Federal Bureau of Investigation'ın son verilerine göre hesap basittir: Amerikalı tüketiciler ve işletmeler 2025 yılında internet tabanlı dolandırıcılığa 20,9 milyar dolar kaybettiler. Ancak bu başlık rakamı, suç ekonomisinde daha endişe verici bir kaymanın altını gizlemektedir. Bu kayıpların en büyük kısmı sofistike kötü amaçlı yazılım dağıtımlarından veya karmaşık veri ihlallerinden—siber güvenlik bütçelerinin ve düzenleyici denetimin çoğunu tüketen tehditlerden—kaynaklanmamıştır. Bunun yerine hasar, basitçe işe yarayacak kadar ikna edici olan mesajlardan, çağrılardan ve dijital profillerden ileri gelmiştir.
Bu otantiklik tabanlı dolandırıcılığa doğru kayış, son yirmi yıldır bankacılık ve ödeme sistemlerini hakim kılmış olan siber güvenlik paradigmasının temel bir tersine dönüşüdür. Sektör, savunmalarını saldırganların teknik sofistikeye ihtiyaç duyacağı varsayımı üzerine inşa etti: sıfır gün açıkları, botnet altyapısı, karmaşık aklama şemeleri aracılığıyla parse edilen çalınmış kimlik bilgileri. Uç nokta koruması, ağ segmentasyonu ve ihlal tespitine muazzam sermaye aktarıldı. Sorun her zaman teknoloji problemi olarak çerçevelendi ve daha fazla teknoloji aracılığıyla çözülebilir olarak görüldü.
Yapay zeka bu varsayımı parçaladı. İkna edici metin, sentez sesler ve davranışsal taklit oluşturmanın emtia haline gelmesiyle, yapay zeka dolandırıcılığın maliyet yapısını tersine çevirdi. Geleneksel sosyal mühendislik kampanyasının pahalı insan operatiflerine ihtiyaç duyduğu yerde—araştırmacılar, dilbilimciler, oyuncular—bir yapay zeka sistemi şimdi yüzbinlerce kişiselleştirilmiş kimlik avı mesajı, sahte arayanlar ve uydurulmuş kimlik profilleri marjinal maliyetle üretebilmektedir. Giriş engelleri çökmüştür. Temel istem mühendisliği becerileri ve mütevazı bulut bilişim kredilerine sahip bir kişi, beş yıl önce bir takım ve önemli altyapı gerektirmiş olacak bir dolandırıcılık operasyonu başlatabilmektedir.
Finans kurumları buna karşılık kendi yapay zeka sistemlerini dağıtmaya başlamışlardır ve bu da aldatmaya eğitilmiş üretken modeller ile aldatmayı tespit etmeye eğitilmiş makine öğrenmesi sistemleri arasında bir çeşit düşmanca silahlanma yarışı yaratmıştır. Yüzeysel olarak, bu mantıklı görünmektedir: yapay zeka ile savaş, saldırganın hızını ve ölçeğini eşleştirin. Ancak bu çerçeveleme, savunanların konumunda çok önemli bir zafiyeti gözden kaçırmaktadır. Saldırganlar düzenleyici yükün altında değildir. Saf verimlilik sınırında çalışırlar—minimum sürtünmeyle gelir getiren ne varsa hemen dağıtılır. Savunanlar ise saldırganların sahip olmadığı kısıtlamalar altında çalışırlar: meşru müşterileri rahatsız eden yanlış pozitif oranları, belirli tespit tekniklerinin kullanımını sınırlayan uyum gereklilikleri ve kanıtlanmamış teknolojilerin dağıtımını yavaşlatan kurumsal risk aversion.
Büyük bir ödeme işlemcisinin veya dijital bankanın pratik gerçeğini düşünün. Dolandırıcılık tespit sistemleri rekabet eden zorunluluklar arasında denge tutmalıdır: suçluları meşru işlemler engelle matadan yakalayın. Çok agresif bir sistem müşteri sürtünmesi, terk etme ve gelir kaybı yaratır. Çok permisif bir sistem dolandırıcılığı geçirtir. Bu gerilim yeni değildir, ancak yapay zeka bunu keskinleştirmiştir. Müşteri hizmetleri çağrılarında sentez sesleri tanımlamak için eğitilmiş bir makine öğrenmesi modeli, ağır aksanı veya ses bozuklukları olan meşru arayanları işaretleyebilir. Yapay zeka tarafından oluşturulan kimlik avı e-postalarını yüzde 99 doğrulukla tespit eden bir sistem, ölçekte hala günde yüzbinlerce yanlış pozitif üretecektir; bunların her biri insan incelemesi veya müşteri düzeltmesi gerektirir. Yanlış pozitiflerin ekonomik ve operasyonel maliyeti gerçek ve acildir; dolandırıcılığı yakalama faydası dağınık ve istatistikseldir.
Bankalar ve ödeme ağları—ECB tarafından düzenlenen kurumlar, Visa ve Mastercard gibi kart ağları ve Wise ve Revolut gibi gelişen fintech oyuncuları—ikinci bir sorunla karşı karşıyadır: doğrudan kontrolleri dışında kaynaklanan tehditlerden savunma yapıyorlar. Bankalarını taklit eden bir yapay zeka tarafından oluşturulan e-postaya aldatılan bir müşteri, kurumun kendisinin teknik olarak tehlikeye atılmış olup olmadığına bakılmaksızın, kuruma olan güvenini kırılmış bir müşteridir. İtibar zedelenmesi ciddi ve kalıcıdır. Ancak banka, bu tür saldırıların meydana geldiği dijital bir ortamda faaliyet göstermekten basitçe kaçınamaz. Sorunsuz dijital deneyimler sunma rekabeti—hızlı ekleme, sürtünmesiz ödemeler, minimal doğrulama adımları—yapay zeka tarafından yönlendirilen dolandırıcılığın istismar ettiği açıkları yaratır.
Düzenleyici organlar bu asimetriyi tanımaya başlamıştır. Avrupa Bankacılık Otoritesi ve benzeri denetim kurumları daha güçlü kimlik doğrulama standartları ve daha katı dolandırıcılık izlemesi için bastırma yapıyor. Ancak düzenlemelerin kendi gecikmesi sorunu vardır: yeni bir kural kodlanıp uygulandığında, tehdit ortamı zaten evrim geçirmiştir. Suçlular komitelerin toplanmasını beklemiyorlar.
Bu, ödeme ekosistemi için rahat olmayan bir geçiş döneminin anlamı taşımaktadır. Eski model—az sayıda büyük kurumun dolandırıcılık tespit altyapısının çoğunu kontrol ettiği ve saf pazar gücüyle standartlarını müşterilere dayatabildiği—parçalanmaktadır. Dolandırıcılık kayıplarını absorbe etmek veya muazzam tespit sistemleri işletmek için ölçeğe sahip olmayan daha küçük fintech firmaları orantısız riske karşı karşıyadır. Müşteriler, dijital kanallardan gittikçe şüpheci hale gelip, istatistiksel olarak daha riskli olsalar da daha güvenli hissettiren yavaş, daha manuel ödeme yöntemlerine göç edebilirler. Ve kurumlar, geçici avantaj sundığını bilerek yapay zeka tarafından yönlendirilen tespit sistemlerine yatırım yapmaya devam edecekler, saldırganlar adapte olmadan önce.
20,9 milyar dolar kayıp, başka bir milyar doların teknoloji harcamasının çözeceği birincil teknoloji problemi değildir. Bu bir bilgi problemidir: saldırganlar şimdi ölçekte otantiklik üretebilirler ve savunanlar gerekli olan hız ve hacimde otentik olanla uydurulmuş olanı verimli şekilde ayırt edemezler. Çözüm—eğer varsa—sadece daha iyi tespit sistemlerini değil, dijital finansta güven ve kimliğin nasıl oluşturulduğunun temel yeniden yapılandırılmasını gerektirecektir. Bu yeniden yapılandırma acılı, pahalı ve yıkıcı olacaktır. Ancak mevcut yol, yapay zeka tarafından oluşturulan dolandırıcılığın hızlandığı ve savunmaların yapısal olarak asimetrik kaldığı yol sürdürülemez.
Editorial ekip tarafından yazılmıştır — Codego Press tarafından desteklenen bağımsız gazeteciliğin.