Birleşik Krallık finansal regülasyon manzarası, Brexit sonrası AB'den belirgin biçimde ayrışmaya başladı. UK kendi AML rejimini, kendi kripto kayıt çerçevesini ve kendi Travel Rule yorumunu geliştirdi; AB tek pazar haklarının (passporting) artık geçerli olmaması, UK pazarına girmek isteyen Türk veya Avrupalı fintech'ler için tam yetkilendirme süreçlerini zorunlu kıldı. Bu rehber FCA, PRA, PSR kurumlarını, MLR 2017 çerçevesini, JMLSG sektör rehberini ve UK'deki kripto kayıt, EMI yetkilendirme ile Travel Rule yorumunu Türk fintech perspektifinden pratik biçimde özetler.
Bu rehberi bitirdiğinizde UK pazarına girme stratejinizi netleştirebilecek, hangi regülatör kapısını çalacağınızı bilecek ve tipik başvuru maliyet/süre aralıklarını kavramış olacaksınız.
Hızlı Özet
- FCA (Financial Conduct Authority) UK'deki ana conduct regülatörüdür — finansal hizmetlerin büyük çoğunluğunu denetler.
- PRA (Prudential Regulation Authority) — büyük bankalar ve sigortacıların prudential denetimi (Bank of England altında).
- PSR (Payment Systems Regulator) — ödeme sistemlerinin (Faster Payments, BACS, Visa, Mastercard) ekonomik denetimi; FCA'dan ayrı bağımsız bir otorite.
- MLR 2017 — UK AML/CFT yönetmeliği. SI 2017/692 olarak 26 Haziran 2017'de yürürlüğe girdi; AB 4AMLD'yi UK hukukuna aktardı.
- JMLSG (Joint Money Laundering Steering Group) — endüstri tarafından hazırlanan, HM Treasury tarafından tanınan sektörel AML rehberi.
- FCA crypto registration — 10 Ocak 2020'den itibaren cryptoasset exchange ve custodian wallet sağlayıcıları MLR 2017 kapsamında. Başarı oranı tarihsel olarak %12-15.
- UK Travel Rule — 1 Eylül 2023'te yürürlüğe girdi; £1.000 eşiği unhosted wallet transferlerinde, CASP-CASP transferlerinde £0.
- EMI yetkilendirmesi — Electronic Money Regulations 2011; "small EMI" ve "authorized EMI" iki rejim, ikincisi için £350.000 sermaye.
1. UK Regülatör Mimarisi — Üç Kapı
UK finansal regülasyonu Brexit öncesinde de AB ortalamasından farklı bir yapıdaydı: tek bir "süper regülatör" yerine sorumluluk birden çok kuruluşa dağıtılmış durumdadır.
FCA (Financial Conduct Authority)
FCA, banka olmayan finansal kuruluşların yanı sıra bankaların conduct (davranış, tüketici koruması, market bütünlüğü) tarafını denetler. Ödeme kuruluşları, e-para kuruluşları, yatırım firmaları, sigorta aracıları, kripto kayıtlı firmalar — hepsi FCA kapsamındadır. Bizim ilgi alanımıza giren tüm UK regülasyon konuları FCA'nın kapısından geçer.
PRA (Prudential Regulation Authority)
PRA Bank of England'a bağlıdır ve büyük bankaların, mevduat alma kuruluşlarının ve sigortacıların prudential denetimini (sermaye yeterliliği, likidite, batma tehlikesi) yapar. PRA + FCA dual regulation: büyük bankalar her iki regülatöre de raporlar.
PSR (Payment Systems Regulator)
PSR ödeme sistemlerinin ekonomik düzenlemesini yapar — yani Faster Payments veya BACS gibi şemaları, kart şemalarını denetler. PSR FCA'dan ayrı bir kurum olmakla birlikte FCA çatısı altında çalışır.
HM Treasury ve NCA
HM Treasury (HMT) AML politika sahibi; MLR 2017'yi çıkartan kanun yapıcı. National Crime Agency (NCA) UK'nin FIU'sudur (Financial Intelligence Unit); SAR (Suspicious Activity Report) raporları NCA'ya gider. UK'de "STR" (Suspicious Transaction Report) terimi kullanılmaz — "SAR" kullanılır.
2. MLR 2017 — UK AML Ana Çerçevesi
MLR 2017'nin tam adı The Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017 (SI 2017/692). 26 Haziran 2017'de yürürlüğe girdi ve AB'nin 4AMLD'sini (Dördüncü AML Direktifi) UK hukukuna aktardı. Brexit sonrası AB AMLD5 ve AMLD6'nın doğrudan etkisi olmadığı için UK kendi düzenlemelerini bağımsız geliştiriyor.
UK MLR 2017 detay rehberimizde yönetmeliğin yükümlü kategorileri, müşteri durum tespiti (CDD/EDD) standartları, beneficial ownership ve raporlama yükümlülüklerini ayrıntılı ele aldık.
Pratik açıdan üç noktayı vurgulamak gerek:
- Risk-tabanlı yaklaşım: Yükümlü kuruluş kendi risk değerlendirmesini yazılı yapmak zorunda; bu yapılmadan MLR'ye uyum mümkün değil.
- Senior management onayı: Compliance politikalarının üst yönetim tarafından onaylanması gerek; MLR'nin "tone at the top" şartı.
- Sektörel rehber takibi: MLR 2017 genel; sektörel detay JMLSG'den gelir.
3. JMLSG Rehberi — Sektörel Yorum
Joint Money Laundering Steering Group, UK finansal sektör birliklerinin bir araya geldiği endüstri kuruluşudur. HM Treasury tarafından tanınan AML rehberi yayınlar; mahkemeler ve FCA bu rehberi MLR'ye uyumun değerlendirilmesinde dikkate alır.
JMLSG rehberi üç kısımdan oluşur:
- Part I: Genel yaklaşım — risk-tabanlı CDD, EDD, izleme, raporlama, eğitim.
- Part II: Sektör spesifik rehber — bankalar, ödeme kuruluşları, yatırım firmaları, sigorta vb.
- Part III: Sektör spesifik özel konular — ve burası 2022'de eklenen Sector 22: Cryptoasset Service Providers kısmını içerir. 2023'te güncellendi, UK Travel Rule yorumunu da içeriyor.
JMLSG ile uyumlu olmak yasal zorunluluk değildir; ancak uyumsuzluk durumunda FCA veya mahkeme nezdinde savunması güçtür. Pratikte yükümlü kuruluşlar JMLSG'yi temel referans olarak kullanır.
4. FCA Crypto Registration — UK Kripto Rejimi
10 Ocak 2020 tarihinden itibaren MLR 2017'ye yapılan değişiklikle cryptoasset exchange providers ve custodian wallet providers AML kapsamına alındı. UK'de kripto faaliyeti yürütmek isteyen kuruluş FCA cryptoasset firms register'ına kaydolmak zorunda.
FCA crypto registration rehberimizde süreç adım adım anlatıldı: ön başvuru görüşmesi, business plan, financial crime framework, müşteri durum tespiti politikası, governance, fit-and-proper testi, sürekli raporlama. Realist bir başvuru tipik olarak 12-18 ay sürer ve £200.000-£500.000 yasal + danışmanlık + teknik maliyet doğurur.
Önemli not: UK'de AB MiCA gibi bütüncül bir kripto çerçevesi henüz yok. UK Treasury Şubat 2023'te kripto için detaylı bir gelecek çerçevesi danışma süreci başlattı, FSMA kapsamında yeni regulated activities yaratacak; ancak yürürlüğe giriş süreci devam ediyor. MiCA rehberimizde AB'nin farklı yaklaşımını karşılaştırabilirsiniz.
Başarı oranı
FCA crypto registration tarihsel olarak son derece seçici geçti. 2020-2023 arasında alınan başvuruların yaklaşık %85-88'i ya reddedildi ya da çekildi. Onaylanan firma sayısı tüm dönem boyunca 100'ün altında kaldı.
Ret sebepleri tipik olarak şunlar:
- Yetersiz business plan
- Zayıf financial crime framework
- Üst yönetimde compliance deneyimi eksikliği
- Travel Rule uyum altyapısının olmaması
- Yetersiz teknik mimari
5. UK Travel Rule — JMLSG Sector 22
1 Eylül 2023 tarihinde yürürlüğe giren UK Travel Rule, MLR 2017'ye yapılan değişiklikle hayata geçti. UK approach, AB TFR'sinden bazı önemli farklar gösterir:
- Eşik: Unhosted wallet ↔ kripto işletme transferlerinde £1.000. CASP ↔ CASP transferlerinde £0 (her transfer kapsamda).
- Sunrise notice: UK regülatör açıkça "sunrise" konseptini kabul etti — karşı taraf bilgi alamıyorsa, kayıt tutarak risk-tabanlı kararla transferi sürdürebilirsiniz.
- Coğrafi kapsam: UK CASP'ın yurtdışı transferleri de kapsamda.
UK Travel Rule ve JMLSG rehberimizde Sector 22 detaylarını, operasyonel akışı ve AB TFR ile karşılaştırmayı ele aldık.
UK Travel Rule, FATF Travel Rule rehberimizde açıkladığımız genel mantığın bir uygulamasıdır; ancak threshold ve sunrise yaklaşımı UK'ye özgüdür. Türkiye, AB ve UK Travel Rule karşılaştırmamızda üç jurisdiksiyonu yan yana koyduk.
6. EMI ve Ödeme Kuruluşları — UK Yetkilendirme Rotası
UK'de e-para faaliyeti yürütmek için Electronic Money Regulations 2011 (EMRs) kapsamında FCA yetkilendirmesi gerekir. İki rejim seçeneği vardır:
- Small EMI: Aylık ortalama outstanding e-para miktarı €5 milyon altında olan kuruluşlar için sadeleştirilmiş rejim. Capital şartı sembolik, ancak passporting hakkı yok ve müşteri başına e-para limitleri var.
- Authorized EMI: Tam yetkilendirme. £350.000 başlangıç sermayesi + ongoing kapital şartı. Daha kapsamlı governance, raporlama, denetim yükümlülükleri.
UK EMI FCA authorization rehberimizde pre-application süreci, FCA başvuru formu, business plan, mali projeksiyonlar, IT sistemleri, safeguarding planı, Senior Managers and Certification Regime (SMCR) uyumunu ve gateway şartlarını ele aldık.
Bu konunun AB karşılığı için EMD2 (E-Money Directive 2) rehberimize bakabilirsiniz — Brexit öncesinde EMD2 UK'de FCA tarafından PSD/EMD uyumlu olarak uygulanıyordu; sonrasında UK kendi rejimini bağımsız sürdürdü.
Pratik realite: UK'de yeni authorized EMI yetkilendirmesi tipik olarak 9-15 ay sürer ve £150.000-£400.000 yasal/danışmanlık maliyeti doğurur. FCA gateway sürecinde başvuran kuruluşların yaklaşık %30'u geri çekilir veya reddedilir.
7. Senior Managers and Certification Regime (SMCR)
UK'de finansal kuruluşların üst yönetim sorumluluğunu kişisel düzeyde tanımlayan bir rejim olarak SMCR 2016'da bankalar için, 2018'de sigortacılar için, 2019'da diğer FCA firmaları için yürürlüğe girdi.
SMCR üç katmandan oluşur:
- Senior Manager Regime (SMR): Belirli üst yönetim rollerini "Senior Management Function" (SMF) olarak tanımlar; her SMF için "statement of responsibilities" yazılır ve bireysel sorumluluk kişiseldir.
- Certification Regime: Müşteri etkileyebilecek ve önemli risk doğurabilecek pozisyonlardaki kişilerin yıllık fit-and-proper sertifikasyonu.
- Conduct Rules: Tüm çalışanlara uygulanan davranış kuralları.
EMI veya FCA registered crypto firm olarak UK'de faaliyet gösteriyorsanız SMCR uyumu zorunludur. Compliance officer (genellikle MLRO — Money Laundering Reporting Officer da aynı kişi) SMF17 olarak atanır.
8. Post-Brexit Farklar — AB vs UK
Brexit sonrası AB ve UK düzenleme yolları belirgin biçimde ayrıştı. Türk fintech'in UK ile AB pazarına farklı stratejilerle yaklaşması gerekir.
| Konu | AB | UK |
|---|---|---|
| AML çerçevesi | AMLD5/6, gelecek AMLR | MLR 2017 |
| AML otoritesi | AMLA (2025-2028 faaliyet) | FCA + NCA |
| Kripto regülasyon | MiCA (2024) | FCA registration (MLR kapsamında); bütüncül çerçeve süreçte |
| Travel Rule | TFR (€0 — her transfer) | £1.000 unhosted; £0 CASP-CASP |
| Stablecoin | MiCA EMT/ART | UK yeni stablecoin rejimi süreçte |
| Passporting | EU içinde tek lisans | UK lisansı sadece UK için |
| Tüketici tazminat | Üye devlet bazında DGS | FSCS (kripto kapsam dışı) |
| SAR/STR raporu | Üye devlet FIU | NCA SAR |
AB finansal regülasyon rehberimizde AB tarafını ayrıntılı ele aldık; Türkiye AML/KYC uyum rehberimizde Türkiye çerçevesi var. Üç jurisdiksiyonu birlikte değerlendiren fintech'ler için bu üç rehber okumanın çerçevesidir.
9. Türk Fintech'in UK Pazarına Genişleme Yol Haritası
Türkiye'den UK pazarına girmek isteyen bir fintech için pratik çerçeve:
Faz 0 — Pazar fizibilitesi (1-2 ay)
- Ürün-pazar uyumu değerlendirmesi, UK rekabet analizi
- Hangi rejime tabi olunacağı netleştirilmesi (kripto / EMI / payment institution / authorized firm)
- Toplam yatırım büyüklüğü tahmini (genelde £500K-£2M arası)
Faz 1 — Pre-application (2-4 ay)
- UK avukat ve compliance danışmanı seçimi
- UK temsilcisi atama (FCA başvuran kuruluşların UK'de fiziksel varlığı şart)
- FCA ile pre-application meeting talebi
- Business plan, financial crime framework, IT mimarisi taslakları
Faz 2 — Başvuru (1-2 ay hazırlık)
- FCA gateway online başvurusu
- Tüm destekleyici dokümantasyon (genellikle 50-100 sayfa)
- Başvuru ücretleri (£5K-£25K arası, başvuru tipine göre)
Faz 3 — FCA değerlendirme (9-18 ay)
- FCA RFI (Request for Information) yazışmaları
- Düzenleyici görüşmeler
- Düzeltme ve revizyon turları
Faz 4 — Onay sonrası operasyonel kurulum (3-6 ay)
- Bank account, müşteri yönlendirme
- SMCR atamaları ve resmileştirme
- Sürekli raporlama ve denetim akışı
Toplam realist takvim: 12-24 ay. Bu süre içinde Türkiye'deki ana operasyonun UK genişlemesini desteklemesi için ayrı bir UK Ltd tüzel kişiliği ve UK rezident yönetim kadrosu gerekecek.
10. UK Pazarına Özel Yumuşak Karnılar
UK finansal regülasyon dünyasında Türk veya diğer Avrupalı fintech'lerin sıkça karşılaştığı iki tipik tuzak:
1. UK realite kontrolü: FCA, "tick-box compliance" görür ve geri çevirir. Başvuru evrakı kalın olmasına rağmen iş modelinin AML risklerine pratik yanıt vermediği görüldüğünde başvuru ya RFI yağmuruna ya da gateway aşamasında reddedilir. Kalın doküman değil, operasyonel uygulanabilirlik kazandırır.
2. SMCR sorumluluğu: Türk fintech'lerin tipik hatası UK ofisinde "boş başlık" atayıp ana karar mercilerini İstanbul'da tutmak. SMCR kişisel sorumluluk demek — UK'deki Senior Manager karar yetkisi olmayan biri ise FCA bunu görür ve hem firma hem birey için sıkıntı doğar.
Sıkça Sorulan Sorular
FCA crypto registration ile MiCA arasında fark var mı?
Evet, ciddi farklar var. FCA crypto registration yalnızca AML/CFT kapsamında bir kayıttır — yani kripto işletmesini "money laundering" odaklı denetler. MiCA ise bütüncül bir kripto regülasyon çerçevesidir: lisans, sermaye, governance, tüketici koruması, market manipulation kuralları, stablecoin (EMT/ART) düzenlemesi vb. hepsini kapsar. UK Treasury Şubat 2023 danışma süreciyle benzer kapsamı UK için tasarladığını duyurdu, ancak yürürlüğe giriş süreci hâlâ devam ediyor. Şu an UK'de operating yapmak için sadece FCA crypto registration (MLR 2017 kapsamında) yeterli; gelecekte FSMA-tabanlı bir rejim eklenecek.
UK'de kripto faaliyeti için tek seçenek FCA registration mı?
Bugün için pratik olarak evet — eğer kripto-spesifik bir faaliyet yapıyorsanız (exchange, custody) FCA cryptoasset firms register'ında olmanız şart. Bunun dışında bazı bankalar veya FCA-authorized firms FCA registration almadan kripto'yla sınırlı şekilde dolaylı temas edebilir (örn. müşterilerine bilgi vermek), ama doğrudan kripto işlemcisi olarak hizmet veremez. Tasarruf hesabında stablecoin saklamak gibi durumlar gri alanda.
UK pazarına EU lisansıyla passport ile girebilir miyim?
Hayır. Brexit'le birlikte AB tek pazar passporting hakkı sona erdi. AB üyesi bir kuruluş UK'de hizmet vermek için ya UK'de ayrı bir tüzel kişilik kurup FCA yetkilendirmesi almalı ya da Temporary Permissions Regime (TPR) altındaysa (Brexit dönemi geçiş kapsamı) varış noktası FCA full yetkilendirmesi olmalıdır. TPR de tedrici olarak kapanıyor.
MLR 2017 ile JMLSG'nin yasal bağlayıcılığı arasındaki fark nedir?
MLR 2017 bağlayıcı yasadır — ihlali ceza ve idari yaptırım doğurur. JMLSG ise endüstri rehberidir; HM Treasury tarafından tanınmıştır ama bağlayıcı yasa değildir. Pratikte JMLSG'ye uymak FCA denetimlerinde ve mahkemelerde "good practice" karinesi yaratır; uymamak savunması güç bir konum yaratır. Yani JMLSG hukuksal olarak zorunlu değil, operasyonel olarak fiili zorunlu.
Türk fintech için UK pazarına girmenin tipik toplam maliyeti nedir?
Bir orta-büyüklük Türk fintech'in UK'de EMI veya FCA registered crypto firm olarak yetkilendirme alması ve operasyonel hale gelmesi tipik olarak £500.000 ile £1.500.000 arası bir bütçeye mal olur. Bu rakam UK avukat (£100K-£250K), compliance danışmanı (£75K-£200K), teknik altyapı (£100K-£500K), UK rezident yönetim/personel (yıllık £200K+), regulatory capital (EMI için £350K), FCA başvuru ücretleri ve operasyonel kurulum kalemlerini kapsar. UK girişi orta-uzun vadeli bir yatırım — 12-24 ay gelir üretmeden hazırlık döneminin finanse edilmesi gerek.
Legichain ile
UK pazarına genişleyen Türk fintech'lerin tipik ortak ihtiyacı tek bir compliance altyapısının hem TR (MASAK) hem AB hem UK (FCA + JMLSG) ile uyumlu çalışmasıdır. Legichain platformu üç jurisdiksiyon için ayrı modüller değil, tek API katmanı altında jurisdiksiyon-bilinçli politikalarla çalışır: müşteri kayıtlı UK'de ise UK Travel Rule eşiği (£1.000), AB'de ise TFR (€0) tetiklenir; raporlama formatı NCA SAR veya MASAK STR'ye otomatik dönüştürülür. Legichain AML taraması API'mizin global yaptırım, PEP ve adverse media veri katmanı UK ve EU listelerini de gerçek zamanlı tutar. Travel Rule altyapımız JMLSG Sector 22 ile uyumludur. Kripto borsalar için çözümler sayfamızda ve e-para kuruluşları sayfamızda UK pazarına özgü entegrasyon mimarisini bulabilirsiniz.
Sonraki adımlar
- FCA crypto registration nasıl alınır — başvuru süreci ve pratik ipuçları.
- UK MLR 2017 rehberi — yönetmeliğin yükümlü kategorileri ve yükümlülükleri.
- UK Travel Rule ve JMLSG rehberi — Sector 22 detayları.
- UK EMI FCA authorization — e-para kuruluşu yetkilendirme yol haritası.
- AB finansal regülasyon rehberi — UK ile AB'yi karşılaştırın.
- Türkiye AML/KYC uyum rehberi — Türkiye çerçevesi.