Kripto Varlık Hizmet Sağlayıcıları: SPK, MASAK ve Yeni Uyum Çerçevesi

Giriş

Türkiye, uzun süredir süregelen kripto varlık regülasyon belirsizliğini 2024 yılında büyük ölçüde sona erdirdi. 2 Temmuz 2024 tarihinde Resmi Gazete'de yayımlanan 7518 sayılı Kanun, 6362 sayılı Sermaye Piyasası Kanunu'na eklenen hükümlerle kripto varlık hizmet sağlayıcılarını (KVHS) Sermaye Piyasası Kurulu'nun (SPK) düzenleme ve denetim yetkisi altına aldı. 2024 sonunda ise MASAK Tedbirler ve Uyum Yönetmeliği değişiklikleriyle KVHS'ler finansal kuruluş tanımı içine alındı; Travel Rule uygulaması ve kapsamlı uyum programı yükümlülükleri devreye girdi.

Bu yazıda yeni rejimin SPK ayağını, MASAK çerçevesini, yabancı platformların Türkiye'ye yönelik faaliyetlerine getirilen sınırları ve KVHS'ler için önceliklendirilmesi gereken uyum adımlarını ele alıyoruz.

Yasal Mimari

7518 sayılı Kanun ve SPK yetkisi

7518, 6362 sayılı Kanun'a üç temel konseptle müdahale etti:

• Kripto varlık kavramının tanımı,
• Kripto varlık hizmet sağlayıcısı (KVHS) tanımı ve kapsamdaki faaliyetler (alım-satım, saklama, transfer, takas, cüzdan anahtarlarının yönetimi),
• Faaliyet izni, iç sistem gereklilikleri, müşteri varlıklarının ayrı tutulması ve yaptırımlar için SPK yetkisi.

Kanun, yabancı platformların Türkiye'de yerleşik kişilere yönelik doğrudan ya da dolaylı pazarlama veya Türkçe web sitesi üzerinden hizmet sunmasını açıkça yasaklar (m. 99/A); izinsiz faaliyet cezai yaptırıma bağlanmıştır.

SPK tebliğleri

2025 yılında SPK; KVHS'lerin faaliyet izni, iç kontrol ve risk yönetim sistemleri, müşteri varlıklarının korunması, işlem kuralları ve bilgi işlem altyapısı gibi alanları düzenleyen tebliğler yayımladı. Faaliyet izninin aşamaları (istihbari inceleme, nihai onay), asgari sermaye gereksinimleri, yöneticilerin mali ve mesleki yeterlik şartları bu tebliğler çerçevesinde somutlaştı.

MASAK yönetmelik değişiklikleri

25 Aralık 2024 tarihli Resmi Gazete'de yayımlanan MASAK Tedbirler Yönetmeliği ve Uyum Yönetmeliği değişiklikleri, iki önemli yenilik getirdi:

1. KVHS'nin finansal kuruluş kapsamına alınması. Bu, bankalar, ödeme ve elektronik para kuruluşları, sigorta şirketleri, sermaye piyasası kuruluşları gibi kurumlara uygulanan AML/CFT yükümlülüklerinin — müşteri tanıma, şüpheli işlem bildirimi, uyum görevlisi atama, uyum programı kurma — KVHS'lere de uygulanacağı anlamına gelir.
2. Travel Rule uygulaması. Belirli eşikteki (15.000 TL) transferlerde gönderen ve alıcı tarafın bilgileri, transfere eşlik etmek zorunda. Bu kural FATF'ın 16 No'lu tavsiyesinin Türkiye'deki uygulamasıdır.

KVKK ve veri koruma katmanı

KVHS'ler, müşteri tanıma (KYC) süreçlerinde biyometrik veri, kimlik belgesi görüntüsü, adres bilgileri gibi hassas ve geniş kapsamlı kişisel veri işler. KVKK m. 6 (özel nitelikli veriler) ve m. 9 (yurt dışı aktarım) KVHS faaliyetinin zemininde süreklidir; özellikle uluslararası bulut altyapılarının veya yabancı KYC sağlayıcılarının kullanıldığı yapılarda standart sözleşme veya BCR mimarisi zorunluluk hâline gelir.

KVHS'ler İçin Önceliklendirilmiş Uyum Adımları

1. SPK faaliyet izni başvurusu

Faaliyet izni, KVHS'nin Türkiye'de hizmet sunabilmesinin ilk koşulu. Başvuru sürecinin boyutu ve takvimi tipik olarak 6-12 ay aralığında seyreder; gereken belgeler arasında şirket ana sözleşmesi, ortaklık yapısı, sermaye kaynağı, yönetici beyanları, iç sistemler, bilgi işlem altyapısı ve iş planı yer alır.

2. Müşteri varlıklarının ayrı tutulması

Müşteri kripto varlıklarının, KVHS'nin kendi varlıklarından hukuki ve muhasebesel olarak ayrı tutulması — iflas, haciz veya hack senaryolarında müşterinin korunması için kritiktir. Saklama altyapısının (cüzdan mimarisi, çoklu imza, offline storage) bu ayrımı teknik olarak sağlaması gerekir.

3. MASAK uyum programı

KVHS'lerin en geç SPK faaliyet izni alırken MASAK uyum programına sahip olması bekleniyor. Programın temel bileşenleri:

• Uyum görevlisi atanması — uyum görevlisi KVHS'nin MASAK nezdindeki irtibat noktasıdır.
• Risk yönetim politikası — müşteri, ürün, kanal ve coğrafya bazlı risk sınıflandırması.
• Müşteri tanıma (KYC) prosedürleri — kimlik doğrulama, lehdar tespit, siyasi nüfuz sahibi kişi (PEP) kontrolü, yaptırım listesi taraması.
• Şüpheli işlem bildirim (ŞİB) prosedürleri — bildirim eşikleri, iç yükseltme, MASAK'a bildirim mekanizması.
• Kayıt tutma — müşteri, işlem ve yazışma kayıtlarının asgari saklama süresi kadar tutulması.
• Eğitim programı — tüm personelin AML/CFT farkındalığı.
• Bağımsız denetim — uyum programının etkinliğinin iç veya dış denetimle kontrolü.

4. Travel Rule altyapısı

15.000 TL eşiği üzerindeki transferlerde gönderen ve alıcı bilgilerinin transfere eşlik etmesi için operasyonel bir altyapı gerekir. Pratikte KVHS'ler:

• Diğer KVHS'lerle Travel Rule bilgi paylaşımı için arayüz kurmalı (IVMS 101 gibi standartlar),
• Blockchain üzerinde transfer edilen varlıklarda Travel Rule bilgisini karşı tarafla paylaşma mekanizmasını uygulamaya koymalı,
• Bilgi eksik veya şüpheli görüldüğünde işlemi reddetme veya tutma prosedürü tanımlamalı.

5. Yabancı platform kısıtlamaları

Türkiye'de yerleşik müşterilere hizmet sunan yabancı platformlar; yerel şirket kurma, SPK faaliyet izni alma zorunluluğuna tabi. Yabancı platformların Türkiye'ye yönelik pazarlamayı sınırlandırması, iş ortaklıklarında yerel ortak vasıtasıyla yürütülen operasyonları gözden geçirmesi gereklidir.

6. Sözleşme mimarisi

KVHS'nin müşteri ilişkilerinde kullandığı sözleşmeler — hesap açılış sözleşmesi, kullanım koşulları, saklama sözleşmesi — SPK tebliğlerine uygun olmak zorunda. Müşteri aleyhine ağır hükümler, orantısız sorumluluk kısıtlamaları ve uyuşmazlık çözüm mekanizmalarındaki zorluklar SPK denetiminde sorun olarak çıkar.

7. Veri koruma çerçevesi

KVHS'nin KYC ve işlem verileri için veri koruma etki analizi (DPIA) yapması; biyometrik KYC kullanılıyorsa 2018/10 sayılı Kurul kararındaki yeterli önlemlerin uygulanması; yurt dışı bulut sağlayıcıları kullanıldığında standart sözleşme imzalanması ve bildirilmesi gerekir.

8. Siber güvenlik ve operasyonel dayanıklılık

KVHS'lerin siber saldırı, hack ve cüzdan ihlal vakaları için olay müdahale planı, sigorta ve yedekli altyapı kurması bekleniyor. 2025'te yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu, KVHS'ler için de beklenen ikincil düzenlemelerde ek yükümlülükler doğurabilir.

Yabancı KVHS'ler İçin Türkiye Stratejisi

Kanun'un 99/A maddesi, Türkiye'de yerleşik kişilere yönelik izinsiz faaliyeti cezai yaptırıma bağlar. "Yönelik" kriteri uygulamada şu yollarla ortaya çıkar:

• Türkçe web sitesi veya Türkçe dilinde kullanıcı arayüzü,
• Türkiye'de kayıtlı ofis, adres veya müşteri destek kanalı,
• Türkiye'de aktif pazarlama, reklam veya sponsorluk faaliyeti,
• TL ile işlem veya Türkiye kart çıkaran bankalarla entegrasyon.

Yabancı platformların bu kriterlerden pasifçe uzak durması yeterli kabul edilmemekte; Türkiye müşterilerine hizmet sunumu tespit edildiğinde aktif olarak sözleşme feshi ve platform erişiminin engellenmesi beklenmektedir. Yerleşik ofis kurarak yerel şirket ile SPK faaliyet izni alma, tam uyumun tek yoludur.

Sonuç

Türkiye'de kripto varlık rejimi, uzun yıllar süren belirsizliğin ardından SPK + MASAK ikili yapısına oturdu. Bu, KVHS'ler için bir uyum maliyeti olduğu kadar — paradoksal biçimde — piyasada güven zeminini güçlendiren bir çerçevedir. Regülasyona uyumlu çalışan sağlayıcılar, kurumsal müşterileri ve banka-ödeme işbirliklerini çekmede belirgin bir avantaj elde edecek; uyumsuzlar hem cezai yaptırım hem de bankacılık sisteminden dışlanma riskiyle karşılaşacak.

KVHS uyumu tek başına SPK veya MASAK tebliğlerine değil; KVKK, 7545 sayılı Siber Güvenlik Kanunu, tüketici mevzuatı ve — uluslararası faaliyetler söz konusuysa — FATF ve AB MiCA çerçevesine de uyumu gerektiren çok katmanlı bir disiplindir. Önümüzdeki dönemde bu alanlar birlikte izlenmezse, tek bir eksiklik tüm yapının faaliyet iznini riske atabilir.