İstanbulkart’a biyometrik veriyle giriş durduruldu: ‘Doğru ama geç kalınmış bir değişiklik’

İstanbulkart uygulamasına artık parmak izi ve yüz tanıma sistemiyle giriş yapılamıyor. Uygulamayı doğru bulan uzmanlar ve hukukçular, İstanbulkart’ın ödeme aracına dönüşmüş olmasının, Merkez Bankası’nın kararlarına uymasını zorunlu kıldığını söyledi.

Cengiz Anıl BÖLÜKBAŞ

ANKARA - İstanbulkart Mobil uygulamasına biyometrik yüz tanıma ve parmak izi okuyucuyla giriş durduruldu. Değişikliğin doğru ama geç kalınmış bir karar olduğunu belirten uzman ve hukukçulara göre, daha güvenli ve rahat bir kimlik doğrulama sistemini konuşmamız gerekiyor.

İstanbulkart Mobil uygulamasına yakın zaman önce yapılan güncellemenin ardından yeni sürümde, “Yasal gereklilik nedeniyle parmak izi ve yüz tanıma ile uygulamaya giriş durduruldu” ifadeleri yer aldı.

Yeni uygulama için 1 Aralık 2021 tarihli Resmi Gazete’de yer alan Merkez Bankası kararı gerekçe gösteriliyor. Kararda, “Kuruluşun mobil uygulamasının kontrolünde olmayıp cihaz üreticisi kontrolünde olan parola, PIN ya da biyometrik veriler, bu fıkra kapsamında güçlü kimlik doğrulama unsurları olarak kullanılamaz” deniliyor.

Alınan karar çoğu yerli ödeme sistemlerini de kapsıyor. Karar ile yaşanan bazı sorunlara karşı giriş güvenliğinin artırılması hedefleniyor.

SABANCI: ÖDEME ARACINA DÖNÜŞMÜŞ OLMASI DEĞİŞİKLİĞİ ZORUNLU KILIYOR

Yazar ve teknolojist Ahmet Alphan Sabancı, Merkez Bankası'nın bu konuda almış olduğu kararın genel olarak geçmiş ve mevcut dijital bankacılık sistemlerinin ve uygulamalarının durumu gözetilerek alınmış bir karar olduğunu anlattı.

Sabancı: Ödeme araçlarında Merkez Bankası kararlarına uyulması zorunlu.

Bu tür dijital sistemlerden hesap doğrulamayla ilgili sadece kendinizin sahip olduğu verileri talep etmelerini istemenin hem sistemin hem de kullanıcıların güvenliği açısından mantıklı bir yaklaşım olduğunu belirten Sabancı "İstanbulkart’ın da mevcut haliyle bir ödeme aracına dönüşmüş olması, Merkez Bankası’nın bu konudaki kararlarına uymasını zorunlu kılıyor. O yüzden de böyle bir değişiklik yapmak zorunda kalmaları, mevcut yasal düzenlemeler çerçevesinde gayet doğal bir sonuç” dedi.

‘TEKNİK GELİŞMELERLE DEĞİŞİKLİĞE GİDİLEBİLİR’

Geçmişten bu yana biyometrik kimlik doğrulama yöntemlerinin sıkıntıları bu tür bir karar alınmasına sebep olmuş olsa da günümüzde biyometrik veriler ve onların güvenliği konusunda daha iyi durumda olduğumuzu ifade eden Sabancı, şunları söyledi:

"Üstelik kullandığımız cihazların sistem güvenliği açısından geldiği nokta da genel olarak bu verilerin daha güvenli tutulmasını sağlıyor. İlerleyen dönemlerde bu teknik gelişmeler ışığında Merkez Bankası da kararında bir değişikliğe gidebilir.”

'PASSKEY TEKNOLOJİSİNİ KONUŞMAMIZ GEREKECEK'

"Ayrıca son dönemde parolaların yerine daha hızlı ve kullanımı kolay bir alternatif olarak yaygınlaşan passkey teknolojisini de konuşmamız gerekecek” diyen Sabancı, hem normal parolalardan daha güvenli hem de kullanımı kolay bir alternatif olan bu teknolojinin giderek yaygınlaştığını aktardı. Sabancı, “Merkez Bankası eğer bunun önünü açarsa biyometrik verilere gerek kalmadan daha güvenli ve rahat bir kimlik doğrulama sistemine de geçmemiz mümkün” diye konuştu.

‘BİYOMETRİK VERİLER ÖZEL NİTELİKLİ VERİ SAYILIYOR’

İstanbul Büyükşehir Belediyesi'nin (İBB) yasal zorunluluk nedeniyle, parmak izi ve yüz tanıma aracılığıyla sisteme girişi durdurmasının iyi bir adım olduğunu anlatan Bilişim Hukukçusu Avukat Faruk Çayır, bu bilgilerin, Kişisel Verileri Koruma Kurumu'ndan (KVKK) kaynaklı özel nitelikli kişisel veri sayıldığına işaret etti.

Avukat Çayır: Biyometrik veriler KVKK kapsamında özel nitelik olarak tanımlanıyor.

Bu verilerin açık rıza olmadan işlenemeyeceğini vurgulayan Çayır, “Herhangi bir toplu taşıma kullanmak adına olan bu uygulamalar ile bahsettiğimiz kişisel verilerin kullanılmasının bir alakası yok. İBB kullanıcıları bu uygulamayı yüklediğinde açık rıza almıyor. Google Play Store’un aldığı bir izin olabilir. Ancak bu doğrudan İstanbulKart’ın hangi verileri kaydettiğine ilişkin bir açık rıza alındığı anlamına gelmiyor” dedi.

‘VERİLERİN GÜVENLİĞİ İBB’YE AİT’

Biyometrik verilerin KVKK kapsamında özel nitelik olarak tanımlanmasının kişilerin ayrımcılığa maruz kalmaması, sağlık bilgilerine erişilmemesi, kötü niyetli kişilerin eline geçtiğinde ciddi zararlar görmemesi için yapıldığının altını çizen Çayır, şu soruları yöneltti:

“Bu verilerin güvenliğine dair gerekli önlemlerin alınması İBB’ye ait. İBB bu konuda ne gibi önlemler alıyor? Ne gibi gizlikliler sağlıyor? Bu soruların cevaplarını bilmiyoruz. Tabii uygulama için üçüncü parti şirketle çalışıyor olabilirler. Ancak bu İBB’nin sorumluluğunu kaldırmaz. Dolayısıyla bunlardan kaynaklı yapılan değişiklik ve iyileştirme iyi bir adım. Daha önceden bunu yapması gerekirdi. Geç kalınmış ancak doğru bir uygulama.”