Nerodata CEO’su Hasan Can Saral ile keyifli bir sohbet gerçekleştirdik. Fraud engelleme ve müşteri memnuniyeti çözümlerini pazara sunan Hasan Can Saral ile yaptığımız söyleşiyi aşağıda okuyabilirsiniz.
(ThePercept, Sinan Oymacı söyleşi: 14.Temmuz.2016)
Merhaba Hasan. Seni tanıyabilir miyiz?
Sabancı Üniversitesi Bilgisayar Mühendisliği mezunuyum. Ardından London Business School İşletme Yüksek Lisansım var. İngiltere’de bir firma kurmuştum. Sabancı Üniversitesinde henüz öğrenciyken 2. sınıfta bir firma kurdum. O zamanlar mobil yazılım daha yeni başlıyor. Pek fazla çalışan yok bu konuda – tabii ki var ama bu kadar yaygın değildi -. Dolayısıyla mobil konuda çözüm sağlayabilecek üçüncü parti şirketlere ihtiyaç vardı. Bunu fark edip, ben bunu yaparım şeklinde bir kaç kursa gittikten sonra bir kaç arkadaşımla beraber şirket kurmuştum. O şirkette, basın yayın alanının sayısal ve mobil tarafında bir kaç uygulama geliştirmiştik. Daha sonra yurtdışına gittim. Üniversiteyi bitirdim. O esnada Büyük Veri ve Makina Öğrenimi ‘Machine Learning’ ‘ne ilgim başladı. Bazı araştırmalar ve çalışmalar yaptım. Halen bu konuya çok yakın bir alanda çalışıyorum.
Hangi alanda çalışıyorsunuz?
Finansal kuruluşlar – sigorta ve bankalar – için özellikle sahtecilik denetimi ve müşteri sadakati. İngilizcede ‘Churn Management’ deniyor buna. Bir müşterinin herhangi bir servisi bırakıp bırakmama ihtimalinin hesaplanması konularıyla ilgileniyorum.
Bir yazılım mı geliştiriyorsunuz?
Bu yazılım geliştirildi. Şu anda bu yazılımın bakımı, kurulumu ve pazarlaması ile meşgul oluyorum.
Nerodata şirketinden söz ediyorsunuz genel müdürlüğünü yaptığınız. Bu yazılım ne kadar zamanda gelişti?
Bu konuya iki üç yıl öncesinde başladı. Bu sistemin bazı alt sistemlerinde açık alt kaynak kodlu yazılımlar mevcut. Kendi ilgimden dolayı bu açık kaynak kodlu yazılımlara dünya çapında da bazı katkılarda bulundum.
Hangilerine?
Örneğin Scikit-learn Python’da yazılmış bir Machine Learning örnek kütüphanesidir. Bu konuda bazı katkılarım oldu. Dolayısıyla ben de burada ki eforumu bir şekilde kullanabilir miyim diye düşündüm.
Niçin dolandırıcılık ‘Fraud’ konusunu seçtiniz?
Aslında konu dolandırıcılık olduğu için ben ilgileniyorum dememek lazım. Biraz daha Türkiye’deki o boşluğu görmem ile alakalı. Bu konuda bazı büyük oyuncular var. O şirketlerin ürünleri daha çok Amerika’daki yıllık milyonlarca dolar dolandırıcılık problemi olan kuruluşlara yönelik. Bu ürünleri Türkiye’ye getirince pazarları bir hayli küçülüyor. Sadece çok büyük bankalar çekim alanlarında oluyor. Daha ufak bankalara gittiklerinde “Bizim bu kadar büyük bir dolandırıcılık sorunumuz yok ki, bunun lisansına bu kadar para verelim” gibi bir cevap ile karşılaşıyorlar. Aynı zamanda pazarda olan dolandırıcılık önleme çözümleri bir parça daha eski teknolojiyle geliştirilmiş bazı kurallar üzerinden çalışıyor. Ben bunu biraz daha machine learning ve neural networkler ile çözüyorum. Orada bir deha ve Türkiye için özel bir değer yaratabileceğimizi düşündüm.
Sizin yazılımınız bu durumda büyük şirketlerin sunduğu yazılımlara paralel aynı mantıkta çalışan ama küçük çaplı bir ürün?
Büyük şirketlerin ürünleri aslında rakip. Bizim ürünümüz uluslararası şirketlerin ki kadar sıfırdan yüze her noktayı tamamlayan ve bakan bir ürün değil. Zaten bunu kendi imkanlarımla veya buradaki imkanlarımız ile geliştirdiğimiz için, o kadar da gerçekçi olmazdı. Ama özellikle Türkiye’de tercih edilebileceğini düşündüğüm, daha doğrusu Türkiye ve Orta Doğu ülkelerinde tercih edileceğini düşündüğüm bir ürün.
Fintek çözümü diyebilir miyiz?
Buna yurtdışında pek fintek denmiyor. Bu bir Finansal ana bankacılık ‘Core Banking’ yazılımı. Fintek biraz daha biz bankaları, nasıl ne ile değiştirebiliriz sorusunun çözümü.
Hangi kurumlarla çalışıyorsunuz?
Türkiye’ye gelişim yeni. Üç ay kadar önce geldim. Henüz müşterilerim yurtdışında. Bir kaç tane var Londra’da. Türkiye’de de iki ayrı müşteriyle çalışmaya başlıyoruz diyebilirim.
Peki bir bankaya gittiniz. Sunum yapıyorsunuz. Ne öneriyorsunuz? Biz sizi dolandırıcılık engellemede şu noktadan şu noktaya şu şekilde getireceğiz mi diyorsunuz? Hizmet olarak nedir önerdiğiniz?
Amacımız; Problem yaratan işlem sayısını ve hacmini düşürmek.
Masaya doğrudan ölçülebilir bir şey koyuyorsunuz gibi.
Aylık mesela 100.000 TL’lik sahtecilik probleminiz var. Ben bunu beşe indireceğim gibi bir kompozisyonla gidiyorum. Doğal olarak bunun garantisini diğer firmalar da vermiyor. Yaratılan değer belki bir ayın sonunda doğrudan rakamlarla çıkıyor ortaya.
Minimum veya maksimum bir şey verebiliyor musunuz? Örneğin %10 ‘la %50 arasında biz bunu yapabiliriz gibi.
Hayır bunu vermek doğru olmuyor. Şu açıdan doğru değil; bankadan bankaya tutulan veriler veya sistemin etkin kullanımı gibi faktörler sonucu çok değiştirebiliyor.
Biraz detaya girmek istiyorum şimdi. Bir finans kuruluşuyla çalışmaya başlama sürecinizden söz eder misiniz?
Finans kurumu sistemin nasıl çalıştığını görmek istediğinde bir tanıtım ve örnek çalışma gerçekleştiriyoruz. Veri bir yerden başka bir yere alınmıyor. Mevcut tüm veri merkezlerine entegre edilebilen, gereksiz masraf çıkarmayan, ekstradan bazı lisanslar gerektirmeyen bir ürün. Gerçek zamanlı şekilde izlemeye başlıyoruz ve riskli gördüğümüz hareketleri – bunlar havale, eft, kredi kartından satın alma işlemi olabilir – çağrı merkezinde sahtecilik uzmanının önüne düşürüyoruz. Burada bu kişilerin iletişim bilgilerini belli bir risk seviyesinin üzerinde diyerek çağrı merkezindeki operatöre iletiyoruz. Operatör gerek görüyorsa iletişime geçiliyor kullanıcıyla ve ‘siz böyle bir şey yaptınız mı, bu gerçek midir değil midir?’ şeklinde soruyor. Veya otomatik olarak sizin kartınızdan riskli gördüğümüz şu şekilde bir işlem yapıldı mesajı gidiyor sistemden.
Kısa mesaj geliyor, örneğin bir yerde harcama yaptığımda. Siz yapmadıysanız haber verin gibi.
Hemen iletişime geçin gibi şeyler oluyor.
Bu zaten uzun yıllardır çalışan bir sistem değil mi? Belirli kurallar var anladığım kadarıyla. İşlem 4.000 TL’yi aştığı zaman bana sms geliyor. Sizin ürününüzün yıllardır bu çalışan sistemlerden ne farkı var?
‘4.000 TL’yi geçerse sms geldi çok basit bir örnek’ oldu ancak. Siz genelde 4.000 TL’yi geçen EFT’leri yapan bir insansanız bunu anlayamıyorsunuz ve 4.000 TL’yi geçtiğiniz her EFT’de bu mesajı alıyorsunuz. Makine öğrenmesi ile çalışan bir sistem olan bizim ürünümüzde; kişinin kullanım alışkanlıklarına bakıyoruz. Eğer sizin EFT alışkanlığınız ,bazı kişilere belli miktarlarda, bazı kişilere başka miktarlarda ise ve bunların dışında kalan ve gerçekten riskli gördüğümüz durumlarda bu ikazları yapıyoruz. Bu nasıl artı sağlıyor? Yanlış alarm ‘False Positive’ dediğimiz, aslında gerçek olup sistemin sahte diye işaretlediği sayıları azaltıyoruz. Bu da müşteri memnuniyetini artırmak olarak karşınıza çıkıyor. Örneğin; bugün on yirmi senedir çalışan herhangi bir sahtekarlık izleme sistemi siz Almanya’ya bilet alıp, bir hafta sonra Almanya’dan bir harcama yaptığınızda bunu takip edemiyor.
Edemiyor derken?
Şöyle bir kural tanımlıyor: “Bu adam yurtdışında bir harcama yaparsa hemen haber ver”. Aslında siz bir hafta sonrasına Almanya’ya bilet aldığınız taktirde, Almanya’da olduğunuzu tahmin edebilir durumda.
Ama bilet aldığım bilgisini banka nereden bilecek? Kendi kredi kartını kullanıldığında oluyor sanırım. Entegre ama sadece bir kredi kartı kullanırsam, değil mi? Başka bankaların başka kredi kartlarını kullanırsam ortak bir veri tabanı olmayacağı için…
Makine öğrenimine bir örnek vermeye çalışıyorum. Demek istediğim; bazı işlemlerden sonra bazı işlemler gelmesi durumunda, örneğin yurtdışına bilet satın alma işleminden sonra yurtdışında bir harcama yaptığınızda bunun durup dururken bir yurtdışı harcaması yapmanızdan daha az riskli bir işlem olduğunu tahmin edebiliyoruz.
Bunu yazılım alt yapısı tahmin ediyor, değil mi? İnsanlar yok.
Evet yazılım alt yapısı. İnsanlar yok. Bu tamamen kişinin harcama alışkanlıklarıyla ve bunu düzenli izleyip, buna göre bir risk skoru üretmemizle mümkün kılınan bir şey.
O zaman şöyle bir şey söyleyebilir miyiz: ‘Bir banka ile çalışıyorsan, bir tane kredi kartın varsa ve her şeyi onunla yapıyorsan, finansal hayatın çok daha güvenli.
Ama iki üç banka ile çalışıyorsan, birisinin kredi kartıyla bilet alıp öbürünün kredi kartıyla harcama yapıyorsan, bunun takibi daha zor. Sistemin dışına çıkıyorsunuz çünkü.’ Bilgi alışverişi olmadığı için diye var sayıyorum orada.
Müşteri memnuniyeti konusundan söz etmiştiniz, bunların yanında. Bu konuda neler söyleyebilirsiniz?
Bir sahtecilik işlemini daha verimli olarak tahmin ettiğiniz zaman, bir işlem sahteyse, onu daha yüksek bir ihtimalle sahte buluyorsunuz ve bir işlem sahte değilse onu daha düşük bir ihtimalle sahte olarak işaretliyorsunuz. Bu da durup dururken kartınızın kilitlenmemesi ve gerçekten ortada bir sahtecilik işlemi yokken size mesaj gelmemesi gibi müşteri memnuniyetini arttırıcı unsurlar şeklinde karşınıza çıkıyor.
Bu algoritmaların kurumdan kuruma değişmesi gibi bir şey söz konusu herhalde. Bir bankayı müşteri olarak aldığınızda, onlar ürünü kullanmaya karar verdiklerinde, bir proje aşamasına mı giriyorsunuz? Hangi kuralların, hangi şartlarda çalışacağı gibi?
Kuraldan ziyade hangi algoritmaların daha yüksek performans sağlayacağını, kısa bir entegrasyon sürecinde değerlendiriyoruz.
Neden finans kuruluşları ortak bir kütüphane kullanmıyorlar? Yani birisinin dolandırıcılık veya sahtekarlık olduğunu kabul ettiği bir şey bir diğerinde farklı olabilir mi? Burada veriler paylaşılırsa aslında özel bilgilerde paylaşılmış olacak. Her finans kuruluşu için ortada bir fraud kütüphanesi varsa, bu kurum içinde o fraud öbür banka içinde fraud’dur. Tamam ayrı çalışsınlar ama sonuçta siz hazır bir alt yapıyı verseniz, ne değişir finansal kuruluşlar için?
Bunları paylaşma yönüne gitmiyorlar.
Siz hazır kurallar listesi veriyor musunuz?
Bizde hiç bir kural yok. Biz sadece bir insanın davranışlarını takip edip, bir kredi kartının kullanım alışkanlıklarını belirleyip, bunun üzerinden bir skor üretiyoruz. Yani bir konfigürasyon bir kural tanımlamaya gerek yok. Tabii ki böyle bir imkan var ama güçlü olduğumuz nokta bu değil.
Örneğin 4.000 TL’yi geçtiğinde sms göndermek bir kuraldır banka için.
Tabii, bu bir kuraldır. Bizde bu kural yok ama. Tabii ki var ama kullanılmasını cesaretlendirdiğim şey bu değil. Ben size bir kredi kartı veriyorum. İlk yaptığınız harcamada işlemin sahte mi değil mi olduğunu bilme olasılığım %50 , yazı turayla aynı. Siz bir yerle de harcamalar yapıyorsunuz. Gidiyorsunuz kırtasiye veya ev eşyası alıyorsunuz. Günün birinde durup dururken de kozmetik alıyorsunuz. Ben sizin böyle bir şey yapmayacağınızı tahmin ediyorum. Bu bir machine learning, zamanla gelişen.
Ne kadar çok işlem yapıyorsa o kadar iyi, sistemin kendisini öğrenip görmesi açısından!
Bazı kural setleri var. Yine benim ürünümde de tanımlanabiliyor. Ancak asıl yarattığım değer o değil. Nitekim o olsa zaten 10 yıl önce A bankası B Bankası’nın yaptığı şekilde bir şey yapıyor olurdum.
Söylemeniz de sakınca olmayan, en enteresan kullanıcı davranışları ile ilgili iki örnek verebilir misiniz?
Geçen gün fark ettiğim, daha doğrusu bir yerde okuduğum üzere; online alışverişten bir örnek verebilirim. Daha çok e-ticaret sitelerine uygulanabilir bir konu. Bir kişinin fareyi oynatma hızı ile sahte bir işlem gerçekleştirme arasında bir ilişki var. Sahteciler daha hızlı fare oynatıyorlar. Tabii bir banka seviyesinde kurgulanabilir bir şey değil.
Bunun izlendiğinden kullanıcının haberdar olması, önceden bilgilendirilmesi gerekir mi?
Bu bir e-ticaret sitesinde kullanılabilir.
Bu sistemi finansal kurumların dışında e-ticaret sitelerinde kullanılmak üzere geliştirmek gibi bir planınız var mı?
Zaten yapılabilir ama o pazar çok küçük. Bir e-ticaret firmasının böyle bir ürünün lisansını satın almasını gerektirecek kadar büyük bir problemi yok.
Ürününüz bulut çözümü mü?
Finansal kuruluşları hedeflediğim için bulutta kullanımı mümkün değil. Çünkü verilerin Türkiye’de durması gerekiyor. Kendi bünyelerinde – on premise – çalışacak bir sistem. Bu yazılım da aslında bir finansal kuruluşun özel bulutunda çalışan bir yazılım.
Herhangi bir ürün bağımlılığı yok demiştiniz.
O önemli bir avantaj. Diğer büyük şirketlere gittiğinizde, onların sahtekarlık önleme sistemlerini alacaksınız, veri tabanı filan da satıyorlar. Dolayısıyla fatura bir anda şişiyor. Başka çözüm lisanslarını da beraber almanız gerekiyor.. Bende tabii bir fikri mülkiyet söz konusu ancak arka tarafta kullandığım bir sürü açık kaynak yazılım var. Bunları kurumsal lisanslar ile çalıştırıyorum. Dolayısıyla aslında çok büyük bir yatırım gerektirmeyen, sadece basit bir destek hizmetleri lisansıyla kurulabiliyor.
Aylık bir bedel mi ödeniyor? Gelir modeliniz nasıl?
Ürünün lisansını ve bakımını satmış oluyorum.
Teşekkürler bu güzel sohbet için.
Ben teşekkür ederim.
Nerodata CEO’su Hasan Can Saral ile yaptığımız röportajı aşağıda izleyebilirsiniz.