Eylem çağrısı: FCC’nin KYC rejimi durdurulmalı

• ABD’de telefon hizmetlerine erişim temel iletişim altyapısı olarak ele alınmalı; ancak FCC’nin KYC kuralları incelemesi, sıradan kullanıcıların operatör hizmetine abone olmadan veya yenilemeden önce kimlik bilgisi vermek zorunda kalmasına yol açabilir
• FCC; ad, adres, devlet tarafından verilmiş kimlik ve alternatif telefon numarasının doğrulanmasını içeren önlemleri değerlendiriyor; ancak finans sektöründeki KYC örneklerinde görüldüğü gibi, kişisel tanımlayıcı bilgi sızıntıları ve belge ticareti piyasası nedeniyle kararlı suçluları güvenilir biçimde durduramaz
• Ön ödemeli telefonlar ve burner phone’lar yalnızca suç araçları değil; aile içi şiddetten kurtulanlar, ihbarcılar, gazeteciler, protestocular ve misillemeden kaçınmak isteyenler için gerekli bir gizlilik aracı olabilir
• Kolluk kuvveti listelerini sorgulama, müşteri ilişkisi bittikten sonra kayıtları 4 yıl saklama ve çağrı başına 2.500 dolar yaptırım değerlendirmesi, operatörleri aşırı doğrulama, aşırı saklama ve aşırı reddetme yönünde seçim yapmaya itebilir
• Bu konu henüz nihai bir kural değil; FCC, 25 Haziran 2026’ya kadar görüş, 27 Temmuz 2026’ya kadar da yanıt görüşleri kabul ediyor, dolayısıyla sıradan telefon kullanıcılarına zorunlu KYC uygulanmasına karşı çıkmak için hâlâ fırsat var

Robocall sorunu ve KYC incelemesi

• Robocall’lar, dolandırıcılık aramaları, numara sahteciliği, sahte garanti bildirimleri, sahte banka uyarıları ve otomatik siyasi spam’ler telefon sistemine duyulan güveni azaltıyor; Amerikalıların zamanına, parasına ve güvenliğine zarar veriyor
• Yasadışı arama sorunu gerçektir, ancak çözümü tüm sıradan kullanıcılara yönelik geniş kapsamlı kimlik doğrulaması olmamalı
• FCC, robocall’larla mücadele gerekçesiyle telefon sağlayıcılarının kullanıcıların kimlik bilgilerini toplamasını gerektirebilecek Know Your Customer kurallarını değerlendiriyor
• 30 Nisan 2026’da FCC, ses hizmeti sağlayıcıları için güçlendirilmiş KYC’yi ele alan Further Notice of Proposed Rulemaking metnini kabul etti
• Değerlendirme altındaki önlemler arasında, hizmet etkinleştirilmeden önce müşterinin adının, adresinin, devlet tarafından verilmiş kimliğinin ve alternatif telefon numarasının doğrulanmasını zorunlu kılmak da var
• Taslak, Başkan Brendan Carr ile Komisyon üyeleri Gomez ve Trusty tarafından onaylandı

KYC neden suçluları güvenilir biçimde durduramaz?

• Telefona erişim, kimlik doğrulama şartına bağlanmış bir ayrıcalık değil, temel altyapı olarak ele alınmalı
• Risk, FCC’nin robocall dolandırıcılarını cezalandırmak istemesinde değil; suçluları zor durumda bırakmak adına milyonlarca masum kullanıcıyı telekom kimlik veritabanlarına yerleştirmesinde yatıyor
• Finans sistemindeki KYC zorunluluklarına rağmen, düzenlenen kanallar üzerinden kara para aklama devam ediyor
• Suçlular, KYC doğrulamasını geçmek için gereken belgeleri sağlamakta büyük zorluk yaşamıyor
• Kişisel tanımlayıcı bilgiler sürekli sızdırılıyor; bu bilgilerin ticaretinin yapıldığı bir piyasa var ve yeni kimlikler ile ilgili belgeleri satın almanın maliyeti düşük

Burner phone’lar önemli araçlardır

• FCC; ön ödemeli ve faturalı tarifeler arasında KYC gerekliliklerinin farklı olup olmaması gerektiğini, kablosuz sağlayıcıların ön ödemeli SIM müşterilerinden hangi bilgileri aldığını ve üçüncü taraf satış noktalarından satın alınan ön ödemeli hizmetlere de KYC uygulanıp uygulanmaması gerektiğini değerlendiriyor
• Bu mesele, burner phone tartışmasının merkezinde yer alıyor ve ön ödemeli telefonlar filmlerdeki suçlu aksesuarlarından ibaret değil
• Ön ödemeli telefonlar; aile içi şiddetten kurtulanlar, işyerindeki usulsüzlükleri bildiren çalışanlar, kaynaklarını koruyan gazeteciler, misillemeden kaçınmak isteyen protestocular ve tüm iletişim hesaplarını devlet kimliğine bağlamak istemeyen kişiler için bir can simidi olabilir
• ACLU kıdemli politika analisti Jay Stanley, bu kural yapım sürecinin insanların burner phone edinme imkânını ellerinden alabileceğini ve düşük gelirli bireylere, aile içi şiddet mağdurlarına ve gizliliğe önem veren kişilere zarar verebileceğini uyardı
• Anonim veya takma adla iletişim, doğası gereği şüpheli bir davranış değildir

• Güvenlik ve gizlilik taktiği olarak KYC’siz telefon

  • KYC’siz telefon hizmetleri, yıllardır güvenlik ve gizlilik koruma taktiği olarak kullanılıyor
  • Kayda değer miktarda Bitcoin’e erişimi olduğu düşünülebilecek kişiler, wrench attack tehditlerine karşı kendilerini korumak için güçlü gizliliğe ihtiyaç duyabilir
  • Bu tehdit teoride kalmıyor; yüzlerce Bitcoiner fiziksel saldırıya uğradı ve swatting ile şantaj vakaları da mevcut

Gözetim, saklama ve yaptırım yapısının riskleri

• FCC teklifinin daha caydırıcı bölümleri, genel kimlik toplamanın da ötesine geçiyor
• FCC, risk temelli KYC farklılıkları bağlamında sağlayıcıların kolluk kuvvetlerinin tuttuğu terörist, terör örgütü ve “suçlu” listelerini sorgulaması gerekip gerekmediğini bile değerlendiriyor
• Bu tür listeler; yanlış pozitiflere, masum insanların şeffaf olmayan biçimde listeye eklenmesine ve mahkûmiyet ya da anlamlı bir hukuki süreç olmadan temel iletişim altyapısına erişimin reddedilmesine yol açabilir
• FCC bunu nihai karar değil de soru biçiminde ele alıyor olsa bile, bir telekom düzenleyicisinin normalleştirmesi için tehlikeli bir soru

• Uzun süreli saklama ve amaç genişlemesi

  • FCC, müşteri ilişkisi sona erdikten sonra KYC bilgileri ve destek kayıtlarının 4 yıl boyunca saklanmasını zorunlu kılacak bir seçeneği değerlendiriyor
  • Hizmet sona erdikten sonra bile risk bitmiyor; kimlik bilgileri operatör veritabanlarında yıllarca kalabilir
  • Elde kalan bilgiler; ihlal, kötüye kullanım, celp, satış ve amaç genişlemesine maruz kalabilir
  • FCC, güçlendirilmiş KYC kurallarının yasadışı aramaların ötesindeki suç soruşturmalarına da yardımcı olup olmayacağını değerlendiriyor; hedefler arasında organize suç, insan kaçakçılığı, casusluk, etki operasyonları ve diğer ulusal güvenlik kaygıları yer alıyor
  • Telekom sağlayıcıları müşterileri doğrulamak, saklamak, yeniden doğrulamak ve taramak zorunda kalırsa, telefon sistemi açık bir iletişim ağından çok bir darboğaza benzer hâle gelir

• Çağrı başına yaptırım yapısı

  • FCC, KYC ihlallerini çağrı başına esasla değerlendirmeyi inceliyor
  • FCC, çağrı başına 2.500 dolarlık temel para cezasını açıkça öneriyor
  • Yetersiz taramanın cezası çağrı hacmine göre büyüyebilirse, sağlayıcılar kendilerini korumak için aşırı doğrulama, aşırı saklama ve aşırı reddetmeyi tercih edebilir
  • Şirketler için en güvenli seçim, tüketici gizliliğini koruyan değil, onu ciddi biçimde ihlal eden seçim olabilir

Gizlilik suç değildir

• Özgür bir toplumda, vatandaşların gizliliklerini korumak için sürekli mücadele etmek zorunda kaldığı bir yapı gerekmemeli
• Gözetim, veri saklama ve zorunlu iletişim araçlarına erişimin reddi yoluyla vatandaş haklarını zayıflatmak isteyen devlet, bunun gerekçesini ispatlamak zorundadır
• İletişim kanallarını kontrol etmek isteyen aktörler, istenmeyen konuşmacıları susturabilmek için ağ kullanıcılarını tanımlayabilmelidir
• FCC; yüksek hacimli ticari aramaları, ihmalkâr sağlayıcıları, numara sahteciliği altyapısını, SIM-box suistimalini ve tekrar eden kötü niyetli aktörleri, tüm sıradan kullanıcılara telefon numarası almak için kimlik belgesi sunmayı zorunlu kılmadan da hedef alabilir
• FCC, yasadışı çağrı trafiğine bilerek imkân sağlayan telekom şirketlerine yönelik yaptırımları güçlendirebilir
• Toplu göndericiler için dar kapsamlı ve risk temelli inceleme yükümlülükleri getirilebilir
• Tüm telefon kullanıcılarının iletişim kurmadan önce kim olduklarını kanıtlamak zorunda bırakıldığı bir yaklaşımın önüne geçilmelidir
• Ortalama vatandaş, hükümetin tamamen normal faaliyetlerde bulunan insanların listesini çıkarmasını istemez
• “Tüketiciyi koruma”nın gözetleme mekanizmasına dönüşmesini, gizliliğin bir açık gibi görülmesini ve robocall karşıtı kuralların devlet izni olmadan telefona erişmenin son pratik yolunu sessizce ortadan kaldırmasını istemiyorlar

KYC’nin gerçek riskleri nasıl artırdığı

• KYC, hassas kişisel tanımlayıcı bilgi toplamanın müşterileri başlı başına riske attığı için “Kill Your Customer” olarak adlandırılabilir
• KYC rejimleri yıllar boyunca büyük veri sızıntılarına yol açtı; ayrıca suçluların çalıntı kimliklerle KYC denetimlerini aşmak için yeni belgeleri kolayca edinmesine imkân tanıyarak KYC’nin güvenilirliğini zayıflattı
• Telefon hizmetlerinde KYC, hesapları kimliklere bağlayarak telefon hesabı güvenliğini aktif biçimde düşürebilir
• Suçlular yeterli kişisel tanımlayıcı bilgi elde ettiğinde, telekom şirketlerine karşı mağduru taklit edip mağdurun numarasını suçlunun kontrol ettiği bir SIM’e taşımaya çalışma konusunda daha avantajlı hâle gelebilir
• Bu SIM swapping ya da SIM hijacking sorunu 10 yılı aşkın süredir var ve hayatın daha fazla bölümünün dijitalleşmesiyle daha da kötüleşiyor
• Önemli çevrimiçi hesapların önemli bir kısmı telefon numaraları ve e-posta adreslerine bağlı durumda

• SIM hijacking’in yaygın saldırı zinciri

  • Suçlu, mağdurun telefon numarasını ele geçirir
  • Telefon numarasını kullanarak mağdurun ana e-posta hesabının erişimini sıfırlar
  • E-posta hesabı ve telefon numarasıyla finansal hesaplara erişimi sıfırlar
  • KYC, suçluları durdurma iddiasıyla sunulsa da, pratikte tüketicileri kötü niyetli aktörlerden korumaktan çok gizliliği ve güvenliği zayıflatan bir güvenlik tiyatrosuna daha yakındır
  • Bozuk bir sistemi hayatın daha fazla alanına yaymamak gerekir

Hâlâ geç değil

• Bu konu henüz nihai bir kural değil
• FCC, Federal Register üzerinden bu teklif değişikliğine ilişkin görüş istiyor
• Görüş gönderme son tarihi 25 Haziran 2026, yanıt görüşleri için son tarih ise 27 Temmuz 2026
• Zorunlu KYC kimlik doğrulamasına karşı FCC’ye kamuya açık görüş sunabilirsiniz
• Görüş gönderimi FCC formu üzerinden yapılabilir
• FCC’ye gönderilen görüşler kamuya açıktır; bu nedenle görüş metninde veya eklerde yer alan kişisel bilgilerin internette herkes tarafından görülebileceğini varsaymalısınız
• Dünyaya açıklandığında güvenli olmayacak hiçbir kişisel bilgiyi eklememelisiniz

Önerilen görüş metninin ana noktaları

• Sıradan telefon kullanıcıları ile ön ödemeli kullanıcıların, telefon hizmetini edinmenin veya yenilemenin koşulu olarak devlet tarafından verilmiş kimlik numarası, kimlik belgeleri, gerçek adres, alternatif telefon numarası ve benzeri kişisel bilgileri sunmasını gerektiren FCC kurallarına karşı çıkılmalı
• Robocall’lar ve dolandırıcılık aramaları ciddi bir sorundur; ancak tüm kullanıcılardan zorunlu kimlik bilgisi toplanması aşırı geniş, gizliliği ihlal eden ve meşru biçimde gizliliğe ihtiyaç duyan kullanıcılara zarar verme ihtimali yüksek bir yaklaşımdır
• Zarar görebilecek kullanıcılar arasında aile içi şiddetten kurtulanlar, gazeteciler, ihbarcılar, düşük gelirli vatandaşlar, siyasi örgütleyiciler ve misilleme ya da stalking ile karşı karşıya olan kişiler bulunur
• FCC, hizmet sunulmadan önce kolluk kuvveti izleme listeleri veya “suçlu” listelerinin sorgulanmasını zorunlu kılan talepleri reddetmelidir
• Temel iletişim altyapısına erişim; şeffaf olmayan listelere, istismara ve yanlış pozitiflere açık tarama sistemlerine ya da şeffaflıktan yoksun süreçlere bağlı olmamalıdır
• FCC ayrıca sıradan müşterilerin KYC kayıtlarının çok yıllı saklanması planını da reddetmelidir
• Müşteri hizmetten ayrıldıktan sonra kimlik bilgileri ve destek kayıtlarının saklanması, gereksiz ihlal, kötüye kullanım ve gözetim riski yaratır
• FCC; yüksek hacimli yasadışı arayıcıları, numara sahteciliği istismarını, SIM-box işletmelerini ve yasadışı trafiğe kasten ya da pervasızca imkân sağlayan sağlayıcıları dar kapsamlı ve kanıta dayalı biçimde hedef almalıdır
• Yeni kurallar hedefli olmalı, gizliliği korumalı, veri toplamayı en aza indirmeli ve meşru kullanıcıların ön ödemeli ile gizlilik korumalı telefon hizmetlerine erişimini korumalıdır
• Telefon hizmeti bir kimlik kontrol noktasına dönüştürülmemelidir
• Gizliliğin sürekli aşınmasından endişe duyan Amerikalılar şimdi seslerini yükseltmelidir