MetaMask / Trust Wallet Kullanımı
04 Nov 2025 11:06
13 görüntülenme

Türkiye’de MASAK ve AML Uyumu: Borsalar İçin Kontrol Listesi 2025

Türkiye’de 2025 AML gündemi; Kripto Kanunu çerçevesi, 15.000 TL kimlik tespiti eşiği, Travel Rule veri aktarımı, güçlendirilmiş STR süreçleri ve listeleme–izleme disiplininden oluşuyor. Borsalar, KYC/Travel Rule/STR üçlüsünü otomatize edip davranışsal izleme ve ağ analizi ile desteklemeli; stablecoin çekimlerinde limit–açıklama politikaları, privacy coin’lerde güçlendirilmiş kimlik süreçleri ve case management üzerinde ölçülebilir KPI’lar kurmalı. Bu kontrol listesi, MASAK beklentilerini ürün ve operasyon düzeyinde uygulanabilir adımlara çevirir.
Türkiye’de MASAK ve AML Uyumu: Borsalar İçin Kontrol Listesi 2025

Türkiye’de MASAK ve AML Uyumu: Borsalar İçin Kontrol Listesi 2025

Kripto ekosisteminde 2025’in belirleyici başlığı uyum. Türkiye’de 2 Temmuz 2024’te yürürlüğe giren kripto varlıklara ilişkin ilk kapsamlı yasal çerçevenin ardından, 2024 sonu–2025 başında MASAK (Mali Suçları Araştırma Kurulu) tarafından kripto varlık hizmet sağlayıcılarına (CASP) yönelik kurallar keskin biçimde güncellendi. Üstüne, Türkiye’nin FATF gri listesinden çıkarılmasıyla birlikte (Haziran 2024), AML/CFT standartlarının sahadaki karşılığı daha çok önem kazandı. Bu yazı, kriptomagic.com okurları için Türkiye’de faaliyet gösteren veya Türkiye’den kullanıcı kabul eden kripto borsaları adına 2025 uyum kontrol listesini ve pratik uygulama rehberini sunuyor. 

2025’te mevzuat fotoğrafı: Neye uyuyoruz?

  • Kripto ödemeleri yasağı: TCMB’nin 16 Nisan 2021 tarihli düzenlemesi, kripto varlıkların ödeme aracı olarak kullanımını yasaklar; bu yasak 2025’te de geçerli. Borsaların ürün konumlandırmasını netleştirmesi, ödeme/para transferi dilini ayrıştırması gerekir. 
  • Kripto Kanunu (2024): Kripto varlık, platform, saklama, cüzdan ve CASP tanımlarının hukuk içine alınması; SPK ve ilgili kurumların yetkilerinin belirginleşmesi; listeleme, iç kontrol, bilgi sistemleri gibi başlıklarda düzenleyici denetim zemininin oluşması. 
  • FATF gri listeden çıkış (2024): Uyum çıtasının yukarı taşınması beklenir; finansal kuruluşlar ve regülatörler, kripto aktörlerinden risk temelli bir AML programı görmek ister. 

MASAK yükümlülükleri: 15.000 TL eşiği ve kimlik tespiti

2025 itibarıyla kripto varlık hizmet sağlayıcıları için müşteri kimlik tespiti (KYC) ve işlem izleme kuralları sıkılaştırıldı. MASAK, 15.000 TL ve üzeri tutarlı kripto varlık işlemlerinde kimliğin doğrulanmasını zorunlu hale getirdi. Bu, uzaktan kimlik tespiti (görüntülü doğrulama, NFC, biyometrik kontroller, canlılık testi) süreçlerinin sağlam kurulmasını, belge sahteciliğine karşı otomasyonlu fraud kontrollerinin devreye alınmasını gerektirir. 

Önerilen pratikler:

  • Kimlik doğrulamada ikinci faktör (ör. e-Devlet/TC kimlik doğrulama entegrasyonu) ve kara liste taramaları (yasaklı ülkeler/kişiler, yaptırım listeleri) entegrasyonu.
  • PEP ve yakınları için güçlendirilmiş inceleme; gelir kaynağı sorguları ve işlem alışkanlıklarına göre dinamik risk puanlama.
  • Adres doğrulama (kripto para çekim adresi sahipliği) ve cüzdan risk skoru (tornado/karıştırıcı/karanlık pazar teması) ile çekim öncesi kontroller.

Travel Rule ve veri paylaşımı

MASAK, uluslararası standartlara paralel şekilde Travel Rule uyumunun kapsamını genişletti. 15.000 TL ve üzeri işlemlerde gönderici/alıcı bilgilerinin karşı tarafa güvenli biçimde aktarılması ve işlem notu gibi ilave açıklamaların tutulması beklenir. Borsa altyapıları; VASP–VASP mesajlaşma protokollerine (IVMS101 uyumlu veri şemaları) ve güvenli aktarım kanallarına hazır olmalı; yanlış/eksik veri durumunda çekim durdurma akışları otomatik devreye girmelidir.

Şüpheli İşlem Bildirimi (STR): “Tereddütte kalırsan bildir”

MASAK Tebliği ve Yönetmeliği, şüpheli işlemle karşılaşan yükümlülerin derhal şüpheli işlem bildiriminde bulunmasını emreder. Kripto borsaları için bu, tetikleyici senaryoların iyi tanımlanması demektir:

  • Yeni hesapta hızlı, yüklü giriş–çıkış;
  • PEP ilişkisi varken alışılmışın dışında yoğun stablecoin trafiği;
  • Kara para aklama paterni: çoklu cüzdan bölme, mixer/köprü kullanımı, zincir atlama;
  • Kimlik örtüşmezliği: Cihaz/IP coğrafyası ve kullanıcı beyanı uyumsuzluğu.

Bildirim MASAK Online üzerinden, geliştirilmiş STR formu ile yapılır; form kripto işlemlerin niteliğine uygun alanlar içerir. İç prosedürlerde role-based onay ve zaman damgalı kayıt şarttır. 

İşlem izleme: Senaryo, eşik ve alarmlar

2025 standardı, statik eşiklerden ziyade davranışsal ve bağlamsal izlemeyi dayatıyor. Bir borsanın FRAML (Fraud + AML) stratejisi aşağıyı kapsamalı:

  1. Temel kurallar: Tutar, frekans, yeni cüzdan sayısı, coğrafi risk, varlık türü (privacy-token, mixer teması), karşı taraf VASP riski.
  2. Davranışsal modeller: Kullanıcının geçmişine göre anormal sapma tespiti; ör. ortalama günlük 5.000 TL hareket eden hesapta bir anda 250.000 TL’lik USDT giriş–çıkışı.
  3. Ağ analizleri: Zincir üzeri grafiklerde yüksek riskli kümeler; çok zıplamalı rota; peel chain tespiti.
  4. Case management: Alarmları olay kaydı (case) düzeyinde birleştirip SAR/STR kararına götüren kanı dosyası; audit trail ve versiyonlu notlar.

Müşteri kabul politikası: Yasaklar, kısıtlar, gizlilik jetonları

MASAK’ın 2025 başında netleştirdiği çerçeve, özellikle mahremiyeti artıran varlıklar (privacy-based coin’ler) ve bu varlıklarda uzaktan kimlik uygulamalarını sınırlandıran hükümler içeriyor. Riskli ürünlerde yüz yüze veya güçlendirilmiş yöntem şartı getirilebilir; yüksek riskli ülkeler listesiyle çapraz doğrulama yapılmalıdır

Para çekme/çekim limitleri ve işlem notu

Uygulamada 2025’te borsalar; stablecoin çekimlerinde günlük/aylık limitler, işlem açıklaması (20+ karakter) ve adres beyannamesi gibi kontrolleri devreye almıştır. Bu kontroller; müşteri deneyimi ile uyum beklentisi arasında iyi bir denge kurmayı, anlık “blokaj yerine inceleme kuyruğu” modelini gerektirir.

İç kontrol mimarisi: Üç hat savunma ve bağımsız denetim

  • Birinci hat: Ürün/satır ekipleri; onboarding, çekim, listeleme ve destek akışlarında uyum kontrollerini yerleşik hale getirir (örn. Travel Rule zorunlu alanları olmadan çekim yapılamaması).
  • İkinci hat (Uyum): AML/KYC politikalarını yazan, eğitimleri veren, STR kararını veren ve regülatör iletişimini yürüten fonksiyon.
  • Üçüncü hat (İç denetim): Yıllık planla bağımsız test, bulgulara CAPA (düzeltici/önleyici faaliyet) ve yönetim kuruluna raporlama.

Yılda en az bir kez bağımsız denetim ve pen test; ayrıca veri tutarlılığı için log bütünlüğü ve zaman damgası kontrolleri zorunlu düşünülmeli.

Veri muhafazası, gizlilik ve erişim

  • Kayıt tutma: KYC belgeleri, işlem günlükleri, alarm/olay dosyaları, STR çıktıları ve Travel Rule mesajları için min. yasal saklama süresi; yurt içi–dışı veri konumlandırması; şifreleme ve ayrıştırma.
  • Erişim kontrolü: Uyum verilerine yetki matrisleri ile erişim; break-glass (acil erişim) kayıtları; dört göz ilkesi.
  • Gizlilik etkisi: Travel Rule ve KYC verileri için DPIA benzeri etki analizi; veri minimizasyonu ve amaç sınırlılığı.

Listeleme ve token due diligence

2024 düzenlemeleri, platformların hangi kripto varlıkların listeleneceğine dair yazılı prosedür oluşturmasını ve bunu yatırımcı koruması odaklı işletmesini bekliyor. 2025’te bu prosedürlerin; emisyon yapısı, likidite derinliği, dağıtım konsantrasyonu, yaptırım riski, piyasa suistimali olasılıkları (wash trading, spoofing), oracle/bridgelere bağımlılık gibi teknik–piyasa risklerini içermesi gerekir.

İhlal senaryoları ve yaptırım riski

  • Eksik kimlik: 15.000 TL ve üzeri işlemlerde kimlik doğrulaması atlanmış, belge eksik; cezai yaptırım ve lisans/izin süreçlerinde risk.
  • Travel Rule uyumsuzluğu: Alıcı/gönderici verilerinin karşı VASP’a iletilmemesi, yanlış/boş alanlar.
  • Geç/eksik STR: “Şüphe eşiği” geçildiği halde bildirim yapılmaması veya çok geç yapılması.
  • Listeleme kusuru: Whitepaper’a aykırı arz, aşırı konsantrasyon, manipülasyon kuşkusu olan varlıkların uyarısız listelenmesi. 

Borsalar İçin 2025 AML Kontrol Listesi

Aşağıdaki maddeleri kendi süreçlerinize ölçülebilir KPI’larla bağlayın ve yönetim kurulunda çeyreklik olarak takip edin:

  1. Politikalar ve Yönetişim
    • Güncel AML/CFT politikası, müşteri kabul politikası ve listeleme prosedürü yayımlandı mı?
    • Uyum komitesi ve MLRO (Uyum Sorumlusu) atanıp görev tanımları net mi?
  2. KYC & Onboarding
    • 15.000 TL ve üzeri işlemler için zorunlu kimlik ve adres doğrulaması otomatik mi?
    • PEP ve yaptırım taramaları gerçek zamanlı mı, devamlı tarama var mı? 
  3. Travel Rule
    • IVMS101 uyumlu veri şeması, karşı VASP doğrulaması ve iletim başarısızlığında çekim blokajı kuralı tanımlı mı?
    • İşlem notu (20+ karakter) ve işlem amacı zorunlu alanı açık mı? 
  4. İşlem İzleme
    • Senaryo kitaplığı (privacy coin, mixer, yüksek risk ülkeler, yeni cüzdan patlaması vb.) güncel mi?
    • Davranışsal model ve ağ analizi kullanılıyor mu?
    • Alarmlar case management üzerinde birleşiyor ve SLA’ler tutuluyor mu?
  5. STR Süreci
    • Şüphe eşiği, “tereddütte bildir” ilkesiyle yazılı mı?
    • STR onay akışı role-based; gönderimler MASAK Online ile uyumlu mu? 
  6. Çekim Güvenliği
    • Adres sahipliği doğrulaması, riskli adres kara liste kontrolü, limit ve bekleme politikaları var mı?
    • Stabil coin çekimlerinde günlük/aylık limitler ve açıklama alanı aktif mi?
  7. Listeleme Riskleri
    • Token DD şablonu; emanet oranı, likidite, piyasa suistimali riski, yaptırım ve hukuki riskleri kapsıyor mu? 
  8. Eğitim ve Farkındalık
    • Tüm hatlarda yıllık AML eğitimi; vaka temelli atölyeler; sosyal mühendislik ve müşteri dolandırıcılığına karşı destek ekipleri eğitildi mi?
  9. Veri ve Gizlilik
    • Kayıt saklama süreleri karşılanıyor mu? Şifreleme, erişim kontrolü, log bütünlüğü ve DPIA süreçleri tamam mı?
  10. Test ve Denetim
    • Bağımsız iç denetim tamamlandı mı? Bulgular için CAPA planı izleniyor mu?
    • Sızma testleri ve model validasyonu (yanlış pozitif/negatif oranları) raporlandı mı?

Saha uygulaması: Dört kritik akış

  1. Hızlı artan hacim + yeni cüzdanlar: Sistem, adres itibar puanı düşükse otomatik alarm kurar; çekimi askıya almaz, inceleme kuyruğuna atar. Kullanıcıdan işlem amacı ve fon kaynağı talep edilir; cevap gelmezse STR değerlendirmesine gider.
  2. PEP hesabında stablecoin şelalesi: PEP’e özel güçlendirilmiş inceleme; karşı VASP ve adres geçmişi taranır; şüphe varsa derhal STR.
  3. Karanlık pazar teması: Mixer/peel chain işaretleri; Travel Rule verileri karşı VASP’tan alınamazsa çekim iptali ve hesap sınırlama.
  4. Privacy coin–uzaktan kimlik: Mevzuat gereği uzaktan kimlik kabul edilmeyen durumlarda yüz yüze veya eşdeğer yöntem; aksi halde işlem reddi.

Yönetim Kurulu için KPI önerileri

  • KYC tamamlama oranı (15.000 TL+ işlemler): %99,5+
  • STR dönüş süresi (TAT): medyan < 24 saat
  • Yanlış pozitif alarm oranı: çeyrek bazında %20 düşüş hedefi
  • Travel Rule uyum oranı: %98+ başarılı aktarım
  • Denetim bulgularının kapanma hızı: 30 gün içinde %90+

Son söz

Türkiye’de 2025, kripto borsaları için uyumun ürün tasarımıyla iç içe geçtiği bir yıl. MASAK’ın eşik ve veri talepleri, FATF sonrası çıta ve Kripto Kanunu’nun getirdiği düzen, borsaları “compliance by design” yaklaşımına zorluyor. Bu yazıdaki kontrol listesi; hukuki gereklilikleri operasyonel akışlara çevirmenize, risk-getiri dengesini müşteri deneyimini bozmadan kurmanıza yardım etmek için hazırlandı. Daha fazla içerik için kriptomagic.com’u takipte kalın

Etiketler
Kripto Bitcoin Güvenlik Cüzdan Teknik Analiz Ethereum Finans Dijital Sanat Koleksiyon

Yorumlar (0)

Henüz yorum yapılmamış. İlk yorumu siz yapın!

Yorum Yap

Yorumunuz admin onayından sonra yayınlanacaktır.

Benzer İçerikler

Layer-2 Savaşı: Teşvik Yağmuru Sürdürülebilir mi?
10 Nov 2025
Layer-2 Savaşı: Teşvik Yağmuru Sürdürülebilir mi?
CEX vs DEX: Likidite Büyük Göçü Başladı mı?
10 Nov 2025
CEX vs DEX: Likidite Büyük Göçü Başladı mı?
Stablecoin Rezerv Krizi İddiaları: Şeffaflık Raporları Yeterli mi?
18 Nov 2025
Stablecoin Rezerv Krizi İddiaları: Şeffaflık Raporları Yeterli mi?
Restaking Alarmı: Olası Slashing Dalgası Yatırımcıyı Nasıl Etkiler?
10 Nov 2025
Restaking Alarmı: Olası Slashing Dalgası Yatırımcıyı Nasıl Etkiler?
Ethereum ETF Onayı Sonrası Piyasa: Gas Ücretleri Neden Fırladı?
10 Nov 2025
Ethereum ETF Onayı Sonrası Piyasa: Gas Ücretleri Neden Fırladı?
Reklam Alanı

Bu alanda reklamınız görünebilir

En Popüler Kripto Paralar
Tüm Kripto Paraları Gör
En Çok Okunanlar