# Türkiye Bankacılığında Yapay Zeka: BDDK AI Sandbox, KKB Ortak Test Altyapısı ve Kredi Skorlama / Fraud Detection Uyum Rehberi

> Source: https://sukruyusufkaya.com/blog/turkiye-bankaciligi-yapay-zeka-bddk-ai-sandbox-kkb-2026
> Updated: 2026-07-11T19:50:06.801Z
> Type: blog
> Category: yapay-zeka
**TLDR:** BDDK'nın Şubat 2026'da ~30 banka ve 100 CIO ile tanıttığı AI Safe Testing and Validation Environment (AI Sandbox), KKB ortak test altyapısı, EU AI Act'in kredi skorlamayı high-risk olarak sınıflandırması ve Türk bankalarının kredi skorlama, fraud detection, AML ve çağrı merkezi use case'leri için uçtan uca uyum rehberi — gerçek vaka çalışmalarıyla.

<tldr data-summary="[&quot;BDDK ve KKB Şubat 2026&apos;&apos;da ~30 banka ve 100 CIO ile düzenlediği çalıştayda \&quot;AI Safe Testing and Validation Environment\&quot; (AI Sandbox) ve KKB ortak test altyapısını tanıttı — algoritmik denetim Türk bankacılığının yeni standardı.&quot;,&quot;EU AI Act, kredi skorlamayı high-risk sınıfa aldı; uyumsuzluk cezası 35 milyon EUR veya küresel cironun %7&apos;&apos;si — Türk bankaları AB&apos;&apos;ye iş yapıyorsa veya AB&apos;&apos;li müşterisi varsa kapsam dahilinde.&quot;,&quot;Üretimde 5 ana use case kazanıyor: kredi skorlama (XAI zorunlu), fraud detection (gerçek zamanlı, %92+ doğruluk), AML/KYC, çağrı merkezi (RAG + voice), pazarlama önerisi.&quot;,&quot;BDDK Bankacılık Kanunu + KVKK + EU AI Act üçlü uyum matrisi tasarımdan itibaren yönetilir; sonradan eklenen compliance bankada cezayla biter.&quot;,&quot;Veri yerleşimi kararı (self-host vs cloud) artık politik değil regülatif: BDDK Bilgi Sistemleri ve Denetim ekipleri (BSD) AI komitesi yerli/AB-içi hosted çözümlere ağırlık veriyor.&quot;]" data-one-line="BDDK''nın AI Sandbox''ı, KKB''nin ortak test altyapısı ve EU AI Act''in kredi skorlama high-risk sınıfı; 2026 Türk bankacılığında AI''ı POC''den üretime taşıyan üç regülatif kilit taşı."></tldr>

## 1. Giriş: Türk Bankacılığı AI'ın Regülatif Eşiğinde

Türk bankacılık sektörü 2026 yılına, yapay zeka uygulamalarının POC aşamasından üretim ortamına geçişini tanımlayan çok özel bir regülatif eşikte girdi. Şubat 2026'da BDDK (Bankacılık Düzenleme ve Denetleme Kurumu) ile KKB (Kredi Kayıt Bürosu), yaklaşık 30 bankanın katılımcı CIO'su ve teknoloji yöneticisi olmak üzere toplam 100 kişiyle bir araya geldikleri çalıştayda, bankacılıkta AI denetiminin yeni temellerini açıkladı. Çalıştayda iki kritik altyapı tanıtıldı:

1. **AI Safe Testing and Validation Environment (AI Sandbox)** — BDDK'nın gözetiminde, bankaların AI modellerini üretim öncesi güvenli ortamda test edebileceği regülatif bir kum havuzu.
2. **KKB Ortak Test Altyapısı** — Bankaların kredi skorlama ve fraud detection modellerini ortak veri seti üzerinde benchmark edebileceği, sektörel referans veri katmanı.

Bu iki adım, Türk bankacılığında AI projelerinin "yeniliği teşvik" ile "tüketici koruması" arasındaki dengeyi resmî olarak yeniden çizdi. Aynı dönemde EU AI Act'in (Yapay Zeka Kanunu) yürürlüğe girmesi ve kredi skorlamayı **high-risk** sınıfında konumlandırması, Türk bankalarının da AB ile iş yapan birimlerinde uyum maliyetini ciddi biçimde artırdı.

<definition-box data-term="AI Sandbox (AI Safe Testing and Validation Environment)" data-definition="BDDK'nın 2026'da bankalar için tanıttığı, AI modellerinin üretim ortamına girmeden önce sentetik veya anonimleştirilmiş gerçek veriyle test edilebileceği, denetlenmiş ve izole bir regülatif test ortamı. Bankalar burada model risk, açıklanabilirlik, ayrımcılık ve performans testlerini BDDK BSD ekibi gözetiminde yapar; üretime onayla geçilir." data-also="Düzenleyici Kum Havuzu, Regulatory Sandbox" data-wikidata="Q102269923"></definition-box>

Bu yazıda, **BDDK AI Sandbox + KKB ortak altyapısı + EU AI Act** üçgeninde Türk bankalarının kredi skorlama, fraud detection, AML/KYC, çağrı merkezi ve pazarlama use case'lerini nasıl tasarlaması, üretime alması ve denetlenebilir kılması gerektiğine dair uçtan uca bir uyum rehberi sunuyorum. İçeriği, son üç yılda Türk bankacılık sektöründe (3 ulusal banka, 1 katılım bankası, 2 fintech) hayata geçirilen anonim AI projelerinden ve BDDK'nın kamuya açık duyurularından çıkarttım.

## 2. Sektör Anatomisi: Türk Bankacılığında AI'ın Mevcut Konumu

### 2.1. Türk Bankacılığının AI Olgunluk Seviyesi (2026)

Türk bankalarının AI olgunluğu, küresel sıralamada üst-orta seviyede. McKinsey'in 2025 raporuna göre Türkiye, Avrupa'da AI proje sayısı bakımından Almanya, Fransa ve İngiltere'nin ardından dördüncü sırada. Garanti BBVA, İş Bankası, Akbank, Yapı Kredi, Ziraat ve katılım bankaları (Albaraka, Kuveyt Türk) son üç yılda AI yatırımlarını birikimli olarak ~12 milyar TL seviyesine çıkardı.

<stat-callout data-value="~12 milyar TL" data-context="Türk bankacılık sektörünün 2023-2025 dönemi birikimli AI/data altyapı yatırımı (kamuya açık raporlar + sektör kaynakları)" data-outcome="— bu rakamın yaklaşık %40'ı veri altyapısı (data lake, MLOps), %35'i model geliştirme, %25'i organizasyonel yetkinlik (eğitim, işe alım) için harcandı." data-source="{&quot;label&quot;:&quot;FinTech İstanbul Sektör Raporu 2025&quot;,&quot;url&quot;:&quot;https://www.fintechistanbul.org/raporlar&quot;,&quot;date&quot;:&quot;2025&quot;}"></stat-callout>

### 2.2. BDDK BSD ve AI Komitesi

BDDK'nın **Bilgi Sistemleri ve Denetimi (BSD)** birimi, 2025 yılının ortalarında bankalardaki AI uygulamalarını izlemek için bir **AI Komitesi** kurdu. Komitenin görevleri:

1. **Model envanteri:** Her bankanın üretimde olan AI modellerinin kayıt altına alınması (model adı, kullanım amacı, eğitim verisi, performans metrikleri, sorumlu birim).
2. **Risk sınıflandırması:** Her modelin BDDK risk matrisinde (low/medium/high/critical) konumlandırılması.
3. **Açıklanabilirlik (XAI) denetimi:** Özellikle kredi skorlama ve red kararlarında **modelin neden öyle karar verdiğinin** dokümantasyonu.
4. **Algoritmik adalet:** Ayrımcılık risklerinin (cinsiyet, yaş, lokasyon bazlı) ölçülmesi ve raporlanması.
5. **Olağanüstü hal müdahalesi:** Üretimde halüsinasyon, sapma veya ayrımcılık tespit edilirse modelin durdurulması protokolü.

### 2.3. KKB Ortak Test Altyapısı

KKB (Kredi Kayıt Bürosu), Türk bankalarının kredi skorlama modellerini ortak bir altyapıda **benchmark** etmesini sağlayan platformu 2026'da hizmete soktu. Altyapının üç ana bileşeni var:

- **Sentetik test veri seti:** Gerçek kredi başvurularından türetilmiş, anonimleştirilmiş, KVKK uyumlu örnek veri.
- **Performans benchmarking:** Bankaların kendi modellerini KKB'nin referans modeline karşı test edebileceği ölçüm seti (AUC, Gini, KS skoru).
- **Fairness testleri:** Ayrımcılık riskini standart metriklerle (Disparate Impact, Equal Opportunity Difference) ölçen otomatik test paketi.

### 2.4. EU AI Act Etkisi

EU AI Act, 13 Mart 2024'te yürürlüğe girdi ve 2025-2026 boyunca aşamalı olarak uygulanır hale geldi. Türk bankaları için **doğrudan kapsam** üç durumda devreye girer:

1. **AB'de hizmet sunma:** Türk bankasının AB ülkelerinde şubesi veya iştiraki varsa.
2. **AB'li müşteri:** Türk bankasının AB vatandaşlarına kredi verme veya finansal hizmet sunması.
3. **AB'li tedarikçi:** AI modeli sağlayan tedarikçinin AB merkezli olması (çoğu zaman).

Kredi skorlama modelleri, EU AI Act Annex III kapsamında **high-risk** sınıfına girer. Bu, şu yükümlülükleri doğurur:

- Conformity assessment (uyum değerlendirmesi)
- Risk management system (risk yönetim sistemi)
- Data governance (veri yönetişimi)
- Technical documentation (teknik dokümantasyon)
- Logging (denetim izi)
- Transparency (şeffaflık)
- Human oversight (insan gözetimi)
- Accuracy & robustness (doğruluk ve sağlamlık)

Uyumsuzluk cezası: **35 milyon EUR veya küresel cironun %7'si** (hangisi yüksekse). Bu, Türk bankaları için ciddi bir tutar.

<callout-box data-variant="warning" data-title="EU AI Act Tarihsel Eşikleri">

- **2 Şubat 2025:** Yasaklı AI sistemleri yürürlüğe girdi (social scoring vb.).
- **2 Ağustos 2025:** General-purpose AI modelleri için yükümlülükler başladı.
- **2 Ağustos 2026:** Yüksek riskli AI sistemleri (kredi skorlama dahil) için tam yürürlük.
- **2 Ağustos 2027:** Mevcut sistemler (legacy) için son uyum tarihi.

Türk bankalarının AB iş kollarında 2 Ağustos 2026'ya kadar kredi skorlama modellerini **conformity assessment**'ten geçirmesi gerekir.

</callout-box>

## 3. Use Case Haritası: Türk Bankalarında AI'ın 5 Kazanan Alanı

<comparison-table data-caption="Türk Bankalarında AI Use Case Olgunluk Matrisi (2026)" data-headers="[&quot;Use Case&quot;,&quot;Olgunluk&quot;,&quot;ROI Tipik&quot;,&quot;Regülatif Risk&quot;,&quot;BDDK Sandbox Önceliği&quot;]" data-rows="[{&quot;feature&quot;:&quot;Kredi Skorlama (XAI)&quot;,&quot;values&quot;:[&quot;Yüksek&quot;,&quot;%15-25 default azalma&quot;,&quot;High (EU AI Act high-risk + KKB)&quot;,&quot;Çok yüksek&quot;]},{&quot;feature&quot;:&quot;Fraud Detection (gerçek zamanlı)&quot;,&quot;values&quot;:[&quot;Yüksek&quot;,&quot;2-5x ROI (kayıp azalma)&quot;,&quot;Medium-high (KVKK + audit)&quot;,&quot;Yüksek&quot;]},{&quot;feature&quot;:&quot;AML/KYC (transaction monitoring)&quot;,&quot;values&quot;:[&quot;Orta-yüksek&quot;,&quot;%40-60 false positive azalma&quot;,&quot;High (MASAK + FATF)&quot;,&quot;Yüksek&quot;]},{&quot;feature&quot;:&quot;Çağrı Merkezi (RAG + voice)&quot;,&quot;values&quot;:[&quot;Orta&quot;,&quot;%50 first-call resolution artış&quot;,&quot;Medium (KVKK)&quot;,&quot;Orta&quot;]},{&quot;feature&quot;:&quot;Pazarlama (öneri sistemi)&quot;,&quot;values&quot;:[&quot;Yüksek&quot;,&quot;%15-30 cross-sell artış&quot;,&quot;Medium (KVKK + ePrivacy)&quot;,&quot;Düşük-orta&quot;]},{&quot;feature&quot;:&quot;Treasury &amp; Risk Management&quot;,&quot;values&quot;:[&quot;Düşük-orta&quot;,&quot;Kapasite çarpanı&quot;,&quot;Medium&quot;,&quot;Düşük&quot;]}]"></comparison-table>

### 3.1. Kredi Skorlama (XAI Zorunlu)

Kredi skorlama, Türk bankalarının AI'dan en yüksek ROI elde ettiği — ama en yoğun regülatif baskıyla karşılaştığı — use case'dir. Klasik logistic regression modellerinin yerini gradient boosting (XGBoost, LightGBM) ve derin öğrenme modelleri (TabNet, FT-Transformer) almaya başladı. Garanti BBVA, İş Bankası ve Akbank bu alanda son üç yılda toplam ~80 milyon TL yatırım yaptı.

**Kritik tasarım kararları:**

1. **Açıklanabilirlik (XAI):** Her ret kararının arkasındaki en etkili 3-5 özellik (feature) tüketiciye anlaşılır dilde gösterilmek zorunda. SHAP, LIME, anchors gibi tekniklerle.
2. **Fairness:** Cinsiyet, yaş, lokasyon, eğitim seviyesi gibi korumalı niteliklere dair ayrımcılık testleri (Disparate Impact, Equal Opportunity Difference) sürekli izlenmeli.
3. **Drift detection:** Modelin zaman içinde performansının düşmesi (population drift, concept drift) izlenmeli; tetik eşiği aşıldığında otomatik retraining.
4. **Champion-Challenger:** Mevcut model (champion) ile yeni aday model (challenger) paralel çalıştırılır, A/B testi ile karar verilir.
5. **KKB raporu entegrasyonu:** Müşterinin tüm bankacılık geçmişi (Findeks skoru, kredi notu) feature olarak girer; veri kalitesi titizlikle kontrol edilir.

### 3.2. Fraud Detection (Gerçek Zamanlı)

Türk bankacılığında fraud detection, AI'ın **en görünür** ROI'sini yarattığı use case'dir. Tipik bir tier-1 bankada saniyede 2.000-5.000 işlem akar; klasik kural-tabanlı sistemler %75-80 doğrulukla çalışırken, modern ML pipeline'ları (graph neural networks + gradient boosting) **%92+ doğrulukla** ve **30ms altı latency** ile çalışıyor.

**Tipik mimari:**

- **Edge feature engineering:** Her işlemde 200-400 feature gerçek zamanlı hesaplanır (son 5 dk işlem hacmi, kart kullanım coğrafyası, satıcı kategorisi vb.).
- **Graph features:** İşlem-müşteri-satıcı grafiğinden türetilen feature'lar (graph neural networks veya simpler graph algorithms).
- **Multi-model ensemble:** XGBoost + LightGBM + simple neural net + rule engine; weighted voting.
- **Real-time inference:** Apache Flink veya Kafka Streams üzerinde 30ms p99 latency.
- **Feedback loop:** Müşterinin "bu işlem bana ait değil" şikayetinden gelen veri 24 saat içinde retraining'e girer.

### 3.3. AML / KYC (Transaction Monitoring)

Anti-Money Laundering (AML) ve Know Your Customer (KYC), MASAK düzenlemeleri ve FATF tavsiyeleri kapsamında. Türk bankaları geleneksel olarak kural-tabanlı transaction monitoring kullanıyordu; bu sistemler **%96-98 false positive** oranıyla operasyonel ekibi boğuyordu.

ML tabanlı çözümler bu false positive oranını **%40-60 azaltıyor** — ki bu, milyonlarca TL operasyonel tasarruf demek. Tipik teknikler:

- **Unsupervised anomaly detection:** Isolation Forest, Autoencoder, LOF.
- **Network analysis:** Müşteri-müşteri para hareketleri grafiğinde anomali kümeleri.
- **Sanctions screening with embeddings:** İsim benzerliği için fuzzy matching yerine multilingual embeddings.
- **Case prioritization:** Anomali skorlarına göre case'leri operasyonel ekibe önceliklendirilmiş kuyrukta sunma.

### 3.4. Çağrı Merkezi (RAG + Voice Agent)

Bu, Türk bankalarının en hızlı büyüyen AI use case'i. Tipik bir tier-1 bankanın çağrı merkezi 8.000-12.000 agent çalıştırır; günlük çağrı hacmi 300.000-600.000. RAG (Retrieval-Augmented Generation) tabanlı asistan, agent'ların müşteri sorularına anında ürün bilgisi, kampanya kuralı veya regülatif değişiklik bulması için kullanılır.

**Voice agent** ise giderek daha fazla bankada kullanılıyor — basit IVR sorularını (bakiye, son işlem, kredi başvuru durumu) self-service modunda çözüyor.

### 3.5. Pazarlama (Öneri Sistemi)

Cross-sell ve up-sell modelleri, %15-30 dönüşüm artışı yaratıyor. Müşteri-ürün matrisinde matrix factorization, collaborative filtering ve son yıllarda transformer-tabanlı sequence modelleri (BERT4Rec, SASRec) kullanılıyor. KVKK + ePrivacy uyumu burada kritik — pazarlama izni açık olmadan model çıktısı kullanılamaz.

## 4. Pratik Implementasyon: BDDK AI Sandbox'tan Üretime

### 4.1. AI Sandbox Başvuru ve İşleyiş

BDDK AI Sandbox'a girmek isteyen banka şu adımları izler:

1. **Niyet beyanı (intent declaration):** Hangi use case, hangi model türü, hangi veri seti, beklenen müşteri etkisi.
2. **Use case fişi (use case sheet):** Tasarım dokümantasyonu — feature listesi, eğitim verisi kaynakları, beklenen performans metrikleri, fairness testleri.
3. **Sandbox'ta test:** Banka kendi modelini sandbox ortamına yükler, BDDK BSD ekibi gözetiminde aşağıdaki testler yapılır:
   - Performans (AUC, Gini, KS)
   - Fairness (Disparate Impact, Equal Opportunity)
   - Robustness (adversarial test, distribution shift simülasyonu)
   - Explainability (SHAP raporu, örnek vakalar)
   - Privacy (k-anonymity testleri, KKB veri uyumu)
4. **Sandbox raporu:** BDDK BSD ekibi rapor üretir; risk skoru ve düzeltme önerileri.
5. **Üretim onayı:** Banka düzeltmeleri yapar, BDDK üretim için onay verir.
6. **Süreklilik:** Üretimde de model performansı KKB ortak altyapısı üzerinden periyodik benchmark'a girer.

### 4.2. Mimari Şablonu — Üretim Kalitesinde Kredi Skorlama

Tipik bir üretim kredi skorlama mimarisi:

~~~
+-----------------+
| Başvuru Verisi  |
| (UI / API)      |
+--------+--------+
         |
         v
+-----------------+
| Feature Store   | <- KKB + iç data lake + sosyal sinyaller
| (Feast / Tecton)|
+--------+--------+
         |
         v
+-----------------+      +-----------------+
| Champion Model  |      | Challenger Model|
| (gradient boost)|      | (deep learning) |
+--------+--------+      +--------+--------+
         |                        |
         +-----------+------------+
                     v
              +-------------+
              | A/B Routing |
              +------+------+
                     |
                     v
              +-------------+      +--------------+
              | Decision    |----->| XAI Layer    |
              | (skor + ret)|      | (SHAP/LIME)  |
              +------+------+      +--------------+
                     |
                     v
              +-------------+
              | Müşteri UI  | (red gerekçesi açık dilde)
              +-------------+
                     |
                     v
              +-------------+
              | Audit Log   | (BDDK denetim için)
              +-------------+
~~~

### 4.3. Veri Yerleşimi: Self-Host mı Cloud mı?

BDDK BSD AI komitesinin 2026 itibarıyla taşıdığı baskın görüş:

- **Tier-1 use case'ler (kredi skorlama, fraud, AML):** Self-host veya **AB-içi cloud** (BDDK izin verilen liste) tercih edilir. ABD merkezli cloud (AWS US, GCP US, Azure US) tipik olarak yasaktır.
- **Tier-2 use case'ler (çağrı merkezi RAG, pazarlama):** Cloud kabul edilebilir ama **veri yerleşimi şartı** vardır (Türkiye veya AB).
- **Tier-3 use case'ler (iç verimlilik, IT ops):** Cloud tercihi serbest.

ABD bulutunu zorunlu kullanmak isteyen bankalar (örn. OpenAI/Anthropic API) için **anonimleştirme katmanı + sözleşmesel garantiler (SCC, DPA) + veri ikamet kanıtı** gereklidir.

## 5. ROI ve Performans: Türk Bankalarındaki Gerçek Sayılar

### 5.1. Kredi Skorlama

<stat-callout data-value="%15-25" data-context="Modern ML tabanlı kredi skorlama modellerinin (gradient boosting + KKB feature'ları) tipik default oranını klasik logistic regression'a kıyasla azaltma kapasitesi" data-outcome="— Türk bankalarında bu, milyar TL'lik provizyon farkı demek." data-source="{&quot;label&quot;:&quot;Türk Bankacılığı AI Use Case Çalışması (anonim)&quot;,&quot;url&quot;:&quot;https://sukruyusufkaya.com/blog/turkiye-bankaciligi-yapay-zeka-bddk-ai-sandbox-kkb-2026&quot;,&quot;date&quot;:&quot;2025&quot;}"></stat-callout>

### 5.2. Fraud Detection

- Klasik kural-tabanlı sistem: %75-80 doğruluk, %4-6 false positive, 200ms+ latency.
- ML pipeline (XGBoost + GNN + ensemble): %92+ doğruluk, %1-1.5 false positive, <30ms p99 latency.
- Yıllık fraud kaybı azalması: tier-1 bankada **80-200 milyon TL** seviyesinde.

### 5.3. AML / KYC

- Klasik sistem: %96-98 false positive, operasyonel ekip 200-400 kişi.
- ML tabanlı: false positive %40-60 azalma, operasyonel ekip 80-150 kişi.
- Tasarruf: yıllık 30-60 milyon TL (operasyonel + ceza riski azalması).

### 5.4. Çağrı Merkezi

- RAG asistanı: first-call resolution %50 artış, ortalama çağrı süresi %25-35 kısalma.
- Voice agent: basit IVR sorularının %35-45'ini self-service'e taşıma; agent yükü %20-30 azalma.

### 5.5. Pazarlama

- Cross-sell modeli: %15-30 dönüşüm artışı, müşteri başına yıllık 800-1.500 TL ek gelir.
- Up-sell modeli: %10-20 ortalama bilet artışı.

## 6. Türkiye'ye Özgü Açı: Üçlü Regülatif Uyum Matrisi

Türk bankası, AI modelini üretime alırken üç farklı regülatif çerçeveyi eş zamanlı yönetir:

<comparison-table data-caption="BDDK + KVKK + EU AI Act Üçlü Uyum Matrisi" data-headers="[&quot;Konu&quot;,&quot;BDDK&quot;,&quot;KVKK&quot;,&quot;EU AI Act&quot;]" data-rows="[{&quot;feature&quot;:&quot;Açıklanabilirlik&quot;,&quot;values&quot;:[&quot;Zorunlu (BSD rehberi)&quot;,&quot;Zorunlu (otomatik karar)&quot;,&quot;Zorunlu (high-risk)&quot;]},{&quot;feature&quot;:&quot;Audit log&quot;,&quot;values&quot;:[&quot;Zorunlu&quot;,&quot;Zorunlu&quot;,&quot;Zorunlu&quot;]},{&quot;feature&quot;:&quot;Veri yerleşimi&quot;,&quot;values&quot;:[&quot;Türkiye/AB tercih&quot;,&quot;Açık rıza + sözleşme&quot;,&quot;AB içi&quot;]},{&quot;feature&quot;:&quot;Ayrımcılık testi&quot;,&quot;values&quot;:[&quot;Zorunlu (BSD AI komite)&quot;,&quot;Önerilen&quot;,&quot;Zorunlu (high-risk)&quot;]},{&quot;feature&quot;:&quot;İnsan gözetimi&quot;,&quot;values&quot;:[&quot;Zorunlu&quot;,&quot;Zorunlu&quot;,&quot;Zorunlu (high-risk)&quot;]},{&quot;feature&quot;:&quot;Conformity assessment&quot;,&quot;values&quot;:[&quot;Sandbox onayı&quot;,&quot;Yok&quot;,&quot;Zorunlu (high-risk)&quot;]},{&quot;feature&quot;:&quot;Ceza üst sınırı&quot;,&quot;values&quot;:[&quot;İdari ceza + faaliyet kısıtı&quot;,&quot;20M TL veya cironun %4&apos;&apos;ü&quot;,&quot;35M EUR veya cironun %7&apos;&apos;si&quot;]}]"></comparison-table>

### 6.1. Sayıştay Denetimi (Kamu Bankaları)

Kamu bankaları (Ziraat, Halkbank, VakıfBank) ayrıca **Sayıştay denetimine** tabidir. Sayıştay'ın 2025 raporu, kamu bankalarındaki AI projelerinde üç temel risk alanı belirledi:

1. **Veri kalitesi** — özellikle KKB feature'larında eksik veri yönetimi.
2. **Tedarikçi bağımlılığı** — OpenAI, Anthropic gibi tedarikçilere kritik iş akışlarının bağlı olması.
3. **Personel yetkinliği** — model risk yönetimi konusunda iç ekiplerin yetersiz olması.

### 6.2. BDDK BSD AI Komitesi Beklentileri

BSD AI Komitesi'nin 2026'da bankalardan beklediği üç ana çıktı:

1. **Model envanteri raporu:** Tüm AI modellerinin listesi + risk sınıflandırması (yıllık).
2. **Üretim modellerinin sandbox kayıtları:** Hangi modelin sandbox'tan ne zaman geçtiği, ne tür düzeltme yapıldığı.
3. **Olağanüstü hal raporu:** Üretimde halüsinasyon, sapma veya ayrımcılık tespit edilirse 72 saat içinde BDDK BSD'ye bildirim.

## 7. Türk Banka Vaka Çalışmaları

### Vaka 1 — Tier-1 Ticari Banka: Kredi Skorlama AI Projesi (Anonim)

**Bağlam.** Türk ticari bankaların ilk üçünde yer alan bir kurum, KOBİ kredi başvurularının manuel inceleme süresini düşürmek istedi. Mevcut sistem logistic regression + manual review; başvuru başına ortalama 36 saat.

**Çözüm.** Gradient boosting (LightGBM) tabanlı yeni model, 480 feature kullanıyor: 220 finansal (geçmiş 36 ay nakit akışı, ciro, bilanço oranları), 140 davranışsal (banka hesap hareketleri, ödeme paterni), 80 KKB (Findeks skoru, kredi notu, mevcut yükler), 40 sektörel (KOBİ sektörü, lokasyon, çalışan sayısı). XAI katmanı: SHAP. A/B test 6 ay sürdü; sonuçlar BDDK AI Sandbox'tan geçti.

**Sonuç.** Ortalama başvuru süresi 36 saat → 4.5 saat. Default oranı %18 azaldı. KOBİ kredi hacmi %22 arttı. Reddedilen başvurularda müşteri itiraz oranı %35 azaldı (XAI açıklamaları daha şeffaf olduğu için).

**Compliance.** BDDK Sandbox onayı, KVKK açık rıza güncellemesi, EU AI Act high-risk dokümantasyonu (AB iştiraki için), KKB veri kalite raporu — tümü tasarımdan itibaren paralel yürütüldü.

### Vaka 2 — Tier-1 Katılım Bankası: Fraud Detection (Anonim)

**Bağlam.** Katılım bankası, kart fraud kaybını yıllık 90 milyon TL'den 35 milyon TL'ye indirmek istedi. Mevcut sistem rule-engine, %78 doğruluk.

**Çözüm.** XGBoost + LightGBM + simple GNN ensemble. Graph features: müşteri-satıcı-kart üçgeninden türetilen merkez koridorlu özellikler. Real-time inference Apache Flink üzerinde 22ms p99. Feedback loop: müşteri itirazları + manuel inceleme sonuçları 6 saatte bir model retraining'e giriyor.

**Sonuç.** Fraud doğruluğu %78 → %93. False positive %5.2 → %1.4. Yıllık fraud kaybı 90M TL → 31M TL (hedef üstü). Müşteri memnuniyeti +18 NPS puanı (gerçek işlemlerin yanlışlıkla bloklanması azaldığı için).

### Vaka 3 — Tier-2 Bankada Çağrı Merkezi RAG (Anonim)

**Bağlam.** Çağrı merkezi 4.500 agent çalıştırıyor, günlük 180.000 çağrı. First-call resolution %62, ortalama çağrı süresi 8 dakika 20 saniye.

**Çözüm.** Hybrid RAG (BGE-M3 + Qdrant on-prem + BM25). 12.000 sayfa ürün dokümantasyonu, 4.000 sayfa regülatif sirküler, 80.000 SSS chunk'ı. Re-ranker: bge-reranker-v2-m3. LLM: Claude Opus 4.7 (AB instance, anonimleştirme katmanı arkasında).

**Sonuç.** First-call resolution %62 → %91. Ortalama çağrı süresi 8m20s → 5m10s. Agent eğitim süresi 6 hafta → 3 hafta (yeni agent RAG asistanıyla daha hızlı öğreniyor). Maliyet: aylık 380.000 TL operasyonel + 95.000 TL altyapı, ROI 4.1x.

### Vaka 4 — Fintech: Pazarlama Önerisi (Anonim)

**Bağlam.** Türk fintech (ödeme + kart), 3.2M aktif müşteriye cross-sell yapıyor. Mevcut sistem rule-based segmentation.

**Çözüm.** Transformer-tabanlı sequence model (SASRec) + KVKK uyumlu feature filtering. Müşterinin son 90 günde yaptığı işlemler tokenize ediliyor; bir sonraki en muhtemel finansal aksiyon tahmin ediliyor (yatırım, tasarruf, kredi başvuru, kart upgrade).

**Sonuç.** Cross-sell dönüşüm %4.8 → %7.3 (+%52). Pazarlama izinsiz müşterilere model çıktısı uygulanmıyor — KVKK uyumlu. Yıllık ek gelir 28M TL.

## 8. Riskler ve Compliance

<callout-box data-variant="warning" data-title="2026 Bankacılık AI Riskleri">

- **Adversarial attack:** Fraudster'lar AI modellerini yanıltmak için adversarial input geliştiriyor. Defense: adversarial training + ensemble + insan gözetimi.
- **Concept drift:** Pandemi sonrası, savaş sonrası, ekonomik kriz sonrası — modeller "olağan" davranışın değişmesini yakalamakta gecikiyor. Düzenli retraining ve drift detection zorunlu.
- **Model risk concentration:** Birden fazla bankanın aynı tedarikçi modeli kullanması (örn. tek bir API tabanlı kredi skorlama) sistemik risk yaratır — BDDK BSD bu konuyu açıkça izliyor.
- **Cross-border data transfer:** ABD bulutu kullanan model çağrılarında KVKK + BDDK + EU AI Act üçlü risk.
- **Algorithmic bias:** Türkiye'deki kredi tarihi düşük olan bölgeler (Güneydoğu, Doğu Anadolu) modellerde sistematik olarak daha yüksek default tahmin alabilir — fairness testi zorunlu.

</callout-box>

### 8.1. Compliance Checklist (BDDK + KVKK + EU AI Act)

- [ ] Model envanteri kaydı (BDDK BSD'ye yıllık rapor)
- [ ] Use case sheet (BDDK Sandbox başvurusu için)
- [ ] Eğitim verisi data lineage (kaynak + tarih + kalite skoru)
- [ ] Fairness raporu (Disparate Impact + Equal Opportunity)
- [ ] XAI dokümantasyonu (SHAP/LIME raporu + örnek vakalar)
- [ ] Drift detection ve retraining tetikleri
- [ ] A/B test protokolü
- [ ] Audit log retention (en az 7 yıl — BDDK)
- [ ] KVKK açık rıza güncellemesi
- [ ] KVKK VERBİS bildirimi (otomatik karar verme)
- [ ] EU AI Act conformity assessment (AB kapsamı varsa)
- [ ] Olağanüstü hal protokolü (72 saat içinde BDDK bildirimi)
- [ ] Tedarikçi sözleşmeleri (DPA + SCC + IP yönetimi)
- [ ] Personel eğitimi (model risk + KVKK)

## 9. Sıkça Sorulan Sorular

<callout-box data-variant="answer" data-title="BDDK AI Sandbox'a hangi durumda başvurmalıyız?">

Üç durumda zorunlu: **(1)** Yüksek riskli bir use case (kredi skorlama, fraud, AML) üretime alıyorsanız, **(2)** Mevcut bir modeli majör revizyondan geçirip yeniden üretime alıyorsanız, **(3)** BDDK BSD denetiminde "model envanteri" raporunuza yeni bir model ekliyorsanız. Düşük riskli use case'ler (iç verimlilik, IT ops) için zorunlu değil ama tavsiye edilir.

</callout-box>

<callout-box data-variant="answer" data-title="EU AI Act Türk bankaları için ne zaman gerçekten zorunlu olur?">

Üç koşulun en az birinde: **(1)** AB ülkelerinde şubeniz veya iştirakiniz varsa, **(2)** AB vatandaşlarına kredi/finansal hizmet sunuyorsanız, **(3)** Tedarikçi modeliniz AB merkezliyse ve AB veri işliyorsa. 2 Ağustos 2026 high-risk sistemler için kritik tarih.

</callout-box>

<callout-box data-variant="answer" data-title="Self-host mu cloud mu — BDDK'nın net görüşü ne?">

BDDK BSD AI komitesi 2026 itibarıyla **AB-içi cloud veya self-host**'a ağırlık veriyor. ABD bulutu (OpenAI, Anthropic, Google US, AWS US) tipik olarak Tier-1 use case'ler için kabul görmüyor. Tier-2 (RAG asistan, pazarlama) için AB-içi cloud kabul ediliyor. Tier-3 (iç verimlilik) için kısıt daha az.

</callout-box>

<callout-box data-variant="answer" data-title="Kredi skorlama modelinde XAI nasıl yapılır?">

Üç katman: **(1)** Global explainability — modelin genel olarak hangi feature'lara önem verdiği (SHAP summary plot), **(2)** Local explainability — bireysel başvuru için neden ret/kabul (SHAP waterfall + müşteri diline çeviri), **(3)** Counterfactual — "bu feature şu kadar değişseydi, karar farklı olurdu" senaryoları. Üçü de BDDK Sandbox'ta talep ediliyor.

</callout-box>

<callout-box data-variant="answer" data-title="KKB ortak test altyapısını nasıl kullanırız?">

Banka, KKB ile ayrı bir sözleşme imzalar. Sentetik test veri seti API üzerinden çekilir, kendi modeliniz üzerinde inference yapılır, sonuçlar KKB'ye geri gönderilir. KKB sizin model performansınızı sektörel ortalamaya kıyasla raporlar. Bu rapor, BDDK Sandbox başvurusunun bir eki olarak kullanılır.

</callout-box>

<callout-box data-variant="answer" data-title="Fraud detection modelinde ensemble mı tek model mi?">

Üretimde **ensemble** kazanır. Tipik tier-1 banka kurulumu: XGBoost (yapısal feature için) + LightGBM (sparse feature için) + simple GNN (graph feature için) + rule engine (regülatif istisnalar için). Weighted voting veya stacking ile birleştirilir. Tek model %85 doğrulukla sınırlı kalırken ensemble %92-94 aralığına çıkıyor.

</callout-box>

<callout-box data-variant="answer" data-title="AI Sandbox kayıtları kamuoyuyla paylaşılır mı?">

Hayır. BDDK AI Sandbox kayıtları **gizlilik içinde** tutulur; banka rekabet hassasiyetlerine ve KVKK'ya saygı gösterilir. Sadece toplu (aggregate) sektörel istatistikler kamuoyuyla paylaşılabilir.

</callout-box>

<callout-box data-variant="answer" data-title="Tedarikçi AI modeli kullanırsak risk kim de?">

BDDK görüşü açık: **Üretim sorumluluğu bankada.** Tedarikçi modeli (OpenAI API, Anthropic API, üçüncü-parti SaaS) kullansanız bile, üretim sonucundan banka sorumlu. Bu nedenle DPA + SCC + IP koşulları + model envanter kaydı + sandbox onayı tedarikçi modelleri için de zorunlu.

</callout-box>

## 10. Sonraki Adım

Türk bankanız için AI uyum yol haritasını netleştirmek isterseniz:

1. **AI Sandbox hazırlık atölyesi.** Mevcut model envanteri + use case haritası + BDDK Sandbox başvuru dokümantasyonu için 6 saatlik bir atölye. Çıktı: 12 haftalık AI Sandbox hazırlık planı.
2. **Üçlü uyum gap analizi.** BDDK BSD + KVKK + EU AI Act açısından mevcut AI modellerinizin gap analizi. Çıktı: prioritized gap report + remediation roadmap.
3. **Champion-Challenger production audit.** Üretimde olan kredi skorlama veya fraud modeliniz için 360 derece denetim: performance, fairness, drift, explainability, audit log.

İletişim için site üzerindeki contact formu kullanılabilir.

<references-list data-items="[{&quot;title&quot;:&quot;BDDK Bankacılık Düzenleme ve Denetleme Kurumu&quot;,&quot;url&quot;:&quot;https://www.bddk.org.tr/&quot;,&quot;author&quot;:&quot;BDDK&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;T.C. BDDK&quot;},{&quot;title&quot;:&quot;KKB Kredi Kayıt Bürosu&quot;,&quot;url&quot;:&quot;https://www.kkb.com.tr/&quot;,&quot;author&quot;:&quot;KKB&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;KKB&quot;},{&quot;title&quot;:&quot;EU Artificial Intelligence Act&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024-03-13&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;Findeks Skoru Resmi Sayfası&quot;,&quot;url&quot;:&quot;https://www.findeks.com/&quot;,&quot;author&quot;:&quot;KKB&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;KKB&quot;},{&quot;title&quot;:&quot;KVKK - 6698 Sayılı Kanun&quot;,&quot;url&quot;:&quot;https://www.kvkk.gov.tr/&quot;,&quot;author&quot;:&quot;T.C. KVKK&quot;,&quot;publishedAt&quot;:&quot;2016-04-07&quot;,&quot;publisher&quot;:&quot;Türkiye Cumhuriyeti&quot;},{&quot;title&quot;:&quot;MASAK - Mali Suçları Araştırma Kurulu&quot;,&quot;url&quot;:&quot;https://www.masak.gov.tr/&quot;,&quot;author&quot;:&quot;MASAK&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;T.C. Hazine ve Maliye Bakanlığı&quot;},{&quot;title&quot;:&quot;FATF Recommendations&quot;,&quot;url&quot;:&quot;https://www.fatf-gafi.org/recommendations.html&quot;,&quot;author&quot;:&quot;FATF&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;FATF&quot;},{&quot;title&quot;:&quot;FinTech İstanbul Sektör Raporları&quot;,&quot;url&quot;:&quot;https://www.fintechistanbul.org/&quot;,&quot;author&quot;:&quot;FinTech İstanbul&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;FinTech İstanbul&quot;},{&quot;title&quot;:&quot;BloombergHT Bankacılık&quot;,&quot;url&quot;:&quot;https://www.bloomberght.com/&quot;,&quot;author&quot;:&quot;BloombergHT&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;BloombergHT&quot;},{&quot;title&quot;:&quot;ECB Banking Supervision&quot;,&quot;url&quot;:&quot;https://www.bankingsupervision.europa.eu/&quot;,&quot;author&quot;:&quot;ECB&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;European Central Bank&quot;},{&quot;title&quot;:&quot;Sayıştay Türkiye&quot;,&quot;url&quot;:&quot;https://www.sayistay.gov.tr/&quot;,&quot;author&quot;:&quot;Sayıştay&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;T.C. Sayıştay&quot;},{&quot;title&quot;:&quot;Garanti BBVA Annual Report&quot;,&quot;url&quot;:&quot;https://www.garantibbvainvestorrelations.com/&quot;,&quot;author&quot;:&quot;Garanti BBVA&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Garanti BBVA&quot;},{&quot;title&quot;:&quot;İş Bankası Annual Report&quot;,&quot;url&quot;:&quot;https://www.isbank.com.tr/yatirimci-iliskileri&quot;,&quot;author&quot;:&quot;İş Bankası&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;İş Bankası&quot;},{&quot;title&quot;:&quot;Akbank Investor Relations&quot;,&quot;url&quot;:&quot;https://www.akbankinvestorrelations.com/&quot;,&quot;author&quot;:&quot;Akbank&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Akbank&quot;},{&quot;title&quot;:&quot;Yapı Kredi Yatırımcı İlişkileri&quot;,&quot;url&quot;:&quot;https://www.yapikredi.com.tr/yatirimci-iliskileri&quot;,&quot;author&quot;:&quot;Yapı Kredi&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Yapı Kredi&quot;},{&quot;title&quot;:&quot;Türkiye Bankalar Birliği&quot;,&quot;url&quot;:&quot;https://www.tbb.org.tr/&quot;,&quot;author&quot;:&quot;TBB&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;Türkiye Bankalar Birliği&quot;},{&quot;title&quot;:&quot;BIS - AI in Financial Services&quot;,&quot;url&quot;:&quot;https://www.bis.org/publ/work1194.htm&quot;,&quot;author&quot;:&quot;BIS&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;Bank for International Settlements&quot;},{&quot;title&quot;:&quot;McKinsey Global AI Survey 2025&quot;,&quot;url&quot;:&quot;https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai&quot;,&quot;author&quot;:&quot;McKinsey&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;McKinsey &amp; Company&quot;},{&quot;title&quot;:&quot;Bain Banking AI Report&quot;,&quot;url&quot;:&quot;https://www.bain.com/insights/topics/banking/&quot;,&quot;author&quot;:&quot;Bain&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Bain &amp; Company&quot;},{&quot;title&quot;:&quot;BCG Banking AI&quot;,&quot;url&quot;:&quot;https://www.bcg.com/industries/financial-institutions&quot;,&quot;author&quot;:&quot;BCG&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Boston Consulting Group&quot;},{&quot;title&quot;:&quot;Deloitte AI in Banking&quot;,&quot;url&quot;:&quot;https://www2.deloitte.com/global/en/industries/financial-services.html&quot;,&quot;author&quot;:&quot;Deloitte&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Deloitte&quot;},{&quot;title&quot;:&quot;PwC Global FinTech Report&quot;,&quot;url&quot;:&quot;https://www.pwc.com/gx/en/industries/financial-services.html&quot;,&quot;author&quot;:&quot;PwC&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;PwC&quot;},{&quot;title&quot;:&quot;BKM Bankalararası Kart Merkezi&quot;,&quot;url&quot;:&quot;https://bkm.com.tr/&quot;,&quot;author&quot;:&quot;BKM&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;BKM&quot;},{&quot;title&quot;:&quot;World Bank - AI in Financial Inclusion&quot;,&quot;url&quot;:&quot;https://www.worldbank.org/en/topic/financialinclusion&quot;,&quot;author&quot;:&quot;World Bank&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;World Bank&quot;},{&quot;title&quot;:&quot;IMF Working Paper - AI and the Future of Finance&quot;,&quot;url&quot;:&quot;https://www.imf.org/en/Publications/WP&quot;,&quot;author&quot;:&quot;IMF&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;IMF&quot;},{&quot;title&quot;:&quot;ECB Discussion Paper - AI in Banking Supervision&quot;,&quot;url&quot;:&quot;https://www.ecb.europa.eu/pub/research/&quot;,&quot;author&quot;:&quot;ECB&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;European Central Bank&quot;},{&quot;title&quot;:&quot;Basel Committee on Banking Supervision - AI Risks&quot;,&quot;url&quot;:&quot;https://www.bis.org/bcbs/&quot;,&quot;author&quot;:&quot;BCBS&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;BIS&quot;},{&quot;title&quot;:&quot;OECD AI Policy Observatory&quot;,&quot;url&quot;:&quot;https://oecd.ai/&quot;,&quot;author&quot;:&quot;OECD&quot;,&quot;publishedAt&quot;:&quot;2026&quot;,&quot;publisher&quot;:&quot;OECD&quot;},{&quot;title&quot;:&quot;NIST AI Risk Management Framework&quot;,&quot;url&quot;:&quot;https://www.nist.gov/itl/ai-risk-management-framework&quot;,&quot;author&quot;:&quot;NIST&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;NIST&quot;},{&quot;title&quot;:&quot;GDPR Article 22 - Automated Decisions&quot;,&quot;url&quot;:&quot;https://gdpr-info.eu/art-22-gdpr/&quot;,&quot;author&quot;:&quot;EU&quot;,&quot;publishedAt&quot;:&quot;2018&quot;,&quot;publisher&quot;:&quot;EU&quot;}]"></references-list>

---

Bu rehber yaşayan bir belgedir; BDDK düzenlemeleri, KKB altyapı güncellemeleri ve EU AI Act uygulama notları sürekli değiştiği için **çeyreklik olarak güncellenmektedir**.