Gen AI nedeniyle yasal işlem maliyetleri düşüyor — şirketler hazırlıklı olmalı

• Yapay zeka sayesinde müşteriler, çalışanlar, rakipler ve düzenleyici kurumlar daha kolay ve daha düşük maliyetle yasal yollara başvurabilir hale geliyor
• Geleceğin hukuki riski, internet phishing saldırılarına benzeyen türde hukuki incelemeler olarak ortaya çıkacak; kişisel olmaktan çok kitlesel üretilecek ve çok sayıda aktör tarafından başlatılacak
• Organize olduğunda, DDoS saldırılarında olduğu gibi hedefi yoğun trafik akışıyla işlevsiz bırakacak şekilde ilerleyebilir
• Şirketler, siber güvenlikteki karşı önlemleri örnek alarak açıkların belirlenmesi, etki analizi, risk azaltma önlemleri ve paydaş iletişim stratejilerini hızla oluşturmalı

Hukuk hizmetlerinde dönüştürücü değişim potansiyeli

• Geçen yıl ABD Hazine Bakanlığı, vergi kaçakçılığını önlemek amacıyla kripto para bilgi açıklamalarını genişleten bir düzenleme önerdi
• Kripto para sektörü, yükümlülüklerin fazla geniş olduğunu söyleyerek buna sert şekilde karşı çıktı
• Merkeziyetsiz finans sektörüne hukuki destek sağlayan geliştirici/avukat topluluğu "LexPunk Army", kurallar taslağına herkesin görüş sunabilmesini sağlayan bir AI botu yayımladı
• Bu bot sayesinde doğru formatta kolayca görüş sunmak mümkün hale geldi; kitlesel görüş gönderimi Hazine’nin adımlarını geciktirdi ve gelecekteki hukuki itirazların zemini oluştu
• Normalde yeni düzenlemelere gelen görüş sayısı yaklaşık 3 olurken, bu taslağa 120 bin görüş gönderildi
• Nihai kural büyük ölçüde yumuşatıldı ve Blockchain Association bunu sektör ile topluluğun güçlü sesinin yansıdığı bir sonuç olarak değerlendirdi
• Bu durumun teknoloji ve hukuka hakim küçük bir grubun tek seferlik zaferi olarak mı kalacağı, yoksa bireylerin ve şirketlerin hukuku kullanma biçiminde geniş çaplı bir sarsıntı mı yaratacağı sorusunu gündeme getiriyor
• Biz bunun ikincisi olduğuna inanıyoruz; bu, teknolojinin hukuk hizmetlerini ve süreçlerini çarpıcı biçimde büyüterek hükümetler ve şirketler için aynı anda hem fırsatlar hem de zorluklar yarattığı tipik bir örnek

İstikrarsız küresel konjonktür

• Sadece hukukun dijitalleşmesi değil, dünya konjonktürü de değişiyor
• Bugün dünya, jeopolitik istikrarsızlık ve hukukun üstünlüğündeki aşınma nedeniyle genel olarak artan bir hukuki maruziyet ortamında
• Şirket davranışlarını düzenleyen geleneksel hukuki mekanizmalar çözülüyor
  • WTO uyuşmazlık çözüm süreci etkisiz hale geldi
  • Yeni savaşlar yeni yaptırımlar anlamına geliyor
  • Ülkeler kendi başlarına yeni düzenlemeler getirerek uyulması gereken karmaşık kurallar oluşturuyor
  • Siyasetçiler, geleneksel olarak özgür ve adil kabul edilen yargı alanlarında rakiplerini yargılatmakla ve seçim sonuçlarına itiraz etmekle tehdit ediyor
• Bu karmaşa, küresel şirketler için yeni hukuki riskler yaratıyor
• 2022 tarihli bir ankete göre kurum içi hukuk sorumlularının %99’u hukuki sorunların önemli ölçüde arttığını ve daha karmaşık hale geldiğini söyledi
• Rakipler, çalışanlar, müşteriler ve devlet düzenleyici kurumları gibi ekonomik ya da siyasi çıkar peşindeki aktörlerden yasal girişimler gelebilir

Hukuki maliyetlerin düşmesi

• Şirketler her yıl yüz milyonlarca dolar hukuk hizmeti harcıyor
• Saat başına binlerce dolar avukat ücreti ödeyen bu şirketler hukuki maliyetlerin düştüğünü hissetmeyebilir, ancak köklü bir değişim bekleniyor
• Yaklaşık 100 bin kelimelik Hazine kripto para kuralı teklifine görüş sunma örneğine bakılırsa,
  • Ortalama bir kişi dakikada 225 kelime okuyorsa, yalnızca metni okumak 8 saat sürer
  • Buna yanıt yazmak da 2 saat daha alabilir
  • Bu hesap, analiz süresini değil, yalnızca anlamayı ve yanıt hazırlamayı içerir
  • Saatlik 500 dolarlık ortalama kurumsal ücret uygulandığında 10 saat için 5.000 dolar gerekir
  • Daha pahalı avukatlar daha kapsamlı çalışma yaparsa maliyet çok daha yüksek olabilir
• Ancak büyük dil modeline (LLM) bu taslak verildiğinde, birkaç dakika içinde kısa ve anlaşılır bir özet üretti
• LLM’ye Bitcoin broker’ı, Bitcoin alıcısı gibi farklı roller verildiğinde, her birinin bu kuralla neden ilgilenmesi gerektiğini açıkladı ve sunulabilecek görüşler yazdı
  • Bunun zaman ve maliyeti neredeyse yok
• Peki bu tür araçlar şirketlere karşı kötüye kullanılırsa ne olur?
  • Yeni girdiğiniz bir pazarda tehdit hisseden bir rakip, AI araçlarıyla şirketinizin herkese açık bilgilerini tarayıp yüzlerce telif hakkı ihlali, fikri mülkiyet ihlali ve ticari sırların kötüye kullanımı davası açarsa?
  • Küçük bir restoran ya da kahve dükkanı işletiyorsanız, mağazaya giren her akıllı telefon çalışan davranışını kaydedip yalnızca birkaç tıklamayla ayrımcılık iddiasıyla dava açmayı mümkün kılarsa?
  • Memnuniyetsiz bir müşteri, bir platformda birkaç düğmeye tıklayarak daha yüksek tazminat elde etmeyi ve uzlaşma bedelinden daha fazla avukatlık masrafı çıkarmayı amaçlayan bir şikayet başlatırsa?
• Şirketler çoğu zaman hukuka aykırı davranışlarda bulunsalar bile, hukuki karşılığın maliyeti yüksek olduğu için yaptırımdan kaçabiliyor
• Çalışanlar, müşteriler ve rakipler ise hukuki uyuşmazlıkların zaman, para ve dikkat tüketmesi nedeniyle temkinli davranıyor
• Ancak yasal girişimde bulunmak çok daha kolay hale gelirse daha fazla dava açılacaktır
• Bu da bol hukuki kaynağa ve uzmanlığa sahip şirketlerin asimetrik üstünlüğünü ortadan kaldırarak rekabet alanını dengeler
• Bazı durumlarda adaletin gerçekleşmesine katkı sağlar, bazı durumlarda ise haksız saldırıları teşvik eder
• Her hâlükârda şirketler için yeni bir hukuki risk dünyasının kapısını açar

Yeni siber risk

• Hukuki riskler alışılmadık gelebilir, ancak siber güvenlik alanı onlarca yıldır kitlesel risklerle uğraşıyor ve yaklaşan yasal girişim dalgasına karşı yararlı dersler sunuyor
• Yüzlerce şirketin karşılaştığı yasal girişim türleri ve bunları üreten teknolojik motorlar hakkında veri paylaşıldığını ya da açıkların paylaşılması ve azaltılması için ortak teknoloji yatırımı yapıldığını düşünün
  • Bu, siber güvenlikte sıradan bir durum
  • CVE(Common Vulnerabilities and Exposures)’den NVD(National Vulnerability Database)’ye kadar devletler, şirketler, akademi ve bug bounty avcıları bilgi paylaşımının önemini kavradı
• Ancak CEO’ların ya da hukuk yöneticilerinin şirketlerinin hukuki açıklarını ve maruziyetini paylaşmayı iyi bir fikir olarak görmesi zor
  • Avukat-müvekkil ayrıcalığı, gizlilik ve antitröst ihlali gibi gerekçelerle buna hemen karşı çıkacaklardır
  • Bu yaklaşım, belirli aktörlerin başlattığı somut hukuki adımlardan oluşan bildik hukuki risk yapısına dayanıyor
• Oysa geleceğin hukuki riski, internet phishing saldırılarına benzeyen türde hukuki incelemeler olacak
  • Kişisel olmaktan çok kitlesel üretilecek ve çok sayıda aktör tarafından başlatılacak
  • Organize olduğunda, DDoS saldırılarında olduğu gibi yoğun trafik akışıyla hedefi işlevsiz bırakacak şekilde ilerleyebilir
  • Bu, yorum yağmuruyla Hazine’yi bunaltma girişimine benziyor
• DDoS saldırıları önce küçük bir rahatsızlık gibi görünür, sonra aniden ciddi hale gelir
  • Sunucuya gönderilen isteklerin internetin doğal bir parçası olması gibi, bir kural taslağına görüş sunmak ya da müşteri şikayeti yapmak da idare hukukunun ve tüketici haklarının doğal bir parçasıdır
  • Ancak bir anda çok fazla talep gelirse sistem kilitlenir
• Siber güvenlikte temel anlayış, siber istikrarsızlığın suçlular ve düşman unsurlar dışındaki herkes için kötü olduğudur
  • Şirketler de kendilerini ve hassas müşteri verilerini koruyamadıkları için sorumlu tutulabilir, ancak çoğu durumda mağdur olarak görülürler
  • Petya(2016) ve NotPetya(2017) saldırıları aynı açığı kullanarak kullanıcı dosyalarını şifreledi, ancak amaçları farklıydı
    • Petya, suçlular tarafından dağıtılan bir fidye yazılımıydı; verileri geri almak için ödeme yapmak gerekiyordu
    • NotPetya’nın ise Rusya tarafından veri yok etme amacıyla yayıldığı düşünülüyor
    • Her iki durumda da Maersk gibi zarar gören şirketler mağdur kabul edildi
• Rusya gibi devlet aktörlerinin benzer saldırıları şirketler ya da zaten aşırı yük altındaki hukuk sistemi üzerinden hukuki sisteme yöneltmeyeceğini gerçekten söyleyebilir miyiz?
  • Kuzey Kore, Rusya ve İran, ABD’deki ırkçılığı ve adalete eşit erişim eksikliğini eleştiriyor
  • AI tabanlı dava hizmetlerini öfkeli müşterilere ya da rakiplere sunarak ABD’yi zor durumda bırakabilir ve büyük şirketlere duyulan güveni sarsabilirler
• Fidye talep edenler ceza riski nedeniyle sınırlanır, ancak saldırgan hukuki stratejiler izlemek yasaldır
  • Hatta böyle bir saldırının adalet sağlamak ve güç dengesizliğini azaltmak için etkili bir yol olduğuna kendini ikna etmek de kolaydır
• Hukuki tehditler arttıkça, kimin para peşinde olduğunu ve kimin saldırı maliyetine katlanmadan şirketleri acı verici ve utandırıcı delil toplama süreçlerine sokmak istediğini anlamak zorlaşacak
  • Bilgi ile gürültüyü ayırmanın zorlaştığı bir ortamda hukuki riskleri filtrelemek için yeni teknikler gerekecek
  • AI’ye karşı AI ile savaşmak doğal bir sonuç olacak

Yeni hukuki savunma hattı

• Bugün şirketler ciddi hukuki riskleri yönetim kurulunda ele alıyor ve yasal girişimler ile olaylar ancak önem eşiğini geçerse kurumsal risk radarına giriyor
  • Ancak bu, geleceğin hukuki riskleri için doğru filtreleme yöntemi değil
• Bu yeni gerçekliğe hazırlanmak için siber güvenliğin yaklaşımından yararlanmak gerekir
  • Açıkları, yeni tehditleri ve muhtemel etkileri, risk azaltma önlemlerini ve iç/dış paydaş iletişim stratejilerini hızla tespit etmek gerekir
  • Hukuk firması DLA Piper, şirketlerle birlikte 'legal red team' tatbikatları yaparak açıkları belirliyor
• İlk olarak temel yaklaşım ve stratejiyi oluşturun
  • Artan hukuki riske karşı yapılacak teknoloji yatırımlarına karar verilebilir
  • Elbette eski yöntem olan insan kaynağı artırımı, yani kurum içi avukat eklemek ya da işleri hukuk bürolarına dış kaynak olarak vermek de bir süre etkili olacaktır
• Ardından şirket strateji ekibi ile hukuk ekibi birlikte mevcut durumu analiz etmeli
  • Temel pazarlar nerede? Pazar payı için her yolu mubah gören rakipler nerede?
  • Hangi hukuk rejimlerine maruz kalınıyor ve AI tabanlı kitlesel hukuki saldırı durumunda bunlar nasıl işleyecek?
  • Çekilinmesi gereken yerler var mı? Şimdi kırılganlığı azaltacak hangi önlemler alınabilir?
• Küresel eğilimleri izlemek de önemlidir
  • Hukuki riskler için bir CVE sistemi yok, ancak hukuk işlerinin dijitalleşmesi ve yargı sisteminin şeffaflaştırılması çabaları sayesinde veri bol
  • Buna mevcut hukuki risk verileri de eklendiğinde çok iyi bir başlangıç noktası oluşur
• Risk belirlendiğinde bir müdahale ekibi kurun ve müdahale sistemleri ile süreçlerini tasarlayın
  • NIST CSF 2.0 gibi siber güvenlik en iyi uygulama çerçevelerini inceleyin ve kurum içi siber güvenlik ekibiyle görüşün
  • Hukuktan sorumlu yöneticiler, CISO’nun SOC işletme biçiminden çok şey öğrenebilir
• İş birliğine açık dış ortaklar arayın
  • Sektör birlikleri, iş ortakları ve bazı kamu kurumlarıyla birlikte belirli saldırı türlerine karşı kapsamlı yanıtlar geliştirilebilir
  • Düşüncesiz fikri mülkiyet iddiası dalgaları, düzenleyici ya da yasama desteği için lobi gerekçesi olabilir
• Son olarak bir uyarı: bu riski küçümsemeyin
  • Teknoloji sayesinde Hazine 120 bin görüş işlemek zorunda kaldı
  • "Hukuki sel gelmeden önce hazırlanın"