Legichain

MASAK Uyumluluğu: Yükümlüler, Raporlama ve Pratik Adımlar

5549 Sayılı Kanun çerçevesinde MASAK yükümlülüklerinin operasyonel karşılığı; STR, müşteri tanıma, eğitim, iç kontrol ve denetime hazırlık.

Legichain Team 13 dakikalık okuma 26 May 2026

Mali Suçları Araştırma Kurulu (MASAK), Hazine ve Maliye Bakanlığı'na bağlı bir özerk birim olarak 5549 Sayılı Kanun'un öngördüğü tüm yükümlülerin AML/CFT operasyonunu denetler. Bu rehber, MASAK uyumluluğu için bir compliance ekibinin gerçekten kurması gereken yedi temel iş akışını ve raporlama yükümlülüklerini, mevzuat referanslarıyla beraber operasyonel adımlara dönüştürüyor — banka, PSP, e-para, yatırım kuruluşu, kripto borsa fark etmez; çekirdek yapı aynıdır.

MASAK Nedir?

MASAK, Türkiye'nin Mali İstihbarat Birimi (FIU) ve aynı zamanda 5549 Sayılı Kanun'un denetim otoritesidir. Üç işlevi vardır:

  • Yükümlü denetimi: Yerinde inceleme, bilgi talebi, idari para cezası.
  • Mali istihbarat: STR (Şüpheli İşlem Raporu) toplama, analiz, kolluk birimlerine sevk.
  • Standart belirleme: Tebliğ, genel yazı, rehber yayınlama.

MASAK denetimi tek tek yükümlüleri kapsadığı kadar, sektörel düzenleyicilerle (BDDK, SPK, TCMB) eşgüdümlü çalışır. Aynı banka aynı dönemde MASAK ve BDDK denetimi geçirebilir; iki otorite farklı odaklara sahip olsa da bulguları birbirini besler.

Yükümlü Kategorileri (5549 m.2)

5549 Sayılı Kanun'un 2. maddesi yükümlü olarak şunları sayar:

  • Bankalar,
  • Sigorta ve emeklilik şirketleri,
  • Sermaye piyasası kuruluşları (aracı kurumlar, portföy yönetim şirketleri),
  • Ödeme kuruluşları ve elektronik para kuruluşları,
  • Kripto varlık hizmet sağlayıcıları (KVHS) — 7518 Sayılı Kanun ile,
  • Döviz büfeleri (yetkili müesseseler),
  • Kıymetli maden, taş ve mücevher aracıları,
  • Finansal kiralama, faktoring, finansman şirketleri,
  • Varlık yönetim şirketleri,
  • Gayrimenkul aracıları (eşik üstü işlemlerde),
  • Avukatlar (belirli işlemlerde — gayrimenkul alım/satım, şirket kuruluşu, tröst yönetimi),
  • Serbest muhasebeci mali müşavirler ve yeminli mali müşavirler,
  • Noterler (belirli işlemlerde),
  • Posta ve kargo hizmeti sunanlar (havale işlemlerinde).

Yükümlü sayılmak, MASAK Yönetmeliği'nin tüm hükümlerine tâbi olmak anlamına gelir. Eşik altı işlem yapsanız bile yükümlü kategorisindeki bir kuruluşsanız iç kontrol sistemi + eğitim + uyum görevlisi yapılarının kurulmuş olması gerekir.

STR (Şüpheli İşlem Raporu): 10 İş Günü Kuralı

Şüpheli işlem raporu, MASAK uyum operasyonunun en kritik tetikleyicisidir. 5549'un 4. maddesi şunu emreder: Yükümlü, suç gelirinin aklanması veya terörün finansmanı olduğuna ilişkin şüphesi doğan işlemi MASAK'a bildirir.

Süre

Süre 10 iş günü'dür. Süreyi tetikleyen olay, raporlama sorumlusu personelin (uyum görevlisi) konuyu öğrendiği andır — işlemin gerçekleştiği tarih değil. Bu nüans önemlidir, çünkü:

  • Bir müşteri 1 Mart'ta bir işlem yapar,
    1. seviye analist 15 Mart'ta alarm görür,
  • Uyum görevlisi 18 Mart'ta dosyayı eskaler edilmiş olarak alır,
  • 10 iş günü 18 Mart'tan itibaren sayılır.

Ancak bu, "ne kadar geç eskaler edilirse o kadar iyi" demek değildir. MASAK denetiminde içsel eskalasyon süresinin abartılı uzun olduğu kuruluşlar, "tasarımı şüphe önlemek için yapılmış" olarak yorumlanır ve ayrı bir ihlal oluşturur.

Format

STR, MASAK Online sistemi (eski adıyla MASAK Tarihsel Online) üzerinden iletilir. Format yapısaldır: müşteri kimlik bilgileri, işlem detayları, şüphe gerekçesi, ekli belgeler. Free-text alanı düşüktür; sistem zorunlu alanlar isteyebilir.

Tipping-off Yasağı

5549 m.4 şunu yasaklar: Yükümlü, müşterisine STR raporu yapıldığını veya yapılacağını bildiremez. Bu, banka çalışanının müşteriyle bilgi paylaşımı sırasında dikkat etmesi gereken kritik bir noktadır. İhlal halinde hem ayrı suç hem de idari para cezası söz konusudur.

Müşteri Tanıma (CDD)

5549 m.3 ve Yönetmelik m.5-25 müşteri tanıma yükümlülüğünü tanımlar. Operasyonel karşılığı:

Kimlik Tespiti

  • Gerçek kişi: T.C. kimlik numarası, ad-soyad, doğum tarihi, doğum yeri, anne-baba adı, uyruk, adres, iletişim bilgileri.
  • Tüzel kişi: Vergi kimlik numarası, ticaret unvanı, faaliyet konusu, yönetim kurulu üyeleri, temsil yetkisi, adres, gerçek faydalanıcılar.
  • Belge: T.C. nüfus cüzdanı / yeni kimlik kartı / pasaport / sürücü belgesi (TR vatandaşları için), pasaport (yabancılar için).
  • Yöntem: Yüz yüze tespit, BDDK Uzaktan Müşteri Edinimi Yönetmeliği'ne göre uzaktan tespit (bankalar için) veya SPK görüntülü kimlik tespiti (yatırım kuruluşları için).

Gerçek Faydalanıcı Tespiti

Tüzel kişi müşterilerde, doğrudan veya dolaylı olarak %25'in üzerinde pay veya oy hakkına sahip gerçek kişiler gerçek faydalanıcı sayılır. %25 eşik üstü ortağı olmayan veya ortaklık yapısı karmaşık olan tüzel kişilerde, kontrolü elinde bulunduran yönetici gerçek faydalanıcı olarak kabul edilir.

Risk Profili

Her müşteri için risk skoru üretilir. Risk faktörleri:

  • Müşteri tipi (gerçek kişi, tüzel kişi, kamu kurumu, NGO),
  • Ürün/hizmet (yüksek riskli ürünler: özel bankacılık, fiziksel teslimat değerli madenler, anonim e-para),
  • Coğrafya (yüksek riskli ülke — FATF gri/kara liste),
  • Kanal (yüz yüze, dijital, aracı kullanan),
  • PEP veya yaptırım eşleşmesi.

PEP eşleşmeleri için PEP nedir makalemize bakın.

Sürekli İzleme

Müşteri tanıma tek seferlik değil, ilişkinin tüm hayat döngüsünde sürdürülür. Liste güncellemeleri, işlem davranışı değişimleri, risk profili güncellemeleri sürekli izlemenin parçasıdır.

İç Kontrol Sistemi

MASAK Tebliğ Sıra No. 13 ile yükümlü çalışan sayısı/varlık büyüklüğü eşiği üstündeki kuruluşlar için:

  • Uyum görevlisi: Yönetim kurulu seviyesine raporlayan, bağımsız yetkili uyum görevlisi.
  • Uyum görevlisi yardımcısı: Büyük yükümlülerde gerekli.
  • İç denetim: Compliance birimi dışında, bağımsız iç denetim.
  • Yıllık risk değerlendirme: Yükümlünün kendi risk profilini yazılı olarak değerlendirmesi, eylem planı.
  • Yazılı politika ve prosedürler: AML/CFT politikası, prosedür kütüphanesi, eskalasyon kuralları.

Eğitim

Yönetmelik m.27: Tüm personel + yenileme eğitimi (asgari yıllık). Eğitim:

  • AML/CFT temel bilgilendirmesi,
  • Yükümlünün kendi politika ve prosedürleri,
  • Şüpheli işlem işaretleri,
  • Tipping-off yasağı,
  • Cezalar ve sorumluluk.

Eğitim kayıtları (katılımcı, içerik, tarih, sınav sonuçları) denetim halinde sunulur.

Eşik Tutarlar

MASAK eşikleri:

  • Sürekli iş ilişkisi: Kimlik tespiti tutar limiti yok — ilişki kurulmak isteniyorsa kimlik tespiti zorunlu.
  • Tek seferlik işlem: 75.000 TL üzeri kimlik tespiti zorunlu.
  • Birden çok bağlantılı işlem: Eşik altı işlemler bütüncül değerlendirilir.
  • Elektronik transferler: Sınır ötesi yurtdışı transferlerde kaynak ve alıcı bilgisi taşınır (FATF Tavsiye 16).
  • Yüksek riskli ülke işlemleri: Ek tedbirler (gelişmiş CDD).

Güncel eşikler için MASAK'ın resmi yayınları takip edilmelidir.

Saklama Yükümlülüğü

5549 m.7: Müşteri tanıma belgeleri ve işlem kayıtları 8 yıl saklanır. Saklama:

  • Elektronik veya kağıt (denetim yetkilisi tarafından erişilebilir formatta),
  • Müşteri ilişkisi sona erdikten sonra 8 yıl,
  • Şüpheli işlem konusu kayıtlar STR'den sonra 8 yıl.

8 yıllık saklama, BDDK'nın 5 yıllık genel banka kaydı saklama yükümlülüğünden uzundur. Bankalar için bağlayıcı süre 8 yıldır.

Denetime Hazırlık: Pratik Kontrol Listesi

MASAK denetimine hazırlık için bir compliance ekibinin elinde olması gereken evraklar:

  • AML/CFT politikası ve prosedür dokümanları,
  • Uyum görevlisi atama yazısı (yönetim kurulu kararı),
  • Yıllık risk değerlendirme raporu,
  • Eğitim kayıtları (son 2-3 yıl),
  • STR sayıları + örnek dosyalar (yapı kontrolü),
  • Müşteri sayısı + risk dağılımı raporu,
  • Yaptırım/PEP tarama sonuçları (yıllık özet),
  • İç denetim raporları,
  • Müşteri belgeleri örnek dosyaları (rastgele örnekleme için hazır),
  • IT sistemleri envanteri (tarama, izleme, raporlama araçları).

Cezalar

İhlal halinde idari para cezaları (2026 itibarıyla pratik aralık):

  • Bireysel ihlal (kimlik tespiti yapmama, raporlama gecikmesi): 200.000 TL — 1.000.000 TL bandı,
  • Sistemik ihlal (iç kontrol eksikliği, eğitim yokluğu): 1.000.000 TL+ ve faaliyet izninde sınırlama,
  • STR yapmama: Ayrı suç (TCK ile birleşik değerlendirme), hapis cezası ihtimali.

Cezalar her yıl yeniden değerleme oranıyla güncellenir.

Sıkça Sorulan Sorular

MASAK STR raporlama süresi gerçekten 10 iş günü mü?

Evet. 5549 m.4 ve Yönetmelik m.27 net şekilde 10 iş günü öngörür. Sürenin başlangıcı şüpheyi fark eden personelin (operasyonel yorum: uyum görevlisi) konudan haberdar olduğu andır. Pratikte denetim 10 iş gününü aşmamayı bekler; aşımı idari para cezası doğurur. İçsel eskalasyonun da makul (ortalama 1-3 iş günü) sürede tamamlanması beklenir.

Hangi yükümlü uyum görevlisi atamak zorundadır?

MASAK Tebliğ Sıra No. 13 ile çalışan sayısı, varlık büyüklüğü veya işlem hacmi açısından belirli eşiklerin üstündeki yükümlüler uyum görevlisi atamak zorundadır. Bankalar ve tüm büyük finansal kuruluşlar zorunlu kapsamdadır. Atama yönetim kurulu kararı ile yapılır ve uyum görevlisi bağımsız, doğrudan yönetim kuruluna raporlayan yetkili bir kişi olmalıdır.

Müşteri tanıma için uzaktan kimlik tespiti yapabilir miyim?

Bankalar için BDDK Uzaktan Müşteri Edinimi Yönetmeliği (1 Mayıs 2021) uzaktan kimlik tespitine izin verir. Detaylar BDDK uzaktan müşteri edinimi makalesinde. Yatırım kuruluşları SPK'nın 23.12.2021 tarih ve 65/1929 sayılı Kararı ile görüntülü kimlik tespiti yapabilir — bkz. SPK görüntülü kimlik tespiti. PSP/e-para kuruluşları MASAK Yönetmeliği çerçevesinde uzaktan tespit yapabilir; teknik standartlar BDDK ve SPK düzenlemelerine paralel uygulanır.

Yaptırım taraması yapmazsam ne olur?

Yaptırım taraması (BM, OFAC, AB, UK, TR iç listeler) yapmamak hem 5549 ihlali hem de potansiyel yaptırım ihlali oluşturur. İdari para cezası, faaliyet izninde sınırlama ve uluslararası bankacılık ilişkilerinizde ciddi sorun (correspondent banking ilişkilerinin kesilmesi) anlamına gelir. Detaylı bilgi için AML taraması rehberimize bakın.

MASAK denetimi ne kadar sürer?

Yerinde denetim 1-4 hafta arası sürebilir (yükümlü ölçeğine bağlı). Bilgi talebine yanıt süresi MASAK tarafından belirlenir (genellikle 10-30 gün). Denetim sonrası tespit raporu ve gerekirse savunma yazışmaları aylar sürebilir. Toplam süreç idari para cezası kararına kadar 6-18 ay arasındadır.

Legichain ile MASAK Uyumluluğu

Legichain, MASAK uyumluluk operasyonunun tamamını tek API katmanında sunar: yaptırım/PEP/adverse media taraması, müşteri risk skorlama, işlem izleme, alarm yönetimi, STR formatına uygun çıktı + MASAK Online'a yükleme kolaylığı. Legichain AML taraması API'si yerli + uluslararası listeleri 24/7 günceller; false-positive oranı match-grouping katmanıyla %80'e kadar azaltılır. Bankalar, PSP'ler, e-para kuruluşları ve kripto borsaları için sektörel ön-konfigürasyon hazır gelir.

Sonraki Adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

turkey-regulation

Türkiye'de Finansal Kuruluşlar için AML/KYC Uyum Rehberi

5549 Sayılı Kanun'dan KVHS Yönetmeliği'ne kadar Türk regülasyon dağarcığı dağınık ve düzenleyici otoritelerin yetki alanı sürekli kayıyor. Bu pillar rehber, banka, ödeme kuruluşu, e-para kuruluşu, yatırım kuruluşu ve kripto varlık hizmet sağlayıcısının (KVHS) uyum operasyonunu tek bir çerçevede topluyor: hangi kanun hangi otoritenin yetki alanında, raporlama süreleri, eşik tutarlar, müşteri edinim akışları ve gerçek dünyada compliance ekiplerinin saatlerini yiyen detaylar.

Yazıyı oku
turkey-regulation

SPK Uyumlu Görüntülü Kimlik Tespiti: Yatırım Kuruluşları için Rehber

SPK'nın 23.12.2021 tarih ve 65/1929 sayılı Kararı, yatırım kuruluşlarının (aracı kurumlar, portföy yönetim şirketleri) görüntülü kimlik tespiti yapabilmesinin yolunu açtı. Bu rehber teknik gereklilikleri, akış tasarımını, kayıt + saklama yükümlülüklerini ve denetimde sorgulanan konuları operasyonel detayla anlatıyor.

Yazıyı oku
turkey-regulation

Türkiye PSP ve E-Para Şirketleri için MASAK Yükümlülükleri

Türk ödeme kuruluşları ve elektronik para kuruluşları (PSP, EPK) iki katmanlı denetime tâbidir: TCMB (faaliyet ehliyeti, prudensiyel) + MASAK (AML/CFT). Bu BOFU rehber, 6493 Sayılı Kanun + 5549 Sayılı Kanun + MASAK Yönetmeliği çerçevesinde PSP ve EPK'lar için kimlik tespiti, işlem izleme, e-para limit yönetimi ve STR raporlama yükümlülüklerini operasyonel detayla anlatıyor.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun