Giriş

Türkiye'de ödeme hizmetleri rejimi, 2013 tarihli 6493 sayılı Kanun'un üzerine kademeli olarak inşa edildi. Sektörün günlük operasyonunu asıl şekillendiren ise 1 Aralık 2021 tarihli ve 31676 sayılı Resmi Gazete'de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik oldu. Yönetmelik; lisans başvuru aşamaları, asgari sermaye gereksinimleri, iç sistemler, açık bankacılık, müşteri fonlarının korunması ve bilgi işlem altyapısı gibi konuları ayrıntılandırır.

Bu yazıda 2021 Yönetmeliği'nin mimarisini, lisans sürecinin aşamalarını ve ödeme kuruluşu ile elektronik para kuruluşu adayları için pratik önceliklendirmeyi ele alıyoruz.

Yasal Mimari ve Aktörler

6493 sayılı Kanun, ödeme ekosistemini üç ana kategoriye ayırır:

Ödeme kuruluşları — para gönderme, havale, fatura tahsilat, kart kabul, hesap hizmetleri gibi ödeme hizmetleri sağlayan şirketler.
Elektronik para kuruluşları — elektronik para ihraç eden ve elektronik para bakiyesi üzerinden işlem gerçekleştiren şirketler.
Ödeme hizmet sağlayıcılar — bankalar dâhil, ödeme hizmeti sunan tüm kurumların genel çerçevesi.

Düzenleme ve denetim yetkisi TCMB'de toplanmıştır. 2021 yönetmelik değişikliği ile ödeme hizmetlerinin ikincil çerçevesi — lisans, faaliyet izni, uyum, bilgi işlem ve raporlama — tek bir yönetmelik altında birleştirildi.

AB PSD2 ile yakınsama

2021 Yönetmeliği, AB'nin PSD2'sine (2015/2366) anlamlı biçimde yakınsayan hükümler getirir. Özellikle açık bankacılık, kuvvetli müşteri kimlik doğrulaması, işlem bildirimi gibi alanlar PSD2 çerçevesinin Türk versiyonu sayılabilir.

Faaliyet İzni Başvuru Süreci

2021 Yönetmeliği'nin getirdiği net bir yapılandırma, faaliyet izni sürecinin iki aşamaya ayrılmasıdır:

Birinci aşama: İstihbari inceleme

Şirket, TCMB'ye istihbari inceleme için başvurur. Bu aşamada incelenen temel belgeler:

Şirket ana sözleşmesi ve ortaklık yapısı,
Sermaye kaynağı ve ortakların mali durum belgeleri,
Yöneticilerin mesleki, mali ve itibari yeterliği (kurucu ortakların niteliği),
Sunulacak ödeme hizmetlerinin tanımı ve iş modeli,
Risk yönetim çerçevesinin temel tasarımı,
Teknoloji altyapı özeti.

Banka'nın istihbari incelemede olumlu yanıt vermesi, ikinci aşamaya geçiş için koşuldur.

İkinci aşama: Nihai onay

Nihai onay başvurusunda şirketin — bu aşamada fiilen kurulmuş veya ilgili sözleşmeleri hazır hâle getirmiş olması beklenir. İncelenen ek belgeler:

Asgari sermayenin muvazaadan ari biçimde nakden ödendiğine dair belgeler,
Başlangıç sermayesi ve asgari özkaynak tutarının karşılandığı,
İç denetim, risk yönetim ve uyum birimlerinin yapılanması,
Bilgi işlem altyapısının, Yönetmelik'te belirtilen teknik gereklilikleri karşıladığının belgesi,
Fonların korunmasına ilişkin yöntem (ayrı hesap, teminat mektubu, sigorta),
Müşteri sözleşmeleri, şikâyet yönetimi prosedürü,
MASAK uyum programı.

Nihai onay verildikten sonra şirket ödeme hizmeti sunmaya başlayabilir; onay öncesi sunulan faaliyet izinsiz sayılır ve yaptırıma tabidir.

Asgari Sermaye Gereksinimleri

2021 Yönetmeliği, sunulan ödeme hizmetine göre farklı sermaye katmanları belirler:

Fatura ödemesi aracılığı ve benzer sınırlı hizmetler için asgari 1.000.000 TL,
Diğer ödeme hizmetleri için asgari 2.000.000 TL,
Elektronik para ihracı için asgari 5.000.000 TL.

Bu rakamlar Yönetmelik'in yayımlandığı tarihte belirlenmiş olup ileride güncellenebilir; başvuru öncesi güncel tutarın TCMB duyurularından kontrol edilmesi gerekir. Ayrıca şirketin yıllık işlem hacmine bağlı olarak hesaplanan asgari özkaynak gerekliliği, başlangıç sermayesinin üstünde ek bir çerçeve oluşturur.

Müşteri Fonlarının Korunması

Ödeme kuruluşları ve elektronik para kuruluşları, müşterilerden aldıkları fonları kendi mal varlıklarından ayrı tutmak zorundadır. 2021 Yönetmeliği üç alternatif koruma yöntemi öngörür:

Bankada müşteri fonları için açılmış, şirketin ticari hesaplarından ayrı bir hesap,
Banka teminat mektubu,
Bu amaçla yapılan sigorta sözleşmesi.

Hangi yöntem seçilirse seçilsin, müşteri fonlarının iflas, haciz veya mali sıkıntı hâllerinde korunması garanti altına alınmalıdır. Bu, ödeme kuruluşlarının güvenilirliğinin temel taşıdır.

Açık Bankacılık ve Üçüncü Taraf Sağlayıcılar

2021 Yönetmeliği, açık bankacılık için ödeme başlatma hizmeti sağlayıcıları (ÖBHS) ve hesap bilgisi hizmeti sağlayıcıları (HBHS) kategorilerini düzenler. Bu aktörler, müşterinin izniyle onun banka hesaplarına erişip işlem başlatabilir veya hesap özeti alabilir.

Açık bankacılığın pratikte işlemesi için:

Bankaların ÖBHS ve HBHS'ye açık API erişimi sağlaması,
Kuvvetli müşteri kimlik doğrulamasının (SCA — Strong Customer Authentication) uygulanması,
İşlem onay süreçlerinin teknik standartlara uygun olması şarttır.

Türkiye'de bu çerçeve, PSD2'nin RTS'leriyle paralel ama tam olarak aynı olmayan teknik standartlarla uygulanmaktadır.

Bilgi İşlem Altyapısı ve Bulut Kullanımı

2021 Yönetmeliği, ödeme hizmet sağlayıcılarının bilgi işlem altyapıları için somut gereklilikler getirir:

İşlem verilerinin Türkiye'de yurt içi sunucularda saklanması kural,
Belirli verilerin yurt dışı saklanması ancak TCMB'nin onayı veya muafiyetiyle mümkün,
Dış hizmet alımı (outsourcing) için önceden TCMB'ye bildirim ve belirli durumlarda onay zorunluluğu,
Olağandışı durum kurtarma planı, iş sürekliliği yönetimi,
Siber güvenlik denetimleri (bağımsız sızma testi dâhil) periyodik olarak yaptırılır.

Bulut sağlayıcılarla çalışan ödeme kuruluşları, hem TCMB hem KVKK hem de MASAK çerçevesinde veri aktarımı ve erişim güvenliği konularını birlikte yönetmek zorundadır.

Uyum ve MASAK

Ödeme kuruluşları ve elektronik para kuruluşları, MASAK tarafından finansal kuruluş olarak kabul edilir. Bu, bankalarla aynı düzeyde AML/CFT yükümlülüğü anlamına gelir:

Uyum görevlisi atanması,
Risk temelli müşteri tanıma programı,
Şüpheli işlem bildirim sistemi,
Yaptırım listesi taraması,
Kayıt tutma ve 8 yıllık saklama,
Düzenli eğitim ve iç denetim.

Elektronik para kuruluşları için, yüksek hacimli ve hızlı işlem yapıları nedeniyle MASAK denetimleri yoğun seyreder.

Ödeme Kuruluşları İçin Pratik Önceliklendirme

Faaliyet izni almak isteyen veya mevcut lisansını sürdüren ödeme kuruluşları için önerilen öncelik sırası:

Aşama 0 — Strateji: Sunulacak ödeme hizmetinin net tanımı, PSD2 ve 6493 tanımlamalarıyla eşleştirme, asgari sermaye ve özkaynak planlaması.
Aşama 1 — Kurumsal yapılandırma: Şirket kuruluşu, ortaklık yapısı, kurucu ortakların yeterlik belgeleri, ana sözleşme tasarımı.
Aşama 2 — İç sistemler tasarımı: İç kontrol, risk yönetim, iç denetim ve uyum birimlerinin organizasyonu.
Aşama 3 — Bilgi işlem altyapısı: Yurt içi sunucu stratejisi, bulut kullanım izinleri, siber güvenlik testleri, iş sürekliliği.
Aşama 4 — Hukuki çerçeve: Müşteri sözleşmeleri, gizlilik politikası, şikâyet yönetimi prosedürü, fon koruma yöntemi sözleşmeleri.
Aşama 5 — İstihbari inceleme başvurusu TCMB'ye.
Aşama 6 — Nihai onay başvurusu ve faaliyet başlangıcı.
Aşama 7 — Sürekli uyum: yıllık raporlamalar, bağımsız sızma testleri, MASAK eğitim ve denetimleri, KVKK uyumu.

Süreç, tipik olarak 12-24 ay arasında seyreder. Başvuru öncesinde hukuki ve teknik ekiplerin birlikte çalışması, başvurunun ilk aşamada geri dönmemesi için belirleyicidir.

Sonuç

TCMB'nin 2021 Yönetmeliği, Türkiye'deki ödeme sektörünü uluslararası pratiklerle yakınsayan, belgelenebilir ve denetlenebilir bir çerçeveye taşıdı. Lisans alan sağlayıcılar için rejim öngörülebilir bir zemin sunar; buna karşılık uyum maliyeti ve operasyonel disiplin beklentisi yüksektir. Ödeme kuruluşlarının TCMB, MASAK, KVKK, siber güvenlik ve — kripto varlıkla temas eden noktalarda — SPK düzenlemelerini birlikte yönetmesi, orta vadede kaçınılmaz bir yönetişim pratiği hâline gelmiştir.

Hukuk ve uyum ekipleri, ödeme kuruluşunun iş ekipleriyle birlikte oturup düzenleyici duyuruları (TCMB ilke kararları, MASAK genelgeleri, Kurul rehberleri) canlı biçimde izlemeli; her yıl asgari bir kez çerçeveyi yeniden haritalandırmalıdır. Bu ritim kurulduğunda, hem yaptırım riski hem de iş sürekliliği açısından dayanıklı bir yapı elde edilir.

Türkiye'de Ödeme Hizmetleri Yönetmeliği: Lisans, Faaliyet ve Denetim Çerçevesi