AML taraması, bir müşterinin veya işlemin yaptırım listelerine, politik nüfuz sahibi kişiler (PEP) kayıtlarına ve olumsuz medya verisine karşı kontrol edilmesi sürecidir. Türkiye'de 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK yönetmelikleri kapsamında banka, ödeme kuruluşu, e-para şirketi ve sermaye piyasası aracıları için zorunludur. Bu rehber, bir AML tarama sisteminin parçalarını, hangi listelerin neden taranması gerektiğini, false-positive oranını sürdürülebilir bir seviyede tutmanın yollarını ve gerçek dünyada işleyen mimari kararları somut örneklerle anlatır.
Hızlı Özet
AML taraması üç dikey üzerine kuruludur: yaptırım (sanctions) listeleri, PEP kayıtları ve olumsuz medya (adverse media) verisi. Bunlar üç farklı zamanda çalışır: müşteri onboarding'inde, müşteri ilişkisi boyunca periyodik olarak (rescreening) ve her finansal işlemde (transaction screening). İyi kurulmuş bir sistem yıllık on milyonlarca eşleşmeyi otomatik kapatır, sadece marjinal olanları compliance analistine taşır; kötü kurulmuş bir sistem ekibin %70'inin zamanını manuel match review'a harcatır ve gerçek riski kaçırma olasılığını artırır.
AML Taramasının Üç Dikey Bileşeni
1. Yaptırım Taraması (Sanctions Screening)
Yaptırım taraması, bir gerçek veya tüzel kişinin uluslararası ve ulusal yaptırım listelerinde olup olmadığını sorgular. Türk yükümlüler için referans aldığımız temel listeler:
- BM Güvenlik Konseyi Konsolide Yaptırım Listesi (UNSC) — Türkiye'nin tarafı olduğu uluslararası rejim. 5549 sayılı Kanun ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun kapsamında uygulanır.
- OFAC SDN (Specially Designated Nationals) — ABD Hazine Bakanlığı listesi. USD üzerinden işlem geçen her finansal kuruluş bu listeyi de görmek zorundadır (muhabir banka kuralları).
- AB Konsolide Listesi — EU Council kararı ile yayımlanan, AB üyesi ülkelerin uygulamak zorunda olduğu liste. Türkiye'den AB'ye SEPA üzerinden yapılan transferlerde önemli.
- UK HM Treasury OFSI Listesi — Birleşik Krallık yaptırım rejimi.
- MASAK Kararname Listesi — 6415 sayılı Kanun gereği Cumhurbaşkanlığı kararnamesi ile dondurma kararı alınan kişi ve kuruluşlar. Türkiye'de yükümlüler için en doğrudan bağlayıcı listedir.
Her liste farklı veri formatında yayımlanır (OFAC XML/CSV; UN XML; EU XML; HMT CSV), farklı sıklıkta güncellenir (OFAC günde 1-3 kez; UN haftada birkaç kez; AB ayda 4-6 kez; MASAK ihtiyaç oldukça). Bu listeleri tek bir normalize edilmiş kayda eşleştirmek başlı başına bir mühendislik problemidir. Karşılaştırmalı detay için OFAC, BM, AB ve UK yaptırım listeleri karşılaştırmamız bölümüne bakın.
2. PEP Taraması
Politik nüfuz sahibi kişi (PEP) kontrolü, müşterinin (veya ultimate beneficial owner'ın) önemli bir kamu görevi tuttuğunu veya yakın geçmişte tutmuş olduğunu, ya da böyle bir kişinin yakın aile ferdi veya iş ortağı olduğunu tespit eder. PEP olmak başlı başına suç değildir; ama AML risk profilini yükseltir ve Enhanced Due Diligence (EDD) gerektirir.
Türkiye'de PEP tanımı MASAK'ın 5 No'lu Tebliği ile çerçevelenmiştir. Yabancı PEP'ler için risk eşiği genellikle yerli PEP'lerden daha yüksek tutulur — bunun nedeni MASAK'ın 2023 yönlendirmesinde yerel kamu görevlilerinin sayısı ve denetim ortamı gözetilerek "ölçülü" risk uygulanmasını önermesidir.
3. Adverse Media Taraması
Adverse media (olumsuz medya) taraması, müşterinin adının suç, dolandırıcılık, terör finansmanı, yolsuzluk veya benzeri olumsuz haberlerle anılıp anılmadığını araştırır. Yaptırım veya PEP listelerinde olmayan ama sektör basınında "kara para iddiası" ile geçen bir CEO, EDD tetiklenmesi gereken bir vakadır.
Bu üç dikey birbirini tamamlar: yaptırım = bağlayıcı (eşleşme varsa onboarding reddi veya hesap dondurma), PEP = risk yükseltici (EDD), adverse media = sinyal kaynağı (vaka-bazlı değerlendirme).
Tarama Ne Zaman Yapılır: Üç Operasyonel An
Onboarding (Müşteri Edinimi) Esnasında
Yeni müşteri başvurusu geldiğinde, henüz hesap açılmadan önce tarama çalışır. Burada amaç eşik geçişini engellemek. Türkiye'de BDDK uzaktan müşteri edinimi yönetmeliği ve MASAK 16 No'lu Yönetmelik birlikte değerlendirildiğinde, banka tarama sonucunu hesap açma kararından önce belgelemek zorundadır.
İyi tasarlanmış bir akışta tarama 100-300 ms içinde tamamlanır — kullanıcı deneyimi açısından kritik. Senkron API çağrısı, normalize edilmiş ad/soyad, doğum tarihi, uyruğu ve varsa T.C. kimlik veya pasaport numarası ile sorgu atar, eşleşme skoru ve match hit detayı döner.
Rescreening (Periyodik Yeniden Tarama)
Müşteri portföyünüzdeki herkesi belirli aralıklarla (genelde günlük veya haftalık) tüm güncel listelere karşı yeniden tarayın. Bir müşteri onboarding'inde temizdi, ama 6 ay sonra OFAC listesine eklendiyse, sizin sistem bunu rescreening turunda yakalamalı.
Pratikte iki yaklaşım kullanılır:
- Tam tarama (full sweep): Tüm müşteriler tüm listelere karşı (örn. her gece). Hesaplama maliyeti yüksek ama tam kapsama sağlar.
- Delta tarama (delta sweep): Sadece son güncellemede listelere eklenen kayıtlar, mevcut müşteri portföyüne karşı sorgulanır. Maliyet düşük, geç kalma riski düşük (yeni eklenmiş yaptırım kararı dakikalar içinde portföye uygulanır).
Production'da çoğu kuruluş ikisini birlikte kullanır: günlük delta + haftalık tam.
Transaction Screening (İşlem Anında)
Her finansal işlemde — özellikle havale/EFT/SWIFT — gönderici ve alıcı tarafı (counterparty) taranır. SWIFT MT103 mesajının 50K ve 59 alanları, SEPA Credit Transfer'in BeneficiaryName alanı yaptırım listelerine karşı kontrol edilir.
Burada false-positive maliyeti çok yüksektir: bir bankada günde 200.000 işlem geçiyorsa ve %1 eşleşme/false-positive oranı varsa, bu günde 2.000 manuel review demektir. Sürdürülemez. False positive nasıl azaltılır makalemizde detaylı tekniklere bakın.
Eşleşme Algoritması: Sadece "İsim Karşılaştırma" Değil
Bir AML tarama motorunun kalbi, "Hasan Yılmaz" sorgusunu Hasan Yilmaz, H. Yılmaz, Hassan Yilmaz, Hasan YILMAZ-ÖZER gibi varyantlarla doğru eşleştirebilen fuzzy matching katmanıdır. Bu katmanın bileşenleri:
Karakter normalleştirmesi: Türkçe karakterler (ç/ş/ğ/ı/ö/ü) ve Latin karakterler arasında köprü. "İlhan" ile "Ilhan" eşit muamele görmeli. Arap, Kiril ve Çin harflerinde Latin transliterasyon (örn. محمد → Mohamed/Mohammed/Muhammad). Bu tek başına %10-15 false-positive yaratabilir; iyi bir transliterasyon kütüphanesi (örn. Buckwalter veya ICU) şarttır.
Fonetik eşleşme: Soundex, Metaphone, NYSIIS gibi algoritmalar — "Stevenson" ve "Stephenson"ı aynı bucket'a koyar. Türkçe için doğrudan uyumlu değiller; Türkçe'ye özgü fonetik kuralları ek katman olarak eklemek gerekir.
Mesafe metrikleri: Levenshtein (edit distance), Jaro-Winkler, n-gram benzerliği. Bir eşleşme skorunu hesaplarken bu metriklerin ağırlıklı kombinasyonu kullanılır.
Token-based skor: "Ahmet Mehmet Yılmaz" ile "Ahmet Yılmaz" arasında — tokenları parça parça karşılaştırma. Faydalı, ama tek başına yeterli değil; çünkü "Yılmaz" Türkiye'de çok yaygın bir soyadıdır.
Ek kimlik ayırıcılar: Doğum tarihi, doğum yeri, uyruğu, T.C. kimlik no, pasaport no varsa, bunlar eşleşmeyi disambiguate eder. Sadece isim üzerinden çalışan bir sistemin false-positive oranı, ek alan kullanan sisteme göre 3-5x yüksektir.
İyi bir motorda eşleşme skoru 0-100 arası bir continuous değer üretir. Eşik (örn. ≥85) altındaki eşleşmeler otomatik elenir, üstündekiler manuel review'a düşer. Eşiği nasıl ayarladığınız sonuçta false-positive ve false-negative trade-off'unu belirler. AML risk skorlaması rehberimizde bu eşik kalibrasyonunu adım adım anlatıyoruz.
Gerçek Zamanlı vs Batch Tarama: Hangi Senaryoda Ne?
| Senaryo | Tercih | Sebep |
|---|---|---|
| Yeni müşteri onboarding | Gerçek zamanlı (senkron API) | UX kritik, karar anında lazım |
| İşlem anı (havale, ödeme) | Gerçek zamanlı | Yaptırım eşleşmesi → işlemi durdur |
| Günlük rescreening (portföy) | Batch (zamanlanmış job) | Hacim yüksek, latency önemli değil |
| Liste güncellemesi sonrası | Batch delta | Yeni eklenen kayıtları portföye karşı sorgula |
| Compliance soruşturması | Ad-hoc (manuel) | Tek vaka için derin analiz |
Bir orta-büyüklük Türk bankasında tipik dağılım şudur: günde ~3.000 onboarding (gerçek zamanlı), ~500.000 işlem (gerçek zamanlı), gece ~2 milyon kişilik portföy üzerinden batch rescreening. Sistem mimarisi bu üç farklı yük profilini tek bir tarama servisi üzerinde idare etmek zorundadır.
False-Positive: AML Operasyonunun En Büyük Maliyeti
Bir banka veya PSP'nin AML operasyon ekibi günün %60-80'ini false-positive eşleşmeleri kapatmakla geçirir. Yaygın oranlar:
- Yaptırım taraması: %95-99 false positive (gerçek yaptırım eşleşmesi nadir)
- PEP taraması: %85-95 false positive (yaygın isimler PEP listelerinde de var)
- Adverse media: %70-85 false positive (haber metin tabanlı, bağlam yorumu lazım)
Bir orta-büyüklük Türk PSP'sinin bizimle paylaştığı veriler: günde ~600 PEP eşleşmesi geliyor, manuel review'a kalan ~50 vaka, gerçek PEP onayı ile kapanan ~3-4. Yani %99.4 false-positive. Ekipte 4 kişi sadece bu işle uğraşıyor.
False-positive azaltma için ekosistemde kabul gören teknikler:
- Match grouping — Aynı kişiye ait önceki onaylanmış eşleşmeleri saklayıp tekrarlananları otomatik kapatma
- Continuous learning — Analistin "false positive" olarak kapattığı eşleşmelerin pattern'ini öğrenip benzerlerini otomatik filtreleme
- Risk-based threshold — Düşük riskli müşterilerde eşiği yükseltme, yüksek riskli olanlarda düşürme
- Multi-attribute scoring — Sadece isim değil, doğum tarihi, ülke, kimlik no ile birleşik skor
- Contextual filtering — Adverse media'da kelimenin geçtiği bağlamı (NLP ile) anlama
- Negative news vs positive context — "uyuşturucu davasında hâkimlik yapan" ≠ "uyuşturucu davasında sanık"
- List source weighting — OFAC SDN vs OFAC consolidated; bağlayıcılığı farklı
Bu tekniklerin pratik uygulaması için false positive nasıl azaltılır rehberimizi okuyun.
Sistem Mimarisi: Bir AML Tarama Servisinin Bileşenleri
Üretim seviyesinde bir AML tarama servisinde şu katmanlar olmalıdır:
Veri katmanı: Yaptırım, PEP ve adverse media kaynakları normalize edilmiş bir veri modelinde saklanır. Bizim modelimizde her birey için: birincil ad, tüm bilinen takma adlar (aliases), doğum tarihi, doğum yeri, uyruğu, kimlik numarası varyantları, liste kaynağı, listeye giriş tarihi, listeden çıkış tarihi (varsa), kaynak kararname/karar metnine link. Tek bir kişi 5+ farklı listede olabilir; bunlar birleşik kayıt olarak tutulur.
Liste güncelleme katmanı: Her listeyi resmi kaynağından çeken, format değişikliklerini idare eden, delta üreten ETL job'ları. OFAC'in haftalık format güncellemeleri, AB Council'ın PDF'lerden çıkardığımız ad listeleri, MASAK kararnameleri — her biri farklı bir parser ister.
Eşleşme motoru: Yukarıda anlatılan fuzzy matching katmanı. Production'da Apache Lucene/Elasticsearch tabanlı çözümler yaygın; ama özellikle Türkçe karakter normalleştirmesi ve transliterasyon için ekstra ön işlem şart.
Decision API: Müşteri verisi alır, eşleşmeleri ve skor dağılımını döner. Senkron (onboarding) ve asenkron (batch rescreening) iki mod.
Case management: Manuel review'a düşen eşleşmeler için ekip iş akışı: atama, inceleme notları, karar (true positive / false positive), eskalasyon, audit trail.
Audit & reporting: Tüm taramalar, eşleşmeler ve kararlar log'lanır. MASAK denetiminde "neden bu müşteri 17 Mart 2024'te tarandı ve sonuç neydi" sorusuna saniyeler içinde cevap verebilmeniz gerekir.
Monitoring: Liste güncelleme gecikmesi, eşleşme oranı, false-positive oranı, analist throughput'u — operasyonel sağlık metrikleri.
Tarama Sistemini Operasyonalize Etmek: Ekip Yapısı ve İş Akışı
Teknoloji ne kadar iyi olursa olsun, ekip yapısı doğru oturmazsa AML programı çalışmaz. Bir orta-büyüklük Türk yükümlüsü için tipik AML ekip yapısı şu hatları takip eder:
MLRO (Uyum Görevlisi). 5549 sayılı Kanun ve MASAK 5 No'lu Tebliği gereği atanması zorunlu. Üst yönetimden bağımsız, doğrudan yönetim kuruluna raporlama. STR onayı ve MASAK gönderiminin nihai sorumlusu.
AML analistleri. Tarama sisteminden gelen eşleşmeleri günlük inceler. Tier-1 (temel manuel review), Tier-2 (karmaşık vakalar, EDD), Tier-3 (uzman — sanctions evasion, kompleks ownership yapıları) hiyerarşisi yaygın. Bir tier-2 bankada 15-30 analist, tier-2 PSP'de 5-10 analist tipik.
Sanctions specialist. Yaptırım listeleri ve eşleşmelerinde uzman. OFAC, BM, AB regülasyon güncellemelerini takip eder, complex match disambiguation yapar.
Transaction monitoring uzmanı. İşlem örüntülerini izler; anormal davranış sinyallerini AML tarama sonuçlarıyla birleştirir.
MASAK liaison. MASAK ile günlük iletişim, denetim hazırlığı, regülasyon güncellemesi takibi.
İş akışı standart hatları: Tarama sistemi → case management queue → analist atama → inceleme + karar → MLRO onay (gerekirse) → eğer STR ise GoAML export → MASAK gönderimi → audit log. Her adımın SLA'sı belirlenmiş olmalı; dashboard'da takip edilmeli.
Liste Sağlayıcı Seçim Kriterleri
Üçüncü taraf liste sağlayıcılar (Dow Jones, Refinitiv, ComplyAdvantage, LexisNexis) AML platformunun ham veri katmanını besler. Doğru sağlayıcıyı seçerken değerlendirilecek kriterler:
- Liste kapsamı: Hangi listeler dahil? Önemli yaptırım rejimleri eksiksiz mi?
- Güncelleme sıklığı: OFAC için <30 dakika, MASAK için <1 saat tipik beklenti
- Türkiye odaklı veri: Yerli PEP'lerin (özellikle alt-kademe), MASAK kararnamelerinin kapsama derinliği
- Alias zenginliği: Tek bir kişi için kaç alias var? Transliterasyon varyantları?
- API kalitesi: Senkron sorgu latency, throughput, error rate, dokümantasyon
- Match disambiguation: Sağlayıcının kendi eşleşme motoru var mı, yoksa sadece ham veri mi?
- Maliyet modeli: Yıllık lisans + per-query mı, sınırsız mı, müşteri sayısına göre mi?
- Vendor sağlamlığı: Finansal stabilite, SLA garantisi, müşteri referansları
Çoğu modern AML platformu (Legichain dahil) liste sağlayıcı katmanını platformun içine entegre eder — yükümlü ayrı vendor yönetmek zorunda kalmaz.
Türk Mevzuatının Tarama Tasarımına Yansıması
5549 sayılı Kanun'un sistematik çerçevesi: 1. madde kapsamı, 2. madde tanımlamaları, 3. madde yükümlü kategorilerini, 4. madde müşteri tanıma yükümlülüğünü, 5. madde sürekli müşteri ilişkilerinde yenileme ve izleme yükümlülüğünü, 7. madde yüksek riskli müşteri kategorisini (PEP dahil), 12. madde şüpheli işlem raporlama yükümlülüğünü, 18. madde EDD süreçlerinde üst yönetim onayını düzenler. Bir tarama sistemi sadece "liste eşleşmesi" üretmez — bu maddelerin her birinin operasyonel iz düşümünü destekler: süreç dokümantasyonu, periyodik review takvimi, yönetim onay workflow'u, STR taslağı, audit log.
MASAK 16 No'lu Yönetmeliği (2014) şüpheli işlem raporlama formatını ve sürecini tanımlar — GoAML XML standardı, gönderim yöntemi, zorunlu alanlar. Tarama sistemi GoAML formatına otomatik export yapamıyorsa STR sürecinin manuel kısmı hata kaynağı haline gelir. 9 No'lu Tebliği (yıllar boyunca güncellenen) ise STR örnek senaryolarını ve değerlendirme kriterlerini somutlaştırır; AML analistinin günlük referans dokümanıdır.
6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun ise dolaylı değil doğrudan operasyonel yükümlülük getirir: Cumhurbaşkanlığı kararnamesi ile dondurma kararı alınan kişi/kuruluşların varlıkları derhal dondurulur, 24 saat içinde ilgili makama bildirim yapılır. Bu listenin günlük (gerektiğinde saatlik) takibi tarama sisteminin liste güncelleme katmanının kritik parçası.
KVHS (Kripto Varlık Hizmet Sağlayıcıları) düzenlemesi 2024-2025 yürürlüğe girdiğinde bazı sektörel detaylar netleşti; KVHS'ler 5549 sayılı Kanun yükümlüsü olarak banka/PSP ile aynı tarama yükümlülüğüne tabi. Borsa müşterisinin cüzdan adresi blockchain AML taramasına da girer — bu hibrit (kimlik-bazlı + cüzdan-bazlı) tarama yaklaşımı KVHS'ye özgü yeni mimari talep.
Türkiye'deki Yükümlülerin Spesifik Sorumlulukları
5549 sayılı Kanun'un 4. maddesi yükümlüleri tanımlar: bankalar, kalkınma ve yatırım bankaları, finansman şirketleri, faktoring şirketleri, finansal kiralama şirketleri, sermaye piyasası aracıları, sigorta ve emeklilik şirketleri, ödeme kuruluşları, elektronik para kuruluşları, kripto varlık hizmet sağlayıcıları, döviz büroları, posta ve kargo şirketleri (belirli işlemler), kıymetli madenler aracıları, lisanslı talih oyunları işletmecileri, gayrimenkul aracıları, noterler, avukatlar (belirli işlemler), serbest muhasebeci mali müşavirler.
Tüm bu yükümlüler için tarama yükümlülüğü vardır; sektör bazında sıklık ve metodoloji farklılaşır. Banka için işlem-anı tarama mecburi; emlak aracısı için müşteri-bazlı tarama yeterli. MASAK uyumluluğu rehberi sektör bazında bu yükümlülükleri açar.
Ek olarak MASAK'ın 5 No'lu Tebliği uzaktan tanımaya, 16 No'lu Yönetmeliği şüpheli işlem raporlamasına, 9 No'lu Tebliği STR formatına dair çerçeve çizer. Şüpheli işlem raporu (STR), yükümlünün şüpheyi öğrendiği tarihten itibaren 10 iş günü içinde MASAK'a gönderilmelidir.
AML Programının Bütüncül Yapısı: Tarama Sadece Bir Parça
Tarama AML programının en görünür ama tek bileşeni değil. Bütün AML programı şu hatları içerir; tarama bunlardan biridir:
1. Risk değerlendirmesi (Enterprise-wide Risk Assessment — EWRA). Yıllık olarak yapılır: kuruluş bütününde finansal suç maruziyeti — müşteri segmenti, ürün portföyü, coğrafi kapsam, dağıtım kanalları — değerlendirilir. EWRA çıktısı, tarama yoğunluğu ve eşik kalibrasyonunu doğrudan etkiler.
2. Müşteri risk değerlendirmesi (CRA). Her müşteri için bir risk skoru hesaplanır (AML risk skorlama rehberimiz). Tarama eşik ve yoğunluğu bu skora göre değişir.
3. KYC / CDD süreçleri. Kimlik tespiti, doğrulama, müşteri tanıma. Tarama KYC'nin tamamlayıcısıdır; KYC olmadan tarama da olmaz.
4. EDD (Enhanced Due Diligence). Yüksek riskli müşterilere uygulanan derinleşmiş kontrol. Source of Funds, Source of Wealth, yakın izleme.
5. Tarama (sanctions / PEP / adverse media). Bu rehberin ana konusu.
6. Transaction Monitoring. İşlem örüntülerinde anomali tespiti — structuring, layering, smurfing, hızlı in-out movement.
7. Şüpheli işlem raporlama (STR / SAR). MASAK'a şüpheli işlem bildirimi.
8. Sicil tutma. Tüm AML kararları, dokümantasyon, tarama log'ları, eğitim kayıtları belirli sürelerle saklanır.
9. Eğitim. Tüm ilgili personel için yıllık AML/KYC eğitimi; MASAK ve regülatör beklentilerini günceller.
10. Bağımsız test/audit. Kuruluş içi denetim ekibi (genelde yıllık) AML programını bağımsız test eder; bulgular yönetim kuruluna raporlanır.
Tarama bu sürecin merkezindedir ama tek başına yeterli değildir. İyi bir AML programı bu 10 hattın bütününü sağlam tutar; zayıf bir program bir-iki hattı atlayarak diğerlerini şişirmeye çalışır — denetimde yakalanır.
AML Tarama Performans Metrikleri
Bir tarama sisteminin sağlığını ölçmek için kullandığımız ana metrikler:
- Recall (yakalama): Gerçek riskli müşterilerin sistem tarafından yakalanma oranı. %100'e yakın olmalı.
- Precision: İşaretlenen eşleşmelerin gerçekten riskli olma oranı. False-positive'in tersi.
- False Positive Rate (FPR): Yanlış işaretlenmiş müşteri sayısı / toplam taranan. %1-3 hedef.
- Match closure time (vaka kapanış süresi): Bir eşleşmenin analist tarafından kapatılana kadar geçen ortalama süre. 24 saatten az olmalı.
- List update latency (liste güncelleme gecikmesi): Resmi liste yayınlandığında sistemimize girene kadar geçen süre. 30 dakikadan az.
- Coverage: Hangi listeler/jurisdiction'lar kapsamda. Hedef pazarın gerektirdiği tüm rejimler.
Bu metrikleri haftalık dashboard'da takip edin, ay sonunda compliance birimine raporlayın.
Sıkça Sorulan Sorular
AML taraması ve KYC aynı şey mi?
Hayır. KYC (Know Your Customer / Müşterini Tanı), müşterinin kimliğini tespit etme ve doğrulama sürecidir — kimlik belgesi, adres bilgisi, faaliyet tanımı toplama. AML taraması ise KYC'nin bir parçası olarak veya sonrasında çalışır: tanıdığınız müşterinin yaptırım listelerinde, PEP kaydında veya olumsuz medyada olup olmadığını kontrol eder. KYC = "bu kişi kim?"; AML taraması = "bu kişi riskli mi?".
Yaptırım eşleşmesi geldiğinde ne yapmalı?
Eşleşme manuel review'a düşer; analist eşleşmenin gerçek (true positive) olup olmadığını değerlendirir. Gerçekse: müşteri onboarding aşamasındaysa hesap açılmaz; mevcut müşteriyse hesap dondurulur ve MASAK'a şüpheli işlem raporu (STR) gönderilir; varsa varlıklar 6415 sayılı Kanun gereği uygun makama bildirilir. Tüm karar süreci belgeli olmalı; 5549 sayılı Kanun kapsamında 8 yıl saklama yükümlülüğü vardır.
Hangi sıklıkta rescreening yapılmalı?
MASAK belirli bir sıklık şart koşmaz, ancak "müşteri risk profiline uygun makul aralıklarla" izlemeyi şart koşar. Endüstri pratiği: yüksek riskli müşteriler (yabancı PEP, yüksek riskli ülke, yüksek hacim) günlük; orta riskli aylık; düşük riskli üç-altı aylık. Listeye yeni eklenen kayıt için ise gerçek-zamanlı delta tarama (saatlik veya dakikalık) önerilir — bir kişi listeye eklendikten 24 saat sonra hâlâ taramamış olmak denetimde sorun yaratır.
Adverse media taraması zorunlu mu?
5549 sayılı Kanun direkt "adverse media tarayın" demez, ancak Enhanced Due Diligence (sıkı müşteri tanımlama) kapsamında "kamuya açık olumsuz bilgi" değerlendirmesini zorunlu kılar. Yüksek riskli müşteriler (PEP, yüksek riskli ülke vatandaşı, yüksek hacimli işlem) için adverse media taraması pratikte zorunludur. FATF Recommendation 12 de bu beklentiyi destekler.
KOBİ ölçeğindeki bir fintech kendi AML tarama sistemini kurmalı mı?
Genelde hayır. Liste lisansları (örn. Dow Jones, Refinitiv, LexisNexis), normalize edilmiş veri saklama, fuzzy matching motoru ve sürekli güncel tutma maliyeti, yıllık 6 haneli USD bütçeyi rahatça aşar. Vendor (Legichain dahil) çözümleri tek API ile bunu sunar; geliştirme süresi haftalar yerine günler, toplam sahiplik maliyeti %30-60 düşer. Ölçek banka boyutuna yaklaştığında in-house seçenek mantıklı hale gelebilir.
Legichain ile AML Taraması
Yukarıda anlattığımız tüm dikeyleri — yaptırım, PEP, adverse media — tek bir AML tarama API'si üzerinde sağlıyoruz. Türkçe karakter normalleştirme ve transliterasyon Türkiye pazarına özgü ayarlandı: bir Türk bankasının yaşadığı tipik false-positive kaynaklarını (yaygın isimler, Latin/Türkçe karakter karışıklığı, lakap kullanımı) hesaba katan eşleşme katmanı çalışır. Liste kapsamımız BM, OFAC, AB, UK HMT ve MASAK kararname listelerini içerir; OFAC için ortalama liste güncelleme gecikmemiz <15 dakika.
Match grouping ve continuous learning ile bir banka müşterimiz onboarding eşleşme review yükünü %72 azalttı (önce: günde 4 analist 8 saat; sonra: 1 analist 6 saat). Transaction screening tarafında <80 ms p99 latency hedefiyle çalışıyor; SWIFT MT103 ve SEPA pacs.008 mesajları için hazır parser desteği var.
Bankalar için AML taraması ve PSP'ler için yaptırım taraması makalelerimizde sektör-spesifik mimari kararlarını okuyabilirsiniz.
Sonraki Adımlar
- Yaptırım taraması nedir, nasıl yapılır — listelerin teknik detayı
- PEP nedir ve nasıl taranır — PEP risk yönetimi
- AML risk skorlaması nasıl yapılır — eşik ve segmentasyon kalibrasyonu
- Türkiye AML/KYC uyum rehberi — MASAK, SPK, BDDK çerçevesi