Türk ödeme kuruluşları (PSP) ve elektronik para kuruluşları (EPK) iki katmanlı denetime tâbidir: Türkiye Cumhuriyet Merkez Bankası (TCMB) faaliyet ehliyeti ve prudensiyel kuralları yönetir; MASAK AML/CFT içeriği denetler. Bu BOFU rehber, 6493 Sayılı Kanun + 5549 Sayılı Kanun + MASAK Yönetmeliği çerçevesinde PSP ve EPK'lar için MASAK yükümlülükleri'nin operasyonel karşılığını veriyor — kimlik tespiti, e-para limit yönetimi, işlem izleme, raporlama ve denetim hazırlığı.
Sektörel Çerçeve
PSP ve EPK'lar 6493 Sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (2013) çerçevesinde faaliyet gösterir. Tarihsel önemli nokta: PSP/EPK denetimi 22 Ocak 2020 tarihinde BDDK'dan TCMB'ye geçti. Bu, hâlâ eski BDDK dönemi düzenlemelerle çalışan kuruluşların referanslarını TCMB'ye güncellemesi gereken bir geçiştir.
AML/CFT açısından çerçeve şudur:
- 6493: Faaliyet ehliyeti, prudensiyel, ödeme hizmetlerinin teknik özellikleri.
- 5549: AML/CFT çatı kanunu.
- MASAK Yönetmeliği (2008): AML/CFT operasyonel detay.
- TCMB tebliğleri: Sektör spesifik teknik düzenlemeler.
PSP/EPK her iki denetime de tâbidir: TCMB ve MASAK ayrı ayrı veya eş zamanlı inceleme yapabilir.
Kimlik Tespiti (CDD)
PSP/EPK için kimlik tespiti yükümlülüğü 5549 m.3 ve MASAK Yönetmeliği'ne tâbidir. Sektör spesifik konular:
Eşiklerin Anlamı
- Sürekli iş ilişkisi: Tutar limiti yok, kimlik tespiti zorunlu (örn. abonelik bazlı ödeme hizmeti).
- Tek seferlik işlem: 75.000 TL üzeri kimlik tespiti.
- E-para yükleme: E-para hesabına yüklenen tutar belirli eşikleri aştığında kimlik tespiti zorunlu (aşağıda).
- Sınır ötesi ödeme: Kaynak ve alıcı bilgisi taşınır (FATF Tavsiye 16 muadili).
Anonim E-Para Limitleri
Türk e-para mevzuatı anonim e-para ürünlerine sıkı limitler getirir. Tipik kurallar (pratikte takip ettiğimiz aralık):
| Ürün tipi | Yıllık yükleme limiti | Kimlik tespiti |
|---|---|---|
| Anonim ön ödemeli kart | ~1.500-2.500 TL (yıllık) | Zorunlu değil |
| Basit kimlik tespitli e-para | ~10.000-20.000 TL | Hafif kimlik bilgisi |
| Tam kimlik tespitli e-para | Limitsiz (banka düzeyi) | Tam CDD |
Eşikler MASAK ve TCMB tarafından periyodik güncellenir; güncel rakamlar için resmi yayınlar takip edilir.
Uzaktan Kimlik Tespiti
PSP/EPK BDDK Uzaktan Müşteri Edinimi Yönetmeliği kapsamında değildir (BDDK kapsamında değil) — ama benzer teknik standartları MASAK Yönetmeliği çerçevesinde uygulayabilir. TCMB rehberleri ve MASAK iyi uygulama beklentisi NFC + canlılık + görüntülü görüşme kombinasyonunu önerir. Detay için BDDK uzaktan müşteri edinimi makalemize (teknik mimari paralel) ve dijital KYC rehberimize bakın.
İşlem İzleme
PSP/EPK için işlem izleme çerçevesi diğer yükümlülere paraleldir, ancak sektör spesifik şüphe sinyalleri vardır:
PSP-Spesifik Şüphe Sinyalleri
- Hızlı in/out: Para hesaba yüklenir, anında çekilir (üçüncü partiye transfer).
- Yapısal işlemler (structuring): 75.000 TL eşiğinin hemen altında birden çok işlem.
- Coğrafi anomali: Müşteri profili dışı ülkelerden işlem.
- IP/cihaz anomalisi: Tek müşteri hesabına çok farklı cihaz/IP'den erişim.
- Üçüncü parti faydalanıcı: Hesap sahibi dışında bir kişiye sürekli transfer.
- Yüksek frekans + düşük tutar: Çok sayıda küçük işlem (kart oluşturma, kart yükleme).
EPK-Spesifik Şüphe Sinyalleri
- Anonim kart toplu yükleme: Aynı kişiden çok sayıda anonim e-para kart alımı.
- Sınır ötesi merkezleme: Yurtdışı kaynaklı yüklemelerin tek e-para hesabında toplanması.
- Atıl hesabın aniden canlanması: Aylarca kullanılmamış hesabın yüksek hacimli işlem yapması.
Pratik bir örnek: Türkiye'de orta ölçekli bir EPK günde ortalama 1.200 yeni müşteri onboarding yapıyor ve yaklaşık 80.000 günlük işlem işliyor; bunların %0.2-0.4'ü ileri tetkik gerektiren tetikleyici üretiyor. Bunun yarıdan fazlası analist tarafından açıklanıp kapatılırken, kalan yarısı eskalasyon veya STR'ye dönüşür.
Yaptırım ve PEP Taraması
PSP/EPK'nın tarayacağı listeler diğer yükümlülerin aynısıdır:
- BM, OFAC, AB, UK,
- Türk iç listeleri,
- PEP listeleri,
- Olumsuz medya.
Detay için yaptırım taraması rehberimize bakın.
PSP/EPK için yüksek hacim + düşük tutar özelliği nedeniyle "deferred screening" (işlem sonrası tarama) cazip görünebilir; ancak bu, yaptırım eşleşmesi açısından kabul edilemez bir tasarımdır. Tüm yaptırım taraması işlem öncesi (real-time) yapılmalıdır.
STR Raporlama
PSP/EPK için MASAK STR yükümlülüğü diğer yükümlülerle aynı kurallarla işler: şüphe doğduğundan itibaren 10 iş günü içinde MASAK Online sistemine iletim. Sektörde tipik STR senaryoları:
- Mixer/darknet kaynaklı yatırma şüphesi (kripto kabul eden PSP'ler için),
- Yapısal işlemlerle eşik altı tutma denemesi,
- Yaptırım eşleşmesi açıklanamayan transfer,
- Atıl hesabın aniden yüksek hacimli kullanımı,
- Müşterinin verdiği gelir/iş beyanı ile uyumsuz işlem hacmi.
STR sayısı PSP/EPK ölçeğine göre aylık 10-100 arasında değişir. Çok düşük STR sayısı (örn. 100K müşteri için ayda <5) denetim sırasında "izleme sisteminiz çalışmıyor" değerlendirmesine yol açar.
TCMB Denetimi vs MASAK Denetimi
| Konu | TCMB | MASAK |
|---|---|---|
| Yetki alanı | Faaliyet ehliyeti, prudensiyel, ödeme hizmeti teknik | AML/CFT içerik |
| Mevzuat | 6493 + tebliğler | 5549 + Yönetmelik + tebliğler |
| Denetim sıklığı | 1-2 yılda bir tam denetim | Risk bazlı, ihbar bazlı, periyodik |
| Cezalar | Faaliyet sınırlaması, idari para | İdari para, faaliyet sınırlaması, kolluk sevki |
İki otorite eş zamanlı veya birbirini takip eden denetimler yapabilir. Bulgular ayrı ayrı işlenir ancak operasyonel olarak birbirini etkiler.
Cezalar
PSP/EPK için ihlal halinde:
- MASAK idari para cezası: 200.000 TL — 1.000.000 TL+ (ihlal türüne göre, 2026 bandı).
- TCMB idari para cezası: Faaliyet sınırlaması, 6493 m.27 cezaları.
- STR yapmama: TCK m.282 ile birleşik değerlendirme, hapis cezası ihtimali.
- Sistemik ihlal: Faaliyet izninin geri alınması.
Cezalar yıllık güncellenir.
Operasyonel Hazırlık Kontrol Listesi
Bir PSP/EPK'nın MASAK + TCMB denetimine hazırlık için elinde bulundurması gerekenler:
- 6493 Sayılı Kanun çerçevesinde faaliyet izni ve şartlarına uygunluk dosyası,
- AML/CFT politika ve prosedür dokümanları,
- Uyum görevlisi atama yazısı,
- Yıllık risk değerlendirme raporu,
- Eğitim kayıtları (son 2-3 yıl),
- STR sayıları + örnek dosyalar,
- Müşteri sayısı + risk dağılımı raporu,
- Yaptırım/PEP tarama altyapısı ve sonuçları,
- Anonim e-para limit yönetim raporları,
- İşlem izleme kural seti + alarm istatistikleri,
- İç denetim raporları (bağımsız compliance audit),
- TCMB raporlama dosyaları (ödeme hizmeti istatistikleri vb.),
- IT sistemleri envanteri + bağlantı tarama,
- Üçüncü taraf hizmet sağlayıcı sözleşmeleri.
Sıkça Sorulan Sorular
PSP/EPK ile banka AML yükümlülüğü arasındaki temel fark nedir?
Çekirdek MASAK yükümlülükleri (CDD, STR, eğitim, iç kontrol) aynıdır. Farklar sektörel düzenleyici (PSP/EPK için TCMB, banka için BDDK) tarafından getirilen ek operasyonel kurallarda. Banka için BDDK Uzaktan Müşteri Edinimi Yönetmeliği bağlayıcıdır; PSP/EPK için TCMB ödeme hizmeti tebliğleri ve MASAK Yönetmeliği iyi uygulama beklentisi geçerlidir. E-para spesifik kurallar (anonim limit, yükleme limit) PSP'de yoktur ama EPK'da kritiktir.
Anonim e-para kart için kimlik tespiti gerekiyor mu?
Anonim ön ödemeli ürünlerde tutar belirli eşik altında kalırsa (~1.500-2.500 TL yıllık yükleme) tam CDD zorunlu değildir. Ancak eşik üstüne çıkıldığında basit veya tam kimlik tespiti devreye girer. Eşikler güncellenir; güncel rakamlar MASAK + TCMB yayınlarında. Anonim kart işlem hacmi düşse de kart sayısı artarsa "structuring" sinyali olarak izlenmelidir.
PSP olarak kripto kabul ediyorum, ek yükümlülük nedir?
2021 TCMB tebliği kripto varlıkların ödemede kullanılmasını yasakladığından klasik PSP'ler kripto ödeme kabul edemez. KVHS (kripto varlık hizmet sağlayıcısı) olarak ayrı bir lisans ve faaliyet çerçevesi gerekir. KVHS rejimi için KVHS Yönetmeliği rehberimize bakın. PSP'niz kripto bağlantılı bir ödeme akışı düşünüyorsa hukuki + düzenleyici danışmanlık zorunlu.
TCMB ile MASAK arasında yetki çakışması yaşar mıyım?
İki otoritenin denetim alanı örtüşür ama amacı farklıdır. TCMB faaliyet ehliyeti ve prudensiyel kurallar; MASAK AML/CFT içerik. Aynı kuruluş iki ayrı denetim geçirebilir, ayrı bulgu raporları çıkar, ayrı cezalar uygulanabilir. Pratikte iki otorite arasında bilgi paylaşımı vardır; birinden çıkan bulgu diğerini tetikleyebilir.
Uzaktan müşteri edinimi PSP/EPK için mümkün mü?
Evet, MASAK Yönetmeliği çerçevesinde uzaktan kimlik tespiti yapabilirsiniz. Teknik standartlar BDDK'nın bankalar için belirlediği standartlara paralel uygulanır (NFC + canlılık + görüntülü görüşme). TCMB ödeme hizmeti tebliğleri bazı ek koşullar getirebilir. Hukuki danışmanlık ve TCMB ile ön görüşme önerilir.
Legichain ile PSP/EPK MASAK Uyumu
Legichain'in PSP çözümü ve e-para çözümü MASAK + TCMB çerçevelerini tek platformda karşılar: NFC + görüntülü kimlik tespiti (5549 ve MASAK Yönetmeliği uyumlu), yaptırım/PEP/adverse media taraması, işlem izleme (PSP/EPK-spesifik kural seti hazır), e-para limit yönetimi, STR-ready dosya çıktısı ve audit-ready 8 yıllık saklama. Legichain AML taraması API'si ile yaptırım eşleşmelerinin %80'i match-grouping katmanıyla otomatik kapatılır; analist sadece marjinal vakaları görür. Tüm denetim izi TCMB + MASAK formatında dışa aktarılır.
Sonraki Adımlar
- Türkiye AML/KYC uyum pillar rehberi — cluster hub.
- MASAK uyumluluğu rehberi — operasyonel derinlik.
- 5549 Sayılı Kanun rehberi — kanun maddeleri.
- BDDK uzaktan müşteri edinimi — banka karşılaştırma.