PSD2 ve Passkeys: PSD2 Uyumlu ve Phishing'e Dayanıklı MFA

Dijital bankacılıkta güvenlik ve kullanıcı deneyimi artık birbiriyle çelişmek zorunda değil. Passkey'ler, bu iki faktörü birleştirerek PSD2 ve SCA gereklilikleriyle uyumlu, phishing'e dayanıklı bir MFA sunuyor. Passkey'ler, finansal hizmetler genelinde uygulanabilecek en güvenli ve en kullanıcı dostu kimlik doğrulama yöntemidir. Bu ileriye dönük adım, bankacılık sektörünün Avrupa bankacılık sektörünün güvenliğini ve rekabet gücünü artırmak için tasarlanmış bir düzenleyici çerçeve olan Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2)'ni uygulama mücadelesi verdiği kritik bir zamanda geliyor.

Passkey'ler bu bağlamda sadece bir uyumluluk çözümü olarak değil, aynı zamanda PSD2'nin katı gerekliliklerini kullanıcı deneyiminden (UX) ödün vermeden karşılama vaadiyle büyük bir inovasyon olarak ortaya çıkıyor. Bu blog yazısında, PSD2'nin ve Güçlü Müşteri Kimlik Doğrulaması (SCA) zorunluluğunun inceliklerini analiz ediyoruz: Passkey'lerin bankacılıkta phishing'e dayanıklı MFA'nın geleceğini temsil ettiği açıkça görülüyor.

PSD2, Avrupa Birliği tarafından Avrupa'daki ödeme hizmetleri ve bankacılık ortamında devrim yaratmak amacıyla sunulan bir yasal düzenlemedir. Temel hedefleri, dijital ödemeler alanında rekabeti artırmak, tüketiciyi korumak ve inovasyonu teşvik etmektir. Müşterinin onayıyla onaylı üçüncü taraflara müşteri finansal bilgilerine açık erişim zorunluluğu getirerek, PSD2 daha entegre, verimli ve kullanıcı dostu bir finansal ekosistemin yolunu açar. Ancak, büyük güç büyük sorumluluk getirir ve PSD2 bu konuyu özellikle kimlik doğrulama protokolleri aracılığıyla güvenliğe odaklanarak ele alır.

PSD2'nin güvenlik önlemlerinin merkezinde, dolandırıcılığı büyük ölçüde azaltmak ve elektronik ödemelerin güvenliğini artırmak için tasarlanmış bir protokol olan Güçlü Müşteri Kimlik Doğrulaması (SCA) gerekliliği yer alır. SCA, elektronik ödemelerin sadece sorunsuz değil, aynı zamanda çeşitli tehditlere dayanacak kadar güvenli olması gerektiği ilkesi üzerine kuruludur. Bu kimlik doğrulama çerçevesi, PSD2 kapsamında faaliyet gösteren ödeme hizmeti sağlayıcıları, bankalar ve elektronik ödeme ağ geçitleri için zorunludur.

PSD2 kapsamındaki SCA uygulaması, birkaç kritik gereklilikle tanımlanır:

Kimlik doğrulama, aşağıdaki kategorilerden en az iki unsuru içermelidir:

• Bilgi: Parola veya PIN gibi sadece kullanıcının bildiği bir şey.
• Sahiplik: Mobil cihaz, akıllı kart veya donanım token'ı gibi sadece kullanıcının sahip olduğu bir şey.
• Biyometrik özellik: Parmak izi, yüz tanıma veya ses desenleri gibi kullanıcıya özgü biyometrik tanımlayıcılar.

Her işlem için, işlemin tutar ve alıcının hesap numarası gibi özel ayrıntılarını dinamik olarak bağlayan benzersiz bir kimlik doğrulama kodu oluşturulmalıdır.

Kullanıcıların online bankacılık hizmetlerine erişimi sürdürmek için genellikle her 90 günde bir yeniden kimlik doğrulaması yapmaları gerekir. Ancak bu gereklilik, güvenlik ve kolaylık arasındaki dengeyi optimize etmek için revize edilmiştir.

SCA, tüm elektronik işlemlere uygulanmalı ve kimlik doğrulamanın tutara ve alıcıya özgü olmasını sağlayarak her işlem için benzersiz bir imza oluşturmalıdır.

Ödeme hizmeti sağlayıcıları, SCA'yı uygulamak için risk bazlı bir yaklaşım kullanmalıdır. Bu yaklaşımda, daha düşük riskli işlemler, güvenliği tehlikeye atmadan ödeme sürecini kolaylaştırmak için SCA'dan muaf tutulabilir (burada passkey'lerle olan bağlantıyı şimdiden fark ettiniz mi?).

Tüm kimlik doğrulama süreci izlenebilir ve denetlenebilir olmalı, SCA gerekliliklerine uyumu kanıtlamak için kayıtlar tutulmalıdır.

SCA'yı getirerek, PSD2 bankacılık sektöründeki işlem güvenliği standardını önemli ölçüde yükseltmiştir. Aşağıda, Çok Faktörlü Kimlik Doğrulama (MFA) ile ilgili farklı faktörlere odaklanacağız. Bu faktörlerin İşleme Özgü Kimlik Doğrulama gerekliliği üzerinde de etkisi vardır (daha fazlasını aşağıda okuyun).

Devamında, bankacılık sektöründeki kimlik doğrulamanın farklı evrim aşamalarını sunacağız.

Bankacılık sektöründeki kimlik doğrulama yolculuğu, Kişisel Kimlik Numaraları (PIN'ler) ve İşlem Onay Numaraları (TAN'lar) kullanımıyla başladı. Müşteriler, her biri işlem doğrulaması için bir kez kullanılacak bir TAN listesi alırdı. Bu yöntem, o zamanlar devrim niteliğinde olsa da, TAN listelerinin çalınması veya kötüye kullanılması gibi dezavantajları vardı.

Teknoloji ilerledikçe, bankalar TAN'ların oluşturulup müşterinin mobil cihazına SMS yoluyla gönderildiği elektronik TAN'lar (eTAN'lar) ve mobil TAN'lar (mTAN'lar)'ı tanıttı. Bu yöntem, TAN'ı cihaza bağlayarak güvenliği artırdı, ancak aynı zamanda SMS'in ele geçirilmesi riski ve bu mesajları bekleyip yönetme zahmeti gibi yeni zayıflıklar da getirdi. Passkey'lerin tanıtımına kadar, SMS OTP'ler hala kullanıcı deneyimi açısından bankacılık için mevcut en rahat 2FA seçeneği olarak kabul ediliyordu.

Güvenliği daha da artırmak için bankalar, kimlik doğrulama için benzersiz kodlar üreten akıllı kartlar ve token cihazları benimsedi. Bu donanım tabanlı çözümler daha yüksek bir güvenlik seviyesi sunuyordu ancak aynı zamanda ek bir cihaz taşımak zorunda olan müşteriler için karmaşıklık ve rahatsızlık da ekliyordu.

Bankacılık kimlik doğrulamasındaki en son evrim, biyometri (parmak izi veya yüz tanıma) ve yerleşik güvenlik özelliklerine sahip mobil bankacılık uygulamalarını içerir. Bu yöntemler, kullanıcının benzersiz biyolojik özelliklerinden ve akıllı telefonların yaygınlığından yararlanarak güvenlik ile kolaylığı dengelemeyi amaçladı. Ancak, bunlar aynı zamanda müşterilerin kullandığı her banka için ayrı ayrı bir uygulama indirme ve kurma sürecinden geçmesini gerektirir.

Bu ilerlemelere rağmen, müşteriler mevcut bankacılık kimlik doğrulama yöntemleriyle hala önemli rahatsızlıklar ve hayal kırıklıkları yaşıyor ve dolandırıcıların hedefi olma riskiyle karşı karşıya kalıyorlar:

• Karmaşıklık ve Rahatsızlık: Birden fazla kimlik doğrulama adımının katmanlanması, güvenlik için bir artış olsa da, genellikle kullanıcılar için zahmetli bir sürece dönüşür. Bu karmaşıklık sadece küçük bir rahatsızlık değil; müşterileri dijital bankacılık hizmetlerini kullanmaktan caydırabilir ve dijital dönüşümün amacını baltalayabilir.
• Cihaz ve Platform Bağımlılığı: Mobil ve biyometrik kimlik doğrulamaya geçiş, kullanıcıları cihazlarına sıkı sıkıya bağlar. Bu bağımlılık, hırsızlık durumunda kırılgan bir bağlantı oluşturur. Ayrıca, teknik arızalar bankacılık hizmetlerini erişilemez hale getirerek müşterileri çaresiz bırakabilir.
• Phishing Zafiyetleri: İlerlemelere rağmen, kimlik doğrulama faktörlerinin phishing'e açık olması, SCA tarafından ele alınmayan bir zafiyettir. PIN, parola, SMS OTP'leri, e-posta OTP'leri gibi geleneksel faktörler, sofistike phishing şemalarıyla ele geçirilebilir ve müşteri verilerini ve finansmanını riske atabilir.

Bugüne kadar, özellikle geleneksel bankalar, müşterilerini önemli phishing riski konusunda uyarmaya devam ediyor.

Bir sonraki bölümde, bunun gerçek bir örnekle nasıl çalıştığını açıklayacağız.

Phishing saldırıları, hassas finansal bilgilere yetkisiz erişim sağlamak için insan psikolojisini (sosyal mühendislik) ve teknolojik zafiyetleri sömürerek uzun süredir bankacılık sektörünün güvenliği için önemli bir tehdit olmuştur. Bankalar kimlik doğrulama yöntemlerini geliştirdikçe, dolandırıcılar da güvenlik önlemlerini atlatmak için sofistike şemalar geliştirerek adapte olmuşlardır. Phishing'in nasıl çalıştığını, özellikle bu yaygın olarak kullanılan kimlik doğrulama yöntemleri bağlamında anlamak, passkey'ler gibi phishing'e karşı dayanıklı kimlik doğrulama çözümlerine olan aciliyeti fark etmek için çok önemlidir.

Özünde phishing, bireyleri bankalarından gelen meşru bir iletişim kisvesi altında giriş bilgileri veya finansal bilgiler gibi hassas bilgileri ifşa etmeleri için kandırmayı içerir. Bu genellikle aşağıdaki adımlarla gerçekleştirilir:

1. Başlatma: Dolandırıcılar, güvenilir görünen logolar ve dillerle resmi banka iletişimlerini taklit eden mesajlar (genellikle e-posta veya SMS yoluyla) gönderir. Bu mesajlar genellikle bir sorunu çözmek veya hesap kapanmasını önlemek için acil eylem gerektiği iddiasıyla bir aciliyet hissi yaratır.
2. Aldatma: Mesaj, bankanın resmi online bankacılık portalına çok benzeyen sahte bir web sitesine bir bağlantı içerir. Aldatmacadan habersiz olan kurban, bankasının meşru web sitesine eriştiğine inandırılır.
3. Ele Geçirme: Phishing sitesine girdikten sonra, kurbandan PIN'i gibi kimlik doğrulama bilgilerini girmesi veya SMS ile gönderilen bir OTP ile bir işlemi onaylaması istenir. Bankasıyla etkileşimde olduğuna inanan kurban, isteğe uyar ve farkında olmadan kimlik bilgilerini saldırganlara teslim eder.
4. Sömürü: Bu bilgilerle donanmış olan dolandırıcılar, kurbanın banka hesabına erişebilir, yetkisiz işlemler yapabilir veya kimlik hırsızlığı yapabilir.

Bir Deutsche Bank müşterisinin hesabının devre dışı bırakılacağı konusunda uyaran bir SMS aldığını düşünün. Mesaj, müşterinin kimliğini doğrulamak için bir web sitesine bağlantı içerir ve URL'de deutschebank kelimesi ile eşleşen bir SSL sertifikası bulunur. Bu site, Deutsche Bank'ın giriş sayfasının birebir kopyasıdır (aşağıdaki ekran görüntülerinde görebileceğiniz gibi) ve müşteriden online bankacılık PIN'ini ve ardından gerçek zamanlı olarak bir SMS OTP'si girmesini ister (güvenlik nedenleriyle ekran görüntülerinde görünmez). Müşteri, bu bilgileri phishing sitesine girmenin, saldırganların Deutsche Bank hesabına tam erişim sağlamasına ve potansiyel olarak büyük meblağlarda parayı başka hesaplara transfer etmesine olanak tanıdığından habersizdir.

Bu, banka hesabına yeniden erişim sağlama istemiyle gelen phishing SMS'idir (yalnızca Almanca ekran görüntüleri mevcuttur):

Bu, saldırganların phishing web sitesidir (https://deutschebank-hilfe.info):

Bu, saldırganların neredeyse mükemmel bir şekilde kopyaladığı orijinal web sitesidir (https://meine.deutsche-bank.de) (sadece alttaki phishing uyarısını dışarıda bırakmışlar):

Bu aynı kullanıcı arayüzü üzerinden giriş yapmaya ve kimlik doğrulama faktörü olarak SMS OTP kullanmaya alışkın olan müşteriler, bu tür saldırıların kolayca kurbanı olabilirler. Güvenlik araştırma amacıyla OAuth veya bankacılık sistemlerini hedef alan phishing saldırılarına odaklanmak için tasarlanmış önemli bir açık kaynaklı yazılım paketi ekosistemi bulunmaktadır (örneğin, https://github.com/gophish/gophish). Ancak, bu sistemler kötü niyetli amaçlar için kolayca uyarlanabilir.

Bankacılık sektöründeki phishing, karanlık ağdaki her veri sızıntısıyla daha da hassas hale geliyor. Genellikle, IBAN gibi ödeme bilgileri de bu sızıntıların bir parçasıdır. Bu bilgiler doğrudan para çalmak için kullanılamasa da, saldırganın hedefin gerçekten bankanın bir müşterisi olduğunu bildiği hedefli phishing (spear-phishing) yaklaşımlarında kullanılabilir.

Yukarıdaki senaryodaki kritik kusur, kimlik doğrulama faktörlerinin phishing'e açık olmasında yatmaktadır: hem PIN hem de SMS OTP, sahte bahanelerle müşteriden kolayca istenebilir. Bu zafiyet, sosyal mühendislik veya phishing saldırıları yoluyla ele geçirilemeyen kimlik doğrulama yöntemlerinin gerekliliğini vurgulamaktadır.

Passkey'ler tarafından sağlananlar gibi phishing'e karşı dayanıklı kimlik doğrulama faktörleri, bu tür şemalara karşı sağlam bir savunma sunar. Passkey'ler, ifşa edilebilecek, bir kullanıcıdan kandırılarak alınabilecek veya ele geçirilebilecek paylaşılan sırlara dayanmadığından, güvenlik ortamını temelden değiştirirler. Passkey'ler ile kimlik doğrulama süreci, dolandırıcılar tarafından kopyalanamayan kriptografik bir kimlik kanıtı içerir ve bu da phishing'deki en yaygın saldırı vektörünü ortadan kaldırır.

Phishing tehditlerine etkili bir şekilde karşı koymak için, bankacılık sektörü aşağıdakileri içeren çok yönlü bir yaklaşım benimsemelidir:

1. Müşterileri Eğitmek: Bankalar, müşterilerini sürekli olarak phishing riskleri ve sahte iletişimi nasıl tanıyacakları konusunda bilgilendirmelidir.
2. Phishing'e Karşı Dayanıklı Kimlik Doğrulama Uygulamak: İstenerek veya ele geçirilerek alınabilecek bilgilere dayanmayan kimlik doğrulama yöntemlerine geçiş yapmak, böylece birçok phishing girişiminin kapısını kapatmak.
3. Dolandırıcılık Tespit Sistemlerini Geliştirmek: Dolandırıcılar bir tür kimlik doğrulama verisi elde etse bile, yetkisiz işlemleri tespit etmek ve önlemek için gelişmiş analitik ve makine öğrenimi kullanmak.

Phishing, bankacılık sektörü için önemli bir tehdit olmaya devam etse de, passkey'ler gibi phishing'e karşı dayanıklı kimlik doğrulama yöntemlerinin benimsenmesi, online bankacılığı dolandırıcılara karşı güvence altına almada kritik bir adımı temsil etmektedir. En zayıf halkayı, yani kimlik doğrulama faktörlerinin phishing'e açıklığını ortadan kaldırarak, bankalar müşterilerinin varlıklarının ve kişisel bilgilerinin güvenliğini önemli ölçüde artırabilir.

Bugüne kadar, Avrupa Merkez Bankası ve yerel bankacılık denetim otoriteleri (örneğin, BaFin), passkey'lerin bir bütün olarak 2FA olarak sınıflandırılıp sınıflandırılmayacağı veya bankaların bunları nasıl kullanması gerektiği konusunda bir tutum sergilememiştir.

Bir sonraki bölümde, passkey'lerin neden PSD2 uyumlu olduğuna inandığımızı açıklamayı amaçlıyoruz.

Ödeme, fintech ve bankacılık sektörlerinden paydaşlarla yapılan görüşmelerde tekrarlanan bir soru ortaya çıkıyor: Passkey'ler PSD2 uyumlu mu ve bankacılık senaryolarında tek kimlik doğrulama şekli olarak hizmet edebilirler mi? Passkey'ler ile Avrupa Birliği'ndeki Revize Edilmiş Ödeme Hizmetleri Direktifi (PSD2) arasındaki ilişki inceliklidir ve ayrıntılı bir inceleme gerektirir. Açıklamak gerekirse, passkey'ler genellikle iki türe ayrılır: Senkronize Passkey'ler (Çoklu Cihaz) ve Senkronize Olmayan Passkey'ler (Tek Cihaz), her birinin PSD2 uyumluluğu konusunda farklı özellikleri vardır:

Uyumluluğa bağlı kalmak, bankalar ve sigorta şirketleri gibi düzenlemeye tabi kuruluşlar için çok önemlidir. Ancak, uyumluluk politikalarının değişmesi uzun zaman alabilir. Passkey'ler söz konusu olduğunda, en büyük güvenlik avantajı phishing'e karşı dayanıklı olmalarıdır, çünkü müşteriler bu bilgiyi istemeden saldırganlara ifşa edemezler.

Passkey'ler phishing'e karşı dayanıklı olarak güvenliği önemli ölçüde artırırken, riskin bir kısmını müşterinin Apple iCloud Keychain gibi bulut hesabına kaydırırlar. Bu, bulut hesabını saldırganlar için daha çekici bir hedef haline getirir. Ancak, Apple iCloud gibi hizmetler, özellikle passkey'leri destekleyen özellikler için sağlam güvenlik önlemlerine sahiptir.

İlk olarak, iCloud passkey'leri, hesabınızda iki faktörlü kimlik doğrulamanın (2FA) etkinleştirilmesine bağlıdır ve bu da ek bir güvenlik katmanı ekler. Bu, bir saldırgan müşterinin iCloud şifresini bilse bile, 2FA kodunu almak için hala güvenilir bir cihaza veya telefon numarasına erişmesi gerekeceği anlamına gelir.

Apple ve benzer şekilde Google, hesapları için bu bulut hizmetlerini güvence altına almak için önemli kaynaklar yatırır. Bulutta passkey'leri destekleyen hesaplar için güvenlik protokolleri titizdir ve yetkisiz kullanıcıların sızmasını neredeyse imkansız hale getirir. Bu yüksek güvenlik standardı, sürekli güncellemeler ve güvenlik yamaları ile korunur (ve ayrıca hesapları için passkey'leri tanıttılar, bkz. bu blog yazısı).

Üstelik, cihazların veya bulut hesaplarının çalınması potansiyel bir risk olsa da, bankacılık uygulamaları için en yaygın saldırı vektörü değildir. Şüpheli işlemler gibi artan güvenlik ihtiyaçları durumunda, bankalar ek bir faktör olarak SMS OTP'lerini kullanmaya devam edebilir. PIN / parolayı passkey'lerle değiştirerek, ilk kimlik doğrulama faktörü phishing'e karşı dayanıklı hale gelir ve başarılı phishing saldırıları riskini önemli ölçüde azaltır. Şüpheli olarak işaretlenen işlemler için üçüncü bir faktör getirilebilir ve bu da sağlam bir güvenlik duruşu sağlar.

PSD2 uyumluluğu konusundaki geleneksel (riskten kaçınan) görüşlerin aksine, Finom ve Revolut, müşteri verilerini korumanın daha önemli olduğuna karar verdiler ve bu nedenle, bankacılık denetiminin passkey'leri PSD2 uyumluluğu açısından nasıl ele alması gerektiğine dair kamuya açık bir Avrupa kararı olmamasına rağmen passkey'leri kullanıyorlar. Finom ve Revolut gibi neo-bankalar ve fintech'ler statükoya meydan okuyor ve bunu yaparken, PSD2 tarafından öngörülen kimlik doğrulama önlemleriyle ilgili düzenleyici ortamı etkiliyorlar.

Bu fintech öncüleri, müşteri verilerinin güvenliğini ve bütünlüğünü önceliklendirerek, Avrupa otoritelerinden açık bir düzenleyici rehberlik olmamasına rağmen passkey'leri benimsiyorlar. Bu proaktif duruş, üstün güvenlik çözümleri sunan teknolojik gelişmeler ışığında uyumluluk çerçevelerini yeniden değerlendirme sorumluluğunu regülatörlere yüklüyor.

Finom ve Revolut'un passkey'leri uygulama konusundaki cesur adımı, düzenleyici uyumun kritik bir yönünü vurguluyor: bu, standartlara katı bir şekilde bağlı kalmakla ilgili değil, daha ziyade bu standartların altında yatan hedeflere ulaşmakla ilgilidir ki bu durumda bu hedef, müşteri verilerinin ve işlemlerinin azami güvenliğidir. Veri korumasını geleneksel uyumluluk modellerine sıkı sıkıya bağlı kalmaktan daha öncelikli tutarak, bu neo-bankalar sektör için yeni ölçütler belirliyor.

Düzenleyici bir perspektiften bakıldığında, PSD2 uyumluluğu çerçevesinde passkey'ler gibi ilerlemeleri barındırmak için netlik ve adaptasyona acil bir ihtiyaç vardır. AB'yi, passkey'ler konusunda kesin bir tavır almaya çağırıyoruz, onları dijital ödemeler ekosisteminde güvenliği güçlendirmek ve dolandırıcılığı azaltmak olan PSD2'nin temel hedefleriyle uyumlu, üstün bir çok faktörlü kimlik doğrulama (MFA) biçimi olarak tanımalarını istiyoruz.

Passkey'ler, tasarımları gereği, çoğu geleneksel MFA yönteminin güvenlik yeteneklerini aşan, sağlam, phishing'e dayanıklı bir kimlik doğrulama faktörü sunar. Bu, sadece güvenliği artırmakla kalmaz, aynı zamanda kullanıcı deneyimini de basitleştirir ve PSD2 uyumluluğunun iki kritik yönünü ele alır.

AB'nin tutumu, etkili ve güvenli kimlik doğrulamanın ne anlama geldiğini yeniden tanımlayan teknolojik gelişmeleri yansıtacak şekilde gelişmelidir. Passkey'ler gibi yenilikleri benimseyerek ve bunları düzenleyici yapıya dahil ederek, AB hem tüketicileri koruma hem de ileriye dönük bir dijital finans ortamını teşvik etme taahhüdünü gösterebilir.

Finans sektörü yenilik yapmaya devam ettikçe, teknolojik değişimle sadece ayak uydurmakla kalmayıp aynı zamanda gelecekteki gelişmeleri de öngören açık ve ilerici bir rehberlik sağlamak regülatörlerin görevidir. Neo-bankalar şu anda bu değişime öncülük ediyor, ancak nihayetinde finans sektörünün bir bütün olarak dijital bankacılığın geleceğine güvenli ve emin adımlarla ilerleyebilmesini sağlamak düzenleyici kurumların sorumluluğundadır.

Bankacılık ve fintech alanında passkey'lerin benimsenmesi, hem güvenliği hem de kullanıcı deneyimini önemli ölçüde artıran bir inovasyonun en iyi örneği olarak öne çıkıyor. Makalemiz boyunca, passkey'lerin PSD2'nin katı güvenlik talepleriyle uyumlu, phishing gibi yaygın tehditleri azaltan ileri görüşlü bir kimlik doğrulama çözümü olarak potansiyelini ortaya koyduk. Finom ve Revolut gibi neo-bankalar / fintech'ler, güvenlik çerçevelerine passkey'leri entegre ederek bir emsal oluşturdular, etkinliklerini ve müşteri odaklı yaklaşımlarını gösterdiler.

Geleneksel bankalar için üç adımlı bir eylem planı şu şekilde olabilir:

1. Yerel Regülatörlerle Etkileşim: Geleneksel bankalar, passkey'lerin uygulanmasını tartışmak için yerel düzenleyici kurumları ve bankacılık denetim otoriteleriyle proaktif olarak etkileşime girmelidir. Bu diyalog, düzenleyici pozisyonları netleştirmeyi ve passkey'leri mevcut uyumluluk yapısı içinde entegre etmenin yolunu açmayı amaçlamalıdır. İnisiyatif alarak, bankalar yenilikçi kimlik doğrulama yöntemlerini destekleyen bir düzenleyici ortamın şekillenmesine katkıda bulunabilirler.
2. Neo-Banka En İyi Uygulamalarından Öğrenme: Geleneksel bankaların, passkey'leri başarıyla uygulayan neo-bankaları gözlemlemesi ve onlardan öğrenmesi zorunludur. Bu en iyi uygulamaları incelemek, passkey dağıtımının operasyonel, teknik ve müşteri hizmetleri yönleri hakkında değerli bilgiler sağlayacaktır. Bu bilgi transferi, geleneksel bankaların passkey'leri benimseme stratejilerini oluşturmalarına yardımcı olabilir.
3. Passkey'lere Stratejik Geçiş: Düzenleyici netlik ve en iyi uygulamaların anlaşılmasıyla, geleneksel bankalar müşterileri passkey tabanlı kimlik doğrulamasına geçirmek için kapsamlı bir plan geliştirebilirler. Bu plan, passkey'lerin faydalarını ve kullanımını açıklayan müşteri eğitim kampanyalarını, sorunsuz bir geçiş sağlamak için aşamalı dağıtımları ve herhangi bir zorluğu derhal ele almak için sürekli değerlendirmeyi içermelidir.

Bankacılık kimlik doğrulamasının geleceği, hem güvenliği hem de kullanılabilirliği önceliklendiren teknolojilerde yatmaktadır. Passkey'ler, bu yönde atılmış bir adımı temsil eder ve PSD2 ve diğer düzenleyici çerçeveler tarafından belirlenen standartları karşılayan, phishing'e karşı dayanıklı, kullanıcı dostu bir kimlik doğrulama yöntemi sunar.

Geleneksel bankalar için, değişimi benimseme ve passkey'lere doğru geçişe başlama zamanı gelmiştir. Ancak bu geçiş, ani olmamalı, aksine müşteri tabanlarının benzersiz ihtiyaçları, özel düzenleyici ortam ve kurumun teknolojik hazırlığı dikkate alınarak iyi düşünülmüş bir hamle olmalıdır.

Nihai hedef, her müşterinin kolaylıktan ödün vermeden gelişmiş güvenlikten faydalanmasını sağlamaktır. Passkey'leri benimseyerek, bankalar sadece müşterilerini en son teknolojiyle korumakla kalmayacak, aynı zamanda dijital finans çağında inovasyona ve müşteri odaklılığa olan bağlılıklarını da göstereceklerdir.