Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) Uzaktan Müşteri Edinimi Yönetmeliği 1 Mayıs 2021 tarihinde yürürlüğe girdi ve Türk bankacılığını fiziki şubesiz onboarding'e geçirdi. Yönetmelik, banka, finansal kiralama, faktoring ve finansman şirketleri için fiziki şube ziyareti olmadan, görüntülü görüşme + biyometrik canlılık testi + kimlik belgesinin elektronik okunması (NFC tercih) kombinasyonu ile müşteri kabul edilebilmesinin önünü açtı. Bu rehber BDDK uzaktan müşteri edinimi akışlarının operasyonel tasarımını, teknik standartları ve 2026 denetim pratiğinin önemli noktalarını ele alıyor.
Yönetmeliğin Bağlamı
Yönetmelik COVID-19 dönemi etkisiyle hızlandı, ancak temelinde sektörün uzun zamandır beklediği bir dönüşüm vardı. 2021 öncesi Türk bankalarında "yeni müşteri = şubeye gel" denklemiyle çalışılıyordu; bu, neobanka modelinin önündeki en büyük engeldi. Yönetmelik kapsamına giren kuruluşlar:
- Bankalar — mevduat, katılım, kalkınma ve yatırım,
- Faktoring şirketleri,
- Finansal kiralama şirketleri,
- Finansman şirketleri.
Sigorta şirketleri, ödeme kuruluşları, sermaye piyasası kuruluşları kapsama girmez — onlar farklı düzenleyicilere (sırasıyla SEDDK, TCMB, SPK) tâbidir. Bu sınır sıklıkla karıştırılır.
Teknik Standartlar
1. Görüntülü Görüşme
Görüşme:
- Gerçek zamanlı (asenkron değil) olur,
- Banka müşteri temsilcisi ile müşteri arasında yapılır,
- Tarih, saat, katılımcı bilgisi loglanır,
- Tüm görüşme kayıt altına alınır.
SPK rejiminin aksine BDDK Yönetmeliği iki personel zorunluluğu getirmez; bir yetkili banka personeli yeterlidir. Ancak banka iç prosedürlerinde gerekirse ikinci kontrol mekanizması (örn. görüşme sonrası supervisor onayı) eklenebilir.
2. Kimlik Belgesinin Elektronik Doğrulanması
Yönetmelik kimlik belgesinin sadece kameraya tutulmasının ötesinde elektronik olarak doğrulanmasını zorunlu kılar. T.C. yeni kimlik kartı için bu pratikte NFC chip okuma anlamına gelir. Kabul edilen belgeler:
- T.C. yeni kimlik kartı (NFC çipli — tercih),
- T.C. nüfus cüzdanı (eski, NFC'siz; kabul edilir ama ek doğrulama gerektirir),
- T.C. pasaportu (NFC çipli),
- Yabancı pasaport (NFC + MRZ + ICAO PKD doğrulaması ile).
NFC okuma:
- Belge bütünlüğünü (chip imzası) kontrol eder,
- Belgedeki bilgilerin orijinalliğini doğrular,
- Sahteciliği fiziksel kopya seviyesinde tespit eder.
NFC olmadan onboarding teknik olarak mümkün, ancak BDDK denetiminde "yeterli özen gösterilmedi" değerlendirmesine açıktır.
3. Biyometrik Canlılık Testi
Müşterinin "canlı" olduğu, fotoğraf, video veya deepfake olmadığı teknik olarak doğrulanır. Aktif (göz kırp, başını çevir) veya pasif (texture, depth) yöntemler kabul edilir. NFC chip data ile selfie karşılaştırması altın standarttır:
Müşteri selfie photo → Yüz tanıma karşılaştırması → Eşleşme skoru
↓
NFC chip facial image ← T.C. kimlik kartından okunan resmi foto
Bu kombinasyon belge sahteciliği + müşteri olmama riskini büyük ölçüde kapatır.
4. Kayıt ve Saklama
Tüm onboarding süreci (yüklenmiş belgeler, görüşme kaydı, log, biometric capture) kayıt altına alınır ve 5 yıl saklanır (BDDK genel kayıt saklama süresi). Ancak AML/CFT amaçlı belgeler için 5549 m.7 uyarınca 8 yıl zorunludur. Pratik kural: tümünü 8 yıl saklayın, en uzun süre bağlayıcı olduğundan.
5. Şüphe Halinde Yüz Yüze Tespit
Süreçte herhangi bir noktada şüphe doğarsa (belge şüpheli, canlılık başarısız, müşteri uyumsuz) banka yüz yüze tespit alternatifini aktive eder. Müşteri en yakın şubeye davet edilir; fiziki kimlik tespiti yapılır.
Onboarding Akış Tasarımı
Tipik bir BDDK uyumlu uzaktan müşteri edinim akışı:
Başvuru:
- Mobil uygulama indirme,
- T.C. kimlik no + GSM no + e-posta ile başvuru,
- SMS doğrulama,
- Politika onayları (KVKK, sözleşme).
Kimlik Tarama + NFC:
- Kimlik belgesi önyüz/arkayüz fotoğrafı,
- NFC chip okuma (telefonun NFC reader'ı ile),
- Belge verilerinin ekstraksiyonu (MRZ + chip),
- Belge bütünlük doğrulaması.
Selfie + Canlılık:
- Selfie çekimi,
- Canlılık testi (aktif: göz kırp, başını çevir; veya pasif),
- Yüz tanıma karşılaştırması (selfie ↔ chip foto + ekstrakt edilen belge foto).
Risk Değerlendirme:
- İlk yaptırım/PEP taraması,
- KYC risk profili soruları (meslek, gelir, müşteri amacı),
- Risk skoru hesaplama.
Görüntülü Görüşme:
- Müşteri görüşmeye kuyrukta bekler veya zaman planlar,
- Banka temsilcisi karşılar,
- Kısa doğrulama (riskli durumda ek sorular),
- Sözleşme onayı,
- Görüşme kapanır.
Hesap Açılışı:
- Hesap aktivasyonu,
- Kart üretimi (varsa fiziki, kart cüzdanlama),
- Müşteriye e-posta + SMS bilgilendirme,
- AML izleme aktive.
Reddetme Senaryoları
- Belge tanınmadı / NFC chip okunamadı / chip imzası geçersiz,
- Yüz eşleşmesi başarısız,
- Canlılık başarısız,
- Yaptırım/PEP eşleşmesi açıklanamadı,
- Bilgi tutarsızlığı,
- Görüşmede şüpheli davranış.
Reddedilen başvurular için kayıt 8 yıl saklanır; gerekiyorsa MASAK'a STR yapılır.
BDDK Denetiminde Sorgulanan Konular
2026 itibarıyla BDDK denetim odakları:
| Konu | BDDK'nın sorduğu |
|---|---|
| NFC okuma oranı | NFC'siz kabul edilen başvuru yüzdesi? Neden? |
| Reddetme oranı | Hangi sebeplerle, yüzde kaç? |
| Canlılık testi performansı | Spoofing test sonuçları, FAR/FRR oranları |
| Görüşme kalitesi | Görüntü kalite skorları, kayıt erişilebilirliği |
| Eğitim | Onboarding görüşmesi yapan personelin eğitim kayıtları |
| Şüpheli vakaların eskalasyonu | Şubelere yönlendirilen vaka oranı + sonuçları |
| Sistem entegrasyonu | Onboarding sisteminin core banking + AML sistemleriyle entegrasyonu |
| KVKK uyumu | Biyometrik verinin işlenmesi, saklanması, silinmesi |
SPK Görüntülü Kimlik Tespiti ile Karşılaştırma
| Konu | BDDK (Banka, vb.) | SPK (Yatırım Kuruluşu) |
|---|---|---|
| Yürürlük | 1 Mayıs 2021 | 23 Aralık 2021 |
| Kapsam | Banka, faktoring, finansal kiralama, finansman | Aracı kurum, PYŞ, BES |
| İki personel kuralı | Yok (1 personel + sistem) | Var (en az 2) |
| NFC zorunluluk | Yönetmelik beklentisi | Mevzuat zorunluluğu değil |
| Canlılık | Zorunlu | Zorunlu |
| Kayıt saklama | 5 + 8 (AML) | 8 (5549) |
| Otorite | BDDK | SPK |
| AML çerçeve | MASAK (paralel) | MASAK (paralel) |
SPK görüntülü kimlik tespiti rehberimiz yatırım kuruluşları için ayrı detay sağlıyor.
Cluster 2 ile İlişki
Bu makale Cluster 5'in BDDK ayağıdır; teknik derinlik için Cluster 2'deki uzaktan müşteri edinimi yönetmeliği makalemize ve dijital KYC rehberimize bakın. BDDK rejimi tek bir teknolojik altyapı (NFC + liveness + video) üzerine kurulu; bu altyapının teknik tasarımı dijital KYC pillar'ında işleniyor.
Bir Pratik Örnek
Türkiye'de orta-büyük bir özel bankayı düşünelim: günde 800-1.200 yeni mobil onboarding başvurusu alıyor. Tipik metrikler:
- NFC okuma başarı oranı: %85-92 (telefonun NFC desteği + kimlik kartı tipiyle değişir),
- Selfie + canlılık başarı oranı: %88-93,
- Yaptırım/PEP eşleşme oranı: %1.5-3 (eşleşmelerin %90+'ı false positive),
- Görüşme reddetme oranı: %6-10,
- Tamamlanma oranı (başvurudan hesap açılışına): %72-82,
- Ortalama tamamlanma süresi: 8-15 dakika.
Bu metrikler banka iç performansına, müşteri segmentine ve teknik altyapıya göre değişir. %80 altında tamamlanma oranı genelde liveness kalibrasyonu veya görüşme kuyruğu sorunlarını işaret eder.
Sıkça Sorulan Sorular
Uzaktan müşteri edinimi sigorta şirketleri için de geçerli mi?
Hayır. BDDK Yönetmeliği sadece BDDK düzenleyici alanındaki kuruluşları (banka, faktoring, finansal kiralama, finansman) kapsar. Sigorta şirketleri Sigortacılık ve Özel Emeklilik Düzenleme ve Denetleme Kurumu (SEDDK) düzenlemesine tâbidir; sigorta sektöründe uzaktan müşteri edinimi için ayrı yönetmelikler ve şart altyapısı geçerli olur.
NFC chipsiz kimlik belgesi kabul edebilir miyim?
Eski T.C. nüfus cüzdanı NFC çip içermez; sadece görsel olarak doğrulanır. BDDK Yönetmeliği eski belgeyi tamamen yasaklamaz, ancak NFC ile sağlanabilecek belge bütünlüğü doğrulaması için ek tedbirler (örn. ek belge talep etme, yüz yüze tespit alternatifi) gerekebilir. Pratikte 2026 itibarıyla bankaların çoğu yeni T.C. kimlik kartı veya çipli pasaport zorunlu hale getiriyor.
Görüntülü görüşme süresi ne kadar olmalı?
Yönetmelik net bir süre vermez. Pratikte 5-15 dakika arası görüşmeler standarttır. Çok kısa görüşmeler (örn. 2 dakika altı) BDDK denetiminde "yeterli doğrulama yapılmadı" değerlendirmesine açıktır. Çok uzun görüşmeler operasyonel verimi düşürür ve müşteri terkine yol açar. Risk seviyesine göre değişken süre (düşük risk: 5 dk, yüksek risk: 15 dk+) iyi bir tasarım pratiğidir.
Yabancı uyruklu müşteri onboarding'i yapılabilir mi?
Evet, ancak ek belgeler (oturma izni, vergi numarası) ve genişletilmiş tarama (uluslararası PEP listeleri, yabancı yaptırım veritabanları) gereklidir. Bazı yüksek riskli ülkelerden başvuranlar için yüz yüze tespit alternatifi tercih edilebilir. FATF gri/kara liste ülkelerinden gelen müşteriler için gelişmiş kimlik tespiti (EDD) zorunludur.
KVKK biyometrik veri işleme için açık rıza yeterli mi?
KVKK m.6 biyometrik veriyi özel nitelikli kişisel veri olarak tanımlar. İşleme için açık rıza VEYA kanunlarda öngörülen başka bir hukuki sebep (örn. AML/KYC yükümlülüğü) gerekir. Pratikte bankalar her iki dayanağı da kullanır: açık rıza (onboarding için) + AML yasal yükümlülük (saklama için). Açık rıza geri çekildiğinde dahi AML saklama yükümlülüğü 8 yıl boyunca veriyi tutmayı gerektirir.
Legichain ile BDDK Uzaktan Müşteri Edinimi
Legichain'in dijital KYC ürünü BDDK Uzaktan Müşteri Edinimi Yönetmeliği'ne uygun tam bir akış sunar: NFC chip okuma (Türk yeni kimlik kartı + uluslararası pasaport), aktif/pasif canlılık testi, video KYC bileşeniyle entegre görüntülü görüşme, MASAK yaptırım/PEP taraması ve audit-ready 8 yıllık saklama. Bankalar için çözümümüz core banking sistemleriyle 14 günlük entegrasyon süresine sahip; sektör pratiği olan 3-6 aylık iç geliştirme süresinden çok kısadır.
Sonraki Adımlar
- Türkiye AML/KYC uyum pillar rehberi — cluster hub.
- SPK görüntülü kimlik tespiti rehberi — yatırım kuruluşları karşılaştırması.
- Dijital KYC rehberi — teknik mimarinin genel resmi.