EKDS var, ama “her NFC’li telefon okusun” diye yok

NVI’nin resmi açıklamasına göre Elektronik Kimlik Doğrulama Sistemi (EKDS), yeni nesil kimlik kartının özellikleri kullanılarak kişilerin kimliğinin doğrulanması için geliştirilmiş bir sistemdir. Aynı açıklamada, elektronik hizmetlerde kimlik kartının yetkili kurum tarafından verildiği, kişinin kartın sahibi olduğu ve doğrulamanın nerede, ne zaman, kim tarafından ve niçin yapıldığının kaydedildiği belirtiliyor. Bu zaten konunun sıradan bir NFC okuması değil, kontrollü ve kayıtlı bir kimlik doğrulama altyapısı olduğunu gösteriyor.

NVI’nin EKDS birimi de bu alanı açıkça inceleme, değerlendirme ve izin işlemleri kapsamında tanımlıyor. Resmi görev tanımında, EKDS ile ilgili kamu veya özel hukuk tüzel kişilerinin başvurularının yöntemi, yetkilendirme hizmetleri ve sistemin güvenliğine ilişkin unsurların NVI tarafından yürütüldüğü yazıyor. Yani model şu değil: “uygulamayı yaz, telefona koy, kimliği okut.” Model şu: başvuru, değerlendirme, yetkilendirme ve kontrollü altyapı.

NVI’nin 31 Aralık 2020 tarihli duyurusunda da bunun altı daha net çiziliyor. Duyuruda, kamu veya özel hukuk tüzel kişilerinin KDHS (Kimlik Doğrulama Hizmet Sağlayıcısı) olabilmesi ve KEC (Kart Erişim Cihazı) üreticilerinin işlemleri için ekds.nvi.gov.tr portalının açıldığı belirtiliyor. Bu detay önemli: Mevzuatın dili bile “herkes okusun” değil, KDHS ve KEC temelli bir yapı kuruyor.

Asıl kırılım: telefon NFC’si başka, yetkili kart erişim cihazı başka

Bu konuda en net pratik örneklerden biri Tapu ve Kadastro Genel Müdürlüğü’nün resmi EKDS dokümanı. Kurum, elektronik kimlik doğrulamada kimlik erişim cihazı kullandığını; bu cihazların TÜBİTAK tarafından güvenlik sertifikası yüklenmiş şekilde çalıştığını, cihaz üzerinde GEM kartı bulunduğunu ve her sorguda sertifikasyon kontrolü yapıldığını açıklıyor. Aynı belgede kimlik doğrulamanın bu cihazlar üzerinden, örneğin parmak izi, PIN ve fotoğraf gibi yöntemlerle yürütüldüğü belirtiliyor.

Bu tablo birlikte okunduğunda çıkan sonuç açık: Resmi elektronik kimlik doğrulama, sıradan bir telefon NFC okuması ile aynı şey değil. NVI tarafında KDHS/KEC yapısı; uygulama tarafında güvenlik sertifikalı cihaz, GEM kartı ve kayıtlı işlem mantığı var. Dolayısıyla herhangi bir mobil uygulamanın “telefonu kimliğe değdir, doğrulama tamam” demesi, kamu otoritesinin anlattığı resmi modelle aynı zeminde durmuyor.

Kuyumcuların kimlik tespiti yükümlülüğü var; ama bu, kimlik çipini serbestçe okuyabilecekleri anlamına gelmiyor

MASAK tarafında kuyumcular zaten boş bir alanda değil. MASAK’ın kuyumculara ilişkin resmi rehberinde, kıymetli maden, taş veya mücevher alım satımı yapanlar ile bu işlemlere aracılık edenlerin yükümlü olduğu açıkça yazıyor. Yine MASAK’ın resmi bilgilendirme dokümanında, bu alanda faaliyet gösterenlerin işlem yapılmadan önce müşterilerin kimliğini tespit etmek zorunda olduğu, belirli durumlarda tutar gözetmeksizin, belirli işlemlerde ise parasal eşik üzerinde kimlik tespiti yapılması gerektiği belirtiliyor.

Ama burada kritik hata şurada yapılıyor: MASAK kimlik tespiti yükümlülüğü ile NVI kimlik kartı çipini okuma yetkisi aynı şey değil. MASAK sana “müşteriyi tanı” der; NVI/EKDS ise “T.C. kimlik kartının elektronik doğrulaması hangi çerçevede yapılır” kısmını düzenler. Biri yükümlülük getirir, diğeri yöntemin resmi sınırını çizer. Bunları karıştırınca ortaya “yükümlüyüm, o zaman NFC ile okuyabilirim” gibi hatalı bir yorum çıkıyor.

“Uzaktan kimlik tespiti var” demek de tek başına yetmez

MASAK’ın Uzaktan Kimlik Tespiti düzenlemelerinde, finansal kuruluşlar ile finansal olmayan belirli iş ve mesleklerin uzaktan kimlik tespiti süreçlerinde risk temelli yaklaşım çerçevesinde işlem yapabileceği belirtiliyor. Ancak aynı mevzuat yapısı, uygulanacak yöntemlerin yükümlü grupları itibarıyla ayrı ayrı belirlendiğini gösteriyor. Yani bir yerde “uzaktan kimlik tespiti” geçmesi, otomatik olarak “kuyumcu herhangi bir mobil uygulamayla T.C. kimlik kartının çipini telefon NFC’siyle okuyabilir” sonucunu doğurmuyor.

Özellikle T.C. kimlik kartının elektronik doğrulama tarafında NVI/EKDS rejimi ayrıca devrede. Yani iş yine dönüp dolaşıp yetki, cihaz ve entegrasyon zincirine geliyor.

KVKK tarafı da işi daha sert hale getiriyor

KVKK’ya göre biyometrik ve genetik veriler özel nitelikli kişisel veri kapsamında ve bu veriler diğer kişisel verilere göre çok daha sıkı korunuyor. Kurum ayrıca özel nitelikli kişisel verilerin ancak kanunda sayılan sınırlı hallerde işlenebileceğini belirtiyor. Bu yüzden kimlik kartının çipi, biyometrik doğrulama, yüz/parmak izi eşleştirmesi veya benzeri süreçlere giren herkes sadece “teknik olarak okuyabiliyorum” diyerek rahat davranamaz; veri işleme şartı, amaç sınırlaması ve yeterli güvenlik önlemleri ayrıca devreye girer.

SarrafPro neden bunu sunmuyor?

Çünkü hukuki risk alanı nettir. Kuyumcunun müşteriyi tanıma yükümlülüğü vardır; fakat bu yükümlülük, T.C. kimlik kartı çipinin herhangi bir mobil uygulama ile okunmasını otomatik olarak meşrulaştırmaz. Resmi çerçeve, NVI’nin EKDS yetkilendirme yapısı ve güvenli cihaz mantığına dayanıyor.

Bu nedenle “telefon NFC’siyle kimlik okutuyoruz” diyen her çözüm, gerçekten NVI/EKDS yetki zincirinde değilse, teknik bir gösteri yapıyor olabilir; ama bunu resmi ve tam yetkili elektronik kimlik doğrulama gibi anlatmak ayrı bir iddiadır.

SarrafPro’nun yaklaşımı bu yüzden nettir: uyumlu, savunulabilir ve mevzuata dayanabilen süreçler kurmak. Şovla denetim geçilmiyor.

Pratik olarak ne söylenebilir?

Bugün eldeki resmi çerçeveye göre en güvenli yorum şudur: Kuyumcuların kimlik tespiti yükümlülüğü vardır; ancak T.C. kimlik kartının çipini telefon NFC’siyle, herhangi bir mobil uygulama üzerinden okuyup bunu resmi kimlik doğrulama yöntemi gibi kullanabildiklerine dair açık ve genel bir serbestlik görünmemektedir. Resmi elektronik doğrulama tarafı, NVI’nin EKDS yetkilendirme ve cihaz altyapısına bağlıdır.