Finansal teknolojilerin hızla geliştiği günümüzde, ödeme ve elektronik para kuruluşları için yasal uyum her zamankinden daha kritik hale gelmiştir. Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan “Ödeme ve Elektron-ik Para Kuruluşlarınca Sunulan Hizmetlerin Yasa Dışı Faaliyetlerde Kullanılmasının Önlenmesine İlişkin Risk Yönetimi Rehberi”, sektördeki oyuncular için yeni bir yol haritası sunmaktadır. Bu rehber, 6493 sayılı Kanun kapsamında faaliyet gösteren kuruluşların, hizmetlerinin yasa dışı bahis, kumar ve diğer mali suçlarda kullanılmasını engellemek için alması gereken idari ve teknik tedbirleri detaylandırmaktadır. Rehber, kuruluşlara sadece mevcut riskleri yönetme değil, aynı zamanda proaktif ve teknoloji odaklı bir yaklaşımla gelecekteki tehditlere karşı hazırlıklı olma sorumluluğu da yüklemektedir.
MASAK Yükümlülüklerinin Hukuki Çerçevesi ve TCMB Rehberinin Rolü
Türkiye’de finansal sistemin güvenliği ve şeffaflığı, birden fazla kurumun koordineli çalışmasıyla sağlanır. Bu yapının merkezinde Mali Suçları Araştırma Kurulu (MASAK) yer alırken, ödeme sistemleri özelinde Türkiye Cumhuriyet Merkez Bankası (TCMB) da kritik bir düzenleyici rol üstlenmektedir. Yeni yayımlanan TCMB rehberi, bu iki kurumun yetki alanlarının nasıl kesiştiğini ve ödeme kuruluşları için ne anlama geldiğini netleştirmektedir.
MASAK’ın Görevleri ve Finansal Suçlarla Mücadeledeki Yeri Nedir?
MASAK, Türkiye’de kara para aklama ve terörizmin finansmanıyla mücadelenin ana otoritesidir. 5549 sayılı Kanun çerçevesinde faaliyet gösteren MASAK, şüpheli işlem bildirimlerini toplar, analiz eder ve gerekli durumlarda adli makamlara intikal ettirir. Temel amacı, suç gelirlerinin yasal ekonomi içine sızmasını engellemek ve finansal sistemin kötüye kullanılmasını önlemektir. Bu kapsamda, bankalar, ödeme kuruluşları ve diğer finansal aracılar MASAK’a karşı doğrudan yükümlüdür.
TCMB’nin 6493 Sayılı Kanun Kapsamındaki Yetkisi ve Risk Yönetimi Rehberi
6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun”, TCMB’ye ödeme hizmetleri alanında geniş yetkiler tanımıştır. TCMB, bu kanun uyarınca ödeme ve elektronik para kuruluşlarını lisanslamak, denetlemek ve düzenlemekle görevlidir. Yayımlanan son “Risk Yönetimi Rehberi” de bu yetki kapsamında hazırlanmıştır. Rehber, genel MASAK yükümlülüklerine ek olarak, ödeme sistemlerine özgü risklerin (yasa dışı bahis, dolandırıcılık vb.) yönetilmesi için spesifik ve teknik kurallar getirmektedir.
Yükümlülüklerin Kapsamı: Ödeme ve Elektronik Para Kuruluşları
TCMB tarafından yayımlanan rehberin getirdiği yükümlülükler, 6493 sayılı Kanun kapsamında faaliyet göstermek üzere TCMB’den lisans almış tüm ödeme ve elektronik para kuruluşlarını kapsamaktadır. Bu kuruluşlar, sundukları hizmetlerin yasa dışı faaliyetlerde kullanılmasını önlemek amacıyla rehberde belirtilen asgari risk unsurlarını izlemek, takip mekanizmaları kurmak ve şüpheli durumlarda gerekli aksiyonları almakla mükelleftir. Bu sorumluluk, kuruluşların kendi müşterilerinden (bireysel/kurumsal) ve temsilcileri aracılığıyla yürütülen tüm işlemleri içerir.
MASAK Mevzuatı ile TCMB Rehberinin İlişkisi ve Bütünlüğü
TCMB Rehberi, mevcut MASAK mevzuatını ortadan kaldırmaz veya değiştirmez; aksine onu tamamlayıcı ve detaylandırıcı bir nitelik taşır. MASAK, suç gelirlerinin aklanması ve terörizmin finansmanı gibi daha geniş bir çerçeveye odaklanırken, TCMB Rehberi ödeme sistemleri özelinde sıkça karşılaşılan yasa dışı bahis, kumar ve organize dolandırıcılık gibi faaliyetlere yönelik spesifik senaryolar ve teknik kontrol noktaları belirler. Bir kuruluş, hem MASAK’ın genel “Müşterini Tanı” (KYC) ve şüpheli işlem bildirim (ŞİB) yükümlülüklerine hem de TCMB’nin belirlediği anlık işlem izleme ve senaryo bazlı kontrollere aynı anda uymak zorundadır.
Risk Temelli Yaklaşım ve Otomatik Takip Mekanizmalarının Kurulması
TCMB Rehberi, finansal kuruluşların yasa dışı faaliyetlerle mücadelesinde pasif bir bekleyiş yerine, proaktif ve teknoloji odaklı bir savunma mekanizması kurmasını zorunlu kılmaktadır. Artık sadece bilinen dolandırıcılık yöntemlerine karşı önlem almak yeterli değil; potansiyel riskleri önceden tahmin eden, anlık olarak analiz eden ve hızla müdahale eden sistemler kurmak bir gereklilik haline gelmiştir. Bu yaklaşım, manuel süreçlerin yetersizliğini ve otomasyonun kaçınılmazlığını ortaya koymaktadır.
Yasa Dışı Faaliyetlerin Önlenmesinde Proaktif Yaklaşım Zorunluluğu
Rehber, kuruluşların kendi risk değerlendirmelerini yaparak, belirtilen asgari unsurların ötesinde, kendi iş modellerine ve müşteri profillerine özgü risk senaryoları geliştirmesini beklemektedir. Bu, “bekle ve gör” anlayışından “tespit et ve önle” anlayışına geçişi ifade eder. Risk temelli yaklaşım, her müşterinin, her işlemin ve her işyerinin aynı riski taşımadığı gerçeğine dayanır ve kaynakların yüksek riskli alanlara yoğunlaştırılmasını sağlar.
Manuel Takip Sistemlerinin Yetersizliği ve Otomasyon Gerekliliği
TCMB, rehberde takip mekanizmalarının manuel olmaması gerektiğini açıkça belirtmektedir. Saniyede binlerce işlemin gerçekleştiği dijital ödeme ekosisteminde, insan gözüyle veya basit Excel tablolarıyla on binlerce senaryoyu anlık olarak kontrol etmek imkansızdır. Manuel takip, yavaş, hataya açık ve en önemlisi ölçeklenebilir değildir. Bu nedenle, rehberde belirtilen tüm kuralları ve senaryoları eş zamanlı olarak işletebilecek otomatik izleme sistemlerine geçiş bir tercih değil, yasal bir zorunluluktur.
Tespit, Değerlendirme ve Aksiyon Süreleri: İşlem Anı ve Üç Saat Kuralı
Rehberin en kritik maddelerinden biri, zamanlama ile ilgilidir. Riskli işlemlerin “işlem anında” tespit edilmesi ve bu tespite ilişkin değerlendirme ve aksiyonların “en geç üç saat içerisinde” belirlenmesi gerekmektedir. Bu 3 saat kuralı, manuel süreçlerle yönetilemeyecek kadar sıkı bir zaman çerçevesi sunar. Bir işlemin şüpheli olduğunu fark etmek, ilgili birimleri bilgilendirmek, gerekli incelemeyi yapmak ve hesabı bloke etme veya işlemi reddetme gibi bir karar almak için sadece 180 dakika bulunmaktadır. Bu süre, otomasyon olmadan etkin bir şekilde kullanılamaz.
Teknolojik Çözümlerin Rolü: İHS Teknoloji’nin Sunduğu Fraud.com “Bulut İşlem İzleme” (aiReflex) Sistemi
Bu noktada, İHS Teknoloji’nin Türkiye’deki iş ortağı olduğu Fraud.com tarafından geliştirilen AiReflex platformu gibi gelişmiş teknolojik çözümler devreye girer. Bulut İşlem İzleme (aiReflex), kural tabanlı motoru ve yapay zeka destekli makine öğrenmesi algoritmalarını birleştiren hibrit bir yapı sunar. Bu sistem, TCMB rehberindeki tüm senaryoların ve kuruluşların kendi belirleyeceği özel kuralların sisteme tanımlanmasına olanak tanır. İşlemler gerçekleştiği anda (real-time) bu kurallara göre analiz edilir ve şüpheli bir durum tespit edildiğinde anında uyarılar oluşturulur. Böylece, kuruluşlar 3 saatlik yasal süreye kolayca uyum sağlar, manuel operasyon yükünü ortadan kaldırır ve “false positive” (yanlış alarm) oranlarını düşürerek verimliliği artırır.
| Özellik | Manuel Takip Süreçleri | Otomatik İzleme (AiReflex) |
|---|---|---|
| Tespit Hızı | Saatler/Günler (Raporlama sonrası) | Gerçek Zamanlı (Milisaniyeler içinde) |
| Kapsam | Örneklem bazlı, kısıtlı | Tüm işlemlerin %100’ü |
| Kural İşletme | Sınırlı sayıda ve basit kurallar | Yüzlerce karmaşık senaryo ve yapay zeka analizi |
| 3 Saat Kuralına Uyum | Çok zor ve riskli | Tam uyumlu ve garantili |
| İnsan Hatası Riski | Yüksek | Minimum |
| Operasyonel Maliyet | Yüksek personel maliyeti | Düşük (SaaS modeli ile) |
Ödeme Hesabı Hizmetlerine İlişkin Asgari İzleme Unsurları ve Senaryoları
TCMB rehberi, ödeme hesapları üzerinden gerçekleştirilen para transferi ve diğer işlemleri yasa dışı faaliyetlerin tespiti için mercek altına almaktadır. Rehber, sadece tutarlara değil, aynı zamanda işlem sıklığına, müşteri profiline, kullanılan dijital araçlara ve işlem açıklamalarına kadar birçok farklı unsura dayalı spesifik kontrol senaryoları belirlemiştir. Bu kontroller, normal müşteri davranışlarından sapan ve potansiyel olarak hesap kiralama (mule account) veya yasa dışı fon transferi gibi faaliyetlere işaret eden anormallikleri yakalamayı hedefler.
İşlem Adet ve Sıklığına Dayalı Kriterler
Bu kategorideki kontroller, bir hesabın ne kadar sık ve ne kadar çok parçalı işlem yaptığını analiz eder. Amaç, ödeme hesaplarının birer “geçiş” noktası olarak kullanılmasını engellemektir.
Bireysel Müşteriler İçin Günlük ve Aylık Para Transferi Limitleri
Rehbere göre, bir bireysel müşterinin ödeme hesabından bir gün içinde 10’dan fazla para transferi yapması şüpheli bir aktivite olarak kabul edilir. Bu kural, sürekli ve küçük parçalar halinde para dağıtımı yapan yasa dışı bahis ağlarının kullandığı “parçala-dağıt” yöntemini engellemeye yöneliktir. Aylık limitler de benzer bir mantıkla belirlenmiştir.
Farklı Kişilere ve Farklı Kişilerden Gelen Transferlerin İzlenmesi
Bir ödeme hesabına gün içinde 5 veya daha fazla farklı kişiden para gelmesi ya da aynı hesaptan 5 veya daha fazla farklı kişiye para gönderilmesi riskli bir göstergedir. Bu durum, hesabın birden çok kişiden yasa dışı gelir toplamak veya bu gelirleri dağıtmak için kullanıldığına işaret edebilir. Aylık bazda ise bu sınır 15 farklı kişiye yükseltilmiştir.
Müşteri Profili ve Hesap Davranışlarına Dayalı Kriterler
Bu senaryolar, hesap sahibinin kim olduğu ve hesabın genel kullanım alışkanlıklarına odaklanır. Özellikle kırılgan veya tecrübesiz gruplar üzerinden yapılan işlemlere özel önem verilir.
Genç ve Yeni Müşteri Hesapları İçin İşlem ve Tutar Limitleri
Hesap sahibinin 20 yaşından küçük olduğu veya hesabın yeni açıldığı durumlarda, ilk bir ay içinde yapılan işlem adedinin 50’yi veya toplam işlem tutarının 27.500 TL’yi aşması dikkatle izlenmelidir. Bu kural, genellikle mali okuryazarlığı daha düşük olan gençlerin hesaplarının suç örgütleri tarafından kiralanmasının önüne geçmeyi amaçlar.
Kar Amacı Gütmeyen Kuruluşlara Yapılan Transferlerin Kontrolü
Bir müşteri tarafından bir ay içinde kar amacı gütmeyen veya yardım kuruluşlarına 3’ten fazla veya toplamda 55.000 TL’den fazla işlem yapılması da bir risk unsuru olarak belirlenmiştir. Bu madde, terörizmin finansmanı veya paravan dernekler aracılığıyla kara para aklama girişimlerine karşı bir önlem niteliğindedir.
Teknik ve Dijital İzlere Dayalı Kriterler
Finansal suçlular, arkalarında bıraktıkları dijital izleri gizlemeye çalışsalar da, bu izlerin analizi önemli ipuçları sunar. IP adresi, e-posta ve telefon numarası gibi teknik veriler bu kategorinin temelini oluşturur.
IP Adresi Anormallikleri: Çoklu Müşteri Erişimi ve Çoklu IP Kullanımı
Aynı gün içinde aynı IP adresinden 5 veya daha fazla farklı müşterinin hesabına girilerek işlem yapılması, bu hesapların tek bir merkezden yönetildiğini gösteren güçlü bir delildir. Benzer şekilde, bir müşterinin hesabına aynı gün 5 farklı IP’den erişilmesi de hesabın kontrolünün başkalarının eline geçtiğine işaret edebilir. Bu tür IP ve cihaz parmak izi anormallikleri, organize dolandırıcılık şebekelerinin tespitinde kritik rol oynar.
Güvenilmeyen E-Posta Sunucuları ve Tekrar Eden E-Posta Adresleri
Tek kullanımlık veya güvenilmeyen e-posta sunucularından (disposable email) alınan adreslerle hesap açılması veya “isimsoyisim1@mail.com”, “isimsoyisim2@mail.com” gibi ardışık e-posta adresleri kullanılması, sahte veya çoklu kimlik yaratma girişimlerini gösterebilir.
Riskli Ülke IP ve Cep Telefonu Numaraları ile Gerçekleşen İşlemler
Yasa dışı bahis faaliyetlerinin yasal olduğu ülkeler, off-shore merkezler veya MASAK tarafından yüksek riskli olarak değerlendirilen bölgelere ait IP adresleri ve cep telefonu numaraları ile gerçekleştirilen işlemler, özel bir inceleme gerektirir. Bu, uluslararası bağlantılı mali suç ağlarının tespitinde önemli bir adımdır.
İşlem İçeriği ve Diğer Şüpheli Durumlara Dayalı Kriterler
Bu kategori, işlemlerin açıklama metinleri, hesap açılış süreçleri ve hesapların kullanıldığı iş kolları gibi daha niteliksel unsurlara odaklanır.
Açıklama Metinlerinin Anlamsızlığı ve Şüpheli Anahtar Kelimeler
Para transferlerinin açıklama kısmının boş bırakılması, anlamsız karakterler (asdfgh), ardışık sayılar veya “kumar, bahis, bet, hediye” gibi anahtar kelimeler içermesi, işlemin yasa dışı bir faaliyete yönelik olduğunu gizleme çabasının bir işareti olabilir.
Aynı Kimlik Bilgileriyle Birden Fazla Hesap Açılması
Aynı T.C. kimlik numarası, e-posta adresi veya cep telefonu numarası kullanılarak bir kuruluş nezdinde birden fazla hesap açılması, çoklu hesap açılışlarını yakalamak için önemli bir kuraldır ve genellikle bonus avcılığı (bonus abuse) veya yasa dışı faaliyetlerin farklı hesaplara dağıtılması amacıyla yapılır.
Riskli İş Kollarında (Kuyumculuk, Oyun Pini vb.) Yoğunlaşan Hesap Hareketleri
Bireysel bir ödeme hesabının, ticari bir nitelik taşıyan ve paranın kolayca nakde veya dijital değere dönüştürülebildiği kuyumculuk, oyun pini satışı, kontör yükleme gibi alanlarda sürekli ve dikkat çekici şekilde kullanılması, hesabın ticari amaçla ve muhtemelen kayıtdışı olarak kullanıldığına dair şüpheleri artırır.
Ödeme Aracının Kabulü (Sanal/Fiziki POS) Hizmetlerine İlişkin Asgari İzleme Unsurları
TCMB rehberi, sadece para transferlerini değil, aynı zamanda işletmelerin ödeme kabul ettiği sanal ve fiziki POS hizmetlerini de detaylı bir şekilde ele almaktadır. Üye işyerleri, yasa dışı faaliyetlerden elde edilen gelirlerin sisteme sokulması (placement) aşamasında kritik bir rol oynayabilir. Bu nedenle rehber, işyerlerinin ciro hareketlerinden işlem saatlerine, şirket yapılarından teknik altyapılarına kadar geniş bir yelpazede izleme kriterleri belirlemiştir. Bu kriterler, meşru bir işletme görünümü altında paravan faaliyet yürüten yapıları tespit etmeyi amaçlar.
Ciro ve İşlem Hacmi Analizine Dayalı Kriterler
Bir işyerinin finansal hareketlerindeki ani ve açıklanamayan değişiklikler, en önemli risk göstergelerinden biridir. Ciro analizi, normal ticari akışın dışına çıkan durumları yakalamayı hedefler.
Sektör Ortalamasını Aşan ve Olağandışı Artan Günlük Cirolar
Bir işyerinin, kendi sektöründeki diğer benzer işletmelerin ortalamasının çok üzerinde bir günlük ciro yapması veya ticari geçmişiyle uyumlu olmayacak şekilde cirosunda ani (örneğin dört kat ve üzeri) bir artış yaşanması, şüpheli bir duruma işaret eder. Bu durum, işyerinin yasa dışı bahis sitelerinden gelen toplu ödemeleri kabul ediyor olabileceğini düşündürür.
Yeni Kurulan İşyerleri İçin Aşamalı Toplam İşlem Tutarı Limitleri
Ticari faaliyete yeni başlayan bir işyeri için rehber, kademeli ciro limitleri belirlemiştir. İlk ay 250.000 TL, ilk iki ay 500.000 TL ve ilk üç ay 1.000.000 TL gibi limitlerin aşılması, işyerinin potansiyel risk taşıdığını gösterir ve daha yakından incelenmesini gerektirir. Bu kural, özellikle yasa dışı faaliyetler için hızla kurulan ve kısa sürede yüksek hacimlere ulaşan paravan şirketleri engellemeyi amaçlar.
İşlem Desenleri ve Zamanlamasına İlişkin Kriterler
İşlemlerin ne zaman ve ne şekilde yapıldığı, işyerinin faaliyetlerinin meşruiyeti hakkında önemli ipuçları verir. Dolandırıcılar genellikle normal mesai saatleri ve alışveriş alışkanlıkları dışında kalan işlem desenleri sergiler.
Hafta Sonu ve Gece Saatlerinde Yoğunlaşan İşlemler
Bir işyerinin aylık işlem hacminin %75’inin hafta sonu veya %50’sinin gece 21:00 ile 06:00 saatleri arasında gerçekleşmesi, normal ticari faaliyetlerle açıklanması zor bir durumdur. Bu zaman dilimleri, genellikle yasa dışı bahis ve kumar sitelerinin en aktif olduğu saatlerdir.
Tekrar Eden Düz Tutarlı İşlemlerin Oranı
Aylık işlem adedinin veya tutarının %25’inin 50 TL, 100 TL, 500 TL gibi sürekli tekrar eden yuvarlak rakamlardan oluşması, bir mal veya hizmet satışından ziyade, belirli tarifeler üzerinden (örneğin bahis kuponu bedeli) ödeme toplandığına işaret edebilir.
Aynı Ödeme Aracından Kısa Sürede Tekrarlayan İşlemler
Bir işyerinde aynı kredi kartı veya ödeme hesabından iki saat gibi kısa bir süre içinde 5 veya daha fazla sayıda işlem yapılması, kartın sahibi dışındaki kişilerce kullanıldığı veya “kart deneme” (card testing) gibi dolandırıcılık faaliyetleri için kullanıldığı şüphesini doğurur.
İşyeri Risk Profili ve Belgelerine İlişkin Kriterler
İşyerinin kurumsal yapısı, dijital varlıkları ve uyum süreçlerine katılımı da risk değerlendirmesinin önemli bir parçasıdır. Güvenilir bir işyeri, şeffaf ve tutarlı bir profil sergiler.
Domain Yaşı ve Sık IBAN Değişikliği
Ödeme alınan web sitesinin alan adının (domain) yaşının 3 aydan küçük olması veya işyerinin son 3 ayda 3’ten fazla IBAN değiştirmesi, işyerinin izini kaybettirmeye yönelik geçici bir yapı olabileceğini düşündürür. Yeni kurulan işyerlerinde domain ve IBAN değişikliği takibi, bu tür paravan yapıların erken tespiti için kritiktir.
İstenen Bilgi ve Belgelerin Zamanında ve Yeterli Sunulmaması
Ödeme kuruluşu tarafından şüpheli bir işlemle ilgili olarak talep edilen fatura, sözleşme gibi ticari belgelerin işyeri tarafından hiç sunulmaması, geç sunulması veya sunulan belgelerin yapılan işlemle uyumsuz olması, gizlenen bir faaliyet olduğuna dair güçlü bir göstergedir.
Şirket Ortaklık Yapısı ve Tecrübesiz Kişilerce Kurulan Yüksek Cirolu Şirketler
Düşük sermayeli, ortaklık yapıları birbirine benzeyen ve genellikle tecrübesiz veya genç kişiler adına kurulan şirketlerin kısa sürede sektör ortalamasının çok üzerinde ciro elde etmesi, bu şirketlerin arkasında başka kişilerin olduğu ve paravan şirket olarak kullanıldığı şüphesini artırır. İşletmeni Tanı (KYB) süreçleri bu noktada hayati önem taşır.
Teknik ve Operasyonel Kriterler
İşlemlerin teknik detayları ve operasyonel süreçlerdeki anormallikler, dolandırıcılık girişimlerini ele veren önemli unsurlardır.
Hatalı PIN ve SMS OTP Giriş Sayıları
Bir işyerinde son bir saat içinde 5 veya daha fazla sayıda “hatalı pin” (fiziki POS) veya “hatalı SMS OTP” (sanal POS) uyarısı alınması, çalıntı kart bilgileriyle denemeler yapıldığını gösterebilir.
Web Sitesi ve Back URL Bilgisinin Uyumsuzluğu
Sanal POS işleminde ödemenin yapıldığı web sitesi (URL) ile işlemin teknik olarak geldiği kaynak adresin (Back URL) farklı olması, POS bilgilerinin çalınarak başka bir sitede kullanıldığı (POS scraping) anlamına gelebilir.
Yurtiçi İşyeri İçin Yurtdışı POS IP Adresi Kullanımı
Türkiye’de faaliyet gösteren bir işyerinin POS sunucu IP adresinin yurtdışı kaynaklı olması, coğrafi olarak mantıksız bir durumdur ve genellikle işlemleri denetimden kaçırma veya farklı ülke kurallarına tabi olma çabasını gösterir.
Fiziki POS Cihazlarının Sık Lokasyon Değişikliği
Fiziki bir POS cihazının, faaliyet gösterdiği beyan edilen adresten farklı ve sürekli değişen lokasyonlarda kullanılması, cihazın seyyar olarak yasa dışı faaliyetler (örneğin kumar oynatılan mekanlar) için kullanıldığına işaret edebilir.
Fatura Ödemeleri, Para Havalesi ve Mobil Ödeme Hizmetlerine Özel İzleme Kriterleri
TCMB rehberi, genel ödeme hesabı ve POS hizmetlerinin yanı sıra, fatura ödemeleri, para havalesi ve mobil ödeme gibi spesifik hizmet türleri için de özel risk unsurları ve izleme kriterleri belirlemiştir. Bu hizmetler, doğaları gereği farklı suistimal senaryolarına açık olabilir. Örneğin, fatura ödeme noktaları nakit paranın sisteme sokulması için, mobil ödemeler ise kimlik gizliliğinden faydalanılarak yasa dışı harcamalar için kullanılabilir. Bu nedenle, her hizmet türü için ayrıntılı ve özelleştirilmiş kontrollerin yapılması zorunludur.
Fatura Ödemelerine Aracılık Hizmetleri İçin Risk Unsurları
Fatura ödeme merkezleri (temsilciler), özellikle nakit akışının yoğun olduğu ve işlemlerin hızlı gerçekleştiği noktalardır. Bu alandaki riskler, hem son kullanıcıların hem de temsilcilerin faaliyetlerine odaklanır.
Bireysel ve Ticari Müşteriler İçin Aylık Fatura Adet ve Sorgulama Limitleri
Bir bireysel müşterinin bir ayda 30’dan, bir işyerinin ise 70’den fazla fatura ödemesi normal dışı bir davranış olarak kabul edilir. Benzer şekilde, bir ayda bireysel müşteri tarafından 90, işyeri tarafından 210’dan fazla fatura sorgulaması yapılması da dikkat çekicidir. Bu durum, başkaları adına toplu fatura ödeme veya veri toplama gibi faaliyetlere işaret edebilir. Para transferi ve fatura ödemelerindeki şüpheli işlemlerin tespiti bu limitlerin takibiyle başlar.
Temsilcilerin Ciro Artışlarının ve Faaliyet Bölgesi Dışı İşlemlerinin Takibi
Bir temsilcinin cirosunda ani ve dört katı aşan bir artış yaşanması şüpheyle karşılanmalıdır. Ayrıca, fiziki bir noktada faaliyet gösteren bir temsilcinin, kendi bulunduğu il dışındaki illere ait faturaları yoğun bir şekilde (günde 10, ayda 100 adetten fazla) ödemesi, coğrafi olarak mantıksızdır ve paravan bir faaliyet yürütüldüğünü düşündürebilir.
Para Havalesi Hizmetlerinde Temsilci Bazlı Risk Unsurları
Para havalesi hizmeti sunan temsilciler, fon transfer ağının önemli bir parçasıdır. Bu temsilcilerin iş modelleri ve işlem desenleri, yasa dışı fon akışlarının tespitinde kritik bilgiler sunar.
Temsilcinin Aynı Zamanda Sanal POS Üye İşyeri Olması
Bir para havalesi temsilcisinin aynı zamanda sanal POS hizmeti de alması, potansiyel bir çıkar çatışması ve riski beraberinde getirir. Bu durum, sanal POS’tan toplanan paranın kontrolsüz bir şekilde havale yoluyla sisteme dağıtılmasına imkan tanıyabilir.
Düşük Müşteri Sayısına Rağmen Yüksek Ciro Elde Edilmesi
Bir temsilcinin az sayıda müşteriye hizmet vermesine rağmen orantısız şekilde yüksek bir ciro elde etmesi, işlemlerin küçük ve meşru havalelerden ziyade, büyük ve şüpheli fon transferlerinden oluştuğunu gösterir.
Temsilcinin Kendi Hesaplarına Yüksek Tutarlı Fon Aktarımı
Temsilci konumundaki şirket ortağının veya gerçek faydalanıcısının, temsilcilik üzerinden kendi şahsi hesaplarına 200.000 TL ve üzerinde fon aktarması, temsilcilik faaliyetinin kişisel kazanç veya kara para aklama için kullanıldığına dair ciddi bir işarettir.
Mobil Ödeme Hizmetlerine İlişkin Risk Unsurları
Mobil ödeme, GSM operatörleri aracılığıyla yapılan ve genellikle fatura veya bakiye üzerinden harcama imkanı sunan bir hizmettir. Bu alandaki riskler, gönderen ve alıcı ödeme hizmeti sağlayıcıları için farklılık gösterir.
Gönderen Ödeme Hizmeti Sağlayıcısı (GHS) Tarafında İzlenecek Kriterler
Gönderenin ödeme hizmeti sağlayıcısı (genellikle GSM operatörünün kontrolündeki kuruluş), son kullanıcıların şüpheli harcama desenlerini izlemekle yükümlüdür. Bu, mobil ödeme hizmetinin bir dolandırıcılık aracı olarak kullanılmasını önlemeyi amaçlar.
Gece Saatlerinde ve Kısa Aralıklarla Yapılan Mobil Ödeme İşlemleri
Bir bireysel müşterinin gece 21:00 ile 06:00 saatleri arasında 3 adet mobil ödeme işlemi yapması veya aynı cep telefonu numarasından bir saat içinde aynı işyerine 3, farklı işyerlerine 5 adet mobil ödeme yapması şüpheli olarak değerlendirilir. Bu, özellikle oyun ve bahis sitelerine yapılan ödemelerde sıkça görülen bir patterndir.
Uzun Süre Pasif Olan Numaradan Yapılan İlk Mobil Ödeme İşlemi
Son bir yıl içinde hiç mobil ödeme yapmamış bir cep telefonu numarasından aniden bir mobil ödeme işlemi yapılması, hattın ele geçirilmiş olabileceği veya dolandırıcılık amacıyla yeni aktive edildiği şüphesini doğurur. Bu tür ani davranış değişiklikleri, anomali tespiti algoritmaları için önemli bir girdidir.
API Bağlantıları İçin Güvenlik ve İzleme Yükümlülükleri
Günümüz finansal teknolojiler ekosisteminde Uygulama Programlama Arayüzleri (API), ödeme kuruluşları ile işyerleri, temsilciler ve diğer üçüncü partiler arasında veri ve işlem akışını sağlayan temel yapı taşlarıdır. Ancak bu esneklik ve hız, doğru yönetilmediğinde ciddi güvenlik riskleri de beraberinde getirir. TCMB rehberi, API’lerin birer “arka kapı” olarak yasa dışı faaliyetlerde kullanılmasını önlemek amacıyla kuruluşlara katı güvenlik ve izleme yükümlülükleri getirmektedir. Bu yükümlülükler, sadece API’yi sunmakla kalmayıp, bu kanal üzerinden geçen tüm işlemlerin sorumluluğunu da kuruluşa yüklemektedir.
API Hizmeti Verilen Müşterilerin Risk Değerlendirmesi
Bir işyerine veya temsilciye API hizmeti sunmadan önce, kuruluşun kapsamlı bir risk değerlendirmesi yapması zorunludur. Bu değerlendirme, müşterinin iş modelini, API’yi ne amaçla kullanacağını ve bu kullanımın yasa dışı bahis gibi faaliyetlere zemin hazırlayıp hazırlamayacağını analiz etmelidir. Riskli görülen veya faaliyetleri şeffaf olmayan müşterilere API hizmeti verilmesinden kaçınılmalıdır.
API Üzerinden Gerçekleşen İşlemlerde Anormal Desenlerin Tespiti
API bağlantıları üzerinden akan işlemler, sürekli olarak izlenmelidir. Özellikle, aynı IP üzerinden çok sayıda farklı ödeme hesabına erişim, bir ödeme hesabına kısa süre içinde farklı IP’lerden giriş yapılması ve bu hesaplardan benzer yerlere fon akışı olması gibi anormal desenler, API’nin kötüye kullanıldığına işaret eder. Bu tür durumların anlık olarak tespit edilip engellenmesi gerekmektedir.
Denetim İzi (Audit Trail) Saklama Zorunluluğu ve İçermesi Gereken Asgari Bilgiler
Kuruluşlar, API üzerinden geçen her işleme ait detaylı denetim izlerini (log kayıtları) tutmakla yükümlüdür. Bu kayıtlar, olası bir incelemede veya adli soruşturmada kanıt niteliği taşıyacaktır. Rehbere göre denetim izleri asgari olarak; işlem türü, tutarı, tarihi, müşteri ve işyeri bilgileri, kullanılan kart bilgileri (güvenli şekilde maskelenmiş) ve isteğin geldiği kaynak IP/port, hedef IP/port gibi teknik detayları içermelidir.
| API Güvenlik Tedbiri | Açıklama | Amaç |
|---|---|---|
| Statik IP ve Beyaz Liste (Whitelist) | API’ye sadece önceden tanımlanmış, statik IP adreslerinden erişime izin verilir. | Yetkisiz ve bilinmeyen kaynaklardan gelen istekleri engelleyerek güvenliği artırmak. |
| API Envanteri | Hangi müşteriye, hangi URL ve IP için, ne zaman API verildiğini ve yetkilerini içeren bir kayıt tutulur. | Tüm API bağlantılarını merkezi olarak yönetmek ve düzenli olarak gözden geçirmek. |
| Güçlü Kimlik Doğrulama | API erişimlerinin güvenli anahtarlar (API keys) ve yetkilendirme mekanizmaları ile kontrol edilmesi. | Sadece yetkili kullanıcıların ve sistemlerin API’ye erişebilmesini sağlamak. |
| Back URL Kontrolü | API’nin sadece müşterinin bildirdiği ve kayıtlı olan web sitesi (URL) üzerinde çalışmasının sağlanması. | API anahtarlarının çalınarak başka sitelerde kullanılmasını engellemek. |
API Güvenliğini Sağlamaya Yönelik Teknik Tedbirler
Rehber, API güvenliğinin sağlanması için bir dizi spesifik teknik önlem alınmasını zorunlu kılar. Bu tedbirler, API’lerin hem dış tehditlere hem de iç suistimallere karşı korunmasını hedefler.
Statik IP Adresi ve Beyaz Liste (Whitelist) Uygulaması
API bağlantısı kuracak olan işyeri veya temsilcinin IP adresinin statik olması ve bu IP’nin kuruluş tarafından oluşturulan bir beyaz listeye (whitelist) eklenmesi esastır. Bu liste dışından gelen tüm erişim talepleri otomatik olarak reddedilmelidir. Bu, API anahtarları ele geçirilse bile, saldırganın kendi sisteminden bağlantı kurmasını engeller.
API Envanteri Oluşturma ve Periyodik Gözden Geçirme
Kuruluşlar, sundukları tüm API’ler için detaylı bir envanter tutmak zorundadır. Bu envanter, hangi müşteriye, hangi IP ve URL için, ne tür yetkilerle API verildiğini içermelidir. Envanterin en az 3 ayda bir gözden geçirilmesi ve güncelliğinin sağlanması gerekmektedir.
Amaç Dışı Kullanımın Tespiti ve İş İlişkisinin Sonlandırılması
Bir API bağlantısının, verildiği amaç dışında (örneğin, yasa dışı bahis sitesine ödeme geçidi olarak) kullanıldığının veya sosyal medyada yasa dışı faaliyetlere aracılık ettiğinin tespit edilmesi halinde, kuruluşun derhal müşteri ile iş ilişkisini sonlandırması gerekmektedir. Bu müşteriler kayıt altına alınmalı ve tekrar sistem içerisine dahil edilmemelidir.
API Token Güvenliği ve Back URL Kontrolü
API anahtarlarının (token) gizliliği ve güvenliği sağlanmalıdır. Ayrıca, API token’ının benzersiz (unique) olması ve işlemin geldiği kaynak adresin (Back URL), API’nin kurulu olduğu web sitesi ile aynı olmasının teknolojik olarak zorunlu kılınması, anahtarın çalınarak başka platformlarda kullanılmasının önüne geçer.
Yükümlülüklere Uyumsuzluğun Sonuçları ve Yaptırımlar
TCMB tarafından yayımlanan “Risk Yönetimi Rehberi”, tavsiye niteliğinde bir belge değil, uyulması zorunlu kurallar bütünüdür. Rehberde belirtilen idari ve teknik tedbirleri almayan, risk unsurlarını dikkate almayan ve şüpheli işlem takip mekanizmalarını kurmayan ödeme ve elektronik para kuruluşları, ciddi yaptırımlarla karşı karşıya kalacaktır. TCMB, bu konuda denetim yetkisini kullanarak uyum seviyesini yakından takip edecek ve ihlallere karşı gerekli adımları atacaktır.
TCMB Tarafından Uygulanabilecek İdari Yaptırımlar
Rehbere uyumsuzluk, 6493 sayılı Kanun kapsamında çeşitli idari yaptırımların uygulanmasına neden olabilir. Bu yaptırımlar, yazılı ihtar verilmesinden, faaliyet izninin geçici olarak durdurulmasına ve hatta en ağır durumlarda faaliyet izninin tamamen iptal edilmesine kadar gidebilir. Faaliyet izninin iptali, bir kuruluşun ticari hayatının sona ermesi anlamına geldiği için en caydırıcı yaptırımdır.
İç Kontrol, Risk Yönetimi ve Bilgi Güvenliği Yükümlülülüklerinin İhlali
Rehberde belirtilen takip yöntemlerine uyulmaması, Kanun’un genel hükümleri çerçevesinde “iç kontrol”, “risk yönetimi” ve “bilgi güvenliği” yükümlülüklerinin ihlali olarak kabul edilecektir. Bir kuruluşun, yasa dışı faaliyetleri izlemek için yeterli ve etkin sistemler kurmaması, risklerini doğru bir şekilde yönetemediği anlamına gelir. Bu durum, sadece ceza riski değil, aynı zamanda kuruluşun itibarını ve müşteri güvenini de zedeleyen bir faktördür.
6493 Sayılı Kanun Kapsamında Belirlenen İdari Para Cezaları
İdari yaptırımların yanı sıra, TCMB’nin Kanun’un 27. maddesi uyarınca idari para cezası uygulama yetkisi de bulunmaktadır. Rehberdeki yükümlülüklere aykırı hareket eden kuruluşlara, fiilin niteliğine ve tekrarına göre değişen oranlarda ciddi miktarlarda para cezası kesilebilir. TCMB’nin yayımladığı “İdari Para Cezalarına İlişkin Açıklama Rehberi”, bu cezaların hesaplanmasında kullanılacak esasları ve oranları detaylandırmaktadır. İdari para cezalarından kaçınmak için rehberdeki tüm kurallara eksiksiz uyum sağlamak ve bu uyumu teknolojik sistemlerle kanıtlayabilmek kritik öneme sahiptir.
MASAK ve TCMB Yükümlülüklerine Uyum İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
TCMB’nin yeni rehberi, ödeme ve elektronik para kuruluşları için çıtayı yükseltmiş ve teknoloji odaklı, proaktif bir risk yönetimini zorunlu kılmıştır. Manuel süreçlerin ve geleneksel yöntemlerin artık yetersiz kaldığı bu yeni dönemde, doğru teknoloji ortağını seçmek, yasal uyumu sağlamak ve olası cezalardan kaçınmak için hayati önem taşımaktadır. İHS Teknoloji’nin sunduğu Fraud.com’un AiReflex platformu, kuruluşların bu karmaşık ve dinamik yükümlülüklere eksiksiz uyum sağlaması için tasarlanmış kapsamlı bir çözümdür.
Gerçek Zamanlı ve Otomatik İzleme: aiReflex ile Rehber Kriterlerinin Eksiksiz Karşılanması
AiReflex, tüm işlemleri milisaniyeler içinde analiz ederek, TCMB rehberinde belirtilen onlarca senaryoyu (IP anormallikleri, işlem sıklığı, tutar limitleri, şüpheli anahtar kelimeler vb.) anlık olarak kontrol eder. Bu sayede, “işlem anında tespit” ve “3 saat içinde aksiyon alma” gibi kritik yasal zorunluluklar kolaylıkla karşılanır. Otomatik izleme, manuel operasyon yükünü ortadan kaldırır ve insan hatası riskini sıfıra indirir.
Davranışsal Analiz ve Makine Öğrenmesi ile Gelişmiş Tehdit Tespiti
Rehber, asgari unsurların ötesinde, kuruluşların kendi risklerini de proaktif olarak tespit etmesini bekler. AiReflex’in yapay zeka ve makine öğrenmesi motoru, sadece bilinen kuralları değil, aynı zamanda normalden sapan ve daha önce tanımlanmamış şüpheli işlem desenlerini de (anomali tespiti) ortaya çıkarır. Davranışsal biyometri ve velocity check gibi gelişmiş yetenekler, organize dolandırıcılık şebekelerinin karmaşık yöntemlerine karşı etkili bir savunma sağlar.
Esnek Kural Motoru ile Rehberdeki ve Kuruma Özel Senaryoların Kolayca Tanımlanması
Her finansal kuruluşun müşteri profili ve risk iştahı farklıdır. AiReflex’in esnek kural motoru, TCMB’nin standart senaryolarının yanı sıra, kurumun kendi dinamiklerine ve ticari önceliklerine uygun yüzlerce özel kuralın kodlama bilgisi gerektirmeden (no-code) kolayca tanımlanmasına olanak tanır. Bu, mevzuat değiştikçe veya yeni dolandırıcılık trendleri ortaya çıktıkça sistemin hızla adapte olabilmesini sağlar.
Kapsamlı Raporlama ve Denetim İzi Özellikleri ile Yasal Uyumluluğun Sağlanması
Olası bir TCMB veya MASAK denetiminde, alınan önlemleri ve yapılan kontrolleri kanıtlayabilmek esastır. AiReflex, izlenen her işlem, tetiklenen her kural ve alınan her aksiyon için değiştirilemez denetim izleri (audit trail) oluşturur. Kapsamlı ve özelleştirilebilir raporlama yetenekleri sayesinde, yasal mercilere sunulacak belgeler ve kanıtlar hızlı ve eksiksiz bir şekilde hazırlanabilir.
API Güvenliği ve İzlemesine Yönelik Entegre Çözümler Sunması
TCMB rehberinin özel önem atfettiği API güvenliği, AiReflex platformunun temel yeteneklerinden biridir. API üzerinden geçen işlemleri aynı titizlikle izleyerek anormal desenleri tespit eder, IP ve cihaz bilgilerini analiz eder ve amaç dışı kullanımlara karşı anında uyarılar üretir. Bu, kuruluşların API kanallarını bir risk kaynağı olmaktan çıkarıp güvenli bir iş ortaklığı aracına dönüştürmesine yardımcı olur.
