Legichain

UK MLR 2017 (Money Laundering Regulations) Rehberi

Birleşik Krallık'ın AML/CFT temel yönetmeliği MLR 2017: yükümlü kategorileri, müşteri durum tespiti (CDD/EDD), PEP, beneficial ownership, raporlama yükümlülükleri ve denetim rejimi.

Legichain Team 12 dakikalık okuma 26 May 2026

Birleşik Krallık'ın AML/CFT (kara para aklama ve terörün finansmanı önleme) ana yönetmeliği The Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017 — kısaca MLR 2017. 26 Haziran 2017'de SI 2017/692 olarak yürürlüğe girdi ve AB'nin 4AMLD'sini UK hukukuna aktardı. Brexit sonrası UK kendi düzenleme rotasında AMLD5 ve AMLD6 değişikliklerini bağımsız uyguladı, 10 Ocak 2020'de kripto kapsamını ekledi, 1 Eylül 2023'te Travel Rule getirdi. Bu rehber MLR 2017'nin yapısını, yükümlü entite kategorilerini, müşteri durum tespiti standartlarını ve denetim rejimini Türk fintech'lerin UK pazarına genişleme perspektifinden inceliyor.

Hızlı Özet

  • Yasal adı: The Money Laundering, Terrorist Financing and Transfer of Funds (Information on the Payer) Regulations 2017, SI 2017/692.
  • Yürürlük: 26 Haziran 2017. Önemli değişiklikler 2019 (5MLD aktarımı), 2020 (kripto kapsamı), 2022 (beneficial ownership genişlemesi), 2023 (Travel Rule).
  • Yapı: 12 Part (Bölüm), 7 Schedule (Ek).
  • Yükümlü kategorileri: credit/financial institutions, auditörler, vergi danışmanları, hukuk profesyonelleri, gayrimenkul ajansları, kumar, sanat tüccarları, TCSPs, cryptoasset exchange/custodian wallet providers.
  • Denetim: FCA (finansal hizmetler, kripto), HMRC (MSB, vergi danışmanları, kumar), profesyonel kuruluşlar (avukatlar, muhasebeciler).
  • Yanıt rejimi: SAR raporu NCA'ya — UK'de "SAR" terimi kullanılır, "STR" değil.

1. MLR 2017'nin Kapsamı — Kim Yükümlü?

MLR 2017 Regulation 8 yükümlü kuruluşların ("relevant persons") kategorilerini listeler:

  • Credit institutions ve financial institutions — bankalar, ödeme kuruluşları, e-para kuruluşları, yatırım firmaları
  • Auditörler, dış denetim
  • External accountants ve tax advisers
  • Hukuk profesyonelleri (avukat, noter) — sınırlı kapsam
  • Trust or company service providers (TCSPs)
  • Estate agents ve letting agents — kira aylık £10.000+ ise
  • High-value dealers — €10.000+ nakit kabul edenler
  • Casinos
  • Art market participants — €10.000+ işlem ise
  • Cryptoasset exchange providers ve custodian wallet providers — 10 Ocak 2020 sonrası
  • Letting agency businesses — yüksek tutarlı kiralar

Her kategori için denetleyici farklıdır. Bir credit institution FCA tarafından, bir art dealer HMRC tarafından, bir avukat baroya bağlı bir profesyonel kuruluş tarafından denetlenir.

2. Risk-Tabanlı Yaklaşım

MLR 2017 Regulation 18, yükümlü kuruluşların yazılı bir firm-wide risk assessment üretmesini şart koşar. Bu değerlendirme şunları kapsamalı:

  • Müşteri riski (segmentler, müşteri tipi, ülke)
  • Ürün ve hizmet riski
  • Coğrafi risk (UK National Risk Assessment'a referans)
  • Dağıtım kanalı riski (yüz yüze vs uzaktan, partner vs doğrudan)
  • İşlem riski

Risk değerlendirmesi statik bir doküman değil, yıllık ya da iş modeli değiştikçe güncellenen yaşayan bir belgedir. FCA denetimlerinde "risk assessment'ı en son ne zaman güncellediniz?" sorusu ilk üç soruda gelir.

Risk assessment'a dayalı olarak müşteri risk skorlama, transaction monitoring senaryoları ve EDD tetikleyicileri tasarlanır. AML risk skorlama nasıl yapılır rehberimizde genel çerçeveyi bulabilirsiniz.

3. Müşteri Durum Tespiti (CDD) — Standart Yaklaşım

MLR 2017 Part 3 (Regulations 27-38) müşteri durum tespiti yükümlülüklerini tanımlar. CDD üç durumda zorunludur:

  1. İş ilişkisi kurulurken (account açma, sözleşme)
  2. €15.000+ tek bir işlem ya da bağlı işlemler dizisi yapılırken
  3. Şüpheli işlem tespitinde
  4. Mevcut müşteri verisinin güvenilirliğinden şüphe doğduğunda

CDD üç temel bileşen içerir:

(a) Müşteri kimliğinin doğrulanması — yasal isim, doğum tarihi, adres; "reliable, independent source"tan alınmış belgeler.

(b) Beneficial owner kimliğinin tespiti — tüzel müşteriler için %25+ pay sahibi veya kontrol sahibi gerçek kişiler.

(c) İş ilişkisinin amacı ve niteliği — neden bu kuruluştan hizmet alıyor, beklenen işlem hacmi nedir.

Dijital onboarding UK'de yaygın kabul görür — NFC çip okuma, liveness, video doğrulama gibi yöntemler "reliable independent source" kapsamında. Önemli olan kullanılan teknolojinin güvenilirliğinin yazılı politikada belgelenmesidir.

4. Genişletilmiş Müşteri Durum Tespiti (EDD)

MLR 2017 Regulation 33, EDD'nin (Enhanced Due Diligence) zorunlu olduğu durumları listeler:

  • Yüksek riskli üçüncü ülke ile bağlantı (FATF gri/kara liste, AB yüksek riskli ülke listesi referansı)
  • Politik nüfuz sahibi kişi (PEP) ile iş ilişkisi
  • Korespondan banka ilişkisi üçüncü ülke bankası ile
  • Karmaşık veya alışılmadık büyüklükte işlem
  • Görünür ekonomik amacı olmayan işlem
  • Yüksek risk olarak değerlendirilen herhangi başka durum

EDD pratik bileşenleri:

  • Beneficial ownership'in derinlemesine doğrulanması
  • Fon kaynağı ve servet kaynağı belgeleri
  • İlişkinin amacının daha detaylı sorgulanması
  • Üst yönetim onayı (PEP için zorunlu)
  • Sürekli izlemenin yoğunlaştırılması

5. Politik Nüfuz Sahibi Kişiler (PEP)

MLR 2017 Regulation 35, PEP tanımını ve EDD yükümlülüğünü düzenler. PEP kapsamı:

  • Yabancı PEP'ler: yabancı devletlerin üst düzey yöneticileri, parlamento üyeleri, üst düzey siyasi parti yöneticileri, üst yargı, üst askeri, devlet işletmesi yöneticileri.
  • Yerli (UK) PEP'ler: UK 2019 değişikliğinde "domestic PEP" tanımı eklendi — UK MP'leri, üst hakimler, üst kamu yöneticileri.
  • Uluslararası kuruluş PEP'leri: BM, AB, NATO gibi kuruluşların üst düzey yöneticileri.
  • Aile üyeleri ve yakın ilişkili kişiler — eş, çocuk, çocuğun eşi, ebeveyn; iş ortağı, ortak yatırım.

UK domestic PEP'ler için risk-tabanlı sadeleştirilmiş EDD uygulanabilir — yabancı PEP'lere göre daha az ağır prosedürlerle. Bu, UK'nin AB AMLD5'ten ayrıştığı bir alandır.

PEP'ten ayrılma kuralı: kişi PEP statüsünden çıktıktan sonra en az 12 ay boyunca PEP olarak izlenmeye devam edilir; bazı yüksek riskli vakalarda daha uzun süre uygulanır.

PEP nedir, tanım ve risk rehberimizde operasyonel detayı bulabilirsiniz.

6. Beneficial Ownership — Person of Significant Control (PSC)

UK'de tüzel müşterilerin beneficial ownership tespiti iki katmandan oluşur:

(a) MLR 2017 yükümlülüğü: %25+ pay sahibi veya kontrol sahibi gerçek kişilerin tespiti.

(b) Companies House PSC register: UK Ltd ve LLP'ler için Persons of Significant Control kamuoyuna açık bir register'da tutulur. Yükümlü kuruluş PSC bilgilerini Companies House'tan kontrol edip kendi CDD ile karşılaştırmalıdır. Tutarsızlık bulursa Companies House'a "discrepancy report" yapma yükümlülüğü vardır.

2022 değişikliğiyle UK denizaşırı şirketler için Overseas Entities Register geldi — UK gayrimenkulü olan offshore yapıların gerçek sahipleri açıklanmak zorunda. Bu, Türkiye ile yapılan UK gayrimenkul yatırımlarında doğrudan etkili.

7. Şüpheli Aktivite Raporlama (SAR)

UK'de Suspicious Activity Report (SAR), Proceeds of Crime Act 2002 (POCA) ve Terrorism Act 2000 kapsamında National Crime Agency (NCA)'ye gönderilir.

İki tip SAR vardır:

  1. DAML SAR (Defence Against Money Laundering): işlem yapmadan önce; NCA 7 iş günü içinde "consent" verir veya 31 takvim günü "moratorium" uygular.
  2. General SAR: tespit sonrası, geriye dönük; consent gerektirmez.

SAR raporlama hattı:

  • Çalışan şüpheli işlem tespit eder → MLRO'ya iletir
  • MLRO değerlendirir, NCA SAR Online portala gönderir
  • Müşteriye "tipping off" yasaktır (POCA s.333A)

NCA'nın resmi formu SAR Online (now SAR Portal) üzerindendir. 2023'te NCA, SAR Portal'ı yeniledi — yapay zeka tabanlı önceliklendirme ve daha iyi feedback döngüsü vaadi var.

UK'de "STR" terimi yasal metin terimi değildir; "SAR" tek kabul edilen terimdir.

8. Denetim Rejimi — Çoklu Otorite Yaklaşımı

UK MLR denetimi tek bir kurum değil, sektör bazında dağıtılmış birden çok otorite tarafından yapılır:

Sektör Denetleyici
Bankalar, ödeme kuruluşları, EMI, yatırım firmaları FCA
Cryptoasset firms FCA (cryptoasset firms register)
Money service businesses (MSB), bureau de change HMRC
Vergi danışmanları, muhasebeciler (PB üyesi değil) HMRC
Estate agents, art market, kumar HMRC
Avukatlar, baronet üyeleri SRA (Solicitors Regulation Authority), Law Society
Muhasebeciler (chartered) ICAEW, ACCA, CIPFA, etc. (HM Treasury tarafından "professional body supervisor" olarak tanınan)

FCA en agresif denetleyicidir — yıllık denetim planı, REP-CRIM raporlama, on-site denetim ve enforcement aksiyonu yapısı kurumsallaşmıştır. HMRC denetimi daha az sıklıkta ama detaylıdır; bireysel cezalar verebilir.

9. Yaptırımlar ve Cezalar

MLR 2017 ihlalleri için iki kademeli yaptırım:

(a) Cezai (criminal): 2 yıla kadar hapis ve/veya sınırsız para cezası — yönetmeliğin ciddi ihlali için.

(b) İdari (civil): FCA, HMRC veya PB tarafından para cezası, kayıt iptali, fit-and-proper karar değişikliği, public censure.

FCA'nın MLR ihlalleri için tipik enforcement aksiyonu firma + bireysel sorumlu (genelde MLRO) ikili cezalandırmadır. Son yıllarda FCA özellikle:

  • Yetersiz transaction monitoring
  • Generik / hiç güncellenmemiş risk assessment
  • PEP / sanctions screening politikalarının pratikte uygulanmaması
  • SAR raporlama gecikmesi veya hatası

konularında ceza verdi.

10. UK MLR 2017 vs AB AMLD'leri — Brexit Sonrası Farklar

UK MLR 2017 orijinal olarak 4AMLD'yi aktarmış olsa da Brexit sonrası AB ve UK düzenleme rotaları ayrıştı:

Konu UK (MLR 2017) AB (AMLD5/6 / AMLR)
5MLD eşdeğeri 2019 değişikliği aktardı AMLD5
6MLD eşdeğeri UK kabul etmedi (ceza alanında bağımsız hareket etti) AMLD6
Kripto kapsamı 2020 değişikliği AMLD5 (sınırlı), MiCA
Beneficial ownership PSC register + Overseas Entities AB ABRR ile birlikte üye devlet register'ları
Travel Rule 2023 değişikliği (£1.000 unhosted) TFR (€0)
Yeni AB AML otoritesi UK için geçerli değil AMLA (2025-2028)

AB finansal regülasyon rehberimizde AB tarafındaki bütünsel rejimi bulabilirsiniz; AMLD5 vs AMLD6 farkı rehberimizde iki direktifin karşılaştırması var.

11. Türk Fintech için Pratik Uyum Adımları

UK pazarına genişleyen Türk fintech'in MLR 2017'ye uyum sağlaması için pratik kontrol listesi:

  1. Firm-wide risk assessment yazılı olarak üretilmiş ve UK National Risk Assessment'a referans veriyor.
  2. CDD politikası UK'ye özgü detayları (Companies House PSC kontrolü, OFSI taraması, UK PEP listesi) içeriyor.
  3. EDD tetikleyici matrisi UK ve Türkiye risk farklılıklarını yansıtıyor (örn. yüksek riskli üçüncü ülke listesi UK'ye göre güncel).
  4. MLRO UK rezident ve SMF17 olarak atanmış; gerçek karar yetkisi var.
  5. NCA SAR akışı test edilmiş — şüpheli işlem tespit anından SAR submission'a kadar zamanlanmış.
  6. Sanctions screening OFSI dahil küresel listeleri kapsıyor.
  7. Yıllık training UK MLR ve JMLSG güncellemelerini içeriyor.

Sıkça Sorulan Sorular

MLR 2017 ile JMLSG arasındaki yasal ilişki nedir?

MLR 2017 birincil mevzuattır — Statutory Instrument olarak Parlamento düzeyinde yetki taşır, ihlali ceza ve idari yaptırım doğurur. Joint Money Laundering Steering Group (JMLSG) ise endüstri birliklerinin oluşturduğu, HM Treasury tarafından tanınan sektörel uygulama rehberidir. JMLSG'ye uyum yasal zorunluluk değildir, ancak ihlal durumunda FCA veya mahkeme nezdinde savunması güçtür. Pratikte JMLSG operasyonel olarak fiili zorunluluk haline gelmiştir.

Bir Türk bankası UK'de şube açarsa hangi yönetmelik geçerli?

UK'de şube veya bağlı ortaklık açan Türk bankası MLR 2017'ye tabi olur — UK içindeki faaliyetler için. Türkiye MASAK uyum yükümlülüğü ana kuruluş seviyesinde devam eder; UK şubesi paralel olarak FCA + MLR 2017 + JMLSG ile uyumlu olmak zorundadır. İki rejimin nüansları farklıdır (örn. PEP kapsamı, EDD tetikleyicileri), bu nedenle yerel UK uyum çerçevesi gerekir, "Türkiye standardı uygulanır" yaklaşımı çalışmaz.

MLR 2017 değişiklik takibi nasıl yapılır?

UK Treasury, HM Treasury kanalıyla MLR 2017 değişikliklerini yayınlar; Statutory Instrument (SI) formunda çıkar ve gov.uk üzerinden takip edilebilir. JMLSG kendi rehberini bu değişikliklere uyumlu olarak günceller. FCA "Dear CEO" mektupları kritik uyum mesajlarını dağıtır. Yıllık olarak HM Treasury National Risk Assessment (NRA) ve Sectoral Risk Assessment yayınlar; yükümlü kuruluşların risk assessment'larını bu belgelere referans vererek güncellemeleri beklenir.

UK'de kayıtlı bir kripto firmasının MLR yükümlülükleri diğer finansal kuruluşlarınkinden farklı mı?

Temel CDD, EDD, PEP, beneficial ownership, raporlama yükümlülükleri aynıdır. Farklar kripto-spesifik eklemelerden gelir: (1) on-chain risk monitoring zorunludur, (2) Travel Rule uyumu zorunludur, (3) custody mimarisi için ek güvenlik standartları beklenir, (4) JMLSG Sector 22 sektörel rehberi takip edilmelidir. Kripto firmalarının REP-CRIM yıllık raporları diğer FCA-authorized firmalardan benzer olsa da kripto-spesifik metrikler (cüzdan adres taraması hacmi, Travel Rule mesaj hacmi) eklenir.

Türkiye'deki KVHS yönetmeliği UK MLR 2017'ye benzer mi?

Kavramsal olarak benzer; her ikisi de FATF Recommendation 15-tabanlıdır. Ancak operasyonel detaylarda önemli farklar var: KVHS Türk SPK denetiminde, FCA crypto registration UK FCA denetiminde; Travel Rule eşikleri farklı; raporlama makamları farklı (MASAK vs NCA); ceza rejimleri farklı. Bir kripto borsasının her iki pazara hizmet etmesi durumunda paralel iki uyum çerçevesi kurulması gerekir — tek bir "global compliance" çerçevesi yetmez.

Legichain ile

UK MLR 2017 uyumu, jurisdiksiyon-bilinçli AML altyapısının olmamasından kaynaklanan operasyonel ve regülatif risklerin minimize edilmesini gerektirir. Legichain platformu UK OFSI dahil küresel yaptırım listelerini, UK ve uluslararası PEP veri katmanını gerçek zamanlı tutar; AML taraması API'mizin match-grouping katmanı false positive yükünü %80+ azaltır. Beneficial ownership tespiti için UK Companies House PSC veri kaynağı entegrasyonumuz mevcut. SAR raporlama formatı NCA SAR Portal şablonuna otomatik dönüşür; MASAK STR'ye paralel olarak. Banka çözümlerimiz ve PSP çözümlerimiz UK pazarına genişleme planlayan kuruluşlar için pre-built integration sunar.

Sonraki adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

uk-regulation

UK Travel Rule ve JMLSG Rehberi

Birleşik Krallık Travel Rule rejimi 1 Eylül 2023'te MLR 2017'ye yapılan değişiklikle yürürlüğe girdi. UK rejimi AB TFR'sinden iki temel noktada ayrışır: unhosted wallet ↔ kripto işletme transferlerinde £1.000 eşik (TFR €0), ve sunrise problem konusunda risk-tabanlı esneklik. Bu rehber JMLSG Sector 22 yorumunu, eşik ve coğrafi kapsamı, beneficiary VASP doğrulama akışını, FCA beklentilerini, sık karşılaşılan operasyonel başarısızlıkları ve AB TFR ile karşılaştırmayı Türkiye'deki kripto firmaları perspektifinden ele alıyor.

Yazıyı oku
uk-regulation

Birleşik Krallık Finansal Regülasyon Rehberi: FCA, MLR 2017, JMLSG

Birleşik Krallık finansal düzenleme dünyası FCA, PRA ve PSR üçgenine oturuyor; AML tarafı MLR 2017 ve JMLSG rehberine dayanıyor. Bu rehber FCA crypto registration, MLR 2017 yükümlülükleri, JMLSG Sector 22 Travel Rule yorumu, EMI yetkilendirme rotası ve post-Brexit AB-UK farklarını Türk fintech'lerin UK pazarına genişleme perspektifinden ele alıyor. Pratik karar matrisleri, gerçekçi başvuru maliyetleri ve süreleri içerir.

Yazıyı oku
uk-regulation

UK E-Money Institutions FCA Authorization: Yol Haritası

Birleşik Krallık'ta authorized E-Money Institution (EMI) olarak FCA yetkilendirmesi almak için 9 adımlık yol haritası: pre-application sürecini, FCA başvuru formunu (REP-Crim, EMI başvurusu), regulatory business plan'ı, mali projeksiyonları, IT sistemlerini, safeguarding planını (segregation), SMCR atamasını, post-Brexit passporting yokluğunu, gateway şartlarını ve £350.000 başlangıç sermayesi gereksinimini ele alıyor. Türk fintech'in UK pazarına e-para sağlayıcısı olarak girmek için pratik referans.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun