Türkiye’de MASAK/AML Uyumu: Borsalar ve Fintech’ler İçin Kontrol Listesi

Türkiye’de MASAK/AML Uyumu: Borsalar ve Fintech’ler İçin Kontrol Listesi

Türkiye’de faaliyet gösteren kripto varlık hizmet sağlayıcıları (borsalar), ödeme/elektronik para kuruluşları ve diğer finansal/yarı-finansal aktörler için MASAK mevzuatına uyum, sadece bir “yasal gereklilik” değil; itibarı, bankacılık ilişkilerini, yatırımcı güvenini ve sürdürülebilir büyümeyi doğrudan etkileyen stratejik bir zorunluluktur. Aşağıdaki kapsamlı rehber ve kontrol listesi, kriptomagic.com okurları için güncel MASAK çerçevesini operasyonel adımlara çevirir: Uyum programı kurulumundan uzaktan müşteri edinimine, risk değerlendirmesinden sürekli izlemeye, şüpheli işlem bildirimi ve veri saklamaya kadar pratik yapılacaklar tek tek listelenmiştir.

Not: Türkiye’de MASAK’ın 5549 sayılı Kanun ve Tedbirler Yönetmeliği çerçevesinde belirlediği yükümlülükler, kripto varlık hizmet sağlayıcılarını ve geniş bir yükümlü yelpazesini kapsar. Şüpheli işlem bildirimi (ŞİB) tutar gözetilmeksizin yapılır; yani şüphe varsa rakamdan bağımsız bildirim esastır. 

1) Uyum Programı ve Yönetişim

Amaç: Kurumsal çerçeve, hesap verebilirlik ve sürdürülebilir uyum.

• Uyum Programı Yönetmeliği kapsamını kontrol edin; hangi kuruluşların uyum görevlisi atamak ve uyum programı yürütmek zorunda olduğunu netleştirin. Kuruluş büyüklüğü, işlem hacmi ve faaliyet alanına göre yükümlülük değişir.
• Uyum görevlisi ve yardımcısı atamalarını, görev tanımlarını, yetki/bağımsızlık güvencelerini ve yönetim kurulunca onaylanan uyum politikasını yazılı hale getirin. İlgili lisans/sınav süreçleri ve MASAK duyurularını takip edin. 
• Uyum komitesi kurarak (gerekliyse) iç kontrol, risk yönetimi ve iç denetim fonksiyonlarını üçayaklı yapı halinde yönetin.
• Yıllık uyum faaliyet planı ve yönetim kuruluna raporlama takvimi belirleyin; bulgular ve düzeltici faaliyetleri izleyin.

2) Müşteri Edinimi (KYC) ve Uzaktan Kimlik Doğrulama

Amaç: Doğru kimlik, doğru risk sınıfı, doğru ürün/limit eşleşmesi.

• Müşteri kabul prosedürü: Gerçek kişiler, tüzel kişiler, nihai faydalanıcı (UBO) ve kontrol sahibi tespit adımlarını akış şeması halinde belgelendirin. %25 ve üzeri pay sahipliği, kontrol ilişkileri ve vekâlet senaryolarını ayrı ayrı ele alın. (UBO tespiti ve teyit gereklilikleri MASAK rehberleri ve uygulamada sıkça vurgulanır.) 
• Uzaktan kimlik tespiti ve görüntülü görüşme süreçlerini (canlılık testi, NFC, biyometri, belge doğrulama, sahtecilik kontrolleri) teknolojik ve prosedürel kontrollerle güçlendirin. Kripto varlık hizmet sağlayıcıları için güncellenen rehber ve uzaktan edinim hükümlerini dikkate alın. 
• Eşik tutarlar (yüz yüze/uzaktan KYC gerektiren durumlar) ve sürekli iş ilişkisi kriterlerini ürün bazında tanımlayın. (Resmî çerçevede şüpheli işlem bildirimi tutardan bağımsızdır; rakamlar değişebildiği için kurum içi “eşik matrisi”ni periyodik güncelleyin.) 
• Politik Nüfuz Sahibi Kişiler (PEP), yaptırım/terör listeleri ve olumsuz haber taraması için çok katmanlı tarama (screening) uygulayın; pozitif eşleşme yönetimi ve istisna onay akışlarını yazılılaştırın.

3) Risk Değerlendirmesi ve Segmentasyon

Amaç: Kaynağa risk tahsis eden model: müşteri, ürün, kanal, coğrafya, işlem.

• Kurum çapında ML/TF risk değerlendirmesi (ERM-Risk) yapın: müşteri grupları, ürün/hizmet, teslim/kanal (online, API, POS, OTC), coğrafya (yüksek riskli ülkeler), tedarikçi/dış hizmet ve dağıtım ortaklarını kapsasın.
• Risk matrisi ve puanlama modeli kurun: Dinamik sinyaller (çapraz borsa transferi, hızlı giriş-çıkış, mixer/köprü kullanımı, P2P yoğunluğu, stablecoin rampaları) karşısında sınıf yükseltme (risk upgrade) tetikleyin.
• Güçlendirilmiş tedbirler: Yüksek riskli müşteride derinlemesine bilgi (fon kaynağı, varlık kaynağı), üst yönetim onayı ve sıklaştırılmış izleme. (Tedbirler Yönetmeliği risk temelli yaklaşımı esas alır.) 

4) Sürekli İzleme (Monitoring) ve Senaryo Tasarımı

Amaç: Davranışsal anomaliler ve şüpheli örüntüleri erken yakalamak.

Senaryo kütüphanenizde asgari şu temalar bulunsun:

1. Layering şüpheleri: Kısa sürede çoklu cüzdanlar arası bölme/birleştirme, zincirler arası köprülerle hızlı yayma.
2. Yapılandırma (structuring): Eşik altı tekrarlar, çoklu hesaplarla parçalara bölme.
3. Mixer/Tumbler kullanımı veya yüksek riskli protokollere yoğun akış.
4. Üçüncü taraf cüzdanlarına yüksek frekanslı giriş-çıkış; yeni-açık cüzdanlara hızlı aktarım.
5. PEP/SDN/terör listesi eşleşmesi sonrası işlem ısrarı.
6. Kart/ödeme dolandırıcılığı göstergeleri: chargeback kümelenmesi, bot davranışı, sahte belge paterni.
7. Wash trading (borsalar için), self-trade veya eşleşmiş hesaplar arasında sahte hacim.
8. Pump-and-dump sinyalleri ile korele iç giriş/çıkış anomalileri.
9. C2C/OTC yoğunluğu ve nakit benzeri davranışlar (fiat on/off ramp).
10. Coğrafi anomali: VPN/farklı ülkelerden ısrarlı giriş ve dakikalar içinde yüksek hacimli transfer.

Her senaryo için parametreler, eşikler, cooling-off süresi, false-positive yönetimi ve manuel gözden geçirme rehberi belirleyin; model performansını aylık izleyin ve yılda en az bir kez geri test/kalibrasyon yapın.

5) Şüpheli İşlem Bildirimi (ŞİB) ve MASAK Online

Amaç: Tutar gözetmeksizin, makul şüphe oluştuğunda zamanında bildirim.

• ŞİB karar ağacı oluşturun: Analist “şüphe” eşiğine geldiğinde hangi kanıtlar, ekran görüntüleri, zincir analizi çıktıları, müşteri iletişimi kayıtları eklenecek; kimin onayıyla ve hangi SLA ile MASAK Online’a gönderilecek?
• MASAK Online ve güncellenen ŞİB Rehberi’nin son versiyonuna göre form alanlarını, senaryo etiketlerini ve anlatım dilini standardize edin; eğitim verin. 
• İşlem tutarı gözetmeksizin bildirim esası ve teşebbüs aşamasındaki işlemlerde de kimlik tespiti/raporlama prensiplerini prosedüre ekleyin. 
• ŞİB sonrası hesap/işlem yönetimi (gerekirse geçici kısıtlama, üst yönetim bilgilendirmesi, bankacılık partneri ile koordinasyon) ve olay sonrası inceleme raporu süreçlerini dokümante edin.

6) Malvarlığının Dondurulması Kararları ve Yaptırım Uyum

Amaç: Hızlı uyum, hatasız uygulama, kayıt altı.

• Dondurma kararlarının (ör. terör finansmanı, BM kararlarına uyum vb.) kuruma tebliği halinde teknik/operasyonel adımlar (hesap blokesi, transfer durdurma, raporlama) için acil durum prosedürü oluşturun. 
• Eşleşme doğrulama, müşteri bilgilendirme (varsa), itiraz ve log yönetimi adımlarını, sorumluları ve SLA’ları netleştirin.

7) Kayıt, Saklama ve İbraz

Amaç: Denetime hazır, bütünlüklü ve arşiv uyumlu veri.

• Kimlik tespiti, işlem kayıtları, UBO tespiti, risk değerlendirme, izleme ve ŞİB dâhil tüm AML kayıtlarını asgari saklama süresi boyunca koruyun (uygulamada 8 yıl ifadesi mevzuatta ve kurumsal düzenlemelerde yer alır); güvenli imha ve erişim kontrollerini belirleyin. 
• Denetim izi (audit trail): Kim ne zaman hangi kayda baktı/değiştirdi; tümü zaman damgalı ve değişmez kayıt altına alınsın.
• Veri bütünlüğü: Hash/immütablite, elektronik mühür, KEP gibi yöntemlerle kritik kayıtların değiştirilemezliğini güçlendirin.

8) Eğitim, Farkındalık ve İK

Amaç: Uyum kültürü, sadece birimin değil tüm şirketin işi.

• Yıllık eğitim planı: Yeni başlayan oryantasyonu + görev bazlı derinlemesine eğitim (analist, ürün, müşteri destek, satış).
• Vaka çalışmaları: Gerçek örnekler ve yerel kalıplar (kripto-kripto köprüleme, pump koordinasyonu, sahte belge).
• Sınav/sertifikasyon ve katılım takibi: MASAK duyuruları ve rehber güncellemeleri çıktığında ara eğitimler planlayın. 

9) Teknoloji, Entegrasyon ve Zincir Analitiği

Amaç: Uygulanabilir sinyal, düşük gürültü, yüksek izlenebilirlik.

• Screening motoru (PEP/yaptırım/Adverse Media) + tranzaksyon izleme + zincir analizi (on-chain risk etiketleri) birlikte çalışmalı; STP/manuel akışlar netleşmeli.
• API’ler ve webhook’lar ile anlık alarm üretimi; case management üzerinde tek dosya mantığı.
• Model risk yönetimi: Veri kalitesi metrikleri, kavramsal sağlamlık, açıklanabilirlik, drift izleme.

10) Bankacılık İlişkileri ve Dış Paydaş Yönetimi

Amaç: Kesişim risklerini önceden yönetmek.

• Banka muhabirleri ve ödeme ortakları için Uyum Bilgi Paketi hazırlayın: politika-prosedür özetleri, yıllık risk değerlendirmesi özeti, eğitim ve denetim çıktıları, ŞİB istatistikleri (gizlilikle).
• Piyasa otoriteleri (BDDK, SPK) ve uyum ekosistemi duyurularını düzenli izleyin; ödeme ve e-para kuruluşları için ilgili düzenlemelerle MASAK tedbirlerini tek çatı altında eşleştiren bir “regülasyon matrisi” tutun. 

11) İç Denetim ve Bağımsız Gözden Geçirme

Amaç: “Kâğıt üstünde uyum” değil, fiili etkililik.

• Yıllık iç denetim planında AML süreçlerine ayrılmış kapsam ve örneklem büyüklüğü belirleyin.
• Bağımsız inceleme (en az yılda bir) ile ŞİB kalitesi, izleme etkinliği, yanlış pozitif oranı, model performansı ve kayıt bütünlüğünü test edin; yönetim kuruluna raporlayın.
• İyileştirme planı: Bulgu-sorumlu-termin-kanıt üçlemesini proje takip sisteminde izleyin.

12) Olay, İhlal ve Regülatör İletişimi

Amaç: Şeffaflık ve hızlı toparlanma.

• İhlal/Olay yönetimi: Yetkisiz işlem, veri sızıntısı, kontrollerin devre dışı kalması ve kritik senaryo arızalarında adım adım plan; 7×24 sorumluluk matrisi.
• Regülatör iletişim şablonları ve bankacılık partner bilgilendirmeleri için hazır metinler; tek iletişim noktası.

Borsalar (KVHS) İçin Ek Önemli Noktalar

• Uzaktan müşteri ediniminde görüntülü görüşme ve canlılık testine ilişkin güncel gereklilikleri gözetin; rehber güncellemelerini prosedüre yansıtın. 
• On-chain/Off-chain tutarlılık: Borsa içi hareketler ile zincir kayıtlarını uzlaştırın; soğuk/çoklu imza kasaları ve sıcak cüzdan limitlerini uyum politikasıyla ilişkilendirin.
• Piyasa bütünlüğü: Self-trade, eşleşmiş emir, wash trading gibi kalıplar için trade gözetim modülleri kurun.
• Token listeleme öncesi uyum incelemesi (proje risk profili, dağıtım, kilit açılışları, yaptırım ve terör finansmanı riski).

Ödeme/E-Para Fintech’leri İçin Ek Önemli Noktalar

• İşlem amacına ilişkin beyan ve profil-uyum analizi (müşteri türü, ciro, ortalama bilet, işkolu) ile yapılandırma riskine karşı izleme.
• Satıcı onayı (merchant due diligence): Sektör/ürün riskleri, chargeback istatistikleri, işlem güzergâhı ve hesap sahipliği teyidi.
• P2P, cüzdan ve kart akışları: Nakit benzeri davranışlar, hız/kümülatif eşikler, cihaz-IP-konum anomalileri.

40 Maddelik Hızlı Kontrol Listesi

Yönetişim ve Politika

1. Yönetim kurulu onaylı AML/CTF politikası var.
2. Uyum görevlisi/yardımcısı atanmış, yetkileri yazılı. 
3. Yıllık uyum planı ve raporlama takvimi belirli.
4. Uyum komitesi (gerekiyorsa) faal.
5. Politika/prosedür versiyon kontrolü yapılıyor.

KYC ve Müşteri Kabul
6. Gerçek kişi, tüzel kişi, UBO akışları ayrı tanımlı.
7. Uzaktan kimlik tespiti süreçleri test edildi (görüntülü, canlılık vs.).
8. PEP/yaptırım/Adverse Media screening tam entegre.
9. Eşik ve istisna onay matrisleri güncel.
10. Yüksek riskli müşteride güçlendirilmiş tedbir var

Risk Değerlendirme
11. Kurum çapı ML/TF risk değerlendirmesi dokümante.
12. Müşteri/ürün/kanal/coğrafya puanlama modeli var.
13. Model kalibrasyonu ve geri test planlı.
14. Yeni ürün/özellikte risk etki analizi yapılıyor.
15. Dış hizmet/partner risk değerlendirmesi mevcut.

İzleme ve Alarmlar
16. Senaryo kütüphanesi tanımlı; parametreler onaylı.
17. Zincir analizi sinyalleri izleme motoruna bağlı.
18. Yapılandırma ve mixer şüpheleri için özel kurallar var.
19. Case management ve iş akışları SLA’lı.
20. False-positive oranı ölçülüp iyileştiriliyor.

Şüpheli İşlem Bildirimi
21. ŞİB karar ağacı ve anlatım rehberi var.
22. MASAK Online kullanıcı/rol yönetimi güvenli. 
23. ŞİB tutardan bağımsız prensibi prosedürde yazılı. 
24. Teşebbüs aşamasında kimlik ve bildirim adımları net. 
25. Olay sonrası inceleme ve üst yönetim bildirimi akışı mevcut.

Dondurma/Yaptırım
26. Dondurma kararlarında acil durum prosedürü işletiliyor. 
27. Eşleşme doğrulama ve müşteri iletişim şablonları hazır.
28. Bloke/kaldırma süreçleri kayıt altına alınıyor.
29. Banka ve partner koordinasyonu rol bazlı planlı.
30. Hukuk ve uyum birlikte karar veriyor.

Kayıt ve Saklama
31. AML kayıtları için 8 yıl saklama planı ve güvenli arşiv var
32. Erişim logları ve değişiklikler denetim iziyle tutuluyor.
33. KEP/e-mühür/immütablite çözümleri kritik kayıtlara uygulanıyor.
34. Periyodik imha ve anonimleştirme süreçleri tanımlı.
35. Denetim isteğine hızlı ibraz kapasitesi test edildi.

Eğitim ve Denetim
36. Yıllık ve ara dönem AML eğitimleri tamamlandı; katılım kayıtlı. 
37. İç denetim bulguları ve düzeltici faaliyetler izleniyor.
38. Bağımsız gözden geçirme yılda en az bir kez yapılıyor.
39. Bankacılık partnerlerine uyum bilgi paketi paylaşılıyor. 
40. MASAK duyuru ve rehber güncellemeleri prosedürlere yansıtılıyor. 

Sık Yapılan Hatalar ve Hızlı Çözümler

• Dokümante edilmeyen istisnalar: Sözlü onayla açılan limitler; çözüm: İstisna defteri ve üst yönetim onayı.
• Körlemesine screening: Ad-soyad eşleşmesi + otomatik kapatma; çözüm: koşullu eşleştirme ve manuel review.
• ŞİB anlatımında zayıflık: “Şüphe var” dışında delil/analiz sunulmaması; çözüm: kanıt seti kontrol listesi (screen görüntüsü, zincir analizi, iletişim log’u). 
• Model drift: Eski parametrelerle yeni tehditler ıskalanır; çözüm: aylık trend analizi ve yıllık kalibrasyon.
• Uzaktan KYC’de tek kanıt türüne bağımlılık: Çözüm: çoklu doğrulama (biyometri + belge + cihaz parmak izi) ve sahtecilik skorlaması. 

Son Söz

MASAK/AML uyumu, “kutuları işaretlemek” değil, riskle birlikte evrilen canlı bir sistem kurmaktır. Borsalar ve fintech’ler; uzaktan müşteri edinimi, on-chain riskler, yeni ödeme kanalları ve global yaptırım rejimleri arasında dinamik, veri odaklı ve belgelenmiş bir uyum mimarisiyle fark yaratır. Bu rehberdeki kontrol listesi, ekibinizin günlük operasyonuna direkt entegre edilebilecek bir çerçeve sunar. Gelişen rehber ve duyuruları düzenli izleyip (ör. KVHS rehberi güncellemeleri, MASAK Online/ŞİB kılavuzları), süreçlerinizi güncel tutmayı unutmayın.