Banka Müşteri Kabulü ve KYC Süreçlerinde ISO 18013-7 mDL'ler (2025)

Yıllardır, uzaktan banka müşteri kabulü süreçleri, kullanıcıların fiziksel bir kimliği veya ehliyeti taramasını gerektiren ve genellikle bir canlılık kontrolü veya canlı video görüşmesiyle birleştirilen zahmetli Müşterini Tanı (KYC) süreçlerine dayanıyordu. Bu yöntem oldukça karmaşıktır ve yapay zekâ tabanlı yeni güvenlik açıklarına maruz kalmaktadır.

Ancak büyük bir değişim yaşanıyor. Önümüzdeki birkaç yıl içinde, bu eski süreçlerin yerini güvenli, kullanıcı odaklı dijital kimlik bilgileri alacak. Bu dönüşümün merkezinde, farklı bölgelerde şimdiden yayılmaya başlayan mobil ehliyet (mDL) yer alıyor. ISO/IEC 18013-7 standardı, bu dijital kimliklerin çevrimiçi ortamda sunulması için güvenli bir çerçeve sağlayarak bu değişimin kilit noktasını oluşturuyor.

Dijital Kimlik Bilgileri API'si (2025): Chrome ve Safari hakkındaki önceki makalemizde daha geniş bir teknoloji yelpazesini ele almıştık. Bu analizde ise özellikle ISO 18013-7 uyumlu mDL'lerin bankacılıkta nasıl benimsendiğine odaklanacağız. Finans kurumlarının ilk pilot uygulamalardan canlı üretim sistemlerine nasıl geçtiğini anlamak için üç kilit pazardaki (Amerika Birleşik Devletleri, Avustralya ve Avrupa) mevcut erken durumu inceleyeceğiz.

ABD'de, uzaktan KYC için mobil ehliyetlerin benimsenmesi, devlet öncülüğündeki pilot uygulamalardan büyük finans kurumlarının somut uygulama planlarına doğru ilerliyor. Bir mDL'nin internet üzerinden güvenli bir şekilde sunulması protokolünü tanımlayan ISO/IEC 18013-7 standardının 7 Ekim 2024'te resmi olarak yayımlanması önemli bir dönüm noktası oldu.

2025'in ortası itibarıyla henüz hiçbir banka tam ölçekli bir çevrimiçi mDL ile müşteri kabul sürecini başlatmamış olsa da, temeller atılıyor. Önemli bir gelişme, Apple'ın WWDC 2025'te duyurduğu "Cüzdan ile Web'de Doğrula" özelliği ve Google'ın Chrome tarayıcısındaki benzer ilerlemelerdir. Bu özellik, kullanıcıların Apple Cüzdan veya Üçüncü Taraf Cüzdanlarda saklanan, eyalet tarafından verilmiş mDL'lerdeki doğrulanmış kimlik bilgilerini doğrudan web siteleriyle paylaşmalarına olanak tanıyacak. Bu da yaygın benimseme için önemli bir katalizör görevi görecek.

Aşağıda ABD'deki kilit girişimlerin bir özeti bulunmaktadır:

Apple'ın duyurusunda, finans kurumları U.S. Bank ve Chime ile Turo ve Uber Eats gibi diğer hizmetleri de içeren geniş bir lansman ortakları listesi yer aldı. Bu, 2025'in sonlarında müşterilerinin, fiziksel belgeleri yüklemek yerine bir iPhone'un dijital kimliğini kullanan ilk kişiler arasında olmasının beklendiğini gösteriyor. Girişim ayrıca Arizona, Georgia ve Maryland'deki eyalet motorlu taşıtlar daireleri tarafından da destekleniyor. Apple ekosisteminin ötesinde, ABD Ulusal Siber Güvenlik Mükemmeliyet Merkezi (NCCoE), çevrimiçi kimlik kanıtlama için mDL'lerin benimsenmesini hızlandırmak amacıyla bir referans mimarisi oluşturma projesine devam ediyor.

Avustralya, eyalet düzeyinde dijital sürücü belgelerinin (DDL) kullanıma sunulmasında küresel bir öncü olmuştur. Finansal düzenleyici kurum AUSTRAC, 2019 yılında bankaların bu dijital kimlikleri KYC amacıyla kabul etmesine onay vermişti. Ancak pazar, manuel çevrimiçi kontrollerden daha entegre dijital kimlik platformlarını keşfetmeye doğru bir geçiş aşamasında.

Birçok banka, çevrimiçi KYC için hâlâ klasik, zahmetli yönteme güveniyor: müşterilerden fiziksel ehliyetlerinin fotoğraflarını çekip yüklemelerini istemek ve bunu genellikle kullanıcının bir selfie veya kısa bir video çektiği "canlılık" kontrolüyle birleştirmek. Bunun ötesine geçen bazı kurumlar ise ara çözümler uygulamıştır. Örneğin, ANZ Bank'ın eVerify sistemi, müşterilerin Sürücü Belgesi Kart Numaralarını (DLCN) çevrimiçi olarak manuel girmelerine olanak tanıyarak sürecin bir kısmını dijitalleştiriyor. Bu numara daha sonra bir devlet veritabanına karşı kontrol ediliyor. Fotoğraf yüklemekten daha akıcı olsa da, bu henüz verilerin tek bir dokunuşla güvenli ve anında paylaşıldığı tam otomatik bir mDL doğrulaması anlamına gelmiyor.

Düzenleyici çerçeve mevcut olsa da, ISO 18013-7 tabanlı, sorunsuz ve API odaklı bir veri alışverişi henüz büyük bankalar arasında standart bir uygulama değil. Ulusal dijital kimlik çerçeveleri olgunlaştıkça ve daha fazla eyalet DDL'lerini gelecekteki bir çevrimiçi standartla tam uyumlu hale getirdikçe, sektör bu değişime hazır hale gelecektir.

ABD ve Avustralya'daki pazar odaklı benimsemenin aksine, Avrupa Birliği yukarıdan aşağıya bir "itme" stratejisi izliyor. eIDAS 2.0 olarak bilinen bir düzenleme aracılığıyla AB, tek ve birlikte çalışabilir bir dijital kimlik pazarının oluşturulmasını zorunlu kılıyor. Bu girişimin temel taşı, her üye devletin 2026/2027'ye kadar vatandaşlarına sunması gereken bir mobil uygulama olan AB Dijital Kimlik (EUDI) Cüzdanı'dır. Bu cüzdan, eğitim diplomaları, seyahat kartları ve profesyonel sertifikalar gibi çok çeşitli doğrulanmış dijital kimlik bilgilerini tutmak üzere tasarlanmıştır.

Bankacılık ve düzenlemeye tabi sektörler için cüzdan içindeki iki kimlik bilgisi ilgi çekicidir: resmi ulusal dijital kimlik görevi gören Kişisel Kimlik Verileri (PID) ve Mobil Sürücü Belgesi (mDL). Farklı işlevlere hizmet etseler de, her ikisinin de teknik mimarisi ISO standartları serisine dayanmaktadır. Bu da bu makalede ele alınan mDL formatını AB'nin kimlik çerçevesinin temel bir bileşeni haline getirmektedir. Cüzdan, bireylerin bu devlet onaylı nitelikleri bankalar ve diğer özel şirketlerle güvenli ve kullanıcı kontrollü bir şekilde paylaşmasına olanak tanıyacak.

Bu düzenleyici zorunluluk, 2023'te gerçek dünyadaki bankacılık ve ödeme kullanım senaryolarını test etmek için başlatılan birkaç Büyük Ölçekli Pilot (LSP) aracılığıyla aktif olarak tanımlanmaktadır. Bu pilotlar, büyük finans kurumları da dahil olmak üzere yüzlerce kamu ve özel kuruluşu içermektedir. Bankacılık gibi düzenlemeye tabi sektörler için katılım zorunludur. Düzenleme, bu kurumların 2027'ye kadar müşteri kimliği tespiti ve güçlü müşteri kimlik doğrulaması (SCA) için EUDI Cüzdanı'nı kabul etmelerini gerektirmektedir.

Aşağıda, Avrupa bankacılığında mDL ve dijital kimlik benimsenmesini yönlendiren kilit girişimlerin bir özeti bulunmaktadır:

Bu düzenleyici zorunluluk, yüksek güvenceli kimlik doğrulamasını etkili bir şekilde standart bir hizmet haline getirecektir. KYC gibi temel bir iş süreci, evrensel ve devlet destekli bir kamu hizmetine dönüştüğünde, rekabet odağı bir bankanın kimliği nasıl doğruladığından, o güvenilir kimlikle ne yaptığına kayacaktır. Anında kredi onayı veya sorunsuz sınır ötesi ödemeler gibi üstün hizmetler sunmak için doğrulanmış cüzdan niteliklerinden yararlanabilen bankalar avantaj elde edecektir. EUDI Cüzdanı sadece bir uyumluluk egzersizi değil; Avrupa'daki her finans kurumunu yeni nesil dijital bankacılığa hazırlanmaya zorlayan bir pazar değişimidir.

Müşterileri fiziksel belgeleri taramaya ve canlılık kontrolleri yapmaya zorlayan zahmetli KYC dönemi sona yaklaşıyor. Bu makalenin gösterdiği gibi, güvenli, tek dokunuşla dijital kimlik doğrulamasına geçiş hızla devam ediyor, ancak benimseme yolu dünya genelinde önemli ölçüde farklılık gösteriyor. Amerika Birleşik Devletleri'nde bu itici güç pazar odaklıdır ve Apple gibi teknoloji devleri, U.S. Bank ve Chime gibi ileri görüşlü bankalarla ortaklık kurmaktadır. Avustralya'da, ilerici bir düzenleyici ortam zemin hazırlamış olsa da, pazar manuel kontrollerden gerçekten entegre dijital kimlik ağlarına geçerken benimseme daha kademeli ilerliyor. Bu arada, Avrupa Birliği güçlü bir yukarıdan aşağıya zorunluluk stratejisi izleyerek tüm bankacılık sektörünü yasa gereği EUDI Cüzdanı'nı ve temelindeki ISO uyumlu kimlik bilgilerini benimsemeye zorluyor.

Bu farklı stratejilere rağmen, ortak bir teknik temel ortaya çıkıyor: ISO/IEC 18013-7 standardı. İster pazar talebi ister düzenleyici zorunluluk tarafından yönlendirilsin, bu standart kimliğimizi çevrimiçi ortamda nasıl güvenli bir şekilde paylaştığımızın küresel şablonu haline geliyor. Gidişat açık. 2025'in sonlarına ve 2026'ya doğru, ilk ISO uyumlu müşteri kabul akışlarının canlıya geçmesi, kullanıcı deneyimini dönüştürmesi ve kriptografik veri doğrulama yoluyla güvenliği artırması muhtemeldir. Sonuç olarak, ISO 18013-7'nin benimsenmesi, doğrulanmış kimliğin artık bir engel değil, güvenin sorunsuz bir sağlayıcısı olduğu daha güvenli, özel ve verimli bir dijital ekonomiye doğru küresel bir geçişi temsil etmektedir.