Ocak 2026’da ABD’de bir mahkemede ilginç bir suç kabulü yaşandı. TD Bank’ın Florida şubesinde kasiyer olarak çalışan Leonardo Ayala, Kolombiyalı kara para aklayanlar adına 5.5 milyon dolar aklamasına yardım ettiğini kabul etti. Karşılığında aldığı ücret: hediye kartı olarak ödenen 50 dolar.

Bu dava, TD Bank’ın 2024 yılında tarihinin en büyük AML cezası olan 3 milyar dolarlık ödemeye mahkûm edilmesinin arka planındaki bireysel mekanizmaları gün yüzüne çıkarmak bakımından son derece değerli.

Nasıl Çalıştı?

Ayala’nın yöntemi teknik açıdan karmaşık değildi. Üç temel hareketle sistemi işlevsiz kıldı:

  1. Drive-through’dan sahte kart basımı

Dışarıdan gelen suç ortakları, hesap sahipleri fiziksel olarak şubede bulunmadan Ayala’ya müşteri adı ve doğum tarihi listeleri gönderdi. Ayala bu bilgileri kullanarak söz konusu hesaplara yeni debit kartlar bastı. Yöntem basitti ama etkisi doğrudan: hesap kontrolü fiilen kara para aklayanların eline geçti.

  1. Kısıtlanan kartları unblock etmek

TD Bank’ın fraud sistemleri zaman zaman devreye girdi ve şüpheli hesaplardaki kartları dondurdu. Ayala bu kısıtlamaları manuel olarak kaldırdı. Yani bankanın koruma mekanizması çalışıyordu — ama içeriden devre dışı bırakıldı.

  1. Kurumsal e-posta üzerinden koordinasyon

Ayala, şube e-posta adresiyle banka müşterisi olmayan suç ortaklarıyla yazıştı. İsimler, doğum tarihleri, kart talepleri — hepsi TD Bank sistemlerinde kayıt altında. Transaction monitoring bu yazışmaları yakalamadı.

TD Bank’ın Genel Tablosu

Bu tek bir kasiyer hikâyesi değil. Davayı anlamlı kılan bağlam, TD Bank’ın kurumsal AML başarısızlığıyla örtüşmesi.

DOJ’un daha önceki belgelerine göre TD Bank çalışanları iç iletişimde kara para aklamanın ne kadar kolay olduğunu tartışıyordu. Üst yönetim ise “sıfır gider artışı” ilkesiyle AML bütçesini kısıtlı tuttu. Banka, 2018-2024 yılları arasında işlem hacminin yüzde 92’sini, işlem değerinin ise yüzde 74’ünü izleme kapsamı dışında bıraktı — bu 18.3 trilyon dolarlık izlenmeyen işlem değerine karşılık geliyor.

Ayala davası, bu büyük tablonun en somut, en bireysel boyutunu temsil ediyor.

İçeriden Tehdit Neden Bu Kadar Kritik?

Dışarıdan gelen saldırılar, doğası gereği bir giriş noktası aramak zorunda. İçeriden bir aktör bu giriş noktasını ortadan kaldırıyor — çünkü zaten içeride.

Ayala örneğinde AML açısından kritik olan şu: transaction monitoring sistemi çalışıyordu. Kartlar kısıtlandı, yani sistemin bir parçası flagging yapıyordu. Ama bu sinyali geçersiz kılacak yetki bir kasiyerin elindeydi ve bu yetkinin kullanımını izleyen başka bir mekanizma yoktu.

Bu, “teknoloji çözüm” yanılgısının somut bir örneği. Sistemin ürettiği uyarı, bir çalışan tarafından manüel olarak etkisizleştirilebildiğinde detection’ın anlamı yok.

İçeriden tehdit soruşturmalarında sıklıkla karşılaşılan örüntü şu şekilde özetlenebilir:

  • Fırsat:Yetkinin denetlenmemesi
  • Baskı:Düşük ücret, finansal güçlük veya dış tehdit
  • Gerekçe:“Kimseye zararı yok”, “sadece sistem açıklarından yararlandım”

Fırsat: Yetkinin denetlenmemesi

Baskı: Düşük ücret, finansal güçlük veya dış tehdit

Gerekçe: “Kimseye zararı yok”, “sadece sistem açıklarından yararlandım”

Ayala’nın aldığı 50 dolarlık hediye kartı, baskı faktörünü açıkça gösteriyor. Bir kasiyer maaşıyla bu rakam, belirli bir finansal baskı altındaki biri için cazip hale gelebilir.

Müfettiş Gözüyle: Vakanın Dersleri

Yetki denetimi: Kart basım yetkisi, kısıtlama kaldırma yetkisi ve müşteri hesabına erişim yetkisinin aynı kişide birikmesi temel bir iç kontrol zafiyeti. Segregation of duties bu senaryo için tasarlanmış bir prensip.

Anomali tespiti: Bir kasiyer hangi sıklıkta kart kısıtlaması kaldırıyor? Bu sayı ortalamanın kaç standart sapma üzerinde? İşlemsel davranış analizi (behavioral analytics) bu soruyu cevaplamak için var.

E-posta trafiği: Şube çalışanının kurumsal mail üzerinden hesap sahibi olmayan üçüncü taraflarla yazışması ciddi bir kırmızı bayrak. Bu tür anormal iletişim örüntüleri, çoğu bankada UEBA (User and Entity Behavior Analytics) kapsamında izleniyor — TD Bank’ta bu işlevsizdi.

Kültürel risk: Çalışanların iç iletişimde kara para aklamanın kolaylığını konuşuyor olması, bir compliance kültürü sorununun göstergesi. Kontrol ortamı sadece teknolojiden ibaret değil; kültür, yönetim tonu ve raporlama cesareti de bir parça.

TD Bank Sonrası

TD Bank 3 milyar dolarlık cezanın ardından 1 milyar dolarlık AML remediation planı açıkladı. 700’den fazla AML uzmanı istihdam etti, BSA/AML gözetim komitesi kurdu. ABD operasyonlarında varlık tavanı (asset cap) uygulamasıyla karşı karşıya — bu, büyüme kabiliyetini doğrudan sınırlayan bir yaptırım.

Ayala ise Haziran 2026’da cezasını bekliyor. Kara para aklamaya iştirak için 20 yıl, banka rüşveti için 30 yıla kadar ceza riski var.

Sonuç

50 dolarlık bir rüşvet, 5.5 milyon dolarlık aklamaya kapı araladı. Asıl mesele bu tutarlar değil — asıl mesele bir kasiyerin hem kart basabilmesi, hem hesap kısıtlamasını kaldırabilmesi hem de kimseyle hesap vermeden dış aktörlerle koordine olabilmesiydi.

TD Bank davası, iç kontrol zafiyetinin ve gözetim boşluğunun fırsata nasıl dönüştüğünün ders kitabı vakası. İçeriden tehdit her sektörde var ama bankacılıkta — hassas müşteri yetkilerine ve finansal altyapıya doğrudan erişim nedeniyle — riski başka bir boyut taşıyor.

Teknoloji çözümdür, ama yalnızca denetlendiğinde.