Duyurular

BDDK Tarafından Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Genelge (2023/1) Yayımlanmıştır

Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından Elektronik Bankacılık Hizmetlerinde ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasında Kimlik Doğrulama ve İşlem Güvenliği için Sağlanması Gereken Kriterler Hakkında Genelge (2023/1) (“Genelge”), 27 Mart 2023 tarihinde, BDDK’nın resmî sitesinde yayımlanmıştır.

Söz konusu Genelge’ye göre:

  • Müşteriye atanmış ve özgülenmiş bir şifreleme gizli anahtarının kullanım alanları:
  1. Kimlik doğrulama,
  2. Yetkilendirme (işlem doğrulama)

işlemlerinden oluşmakta olup, hem internet bankacılığı dağıtım kanalı hem de bu dağıtım kanalının özelleşmiş bir hali olan mobil bankacılık dağıtım kanalında kimlik doğrulama ve yetkilendirme işlemlerinin gerçekleştirilebilmesi için “doğrulama kodu” üretilmesi ve bunun müşteriye özgü şifreleme gizli anahtarı ile imzalanması şart koşulmuştur.

  • Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliğin (“BSEBY”) 34’üncü maddesinin yedinci fıkrası ve 38’inci maddenin üçüncü fıkrası uyarınca, mobil bankacılık uygulamasının ilk kurulumu, aktifleştirilmesi, yeniden aktifleştirilmesi ya da uygulamanın kullanılamaz olması durumları haricinde, mobil bankacılık uygulamasını yükleyerek aktifleştirmiş olan müşterilere, oturum açma ya da oturumun devamında herhangi bir işlemin doğrulanması için hiçbir şekilde SMS ile OTP ya da “doğrulama kodu” gönderilmesi mümkün bulunmamakta olup, SMS ile yapılacak bu tür bildirimlere, yalnızca bu hükümlerde belirtilen istisnai durumlarda başvurulması ve bunun rutin bir uygulama haline getirilmemesi gerekmemektedir.
  • BSEBY’nin “inkâr edilemezlik ve sorumluluk atama” başlıklı 35’inci maddesine göre bankaların, sunmakta oldukları elektronik bankacılık hizmetleri kapsamında gerçekleştirilen işlemlerde hem kendileri hem de müşterileri için inkâr edilemezliği ve sorumluluk atamayı mümkün kılacak teknikler kullanmaları gerekmektedir.
  • BSEBY’nin 38’inci maddesinin üçüncü fıkrasına göre ise finansal sonuç doğuran işlemler için doğrulama kodlarının, işlemi gerçekleştirirken müşterinin onayladığı tutar ve alıcı bilgisine göre spesifik olması, tutar veya fonun aktarılacağı alıcı bilgisindeki herhangi bir değişiklik halinde bu bilgilere göre oluşturulmuş ilgili doğrulama kodunun da geçersiz hale gelmesi gerekmekte ve doğrulama kodlarının müşteriye atanmış bir şifreleme gizli anahtarı ile imzalanmış şekilde tek kullanımlık olarak üretilmesi gerekmektedir.
  • BSEBY’nin söz konusu hükümlerinden de anlaşılacağı üzere, müşterinin kendisine atanmış bir şifreleme gizli anahtarı ile doğrulama kodlarının imzalanması sağlansa bile BSEBY aynı zamanda bu imzalama işlemlerinin inkar edilemezlik ve sorumluluk atamayı mümkün kılacak teknikleri barındırmasını beklemekte, diğer bir değişle hem müşteriye atanan şifreleme gizli anahtarının güvenli bir şekilde müşteriye atanması ve müşteriye özgülenmiş olması sağlanarak yetkisiz kişilerce kullanılmasını engelleyecek önlemlerin tesis edilmesi, hem de müşteriye imzalatılan içeriğin gerçekten müşterinin görüp onayladığı içerik olmasının sağlanması gerekmektedir.
  • Kimlik doğrulama ve işlem imzalama amacıyla kullanılan, banka içi geliştirilen ya da satın alınan ürün ve hizmetlerin işbu Genelge ekinde yer verilen açıklamalara uygunluğunun sağlanması zorunludur.

Bahsi geçen Genelge’nin tam metnine buradan ulaşabilirsiniz.

Saygılarımızla,

Zümbül Hukuk ve Danışmanlık

info@zumbul.av.tr