TÜRKİYE KRİPTO VARLIK DÜZENLEMELERİ

Yeni Kurallar, Lisans Süreci ve İkincil Düzenlemeler

Türkiye’de, kripto varlık sektörünü düzenleme yolunda önemli adımlar atılarak, 2 Temmuz 2024 tarihinde 7518 Sayılı Kanun yürürlüğe girmişti https://resmigazete.gov.tr/eskiler/2024/07/20240702-1.htm. Bu Kanun ile beraber kripto varlık hizmet sağlayıcıları (KVHS) Sermaye Piyasası Kurulu’nun (SPK) denetimine alındı ve o günden piyasayı regüle etmek amacıyla ikincil düzenlemelerin yayımlandığı 13.03.2025 tarihine kadar lisans süreçleri ile ilgili önemli gelişmeler yaşandı.

Türkiye’de kripto varlık düzenlemeleri ile sektörün uluslararası standartlara uyumu hedeflendiği gibi, kullanıcı güvenliğini sağlamanın Yasa Koyucu’nun özendiği konular arasında olduğunu söylemek mümkündür.  Lisanslama ve teknik yeterlilik kriterleri, sektördeki sürdürülebilir büyümeyi teşvik edecek mi etmeyecek mi 2025 ve 2026 yıllarında hep birlikte göreceğiz.

Bu düzenlemeler ile Türkiye, kripto varlık sektöründe şeffaflık ve güvenlik açısından önemli bir aşama kaydettiği gibi, hukuki boyutta herkesin ilgisini çekecek gelişmeler yaşanacağa benziyor. İşte Türkiye’deki kripto varlık düzenlemelerine dair kronolojik detaylar ve ikincil düzenlemeler ile getirilen yükümlülükler:

Kronolojik Sıralama:

• 2 Temmuz 2024: 7518 Sayılı Kanun yayımlanarak yürürlüğe girmiş ve kripto varlık hizmet sağlayıcılarının faaliyetleri SPK’nın lisanslama sürecine bağlı tutulması kararlaştırılmıştır.
• 2 Temmuz 2024: SPK’nın lisanslama süreçlerinin ilk adımı olan duyuru yapılmış ve başvuru belgeleri ve bilgi formu açıklanmıştır https://spk.gov.tr/duyurular/basin-duyurulari/2024/kripto-varlik-hizmet-saglayicilara-iliskin-duyuru_02072024.
• 2 Ağustos 2024: KVHS platformları, faaliyetlerini sürdürüp sürdürmeyeceklerini SPK’ya bildirmişlerdir.
• 08 Ağustos 2024: SPK Karar Organı’nın i-SPK.35.B (08/08/2024 tarih ve 42/1259 s.k.) sayılı İlke Kararı açıklanarak, kuruluş şartları, kurucu ve ortaklara ilişkin şartlar, kuruluş işlemleri, geçiş ve uyum hükümleri yayımlanmıştır https://spk.gov.tr/data/66b51e688f95db021892940c/2024-38.pdf.
• 05 Ağustos – 15 Ağustos 2024: SPK’ya başvuran kuruluşlar ile faaliyetlerini tasfiye edeceklerine yönelik beyan veren kuruluşlar sırasıyla “Faaliyette Bulunanlar Listesi” ile “Tasfiye Beyanında Bulunanlar Listesi” olarak yayımlanmıştır https://spk.gov.tr/duyurular/basin-duyurulari/2024/kripto-varlik-hizmet-saglayicilara-iliskin-duyuru_05082024.
• 12 Aralık 2024: SPK, yetkisiz faaliyet gösteren yabancı kripto borsalarının web sitelerine erişim engeli uygulamaya başlamıştır https://spk.gov.tr/data/675b4cdc8f95db2bd88adb07/2024-56.pdf.
• 25 Aralık 2024: KVHS’ler Mali Suçları Araştırma Kurulu denetimine tabi finansal kuruluşlardan sayılmıştır. (Tedbirler Yönetmeliği Madde: Madde 4/1-ç:“Finansal kuruluşlar: Bankalar, özel finans kurumları, kripto varlık hizmet sağlayıcıları, sigorta şirketleri, finansal kiralama şirketleri, faktoring şirketleri, finansman şirketleri, ödeme kuruluşları, elektronik para kuruluşları, sermaye piyasası kuruluşları, portföy yönetim şirketleri, yatırım fonları ve diğer kuruluşlar.” KVHS’ler, bu madde kapsamında finansal kuruluş statüsüne alınmıştır).
• MASAK mevzuatına uyum için yükümlülükler getirilmiş, uzaktan kimlik tespiti ve basitleştirilmiş tedbirler için uyum süreçleri ile ilgili kurallar belirlenmiştir.
• 13 Mart 2025: İkincil düzenlemeler yayımlanmıştır. Sermaye yeterliliği, lisanslama, teknik ve ekonomik altyapı kriterlerini ayrıntılı olarak düzenleyen bu metinler; Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Tebliği https://www.resmigazete.gov.tr/eskiler/2025/03/20250313-5.htm, Kripto Varlık Hizmet Sağlayıcıların Çalışma Usul ve Esasları https://www.resmigazete.gov.tr/eskiler/2025/03/20250313-6.htm ile Sermaye Yeterliliği Tebliği , Bilgi Sistemleri Yönetimi https://www.resmigazete.gov.tr/eskiler/2025/03/20250313-7.htm ve Yeterliliğine İlişkin Esaslar https://www.resmigazete.gov.tr/eskiler/2025/03/20250313-8.htm olarak sıralanmıştır.

Burada KVHS’leri bekleyen önemli yükümlülükleri sıralamak gerektiğini düşünüyoruz. Özetle;

1. Uyum Programı Oluşturma: KVHS’ler, suç gelirlerinin aklanması ve terörün finansmanının önlenmesi için risk temelli bir uyum programı oluşturmalıdır.
2. Uyum Görevlisi ve Yardımcısı Atama: KVHS’ler, uyum görevlisi ve uyum görevlisi yardımcısı atamak zorundadır.
3. Seyahat Kuralına Uyum: 15.000 TL ve üzeri kripto varlık transferlerinde gönderici ve alıcı bilgilerini içeren transfer mesajlarını düzenlemeli ve bu bilgileri doğrulamalıdır.
4. Transfer Mesajlarının Eksik Bilgilerini Tamamlama: Eksik bilgi içeren transfer mesajlarında, göndericiden eksik bilgilerin tamamlanmasını talep etmeli ve tamamlanmaması halinde transferi iade etmelidir.
5. Kayıtlı Olmayan Cüzdan Adreslerine Yönelik Tedbirler: Kayıtlı olmayan cüzdan adreslerine yapılan transferlerde, gönderici veya alıcıya ait kimlik bilgilerini toplamalı ve risk temelli yaklaşım uygulamalıdır.
6. Yurtdışı KVHS’lerle İşlemlerde Seyahat Kuralı: Yurtdışındaki KVHS’lerle yapılan transferlerde, gönderici ve alıcı bilgilerini toplamalı ve risk temelli yaklaşım uygulamalıdır.
7. Üçüncü Tarafa Güven Mekanizması: KVHS’ler, üçüncü tarafa güven mekanizması kullanarak müşteri edinimi yapabilir, ancak bu mekanizmanın şartlarını yerine getirmelidir.
8. Kimlik Tespiti Yapma: Sürekli iş ilişkisi, 15.000 TL ve üzeri işlemler ve elektronik transferlerde kimlik tespiti yapmalıdır.
9. Diğer Finansal Kuruluşlarla İlişkiler: KVHS’ler, diğer finansal kuruluşlar tarafından yüksek riskli grup olarak değerlendirileceğinden, bu kuruluşlarla iş ilişkisi kurarken ek tedbirler almalıdır.
10. Uzaktan Kimlik Tespiti: Sıra No.19 Tebliği kapsamında uzaktan kimlik tespiti yapabilirler, ancak gizlilik tabanlı kripto varlıklarla ilgili işlemlerde uzaktan kimlik tespiti yapamazlar.
11. Mevcut Müşterilere Kimlik Tespiti: KVHS’ler, 25 Nisan 2025’e kadar mevcut müşterilerine yüz yüze veya uzaktan kimlik tespiti yapmalıdır.
12. Elektronik Tebligat Sistemine Kayıt: KVHS’ler, 25 Ocak 2025’e kadar MASAK’ın Elektronik Tebligat Sistemine kayıt olmalıdır.
13. Operasyonel ve Yazılımsal Uyum: KVHS’ler, yeni yükümlülüklerini karşılamak için operasyonel ve yazılımsal süreçlerini güncellemelidir.
14. Geçiş Süreci Yönetimi: KVHS’ler, geçiş sürecindeki yükümlülüklerini doğru tanımlamalı ve bu yükümlülükleri etkin bir şekilde yerine getirmelidir.

• Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik (“Tedbirler Yönetmeliği”) https://masak.hmb.gov.tr/suc-gelirlerinin-aklanmasinin-ve-terorun-finansmaninin-onlenmesine-dair-tedbirler-hakkinda-yonetmelik-3/
• Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik (“Uyum Yönetmeliği”)  https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=12426&MevzuatTur=7&MevzuatTertip=5
• Mali Suçları Araştırma Kurulu Başkanlığı Elektronik Tebligat Sistemine İlişkin Usul ve Esaslar Hakkında Yönetmelik (“E-Tebligat Sistemi Yönetmeliği”) https://www.resmigazete.gov.tr/eskiler/2015/03/20150330-8.htm
• Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5) (“Sıra №5”) https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=12073&MevzuatTur=9&MevzuatTertip=5
• Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No:19) (“Sıra №19”)  https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=38566&MevzuatTur=9&MevzuatTertip=5
• Aklama Suçu İncelemesi Hakkında Yönetmelik https://masak.hmb.gov.tr/aklama-sucu-incelemesi-hakkinda-yonetmelik/

Görüleceği üzere, sadece SPK değil, MASAK ve ilerleyen süreçlerde TÜBİTAK’ın da kriterlerini karşılamak KVHS’lerin yükümlülükleri arasında yer alacaktır. Uyum süreçleri tüm bu kurumların düzenlemelerini ayrıntılı olarak ve beraberce değerlendirmeyi gerektirecek, Know Your Customer (KYC https://en.wikipedia.org/wiki/Know_your_customer), Travel Rule gibi müesseseler ve özellikle kripto varlık sektöründe suç gelirlerinin aklanması (AML) ve terörün finansmanının önlenmesi (CFT) konularında küresel standartlar belirleyen Financial Action Task Force (FATF), ülkelerin ulusal mevzuatlarını bu standartlara uyumlu hale getirmesini teşvik ettiğinden Ulusal düzenlemelere adaptasyonda rehberlik sağlayabileceklerdir. Türkiye, FATF standartlarına uyum sağlayarak uluslararası finansal sistemdeki itibarlarını korumayı hedeflediği ölçüde uyum süreçleri de dinamizmini koruyacak gibi görünmektedir.

Biraz da SPK Lisans süreçlerinde 13.03.2025 tarihli ikincil düzenlemelerle beraber ne gibi koşulların getirildiğine değinelim:

Kripto Varlık Hizmet Sağlayıcıları İçin Lisanslama ve Kuruluş Şartları

Sermaye ve Şirket Yapısı

• Kripto varlık hizmet sağlayıcıları anonim şirket olarak kurulmalı, tüm hisseleri nama yazılı ve nakden çıkarılmış olmalıdır.
• Asgari sermaye şartı, genel kripto varlık hizmet sağlayıcıları için 150 milyon TL, kripto varlık saklama hizmeti sunanlar için ise 500 milyon TL olarak belirlenmiştir.
• Öz sermayenin sürekli olarak belirtilen tutarın altında kalmaması zorunludur.

Yönetim Kurulu

• Yönetim kurulu en az üç üyeden oluşmalı ve üyelerin çoğunluğu dört yıllık üniversite mezunu olmalıdır.

Ticaret Unvanı ve Faaliyet Alanı

• Ticaret unvanlarında faaliyet türüne uygun olarak “kripto varlık alım satım platformu” veya “kripto varlık saklama kuruluşu” ifadesi bulunmalıdır.
• Faaliyetler kripto varlık alım satımı, saklama, takas ve transfer işlemleri ile sınırlı olmalıdır.

Kurucu ve Ortaklar İçin Şartlar

• Kurucular ve ortaklar iflas etmemiş, konkordato ilan etmemiş ve finansal suçlardan (dolandırıcılık, rüşvet, kara para aklama gibi) hüküm giymemiş olmalı, mali güç ve itibara sahip bulunmalıdır.

AML ve Şeffaflık Önlemleri

• 15.000 TL ve üzeri işlemlerde kimlik doğrulaması zorunludur.
• Kripto transferlerinde taraf bilgilerinin kayıt altına alınması ve gerektiğinde paylaşılması (Seyahat Kuralı – Travel Rule) şarttır.
• Şüpheli işlemler SPK ve MASAK’a bildirilmelidir.
• MASAK mevzuatına uygun uyum programı oluşturmak ve MASAK’a kayıtlı, eğitimli uyum görevlisi atamak zorunludur.

Yabancı Kripto Borsaları

• Yurt dışı merkezli platformların 2 Ekim 2024 itibarıyla Türkiye’deki kullanıcılara hizmet vermesi yasaklanmıştır.

Teknik ve Ekonomik Yeterlilik

• Bilgi sistemleri altyapısının TÜBİTAK kriterlerine uygunluğu zorunludur.
• İç denetim, iç kontrol ve risk yönetim sistemleri etkin biçimde kurulmalıdır.
• Bilgi sistemleri yönetimi, stratejik düzeyde ele alınmalı; yılda en az bir kez güncellenen kapsamlı politika ve prosedürlere sahip olunmalıdır.
• Risk yönetim süreçlerinde hızlı teknolojik gelişmeler, dış hizmet bağımlılığı ve bilgi güvenliği riskleri dikkate alınmalıdır.
• Bilgi sistemleri bağımsız denetimi ve sızma testleri yılda en az bir kez gerçekleştirilerek sonuçları Sermaye Piyasası Kuruluna iletilmelidir.

Platformların Çalışma Esasları

• Kripto varlık hizmet sağlayıcılarının faaliyetleri, Sermaye Piyasası Kurulu’nun iznine tabidir ve faaliyet izni olmayan kuruluşlar işlem yapamaz.
• Platformların, emir eşleştirme veya doğrudan kendi portföylerinden müşteri emirlerini karşılama şeklinde faaliyetleri yasal mevzuata tabidir.
• Müşteri nakitleri banka hesaplarında tutulmalı, müşteri hesaplarında işlem güvenliği ve mutabakat sağlanmalıdır.
• Kripto varlıkların listeleme işlemleri Kurul tarafından belirlenen kurallara göre yapılmalıdır.

Merkezi Olmayan Cüzdanlar ve Transferlerde Yeni Kurallar

• Merkezi olmayan cüzdanlar üzerinden gerçekleştirilen işlemlerde kimlik bilgileri doğrulama zorunludur.
• 15.000 TL üzerindeki transferlerde ek doğrulama tedbirleri uygulanabilir.

Uyum Süreci ve Önemli Tarihler

• Kripto varlık hizmet sağlayıcıları, SPK, MASAK ve TÜBİTAK düzenlemelerine uyumu sağlamak zorundadır.
• MASAK kriterlerine uyum en geç 25 Nisan 2025’e kadar tamamlanmalıdır.

• Kripto varlık hizmet sağlayıcıları faaliyetleri için organizasyon, sermaye yeterliliği, iç kontrol, iç denetim ve risk yönetim sistemleri, bilgi sistemleri güvenliği gibi altyapılara sahip olmalıdır.

Bilgi Sistemleri Bağımsız Denetim Tebliği’ndeki Önemli Hususlar:

• Kripto varlık hizmet sağlayıcıları yılda bir kez bilgi sistemleri bağımsız denetimine tabi tutulmalıdır. Bu denetim raporları yönetim kurulunca onaylanarak Sermaye Piyasası Kurulu’na iletilmelidir.
• Denetim raporlarının son teslim tarihi, takip eden ayın sonuna kadardır. Resmi tatil durumunda, sonraki ilk iş günü bildirim son günü olarak belirlenir.

SPK Listesinde Henüz Olmayan ve Yeni Kurulacak Şirketler İçin Düzenlemeler

Henüz SPK listesinde olmayan ve başvuru yapmayı planlayan yeni kurulacak olan KVHS’lerin kurulmadan evvel SPK’dan izin alması gerekecektir. Yeni kurulacak KVHS’ler, faaliyete başlamadan önce SPK’a kuruluş için izin başvurusunda bulunacak ve başvuru sürecinde, SPK’nın belirlediği kuruluş ve faaliyet esaslarına uygun bir yapılanma sağlayacaklardır.

Bu düzenlemelerin yürürlüğe girmesiyle birlikte Türkiye’de kripto varlık hizmet sağlayıcıları açısından hukuki ve operasyonel standartların belirginleştiği görülmektedir. Bu düzenlemeler, sektörde faaliyet gösterenlerin ve faaliyet gösterme niyeti olanların hukuki uyum ve teknoloji altyapılarını güçlendirmesi gerektiğini açıkça ortaya koymaktadır. Sektörde faaliyet göstermek isteyen platform ve kuruluşlar için şeffaflık, güvenlik ve finansal istikrarı sağlamaya yönelik olarak tasarlanmıştır. Bu nedenle, sektörde faaliyet gösterecek aktörlerin, düzenlemelere hızlı bir şekilde uyum sağlaması önem arz etmektedir.