Twitter

İK liderleri için iş yerinde deepfake taciz ve dolandırıcılık rehberi

İçindekiler

İş Yerinde Deepfake Tehlikesi: Yapay Zekâ Tabanlı Tacizin Yükselişi ve Hukuki Riskler

  • Yapay zekâ, iş yerlerinde ciddi hukuki riskler yaratıyor.
  • Deepfake’in etkileri, taciz ve dolandırıcılık gibi alanlarda endişe verici boyutlara ulaşabiliyor.
  • Şirketlerin bu tehditlere karşı kapsamlı politikalar ve önlemler geliştirmesi gerekiyor.
  • Dijital delil doğrulama ve güvenlik önlemleri kaçınılmaz hale geldi.
  • Regülasyonlar, gelecekteki riskleri minimize etmek için kritik öneme sahip.

İş Yerinde Deepfake Nedir? Kısa ama Kritik Tanım

**Deepfake**, derin öğrenme (deep learning) ve generative AI (üretken yapay zekâ) teknikleriyle oluşturulan, gerçekte var olmayan ama son derece inandırıcı:

  • Video
  • Sesi kaydı
  • Görsel (fotoğraf)
  • Hatta metin temelli konuşma kayıtları

İş yerinde deepfake denildiğinde ise özellikle şu senaryolar öne çıkıyor:

  • Bir çalışanın ya da yöneticinin sesinin klonlanması
  • Bir yöneticiye ait sahte video konuşma montajı
  • Çalışanların yüzlerinin uygunsuz içeriklere monte edilmesi
  • CEO taklidiyle finansal talimat verilmesi (CEO fraud / BEC saldırıları)
  • “Kanıt” gibi sunulan sahte ses/video ile iç soruşturmaların manipüle edilmesi

Neden Şimdi? Deepfake’in Kurumsal Tehdit Olarak Patlamasının 4 Nedeni

Kurumsal dünyada deepfake kullanımının yaygınlaşmasının arkasında dört temel itici güç var:

1. Araçlara Erişim Eşiği Dramatik Şekilde Düştü

  • Web tabanlı yüz değiştirme uygulamaları
  • API üzerinden ulaşılabilen ses klonlama servisleri
  • Ücretsiz ya da düşük maliyetli generative AI modelleri

2. Uzaktan Çalışma ve Dijital İletişim Patlaması

  • Pandemi sonrası kalıcı hale gelen video konferans kültürü
  • Sesli mesaj ve asenkron video kullanımı
  • Slack, Teams, WhatsApp gibi platformların yoğunluğu

3. İç İletişim, İK ve Soruşturma Süreçlerinin Dijitalleşmesi

  • İK şikâyetleri, taciz bildirimleri, çalışan geri bildirimleri artık çoğunlukla dijital kanallardan geliyor.
  • Kurumsal soruşturmalarda “video/ses kanıtı” ağırlığı artıyor.

4. Kurumsal Farkındalık ve Hukuki Çerçeve Gecikiyor

  • Çoğu şirketin yazılı bir “deepfake politikası” yok.
  • Veri güvenliği politikalarında deepfake ve üretken yapay zekâ genellikle adıyla anılmıyor.
  • Yöneticiler, HR ve hukuk ekipleri bu konuda sistematik eğitim almamış durumda.

Sonuç: Saldırı yüzeyi büyürken, savunma mekanizmaları henüz olgunlaşmadı.

Deepfake Nasıl Tacize ve Mobbing’e Dönüşüyor?

İş yerinde deepfake’in en endişe verici yönlerinden biri, çalışanlara yönelik **yapay zekâ destekli taciz** ve mobbing için araç haline gelmesi.

1. Cinsel İçerikli Sahte Görseller ve Videolar

  • Bir çalışanın yüzünün pornografik içeriğe monte edilmesi
  • Eski bir sevgili, memnuniyetsiz bir iş arkadaşı veya kötü niyetli bir yönetici tarafından üretilen görseller
  • Bu görsellerin ofis içinde ya da sosyal medyada dolaşıma sokulması

Bu tür eylemler:

  • Cinsel taciz
  • İtibar zedeleme
  • Psikolojik şiddet (mobbing)
  • Kişilik haklarının ihlali

2. Ses Klonuyla “Uygunsuz Mesaj” Üretimi

  • Bir yöneticinin sesinin klonlanarak çalışanlara cinsel içerikli veya aşağılayıcı mesajlar gönderilmesi
  • Çalışanların, aslında hiç söylemedikleri sözler “kanıt” gibi sunularak zan altında bırakılması

3. İftira, Manipülasyon ve Güç Gösterisi

Deepfake içerikler:

  • Terfi süreçlerini sabote etmek
  • Rakip çalışanı itibarsızlaştırmak
  • Sendika/çalışan temsilcilerini zor durumda bırakmak
  • Yönetim kararlarını manipüle etmek

Yapay zekâ burada “siber zorbalık” ile “kurumsal güç savaşı”nı birleştiren tehlikeli bir araç haline geliyor.

İşverenler İçin Hukuki Riskler: Sadece Fail Değil, Kurum da Sorumlu Olabilir

JD Supra ve benzeri hukuk odaklı yayınlarda vurgulanan en kritik noktalardan biri şu:

Deepfake kaynaklı taciz ve zararlar söz konusu olduğunda, sorumluluk çoğu zaman yalnızca içeriği üreten kişide kalmıyor; işveren de sorumlu tutulabiliyor.

1. Taciz ve Ayrımcılık Mevzuatı Kapsamında Sorumluluk

Bir çalışanın iş arkadaşına ya da astına yönelik deepfake içerik üretmesi:

  • Cinsel taciz
  • Psikolojik taciz (mobbing)
  • Ayrımcı söylem (cinsiyet, ırk, din vb.)

İşverenin riski:

  • Tacizi önleyici gerekli önlemleri almadığı
  • Şikâyetleri ciddiye almadığı
  • Soruşturmaları objektif ve kapsamlı yürütmediği

İddia edilirse, kurum hem hukuken hem de itibar anlamında ağır bir bedel ödeyebilir.

2. Kişisel Verilerin ve Kişilik Haklarının İhlali

Deepfake üretimi için genellikle:

  • Çalışanın fotoğrafları (LinkedIn, kurumsal site, sosyal medya)
  • Video kayıtları (toplantı kayıtları, tanıtım videoları)
  • Ses kayıtları (sunumlar, toplantı ses kayıtları)

Bu durum:

  • Kişisel verilerin hukuka aykırı işlenmesi ve paylaşılması
  • Kişinin görüntü ve sesine ilişkin haklarının ihlali

Türkiye’de KVKK ve Borçlar Kanunu çerçevesinde:

  • Çalışanlar maddi ve manevi tazminat talep edebilir.
  • Kurum, veri güvenliğini sağlamadığı iddiasıyla incelemeye alınabilir.

Uluslararası düzeyde (özellikle AB’de) GDPR kapsamında yüksek para cezaları söz konusu olabilir.

3. İş Sağlığı ve Güvenliği Perspektifi

Psikolojik taciz, giderek daha fazla iş sağlığı ve güvenliği kapsamında değerlendiriliyor.

Deepfake kaynaklı:

  • Şiddetli stres
  • Psikolojik travma
  • İş motivasyonu kaybı
  • Çalışma ortamında güvensizlik

Durumları, işverenin “güvenli ve sağlıklı çalışma ortamı sağlama yükümlülüğünü” ihlal ettiği iddialarını gündeme getirebilir.

4. İç Soruşturmalarda Deepfake “Delil” Riski

Bir başka kritik hukuki risk: Sahte içeriklerin iç soruşturmalarda “delil” muamelesi görmesi.

Örneğin:

  • Bir çalışan hakkında deepfake ses kaydıyla şikâyet yapılıyor.
  • Şirket, teknik inceleme yapmadan çalışanın iş akdini feshediyor.

Sonrasında ses kaydının sahte olduğu ortaya çıkarsa:

  • Haksız fesih
  • Kötü niyet tazminatı
  • Ayrımcılık iddiaları

Gibi sonuçlarla karşılaşılabilir. Bu nedenle şirketlerin “dijital delil” doğrulama süreçlerini güncellemesi şart.

Deepfake’in Finansal Dolandırıcılık Boyutu: CEO Fraud 2.0

İş yerinde deepfake sadece çalışanlar arası taciz değil, aynı zamanda kurumsal dolandırıcılık için de güçlü bir araç.

CEO’nun Sesinden Gelmiş Gibi…

Son dönemde dünya genelinde raporlanan vakalarda:

  • CFO’ya, CEO’nun sesini taklit eden aramalar yapılıyor.
  • “Acil bir satın alma” ya da “gizli bir satın alma anlaşması” için para transferi isteniyor.
  • Ses kaydı o kadar gerçekçi ki, çalışan hiçbir şeyden şüphelenmiyor.

Bu saldırılar, klasik “Business Email Compromise (BEC)” modelinin deepfake ile güçlendirilmiş yeni versiyonu. Artık sadece e-posta değil, ses ve video da sahte.

Hukuki ve Sigorta Boyutu

Bu tür olaylarda gündeme gelen sorular:

  • Çalışan gerekli özeni göstermiş sayılır mı?
  • Şirketin iç kontrol prosedürleri yeterli miydi?
  • Siber sigorta poliçeleri deepfake tabanlı dolandırıcılıkları kapsıyor mu?

Özellikle sigorta sözleşmelerinde “social engineering” ve “deepfake” terimlerinin açıkça tanımlanması önem kazanıyor.

Şirketler Ne Yapmalı? Deepfake Çağında Risk Yönetimi İçin 7 Adım

Deepfake riskini sıfırlamak mümkün değil; ancak yönetilebilir seviyeye indirmek kesinlikle mümkün. İşte iş yerinde deepfake ve yapay zekâ kaynaklı taciz/dolandırıcılık risklerine karşı atılması gereken temel adımlar:

1. Yazılı “Yapay Zekâ ve Deepfake Politikası” Oluşturun

  • Klasik etik ve dijital davranış kodlarını güncelleyerek şu başlıkları ekleyin:
    • Deepfake üretimi ve paylaşımı kesin olarak yasaktır.
    • Çalışanların görüntü ve ses kayıtları yalnızca belirli amaçlar için, hukuka uygun olarak işlenebilir.
    • Deepfake içerik üretilmesi, paylaşılması veya sahip olunması disiplin süreci doğurur.
    • Yapay zekâ araçlarının iş amaçlı kullanımı net şekilde tanımlanır (hangi araçlar, hangi koşullarda).

Bu politikanın:

  • Çalışan el kitabına girmesi
  • İş sözleşmelerinde atıf yapılması
  • Yöneticiler için ek sorumluluklar içermesi önemlidir.

2. Taciz ve Mobbing Politikalarına “Dijital Taciz” Boyutunu Ekleyin

Mevcut taciz politikalarınızı gözden geçirip:

  • Deepfake tabanlı cinsel taciz
  • Sosyal medya üzerinden yapılan itibar suikastı
  • Ses/video manipülasyonu ile yapılan mobbing

Gibi dijital formları açıkça tanımlayın. Çalışanların:

  • Ne yapıldığında neyin ihlal sayıldığını
  • Nasıl ve nereye şikâyette bulunabileceklerini

Çok net şekilde anlaması gerekir.

3. Farkındalık Eğitimleri: Yöneticiler ve HR İçin Zorunlu Hale Getirin

Özellikle:

  • İnsan kaynakları
  • Hukuk
  • BT ve siber güvenlik
  • Orta ve üst düzey yöneticiler

İçin, yılda en az bir kez deepfake ve üretken yapay zekâ odaklı eğitim şart:

  • Deepfake nedir, nasıl anlaşılır?
  • Şikâyet geldiğinde hangi adımlar izlenmeli?
  • Delil doğrulama için hangi birim devreye girmeli?
  • Çalışanlarla nasıl iletişim kurulmalı?

Bu eğitimler, olay anında panik yerine sistematik hareket edilmesini sağlar.

4. Dijital Delil Doğrulama Prosedürü Geliştirin

Her ses, video veya görsel kaydı “otomatik olarak doğru kabul etmek” artık büyük risk.

  • Önemli iddialarda, bağımsız dijital adli analiz (digital forensics) zorunlu kılınmalı.
  • Kritik vakalarda, dış uzman ya da sertifikalı siber güvenlik şirketleri devreye sokulmalı.
  • İç politika olarak “doğrulanmamış dijital delile dayanarak ağır disiplin cezası verilmez” ilkesi benimsenebilir.

5. Siber Güvenlik ve Finansal Kontrolleri Deepfake Çağına Göre Güncelleyin

Özellikle:

  • Para transferleri
  • Satın alma onayları
  • Kritik sistemlere erişim

Gibi süreçlerde:

  • Çok faktörlü doğrulama (MFA)
  • İki kişi imzası (four-eyes principle)
  • Sözlü talimatların mutlaka yazılı teyidi

Gibi mekanizmalar güçlendirilmeli. “CEO aradı, hemen yapmalıyım” kültüründen “prosedüre uymak herkesin sorumluluğu” kültürüne geçiş şart.

6. Çalışan Desteği ve Psikolojik Güvenlik Mekanizmaları Kurun

Deepfake mağduru olan bir çalışan:

  • Yoğun utanç
  • Güvensizlik
  • İşten ayrılma isteği

Gibi duygular yaşayabilir. Bu nedenle:

  • Gizli ve güvenli şikâyet kanalları
  • Psikolojik danışmanlık desteği
  • Mağduru suçlamayan, destekleyici iletişim dili

Önceden kurgulanmalı. Kurumsal kültürde “mağdurun yanında, failin karşısında” net bir tutum sergilenmeli.

7. Hukuk, BT, İK ve İletişim Birimlerini Aynı Masaya Oturtun

Deepfake, klasik silo yapılarla yönetilemez. En iyi pratik:

  • Hukuk
  • İnsan Kaynakları
  • Bilgi Teknolojileri / Siber Güvenlik
  • Kurumsal İletişim
  • Gerekirse Risk Yönetimi ve İç Denetim

Temsilcilerinden oluşan bir “Yapay Zekâ Risk Komitesi” kurmak.

Bu komite:

  • Politika ve prosedürleri günceller
  • Vaka yönetiminde rol paylaşımı yapar
  • Yönetim kuruluna düzenli risk raporları sunar.

Yönetim Kurulları ve C-Seviye için 5 Stratejik Soru

İş yerinde deepfake konusu, sadece operasyonel bir siber güvenlik detayı değil, aynı zamanda yönetim kurulu seviyesinde stratejik bir risk. CEO, CFO, CHRO ve CISO’ların kendilerine şu soruları sorması gerekiyor:

  • **Şirketimizin deepfake ve generative AI ile ilgili yazılı bir politikası var mı?** Yoksa, ne zaman ve kim tarafından hazırlanacak?
  • **Taciz ve mobbing politikalarımız dijital taciz ve deepfake’i açıkça kapsıyor mu?**
  • **İç soruşturmalarımızda dijital delil doğrulama için prosedür ve kapasiteye sahip miyiz?**
  • **Finansal ve operasyonel kritik süreçlerimiz, deepfake tabanlı CEO fraud saldırılarına dayanıklı mı?**
  • **Yapay zekâ gelişmelerini düzenli izleyen, “erken uyarı ve adaptasyon” sağlayan bir kurul ya da komite yapımız var mı?**

Bu sorulara net ve ikna edici cevap veremeyen şirketler, önümüzdeki yıllarda hukuki, finansal ve itibar riskleriyle daha yoğun karşılaşacak demektir.

Regülasyon Ufukta: Erken Hazırlanan Kazanır

Dünya genelinde:

  • AB’nin AI Act’i
  • ABD’de hem federal hem eyalet düzeyinde deepfake ve yapay zekâ odaklı tasarılar
  • Birçok ülkede siber suç ve kişisel veri mevzuatının güncellenmesi

Gibi adımlar hızlanmış durumda. Öne çıkan eğilimler:

  • Deepfake içeriklerin belirli koşullarda zorunlu etiketlenmesi
  • Seçim, finans, sağlık ve işgücü gibi kritik alanlarda yapay zekâya ek sorumluluklar getirilmesi
  • İşverenlerin çalışan verilerini yapay zekâ sistemlerinde kullanırken daha sıkı yükümlülüklere tabi tutulması

Bu çerçevede, regülasyon gelmeden:

  • Risk analizlerini yapmış
  • Politikalarını güncellemiş
  • Farkındalık eğitimlerini başlatmış
  • Delil doğrulama kapasitesi kurmuş

Şirketler, hem uyumluluk maliyetini azaltacak hem de regülatör nezdinde daha güçlü bir pozisyona sahip olacak.

Sonuç: “Gördüğün Her Şeye İnanma” Çağında Kurumsal Sorumluluk

İş yerinde deepfake, yapay zekânın karanlık ama göz ardı edilmesi artık imkânsız bir yüzü. Taciz, mobbing, itibar suikastı, dolandırıcılık ve hukuki sorumluluklar; hepsi aynı resmin parçaları.

Önde gelen trend şunu gösteriyor:

  • Deepfake ve generative AI, iş dünyasının rutin bir parçası olacak.
  • Bu teknolojileri tamamen yasaklamak, hem gerçekçi değil hem de rekabet gücüne zarar verebilir.
  • Asıl mesele, sorumlu kullanım ve etkin risk yönetimi.

İş liderleri, hukukçular, İK profesyonelleri ve teknoloji yöneticileri için artık temel sorumluluk şu:

Yapay zekânın sunduğu fırsatları kullanırken, çalışanların haklarını ve güvenliğini koruyan, hukuka uyumlu ve etik bir çerçeve kurmak.

İş yerinde deepfake riskini ciddiye alan, politika–eğitim–teknoloji üçgenini stratejik şekilde yöneten kurumlar, yalnızca hukuki riskleri azaltmakla kalmayacak; aynı zamanda çalışanlarının güven duyduğu, itibarı güçlü işveren markaları haline gelecek.

Sıkça Sorulan Sorular

Deepfake nedir?

Deepfake, yapay zekâ ve derin öğrenme teknikleri kullanılarak oluşturulan, gerçekte var olmayan ama son derece inandırıcı video, ses, görsel ya da metin içerikleridir.

Deepfake’in iş yerindeki tehditleri nelerdir?

Deepfake, özellikle cinsel taciz, dolandırıcılık ve iç soruşturmaların manipülasyonu gibi alanlarda ciddi tehditler yaratmaktadır.

Şirketler deepfake ile başa çıkmak için neler yapmalıdır?

Şirketler, yazılı politikalar oluşturmalı, eğitimler vermeli ve dijital delil doğrulama süreçlerini güçlendirmelidir.

Deepfake ile ilgili hukuki riskler nelerdir?

Deepfake ile yapılan taciz veya dolandırıcılık durumlarında, işverenlerin hukuki sorumlulukları bulunmaktadır.

Deepfake ile ilgili regülasyonlar nelerdir?

Dünya genelinde deepfake kullanımı hakkında pek çok yeni düzenleme çalışması yapılmaktadır; özellikle AB’nin AI Act’i ve GDPR gibi yasalar öne çıkmaktadır.

Paylaş:

Diğer Yazılar