Görüntülü Kimlik Tespiti (Video KYC) ve SPK Uyumluluğu

Sermaye Piyasası Kurulu (SPK), 2021'de yayımladığı görüntülü kimlik tespiti tebliğiyle aracı kurumlar, portföy yönetim şirketleri ve yatırım fonlarına uzaktan müşteri edinme imkânı tanıdı. Tebliğ basit bir "video görüşme yeterli" düzenlemesi değil — teknik altyapı, operatör eğitimi, kayıt saklama ve denetim hattı açısından spesifik gereklilikler getiriyor. Bu rehber, bir yatırım kuruluşunun SPK görüntülü kimlik tespiti süreçlerini uyumlu kurmak için bilmesi gereken her şeyi açıklıyor.

SPK Görüntülü Kimlik Tespiti Nedir?

Görüntülü kimlik tespiti, yatırım kuruluşunun yetkili personeli ile potansiyel müşteri arasında, eş zamanlı görüntü ve ses bağlantısı üzerinden gerçekleştirilen kimlik doğrulama oturumudur. Amaç, fiziken karşılaşmadan müşteri kabul sürecini tamamlamak — ancak bunu MASAK ve SPK'nın "müşterini tanı" yükümlülüğünü tam karşılayacak şekilde yapmak.

Tebliğ, görüntülü kimlik tespitini iki ayağa oturtuyor:

Teknik doğrulama — TCKK çipinden NFC okuma veya MRZ doğrulaması, biyometrik eşleştirme, canlılık testi.
İnsan doğrulama — yetkili personelin müşteriyle eş zamanlı oturumda kimlik teyidi yapması.

Bu iki ayak birlikte çalışmalı; sadece teknik doğrulama ya da sadece insan görüşmesi tek başına SPK kapsamında geçerli kabul edilmez. Detaylı altyapı yaklaşımı için dijital KYC rehberimize bakın.

Tebliğin Kapsamı: Hangi Kuruluşlar?

Görüntülü kimlik tespiti yetkisi şu kuruluşlara verildi:

Aracı kurumlar — sermaye piyasası araçlarında alım-satım aracılığı yapanlar.
Portföy yönetim şirketleri — bireysel ve kurumsal portföy yönetimi yapanlar.
Yatırım fonu yöneticileri — fon kurucu ve yönetici şirketler.
Yatırım kuruluşu niteliğindeki bankalar — yatırım faaliyetleri için ayrı bir bölüm.

Sıradan ticari bankaların mevduat müşterisi edinmesi BDDK kapsamında; ayrı bir düzenleme. Detay için BDDK uzaktan müşteri edinimi rehberimize bakın.

Teknik Gereklilikler

Görüntü ve Ses Kalitesi

Tebliğ, görüntülü görüşmenin "kesintisiz, anlık ve karşılıklı" olmasını şart koşuyor. Pratikte bu şu anlama geliyor:

Minimum çözünürlük: 480p önerilen alt sınır; 720p tipik üretim standardı.
Eş zamanlılık: kayıt asenkron olamaz; her iki tarafın da aynı anda canlı bağlantıda olması zorunlu.
Ses: çift yönlü, makul gecikme (<300 ms).
Bağlantı koparsa: oturum baştan başlamak zorunda; kısmi oturum kaydı geçerli sayılmaz.

Teknik altyapı olarak WebRTC tabanlı çözümler standart oldu — düşük gecikme, end-to-end şifreleme, modern tarayıcı/mobile uyumu sağlıyor.

TCKK Doğrulama

SPK tebliği, kimlik kartının elektronik kimliklendirme verisinin doğrulanmasını şart koşuyor. Pratikte iki yol var:

NFC çip okuma — tercih edilen yöntem. ICAO 9303 PKD ile imza doğrulama yapılırsa kimlik içeriği matematiksel kanıtla teyit edilir. NFC çipli kimlik doğrulama rehberimize bakın.
MRZ + görüntülü doğrulama — NFC mümkün değilse (eski kimlik kartı, NFC'siz telefon), operatörün belgeyi gözle inceleyerek MRZ alanı + güvenlik unsurları (hologram, mikro yazılar) kontrol etmesi.

Sürücü belgesi tek başına yeterli değil; ikinci kimlik belgesi olarak destekleyici olabilir.

Biyometrik Eşleştirme ve Canlılık

Kimlik belgesindeki fotoğraf, kullanıcının canlı görüntüsüyle eşleştirilmek zorunda. Tebliğ "biyometrik karşılaştırma" terimini kullanıyor; pratikte:

1:1 yüz eşleştirme (selfie ↔ kimlik fotoğrafı), eşik 80+ otomatik geçer.
Canlılık testi şart — ya pasif (ML tabanlı) ya aktif (challenge-response). Bu olmazsa fotoğraf-spoof saldırısına açık kapı bırakırsınız. Detay için canlılık testi rehberimize bakın.

Kayıt Saklama

Tebliğ, görüntülü oturumun tamamının (görüntü + ses + ekran paylaşımı + chat varsa) en az 10 yıl saklanmasını şart koşuyor. Saklama gereklilikleri:

Bütünlük: kayıt üzerinde sonradan değişiklik yapılamayacağı garanti edilmeli — hash zinciri, dijital imza veya WORM (Write Once Read Many) depolama.
Erişilebilirlik: SPK denetimi sırasında talep edildiğinde kısa sürede sağlanmalı (genelde 5 iş günü).
Veri koruma: KVKK kapsamında biyometrik veri olarak kategorize edilen yüz görüntüsü için ek koruma önlemleri.

Operatör Akışı

Personel Yetkilendirme

Görüntülü kimlik tespiti yapacak personelin yetkilendirme kriterleri:

Eğitim: MASAK suçun aklanması ve görüntülü kimlik tespiti konularında eğitim almış olmalı.
Sicil: yatırım kuruluşunda istihdam edilmiş olmalı (dış kaynaklı çağrı merkezi personeli sorgulu — netleştirilmesi gereken bir alan).
Kimlik: SPK'ya bildirilmiş, kuruluş içi yetki matrisinde tanımlı.

Oturum Akışı

Tipik bir görüntülü oturum:

Önceden teknik doğrulama — kullanıcı NFC ile kimlik okutur, selfie ile canlılık + biyometrik eşleştirme yapar. Sonuçlar operatörün önüne gelir.
Operatöre düşme — sistem doğrulanmış kayıt + risk skorunu operatöre sunar.
Oturum başlatma — operatör kullanıcıyla canlı bağlantı kurar, kimlik doğrular, ad/soyad/doğum tarihi karşılaştırır.
Soru-cevap — risk profili sorgulanır (gelir, mesleği, kaynak), MASAK yükümlülükleri kapsamında.
Onay veya reddetme — operatör kararını sisteme girer, kayıt arşivlenir.

Tipik oturum süresi 3-5 dakika. Yoğun saatlerde kuyruk yönetimi kritik — kullanıcı 8 dakikadan fazla beklerse dönüşüm büyük oranda kaybedilir.

SPK Denetiminde Aranan Belgeler

SPK denetiminden geçmek için kuruluşun şu kayıtları sunabiliyor olması gerek:

Görüntülü oturum kayıtları (10 yıl saklama).
Teknik doğrulama logları — NFC okuma sonucu, SOD imza doğrulama detayı, biyometrik eşleşme skoru, canlılık skoru.
Operatör karar logları — hangi personel, hangi tarihte, hangi gerekçeyle onayladı/reddetti.
Müşteri risk profili kayıtları — MASAK yükümlülüğü kapsamında risk skoru ve doğrulamalar.
PKD sertifika güncelleme logları — NFC imza doğrulamasında hangi sürüm PKD kullanıldı.

Bu kayıtların yapılandırılmamış olması ("video dosyaları bir klasörde, log'lar başka yerde, kararlar Excel'de") denetimde ciddi soru işareti yaratıyor.

Operasyonel Sayılar

Türkiye yatırım kuruluşlarında tipik operasyonel veriler:

Tam akış süresi (kullanıcı başlatması → onay): ortalama 6-9 dakika.
Operatör başına saatlik oturum kapasitesi: 8-12 (oturum + sonrası rapor yazımı dahil).
Otomatik akış başarı oranı (NFC + canlılık + biyometrik): %85-91; geri kalan operatör manuel inceleme.
Operatör onay oranı: %92-96; ret nedenleri çoğunlukla kimlik dokümanı geçersizliği veya canlılık şüphesi.
Yoğun saat kuyruk süresi: öğle saatleri ve akşam 19:00-22:00 arası tepe.

Yaygın Uyum Hataları

Hata 1: Operatör panelini ayrı satıcıdan almak. Görüntülü oturum altyapısı (WebRTC), kimlik doğrulama (NFC SDK), kayıt saklama (object storage) farklı satıcılardan kurulunca audit zinciri kopuyor. Tek sağlayıcılı çözüm denetimde çok daha kolay savunulur.

Hata 2: Kayıtların bütünlüğünü garanti etmemek. "Video MP4 olarak S3'te tutuluyor" yeterli değil; hash zinciri veya WORM depolama olmadan video sonradan değiştirilebilir endişesi denetimde ciddi sorun yaratır.

Hata 3: Operatör eğitimini one-off saymak. MASAK ve SPK düzenlemeleri güncellendikçe operatör eğitimi de güncellenmek zorunda. En azından yılda bir kez tazeleme eğitimi şart.

Hata 4: Düşük kalite görüntüye izin vermek. "Bağlantı yavaş, 240p ile devam edelim" yaklaşımı kayıtların denetimde reddedilmesine yol açabilir. Minimum 480p'yi sistem otomatik kontrol etmeli.

Hata 5: KVKK biyometrik veri rejimini ihmal etmek. Yüz görüntüsü ve biyometrik şablon KVKK'da "özel nitelikli kişisel veri" olarak korunuyor — açık rıza, ek güvenlik tedbirleri, daraltılmış erişim listesi şart.

Sıkça Sorulan Sorular

Görüntülü kimlik tespitini dış kaynaklı çağrı merkezi yapabilir mi?

SPK tebliği "yatırım kuruluşunun yetkili personeli" ifadesini kullanıyor. Pratikte yorumlama "kuruluşun istihdam ettiği veya doğrudan kontrolündeki personel" yönünde. Tamamen dış kaynaklı çağrı merkezi modelinin SPK denetiminde kabul edilmemesi riski var. Çoğu yatırım kuruluşu bu sebeple görüntülü oturum personelini kendi bünyesinde tutuyor; sadece teknik altyapıyı (görüntülü oturum platformu, NFC SDK) dışarıdan alıyor.

Görüntülü oturum sırasında müşteri hangi belgelerini göstermeli?

Asgari olarak TCKK (yeni nesil) çipli kimlik kartı. NFC okuma yapıldıysa belge gösterimi opsiyonel — ancak operatör genelde teyit için kullanıcıdan kimliğin ön ve arka yüzünü kameraya tutmasını ister. Adres beyanı için fatura veya ikametgah belgesi istenebilir; bu kuruluşun risk politikasına bağlı.

Operatör yokken (gece, hafta sonu) görüntülü kimlik tespiti yapılabilir mi?

Teknik olarak operatör kuyruğu 7/24 çalışabilir ancak operasyonel maliyet yüksek. Çoğu Türk yatırım kuruluşu görüntülü oturumu mesai saatleri + akşam dilimine (genelde 09:00-22:00) çekiyor; bu dışında "yarın 09:00'da görüntülü görüşmeniz için randevu" akışına yönlendiriyor. Müşteri kabul süreci tamamlanmamış sayılır, hesap aktive edilmez.

Bir oturumda birden fazla kimlik tespit edilebilir mi?

Tipik akışta hayır — bir oturum bir potansiyel müşteriyi doğrular. Aile/eş hesabı gibi durumlarda her birey için ayrı oturum gerekir. Kurumsal müşteri kimliklendirmesi ise farklı bir akış: yetkili temsilciler için bireysel görüntülü oturum + kurumsal belge doğrulama paralel yürür.

Görüntülü tespit reddedilirse müşteri ne yapar?

Operatör reddettiyse gerekçe net olmalı (kimlik şüphesi, canlılık problemi, biyometrik uyumsuzluk). Müşteri 5 iş günü içinde yeniden başvurabilir; tekrar reddedilirse fiziki şubeye yönlendirilir veya kabul edilemediği bildirilir. Tüm ret kararları MASAK STR raporlama kriterleri açısından da değerlendirilmek zorunda — şüpheli işlem örüntüsü varsa rapor edilir.

Legichain ile SPK uyumlu görüntülü kimlik tespiti

SPK görüntülü kimlik tespiti uyumlu bir altyapıyı parça parça kurmak — WebRTC sunucusu, NFC SDK, canlılık modeli, operatör paneli, audit log altyapısı, hash zinciri, KVKK uyumlu saklama — kolayca 9-12 aylık bir mühendislik işine dönüşüyor. Legichain Görüntülü KYC platformu bu katmanları SPK tebliği ve BDDK uzaktan müşteri edinimi gerekleriyle uyumlu olarak hazır sunuyor. Operatör paneli üzerinden personel yetki matrisi, oturum kuyruğu, otomatik teknik doğrulama özetinin operatöre sunulması ve oturum kaydının WORM depolamada hash zinciriyle saklanması tek platformda. MASAK + 5549 sayılı Kanun + KVKK yükümlülüklerini karşılayan audit log şablonları default geliyor; SPK denetimi geldiğinde tek kullanıcı için tüm oturum + teknik veri + operatör kararı dakikalar içinde dosyalanabilir formatta çıkarılıyor. Tipik bir Türk aracı kurumu kurum içi geliştirmeyle 6-9 ayda yapacağı işi 4-6 hafta içinde canlıya alıyor.

Sonraki Adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

digital-kyc

Uzaktan Müşteri Edinimi Yönetmeliği: Banka ve E-Para İçin Pratik Rehber

Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) 2021 yönetmeliği bankalar ve banka harici finansal kuruluşların uzaktan müşteri edinmesinin çerçevesini çiziyor. Bu rehber yönetmeliğin teknik ve operasyonel gerekliliklerini sahadan deneyimlerle açıklıyor.

Yazıyı oku

digital-kyc

NFC Çipli Kimlik Doğrulama Nasıl Çalışır?

Bir TC kimlik kartının NFC çipini okumak, dijital KYC akışının en zor adımlarından. Bu rehber çip okuma sürecini adım adım ve gerçek başarı oranlarıyla anlatıyor.

Yazıyı oku

digital-kyc

Kripto Borsası için Dijital KYC: Onboarding Akışı Tasarımı

Kripto borsaları için dijital KYC, bankacılıktan farklı zorluklara sahip — yüksek volumlü onboarding, çoklu hesap önleme, on-chain risk birleşimi. Bu rehber pratik akış tasarımını ve KVHS hazırlığını anlatıyor.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başla Satış ekibiyle 30 dakika konuşun