Uzmanlar ve dijital hak savunucuları, kimlik/yaş doğrulama uygulamalarının gizlilik ve denetim risklerini artırabileceğine dair uyarıyor.
Avustralya, Fransa ve Kanada'nın ardından Türkiye de belirli bir yaşın altındaki çocuklara sosyal medya yasağı getirme önerisini resmiyete döküyor.
DW Türkçe, 15 yaş altına sosyal medya yasağı öngören yasal düzenlemenin taslağına ulaştı. Taslak Türkiye Büyük Millet Meclisi'nde (TBMM) onaylanıp yasalaşırsa 15 yaşını doldurmamış çocuklar, sosyal medya kullanamayacak.
Habere göre, dört maddelik taslakla, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun'da değişiklikler öngörülüyor.
Bu kapsamda Kanun'un Ek 4'üncü maddesinin 7'nci fıkrasına, "Sosyal ağ sağlayıcı, on beş yaşını doldurmamış çocuklara hizmet sunamaz ve bu hizmetin sunulmaması konusunda yaş doğrulama dahil gerekli tedbirleri almakla yükümlüdür" hükmü ekleniyor.
Nasıl uygulanacak?
Son dönemde yoğun biçimde tartışılan uygulamayı hayata geçiren ilk ülke Avustralya oldu. Ülkede 16 yaş ve altındaki çocukların sosyal medya platformlarına erişimini yasaklayan yasa 10 Aralık 2025’te yürürlüğe kondu.
Bu yasa kapsamında, TikTok, Instagram, Facebook, Snapchat, X, Reddit, YouTube gibi büyük platformlarda 16 yaşından küçük kullanıcıların hesap açması veya hesabı olması yasaklandı; uyum sağlamayan platformlara ciddi para cezaları uygulanacak.
Avustralya'daki yasa, kullanıcıların yaşlarının belirlenmesi için platformlara belirli bir yöntemi zorunlu tutmuyor. Platformların, kullanıcıların yaşını kanıtlamak için çok farklı ve kendi seçtikleri yöntemleri kullanmasına izin veriyor.
Meta gibi bazı platformlar yaş doğrulamada üçüncü taraf servisler aracılığıyla resmi kimlik belgeleri veya yüz/selfie doğrulaması gibi yöntemleri kullanıyor.
Bazı şirketler kimlik taramasına alternatif olarak yapay zeka tabanlı yaş tahmini, yüz analizi veya davranışsal işaretler kullanmayı planlıyor.
Kimlik doğrulamanın çeşitli yolları var. Platformların başvurduğu yollar kabaca şöyle:
Resmi kimlik doğrulama: Pasaport, ehliyet veya kimlik kartının fotoğrafının çekilip sisteme yüklenmesi.
Yüz analizi: Kamera karşısında bir "video selfie" çekilmesi. Yapay zeka, kemik yapısı ve cilt özelliklerinden yaş tahmini yapıyor. Bu yöntem "yüz tanıma"dan farklı; kimlik tespiti yapmıyor, sadece yaş tahmin ediyor.
Banka/kredi kartı verileri: Kart bilgilerinden kişinin reşit olup olmadığının kontrol edilmesi.
Dijital kimlik cüzdanları: AB'nin üzerinde çalıştığı "e-wallet" sistemiyle, kimlik bilgilerini bir kez doğrulayıp platformlara sadece "bu kişi 15 yaşından büyüktür" şeklinde bir dijital onay (token) gönderilmesi.
Bu bilgileri aracı şirketler işliyor
Sosyal medya devleri bu verileri doğrudan saklamanın yasal yükünden kaçmak için uzmanlaşmış aracı (taşeron) şirketlerle çalışıyor.
Şu an piyasayı domine eden başlıca taşeron şirketlerin başında Yoti geliyor. Meta (Instagram/Facebook) ve OnlyFans ile çalışan Yoti, yüz analizi ve dijital kimlik analiziyle yaş tespiti yapıyor.
Bankacılık ve oyun platformları ile çalışan Jumio, biyometrik doğrulama (parmak izi gibi); Veriff adlı bir diğer firma da yapay zeka destekli kimlik tarama yöntemini kullanarak hizmet veriyor.
Benzer diğer firmalar arasında da Sumsub, Identomat, Onfido, AgeChecked, Persona ve Sedicii yer alıyor. Roblox gibi platformlar, üçüncü taraf sağlayıcı Persona ile yüz tarama veya kimlik doğrulama ile kullanıcı yaşını tespit ediyor.
Çocukları bekleyen yeni risk
Öte yandan, uzmanlar ve dijital hak savunucuları, bu tür zorunlu kimlik/yaş doğrulamalarının gizlilik ve denetim risklerini artırabileceğine dair uyarıyor. Sosyal medya devlerinin bu işleri kendi başına yapmayıp üçüncü taraf servislere yönlendirmesi ve verilerin bu servislerde tutulması güvenlik endişelerini artırıyor.
Yoti ve benzeri "yaş analiz" şirketleri, siber güvenlik dünyasında "Bal Küpü" (Honeypot) olarak adlandırılan en büyük risklerden birini teşkil ediyor. Milyonlarca kişinin pasaport, ehliyet ve yüz tarama verilerini tek bir merkezde (veya birkaç şirkette) toplamak, bu şirketleri dünyanın dört bir yanındaki hackerlar ve kamuoyunda "panelciler" diye bilinen şantaj örgütleri için bir numaralı hedef haline getiriyor.
Şirketler (özellikle Yoti) ise, veriyi işledikten hemen sonra sildiklerini ve sadece "Evet, bu kullanıcı +15 yaşındadır" onayını sakladıklarını savunuyor. Ancak aracı kurum ne kadar güvenli olursa olsun, verinin internete yüklendiği an ile silindiği an arasındaki o kısa süre, "panelcilerin" iştahını kabartıyor.
Ayrıca deepfake teknolojisiyle 15 yaş altı çocukların "yetişkin" gibi görünerek bu sistemleri aşması mümkün, bu da sistemin hem işlevsiz kalmasına hem de verilerin boşa toplanmasına yol açabilir.
AU10TIX skandalından Discord'da sızıntı iddialarına
Nitekim 2024'te TikTok, X ve Uber gibi devlere kimlik doğrulama hizmeti veren AU10TIX şirketinin sistemindeki bir güvenlik açığı nedeniyle, kullanıcıların ehliyetleri, doğum tarihleri ve milliyet bilgileri internete sızmıştı. Bu olay, dev platformlar güvenli olsa bile, veriyi emanet ettikleri aracı kurumun hatasının ciddi risklere yol açabileceğini ortaya koymuştu.
Daha yakın zamanda Discord’un yaş doğrulama ve itiraz süreçleri için çalıştığı 5CA adlı bir taşeron firmanın hacklendiği ve yaklaşık 70 bin kullanıcının kimlik belgesinin ele geçirildiği iddia edilmişti.
Jumio ise önceki dönemlerde yüz taramalarını işlem tamamlandıktan sonra silmediği gerekçesiyle davalık olmuştu.
Veriler saldırganların eline geçerse ne olur?
Bir veri ihlali yaşandığında, sızan bilgiler kullanıcının gerçek dünya yaşantısını etkileyebilir. Örneğin sızıntıdan etkilenen kullanıcılar kimlik hırsızlığı, sosyal mühendislik saldırıları veya finansal dolandırıcılık gibi durumlara maruz kalabilir.
Çalınan yüz tarama verileri, gelecekte o kişinin adına banka hesabı açmak veya başka kimlik doğrulama sistemlerini aşmak için kullanılabilir. Çocukların küçük yaşta biyometrik verilerinin bir şirketin eline geçmesi, onların tüm dijital hayatları boyunca takip edilebilmesi riskini doğurabilir. Gelecekte banka girişlerinde veya devlet işlemlerinde "yüz tanıma" standart hale geldiğinde, çocuk bugün çalınan verisi yüzünden hayatı boyunca güvenlik açığıyla yaşamak zorunda kalabilir.
Bunun yanı sıra biyometrik verileri çalınan çocuğun yüzü, uygunsuz videolara veya yasa dışı içeriklere Deepfake ile yerleştirilebilir. Saldırganlar, "Elimde uygunsuz görüntülerin var" diyerek çocuktan para veya daha fazla görüntü talep edilebilir. Görüntü sahte olsa bile çocuk bunun korkusuyla manipüle edilebilir.
Çocuğun nerede yaşadığı, hangi sosyal medyayı kullandığı ve gerçek kimlik bilgilerine sahip olan bir saldırgan, çocuğa resmi bir kurumdan biriymiş gibi mesaj atabilir. "Hesabında sorun var, annenin/babanın kredi kartı bilgilerini ver ki düzeltelim" diyerek aileyi de hedef alabilir.
Ayrıca çocuğun ilgi alanlarını (oyunlar, fenomenler) kullanarak güvenini kazanıp fiziksel olarak buluşmaya veya tehlikeli taleplere ikna edebilir.
Bunun yanı sıra çalıntı veriler, okullarda akran zorbalığı için de kullanılabilir. Örneğin çocuğun bilgileri ifşa edilebilir veya adına sahte hesaplar açılıp suç teşkil eden paylaşımlar yapılarak okuldan atılmasına veya sosyal çevresinden dışlanmasına neden olunabilir.