ÖzetKılavuzBlogİletişimYZ Sohbet
Page cover

Kripto Varlık Hizmet Sağlayıcıları İçin Sıkılaştırılmış Uyum Prosedürleri Kılavuzu

1.0 Giriş: Kripto Sektöründe Uyumun Stratejik Önemi

Kripto Varlık Hizmet Sağlayıcılarının (KVHS) 9305 sayılı Cumhurbaşkanı Kararı ile "finansal kuruluş" olarak tanımlanması, sektör için bir dönüm noktası teşkil etmektedir. Bu yasal statü değişikliği, KVHS'leri suç gelirlerinin aklanması ve terörizmin finansmanıyla (AML/CFT) mücadelede ön saflara taşımıştır. Bu yeni sorumluluk, uyum süreçlerini operasyonel bir maliyet kalemi olmaktan çıkarıp, kurumun itibarı, sürdürülebilirliği ve yasal varlığı için stratejik bir zorunluluk haline getirmiştir. Artık uyum, iş yapış biçiminin ayrılmaz bir parçasıdır.

Bu kılavuzun amacı, KVHS uyum görevlilerine ve yöneticilerine, yasal yükümlülükler çerçevesinde sıkılaştırılmış tedbirleri uygulamaları için pratik ve adım adım bir yol haritası sunmaktır. Rehber, "Müşterinin Tanınması" (KYC) ilkesinin temelini oluşturan risk temelli yaklaşımın nasıl uygulanacağına odaklanmakta ve özellikle yüksek riskli olarak değerlendirilen müşteri, işlem ve ürünler için alınması gereken ilave önlemleri detaylandırmaktadır.

5549 sayılı Kanun kapsamında, KVHS'lerin finansal kuruluş olarak uymakla yükümlü olduğu temel sorumluluklar şunlardır:

  • Müşterinin tanınması

  • Şüpheli işlem bildirimi

  • Eğitim

  • İç denetim, kontrol ve risk yönetim sistemleri ile diğer tedbirler

  • Devamlı bilgi verme

  • Bilgi ve belge verme

  • Muhafaza ve ibraz

  • Elektronik tebligat

Bu temel yükümlülükleri etkin bir şekilde yönetmenin ve yasal riskleri en aza indirmenin anahtarı, kaynakları en doğru alana yönlendiren risk temelli bir yaklaşım benimsemektir.

2.0 Risk Temelli Yaklaşım: Pratik Uygulama ve Risk Değerlendirmesi

Etkin bir uyum programı, her müşteriye ve işleme aynı standart kontrol mekanizmalarını uygulamak yerine, kaynakları en yüksek risk teşkil eden alanlara odaklayan "Risk Temelli Yaklaşım" üzerine inşa edilir. Bu yaklaşım, kurumun maruz kaldığı riskleri doğru bir şekilde tanımlamasını, ölçmesini ve bu risklerle orantılı tedbirler almasını sağlar. Bu sayede, uyum kaynakları israf edilmez ve denetleyici otoritelere karşı savunulabilir, riske orantılı bir kontrol çerçevesi oluşturulur.

Bir KVHS'nin maruz kalabileceği riskler üç ana kategoride incelenmelidir:

Müşteri Riski Müşterinin faaliyet gösterdiği sektör veya meslek grubunun doğasından kaynaklanan risktir. Özellikle yoğun nakit kullanımı gerektiren işler, yüksek değerli mal (kıymetli maden, mücevher, emlak vb.) alım satımı yapanlar veya ana faaliyeti yoğun kripto varlık işlemi olan müşteriler, suç gelirlerini sisteme sokma potansiyeli nedeniyle daha yüksek bir risk profiline sahiptir.

Hizmet Riski Sunulan ürün ve hizmetlerin yapısından kaynaklanan risktir. Yüz yüze temas olmaksızın gerçekleştirilen uzaktan işlemler, yeni sunulan ve henüz risk profili tam olarak analiz edilmemiş ürünler ve özellikle kripto varlıkların teknolojik doğası, bu hizmetleri suistimale açık hale getirebilir.

Ülke Riski Müşterinin veya işlemin ilişkili olduğu coğrafi konumdan kaynaklanan risktir. AML/CFT düzenlemeleri zayıf olan, uluslararası işbirliğine yanaşmayan veya yetkili uluslararası kuruluşlarca (FATF vb.) riskli olarak tanımlanmış ülkelerle ilişkili müşteri ve işlemler, daha yüksek bir risk seviyesi olarak kabul edilmelidir.

Uyum görevlileri, müşteri kabul sürecinde ve iş ilişkisi boyunca aşağıdaki adımları izleyerek sistematik bir risk değerlendirmesi yapmalıdır:

  1. Veri Toplama: Müşteriden, risk profilini oluşturmak için kritik veriler toplanmalıdır. Bu veriler asgari olarak şunları içermelidir: iş/meslek bilgisi, uyruğu ve yerleşik olduğu ülke, faaliyet sektörü, hesap açma ve işlem yapma amacı, tercih ettiği işlem kanalları (mobil, web vb.) ve kripto varlık işlem geçmişi/beklentisi.

  2. Risk Skorlaması: Toplanan bu faktörler, kurumun risk iştahına göre önceden tanımlanmış bir skorlama modeline tabi tutulur. Bu model, her faktöre belirli bir ağırlık vererek müşterinin nihai risk skorunu hesaplar ve kurumun "kabul edilebilir risk oranını" aşan profilleri belirler.

  3. Kategorizasyon: Elde edilen skora göre müşteriler, işlemler ve ürünler standart (düşük/orta) veya yüksek riskli olarak sınıflandırılır. Bu sınıflandırma, müşteriye uygulanacak takip ve kontrol seviyesini doğrudan belirler.

  4. Politika Geliştirme: Yüksek riskli kategoriler için hangi sıkılaştırılmış tedbirlerin (örneğin, üst yönetici onayı, daha sıkı izleme) uygulanacağı net bir şekilde politika ve prosedürlere bağlanmalıdır. Bu politikalar, uygulanan tedbirlerin etkinliğinin nasıl ölçüleceğini ve sürecin nasıl denetleneceğini de kapsamalıdır.

Risk değerlendirmesi sonucunda "yüksek riskli" olarak tanımlanan durumlar, standart KYC prosedürlerinin ötesinde, özel olarak tasarlanmış ve titizlikle uygulanması gereken sıkılaştırılmış tedbirler gerektirir.

3.0 Sıkılaştırılmış Tedbirlerin Uygulanacağı Durumlar ve Prosedürler

Bu bölüm, risk analizinin eyleme dönüştüğü kritik aşamayı temsil etmektedir. Yüksek riskli bir durumun tespit edilmesi, reaktif bir bekleme sürecini değil, proaktif ve önceden tanımlanmış bir dizi güçlendirilmiş kontrol mekanizmasının derhal devreye alınmasını gerektirir. Aşağıda, bu durumlar ve uygulanacak adımlar detaylandırılmıştır.

Aşağıdaki durumlar, bir KVHS için otomatik olarak sıkılaştırılmış tedbirlerin uygulanmasını gerektiren yüksek risk senaryolarına örnektir:

  • Bilgi Vermekten Kaçınan Müşteriler: Kimlik, fon kaynağı veya işlemin amacı hakkında bilgi vermekten imtina eden ya da teyidi imkansız, yanıltıcı bilgi sunan müşteriler.

    • Neden Riskli? Bu durum, müşterinin kimliğini veya yasa dışı bir fon kaynağını aktif olarak gizlemeye çalıştığının en güçlü göstergelerinden biridir.

  • Karmaşık ve Olağandışı İşlemler: Çok sayıda farklı hesaptan tek bir cüzdana fon transferi yapılması veya yurt dışından gelen fonların kısa süre içinde tekrar yurt dışındaki başka bir cüzdana transfer edilmesi gibi görünürde makul bir ekonomik amacı olmayan işlemler.

    • Neden Riskli? Karmaşık yapı, fonların izini kaybettirmeyi ve yasa dışı kaynağı gizlemeyi amaçlayan katmanlandırma (layering) tekniğinin bir işareti olabilir.

  • Profille Uyumsuz İşlemler: Müşterinin beyan ettiği gelir, meslek ve mali profil ile orantısız büyüklükte veya sıklıkta yapılan işlemler.

    • Neden Riskli? Müşterinin hesabının, beyan edilmemiş veya yasa dışı bir faaliyet için üçüncü bir tarafça kullanılıyor olabileceğine işaret eder.

  • Riskli Ülkelerle İlişkili İşlemler: AML/CFT rejimleri zayıf olan, işbirliği yapmayan veya uluslararası kuruluşlarca riskli ilan edilen ülkelerden veya bu ülke vatandaşlarından gelen/giden transferler.

    • Neden Riskli? Bu ülkelerdeki denetim boşlukları, aklama ve terörizmin finansmanı faaliyetleri için elverişli bir ortam yaratır.

  • Teknolojik Suistimale Açık Kanallar: Özellikle yeni sunulan ürünler veya kripto varlık transfer platformları gibi teknolojik kanallar aracılığıyla gerçekleştirilen ve standart dışı görünen işlemler.

    • Neden Riskli? Yeni teknolojiler, suçlular tarafından denetim mekanizmalarını atlatmak için hızla suistimal edilebilir.

  • Kar Amacı Gütmeyen Kuruluşlar (Dernekler vb.): Özellikle faaliyet alanıyla uyumsuz veya yüksek hacimli uluslararası fon transferi yapan kar amacı gütmeyen kuruluşlar.

    • Neden Riskli? Bu tür kuruluşlar, terörizmin finansmanı faaliyetlerini gizlemek için paravan olarak kullanılabilmektedir.

  • Kontrol Yöntemlerini Sorgulayan Müşteriler: İş ilişkisi kurmadan önce kurumun şüpheli işlem bildirim limitlerini, kimlik tespiti eşiklerini veya AML kontrol sistemlerini öğrenmeye çalışan kişiler.

    • Neden Riskli? Bu davranış, müşterinin denetim sistemini nasıl atlatabileceğini test ettiğini ve potansiyel olarak kötü niyetli olduğunu gösterir.

  • Sektörün Kendine Özgü Riski: Müşterinin, başka bir Kripto Varlık Hizmet Sağlayıcısı gibi, sektör doğası gereği zaten yüksek riskli kabul edilen bir alanda faaliyet göstermesi.

    • Neden Riskli? Bu durum, fonların birden fazla platform arasında hızla hareket ettirilerek izinin kaybettirildiği (chain hopping) karmaşık aklama şemalarına işaret edebilir.

Yüksek riskli bir müşteri veya işlem tespit edildiğinde, aşağıdaki sıkılaştırılmış tedbirlerden biri, birkaçı veya tamamı riskle orantılı olarak uygulanmalıdır:

Sıkılaştırılmış Tedbir
Pratik Uygulama Adımları

İlave Bilgi Edinme

Müşterinin fon ve malvarlığı kaynağını (maaş, ticari kazanç, miras vb.) detaylı olarak sorgulayın ve mümkünse belge (maaş bordrosu, vergi levhası vb.) talep edin. Müşteri ve gerçek faydalanıcı kimlik bilgilerinin güncellenme sıklığını artırın (örn: 6 ayda bir).

İş İlişkisinin Mahiyetini Derinleştirme

Müşterinin gerçekleştirmeyi planladığı işlemlerin (örn: yurt dışı transferleri, yüksek hacimli alım-satımlar) amacını ve mantığını yazılı veya sözlü olarak teyit edin.

Üst Seviye Görevli Onayı

Yüksek riskli olarak sınıflandırılan yeni bir müşteri ile iş ilişkisi kurulması veya mevcut bir müşterinin işleminin gerçekleştirilmesi için Uyum Görevlisi veya daha üst bir yöneticiden yazılı onay alınmasını zorunlu hale getirin.

Sıkı Gözetim ve Artırılmış Kontrol

Müşterinin işlem hacmini ve sıklığını standart müşterilere göre daha yakından izleyin. Ani ve profiliyle uyumsuz işlem artışları için otomatik uyarılar oluşturan sistemler kurun.

İlk Finansal Hareketin Kontrolü

Sürekli iş ilişkisi tesisinde, ilk para yatırma işleminin, müşterinin kimliğinin doğrulanmış olduğu başka bir yerel banka veya finansal kuruluştan yapılmasını zorunlu tutun.

Bu genel tedbirlerin yanı sıra, kripto varlık hizmetlerinin doğası gereği ortaya çıkan teknolojik ve operasyonel riskler için özel olarak tasarlanmış prosedürlerin uygulanması, uyum programının etkinliği için hayati önem taşımaktadır.

4.0 KVHS'lere Özgü Kritik Uyum Prosedürleri

Bu bölüm, KVHS'lerin operasyonel süreçlerine doğrudan etki eden ve düzenleyici beklentilerin en yoğun olduğu alanları ele almaktadır. Uzaktan kimlik tespiti (remote onboarding) ve kripto varlık transferlerinin ("Travel Rule") doğru yönetimi, bir KVHS'nin AML/CFT risklerini yönetmedeki başarısının merkezinde yer alır ve bu süreçlerdeki herhangi bir eksiklik, ciddi yasal ve itibari sonuçlar doğurabilir.

Adım Adım Uzaktan Kimlik Tespiti (Remote Onboarding) Prosedürü

Uzaktan kimlik tespiti ile müşteri kabulü yapılırken aşağıdaki adımlar titizlikle izlenmelidir:

  1. Risk Değerlendirmesi: Müşteri başvurusunda, kimlik bilgilerine ek olarak asgari düzeyde şu bilgiler toplanarak bir ön risk profili oluşturulmalıdır: iş ilişkisinin amacı, fonların kaynağı, ortalama gelir bilgisi ve tahmini aylık işlem hacmi/sayısı.

  2. Yüksek Risk Onayı: Yapılan ön değerlendirme sonucunda müşteri yüksek riskli olarak sınıflandırılırsa, iş ilişkisine başlamadan önce mutlaka üst düzey bir yöneticiden (Uyum Görevlisi veya üstü) onay alınmalıdır.

  3. Kimlik Belgesi Doğrulama Kuralı: Kimlik belgesinin çip verisinin Yakın Alan İletişimi (NFC) teknolojisi ile okunamadığı veya doğrulanamadığı durumlarda, ilk finansal hareketin mutlaka müşterinin kimliğinin daha önce doğrulanmış olduğu başka bir finansal kuruluştaki (banka vb.) hesabından yapılması zorunludur.

  4. Özel Yasaklamalar: Gizlilik tabanlı kripto varlıkların (privacy coins) alım-satımına veya saklanmasına aracılık ediliyorsa, bu müşteriler için uzaktan kimlik tespiti yapılması kesinlikle yasaktır.

  5. Hesap Uyumluluğu Kuralı: İlk finansal hareket de dahil olmak üzere, KVHS nezdindeki tüm para yatırma ve çekme işlemlerinin, mutlaka müşterinin kimlik bilgileri ile uyumlu bir banka hesabından veya kredi kartından yapılması zorunludur.

Kripto Varlık Transferleri ("Travel Rule") İçin Uyum Kontrol Listesi

Kripto varlık transferlerinde gönderici ve alıcı kurumların belirli bilgileri paylaşması zorunludur.

  • Giden Transferler (Gönderici KVHS Sorumlulukları):

    1. Gönderen adı-soyadı/unvanı

    2. Gönderen cüzdan adresi

    3. Göndereni belirlemeye yarayan ek bilgilerden en az biri (Müşteri no, TC Kimlik no, Pasaport no vb.)

  • Gelen Transferler (Alıcı KVHS Sorumlulukları):

    • Gelen transferdeki gönderici bilgileri eksik mi?

    • Evet ise: Eksik bilgiyi talep etme prosedürünü başlatın.

    • Bilgi temin edilemiyorsa veya karşı taraf işbirliği yapmıyorsa (özellikle yurt dışı sağlayıcı ise): Riski değerlendirerek transferi askıya alma/reddetme veya iş ilişkisini sonlandırma seçeneklerini üst yönetime sunun.

  • İşlem Açıklaması: Tüm kripto transferlerinde müşteriden en az 20 karakterlik bir işlem açıklaması alınması zorunludur.

Zorunlu Yüksek Riskli Transfer Kontrolleri

Belirli yüksek riskli transfer senaryolarında aşağıdaki kısıtlamalar otomatik olarak uygulanmalıdır:

  • Gecikmeli Çekim Kuralı: Kayıtlı olmayan bir cüzdana veya yurt dışında yerleşik olup bilgi paylaşma yükümlülüğü bulunmayan bir sağlayıcıya yapılan transferlerde, kripto varlık çekim işlemi, ilgili varlığın platforma yatırılmasından veya alınmasından en az 48 saat sonra gerçekleştirilmelidir. Bu süre, müşterinin platformdaki ilk çekim işlemi için 72 saattir.

  • Stabil Kripto Varlık Limitleri: Stabil kripto varlık çekim işlemleri için günlük 3.000 ABD Doları ve aylık 50.000 ABD Doları karşılığı tutarında limit uygulanmalıdır. "Seyahat Kuralı" yükümlülüğünün tam olarak uygulandığı transferlerde bu limitler 2 katına çıkarılabilir.

  • Limit Muafiyetleri: Likidite sağlayıcılığı veya piyasa yapıcılığı gibi meşru gerekçelerle bu limitler, ancak yönetim kurulu onayı ile ve müşteri bazında kaldırılabilir. Limiti kaldırılan bu müşteriler, sürekli ve sıkı bir izleme programına tabi tutulmalıdır.

Bu spesifik operasyonel kontroller, ancak müşterinin tüm yaşam döngüsü boyunca devam eden genel bir sürekli izleme ve kayıt tutma çerçevesi içinde tam anlamıyla etkili olabilir.

5.0 Sürekli İzleme, Müşteri Bilgilerini Güncelleme ve Kayıtların Muhafazası

Etkin bir uyum programı, müşteri kabulüyle sona eren tek seferlik bir süreç değildir. Aksine, müşterinin yaşam döngüsü boyunca devam eden dinamik bir süreçtir. Sürekli izleme, başlangıçta düşük riskli olarak kabul edilen bir müşterinin zamanla profilinin değişmesini, işlemlerinin farklılaşmasını ve potansiyel olarak yüksek riskli hale gelmesini tespit etmenin tek yoludur.

Bir uyum görevlisinin günlük operasyonları kapsamında yürütmesi gereken sürekli izleme faaliyetleri şunları içermelidir:

  • Profil Karşılaştırması: Gerçekleşen işlemlerin, müşterinin kayıtlı mesleği, mali durumu, risk profili ve beyan ettiği fon kaynakları ile tutarlı olup olmadığını sürekli olarak karşılaştırın.

  • Uyarı Mekanizmaları: Müşterinin profiliyle uyumsuz ani, olağandışı büyüklükteki veya karmaşık işlemler için otomatik uyarılar (alert/flag) üreten izleme sistemleri kurun ve bu uyarıları zamanında inceleyin.

  • Gerçek Faydalanıcı Değişiklikleri: Özellikle tüzel kişi müşterilerde, ortaklık yapısı ve nihai gerçek faydalanıcıda meydana gelen değişiklikleri düzenli olarak takip edin ve kayıtları güncelleyin.

  • Yaptırım Listesi Taraması: Tüm müşteri portföyünü periyodik olarak ulusal ve uluslararası (OFAC, AB, BMGK vb.) yaptırım listelerine karşı tarayarak olası eşleşmeleri kontrol edin.

Müşteri hakkında tutulan bilgi ve belgelerin güncel olması yasal bir zorunluluktur. Bu nedenle, risk seviyesiyle orantılı bir güncelleme politikası oluşturulmalıdır. Örneğin, yüksek riskli müşterilerin bilgi ve belgeleri 6 ayda veya yılda bir güncellenirken, düşük riskli müşteriler için bu periyot daha uzun tutulabilir.

Bu kılavuzda ele alınan tüm teorik ve pratik adımlar, uyum görevlisinin sorumluluklarını özetleyen ve günlük faaliyetlerinde yol gösteren pratik bir kontrol listesiyle pekiştirilebilir.

6.0 Uyum Görevlisi için Eylem Kontrol Listesi

Kripto varlık sektörünün sunduğu büyük potansiyel, ancak sağlam, proaktif ve tavizsiz bir uyum kültürü ile sürdürülebilir hale gelebilir. Bu kılavuz, KVHS'lerin karmaşık yasal yükümlülüklerini, günlük operasyonlara entegre edilebilecek net ve pratik adımlara dönüştürmeyi amaçlamıştır. Uyum, bir engel değil, güvenli ve sürdürülebilir büyümenin temel taşıdır.

Aşağıdaki kontrol listesi, bir uyum görevlisinin temel sorumluluklarını özetlemektedir:

  • Her yeni müşteri için yazılı bir risk değerlendirmesi yapılıyor ve risk kategorisi (düşük, orta, yüksek) atanıyor mu?

  • Yüksek riskli olarak tanımlanan tüm müşteriler ve işlemler için üst düzey yönetici onayı alınıyor mu?

  • Uzaktan kimlik tespiti sürecinde, gizlilik tabanlı kripto varlıklarla işlem yapanlara hizmet verilmediği teyit ediliyor mu?

  • Tüm kripto varlık transferleri "Travel Rule" gerekliliklerine uygun olarak gönderici/alıcı bilgisi içeriyor mu?

  • Kayıtlı olmayan cüzdanlara yapılan transferlerde 48/72 saatlik gecikme kuralı otomatik olarak uygulanıyor mu?

  • Müşteri işlemlerinin, beyan ettikleri mali profil ve fon kaynakları ile uyumlu olup olmadığı düzenli olarak izleniyor mu?

  • Yaptırım listeleri taraması periyodik olarak tüm müşteri tabanına uygulanıyor mu?