Kimlik doğrulama mekanizmasının kurgulanmasında faydalanılabilecek yöntemlerin alternatiflendirilmesi ile bankaların kendilerini en az mali yüke sokacak düzenlemeyi tercih etmelerinin sağlanmasına çalışıldığı açıktır.

Oysa kişisel olarak ben, bu konuda bir düzenleme yapılması gereğini daha fazla yadsıyamacağı anlaşılan BDDK’nın benimseyeceği tavrın, pratikte uygulanabilirlik dışındaki hiçbir kriteri gözetmeksizin, etkili bir güvenlik mekanizması için gereken şartları net bir şekilde ortaya koymak, hatta internet bankacılığı faaliyetini, bu şartların karşılanmasına bağlı olarak edinilebilecek bir lisans ile ilişkilendirmek netliğinde bir önlem paketi içermesini beklerdim.

Aslında bankalar için internet bankacılığı güvenliğinin iki komponenti bulunmaktadır. Birincisi kendi internet bankacılığı hizmetlerini tercih edilir kılmak, ki bu müşteriye az zahmet verme ilkesi diye de tanımlanabilir; ikincisi ise güvenlik zaafiyetlerinin sonucu olarak oluşabilecek maddi zararlardan kurumsal olarak etkilenmemek, buna da kendini koruma ilkesi denilebilir.

Mevcut düzende bankaların eğilimi, müşteriye güvenlik önlemlerini tercihli olarak sunmak, böylece hızlı ve zahmetsiz internet bankası imajını sürdürebilmek ve olası maddi zararları da özel sözleşme hükümleriyle engellemek şeklindedir. Bir başa deyişle, bankaların tavrı kısaca “ben önlem alternatiflerini sundum, müşteri kullanmazsa maddi yükümlülüğüm de olmamalı” eksenindedir.

Oysa internet bankacılığı güvenliği, rahat ve hızlı hizmet alternatifleri kisvesi altında müşterilerin maddi güvenliği üzerinden rekabet edilemeyecek kadar hassas bir konudur.

BDDK’nın en kısa sürede özkaynak gereksinimlerinin ya da tek düzen hesap planının şartlarını belirlediği düzenlemelerle aynı samimiyet düzeyinde bir internet bankacılığı kuralları bütününü sektöre kazandırmasını dilerim.

Guvenli olarak calisabilecek belki de tek cozum “parmak izi ile acilan bir kriptografik smartcard/usb token”. Bu da kisiye ozel (parmakizi tanitilmis) bir sertifika deposu anlamina gelir, ki hem olusturmasi hem de dagitilmasi (aktivasyon esnasinda parmak izi kaydedilmeli vb.) cok pahali bir cozum olusturacaktir.

Yukarida tanimlanan sekilde taraslanmis bir cihazin bile guvenli olabilmesi icin parmakizi tanima isini donanimda gerceklestirmesi, ek bir yazilima ihtiyac duymamasi gereklidir ki bu da cihazin karmasikligini ve fiyatini arttiracaktir. Bu cozum her durumda kullaniciyi yaninda tasimasi gereken bir cihaza kisitlayacagi icin bir OTP cihazina gore bir avantaj saglamayacaktir.

Daha pratik olan “Ben her turlu parmakizi okuyucuyu kullanirim” diyen ve/veya “kendi yazilimini kuran veya activeX/Java vb appletler kullanan” cozumler istemci bilgisayara guvenmek zorunda olacaklari icin kacinilmaz olarak aynen bir keyboard/screen sniffer gibi truva atlarina maruz kalacaklardir.