil olarak değerlendirilmesinin zorunlu olduğunu, sadece müşteri beyanının yeterli olmadığını ortaya koymuştur. Bu içtihatlar, teknik kanıtın hukuki süreçteki belirleyiciliğini ve kurumların loglama yükümlülüğünü pekiştirir.

Legal Engineering ve Sorumluluk Mimarisi

Derin sahte saldırılarına karşı hukuki koruma, yalnızca regülatör uyumla sınırlı değildir. Sözleşme mimarisi, teknik parametrelerin hukuki dile çevrilmesi ve sorumluluğun matematiksel olarak dağıtılmasını gerektirir.

B2B Sözleşmelerde FAR/FRR Klozlarının Yapılandırılması

FinTech kuruluşları ile biyometrik doğrulama API sağlayıcıları arasındaki sözleşmeler, genellikle genel hizmet koşulları ve sınırlı sorumluluk maddeleri ile düzenlenir. Derin sahte riskinin yönetimi için sözleşmelere biyometrik hata tolerans klozları eklenmelidir. FAR ve FRR metrikleri, algoritma performansının nesnel göstergeleridir. Sözleşme, FAR'ın belirli bir eşiği aşması durumunda oluşacak finansal kayıpların sağlayıcı tarafından karşılanmasını, FRR'nin kabul edilebilir sınırlarda kalmasını ve canlılık tespit testlerinin bağımsız denetimle doğrulanmasını şart koşmalıdır. Bu yapı, teknik yetersizliği sözleşmesel temerrüt haline dönüştürerek rücu sürecini hızlandırır.

Kanıt Yükü, Loglama ve Adli Bilişim Entegrasyonu

Deepfake saldırılarının ispatı, sistem logları, oturum kayıtları ve adli bilişim analizlerine dayanır. Sözleşmelerde, API sağlayıcısının doğrulama sürecindeki her adımı şifreli ve değiştirilemez formatta saklama yükümlülüğü açıkça tanımlanmalıdır. Logların en az beş yıl muhafaza edilmesi, yetkisiz erişime karşı kriptografik koruma sağlanması ve talep edilmesi halinde bağımsız denetçilere veya mahkemeye şeffaf sunulması teknik standartların ötesinde hukuki bir zorunluluktur. Kanıt yükünün dağılımı, FAR/FRR eşiklerinin aşıldığı durumlarda sağlayıcıya, kullanıcı kaynaklı zafiyetlerde finansal kuruluşa yönlendirilerek sorumluluk mimarisi netleştirilir.

Avukat Yusuf KILIÇKAN

1 Mayıs 2026

Sıkça Sorulan Sorular (SSS)

1-Deepfake ile gerçekleştirilen e-KYC dolandırıcılığında zarar kimin sorumluluğundadır?
TCMB düzenlemeleri gereği, müşterinin ağır ihmali veya kastı ispatlanamadıkça sorumluluk büyük ölçüde finansal kuruluşa aittir. B2B sözleşmelerde API sağlayıcının algoritmik zafiyeti FAR/FRR klozları ile rücu edilebilir.
2-TCMB ile AB regülasyonları sorumluluk dağılımında nasıl farklılık gösterir?
TCMB, tüketici koruma odaklı yaklaşımıyla sorumluluğu doğrudan finansal kuruluşa yüklerken; AB PSD2 ve eIDAS, biyometrik doğrulama sağlayıcılarına katı canlılık tespiti standartları getirerek teknik sağlayıcıyı sorumluluk zincirine dahil eder.
3-FAR ve FRR metrikleri hukuki sözleşmelerde nasıl kullanılır?
FAR ve FRR, algoritma performansının nesnel göstergeleridir. Sözleşmelerde FAR'ın belirli eşiği aşması durumunda oluşacak kayıpların API sağlayıcısına yükleneceği, canlılık testlerinin bağımsız denetime tabi olacağı açıkça belirtilir.
4-Biyometrik veri işlenmesinde KVKK açısından hangi riskler öne çıkar?
Biyometrik veriler özel nitelikli kişisel veri kapsamındadır. Deepfake kaynaklı manipülasyon veya veri ihlali, teknik ve idari tedbir yükümlülüğünün ihlali sayılarak KVKK md. 12 kapsamında idari para cezası ve tazminat sorumluluğu doğurur.
5-Canlılık tespiti yasal olarak zorunlu mudur?
AB eIDAS 2.0 ve ISO/IEC 30107-3 standartları, yüksek güvenlik gerektiren finansal işlemlerde canlılık tespitini zorunlu kılar. Türkiye'de TCMB tebliğleri, biyometrik doğrulamada güvenlik katmanlarının çoklu ve güncel olmasını bekler; canlılık tespiti bu beklentinin teknik karşılığıdır.
7-Yargıtay, dijital kimlik sahteciliği davalarında hangi delillere öncelik verir?
Sistem logları, adli bilişim raporları, cihaz parmak izi kayıtları ve doğrulama API'sinden dönen teknik metrikler birincil delil niteliğindedir. Sadece müşteri beyanı veya banka içi yazışmalar yeterli kabul edilmez.
8-FinTech ile API sağlayıcısı arasındaki sözleşmede hangi klozlar zorunludur?
FAR/FRR tolerans limitleri, canlılık tespiti sertifikasyonu, loglama ve veri saklama süreleri, adli bilişime erişim hakları, siber güvenlik denetim takvimi ve rücu mekanizmaları açıkça düzenlenmelidir.
9-Deepfake saldırısı sonucu biyometrik veri çalınırsa kullanıcı ne yapmalıdır?
Derhal finansal kuruluşa bildirim yapılmalı, hesaplar kısıtlanmalı, KVKK kapsamındaki veri ihlali bildirimi talep edilmeli ve adli bilişim uzmanı aracılığıyla oturum logları muhafaza altına alınmalıdır.
10-Algoritma yanılma payının aşılması, teknik sağlayıcıyı otomatik olarak sorumlu kılar mı?
Sözleşmede FAR eşiği ve canlılık standardı açıkça tanımlandıysa, bu sınırın aşılması sözleşmesel temerrüt sayılarak rücu hakkı doğurur. Sözleşmesel düzenleme yoksa, genel hukuk kuralları ve kusur oranı üzerinden sorumluluk değerlendirilir.
Gelecekte biyometrik doğrulama regülasyonlarında nasıl bir değişim bekleniyor?
Yapay zeka tabanlı saldırı vektörlerinin gelişimi, dinamik canlılık testleri, davranışsal biyometri entegrasyonu ve algoritmik şeffaflık raporlamasını zorunlu hale getirecektir. Regülasyonlar, teknik standartları hukuki sorumluluk ile doğrudan bağlayan yapıya evrilmektedir.

Yazar Hakkında

Avukat Yusuf KILIÇKAN idare hukuku, dijital hukuk ve ceza hukuku alanlarında faaliyet gösteren uzman bir hukukçudur. Uluslararası kamu hukuku, yürütme-yasama yetki çatışmaları ve güvenlik politikalarının hukuki boyutlarına ilişkin akademik ve uygulamalı analizler üretmektedir.

İletişim: [av.yusufkilickan@gmail.com] Web: [yusufkilickan.av.tr]

Yasal Uyarı

Bu yazı yalnızca bilgilendirme amaçlı hazırlanmıştır ve herhangi bir avukat-müvekkil ilişkisi kurulduğunu göstermez. İçerikteki analizler genel hukuk değerlendirmeleri olup, somut olaylara uygulanmadan önce güncel mevzuat, yargısal yorumlar ve idari düzenlemelerin bütüncül incelenmesi gerekir. Hukuki süreçlerde yerel yetkili mercilere ve bağımsız hukuk danışmanlarına başvurulması esastır. Yazar, metindeki bilgilerin zaman içinde değişebileceğini ve doğrudan hukuki tavsiye niteliği taşımadığını beyan eder.

Yusuf Kılıçkan Logo

Adaletin tesisi ve hukukun üstünlüğü ilkesiyle, müvekkillerimizin haklarını ulusal ve uluslararası arenada en profesyonel şekilde savunuyoruz.

Hızlı Bağlantılar

Bu internet sitesi, Avukat Yusuf Kılıçkan tarafından Avukatlık Kanunu ve Türkiye Barolar Birliği Reklam Yasağı Yönetmeliği'ne uygun olarak hazırlanmıştır. Sitede yer alan bilgiler hukuki danışmanlık niteliği taşımaz.

© 2026 Yusuf Kılıçkan. Tüm Hakları Saklıdır.