Deepfake 2.0 Karşısında Biyometrik Kimlik Doğrulama Sorunları

Bir Hukuki Dönem Analizidir: 2024–2026.

Giriş

Bir zamanlar hukuk teorisyenleri, dijital kimlik doğrulamanın insanlığın çözdüğü en önemli güven sorunlarından biri olduğunu yazmıştı. Parmak izi, retina taraması, yüz geometrisi gibi biyometrik veriler, standart şifrelerin çok ötesinde güvenlik sağlıyordu. Zira bu verileri ancak kişinin kendisi sağlayabiliyordu.

2023 yılının sonlarında yapay zeka destekli ses sentezi teknolojileri, gerçek zamanlı görüntü manipülasyonuyla birleşmeye başladığında, teknik çevrelerdeki endişe henüz hukuk camiasına taşınmamıştı. Bu dönemde hukuk sistemleri, biyometrik doğrulamayı ispat hukukunun en sarsılmaz karinelerinden biri olarak konumlandırmıştı; zira bu verilerin münhasıran hak sahibi tarafından sağlanabileceği, güçlü bir varsayımdı.

2023 yılının son çeyreği itibarıyla, jeneratif yapay zeka destekli ses sentezleme teknolojilerinin, milisaniye gecikmeyle çalışan gerçek zamanlı görüntü manipülasyonu (deep-live) ile entegrasyonu, teknik bir riskin ötesine geçerek hukuki güvenliği (legal certainty) doğrudan tehdit etmeye başladı. O tarihlerde yargı pratiği, henüz elektronik imzanın tevsik kabiliyeti ve dijital sertifikaların güvenliğine dair usul tartışmaları ile ilgileniyordu. Hukuk camiası, biyometrik verilerin yanıltılamazlığına dair sarsılmaz bir inanç beslerken, teknolojinin bu verileri birer statik kod gibi kopyalayabildiği gerçeği yeni bir tartışmanın başlangıcı oldu.

I. Teknolojik Kırılma Noktası: Ne Değişti, Neden Önemli?

1.1 Birinci Nesil DeepFake ile DeepFake 2.0 Ayrımı

İlk nesil deepfake teknolojisi büyük ölçüde statik bir manipülasyon aracıydı. Örneğin bir videonun birkaç dakikası değiştirilmekte, yüz veya ses yüzeysel biçimde taklit edilmekteydi. Tespit algoritmalarının rahatlıkla fark edebildiği anormallikler mevcuttu. Göz kırpma ritmi tutarsızlıkları, ses ile dudak hareketi arasındaki mikrosaniye sapmaları, ışık yansımalarındaki fiziksel imkânsızlıklar gibi belirlenebilir durumlar, deepfake'i tespit etmeyi mümkün kılıyordu. Ancak deepfake 2.0, bu açıkları kapattı.

2025 yılının başında yayımlanan teknik belgeler, üretken yapay zeka modellerinin artık canlı bir video görüşmesinde bile milisaniyeler içinde karşı tarafın yüzünü ve sesini gerçek zamanlı olarak dönüştürebildiğini ortaya koydu. Karşınızdaki kişi size bakıyor, sizinle konuşuyor, isminizi söylüyor, gülümsüyordu, ancak o kişi gerçekte yoktu.

Bu gelişme, hukuki açıdan yalnızca teknik bir sorun değildi. Zira bizzat irade beyanının kim tarafından yapıldığı sorusunun artık net bir şekilde yanıtlanamayacağı anlaşılmıştı. Borçlar Hukuku'nun temel taşlarından biri olan beyanın beyanda bulunana atfedilebilirliği ilkesi temelden sarsılmıştı.

1.2 Hukuki Boyutu

Bu kırılma noktası hukuk camiasının önüne şu üç temel soruyu koydu:

• Deepfake 2.0 ile gerçekleştirilen bir işlemde sözleşme kurulmuş sayılabilir mi? Yanılma (hata) hükümleri bu duruma uygulanabilir mi, yoksa işlem baştan geçersiz mi sayılmalı?

• Biyometrik doğrulama sistemine güvenen kuruluş, banka, noter, devlet kurumu, bu yanılmanın sorumluluğunu üstlenmeli mi? Eğer öyle ise, bu yükümlülük ihmalden mi yoksa kusursuz sorumluluktan mı kaynaklanmalı?

• Mağdurun biyometrik verisi hukuki süreçte nasıl korunacak? Mağdur, kendisine atfedilen bir işlemi reddetmek için hangi ispat araçlarına başvurabilecek?

II. Bankacılık ve Finans Hukukunda Özen Yükümlülüğünün Yeniden Belirlenmesi

2.1 Eski Şifreleme Düzeni

Türk Borçlar Kanunu ve Bankacılık Kanunu kapsamında şekillenen içtihat, uzun yıllar boyunca tek bir eksende ilerlemiştir. Kullanıcı kendi kimlik bilgilerini korumakla yükümlüdür. Banka makul güvenlik önlemlerini almışsa, kimlik bilgilerini "kendi iradesiyle" paylaşmış ya da kaptırmış müşteri riski üstlenmek zorundadır. Bu yaklaşım, şifreler ve PIN kodları çağı için işlevseldir. Ancak biyometrik veri ile yapılan doğrulamarla kıyaslandığında büyük bir ontolojik fark söz konusudur. Bu ontolojik fark ise ciddi bir sorun doğmaktadır, biyometrik veri, şifre gibi değiştirilebilir değildir.

Daha açık bir anlatımla parmak izi değiştirilemez, retina taraması güncellenemez ve kişinin ses frekans haritası hep aynıdır. Yani biyometrik veri bir kez ele geçirildiğinde, o kişi bakımından hep aynı tanımlayıcılıkta olacağından, verisi ele geçirilen kişi bakımından kalıcı bir tehlikeye de sebep olmaktadır.

2.2 Dönüm Noktası ve Emsal Kararlar: 2025-2026

2025 yılında Avrupa Bankacılık Denetim Otoritesi (EBA), yapay zeka destekli kimlik sahteciliğini kapsayan güncellenmiş yönergelerini yayımlamıştır. Bu yönergeler birkaç kritik ilkeyi hukuki zemine oturtmuştur:

A- Biyometrik Verinin Tek Başına Yeterli Sayılmaması: Deepfake 2.0 ile birlikte, biyometrik verilerin dijital kimlik doğrulamadaki statüsü köklü bir değişikliğe uğramıştır. Geçmişte bir işlemin biyometrik veri ile onaylanmış olması, işlemin bizzat hak sahibi tarafından gerçekleştirildiğine dair karine teşkil ederken; Deepfake 2.0 teknolojilerinin bu verileri gerçek zamanlı olarak manipüle edebilmesi, bu karinenin aksini ispata kabil olmayan mutlak yapısını sarsmıştır. Bu şekilde finansal kuruluşlar için "Canlılık Testi", teknik bir özellikten ziyade hukuki bir ibra şartı haline gelmiştir. Bu testler iki ana kategoride hukuki denetime tabi tutulmaktadır:

• Aktif Canlılık Testi (Active Liveness): Kullanıcıdan o anda rastgele bir hareket yapmasının (örneğin başını sağa çevirmesi, belirli bir kelimeyi söylemesi veya ekrandaki bir noktayı takip etmesi) istenmesidir. Bu sayede, kullanıcının o anda orada olduğu delillendirilir.

• Pasif Canlılık Testi (Passive Liveness): Kullanıcıya fark ettirmeden, yapay zeka algoritmalarının cildin dokusunu, ışık yansımalarını ve derinlik algısını analiz etmesidir. 2026 standartlarında, pasif testlerin aktif testlerle kombine edilmediği senaryolar siber risklere açık kabul edilmektedir.

B- Çok Katmanlı Doğrulama Hukuki Yükümlülük Haline Geldi. EBA yönergelerine paralel olarak geliştirilen AB YZ Yasası kapsamındaki "yüksek riskli sistem" tanımı, uzaktan kimlik tespiti yapan biyometrik sistemleri bu kategoriye dâhil etmiştir. Yüksek riskli sistemler, periyodik denetim, şeffaflık ve insan denetimi yükümlülüklerini beraberinde getirmiştir.

Türkiye'de ise benzer bir düzenleyici çerçevenin oluşturulması tartışılmakta; mevcut uzaktan kimlik doğrulama düzenlemelerinin bu tehdit modeline göre güncellenmesi beklenmektedir.

2.3 Sorumluluk Dağılımı Sorunu

Bu noktada hukuk doktrini iki ayrı görüş etrafında şekillenmektedir:

Kusur Sorumluluğu Görüşü: Banka, mevcut teknoloji standartlarını karşılayan doğrulama yöntemlerini uyguladıkça sorumluluktan kurtulmalıdır. Deepfake saldırısının tespiti teknik olarak imkânsızsa, bu bir mücbir sebep ya da beklenmeyen hal olarak değerlendirilmeli; mağdur banka tarafından değil; devlet güvence mekanizmaları tarafından korunmalıdır.

Kusursuz Sorumluluk Görüşü: Biyometrik doğrulama sistemini sunan taraf, bu sistemin güvenilirliğini garanti etmelidir. Sistemi kopyalanabilecek biçimde tasarlamak veya güncel tehditlere karşı koruma sağlamamak başlı başına bir kusur doğurur. Zira müşteri bankayı değil, sistemin güvenilirliğini seçmektedir; o güvenilirliğin sağlanamaması hak ihlalidir.

Türk hukuku açısından bu iki görüş arasındaki dengeyi kuracak düzenlemelerin ve içtihadın henüz olgunlaşmadığı görülmektedir. Ancak Liveness Detection mekanizması bulunmayan doğrulama altyapılarında gerçekleşen sahteciliklere ilişkin davalarda kusursuz sorumluluk argümanının tercih edileceği düşünülmektedir. Yine de bankaya sistemini güncel tehditlere uygun kurma yükümlülüğü verilebilecekse de, çok gelişkin deepfake’lerde kusursuz sorumluluk sınırının çizilmesi zorlayıcı görülmektedir.

III. Kişilik Haklarından Mülkiyet Haklarına: No FAKES Act'in Açtığı Dönüşüm

3.1 Geleneksel Kişilik Hakkı Çerçevesinin Yetersizliği

Türk Medeni Kanunu ve kişilik hakkına ilişkin içtihat, ses ve görüntünün izinsiz kullanımını manevi zarar ekseninde değerlendirmektedir. Kişinin itibarını zedeleyen, onur ve şerefine saldıran içerikler için manevi tazminat talep edilebilir.

Ancak bu çerçeve iki temel sorun doğurmaktadır:

Birincisi, manevi tazminatın hesaplanması büyük ölçüde hakimin takdir yetkisine bırakılmaktadır ve ödenen miktarlar çoğunlukla sembolik kalmaktadır. Üretilen sahte içeriğin milyonlarca kez izlendiği, yayıldığı ve gerçek ekonomik hasara yol açtığı durumlarda bu meblağlar caydırıcılıktan uzaktır.

İkincisi, itibar zararını ispat etmek zorunda kalan mağdur, hem teknik delil elde etme hem nedensellik bağı kurma açısından ağır yük altındadır.

3.2 No FAKES Act Yaklaşımı: Paradigma Değişimi

ABD Senatosu'nda gündeme gelen No FAKES Act (Nurturing Originals, Fostering Authorship, and Keeping Entertainers Safe) teklifi, bu denklemi değiştirmeye yönelik bir girişimdir. Teklifin getirdiği temel yenilik, bir kişinin ses ve görüntüsünü artık yalnızca "kişilik hakkı" kapsamında değil, devredilebilir ve korunabilir bir fikri mülkiyet varlığı olarak tanımlamasıdır.

Bu çerçevenin yasalaşması halinde rızasız kullanım artık manevi zarara ek olarak maddi zarar da doğuracaktır. İhlal halinde tazminat, o içeriğin piyasa değerine, yani aynı içerik rızayla kullanılsaydı ödenmesi gereken lisans bedeline göre hesaplanacaktır. Hak ihlaline katılan platformlar, içerik üreticileri ve dağıtıcılar müteselsil sorumluluk altına girecektir.

Türkiye ve AB bu yaklaşıma henüz katılmış değildir; ancak GDPR ve KVKK'nın "özel nitelikli kişisel veri" koruma rejimleri, biyometrik verinin izinsiz kullanımını ciddi bir ihlal olarak tanımlamaktadır. Türk hukuku açısından bu tartışmanın, ilerleyen dönemde hem AB uyum mevzuatı hem de kişilik hakkı içtihadının gelişimi üzerinden şekillenmesi beklenmektedir.

3.3 Cezai Boyut

Türk Ceza Kanunu kapsamındaki kişisel verilere ilişkin suçlar, dijital kimlik sahteciliğini kısmen karşılasa da deepfake teknolojisiyle üretilen kimlik manipülasyonunu doğrudan ve bütünüyle kapsayan bağımsız bir suç tipi henüz tanımlanmamıştır. Bu boşluğun kapatılmasına yönelik tartışmalar, ceza hukuku doktrini ve karşılaştırmalı hukuk çevrelerinde sürmektedir.

IV. KVKK ve Veri Minimizasyonu 2.0

Dünyada dijitalleşmenin ilk dalgasında şirketler ne kadar çok veri toplarlarsa o kadar güçlü olduklarına inanıyordu. Ancak bu anlayış güncel teknoloji ekseninde tersine döndü.

Kriptografik "Sıfır Bilgi Kanıtı" (Zero Knowledge Proof - ZKP) yöntemi teknik literatürde uzun süredir bilinmekte; ancak uygulama maliyeti yaygın kullanımını engellemektedir. Bu yöntemin özü, bir sistemin, doğrulanması gereken veriyi (ör. yüz görüntüsü) depolamadan yalnızca "bu kişi gerçekten bu kişidir" sonucunu üretip saklayabilmesine dayanmaktadır.

KVKK'nın "veri minimizasyonu" ve "amaçla sınırlılık" ilkeleri, gereğinden fazla biyometrik veri depolanmasını zaten başlı başına bir hukuka aykırılık olarak tanımlamaktadır. Bu ilkelerin deepfake tehdidi bağlamında daha sıkı yorumlanması ve ZKP gibi yöntemlerin fiilî standart haline getirilmesi, giderek güçlenen bir ihtiyaçtır.

V. İspat Hukuku Boyutu: Deepfake'i Kim Kanıtlayacak?

Hukuk yargılamasında dijital delil, uzun yıllar boyunca kağıt delilin güvenilir bir muadili olarak kabul görmüştür. Dijital imza, zaman damgası, sunucu kayıtları gibi veriler ve bunların teknik güvenilirliği neredeyse mutlaktı. Ancak Deepfake 2.0 ile bu mutlakiyetin aksi ispatlanmıştır. Basit bir anlatımla, bir kimseye ait olduğu ileri sürülen bir video kaydı delil olarak sunulursa, o kaydın gerçek olmadığı nasıl kanıtlanacaktı?

Bu soru, mahkemeleri teknik bilirkişilik standartlarını yeniden düşünmeye zorlamaktadır. Yazılım mühendisliği veya genel siber güvenlik uzmanlığının, deepfake kaynaklı uyuşmazlıklarda yeterli bir bilirkişilik zemini oluşturup oluşturmadığı tartışmalıdır. Adli bilişim alanında "yapay zeka ile üretilmiş içerik tespiti" konusunda özelleşmiş uzmanlığa duyulan ihtiyaç ise giderek artmaktadır.

Öte yandan blockchain tabanlı içerik doğrulama altyapıları, görüntü ve ses kayıtlarının "çekilme anından" itibaren kriptografik olarak imzalanıp değişmez bir zincire eklenmesi yöntemi, hem teknik hem de hukuki bir çözüm aracı olarak öne çıkmaktadır. Bu tür altyapıları benimseyen tarafların, ileride çıkacak uyuşmazlıklarda ispat pozisyonunu önemli ölçüde güçlendireceği değerlendirilmektedir.

VI. Uluslararası Hukuk Boyutu ve Yetki Alanı Sorunu

Deepfake saldırıları yapısal olarak sınır ötesi bir nitelik taşımaktadır: saldırıyı gerçekleştiren kişi bir ülkede, mağdur başka bir ülkede, kullanılan altyapı ise üçüncü bir ülkede olabilmektedir. Bu tablo, klasik özel uluslararası hukuk kurallarının işlemesini fiilen güçleştirmektedir. Hangi devletin mahkemeleri yetkilidir veya hangi devletin hukuku uygulanacaktır?

Bu soruların yanıtları henüz uluslararası hukukta oturmuş değildir. Yapay zeka kaynaklı kimlik sahteciliğine özgü çok taraflı bir hukuki çerçeve bulunmamakta; mevcut boşluk, siber suçlara ilişkin Budapeşte Sözleşmesi ve GDPR gibi araçlarla kısmen kapatılmaya çalışılmaktadır.

Türkiye açısından yetki alanı sorunları, ağırlıklı olarak TCK'nın yurt dışında işlenen suçlara ilişkin hükümleri ve mağdurun Türkiye'de bulunmasına bağlanan yargı yetkisi kuralları üzerinden değerlendirilmektedir. Uluslararası adli iş birliği mekanizmalarının bu yeni tehdit modeline göre güncellenmesi ise hâlâ tartışma gündemindedir.

Bu yazı, güncel hukuki gelişmeleri akademik ve pratik hukuk perspektifinden değerlendiren bir analiz niteliği taşımaktadır. Bireysel hukuki tavsiye niteliği taşımamaktadır. Atıf yapılan düzenleyici çerçeveler ve doktrin tartışmaları kamuya açık kaynaklara dayanmakta olup uygulamaya ilişkin somut uyuşmazlıklarda güncel kaynaklardan bağımsız hukuki danışmanlık alınması önerilir.