Finansal teknolojiler ve dijital ödeme sistemleri, Türkiye’de ve dünyada hızla büyürken, bu büyüme beraberinde kara para aklama (AML) ve terörizmin finansmanıyla mücadele (CFT) gibi ciddi yasal sorumlulukları da getiriyor. Ödeme ve Elektronik Para Kuruluşları için Türkiye Cumhuriyet Merkez Bankası (TCMB) lisansı almak ve bu lisansı korumak, sadece teknolojik altyapı kurmaktan ibaret değildir. Aynı zamanda, MASAK (Mali Suçları Araştırma Kurulu) başta olmak üzere ulusal ve uluslararası otoritelerin belirlediği katı uyum standartlarına eksiksiz bir şekilde cevap verebilen, sağlam bir AML programı oluşturmayı gerektirir. Bu süreç, lisans başvurusundan operasyonel canlıya geçişe kadar her adımda dikkatle yönetilmesi gereken kritik izleme senaryolarını ve kural setlerini hayata geçirmeyi zorunlu kılar.
İçindekiler
ToggleYasal Zemin ve Uyum Yükümlülükleri
Finansal hizmetler sunan her kuruluşun operasyonları, katı yasal çerçevelerle düzenlenir. Bu düzenlemeler, sistemin bütünlüğünü korumayı, finansal suçları önlemeyi ve tüketiciyi güvence altına almayı hedefler. Ödeme ve Elektronik Para Kuruluşları için bu yasal zemin, hem yerel mevzuatlara hem de küresel standartlara uyumu zorunlu kılar.
Ödeme ve Elektronik Para Kuruluşları için AML/CFT Düzenlemeleri: MASAK ve 5549 Sayılı Kanun
Türkiye’de kara para aklama ve terörizmin finansmanıyla mücadelenin ana yasal dayanağı, 5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’dur. Bu kanun, MASAK’ı ana düzenleyici ve denetleyici otorite olarak yetkilendirir. Ödeme ve Elektronik Para Kuruluşları, bu kanun kapsamında “yükümlü” olarak kabul edilir ve müşterinin tanınması (KYC), şüpheli işlem bildirimi (ŞİB), kayıt saklama ve periyodik raporlama gibi temel görevleri eksiksiz yerine getirmekle sorumludur. MASAK, bu yükümlülüklerin nasıl uygulanacağına dair detaylı tebliğler ve rehberler yayımlayarak sektöre yol gösterir.
Dijital Ortamda Sorumluluk: 5651 Sayılı Kanun Kapsamında Kimlik Doğrulama ve İçerik Yönetimi
5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, doğrudan bir AML düzenlemesi olmasa da, dijital hizmet sunan kuruluşlar için dolaylı sorumluluklar getirir. Özellikle kimlik doğrulama ve kullanıcı verilerinin güvenli bir şekilde saklanması konularında getirdiği yükümlülükler, AML süreçlerinin bir parçası olan Müşterini Tanı (KYC) prensipleriyle kesişir. Bu kanun, platformların yasa dışı faaliyetler için kullanılmasını önlemeye yönelik altyapısal tedbirlerin alınmasını gerektirir.
Uluslararası Standartlar: FATF Tavsiyelerinin Kurum Politikalarına Etkisi
Mali Eylem Görev Gücü (FATF), kara para aklama ve terörizmin finansmanıyla mücadelede küresel standartları belirleyen uluslararası bir kuruluştur. Türkiye’nin de üyesi olduğu FATF’nin yayımladığı 40 Tavsiye, üye ülkelerin yerel mevzuatları için bir kılavuz niteliğindedir. Bu tavsiyeler; risk bazlı yaklaşımın benimsenmesi, müşteri durum tespiti (CDD), Siyasi Nüfuz Sahibi Kişilerin (PEP) izlenmesi ve uluslararası işbirlikleri gibi konuları kapsar. Ödeme kuruluşları, AML politikalarını oluştururken bu küresel en iyi uygulamaları dikkate almak zorundadır.
Lisans Başvuru Sürecinde Sunulması Gereken AML Programının Ana Hatları
TCMB’ye yapılan ödeme kuruluşu lisansı başvurusunun en kritik bileşenlerinden biri, kurumun AML/CFT risklerini nasıl yönetileceğini detaylandıran kapsamlı bir AML programıdır. Bu program genellikle şu unsurları içermelidir: Uyum görevlisi atanması, risk değerlendirme metodolojisi, müşteri kabul politikası, KYC ve CDD prosedürleri, işlem izleme kural ve senaryoları, şüpheli işlem bildirim süreçleri, personel eğitimi programı ve iç denetim mekanizmaları. Bu doküman, kurumun yasal yükümlülüklerini anladığını ve bu riskleri yönetebilecek teknik ve operasyonel yetkinliğe sahip olduğunu kanıtlar.
Lisans Öncesi Hazırlık: Sağlam Bir AML ve KYC Temeli Kurmak
Lisans alım sürecinin başarıyla tamamlanması ve operasyonel sürdürülebilirliğin sağlanması, güçlü bir AML ve KYC altyapısının kurulmasına bağlıdır. Bu temel, kurumun finansal suçlarla mücadeledeki ilk savunma hattını oluşturur ve yasal riskleri en aza indirir. Sağlam bir başlangıç, gelecekte karşılaşılabilecek karmaşık uyum sorunlarının da önüne geçer.
Müşterini Tanı (KYC) Süreçleri Nedir ve Nasıl Kurgulanır?
Müşterini Tanı (Know Your Customer – KYC), bir finansal kuruluşun hizmet verdiği bireysel veya kurumsal müşterilerin kimliğini doğrulama ve risk profilini anlama sürecidir. Bu süreç, sadece kimlik belgesi kontrolünden ibaret değildir. Müşterinin gelir kaynağını, mesleğini, yapması beklenen işlem türünü ve hacmini anlamayı da içerir. Etkili bir KYC süreci; kimlik tespiti, müşteri bilgilerinin doğrulanması, risk derecelendirmesi ve periyodik gözden geçirme adımlarından oluşur. Tüzel kişi kimlik tespiti gibi daha karmaşık süreçler, şirketin sahiplik yapısını ve nihai gerçek faydalanıcılarını (UBO) ortaya çıkarmayı gerektirir.
Dijital Kimlik Doğrulama: Fraud.com Teknolojisi ile İHS Teknoloji’nin Sunduğu “Bulut KYC” (Udentify) Çözümü
Geleneksel yüz yüze kimlik doğrulama yöntemleri, dijitalleşen finans dünyasında yetersiz kalmaktadır. Bu noktada, uzaktan ve güvenli müşteri edinimi sağlayan dijital kimlik doğrulama teknolojileri devreye girer. İHS Teknoloji’nin Fraud.com teknolojisiyle entegre sunduğu Bulut KYC (Udentify) çözümü, bu ihtiyaca modern bir yanıt verir. NFC tabanlı çipli kimlik kartı okuma, canlılık kontrolü (liveness detection) ve biyometrik yüz eşleştirme gibi yeteneklerle, sahtekârlık girişimlerini önlerken yasal düzenlemelere tam uyumlu, hızlı ve kullanıcı dostu bir müşteri kabul süreci sunar.
Risk Bazlı Yaklaşım Nedir ve Müşteri Risk Derecelendirmesi Nasıl Yapılır?
Risk Bazlı Yaklaşım (Risk-Based Approach – RBA), FATF tarafından zorunlu kılınan bir AML prensibidir. Bu yaklaşıma göre, her müşterinin, işlemin veya ürünün aynı seviyede risk taşımadığı kabul edilir. Kuruluşlar, uyum kaynaklarını ve kontrollerini en yüksek riski barındıran alanlara yoğunlaştırmalıdır. Müşteri risk derecelendirmesi bu sürecin merkezindedir. Müşterinin ülkesi, mesleği, işlem yaptığı taraflar, ürün kullanım alışkanlıkları ve PEP (Siyasi Nüfuz Sahibi Kişi) olup olmaması gibi faktörler bir skorlama matrisinde değerlendirilir. Sonuçta her müşteri “düşük”, “orta” veya “yüksek” riskli olarak sınıflandırılır ve uygulanacak kontrol seviyesi (basitleştirilmiş, standart veya geliştirilmiş durum tespiti) bu dereceye göre belirlenir.
AML Politikası, Prosedürleri ve İç Kontrol Sisteminin Oluşturulması
Sağlam bir uyum programı, yazılı politikalara ve prosedürlere dayanmalıdır. AML Politikası, kurumun kara para aklamayla mücadeleye yönelik genel taahhüdünü ve stratejisini ortaya koyan üst düzey bir belgedir. Prosedürler ise bu politikanın günlük operasyonlarda nasıl hayata geçirileceğini adım adım açıklar (örneğin, bir ŞİB nasıl dosyalanır, bir PEP nasıl onaylanır vb.). İç kontrol sistemi, bu politika ve prosedürlerin etkin bir şekilde uygulanıp uygulanmadığını denetleyen mekanizmaları (çift onay, görevler ayrılığı, periyodik denetimler) içerir. Bu dokümantasyon, hem personelin görevlerini doğru bir şekilde yapmasını sağlar hem de denetimlerde kuruma koruma kalkanı oluşturur.
Canlıya Geçiş İçin 10 Kritik AML İzleme Senaryosu
Teorik hazırlıklar ve politikalar tamamlandıktan sonra, bir ödeme kuruluşunun AML programının kalbi olan işlem izleme sistemi devreye girer. Bu sistem, milyonlarca işlem arasından şüpheli aktivite kalıplarını tespit etmek için önceden tanımlanmış kural setlerini veya senaryoları kullanır. Gelişmiş bir AML Çözümü, bu senaryoları otomatize ederek uyum ekiplerinin iş yükünü hafifletir ve tespiti zor desenleri ortaya çıkarır. İşte canlıya geçen her kuruluşun uygulaması gereken 10 temel izleme senaryosu.
Temel Davranışsal Senaryolar: Anomali Tespiti
Bu senaryolar, kara para aklama döngüsünün en belirgin ve yaygın yöntemlerini tespit etmeye odaklanır. Genellikle tekil işlemlerde değil, bir dizi işlemin oluşturduğu desenlerdeki anormallikleri ararlar.
Eşik Bölme / Yapılandırma (Structuring)
Suçluların, yasal bildirim eşiklerinin (örneğin, MASAK şüpheli işlem bildirim limitleri) altında kalmak için büyük bir meblağı kasıtlı olarak küçük parçalara bölerek sisteme sokmasıdır. Kural motoru, belirli bir zaman diliminde (örn. 24-48 saat) aynı müşteri tarafından yapılan çok sayıda küçük tutarlı işlemin toplamının belirli bir eşiği aşıp aşmadığını kontrol eder. Bu, en temel AML kurallarından biridir.
Hızlı Para Giriş-Çıkışı (Layering)
Kara para aklamanın “katmanlandırma” aşamasının tipik bir göstergesidir. Bir hesaba gelen fonların, hesapta çok kısa bir süre (genellikle 24 saatten az) bekletildikten sonra hemen başka hesaplara transfer edilmesidir. Amaç, paranın kaynağı ile son durağı arasındaki izi kaybettirmektir. İzleme sistemi, hesaba giren fonların ne kadarının ne kadar sürede çıktığını takip ederek bu durumu tespit eder.
Atıl Hesabın Ani Reaktivasyonu
Uzun bir süre (örn. 90 günden fazla) hiçbir işlem görmemiş bir hesabın, aniden yüksek tutarlı bir fon girişi veya çıkışıyla yeniden aktif hale gelmesidir. Bu durum, hesabın ele geçirilmiş olabileceğine (account takeover) veya “uyuyan bir hücre” olarak bir suç operasyonu için aktive edildiğine işaret edebilir. Bu ilk işlem, fon kaynağının sorgulanması için güçlü bir tetikleyicidir.
Profil ve Tutarlılık Senaryoları: Müşteri Davranışının Doğrulanması
Bu grup, müşterinin KYC sürecinde beyan ettiği bilgilerle gerçek işlem davranışları arasındaki tutarlılığı denetler. Amaç, müşterinin hesabı beyan ettiği amaçlar doğrultusunda kullanıp kullanmadığını doğrulamaktır.
Yerleşik Davranıştan Önemli Sapma
Her müşterinin zamanla oluşan bir “normal” işlem geçmişi vardır. Bu kural, müşterinin mevcut işlem hacmi, sıklığı veya tutarının, kendi tarihsel ortalamasından istatistiksel olarak önemli ölçüde sapmasını tespit eder. Örneğin, aylık ortalama 5.000 TL’lik işlem yapan bir müşterinin aniden 50.000 TL’lik işlem yapmaya başlaması bir alarm üretir.
Beklenen Profil ile Tutarsız Aktivite
Bu senaryo, müşterinin mevcut aktivitesini geçmişiyle değil, müşteri olurken beyan ettiği profille (meslek, gelir seviyesi, beklenen aylık ciro vb.) karşılaştırır. Örneğin, asgari ücretli bir çalışan olarak kayıt açan bir müşterinin hesabına düzenli olarak yüksek meblağlarda döviz transferleri gelmesi, beyan edilen profille tutarsız bir durumdur ve incelenmelidir.
Üçüncü Taraf Kontrolü ve Kullanımı Göstergeleri
Bir hesabın, yasal sahibi dışında başka kişiler tarafından kontrol edildiğine veya kullanıldığına dair teknolojik izleri takip eder. Kısa süre içinde çok farklı IP adreslerinden, coğrafi konumlardan veya cihazlardan hesaba giriş yapılması ve işlem gerçekleştirilmesi, hesabın bir “para katırı” (money mule) tarafından kullanılıyor olabileceğine işaret eder.
Yüksek Riskli Varlık ve İlişki Senaryoları: Geliştirilmiş Durum Tespiti (EDD)
Bazı işlem türleri veya müşteri ilişkileri, doğası gereği daha yüksek risk taşır. Bu senaryolar, bu yüksek riskli durumları proaktif olarak belirleyerek Geliştirilmiş Durum Tespiti (Enhanced Due Diligence – EDD) süreçlerini tetikler.
Yüksek Riskli ve Yaptırımlı Ülke İşlemleri
FATF tarafından “gri” veya “kara” listeye alınmış, uluslararası yaptırımlara (BM, OFAC, AB vb.) tabi olan veya yüksek yolsuzluk/suç oranlarına sahip ülkelerle yapılan işlemler otomatik olarak işaretlenir. Bu kural, fonların bu coğrafyalara gönderilmesini veya bu coğrafyalardan gelmesini izler ve uyum biriminin detaylı inceleme yapmasını gerektirir.
Siyasi Nüfuz Sahibi Kişi (PEP) Taraması ve İzlemesi
Siyasi Nüfuz Sahibi Kişiler (Politically Exposed Persons – PEPs), kamusal görevleri nedeniyle rüşvet ve yolsuzluğa daha açık oldukları için yüksek riskli kabul edilirler. Müşteriler ve karşı taraflar, sürekli olarak güncel PEP listelerine karşı taranmalıdır. Bir PEP ile veya PEP’in yakınlarıyla yapılan herhangi bir işlem, normalden daha sıkı bir incelemeye ve genellikle üst yönetim onayına tabidir.
Teknik Uyum ve Veri Senaryoları: Yasal Zorunluluklar
Bu senaryolar, doğrudan şüpheli bir deseni değil, düzenleyicilerin getirdiği teknik ve veri bütünlüğü zorunluluklarına uyumu kontrol eder.
Gerçek Faydalanıcı (UBO) Tespiti ve Davranış Kontrolü
Özellikle kurumsal müşterilerde, şirketin arkasındaki gerçek kişi veya kişilerin (Ultimate Beneficial Owner – UBO) kimliğinin tespiti zorunludur. Bu senaryo, UBO bilgisinin eksiksiz olup olmadığını kontrol etmenin yanı sıra, şirketin işlem aktivitelerinin beyan edilen sahiplik yapısıyla ve iş modeliyle tutarlı olup olmadığını da denetler. Örneğin, paranın beyan edilmemiş bir ortağa aktarılması şüphe uyandırır.
Eksik Gönderen/Lehdar Bilgisi (Travel Rule) Kontrolü
FATF’nin Tavsiye 16’sı ile zorunlu hale gelen ve “Seyahat Kuralı” olarak bilinen bu kural, para transferi yapan kuruluşların, transferle birlikte gönderici ve alıcıya ait tam ve doğru bilgileri (isim, hesap no, adres vb.) iletmesini gerektirir. Bu senaryo, gelen veya giden transferlerde bu bilgilerin eksik, anlamsız veya format dışı olup olmadığını kontrol eder. Özellikle kripto şirketleri için seyahat kuralı çözümü gibi özel uygulamalar, bu alandaki uyumu sağlamak için kritik öneme sahiptir.
| Senaryo Kategorisi | Senaryo Adı | Tespit Ettiği Risk | Temel Gösterge |
|---|---|---|---|
| Temel Davranışsal | Eşik Bölme (Structuring) | Yerleştirme (Placement) | Kısa sürede çok sayıda, eşik altı nakit işlemi. |
| Hızlı Para Giriş-Çıkışı | Katmanlandırma (Layering) | Gelen fonun %80’inden fazlasının 24 saat içinde çıkması. | |
| Atıl Hesabın Reaktivasyonu | Hesap Ele Geçirme / Suistimal | 90+ gün hareketsizlik sonrası yüksek değerli ilk işlem. | |
| Profil ve Tutarlılık | Yerleşik Davranıştan Sapma | Hesap Suistimali | İşlem hacminde veya sıklığında ani artış. |
| Beklenen Profille Tutarsızlık | Beyan Dışı Faaliyet | Beyan edilen gelirle orantısız işlem hacmi. | |
| Üçüncü Taraf Kontrolü | Para Katırlığı (Mule Account) | Çoklu cihaz, IP veya coğrafyadan eşzamanlı erişim. | |
| Yüksek Riskli Varlıklar | Yüksek Riskli Ülke İşlemleri | Yaptırım ve Coğrafi Risk | FATF listesindeki veya yaptırımlı ülkelere/ülkelerden transfer. |
| PEP Taraması ve İzlemesi | Yolsuzluk ve Rüşvet | Müşterinin veya karşı tarafın PEP listesinde olması. | |
| Teknik Uyum | Gerçek Faydalanıcı (UBO) Kontrolü | Opak Sahiplik Yapıları | Beyan edilen UBO ile işlem lehdarının tutarsızlığı. |
| Eksik Transfer Bilgisi (Travel Rule) | Anonim Transferler | Gönderen/lehdar bilgisinin eksik veya anlamsız olması. |
Kural Setlerinin Hayata Geçirilmesi: Teoriden Pratiğe
Etkili AML senaryoları tasarlamak işin sadece bir yarısıdır. Bu kuralların canlı sistemde doğru ve verimli bir şekilde çalışmasını sağlamak, dikkatli bir parametre yönetimi, esnek bir teknoloji altyapısı ve net iş akışları gerektirir. Teoride mükemmel görünen bir kural, pratikte yanlış yapılandırıldığında ya hiçbir şüpheli işlemi yakalayamaz ya da uyum birimini yanlış pozitif alarmlara boğabilir.
Risk İştahına Göre Eşik Değerlerinin Belirlenmesi ve Parametrik Yönetim
Her kuralın bir veya daha fazla tetikleyici eşik değeri bulunur. Örneğin, “Hızlı Para Giriş-Çıkışı” kuralı için “24 saat içinde” ve “fonların %80’i” gibi eşikler belirlenmelidir. Bu değerler, kurumun risk iştahı, müşteri portföyünün yapısı ve hedeflediği pazar gibi faktörlere göre dikkatlice ayarlanmalıdır. Çok düşük eşikler aşırı alarm üretirken, çok yüksek eşikler önemli riskleri gözden kaçırabilir. İdeal sistemler, bu eşiklerin kodlama gerektirmeden, bir arayüz üzerinden kolayca yönetilmesine olanak tanır.
Dinamik Eşikleme: Müşteri Risk Bandına Göre Kural Hassasiyetinin Ayarlanması
Risk Bazlı Yaklaşım’ın en ileri uygulamalarından biri dinamik eşiklemedir. Bu yöntemde, tüm müşterilere aynı kural eşikleri uygulanmaz. Bunun yerine, kuralın hassasiyeti müşterinin risk derecesine göre otomatik olarak ayarlanır. Örneğin, “Yapılandırma” kuralı için standart bir müşteri için eşik 2.000 EUR olabilirken, “yüksek riskli” olarak sınıflandırılmış bir müşteri için bu eşik 1.000 EUR’ya düşürülebilir. Bu, uyum kaynaklarının gerçekten riskli olan müşterilere odaklanmasını sağlar ve düşük riskli müşteriler için gereksiz alarmları önler.
Alarm Yönetimi ve Soruşturma Süreçlerinin İş Akışı
Bir kural tetiklendiğinde ortaya çıkan alarm, bir soruşturma sürecinin başlangıcıdır. Bu sürecin verimli yönetimi için net bir iş akışı oluşturulmalıdır. Bu akış genellikle şu adımları içerir: Alarmın bir analiste atanması, analistin işlemi ve müşteri geçmişini incelemesi, gerekirse ek bilgi talep etmesi ve alarmı “yanlış pozitif” olarak kapatma veya “şüpheli” olarak bir üst seviyeye (örneğin, uyum yöneticisine) taşıma kararı. Gelişmiş bulut işlem izleme platformları, bu iş akışını dijital ortamda yöneterek her adımın denetim izini tutar.
Yanlış Pozitif (False Positive) Oranlarının Azaltılması için Kural Optimizasyonu
Yanlış pozitif, şüpheli olmadığı halde bir kural tarafından hatalı olarak işaretlenen alarmlardır ve uyum departmanlarının en büyük verimlilik düşmanıdır. Bu oranı düşürmek için kurallar sürekli olarak gözden geçirilmeli ve optimize edilmelidir. Örneğin, isim benzerliğinden kaynaklanan hatalı PEP eşleşmelerini azaltmak için doğum tarihi gibi ek kriterler eklenebilir. İHS Teknoloji’nin sunduğu Pro AML çözümü, “Akıllı Yüz Eşleştirme” modülü ile resimli arananlar listelerindeki isim benzerliklerini eleyerek ve “Akıllı Metin Eşleştirme” (Fuzzy Matching) ile yazım hatalarına karşı daha isabetli sonuçlar üreterek yanlış pozitifleri önemli ölçüde azaltır.
| Özellik | Geleneksel Periyodik/Batch Tarama | Modern Olay Bazlı/Gerçek Zamanlı İzleme |
|---|---|---|
| Çalışma Prensibi | İşlemleri toplar, gün sonunda veya belirli aralıklarla tarar. | Her olay (giriş, işlem, profil değişikliği) gerçekleştiği anda analiz edilir. |
| Tespit Hızı | Gecikmeli (Saatler veya günler sürebilir). | Anlık (Milisaniyeler içinde). Şüpheli işlem gerçekleşmeden engellenebilir. |
| Verimlilik | Tüm müşteri tabanını tekrar tekrar taradığı için yüksek sistem yükü oluşturur. | Sadece risk profilini değiştiren “tetikleyici” olaylarda alarm üreterek kaynakları verimli kullanır. |
| Yanlış Pozitif Oranı | Bağlamdan yoksun olduğu için genellikle daha yüksek “uyarı yorgunluğuna” neden olur. | Olayın bütünsel bağlamını analiz ettiği için daha isabetli ve yönetilebilir sayıda alarm üretir. |
| Yasal Uyum | Temel gereksinimleri karşılar ancak yeni nesil düzenlemeler (örn. AB Anlık Ödemeler Tüzüğü) için yetersiz kalabilir. | Gerçek zamanlı müdahale gerektiren modern regülasyonlara ve anlık ödeme sistemlerine tam uyumludur. |
| Örnek Platform | Eski nesil AML yazılımları. | Fraud.com & İHS Teknoloji Pro AML Platformu. |
Canlı Operasyon: Sürekli İzleme, Raporlama ve Denetim
AML programının canlıya alınması, sürecin sonu değil, başlangıcıdır. Finansal suçlular sürekli olarak taktik değiştirirken, düzenleyici beklentiler de giderek artmaktadır. Bu dinamik ortamda, AML sistemlerinin ve süreçlerinin sürekli olarak izlenmesi, güncellenmesi ve denetime hazır halde tutulması, bir ödeme kuruluşunun uzun vadeli başarısı ve itibarı için hayati önem taşır.
Davranış Değişikliği ile Tetiklenen Müşteri Tanıma (CDD) Yenileme Süreçleri
Müşteri Tanıma, sadece hesap açılışında yapılan bir defalık bir işlem değildir. Sürekli Durum Tespiti (Ongoing Due Diligence) ilkesi gereği, müşteri bilgileri güncel tutulmalıdır. Özellikle bir müşterinin işlem davranışlarında kalıcı ve önemli bir değişiklik gözlemlendiğinde (örneğin, aniden uluslararası transferlere başlaması), bu durum ilk başta toplanan KYC bilgilerinin artık geçerli olmayabileceğine işaret eder. Bu noktada, sistem otomatik olarak bir CDD yenileme süreci tetiklemeli ve müşteriden güncel bilgi ve belgeler talep edilmelidir.
Şüpheli İşlem Bildirimi (ŞİB/STR) Karar ve Bildirim Mekanizması
AML izleme sürecinin nihai amacı, şüphe eşiğini aşan işlemleri tespit ederek yasal süreler içinde MASAK’a bildirmektir. Bir alarm, analist incelemesi ve yönetici onayı sonrasında “şüpheli” olarak kesinleştiğinde, kurumun Şüpheli İşlem Bildirimi (STR/ŞİB) hazırlama ve gönderme mekanizması devreye girmelidir. Bu süreç, tutardan bağımsızdır ve şüphenin kendisi esastır. Hatta sisteme girmesi engellenen veya teşebbüs aşamasında kalan şüpheli işlemlerin bile bildirilmesi gerekebilir.
Bilgilendirme Yasağı (Tipping-off) Önleme Kontrolleri
5549 Sayılı Kanun’un en katı kurallarından biri “tipping-off” yasağıdır. Bir müşteri hakkında ŞİB yapıldığının veya yapılacağının, işlemin taraflarına veya üçüncü kişilere sızdırılması kesinlikle yasaktır ve ciddi hukuki sonuçları vardır. Kurumlar, sistemsel ve operasyonel kontrollerle bu yasağı güvence altına almalıdır. Örneğin, bir müşteriyle ilgili aktif bir soruşturma varken, müşteri hizmetleri temsilcisinin bu durumu görmemesi veya CDD yenileme taleplerinin şüphe uyandırmayacak şekilde standart bir dille yapılması sağlanmalıdır.
Periyodik Gözden Geçirme ve Kayıt Saklama Yükümlülükleri
Müşteri risk derecelendirmeleri statik değildir. Yasal düzenlemeler, yüksek riskli müşterilerin daha sık (örn. yıllık) olmak üzere tüm müşterilerin belirli periyotlarla gözden geçirilmesini gerektirir. Ayrıca, müşteri kimlik bilgileri, işlem kayıtları ve yapılan tüm AML analizleri, yasal olarak belirlenen süreler boyunca (genellikle işlem tarihinden veya müşteri ilişkisi bittikten sonra en az 5 yıl) güvenli ve değiştirilemez bir şekilde saklanmalıdır. Bu kayıtlar, olası bir resmi denetim veya soruşturmada kurumun en önemli kanıt niteliğindeki belgeleridir. KVKK ve veri yerelleştirme kuralları, bu kayıtların Türkiye’de barındırılmasını gerektirebilir.
AML/KYC Süreçleriniz ve Lisans Başvurunuz İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
Ödeme ve Elektronik Para Kuruluşları için lisans almak ve sürdürülebilir bir uyum programı yürütmek, doğru teknoloji ortağını seçmekle doğrudan ilişkilidir. İHS Teknoloji, Fraud.com’un küresel gücünü yerel mevzuat uzmanlığıyla birleştirerek, lisans sürecinden canlı operasyona kadar her aşamada kuruluşlara uçtan uca çözümler sunar. Gelişmiş teknolojisi, esnek altyapısı ve uzman desteği ile fraud tespit ve önleme çözümleri alanında fark yaratır.
Uçtan Uca Çözüm: “Bulut KYC” (Udentify) ile Güçlü ve Uyumlu Müşteri Kabulü
Başarılı bir AML programı, daha en başta doğru müşteriyi kabul etmekle başlar. İHS Teknoloji’nin sunduğu “Bulut KYC” çözümü, uzaktan müşteri edinimini güvenli, hızlı ve yasal düzenlemelere tam uyumlu hale getirir. Bu güçlü başlangıç, işlem izleme sistemine daha temiz ve güvenilir veri akışı sağlayarak gelecekteki riskleri minimize eder ve operasyonel verimliliği artırır.
Gelişmiş Senaryo Yönetimi ve Esnek Kural Motoru Kabiliyetleri
Pro AML platformu, bu makalede listelenen 10 kritik senaryo ve çok daha fazlasını içeren zengin bir kural kütüphanesi ile birlikte gelir. Daha da önemlisi, esnek kural motoru sayesinde kurumların kendi risk iştahlarına ve müşteri profillerine özel senaryolar oluşturmasına olanak tanır. Dinamik eşikleme ve olay bazlı akıllı teknoloji, “uyarı yorgunluğunu” önleyerek uyum ekiplerinin yalnızca gerçek risklere odaklanmasını sağlar.
Yerel Mevzuata (5549, 5651) ve Global Standartlara (FATF) Tam Uyum
İHS Teknoloji, MASAK’ın beklentilerini, 5549 ve 5651 sayılı kanunların gerekliliklerini ve FATF’nin küresel tavsiyelerini yakından takip eder. Sunduğu çözümler, bu karmaşık ve sürekli değişen yasal çerçeveye tam uyumu garanti eder. Türkiye’deki yerel özel bulut altyapısı üzerinden hizmet vermesi, veri yerelleştirme ve güvenlik konularındaki endişeleri ortadan kaldırır.
Lisans Sürecinden Canlı Operasyona Uzman Destek ve Danışmanlık Hizmetleri
Teknoloji sağlamak tek başına yeterli değildir. İHS Teknoloji, lisans başvuru sürecinde TCMB’ye sunulacak AML programının hazırlanmasından, canlı operasyon sırasında kural setlerinin optimizasyonuna kadar her aşamada uzman ekibiyle danışmanlık ve destek sunar. Bu bütünsel yaklaşım, kuruluşların hem yasal yükümlülüklerini eksiksiz yerine getirmesini sağlar hem de operasyonel mükemmelliğe ulaşmalarına yardımcı olur. Başarı hikayelerimiz, bu yaklaşımın somut sonuçlarını göstermektedir.

