Tebliğin Amacı ve Hukuki Dayanakları
28 Haziran 2025 tarihli Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu (MASAK) Genel Tebliği (Sıra No: 29), kripto varlık hizmet sağlayıcılarının, kara para aklama ve terörizmin finansmanıyla mücadele kapsamında yükümlülüklerini yeniden düzenliyor. 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’un uygulanmasına yönelik bu tebliğ, müşteri tanıma (KYC), şüpheli işlem bildirimi, işlem limitleri ve platformlar arası transferlerde sıkılaştırılmış tedbirleri içermektedir.
Tebliğ, 2007/13012 sayılı Bakanlar Kurulu Kararı ve çeşitli yönetmelikler ile 6362 sayılı Sermaye Piyasası Kanunu’na dayanmakta olup, kripto varlık işlemlerinde hizmet sağlayan tüm platformlar ve saklama kuruluşlarını kapsayan bir çerçeve sunmaktadır. Uygulamada ortaya çıkan boşlukları kapatmayı ve uluslararası finansal şeffaflık normlarına uyum sağlamayı hedefleyen bu düzenleme, hem kullanıcılar hem de sektör aktörleri açısından yeni yükümlülükler doğurmuştur.
Kripto Varlık Hizmet Sağlayıcıları Kimleri Kapsıyor?
Tebliğe göre kripto varlık hizmet sağlayıcıları; müşteri adına kripto varlık alım-satımı, transferi, saklanması ve platformlar arası işlem hizmeti sunan tüm kuruluşları kapsamaktadır. Tanım, sadece spot işlem platformlarını değil; staking, kripto para cüzdan sağlayıcıları ve üçüncü taraf transfer uygulamalarını da içine alacak şekilde genişletilmiştir. Bu bağlamda, yurt içi lisanslı kuruluşların yanı sıra Türkiye’de faaliyet gösteren yabancı platformlar da kapsama dâhildir.
Ayrıca, kripto varlık transferine aracılık eden her türlü dijital hizmet sağlayıcısı, bu tebliğ kapsamındaki yükümlülüklere tabi tutulmaktadır. Özellikle son dönemde artan platformlar arası kripto transfer trafiği, düzenleyicinin kapsamlı bir tanıma gitmesine neden olmuştur. Saklama hizmeti sunan kuruluşlar da açıkça tebliğ kapsamına alınmış ve doğrudan uyum yükümlüsü sayılmıştır. Bu geniş tanım, kripto ekosistemindeki tüm aktörleri kapsayarak yasal çerçeveyi bütüncül bir hale getirmeyi amaçlamaktadır.
Müşteri Tanıma (KYC) Yükümlülükleri ve Yeni Kimlik Doğrulama Kuralları
Yeni tebliğle birlikte kripto varlık hizmet sağlayıcılarına getirilen en temel zorunluluklardan biri, müşteriyle iş ilişkisi tesis edilmeden önce kapsamlı bir kimlik tespiti yapılmasıdır. Bu doğrultuda, kripto platformlarının her müşteri için kimlik bilgilerini doğrulaması, risk profili oluşturması ve bu verileri düzenli olarak güncellemesi gerekmektedir. Tebliğ, bu uygulamaların yalnızca hesap açılışında değil; şüpheli işlem, işlem hacminde ani artış, platformlar arası transfer gibi belirli eşik durumlarında da yeniden devreye alınmasını zorunlu kılmaktadır.
Kimlik doğrulama sürecinde kullanıcıdan alınacak belgelerin içeriği, doğruluğu ve güvenilirliği, Tebliğ’in 4. maddesinde detaylandırılmıştır. Müşteriye ait bilgiler, kaynağın meşruiyeti açısından banka veya diğer finansal kuruluşlar ile teyit edilecek ve tüm işlemler kayıt altına alınacaktır. Özellikle kripto varlık transferine aracılık eden işlem platformlarının, açıklama alanlarında işlem gerekçesini belirten asgari 20 karakterlik bilgi notu talep etmesi, işlemin niteliğini tespit etme açısından zorunlu hale getirilmiştir. Bu detay, şeffaflık ve denetim açısından önemli bir veri tabanı oluşturacaktır.
Transfer ve Çekim İşlemlerinde Zaman Sınırı ve Limit Düzenlemeleri
Yeni tebliğ ile birlikte transfer ve çekim işlemlerine ilişkin zaman ve miktar sınırlamaları da getirildi. Buna göre, kripto varlık platformları tarafından müşterilere yapılan kripto para çekim işlemleri en geç 72 saat içerisinde tamamlanmak zorunda. Bu süre zarfında çekim gerçekleşmezse, işlem iptal edilerek kullanıcının hesabına iade edilecek. Uygulama, işlem gecikmelerinin kötü niyetli manipülasyonlara neden olmasını engellemeyi amaçlamaktadır.
Ayrıca, platformlar arası transferlerde istikrarı bozabilecek büyük hacimli işlemlere karşı limit mekanizması uygulanacaktır. Özellikle günlük 3.000 ABD Doları veya aylık 50.000 ABD Doları tutarındaki transferler için bankalardan referans döviz kuru istenmeden işlem yapılamayacak. Bu sınırlamalar, kullanıcıları ilgilendirdiği kadar, platformlar arası transferlerin takibini de daha sistematik hale getirmektedir. Ancak istisnai durumlarda, örneğin işlemin uluslararası bir mahkeme kararı ya da borç tahsilatına dayandığı hallerde bu limitler esnetilebilecektir.
Risk Yönetimi ve Şüpheli İşlem Bildirimi Esasları
Tebliğin önemli düzenlemelerinden biri de kripto varlık hizmet sağlayıcılarının etkin bir risk yönetimi politikası uygulama zorunluluğudur. Buna göre platformlar, her müşterinin işlem sayısı, işlem türü, işlem sıklığı ve tutarlarına göre bir risk profili oluşturmakla yükümlüdür. Bu risk temelli yaklaşım sayesinde olağandışı hareketler daha hızlı tespit edilebilecek ve şüpheli işlem bildirimi (ŞİB) yükümlülüğü yerine getirilebilecektir.
Şüpheli işlemler; müşterinin beyan ettiği ekonomik profille uyumsuz büyüklükte transferler yapması, birden fazla hesap üzerinden zincirleme transferlerde bulunması ya da aynı gün içinde farklı kimliklerle işlem denemesi gibi davranışlar yoluyla tanımlanabilir. Tebliğde belirtilen çerçeveye göre, bu tür işlemler tespit edildiğinde hizmet sağlayıcının derhal MASAK’a bildirimde bulunması zorunludur. Bildirim yapılmaması veya geciktirilmesi durumunda ise ağır idari yaptırımlar gündeme gelecektir. Ayrıca sistemli risk izleme araçlarının (örneğin yapay zekâ tabanlı analiz çözümleri) kullanımı teşvik edilmekte, pasif denetim yaklaşımı yerine aktif gözetim mekanizması kurulması hedeflenmektedir.
Platformlar Arası Transferlerde Yeni Bildirim Zorunlulukları
Platformlar arası kripto varlık transferleri, özellikle kara para aklama ve yasa dışı finansman risklerini artıran alanlar arasında yer almaktadır. Bu bağlamda yeni tebliğ, bu tür işlemlere yönelik hem zaman hem de içerik açısından daha katı bildirim yükümlülükleri getirmiştir. Artık bir kripto platformundan başka bir platforma yapılan tüm transferlerde, işlem gerekçesinin sistem üzerinde açıkça belirtilmesi ve açıklama alanına en az 20 karakterlik bir işlem notu girilmesi gerekmektedir.
Bu düzenleme ile hem iç denetim hem de MASAK denetimleri açısından daha net veri akışı sağlanması hedeflenmektedir. Ayrıca kullanıcıların aynı anda birden fazla platform üzerinden işlem yaparak fiyat farklarından ya da düzenleyici boşluklardan yararlanmasının da önüne geçilmesi amaçlanmaktadır. Uluslararası işlemlerde bu yükümlülük daha da katılaşmakta; özellikle Türkiye dışındaki cüzdanlara yapılan yüksek hacimli transferlerde, kaynağın meşruiyetini gösteren belgeler talep edilmektedir. Bu, hem platformların sorumluluğunu artırmakta hem de kullanıcı davranışlarının düzenleyici çerçevede daha sıkı kontrol edilmesini sağlamaktadır.
Saklama Kuruluşlarının Rolü ve Uyum Yükümlülükleri
Tebliğ, sadece kripto varlık alım-satım platformlarını değil, aynı zamanda saklama hizmeti veren kuruluşları da yükümlü kılarak sektördeki denetim kapsamını genişletmektedir. Saklama kuruluşları, müşteri varlıklarının güvenli bir şekilde tutulmasını sağlamakla birlikte, yapılan transferlerin hukuka uygunluğunu da gözetmekle sorumludur. Bu kuruluşlar, tıpkı kripto varlık hizmet sağlayıcıları gibi müşteri tanıma prosedürlerini uygulamak, şüpheli işlem bildiriminde bulunmak ve işlemleri zamanında raporlamak zorundadır.
Ayrıca saklama kuruluşlarının, hizmet verdikleri platformlarla birlikte senkronize bir risk izleme sistemi kurmaları teşvik edilmektedir. Kripto varlıkların bir platformdan diğerine taşındığı durumlarda, hem gönderen hem saklayan kuruluşların işlem kayıtlarını uyumlu ve denetlenebilir biçimde tutmaları zorunlu hale gelmiştir. Bu çerçevede saklama hizmetleri, yalnızca teknik güvenlik değil, aynı zamanda düzenleyici sorumluluk açısından da stratejik bir rol üstlenmektedir. Uygulamada görülen “soğuk cüzdan kaçışı” gibi olguların engellenmesi adına, saklama hizmetlerinin şeffaf ve takip edilebilir olması düzenleyici yaklaşımın temelini oluşturmaktadır.
Uyum Yönetmeliği ve Tebliğe Aykırılıklarda Uygulanacak Yaptırımlar
Tebliğin 5. ve 6. maddelerinde, yükümlülüklere uymayan kripto varlık hizmet sağlayıcılarına yönelik yaptırımlar açık biçimde düzenlenmiştir. Buna göre MASAK’ın gözetim ve denetim yetkisi kapsamında yapılan kontrollerde, uyum tedbirlerine riayet etmeyen kuruluşlar hakkında idari para cezası uygulanabilecek ve gerekli görülmesi hâlinde faaliyet izni askıya alınabilecektir. Bu durum, özellikle kayıt dışı çalışan ya da uluslararası yükümlülükleri ihlal eden platformlar için ciddi bir yaptırım riski doğurmaktadır.
Uyum Yönetmeliği ile eşgüdüm içinde hazırlanan tebliğ, kara para aklama, yasa dışı finansman ve dolandırıcılıkla mücadelede kripto varlık sektörünün aktif bir parçası haline gelmesini amaçlamaktadır. Uygulamada, işlemlerin zamanında raporlanmaması, risk profillerinin güncellenmemesi, açıklama alanlarının boş bırakılması gibi eksiklikler dahi yükümlülük ihlali olarak değerlendirilecek ve yaptırımla sonuçlanabilecektir. Böylece tebliğ, yalnızca idari değil, aynı zamanda finansal teknolojiler alanında kültürel bir dönüşümün de önünü açmaktadır.