Toronto polisi 2024 başında bir operasyon düzenledi. 12 kişi tutuklandı. 102 ayrı suçlama. Ele geçirilenler arasında düzinelerce sahte devlet kimliği, bu kimlikleri üretmek için kullanılan elektronik şablonlar, yüzlerce sahte isimlere bağlı banka ve kredi kartı ve 300.000 Kanada doları nakit vardı.

Ama operasyonun asıl çarpıcı detayı rakamlardan çok yönteme dair. Bu çete insanların kimliğini çalmadı. Var olmayan insanlar üretti. 680’den fazla.

Sentetik kimlik dolandırıcılığı deniyor buna. Ve bu, finansal suç dünyasının en sessiz ama en hızlı büyüyen türü.

Sentetik Kimlik Nedir?

Klasik kimlik hırsızlığını herkes biliyor. Birinin TC kimlik numarasını, kredi kartı bilgisini veya sosyal güvenlik numarasını çalıyorsun, o kişi gibi davranıyorsun. Kurban bir noktada fark ediyor, bankayı arıyor, hesaplar kapatılıyor, soruşturma başlıyor.

Sentetik kimlik farklı çalışıyor. Gerçek bir kişinin kimliğini tamamen çalmıyorsun. Gerçek bir bilgi parçası alıyorsun, mesela bir sosyal güvenlik numarası, sonra geri kalan her şeyi uyduruyorsun. Sahte bir isim, sahte bir adres, sahte bir doğum tarihi, sahte bir telefon numarası. Ortaya çıkan şey hiçbir gerçek insana ait olmayan ama sistemlerde gerçek gibi görünen bir kimlik.

Neden bu kadar tehlikeli? Çünkü mağdur yok. Klasik kimlik hırsızlığında gerçek bir kişi bir noktada “bu işlemi ben yapmadım” diyor. Sentetik kimlikte kimse şikayet etmiyor çünkü o insan zaten yok. Bankanın kaybı, tahsilata düşene kadar fark edilmiyor.

Toronto vakasında çete tam olarak bunu yaptı. 680’den fazla sentetik kimlik oluşturdu. Gerçek sosyal güvenlik numaraları kullandı ama geri kalan bilgiler tamamen uydurmaydı. Bu kimliklerle yüzlerce banka hesabı ve kredi hesabı açtı.

Altı Yıl Boyunca

Şemanın en rahatsız edici tarafı süresi. 2016’dan başlamış. Soruşturma 2022 sonunda başlamış. Yani altı yıl boyunca bu çete, bankacılık sisteminin içinde rahatça hareket etti.

Nasıl bu kadar uzun süre fark edilmedi? Çünkü sentetik kimlik dolandırıcılığının iş modeli sabır üzerine kurulu. Hemen vurup kaçmıyorsun. Kimliği oluşturuyorsun, hesap açıyorsun, küçük işlemler yapıyorsun, zamanında ödeme yapıyorsun. Kredi skoru yükseliyor. Banka seni iyi bir müşteri olarak görüyor. Belki limitini artırıyor. Belki yeni bir kredi teklif ediyor.

Sonra “bust out” geliyor. Tüm hesapları aynı anda sonuna kadar kullanıyorsun. Kredi kartlarının limitini dolduruyorsun, kredileri çekiyorsun, nakit avans alıyorsun. Ve kayboluyorsun. Banka tahsilata düştüğünde fark ediyor ki bu müşteri hiç var olmamış.

Toronto çetesi bunu sistematik olarak yaptı. Kredi hesaplarını aktif tutmak için sahte ödemeler bile yapıyorlardı. Bir hesaptan diğerine EFT göndererek ödeme yapılmış gibi gösteriyorlardı. Bu, bankanın otomatik izleme sistemlerini atlatmanın basit ama etkili bir yolu.

İçeriden Başladı

Soruşturmanın başlangıç noktası bir banka çalışanı. 2022 sonunda bir finansal kurum, eski bir çalışanının birden fazla sentetik kimlik oluşturduğunu tespit etti.

Bu detay kritik. Çünkü sentetik kimlik oluşturmanın en zor kısmı ilk hesabı açmak. Bankalar KYC süreci uygulıyor. Kimlik doğrulama, adres teyidi, bazen yüz tanıma. Sahte bir kimlikle bu süreçleri geçmek zor. Ama içeriden biri yardım ediyorsa, bu engeller ortadan kalkıyor.

Banka çalışanı muhtemelen hesap açma sürecinde belge kontrollerini atladı veya sahte belgeleri bilerek kabul etti. Bu, 680 sentetik kimliğin bankacılık sistemine girmesinin kapısını açtı.

Gördüğümüz bir kalıp bu aslında. İçeriden tehdit ve sentetik kimlik dolandırıcılığı sık sık birlikte görülüyor. Edward Low TD Bank’tan müşteri bilgisi sattı. Canaccord’da compliance ekibi alarm sesini kıstı. Toronto’da banka çalışanı sahte kimliklere kapı açtı. İçeriden biri olmadan bu şemaların çoğu bu ölçeğe ulaşamaz.

Sahte Kimlik Üretim Hattı

Polis operasyonunda ele geçirilen materyaller, bunun amatör bir iş olmadığını gösteriyor.

Düzinelerce sahte devlet kimliği ele geçirildi. Ama daha önemlisi, bu kimlikleri üretmek için kullanılan elektronik şablonlar da ele geçirildi. Yani bu çetenin bir kimlik üretim hattı vardı. Bir şablon alıyorsun, yeni bir isim ve fotoğraf yerleştiriyorsun, çıktı alıyorsun. Seri üretim.

2026’da bu iş çok daha kolay hale geldi. Generatif AI ile sahte kimlik belgeleri dakikalar içinde üretilebiliyor. Sadece kimlik kartı değil, pasaport, fatura, maaş bordrosu, banka ekstresi. Hepsi tutarlı bilgilerle, hepsi profesyonel görünümlü. Photoshop ile uğraşmaya gerek yok. AI üretiyor, dolayısıyla “düzenleme izleri” aramaya dayanan eski tespit yöntemleri işe yaramıyor.

Hatta sosyal medya profilleri bile üretilebiliyor. AI ile oluşturulmuş fotoğraflar, sahte iş geçmişi, LinkedIn profili, küçük bir web sitesi. Sentetik kimliğin artık bir “backstory"si var. Bir bankacı müşteriyi Google’ladığında bir şeyler buluyor. Her şey tutarlı görünüyor. Çünkü her şey aynı anda, aynı amaçla üretilmiş.

Toronto vakasında 2016 teknolojisi kullanıldı. Bugün aynı şeyi yapan bir çete, AI sayesinde çok daha hızlı, çok daha ikna edici ve çok daha ölçeklenebilir şekilde yapabilir.

Neden Tespit Edilmesi Bu Kadar Zor?

Sentetik kimlik dolandırıcılığının en büyük avantajı şu: şikayet eden kimse yok.

Normal kimlik hırsızlığında gerçek bir kişi mağdur oluyor. Hesabından para çekildiğini görüyor, bankayı arıyor, itiraz ediyor. Bu, soruşturmanın başlangıç noktası. Ama sentetik kimlikte böyle bir tetikleyici yok. O insan gerçek değil. Kimse aramıyor.

Banka açısından bu hesap uzun süre normal görünüyor. Düzenli işlemler, zamanında ödemeler, makul bakiye. İşlem izleme sistemi alarm üretmiyor çünkü kalıp normal. Müşteri risk skoru düşük çünkü sorun yok. Ta ki bust out olana kadar.

Ve bust out olduğunda bile banka bunu genellikle “kredi temerrüdü” olarak değerlendiriyor, “dolandırıcılık” olarak değil. Dosya tahsilata gidiyor. Tahsilat müşteriye ulaşamıyor çünkü müşteri yok. Bu noktada bile fraud olarak sınıflandırılması zaman alıyor.

OCC (ABD Para Denetleme Kurumu) bu konuda açık bir uyarı yayınladı: sentetik kimlik dolandırıcılığı genellikle tahsilat aşamasına kadar tespit edilmiyor. Yani bankalar kaybı ancak para gittikten çok sonra fark ediyor.

2026’da Durum

Sentetik kimlik dolandırıcılığı 2026’da ABD’de en hızlı büyüyen fraud türlerinden biri olarak tanımlanıyor. Mastercard, TransUnion ve Thomson Reuters’ın analizleri aynı noktaya işaret ediyor: bu tehdit geleneksel kimlik hırsızlığından daha hızlı yayılıyor.

Sumsub’ın verilerine göre sentetik kimlik belge dolandırıcılığı ABD’de yüzde 300 arttı. Generatif AI’ın yaygınlaşması bu artışın ana sürücüsü. Eskiden bir sentetik kimlik oluşturmak haftalarca süren bir süreçti. Şimdi saatler içinde yapılabiliyor.

Ve hedef kitle genişliyor. Eskiden sentetik kimlik dolandırıcılığı büyük tutarlı işlemler için kullanılıyordu, mortgage, otomobil kredisi, yüksek limitli kredi kartları. Çünkü kimlik oluşturma süreci zahmetliydi, yani “yatırımın karşılığını almak” için büyük vuruş gerekiyordu. AI bu denklemi değiştirdi. Artık düşük maliyetle çok sayıda sentetik kimlik üretilebildiği için küçük tutarlı, yüksek hacimli saldırılar da kârlı hale geldi.

Türkiye Bağlamı

Türkiye’de sentetik kimlik dolandırıcılığı ABD’deki kadar belgelenmiş değil ama risk gerçek.

TC kimlik numarası sistemi, sosyal güvenlik numarasına benzer şekilde pek çok işlemin temelini oluşturuyor. Bir TC kimlik numarası ele geçirildiğinde, etrafına sahte bilgiler sarılarak yeni bir profil oluşturulabilir. Özellikle dijital bankacılık kanallarında hesap açma süreçleri hızlandıkça, sentetik kimliklerin sisteme girme olasılığı artıyor.

Bankalar açısından soru şu: KYC süreciniz var olmayan bir insanı tespit edebilir mi? Çoğu KYC süreci gerçek bir kişinin kimliğini doğrulamak için tasarlanmış. Ama karşınızdaki kişi gerçek değilse, sistem ne yapıyor? Gerçek bir TC kimlik numarasıyla eşleşmeyen bir ismi tespit edebiliyor mu? Adres geçmişi olmayan bir profili bayrak olarak işaretleyebiliyor mu?

İçeriden tehdit boyutu Türkiye’de de geçerli. Toronto vakası bir banka çalışanından başladı. Türk bankalarında hesap açma sürecinde çalışan müdahalesi ne ölçüde izleniyor? Bir çalışanın aynı dönemde çok sayıda yeni hesap açması, normal iş akışının dışında belge onaylaması gibi kalıplar tespit edilebiliyor mu?

Sonuç

Toronto’daki sentetik kimlik çetesi bir rekor kırmadı. 4 milyon dolarlık kayıp, sektör ölçeğinde küçük bir rakam. Ama bu vakanın önemi rakamda değil, yöntemde.

680 insan üretmek. Hiçbiri gerçek değil. Hepsinin banka hesabı var, kredi kartı var, kredi skoru var. Altı yıl boyunca sistem içinde normal müşteri gibi davranıyorlar. Sonra bir gün kayboluyorlar.

Ve kimse şikayet etmiyor. Çünkü mağdur yok. Daha doğrusu mağdur var ama o da banka. Ve banka ancak tahsilata düştüğünde fark ediyor.

Sentetik kimlik dolandırıcılığı, KYC sistemlerinin temel varsayımını sorguluyor: karşımızdaki kişi gerçek bir insan mı? Bankalar bu soruyu sormaya alışık değil. Ama artık sormak zorundalar. Çünkü AI çağında var olmayan bir insan üretmek hiç bu kadar kolay olmamıştı.

Toronto polisi operasyondan sonra bile tüm şüphelilerin yakalandığına inanmıyor. Ve etkilenen tüm kurumların tespit edildiğine de inanmıyor. Bazı bankalar hâlâ bu çetenin açtığı hesaplardan habersiz olabilir.

680 sahte insan. Ve belki daha fazlası hâlâ sistemin içinde.