MyVault
← Back to Blog

Bank Statement’lerini Yapay Zekâ (AI) Uygulamalarına Yüklemek Güvenli mi? Samimi Bir Yanıt

AI kişisel finans uygulamalarına banka ekstresi yüklediğinizde verilerinize gerçekten ne oluyor, gizlilik politikasında nelere bakmalısınız ve gerçek riskleri alternatiflerle nasıl değerlendirirsiniz.

9 min readTimur Shagiakhmetovprivacy · security · ai

Her yapay zekâ kişisel finans uygulaması, dikkatli bir kullanıcının aynı sorusuyla bir gün karşı karşıya kalır: bu güvenli mi? Bu kategorideki en büyük itiraz bu — ve haklı bir itiraz. Çünkü banka ekstreleri; ait oldukları kişiye benzetme yapacak, profil çıkaracak ya da sosyal mühendislik yoluyla etkileyecek kadar bilgi içerir. Dürüst cevap: “duruma bağlı ve tam olarak neye bakmanız gerektiğini burada anlatıyoruz.”

Yüklenen banka ekstrelerini işleyen bir AI uygulaması olan MyVault’ı geliştiriyoruz. Bu, bizim de ailemize ve arkadaşlarımıza, onlar sorduğunda verdiğimiz yanıtı — olabildiğince açık ve net şekilde — yazdık.

Banka ekstresinde aslında neler var?

Tipik bir ekstre şunları içerir:

  • Adınız ve posta adresiniz.
  • Hesap numarası; çoğu zaman kısmen gizlenmiş (son dört hane veya son altı hane).
  • Bankanın yönlendirme numarası (routing number); genellikle eksiksiz basılıdır.
  • Tarih, satıcı açıklaması (merchant descriptor) ve tutarlarla birlikte kalem kalem işlem geçmişi.
  • Açılış ve kapanış bakiyeleri.
  • Muhtemelen görselleri kontrol edin; tararsanız ve bunlar PDF’nin parçasıysa.

Duyarlılık açısından bu; alışveriş geçmişinizden daha hassas, pasaport taramasından ise daha az hassas sayılır. Yalnızca gizlenmiş hesap numarası genellikle hesabınıza erişmek için tek başına kullanılamaz; ama başka kaynaklardan gelen kişisel bilgilerle birlikte sosyal mühendislik denemelerini destekleyebilir. Ekstreleri, vergi beyannamesine gösterdiğiniz özenle ele alın.

AI finans uygulaması, dosyayla gerçekte ne yapar?

Teknik açıdan banka ekstresini işlemek dört adım içerir:

  1. Yükleme — dosya tarayıcınızdan uygulamanın sunucusuna gider; ideal olarak TLS 1.2 veya üzeri ile HTTPS üzerinden. Bu, bankanızın çevrimiçi bankacılık için kullandığı şifrelemenin aynısıdır.
  2. Ayrıştırma (Parsing) — sunucu PDF içinden metin çıkarır. Bu adım yerel bir PDF kütüphanesi, üçüncü taraf bir OCR hizmeti veya bir LLM (büyük dil modeli) kullanabilir. Seçim gizlilik açısından önemlidir: yerel kütüphane veriyi uygulamanın sunucusunda tutar; üçüncü taraf OCR ise dosyayı başka bir sağlayıcıya gönderir.
  3. Kategorileştirme — çıkarılan işlem satırları, kategorileştirme için kategori etiketleri döndüren bir AI modeline gönderilir. Bazı uygulamalar modeli kendi altyapısında çalıştırır; çoğu OpenAI, Anthropic veya Google kullanır. Veri akışı önemlidir: bazı uygulamalar sadece satıcı açıklamasını gönderir (düşük risk); bazıları tutarları da içeren tüm işlemi gönderir (orta risk); bazıları ise tüm ekstre dosyasını gönderir (daha yüksek risk).
  4. Saklama (Storage) — ayrıştırılan işlemler uygulamanın veritabanında saklanır. Orijinal PDF ya silinir, bir süre saklanır ya da uygulamanın politikasına bağlı olarak süresiz tutulur.

Yüklemeden önce neye bakmalısınız?

1. Geçerli bir sertifikayla HTTPS

Tarayıcı adres çubuğunda geçerli bir sertifika görünmeli. Yükleme sırasında herhangi bir uyarı görürseniz durun. Bu minimum gerekliliktir.

2. Net ve okunabilir bir gizlilik politikası

Şu sorulara açık cevaplar arayın:

  • Verilerim nerede saklanıyor ve hangi yargı bölgesinde (jurisdiction)?
  • Yüklediğim ekstre saklanıyor mu ve ne kadar süre saklanıyor?
  • İşlemler ya da herhangi bir belge içeriği üçüncü taraf AI sağlayıcılarına gönderiliyor mu?
  • Verilerim herhangi bir zaman AI modellerini eğitmek için kullanılıyor mu?
  • Hesabımı sildiğimde verilerime ne olur?

Bu sorulardan herhangi birine muğlak cevap almak kırmızı bayraktır. “Verileri her amaçla iş ortaklarımızla paylaşabiliriz” diyen bir gizlilik politikası için hayır deyin.

3. Aktarım sırasında (at rest) şifreleme

Uygulamanın veritabanı, verilerinizi saklama esnasında (at rest) şifrelemelidir. Çoğu yönetilen veritabanı (AWS RDS, Google Cloud SQL, benzerleri) bunu varsayılan olarak yapar; sorun uygulama katmanının bunu kullanıp kullanmadığıdır.

4. İki aşamalı doğrulama (2FA)

İşlem geçmişinizi tutan herhangi bir hesap 2FA desteklemeli; ideal olarak SMS yerine bir doğrulayıcı uygulama (authenticator app) ile. Bunu kullanın.

5. Hesap silme gerçekten silmeyi sağlıyor mu?

Verilerinizi saklıyor ama gizleyen bir “silme” seçeneği silme değildir. Gizlilik politikasında; hesap silmenin yalnızca hesap kaydını değil, yüklenen dosyaları ve veritabanı satırlarını da kaldırdığını açıkça belirtmelidir.

AI uygulamaları alternatiflerle nasıl kıyaslanır?

“Bu mutlak olarak güvenli mi?” sorusunu değerlendirmek caziptir; ancak doğru kıyas alternatiflere göre yapılır — çünkü hiçbir şey yapmamak da risk taşıyan bir tercihtir.

Plaid tabanlı toplayıcılar (aggregators)

Mint (tarihsel olarak), Monarch, Copilot ve YNAB gibi uygulamalar bankanızdaki verileri okumak için Plaid veya benzer bir toplayıcı kullanır. Bunu yapabilmek için Plaid’e bankanızın giriş bilgilerini verirsiniz. Plaid bu kimlik bilgilerini saklar ve hesaplarınızı düzenli olarak okumak için kullanır. Toplayıcıların güvenlik geçmişi güçlü olabilir; ama tehdit modeli yükleme tabanlı uygulamalardan farklıdır: Plaid ihlali bankanızın kimlik bilgilerini açığa çıkarır; ekstre-yükleme uygulaması ihlali ise kimlik bilgileri olmadan ekstre verilerini açığa çıkarır.

E-tablolar ve e-posta

Pek çok kişi ekstre PDF’lerini e-postasında uzun süre saklar ya da işlem verilerini Google Sheets’e kopyalayıp unutabilir. Bunlar, iyi yönetilen bir AI uygulamasından daha güvenli değildir — hatta e-posta ve tüketici bulut depolama ihlalleri yaygın olduğu için muhtemelen daha da az güvenlidir.

Hiçbir şey yapmamak

Finans uygulaması kullanmanın en yaygın alternatifi, tamamen bir sistem olmamasıdır; bunun da kendi maliyeti vardır: kaçırılan sahte ücretler, unutulan abonelikler ve izlenmeyen harcamalar. Birkaç yıl içinde, harcamayı takip etmemekten kaynaklanan finansal maliyet çoğu zaman, güvenilir bir takipçiyi kullanmanın en kötü senaryodaki gizlilik maliyetini aşar.

MyVault özelinde ne yapıyoruz?

Ne yaptığımızı açıkça yazarız; böylece değerlendirdiğiniz diğer uygulamalarla karşılaştırabilirsiniz:

  • Biz asla bankanızın giriş bilgilerini (credentials) istemeyiz. Akışımızda Plaid yok. Yüklediğiniz dosya, vergi hazırlığı için indirmeniz gereken dosyanın aynısıdır.
  • Yüklenen ekstreler; işlemleri çıkarmak için yalnızca bir kez işlenir. Ayrıştırılmış işlemleri saklarız; siz istemedikçe (bazı kullanıcılar ekstreleri arşiv gibi aranabilir formatta saklamak ister), işlendikten sonra orijinal dosyayı sileriz.
  • İşlem açıklamaları ve tutarlar kategorileştirme için bir büyük dil modeline gönderilir. Modeli asla adınız, adresiniz ya da hesap numaranızla beslemeyiz. Model sağlayıcısı eğitim için girdileri saklamaz.
  • Hesap silme; yüklediğiniz dosyaları, ayrıştırılmış işlemleri ve hesap kaydını sistemlerimizden kaldırır (kısa yasal saklama pencerelerine tabi olmak üzere).
  • 2FA destekliyoruz. Bunu etkinleştirmenizi güçlü şekilde öneriyoruz.

Pratik Tavsiye

Hâlâ kararsızsanız:

  • Önce tüm geçmişinizi değil, tek bir güncel ekstre yükleyin. Taahhüt etmeden önce nasıl çalıştığını görün.
  • Benzersiz ve güçlü bir parola kullanın; hesabı oluşturduğunuz anda 2FA’yı etkinleştirin.
  • Gizlilik politikasını gerçekten okuyun. Genellikle kısa olur.
  • Bir şeyler ters geliyorsa — muğlak politika, hesap silme yok, 2FA yok, şüpheli barındırma (hosting) — başka bir uygulama seçin.

Düşünülmüş şekilde yapılırsa, güvenilir bir AI finans uygulamasına banka ekstrelerini yüklemek; harcamalarınız hakkında gerçek bir açıklık kazandıran yönetilebilir bir risk sağlar. Yanlış soru “%100 güvenli mi?” (hiçbir şey değil). Doğru soru “risk, değere göre daha küçük mü ve alternatiflerden de daha küçük mü?”

Yüklemeden önce MyVault’un gizlilik politikasını okuyun. Bir şey belirsizse bize doğrudan sorun — cevaplıyoruz. MyVault’s privacy policy. Yüklemeden önce MyVault’un gizlilik politikasını okuyun. Bir şey belirsizse bize doğrudan sorun — cevaplıyoruz. ask us directly — we answer.