Legichain

Bankalar için AML Taraması: Vaka İncelemesi ve Mimarinin Anatomisi

Türk bankacılık sektörü için AML tarama sistem mimarisi, BDDK ve MASAK uyumluluğu, gerçek vaka örnekleri.

Legichain Team 9 dakikalık okuma 26 May 2026

Türk bankaları için AML taraması, dünyanın en yoğun düzenlenmiş süreçlerinden biridir. BDDK denetim çerçevesi, MASAK raporlama yükümlülüğü, BM ve OFAC yaptırım rejimi maruzu, korespondent banka beklentileri ve günde milyon ölçeğinde işlem hacmi birleşince ortaya çıkan operasyonel ihtiyaç ciddidir. Bu yazı bir orta-büyüklük Türk bankası vaka incelemesi üzerinden AML tarama mimarisini, BDDK + MASAK uyumluluğunu ve gerçek operasyonel metrikleri ele alır.

Türk Bankasının AML Tarama Karmaşıklığı

Bir tier-2 Türk bankasının (ölçek: ~2 milyon birey + ~150.000 kurumsal müşteri, günlük ~300.000 SWIFT/EFT işlem) AML tarama yükü:

  • Onboarding: Günlük ~3.000 yeni müşteri başvurusu (şube + dijital kombinasyonu)
  • Transaction screening: Günlük ~300.000 işlem; her birinde gönderici ve alıcı taranır
  • Rescreening: Gece batch, tüm müşteri portföyü tüm güncel listelere karşı
  • Yaptırım eşleşme yükü: Günde ~12.000 ham eşleşme, ~150 manuel review, ~3-5 true positive
  • PEP/adverse media yükü: Günde ~5.000 eşleşme, ~200 manuel review, ~20 true positive (çoğu zaten bilinen müşteri)
  • STR raporlaması: Aylık ~30-60 şüpheli işlem raporu MASAK'a
  • Compliance ekip büyüklüğü: ~25 AML analisti, 3 takım lideri, MLRO

Bu hacimde sistem mimarisi, regülatör uyumluluğu, ekip iş akışı tek bir bütün olarak tasarlanmalı.

Mimari Bileşenler

1. Müşteri Onboarding Hattı

Yeni müşteri başvurusu (şube veya dijital) geldiğinde:

  1. KYC süreci başlar: kimlik belgesi, video KYC veya NFC ile çip doğrulama, adres bilgisi.
  2. KYC verisi onaylanır onaylanmaz AML tarama API'sine senkron çağrı gider (target latency <300 ms).
  3. Tarama sonucu eşleşme yoksa hesap açılır. Eşleşme varsa case management'a düşer, AML analisti 24 saat içinde inceler.
  4. Yüksek riskli müşteri (PEP, yüksek riskli ülke, korespondent banka) için EDD süreci başlar; üst yönetim onayı alınır.
  5. Tüm süreç audit log'a yazılır; 5549 sayılı Kanun gereği 8 yıl saklanır.

BDDK uzaktan müşteri edinimi yönetmeliği bu akışı tanımlar — özellikle "müşteri tespiti tarama sonrası tamamlanmış sayılır" ilkesi kritik.

2. Transaction Screening Hattı

Her finansal işlemde gönderici ve alıcı taranır:

  • SWIFT MT103 mesajları: 50K, 59, 52A, 57A alanları gönderici/alıcı/aracı bankaları için taranır
  • EFT mesajları: Türkiye içi havale; gönderici ve alıcı isim/IBAN bilgisi
  • SEPA Credit Transfer: AB ile EUR transferler; pacs.008 mesajının ilgili blokları
  • Yurtiçi mobil/internet transferleri: Tüm B2C ve B2B akışlar
  • Kart işlemleri: Yüksek tutarlı veya yüksek riskli ülke kartı işlemlerinde counterparty
  • Kripto işlemleri (KVHS müşterisi banka): Eğer banka müşterisi kripto borsadan TL çekme veya yatırma yapıyorsa, borsa ve cüzdan adresi taranır

Hedef latency: p99 <100 ms (kullanıcı bekleyemez). Eşleşme varsa işlem hold'a alınır; case management ekibi 2 saat içinde değerlendirir.

3. Rescreening Batch

Gece job'ı tüm müşteri portföyünü tarar:

  • Yöntem: Tam tarama haftada bir, delta tarama günlük
  • Sürüm: ~2 milyon birey + ~150.000 kurum × tüm listeler = milyarlarca eşleşme operasyonu
  • Süre hedefi: <6 saat (gece 00:00 - 06:00 penceresi)
  • Çıktı: Eşleşme raporları sabah ekip review'una düşer

4. Case Management

Tüm tarama hatlarının çıktısı tek bir case management sistemine düşer. Özellikleri:

  • Vaka önceliklendirme (liste bağlayıcılığı + müşteri risk seviyesi)
  • Analist atama
  • İnceleme notları + karar
  • Eskalasyon
  • STR taslağı oluşturma + MASAK GoAML formatına ihraç
  • Audit trail
  • KPI dashboard

5. MASAK Entegrasyonu

MASAK'a iki ana akış:

  • STR (Şüpheli İşlem Raporu): GoAML XML formatında, 10 iş günü içinde
  • Zorunlu bildirim: 6415 sayılı Kanun gereği malvarlığı dondurma kararları için 24 saat içinde

Bizim mimari önerimiz MASAK GoAML upload akışını compliance birim onay sürecinden geçiren bir workflow ile entegre etmek; manuel veri girişi hata kaynağı.

Korespondent Banka Yükümlülükleri

Türk bankalarının yurtdışı muhabir banka ilişkileri (özellikle ABD, AB, UK) ek AML beklentisi getirir:

  • OFAC SDN tarama zorunluluğu: Muhabir banka kontrat şartı
  • Wolfsberg Group Correspondent Banking Questionnaire doldurma
  • Beneficial Owner şeffaflığı: Müşterinin gerçek faydalanıcısının kim olduğu görünür olmalı
  • Yıllık AML programı denetimi: Muhabir banka kendi denetimini Türk bankası AML sistemine yapabilir

Yaptırım taraması nedir makalemizde OFAC ve diğer listelerin teknik detayını anlatıyoruz.

Vaka İncelemesi: Bir Türk Bankası Migrasyonu

Bir orta-büyüklük Türk bankası (~2 milyon müşteri) eski monolitik AML sistemini modern API tabanlı çözüme migrate etti. Önceki durum:

  • Eski sistem: On-prem, 10+ yıllık, batch ağırlıklı
  • Onboarding tarama latency: ortalama 2-4 saniye (UX problemi)
  • Transaction screening: gerçek zamanlı değil, batch (günde 4 kez)
  • False-positive oranı: %94 (PEP), %97 (sanctions name-only)
  • Compliance ekip: 35 analist sadece manuel review için
  • Liste güncelleme gecikmesi: ortalama 6-8 saat
  • MASAK STR raporlama: manuel Excel sürecini içeriyor

Migrasyon sonrası (Legichain ile, 9 aylık proje):

  • Onboarding tarama latency: p99 <250 ms
  • Transaction screening: gerçek zamanlı, p99 <80 ms
  • False-positive oranı: %2-5 (yaptırım, multi-attribute scoring sonrası), %35-45 (PEP, match grouping sonrası)
  • Compliance ekip: 18 analist (azalan iş yükü, terfi/ek görevlerle yeniden kullanım)
  • Liste güncelleme gecikmesi: <15 dakika (OFAC), <60 dakika (diğer)
  • MASAK STR raporlama: case management içinden tek-tık GoAML XML ihracı

Bunlar gerçek metrikler; banka kimliği anonim.

BDDK ve MASAK Beklentileri

BDDK denetim çerçevesinde AML için spesifik gözlem noktaları:

  • Risk-bazlı yaklaşım dokümantasyonu: Risk skorlama modeli yazılı olmalı
  • Liste kapsamı: Hangi listelerin tarandığı, hangi sıklıkta güncellendiği belgeli
  • Eşleşme kararları belgelendirme: Her true/false positive kararı gerekçeli
  • Iş akışı denetimi: Manuel review sürecinde dört göz, analiz şefi onayı
  • Performans metrikleri: FPR, recall, MTTC dashboard'larında izleniyor olmalı
  • Sistem değişiklik kontrolü: Tarama eşik değişiklikleri test/audit'ten geçmeli

MASAK ise daha çok raporlama disiplinine bakar:

  • STR zamanlaması: 10 iş günü ihlali sık denetim bulgusu
  • GoAML format uyumluluğu: XML şema doğru, dolu alanlar tam
  • Müşteri tanıma kalitesi: Yüksek riskli müşterilerde EDD belgeli
  • Sicil tutma: 8 yıl, dijital + fiziksel
  • MASAK 5 No'lu Tebliği gereği yüksek riskli müşteri kategorilerine doğru uygulama

Detaylı çerçeve için MASAK uyumluluğu rehberi.

BDDK Denetimi Hazırlık Listesi

BDDK AML denetiminin ana odakları ve hazırlığı:

Dokümantasyon:

  • Risk skorlama modeli yazılı dokümanı (faktör tanımları, ağırlıklar, eşikler, validasyon raporu)
  • Liste güncelleme süreci dokümanı (hangi listeler, ne sıklıkla, kim sorumlu, monitoring sistemi)
  • Eşleşme inceleme prosedürü (analist iş akışı, eskalasyon kuralları, dört göz prensibi uygulaması)
  • STR onay ve gönderim prosedürü (MLRO rolü, MASAK iletişim kanalı)
  • 5549 ve 6415 sayılı Kanun mapping (her madde için bankanın uygulama yöntemi)

Sistem kanıtları:

  • Son 90 günlük tarama sonuçları (anonim sample)
  • False-positive ve recall trend grafikleri
  • Liste güncelleme latency log'ları
  • STR sayıları aylık trend
  • Yüksek risk müşteri kategorisi dağılımı

Vaka kanıtları:

  • True positive sanctions hit örnek vakaları (asset freeze + MASAK bildirim)
  • EDD uygulanan müşteri örnekleri (source of funds dokümantasyonu, üst yönetim onayı)
  • STR örnekleri (anonim)
  • Düşürülen onboarding örnekleri (red gerekçesi)

Ekip ve yönetim:

  • MLRO atama belgesi, yetki tanımı
  • AML ekip organizasyon şeması
  • Eğitim programı (yıllık zorunlu AML eğitimi kayıtları)
  • Yıllık AML programı yönetim kurulu sunumu

BDDK denetimi genelde 2-4 hafta sürer; sample dataset talep edilir; ekip ile röportajlar yapılır. Önceden hazırlık denetim hızını ve kalitesini doğrudan etkiler.

Performans Metrikleri: Bir Türk Bankası Standardı

Aylık dashboard'da takip edilen ana metrikler:

Metrik Hedef Kabul Edilebilir
Onboarding tarama p99 latency <300 ms <500 ms
Transaction screening p99 latency <80 ms <150 ms
Liste güncelleme gecikmesi (OFAC) <30 dk <2 saat
Genel false-positive oranı <5% <15%
Analist saat başına vaka kapanışı >8 >5
Vaka açılıştan kapanışa süre <24 saat <48 saat
STR yayın gecikmesi (gün) <5 <10
Yıllık MASAK denetim bulgu sayısı 0 <5

Sıkça Sorulan Sorular

Bir Türk bankası kendi AML tarama motorunu kursa mı, vendor mu kullansa?

Vendor genelde mantıklı. Liste lisansları (Dow Jones, Refinitiv), normalize edilmiş veri saklama, fuzzy matching motoru, sürekli güncel tutma — toplam in-house geliştirme + işletme maliyeti yıllık 7-haneli USD bütçeyi aşar. Vendor (Legichain dahil) bu yükü 6-haneli aralığa indirir. Sadece tier-1 büyük bankada in-house ekonomisi tutar.

BDDK denetimi öncesi en sık eksiklik nedir?

İlk üç: (1) Risk skorlama modeli dokümantasyonu eksik veya stale, (2) liste güncelleme süreç dokümantasyonu yok, (3) eşleşme karar gerekçeleri tutarsız (bazı vakalarda ayrıntılı, bazılarında "FP" notu). Üçüne sistematik çözüm: standart şablonlar, periyodik iç denetim, otomatik dokümantasyon üretimi.

Korespondent banka AML denetimi geçmek için ne yapılmalı?

Wolfsberg CBQ formunu eksiksiz doldurun; gerçek metriklerle (FPR, liste kapsamı, ekip büyüklüğü, MASAK ilişki) destekleyin. Muhabir banka teknik AML sistem sorulara cevap verebilir olmalı: hangi listeler taranıyor, hangi engine kullanılıyor, manuel review SLA ne. OFAC SDN tarama kanıtı (sample log) genelde istenir.

Türkiye dışından gelen havalede ek beklenti var mı?

Evet. Yurtdışından gelen havaleler için Travel Rule (Mali Suçları Araştırma Kurulu yönetmeliği gereği) bilgi ekleme zorunluluğu var; gönderici tam adı, adresi, hesap numarası eklenmeli. AB'den gelen havaleler için TFR uygulanır; UK'den gelen havalede UK MLR 2017. Türk bankasının bu mesajların geçerli olduğunu doğrulaması gerekir.

Kripto borsadan TL çekiş işlemini banka nasıl tarar?

KVHS (Kripto Varlık Hizmet Sağlayıcı) Türk bankası için yüksek riskli sektör müşterisidir. Borsadan TL çekiş halinde banka şu kontrolleri yapar: kaynak borsa banka müşterisi mi (KVHS lisansı var mı), TL hesap aktif mi, gelen tutarın kaynağı belgeli mi (KVHS müşteri profili dökümü), borsa cüzdan adresi blockchain AML taramasından geçmiş mi. Blockchain AML rehberi bu konuyu detaylı işler.

Legichain ile Türk Bankası AML

Legichain AML tarama platformu Türk bankaları için BDDK ve MASAK uyumluluk gereksinimleriyle önceden konfigüre edilmiş şablonlarla geliyor. Risk skorlama, liste kapsama (BM, OFAC, AB, UK, MASAK), Türkçe karakter ve transliterasyon, MASAK GoAML formatına STR ihracı, audit-trail standart.

Bir orta-büyüklük Türk bankası müşterimizde 9 aylık migrasyon sonrası operasyonel metrikler (yukarıda anlatılan vaka): tarama latency 10-30x iyileşti, false-positive ~80% azaldı, compliance ekip yarı yarıya küçüldü (terfi/yeniden kullanımla). BDDK 2024 denetiminde AML başlığında bulgu yok.

Bankalar için solution sayfamız Türk bankası gereksinim setini detaylı sunuyor.

Sonraki Adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

aml-screening

Yaptırım Taraması (Sanctions Screening) Nedir, Nasıl Yapılır?

Yaptırım taramasının teknik anatomisi: listelerin nasıl normalize edildiği, eşleşme motorunun nasıl çalıştığı, müşteri onboarding ve işlem akışında entegrasyonu, ve Türkiye'de 5549 ve 6415 sayılı Kanun kapsamında yükümlülükler.

Yazıyı oku
aml-screening

OFAC, BM, AB ve UK Yaptırım Listeleri Karşılaştırması

Türk yükümlüler için temel beş yaptırım rejimi — OFAC SDN, BM Konsolide Liste, AB Konsolide Liste, UK HMT OFSI ve MASAK kararnameleri — kapsam, eşleşme nüansı, güncelleme sıklığı ve veri formatı boyutlarında karşılaştırılır. Hangi rejim hangi senaryoda devreye girer.

Yazıyı oku
aml-screening

PSP'ler için Yaptırım Taraması: Müşteri Onboarding ve İşlem Akışı

Türk ödeme kuruluşları için yaptırım tarama mimarisi: müşteri (merchant) onboarding, işlem akışı, batch rescreening; MASAK 16 No'lu Yönetmelik kapsamında STR akışı; e-ticaret ve B2B PSP'ler için entegrasyon farklılıkları.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun