Legichain

VASP (Sanal Varlık Hizmet Sağlayıcısı) Nedir, Yükümlülükleri Neler?

FATF tarafından tanımlanan VASP kategorileri, kapsama kim girer, hangi AML yükümlülükleri var ve Türkiye'deki KVHS karşılığı.

Legichain Team 8 dakikalık okuma 26 May 2026

VASP — Virtual Asset Service Provider — kripto sektörünün regüle olduğu yerin adıdır. FATF'in 2018'de yayımladığı tanım, sektör için bir önce/sonra çizgisi çekti: bir faaliyet VASP tanımına girdiği an, FATF Tavsiye 16'dan AMLD5'e, AB TFR'den UK MLR 2017'ye kadar bir dizi yükümlülük otomatik devreye giriyor. Bu yazı VASP tanımının kapsamını, beş faaliyet kategorisini, getirdiği yükümlülükleri ve Türkiye'deki KVHS (Kripto Varlık Hizmet Sağlayıcı) karşılığını ele alıyor.

FATF'in VASP tanımı

FATF 2018 güncellemesinde VASP'i şöyle tanımladı: "Tüzel veya gerçek kişi olarak başkaları adına aşağıdaki faaliyetlerden bir veya daha fazlasını iş olarak yürüten kuruluş."

Beş faaliyet:

  1. Sanal varlık ↔ fiat para değişimi (örn. BTC alım-satımı TL veya EUR karşılığında).
  2. Sanal varlık ↔ sanal varlık değişimi (örn. ETH→USDC swap).
  3. Sanal varlık transferi (örn. cüzdandan cüzdana transfer servisi).
  4. Sanal varlığın saklanması veya yönetimi (custody).
  5. Sanal varlık ihracında veya satışında yer alma (ICO/IEO/IDO platformları, token ihraç hizmetleri).

Bu tanımın kritik kısmı "başkaları adına" ifadesi. Bir cüzdandan kendi adına işlem yapan birey VASP değil. Ama müşteri fonlarını saklayan, müşteri adına işlem yapan veya müşteri talebiyle transferi gerçekleştiren herkes — VASP.

Kapsama kim girer, kim girmez?

Kapsam içinde olduğu netleşen kategoriler:

  • Centralized exchanges (CEX): Binance, Coinbase, BTC Turk, OKX tipi borsalar.
  • Custody hizmeti sağlayıcıları: Müşteri özel anahtarlarını saklayan kuruluşlar (Coinbase Custody, Fireblocks gibi enterprise sağlayıcılar dahil).
  • OTC trading desks: Yüksek hacimli kurumsal kripto alım-satım masaları.
  • Stablecoin ihraççıları: USDT (Tether), USDC (Circle), GUSD (Gemini). FATF rehberi son güncellemesinde stablecoin ihraççılarının VASP olarak değerlendirilebileceğini netleştirdi.
  • Bazı NFT marketplace'leri: Eğer fungible-benzeri davranış varsa veya OTC işlem gerçekleştiriyorlarsa.
  • Bazı DeFi protokol operatörleri: FATF'in "kontrol veya yeterli etki" testi uygulandığında — eğer ortada belirli bir grup veya birey protokolü yönetiyor, geliştiriyor veya geliri topluyorsa, o grup VASP olarak değerlendirilebilir.

Kapsam dışında kalanlar:

  • Saf self-custody cüzdan yazılımları: MetaMask, Phantom, Exodus gibi kullanıcının özel anahtarını kendisinin tuttuğu yazılımlar — yazılım sağlayıcısı kendi başına VASP değil.
  • Blockchain ağ operatörleri ve miner'lar: Bitcoin/Ethereum doğrulayıcıları, miner'lar tipik olarak kapsam dışı.
  • Saf bilgi sağlayıcıları: CoinMarketCap, Etherscan gibi blockchain explorer'lar veya fiyat dataları VASP değil.

Sınırın bulanıklaştığı yerler — özellikle DeFi tarafında — bugün hâlâ jurisdiksiyondan jurisdiksiyona farklı yorumlanıyor. AB MiCA, "decentralized" ifadesini sıkı tanımlıyor; UK FCA, "control" testini daha geniş uyguluyor; Türkiye'de KVHS taslağı bu nüansı henüz netleştirmedi.

Türkiye'de VASP: KVHS

Türkçe regülasyon dilinde VASP karşılığı KVHS (Kripto Varlık Hizmet Sağlayıcı). KVHS düzenlemesi rehberimizde detaylı ele aldığımız üzere, Türkiye'nin kripto kapsamı 7518 sayılı kanunla 2024'te şekillendi; sonrasında SPK ikincil mevzuat (yönetmelikler, tebliğler) ile detaylandırma sürecine girdi.

KVHS olarak lisans alabilmek için:

  • Sermaye yeterliliği (taslakta minimum 150 milyon TL özsermaye).
  • BT altyapı denetimi.
  • AML/KYC süreçlerinin MASAK (Mali Suçları Araştırma Kurulu) standartlarına uygunluğu.
  • Risk yönetimi ve sermaye yeterliliği raporlaması.
  • Müşteri varlıklarının ayrıştırılması (segregation).

Türkiye'de KVHS lisansı alan kuruluşlar otomatik olarak FATF Travel Rule kapsamına girer; ulusal mevzuat henüz "Travel Rule" başlığını net çıkarmasa da FATF uyumu KVHS düzenlemesinin temel ilkelerinden.

VASP yükümlülükleri — Operasyonel görünüm

VASP olarak lisans aldığınızda otomatik gelen sorumluluklar:

  1. AML/CFT programı: Müşterini tanı, risk skorlama, yaptırım taraması, şüpheli işlem raporlaması (STR). AML taraması rehberimiz bu çekirdeği detaylandırıyor.
  2. KYC ve müşteri kabulü: Kimlik doğrulama (Türkiye'de SPK uyumlu görüntülü kimlik tespiti, AB'de eIDAS), PEP/yaptırım taraması, beneficial owner tespiti.
  3. Travel Rule: $1.000/€1.000 üstü transferlerde IVMS 101 verisi paylaşımı (AB'de €0 — her transfer). FATF Travel Rule rehberimiz tüm detayı içeriyor.
  4. Blockchain analitiği: Müşteri cüzdan adreslerinin on-chain risk skorlaması (mixer, darknet, sanctions etiketleri). Blockchain AML rehberimiz bu kontrolün anatomisini ele alıyor.
  5. Raporlama: Periyodik regülatör raporlaması (TR'de MASAK'a aylık/üç aylık raporlar, AB'de EBA'ya, UK'de FCA'ya).
  6. Veri saklama: Müşteri kayıtları ve işlem geçmişinin minimum 5-10 yıl saklanması (jurisdiksiyona göre değişir).

Operasyonel olarak en sık unutulan iki yükümlülük: counterparty due diligence (karşı VASP'in lisanslı olduğunun ve sanksiyonlu olmadığının doğrulanması) ve incident reporting (siber güvenlik veya operasyonel olayların yetkili otoriteye bildirilmesi).

Sıkça Sorulan Sorular

Self-custody cüzdan yazılımı geliştiriyorum, VASP miyim?

Hayır — eğer kullanıcı özel anahtarı kendisi tutuyor ve siz hiçbir an müşteri fonlarına erişiminiz yoksa, FATF tanımı kapsamında VASP değilsiniz. Ama eğer cüzdan yazılımı entegre swap, fiat onramp veya custody fonksiyonu sunuyorsa, o entegrasyon noktasında VASP yükümlülüğü doğar. MetaMask Swaps gibi özelliklerde "fonların geçici olarak custodian'da olduğu" mikro saniyeler bile yorumlama meselesi.

Türkiye'de KVHS lisansı yoksa kripto işlemi yapamaz mıyım?

Lisans almadan kripto borsacılık yapmak 7518 sayılı kanunla yasaklandı. Mevcut faaliyet gösteren borsalar SPK'nın belirlediği geçiş takvimi içinde lisans başvurusu yapmak zorunda; lisans alamayan veya başvurmayan kuruluşların faaliyetlerini sonlandırması bekleniyor. Yurt dışı borsa üzerinden bireysel işlem yapmak yasaklı değildir, ama o platformun MASAK ile uyum durumu sizin sorumluluğunuzu etkileyebilir.

MiCA kapsamında VASP karşılığı nedir?

AB MiCA (Markets in Crypto-Assets) düzenlemesi "VASP" yerine CASP (Crypto-Asset Service Provider) terimini kullanır. Tanım büyük ölçüde örtüşür — FATF VASP tanımındaki beş faaliyet MiCA CASP kapsamında da yer alır, ek olarak portföy yönetimi, danışmanlık gibi hizmetler de eklendi. MiCA rehberimiz tam kapsamı ele alıyor.

VASP yükümlülükleri tek başına Travel Rule'dan ibaret değil mi?

Hayır. Travel Rule sadece tek bir parçadır — daha geniş AML/CFT programının (yaptırım taraması, KYC, on-chain risk, raporlama) bir alt başlığıdır. Sadece Travel Rule odaklı düşünmek yetersiz uyum yaratır; regülatör denetiminde diğer kontrollerin eksikliği aynı şekilde ceza ve lisans riski yaratır.

Legichain ile

VASP olarak tüm yükümlülükleri ayrı sistemlerle çözmek operasyonel olarak parçalı. Legichain platformu KYC (dijital KYC, görüntülü KYC), AML ve yaptırım taraması (AML screening), on-chain risk skorlaması (blockchain AML) ve Travel Rule (travel rule) modüllerini tek API katmanı altında sunuyor. Müşteri onboarding'inde başlayan veri akışı, transfer anında Travel Rule mesajına ve raporlama dönemlerinde MASAK formatına otomatik akıyor. Kripto borsalar için çözümlerimiz sayfasında detaylar ve teknik mimari yer alıyor.

Sonraki adımlar

Legichain Team· Compliance editorial

Legichain uyum editör ekibi — EMEA'daki bankalar ve kripto borsalar için AML platformları kurmuş ve entegre etmiş regüle finans gazileri tarafından yazılır.

İlgili yazılar

Bunlar da ilgini çekebilir

travel-rule

Türkiye, AB ve UK Travel Rule Karşılaştırması

Travel Rule küresel bir standart ama uygulama jurisdiksiyondan jurisdiksiyona farklı. Bu rehber Türkiye'nin KVHS taslağı, AB'nin TFR'si (Aralık 2024 yürürlük, €0 eşik) ve UK'nın MLR 2017 değişikliği (Eylül 2023, £1.000 eşik) arasındaki yapısal farkları karşılaştırıyor. Üç pazarda da operasyonel olmayı planlayan VASP'ler için kararsal bir hub makalesi.

Yazıyı oku
travel-rule

Travel Rule Sunrise Problem: Çözüm Stratejileri

Sunrise problem, FATF Travel Rule'un dünya genelinde aynı hızda uygulanmaması nedeniyle ortaya çıkan operasyonel boşluktur. Bu makale problem'in nedenlerini, jurisdiksiyon haritasını, üç ana fallback stratejisini (red, bekletme, saklama), gerçek dünya gap oranlarını ve yakın dönem trendini ele alıyor — özellikle Türk borsalar ve EU/UK ile transfer akışı olan VASP'ler için.

Yazıyı oku
travel-rule

FATF Travel Rule Tam Rehberi: Kapsam, IVMS 101 ve Uygulama

FATF Tavsiye 16'nın sanal varlık transferlerine uyarlanmış hali olan Travel Rule, gönderici ve alıcı VASP'ler arasında belirli kişisel verilerin paylaşımını zorunlu kılıyor. Bu rehber kapsamı, IVMS 101 veri standardını, sunrise problem'i, jurisdiksiyon farklarını (TR, AB, UK) ve 8-adımlı uygulama mimarisini ele alıyor. Türk borsalar, custody hizmeti veren bankalar ve TR/EU/UK'de lisanslı kuruluşlar için pratik kararlar.

Yazıyı oku

Bir öğleden sonrada canlı taramaya geçin.

Ücretsiz çalışma alanı oluşturun, ilk API anahtarınızı bir curl çağrısına yapıştırın, bir sonraki ekip toplantısından önce doğrulanmış müşteri kabul akışını üretime alın. Kart bilgisi gerekmez.

Ücretsiz başlaSatış ekibiyle 30 dakika konuşun