Müşterini Tanı (KYC)’madan Dijital Güven Sağlanamaz!

#ISACADigitalTrust yaklaşımı hakkındaki yeni yazımda “Şeffaflık ve Doğruluk” ilkesini ele alacağız. Kripto varlık hizmet sağlayıcıları açısından şeffaflık ve doğruluk kapsamındaki en önemli kavramların başında KYC geliyor. Bu KYC neymiş 3 farklı açıdan beraber inceleyelim.

Yazıda ilk önce Türk mevzuatı çerçevesinde kripto varlık hizmet sağlayıcıları ve onların yükümlülükleri üzerine kısa bir açıklama yapacağım. Devamında KCY kavramının ISACA Digital Trust Yaklaşımı açısından önemine göz atacağız. Yazının son bölümünde ise ilk bölümde yer alan mevzuat yükümlülükleri çerçevesinde işlenmesi gereken verilere ilişkin bilgiler vereceğim.

Akış konusu biraz kafa karıştırabilir. Belki akış olarak 2'inci ve 3'üncü bölümlerin yer değiştirmesi gerekirdi ama benim buradaki yaklaşımımı tamamen Medium Yazılarının okunma istatistikleri belirliyor. Genel olarak bir yazının yüzde 70'ine kadar okunduğunu görüyorum, ve bu yüzden kavramsal arkaplanın hemen ardında ISACA Digital Trust yaklaşımı açıklamasını yerleştiriyorum.https://www.linkedin.com/company/data-bulls/?viewAsMember=true

1. Mevzuat Çerçevesinde Kripto Varlık

Türkiye Cumhuriyet Merkez Bankası kripto varlığı aşağıdaki şekilde tanımlanıyor;

Buna paralel olarak kripto varlık hizmet sağlayıcılarının, MASAK mevzuatında söz konusu kripto varlıkların alım satımlarına elektronik işlem platformları üzerinden aracılık eden yükümlüler olarak tanımlandığını görüyoruz. Mevzuattaki bu yükümlülük kavramı, suç gelirlerinin aklanmasının ve terörizmin finansmanının önlenmesinde aşağıdaki hususların yerine getirilmesi açısından kripto varlık hizmet sağlayıcılarını sorumlu kılıyor;

Yazıda yukarıdaki başlıklardan sadece müşteri tanı ilkesinin ayrıntılarına bakacağız. Diğer ilkeler için şimdilik MASAK tarafından yayımlanan Kripto Varlık Hizmet Sağlayıcılar İçin — Suç Gelirlerinin Aklanmasının Ve Terörizmin Finansmanının Önlenmesine Dair Yükümlülüklere İlişkin Temel Esaslar başlıklı dokümana göz atmanızı tavsiye ederim. İlerleyen günlerde “Şüpheli İşlem Bildirimi” uygulamaları hakkındaki tecrübelerimi de burada paylaşacağım.

2. Dijital Güven Açısından KYC’nin Önemi

KYC denildiğinde, finans sektöründen bir uzmanın ilk akla gelecek şeyin MASAK denetimi olacağına adım gibi eminim. MASAK denetçilerinin çalışmaları sektörün kendini daha iyi yerlere taşıması açısından önemli ama her denetimde olduğu gibi bu denetimde çoğu insan için büyük stres kaynağı. Geçirdiğim MASAK denetiminin benim açımdan çok öğretici olduğunu belirtmeliyim. Şimdi konumuza dönelim.

KYC nedir? KYC’yi, finansal hesap açarken müşterilerin gerçek kimliğinin tespiti, teyidi veya hali hazırdaki müşterilerin gerçekten de beyan ettikleri kişiler olmaya devam ettiklerini (inanın her nasıl oluyor bilmiyorum ama değişebiliyor) periyodik olarak doğrulamak için, ulusal ve uluslarası mevzuat çerçevesinde zorunlu tutulan bir inceleme süreci olarak tanımlayabiliriz.

Tüm kripto hizmet varlık sağlayıcıları KYC süreçleri kapsamında bir müşteri edinimi (onboarding) süreci işleterek;

• Yeni bir müşterinin kimliği doğrulanır.

• Kimlik doğrulama işlemi ile birlikte müşteriden alınan evraklar için gerçeklik, doğruluk ve geçerlilik kontrolleri gerçekleştirilir.

• Müşterinin adres bilgileri, format, gerçeklik ve aktif ikamet durumu detayları açısından teyit edilir. Tabi ki basitleştirerek sunduğum bu süreç, güvence ihtiyaçları çerçevesinde daha farklı işlemleri de barındırır.

Dijital dönüşümün beraberinde getirdiği önemli tehditlerden — oturduğumuz yerden kalkmadan saatler geçirmemiz nedeniyle yaşayacağımız sağlık sorunları dışında — birisinin kuzu görünümlü kurtlar olduğunu hepimiz biliyoruz. Bu konuda Harward Business Review Türkiye için kaleme aldığım “Tasarımda Güvenlik: Hain Kurt için Ne Kadar Hazırız?” başlıklı yazımda, bu hain kurtlara karşı organizasyonlarımızın güvenlik tasarımlarında dikkat etmemiz gereken hususları açıklamıştım.

Orada da belirttiğim gibi, bu kötü niyetli aktörler dijital araçları ve insan zaafiyetlerini sömürme konusunda çok yetenekliler. Ve bu kişiler, iştah kabartıcı kazançların yaşandığı kripto sektörüne yönelik büyük ilgi duyuyorlar. Kötü niyetli saldırılara karşı müşterilerini, onların varlıklarını koruma konusunda sıkı çalışan ekipte bulunma şansım oldu. Ve bu mücadele bazı durumlarda müşterilerin tepkisine dahi neden olabiliyor. Çünkü güvenlik ve işlevsellik arasında zorunlu bir değiş tokuş var maalesef.

Kripto hizmet sağlayıcıları, mali suç riskini azaltmakla iyi bir müşteri deneyimi sağlamak arasındaki ikilemle karşı karşıya. Müşterilerin kripto alım satım konusunda güvenlikten ziyade işlem hızına odaklanmaları, KYC süreçleri nedeniyle yaşanılan yavaşlama ve kısıtlamalarda tepkilere neden oluyor. Yoğun rekabetçi bir sektörde faaliyet yürüten kripto hizmet sağlayıcıları da, kendilerini müşteri memnuniyeti ile MASAK yaptırımları arasında, ikilemde buluyor. Bir başka gerilim alanı ise işlenen müşteri verileri nedeniyle yaşanıyor. KVKK/GDPR çerçevesinde müşteri verilerin işlenmesi konusundaki kısıtlar, KYC süreçlerinde bir kaza yaşanma olasılığını artıyor. Şirket çalışanının müşteri verilerini alırken ve teyit ederken iyi tanımlanmış bir politika ve süreç çerçevesinde hareket etmesini bekliyoruz. Ancak insan kaynaklı sorunlar her zaman kendine akacak bir yol buluyor. Bu yüzden teknolojilerin de KYC süreçlerinde devreye alınması artık bir zorunluluk. KYC süreçlerindeki zorunluluklar ile KVKK/GDPR mevzuat gerekleri arasındaki gerilim, ancak sıkı kurallara sahip otomasyon sistemleri sayesinde maliyet etkin ve güvenli şekilde dengelenebilir. Bu noktada KYC alanında ürün ve hizmetler sunan https://bt.guru/’nun sayfasına göz atmanızı tavsiye ederim. Özellikle bünyelerindeki Amani ve Jumio araçları, yeni müşterilerin sisteme alınmasında çok etkililerl ve muadillerine nazaran daha maliyet etkin olduklarını düşünüyorum. En azından kendi yaptığım incelemelerde, tabi ki kendi kriterlerim çerçevesinde edindiğim sonuç bu yöndeydi. How to Build End-to-End Digital Trust for Payments and Financial Services Did you know that in 2020, 84% of businesses in Asia Pacific reported losses in revenue due to payment fraud? Or that… www.jumio.com

Şimdi yazımın son bölümünde mevzuat çerçevesinde KCY süreçlerinde edinilmesi gereken bilgileri sizlerle paylaşacağım. Bu bilgiler zaten MASAK dokümanlarında mevcut. Ancak burada biraz daha görselleştirilmiş şekilde elinizin altında olacak. 3. KYC Kapsamında İşlenmesi Gereken Veriler Nelerdir? 5549 sayılı Kanunun 3/1 maddesinde “Yükümlüler, müşterinin tanınmasına ilişkin esaslar kapsamında; kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde işlem yapılmadan önce, işlem yapanlar ile nam veya hesaplarına işlem yapılanların kimliklerini tespit etmek ve gerekli diğer tedbirleri almak zorundadır.” hükmüne yer verilmiştir. Ayrıca 5337 sayılı Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’te ‘Müşterinin Tanınmasına İlişkin Esaslar’ ayrıntılı olarak açıklanmıştır. 5549 sayılı Kanunun 3 üncü maddesine göre Kripto para borsaları, müşterinin tanınması ilkesi kapsamında;

• Kendileri nezdinde yapılan veya aracılık ettikleri işlemlerde,

• İşlem yapanlar ile nam veya hesaplarına işlem yapılanların tutar gözetmeksizin kimliklerini tespit edilmesi,

• Kimlik tespiti kapsamında alınan bilgilerin teyit edilmesi

• Gerekli diğer tedbirleri alınması,

• Üstelik kimlik tespitinin, iş ilişkisi tesisinden veya işlem yapılmadan önce tamamlanması gerektiği belirtilmektedir.

Ayrıca Kripto varlık hizmet sağlayıcıları sürekli iş ilişkisi tesisi dışında;

• Şüpheli işlem bildirimini gerektiren durumlarda tutar gözetmeksizin,

• Daha önce elde edilen müşteri kimlik bilgilerinin yeterliliği ve doğruluğu konusunda şüphe olduğunda tutar gözetmeksizin,

• İşlem tutarı ya da birbiriyle bağlantılı birden fazla işlemin toplam tutarı yetmişbeşbin TL veya üzerinde olduğunda kimlik tespiti yapmak zorundadırlar.

Konuya ilişkin olarak ‘Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik’ ilgili maddelerine istinaden 10/12/2007 tarihinde yayınlanan Mali Suçları Araştırma Kurulu Genel Tebliği’nde yer alan hususlara bakıldığında ise aşağıdaki hususların karşılanması gerektiğini görüyoruz;

• Yüz yüze yapılan kimlik tespitinde alınması gereken bilgilerin tamamını içermelidir. İmza örneği zorunlu değildir.

• Adres ve kimlik bilgileri; İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü kimlik paylaşım sistemi veri tabanı üzerinden sorgulanarak teyit edilir.

• Uzaktan kimlik tespiti, sürekli iş ilişkisi tesis edilmeden önce tamamlanır.

• Teyide yönelik her türlü bilgi/ belge ile her türlü ortamdaki kayıtlar talep edildiğinde yetkili mercilere verilebilecek şekilde muhafaza edilir.

Gerçek kişilerde kimlik tespiti için alınması gereken bilgiler;

Ticaret siciline kayıtlı tüzel kişilerde kimlik tespiti için alınacak bilgilerin listesi;

Vakıf, dernek, sendika ve konfederasyon adına gerçekleştirilen işlemlerde kimlik tespiti için edinilmesi gereken bilgiler;

Önemli Bir Detay 👉 Tedbirler Yönetmeliğinin 22 nci maddesinde işlemin reddi ve iş ilişkisinin sona erdirilmesine ilişkin düzenlemeye yer verilmiştir. Buna göre;

• Kimlik tespitinin yapılamadığı veya iş ilişkisinin amacı hakkında yeterli bilgi edinilemediği durumlarda;

• iş ilişkisi tesis edilemez ve talep edilen işlem gerçekleştirilemez.

Kripto varlık hizmet sağlayıcıları açısından 3 başlık halinde KCY süreçleri hakkında bilgileri sunduğum bu yazıda ISACA Digital Trust yaklaşımını biraz daha somut bir alanla ilişkilendirmeye çalıştım. Konuya ilişkin yorum ve önerilerinizi bekliyorum. Gökhan Polat