Kurucu
November 30, 2025
20 min read
Türkiye'de blokzincir ve kripto varlık ekosistemi, 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve 6362 Sayılı Sermaye Piyasası Kanunu ekseninde köklü bir paradigma değişimi yaşamaktadır. Artık sadece bir yazılım şirketi veya teknoloji sağlayıcısı olmanın ötesine geçerek, tam teşekküllü bir Finansal Kuruluş Statüsü taşıyan Kripto Varlık Hizmet Sağlayıcılar (KVHS) için oyunun kuralları, bankacılık standartlarına eşdeğer bir ciddiyetle yeniden yazılmıştır.
Bu yeni dönemde uyum, bir maliyet kalemi değil; lisansın devamlılığı ve operasyonel sürdürülebilirlik için hayati bir "anayasal zemin"dir. Genesis Hukuk olarak bizler, sadece hukuki metinleri yorumlamıyor; teknik mimarinizin (API entegrasyonları, cüzdan yapıları, veri akışları) bu regülasyonlara nasıl konuşacağını kurguluyoruz. Bu rehber, MASAK Uyum Programı oluşturmaktan operasyonel risk yönetimine kadar, mevzuatı teknik bir yol haritasına dönüştürmeniz için hazırlanmıştır.
Kripto varlık sektöründeki düzenleyici çerçevenin en kritik adımı, aktörlerin tanımlanması ve statülerinin netleştirilmesidir. Yapılan son düzenlemelerle birlikte KVHS'ler, yükümlülükler hiyerarşisinde en üst seviyeye taşınmıştır.
6362 Sayılı Sermaye Piyasası Kanunu ve ilgili yönetmelikler uyarınca Kripto Varlık Hizmet Sağlayıcı (KVHS) tanımı; sadece alım-satım işlemlerine aracılık eden borsaları (Platformlar) değil, aynı zamanda kripto varlık saklama hizmeti sunan kuruluşları ve bu varlıkların ilk satış ya da dağıtımını yapanları da kapsamaktadır.
Buradaki en kritik hukuki dönüşüm, KVHS'lerin MASAK mevzuatı (Tedbirler Yönetmeliği Md. 4) kapsamında açıkça bir "Finansal Kuruluş" olarak tanımlanmasıdır. Bu statü değişikliği KVHS'leri basit birer "yükümlü" olmaktan çıkarıp; bankalar, ödeme kuruluşları ve sermaye piyasası aracı kurumları ile aynı sınıfta, ağırlaştırılmış sorumluluklara tabi tutmuştur. Dolayısıyla, bir KVHS'nin operasyonel süreçleri, bir fintech girişiminden ziyade, denetime tabi bir banka titizliğinde kurgulanmalıdır.
"Finansal Kuruluş" statüsünün getirdiği en somut ve kapsamlı yükümlülük, MASAK Uyum Programı oluşturma zorunluluğudur. Uyum Yönetmeliği'nin 4. maddesi uyarınca; bankalar ve sermaye piyasası kurumları gibi, Kripto Varlık Hizmet Sağlayıcılar da risk temelli bir yaklaşımla uyum programı oluşturmakla yükümlü kılınmıştır.
Bu program kağıt üzerinde kalan bir politika belgesi değil; kurumun risk yönetimi, izleme, kontrol ve eğitim faaliyetlerini içeren canlı bir organizmadır. Programın nihai sorumluluğu Yönetim Kurulu'ndadır ve program kapsamında yürütülen faaliyetler Yönetim Kurulu'nun gözetim ve denetiminde icra edilmelidir. Uyum programınız, teknik altyapınızla (örneğin işlem izleme yazılımlarınızla) entegre çalışmıyorsa, hukuken "etkin" sayılmaz.
Finansal kuruluş statüsünün doğal bir sonucu olarak, KVHS'lerin risk temelli bir yaklaşımla kapsamlı bir uyum programı oluşturması şarttır. Uyum Yönetmeliği'nin 4. ve 5. maddeleri uyarınca, bu programın asgari olarak şu bileşenleri içermesi gerekmektedir:
Kurum Politikası ve Prosedürleri: İşletme büyüklüğü ve işlem hacmi gözetilerek yazılı hale getirilmiş, yönetim kurulu onaylı politikalar.
Risk Yönetimi: Müşteri, hizmet ve ülke risklerinin tanımlanması ve derecelendirilmesi.
İzleme ve Kontrol: İşlemlerin sürekli takibi ve yüksek riskli durumların tespiti.
Eğitim ve İç Denetim: Personelin düzenli eğitimi ve sistemin bağımsız denetimi.
Eğer KVHS, bir "Finansal Grup" (ana kuruluşa bağlı şirketler topluluğu) içerisindeyse, uyum süreçleri tek bir merkezden yönetilebilir. MASAK Rehberi'ne göre; finansal gruba bağlı kuruluşlar, müşterinin tanınması, hesap ve işlemlere ilişkin bilgileri grup içerisinde paylaşabilirler. Grup içi bilgi paylaşımında, özel kanunlarda yer alan gizlilik hükümleri (müşteri sırrı vb.) ileri sürülerek bilgi paylaşımından kaçınılamaz. Bu düzenleme, grup şirketlerinin ortak bir "Blacklist" veya "Risk Veritabanı" kullanmasına hukuki zemin hazırlar.
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
KVHS'ler için getirilen en kritik idari şartlardan biri, uyum programının yürütülmesi için "Münhasıran Uyum Görevlisi" atanması zorunluluğudur. Bu pozisyon, diğer departmanlardan bağımsız, doğrudan Yönetim Kurulu'na veya Genel Müdür'e bağlı, icracı olmayan birimlerden ayrıştırılmış, idari düzeyde yetkilendirilmiş bir statüdür.
Mevzuat, bu göreve atanacak kişilerde yüksek standartlar aramaktadır. Uyum Görevlisi olarak atanacak kişinin taşıması gereken şartlar şunlardır:
Türk vatandaşı olması ve kamu haklarından mahrum bulunmaması,
Türkiye'de veya denkliği kabul edilen yurt dışı kurumlarda en az 4 yıllık lisans eğitimi almış olması,
Finansal kuruluşlarda veya MASAK/denetim birimlerinde en az 5 yıl mesleki deneyime sahip olması,
Zimmet, dolandırıcılık, kaçakçılık veya terörizmin finansmanı gibi suçlardan hüküm giymemiş olması.
Ayrıca, uyum görevlisinin "Münhasıran" atanması; bu kişinin satış, pazarlama veya operasyon gibi gelir getirici faaliyetlerde görev alamayacağı, sadece ve sadece uyum süreçlerine odaklanması gerektiği anlamına gelir. Yasal düzenlemeler gereği, uyum görevlisine bağlı çalışan ve programın yürütülmesinden sorumlu bir Uyum Birimi oluşturulması ve bu birime yeterli kaynak tahsis edilmesi yönetim kurulunun sorumluluğundadır. Şüpheli İşlem Bildirimi (STR) süreçlerinde bu görevlinin bağımsız irade ile hareket etme yetkisine sahip olması, yasal bir zorunluluktur.
Blockchain Uyum & Lisanslama HizmetleriHizmetlerJuly 11, 2025👤Genesis Hukuk
Kripto varlık ekosisteminin "anonimite" kültüründen "izlenebilirlik" standartlarına geçişindeki en büyük teknik bariyer, hiç şüphesiz Seyahat Kuralı (Travel Rule) uygulamasıdır. Bu kural Dağıtık Defter Teknolojisi (DLT) tabanlı transferlerin anonimliğini ortadan kaldırarak şeffaflığı ve izlenebilirliği sağlamayı hedefler. Genesis Hukuk olarak, bu kuralı sadece bir yasal metin olarak değil, borsalar arası iletişim protokollerinin (API) temel mimarisi olarak yorumluyoruz.
FATF'in 16 No'lu Tavsiyesi ve Türk hukukundaki karşılığı olan MASAK Tedbirler Yönetmeliği Md. 24/A, kripto varlık transferlerinde bilginin, varlıkla "birlikte seyahat etmesini" zorunlu kılar. Teknik bir dille ifade etmek gerekirse; blokzincir üzerindeki işlem (tx) gerçekleşirken, gönderici ve alıcıya ait kimlik veri setinin de Kripto Varlık Transfer Mesajı içerisinde, güvenli bir kanaldan karşı tarafa iletilmesi gerekir.
Bu transfer mesajının içeriğinde bulunması zorunlu veri alanları şunlardır:
Gönderici Bilgileri: Adı-soyadı, ticaret unvanı, cüzdan adresi (yoksa referans numarası) ve kimlik tespiti için gerekli ayırt edici bir bilgi (T.C. kimlik no, pasaport no, adres vb.).
Alıcı Bilgileri: Adı-soyadı ve cüzdan adresi.
Mevzuat bu verilerin aktarımı için Dağıtık Defter Teknolojisi (DLT) veya bağımsız mesajlaşma platformları (API arayüzleri) gibi teknolojik araçların kullanılmasını öngörmektedir. Dolayısıyla sistem mimarinizin transfer emri anında bu veri paketini oluşturup şifreli olarak iletecek kabiliyette olması şarttır.
Operasyonel süreçlerdeki "karar ağacı"nı (decision tree) belirleyen temel parametre 15.000 TL Kimlik Tespit Sınırıdır. Yazılım algoritmalarınızın bu limitlere göre şu aksiyonları alması gerekir:
15.000 TL ve Üzeri Transferler: Göndericiye ait Gönderici ve Alıcı Bilgilerinin mesajda yer alması VE bu bilgilerin doğruluğunun teyit edilmiş (verified) olması zorunludur.
15.000 TL Altı Transferler: Gönderici ve alıcı bilgilerine mesajda yer verilmesi yeterlidir; bu aşamada bilgilerin teyidi zorunlu tutulmamıştır.
Transferin alıcı tarafındaki KVHS, gelen Kripto Varlık Transfer Mesajı'nın zorunlu bilgileri eksik veya tutarsız içermesi durumunda katı prosedürleri uygulamak zorundadır. Bu, teknik uyumun en kritik uygulama noktasıdır:
Tamamlatma Yükümlülüğü: Alıcı KVHS, öncelikle gönderici KVHS ile iletişime geçerek eksik veya hatalı bilgilerin derhal tamamlanmasını sağlamalıdır.
İade/Red Mekanizması: Bilgilerin tamamlanamaması durumunda, alıcı KVHS'nin bu transferi reddetme ve fonları gönderici KVHS'ye iade etme mekanizmasını yazılımsal olarak devreye alması zorunludur.
Ancak dikkat; sürekli olarak eksik bilgi gönderen bir karşı taraf (VASP) tespit edilirse, risk yönetimi politikalarınız devreye girmeli ve o sağlayıcıdan gelen transferlerin reddedilmesi veya iş ilişkisinin sonlandırılması gibi daha sert tedbirler uygulanmalıdır.
Alıcı için yüksek risk sinyali oluşturur ve Tedbirler Yönetmeliği uyarınca bu kuruluşla yapılan işlemlerin sınırlandırılmasına veya iş ilişkisine tamamen son verilmesine yol açabilir. Bu da platformlar için bir 'Kara Liste' veya 'Kısıtlama Listesi' modülü geliştirme zorunluluğunu doğurur.
Merkeziyetsiz finansın (DeFi) doğası gereği, müşterileriniz varlıklarını bir borsa yerine kendi kontrollerindeki (self-custody) cüzdanlara çekmek isteyebilirler. Mevzuat herhangi bir KVHS nezdinde kayıtlı olmayan bu Unhosted Cüzdan adreslerine yapılan transferleri özel bir risk kategorisinde değerlendirir.
Bu senaryoda karşı tarafta veri paylaşımı yapacak bir kurum olmadığı için, yükümlülük müşteriden alınacak beyan ile yerine getirilir. Sisteminiz, unhosted bir cüzdana transfer emri girildiğinde müşteriden şu beyanları alacak arayüzü sunmalıdır.
Cüzdan sahibinin gerçek kişi olması halinde adı-soyadı,
Tüzel kişi olması halinde unvanı,
İlgili kişiyi belirlemeye yarayan en az bir ayırt edici bilgi (TCKN, Pasaport No vb.).
KVHS'ler için Unhosted Cüzdan'lara veya bu cüzdanlardan yapılan transferlerde, risk temelli yaklaşım çerçevesinde ek ve sıkılaştırılmış tedbirler almak zorunludur. Teknik uyum açısından, platformunuzun:
Adres Beyan ve Sınıflandırma: Kullanıcının, transfer yapacağı veya alacağı bireysel cüzdan adresinin kendisine ait olduğunu beyan etmesini zorunlu kılan bir arayüz (UI/UX) kurgulaması ve bu cüzdanı risk skorlamasına dâhil etmesi gerekir.
Fon Kaynağı Beyanı: Yüksek tutarlı transferlerde (özellikle 15.000 TL eşiğini aşanlarda), kullanıcıdan fona konu Kripto Varlık Transfer Mesajı'nın kaynağına dair yazılı veya elektronik ortamda ek beyan ve belge (diğer KVHS'den alındıysa transfer kanıtı vb.) talep edilmesi esastır.
Risk Matrisi Entegrasyonu: Müşterinin risk profili (düşük, orta, yüksek) ile transferin hedefi (lisanslı KVHS, Unhosted Cüzdan, riskli coğrafya) arasındaki ilişkiyi sürekli izleyen ve anormallik durumunda transferi üst seviye görevli onayına bağlayan bir algoritma (Risk Temelli Yaklaşım) oluşturulmalıdır.
Bu işlemler otomatik onaydan ziyade risk temelli yaklaşım çerçevesinde incelenmeli ve karşı taraf hakkında yeterli bilgi elde edilememesi durumunda transferin gerçekleştirilmemesi seçeneği algoritmaya dahil edilmelidir.
Özetle Unhosted Cüzdan'lara yapılan transferler, her ne kadar yasaklanmasa da, KVHS'yi işlem izleme ve kontrol yükümlülükleri açısından en yüksek hassasiyete zorlar ve yetersiz bilgi durumunda transferin otomatik olarak askıya alınması veya reddedilmesi (hard-stop) prosedürünü gerektirir.
Seyahat Kuralı, karmaşık veri ve mimari gereksinimler getiriyor. GRC Danışmanlık hizmetlerimiz, kripto operasyonlarınız için sağlam yönetişim, risk ve uyumluluk çerçevelerini entegre etmenize yardımcı olabilir.
Geleneksel finanstan farklı olarak, kripto varlık hizmet sağlayıcılar (KVHS) için müşteri edinimi (onboarding) neredeyse tamamen dijital kanallar üzerinden yürütülmektedir. Ancak bu süreç artık basit bir "selfie yükleme" işlemi değil; MASAK 19 Sıra No'lu Genel Tebliği ve gündemdeki Yargı Paketleri ile çerçevesi çizilen, yüksek güvenlikli teknolojik bir prosedürdür.
Genesis Hukuk olarak, KYC (Müşterini Tanı) süreçlerinizi tasarlarken hukuki metinleri, yazılım geliştiricilerinizin anlayacağı teknik gereksinimlere dönüştürüyoruz.
Mevzuat, KVHS'lerin müşterileriyle yüz yüze gelmeksizin sürekli iş ilişkisi tesis etmesine izin verirken, sürecin çevrimiçi, kesintisiz, görüntülü ve gerçek zamanlı olmasını şart koşmaktadır. Bu, asenkron (önceden kaydedilmiş video gönderme gibi) yöntemlerin mevzuata aykırı olduğu anlamına gelir; sisteminiz canlı bir oturum (live session) mimarisi üzerine kurulmalıdır.
Önemli bir kısıtlama olarak; Gizlilik Tabanlı Kripto Varlıkların (Privacy Coins) alım satımına veya saklanmasına aracılık eden platformların Uzaktan Kimlik Tespiti yapması yasaklanmıştır. Bu varlıkları listeleyen borsalar, dijital onboarding kolaylığından yararlanamaz.
Yazılım altyapınızın sağlaması gereken standartlar, sadece MASAK tebliğleri ile sınırlı kalmayıp, 11. Yargı Paketi ile önerilen yeni kanun maddeleriyle daha da sıkılaştırılmaktadır.
TBMM'ye sunulan Kanun Teklifi'nin 36. Maddesi ile 6493 Sayılı Kanun'un 12. maddesinde kritik bir değişiklik öngörülmüştür. Buna göre; dijital ortamda sözleşme kurulurken müşterinin kimliğinin doğrulanmasında "biyometrik yöntemler" veya "elektronik kimlik doğrulama kabiliyetini haiz (çipli/NFC) kimlik belgeleri" kullanımı yasal bir zorunluluk haline gelmektedir.
Bu düzenleme teknik olarak Ödeme ve Elektronik Para Kuruluşlarını hedeflese de, Finansal Kuruluş statüsündeki KVHS'ler için de "de facto" (fiili) bir standart oluşturmaktadır. Genesis Hukuk olarak tavsiyemiz; sistemlerinizi şimdiden bu standarda göre, "optik okuma (OCR)" yerine "NFC ve Biyometri" odaklı kurgulamanızdır.
Kimlik belgesinin doğrulanmasında Yakın Alan İletişimi (NFC) teknolojisinin kullanılması esastır. Çipli kimlik kartındaki veriler (fotoğraf vb.) kriptografik olarak doğrulanmalıdır.
İstisna Yönetimi: Eğer cihazın veya kimliğin NFC özelliği yoksa/çalışmıyorsa; kimlik belgesindeki en az dört adet güvenlik unsurunun (hologram, giyoş desen vb.) şekil ve içerik bakımından görsel olarak doğrulanması zorunludur.
Müşterinin canlı görüntüsü ile kimlikteki fotoğraf (tercihen yongadaki fotoğraf) eşleştirilmelidir. Kullanılan yapay zeka algoritmasının yanlış eşleşme oranı (False Acceptance Rate) on milyonda birin altında olmalıdır. Ayrıca, "deepfake" ve sahte yüz saldırılarına karşı Canlılık Testi (Liveness Check) mekanizmaları sisteme entegre edilmelidir.
Yine aynı Kanun Teklifi'nin 33. Maddesi uyarınca, yabancı uyruklu kişilerin ve sahte hatların (açık hat) denetimi sıkılaştırılmaktadır. Bu nedenle, onboarding sürecinde kullanılan telefon numarasının, kimlik sahibi üzerine kayıtlı olduğunun teyidi (Telco-Check) kritik bir risk parametresi haline gelmiştir. Bu düzenleme kripto borsalarındaki "sahte hesap" (mule account) riskini minimize edecek teknik bir altyapı sunmaktadır:
Yabancı Uyruklular İçin Güncelleme Zorunluluğu: Yabancı uyruklu kişilerin mevcut abonelik bilgilerini 6 ay içinde güncellememeleri veya kimliklerini teyit ettirmemeleri durumunda, hatlarının sinyali (elektronik haberleşme bağlantısı) kesilecektir .
Hat Sınırlaması: Bir kişinin (gerçek veya tüzel) alabileceği maksimum hat sayısına BTK tarafından sınırlama getirilmektedir. Limit üstü hatların kapatılması, dolandırıcıların "kullan-at" hatlarla borsa hesabı açmasını zorlaştıracaktır.
Cihaz/Hat Eşleşmesi: Belirli bir süre içinde aynı cihazda (IMEI) kullanılabilecek hat sayısına sınır getirilmektedir. Bu, "SIM Box" dolandırıcılığına karşı teknik bir bariyerdir.
Uzaktan kimlik tespiti sürecinde kimlik belgesi NFC ile doğrulanamamışsa; sürekli iş ilişkisi tesisinden önceki ilk finansal hareketin (para yatırma), müşterinin kendi adına başka bir finansal kuruluşta (banka) bulunan hesabından yapılması zorunludur.
Uzaktan kimlik tespitinde, kişinin yüzü ile kimlikteki fotoğrafın eşleşmesini sağlayan Yapay Zeka (AI) algoritmasının hata payı (False Acceptance Rate) kanunen on milyonda birin (1/10.000.000) altında olmalıdır. Eğer kullanılan yazılım yerli ise, bu hata oranını belgeleyen Türk Standardları Enstitüsü (TSE) Raporu alınması zorunludur. Eğer algoritma yurt dışı menşeli ise ve uluslararası geçerliliği olan (NIST vb.) bir sertifikaya sahipse, ayrıca TSE raporu aranmaz.
KVHS'ler için risk yönetimi, standart prosedürlerin ötesine geçen dinamik bir süreçtir. "Finansal Kuruluş" statüsü, şüpheli durumlarda veya yüksek riskli işlemlerde Sıkılaştırılmış Tedbirler (Enhanced Due Diligence) uygulanmasını zorunlu kılar.
Yükümlüler, risk temelli yaklaşım çerçevesinde yüksek riskli olarak değerlendirdikleri durumlarda (Örn: Riskli ülkelerle ilişkiler, karmaşık ve olağandışı büyüklükteki işlemler), müşteriden ek bilgi/belge talep etmeli ve fon kaynağını sorgulamalıdır.
Özellikle KVHS'lerin birbirleriyle veya yüksek riskli müşterilerle (örneğin yabancı Kamusal Nüfuz Sahibi Kişiler - PEP) kuracakları ilişkilerde, iş ilişkisinin tesisi veya devamı Üst Düzey Yönetim Onayına bağlanmalıdır. Yönetim kurulu veya yetki devredilen üst yönetici onayı olmadan bu hesaplar açılamaz.
MASAK tarafından yayımlanan "Aklama ve Terörizmin Finansmanı Ulusal Risk Değerlendirmesi" raporuna göre; Kripto Varlık Hizmet Sağlayıcıları (KVHS), Bankacılık sektörü ile birlikte "Yüksek Risk" seviyesinde sınıflandırılan iki sektörden biridir.
Bu sınıflandırma, KVHS'lerin sadece standart tedbirleri değil, Sıkılaştırılmış Tedbirleri (Enhanced Due Diligence) "varsayılan" (default) prosedür olarak uygulamaya hazır olmalarını gerektirir.
Devletin gözünde sektörün risk seviyesi "Yüksek" olduğu için, herhangi bir denetimde "Basitleştirilmiş Tedbir" (örneğin düşük limitli işlemlerde kimlik teyidi yapmamak) uygulama şansınız, 5 No'lu Tebliğ'de açıkça izin verilen istisnalar dışında hukuken mümkün değildir.
Kripto sektörüne özgü riskleri minimize etmek adına MASAK mevzuatı (29 No'lu Tebliğ) çok net operasyonel sınırlar çizmiştir:
Gizlilik Tabanlı Kripto Varlıklar (Privacy Coins): Monero (XMR), Zcash (ZEC) gibi transfer izi sürülemeyen varlıkların alım-satımına veya saklanmasına aracılık edilmesi kesinlikle yasaktır.
Soğuma Süresi (Cool-off Period): Dolandırıcılık riskini önlemek için; kripto varlık transferlerinde (çekim işlemlerinde), varlığın alım veya yatırma işleminden itibaren en az 48 saat beklenmesi zorunludur. Bu süre, müşterinin ilk kripto varlık çekim işlemi için en az 72 saat olarak uygulanır. Yazılımınızın bu "time-lock" kuralını otomatik olarak uygulaması gerekir. Bu kural kara para aklama amaçlı hızlı fon transferlerini engellemek için bir "fren mekanizması" görevi görür
İşlem Limitleri: Stabil kripto varlıkların (stablecoins) çekim işlemlerinde günlük 3.000 USD ve aylık 50.000 USD limit uygulanır (Seyahat Kuralı kapsamında gönderici/alıcı bilgisi teyit edilirse bu limitler iki katına çıkarılabilir).
PEP (Siyasi Nüfuz Sahibi Kişi) Statüsü: Siyasi nüfuz sahibi kişilerle (veya bunların yakınları) iş ilişkisi kurulması.
Riskli Coğrafyalar: FATF tarafından riskli veya işbirliği yapmayan ülkeler olarak belirlenen yargı bölgelerinden yüksek hacimli transferler.
Uyum programının en nihai çıktısı, tespit edilen risklerin MASAK'a Şüpheli İşlem Bildirimi (STR/ŞİB) olarak raporlanmasıdır. Uyum görevlisi, yasa dışı amaçlarla (aklama veya terör finansmanı) bağlantılı olduğuna dair herhangi bir bilgi edindikten veya şüphe oluştuktan sonra, bu bildirimi yasal olarak öngörülen süreler içinde, tutar gözetmeksizin MASAK'ın Elektronik Bildirim Sistemi (EBAS) üzerinden elektronik olarak yapmakla yükümlüdür.
Şüphenin oluştuğu tarihten itibaren en geç 10 iş günü içinde (gecikmesinde sakınca varsa derhal) bildirim yapılmalıdır.
Kripto sektörü için tanımlanmış özel kodlar (Örn: SK-29 Lisanssız ödeme/elektronik para hizmeti, SK-35 Malvarlığı dondurma kararı ihlali, SK-36 Kitle imha silahlarının yayılması finansmanı) kullanılarak bildirimler sınıflandırılmalıdır.
KVHS'lerin sistemleri, Red Flag senaryolarını otomatik olarak algılayıp, uyum birimine anlık olarak uyarı gönderecek, bildirim dosyasını hazırlayacak ve Üst Düzey Yönetim Onayı'nın alınmasından sonra otomatik veya yarı-otomatik olarak EBAS entegrasyonuna hazır hale getirecek şekilde tasarlanmalıdır. Başarılı bir uyum, bu teknik otomasyonun hukuki prosedürlere tam uygunluğu ile ölçülür.
Genesis Hukuk, bu teknik parametrelerin sisteminize entegrasyonunda ve şüpheli işlem algoritmalarınızın (scenario tuning) hukuki kalibrasyonunda stratejik partnerinizdir.
Finans Zero-Knowledge (ZK) TeknolojisiHizmetlerAugust 10, 2025👤Genesis Hukuk
Kripto ekosisteminde "uyum", sadece bir kontrol listesini tamamlamak değil; uluslararası finansal sistemin güvenliğini tehdit eden unsurlara karşı bir kalkan oluşturmaktır. Özellikle terörizmin finansmanı ve kitle imha silahlarının yayılması gibi küresel riskler söz konusu olduğunda, KVHS'ler için hata payı sıfırdır. Genesis Hukuk olarak, yaptırım listelerinin taranması ve varlık dondurma süreçlerinin teknik entegrasyonu konusunda sıfır toleranslı bir mimari öneriyoruz.
Türkiye'de kripto varlıkların dondurulması, iki temel kanun çerçevesinde yürütülmektedir: 6415 Sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun ve 7262 Sayılı Kitle İmha Silahlarının Yayılmasının Finansmanının Önlenmesine İlişkin Kanun.
Bu kanunlar uyarınca Malvarlığının Dondurulması; varlığın ortadan kaldırılmasının, tüketilmesinin, dönüştürülmesinin (swap), transferinin ve devrinin önlenmesi amacıyla tasarruf yetkisinin kaldırılmasıdır. "Malvarlığı" kavramı, kripto varlıkları (fon, hak, alacak ve bunları temsil eden dijital değerler) doğrudan kapsamaktadır.
Süreç, BMGK Kararları veya yabancı devlet talepleri doğrultusunda Cumhurbaşkanı Kararı ile Resmi Gazete'de yayımlanır. Kritik nokta şudur: Bu kararlar yayımlandığı anda gecikmeksizin uygulanmalıdır. KVHS'lerin sistemleri, Resmi Gazete veya MASAK tarafından yayımlanan listeleri anlık olarak (API veya RSS beslemeleriyle) tarayacak ve eşleşen cüzdanları otomatik olarak kilitleyecek yetenekte olmalıdır.
Gündemdeki 11. Yargı Paketi (Kanun Teklifi Madde 22), Ceza Muhakemesi Kanunu'na (CMK) eklenen 128/A maddesi ile KVHS'lere, mahkeme kararı beklemeksizin inisiyatif alma yetkisi ve yükümlülüğü getirmektedir. Bu düzenleme, özellikle dolandırıcılık ve siber suçlarla mücadelede KVHS'leri "ilk müdahale birimi" olarak konumlandırmaktadır.
Operasyonel Mekanizma (48 Saat Kuralı): Kanun teklifine göre; Nitelikli Hırsızlık, Nitelikli Dolandırıcılık ve Banka/Kredi Kartlarının Kötüye Kullanılması suçlarının işlendiğine dair makul şüphe oluşması halinde; KVHS'ler, şüpheli işlemle ilgili hesabı 48 saate kadar re'sen (kendi kararıyla) askıya alabilecektir.
Bildirim Yükümlülüğü: Askıya alma işlemi uygulandığı anda, hesap hareketleri ve ilgili belgelerle birlikte durum derhal Cumhuriyet Başsavcılığına bildirilmelidir.
Hukuki Koruma (Safe Harbor): Genesis Hukuk olarak en çok önemsediğimiz detay şudur: Kanun teklifi, bu madde kapsamında işlem yapan KVHS'lerin, uyguladıkları askıya alma işlemi nedeniyle hukuki ve cezai olarak sorumlu tutulmayacağını açıkça hükme bağlamaktadır (Immunity). Bu, borsaların tazminat davası korkusu olmadan hızlı aksiyon alabilmesi için kritik bir güvencedir.
Varlık Transferi Uyarısı: Askıya alma işlemi tamamlanmadan varlığın başka bir kuruma (başka bir borsa veya cüzdan) transfer edildiği tespit edilirse, KVHS'nin o kurumu da gecikmeksizin bilgilendirmesi zorunludur. Bu durum, borsalar arası "Blacklist API" entegrasyonlarının önemini artırmaktadır.
Kanun teklifi, sadece geçici bir askıya alma değil, suç gelirine hızlıca el konulmasının da yolunu açmaktadır. 48 saatlik askıya alma süresi içinde;
Gecikmesinde sakınca bulunan hallerde Cumhuriyet Savcısı, askıya alınan hesapta bulunan kripto varlığa el konulmasına (seizure) yazılı olarak emir verebilir.
Savcı tarafından verilen el koyma kararı 24 saat içinde hakimin onayına sunulur ve hakim en geç 48 saat içinde kararını açıklar .
En kritik yeniliklerden biri de budur. El konulan kripto varlığın mağdura ait olduğu anlaşılırsa, davanın bitmesi (yıllarca sürmesi) beklenmeden, soruşturma aşamasında varlık mağdura iade edilir.
Genesis Hukuk olarak bu maddenin altını özellikle çiziyoruz. KVHS'lerin en büyük çekincesi, "Şüpheli diye işlemi durdurdum ama müşteri beni dava ederse ne olacak?" korkusuydu.
Kanun teklifinin 128/A maddesinin 6. fıkrasına göre; bu madde uyarınca (şüphe üzerine) askıya alma işlemine karar veren banka veya kripto varlık hizmet sağlayıcıları, bu işlemleri nedeniyle hukuki ve cezai bakımdan sorumlu tutulamaz.
Borsalar, makul şüphe ile bir hesabı dondurduğunda, sonradan suçsuzluk anlaşılsa bile, müşteri "işlem yapamadım, zarar ettim" diyerek borsaya tazminat davası açamayacaktır. Bu, uyum ekiplerinin elini güçlendiren en stratejik maddedir.
Özellikle 7262 Sayılı Kanun kapsamında, BMGK kararlarında belirtilen kişi veya kuruluşlara (özellikle Kuzey Kore ve İran bağlantılı) fon sağlanması veya finansal hizmet verilmesi kesinlikle yasaktır.
Bu kapsamda Yasaklı İşlem ve Faaliyetler şunları içerir:
Yasaklı listesindeki kişi/kuruluşlara doğrudan veya dolaylı fon (kripto varlık) sağlanması,
Bu kişilerin Türkiye'de temsilcilik açması veya iş ortaklığına girmesi.
KVHS’lerin, lisans ve yetki belgelerinde belirtilmeyen herhangi bir Yasaklı İşlem ve Faaliyetler gerçekleştirmesi (örneğin kaldıraçlı işlem sunma, faiz geliri taahhüt etme), hem SPK hem de MASAK nezdinde ağır yaptırımlara tabidir.
Türkiye'de anonim veya takma isimli hesap açılması veya bu tür hesaplara işlem yapılması kesinlikle yasaktır ve Finansal Kuruluş Statüsü'ne aykırıdır.
KVHS'ler, bir işlemi gerçekleştirmeden önce, işlemin taraflarının bu yasaklı listelerde olup olmadığını kontrol etmekle yükümlüdür. Denetim ve İş Birliği Komisyonu, bu yasakların uygulanmasını denetlemek ve BMGK listelerine ekleme/çıkarma önerilerinde bulunmakla yetkili en üst idari mercidir.
Uyumsuzluk durumunda uygulanacak yaptırımlar, sadece şirketi değil, yöneticileri ve personeli de bağlayan ağır sonuçlar doğurur.
Malvarlığının dondurulması kararlarını yerine getirmeyen, ihmal eden veya geciktiren kişilere 6 aydan 2 yıla kadar hapis veya adli para cezası verilir.
Malvarlığı dondurulan kişilere fon sağlayan veya finansal hizmet verenlere 1 yıldan 3 yıla kadar hapis veya adli para cezası uygulanır.
Yasaklı işlem ve faaliyetlerde bulunanlar (örneğin kitle imha silahı finansmanı) 2 yıldan 8 yıla kadar hapis cezası ile cezalandırılır.
Bu fiillerin bir tüzel kişinin (KVHS) faaliyeti çerçevesinde işlenmesi halinde, tüzel kişiye ayrıca 10.000 TL'den 2.000.000 TL'ye kadar idari para cezası verilir.
11. Yargı Paketi ile getirilen bir diğer kritik yaptırım, adli işbirliği süreçlerini ilgilendirmektedir. Soruşturma veya kovuşturma kapsamında Savcılık veya Mahkeme tarafından talep edilen bilgi/belgelerin 10 gün içinde (fiziki veya elektronik ortamda) gönderilmesi zorunludur.
Bu sürede bilgi vermeyen veya eksik bilgi veren KVHS'lere, Cumhuriyet Savcısı tarafından doğrudan 50.000 TL ile 300.000 TL arasında idari para cezası uygulanabilecektir. Bu düzenleme, KVHS'lerin "Law Enforcement Request" (Kolluk Talep) yanıt sistemlerini otomatize etmelerini zorunlu kılmaktadır.
MASAK denetim elemanları (Vergi Müfettişleri, Hazine ve Maliye Uzmanları vb.), KVHS'lerin dondurma kararlarına uygun hareket edip etmediğini yerinde veya uzaktan denetleme yetkisine sahiptir.
Bu yeni düzenlemeler, KVHS'lerin sadece pasif birer 'saklama kuruluşu' değil, suçla mücadelede aktif bir 'polisaj' yetkisine sahip olduğunu göstermektedir. Yazılım altyapınızın, şüpheli bir işlem tespit ettiğinde operatöre '48 Saatlik Askıya Al' butonu sunması ve bu aksiyonun otomatik olarak Savcılık bildirim şablonunu oluşturması, yeni dönemin teknik uyum standardıdır.
KVHS'ler, her türlü ortamdaki belge, defter ve kayıtları 8 yıl süreyle muhafaza etmek zorundadır. Ancak Genesis Hukuk olarak uyarıyoruz; bu sürenin başlangıç tarihi belge türüne göre değişir :
Kimlik Tespit Belgeleri: Son işlem tarihinden itibaren değil, hesabın kapatıldığı tarihten itibaren başlar.
Defter ve Kayıtlar: Son kayıt tarihinden itibaren başlar.
İşlem Belgeleri: İşlemin yapıldığı (düzenleme) tarihinden itibaren başlar.
Şüpheli İşlem Kayıtları: MASAK'a yapılan bildirimler ve bildirimde bulunmama kararı verilen (dâhili) şüpheli işlemler de bu saklama süresine tabidir.
Türkiye'de Kripto Varlık Hizmet Sağlayıcı (KVHS) olmak, artık hızlı ve denetimsiz büyüme dönemi değil, Finansal Kuruluş Statüsü'nün getirdiği kurumsal ciddiyetin test edildiği bir aşamadır. Türkiye kripto varlık piyasası, "gri alan" dönemini geride bırakmış ve devletin finansal istihbarat ağının entegre bir parçası haline gelmiştir. Kripto Varlık Hizmet Sağlayıcılar için MASAK uyumu; sadece bir yasal zorunluluk değil, global likiditeye erişimin, bankacılık entegrasyonunun ve lisansın devamlılığının ön şartıdır. 5549 Sayılı Kanun ve ilgili tebliğler, uyumu sadece bir kâğıt işi değil, teknolojik entegrasyonu zorunlu kılan karmaşık bir mühendislik problemi olarak konumlandırmıştır.
İlk tasarımdan sürekli operasyonlara kadar Genesis Hukuk kapsamlı hukuki rehberlik sunar. Akıllı sözleşmelerinizin, mimarilerinizin ve uyum programlarınızın Türk ve uluslararası standartlara uygun olduğundan emin olun.
Uyum, bir maliyet kalemi değil; operasyonel bir "hayatta kalma" lisansıdır.
Genesis Hukuk olarak, biz sadece sözleşmelerinizi ve yasal metinlerinizi yazmıyoruz. Uzmanlığımız, hukuki gereklilikleri (örneğin Seyahat Kuralı'nın Kripto Varlık Transfer Mesajı gerekliliği) alıp, mühendislik ekibinizin doğrudan kullanabileceği teknik spesifikasyonlara dönüştürmektir.
Teknik Validasyon: Seyahat Kuralı (Travel Rule) mesajlaşma protokollerinizin ve API mimarinizin mevzuata uygunluğunu denetliyoruz.
Operasyonel Kurgu: 48/72 saatlik soğuma süreleri, NFC tabanlı KYC akışları ve şüpheli işlem algoritmalarınızı (red flag indicators) hukuki filtrelerden geçiriyoruz.
Kriz Yönetimi: Varlık dondurma kararlarının anlık uygulanması ve MASAK denetim süreçlerinde, teknik ve hukuki ekibimizle yanınızda yer alıyoruz.
RegTech Entegrasyonu: Müşteri Kabulü'nde NFC ile Kimlik Doğrulama ve Biyometrik Karşılaştırma süreçlerinizin MASAK 19 No'lu Tebliğ'e tam uygunluğunu sağlamak.
Risk Algoritması Geliştirme: Unhosted Cüzdan'lardan gelen fonların takibi, Gizlilik Tabanlı Kripto Varlıklar'ın risk skorlaması ve Sıkılaştırılmış Tedbirler'i otomatik tetikleyen yazılım modüllerinizin hukuki validasyonunu yapmak.
Global ölçeklenebilirlik, sürdürülebilir büyüme ve Türkiye regülasyonlarına tam teknik/hukuki uyum için Genesis Hukuk'un blockchain uzmanlarıyla bugün iletişime geçin. Geleceği, güvenli temeller üzerine birlikte inşa edelim.
KVHS'lerin yasal statüsü, SPK/MASAK denetim yetkileri, minimum sermaye, kaldıraçlı işlem yasağı, müşteri varlık koruması ve transfer limitleri gibi kritik regülasyonlara dair 8 temel soru ve cevabı bu bölümde bulabilirsiniz.
Türkiye'de kripto varlık hizmet sağlayıcıları, Sermaye Piyasası Kurulu'nun (SPK) düzenleme ve denetimi yetkisi altına alınmıştır. Ayrıca, kara para aklama ve terörizmin finansmanının önlenmesi (AML/CFT) kapsamında Mali Suçları Araştırma Kurulu (MASAK) denetimi de bulunmaktadır.
Yeni düzenlemelere göre, Türkiye’de faaliyet gösterecek kripto para borsalarının en az 150 milyon TL sermaye ile kurulması gerekecektir. Kripto varlık saklama hizmeti sunacak kuruluşlar için ise sermaye şartı 500 milyon TL olarak belirlenmiştir. Platformlar anonim ortaklık yapısında olmalıdır.
Hayır, yeni düzenlemelere göre borsa platformlarında işlem gören kripto varlıklar kaldıraçlı işlemler için kullanılamayacaktır. Bu karar, yatırımcıların aşırı riskli pozisyonlar almasının önüne geçmeyi hedeflemektedir.
Yeni düzenlemeler, müşteri varlıklarının korunmasını artırmıştır. Müşterilere ait nakitler ve kripto varlıklar, kripto varlık hizmet sağlayıcılarının malvarlığından ayrı olarak tutulacak ve sağlayıcının borçları nedeniyle haczedilemeyecek, rehnedilemeyecek veya iflas masasına dahil edilemeyecektir. Ayrıca, kripto para borsaları, müşteri varlıklarının en az %95’ini lisanslı saklama kuruluşlarında tutmak zorundadır.
Evet, Mali Suçları Araştırma Kurulu Genel Tebliği uyarınca, platformlar, aracılık ettikleri kripto varlık çekim işlemlerini, alım, takas veya yatırma işleminden en az 48 saat sonra gerçekleştirecektir. Bu süre, ilk kripto varlık çekim işlemleri bakımından en az 72 saat olarak belirlenmiştir.
Yurt dışında yerleşik platformlar tarafından Türkiye’de yerleşik kişilere yönelik faaliyette bulunulması, izinsiz kripto varlık hizmet sağlayıcılığı olarak değerlendirilecektir. Bu tür platformların, Türkiye’de yerleşik kişilere yönelik faaliyetlerini (Türkçe internet sitesi açmak, tanıtım yapmak gibi) sonlandırması zorunludur.
7518 sayılı Kanun düzenlemesiyle kripto varlıklar, "dağıtık defter teknolojisi veya benzer bir teknoloji kullanılarak sanal olarak oluşturulup saklanabilen, dijital ağlar üzerinden dağıtımı yapılan ve değer veya hak ifade edebilen gayri maddi varlıklar" olarak tanımlanmıştır. 2021 TCMB Yönetmeliği'ne göre ise, kripto varlıklar itibari para, kaydi para, elektronik para veya menkul kıymet değildir.
Evet, özellikle değeri başka bir değere veya resmi para birimine sabitlenen ve "stabil kripto para" olarak bilinen varlıkların çekim işlemlerinde, günlük 3 bin ABD Doları ve aylık 50 bin ABD Doları limit uygulanmaktadır. Likidite sağlayıcılığı veya piyasa yapıcılığı gibi profesyonel işlemler için yönetim kurulu onayıyla bu limitler ve saat kuralları uygulanmayabilir.
⚠️ Önemli Not: Bu bölümde ele alınan "Re'sen Askıya Alma" ve "Hukuki Sorumsuzluk" konuları, TBMM gündemindeki 11. Yargı Paketi Kanun Teklifi kapsamında değerlendirilmiştir. Yasalaşma sürecinde metinde değişiklikler olabilir. Genesis Hukuk, süreci yakından takip ederek bu rehberi güncel tutacaktır.
