Türkiye'de regüle bir finansal kuruluş işletmek, dört ayrı otoritenin (MASAK, SPK, BDDK, TCMB) birbirini örten yetki alanlarını, sürekli güncellenen ikincil mevzuatı ve raporlama formatlarını eş zamanlı yönetmek demek. Bu rehber, banka, ödeme kuruluşu, e-para kuruluşu, yatırım kuruluşu ve kripto varlık hizmet sağlayıcısı (KVHS) compliance ekiplerinin gerçekten kullanacağı bir referans olarak hazırlandı. 5549 Sayılı Kanun'un temel mantığından KVHS Yönetmeliği'nin Mart 2025 SPK devrine, MASAK'ın STR formatından BDDK uzaktan müşteri edinimi denetimine kadar her şeyi tek çatı altında topluyor — ve Türkiye AML uyum rehberi ararken aslında ne bulmanız gerektiğini, hangi maddenin hangi yükümlülüğü doğurduğunu somut örneklerle gösteriyor.
Hızlı Özet
- Temel Kanun: 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (11 Ekim 2006, RG: 26323).
- Birincil otorite: MASAK — Mali Suçları Araştırma Kurulu (Hazine ve Maliye Bakanlığı'na bağlı).
- Sektörel düzenleyiciler: SPK (yatırım kuruluşları, KVHS), BDDK (bankalar, finansal kiralama, faktoring), TCMB (PSP/e-para).
- STR süresi: Şüpheli işlem fark edildikten itibaren 10 iş günü içinde MASAK'a iletilir.
- Müşteri edinimi: BDDK Uzaktan Müşteri Edinimi Yönetmeliği (1 Mayıs 2021), SPK'nın 23.12.2021 tarih ve 65/1929 sayılı Kararı (görüntülü kimlik tespiti).
- Kripto: 7518 Sayılı Kanun (21 Mayıs 2024) ile SPK denetimi; ikincil KVHS Yönetmeliği Mart 2025'ten itibaren yürürlükte.
1. Türkiye'de AML/KYC Regülasyon Mimarisi
Türk AML/KYC çerçevesi tek bir mevzuat değil, dört katmanlı bir yapıdır:
- Çatı kanun: 5549 Sayılı Kanun — tüm yükümlülerin temel ödevlerini tanımlar (müşteri tanıma, raporlama, eğitim, iç kontrol).
- Çatı yönetmelik: Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (2008) — Kanun'un nasıl uygulanacağını açıklar.
- Sektörel düzenlemeler: BDDK (bankacılık), SPK (sermaye piyasası ve son olarak KVHS), TCMB (ödeme sistemleri ve e-para), MASAK (genel rehberler ve tebliğler).
- Otorite rehberleri: MASAK rehberleri, BDDK iyi uygulama kılavuzları, SPK görüşleri — bağlayıcı olmayan ama denetimde fiilen referans alınan dokümanlar.
Yükümlü olduğunuz kategori, hangi yönetmeliğin/tebliğin sizin için bağlayıcı olduğunu belirler. Bir banka 5549'un yanı sıra BDDK Uzaktan Müşteri Edinimi Yönetmeliği'ne; bir kripto borsası ise SPK'nın KVHS Yönetmeliği'ne; bir e-para kuruluşu 6493 Sayılı Kanun'a + MASAK Yönetmeliği'ne tâbidir. Tek bir mevzuat haritası tüm sektörü kapsamaz.
2. MASAK: Türkiye'nin AML Otoritesi
Mali Suçları Araştırma Kurulu (MASAK), Hazine ve Maliye Bakanlığı'na bağlı, 5549 Sayılı Kanun'un öngördüğü tüm yükümlülerin denetim ve raporlama muhatabı olan kurumdur. MASAK'ın üç temel işlevi vardır:
- Yükümlü denetimi: Yerinde inceleme, bilgi talebi, idari para cezası uygulama.
- Mali istihbarat birimi (FIU): STR (Şüpheli İşlem Raporu) toplama, analiz, kolluk birimlerine sevk.
- Standart belirleme: Tebliğler, genel yazılar, rehberler.
MASAK Yükümlülüklerinin Çekirdeği
Her yükümlünün asgari yapması gerekenler:
| Yükümlülük | Mevzuat referansı | Pratik karşılık |
|---|---|---|
| Müşteri tanıma (CDD) | 5549 m.3, Yönetmelik m.5-25 | Kimlik tespiti + risk profili + sürekli takip |
| Şüpheli işlem raporlama (STR) | 5549 m.4 | 10 iş günü içinde MASAK Online (Tarihsel Online) sistemi |
| Saklama yükümlülüğü | 5549 m.7 | Belge ve kayıtlar 8 yıl saklanır |
| Eğitim | Yönetmelik m.27 | Tüm personel + yenileme |
| Uyum görevlisi atama | Tebliğ Sıra No. 13 | Belirli ölçek üstü yükümlüler için |
| İç denetim ve risk yönetimi | Tebliğ Sıra No. 13 | Yazılı politika + yıllık değerlendirme |
Detaylar için MASAK uyumluluğu rehberimize bakın.
Eşik Tutarlar
MASAK eşikleri zaman içinde güncellenir; 2026 itibarıyla pratikte takip ettiğimiz başlıklar:
- Sürekli iş ilişkisi: Kimlik tespiti zorunlu (tutar limiti yok).
- Tek seferlik işlemler: 75.000 TL üzeri kimlik tespiti zorunlu.
- Elektronik transferler: Sınır ötesi gönderim/alımda kaynak ve alıcı bilgisi taşınır.
- Yüksek riskli ülkeler: FATF "gri liste" ve "kara liste" ülkelerine yönelik ek tedbirler.
Eşikler resmi olarak güncellendiğinde MASAK'ın resmi sitesinde yayınlanır; mevzuat takibinde MASAK'ın resmi sayfası birinci kaynaktır.
3. 5549 Sayılı Kanun: Çatı Kanun
5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun, 11 Ekim 2006 tarihinde Resmi Gazete'de (sayı 26323) yayımlandı. Türkiye'nin AML çerçevesinin temelini oluşturur. Üç kritik kavramı tanımlar:
- Yükümlü: Bankalar, ödeme kuruluşları, e-para kuruluşları, yatırım kuruluşları, sigorta şirketleri, KVHS'ler, döviz büfeleri, kıymetli maden aracıları, avukatlar (belirli işlemlerde), serbest muhasebeci mali müşavirler, gayrimenkul aracıları ve diğerleri.
- Şüpheli işlem: Yükümlünün, yapılması talep edilen veya gerçekleştirilen işlemin suç gelirinin aklanması veya terörün finansmanı amacıyla yapıldığına dair şüphe duyduğu işlem.
- Müşteri tanıma: Kimlik tespiti, gerçek faydalanıcı tespiti, iş ilişkisinin amacı, sürekli takip.
Kanun'un detaylı incelemesi için 5549 Sayılı Kanun rehberimize bakın.
4. SPK: Yatırım Kuruluşları ve KVHS
Sermaye Piyasası Kurulu (SPK), iki ayrı yetki alanını yönetir:
4.1 Yatırım Kuruluşları (Aracı Kurumlar, PYŞ)
SPK'nın 23.12.2021 tarih ve 65/1929 sayılı Kararı ile yatırım kuruluşları görüntülü kimlik tespiti yapabilir hale geldi. Bu, sermaye piyasası mevzuatında dijital onboarding'in kapısını açtı. Görüntülü kimlik tespiti süreci için:
- En az iki personel + müşteri katılımıyla gerçek zamanlı görüşme,
- Kimlik belgesinin canlı doğrulanması,
- Süreç kayıt altında tutulur ve saklanır,
- Ses + görüntü kalite standartları sağlanır.
SPK görüntülü kimlik tespiti detayları için SPK uyumlu görüntülü kimlik tespiti rehberimize bakın.
4.2 Kripto Varlık Hizmet Sağlayıcıları (KVHS)
7518 Sayılı Kanun (21 Mayıs 2024) ile 6362 Sayılı Sermaye Piyasası Kanunu değiştirildi ve KVHS'ler SPK denetimine alındı. Mart 2025'ten itibaren ikincil KVHS Yönetmeliği yürürlüğe girdi. KVHS'ler için ana yükümlülükler:
- SPK'dan faaliyet izni almak,
- Asgari sermaye + öz kaynak yeterliliği,
- Müşteri varlıklarını ayrı hesapta saklamak,
- AML/CFT iç kontrol sistemi (MASAK mevzuatına uygun),
- Travel Rule benzeri veri taşımayı sağlamak (uygulamada FATF Travel Rule standardı referans alınıyor).
Detaylar: KVHS Yönetmeliği rehberimiz.
5. BDDK: Bankalar ve Uzaktan Müşteri Edinimi
Bankacılık Düzenleme ve Denetleme Kurumu (BDDK), bankalar, finansal kiralama, faktoring, finansman şirketleri ve varlık yönetim şirketlerini düzenler. AML/KYC açısından en önemli düzenleme:
Uzaktan Müşteri Edinimi Yönetmeliği — 1 Mayıs 2021'de yürürlüğe girdi. Yönetmeliğin temel mantığı: Banka, video tabanlı doğrulama + biyometrik canlılık testi + kimlik belgesinin elektronik okunması (NFC çipi tercih edilir) kombinasyonu ile fiziki şube ziyareti olmadan müşteri edinimi yapabilir.
Yönetmeliğin getirdiği teknik standartlar:
| Kontrol | Gereklilik |
|---|---|
| Görüntülü görüşme | Müşteri temsilcisi ile canlı (asenkron değil) |
| Kimlik belgesi | T.C. nüfus cüzdanı / kimlik kartı / pasaport (NFC tercih) |
| Canlılık testi | Aktif/pasif biyometrik liveness |
| Kayıt | Tüm süreç kayıt altında, 5 yıl saklama |
| Şüphe halinde | Yüz yüze tespit alternatifi |
Detaylar için BDDK uzaktan müşteri edinimi rehberimize bakın.
6. TCMB ve 6493 Sayılı Kanun: PSP ve E-Para
Ödeme hizmetleri ve elektronik para kuruluşları, 6493 Sayılı Kanun (Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun) ile düzenlenir. Önemli tarihsel nokta: PSP/e-para denetimi 22 Ocak 2020 tarihinde BDDK'dan TCMB'ye geçti. Bu, hâlâ eski BDDK dönemi mevzuat ve genelgelerle çalışan kuruluşların yenileme yapması gereken bir geçiştir.
PSP/e-para için MASAK yükümlülükleri normal yükümlü çerçevesinin aynısıdır, ancak:
- Ödeme işlemlerinde kaynak/alıcı bilgisi (Wire Transfer Regulation muadili),
- E-para yükleme limitlerinde MASAK eşikleri,
- Anonim e-para ürünleri için ek kısıtlar.
Detaylar: PSP ve e-para için MASAK yükümlülükleri.
7. Operasyonel Compliance: Gerçek Dünyada Ne Yapılır?
Mevzuatı bilmek yeterli değil. Compliance ekiplerinin günlük operasyonunda yedi temel iş akışı vardır:
- Müşteri edinim akışı (onboarding): Kimlik tespiti + risk skorlama + ilk yaptırım/PEP taraması. Türkiye'de orta ölçekli bir EPK günde ortalama 1.200 yeni müşteri onboarding yapıyor; bunun ~%0.3-0.5'i ileri tetkik gerektiren PEP/yaptırım eşleşmesi üretir.
- Sürekli müşteri takibi: Mevcut müşteri tabanını listeler güncellendiğinde yeniden taramak. Tier-1 bir bankada günlük rescreen ~5-8 milyon kayıt anlamına gelir.
- İşlem izleme: Anormal pattern tespiti, kural tabanlı + risk skoru tabanlı tetikleyiciler.
- Şüpheli işlem incelemesi: Tetiklenen alarm'ın analist tarafından kapatılması veya STR'ye dönüştürülmesi.
- STR raporlama: MASAK Online sistemine 10 iş günü içinde iletim.
- Yıllık risk değerlendirme: Yükümlünün kendi risk profilini yazılı olarak değerlendirmesi.
- Eğitim ve iç denetim: Personel eğitimi (yıllık) + bağımsız iç denetim (compliance birimi dışı).
Yaptırım ve PEP Taraması
Türk yükümlülerinin tarama yapması gereken listeler:
- BM Güvenlik Konseyi yaptırım listeleri,
- OFAC SDN (ABD),
- AB konsolide yaptırım listesi,
- UK HMT (FCO Sanctions),
- Türkiye iç listeleri (5549 ve 6415 Sayılı Kanun kapsamında),
- PEP listeleri (yerli + yabancı, geniş kapsam),
- Olumsuz medya (adverse media).
Genel altyapı için AML taraması rehberimize ve PEP nedir makalemize göz atın.
8. Cezalar ve Risk
5549 Sayılı Kanun ve ikincil mevzuat ihlallerine yönelik idari para cezaları sektör ve ihlal türüne göre değişir. 2026 itibarıyla pratik aralık:
- Bireysel ihlal (kimlik tespiti yapmama, raporlama gecikmesi): 200.000 TL — 1.000.000 TL bandı,
- Sistemik ihlal (iç kontrol sistemi eksikliği, eğitim yokluğu): 1.000.000 TL+ ve faaliyet izninde sınırlama,
- STR yapmama: Ayrı suç oluşturabilir; hapis cezası ihtimali (TCK ile birleşik değerlendirme).
Cezalar her yıl yeniden değerleme oranıyla güncellenir; güncel rakam için MASAK'ın yıllık ceza tablolarını takip edin.
9. Türkiye AML/KYC Uyum Yol Haritası: Karar Akışı
Hangi yükümlü olduğunuza bağlı olarak hangi düzenlemeyi takip etmeniz gerektiğine dair pratik karar akışı:
Yükümlü tipi → Bağlayıcı düzenlemeler → Birincil otorite
Banka → 5549 + MASAK Yön. + BDDK Uzaktan → MASAK + BDDK
PSP/E-para → 5549 + MASAK Yön. + 6493 + TCMB Yön. → MASAK + TCMB
Yat. Kuruluşu → 5549 + MASAK Yön. + SPK Tebliğleri → MASAK + SPK
KVHS → 5549 + MASAK Yön. + KVHS Yön. → MASAK + SPK
Her yükümlü çift otoriteye tâbidir: MASAK (AML/CFT içerik) + sektörel düzenleyici (faaliyet ehliyeti, operasyonel standartlar).
10. Bu Pillar'ın Parçaları
Cluster makaleler — her birini ayrıntılı okuyun:
- MASAK uyumluluğu rehberi
- 5549 Sayılı Kanun rehberi
- SPK görüntülü kimlik tespiti
- BDDK uzaktan müşteri edinimi
- KVHS Yönetmeliği rehberi
- PSP ve e-para için MASAK yükümlülükleri
Sıkça Sorulan Sorular
Şüpheli işlem raporu (STR) için süre nedir?
Şüphe doğduğu andan itibaren 10 iş günü içinde MASAK Online sistemi üzerinden iletilir. Süreyi tetikleyen olay, raporlamayı yapacak personelin (genellikle uyum görevlisi) konudan haberdar olduğu andır — işlemin gerçekleştiği tarih değil. Bu yüzden iç eskalasyon sürecinizin saatlik (saatler değil, dakikalar) hızda çalışması kritiktir; gecikme idari para cezası doğurur.
Hangi kuruluşlar MASAK'a "yükümlü" sayılır?
5549'un 2. maddesi geniş bir liste verir: bankalar, sigorta şirketleri, BES, sermaye piyasası kuruluşları, ödeme kuruluşları, e-para kuruluşları, kripto varlık hizmet sağlayıcıları, döviz büfeleri, kıymetli maden aracıları, finansal kiralama, faktoring, varlık yönetimi, gayrimenkul aracıları, avukatlar (belirli işlemlerde), SMMM'ler. Tam liste için 5549 m.2 ve ikincil mevzuat referans alınmalıdır.
BDDK Uzaktan Müşteri Edinimi Yönetmeliği bankalar dışında kimi kapsar?
Yönetmelik bankalar, faktoring şirketleri, finansal kiralama şirketleri ve finansman şirketlerini kapsar. Sigorta şirketleri, ödeme kuruluşları ve sermaye piyasası kuruluşları farklı düzenleyicilere tâbidir (BDDK değil). Yatırım kuruluşları için SPK'nın görüntülü kimlik tespiti kararı uygulanır; PSP/e-para için TCMB rehberleri ve MASAK Yönetmeliği çerçevesi uygulanır.
KVHS Yönetmeliği yürürlükte mi, ne zamandan beri?
7518 Sayılı Kanun 21 Mayıs 2024'te yayımlandı ve SPK'yı KVHS denetiminin birincil otoritesi yaptı. İkincil KVHS Yönetmeliği Mart 2025'ten itibaren yürürlüktedir. Bu, kripto borsalarının SPK'ya faaliyet izni başvurusu yapması ve faaliyetlerini SPK çerçevesinde sürdürmesi gerektiği anlamına gelir. 2026 itibarıyla geçiş tamamlanmış, denetim aktif.
MASAK ve sektörel düzenleyici (BDDK/SPK/TCMB) arasındaki yetki çakışması nasıl yönetilir?
MASAK her zaman AML/CFT içerik yetkilisi olarak kalır — yani şüpheli işlem raporlaması, müşteri tanıma standartları, eğitim yükümlülükleri MASAK'a tâbidir. Sektörel düzenleyici (örn. BDDK bir banka için) faaliyet ehliyeti, prudensiyel kurallar, operasyonel teknik standartlar ve sektöre özgü uygulamaları düzenler. Pratikte iki otoritenin denetim alanı örtüşür, ama amaç farklıdır. İkisinden de denetim geçirmeye hazır olmanız gerekir.
Legichain ile Türkiye AML/KYC Uyumu
Legichain, Türkiye'deki yükümlüler için tek API üzerinden yaptırım/PEP/adverse media taraması, NFC + görüntülü kimlik tespiti, işlem izleme, STR raporlama desteği ve KVHS Travel Rule veri taşımayı sunar. Bankalar için çözümümüz BDDK Uzaktan Müşteri Edinimi Yönetmeliği'ne uygundur; PSP'ler ve e-para kuruluşları için TCMB + MASAK çerçevesine entegre; kripto borsaları için SPK KVHS Yönetmeliği + FATF Travel Rule kombinasyonu hazır gelir. Mimari kararlarınızı tartışmak için demo talep edebilirsiniz.
Sonraki Adımlar
- Sektörünüze özgü derinlik için cluster makaleleri okuyun (yukarıda).
- Legichain AML taraması API'si ürün sayfasını inceleyin.
- Dijital KYC rehberimiz ile müşteri edinim akışınızı planlayın.