Türkiye'de bir banka, e-para kuruluşu, yatırım kuruluşu veya kripto borsası bugün müşteri edinmek istiyorsa, dijital KYC artık bir tercih değil zorunluluk. 2021'de yayımlanan BDDK Uzaktan Müşteri Edinimi Yönetmeliği ve SPK'nın görüntülü kimlik tespiti tebliği, "müşteri ne zaman fiziken karşımıza geldi?" sorusunu gereksiz hale getirdi. Ancak uzaktan müşteri edinmek üç ayrı teknoloji katmanını — kimlik belgesi doğrulama, biyometrik karşılaştırma, canlılık ve görüntülü kimlik tespiti — doğru sırayla, doğru regülasyona göre kurgulamayı gerektiriyor. Bu rehber dijital KYC'nin teknik, hukuki ve operasyonel boyutlarını uçtan uca açıklıyor.
Hızlı Özet
- Dijital KYC = kimlik belgesi okuma + biyometrik eşleştirme + canlılık testi + (yüksek riskli kuruluşlarda) görüntülü kimlik tespiti.
- Türkiye'de bankalar için BDDK Uzaktan Müşteri Edinimi Yönetmeliği (1 Mayıs 2021'de yürürlüğe girdi), yatırım kuruluşları için SPK görüntülü kimlik tespiti rehberi (2021) bağlayıcı.
- E-para ve ödeme kuruluşları için BDDK + MASAK ikili çerçevesi geçerli; kripto varlık hizmet sağlayıcıları (KVHS) için yeni düzenleme çerçevesi şekilleniyor.
- NFC çipli kimlik okuma + canlılık testi + arka uçta MASAK/5549 sayılı Kanun yükümlülükleri = uzaktan onboarding'in dört temel taşı.
- Operasyonel başarı oranı genelde teknolojiden değil, retry akışından ve insan operatör backup'ından gelir.
Dijital KYC Nedir?
Dijital KYC (Know Your Customer), müşterinin kimliğini fiziken karşılaşmadan, dijital kanallar üzerinden tespit etme sürecidir. Türkiye mevzuatında MASAK ve sektör düzenleyici (BDDK, SPK, vd.) bu süreci ortaklaşa çerçeveler. Süreç genelde dört teknik adımdan oluşur:
- Kimlik belgesi yakalama — ön ve arka yüz fotoğrafı veya NFC çipinden okuma.
- Belge doğrulama — MRZ (Machine Readable Zone), hologram, çip imzası gibi unsurların gerçekliği.
- Selfie + canlılık testi — kullanıcının yaşayan bir insan olduğunun ve belgedeki kişiyle eşleştiğinin teyidi.
- Görüntülü kimlik tespiti (gerektiğinde) — operatörle canlı görüntülü oturum.
Bu dört adımın hepsinin her müşteri için aynı şekilde uygulanması gerekmez. Risk-bazlı yaklaşım — düşük riskli düşük bakiyeli bir cüzdan açılışı ile yüksek riskli kurumsal hesap arasındaki farkı belirler. Risk-bazlı KYC mimarisi tasarımı, MASAK uyumluluğu rehberimizde anlatılan müşteri kabul politikasının bir uzantısıdır.
Türkiye'de Düzenleyici Çerçeve
BDDK Uzaktan Müşteri Edinimi Yönetmeliği
1 Mayıs 2021'de yürürlüğe giren bu yönetmelik, bankaların ve banka harici finansal kuruluşların uzaktan müşteri edinmesinin koşullarını belirledi. Üç temel zorunluluk:
- Görüntülü görüşme — yetkili müşteri temsilcisiyle, eş zamanlı, kesintisiz görüntü ve ses bağlantısı.
- Belge doğrulama — TC kimlik kartının NFC çipinden veya MRZ alanından okuma; sürücü belgesi tek başına yeterli değil.
- Saklama — tüm görüntülü görüşme kayıtları en az 10 yıl saklanır; mevcut BDDK uzaktan müşteri edinimi düzenlemesi detaylı kuralları içerir.
SPK Görüntülü Kimlik Tespiti
Yatırım kuruluşları (aracı kurumlar, portföy yönetim şirketleri, yatırım fonları) için SPK 2021'de görüntülü kimlik tespiti tebliği yayımladı. BDDK'nın yönetmeliğine paralel ancak özellikleri farklı:
- Yatırım kuruluşunun kendi personeli veya yetkilendirilmiş aracı yapabilir.
- TCKK çip okuma zorunlu; sürücü belgesi kabul edilmez.
- Kayıt saklama 10 yıl; SPK denetiminde her an talep edilebilir.
Detaylı uygulama için SPK uyumlu görüntülü kimlik tespiti rehberimize bakın.
MASAK ve 5549 Sayılı Kanun
Sektör düzenleyiciden bağımsız olarak, tüm yükümlü kuruluşlar 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve MASAK'ın çıkardığı tebliğlerle bağlı. Dijital KYC süreci MASAK'ın müşterini tanı yükümlülüğünü karşılamak zorunda — yani sadece "kimliği tespit ettim" yetmiyor, müşterinin risk profilini de çıkarmak gerekiyor (PEP taraması, yaptırım taraması, olumsuz medya).
KVHS Düzenlemesi
Kripto Varlık Hizmet Sağlayıcıları için 2024'te başlayan ve şekillenmekte olan düzenleme, dijital KYC için yüksek standart getiriyor: NFC + canlılık + ileri risk skorlaması neredeyse kabul edilen norm. Detaylar için KVHS düzenleme rehberimize bakın.
Dijital KYC'nin Teknoloji Katmanları
1. Kimlik Belgesi Yakalama: OCR vs NFC
İki yaklaşım var:
OCR (Optical Character Recognition): Kullanıcı kimliğinin ön ve arka yüzünün fotoğrafını çeker, OCR ile MRZ alanı okunur, belge alanları ayrıştırılır. Avantajı: her cihazda çalışır. Dezavantajı: parlama, açı, çözünürlük problemleri başarı oranını düşürür.
NFC çip okuma: Kullanıcı telefonun NFC okuyucusunu TC kimlik kartına yaklaştırır, çipteki imzalı veri okunur. Avantajı: kimlik içeriği matematiksel olarak doğrulanabilir (ICAO 9303 PKD ile imza doğrulama). Dezavantajı: sadece NFC'li telefonlarda çalışır.
Pratikte hibrit çalışıyor: NFC önce denenir, başarısız olursa OCR fallback. Detaylı uygulama için NFC çipli kimlik doğrulama rehberimize bakın.
2. Biyometrik Eşleştirme
Kullanıcının selfie'si kimlik belgesindeki fotoğrafla karşılaştırılır. İki ana yaklaşım:
- 1:1 eşleştirme — selfie kimlikteki yüzle eşleşiyor mu (KYC için standart).
- 1:N eşleştirme — selfie veritabanındaki başka bir kullanıcıyla eşleşiyor mu (mükerrer hesap önleme — kripto borsalar için kritik).
Eşleşme skoru genelde 0-100 arasında verilir; üretim sistemleri 80+ üzerinden otomatik geçer, 60-80 arası operatör incelemesi, <60 reddedilir. Eşik kurumun risk iştahına göre kalibre edilir.
3. Canlılık Testi (Liveness Detection)
En sık unutulan ama en kritik katman. Bir saldırgan, hedef kullanıcının fotoğrafını veya videosunu kullanarak biyometrik eşleşmeyi kandırabilir. Canlılık testi bu spoof saldırılarına karşı korur. İki tür:
- Pasif canlılık — kullanıcı normal selfie çeker, ML modeli derinlik, ışıklandırma ve doku ipuçlarından canlılığı tespit eder.
- Aktif canlılık — kullanıcıdan başını çevirmesi, gözünü kırpması veya rastgele bir rakam okuması istenir (challenge-response).
Detaylar için canlılık testi rehberimize bakın.
4. Görüntülü Kimlik Tespiti
BDDK ve SPK'nın zorunlu kıldığı, operatör tarafından yapılan canlı görüntülü oturum. İki teknik bileşeni var:
- Eş zamanlı görüntü/ses — WebRTC tabanlı, end-to-end şifreli.
- Kayıt + saklama — tam oturum (görüntü + ses + metadata) en az 10 yıl saklanmak zorunda; bütünlük için hash zinciri kullanılır.
Detaylı operasyonel akış için SPK görüntülü kimlik tespiti uyum rehberimize bakın.
Mimari Kararlar: Risk-Bazlı KYC Akışı
Risk-bazlı yaklaşım, her müşteriye aynı sürtünmeyi yaşatmaz. Tipik üç katmanlı yapı:
| Risk Düzeyi | Tetikleyici | KYC Bileşenleri |
|---|---|---|
| Düşük | Düşük bakiyeli cüzdan, sadece TR vatandaşı, PEP/sanctions clean | NFC + selfie + pasif canlılık |
| Orta | Belirli işlem hacmi üstü, ek ülkeden müşteri | NFC + selfie + aktif canlılık + adres doğrulama |
| Yüksek | Yüksek bakiye, PEP, yüksek riskli ülke, BDDK/SPK zorunluluğu | Tüm yukarıdaki + görüntülü kimlik tespiti |
Bu segmentasyon hem regülasyona uyumu hem dönüşüm oranını dengeliyor. Yüksek-sürtünmeli akışı her kullanıcıya uygulamak, müşteri kazanımının %30-40'ını çöpe atmak demek.
Operasyonel Başarı Sayıları
Türkiye pazarında tipik bir neobank veya e-para kuruluşunun verileri (anonimize):
- NFC okuma başarı oranı: iPhone'da ~%94, orta segment Android'de ~%88, düşük segment Android'de ~%72. Hibrit OCR fallback ile genel başarı %96+'ya çıkar.
- İlk denemede onboarding tamamlama: Genelde %62-71. Retry akışı tasarımı bunu %85+'a taşır.
- Görüntülü kimlik tespiti operatör görüşme süresi: ortalama 3-4 dakika. Yoğun saatlerde kuyrukta bekleme 2-8 dakika arası.
- Manuel inceleme oranı: otomatik akışın %8-12'si bir operatöre düşer (skor sınırı, belge problemi, canlılık şüphesi).
Bu sayıların hiçbiri sabit değil — eşik kalibrasyonu, retry tasarımı ve teknik kaliteyle iyileşir.
Yaygın Hatalar ve Çözümleri
Hata 1: Tek seferlik girişimle bitirmeye çalışmak. İlk NFC denemesinde başarısız olan kullanıcı düşer. Çözüm: en az 2 retry + OCR fallback + son çare olarak görüntülü tespit kuyruğu.
Hata 2: Canlılık testini atlamak. "Sadece NFC + selfie eşleşmesi yeterli" düşüncesi, deepfake ve fotoğraf-spoof saldırılarına açık kapı bırakır. NIST PAD Level 2 sertifikalı bir canlılık çözümü minimum zorunluluktur.
Hata 3: Operatör backup'ını kurgulamamak. Otomatik akış %88-92 başarıyla çalışırken, %8-12 kullanıcı bir insan operatöre ulaşmak zorunda. Operatör panelinin akışa entegre olmaması bu kullanıcıları kaybettirir.
Hata 4: Saklama süresinin teknik gereklerini hafife almak. 10 yıl saklama, sadece dosya saklamak değil — eski formattan yeni formata göç edilebilir bir hash zinciri ve audit log gerektirir.
Hata 5: MASAK/AML taramasını KYC'den ayırmak. Müşteri kimliği tespit edildikten sonra yaptırım/PEP/adverse-media taraması da yapılmak zorunda; aksi takdirde 5549 sayılı Kanun ihlali. Pratik için AML taraması nedir rehberimize bakın.
Sektör Bazlı Uygulamalar
Bankalar: En sıkı çerçeve. BDDK uzaktan müşteri edinimi + MASAK + KVKK + 5549 sayılı Kanun çakışıyor. Detay için BDDK uzaktan müşteri edinimi rehberimize bakın.
E-para kuruluşları: BDDK + MASAK ikili çerçeve; görüntülü kimlik tespiti belirli bakiye eşiği üstünde zorunlu. Detay için e-para görüntülü KYC rehberimize bakın.
Yatırım kuruluşları: SPK görüntülü kimlik tespiti zorunlu. Detay için SPK uyumlu görüntülü kimlik tespiti rehberimize bakın.
Kripto borsaları: KVHS düzenlemesi şekilleniyor; pratikte NFC + canlılık + ileri risk skorlaması standart oldu. Detay için kripto borsası dijital KYC rehberimize bakın.
PSP'ler: MASAK + BDDK ödeme hizmeti çerçevesi. Düşük bakiyeli dijital cüzdanlarda hafif KYC akışı tercih ediliyor.
Entegrasyon Pratikleri
Dijital KYC'yi sıfırdan kurmak — NFC, canlılık, yüz eşleştirme, görüntülü tespit altyapısını ayrı ayrı geliştirmek — 12-18 ay ve 5-8 mühendislik tam zamanlı eşdeğeri. Bu yüzden çoğu kuruluş hazır SDK + API entegrasyonu tercih ediyor. Entegrasyon akışının teknik adımları için dijital KYC entegrasyon rehberimize bakın.
Sıkça Sorulan Sorular
Dijital KYC ile geleneksel KYC arasındaki fark nedir?
Geleneksel KYC, müşterinin fiziken şubeye gelmesini, kimlik kartını göstermesini ve bir banker tarafından kayıt altına alınmasını gerektirir. Dijital KYC bu süreci uzaktan, mobil cihaz veya web kanalı üzerinden yapar. Hukuki olarak aynı yükümlülükleri karşılar — kimlik tespiti, risk profili, kayıt saklama — ancak operasyonel sürtünme çok daha düşüktür ve onboarding süresi 1-2 günden 5-10 dakikaya iner.
Türkiye'de hangi kuruluşlar dijital KYC yapabilir?
Dijital KYC, yetkilendirilmiş finansal kuruluşların tamamı için açık: bankalar (BDDK uzaktan müşteri edinimi yönetmeliği kapsamında), yatırım kuruluşları (SPK tebliği kapsamında), e-para ve ödeme kuruluşları (BDDK çerçevesinde), kripto varlık hizmet sağlayıcıları (KVHS düzenlemesinin yürürlüğe girmesiyle). Her sektörün kendi düzenleyicisinin çıkardığı kurallara uymak şart.
NFC çip okuma her TC kimlik kartında çalışır mı?
2017 sonrası dağıtılan yeni nesil TC kimlik kartlarının (TCKK) hepsinde NFC çip var ve ICAO 9303 PKD ile imzalı. Eski kimlik kartları (sarı çipsiz) NFC desteklemez — bu kullanıcılar için OCR + MRZ okuma + görüntülü kimlik tespiti yolu kullanılır. Pratikte bugün aktif Türk vatandaşı kullanıcı tabanının %92-95'i NFC'li kimliğe sahip.
Canlılık testi olmadan dijital KYC yapmak yasal mı?
Doğrudan yasak değil ancak risk-bazlı yaklaşım gereği yüksek riskli müşterilerde (BDDK ve MASAK perspektifinden) canlılık testi olmadan sadece selfie+belge eşleştirmesi yeterli kabul edilmez. Düşük riskli, düşük bakiyeli müşterilerde minimal akış uygulanabilir, ancak fraud riski operatör risk iştahına bağlı. Pratikte tüm tier-1 kuruluşlar canlılık testini standart olarak kullanıyor.
Görüntülü kimlik tespiti her dijital KYC akışında zorunlu mu?
Hayır. Düşük riskli, NFC + canlılık + ek doğrulamalarla biten akışlarda görüntülü tespit isteğe bağlı olabilir. Ancak yüksek riskli müşteri, belirli bakiye eşiği üstü işlem ya da BDDK/SPK'nın açıkça istediği senaryolarda görüntülü kimlik tespiti zorunlu. Düzenleyicinin "uzaktan müşteri edinimi" tanımına giren her hesap açılışı için görüntülü tespit bekleniyor — sadece "kimlik bilgilerini güncelleme" gibi düşük etkili işlemlerde değil.
Legichain ile dijital KYC
Türkiye pazarında dijital KYC, dört ayrı satıcının (NFC SDK + canlılık + yüz eşleştirme + görüntülü oturum) entegre edilmesini gerektiriyordu — her birinin ayrı sözleşmesi, SLA'sı, audit log formatı. Legichain Dijital KYC platformu bu dört katmanı tek SDK + tek API altında birleştiriyor; BDDK uzaktan müşteri edinimi ve SPK görüntülü kimlik tespiti gereklerine göre tasarlandı. NFC çip okuma + canlılık + biyometrik eşleştirme + görüntülü tespit operatör paneli aynı oturum üzerinde çalışıyor, kayıt saklama ve audit log otomatik. Yüksek riskli müşterilerde Legichain Görüntülü KYC modülü operatör kuyrugunu ve oturum kayıtlarını yönetiyor; arka tarafta MASAK uyumlu AML taraması ve risk skorlaması paralel çalışıyor. Tipik bir Türk bankası ya da e-para kuruluşu, ayrı satıcılardan kurmaya çalıştığı 12-18 aylık mimariyi 6-8 hafta içinde canlıya alıyor.