Politik nüfuz sahibi kişi (Politically Exposed Person — PEP), önemli bir kamu görevi tutan ya da yakın geçmişte tutmuş olan kişi, ve bu kişinin yakın aile ferdi veya iş ortağıdır. PEP olmak başlı başına suç ya da yasak değildir; ancak yüksek AML riski taşır ve Enhanced Due Diligence (EDD) — sıkı müşteri tanımlama — gerektirir. Bu yazı PEP tanımının kapsamını, Türkiye, AB ve FATF çerçevelerini, ve bir banka veya fintech'in PEP tarama akışını pratik düzeyde açıklar.
PEP Tanımı: Üç Kategori
Uluslararası standart (FATF Recommendation 12, AMLD5 Article 3(9)) PEP'leri üç kategoriye ayırır:
Yabancı PEP'ler. Türkiye dışındaki bir devlette önemli kamu görevi tutan kişiler — devlet ya da hükümet başkanları, üst düzey siyasiler, üst düzey yargı/asker yetkilileri, kamu iktisadi teşebbüsü yöneticileri, önemli siyasi parti yetkilileri. AML uygulamasında risk eşiği yabancı PEP'ler için en yüksektir; her durumda EDD zorunlu.
Yerli (Domestic) PEP'ler. Türkiye'de aynı görevleri tutan kişiler. Risk eşiği yerel kamu yönetim ortamına göre kalibre edilir; MASAK 5 No'lu Tebliği yerli PEP'leri "müşteri risk profili çerçevesinde değerlendirilir" şeklinde tarif eder, otomatik yüksek risk değil. Yerli PEP'lere risk-bazlı yaklaşım önerilir.
Uluslararası organizasyon PEP'leri. BM, IMF, Dünya Bankası, AB Komisyonu, Dünya Sağlık Örgütü gibi uluslararası kuruluşların yönetim kadrosu. Yabancı PEP ile aynı risk eşiğinde tutulur.
Yakın Aile ve İş Ortağı (RCAs)
PEP'in yakın aile ferdi (eş, çocuk, anne-baba, eşin anne-babası) ve yakın iş ortağı (Reputationally Connected Associates — RCAs) da PEP statüsünde kabul edilir. Bunun mantığı: PEP'in fonu yakın çevre üzerinden hareket edebilir.
Yakın aile ve iş ortağı tanımının somut sınırı jurisdiction'a göre değişir. AB AMLD5'te (Article 3(10)-(11)) ayrıntılı tanım vardır; Türkiye'de MASAK 5 No'lu Tebliği yakın aile ferdi kapsamını eş, çocuk, eşin anne-babası şeklinde daraltır.
Türkiye'de PEP Tanımı: 5549 ve MASAK
Türkiye'de PEP tanımının yasal çerçevesi 5549 sayılı Kanun'un 7. maddesi ve MASAK 5 No'lu Tebliği'nde yer alır. Önemli görev tanımı: cumhurbaşkanı, bakanlar, milletvekilleri, üst düzey yargı mensupları, üst düzey askeri personel, kamu kurum başkanları, kamu iktisadi teşebbüsü yönetim kurulu üyeleri, büyükelçiler ve başkonsoloslar, siyasi parti genel başkanları ve genel başkan yardımcıları.
5549 sayılı Kanun yerli PEP'leri yabancı PEP'lerden ayırır; yabancı PEP için EDD otomatik, yerli PEP için risk-bazlı değerlendirme. PEP statüsü görevden ayrılma sonrası genelde 12 ay devam eder (FATF rehberi), ancak çoğu Türk bankası daha uzun süre PEP işaretini tutmayı tercih eder (3-5 yıl).
MASAK uyumluluğu rehberimizde yükümlülükleri sektör bazında daha detaylı inceledik.
PEP Risk: Neden Bu Kadar Önemli?
İstatistiksel olarak PEP'lerin yolsuzluk, rüşvet veya devlet ihalesi suistimali ile bağlantılı oranı ortalama bir müşteriden anlamlı şekilde yüksektir. Wolfsberg Group'un PEP rehberi, Transparency International raporları, FATF tipoloji raporları bu istatistiği destekler.
Pratik AML perspektifinden riskler:
- Fon kaynağı belirsizliği. PEP'in beyan ettiği gelir ile hesap hareketleri arasında dengesizlik kara para göstergesi olabilir.
- Karmaşık şirket yapıları. Offshore şirketler, vekil hissedarlar, layered ownership — PEP'in gerçek malvarlığını gizleme yöntemleri.
- Karşı taraf riski. PEP'in iş ortakları arasında riskli ülke vatandaşları veya yaptırım listesindeki kişiler olabilir.
- Reputational risk. PEP müşteri ileride yolsuzluk suçlamasıyla anılırsa, finansal kuruluş itibarsızlık riski taşır.
Bu nedenle PEP onboarding'inden hesap kapanışına kadar tüm yaşam döngüsünde sıkı izleme uygulanır.
Enhanced Due Diligence (EDD): Ne Yapılmalı?
PEP statüsü onaylanan müşteri için EDD adımları:
- Üst yönetim onayı. Hesap açma kararı normal akıştan farklı; compliance birimi ve gerektiğinde yönetim kurulu üyesi seviyesinde onay alınır. 5549 sayılı Kanun'un 18. maddesi bu onay yükümlülüğünü düzenler.
- Fon kaynağı tespiti (Source of Funds). Müşterinin fonunun nereden geldiği kanıtlı şekilde belgelenir (maaş bordrosu, satış sözleşmesi, miras belgesi vb.). Bu sadece kimlik doğrulama değil — fonun ekonomik gerekçesi.
- Servet kaynağı tespiti (Source of Wealth). Toplam serveti nasıl edindi? Müşterinin kariyer geçmişi, varlık yapısı dökümü, vergi beyannamelerine dayalı analiz.
- Yakın izleme. Hesap hareketleri sürekli izlenir; normal müşteriden farklı eşikler ve davranış kuralları tanımlanır. Anomali algoritması hassasiyeti artırılır.
- Periyodik review. Yıllık (yüksek riskli PEP için 6 aylık) review ile PEP statüsü, kullanım profili, varlık değişimi yeniden değerlendirilir.
- Adverse media takibi. Adverse media taraması PEP için günlük çalıştırılır — yolsuzluk soruşturması haberi anında compliance birimine geçer.
PEP Tarama Operasyonu: Pratik Akış
Onboarding'de
Müşteri başvuru anında PEP veritabanına sorgu atılır. Ad, soyad, doğum tarihi, uyruğu temel sorgu. Bir eşleşme dönerse:
- Yüksek skor (≥90): Olası PEP eşleşmesi. Manuel review tetiklenir, EDD süreci başlar.
- Orta skor (75-90): Belirsiz. Ek bilgi (doğum yeri, kimlik no) ile disambiguate edilir.
- Düşük skor (<75): Otomatik elenir; loglara yazılır.
Yaşam Boyu Tarama
Müşteri portföyü periyodik olarak güncel PEP veritabanına karşı tekrar taranır. Bir kişi onboarding sırasında PEP değildi ama 3 yıl sonra bakan oldu — sistem bunu yakalayıp PEP statüsüne almalı. Pratik sıklık: haftalık tam tarama + günlük delta.
Görevden Ayrılma Sonrası
Eski PEP (ex-PEP) statüsü FATF rehberinde 12 ay önerilir, AMLD5 Article 22 aynı süreyi belirler. Bu süre sonunda risk değerlendirmesi yapılır; risk düşükse normal müşteri statüsüne dönülebilir. Çoğu Türk bankası operasyonel sadelik için bu süreyi 24-60 ay arası uzatır.
PEP Onboarding: Pratik Adımlar
Yeni başvurusu PEP olarak işaretlenen bir müşteri için tipik onboarding akışı:
- Eşleşme analist incelemesi. Tier-2 analist eşleşmenin gerçek olduğunu doğrular (doğum tarihi, doğum yeri, kimlik no eşleşmesi). Yanlış eşleşmeyse false positive olarak kapatır, akış normal CDD'ye döner.
- PEP kategorisi tespiti. Yabancı PEP mi, yerli PEP mi, uluslararası organizasyon PEP'i mi, yoksa RCA (yakın aile/iş ortağı) mı? Kategori EDD yoğunluğunu belirler.
- Üst yönetim onayı. Compliance birim veya MLRO seviyesinde onay süreci. Bazı bankalar yabancı PEP için yönetim kurulu seviyesinde onay ister.
- Source of Funds (SoF) belgesi. Müşteriden ilk yatırılacak fonun kaynağı belgelendirilir. Maaş, satış sözleşmesi, miras belgesi, gayrimenkul satışı tapusu, vb.
- Source of Wealth (SoW) profili. Müşterinin toplam serveti nasıl edindi? Kariyer geçmişi, varlık dökümü, yıllık beyanname (varsa).
- EDD anketi. PEP-spesifik bilgi formu — şu anki ve önceki kamu görevleri, görev süreleri, ilişkili tüzel kişilikler, yakın aile bilgileri.
- Adverse media derinlemesine arama. Müşteri ile ilgili olumsuz haber, yolsuzluk soruşturması, basın araştırması taranır.
- Risk seviyesi atama. Toplanan bilgi sonrası müşteriye risk seviyesi atanır (genelde "yüksek" veya "çok yüksek").
- Sürekli izleme planı. Hangi sıklıkta review yapılacak, hangi anomali eşikleri uygulanacak, hangi adverse media kategorileri günlük taranacak.
- Müşteri tanıma dokümantasyonu. Tüm karar süreci ve toplanan belgeler 5549 sayılı Kanun gereği 8 yıl saklanır.
Tüm sürecin tipik süresi: 1-3 hafta (yabancı PEP için daha uzun). Bu yüzden PEP müşteri kabulü her bankada acele süreç değil, dikkatli iş akışıdır.
PEP Veritabanı Kaynakları
Üç tip kaynak:
- Liste sağlayıcıları (Dow Jones, Refinitiv, LexisNexis WorldCompliance). En kapsamlı veri seti, küresel kapsam, alias zenginleştirmesi. Lisans maliyeti yıllık 6-7 haneli USD.
- Açık kaynak (Wikipedia, hükümet web siteleri). Eksik, güncelliği düşük, ama maliyetsiz. Birincil kaynak olarak yetersiz, doğrulama için kullanılabilir.
- In-house derleme. Belirli bir pazara (örn. Türkiye yerel kamu görevlileri) odaklı kendi veritabanınız. Yerel sağlayıcıların kapsamadığı ya da güncel olmadığı yerel pozisyonlar için tamamlayıcı.
Türk fintech'leri için pratik öneri: vendor + Türkiye odaklı yerel ek liste. Vendor küresel ve büyük yabancı PEP'leri yakalar; yerel ek liste alt-kademe Türk kamu görevlilerini.
PEP Eşleşmesinde False Positive: Neden Bu Kadar Yüksek?
PEP listelerinde yaygın isimler (örn. "Mehmet Yılmaz", "John Smith", "Mohammed Hassan") çok sayıda. Sizin müşteri portföyünüzde de bu isimler yaygın. Sadece isim üzerinden eşleşme sayısı şişer.
Yaygın azaltma yöntemleri:
- Doğum tarihi karşılaştırması. PEP veritabanında DOB varsa, ±2 yıl tolerans ile karşılaştır. Eşleşmeyenleri ele.
- Uyruğu eşleştirme. "Türk vatandaşı" sorgusu sadece Türk PEP'leri ile karşılaştırılır; Endonezya PEP'i otomatik elenir.
- Pozisyon-tabanlı önceliklendirme. Daha üst pozisyon (cumhurbaşkanı, bakan) eşleşmesi daha yüksek skor; alt-kademe (belediye meclis üyesi) daha düşük.
- Match grouping. Aynı müşteri için aynı yanlış PEP eşleşmesi her hafta tekrar review'a düşmesin; bir kez "elenmiş" işaretlendiğinde otomatik filtrele.
False positive nasıl azaltılır rehberimiz bu teknikleri detaylı anlatır.
Sıkça Sorulan Sorular
PEP listelerinde olmak suç mu?
Hayır. PEP statüsü bir risk işaretidir, suç değildir. Yasal olarak görev tutan herkes PEP'tir; bunun ne yasallık ne ahlaklılık değerlendirmesi vardır. AML perspektifinden fark: PEP müşteri için standart Customer Due Diligence yerine Enhanced Due Diligence uygulanır.
Eski PEP statüsü ne kadar sürer?
FATF rehberi ve AMLD5 Article 22 görevden ayrılma sonrası 12 ay PEP statüsünün devam etmesini öneriyor. Türkiye'de MASAK 5 No'lu Tebliği aynı çerçevededir. Süre sonunda risk değerlendirmesi yapılır; düşük risk doğrulanırsa normal müşteri statüsüne dönülebilir. Operasyonel pratikte çoğu kuruluş daha uzun (24-60 ay) tutar.
Yerli PEP ile yabancı PEP arasında uygulama farkı ne?
Yabancı PEP'ler için EDD otomatik ve zorunludur. Yerli PEP'ler için MASAK 5 No'lu Tebliği "müşteri risk profili çerçevesinde değerlendirme" der — yani risk-bazlı yaklaşım uygulanır. Yerli düşük-kademeli kamu görevlisi için standart CDD yeterli olabilir, üst-kademeli için yabancı PEP düzeyinde EDD. AB AMLD5 ise yerli/yabancı ayrımını formal olarak yapmıyor; tüm PEP'lere EDD.
Müşteri PEP olduğunu söylemiyorsa kim sorumlu?
Finansal kuruluş sorumludur. 5549 sayılı Kanun yükümlüye "müşterinin gerçek profilini tespit etme" yükümlülüğü yükler. Müşterinin beyanı yetersiz; PEP veritabanı taraması, açık kaynak araştırması, ek soru sorma gerekir. Müşteri PEP statüsünü gizlemişse bu sonradan tespit edildiğinde hesap kapatma + STR raporlama tetiklenir.
KOBİ banka için PEP taraması zor mu?
Hayır. Vendor PEP veritabanları (Dow Jones, Refinitiv, ve Legichain dahil çözümler) PEP taramasını tek API çağrısı ile sağlar. Asıl operasyonel yük EDD'nin kendisidir — fon kaynağı belgelendirme, yakın izleme, periyodik review. Bunlar manuel iş gerektirir; aylık 5-15 yeni PEP onboarding'i olan bir banka için bir compliance analisti yetebilir.
Legichain ile PEP Taraması
Legichain AML tarama API'si PEP taramasını yaptırım ve adverse media taramasıyla aynı endpoint üzerinden sunar. PEP veritabanımız küresel (Dow Jones tabanlı temel veri) + Türkiye odaklı ek katman (yerel kamu görevlileri, siyasi parti yönetimi, KİT yönetimleri) içerir. Yakın aile ve iş ortağı (RCA) ilişkileri ayrı ayrı işaretlenir; sadece PEP'in kendisi değil çevresinin de risk değerlendirmesi yapılır.
Match grouping ile aynı müşteri için tekrarlayan yanlış eşleşmeler otomatik kapanır; bir banka müşterimizde PEP eşleşme review yükü %68 azaldı. Adverse media takibi PEP müşterilerinde günlük çalıştırılır — yolsuzluk soruşturma haberi 4-6 saat içinde compliance dashboard'a düşer.