Dış Teyitte Güven: Belgeye mi, Kanala mı?
Üretken yapay zekâ, kusursuz görünen sahte belgenin maliyetini neredeyse sıfıra indirdi. Dış teyidin gücü neden artık belgenin biçiminde değil, kanalın doğrulanabilirliğinde aranmalı — ve bu altyapıyı kim kurmalı?
Henüz başıma gelmedi. Ama geçen gün şunu düşündüm: elime kusursuz görünen bir teyit gelse, onun gerçekten o kurumdan geldiğini neyle ispatlardım? Antet yerinde, imza tanıdık, IBAN doğru olabilir. Bu işaretler bir zamanlar güvenin kanıtıydı. Bugün ise taklit edilmesi en kolay ayrıntılar.
Standardın söylediği: güç kaynaktan gelir
Bağımsız denetimin belkemiği dış teyittir. BDS 505'in mantığı net: bir kanıt, üçüncü taraftan doğrudan denetçiye ulaştığı için güvenilirdir. BDS 500 de kanıtın güvenilirliğini kaynağına ve elde ediliş biçimine bağlar. Yani teyidi değerli kılan, kâğıdın güzelliği değil; bağımsız bir kaynaktan, denetçinin kontrol ettiği bir kanaldan gelmesidir.
Bu mantık yalnızca banka mutabakatı için geçerli değil. Aynı ilke beyannamelere, SGK bildirgelerine, araç ruhsatlarına, tapu kayıtlarına, müşteri ve tedarikçi mutabakatlarına da uzanır. Hepsinde aynı soru var: bu belge gerçekten kaynağından mı geldi, yoksa yalnızca öyle mi görünüyor?
Bir de sessiz bir gereklilik var: BDS 230. Çalışma kâğıdı, başka bir deneyimli denetçinin işi yeniden izleyebileceği şekilde belgelenmeli. Kaynağı doğrulanmamış bir teyit, bu yeniden-izlenebilirlik testini baştan kaybeder.
Güncel kırılma: sahteciliğin maliyeti sıfıra indi
Üretken yapay zekâ tam da bu zinciri hedef alıyor. Sahte antetli belgenin, ıslak görünümlü imzanın, hatta ses ve görüntünün üretim maliyeti son dönemde neredeyse sıfıra indi. "Resmî görünen" bir belge, artık müşterinin bir modele birkaç saniyede ürettirdiği bir taklit olabilir. BDS 240'ın hile riski, kâğıdın içinden çıkıp kanalın içine taşındı.
Peki bugün güvendiğimiz kanallar sağlam mı? Pek değil. Banka mutabakatını örnek alalım. Denetçiler güvenli teyit portalları kurmaya çalışıyor; ancak bankalar, tek tek denetim şirketlerinin sistemlerine pek güvenmiyor. Sonuçta yine e-postaya dönülüyor. Bunu kendi uygulamalarımızda da görüyoruz.
Oysa "bankadan geldiğini" düşündüğümüz e-posta da teknik olarak taklit edilebilir. Gönderen adresi bürünülebilir, alan adı benzeri kurulabilir, içerik kusursuz yazılabilir. Gerçeğine ulaşmak çoğu zaman e-posta başlığının analizini, SPF, DKIM ve DMARC kayıtlarının kontrolünü ister. Bu, denetim ekiplerinin büyük kısmının gündelik pratiğinde yer almayan bir teknik bilgi. Yani en çok güvendiğimiz kanal bile, doğrulanmadığında bir varsayımdan ibaret.
İşin ironisi burada. Teknoloji bu kadar ilerlerken, güvenli ve ortak bir dijital kanal bulamadığımız için bizi yeniden şubeye, kâğıt mutabakat kovalamaya geri itiyor. Dijitalleşme vaadiyle başlayan süreç, güven açığı yüzünden analog bir refleksle sonuçlanıyor.
Türkiye'de tablo: parçalar var, sistem yok
İyi haber, doğrulanmış kanalın mümkün olduğunu gösteren örneklerimiz var. Web Tapu'da bir QR kod ile tapu kaydını doğrudan kaynağından doğrulayabiliyoruz. e-Devlet, İnteraktif Vergi Dairesi, SGK'nın elektronik servisleri; hepsi kaynaktan doğrulama imkânı sunuyor. Açık bankacılık altyapısı da ülkede mevcut.
Kötü haber, denetim pratiğinde bu kaynakları çoğu zaman atlıyoruz. Beyannameyi, SGK bildirgesini, ruhsatı hâlâ büyük ölçüde müşteri elinden, PDF olarak alıyoruz ve kaynağından ayrı doğrulamıyoruz. Parçalar duruyor; ama denetçiyi kaynak veriyle buluşturan bütünleşik bir teyit sistemi yok.
Bunu bir sistem meselesi olarak görüyorum. Güven açığının asıl nedeni, tarafların birbirinin kanalına güvenmemesi: banka denetçinin portalına, denetçi müşterinin PDF'ine güvenmiyor. Bu kısır döngüyü ancak kimliği doğrulanmış, tarafsız bir teyit altyapısı kırar — kurumların verisi (GİB, SGK, Tapu, bankalar) ile denetçi arasında ortak, doğrulanabilir bir köprü.
Bunu kim kurmalı: KGK mı, meslek mi?
"Bunu KGK yapsın" denebilir. Ben aynı fikirde değilim. KGK'nın elinde zaten standart yayınlama, sicil tutma ve yaptırım uygulama mekanizmaları var. Operasyonel bir teyit altyapısını da kuruma yıkmak, onu gereğinden fazla yükler ve düzenleyici kimliğini bulandırır. Bir kurumun hem altyapıyı işletip hem de o altyapıyı denetlemesi, rol karmaşası yaratır. KGK'nın işi çerçeveyi ve yaptırımı koymak; sistemi gün gün işletmek değil.
Operasyonel, tarafsız işletici masa meslek örgütüdür. TÜRMOB; bankacılık otoriteleri, kamu kurumları ve meslek arasında bu standardı tanımlayacak doğru konumda. Mesleğin güvenini taşıyan, kamuyla muhatap olabilen ve tek bir denetim şirketinin ticari çıkarından bağımsız bir aktör. Düzenleyici çerçeve KGK'da kalır; köprüyü meslek kurar ve işletir.
O gün gelene kadar: pratik tavır
Altyapı kurulana kadar sorumluluk denetçide. Birkaç ilke işi bugünden sağlamlaştırır:
- Her dış belgeyi kaynağın doğrulanmış kanalından teyit edin: e-Devlet, İnteraktif Vergi Dairesi, SGK servisleri, banka portalı, Web Tapu QR.
- Müşteri kanalından gelen PDF'i ve sıradan e-postayı tek başına dış teyit saymayın. Bunlar başlangıç noktası olabilir; kanıt değil.
- E-posta tek seçenekse, gönderenin teknik gerçekliğini doğrulatın: başlık, alan adı ve SPF/DKIM kontrolü çalışma kâğıdına eklensin.
- Kullandığınız doğrulama kanalını çalışma kâğıdında belgeleyin ki BDS 230'un yeniden-izlenebilirlik testi sağlansın.
Bunlar bir bürodan çok, bir sistemin alışkanlıkları. İtimat Global'de kurduğumuz akışlarda da ilke aynı: veriyi kaynağına en yakın, doğrulanabilir noktadan al; aradaki her elin bir risk olduğunu varsay.
Yapay zekâ sahte belge üretmeyi ücretsiz hâle getirdiyse, gerçeğin kanıtını da sistemle korumak zorundayız. Asıl soru şu: dış teyit için tarafsız bir dijital altyapıyı biz mi kuracağız, yoksa teknoloji çağında kâğıt kovalamaya devam mı edeceğiz?