E-Para Şirketi için Görüntülü KYC: BDDK ve MASAK ile Uyum

E-para kuruluşları, Türkiye'de bankacılığa kıyasla daha esnek bir KYC çerçevesi içinde çalışıyor — düşük bakiyeli dijital cüzdan açılışı saniyeler içinde tamamlanabiliyor, ancak müşterinin işlem hacmi belirli bir eşiği aşınca BDDK ve MASAK gereklilikleri devreye giriyor. Bu eşikte görüntülü KYC zorunlu hale geliyor. Bu rehber e-para kuruluşları için tier-bazlı KYC tasarımını, görüntülü oturumun ne zaman tetiklenmesi gerektiğini ve denetim hattını pratik örneklerle açıklıyor.

E-Para KYC Çerçevesi

E-para kuruluşları üç katmanlı düzenleme altında: BDDK (kuruluş ve faaliyet izinleri), MASAK (5549 sayılı Kanun yükümlülükleri), Ödeme ve Menkul Kıymet Mutabakat Sistemleri Kanunu (operasyonel çerçeve). KYC için pratik öncelik sıralaması:

• Düşük bakiyeli cüzdan — hafifletilmiş KYC akışı (sadece NFC + canlılık veya OCR + canlılık) kullanılabilir.
• Belirli eşik üstü (BDDK ve MASAK kararına göre 2.500-5.000 TL aralığında) — tam KYC + görüntülü oturum gerekli.
• Yüksek hacimli kullanım — ek belge (gelir, ikametgah, kaynak beyanı) + sürekli izleme.

Düzenleyici çerçevenin tamamı için BDDK uzaktan müşteri edinimi rehberimize ve MASAK uyumluluğu rehberimize bakın.

Tier-Bazlı KYC Tasarımı

E-para sektöründe en iyi pratik tier-bazlı (kademeli) KYC. Müşteriye en başından "tüm doğrulamaları yap, sonra cüzdana ulaş" demek dönüşümü öldürür. Kademeli yaklaşım:

Tier 0: Anında Açılış

• Telefon numarası + OTP
• E-posta + OTP
• Temel profil bilgisi (ad, soyad)
• Cüzdan yaratılır, müşteri hemen kullanmaya başlar (genelde 0 TL veya çok düşük limit — sadece bakiye görüntüleme).

Bu seviye gerçek KYC içermez ancak müşteri "ürünü gördü" — onboarding deneyimi büyük oranda iyileşir.

Tier 1: Hafif KYC

• TC kimlik no doğrulama (ad-soyad-doğum eşleşmesi)
• Selfie + pasif canlılık testi
• 1:1 selfie ↔ kimlik veritabanı fotoğrafı eşleştirme (eğer mevcutsa)

Bu seviyeyle düşük günlük işlem limiti (örn. 2.500 TL günlük yükleme, 1.500 TL aylık çekim) açılır. Operatör müdahalesi yok, tam otomatik.

Tier 2: NFC + Tam KYC

• TCKK NFC çip okuma + ICAO 9303 PKD imza doğrulama
• Aktif canlılık testi
• 1:1 DG2 fotoğrafı ↔ canlı selfie eşleştirme
• MASAK taraması (yaptırım, PEP, adverse media)

Bu seviyeyle orta limit (örn. 25.000 TL aylık yükleme, çekim) açılır. NFC katmanının teknik detayları için NFC çipli kimlik doğrulama rehberimize bakın.

Tier 3: Görüntülü Oturum + Yüksek Limit

• Operatör görüntülü kimlik tespiti (3-5 dakika)
• Gelir/kaynak beyanı
• Adres doğrulama (fatura, ikametgah)
• Detaylı risk profili

Bu seviyeyle yüksek limit (>50.000 TL aylık) ve kart bağlama, P2P transferi, kripto köprüsü gibi yüksek riskli özellikler açılır. Detaylı operatör akışı için SPK görüntülü kimlik tespiti rehberimize bakın (SPK kapsamına göre yazılmış ama operatör mimarisi aynıdır).

Görüntülü KYC Ne Zaman Zorunlu?

BDDK ve MASAK çerçevesinde görüntülü oturum şu durumlarda tetikleniyor:

• Aylık veya günlük işlem hacmi eşiği aşıldığında — kuruluşun risk politikasına göre tanımlı, genelde 25.000-50.000 TL.
• Tek seferlik yüksek tutarda işlem talebi — özellikle çekim veya transfer.
• Risk skoru yüksek müşteri — PEP, yüksek riskli ülke, sıra dışı işlem örüntüsü.
• Hesap aktivasyonundan belirli süre sonra — bazı kuruluşlar müşteriyi 90 gün içinde Tier 3'e geçirmeyi standart yapıyor.
• Sıra dışı davranış tespitinde — yeni cihaz, yeni IP, anomali skorlu işlem.

Pratik öneri: müşterinin Tier 2'den Tier 3'e geçişi proaktif önerin — "Hesap limitinizi yükseltmek için 5 dakikalık görüntülü oturum yeterli" gibi pozitif framing dönüşümü artırır.

Operatör Akışı

Görüntülü oturum mimarisi e-para'da bankacılıktan biraz daha hafif olabilir — ürün karmaşıklığı düşük, sorgulanması gereken risk profili daha kısa. Tipik oturum:

1. Otomatik teknik doğrulama özeti — operatör panelinde NFC sonucu, biyometrik skor, canlılık skoru, MASAK tarama sonuçları hazır.
2. Kullanıcı oturuma katılır — kamera + mikrofon kontrolü.
3. Operatör selam + kimlik teyit (1-2 dakika) — kimliği kameraya tut, ad-soyad-doğum tarihi sorgu.
4. Risk profili soruları (1-2 dakika) — gelir kaynağı, kullanım amacı.
5. Onay + limit yükseltme — sistem otomatik aktive eder, kullanıcıya bildirim.

Tipik oturum 4-6 dakika, yoğun saat kuyruğu 3-8 dakika.

Audit ve Kayıt Saklama

E-para denetiminde BDDK ve MASAK ortak istediği kayıtlar:

• Tüm tier geçişleri ve doğrulama logları — hangi müşteri ne zaman hangi tier'a geçti, hangi teknik adımlar geçti.
• Görüntülü oturum kayıtları — 10 yıl, hash zinciri ile.
• Limit aşma tetikleyici kayıtları — hangi işlem hangi eşiği aştı, sistem nasıl tepki verdi.
• MASAK tarama sonuçları ve operatör değerlendirmesi — yaptırım/PEP/adverse hit'leri ne yapıldı.
• Müşteri risk skoru evrimini — başlangıç skoru, periyodik güncelleme, tetikleyici olaylar.

KVKK uyumlu biyometrik veri rejimi (açık rıza, daraltılmış erişim) e-para'da çoğunlukla tek başına denetim kaygısı olarak görülür — KYC altyapısının baştan KVKK uyumlu kurulması gerek.

Operasyonel Veriler

Tipik bir Türk e-para kuruluşunun anonim KYC metrikleri:

• Tier 0 → Tier 1 dönüşüm: %78-85 (yeni kullanıcı genelde hızlı temel doğrulamayı geçer).
• Tier 1 → Tier 2 dönüşüm: %42-55 (NFC adımı tipik düşüş — bazı kullanıcılar zorlanır).
• Tier 2 → Tier 3 dönüşüm: %18-28 (sadece limit artırma ihtiyacı olan kullanıcılar geçer).
• Aylık aktif kullanıcının Tier 3 oranı: ~%15-22 (çoğu kullanıcı düşük bakiyeli kullanım için Tier 2'de kalır).
• Görüntülü oturum SLA: öğleden sonra ortalama 4-6 dakika bekleme; tepe saatlerde 10+ dakika.

E-Para'ya Özgü Yaygın Hatalar

Hata 1: Tier eşikleri kuruluşa özel mantıklı değil. Default eşikler (5.000 TL) yerine müşteri davranış verisine bakıp doğru eşikleri belirlemek gerekli. Eşik çok düşükse her kullanıcıyı görüntülüye çağırırsın; çok yüksekse MASAK denetim risk taşır.

Hata 2: Tier geçişlerini manuel onaya bağlamak. "Tier 2'den 3'e geçen her kullanıcıyı bir uzman incelesin" pratiği ölçek kazanmıyor — otomatize edilebilir kararlar otomatize, sadece edge case'ler operatöre.

Hata 3: Görüntülü oturum öncesi teknik özet hazırlamamak. Operatör boş ekranla oturuma giriyor; NFC sonucu, canlılık skoru, MASAK hit'leri görmüyor. Sonuç: oturum uzuyor, operatör verimli soramıyor.

Hata 4: Tier düşürme mekanizmasını ihmal etmek. Müşteri 6 ay aktif değil — tier düşürülmeli mi? Sıra dışı davranış var — geçici donma mı, tier düşürme mi? Bu kararlar otomatize ve loglu olmalı.

Hata 5: Sürekli izleme yapmamak. KYC bir kez tamamlanır, sonra unutulur düşüncesi yanlış. MASAK sürekli müşterini tanı yükümlülüğü gerektiriyor — davranış değiştikçe yeniden doğrulama tetiklenmeli.

Sıkça Sorulan Sorular

E-para kuruluşu bankalardan farklı KYC standartları uygulayabilir mi?

Düzenleme çerçevesi (BDDK + MASAK) e-para ve bankalar için büyük ölçüde aynı; ancak risk-bazlı yaklaşımla e-para düşük bakiyeli akışlarda daha hafif KYC kullanabiliyor (sadece NFC + canlılık, görüntülü oturum olmadan). Bu hafifletme, belirli bakiye eşiği ve aylık işlem hacmi sınırı ile koşullu. Eşik aşılınca tam KYC + görüntülü oturum zorunlu — yani "e-para olduğum için ben farklıyım" denilemez, sadece düşük bakiyeli akış için esneklik var.

Tier 3 görüntülü oturumu nasıl proaktif önerilmeli?

Genelde iki tetikleyici çalışır: (1) kullanıcının yaklaşmakta olduğu limit (örn. "aylık 22.000 TL kullandınız, 25.000 TL'ye yaklaşıyorsunuz — limiti yükseltmek için 5 dakika görüntülü oturum"), (2) yüksek bakiye toplama girişimi (kullanıcı tek seferde 50.000 TL yatırma denedi — limit nedeniyle bloke, görüntülü oturum önerisi). UX olarak negatif çerçeve ("hesabınız bloke") yerine pozitif çerçeve ("limitinizi yükseltin") dönüşümü ciddi artırıyor.

E-para kuruluşunda görüntülü operatörü dış kaynaklı çağrı merkezi yapabilir mi?

BDDK çerçevesi "kuruluşun yetkili personeli" bekliyor — tamamen dış kaynaklı çağrı merkezi modeli sorgulu. Pratikte çoğu e-para kuruluşu operatör ekibini kendi bünyesinde tutuyor; eğitim, yetkilendirme, performans takibi merkezi. Outsourced model deneniyor ancak BDDK'nın net görüş alınması yapılmamış birçok durum var.

Çoklu hesap (multi-account) e-para için ne kadar sorun?

E-para kripto borsasından daha az ciddi ama yine de problem. Tipik saldırı: bir kullanıcı kart bonusu için 5-10 hesap açıyor. 1:N yüz eşleştirme ve cihaz/IP parmak izi bu saldırıları azaltır. Tier 2+ kullanıcılar için 1:N eşleştirme zorunlu olmalı.

Yabancı uyruklu kullanıcı için akış nasıl?

Pasaport NFC çip okuma + canlılık + ek belge (ikametgah, vergi numarası). Yabancı uyruklu kullanıcı default olarak bir adım yüksek risk skoruna sahip; yüksek riskli ülkelerden başvuruda Tier 3 görüntülü oturum zorunlu. Bazı ülkelerden kabul edilmemesi (yaptırım listeli, FATF grey list) tipik politika.

Legichain ile e-para görüntülü KYC

E-para kuruluşları için tier-bazlı KYC akışı kurmak — Tier 0 hızlı kayıt, Tier 1-2 otomatik akış, Tier 3 görüntülü oturum, sürekli izleme, MASAK uyumu — birden fazla satıcının orkestre edilmesini gerektiriyor. Legichain Dijital KYC platformu bu katmanların hepsini tek API + tek SDK üzerinden sunuyor; tier eşikleri kuruluşunuzun risk politikasına göre konfigüre ediliyor, otomatik tetikleyiciler (limit yaklaşımı, sıra dışı davranış) Tier 3 görüntülü oturuma proaktif geçişi yönetiyor. Legichain Görüntülü KYC modülü operatör panelini ve oturum kuyrugunu sağlıyor; her oturum öncesi teknik doğrulama özeti operatöre hazır geliyor. MASAK tarama, KVKK uyumlu biyometrik saklama, 10 yıllık hash zinciri arşivleme ve BDDK denetim raporlama tek platformda. E-para sektörüne özel yapılandırma için e-para solution sayfamıza bakın; tipik Türk e-para kuruluşu bu altyapıyı 6-8 hafta içinde canlıya alıyor.

Sonraki Adımlar

• Dijital KYC rehberi: NFC, görüntülü tespit ve canlılık testi
• Uzaktan müşteri edinimi yönetmeliği — banka ve e-para için pratik rehber
• BDDK uzaktan müşteri edinimi rehberi
• MASAK uyumluluğu rehberi