Legichain

KVHS (Kripto Varlık Hizmet Sağlayıcıları) Düzenlemesi: Ne Beklenmeli?

7518 Sayılı Kanun ile SPK denetimine alınan KVHS rejimi, Mart 2025'ten beri yürürlükteki ikincil yönetmelik ve Türk kripto borsalarının operasyonel yükümlülükleri.

Legichain Team 14 dakikalık okuma 26 May 2026

Türkiye, 7518 Sayılı Kanun'un 21 Mayıs 2024 tarihinde Resmi Gazete'de yayımlanmasıyla kripto varlık hizmet sağlayıcılarını (KVHS) ilk kez kapsamlı bir düzenleyici çerçeveye aldı. Kanun 6362 Sayılı Sermaye Piyasası Kanunu'nu değiştirerek SPK'yı KVHS denetiminin birincil otoritesi yaptı. İkincil Kripto Varlık Hizmet Sağlayıcılarına İlişkin Yönetmelik Mart 2025'ten itibaren yürürlüktedir; 2026 itibarıyla geçiş tamamlanmış, denetim aktiftir. Bu rehber KVHS Yönetmeliği kapsamında faaliyet izni başvurusunun yapısı, AML/CFT yükümlülükleri, müşteri varlığı ayrımı, sermaye yeterliliği ve FATF Travel Rule uyumunu operasyonel detayla ele alıyor.

Düzenlemenin Bağlamı

Türkiye'deki kripto sektörü 2021 öncesi büyük ölçüde denetimsizdi. 2021'de Thodex ve Vebitcoin gibi büyük borsaların aniden işlemleri durdurması ve kullanıcı varlıklarına erişimin kesilmesi, düzenleyici eylemi hızlandırdı. İlk düzenleyici müdahale 16 Nisan 2021 tarihli TCMB tebliği oldu (kripto varlıkların ödemede kullanılmasının yasaklanması). Sektörel kapsamlı çerçeve ise 2024'ü buldu.

7518 Sayılı Kanun ile yapılan değişikliklerin özü:

  • KVHS'ler 6362 Sayılı Kanun kapsamında sermaye piyasası kuruluşu sayılır,
  • SPK denetim ve faaliyet izni yetkisine sahip olur,
  • 5549 Sayılı Kanun çerçevesinde MASAK yükümlülüğü doğar,
  • Asgari sermaye, müşteri varlığı saklama, IT güvenliği ve AML/CFT iç kontrol sistemi zorunlu olur.

İkincil yönetmelik (Mart 2025) bu çerçeveyi operasyonel hale getirir.

KVHS Kapsamı: Kim Yükümlü?

Yönetmelik aşağıdaki faaliyetleri "kripto varlık hizmeti" olarak tanımlar:

  • Kripto varlık alım/satım platformu işletmek (kripto borsa),
  • Kripto varlık saklama hizmeti (custody),
  • Kripto varlık takas/transfer hizmeti (cüzdan, transfer),
  • İlk arz aracılığı (token sale platform),
  • Portföy yönetimi (kripto varlık portföy yönetimi),
  • Yatırım danışmanlığı (kripto varlık).

Yukarıdakilerden bir veya birden fazlasını Türkiye'de veya Türkiye'ye yönelik olarak sunan kuruluş KVHS'dir ve SPK faaliyet iznine tâbidir.

Yurtdışı Borsalar İçin Türkiye Erişimi

Yurtdışında merkezli ancak Türkiye'den müşteri kabul eden borsalar için iki ana yol vardır:

  1. Türkiye'de KVHS olarak faaliyet izni almak (yerli şirket veya şube),
  2. Türkiye'den müşteri kabul etmemek (geo-fencing, KYC reddi).

Pasif erişim (web sitesi Türkçe olmasa da Türkiye'den ulaşılabilir) yeterli midir? SPK'nın bu konudaki yorumu 2025-2026 döneminde sıkılaştı: Türkiye'de pazarlama yapan, Türkçe destek sunan veya Türk Lirası işlem destekleyen borsalar lisanssız faaliyet olarak değerlendirilir.

Faaliyet İzni Başvurusu

KVHS faaliyet izni başvurusu için SPK'ya sunulan belge paketi:

  • Şirket belgeleri: Ticaret sicil belgesi, ana sözleşme, imza sirküleri.
  • Sermaye yapısı: Asgari sermaye taahhüdü, ortaklık yapısı, gerçek faydalanıcılar.
  • Yönetim: Yönetim kurulu üyeleri, üst düzey yöneticilerin nitelikleri (fit & proper).
  • Sermaye yeterliliği: Faaliyetlere göre asgari sermaye + öz kaynak.
  • Risk yönetimi: Yazılı risk politikası, risk komitesi yapısı.
  • IT altyapısı: Cüzdan altyapısı, güvenlik mimarisi, penetration test raporları.
  • AML/CFT iç kontrol: Uyum görevlisi atama, AML politikası, eğitim programı, yaptırım/PEP tarama mimarisi, STR mekanizması.
  • Müşteri varlığı saklama planı: Hot/cold cüzdan ayrımı, soğuk depolama yüzdesi, yedekleme.
  • Kullanıcı sözleşmeleri ve risk bilgilendirme dokümanları.

SPK başvuru sonrası mülakat ve yerinde inceleme yapar. Tipik başvuru süreci 9-18 ay arasında değişir (başvurunun eksiksizliğine göre).

Asgari Sermaye ve Öz Kaynak

KVHS Yönetmeliği faaliyet türüne göre asgari sermaye gereklilikleri tanımlar. Genel çerçeve (2026 itibarıyla pratikte takip ettiğimiz aralıklar):

Faaliyet Yaklaşık asgari sermaye
Alım/satım platformu 150 milyon TL+
Kripto custody 100 milyon TL+
Portföy yönetimi 30 milyon TL+
Yatırım danışmanlığı 5 milyon TL+

Asgari sermaye yıllık olarak yeniden değerleme oranıyla güncellenebilir; güncel rakamlar için SPK'nın resmi yayınları takip edilmelidir. Öz kaynak yeterliliği ayrıca operasyonel riske dayalı bir oranla hesaplanır.

Müşteri Varlığı Ayrımı (Segregation)

KVHS'ler müşteri varlıklarını kendi varlıklarından kesinlikle ayrı tutmak zorundadır. Operasyonel kurallar:

  • Hesap ayrımı: Müşteri kripto varlıkları ve fiat hesapları kuruluşun ticari hesaplarından ayrı.
  • Soğuk cüzdan oranı: Müşteri varlıklarının asgari oranı (örn. %95+) soğuk depolamada tutulmalı; bu oran SPK rehberlerinde belirlenir.
  • Saklama partneri: Üçüncü taraf custody kullanılıyorsa partner için ayrı SPK lisansı veya muadil yetkilendirme gerekli.
  • Müşteri varlık raporlaması: Periyodik raporlama (genellikle aylık) SPK'ya iletilir.
  • Bankalararası uzlaşma: Müşteri fiat varlıklarının saklama bankasıyla SPK onaylı sözleşme.

Bu kurallar Thodex-tipi başarısızlıklara yanıt olarak tasarlanmıştır; uygulamada müşteri varlıklarının "lock-in" mekanizmasını anlatır.

AML/CFT Çerçevesi

KVHS'ler 5549 Sayılı Kanun kapsamında MASAK yükümlüsüdür. KVHS Yönetmeliği bu çerçeveyi sektöre uyarlar:

Müşteri Tanıma (CDD)

  • Tüm müşteriler için kimlik tespiti (anonim hesap yasak),
  • Risk tabanlı yaklaşım (yüksek hacim, yüksek risk: gelişmiş CDD),
  • Gerçek faydalanıcı tespiti (kurumsal müşterilerde),
  • Sürekli takip.

Kimlik tespiti yöntemleri için Türk vatandaşlarına yönelik NFC + görüntülü görüşme (banka modeline paralel) güçlü tavsiye edilir. Detay için dijital KYC rehberimize bakın.

Yaptırım ve PEP Taraması

KVHS'lerin tarayacağı listeler:

  • BM Güvenlik Konseyi yaptırım listeleri,
  • OFAC SDN (özellikle kripto-spesifik OFAC etiketli adresler),
  • AB konsolide yaptırım listesi,
  • UK HMT,
  • Türk iç listeler (5549 + 6415),
  • PEP listeleri (geniş kapsam),
  • Olumsuz medya (kripto-spesifik kaynaklar).

Genel altyapı için AML taraması rehberimize ve yaptırım taraması rehberimize bakın.

Blockchain AML / On-Chain Tarama

KVHS Yönetmeliği on-chain risk taraması için açık zorunluluk getirmez, ancak MASAK'ın gelişmiş CDD beklentisi pratikte bu kontrolü zorunlu hale getirir:

  • Yatırılan cüzdan tarama: Müşterinin kuruluşa yatırdığı kripto varlığın geldiği cüzdanın risk skoru.
  • Çekilen cüzdan tarama: Müşterinin çektiği kripto varlığın gönderildiği cüzdanın risk skoru.
  • Risk etiketleri: Mixer, darknet market, ransomware, sanctions, scam.

Detay için blockchain AML rehberimize bakın.

Şüpheli İşlem Raporlama

MASAK STR yükümlülüğü KVHS'lere aynı kurallarla uygulanır: şüphe doğduğundan itibaren 10 iş günü. KVHS'lerin sıklıkla karşılaştığı STR senaryoları:

  • Mixer-aracılı yatırma,
  • Yüksek frekanslı küçük tutarlı işlemlerle "structuring",
  • Yeni hesabın açıldıktan saatler içinde yüksek hacimli işlem yapması,
  • Sanctions etiketli cüzdandan transfer,
  • Müşteri profilinin işlem hacmiyle uyumsuzluğu.

FATF Travel Rule (Türkiye Uygulaması)

KVHS Yönetmeliği FATF Tavsiye 16 (Travel Rule) için açık bir uygulama maddesi getirmektedir: 1.000 EUR (veya muadili) üzerindeki kripto transferlerinde gönderici ve alıcı bilgilerinin diğer VASP ile paylaşılması. Pratik uygulama:

  • IVMS 101 standardı (uluslararası VASP iletişiminde),
  • Travel Rule altyapısı entegrasyonu (TRP, Sygna, Notabene, OpenVASP gibi network'ler),
  • Travel Rule verisi olmayan transferlerde işlemin reddedilmesi veya rapor edilmesi (sunrise problem yönetimi).

Türkiye Travel Rule rejimi için FATF Travel Rule rehberimize bakın.

MiCA ile Karşılaştırma

Türk KVHS rejimi AB'nin MiCA (Markets in Crypto-Assets) ile birçok yapısal benzerlik taşır, ama önemli farklar vardır. MiCA nedir makalemiz detay verir; ayrıca AB finansal regülasyon pillar'ımıza bakın. Özet karşılaştırma:

Konu KVHS (TR) MiCA (AB)
Yürürlük Mart 2025 30 Aralık 2024 (CASP)
Otorite SPK Yerel NCA + ESMA koordinasyon
Pasaport Yok (yerel lisans gerekli) Var (EEA içinde)
Asgari sermaye 5M-150M+ TL 50K-150K EUR (CASP)
Stablecoin Açık değil E-money token + ART ayrımı
AML çerçeve MASAK AMLD + TFR

Pratik Bir Örnek

Türkiye'de orta ölçekli (günde 50.000-200.000 işlem) bir kripto borsasının tipik AML/CFT operasyonu:

  • Yeni onboarding: Günde 800-1.500 yeni müşteri,
  • NFC + canlılık + görüntülü tespit: Tamamlanma oranı %70-80,
  • İlk yaptırım/PEP eşleşmesi: Başvuruların %0.5-1.5'inde,
  • On-chain risk skoru: Yatırılan transferlerin %2-4'ünde mixer/darknet/sanctions etiketi,
  • Reddedilen yatırma: Etiketli transferlerin %20-40'ı operasyonel olarak reddedilir (kalanı izlenir),
  • STR sayısı: Aylık 30-80 (borsa büyüklüğü değişken).

Bu metrikler operasyonel kapasiteyi gösterir; mevzuata uyum sadece "kuralları biliyor olmak" değil, "günlük 1.000+ kararı doğru veriyor olmak" demektir.

Sıkça Sorulan Sorular

KVHS Yönetmeliği yürürlükte mi?

Evet. 7518 Sayılı Kanun 21 Mayıs 2024'te yayımlandı; ikincil KVHS Yönetmeliği Mart 2025'ten itibaren yürürlüktedir. 2026 itibarıyla geçiş süreci tamamlandı, denetim aktif. KVHS faaliyet izni almamış kuruluşlar Türkiye'de faaliyet gösteremez.

Yurtdışı borsasıyım, Türkiye'den müşteri kabul ediyorum. Lisans almak zorunda mıyım?

Türkiye'de pazarlama yapıyor, Türkçe destek sunuyor veya Türk Lirası işlem destekliyorsanız büyük olasılıkla SPK gözünde Türkiye'de faaliyet gösteriyorsunuz ve lisans gerekiyor. Pasif erişim (Türkçe olmayan global platform) sınırının yeri belirsiz; SPK'dan görüş alınması veya hukuki danışmanlık önerilir. Lisans almazsanız Türk müşterilere hizmet vermeyi durdurmak (geo-fencing, KYC reddi) tek güvenli yol.

Asgari sermaye gereklilikleri ne kadar?

Faaliyet türüne göre değişir; alım/satım platformu için 150 milyon TL+ pratik referans, custody için 100 milyon TL+. Tam ve güncel rakamlar SPK'nın yayınladığı tebliğlerde takip edilir. Sermaye yıllık yeniden değerleme oranıyla artar.

KVHS olarak müşteri varlıklarımı kendi cüzdanlarımda tutabilir miyim?

Hayır, kesin segregasyon zorunlu. Müşteri varlıkları kuruluşun ticari varlıklarından ayrı hesap/cüzdanda tutulmalı. Soğuk depolama oranı yüksek olmalı (pratik referans %95+). Üçüncü taraf custody kullanıyorsanız partner SPK lisanslı veya muadil yetkilendirmeye sahip olmalı.

Travel Rule altyapısı zorunlu mu?

Pratikte evet. KVHS Yönetmeliği 1.000 EUR üstü transferlerde FATF Travel Rule'a uyum bekler. Türkiye dışı VASP'lerle iletişim için IVMS 101 standardında veri paylaşımı + Travel Rule network entegrasyonu (Sygna, Notabene, TRP, Veriscope, OpenVASP gibi) gereklidir. Travel Rule verisi olmadan gerçekleşen yüksek hacimli transferler reddedilmeli veya STR ile raporlanmalıdır.

Legichain ile KVHS Uyumu

Legichain'in kripto borsa çözümü KVHS Yönetmeliği'nin tüm operasyonel yükümlülüklerini karşılar: NFC + görüntülü kimlik tespiti, MASAK yaptırım/PEP/adverse media taraması, on-chain risk skorlama (mixer, darknet, sanctions etiketli adresler), FATF Travel Rule altyapısı (IVMS 101 + network entegrasyonları) ve STR-ready dosya çıktısı. Blockchain AML modülümüz cüzdan başına detaylı risk raporlaması sunar. SPK denetimine hazır audit log + 8 yıllık saklama standart gelir.

Sonraki Adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

turkey-regulation

Türkiye'de Finansal Kuruluşlar için AML/KYC Uyum Rehberi

5549 Sayılı Kanun'dan KVHS Yönetmeliği'ne kadar Türk regülasyon dağarcığı dağınık ve düzenleyici otoritelerin yetki alanı sürekli kayıyor. Bu pillar rehber, banka, ödeme kuruluşu, e-para kuruluşu, yatırım kuruluşu ve kripto varlık hizmet sağlayıcısının (KVHS) uyum operasyonunu tek bir çerçevede topluyor: hangi kanun hangi otoritenin yetki alanında, raporlama süreleri, eşik tutarlar, müşteri edinim akışları ve gerçek dünyada compliance ekiplerinin saatlerini yiyen detaylar.

Yazıyı oku
turkey-regulation

SPK Uyumlu Görüntülü Kimlik Tespiti: Yatırım Kuruluşları için Rehber

SPK'nın 23.12.2021 tarih ve 65/1929 sayılı Kararı, yatırım kuruluşlarının (aracı kurumlar, portföy yönetim şirketleri) görüntülü kimlik tespiti yapabilmesinin yolunu açtı. Bu rehber teknik gereklilikleri, akış tasarımını, kayıt + saklama yükümlülüklerini ve denetimde sorgulanan konuları operasyonel detayla anlatıyor.

Yazıyı oku
turkey-regulation

Türkiye PSP ve E-Para Şirketleri için MASAK Yükümlülükleri

Türk ödeme kuruluşları ve elektronik para kuruluşları (PSP, EPK) iki katmanlı denetime tâbidir: TCMB (faaliyet ehliyeti, prudensiyel) + MASAK (AML/CFT). Bu BOFU rehber, 6493 Sayılı Kanun + 5549 Sayılı Kanun + MASAK Yönetmeliği çerçevesinde PSP ve EPK'lar için kimlik tespiti, işlem izleme, e-para limit yönetimi ve STR raporlama yükümlülüklerini operasyonel detayla anlatıyor.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun