Açık Bankacılık Nedir?

Açık Bankacılık, müşteri izni ile müşterinin banka ve finansal hesaplarının üçüncü parti hizmet sağlayıcılarına erişim izninin ve kontrolünün verilmesidir. Birden çok hesabı tek bir ekranda görüntüleme ve yönetme olanağıyla kullanıcılarına kolaylık sunan bir hizmettir.

Açık bankacılık, bugüne kadar alışılagelmiş internet bankacılığı ve mobil bankacılıktan daha gelişmiş, kapsamlı ve detaylı bir hizmet sunar. Tabiatıyla, hizmet derinliği ve yoğunluğuna bağlı olarak, prosedürler artmaktadır.

Bu yazıda, dünyanın ve Türkiye’nin kullanmakta olduğu bu bankacılık sisteminin, hem diğer coğrafyalarda hem de Türkiye’de nasıl işlediğini, detaylarını ve en önemlisi güvenlik boyutunu ele alacağız.

Açık Bankacılık özetle, üçüncü parti hizmet sağlayıcılara kullanıcıların verdiği izin dahilinde finansal bilgilerinin aktarılmasıdır. İstenmeyen hiçbir veri paylaşılmaz, kullanıcının gizlilik hakkı tamamen korunur. Üçüncü parti hizmet sağlayıcıları, kullanıcı rızası ile paylaşılmış kişisel bilgileri, API – Uygulama Programlama Arayüzü(Application Programming Interface) güvenilirliği ile işler. API-Uygulama Programlama Arayüzü, iki uygulama arasında köprü görevi gören aracı bir yazılımdır. İşleyişi tamamen güvenlik ilkelerine dayanır. Kodlar ve kullanıcı bilgilerini gizli tutarak, üçüncü parti hizmet sağlayıcılarının bir diğer uygulamasında gerekli verilerin kullanılmasını sağlar.

Açık Bankacılık sistemi Birleşik Krallık’ta Rekabet ve Piyasalar Kurumu (CMA) tarafından Ocak 2018’de işleyişe girmiştir. 2019 Açık Bankacılık raporuna bakıldığında ülkelerin % 87’sinden fazlasının bir tür açık API’a sahip olduğu görüntüleniyor ve bu sistemin Birleşik Krallık sınırlarını aştığını anlıyoruz.

Açık Bankacılığın başlangıç aşamasından çıktığı OBEI(Açık Bankacılık Uygulama Kuruluşu), Ekim 2019’da 180 milyon başarılı API çağrısı görüldüğünü ve bu rakamın her ay 20-30 milyon artmakta olduğunu açıklamıştır. Açık Bankacılık ile ilgili yayınlanan istatistiklere göre bir diğer veri ise ortalama API kullanılırlığının Haziran 2018’de %96 iken Ekim 2019’da %98,48’e yükselmesidir.

Açık Bankacılığın çıkış yılı ve müteakip yıllarının istatistiklerini Birleşik Krallık özelinde incelemiş olsak da, istatistikler bizlere bu sistemin gelişmekte ve yayılmakta olduğunu gösteriyor.

Dünyada Açık Bankacılık

Açık Bankacılığın çıkış noktası Birleşik Krallık’dır ve bankacılık sektöründe yenileşimci bir hareket olmuştur. Finans sektöründe rekabeti ve fırsatları arttırmayı amaçlamıştır. Çıkışının ilk yıllarında küçük ölçekli firmalar tarafından güvenilirliği tartışılmıştır. Küçük İşletmeler Federasyonu (FSB), 1000’den fazla üyesiyle bir anket gerçekleştirmiştir ve küçük firmaların %65’inin elektronik bankacılık verilerini üçüncü hizmet sağlayıcıları ile paylaşmak istemediği sonucunu elde etmiştir. Ek olarak bu firmaların %43’ü bu veri paylaşım modelinin güvenli olmadığına inanırken, %37’si bu sistemin gerekli olup olmadığı konusunda düşünceli.

Görüldüğü üzere Açık Bankacılık konusunda çekinceler varsa da bu sistem yayılmaya devam ediyor ve Açık Bankacılığın başarısı sektörde her geçen gün daha çok kabul görüyor.

2015 yılında Avrupa Birliği’nin ilgili kurumlarına Açık Bankacılık sistemi sunulup konu ile ilgili bazı düzenlemeler yapılmıştır. Ödeme Hizmetleri Direktifi 2 (PSD2- Payment Services Directive 2) olarak sunulan bu yeni yönerge, yenişimci bankacılık sisteminin ilk adımlarını oluşturmuştur.

2016 Yılında Birleşik Krallık Açık Bankacılık modeline geçen ilk ülke oldu. Dokuz büyük banka, Açık Bankacılık Uygulama Kurumu (OBIE-Open Banking Implementation Entity) adı altında bir araya geldi.

Hindistan, Japonya, Singapur ve Güney Kore dahil olmak üzere birçok ülkede şu anda resmi veya zorunlu bir Açık Bankacılık sistemi bulunmamaktadır ancak Açık Bankacılık sisteminin gelişmesi için devlet projeleri ve çalışmalar sürmektedir. Örneklerden birkaçını açacak olursak;

Singapur Bankalar Birliği ve MAS (The Monetary Authority of Singapore), bankaların ve üçüncü parti hizmet sağlayıcılarının veri alışverişini ve iletişimini arttırmak adına API ile ilgili bir çalışma yayınlamıştır.
Japonya, her bir bankanın en az bir üçüncü hizmet sağlayıcısının olması yönünde teşviklerde bulunmuştur ve Açık Bankacılığın, bankacılık sistemlerine entegrasyonunun arttırılmasını hedef koymuştur.
ABD güncel olarak bu sisteme herhangi bir devlet desteği vermiyor ancak bu yeni sistemin gidişatını takip ederek taktiksel bir yaklaşımda bulunuyor.
Birleşik Krallık ve Avrupa için ilk hedef finans sektöründe rekabeti ve fırsatı arttırmak olmuşsa da, şu an bu sistem diğer ülkeler tarafından da ilgiyle karşılanmış, devlet desteği gören, gelişime açık bir sistem olarak görülmüştür.

Açık Bankacılık, yalnızca bankacılık ve finans sektörüyle sınırlı kalmayıp diğer sektörlerde de etkili bir kullanım alanı oluşturup, çok daha zengin bir hizmet ve ürün yelpazesinin temelini oluşturacak yeni bir veri paylaşım altyapısı oluşturmayı vaat ediyor.

Türkiye’de Açık Bankacılığın Güncel Durumu

On Birinci Kalkınma Planı (2019–2023), Temmuz 2019’da yayınlanmış olup Açık Bankacılığın hukuki temellerinin güçlü olması adına AB Ödeme Hizmetleri Direktifi 2’nin örnek alınacağı ve Direktif 2’ye uyum sağlanacağı belirtilmiştir. Ardından 2019 yılı sonunda, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun’da yapılan belirli değişiklerden sonra birer Açık Bankacılık hizmeti olan konsolide edilmiş bilgilerin sunulması hizmeti (“AISP”) yasal düzenlemeyle yürürlüğe girmiştir. Açık bankacılığın temelleri Türkiye’de 2018’de atılmış, 2019 yılında geliştirilmiş ve 2020 yılında da resmi gelişmeler sonuçlandırılarak ülkemizde kullanıma geçmiştir.

Açık Bankacılık kanuna aykırı olamayacağı gibi tüzüğe aykırı hükümleri de taşımaz. Yönetmeliğe göre Açık Bankacılık;

“Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebilecekleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak tanımlanmıştır.

Kimlik doğrulama hususunda alınan kararlardan bahsetmek gerekirse, bu noktada AB ödeme Hizmetleri Direktifi 2’den (PSD 2) ayrılıyoruz. PSD 2’de iki bileşenli kimlik doğrulama kullanılırken, bizim yönetmeliğimizde ilave tedbirler ve alınacak belirli güvenlik önlemleriyle tek bileşenli kimlik doğrulaması yapılabileceği ibaresi geçmiştir. Kısaca açıklamak gerekirse çalıştığınız bankada bulunan bilgileriniz bir diğer banka tarafından Açık Bankacılık hizmeti aracılığıyla kabul edilecektir veya belirli yöntemlerle uzaktan kimlik tespiti yapılabilecektir.

Açık Bankacılığa ilişkin daha detaylı bir düzenleme bulunmamakla birlikte bunu detaylandırma yetkisi Bankacılık Düzenleme ve Denetleme Kurulu’na aittir.

Yukarıda yer alan açıklamalar, Açık Bankacılığın resmi olarak kabul gördüğü, kayıtlara alındığı ve devlet denetiminde olduğunu bizlere gösteriyor.

Açık Bankacılığın Riskleri

Son dönemlerde internet korsanları, bilgisayarlarımıza sızan hackerlar ve kişisel bilgilerin web ortamında hacklenerek çalındığı yönünde birçok haberle karşılaşıyoruz. Bu tarz saldırılar yalnızca bireysel olarak kalmanın ötesinde büyük firmaların, hastanelerin hatta üniversitelerin bile başına geliyor. İnternet ortamının sunduğu kolaylıklar uçsuz bucaksızken, bünyesindeki riskler birçoğumuzu korkutuyor. Özellikle konumuz olan Açık Bankacılığı araştırırken, güvenilirlik ve risk yönlerini sorgulamak kaçınılmaz hale geliyor.

Yazımızın başlangıcında API-Uygulama Programlama Arayüzü(Application Programming Interface) olarak adlandırılan yardımcı yazılımdan bahsetmiştik kısaca. Bu yardımcı yazılım türü Açık Bankacılıkta da kullanılmaktadır. Şimdi sizler için bunu biraz daha açıp, Açık Bankacılığın sizlere nasıl bir güvenlik sunduğunun altını çizelim.

API (Application Programming Interface), bir uygulamanın, servisin ve/veya platformun (örn. Chrome, Firefox, HTML, macOS, Youtube, MailChimp…) sahip olduğu yeteneklere izin verilen sınırlandırmalar dahilinde dışarıdan erişilebilmesini sağlayan bir arayüzdür.

API olarak adlandırılan yazılım Açık Bankacılık sisteminde, banka ve üçüncü hizmet kişisi arasında veri alışverişini sağlar ve kişinin aleyhine kullanılabilecek verileri özellikle saklar ve karşı tarafa aktarmaz.

Açık Bankacılık müşterinin verdiği erişim izni dahilinde ilerler ve onayladığınız kadar veriniz paylaşılır. Paylaşılan veriler de API yazılımının koruması dahilinde işlenir. En büyük risk, kötü niyetli bir üçüncü parti hizmet sağlayıcısının bilgileri müşteri aleyhine kullanması olur fakat bu olayın yaşanma ihtimali oldukça düşüktür.

Açık Bankacılık sistemi hayata geçtiği birçok ülkede devlet destekli ilerlemekte ve yönetmeliklere dayanmaktadır. Günlük yaşamımızı giderek artan bir şekilde teknoloji etrafında kurduğumuz düşünülürse Açık Bankacılık sektörünün önünün bir hayli açık olduğunu söylemek mümkün. Bu sistem, kullanıcısına göz ardı edilemez bir pratiklik sunarken aynı zamanda belirli arayüz işlemcileri yardımıyla, kişisel verileri koruyarak, olası gizlilik ihlallerine sebebiyet vermeyen bir çalışma prensibi benimsemiştir. Yazımızda altını çizdiğimiz üzere güvenilirliği hala tartışılsa da finans sektörü tarafından beğeniyle kabul görmüş bir sistemdir. Açık Bankacılık sistemi müşterilere kazanç sağlarken, sistemin kullanıcısı olan banka ve Fintechler arasında bir rekabet ortamı oluşturmaktadır. Tarafların avantajlı çıkmasında da rekabet tutumu ve tarafların işbirliği önemli rol oynayacaktır.