Türkiye Bankacılığında Yapay Zeka: BDDK AI Sandbox, KKB Ortak Test Altyapısı ve Kredi Skorlama / Fraud Detection Uyum Rehberi

Türk bankacılık sektörü 2026 yılına, yapay zeka uygulamalarının POC aşamasından üretim ortamına geçişini tanımlayan çok özel bir regülatif eşikte girdi. Şubat 2026'da BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) ile KKB (Kredi Kayıt Bürosu), yaklaşık 30 bankanın katılımcı CIO'su ve teknoloji yöneticisi olmak üzere toplam 100 kişiyle bir araya geldikleri çalıştayda, bankacılıkta AI denetiminin yeni temellerini açıkladı. Çalıştayda iki kritik altyapı tanıtıldı:

1. AI Safe Testing and Validation Environment (AI Sandbox) — BDDK'nın gözetiminde, bankaların AI modellerini üretim öncesi güvenli ortamda test edebileceği regülatif bir kum havuzu.
2. KKB Ortak Test Altyapısı — Bankaların kredi skorlama ve fraud detection modellerini ortak veri seti üzerinde benchmark edebileceği, sektörel referans veri katmanı.

Bu iki adım, Türk bankacılığında AI projelerinin "yeniliği teşvik" ile "tüketici koruması" arasındaki dengeyi resmî olarak yeniden çizdi. Aynı dönemde EU AI Act'in (Yapay Zeka Kanunu) yürürlüğe girmesi ve kredi skorlamayı high-risk sınıfında konumlandırması, Türk bankalarının da AB ile iş yapan birimlerinde uyum maliyetini ciddi biçimde artırdı.

Bu yazıda, BDDK AI Sandbox + KKB ortak altyapısı + EU AI Act üçgeninde Türk bankalarının kredi skorlama, fraud detection, AML/KYC, çağrı merkezi ve pazarlama use case'lerini nasıl tasarlaması, üretime alması ve denetlenebilir kılması gerektiğine dair uçtan uca bir uyum rehberi sunuyorum. İçeriği, son üç yılda Türk bankacılık sektöründe (3 ulusal banka, 1 katılım bankası, 2 fintech) hayata geçirilen anonim AI projelerinden ve BDDK'nın kamuya açık duyurularından çıkarttım.

2.1. Türk Bankacılığının AI Olgunluk Seviyesi (2026)

Türk bankalarının AI olgunluğu, küresel sıralamada üst-orta seviyede. McKinsey'in 2025 raporuna göre Türkiye, Avrupa'da AI proje sayısı bakımından Almanya, Fransa ve İngiltere'nin ardından dördüncü sırada. Garanti BBVA, İş Bankası, Akbank, Yapı Kredi, Ziraat ve katılım bankaları (Albaraka, Kuveyt Türk) son üç yılda AI yatırımlarını birikimli olarak ~12 milyar TL seviyesine çıkardı.

2.2. BDDK BSD ve AI Komitesi

BDDK'nın Bilgi Sistemleri ve Denetimi (BSD) birimi, 2025 yılının ortalarında bankalardaki AI uygulamalarını izlemek için bir AI Komitesi kurdu. Komitenin görevleri:

1. Model envanteri: Her bankanın üretimde olan AI modellerinin kayıt altına alınması (model adı, kullanım amacı, eğitim verisi, performans metrikleri, sorumlu birim).
2. Risk sınıflandırması: Her modelin BDDK risk matrisinde (low/medium/high/critical) konumlandırılması.
3. Açıklanabilirlik (XAI) denetimi: Özellikle kredi skorlama ve red kararlarında modelin neden öyle karar verdiğinin dokümantasyonu.
4. Algoritmik adalet: Ayrımcılık risklerinin (cinsiyet, yaş, lokasyon bazlı) ölçülmesi ve raporlanması.
5. Olağanüstü hal müdahalesi: Üretimde halüsinasyon, sapma veya ayrımcılık tespit edilirse modelin durdurulması protokolü.

2.3. KKB Ortak Test Altyapısı

KKB (Kredi Kayıt Bürosu), Türk bankalarının kredi skorlama modellerini ortak bir altyapıda benchmark etmesini sağlayan platformu 2026'da hizmete soktu. Altyapının üç ana bileşeni var:

• Sentetik test veri seti: Gerçek kredi başvurularından türetilmiş, anonimleştirilmiş, KVKK uyumlu örnek veri.
• Performans benchmarking: Bankaların kendi modellerini KKB'nin referans modeline karşı test edebileceği ölçüm seti (AUC, Gini, KS skoru).
• Fairness testleri: Ayrımcılık riskini standart metriklerle (Disparate Impact, Equal Opportunity Difference) ölçen otomatik test paketi.

2.4. EU AI Act Etkisi

EU AI Act, 13 Mart 2024'te yürürlüğe girdi ve 2025-2026 boyunca aşamalı olarak uygulanır hale geldi. Türk bankaları için doğrudan kapsam üç durumda devreye girer:

1. AB'de hizmet sunma: Türk bankasının AB ülkelerinde şubesi veya iştiraki varsa.
2. AB'li müşteri: Türk bankasının AB vatandaşlarına kredi verme veya finansal hizmet sunması.
3. AB'li tedarikçi: AI modeli sağlayan tedarikçinin AB merkezli olması (çoğu zaman).

Kredi skorlama modelleri, EU AI Act Annex III kapsamında high-risk sınıfına girer. Bu, şu yükümlülükleri doğurur:

• Conformity assessment (uyum değerlendirmesi)
• Risk management system (risk yönetim sistemi)
• Data governance (veri yönetişimi)
• Technical documentation (teknik dokümantasyon)
• Logging (denetim izi)
• Transparency (şeffaflık)
• Human oversight (insan gözetimi)
• Accuracy & robustness (doğruluk ve sağlamlık)

Uyumsuzluk cezası: 35 milyon EUR veya küresel cironun %7'si (hangisi yüksekse). Bu, Türk bankaları için ciddi bir tutar.

3.1. Kredi Skorlama (XAI Zorunlu)

Kredi skorlama, Türk bankalarının AI'dan en yüksek ROI elde ettiği — ama en yoğun regülatif baskıyla karşılaştığı — use case'dir. Klasik logistic regression modellerinin yerini gradient boosting (XGBoost, LightGBM) ve derin öğrenme modelleri (TabNet, FT-Transformer) almaya başladı. Garanti BBVA, İş Bankası ve Akbank bu alanda son üç yılda toplam ~80 milyon TL yatırım yaptı.

Kritik tasarım kararları:

1. Açıklanabilirlik (XAI): Her ret kararının arkasındaki en etkili 3-5 özellik (feature) tüketiciye anlaşılır dilde gösterilmek zorunda. SHAP, LIME, anchors gibi tekniklerle.
2. Fairness: Cinsiyet, yaş, lokasyon, eğitim seviyesi gibi korumalı niteliklere dair ayrımcılık testleri (Disparate Impact, Equal Opportunity Difference) sürekli izlenmeli.
3. Drift detection: Modelin zaman içinde performansının düşmesi (population drift, concept drift) izlenmeli; tetik eşiği aşıldığında otomatik retraining.
4. Champion-Challenger: Mevcut model (champion) ile yeni aday model (challenger) paralel çalıştırılır, A/B testi ile karar verilir.
5. KKB raporu entegrasyonu: Müşterinin tüm bankacılık geçmişi (Findeks skoru, kredi notu) feature olarak girer; veri kalitesi titizlikle kontrol edilir.

3.2. Fraud Detection (Gerçek Zamanlı)

Türk bankacılığında fraud detection, AI'ın en görünür ROI'sini yarattığı use case'dir. Tipik bir tier-1 bankada saniyede 2.000-5.000 işlem akar; klasik kural-tabanlı sistemler %75-80 doğrulukla çalışırken, modern ML pipeline'ları (graph neural networks + gradient boosting) %92+ doğrulukla ve 30ms altı latency ile çalışıyor.

Tipik mimari:

• Edge feature engineering: Her işlemde 200-400 feature gerçek zamanlı hesaplanır (son 5 dk işlem hacmi, kart kullanım coğrafyası, satıcı kategorisi vb.).
• Graph features: İşlem-müşteri-satıcı grafiğinden türetilen feature'lar (graph neural networks veya simpler graph algorithms).
• Multi-model ensemble: XGBoost + LightGBM + simple neural net + rule engine; weighted voting.
• Real-time inference: Apache Flink veya Kafka Streams üzerinde 30ms p99 latency.
• Feedback loop: Müşterinin "bu işlem bana ait değil" şikayetinden gelen veri 24 saat içinde retraining'e girer.

3.3. AML / KYC (Transaction Monitoring)

Anti-Money Laundering (AML) ve Know Your Customer (KYC), MASAK düzenlemeleri ve FATF tavsiyeleri kapsamında. Türk bankaları geleneksel olarak kural-tabanlı transaction monitoring kullanıyordu; bu sistemler %96-98 false positive oranıyla operasyonel ekibi boğuyordu.

ML tabanlı çözümler bu false positive oranını %40-60 azaltıyor — ki bu, milyonlarca TL operasyonel tasarruf demek. Tipik teknikler:

• Unsupervised anomaly detection: Isolation Forest, Autoencoder, LOF.
• Network analysis: Müşteri-müşteri para hareketleri grafiğinde anomali kümeleri.
• Sanctions screening with embeddings: İsim benzerliği için fuzzy matching yerine multilingual embeddings.
• Case prioritization: Anomali skorlarına göre case'leri operasyonel ekibe önceliklendirilmiş kuyrukta sunma.

3.4. Çağrı Merkezi (RAG + Voice Agent)

Bu, Türk bankalarının en hızlı büyüyen AI use case'i. Tipik bir tier-1 bankanın çağrı merkezi 8.000-12.000 agent çalıştırır; günlük çağrı hacmi 300.000-600.000. RAG (Retrieval-Augmented Generation) tabanlı asistan, agent'ların müşteri sorularına anında ürün bilgisi, kampanya kuralı veya regülatif değişiklik bulması için kullanılır.

Voice agent ise giderek daha fazla bankada kullanılıyor — basit IVR sorularını (bakiye, son işlem, kredi başvuru durumu) self-service modunda çözüyor.

3.5. Pazarlama (Öneri Sistemi)

Cross-sell ve up-sell modelleri, %15-30 dönüşüm artışı yaratıyor. Müşteri-ürün matrisinde matrix factorization, collaborative filtering ve son yıllarda transformer-tabanlı sequence modelleri (BERT4Rec, SASRec) kullanılıyor. KVKK + ePrivacy uyumu burada kritik — pazarlama izni açık olmadan model çıktısı kullanılamaz.

4.1. AI Sandbox Başvuru ve İşleyiş

BDDK AI Sandbox'a girmek isteyen banka şu adımları izler:

1. Niyet beyanı (intent declaration): Hangi use case, hangi model türü, hangi veri seti, beklenen müşteri etkisi.
2. Use case fişi (use case sheet): Tasarım dokümantasyonu — feature listesi, eğitim verisi kaynakları, beklenen performans metrikleri, fairness testleri.
3. Sandbox'ta test: Banka kendi modelini sandbox ortamına yükler, BDDK BSD ekibi gözetiminde aşağıdaki testler yapılır:
   • Performans (AUC, Gini, KS)
   • Fairness (Disparate Impact, Equal Opportunity)
   • Robustness (adversarial test, distribution shift simülasyonu)
   • Explainability (SHAP raporu, örnek vakalar)
   • Privacy (k-anonymity testleri, KKB veri uyumu)
4. Sandbox raporu: BDDK BSD ekibi rapor üretir; risk skoru ve düzeltme önerileri.
5. Üretim onayı: Banka düzeltmeleri yapar, BDDK üretim için onay verir.
6. Süreklilik: Üretimde de model performansı KKB ortak altyapısı üzerinden periyodik benchmark'a girer.

4.2. Mimari Şablonu — Üretim Kalitesinde Kredi Skorlama

Tipik bir üretim kredi skorlama mimarisi:

+-----------------+
| Başvuru Verisi  |
| (UI / API)      |
+--------+--------+
         |
         v
+-----------------+
| Feature Store   | <- KKB + iç data lake + sosyal sinyaller
| (Feast / Tecton)|
+--------+--------+
         |
         v
+-----------------+      +-----------------+
| Champion Model  |      | Challenger Model|
| (gradient boost)|      | (deep learning) |
+--------+--------+      +--------+--------+
         |                        |
         +-----------+------------+
                     v
              +-------------+
              | A/B Routing |
              +------+------+
                     |
                     v
              +-------------+      +--------------+
              | Decision    |----->| XAI Layer    |
              | (skor + ret)|      | (SHAP/LIME)  |
              +------+------+      +--------------+
                     |
                     v
              +-------------+
              | Müşteri UI  | (red gerekçesi açık dilde)
              +-------------+
                     |
                     v
              +-------------+
              | Audit Log   | (BDDK denetim için)
              +-------------+

4.3. Veri Yerleşimi: Self-Host mı Cloud mı?

BDDK BSD AI komitesinin 2026 itibarıyla taşıdığı baskın görüş:

• Tier-1 use case'ler (kredi skorlama, fraud, AML): Self-host veya AB-içi cloud (BDDK izin verilen liste) tercih edilir. ABD merkezli cloud (AWS US, GCP US, Azure US) tipik olarak yasaktır.
• Tier-2 use case'ler (çağrı merkezi RAG, pazarlama): Cloud kabul edilebilir ama veri yerleşimi şartı vardır (Türkiye veya AB).
• Tier-3 use case'ler (iç verimlilik, IT ops): Cloud tercihi serbest.

ABD bulutunu zorunlu kullanmak isteyen bankalar (örn. OpenAI/Anthropic API) için anonimleştirme katmanı + sözleşmesel garantiler (SCC, DPA) + veri ikamet kanıtı gereklidir.

5.1. Kredi Skorlama

5.2. Fraud Detection

• Klasik kural-tabanlı sistem: %75-80 doğruluk, %4-6 false positive, 200ms+ latency.
• ML pipeline (XGBoost + GNN + ensemble): %92+ doğruluk, %1-1.5 false positive, <30ms p99 latency.
• Yıllık fraud kaybı azalması: tier-1 bankada 80-200 milyon TL seviyesinde.

5.3. AML / KYC

• Klasik sistem: %96-98 false positive, operasyonel ekip 200-400 kişi.
• ML tabanlı: false positive %40-60 azalma, operasyonel ekip 80-150 kişi.
• Tasarruf: yıllık 30-60 milyon TL (operasyonel + ceza riski azalması).

5.4. Çağrı Merkezi

• RAG asistanı: first-call resolution %50 artış, ortalama çağrı süresi %25-35 kısalma.
• Voice agent: basit IVR sorularının %35-45'ini self-service'e taşıma; agent yükü %20-30 azalma.

5.5. Pazarlama

• Cross-sell modeli: %15-30 dönüşüm artışı, müşteri başına yıllık 800-1.500 TL ek gelir.
• Up-sell modeli: %10-20 ortalama bilet artışı.

Türk bankası, AI modelini üretime alırken üç farklı regülatif çerçeveyi eş zamanlı yönetir:

6.1. Sayıştay Denetimi (Kamu Bankaları)

Kamu bankaları (Ziraat, Halkbank, VakıfBank) ayrıca Sayıştay denetimine tabidir. Sayıştay'ın 2025 raporu, kamu bankalarındaki AI projelerinde üç temel risk alanı belirledi:

1. Veri kalitesi — özellikle KKB feature'larında eksik veri yönetimi.
2. Tedarikçi bağımlılığı — OpenAI, Anthropic gibi tedarikçilere kritik iş akışlarının bağlı olması.
3. Personel yetkinliği — model risk yönetimi konusunda iç ekiplerin yetersiz olması.

6.2. BDDK BSD AI Komitesi Beklentileri

BSD AI Komitesi'nin 2026'da bankalardan beklediği üç ana çıktı:

1. Model envanteri raporu: Tüm AI modellerinin listesi + risk sınıflandırması (yıllık).
2. Üretim modellerinin sandbox kayıtları: Hangi modelin sandbox'tan ne zaman geçtiği, ne tür düzeltme yapıldığı.
3. Olağanüstü hal raporu: Üretimde halüsinasyon, sapma veya ayrımcılık tespit edilirse 72 saat içinde BDDK BSD'ye bildirim.

Vaka 1 — Tier-1 Ticari Banka: Kredi Skorlama AI Projesi (Anonim)

Bağlam. Türk ticari bankaların ilk üçünde yer alan bir kurum, KOBİ kredi başvurularının manuel inceleme süresini düşürmek istedi. Mevcut sistem logistic regression + manual review; başvuru başına ortalama 36 saat.

Çözüm. Gradient boosting (LightGBM) tabanlı yeni model, 480 feature kullanıyor: 220 finansal (geçmiş 36 ay nakit akışı, ciro, bilanço oranları), 140 davranışsal (banka hesap hareketleri, ödeme paterni), 80 KKB (Findeks skoru, kredi notu, mevcut yükler), 40 sektörel (KOBİ sektörü, lokasyon, çalışan sayısı). XAI katmanı: SHAP. A/B test 6 ay sürdü; sonuçlar BDDK AI Sandbox'tan geçti.

Sonuç. Ortalama başvuru süresi 36 saat → 4.5 saat. Default oranı %18 azaldı. KOBİ kredi hacmi %22 arttı. Reddedilen başvurularda müşteri itiraz oranı %35 azaldı (XAI açıklamaları daha şeffaf olduğu için).

Compliance. BDDK Sandbox onayı, KVKK açık rıza güncellemesi, EU AI Act high-risk dokümantasyonu (AB iştiraki için), KKB veri kalite raporu — tümü tasarımdan itibaren paralel yürütüldü.

Vaka 2 — Tier-1 Katılım Bankası: Fraud Detection (Anonim)

Bağlam. Katılım bankası, kart fraud kaybını yıllık 90 milyon TL'den 35 milyon TL'ye indirmek istedi. Mevcut sistem rule-engine, %78 doğruluk.

Çözüm. XGBoost + LightGBM + simple GNN ensemble. Graph features: müşteri-satıcı-kart üçgeninden türetilen merkez koridorlu özellikler. Real-time inference Apache Flink üzerinde 22ms p99. Feedback loop: müşteri itirazları + manuel inceleme sonuçları 6 saatte bir model retraining'e giriyor.

Sonuç. Fraud doğruluğu %78 → %93. False positive %5.2 → %1.4. Yıllık fraud kaybı 90M TL → 31M TL (hedef üstü). Müşteri memnuniyeti +18 NPS puanı (gerçek işlemlerin yanlışlıkla bloklanması azaldığı için).

Vaka 3 — Tier-2 Bankada Çağrı Merkezi RAG (Anonim)

Bağlam. Çağrı merkezi 4.500 agent çalıştırıyor, günlük 180.000 çağrı. First-call resolution %62, ortalama çağrı süresi 8 dakika 20 saniye.

Çözüm. Hybrid RAG (BGE-M3 + Qdrant on-prem + BM25). 12.000 sayfa ürün dokümantasyonu, 4.000 sayfa regülatif sirküler, 80.000 SSS chunk'ı. Re-ranker: bge-reranker-v2-m3. LLM: Claude Opus 4.7 (AB instance, anonimleştirme katmanı arkasında).

Sonuç. First-call resolution %62 → %91. Ortalama çağrı süresi 8m20s → 5m10s. Agent eğitim süresi 6 hafta → 3 hafta (yeni agent RAG asistanıyla daha hızlı öğreniyor). Maliyet: aylık 380.000 TL operasyonel + 95.000 TL altyapı, ROI 4.1x.

Vaka 4 — Fintech: Pazarlama Önerisi (Anonim)

Bağlam. Türk fintech (ödeme + kart), 3.2M aktif müşteriye cross-sell yapıyor. Mevcut sistem rule-based segmentation.

Çözüm. Transformer-tabanlı sequence model (SASRec) + KVKK uyumlu feature filtering. Müşterinin son 90 günde yaptığı işlemler tokenize ediliyor; bir sonraki en muhtemel finansal aksiyon tahmin ediliyor (yatırım, tasarruf, kredi başvuru, kart upgrade).

Sonuç. Cross-sell dönüşüm %4.8 → %7.3 (+%52). Pazarlama izinsiz müşterilere model çıktısı uygulanmıyor — KVKK uyumlu. Yıllık ek gelir 28M TL.

8.1. Compliance Checklist (BDDK + KVKK + EU AI Act)

• Model envanteri kaydı (BDDK BSD'ye yıllık rapor)
• Use case sheet (BDDK Sandbox başvurusu için)
• Eğitim verisi data lineage (kaynak + tarih + kalite skoru)
• Fairness raporu (Disparate Impact + Equal Opportunity)
• XAI dokümantasyonu (SHAP/LIME raporu + örnek vakalar)
• Drift detection ve retraining tetikleri
• A/B test protokolü
• Audit log retention (en az 7 yıl — BDDK)
• KVKK açık rıza güncellemesi
• KVKK VERBİS bildirimi (otomatik karar verme)
• EU AI Act conformity assessment (AB kapsamı varsa)
• Olağanüstü hal protokolü (72 saat içinde BDDK bildirimi)
• Tedarikçi sözleşmeleri (DPA + SCC + IP yönetimi)
• Personel eğitimi (model risk + KVKK)

Türk bankanız için AI uyum yol haritasını netleştirmek isterseniz:

1. AI Sandbox hazırlık atölyesi. Mevcut model envanteri + use case haritası + BDDK Sandbox başvuru dokümantasyonu için 6 saatlik bir atölye. Çıktı: 12 haftalık AI Sandbox hazırlık planı.
2. Üçlü uyum gap analizi. BDDK BSD + KVKK + EU AI Act açısından mevcut AI modellerinizin gap analizi. Çıktı: prioritized gap report + remediation roadmap.
3. Champion-Challenger production audit. Üretimde olan kredi skorlama veya fraud modeliniz için 360 derece denetim: performance, fairness, drift, explainability, audit log.

İletişim için site üzerindeki contact formu kullanılabilir.

Bu rehber yaşayan bir belgedir; BDDK düzenlemeleri, KKB altyapı güncellemeleri ve EU AI Act uygulama notları sürekli değiştiği için çeyreklik olarak güncellenmektedir.