Bütçe uygulamaları güvenli mi? Sizin hakkınızda gerçekte ne biliyorlar?
Kısaca: Çoğu saygın bütçe uygulaması doğrudan dolandırıcılık açısından güvenlidir — paranızı çalmayacaklar. Asıl mesele ne topladıkları ve paylaştıklarıdır. Banka bağlantılı uygulamalar, üçüncü taraf bir toplayıcıya tüm işlem geçmişinize erişim verir ve bu veriler, toplayıcı zincirindeki şirketler tarafından satılmış ve kötüye kullanılmıştır. Alternatif, en başından verilerinizi hiç almayan yerel öncelikli, manuel bir uygulamadır.
Bütçe uygulamaları güvenli mi? Banka giriş bilgilerinizi teslim etmeden önce bunu merak etmek son derece makul. Dürüst cevabın iki boyutu var: dolandırıcılığa karşı güvenlik — saygın uygulamalar için büyük ölçüde evet. Veri toplama ve ticari veri paylaşımına karşı güvenlik — işte orada iş karışıklaşıyor. Bu rehber mekanizmayı, belgelenmiş olayları, saygın uygulamaların sizi korumak için neler yaptığını ve bu verileri hiç paylaşmak istemiyorsanız yapısal alternatifi açıklıyor.
Banka bağlantılı bütçe uygulamaları bankanıza gerçekte nasıl bağlanır?
Monarch Money, Copilot veya eski Mint gibi bir uygulamada "bankanı bağla" düğmesine bastığınızda, bankanıza doğrudan bağlanmıyorsunuz. Bir veri toplayıcısı üzerinden bağlanıyorsunuz — genellikle Plaid, Yodlee (Envestnet'e ait) veya MX. Toplayıcı, bankanız ile bütçe uygulaması arasında duran görünmez üçüncü taraftır.
Toplayıcıların verilerinize ulaşmasının iki yolu var:
- Ekran kazıma — gerçek banka kullanıcı adı ve şifrenizi veriyorsunuz. Toplayıcı sizin adınıza bankanıza giriş yapıyor, işlem geçmişinizi okuyor ve bütçe uygulamasına aktarıyor. Sektör yıllarca büyük ölçüde böyle çalıştı. Bir üçüncü taraf bankacılık kimlik bilgilerinizi gerçek anlamda elinde tutuyor.
- OAuth token'ı — bağlantıyı bankanızın kendi sitesinde yetkilendiriyorsunuz ve banka, sınırlı okuma erişimi tanıyan bir token veriyor. Bu yöntem daha güvenli çünkü toplayıcı şifrenizi hiç görmüyor. Ama toplayıcı yine de tam işlem geçmişinizi alıp işliyor.
OAuth daha iyi, büyük bankalar da bu yöne geçiyor. Ancak pek çok küçük banka ve kredi kooperatifi hâlâ OAuth desteklemiyor; dolayısıyla ekran kazıma yaygınlığını koruyor. Her iki yöntemde de verileriniz bir toplayıcıdan geçtiğinde, yalnızca bütçe uygulamasının değil, o şirketin gizlilik uygulamalarına tabi oluyorsunuz.
Toplayıcılar verilerinizle ne yapıyor?
Toplayıcıların iş modeli yalnızca uygulamaları bankalara bağlamak değil. Topladıkları verileri aynı zamanda satıyor ya da lisanslıyorlar.
Plaid, yaklaşık 98 milyon kişiyi kapsayan bir toplu davayı 58 milyon dolara kapattı (nihai onay Temmuz 2022). Davacılar, Plaid'in açıkladığından daha fazla finansal veri topladığını ve sattığını ve giriş ekranlarının kullanıcıların kendi bankalarını taklit edecek şekilde tasarlandığını — eleştirmenlere göre bu durum kimin kimlik bilgilerini aldığını gizliyordu — ileri sürdü. Plaid suçlamayı reddetti ve uzlaşmada herhangi bir yükümlülük kabul etmedi.
Bir diğer büyük toplayıcı olan Envestnet/Yodlee, tüketicilerin anonimleştirilmiş işlem verilerini üçüncü taraflara sattığı gerekçesiyle Vice'ın Motherboard'u tarafından haberleştirildi. Ocak 2020'de Senatörler Ron Wyden ve Sherrod Brown ile Temsilci Anna Eshoo, FTC'ye mektup göndererek Yodlee'nin veri uygulamalarının yasaları ihlal edip etmediğini soruşturmasını istedi. FTC, Şubat 2020'de Yodlee'ye sivil soruşturma talebi iletti.
Bunlar marjinal oyuncular değil — Plaid ve Yodlee, tanınan pek çok bütçe uygulamasının altyapısıydı ya da hâlâ öyle. Adlarını bilmeden onlarla veri paylaşmış olabilirsiniz.
Düzenleyici bir koruma var mı?
Ekim 2024'te CFPB, zaman zaman "açık bankacılık" kuralı olarak da anılan Kişisel Finansal Veri Hakları yönetmeliğini kesinleştirdi. Bu düzenleme, tüketicilere finansal verilerinin nasıl paylaşılıp kullanılacağı konusunda açık haklar tanıyacaktı. Ne var ki mahkemede itirazla karşılaştı, federal bir yargıç tarafından durduruldu ve 2026 itibarıyla yeniden yazılma sürecinde. Toplayıcı veri uygulamalarını kısıtlayacak düzenleyici çerçeve şu an askıda.
Bu, korumasız olduğunuz anlamına gelmiyor — mevcut yasalar (GLBA, eyalet gizlilik mevzuatı, FTC Yasası) hâlâ geçerli. Ancak tüketicilere toplayıcı paylaşımı üzerinde denetim verecek "finansal verileriniz size aittir" çerçevesi henüz kalıcı bir biçimde yürürlüğe girmedi.
Saygın banka bağlantılı uygulamalar sizi korumak için neler yapıyor?
Dürüst olmak gerekirse: YNAB, Monarch, Copilot ve benzeri büyük bütçe uygulamaları güvenliği ciddiye alıyor. Şifreli bağlantı kullanıyorlar, paranızı hareket ettirmiyorlar (yalnızca okuma erişimi), hata ödülü programları işletiyorlar ve gizlilik politikaları yayımlıyorlar. Bir dolandırıcılık düzeneği kuruyorlar, hayır. Bu uygulamaları kullananların büyük çoğunluğu veri toplamadan hiçbir zarar görmüyor.
Mesele "paramı çalacaklar mı?"dan daha ince. Asıl sorun, toplayıcı zincirinin finansal hayatınızın — her işlem, her alışveriş yeri, her yinelenen ücret — büyük ve ayrıntılı bir resmini oluşturmasıdır. Bu resim, asıl işi veriyi paraya çevirmek olan şirketlerden geçer. Kilitli bir dosya dolabı, çok ziyaretçili iyi korunan bir binadan daha güvenlidir. Soru yalnızca binanın koruması olup olmadığı değil, ziyaretçilere zaten ihtiyacınız olup olmadığıdır.
Cihazdaki alternatif: paylaşmadığınız veri sızdırılamaz
Bunun yapısal bir çıkış yolu var: bankanıza hiç bağlanmayan, her şeyi cihazınızda depolayan yerel öncelikli, manuel girişli bir bütçe uygulaması kullanmak.
Mantık basit. Bir bütçe uygulamasının hesabı, sunucusu ve banka toplayıcısı yoksa, hiç toplamadığı veriyi sızdıramaz ya da satamaz. Risk yüzeyi cihazınıza indirgenir. Tamamen cihaz üzerinde çalışan, giriş gerektirmeyen ve çevrimdışı çalışan bir uygulamada herhangi bir üçüncü tarafa veri akışı yoktur — çünkü mimaride hiç üçüncü taraf yoktur.
Penno bu modele göre tasarlandı. Her işlem telefonunuzdaki yerel bir veritabanında yaşar. Oluşturulacak hesap yok, bağlanacak banka yok, zincirde toplayıcı yok. Ödün, işlemlerin otomatik içe aktarılması yerine kendiniz girmeniz — her alışveriş için klavyede on saniyelik bir dokunuş. Neden banka bağlantısı eklemediğimizi ayrıntılı anlatan bir yazı da var.
Banka bağlantılı uygulamalar kimlere en uygun, cihaz modeli nerede anlam taşıyor?
Birden fazla bankada çok sayıda hesabınız varsa, harcamalarla birlikte yatırımları da takip ediyorsanız ya da manuel girişi sürdürmeye yetecek zamanınız yoksa, banka bağlantısı gerçekten işlevsel. YNAB, Monarch ve Copilot, kolaylığın veri takasına değdiğine makul biçimde karar vermiş milyonlarca kullanıcı tarafından kullanılan, iyi yapılmış ürünler.
Cihaz modeli ise otomasyondan çok gizliliği önemsiyorsanız, bir ya da iki hesabınız varsa, süregelen abonelik yerine tek seferlik satın alma istiyorsanız ya da Plaid uzlaşması veya Yodlee'nin veri uygulamaları hakkında okuduklarınız sizi rahatsız ettiyse en iyi oturur. Eksiksiz finansal geçmişinizin ticari veri altyapısından geçmemesini tercih etmek bir gizlilik takıntısı değil, makul bir tercih — ve bu seçeneğin var olduğunu bilmek önemli.
Bu modelin sınırları
Manuel takibin bir sınırı var, açıkça söylemek gerekiyor: yalnızca ne söylerseniz onu biliyor. Bir alışverişi kaydetmeyi unutursanız görünmez kalır. On beş hesabınız varsa ve haftada 30 dakika mutabakat yapıyorsanız, "işlem başına on saniye" vaadi tutmaz. Dört kredi kartında yıllarca birikmis aboneliklerin altında kaldıysanız, banka bağlantılı bir araç her şeyi ekstre incelemesinden çok daha hızlı yüzeye çıkarır.
Bu, ödünleşimin bir tarafına satış konuşması değil — her ikisinin de var olduğunun kabülü. Önemli olan, "App Store'dan bir uygulama" ifadesinin "özel" anlamına geldiğini varsaymak yerine, neyin nereye aktığını net biçimde anlayarak seçimi bilinçli yapmak.
Sık sorulan sorular
Bütçe uygulamaları kullanmak güvenli mi?
Çoğu saygın banka bağlantılı bütçe uygulaması doğrudan dolandırıcılık açısından güvenlidir — şifreleme kullanırlar, paranızı taşımazlar ve hizmet koşullarına bağlıdırlar. Daha nüanslı endişe veri toplamadır: bankanızı bağlayarak tam işlem geçmişinizi hem uygulama hem de onu bağlayan toplayıcı (Plaid, Yodlee veya MX) ile paylaşırsınız. Bu şirketlerin bu verilerle ne yaptığı — ve kiminle paylaştıkları — çoğu kullanıcının beklediğinin ötesine geçer.
Plaid nedir ve bütçe uygulamaları neden onu kullanır?
Plaid, bankanız ile bütçe uygulaması arasında oturan bir veri toplayıcısıdır. Monarch Money, Copilot veya eski Mint gibi bir uygulamaya bankanızı bağladığınızda, Plaid bağlantıyı yönetir — ya gerçek banka kullanıcı adı ve şifrenizi alarak (ekran kazıma) ya da destekleyen bankalarla OAuth token'ı üzerinden (bağlantıyı kendi banka sitenizde yetkilendirirsiniz). Ekran kazımada Plaid gerçek bankacılık kimlik bilgilerinizi tutar. OAuth ile yöntem daha güvenlidir, ancak Plaid hâlâ tam işlem geçmişinizi görür ve işler.
Herhangi bir bütçe uygulaması veya toplayıcı veri skandalı yaşadı mı?
Evet. Plaid, yaklaşık 98 milyon kişiyi kapsayan bir toplu davayı 58 milyon dolara kapattı (nihai onay Temmuz 2022). Davacılar, Plaid'in açıkladığından daha fazla finansal veri topladığını ve sattığını ve giriş ekranlarının kullanıcıların kendi bankalarını taklit etmek üzere tasarlandığını iddia etti. Plaid suçlamayı reddetti. Ayrı olarak, Envestnet/Yodlee, tüketicilerin anonimleştirilmiş işlem verilerini üçüncü taraflara sattığı gerekçesiyle Vice'ın Motherboard'u tarafından haberleştirildi; Ocak 2020'de Senatörler Ron Wyden ve Sherrod Brown ile Temsilci Anna Eshoo, FTC'den soruşturma başlatmasını istedi ve FTC, Şubat 2020'de Yodlee'ye sivil soruşturma talebi gönderdi.
Finansal verilerimi toplamayan bir bütçe uygulaması var mı?
Evet. Yerel öncelikli, manuel girişli bütçe uygulamaları her şeyi sunucu, hesap ve banka toplayıcısı olmadan cihazınızda saklar. Verilerinizi hiç almadıkları için bunları kelimenin tam anlamıyla sızdıramazlar veya satamazlar. Ödün, işlemlerin otomatik olarak içe aktarılması yerine kendiniz girmeniz gerektiğidir. Bu manuel adım pek çok insan için kabul edilebilir — hatta otomatik içe aktarmanın ortadan kaldırdığı harcama farkındalığı oluşturduğu için tercih edilebilir.
Banka verilerinizi paylaşmadan bütçeleyin
Penno her şeyi cihazınızda saklar. Hesap yok, banka bağlantısı yok, toplayıcı yok. Finansal verileriniz telefonunuzdan çıkmaz.
Penno'yu App Store'dan indirin →Bunları da okuyun
Gizlilik
Bütçe uygulamaları finansal verilerinizi nasıl yeniden satıyorHer gün kullandığınız uygulamaların arkasındaki veri komisyoncusu katmanı — kim satın alıyor ve neden.
Pratik rehber
Unutulan abonelikleri nasıl bulur ve iptal edersinizHer yinelenen ücreti kendiniz yüzeye çıkarın — banka girişi gerekmez.
Alternatifler
Mint kapandıktan sonra ne yapmalıMint'e güvenen milyonlarca kişi için pratik seçenekler ve yeni bir kurulum seçimi.