Yaptırım taraması (sanctions screening), bir müşteri, karşı taraf veya işlem tarafının uluslararası ve ulusal yaptırım listelerinde olup olmadığını sorgulayan süreçtir. Türkiye'de 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun kapsamında her finansal yükümlü için zorunludur. Bu yazı yaptırım taramasının nasıl yapıldığını, hangi listelerin tarandığını, eşleşme algoritmasının nasıl çalıştığını ve bir Türk bankası veya PSP'sinin pratikte gerçekleştirmesi gereken adımları anlatır.
Yaptırım Taraması Neden Ayrı Bir Kategori?
AML taraması üç ana dikeyden oluşur: yaptırım, PEP ve adverse media. Diğer ikisinden farklı olarak yaptırım eşleşmesi bağlayıcıdır — opsiyonel risk değerlendirmesi değil. Eşleşme onaylanırsa:
- Müşteri henüz onboarding'de ise hesap açılamaz.
- Mevcut müşteri ise hesap ve varlıklar dondurulur.
- MASAK'a ve gerektiğinde uygun makama bildirim yapılır.
- 6415 sayılı Kanun gereği malvarlığı dondurma kararı uygulanır.
Yanlış eşleşme (false positive) bile maddi-manevi maliyet üretir: müşteri ilişkisi gecikir, ekip kaynağı manuel review'a gider. Bu yüzden yaptırım tarama motorunun hem recall'u yüksek (gerçek eşleşmeyi kaçırmayan) hem precision'u sürdürülebilir (gereksiz alarm üretmeyen) olması gerekir.
Hangi Listeler Taranır?
Türk yükümlüler için referans aldığımız liste setine bakalım.
1. Birleşmiş Milletler Güvenlik Konseyi Konsolide Listesi
BM Güvenlik Konseyi'nin 1267 sayılı Komitesi (El Kaide ve IŞİD) ile 1988 sayılı Komitesi (Taliban) kararları, ve diğer ülke-spesifik kararlar (Kuzey Kore, İran, Libya, vb.) konsolide bir listede toplanır. Türkiye BM üyesi olarak bu kararları doğrudan uygulamakla yükümlüdür; 6415 sayılı Kanun'un 5. maddesi BM kararlarının iç hukuka aktarımının çerçevesini çizer.
Güncelleme sıklığı: haftada birkaç kez. Format: XML.
2. OFAC SDN ve Konsolide Liste
Office of Foreign Assets Control (OFAC), ABD Hazine Bakanlığı'nın yaptırım uygulama birimidir. SDN (Specially Designated Nationals) listesi en geniş ve sık güncellenen yaptırım listesidir. USD üzerinden işlem geçen veya ABD muhabir bankası ile ilişkili her Türk finansal kuruluş — yani fiilen tüm bankalar ve büyük PSP'ler — OFAC SDN'i taramak zorundadır. Aksi takdirde muhabir bankası ilişkisini kaybetme veya secondary sanctions riski doğar.
Güncelleme sıklığı: günde 1-3 kez, bazen daha fazla. Format: XML, CSV.
3. AB Konsolide Yaptırım Listesi
AB Konseyi'nin Ortak Dış ve Güvenlik Politikası kapsamında aldığı kararlar AB Konsolide Listesi olarak yayımlanır. Türkiye AB üyesi olmadığı için bu liste doğrudan bağlayıcı değil, ancak AB'deki muhabir bankalar ve SEPA üzerinden Euro transferleri için pratikte zorunlu.
Güncelleme sıklığı: ayda 4-6 kez. Format: XML.
4. UK HMT OFSI Konsolide Listesi
UK HM Treasury'nin Office of Financial Sanctions Implementation (OFSI) birimi tarafından yönetilen Birleşik Krallık yaptırım listesi. Brexit sonrası AB listesinden divergent. UK'ye iş yapan veya GBP üzerinden işlem geçen Türk kuruluşlar için gerekli.
Güncelleme sıklığı: haftada birkaç kez. Format: CSV, PDF.
5. MASAK Kararname Listeleri
Türkiye'de Cumhurbaşkanlığı kararnameleri ile 6415 sayılı Kanun çerçevesinde alınan malvarlığı dondurma kararları MASAK tarafından yayımlanır. Türk yükümlüler için en doğrudan bağlayıcı listedir.
Güncelleme sıklığı: düzensiz, ihtiyaç oldukça. Format: PDF Resmi Gazete metinleri.
Diğer Ulusal Listeler
İkincil olarak: Kanada OSFI, Avustralya DFAT, İsviçre SECO, ve Türkiye'nin yoğun ticaret yaptığı bazı ülkelerin (Rusya, Çin) ulusal listeleri. Çoğu Türk PSP'si bunları "varsa kapsama dahil et" politikası ile yönetir.
OFAC, BM, AB ve UK yaptırım listeleri karşılaştırması makalemizde her listenin kapsam, format ve eşleşme nüansları detaylı incelenir.
Eşleşme Motoru: Tarama Nasıl Çalışır?
Sorgu: "Hasan Yılmaz, doğum 1972, T.C. uyruğu". Tarama motoru bu sorguyu tüm normalize edilmiş yaptırım kayıtlarına karşı koşturur. Tek bir kayıt değil, eşleşen tüm adayları ve her birinin eşleşme skoru döner.
Eşleşme skoru hesaplanırken kullanılan ana bileşenler:
İsim normalizasyonu. Latin alfabesi normalleşmesi (Türkçe ç/ş/ğ/ı/ö/ü), büyük/küçük harf, noktalama, lakap ayrımı. "Hasan YILMAZ-ÖZER" sorgusu "Hasan Yilmaz Ozer" gibi tüm varyantlara eşleşmeli.
Transliterasyon. Arap, Kiril, Çin harflerinden Latin'e geçiş. "محمد" sorgusu Mohamed, Mohammed, Muhammad, Mohamad gibi tüm Romanizasyonlara eşleşir. Türkiye'nin bölgesel müşteri profili gereği Arap ve Kiril transliterasyon kalitesi false-positive üzerinde doğrudan etkili.
Fonetik eşleşme. Soundex, Metaphone, Beider-Morse gibi algoritmalar — "Stevenson" ve "Stephenson"ı aynı bucket'a koyar. Türkçe için standart algoritmalar yetersiz; Türkçe'ye özel fonetik kuralları eklemek gerekir.
Mesafe metrikleri. Levenshtein (kaç karakter değişikliği), Jaro-Winkler (öneklere ağırlık verir), n-gram benzerliği. Bu üçünün ağırlıklı kombinasyonu skoru üretir.
Ek kimlik ayırıcılar. Doğum tarihi, doğum yeri, uyruğu, T.C. kimlik no, pasaport no. Bunlar varsa eşleşme adayları dramatik şekilde daralır. Sadece isim üzerinden çalışan bir motorun false-positive oranı, ek alan kullanan motora göre 3-5x daha yüksektir.
Motor 0-100 arası skor üretir. Threshold (örn. ≥85) üstündeki eşleşmeler manuel review'a düşer, altındakiler otomatik elenir. Threshold'u nasıl ayarladığınız operasyonel iş yükünü ve risk profilini birlikte belirler.
Tarama Ne Zaman Çalıştırılır?
Müşteri Onboarding Esnasında
Yeni müşteri başvurusu geldiğinde, hesap açılma onayından önce senkron tarama. UX kritik; tarama 100-300 ms içinde tamamlanmalı. Sonuç pozitifse vaka manuel review'a düşer, müşteri "incelemede" durumuna geçer (genelde 24 saat içinde sonuçlandırılır).
İşlem Tarama (Transaction Screening)
Her havale, EFT, SWIFT veya SEPA mesajında gönderici ve alıcı tarafı taranır. SWIFT MT103'ün 50K (gönderici) ve 59 (alıcı) alanları, SEPA pacs.008'in Dbtr ve Cdtr blokları yaptırım motoruna gider. Eşleşme varsa mesaj duraklatılır, manuel review devreye girer.
Bu nokta özellikle false-positive maliyetinin en yüksek olduğu yer. Türkiye'deki büyük bir bankada günlük SWIFT trafiği 50.000-200.000 arasındadır; %1 false-positive bile günde binlerce manuel review demektir.
Periyodik Rescreening
Mevcut müşteri portföyü günlük veya haftalık olarak güncel listelere karşı yeniden taranır. İki yaklaşım:
- Tam tarama: Tüm müşteriler tüm listelere karşı. Hesaplama yoğun ama tam kapsama.
- Delta tarama: Sadece listeye yeni eklenen kayıtlar mevcut portföye karşı sorgulanır. Hafif, hızlı, yeni karara hızlı tepki.
Standart pratik: günlük delta + haftalık tam.
Eşleşme Sonrası: Operasyonel Akış
Bir yaptırım eşleşmesi geldiğinde tipik adımlar:
- Otomatik durdurma: Onboarding'de hesap açılmaz; işlem taramasında mesaj hold'a alınır; mevcut müşteri için işlemler bloklanır.
- Analist atanması: Eşleşme case management sistemine düşer, bir AML analistine atanır.
- İnceleme: Analist eşleşme detayını, müşterinin tam profilini, listedeki kişinin profiliyle karşılaştırır. Doğum tarihi, uyruk, ek kimlik bilgileri kontrol edilir.
- Karar: True positive (gerçek eşleşme) veya false positive (yanlış eşleşme). Karar gerekçeli olarak belgelenmeli.
- True positive aksiyonları: Hesap dondurma, malvarlığı tespit ve bildirim, MASAK'a şüpheli işlem raporu (STR), 6415 sayılı Kanun kapsamında uygun makama bildirim. STR, şüphenin öğrenildiği tarihten itibaren 10 iş günü içinde sunulur.
- False positive aksiyonları: Hesap açma/işlem serbest bırakma. Eşleşme "elenmiş" olarak kapatılır; aynı müşteri için gelecekte aynı eşleşme tekrarlanırsa otomatik filtrelenir (match grouping).
- Audit kaydı: Tüm süreç belgeli; 5549 sayılı Kanun kapsamında 8 yıl saklama.
Eşleşme Yönetimi: Operasyonel Ekip Yapısı
Yaptırım taraması üreten eşleşmelerin işlenmesi tipik ekip yapısı:
Tier-1 analist: Günlük gelen rutin eşleşmeleri inceler. Yaygın isim çakışmaları, DOB uyumsuzlukları, basit false positive kararları. Hız metriği: saatte 15-30 vaka.
Tier-2 analist: Karmaşık eşleşmeler (eşleşen ad ve kısmi DOB eşleşmesi, çoklu liste eşleşmesi, ek araştırma gerektiren vakalar). Saatte 3-8 vaka.
Sanctions specialist: True positive doğrulanan eşleşmeler; yaptırım rejimi yorumu, secondary sanctions değerlendirmesi, asset freeze sürecini yönetir. Vaka başına gün-saat ölçeğinde efor.
MLRO onayı: STR ve asset freeze bildirimlerinin nihai onayı. Tüm true-positive sanctions hit'leri MLRO seviyesinde imza ister.
Dört göz prensibi: True positive olarak işaretlenen her eşleşme, ikinci bir analistin doğrulamasından geçer. Hatalı asset freeze ve onarımı çok pahalı.
Eskalasyon: Tier-1 analistinin emin olmadığı vaka Tier-2'ye; Tier-2 emin olmadığı durumda sanctions specialist'e; specialist emin olmadığı durumda MLRO'ya.
Operasyonel SLA örnekleri:
- Onboarding eşleşme kapanış: <4 saat (müşteri bekliyor)
- Transaction screening eşleşme kapanış: <2 saat (işlem hold'da)
- Rescreening eşleşme kapanış: <24 saat (acil değil ama unutulmamalı)
- True positive sanctions hit MLRO eskalasyonu: <1 saat (asset freeze süresi kritik)
Türkiye'de Spesifik Yükümlülükler
5549 sayılı Kanun'un 4. maddesi yaptırım tarama yükümlülüğü olan yükümlüleri listeler: bankalar, ödeme kuruluşları, e-para kuruluşları, sermaye piyasası aracıları, sigorta şirketleri, KVHS'ler (Kripto Varlık Hizmet Sağlayıcıları), döviz büroları ve diğerleri.
6415 sayılı Kanun'un 6. maddesi malvarlığı dondurma yükümlülüğünü düzenler: Cumhurbaşkanlığı kararnamesi ile listeye eklenen kişi/kuruluşların hesap ve varlıkları derhal dondurulmalı, ilgili makama 24 saat içinde bildirilmelidir.
MASAK'ın 5 No'lu Tebliği uzaktan müşteri tanıma esnasında tarama yükümlülüğünü, 16 No'lu Yönetmeliği şüpheli işlem raporlama formatını, 9 No'lu Tebliği STR akışını düzenler. Detaylı çerçeve için MASAK uyumluluğu rehberi ve Türkiye AML/KYC uyum rehberi bölümlerine bakın.
Yaptırım Taramasında Yaygın Hatalar
Sadece isim eşleştirmek. Doğum tarihi, uyruk gibi disambiguating alanları kullanmamak. False-positive 3-5x artar.
Eşik tek değer tutmak. Düşük riskli müşterilerde threshold 80, yüksek riskli müşterilerde 70 olabilir. Tek değer hem fazla alarm hem riski kaçırma getirir.
Liste güncelleme gecikmesi. OFAC bir kişiyi eklediği gün, sizin sistem dünkü listeyle çalışıyorsa, denetimde sorun. Hedef <30 dakika.
Türkçe karakter desteği eksikliği. "İlhan" sorgusu listede "Ilhan" olarak duruyorsa, basit Latin karşılaştırması başarısız olur. Karakter normalizasyon katmanı şart.
Match grouping yok. Aynı müşteri için aynı eşleşme her gün tekrar manuel review'a düşüyorsa, ekip mantıken yorulur ve sonunda otomatik "elenmiş" damgası vurmaya başlar — gerçek risk gözden kaçar.
Yaptırım Kaçınma (Sanctions Evasion) Red Flag'leri
Yaptırım taraması ham eşleşme üretir, ama yaptırım kaçınma çok daha incelikli olur. Asıl yaptırım hedefi listede; ama proxy şirketler, mahkum edilmemiş aile fertleri, off-shore yapı zincirleri ile tarama atlatılabilir. Pratik red flag setimiz:
- Aniden yüksek hacim: Müşteri tarihi düşük hacimli iken, son 30-60 gün içinde dramatik tutar artışı
- Yüksek riskli jurisdiction transit: İşlemler Türkiye → Singapore/Hong Kong/BAE → yaptırım rejimi içeren ülke örüntüsü
- Carşaftan-ödeme: Müşterinin önceki iş profili ile uyuşmayan ödeme tipi (örn. üretim şirketinin aniden danışmanlık ödemesi göndermesi)
- Layered ownership: İşlemin nihai faydalanıcısı 3+ katmanlı offshore yapıdan tespit edilemiyor
- Off-color counterparty: Karşı taraf adı bilgisinin sağlayıcı internet aramada hiçbir iz bırakmaması
- Geographic + relationship triangulation: Yüksek-riskli ülkede mukim küçük şirket + UBO'nun yaptırım kapsamındaki kişiyle akrabalık
- Şubelendirme örüntüsü (structuring): Eşik altında çoklu işlemle bildirim yükümlülüğünden kaçınma
Bu red flag'lerin sistem tarafından tespiti pure-sanctions tarama dışında transaction monitoring katmanını gerektirir. Yaptırım taraması temel; transaction monitoring + behavioural analytics yaptırım kaçınma için kritik.
Sıkça Sorulan Sorular
Yaptırım taraması ile PEP taraması arasındaki fark nedir?
Yaptırım taraması, hükümetlerin veya uluslararası kuruluşların aldığı bağlayıcı kararlara dayalıdır — eşleşme onaylanırsa hesap dondurma/red zorunlu. PEP taraması ise risk değerlendirmesidir; eşleşme müşterinin politik nüfuz sahibi olduğunu gösterir, ama bu kendiliğinden suç ya da yasak değil. Sadece Enhanced Due Diligence ve daha yakın izleme gerektirir.
OFAC SDN'i taramak zorunda mıyız?
ABD vatandaşı değil ya da ABD'de fiziki varlığı yok bir Türk PSP teknik olarak ABD jurisdiction'ı dışındadır. Ancak USD üzerinden işlem geçen veya muhabir banka ilişkisi olan her kuruluş, muhabir bankanın kendi compliance gereği OFAC SDN tarayanlardan iş kabul eder. Pratikte: USD ile çalışan her Türk finansal kuruluş OFAC SDN tarar.
Yaptırım eşleşmesinde MASAK'a kaç günde bildirim yapılır?
Şüpheli işlem raporu (STR) için 5549 sayılı Kanun ve 16 No'lu MASAK Yönetmeliği 10 iş günü süre tanır — şüphenin öğrenildiği tarihten itibaren. 6415 sayılı Kanun kapsamında malvarlığı dondurma yükümlülüğü için ise süre çok daha kısadır (genellikle 24 saat) ve doğrudan ilgili makama bildirim gerekir.
False positive'i %1'in altına indirmek mümkün mü?
Yaptırım taramasında %1 altı false-positive oranı pratikte zor. Sebebi: yaptırım listeleri yaygın isimler içerir (örn. "Mohammed"), sizin müşteri portföyünüzde de yaygın isimler vardır. %0.5-1 aralığı çok iyi performansı işaret eder. PEP ve adverse media için oranlar daha yüksektir. False positive azaltma rehberimiz bu konuda detaylı.
Üçüncü taraf liste sağlayıcısı (Dow Jones, Refinitiv) kullanmak şart mı?
Hayır, ama pratikte mantıklı. Liste sağlayıcıları kaynak verisini normalize eder, alias'ları zenginleştirir, format değişikliklerini idare eder. Kendi başınıza OFAC, UN, EU ve UK listelerini sürdürmek 3-4 kişilik bir veri ekibi gerektirir. Vendor liste lisansı + tarama motoru çözümü (Legichain dahil) bu yükü kaldırır.
Legichain ile Yaptırım Taraması
Legichain AML tarama API'si BM, OFAC SDN ve konsolide, AB, UK HMT OFSI ve MASAK kararname listelerini tek bir normalize edilmiş kaynakta sunar. Liste güncelleme gecikmemiz ortalama <15 dakika (OFAC için), Türkçe karakter normalizasyonu ve Arap/Kiril transliterasyon production'da test edilmiş eşleşme katmanı içerir.
Senkron API onboarding için (<200 ms p99), batch endpoint günlük rescreening için, message-level entegrasyon SWIFT ve SEPA transaction screening için hazır. Eşleşme skoru ve hit kaynağı response'ta detaylı döner; case management entegrasyonu için webhook desteği var.