Hindistan sermaye piyasası düzenleyicisi SEBI, gelişmiş yapay zekâ araçlarının finansal altyapı için yeni bir siber risk başlığına dönüştüğünü belirterek piyasa kurumlarına resmi uyarı yayımladı. 5 Mayıs 2026 tarihli duyuru, “güvenlik açığı tespiti” için kullanılan ileri yapay zekâ araçlarına odaklanıyor. Reuters, SEBI Başkanı Tuhin Kanta Pandey’nin bir gün önce Anthropic’in Mythos modeli ve benzer araçlardan doğabilecek riskler konusunda aracı kurumlara uyarı geleceğini söylediğini aktarmıştı.
Uyarının hedefi yalnızca yapay zekâ kullanımı değil
SEBI’nin mesajı, finans kurumlarının yapay zekâ kullanmasını yasaklayan bir düzenleme değil. Asıl odak, gelişmiş modellerin yazılım açıklarını çok daha hızlı bulabilmesi ve aynı kapasitenin kötüye kullanım halinde saldırı yüzeyini büyütebilmesi. Bu nedenle uyarı, aracı kurumlar, borsalar, saklama kuruluşları, piyasa altyapısı sağlayıcıları ve üçüncü taraf teknoloji tedarikçileri açısından doğrudan operasyonel bir güvenlik konusu olarak okunmalı.
Düzenleyici kurumun yaklaşımı, “yapay zekâ riski” başlığını soyut bir etik tartışmadan çıkarıp yamalama, izleme, tedarikçi denetimi ve olay bildirimi gibi somut siber güvenlik süreçlerine bağlıyor. Bu, finans sektöründe önemli bir ayrım. Çünkü piyasa sistemlerinde küçük bir teknik açık bile işlem sürekliliği, veri gizliliği ve yatırımcı güveni açısından geniş sonuçlar doğurabilir.
Cyber-suraksha.ai görev gücü kuruldu
SEBI, uyarı kapsamında cyber-suraksha.ai adlı bir görev gücü oluşturdu. Economic Times ve Medianama’nın aktardığına göre bu yapı, piyasa altyapısı kurumları, nitelikli kayıt ve transfer ajanları, düzenlenmiş kuruluşlar ve ilgili paydaşlardan temsilciler içerecek. Görev gücünün amacı yapay zekâ kaynaklı siber riskleri izlemek, tehdit istihbaratını paylaşmak ve üçüncü taraf hizmet sağlayıcılarının güvenlik duruşunu değerlendirmek.
Bu çerçeve, finansal kuruluşların yalnızca kendi iç sistemlerini değil, dışarıdan aldıkları yazılım ve teknoloji hizmetlerini de yeniden gözden geçirmesi gerektiği anlamına geliyor. Özellikle ticari yazılımlar, API bağlantıları, işlem platformları ve veri işleme sistemleri yeni tip yapay zekâ araçları karşısında daha sıkı test edilmek zorunda kalabilir.
Uyarı aynı zamanda klasik güvenlik testlerinin tek seferlik bir kontrol olarak görülmemesi gerektiğini hatırlatıyor. Yapay zekâ destekli açık taraması hızlandıkça kurumların da yamaları bekletmeden uygulaması, geçici önlem gereken yerlerde sanal yamalama kullanması ve kritik sistemlerde sürekli izleme yapması gerekiyor. SEBI’nin tavrı bu yüzden yalnızca teknik ekipleri değil, yönetim kurullarını ve risk komitelerini de ilgilendiriyor.
Mythos adı neden öne çıktı?
Reuters’ın haberinde SEBI’nin risk değerlendirmesi Anthropic’in Mythos modeli ve benzer yapay zekâ araçlarıyla ilişkilendirildi. Burada önemli nokta, modelin tek başına suçlanması değil; bu tür araçların güvenlik açıklarını ölçekli ve hızlı şekilde bulabilmesinin piyasalar için çift yönlü bir etki yaratması. Aynı teknoloji savunma ekiplerinin işini hızlandırabilir, fakat kötü niyetli aktörlerin açık bulma ve istismar etme sürecini de kısaltabilir.
Bu nedenle SEBI’nin adımı, yapay zekâ düzenlemesinden çok siber dayanıklılık düzenlemesi olarak görülmeli. Kurum, piyasa oyuncularından sistem açıklarını proaktif şekilde tespit etmelerini, yama süreçlerini hızlandırmalarını ve tedarikçilerle güvenlik koordinasyonunu güçlendirmelerini istiyor. Finansal piyasalar için yeni gerçek şu: yapay zekâ yalnızca işlem, analiz veya müşteri hizmeti aracı değil; aynı zamanda savunma planlarının merkezine alınması gereken bir güvenlik değişkeni.
Uygulama tarafında en kritik nokta hız olacak. Finans kurumları, yapay zekâ destekli açık tespitinin saldırganlar kadar savunma ekiplerini de hızlandırdığını kabul etmek zorunda. Bu nedenle klasik yıllık denetim yaklaşımı tek başına yeterli olmayabilir. Daha sık test, daha hızlı yama yönetimi ve üçüncü taraf yazılım envanterinin güncel tutulması SEBI uyarısının pratik karşılığı olarak öne çıkıyor.
