PSR Sonrası APP Fraud: İletişim Kanıtı Neden Artık Önemli?
Eren Bahadir Pehlivan, ADORASEC Kurucusu
Haziran 2026
Birleşik Krallık’ın yetkilendirilmiş ödeme dolandırıcılığına yaklaşımı değişti.
Yıllar boyunca kamuoyundaki tartışmanın önemli bir kısmı, suçlular tarafından kandırılarak para gönderen mağdurların zararının karşılanıp karşılanmaması gerektiği üzerine kuruldu. Bu soru hâlâ önemlidir. Ancak PSR reimbursement çerçevesinin yürürlüğe girmesiyle birlikte kurumların kaçınmasının zorlaştığı başka bir soru daha ortaya çıktı:
Zarar meydana gelmeden önce müşteriye gönderilen iletişimlere dair kurum hangi kanıtı gösterebilir?
2024 yılında Birleşik Krallık’ta APP fraud kayıpları hâlâ çok yüksek seviyedeydi; UK Finance, bu kayıpları 450,7 milyon sterlin olarak raporladı. Ekim 2024’te yürürlüğe giren PSR reimbursement çerçevesi ise önleme, kanıt ve kurumsal hesap verebilirlik konularını birbirine çok daha yakın hale getirdi.
Bu yalnızca bir geri ödeme meselesi değildir.
Bu bir iletişim meselesidir.
Bu bir tüketici anlama meselesidir.
Bu bir operasyonel kanıt meselesidir.
Bir müşteri sahte bir talimatla hareket etmeye ikna edildiğinde, kurumun yalnızca işlemin kendisini anlaması yeterli olmayabilir. Müşteriye ne söylendiğini, nasıl uyarıldığını, bu uyarının anlamlı olup olmadığını ve müşterinin güvenilir bir yanıt kanalı olup olmadığını anlaması gerekebilir.
İletişim katmanı burada önem kazanmaya başlar.
Reimbursement risk konuşmasını değiştirdi
PSR reimbursement çerçevesi tüketici korumasını güçlendirmek için tasarlandı ve bu haklı bir amaçtır. APP fraud, özellikle suçlular güveni, aciliyeti, kırılganlığı veya kurum taklidini istismar ettiğinde yıkıcı sonuçlar doğurabilir.
Ama reimbursement aynı zamanda kurumsal risk konuşmasını da değiştirir.
Bir kurum artık yalnızca işlem aşamasında dolandırıcılığı tespit etmeyi veya zarar sonrasında müşteriye geri ödeme yapmayı düşünemez. Transferden önce ne olduğunun kalitesini ve kanıtını da değerlendirmek zorundadır.
Müşteri iletişimi açık mıydı?
Müşterinin güvenebileceği bir kanaldan mı gönderildi?
Etkileşim veya etkileşimsizlik kanıtı var mıydı?
Müşteriye mesajı veya talimatı doğrulaması için daha güvenli bir yol sunuldu mu?
Bu sorular dolandırıcılık önleme, müşteri iletişimi, operasyonel kontroller ve kanıtın kesişim noktasında durur.
PSR sonrası ortamda önleme ve kanıt artık ayrı konuşmalar değildir.
“Mesaj gönderdik” sorunu
Birçok kurum bir mesaj gönderdiğini kanıtlayabilir.
Bu, anlamlı koruma sağlandığını kanıtlamakla aynı şey değildir.
SMS üzerinden gönderilen bir mesaj, sağlayıcı tarafından teknik olarak teslim edilmiş görünebilir. Ama kurum müşterinin mesajı okuyup okumadığını, anlayıp anlamadığını, güvenip güvenmediğini veya yok sayıp saymadığını hâlâ bilmeyebilir.
Müşteri, gerçek kurumlar ve dolandırıcılar tarafından gönderilmiş benzer mesajlar almış olabilir. Mesaj gece geç saatte, stres anında veya sağlıklı karar vermenin zor olduğu bir zamanda gelmiş olabilir. Aciliyet, uyarı veya talimat dili kullanmış olabilir; yani dolandırıcıların istismar ettiği davranış kalıplarına benzeyebilir.
Bu zor bir problem yaratır.
Bir banka, dolandırıcıların bankaları taklit etmek için kullandığı aynı tür kanaldan uyarı gönderdiğinde, uyarı teknik olarak gerçek olabilir ama davranışsal olarak kafa karıştırıcı olabilir.
Mesele kurumların müşterileri uyarmaması değildir. Uyarmalıdırlar.
Mesele, doğrulanamayan bir kanaldan uyarı göndermenin yeterli sayılıp sayılamayacağıdır.
Müşteri tarafından güvenli biçimde doğrulanamayan bir uyarı zayıf bir koruma biçimidir. Güvenilir bir okundu veya yanıt kaydı üretmeyen bir uyarı da zayıf bir kanıt biçimidir.
Consumer Duty iletişim sorusunu daha keskin hale getiriyor
FCA Consumer Duty, tüketicinin anlamasına ve iyi müşteri sonuçlarına önem verir. Pratikte bu, iletişimin bir kutucuk işaretleme faaliyeti olarak görülemeyeceği anlamına gelir.
Bir kurum yalnızca bilginin gönderilip gönderilmediğini sormamalıdır. Bu iletişimin müşterinin bilinçli bir karar vermesini destekleyip desteklemediğini de sormalıdır.
Bu, dolandırıcılık bağlamında özellikle önemlidir.
Acil bir mesaj teknik olarak müşteriyi uyarabilir; ama aynı zamanda dolandırıcıların kullandığı davranış kalıbını da pekiştirebilir: hemen harekete geç, bu gönderici adına güven, hızlı yanıt ver, durup düşünme.
Daha güçlü bir iletişim modeli bu kafa karışıklığını azaltmalıdır.
Seçilmiş yüksek güven gerektiren mesajlar için kurumların, kullanıcının göndereni doğrulanmış olarak tanıyabildiği, kurumun teslimat ve okunma bilgisini kaydedebildiği ve müşterinin kontrollü bir ortamda yanıt verebildiği bir yola ihtiyacı vardır.
Bu yalnızca teknik bir iyileştirme değildir.
Bu, tüketicinin anlamasını destekleyen bir iyileştirmedir.
Doğrulanmış iletişim katmanı neyi değiştirir?
Doğrulanmış bir kurumdan kullanıcıya iletişim katmanı kanıt modelini değiştirir.
Yüksek güven gerektiren bir mesajı taklit edilebilir bir kanaldan gönderip müşterinin bunu doğru yorumlamasını ummak yerine, doğrulanmış bir yol kurumlara kayıtlı kullanıcılara kontrollü biçimde ulaşma ve sonrasında ne olduğunu kaydetme imkânı verebilir.
Pratikte bu, mesajın onaylı bir kurum tarafından oluşturulması, kontrollü bir teslimat katmanı üzerinden yönlendirilmesi ve özel bir kullanıcı uygulamasında alınması anlamına gelir. Müşteri kurumu, mesajı ve varsa yanıt seçeneklerini tek yerde görür. Yanıt gerekiyorsa basit bir dokunuşla kaydedilebilir.
Amaç kullanıcı deneyimini ağırlaştırmak değildir.
Amaç güvenilir eylemi daha basit hale getirmektir.
Kırılgan, yaşlı veya teknik bilgi seviyesi düşük kullanıcılar için bu önemlidir. Anlaşılması zor bir güvenli sistem, en çok korunması gereken kişileri koruyamaz. Kullanıcı deneyimi alışkanlık haline gelebilecek kadar basit olmalıdır:
Önemli kurumsal mesajlar, doğrulanamayan SMS üzerinden hareket edilerek değil, doğrulanmış bir yerde kontrol edilmelidir.
Daha iyi bir sistem kullanıcılardan dolandırıcılık analisti olmalarını istememelidir.
Onlara daha güvenli bir varsayılan yol sunmalıdır.
SMS kanıtı neden sınırlıdır?
SMS tanıdık, düşük sürtünmeli ve yaygın olduğu için hâlâ faydalıdır.
Ama SMS kurumsal güven veya denetlenebilirlik sağlamak için tasarlanmamıştır.
Ekranda görünen göndericinin gerçek olduğunu güvenilir biçimde kanıtlamaz. Tam bir okundu kaydı sağlamaz. Yapılandırılmış yanıt kanıtı üretmez. Kullanıcıya yüksek güven gerektiren mesajları doğrulayabileceği tutarlı ve güvenli bir yer sunmaz. Benzer dil, aciliyet ve gönderici görünümü kullanılarak suçlular tarafından taklit edilebilir.
Bu, SMS’in hiçbir rolü olmadığı anlamına gelmez.
Bu, impersonation riski, müşteri kırılganlığı veya kanıt ihtiyacı yüksek olan mesajlarda SMS’in tek yol olmaması gerektiği anlamına gelir.
PSR sonrası bu ayrım daha önemlidir.
Bir kurum SMS gönderdiğini gösterebilir. Ama bu daha önemli soruyu cevaplamayabilir:
Müşteri daha güvenli bir karar vermesini destekleyen açık, güvenilir ve denetlenebilir bir iletişim aldı mı?
Sessizlik de bir sinyal olabilir
İletişim kanıtının en çok gözden kaçan parçalarından biri yanıtsızlıktır.
Bir müşteri önemli bir bildirimi okumuyor veya yanıtlamıyorsa, bu görünmez olmamalıdır. Müşterinin ulaşılamaz, ilgisiz, kafası karışmış, kırılgan veya risk altında olabileceğine işaret edebilir. Ayrıca bir sürecin ek kontroller yapılmadan devam etmemesi gerektiğini de gösterebilir.
Sıradan SMS iletişiminde sessizlik çoğu zaman bilgi yokluğu olarak görülür.
Doğrulanmış bir iletişim katmanında ise sessizlik operasyonel kanıta dönüşebilir.
Yanıtsızlık, kurumun duraklatma, başka bir kanala yönelme, ek doğrulama isteme veya müşterinin uyarıyı anladığını varsaymama kararını destekleyebilir.
İletişim kanıtı burada yalnızca kayıt olmaktan çıkar.
Risk sinyaline dönüşür.
Daha iyi kanıt nasıl görünmeli?
Daha güçlü bir kurumsal iletişim katmanı mesaj seviyesinde kanıt üretmelidir.
Her ilgili bildirim için kurum; doğrulanmış göndericiyi, mesaj içeriğini, alıcı referansını, gönderim zamanını, teslimat durumunu, okundu durumunu, yanıt durumunu, seçilen yanıtı, yanıtsızlık bilgisini ve teslimat, okuma ve yanıt arasındaki süreyi gösterebilmelidir.
Bu tür bir kayıt dolandırıcılığı ortadan kaldırmaz. Sorumlu hiçbir sistem böyle bir iddiada bulunmamalıdır.
Ama kanıt pozisyonunu değiştirir. Kurumlara müşteri iletişimine dair daha açık bir kayıt verir ve kullanıcılara doğrulanamayan SMS’e bağlı kalmaması gereken mesajlar için daha güvenli bir yol sunar.
Ayrıca kurumların birbirinden çok farklı üç durumu ayırt etmesine imkân tanır:
Mesajı alan ve anlayan müşteri.
Mesajı alan ama yanıtlamayan müşteri.
Mesajla anlamlı biçimde hiç etkileşime geçmemiş olabilecek müşteri.
Bu ayrımlar önemlidir.
Dolandırıcılığı önleme için önemlidir.
Müşteri desteği için önemlidir.
Denetlenebilirlik için önemlidir.
Tüketici koruması için önemlidir.
Eksik kanıt katmanı
APP fraud yalnızca bir işlem problemi değildir. Çoğu zaman bir ikna problemidir.
Bu ikna, ödeme talimatından önce, bir iletişim kanalının içinde başlar. Eğer o kanal göndereni doğrulayamıyor, okunmayı güvenilir biçimde kanıtlayamıyor ve yapılandırılmış yanıt kaydı oluşturamıyorsa, kurum önleme resminin önemli bir parçasını kaçırıyor demektir.
Dolandırıcılığı önlemenin bir sonraki aşaması yalnızca şunu sormamalıdır:
Dolandırıcılığı tespit ettik mi?
Şunu da sormalıdır:
Müşterinin güvenle değerlendirebileceği bir şekilde iletişim kurduk mu ve bu iletişimi kanıtlayabiliyor muyuz?
İletişim kanıtı artık bu yüzden önemlidir.
PSR sonrası ortamda kurumların uyarılardan fazlasına ihtiyacı vardır. Güvenilir kanallara, açık kullanıcı davranışına ve zarar meydana gelmeden önce ne olduğunu gösteren kayıtlara ihtiyaçları vardır.
ADORASEC, seçilmiş yüksek güven gerektiren mesajlarda doğrulanamayan SMS’e bağımlılığı azaltmak için doğrulanmış bir kurumdan kullanıcıya iletişim katmanı geliştiriyor. Sistem, doğrulanmış kurumsal bildirimleri, teslim edildi / okundu / yanıtlandı kanıtını ve kullanıcıya basit güven sinyalleri sunmayı hedefler.
Kurumsal görüşmeler, politika çalışmaları veya pilot değerlendirmeleri için: adorasec.com