Iyzico’da 3D Secure Olmadan Yüksek Tutarlı Yetkisiz İşlem Denemesi
15 Mayıs 2026 günü saat 11.00 suları civarında, banka kartı bilgilerim bir şekilde ele geçirilerek zara.com üzerinden birkaç bin lira civarında yüksek tutarlı bir harcama girişiminde bulunulmuştur. Bu işlem, ödeme altyapısı sağlayıcısı iyzico üzerinden yürütülmüş olmasına rağmen ne Zara, ne iyzico ne de bankam Yapı Kredi tarafından tarafıma herhangi bir güvenlik doğrulaması veya uyarı yapılmamıştır.
Kartımı kişisel tercihim olarak internet alışverişine kapalı tuttuğum için bu işlem gerçekleşmemiş ve maddi bir kaybım oluşmamıştır. Ancak bu kadar yüksek tutarlı bir harcama girişiminin, 3D Secure onayı dahi devreye girmeden sisteme alınmaya çalışılması, kurumların sürekli övgüyle bahsettiği güvenlik altyapılarının kağıt üzerinde kaldığını ve pratikte son derece suistimale açık olduğunu göstermektedir. “Güvenli ödeme” adı altında pazarlanan bu sistemlerin, en kritik anda bile devreye girmemesi, tüketici açısından gerçek güvenlikten çok bir illüzyon anlamına gelmektedir.
Yaşadığım durum sonrasında bankamla görüştüğümde sorumluluğun iyzico’ya, iyzico ile iletişim kurmaya çalıştığımda ise sorumluluğun Zara’ya yönlendirildiğini gördüm. Sonuç olarak kartımı iptal ettirmek zorunda kaldım, fakat bu süreçte her kurumun topu diğerine atarak sorumluluktan kaçtığı, gerçek ve etkin bir güvenlik mekanizması yerine sadece göstermelik bir altyapı ile yetinildiği izlenimini edindim. Özellikle Zara tarafında müşteri hizmetlerine ulaşmanın neredeyse imkansız olması ve bu denli ciddi bir güvenlik ihlali ihtimaline rağmen kullanıcıya şeffaf bilgi verilmemesi, uzun süredir pazarlanan bu sistemlerin tüketici gözünde güvenilirliğini ciddi şekilde zedelemektedir.
Zara’dan, sistemleri üzerinden kart bilgilerimle kim veya hangi hesap üzerinden işlem yapılmaya çalışıldığının tespit edilmesini ve bu girişimin kaynağı ile kullanılan ya da kullanılmayan güvenlik adımları hakkında detaylı, açık ve yazılı bilgilendirme yapılmasını talep ediyorum. Ayrıca ödeme altyapısında 3D Secure gibi temel güvenlik adımlarının neden zorunlu tutulmadığı, bu boşluğun nasıl suistimal edilebildiği ve benzer vakaların önüne geçmek için ne tür somut ve kalıcı önlemler alındığı konusunda net ve tatmin edici açıklama bekliyorum.
Maddi zarara uğramamış olmam, bu güvenlik zafiyetinin önemsiz olduğu anlamına gelmemektedir. Bu olayın, kurumların yıllardır pazarladığı güvenlik söylemi ile gerçek uygulamalar arasındaki ciddi uçurumu ortaya koyduğunu düşünüyorum. Hem benim hem de benzer durumda olan diğer tüketicilerin dijital ortamda gerçekten korunabilmesi için bu sistemlerin göstermelik olmaktan çıkarılması ve somut, etkin ve kullanıcı lehine işleyen bir güvenlik altyapısının hayata geçirilmesini talep ediyorum.















