ABD Hukuku Bağlamında ‘Dolandırıcılığın Tespiti’: Genel Bir Bakış

Giriş

Belki de kişi sürekli olarak işletmenin “ayın çalışanı” ödülünü (employee of the month award) kazanıyordur. Ya da belki de bu alıcı yıllardır dost canlısı ve mükemmel bir müşteriydi. Veya tam tersi, bir çalışan ya da karanlıkta saklanan bir yabancı olabilirler. Daha sonra işletme, neredeyse tesadüfen, o çalışanın veya müşterinin kendisini son birkaç yılda yüzbinlerce dolar dolandırdığını keşfeder. İşletme, çalışanın veya müşterinin daha fazla çalmasını engellemiş olsa da, dolandırıcılığı daha erken tespit etmiş olsaydı, alacakları finansal zarar çok daha az önemli ve tehlikeli olacaktı.

Dolandırıcılık her yıl kuruluşlara milyarlarca dolara mal oluyor. Dahası, Amerika Birleşik Devletleri’nde (ABD) dolandırıcılık raporları her geçen yıl artıyor ve son birkaç yılda faaliyetlerde büyük artışlar görülüyor. ABD Federal Ticaret Komisyonu, 2020 yılında 4,87 milyon dolandırıcılık bildirimi alırken, 2021’de 5,74 milyon dolandırıcılık bildirimi almıştır. Sertifikalı Dolandırıcılık Denetçileri Birliği (Association of Certified Fraud Examiners), kuruluşların her yıl gelirlerinin ortalama %5’ini (yüzde 5) dolandırıcılıktan kaybettiğini tahmin ediyor. Bankalar ve finansal hizmetler için kayıplar genellikle daha yüksektir. Sertifikalı Dolandırıcılık Denetçileri Birliği’ne göre, 2021’de ABD finans kurumları için dolandırıcılığın tarihsel veri maliyeti 4,2 milyar ABD doları idi.

Önceki bir gönderide de belirtildiği gibi, dolandırıcılığın önlenmesi en iyi dolandırıcılık riski yönetimi stratejisidir. Ancak tüm dolandırıcılıkların önlenmesi mümkün değildir. Dolandırıcılar para veya veri (veya her ikisini birden) çalmak için yeni numaralar bulmaya devam ederler. Bu nedenle kuruluşların sıkı sahtekârlık tespit protokollerine sahip olmaları gerekir.

1. Dolandırıcılığın Tespiti

Dolandırıcılık tespiti, finansal işlemler, veriler, ölçümler, Uygulama Programlama Arayüzleri (Application Programming Interfaces-APIs) veya süreçler içindeki şüpheli etkinliklerin veya anormalliklerin, dolandırıcılık davranışı örneklerini ortaya çıkarmak için sistematik olarak tanımlanması ve analiz edilmesidir.

Dolandırıcılığın tespiti, dolandırıcılık riski yönetiminin üç temel ilkesinden [önleme, tespit/algılama ve soruşturma (prevention, detection, and investigation)] ikincisi olup; gerçekleşen veya denenen dolandırıcılık faaliyetini tanımlar. Başka bir deyişle, mevcut bir tehdide yanıttır.

Dolandırıcılığın bu kadar uzun süre tespit edilememesinin temel nedeni, birçok kuruluşun, dolandırıcılık riskini yeterince değerlendirmemesidir. Dolandırıcılık riski, kuruluş içindeki veya dışındaki bir kişi veya grup tarafından gerçekleştirilen aldatma nedeniyle finansal veya diğer kayıpların (şirket ve müşteri verileri gibi) olasılığını ifade eder. Bazı durumlarda failler hem içeriden hem dışarıdan, işbirliği içinde çalışabilirler.

Riski tespit etmek, onun nerede bulunabileceğini bilmeyi gerektirir. Kuruluşların finansal işlemleri bakılacak en belirgin yerdir. Bir satıcıya düzenli olarak oldukça büyük ödemeler yapıldı mı? Belirli bir banka müşterisi, belirli zamanlarda belirli meblağlarda düzenli para yatırma ve çekme işlemleri yapıyor mu? Finansal dolandırıcılığın tespiti, zaman içindeki veri modellerinin analiz edilmesini gerektirmektedir.

Bununla birlikte, gelişmiş dolandırıcıların tek bir veri kümesine bakarak tespit edilemeyecek taktikler kullanacağı da belirtilmektedir. Dolandırıcılığı karmaşık hale getirmek için yapay zekâyı veya makine öğrenimini bile kullanabilirler. Örneğin kredi alan biri, bir bankanın tüm özgeçmiş kontrollerini geçebilir. Banka daha sonra kişinin adresinin, kredi geçmişinin vb. bilgilerinin dolandırıcı bir komplocuyla bağlantılı olduğunu keşfeder. “Medicaid ve SNAP” gibi devlet yardımlarını yöneten devlet kurumları, sahte belgeler aracılığıyla gerçek kimliklerini başarılı bir şekilde gizleyen hak sahibi olmayan kişilere ödeme yapabilirler.

2. Dolandırıcılığın Tespitinin Önemli Olmasının Nedeni

Dolandırıcılık tespitinin önemli olmasının temel nedeni, tespit edilememesinin maliyetidir. Bunlara yalnızca finansal kayıplar ve veri güvenliği kaybı değil, aynı zamanda üretkenlik ve müşteri güveni kaybından kaynaklanan dolaylı maliyetler de dâhildir.

2.1. Dolandırıcılık tespitinin faydaları

Dolandırıcılık tespitinin faydalarından birçoğu, dolandırıcılığın önlenmesine benzemektedir. Dolandırıcılık faaliyetleri (müşteriler, satıcılar ve diğer üçüncü taraflar, siber hırsızlar, çalışanlar veya yasa dışı olarak devlet çıkarı arayan kişiler tarafından) genellikle siber güvenlik, bir kuruluşun finansal istikrarı ve (çoğunlukla) itibar riskleri de dâhil olmak üzere diğer risk türleri ile bağlantılıdır.

Dolandırıcılığın tespiti, dolandırıcılık riski yönetiminin temel ilkesidir. Bir kuruluş, dolandırıcılık riskini yöneterek genel risk yönetimini de daha etkili hale getirir. Risk yönetimi, bir kuruluşun hedeflerini olumsuz yönde etkileyebilecek potansiyel risklerin veya belirsizliklerin tanımlanmasını, değerlendirilmesini ve kontrol edilmesini içerir; kuruluşların potansiyel engelleri öngörmesine ve etkilerini azaltmasına yardımcı olur, böylece finansal istikrarı ve daha etkili karar almayı kolaylaştırır.

2.2. Dolandırıcılık tespitinin zorlukları

Dolandırıcılık ne kadar erken tespit edilirse, o kadar az zarar meydana gelebilir. Bununla birlikte, algılama çabalarında kısa devre yapabilecek çeşitli faktörler vardır:

  • Çok fazla güvenmek (trusting too much): Başlangıçta da belirtildiği gibi, hileli aldatmacaların büyük bir kısmı, bir organizasyonun aldatana güvenmesi nedeniyle başarılı olur. Gerek görmediği için çalışanın veya satıcının faaliyetlerini izlemeyebilir.
  • Sahte kimlikler (false identities): Birçok dolandırıcı sahte kimlikler oluşturur veya çalınan kişisel bilgileri kullanır. Kendi adlarını veya genellikle o kişinin Sosyal Güvenlik, banka hesabı ve kredi kartı numaralarını içeren kişisel bilgilerini çaldıkları başka bir kişinin adını kullanabilirler.
  • Karmaşıklık (complexity): Bir kuruluş o kadar büyük olabilir ve kayıtları o kadar karmaşık olabilir ki, hileli işlemleri tespit etmek zor olabilir. Yakın zamandaki kötü şöhretli bir örnek, teknolojisinin kompakt otomatik cihazlar kullanarak hızlı kan testi gerçekleştirebileceğini iddia eden yüksek uçan bir girişim olan ‘Theranos’tur. Sadece iddialarının yanlış olduğu kanıtlanmakla kalmamış, aynı zamanda finansal projeksiyonları da doğrulanmıştır. Theranos yöneticileri muhasebe el çabukluğunu kullanarak yatırımcıları muhasebenin 2014 yılında 100 milyon dolardan, 2015’te ise 1 milyar dolardan fazla gelir elde edeceğine ikna etmiştir. O yıllardaki gerçek gelirlerin önemli ölçüde daha düşük olduğu ortaya çıkmış ve 2022 yılında şirketin liderleri elektronik dolandırıcılıktan mahkûm edilmişlerdir.

Bu kadar çok dolandırıcılığın önlenmesini ve tespit edilmesini bu kadar zorlaştıran şey, birçok işlemin karmaşıklığıdır. Kredi kartı ödemeleri, çevrimiçi uygulamalar, kripto para birimi ve diğer finansal araçlar, işlemleri daha verimli ve daha az maliyetli hale getirir. ‘PDF’ler (Portable Document Format-Taşınabilir Belge Formatı) ve çevrimiçi platformlar, belge paylaşımını birkaç tıklamayla kolaylaştırmaktadır. Bu kolaylıklar aynı zamanda kötü aktörlerin dolandırıcılığa girişmesini daha hızlı, daha kolay ve daha ucuz hale getirir. Ayrıca suç işledikten sonra kaçmalarını ve saklanmalarını kolaylaştırabilir ve dolayısıyla tespit edilmelerini zorlaştırabilirler.

Buna ek olarak, kimlik avı saldırıları gerçekleştirmek, sahte banka hesapları açmak, kara para aklamak veya devlet yardımlarını çalmak için giderek daha inandırıcı sahte kimlikler yaratmaya yönelik kaynaklara ve dijital bilgi birikimine sahip ulus ötesi suç örgütleri tarafından giderek daha fazla dijital destekli dolandırıcılık gerçekleştiriliyor.

3. Dolandırıcılığın Nasıl Tespit Edileceğini Anlamak

Dolandırıcılık tespiti titizlik, özveri ve finansal kaynak gerektirir ki; kuruluşların odaklanması gereken bazı temel tespit stratejileri şunlardır:

  • Dolandırıcılık risklerinin sıralanması ve önceliklendirilmesi (ranking and prioritizing fraud risks), bir kuruluşun dolandırıcılık tespit çabalarının gerçekleşmesi en muhtemel risklere odaklanmasına yardımcı olabilir. Sıralama süreci aynı zamanda, bu dolandırıcılık risklerinin tam kapsamlı risk olayları haline gelmesi durumunda (yani dolandırıcılık başarılı bir şekilde işlendiğinde) kuruluşa ne kadara mal olabileceğinin belirlenmesini de içermelidir.
  • Kuruluş genelinde çeşitli taraflarca (ve ayrıca bağımsız dış denetçiler tarafından) gerçekleştirilen risk denetimleri (risk audits), dolandırıcılığın önlenmesi, tespit edilmesi ve soruşturulması çabalarının etkinliğini artırabilir. Risk denetimleri finansal denetimleri, siber güvenlik denetimlerini ve diğer risk faktörlerinin araştırmalarını içerebilir. Örneğin, devlet yardımlarını yöneten kurumlar (agencies managing government benefits) için dolandırıcılığın tespiti genellikle veritabanlarının ve uygulama belgelerinin özenli bir incelemeye tabi tutulması anlamına gelir.
  • Teknoloji, kurumsal başarı için yeni fırsatlar ve kötü aktörlerin dolandırıcılık yapması için yeni yollar sunabilir. Ancak kuruluşlar, dolandırıcılık faaliyetlerini tespit etmek için dijital teknoloji araçlarını (digital technology tools) kullanarak yangına ateşle karşılık verebilir. Bu araçlar hızlı bir şekilde işlem izleme ve kimlik doğrulama işlemlerini gerçekleştirebilmektedir. Ayrıca kuruluşların potansiyel dolandırıcılık faaliyetlerini ortaya çıkarabilecek veri modellerini analiz etmelerine ve tespit etmelerine yardımcı olabilirler. Yapay zekâyı gerçek zamanlı makine öğrenimi, otomasyon ve algoritmalarla birlikte kullanmak kuruluşunuzun risk yönetimini ve stratejilerini daha da güçlendirebilir.

4. Odaklanılacak Dolandırıcılık Türleri

Dolandırıcılık tespit stratejileri büyük ölçüde kuruluşun ne yaptığına bağlıdır. Ayrıca, işlenen dolandırıcılığın iç ve dış türüne bağlı olarak da değişiklik gösterebilirler. Neye bakılacağını bilmek ve yanlış pozitiflerin farkında olmak, bir kuruluşun tespit çabalarının daha başarılı olmasına yardımcı olur.

Her türlü organizasyonun dikkatli olmasını gerektiren dolandırıcılık türlerinden biri de muhasebe dolandırıcılığıdır (accounting fraud). Bu, tipik olarak bir elektronik ticaretin (e-ticaret) veya işletmenin finansal durumlarının olduğundan daha iyi görünmesini sağlamak için muhasebe kayıtlarının değiştirilmesini içermektedir. Bazı durumlarda bu, yatırımcıları çekmek veya şüpheli işlemleri gizlemek isteyen yöneticiler tarafından gerçekleştirilmektedir. Diğer durumlarda, zimmete para geçirmeye çalışan bir çalışan, yasadışı faaliyetlerini gizlemek için finansal veri kümelerini değiştirecektir. Finansal dolandırıcılığı tespit etmek için kuruluşların potansiyel tehlike işaretlerinin farkında olması gerekir ve tabii ki, boşlukları incelemek ve hesabın ele geçirilmediğinden emin olmak için düzenli ve kapsamlı denetimler de yapmalıdırlar. Diğer dâhili dolandırıcılık türleri arasında posta dolandırıcılığı, kredi kartı dolandırıcılığı, banka havalesi dolandırıcılığı, çek dolandırıcılığı, maaş bordrosu dolandırıcılığı ve finansal tablolarla ilgili yanlış iddialar (mail fraud, credit card fraud, wire fraud, check fraud, payroll fraud, and false claims on financial statements) yer alır.

Sigorta ve devlet yardımlarında dolandırıcılık vakalarında kişi yalan söyler veya yanlış bir şekilde yardım veya teminat elde etmek için bilgileri saklar. Teknikler arasında sahte kimlikler veya sahte belgeler kullanılmasının yanı sıra hasar maliyetlerinin abartılması ve kimlik doğrulamanın hasarı önlemeye yardımcı olabileceği sahte yaralanmalar yer alır. Sağlık hizmetleri dolandırıcılığı (healthcare fraud), ağrı yönetimiyle ilgili planları, sahte belgeler içeren sigorta dolandırıcılıklarını veya gereksiz tedavileri içerebilir. Bu dolandırıcılık biçimlerinin çoğu aynı zamanda siber dolandırıcılık (cyberfraud) örnekleri de olabilir, ancak bunun en iyi bilinen örnekleri kimlik avı ve korsan yazılım saldırılarıdır (phishing and ransomware attacks). Diğer dış dolandırıcılık türleri arasında kimlik hırsızlığı, banka dolandırıcılığı ve yatırım dolandırıcılığı (identity theft, bank fraud and investment fraud) yer alır.

Sonraki adım: Soruşturma

Yine, önleme, dolandırıcılık riski yönetiminde en uygun maliyetli yaklaşımdır. Ancak daha önce de belirtildiği üzere, bazı dolandırıcılık faaliyeti türleri, görünüşte en zorlu önleme zırhını bile delebilir. İşte o zaman dolandırıcılık riski yönetiminin ikinci temeli olan tespit devreye girer. Dolandırıcılık tespitine yönelik teknikler ve dijital araçlar, dolandırıcılık eylemlerinin yol açabileceği hasarı en aza indirebilir. İyi bir sahtekârlık tespit sistemine sahip olmak şirketin/kuruluşun zamandan ve paradan tasarruf etmesini sağlayabilir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.