Legichain

FATF Travel Rule Tam Rehberi: Kapsam, IVMS 101 ve Uygulama

Sanal varlık transferlerinde göndericisi ve alıcı bilgilerinin paylaşımını zorunlu kılan FATF Tavsiye 16'nın VASP'ler için uçtan uca uygulama rehberi.

Legichain Team 19 dakikalık okuma 26 May 2026

Sanal varlık transferleri 2019'dan bu yana FATF'in (Financial Action Task Force) radarında. Tavsiye 16 — geleneksel telli havalelerde göndericisi ve alıcı bilgilerini paylaşmayı zorunlu kılan kural — kripto transferlerine uyarlandığında ortaya Travel Rule çıktı. Bu rehber, FATF Travel Rule'un kapsamını, IVMS 101 veri standardını, sunrise problem'i ve VASP'ler için (kripto borsa, custody, OTC desk) operasyonel uygulamayı baştan sona ele alıyor.

Türkiye, AB ve UK'de düzenleme tabloları farklı hızlarda ilerliyor; o yüzden bu rehber jurisdiksiyon-bilinçli olacak şekilde yazıldı. Sonunda 8 adımlı bir entegrasyon mimarisine de değiniyoruz.

Hızlı Özet

  • Travel Rule, FATF Tavsiye 16'nın sanal varlıklara uyarlanmış halidir.
  • Eşik: FATF tavsiyesi $1.000/€1.000; jurisdiksiyon bunu uygular (AB TFR'de €0 — her transfer kapsamda).
  • Veri formatı: IVMS 101 (InterVASP Messaging Standard).
  • En büyük operasyonel zorluk: sunrise problem — bazı jurisdiksiyonlar henüz Travel Rule uygulamıyor, dolayısıyla karşı taraf VASP veri kabul/iletme yapamıyor.
  • Çözüm mantığı: protokol seçimi (TRP, OpenVASP, Sygna, TRISA), counterparty VASP keşfi, IVMS 101 mesajı oluşturma, mesajlaşma katmanı, ve sunrise fallback politikası.

1. Travel Rule nedir, nereden geliyor?

FATF, 2012'de yayımladığı Tavsiye 16'da geleneksel telli havalelerde finansal kuruluşların gönderici ve alıcı hakkında belirli verileri taşımasını şart koşmuştu. Ad, hesap numarası, adres gibi alanların transferle birlikte "seyahat etmesi" beklenir; bu nedenle Travel Rule.

Haziran 2019'da FATF, Tavsiye 16'nın yorum notlarını güncelleyerek sanal varlık hizmet sağlayıcılarını (VASP) de kapsama dahil etti. Kripto borsalar, custody sağlayıcıları, OTC desk'ler ve bazı durumlarda token ihraççıları — hepsi gönderici ve alıcı bilgilerini birbirleriyle paylaşmakla yükümlü.

Tavsiyenin yaptırım gücü olmamasına rağmen FATF üyesi yaklaşık 200 jurisdiksiyon, ulusal AML mevzuatlarını FATF Mutual Evaluation süreçlerine paralel güncelliyor. Bu nedenle Travel Rule, "tavsiye" görünümünde olsa da fiili olarak küresel bir uyum baskısı.

2. Hangi transferler kapsama girer?

Kapsam dört eksende belirlenir:

  1. Eşik: FATF $1.000/€1.000 önerir. Türkiye için henüz net rakam yok (KVHS taslağı FATF uyumunu işaret ediyor); AB için €0 (her transfer kapsamda); UK için £1.000.
  2. Transfer yönü: VASP → VASP, VASP → unhosted wallet, unhosted wallet → VASP. Unhosted (self-custody) cüzdanlar için kurallar jurisdiksiyona göre değişir; AB TFR €1.000 üstü unhosted transferlerde beneficial owner doğrulamasını zorunlu kılar.
  3. Sanal varlık tipi: Bitcoin, Ethereum gibi public chain native varlıklar standart kapsamdadır. Stablecoin'ler (USDT, USDC) için ek FATF rehberi mevcut. NFT'ler genelde kapsam dışı; ancak fungible-benzeri davranış varsa kapsama alınır.
  4. Coğrafi: Travel Rule göndericisi ve alıcının yerleşik olduğu jurisdiksiyonlardaki yerel mevzuata tabidir. İki tarafın da uygulayıp uygulamadığı sunrise problem'in kalbinde.

3. IVMS 101 — Veri standardı

IVMS 101 veri standardı detay rehberimizde gördüğümüz üzere, Joint Working Group on InterVASP Messaging Standards 2020'de IVMS 101'i yayımladı. Standart, Travel Rule mesajının anatomisini iki ana objede tanımlar:

  • Originator (gönderici): isim, hesap numarası (cüzdan adresi veya internal ID), adres, doğum tarihi/yeri, ulusal kimlik numarası, müşteri tanımlayıcı, vb.
  • Beneficiary (alıcı): isim, hesap numarası, opsiyonel olarak adres ve diğer kimlik bilgileri.

Standartlaştırılmış alanlar naturalPerson (gerçek kişi) ve legalPerson (tüzel kişi) için ayrı yapılarda; doğum yeri, ulusal kimlik tipi (IDCard, DriverLicense, Passport, vb.), adresin geographic addressType'ı gibi tüm yumuşak yerler kontrollü kelime listeleriyle (controlled vocabularies) standartlaştırılır.

IVMS 101 sadece veri şemasıdır; mesajın nasıl taşınacağı (transport) ayrı bir mesele. Burada Travel Rule protokolleri devreye girer.

4. Travel Rule protokolleri — Kim, ne, nasıl?

Karşı VASP'a IVMS 101 mesajı taşımanın standart bir taşıyıcısı yok. Sektör birden fazla protokol etrafında konsolide olmaya çalıştı:

  • TRP (Travel Rule Protocol): Standards Setting Body olarak konumlanmış, REST-tabanlı, basit. Bazı büyük borsalar tercih ediyor.
  • OpenVASP: Ethereum tabanlı, mesajlaşma decentralized. Daha az adopsiyon.
  • Sygna Bridge / Sygna Hub: Asya merkezli, ticari ürün katmanı güçlü.
  • TRISA (Travel Rule Information Sharing Architecture): Açık kaynak, mTLS sertifika tabanlı VASP kimlik doğrulaması. ABD odaklı ama küresel adopsiyonu büyüyor.
  • Notabene, Sumsub Travel Rule, Veriscope, vb.: Saf protokol değil, çoklu protokol ve directory katmanı sunan ticari ürünler.

Pratikte bir VASP'in tek bir protokole bağlı kalması yetersiz — counterparty keşfi sırasında karşıdakinin hangi protokolü konuştuğunu öğrenip ona göre rota seçmek gerekir. Çoğu modern Travel Rule altyapısı bu nedenle multi-protocol orchestration sunar.

5. Sunrise Problem — Neden hâlâ var, nasıl yönetilir?

Sunrise problem'i ayrı bir rehberde detaylandırıyoruz, ama özet: FATF tavsiye yayınlasa da her jurisdiksiyon farklı hızda uygulamaya geçiyor. Türk borsa A şirketi, ABD'de regüle bir borsaya transfer yaparken karşıdaki VASP Travel Rule verisini kabul edip işleyebiliyor; aynı transferi Doğu Avrupa'da henüz regüle olmamış bir borsaya yaptığında karşı tarafın IVMS 101'i kabul edecek altyapısı yok.

İki ana fallback stratejisi:

  1. Risk-bazlı bekletme/red politikası: Karşı VASP Travel Rule verisi kabul edemiyorsa transferin tamamlanmasını engelleyici işleme alma. Müşteri kaybı yüksek.
  2. Veri saklama + audit trail: IVMS 101 mesajını üret, sakla, karşı taraf altyapı kurana kadar bekletme süresini izle. AB TFR'in tercih ettiği yaklaşıma yakın.

Pratikte borsa-borsa transferlerin %20-40'ı sunrise gap jurisdiksiyonlarında olabilir; politika kararı doğrudan müşteri deneyimini etkiler.

6. Jurisdiksiyon farkları — TR, AB, UK

Travel Rule jurisdiksiyon karşılaştırması detaylı tabloyu içeriyor; özet:

Boyut Türkiye AB (TFR) UK
Eşik Henüz net (KVHS taslağı FATF uyumunu işaret ediyor) €0 (her transfer) £1.000
Yürürlük KVHS düzenlemesi süreç içinde 30 Aralık 2024 Eylül 2023 (MLR 2017 değişikliği)
Unhosted wallet Düzenleme netleşmedi €1.000 üstü beneficial owner doğrulaması Risk-bazlı, JMLSG rehberi
Yetkili otorite MASAK EBA + ulusal otoriteler FCA

Türkiye için yakın takip edilecek nokta KVHS (Kripto Varlık Hizmet Sağlayıcı) düzenlemesi. AB için TFR detayı, UK için JMLSG Travel Rule rehberi konuya derinleşmek için faydalı.

7. VASP nedir, kapsam içinde kim var?

VASP tanımı ve kategoriler rehberimiz yapısal sınıflandırmayı veriyor. Travel Rule kapsamında VASP olarak değerlendirilen kuruluşlar:

  • Kripto borsalar (centralized — Binance, Coinbase, BTC Turk tipi).
  • Custody hizmeti veren bankalar/fintech'ler.
  • OTC trading desks.
  • Belirli stablecoin ihraççıları (FATF rehberi son güncellemesinde kapsamı genişletti).
  • Bazı DeFi protokol operatörleri (FATF "kontrol/yönetim sahibi" testi geçerse).

Yalın self-custody cüzdan sağlayıcıları, blockchain ağ operatörleri ve miner'lar tipik olarak kapsam dışıdır.

8. Uygulama mimarisi — 8 adımlı blueprint

Travel Rule entegrasyon how-to rehberi tam adım adım anlatımı içeriyor. Burada özet:

  1. Protokol seçimi: TRP/Sygna/OpenVASP/TRISA — pazara göre çoklu seç.
  2. Counterparty VASP keşfi: Directory hizmeti (Notabene, Sumsub vb.) entegre et.
  3. IVMS 101 mapping: Müşteri verilerini (KYC store'undan) IVMS 101 alanlarına eşle.
  4. Pre-transfer check: Transfer öncesi alıcı VASP'in Travel Rule capability'sini sorgula.
  5. Mesaj iletimi: Seçilen protokol üzerinden mesajı gönder; karşı tarafın onay/red yanıtını bekle.
  6. Sunrise fallback: Karşı taraf yanıt veremezse politika devreye alınır (bekletme/saklama/red).
  7. Audit log + monitoring: Her mesaj, yanıt ve karar için zaman damgalı kayıt.
  8. Reporting: Regülatör (TR'de MASAK, UK'de FCA) için periyodik raporlama formatı hazır olsun.

9. Travel Rule ve diğer AML kontrolleri ilişkisi

Travel Rule tek başına AML uyumunu çözmez. Blockchain AML rehberimizde ele aldığımız on-chain risk skorlaması (mixer, darknet, sanctions etiketleri) Travel Rule veri akışıyla birleştiğinde tam koruma sağlar:

  • Travel Rule müşteri kimlik verisini taşır (kim).
  • Blockchain AML cüzdanın geçmiş davranışını ölçer (geçmişte ne yaptı).
  • AML/yaptırım taraması müşteri ismini listelerle karşılaştırır (sanksiyonda mı).

Üçü ayrı sistem olduğunda operasyon parçalanır; tek API katmanı altında konsolide edildiğinde analist verimi 3-5x artar.

10. Operasyonel KPI'lar — Travel Rule programını nasıl ölçersiniz?

Realistic bir Türk borsa için aylık metrikler:

  • Travel Rule kapsamına giren transfer oranı: borsa-borsa transferlerin %60-80'i.
  • IVMS 101 mesaj başarı oranı: hedef %95+ (counterparty altyapısına bağlı).
  • Sunrise gap oranı: counterparty VASP'lerin %20-40'ı.
  • Ortalama mesaj cevap süresi: <500ms (TRP/TRISA için tipik).
  • Manuel inceleme tetikleyici oran: <%5.

Bu metrikler hem regülatör raporlamada hem de altyapı kapasitesi planlamasında önemli.

Sıkça Sorulan Sorular

Travel Rule sadece kripto borsalar için mi geçerli?

Hayır. FATF Tavsiye 16, sanal varlık hizmet sağlayıcılarının tamamını kapsar — bu, custody hizmeti veren bankaları, OTC desk'leri, stablecoin ihraççılarını ve belirli DeFi protokol operatörlerini de içerir. Self-custody cüzdan sağlayıcıları (örn. MetaMask kendi başına) ve blockchain ağ operatörleri tipik olarak kapsam dışıdır, ama AB TFR gibi bazı jurisdiksiyonlar unhosted (self-custody) cüzdanlara yapılan transferlerde bile beneficial owner doğrulaması istiyor.

Travel Rule mesajı göndermek için karşı VASP'in onayına ihtiyacım var mı?

Teknik olarak hayır — IVMS 101 mesajını üretip iletim için protokole sokabilirsiniz. Ama karşı taraf protokolü desteklemiyorsa (sunrise problem) mesaj iletilemez veya işlenmez. Bu yüzden iyi tasarlanmış sistemler transfer öncesi counterparty capability check yapar: alıcı VASP'in hangi protokolleri desteklediğini directory hizmetinden sorgular, uygun rota varsa transferi başlatır, yoksa fallback politikası devreye girer.

IVMS 101 zorunlu mu, başka bir veri formatı kullanabilir miyim?

IVMS 101 endüstri standardıdır ama jurisdiksiyon zorunlu kılmaz — yani teknik olarak başka format da kullanabilirsiniz. Ama interoperability açısından son derece pratik tek seçenek IVMS 101'dir; küresel olarak kullanılan tüm Travel Rule protokolleri IVMS 101'i taşır. Özel format seçmek karşı VASP'lerle her zaman çeviri katmanı kurmak demek — operasyonel maliyet katlanır.

Türkiye'de Travel Rule yükümlülüğü var mı?

Türkiye'de doğrudan "Travel Rule" diye bir yönetmelik henüz yayımlanmadı, ancak KVHS taslağı FATF uyumunu açıkça referans alıyor. SPK ve MASAK düzenleyici çerçeveyi 2025-2026 sürecinde netleştirme yolunda. Türk borsalar için pratik öneri: altyapıyı şimdiden hazırlayın — çünkü AB ve UK pazarlarına yapılan transferlerde karşı VASP'ler zaten Travel Rule verisi bekliyor. Uygulamanız hazır değilse yurtdışına çıkışlarda transferler bloklanır veya iade edilir.

Sunrise problem ne kadar sürede çözülecek?

Optimistic tahmin 2-3 yıl. FATF her yıl Mutual Evaluation raporlarıyla baskıyı artırıyor; 2024-2026 arasında AB ve UK gibi öncü jurisdiksiyonlar uygulamayı sıkılaştırdıkça diğerleri ya kapsama girecek ya da AB/UK piyasasından dışlanacak. Pratik gerçek: 2027'ye kadar sunrise gap %10'un altına inmeyebilir. Bu nedenle altyapınızın fallback politikası tasarımı en az ana entegrasyon kadar kritik.

Legichain ile

Legichain'in Travel Rule altyapısı yukarıdaki 8 adımın tamamını tek API katmanı altında çözüyor: TRP, Sygna ve TRISA'ya uçtan uca destek, counterparty VASP directory entegrasyonu (Notabene + kendi directory'imiz), IVMS 101 mapping için mevcut KYC store'unuza otomatik bağlantı, sunrise fallback politikası (bekletme/saklama/red) için yapılandırılabilir engine ve MASAK/FCA raporlama formatı hazır. Mevcut altyapımızın üzerine blockchain AML ve AML/yaptırım taraması modülleri eklenebilir; Travel Rule + on-chain risk + sanksiyon kontrolünü tek çağrıda yapabilirsiniz. /travel-rule sayfasında teknik dokümantasyon, mimari diyagramlar ve sandbox erişimi mevcut.

Sonraki adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

travel-rule

VASP (Sanal Varlık Hizmet Sağlayıcısı) Nedir, Yükümlülükleri Neler?

FATF'in 2018'de tanımladığı VASP kavramı bugün küresel kripto regülasyonunun temel yapı taşı. Bu makale VASP'in resmi tanımını, beş faaliyet kategorisini, getirdiği AML/KYC ve Travel Rule yükümlülüklerini, Türkiye'deki KVHS karşılığını ve borsa/custody/OTC operasyonları için pratik kapsam analizini ele alıyor.

Yazıyı oku
travel-rule

Türkiye, AB ve UK Travel Rule Karşılaştırması

Travel Rule küresel bir standart ama uygulama jurisdiksiyondan jurisdiksiyona farklı. Bu rehber Türkiye'nin KVHS taslağı, AB'nin TFR'si (Aralık 2024 yürürlük, €0 eşik) ve UK'nın MLR 2017 değişikliği (Eylül 2023, £1.000 eşik) arasındaki yapısal farkları karşılaştırıyor. Üç pazarda da operasyonel olmayı planlayan VASP'ler için kararsal bir hub makalesi.

Yazıyı oku
travel-rule

Travel Rule Sunrise Problem: Çözüm Stratejileri

Sunrise problem, FATF Travel Rule'un dünya genelinde aynı hızda uygulanmaması nedeniyle ortaya çıkan operasyonel boşluktur. Bu makale problem'in nedenlerini, jurisdiksiyon haritasını, üç ana fallback stratejisini (red, bekletme, saklama), gerçek dünya gap oranlarını ve yakın dönem trendini ele alıyor — özellikle Türk borsalar ve EU/UK ile transfer akışı olan VASP'ler için.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun