E-ticaret Sektöründe Yapay Zeka Güvenliği
Öneri Motorları, Dinamik Fiyatlandırma ve Asistanlar · 2026
E-ticaretin bel kemiği olan öneri motorları ve müşteri asistanları, saldırgan için ise yeni bir kaldıraçtır. Sektör hem en hızlı yapay zeka benimseyen hem de sahtekarlığın en yaratıcı uygulandığı alandır.
Türk E-ticaret Manzarası
Türkiye e-ticaret pazarı 2020'den bu yana hızla büyüyen ve uluslararası dikkat çeken bir ekosisteme dönüştü. Trendyol başta olmak üzere Hepsiburada, n11, GittiGidiyor (Amazon TR olarak yeniden konumlandırıldı), PttAVM ve daha küçük dikey platformlar günlük milyonlarca işlem üretiyor. Buna ek olarak bağımsız e-ticaret siteleri, Shopify üzerinden çalışan binlerce KOBİ ve sosyal medya tabanlı satış (Instagram Shopping, TikTok Shop) ekosistemin geniş ucunu oluşturuyor.
Bu ekosistemde rekabet üç temel boyutta yaşanıyor: müşteri kazanma maliyeti, ürün bulma deneyimi ve fiyat. Üç boyut da doğrudan yapay zekayla şekillendiriliyor; bir kullanıcının ana sayfada gördüğü ürünler, arama sonuçlarındaki sıralama, gördüğü fiyat, müşteri hizmetlerinde aldığı yanıt, sepet aşamasında karşılaştığı kampanya tamamen algoritmik kararlardır. Bu kararların kalitesi pazarda kazananı belirleyen ana faktörlerden biri.
Sektörün kullanıcı yoğunluğu ve algoritmik karar yoğunluğu yan yana geldiğinde ortaya çıkan tablo, yapay zeka güvenliği için son derece kritiktir. Bir saldırganın amacı sıklıkla finansal kazanç olduğundan, e-ticaret hem geniş bir saldırı yüzeyi hem net bir kar fırsatı sunar.
AI Kullanım Alanları
E-ticaret platformları yapay zekayı altı temel alanda yoğun olarak kullanır. Bu alanların her birinin kendine özgü güvenlik dinamikleri vardır.
Birinci alan kişiselleştirme ve öneri motorlarıdır. Ana sayfa düzeni, kategori sayfalarındaki sıralama, "bunlarla birlikte alınanlar" bölümü, e-posta kampanyaları ve push bildirimleri tamamen kullanıcı davranışına göre üretilen model çıktılarına dayanır. Modelin kalitesi tıklama oranını, sepete eklemeyi ve nihayetinde geliri doğrudan belirler.
İkinci alan dinamik fiyatlandırmadır. Aynı ürünün fiyatı, kullanıcı segmentine, mevcut talebe, rakip fiyatlara ve hatta yıl/saat dilimine göre değişebilir. Bu kararlar genellikle binlerce sinyali tarayan modeller tarafından üretilir; insan müdahalesi sınırlıdır. Üçüncü alan arama ve katalog yönetimi: yazım hatasını düzelten, eşanlamlıları yöneten, ürün açıklamalarını otomatik üreten ve katalog kalitesini denetleyen yapay zeka katmanları platformlar için kritiktir.
Dördüncü alan müşteri asistanları: chatbot, çağrı merkezi ön elemesi, sipariş takip sorularının cevaplanması bu kategoride yer alır. Beşincisi dolandırıcılık tespiti: sipariş üretildiği anda risk skorlanır, ödeme aşamasında ek doğrulama tetiklenir, ürün iade taleplerinde sahtecilik aranır. Altıncı alan içerik üretimi: ürün açıklamaları, görsel iyileştirme, kampanya metinleri, satıcı destek yazıları için dil modeli tabanlı araçlar yaygın biçimde kullanılır.
Yedi Sektöre Özgü Tehdit
E-ticaret bağlamında yapay zekanın yarattığı tehditler yedi temel kategoride toplanır. Bunların her biri farklı bir saldırgan motivasyonuyla ortaya çıkar.
1. Öneri Motoru Manipülasyonu
Satıcı tarafındaki en yaygın saldırı türüdür. Bir satıcı, kendi ürününü öneri sıralamasında yukarı çekmek için yapay sinyal üretebilir; sahte hesaplarla görüntülenme, sahte siparişler, sahte değerlendirmeler bu kategorinin tipik araçlarıdır. Daha sofistike senaryolarda saldırgan, rakip ürünleri aşağı çekmek için olumsuz sinyaller (sahte iadeler, sahte düşük puanlar) üretebilir.
Bu manipülasyonun zararı yalnızca rekabeti bozmakla kalmaz; tüketici güvenini de zedeler. Kullanıcı, sıralamanın gerçek popülerliği yansıttığını varsayarak karar verir; gerçekte ise manipülasyonla yukarı çıkmış bir ürünü satın almış olabilir.
2. Dinamik Fiyatlandırma İstismarı
Algoritmik fiyatlandırma sistemleri, rakip fiyatları izleyen modellerden beslenir. Bir saldırgan ya da rakip, sahte düşük fiyat sinyalleri vererek hedef platformun kendi fiyatlarını mantıksız biçimde düşürmesini tetikleyebilir; ardından bu düşük fiyatlardan toplu alım yapıp arbitraj kar elde eder. Tersine bir senaryoda, sahte yüksek talep sinyalleri ile platformu fiyat artırmaya zorlayarak tüketici şikayetlerini ve marka zararını tetikleyebilir.
Daha incelikli bir vektör, algoritmik koordinasyondur. Aynı sektördeki birden çok satıcının fiyatlandırma modelleri birbirini izlerse, sonuçta yatay rekabet bozulabilir ve düzenleyici otoriteler (Rekabet Kurumu) bunu rekabet ihlali olarak değerlendirebilir. Bilinçli bir karar olmasa bile algoritmik etkileşim sonucu doğan bu durum yasal risk yaratır.
3. Sahte Ürün ve Değerlendirme
Marketplace modelinde sahte ürün, sahte satıcı ve sahte değerlendirme yapay zeka ile endüstrileşmiş hale gelmiştir. Dil modelleri ile saatler içinde yüzlerce farklı stilde, akıcı Türkçeyle yazılmış ürün değerlendirmesi üretilebilir; resim üretim modelleri sahte ürün fotoğraflarını gerçekçi biçimde sentezleyebilir. Geleneksel "sahte yorum filtresi"nin tipik olarak baktığı işaretler (aşırı tekrar, yazım hatası, kısa süreli yoğun aktivite) yapay zekayla üretilen içerikte artık doğal görünmektedir.
Bu saldırıların özelliği, kurbanın yalnızca tüketici değil aynı zamanda platform olmasıdır. Sahte değerlendirmelerle yükselen satıcı kalitesiz ürün gönderirse, iade ve şikayet dalgası platform operasyonunu yorar; düzenleyici otoriteler de platformu kalite kontrolünden sorumlu tutar.
4. Hesap Ele Geçirme
Yapay zeka, hesap ele geçirme saldırılarını iki yönde güçlendirir. Birincisi, klasik kimlik avı saldırılarının yapay zeka ile daha akıcı Türkçeye kavuşması; daha önce AI Destekli Phishing yazısında ele aldığımız vektör burada da geçerlidir. İkincisi, ele geçirilen hesabın gerçek sahibi gibi davranmak için yapay zekanın kullanılması: alışveriş geçmişine bakan, tipik harcama saatlerini bilen ve "hesap sahibi davranışını taklit eden" bir saldırı, dolandırıcılık tespit modelini yanıltabilir.
E-ticaret platformlarında hesap ele geçirme yalnızca finansal kayıp değil, kayıtlı kart, adres bilgisi, sipariş geçmişi gibi geniş bir veri ifşasını da içerir. KVKK açısından bu durum platformun veri ihlal bildirim yükümlülüğünü doğrudan tetikler.
5. Sahte İade Saldırıları
İade süreçleri, yapay zeka destekli dolandırıcılığın yeni odak noktalarından biridir. Saldırgan; sipariş verir, ürünü teslim alır, sonra kargonun ulaşmadığını ya da farklı bir ürün geldiğini iddia ederek iade talep eder. Yapay zeka burada üç yönde kullanılabilir: sahte kargo belgesi üretimi, dil modeliyle akıcı ve duygusal iade gerekçesi üretmek, görüntü modelleriyle "yanlış ürün geldi" iddiasını destekleyen sahte fotoğraflar oluşturmak.
Bu saldırıların ölçeği yapay zeka ile katlanmıştır; tek başına çalışan bir dolandırıcı, eskiden manuel uğraşarak ayda birkaç iade saldırısı yapabilirken artık yüzlerce hesap üzerinden paralel kampanyalar düzenleyebilir.
6. Müşteri Asistanı Kötüye Kullanımı
Müşteri asistanları, hem doğrudan saldırı hedefi hem dolaylı manipülasyon aracı olabilir. Doğrudan saldırı senaryosunda saldırgan asistana prompt enjeksiyonu yaparak sistem politikalarını sızdırmaya, başka kullanıcıların sipariş bilgilerine ulaşmaya ya da yetkisi olmadığı işlemleri tetiklemeye çalışır. Dolaylı senaryoda saldırgan, asistanı kullanarak meşru kullanıcı gibi davranır; toplu sipariş iptali, sahte hediye kuponu üretim talebi, sahte ürün bilgisi sorgusu gibi işlemler bu kanalda denenebilir.
7. İçerik Üretiminde Marka İstismarı
Dil modelleriyle kolayca üretilen reklam metinleri, e-posta kampanyaları ve sosyal medya gönderileri, sahtekarların elinde marka taklit aracına dönüşür. "Trendyol Aralık Kampanyası" görüntüsünü taşıyan sahte bir kampanya sayfası, akıcı Türkçesi ile gerçek görünür; kullanıcı tıkladığında giriş bilgilerini sahte siteye girer. Bu tehdidin platform tarafı için sonucu, marka itibar zararı ve müşteri güvenindeki gerilemedir.
KVKK ve Tüketici Koruma Çerçevesi
E-ticaret sektöründe yapay zeka kullanımı üç ayrı düzenleyici çerçeveyle kesişir. Birincisi KVKK; kullanıcı davranışı, satın alma geçmişi, kart bilgisi gibi verilerin işlenmesi Madde 4, 5 ve 12 hükümlerine tabidir. Profil çıkarma faaliyeti ise meşru menfaat ya da açık rıza temelinde gerekçelendirilmelidir; kullanıcının her tıklamasının davranış modelleme amacıyla saklanması ölçülü işleme ilkesini sınar.
İkinci çerçeve 6502 sayılı Tüketicinin Korunması Hakkında Kanundır. Algoritmik kararlar tüketici hakları açısından şeffaflık beklentisi doğurur; özellikle dinamik fiyatlandırma uygulamalarında, aynı ürünün farklı kullanıcılara farklı fiyatla sunulması yasal olarak gri bir alandır. Avrupa'da bu konuda netleşen çerçeveler geliştirildi; Türkiye'de henüz tebliğ düzeyinde uygulama yok ama Ticaret Bakanlığı'nın çerçeveyi günceleyeceği önümüzdeki dönemde beklenebilir.
Üçüncü çerçeve Elektronik Ticaretin Düzenlenmesi Hakkında Kanun (6563)dır. Bu kanun ve onun ikincil mevzuatı, e-ticaret platformlarının sorumluluklarını, ticari ileti gönderme kurallarını, satıcı yükümlülüklerini düzenler. Yapay zeka destekli pazarlama iletişiminde özellikle ticari elektronik ileti onayı ve kişiselleştirme şeffaflığı konuları gündeme gelir.
Bunların yanına 4054 sayılı Rekabetin Korunması Hakkında Kanun da eklenir; algoritmik fiyatlandırma sonucu yatay koordinasyon doğarsa Rekabet Kurumu'nun denetim alanına girilir. Bu konuda Avrupa'da çeşitli vakalar görüldü; Türkiye'de henüz somut karar yok ama riskin gerçek olduğu net.
Kurumsal Savunma Yaklaşımı
E-ticaret platformlarında yapay zeka güvenliği genel ilkelere ek olarak sektöre özgü beş katmanda yapılandırılmalıdır.
Birinci katman sinyal kalitesi izlemedır. Öneri motoru ve fiyatlandırma modelleri sinyallere bağlı çalışır; bu sinyallerin gerçekliği sürekli izlenmelidir. Şüpheli görüntülenme örüntüleri, sahte hesap aktiviteleri, anormal yoğunlukta yorum üretimi gibi sinyaller filtre edilmeden modele besledilirse, model manipülatörün istediği yöne kayar.
İkinci katman çok kanallı dolandırıcılık tespitidır. Tek bir model üzerinden değil, sipariş, ödeme, iade ve müşteri hizmeti kanallarının tamamından beslenen birleşik bir tespit yapısı kurulmalıdır. Saldırgan tek kanalı atlattığında diğeri devreye girer; bu çapraz doğrulama sektörün en sağlam savunmasıdır.
Üçüncü katman asistan davranış sınırlandırmasıdır. Müşteri asistanları doğrudan finansal etki yaratan işlemleri (iade onayı, kupon üretimi, sipariş iptali) tek başına yapma yetkisine sahip olmamalı; bu işlemler ya insan onayına ya da güçlü çoklu doğrulamaya bağlanmalıdır. Asistan yalnızca bilgi sağlama ve yönlendirme aracı olarak konumlandırılmalıdır.
Dördüncü katman algoritmik şeffaflık ve kullanıcı bilgisidır. Fiyat farklılaştırma, öneri kişiselleştirme ve içerik sıralaması gibi mekanizmaların varlığı kullanıcıya bildirilmelidir; bu bilgilendirme hem yasal yükümlülüklerin gereğidir hem güveni destekleyen bir uygulamadır. Kullanıcının "neden bana bu fiyat gösteriliyor?" sorusuna platformun makul bir cevabı olmalıdır.
Beşinci katman satıcı denetimi ve onay süreçleridır. Marketplace platformları, satıcı tarafından yüklenen ürün açıklamaları, görseller ve değerlendirme yanıtlarının yapay zeka destekli üretildiği durumlarda kalite filtresinden geçirmelidir. Sahte ürün ve sahte yorum tespiti, satıcı onboarding sürecinin ayrılmaz bir parçası olmalıdır.
Marketplace Özelinde Notlar
Trendyol, Hepsiburada gibi büyük marketplace platformlarının yapay zeka kullanımı, kendi sattığı ürünler için tek satıcı modelinde çalışan platformlardan farklıdır. Marketplace'in özgün koşulları, güvenlik yaklaşımını da farklılaştırır.
Birincisi satıcı tarafı saldırı yüzeyidır. Marketplace, milyonlarca üçüncü taraf satıcıyı içeren bir ekosistemdir; her satıcı potansiyel bir tehdit aktörüdür. Satıcının ürün açıklaması, fotoğrafı, fiyat değişikliği, yorum yanıtı yapay zeka destekli platform tarafından sınıflandırılır; bu süreç saldırgan satıcıların manipülasyon yolu olabilir.
İkincisi üçüncü taraf veri akışı: marketplace üzerindeki yapay zeka modelleri çoğu kez satıcı verilerini de işler; ürün katalogları, satış istatistikleri, satıcı performans verileri model girdileri arasındadır. Hangi verinin hangi modelde nasıl kullanıldığı, satıcı sözleşmesinde şeffaf biçimde tanımlanmadığında satıcı tarafından memnuniyetsizlik ve hukuki itiraz doğar.
Üçüncüsü çok yönlü dolandırıcılıkdır. Marketplace ortamında saldırgan; tüketici tarafından, satıcı tarafından ya da platforma karşı içeriden farklı yönlerde hareket edebilir. Savunma sisteminin tüm bu yönleri kapsayan bir tasarımı olması, klasik tek satıcı e-ticaret platformundan ayırt edici bir gereksinimdir.
Dördüncüsü marka koruma: marketplace platformları üzerinde sahte markalı ürün satışı, yapay zekayla üretilen sahte içerikle daha tespit edilemez hale gelir. Marka sahipleriyle kurulan denetim ortaklığı, yapay zeka destekli marka tanıma sistemleri ve hızlı kaldırma süreçleri marketplace ekosisteminin önemli yapı taşları olmalıdır.
Sık Yapılan Hatalar
E-ticaret platformlarında yapay zeka güvenliğine yaklaşırken karşılaştığımız tipik tuzakların başında "verim için kişiselleştirme her zaman daha iyi" varsayımı gelir. Aşırı kişiselleştirme şeffaflık açısından sorun yaratır; aynı ürünün iki kullanıcıda farklı fiyatla görünmesi yasal açıdan netleşmemiş bir alandır ve müşteri güveni açısından risklidir. İyi tasarım, kişiselleştirmeyi belirli sınırlar içinde tutar.
İkinci yaygın hata sahte yorum mücadelesini tek bir filtreye bağlamaktır. Yapay zekayla üretilen yorumlar artık eski filtre kalıplarına takılmaz; çok katmanlı analiz, hesap davranış izleme, satıcı bazlı korelasyon ve insan denetimi birlikte çalışmadığında sahte yorumlar sızar.
Üçüncü tuzak asistana finansal yetki vermektir. "Müşteri kolayca iade alabilsin diye asistan kendisi iade onayı versin" yaklaşımı dolandırıcılık sömürüsüne açılan kapıdır. Asistan bilgilendirir, süreç başlatır ama nihai onayı insan ya da çoklu doğrulamalı bir mekanizma verir.
Dördüncüsü satıcı tarafını yeterince sıkı denetlememektir. Marketplace platformlarında satıcı onboarding süreci satıcı şirket kuruluş belgelerinden öteye geçemediğinde, sahte satıcılar açılır ve bunlar üzerinden sahte ürün, sahte iade, sahte yorum kampanyaları yürütülür. Yapay zeka destekli onboarding doğrulaması ve davranışsal izleme süreci bu kanalı kapatır.
Son olarak algoritmik fiyatlandırma sistemlerinin rekabet boyutunu görmezden gelmek: model rakip fiyatları izler ama platform yöneticisi bu izleme zincirinin yatay koordinasyon riskini değerlendirmez. Rekabet Kurumu nezdinde bir gün sorun çıkma ihtimali bu denetimsizliğin doğrudan sonucudur.
Sonuç
E-ticaret, yapay zekanın getirdiği üretkenliğin en somut karşılığını yaşayan sektörlerden biridir; aynı zamanda saldırgan açısından da en yaratıcı dolandırıcılık alanlarından biri. Öneri motoru manipülasyonundan dinamik fiyatlandırma istismarına, sahte ürün ve değerlendirme üretiminden müşteri asistanı kötüye kullanımına kadar yedi farklı tehdit kategorisi sektörü çevreliyor.
Sağlam bir kurumsal savunma; sinyal kalitesi izleme, çok kanallı dolandırıcılık tespiti, asistan yetki sınırlandırması, algoritmik şeffaflık ve satıcı denetim süreçleri üzerine kurulur. Marketplace platformlarında bu mimariye satıcı tarafı kontrolleri de eklenir. Yasal düzlemde KVKK, Tüketici Koruma Kanunu, Elektronik Ticaret Kanunu ve Rekabet Kanunu birlikte ele alınmalıdır.
AltaySec olarak Türk e-ticaret platformlarına yapay zeka tehdit modellemesi, öneri motoru güvenliği ve algoritmik şeffaflık çerçeveleri üzerine çalışmalarımızı sürdürüyoruz. Sektörel seri, telekom ve enerji sektörlerine de uzanarak devam edecek.