Visa / Natalie Kelly: Ödemelerin güvenliği için 5 yılda 10 milyar dolar yatırım yaptık

VOLKAN AKI

Ödeme sistemlerinin öncü kuruluşu Visa, siber güvenlik alanına verdiği önemi yüksek bütçeli yatırım programlarıyla ortaya koyuyor. Son 5 yılda 10 milyar dolarlık yatırımın gerçekleştirildiği siber güvenlik, Visa’nın yeni teknolojiler ve finteck işbirlikleriyle daha da hassasiyet göstereceği sahaların başında geliyor. Avrupa Visa Risk Yönetiminden Sorumlu Başkanı Natalie Kelly ile bu alanı da içine alan, Türkiye pazarını da kapsayan bir görüşme gerçekleştirdik.

Visa’da üstlendiğiniz sorumluluk ve risk tanımınız ile başlayabiliriz. Bundan 10 yıl, 20 yıl önce plastik kartlardan ve bu kartların güvenliğinden bahsediyorduk, ama şimdi yapay zekadan ve diğer birçok farklı konudan bahsediyoruz. Buradan yola çıkacak olursak, yapay zeka dünyasında risk konusundaki fikriniz nedir?

Her şeyden önce, zamanlama harika oldu, çünkü Visa’nın Türkiye’deki 40. yılını kutlamak üzere buradayım. Bu röportaj için ve Visa’nın Türkiye’ye olan uzun soluklu bağlılığını aktarmak için mükemmel bir zamanlama. Benim iki ayrı sorumluluğum var. Birincisi, Avrupa’da Visa’nın güvenliğini, yani risk yönetimi uygulamalarımızın çok iyi düzeyde olmasını sağlamak. İşimin daha ilgi çekici olan yönü ise ödeme sistemleri ekosistemini korumak, yani fintech’lerin, yerel şemaların, Visa ağlarının ve bunlar arasındaki her bir unsurun güvenli olduğundan emin olmak. Dolandırıcılık ve dolandırıcılarla ilgili konular da bu kapsamda. Ekosistemin güvenliğine yatırım yapmak işimin bir parçası. Visa olarak siber güvenlik teknolojilerine, kendimizi ve müşterilerimizi dolandırıcılardan koruyacak teknolojilere, son beş yılda 10 milyar dolar yatırım yaptık. Ayrıca operasyonel dayanıklılık da odaklandığım konular arasında. Yani tüketicilerin güven altında olmasını sağlamak için çalışıyorum. Eğer müşterilerimizin sisteminde bir sorun olursa, onların yerine devreye girebilmemizi ve hizmetin kesintisiz sürmesini sağlayacak sistemlerimiz var. Dayanıklılık bakımından çok geniş bir yelpazede yetkinliklere sahibiz. Ve dünyanın nereye gittiğine bakarak küresel eğilimleri yerel pazarlarla paylaşabiliyoruz. Burada da konu sahtecilerin izlediği yöntemlerle ilgili bilgi sahibi olmak, sahtecilik oranları ve ekosistemde değişen dinamikler. Tüm bunlar işimin biraz daha renkli ve ilginç olan ikinci kısmını oluşturuyor.

Sizce şirketle ve tüketiciler açısından finans dünyasındaki en büyük risk nedir?

Az önce ödeme sistemlerinin gelişim yolculuğundan bahsettiniz. Bence tüketiciler günümüzde her zamankinden daha fazla hedef alınıyor. Çipli kartlardan başlayıp günümüzde temassız işlemlerden geçen yolda fiziksel yüz yüze ödemeleri güvence altına aldık. Daha sonra e-ticaret işlemleriyle dolandırıcılık online dünyaya yayıldı. Visa olarak e-ticaret alanını tokenizasyon gibi teknolojilerle güvenli kılıyoruz. Sahteciler şimdi de zincirin en zayıf halkası gördükleri tüketicileri doğrudan hedef alarak çeşitli dolandırıcılık yöntemleriyle paralarını bir hesaptan diğerine transfer etmelerini sağlamaya çalışıyorlar. Örneğin, kendilerini devlet memuru ya da polis olarak tanıtarak insanları kandırıp para istiyorlar. Veya “Babacığım, telefonum kırıldı, bana yardım için acil para gönder” gibi cümlelerle deep fake yöntemleri ile çocuklarının sesini taklit ediyorlar. Bu tip sosyal mühendislik yöntemleri tüketici seviyesinde gerçekleşiyor. Öyle ki müşterilerimiz bize “Visa, kart tarafını koruma altına almada çok başarılısınız, banka hesapları tarafının korunmasında da bize yardımcı olun” diyorlar. Bizim de finans kurumlarının ve onların kanalıyla da tüketicinin korunmasına destek vermek için işimizi genişlettiğimiz ve büyüttüğümüz alan burası. Yapay zekadan bahsettiniz, yapay zeka ile neyin gerçek neyin sahte olduğunu ayırt etmek gerçekten zor. Sürekli olarak dark web’deki suçluları ve dolandırıcıları inceleyen, yapay zekayı nasıl kullandıklarını, tedarikçi ve satıcılara nasıl entegre olduklarını ve nasıl bu kadar hızlı saldırı gerçekleştirebildiklerini anlamaya çalışan bir tehdit istihbarat ekibimiz var. Çünkü bu durum sadece tüketici tarafında artmakla kalmıyor, aynı zamanda sosyal medyayı kullandıklarını da görmeye başlıyoruz..

“HER ŞEY KİMLİKLE İLGİLİ OLACAK”

Ödemelerin geleceğiyle ilgili senaryonuz nedir? Gelecekte çeşitli teknolojilerin nasıl bir yapı oluşturacağını düşünüyorsunuz?

Bence her şey kimlikle ilgili olacak. Telefonlarımızda parmak izi biyometrisinden retina taramaları ve yüz tanıma teknolojileri gibi doğrulama yöntemlerine geçtik. Ödeme sistemlerinin geleceğinde de “ben gerçek bir insanım” demenin yolu bu olacak. Üzerinde çok çalıştığımız konulardan biri de deep fake, deep fake yönteminin kimlik doğrulama alanında nasıl bir etkisi olacağı ve bizim bu alanı en iyi nasıl koruma altına alacağımız. Muhtemelen Hong Kong’daki olayı duymuşsunuzdur; bir finans hizmetleri yetkilisi bir Zoom görüşmesine katılıyor. Finans müdürü de dahil olmak üzere tüm Zoom görüşmesi katılımcıları deep fake ile taklit edilmiş. Kendisine 25 milyon dolar gibi bir parayı yeni bir şirkete yatırım yapmak için bir hesaba göndermesini söylemişler. Ve bütün telekonferans aslında bir dolandırıcılıkmış. Dolandırıcıların deep fake konusunda daha zekice davrandığını görmeye başlıyoruz. Dolayısıyla şu anda bizim odağımızda biyometrik veya yüz tanıma ile işlem yapan sıradan tüketiciyi nasıl koruyabileceğimiz ve bu işlemleri nasıl daha güvenli hale getirebileceğimiz var.

■ "EKOSİSTEME HİZMET EDEN FINTECH'LER RADARIMIZDA"

Dijital dönüşüm ile tüm sektörler bir değişimden geçiyor, Visa benzeri şirketler de… Visa’nın mevcut ortamda ve gelecekteki rolünü nasıl değerlendiriyorsunuz?

Son 18 ila 24 ay içinde öğrendiğimiz şeylerden biri, ödeme ekosisteminde yer alacaksak, en güvenli ödeme yöntemi olmayı istediğimizdir. Tüketicilerin, “Visa logosunu gördüğüm her yerde, kartım, sanal cüzdanım veya sanal bir işyerinin ödeme adımında bu logonun güvenlikle eşanlamlı olduğunu biliyorum” diyebilmelerini istiyoruz. İş dayanıklılığı odağımızdaki temel konulardan biri. Bunu sağlamak, güvenlik ve dayanıklılığımızı en üst düzeyde korumak için dünya geneline dağılmış veri merkezleri ve uydu teknolojisini kullanıyoruz. Sistemlerimiz son 16 yıldır kesintisiz çalışıyoruz ve her işlem %99.999 oranında süreklilik ile işleniyor; bu gerçekten olağanüstü yüksek bir oran. Bir işlemi, milisaniyelerle ölçülen 500 farklı işlem parametreye bakarak en verimli şekilde yönlendirmek için 27 farklı yolumuz var. İşte bu noktada marka olarak öne çıktığımızı düşünüyoruz.

Yeni güvenlik sistemlerine, yapay zekaya ve yeni teknolojiler geliştiren startup’lara yatırım yapıyor musunuz?

Son 10 yılda yapay zeka teknolojisine 3 milyar dolar yatırım yaptık. Aynı zamanda geçtiğimiz Ekim ayında üretken yapay zeka girşimlerine yatırım yapmaya yönelik 100 milyon dolarlık yeni bir fon ile ticaretin ve ödemelerin geleceğini üretken yapay zeka teknolojilerini kullanarak şekillendirecek yeni nesil çözümler üzerine çalışan girişimlere yatırım yapacağımızı duyurmuştuk. Mümkün olan en ileri teknolojilere sahip olmak istiyoruz. Size içeride yapay zekayı nasıl kullandığımızı anlatabilirim, çok hızlı ve verimli. Bugün birçok şirket yapay zeka ile verimlilik elde etmeye odaklanıyor, biz de yapay zekayı ekosistemi korumak için nasıl kullanacağımızı araştırıyoruz. Bir risk operasyon merkezi kurduk ve müşterilerimizin güvenlik açıklarını tespit etmeye çalışıyoruz. Bu finansal kurumların herhangi biri içeriden bir tehdide maruz kalabilir, bu içeriden işlerine yapılan bir saldırıdır. Bunu fark etmeyebilirler bile, mesela birileri gelip “Gece yarısından sonra ATM’lerden para çekimlerine yanıtı Hayır’dan Evet’e çevirelim” diyebilir. Bunu yaptıklarında, dolandırıcılar gece yarısından sonra ATM’lere gidip para çekebilirler ve bankalar bunu kendileri bile fark etmeyebilirler çünkü içeriden yapılan bir işlem. İşte biz kurduğumuz bu risk operasyon merkezleri ile bu tip anormallikleri tespit edebiliyoruz. Ve bunu yapay zekayı kullanarak yapıyoruz, böylelikle dolandırıcıların büyük bir işe girişmeden önce kart işlemlerini ne zaman test ettiklerini görmeye başlayabiliyoruz. Dolandırıcıların nasıl düşündüğünü öğrenmek için üretken yapay zeka kullanıyoruz, böylelikle daha onlar harekete geçmeden şüpheli işlemleri durdurabiliyoruz.

Biraz da Türkiye pazarına değinmek istiyorum. Türkiye, ödeme sistemlerinde bankacılık ve finans sistemlerinde oldukça iyi düzeyde, teknolojiye ise epey yatırım yapıyoruz. Türkiye’deki ödeme sistemleri hakkında ne düşünüyorsunuz?

Dilerseniz önce Avrupa’dan başlayıp sonra Türkiye’ye geleyim. Avrupa’da genel anlamda kimlik doğrulama altyapımız güçlü ve dolandırıcılık oranımız da oldukça düşük. Özellikle kartlı ödemeler tarafında gördüğümüz tablo bu şekilde. Öte yandan suç faaliyetlerinin yıldan yıla %32 oranında arttığını görüyoruz. Buna karşın dünya genelinde GSYİH sadece %5 oranında büyüyor. Yani, küresel yatırımlarımızdan ve yerel yatırımlarımızdan bahsettiğimizde, aslında hepsi bu suç faaliyetlerinden gelen sahteciliği durdurmaya yönelik. Türkiye’nin sahip olduğu korumaları düşündüğümde, bence burası ödeme sistemleri konusunda çok gelişmiş bir pazar. Küresel olarak, her ülke risk altında, çünkü sadece yerel bir pazara bakıp 'Bu sadece Türkiye'de oluyor' diyemezsiniz. Siber suç küresel bir olgu ve buna küresel olarak yaklaşmak gerekiyor. Bizim rolümüz 40 yıldır olduğu gibi şimdi de Türkiye’deki tüketicilerin bu tür tehditlere karşı güvende olmalarına yardımcı olmak. Aksi takdirde, işin sadece küçük bir parçasına bakarsınız, oysa her şey birbirine bağlı. Türkiye’deki büyüyen ödeme ekosistemine bizim getirdiğimiz bakış açısı bu diye düşünüyorum.

Türkiye’de Ar-Ge’ye veya startup’lara yatırım yapmayı planlıyor musunuz?

Bence Türkiye’de yapabileceğimiz pek çok şey var ve bu finansal kurumlarımız ve partnerlerimizin, getirdiğimiz yetkinlikleri nasıl değerlendirmek istediklerine de bağlı. Biz fintech’lerle her gün çalışıyoruz, onları ağımıza dahil ediyoruz ve gelecekte hangi teknolojilerin ödeme ekosistemi için faydalı olacağını belirleyip onlara yatırım yapıyoruz ve ekosistemimize alıyoruz. Ödeme sistemleriyle ilgilenen fintech’ler için hızlı bir iş birliği süreci yürütüyoruz. Yani hem fintech’lerle hem büyük finans kurumlarıyla hem de ikisinin arasında kalanlarla çalışıyoruz çünkü dediğim gibi, para hareket ediyorsa ve farklı finansal kurumlar parayı farklı şekillerde hareket ettirmek istiyorsa, en güvenli ödeme yöntemi olarak bizimle çalışmak istediklerinden emin olmak istiyoruz. Bu aynı zamanda nihai tüketicileri de koruyacaktır, çünkü bir tüketici olarak ben de nasıl ödeme yapacağım konusunda bir seçeneğim olsun isterim; biz de bu seçeneği, hangi yöntemle olursa olsun onlara sunabilmeyi istiyoruz. Bunun yanı sıra, Türkiye’de 2019’dan beri yürüttüğümüz Visa Avrupa İnovasyon Programı isimli bir programımız bulunuyor. Her yıl, ödeme çözümleri üreten belli sayıda fintech’i bu platform ile hızlandırıyoruz. Onları Türkiye’de ve yurt dışındaki üye bankalarımızla bir araya getiriyoruz. Böylece geliştirdikleri çözümlerin daha hızlı ticarileşmesine olanak sağlarken, yurt dışına açılarak diğer pazarlarda Visa’nın iş ortaklarıyla da doğrudan buluşturuyoruz. Programdan şu ana kadar 26 mezun verdik ve halen süregelen 6. dönemde 5 fintech daha programa devam ediyor.

■ BLOCKCHAIN’İN SİBER GÜVENLİK İÇİN ANLAMI

Güvenlik programlarına yatırım yaptığınızdan bahsettiniz. Blockchain’in güvenlik açısından çok güçlü ve gelecek vaat eden bir çözüm olduğu söyleniyor. Siz ne düşünüyorsunuz?

 Para hareketinin olduğu her yerde Visa’nın da olacağını ve bu hareketleri nasıl güven altına alabileceğimizi bulmak için gereken her şeyi yapacağımızı varsayabilirsiniz. Ve tüm bu tehditlerin geldiği dark web’de neler olup bittiğini düşündüğünüzde, yapay zekayı kullanan dolandırıcılar olduğunu görüyorsunuz. Bildiğimiz internette Chat GPT’ye sahibiz. Onların ise dark web’de “Worm GPT” dedikleri bir şey var. Yani, kötü niyetli herhangi bir şey düşünün, ister hesaptan hesaba transferler konusunda ister kripto ve blockchain konusunda olsun, nasıl hackleyip proaktif olarak saldıracaklarını Google’da arama yapar gibi bulabilirler. Diğer bir ilginç nokta ise Visa sistemleri üzerinden para kazanmaya çalışmaktan büyük ölçüde vazgeçtiklerini görüyor olmamız. Yani Visa olarak tüketiciler için ödeme yapmanın ve almanın en iyi yolu olarak öne çıkarken, dolandırıcılar için ödeme almanın en kötü yoluyuz. Fiziksel kartlar, sanal kartlar, hesaptan hesaba işlemler, blokchain gibi tüm para hareketlerinin peşinden bir yandan düzenlemeler gelir ve bir yandan da sahtecilik faaliyetleri bu para hareketlerini takip eder. İşte bu nedenle, dolandırıcılar ne yaparlarsa yapsınlar biz Visa’nın onlardan bir adım önde olmasını sağlıyoruz.

Bildiğimiz şekliyle ödeme sistemleri gelecekte var olacak mı? Siz ne düşünüyorsunuz?

Benim gördüğüm kadarıyla dünya genelinde düzenleyiciler hızlı ödemeleri yavaşlatma eğiliminde. Mesela Avustralya’da regülatör hızlı ödemeleri dört gün yavaşlatmayı talep etti. Bu alanın dolandırıcılık faaliyetleri için bir büyüme alanı haline gelmesini istemiyorlar. Son aylarda Birleşik Krallık’ta da hızlı ödemelerin yavaşlatılması talep edildi. İşlemleri yavaşlattığınızda gerekli kontrollerin yapılmasını teminat altına almanız mümkün. Mesela kartları düşünecek olursanız, cüzdanınızda bir Visa kartınız vardır diye umuyorum, bu kartı kullandığınızda müşteri olarak, başka biri sizin adınıza sahte bir işlem yaptıysa bunun bedelini sizin ödememeniz garanti altındadır. Ancak hesaptan hesaba para transferlerinde bu korumalar yok. Biri hızla para gönderdiğinde onu koruyacak bir sistem bulunmuyor. Biz de “Visa Protect” adını verdiğimiz çözümle hesaptan hesaba transferlerde dolandırıcılığa karşı Visa koruması sağlıyoruz.

Yapay zekayı burada nasıl bir fonksiyon olarak kullanıyorsunuz?

Özünde yapay zeka yardımıyla kart işlemlerini ve banka hesabı para hareketlerini risk penceresinden puanlıyoruz. Visa 30 yıl önce ödemelerde yapay zekayı devreye alarak bu alanın öncüsü. Visa Advanced Authorisation isimli ödeme işlemlerinin onaylanmasına ilişkin çözümümüz ile Visa kartınızı her kullandığınızda o işlemde 500 farklı parametre üzerinden 7 milisaniyenin altında bir sürede risk puanlaması yaparak işlemi sizin mi yapıp yapmadığınızı ve bir sahtecilik riski olup olmadığını anlayabiliyoruz. Dolayısıyla eğer daha önce hiç kumar oynamadıysanız ve kumar ile ilgili bir işlem yaparsanız, kartınızı veren kuruluşa bir mesaj gönderiyor ve “Bu işlemi onaylamak istemeyebilirsiniz, çünkü bu kişi daha önce hiç kumar işlemi yapmamıştı” diyoruz. Şimdi bu uzmanlığımızı banka hesapları arasındaki para transferleri alanında da devreye almayı istiyoruz, çünkü kişiler kartla öderken farklı, banka hesaplarından para transfer ederken farklı davranıyorlar. Biz ise her iki işlem türünü aynı kıstaslarla risk değerlendirmesinden geçirmek istiyoruz, çünkü her ikisi de para hareketiyle ilgili. Bu risk skorunu yedi milisaniyenin altında oluştururken, tüm işlem özelliklerine bakarken, işlemi de yavaşlatmamak için çalışıyoruz, çünkü tüketiciler parasını kullanırken hızlı hizmet bekliyor. Ama aynı zamanda farkında olmadan dolandırılmadıklarından da emin olmak istiyorlar. Ödemenin güvenli bir ortamda gerçekleştiğinden ve tüketicinin iradesi dışında bir şey yapmadığından emin olmak istiyoruz. Bu nedenle, kartı veren kuruluş için bu risk puanlarını oluşturmak, onlara “Evet, bu işlemi Natalie gerçekleştirdi” veya “Hayır bu Natalie değildi” diyebilme şansını veriyor ve bu da gerçekten önemli. İşte biz de bu yönde ilerliyoruz. Dolayısıyla, daha hızlı ödeme biçimleri geliştirmek mümkün, ancak biz bunu güven altına almak ve tüketicilere gerçekten iyi bir deneyim sunmak istiyoruz.