İtalya Kişisel Verileri Koruma Kurumu (Garante), yapay zekâ sohbet platformu Character.AI'ın sahibi Character Technologies'e 158 bin avro para cezası verdi. Kurum, 9 Temmuz 2026'da açıkladığı kararda çocukların korunmasına yönelik güvencelerde ve yaş doğrulama süreçlerinde kritik eksiklikler tespit ettiğini bildirdi.

Karar yalnızca bir para cezası değil; şirkete somut yükümlülükler getiriyor. Bu yönüyle, üretken yapay zekâ uygulamalarının çocuk kullanıcı güvenliği konusunda Avrupa'da verilen en açık uyarılardan biri niteliğinde.

Garante hangi ihlalleri tespit etti?

Kurumun açıklamasına göre şirket, Avrupa Birliği'nin veri koruma çerçevesi kapsamında birden fazla noktada kusurlu bulundu:

  • Kullanıcıların kişisel verilerinin nasıl işlendiğine dair bilgilendirmenin yetersiz olması
  • Reşit olmayan kullanıcıların korunmasına yönelik güvencelerdeki eksiklikler
  • Yaş doğrulama prosedürlerinin etkisiz kalması
  • Veri Koruma Etki Değerlendirmesi'nin (DPIA) gecikmeli yapılması
  • Avrupa Birliği temsilcisinin geç atanması

Son iki başlık teknik bir formalite değil. DPIA, şirketin veri işleme risklerini nasıl değerlendirdiğini gösteriyor; AB temsilcisi ise düzenleyicilere Avrupa içinde muhatap sağlıyor. İkisinin de eksik olması, hesap sorulabilirliği zorlaştırıyor.

Şirketten ne isteniyor?

Garante, cezayla birlikte Character Technologies'e uygulaması zorunlu tedbirler bildirdi. Şirketin yaş doğrulama sisteminin fiilen çalıştığını güvence altına alması isteniyor.

Kurum ayrıca, daha önce engellenen bir çocuğun hemen yeni hesap açmasını önleyecek bir bekleme süresi mekanizması kurulmasını, reşit olmayan kullanıcıların profillerinin varsayılan olarak gizli yapılmasını ve alınan tedbirlerin 120 gün içinde raporlanmasını emretti.

Character.AI neden mercek altında?

Platform, kullanıcıların kendi sanal karakterlerini oluşturup bu karakterlerle uzun ve kişisel diyaloglar kurmasına imkân veriyor. Uygulamanın kullanıcı kitlesi içinde çocuk ve ergenlerin ağırlığı, düzenleyicilerin dikkatini çeken temel unsur.

Uzun süreli, duygusal içerikli sohbetler üzerine kurulu bir hizmetin, yaş doğrulaması olmadan çocuklara açık olması; içerik uygunluğu, veri toplama ve psikolojik etki başlıklarında aynı anda risk oluşturuyor. Garante'nin gerekçesi de bu üç eksende şekillendi.

Garante'nin yapay zekâ karnesi

İtalyan kurumu, Avrupa'da yapay zekâ konusunda en aktif düzenleyicilerden biri. Garante, 2023'te yaş doğrulama ve veri toplama gerekçesiyle ChatGPT'ye kısa süreli erişim yasağı getirmiş, ardından OpenAI'a daha yüksek tutarlı bir ceza kesmişti.

Character.AI kararı, bu çizginin devamı niteliğinde. Kurumun mesajı net: Yaş doğrulama, bir kullanıcı deneyimi tercihi değil; şeffaflık, risk değerlendirmesi ve çocuk güvenliği kontrollerini kapsayan bir uyum yükümlülüğü. Kararın ayrıntıları kurumun resmî internet sitesinde yayımlandı.

Cezanın büyüklüğü mü, emsal değeri mi?

158 bin avro, küresel bir teknoloji şirketi için caydırıcı bir tutar değil. Kararın asıl ağırlığı, getirdiği ürün değişikliği yükümlülüklerinde.

Kayıt sürecine yaş doğrulama katmanı eklemek, engellenen kullanıcıların dönüşünü önleyen mekanizmalar kurmak ve çocuk profillerini varsayılan gizliliğe almak; kullanıcı büyümesini yavaşlatan adımlar. Benzer modelle çalışan diğer sohbet platformları için de emsal oluşturuyor.

Türkiye açısından ne anlama geliyor?

Türkiye'de kişisel verilerin korunması 6698 sayılı Kanun kapsamında düzenleniyor ve denetim yetkisi Kişisel Verilerin Korunması Kurumu'nda (KVKK) bulunuyor. Yapay zekâ sohbet uygulamalarının çocuk kullanıcı verilerini işleme biçimi, aynı çerçeve altında değerlendirilebilecek bir alan.

Avrupa'daki kararlar, küresel platformların ürün tasarımını da etkiliyor. Bir şirket yaş doğrulamasını Avrupa için kurduğunda, aynı altyapıyı diğer pazarlara da taşıması maliyet açısından daha kolay hâle geliyor.

Ceza hangi mevzuata dayanıyor?

Karar, Avrupa Birliği'nin genel veri koruma mevzuatı kapsamında verildi. Kurumun tespit ettiği ihlaller; şeffaflık, çocukların korunması ve risk değerlendirmesi başlıklarında toplandı.

Şirketin karara ilişkin bir açıklaması bulunmuyor.

Diğer platformlar için ne anlama geliyor?

Karar, yalnızca tek bir şirketi bağlıyor gibi görünse de emsal değeri taşıyor. Kullanıcının bir karakterle uzun süreli, kişisel ve duygusal içerikli diyalog kurduğu tüm uygulamalar aynı risk kategorisinde.

Bu kategoride yer alan platformların; kayıt akışına etkin bir yaş doğrulama katmanı eklemesi, çocuk hesaplarını varsayılan gizlilikle açması ve veri koruma etki değerlendirmesini zamanında tamamlaması gerekiyor. Aksi hâlde Avrupa'da benzer kararlarla karşılaşmaları olası görünüyor.

Yaş doğrulama neden bu kadar zor?

Düzenleyicilerin talebi net; ancak teknik uygulaması tartışmalı. Kullanılan yöntemlerin her birinin kendi sorunu var:

  • Kimlik belgesi doğrulaması: Güvenilir ama ciddi bir gizlilik riski yaratıyor; platformun kimlik verisi toplaması gerekiyor.
  • Kredi kartı kontrolü: Çocukları eleyebiliyor fakat yetişkinlerin bir kısmını da dışarıda bırakıyor.
  • Yüzden yaş tahmini: Biyometrik veri işlemeyi gerektiriyor ve hata payı yüksek.
  • Beyan usulü: Uygulaması kolay, ancak fiilen hiçbir koruma sağlamıyor.

Garante'nin kararı, beyan usulünün artık yeterli sayılmadığını ortaya koyuyor. Hangi yöntemin standart hâline geleceği ise açık bir soru.

Avrupa'da düzenleme çerçevesi sıkışıyor

Karar, tek başına bir veri koruma uygulaması olarak okunmamalı. Avrupa Birliği'nde yapay zekâ sistemleri, veri koruma mevzuatının yanı sıra yapay zekâya özgü yeni bir düzenleme çerçevesi altında da yükümlülük taşıyor.

Bu iki katmanın kesiştiği yer, tam olarak çocuk kullanıcılar. Bir sohbet platformu hem kişisel veri işleme kurallarına hem de içerik ve risk yönetimi yükümlülüklerine aynı anda uymak zorunda; ihlal hâlinde iki ayrı yaptırım riski doğuyor.

Bundan sonra ne olacak?

Şirketin, kendisine tanınan 120 günlük süre içinde hangi tedbirleri uyguladığını Garante'ye bildirmesi gerekiyor. Kararın itiraz yoluyla yargıya taşınıp taşınmayacağı ise henüz açıklanmadı.

Asıl mesele, yaş doğrulamanın nasıl yapılacağı. Kimlik doğrulaması gizlilik riski yaratıyor, tahmine dayalı yöntemler ise güvenilir sonuç vermiyor. Avrupa düzenleyicilerinin bu ikilemi nasıl çözeceği, önümüzdeki dönemde tüm yapay zekâ uygulamalarını ilgilendiren bir standart üretecek.