Türkiye kripto borsa pazarı, KVHS (Kripto Varlık Hizmet Sağlayıcıları) düzenleme çerçevesinin şekillenmesiyle birlikte dijital KYC açısından yepyeni bir disiplin dönemine giriyor. Bankacılığa kıyasla kripto borsalar üç ayrı zorlukla yüzleşiyor: çok daha yüksek volumlü onboarding (günlük binlerce hesap), çoklu hesap saldırılarına yatkınlık ve KYC'yi on-chain risk skorlamasıyla birleştirme zorunluluğu. Bu rehber bir kripto borsasının dijital KYC akışını sıfırdan veya yeniden tasarlarken alması gereken kararları, operasyonel akış mimarisini ve KVHS hazırlığını açıklıyor.
Kripto Borsa KYC'nin Bankacılıktan Farkları
Bir banka müşterisinin günde binlerce yeni hesap açmasını bekleyemezsiniz; kripto borsasında bu rutin. Bu volumlü akış birkaç pratik farkı zorluyor:
- Onboarding hızı kritik — kullanıcı 10 dakikadan uzun süren akışta düşer.
- Çoklu hesap önleme — bir kullanıcının onlarca hesap açma denemesi sık; KYC bypass için saldırı yüzeyi geniş.
- On-chain risk birleşimi — KYC sadece "bu kişi kim" değil, "bu kişinin bağlandığı cüzdanlar temiz mi" sorusunu da çözmeli.
- Bot ve sentetik kimlik saldırıları — kripto borsa otomatize saldırılara bankacılıktan çok daha fazla maruz kalıyor.
Bu farklar onboarding akışında "hızlı + güvenli + entegre" üçgeninin dengelenmesini gerektiriyor.
KVHS Düzenleme Çerçevesi ve KYC
KVHS düzenlemesi 2024'te yasalaştı; alt düzenleme detayları (BDDK ve SPK ortak çerçevesi) şekillenmekte. Pratik KYC etkileri:
- Yetkilendirme şartı — KVHS olarak faaliyet için BDDK/SPK kayıt süreci; KYC altyapısının uyumluluğu kayıt başvurusunun bir parçası.
- MASAK yükümlülükleri — kripto borsalar 5549 sayılı Kanun kapsamında yükümlü kuruluş olarak konumlanıyor; STR raporlama, müşteri kabul politikası, risk skorlama şart.
- Travel Rule uyumu — sınır ötesi transferlerde FATF Travel Rule veri taşıma yükümlülüğü; KYC verileri Travel Rule mesajlarıyla bağlanır. Detay için FATF Travel Rule rehberimize bakın.
- Uzaktan müşteri edinimi — BDDK uzaktan müşteri edinimi çerçevesine paralel uygulamanın beklenmesi.
Düzenlemenin son haline kadar tipik tier-1 kripto borsa pratiği: "BDDK uzaktan müşteri edinimi gerekliliklerini önden uyguluyorum, KVHS netleştiğinde ek detayları tamamlarım." Detaylı KVHS bağlamı için KVHS düzenleme rehberimize bakın.
Tipik Onboarding Akışı
1. Hızlı Kayıt Katmanı
Email + telefon + güçlü şifre. OTP doğrulama. Bu noktada kullanıcı temel arayüze erişebilir ama hiçbir kripto işlemi yapamaz (sadece görüntüleme).
2. Tier 1 KYC: Hafif
- TC kimlik no + ad-soyad-doğum tarihi
- Selfie + pasif canlılık testi
- 1:1 selfie ↔ ileride okunacak kimlik fotoğrafı ile eşleştirme için baseline
Bu tier ile küçük günlük çekim limiti (örn. 1.000-2.000 TL) açılır. Detaylı kimlik doğrulama henüz yapılmamış.
3. Tier 2 KYC: NFC + Tam Doğrulama
- TCKK NFC çip okuma + ICAO 9303 PKD imza doğrulama
- DG2 fotoğraf ↔ baseline selfie eşleştirme
- Aktif canlılık testi
- 1:N eşleştirme — sentetik kimlik / mükerrer hesap kontrolü
- Adres beyanı (sonradan belge upload ile doğrulanır)
Bu tier ile orta düzey limit (örn. 25.000-50.000 TL günlük çekim) açılır. NFC adımının başarı oranı için NFC çipli kimlik doğrulama rehberimize bakın.
4. Tier 3 KYC: Görüntülü + Yüksek Limit
- Operatör görüntülü oturum
- Gelir/varlık beyanı, kaynak doğrulama
- Yüksek hacimli işlem profili onayı
- PEP/yaptırım/adverse media derinlemesine inceleme
Bu tier ile yüksek limit (>50.000 TL) ve OTC işlemler açılır. Operatör akış mimarisi için görüntülü kimlik tespiti SPK rehberimize bakın.
Çoklu Hesap (Multi-Account) Önleme
Kripto borsa için kritik bir saldırı yüzeyi — bir kullanıcının birden fazla hesap açıp KYC limitlerini bypass etmesi, airdrop'larda haksız kazanç sağlaması veya çamaşır yıkama yapması. Önleme katmanları:
1:N Yüz Eşleştirme
Her yeni selfie, sistemin mevcut yüz veritabanında 1:N olarak aranır. Eşleşme bulunursa otomatik flag düşer:
- Direkt eşleşme (>95) — büyük olasılıkla aynı kişi, manuel inceleme.
- Yakın eşleşme (85-95) — aile üyesi olabilir, ek doğrulama.
- Düşük eşleşme (<85) — geçer.
1:N modelin kullanıcı tabanı büyüdükçe hızlandırılması (vector DB, ANN search) gerekiyor. Tipik tier-1 borsada 2-5 milyon yüz şablonu üzerinde <100ms sorgu süresi standardı.
Cihaz ve IP Parmak İzi
Aynı cihazdan veya aynı IP'den çoklu hesap denemesi otomatik flag. Fingerprinting katmanı çerez tabanlı değil, donanım + ağ + tarayıcı özelliklerine dayanır.
Davranış Analizi
Yeni hesap açıldıktan sonra ilk 30 dakikadaki davranış (yatırma → çekme örüntüsü, tipik trade boyutu, login lokasyonu) eski hesaplarla benzerlik açısından karşılaştırılır.
On-Chain Risk Birleşimi
Tier 2 ve üstü kullanıcı bir cüzdan adresinden yatırma yaptığında, o adres anında on-chain risk skorlamasından geçer:
- Mixer/tumbler etkileşimi — Tornado Cash, ChipMixer gibi kaynakların yakın tarihli etkileşimi var mı?
- Darknet market etkileşimi — bilinen darknet adreslerine bağlantı.
- Yaptırım listeleri — OFAC SDN'deki kripto adresleriyle bağlantı.
- Yüksek riskli cluster — bilinen scam, ransom veya çamaşır kümeleriyle yakınlık.
Yüksek risk skoru gelirse yatırma alınır ama kullanıcının çekim hakkı manuel inceleme bekler. Detaylı pratik için blockchain AML rehberimize bakın.
Operasyonel Sayılar
Tipik bir Türk kripto borsasının onboarding metrikleri (anonimize):
- Tier 1 → Tier 2 dönüşüm oranı: %62-71. NFC adımı tipik düşüş noktası.
- Tier 2 tam akış süresi: ortalama 5-8 dakika.
- Çoklu hesap saldırı denemesi oranı: günlük toplam başvurunun %4-8'i; 1:N eşleştirme çoğunu yakalıyor.
- Operatör kuyruğuna düşen oran (Tier 3): Tier 2 geçen kullanıcının yaklaşık %12-18'i Tier 3'e geçiyor (limit yükseltme talebiyle).
- PEP/yaptırım hit oranı: binde 1-3; çoğu false positive, %15-25 gerçek eşleşme.
Sentetik Kimlik Saldırıları
Kripto borsalarında giderek artan bir tehdit — saldırgan gerçek kimlik bilgilerini birleştirip sahte bir kişi yaratıyor (örn. başka bir kullanıcının TC No'su + farklı bir fotoğraf). Tespit zor. Savunma katmanları:
- NFC zorunlu — kimlik verisi imzalı olduğu için sentetik kimlik kartı oluşturulamaz.
- Sosyal sinyaller — yeni hesap açan kullanıcının davranış profili (ilk işlemleri, login lokasyonu, cihaz geçmişi) anomali tespitine sokulur.
- Cross-borsa veri paylaşımı — sektörel bilgi paylaşım altyapısı (henüz Türkiye'de tam oluşmamış) sentetik kimlikleri yakalamak için gelecek standart.
Yaygın Tasarım Hataları
Hata 1: KYC akışını "tek seferlik" görmek. Müşteri davranışı değiştikçe (yeni cihaz, yeni lokasyon, sıra dışı işlem) yeniden doğrulama tetiklenmeli. KYC sürekli devam eden süreç.
Hata 2: NFC'yi opsiyonel bırakmak. "Kullanıcı NFC istemiyorsa OCR yeterli" yaklaşımı sentetik kimlik saldırılarına kapı açar. Tier 2+ için NFC zorunlu olmalı.
Hata 3: 1:N eşleştirmeyi atlamak. Çoklu hesap saldırısı kripto için en yaygın bypass yöntemi. 1:N olmadan kurulan akış 3-6 ay içinde ciddi compliance problemine dönüşür.
Hata 4: On-chain ve KYC verisini ayrı tutmak. Kullanıcı KYC'sini geçti ama yatırma yaptığı cüzdan high-risk. Bu birleşim olmadan MASAK STR raporlama eksik.
Hata 5: Tier limitlerini esnek bırakmak. "Bir kullanıcı talep ettiğinde limit yükselt" pratiği BDDK/MASAK denetiminde sorgulanır. Limit yükseltmesi tier KYC geçişine bağlı olmalı.
Sıkça Sorulan Sorular
KVHS düzenlemesi tamamen yürürlüğe girene kadar mevcut akış yeterli mi?
KVHS düzenlemesinin alt mevzuatı henüz tamamlanmamış olsa da, MASAK 5549 sayılı Kanun yükümlülükleri zaten yürürlükte. Mevcut kripto borsalar BDDK uzaktan müşteri edinimi yönetmeliği gerekliliklerine paralel akış kurarak hazırlanıyor — bu yaklaşım risk açısından en güvenli. Detay için KVHS düzenleme rehberimize bakın.
Yabancı uyruklu kullanıcılar için akış nasıl tasarlanmalı?
Pasaport NFC çip okuma + canlılık + ek belge (ikametgah, vergi numarası) standart. Yabancı uyruklu kullanıcı otomatik bir adım yüksek risk skoruna sahip; yüksek riskli ülkelerden başvuruda Tier 3 görüntülü oturum zorunlu olabilir. Bazı yüksek riskli yargı bölgelerinden kullanıcı kabul edilmemesi (yaptırım listeli ülkeler, FATF grey list) tipik politika.
KYC verisi ile on-chain veriyi birleştirmek KVKK açısından sorunlu mu?
Verinin amaç sınırı içinde kalması şart — kullanıcının açık rızası kapsamında "kripto işlem güvenliği ve regülatör yükümlülüğü" için kullanıldığı, üçüncü taraflarla paylaşılmadığı netleştirilmek zorunda. On-chain analitik sağlayıcılarıyla veri paylaşımı yapıldığında DPA (Data Processing Agreement) imzalanır; cüzdan adresi pseudonim olduğu için doğrudan kişisel veri sayılmaz ancak KYC ile bağlandığında kişiselleşir.
Yüksek frekanslı trader'lar için akış değişir mi?
Tier 3 KYC'yi geçen bir kullanıcının ileri akış (algoritmik trade, API key, OTC işlem) yapması için ek doğrulamalar isteniyor: kurumsal müşteri yapısı, yetkili imza belgeleri, fon kaynağı doğrulaması. Bireysel HFT müşteriler nadir; çoğu kurum yapısı altında. Akış MASAK ileri inceleme + risk skorlama eşik artırımı + işlem örüntü izleme ile destekleniyor.
Onboarding sırasında bot tespiti nasıl yapılır?
Kullanıcı davranışı (mouse hareketi, klavye paterni, sayfa kalış süresi) bot tabanlı saldırıları erken eler. CAPTCHA-tabanlı koruma standart ama yetersiz; gerçek koruma davranış analitiğinde. Yeni hesap açma denemesi başına anomali skoru hesaplanır; yüksek skor manuel inceleme veya direkt reddetme.
Legichain ile kripto borsa dijital KYC
Bir kripto borsa için dijital KYC altyapısı kurmak, bankaya kıyasla iki ek zorluk taşıyor: çoklu hesap saldırılarına karşı 1:N yüz eşleştirme ve on-chain risk birleşimi. Legichain Dijital KYC platformu bu iki katmanı standart sunuyor: 2-5 milyon yüz şablonu üzerinde <100ms sorgu yapabilen 1:N matching, BDDK uzaktan müşteri edinimi standartlarına uyumlu NFC + canlılık + biyometrik eşleştirme, Legichain Görüntülü KYC operatör paneliyle Tier 3 görüntülü oturum yönetimi tek API altında. On-chain risk skorlaması için Legichain Blockchain AML çözümü aynı oturum altında çağrılıyor — kullanıcı KYC'sini geçtiği anda yatırdığı cüzdan adresinin mixer/darknet/yaptırım risk skoru aynı yanıtta dönüyor. KVHS düzenlemesi netleştikçe çözüm güncelleniyor; tipik Türk kripto borsası kendi geliştirmeyle 12-15 ayda inşa edeceği akışı 4-6 hafta içinde canlıya alıyor. Sektör-bazlı bütün çözümler için kripto borsa solution sayfamıza bakın.