Bankacılık Düzenleme ve Denetleme Kurumu'nun (BDDK) Uzaktan Müşteri Edinimi Yönetmeliği, 1 Mayıs 2021'de yürürlüğe girdiğinden bu yana Türk bankacılığının dijital onboarding'ini yeniden tanımladı. Bir kişi artık şubeye gitmeden, görüntülü kimlik tespiti + NFC çipli kimlik doğrulama + ek güvenlik adımlarıyla saatler içinde hesap açabiliyor. Ancak yönetmelik basit bir "video görüşme yeterli" düzenlemesi değil — teknik altyapı, personel yetkilendirmesi, kayıt saklama ve denetim hattı açısından spesifik gereklilikler getiriyor. Bu rehber bankalar ve e-para kuruluşları için yönetmeliği pratik uygulama lensinden açıklıyor.
Yönetmeliğin Kapsamı
Uzaktan müşteri edinimi yönetmeliği şu kuruluşlara uygulanıyor:
- Mevduat bankaları — bireysel hesap açma, kredi tahsisi, kart başvurusu.
- Katılım bankaları — aynı kapsam.
- Kalkınma ve yatırım bankaları — sınırlı uygulama.
- E-para kuruluşları — BDDK denetiminde, BDDK uzaktan müşteri edinimi çerçevesinde.
- Ödeme hizmeti sağlayıcıları — düşük bakiyeli cüzdan akışlarında hafifletilmiş şartlarla.
Yatırım kuruluşları (aracı kurumlar, portföy yönetim şirketleri) SPK tebliği kapsamında — paralel ama ayrı çerçeve. Detay için SPK görüntülü kimlik tespiti rehberimize bakın.
Temel Yükümlülükler
1. Görüntülü Görüşme
Yönetmelik, uzaktan müşteri edinimi sürecinde kuruluşun yetkili personeli ile potansiyel müşteri arasında eş zamanlı, kesintisiz, çift yönlü görüntü ve ses bağlantısı kurulmasını şart koşuyor. Anahtar şartlar:
- Eş zamanlılık: kayıt asenkron olamaz; her iki taraf aynı anda canlı bağlantıda.
- Kesintisiz: bağlantı koparsa oturum baştan başlamak zorunda.
- Kalite: görüntü ve ses, kimlik doğrulamasını engellemeyecek seviyede.
Pratik altyapı genelde WebRTC tabanlı — düşük gecikme, end-to-end şifreleme, modern tarayıcı/mobile desteği.
2. Kimlik Belgesi Doğrulama
Yönetmelik, kimlik kartının elektronik unsurlarının (NFC çip) okunmasını veya MRZ alanının doğrulanmasını şart koşuyor. Sürücü belgesi tek başına yeterli değil. Pratik uygulama:
- NFC tercih edilen yöntem — TC kimlik kartının (TCKK) çipinden imzalı veri okuma + ICAO 9303 PKD ile imza doğrulama. Detay için NFC çipli kimlik doğrulama rehberimize bakın.
- MRZ fallback — eski kimlik kartı veya NFC'siz cihaz durumunda OCR + MRZ alanı doğrulama + operatör görsel teyidi.
Kimlik dokümanından çıkarılan ad-soyad-doğum tarihi ile müşterinin beyan ettiği veriler eşleşmek zorunda; eşleşmezse oturum reddedilir.
3. Biyometrik Doğrulama
Müşterinin canlı görüntüsünün, kimlik belgesindeki fotoğrafla biyometrik olarak karşılaştırılması zorunlu. Eşik genelde 80+ puan üzerinden otomatik geçer; düşük skorlarda operatör görsel teyidi devreye girer.
Canlılık testi şart — fotoğraf-spoof veya deepfake saldırılarına karşı koruma için. Detay için canlılık testi rehberimize bakın.
4. Bilgi ve Belge Aktarımı
Müşterinin ek belge sunması gereken durumlarda (gelir belgesi, ikametgah, mesleki belge), bu belgeler oturum sırasında veya sonrasında güvenli kanal üzerinden alınır. Pratik:
- Oturum sırasında ekran paylaşımı veya kamera ile belge gösterimi.
- Sonradan müşteri portalı üzerinden upload, oturum kaydıyla ilişkilendirme.
5. MASAK Yükümlülükleri
Kimlik tespiti tek başına yeterli değil — müşterinin risk profilinin de çıkarılması gerek. Bu MASAK ve 5549 sayılı Kanun kapsamında "müşterini tanı" yükümlülüğü. Asgari unsurlar:
- Yaptırım taraması — OFAC, BM, AB, UK ve yerel listelerde sorgu.
- PEP taraması — politik nüfuz sahibi kişi mi?
- Olumsuz medya taraması — adverse media kayıtları.
- Risk skorlaması — ülke riski, sektör riski, ürün riski.
Detaylı pratik için MASAK uyumluluğu rehberimize ve AML taraması nedir rehberimize bakın.
6. Kayıt Saklama
Yönetmelik, görüntülü görüşme kaydı, kimlik dokümanı, biyometrik veri ve tüm doğrulama log'larının en az 10 yıl saklanmasını şart koşuyor. Saklama gereklilikleri:
- Bütünlük: kayıt üzerinde sonradan değişiklik yapılamayacağı garanti edilmeli — hash zinciri, WORM depolama veya dijital imza.
- Erişilebilirlik: BDDK denetimi sırasında kısa sürede sağlanmalı.
- KVKK uyumu: biyometrik veri özel nitelikli kişisel veri — açık rıza + ek güvenlik tedbirleri + erişim kısıtlaması.
Personel Yetkilendirme
Görüntülü oturumu yürütecek personel için yönetmelik şu çerçeveyi çiziyor:
- Kuruluşun istihdam ettiği personel olmalı (tamamen dış kaynaklı çağrı merkezi modeli problemli).
- MASAK ve uzaktan müşteri edinimi konularında eğitim almış olmalı.
- Kuruluş içi yetki matrisinde tanımlı olmalı.
- Eğitim güncellenmesi (en azından yıllık) şart.
Pratik bir model: bankanın kendi merkezi operasyon ekibinde "görüntülü oturum" rolü tanımlanır; eğitim, yetkilendirme ve performans takibi merkezi yapılır.
Risk-Bazlı Yaklaşım
Yönetmelik, müşteri kabul sürecinde risk-bazlı yaklaşım uygulanmasına izin veriyor. Düşük riskli düşük bakiyeli bir cüzdan açılışı ile yüksek riskli kurumsal hesap arasındaki sürtünme farkı bu mantığa oturuyor:
| Müşteri Tipi | Asgari Doğrulama | Operatör Görüşmesi |
|---|---|---|
| Düşük riskli, düşük bakiyeli (örn. genç müşteri, küçük cüzdan) | NFC + canlılık + selfie eşleşme | Otomatik akış yeterli (BDDK detayında uyumluluk kontrolü) |
| Standart bireysel müşteri | NFC + canlılık + görüntülü oturum | Zorunlu |
| Yüksek riskli müşteri (PEP, yüksek bakiye, ek ürün talebi) | NFC + canlılık + görüntülü oturum + ek belge | Zorunlu + ileri inceleme |
| Yabancı uyruklu | Pasaport NFC + canlılık + görüntülü oturum | Zorunlu + ileri risk skorlaması |
Risk-bazlı segmentasyon, regülasyon ile dönüşüm oranı arasındaki dengeyi sağlıyor. Her müşteriye en yüksek sürtünmeyi yaşatmak müşteri kazanımının %30-40'ını kaybettirir.
Operasyonel Akış
Tipik bir banka uzaktan müşteri edinimi akışı:
- Başvuru başlatma — müşteri web veya mobil kanaldan TC kimlik no + telefon + e-posta girer.
- OTP doğrulama — telefon ve e-posta doğrulanır.
- NFC kimlik okuma — kullanıcı kimliğini telefonla okutur, NFC + imza doğrulama yapılır.
- Selfie + canlılık — kullanıcı selfie çeker, pasif/aktif canlılık tetiklenir, 1:1 eşleşme yapılır.
- MASAK taraması — yaptırım, PEP, adverse media paralel çalışır.
- Operatör kuyrugu — otomatik akış başarılı olduysa operatöre düşer.
- Görüntülü oturum — operatör müşteriyle 3-5 dakikalık oturum, kimlik teyidi + risk profili soruları.
- Onay ve hesap açılışı — operatör karar verir, hesap aktive edilir, müşteriye iletilir.
Tipik toplam süre 8-12 dakika; otomatik akış %85-90 oranında ilk denemede tamamlanır.
E-Para Kuruluşları için Özel Noktalar
E-para kuruluşları aynı çerçeveye tabi ancak bazı pratik farklar var:
- Düşük bakiyeli cüzdan akışı genelde tam görüntülü oturum olmadan, sadece NFC + canlılık ile tamamlanabilir (belirli bakiye eşiğine kadar).
- Belirli eşik üstüne çıkarken görüntülü oturum tetiklenir — kullanıcı "hesap limitimi artırmak istiyorum" dediğinde.
- Bakiye eşikleri kuruluşun risk politikasına bağlı ancak BDDK genelde 2.500-5.000 TL aralığında bir alt eşik bekliyor.
Detay için e-para görüntülü KYC rehberimize bakın.
BDDK Denetiminde Aranan Belgeler
BDDK denetiminden geçmek için kuruluşun şu kayıtları sunabiliyor olması gerek:
- Görüntülü oturum kayıtları (10 yıl saklama, hash zinciri ile).
- NFC okuma logları — SOD imza doğrulama detayı, hangi PKD versiyonu, sonuç kodu.
- Biyometrik eşleşme ve canlılık skorları — model versiyonu, eşik, sonuç.
- MASAK tarama sonuçları — yaptırım/PEP/adverse media hit'leri ve operatör değerlendirmesi.
- Operatör karar logları — hangi personel, hangi gerekçeyle onayladı/reddetti.
- Personel yetki matrisi ve eğitim kayıtları.
Yaygın Uyum Hataları
Hata 1: NFC okumayı opsiyonel hale getirmek. "Kullanıcı NFC istemiyorsa OCR yeterli" yaklaşımı yüksek riskli akışlarda problemli. NFC tercih edilen yöntem; fallback olarak OCR + ek operatör doğrulaması olmalı.
Hata 2: Görüntülü oturum kalitesini kontrol etmemek. Bağlantı kalitesi otomatik kontrol edilmeli — düşük çözünürlüğe izin verilmemeli, ses kalitesi minimum eşik altına düşmemeli.
Hata 3: Canlılık testini SDK satıcısına bırakmak ve sorgulamamak. "Satıcı yapıyor, biz kontrol etmiyoruz" yaklaşımı PAD (Presentation Attack Detection) seviyesi kontrol edilmediğinde sahte hesap açılışına yol açar.
Hata 4: Saklama altyapısını parça parça kurmak. Video bir yerde, log başka yerde, operatör kararı üçüncü yerde — denetim sırasında bütünlük kanıtlanamıyor. Tek bir audit zinciri olmalı.
Hata 5: KVKK ile uyumu sonradan yamamak. Biyometrik veri için açık rıza, daraltılmış erişim, anonimleştirme politikası baştan tasarlanmazsa ileride büyük problem.
Sıkça Sorulan Sorular
Yönetmelik hangi yıl yürürlüğe girdi ve sonradan güncellendi mi?
BDDK Uzaktan Müşteri Edinimi Yönetmeliği 1 Mayıs 2021'de yürürlüğe girdi. Sonraki dönemde teknik standartlar konusunda BDDK ek tebliğler ve yorumlar yayımladı — özellikle e-para kuruluşları için bakiye eşikleri ve kripto varlık hizmet sağlayıcıları için ek gereklilikler. Güncel BDDK duyurularını takip etmek şart; pillar rehberimiz genelde 4 ayda bir tazelenir.
Uzaktan müşteri edinimi sırasında kullanılan SDK'lar BDDK onayından geçmek zorunda mı?
BDDK doğrudan SDK onayı vermiyor; sorumluluk yükümlü kuruluşta. Ancak kullanılan teknolojinin (NFC okuma, biyometrik, canlılık) BDDK gerekliliklerini karşıladığını kanıtlamak yükümlü kuruluşun görevi. Bu sebeple SDK seçiminde NIST PAD Level 2 sertifikası, ICAO 9303 PKD desteği gibi uluslararası standartlara uygunluk önemli — denetimde kanıt olarak sunulur.
Yabancı uyruklu müşteri uzaktan onboarding'e dahil mi?
Evet, yönetmelik yabancı uyruklu müşteriler için de uygulanabilir ancak ek doğrulamalar gerekiyor. TCKK yerine pasaport NFC çip okuması yapılır (ICAO 9303 zaten pasaport standardı). Ayrıca yabancı uyruklu müşteri risk skorlamada otomatik bir adım yukarı çıkar; ülke riskine göre ek belge istenebilir. Bazı yüksek riskli ülkelerden müşteri kabulü kuruluşun risk iştahına göre tamamen reddedilebilir.
Görüntülü oturum sırasında bağlantı koparsa ne olur?
Yönetmelik kesintisiz oturum şart koştuğu için, bağlantı koparsa oturum baştan başlamak zorunda. Pratikte sistemler bu durumu otomatik tespit eder, kullanıcıya "bağlantı koptu, yeniden başlayalım" mesajı verir. Yarım kalan kayıt geçerli sayılmaz; ancak teknik altyapı log'larında "1. oturum bağlantı kaynaklı sonlandı, 2. oturum başarıyla tamamlandı" şeklinde kayıt tutulur — denetim için bu önemli.
Uzaktan müşteri edinimi sonrası ne kadar süre içinde hesap aktif olur?
Tipik akışta operatör onayından sonra dakikalar içinde aktif. Ancak ek risk skorlaması, MASAK incelemesi veya manuel kontrol gerekliyse aktivasyon birkaç saat-1 iş günü gecikebilir. Müşteriye beklenen süre açıkça bildirilmeli; "hesabınız hazır" mesajına kadar herhangi bir işlem yapılamayacağı net olmalı.
Legichain ile uzaktan müşteri edinimi
BDDK Uzaktan Müşteri Edinimi Yönetmeliği'ne uyumlu altyapı kurmak — görüntülü oturum platformu, NFC SDK, canlılık modeli, MASAK tarama, operatör paneli, audit log altyapısı — genelde 9-12 aylık bir mühendislik işine dönüşüyor. Legichain Dijital KYC + Görüntülü KYC çözümü bu katmanların hepsini yönetmelik gereklilikleriyle uyumlu olarak tek API + tek SDK üzerinden sunuyor. Yetkili personel yönetimi, oturum kuyruğu, otomatik teknik doğrulama, hash zinciriyle 10 yıllık WORM saklama ve KVKK uyumlu biyometrik veri rejimi platforma gömülü. Detaylı yatırım kuruluşu akışı için Legichain Görüntülü KYC modülü ayrı bir operatör panel ile devreye giriyor. Tipik bir Türk bankası ya da e-para kuruluşu, kendi geliştirmeyle bir yıllık iş yükünü 6-10 hafta içinde yönetmeliğe uyumlu olarak canlıya alıyor.