Sermaye Piyasası Kurulu'nun (SPK) 23.12.2021 tarih ve 65/1929 sayılı Kararı, aracı kurumlar ve portföy yönetim şirketleri için fiziki imza zorunluluğunu kaldırarak SPK görüntülü kimlik tespiti rejimini yürürlüğe koydu. Karar, 2021 sonu itibarıyla bankalar için BDDK çerçevesinde zaten mümkün olan uzaktan müşteri edinimi imkânını sermaye piyasasına genişletti. Bu rehber, yatırım kuruluşları için Karar'ın teknik gereklilikleri, operasyonel akış tasarımı, kayıt yönetimi ve denetimde sorgulanan ayrıntıları ele alıyor — özellikle 2026 itibarıyla SPK denetim pratiğinde öne çıkan noktaları işaretliyor.
Karar'ın Bağlamı
2021'e kadar Türk sermaye piyasası kuruluşları müşteri edinimi için yaş tabanlı fiziki imza zorunluluğunu uygulardı. Pandemi döneminde bu kuralın esnetilmesi sektör tarafından yoğun talep edildi; SPK 23 Aralık 2021 tarihli toplantısında (Karar No. 65/1929) görüntülü kimlik tespiti rejimini onayladı. Bu Karar üç tür yatırım kuruluşunu kapsar:
- Aracı kurumlar (geniş yetkili aracı kurumlar, kısmi yetkili aracı kurumlar),
- Portföy yönetim şirketleri (PYŞ),
- Bireysel emeklilik şirketleri (BES) — belirli işlemlerde.
Karar, kimlik tespitinin nasıl yapılacağına dair teknik standartları belirler; AML/CFT içerik (yaptırım/PEP taraması, STR, risk skorlama) MASAK Yönetmeliği'nde kalır. İki çerçeve birlikte uygulanır.
Teknik Gereklilikler
SPK Kararı'nın belirlediği temel teknik gereklilikler:
1. Canlı (Senkron) Görüntülü Görüşme
Görüşme gerçek zamanlı olmak zorundadır; asenkron (önceden kaydedilmiş video) kabul edilmez. Görüşmede:
- En az iki yatırım kuruluşu personeli + müşteri katılır,
- Personelin yetkilendirilmiş kullanıcılar olduğu doğrulanır,
- Görüşme tarih, saat, katılımcı bilgisi ile loglanır.
İki personel kuralının ardındaki gerekçe: bir personelin görüşmeyi yönetmesi, ikincisinin kontrol amaçlı izlemesi. Pratikte ikinci personelin canlı olarak ekranda olması gerekmez; bağlantıda olduğunu denetlenebilir bir şekilde göstermek yeterlidir (örn. log + sonradan video erişimi).
2. Kimlik Belgesi Canlı Doğrulama
Müşterinin T.C. nüfus cüzdanı, yeni kimlik kartı veya pasaport gibi geçerli kimlik belgesini canlı olarak göstermesi ve personelin belgeyi gözle kontrol etmesi gereklidir. Belge:
- Süresi geçmemiş,
- Tahrip olmamış,
- Sahte/sahtekârlık göstergesi taşımayan,
- Müşterinin görüntüsüyle (yüz tanıma) eşleşen.
NFC çipli kimlik kartının elektronik okunması zorunlu değildir SPK kararı altında, ancak iyi uygulama olarak güçlü tavsiye edilir — özellikle sahteciliği tespit etmek için NFC chip data kontrolü temel önlemdir. Detaylar için dijital KYC rehberimize bakın.
3. Canlılık Testi (Liveness)
Müşterinin "canlı" olduğu, fotoğraf veya deepfake olmadığı teknik olarak doğrulanır. Karar belirli bir teknolojiyi zorunlu kılmaz; aktif (kullanıcıdan başını çevir, gülümse istemek) veya pasif (texture analizi, derinlik) liveness teknikleri kabul edilir.
4. Ses ve Görüntü Kalitesi
Görüşmenin ses ve görüntü kalitesi:
- Müşterinin yüzünün net seçilebilmesini sağlar,
- Belgenin yazılarının okunabilmesini sağlar,
- Ses açık ve anlaşılır olur (gerektiğinde dudak okuma için).
Pratik standart: video 720p+, ses 16kHz+. Düşük kalite kayıt sonradan denetim sırasında "tespitin tam yapılıp yapılmadığı belirsiz" değerlendirmesine yol açar.
5. Kayıt ve Saklama
Tüm görüntülü görüşme kayıt altına alınır ve 8 yıl saklanır (5549 m.7 ile uyumlu süre). Kayıt:
- Bütünlüğü garanti edilebilen formatta (örn. hash + imzalı),
- Denetim halinde erişilebilir,
- Müşterinin diğer hakları (KVKK) ile uyumlu işlenmiş.
Operasyonel Akış Tasarımı
Tipik bir SPK uyumlu görüntülü kimlik tespiti akışı şu adımlardan oluşur:
Ön Onboarding (web/mobil):
- Müşteri uygulama indirir / formu doldurur.
- Ön bilgi toplama: T.C. kimlik no, ad-soyad, doğum tarihi.
- İlk yaptırım/PEP taraması.
Belge Yükleme + NFC Okuma (opsiyonel):
- Müşteri kimlik belgesinin önyüz/arkayüz fotoğrafını yükler.
- NFC chip okuma yapılır (varsa) — belge bütünlüğü doğrulanır.
- Selfie + canlılık testi.
Görüntülü Görüşme:
- Müşteri "görüşmeye katıl" butonuna basar.
- Sistem en az 2 yetkili personeli görüşmeye atar (kuyrukta bekleyen personel).
- Personel müşteriyi karşılar; kimlik belgesini canlı olarak ister.
- Belge ile müşterinin yüzü karşılaştırılır.
- Risk profili soruları (KYC formu).
- Görüşme onaylanır veya reddedilir.
Sonrası:
- Kayıt arşivlenir (hash + imza).
- Hesap açılışı tamamlanır.
- Müşteriye bilgilendirme e-postası gönderilir.
- seviye AML izleme aktive olur.
Reddetme Senaryoları
Görüşme reddedilebilir sebepler:
- Belge tanınmıyor / şüpheli,
- Yüz tanıma eşleşmesi başarısız,
- Canlılık testi başarısız (potansiyel deepfake/fotoğraf),
- Yaptırım/PEP eşleşmesi açıklanamıyor,
- Müşterinin verdiği bilgiler tutarsız,
- Görüşme ortamı şüpheli (örneğin müşteri ekran arkasında dikte ediliyor gibi görünüyor).
Reddedilen başvuru için yine kayıt tutulur ve gerekirse MASAK'a STR raporu yapılır.
SPK Denetiminde Sorgulanan Konular
2026 itibarıyla SPK denetim pratiğinde sıklıkla sorgulanan başlıklar:
| Konu | SPK'nın sorduğu |
|---|---|
| İki personel kuralı | İkinci personel gerçekten katıldı mı? Log var mı? |
| Görüntü kalitesi | Belge yazıları okunabiliyor mu? |
| Canlılık | Aktif/pasif liveness teknolojisi nedir, kimden tedarik? |
| Reddedilen başvurular | Hangi sebeplerle reddedildi? Yüzde kaç? |
| MASAK entegrasyonu | Reddedilen başvurular için STR yapıldı mı (gerekiyorsa)? |
| Kayıt saklama | 8 yıl, bütünlük, erişim kontrolü |
| Eğitim | Görüşmeyi yapan personel görüntülü tespit eğitimi aldı mı? |
| Personel yetkilendirme | Yetki matrisi nedir? Görüşme yapabilecek personel listesi güncel mi? |
BDDK Uzaktan Müşteri Edinimi ile Farklar
SPK görüntülü kimlik tespiti ve BDDK uzaktan müşteri edinimi sıklıkla karıştırılır. Kritik farklar:
| Konu | SPK (Yatırım Kuruluşu) | BDDK (Banka, Finansman vb.) |
|---|---|---|
| Mevzuat | 23.12.2021 / 65/1929 Sayılı SPK Kararı | Uzaktan Müşteri Edinimi Yönetmeliği (1 Mayıs 2021) |
| Kapsam | Aracı kurum, PYŞ, BES (belirli işlemler) | Banka, faktoring, finansal kiralama, finansman şirketi |
| İki personel kuralı | Evet (en az 2) | Hayır (1 personel + sistem yeterli) |
| NFC zorunluluğu | Hayır (iyi uygulama) | Hayır (ama tercih) |
| Canlılık testi | Evet | Evet |
| Kayıt saklama | 8 yıl (5549) | 5 yıl + 8 yıl AML/CFT için |
| MASAK çerçevesi | Birlikte uygulanır | Birlikte uygulanır |
BDDK uzaktan müşteri edinimi rehberimiz bankalar için ayrı derinlik sağlıyor; SPK rejimi onun küçük ama önemli varyasyonudur.
Cluster 2 ile İlişki
Bu makalenin operasyonel pillar bağlantısı dijital KYC rehberimizdir — görüntülü kimlik tespiti, dijital KYC pillar'ının parçası. Ayrıca Cluster 2'deki SPK-spesifik makalemizde teknik detaylar derinleştiriliyor.
Sıkça Sorulan Sorular
SPK görüntülü kimlik tespiti sadece bireysel müşteriler için mi?
Hayır, Karar bireysel ve tüzel kişi müşterileri kapsar. Ancak tüzel kişi müşteri için ek belgeler (ticaret sicil, imza sirküleri, yönetim kurulu kararı, gerçek faydalanıcı beyanı) toplanmalı; bunlar görüşme öncesi/sonrası elektronik kanalla iletilir. Tüzel kişinin yetkili temsilcisi görüntülü görüşmeye katılır ve onun kimlik tespiti yapılır.
İki personel kuralı görüşme süresince mi geçerli?
SPK Kararı net bir "iki personelin sürekli aktif katılımı" ifadesi vermez. Pratikte: bir personel görüşmeyi yönetir, ikincisi görüşmeyi kontrol amaçlı izler veya görüşme kaydını sonradan denetler. Önemli olan iki yetkili personelin görüşmenin "doğrulanması" sürecinde rol almış olduğunun kanıtlanabilir olması (log + kayıt + checklist).
Görüntülü kimlik tespitini reddetme oranı genelde ne kadar?
Pratikten gözlem: Türk yatırım kuruluşlarında reddetme oranı %5-12 arası. Reddetme sebepleri sıralaması: belge okunamadı (%30), canlılık başarısız (%25), yüz eşleşmesi başarısız (%20), müşteri bağlantıyı kesti (%15), yaptırım/PEP açıklanamadı (%10). Reddetme oranı %15'i geçen kuruluşlar süreç tasarımında problem yaşıyordur (çoğunlukla canlılık testinin abartılı sıkı kalibrasyonu).
NFC chip okumayı yapmazsam SPK'ya karşı sorumlu olur muyum?
SPK Kararı altında NFC zorunlu değildir. Ancak NFC okuma + chip doğrulaması belge sahteciliğini tespit etmenin en güvenilir yoludur. Denetim sırasında yüksek sahtecilik oranı veya tespit edilememiş sahte belge örnekleri varsa SPK iyi uygulama eksikliği olarak yorumlayabilir. 2026 sonrası SPK rehberlerinin NFC kullanımını zorlaması olası.
Yabancı uyruklu müşteriler için süreç farklı mı?
Yabancı pasaport ile başvuran müşteriler için MRZ (Machine Readable Zone) okuma, pasaport doğrulama servisi (ICAO PKD) kontrolü ve yabancı PEP/yaptırım veritabanları (Worldcheck, Dow Jones, Refinitiv tipi) genişletilmiş tarama önerilir. SPK Kararı yabancı/yerli ayrımı yapmaz ama yüksek riskli ülkelerden gelen müşteriler için gelişmiş kimlik tespiti yapılması yönetmelik çerçevesinde zaten beklenir.
Legichain ile SPK Görüntülü Kimlik Tespiti
Legichain'in video KYC çözümü SPK 23.12.2021 / 65/1929 sayılı Kararı'na uygun olarak iki personel akışı + canlı belge doğrulama + canlılık testi + NFC chip okuma kombinasyonunu tek SDK ile sunar. Kayıt ve saklama 8 yıllık denetim izi standardında otomatik yönetilir. Aracı kurum ve portföy yönetim şirketleri için onboarding çözümümüz MASAK yaptırım/PEP taraması ile entegre çalışır; reddedilen başvurular için STR-ready dosya çıktısı verir.
Sonraki Adımlar
- Türkiye AML/KYC uyum pillar rehberi — cluster hub.
- BDDK uzaktan müşteri edinimi rehberi — bankalar için karşılaştırma.
- Dijital KYC rehberi — teknik operasyonun genel resmi.