Kripto Uyumluluk Çerçeveleri Kapsamlı Rehberi: FATF, MiCA, VARA, SAMA, MASAK, GDPR, KVKK, ISO 27001 ve ISO 31000 Açıklandı

Kripto işletmeleri, birbirleriyle örtüşen küresel ve bölgesel düzenlemelerin bir ağında faaliyet göstermektedir. FATF Seyahat Kuralı'ndan AB'nin MiCA çerçevesine, Türkiye'nin MASAK gerekliliklerinden BAE'nin VARA lisanslama rejimine kadar uyumluluk ekipleri, karmaşık gereklilikler ortamında eş zamanlı olarak yol almak zorundadır. Bu rehber, kripto işletmeleri için en önemli dokuz düzenleyici çerçeve ve standardı haritalar; her birinin ne gerektirdiğini, neden önemli olduğunu ve birbirleriyle nasıl etkileşime girdiklerini açıklar. ## FATF — Küresel AML/CFT Standartlarının Temeli **Mali Eylem Görev Gücü (FATF)**, kara para aklamayla mücadele (AML) ve terörün finansmanının önlenmesi (CFT) için küresel standardı belirleyen hükümetlerarası bir kuruluştur. 40 Tavsiyesi ve 11 Acil Sonucu, dünya genelinde finansal suç uyumluluğunun omurgasını oluşturur ve kripto da bu kapsamın tam ortasındadır. **Kripto için neden önemlidir:** - **15. Tavsiye**, AML/CFT yükümlülüklerini açıkça Sanal Varlık Hizmet Sağlayıcılarına (VASP) — borsalara, cüzdanlara, saklama kuruluşlarına ve DeFi platformlarına — genişletir. - **Seyahat Kuralı (16. Tavsiye)**, VASP'ların belirli bir eşiğin (genellikle 1.000 ABD Doları) üzerindeki her transferde gönderici ve alıcı bilgilerini iletmesini zorunlu kılar. Bu, kripto işletmeleri için en operasyonel açıdan zorlayıcı FATF gerekliliğidir. - **Risk Temelli Yaklaşım:** FATF, kapsama giren tüm kuruluşların risk değerlendirmesi yapmasını ve orantılı kontroller uygulamasını zorunlu kılar. - **Yaptırım Taraması:** FATF standartları, OFAC, BM ve AB yaptırım listelerinin temelini oluşturur. Bu listelere karşı tarama yapılmaması cezai sorumluluğa yol açabilir. Ülkeler FATF Karşılıklı Değerlendirmeleri aracılığıyla denetlenir — bir ülke gri listeye veya kara listeye alındığında, orada faaliyet gösteren işletmeler küresel ölçekte artan denetime tabi olur. ## MiCA — AB'nin Kapsamlı Kripto Düzenlemesi **Kripto Varlıklar Piyasaları Yönetmeliği (MiCA)**, Aralık 2024'te tam uygulama kapsamına girerek tüm 27 AB üye devletinde kripto varlık işletmeleri için birleşik bir lisanslama çerçevesi oluşturmuştur. **Kripto için neden önemlidir:** - **CASP Yetkilendirmesi:** AB'de kripto varlık hizmeti sunan herhangi bir firma — alım satım, borsa, saklama, portföy yönetimi, tavsiye, transfer — Kripto Varlık Hizmet Sağlayıcısı (CASP) olarak yetkilendirilmek zorundadır. Pasaport uygulaması, tek bir yetkilendirmenin tüm üye devletleri kapsamasına olanak tanır. - **Stablecoin İhraçcıları:** Elektronik Para Token (EMT) ve Varlığa Referanslı Token (ART) ihraçcıları en katı gerekliliklere tabidir: rezerv gereklilikleri, itfa hakları ve hacim sınırları. - **Piyasa Bütünlüğü:** MiCA, kripto piyasalarında piyasa manipülasyonunu, içeriden alım satımı ve piyasayı bozucu işlemleri yasaklar. - **Seyahat Kuralı:** MiCA, hiçbir asgari eşik uygulamaksızın kripto transferlerine Seyahat Kuralı'nı uygulayan AB Fon Transferleri Yönetmeliği'ne (TFR) uyumu zorunlu kılar. MiCA önemli bir uyumluluk yükü yaratmakla birlikte önemli bir fırsat da sunmaktadır: tek bir yetkilendirme, net ve öngörülebilir bir hukuki çerçeve altında 450 milyon AB tüketicisine erişim sağlar. ## VARA — BAE Sanal Varlık Düzenleyici Otoritesi **Sanal Varlıklar Düzenleyici Otoritesi (VARA)**, Dubai Kanunu No. 4 (2022) kapsamında kurulan Dubai'nin özel kripto düzenleyicisidir. Dünyanın en ayrıntılı sanal varlık düzenleyici çerçevelerinden birini yayımlamıştır. **Kripto için neden önemlidir:** - **Lisanslama Gereklilikleri:** Dubai'de sanal varlık faaliyeti yürüten tüm kuruluşların VARA lisansı alması zorunludur. Yedi faaliyet türü kapsama alınmıştır: Danışmanlık, Broker-Dealer, Saklama, Borsa, Borç Verme/Alma, Ödemeler ve Staking. - **Kural Kitapları:** VARA, uyumluluk, teknoloji, piyasa davranışı, şirket ve faaliyete özgü gereklilikleri kapsayan Kural Kitapları yayımlamıştır. - **Pazarlama Kısıtlamaları:** VARA'nın Pazarlama Yönetmelikleri, fiziksel varlık olmaksızın dahi Dubai sakinlerine pazarlama yapan herhangi bir firmaya küresel olarak uygulanır. - **Bölgesel Merkez:** VARA'nın çerçevesi, Dubai'yi AB MiCA'nın karmaşıklığı olmadan düzenleyici netlik arayan kripto işletmeleri için tercih edilen bir yargı alanı haline getirmiştir. ## SAMA — Suudi Arabistan'ın Kripto Çerçevesi **Suudi Arabistan Para Otoritesi (SAMA)** — Suudi Merkez Bankası olarak da bilinen — Suudi Arabistan Krallığı'nda finansal hizmetleri yönetir ve dijital varlıklar için düzenleyici ortamı şekillendirmede kilit rol oynar. **Kripto için neden önemlidir:** - **Temkinli ama gelişen tutum:** Suudi Arabistan'ın Vizyon 2030 dijital dönüşüm gündemi, düzenleyici etkileşimi hızlandırmıştır. Resmi bir sanal varlık düzenleyici çerçevesi aktif olarak geliştirilmektedir. - **Sandbox Programları:** SAMA, fintech ve dijital varlık işletmelerinin ürünlerini düzenleyici denetim altında test etmelerine olanak tanıyan düzenleyici sandbox programları yürütmüştür. - **AML/CFT Gereklilikleri:** Suudi Arabistan bir FATF üyesidir ve FATF standartlarını Kara Para Aklamayla Mücadele Kanunu aracılığıyla uygular. - **Bölgesel Etki:** SAMA'nın tutumları, KİK genelinde düzenleyici yaklaşımları önemli ölçüde etkiler; bu durum onu Orta Doğu'da bölgesel hedefleri olan işletmeler için kritik kılar. ## MASAK — Türkiye Mali Suçları Araştırma Kurulu **MASAK** (Mali Suçları Araştırma Kurulu), Türkiye'nin finansal istihbarat birimi ve AML/CFT denetçisidir; Hazine ve Maliye Bakanlığı bünyesinde faaliyet göstermektedir. **Kripto için neden önemlidir:** - **Kripto Borsa Lisanslama:** Türkiye'nin kripto borsa kanunu (7518 sayılı Kanun, 2024), Sermaye Piyasası Kurulu (SPK) denetimindeki kripto varlık hizmet sağlayıcıları için resmi bir lisanslama çerçevesi oluşturmuştur; AML/CFT standartlarını ise MASAK belirlemektedir. - **STR/SAR Raporlaması:** Türkiye'de faaliyet gösteren kripto işletmelerinin MASAK'a Şüpheli İşlem Bildirimi (ŞİB) sunması zorunludur. Eşikler ve raporlama süreleri kesin biçimde düzenlenmiştir. - **KYC/CDD Gereklilikleri:** Müşteriler için tam kimlik doğrulaması, yüksek riskli ilişkiler için geliştirilmiş durum tespiti zorunludur. Anonim işlemlere izin verilmez. - **Seyahat Kuralı Uygulaması:** Türk borsaları, FATF 16. Tavsiye uyarınca Seyahat Kuralı uyumluluğunu hayata geçirmek zorundadır. - **Yaptırımlar:** MASAK yükümlülüklerine uyumsuzluk, lisans iptali dahil ağır idari ve cezai yaptırımları beraberinde getirir. Türkiye önemli kripto işlem hacmi işlemektedir — küresel ölçekte sürekli olarak ilk 10 pazar arasında yer almaktadır. Türk pazarında faaliyet göstermek için MASAK uyumluluğu zorunludur. ## GDPR — Kripto Bağlamında Veri Koruma **Genel Veri Koruma Yönetmeliği (GDPR)**, kuruluşun nerede bulunduğundan bağımsız olarak, AB/AEA sakinlerinin kişisel verilerini işleyen her kuruluşa uygulanır. **Kripto için neden önemlidir:** - **KYC Verileri:** Kripto işletmeleri kimlik doğrulama sırasında kapsamlı kişisel veri toplar — pasaportlar, fatura belgeleri, biyometrik veriler. Bunların tamamı GDPR kapsamındadır. - **İşlem Verileri:** Tanımlanan kişilerle ilişkilendirilen blockchain adresleri GDPR kapsamında kişisel veri niteliği taşır. - **Veri Minimizasyonu:** GDPR'ın veri minimizasyonu ilkesi, yalnızca belirtilen amaç için gerekli verilerin toplanmasını zorunlu kılar — bu durum, AML düzenlemelerinin kapsamlı KYC gereklilikleriyle çelişebilir. - **Sınır Ötesi Transferler:** AEA dışındaki iş ortaklarıyla veri paylaşımı, Standart Sözleşme Maddeleri, yeterlilik kararları veya Bağlayıcı Şirket Kuralları gibi uygun güvenceler gerektirmektedir. - **İhlal Bildirimi:** Müşteri KYC/işlem verilerini etkileyen bir kişisel veri ihlali, denetleyici otoritelere 72 saat içinde bildirilmelidir. ## KVKK — Türkiye Kişisel Verilerin Korunması Kanunu **KVKK** (Kişisel Verileri Koruma Kanunu — 6698 Sayılı Kanun), prensipleri bakımından GDPR ile büyük ölçüde uyumlu olmakla birlikte kendine özgü usul gereklilikleri olan Türkiye'nin kişisel veri koruma kanunudur. **Kripto için neden önemlidir:** - **Sicil Kaydı Zorunluluğu:** Belirli eşiklerin üzerinde veri işleyen veri sorumluları, Kişisel Verileri Koruma Kurumu tarafından yürütülen VERBİS (Veri Sorumluları Sicil Bilgi Sistemi) kaydına tabi tutulmaktadır. - **Açık Rıza:** Hassas kişisel verilerin — KYC amacıyla toplanan biyometrik veriler dahil — işlenmesi açık rıza veya geçerli bir hukuki dayanak gerektirmektedir. - **Veri Yerelleştirme:** KVKK, sınır ötesi veri aktarımlarına yönelik daha katı kurallar uygulamaktadır. Türk vatandaşlarına ait kişisel veriler, yeterli koruma ve KVKK Kurulu onayı olmaksızın yurt dışına aktarılamaz. - **Yaptırımlar:** KVKK Kurulu, önemli idari para cezaları uygulayabilir ve — GDPR'dan farklı olarak — davaları Türk Ceza Kanunu hükümleri kapsamında cezai kovuşturmaya sevk edebilir. Uyumluluk altyapısının yerinde dağıtımı söz konusu olduğunda, KVKK'nın veri yerelleştirme gereklilikleri belirleyici bir etken haline gelmektedir: Türk müşteri verilerinin Türkiye kontrolündeki altyapıda işlenmesi, sınır ötesi transfer riskini tamamen ortadan kaldırır. ## ISO 27001 — Bilgi Güvenliği Yönetimi **ISO/IEC 27001**, Bilgi Güvenliği Yönetim Sistemleri (BGYS) için uluslararası standarttır. Bir BGYS'nin kurulması, uygulanması, sürdürülmesi ve sürekli iyileştirilmesi için gereklilikleri tanımlar. **Kripto için neden önemlidir:** - **Kurumsal Güven Sinyali:** ISO 27001 sertifikası, kurumsal kripto uyumluluk sözleşmeleri için beklenen bir ön koşul haline gelmiştir. Bankalar, düzenlenmiş borsalar ve kurumsal müşteriler bu sertifikayı zorunlu tutmaktadır. - **Risk Temelli Kontroller:** ISO 27001, kuruluşların bilgi güvenliği risklerini belirlemesini ve uygun kontrolleri uygulamasını zorunlu kılar — 2022 versiyonunda 4 etki alanında 93 kontrol bulunmaktadır. - **Anahtar Yönetimi:** Ek A, kriptografik anahtar yönetimine ilişkin kontroller içermektedir; bu durum, cüzdan, özel anahtar ve HSM altyapısı yöneten platformlar için kritik önem taşımaktadır. - **Düzenleyici Uyum:** ISO 27001, GDPR'ın güvenlik gerekliliklerine (Madde 32), KVKK güvenlik yükümlülüklerine ve VARA/MiCA teknoloji yönetişim gerekliliklerine doğrudan destek sağlamaktadır. - **Tedarikçi Yönetimi:** Tedarik zinciri güvenlik kontrolleri, üçüncü taraf riskini ele alır; bu durum, harici düğüm sağlayıcılarına, veri kaynaklarına ve bulut hizmetlerine dayanan kripto platformları için kritik önem taşımaktadır. ## ISO 31000 — Risk Yönetimi **ISO 31000:2018**, sektörden bağımsız olarak herhangi bir kuruluşa uygulanabilir risk yönetimi prensipleri, çerçevesi ve süreç kılavuzları sunmaktadır. **Kripto için neden önemlidir:** - **Tüm Uyumluluğun Temeli:** FATF, MiCA, VARA, MASAK ve diğer çerçevelerle etkin uyumluluk; riskleri belirleme, değerlendirme ve ele alma konusunda yapılandırılmış bir yaklaşım gerektirmektedir. ISO 31000 bu yapıyı sağlar. - **Risk Değerlendirme Metodolojisi:** ISO 31000'in risk değerlendirme süreci — tanımlama, analiz, değerlendirme, müdahale — FATF'ın risk temelli yaklaşımı ve MiCA'nın CASP risk değerlendirme gereklilikleriyle örtüşmektedir. - **Kurumsal Risk Entegrasyonu:** Kripto işletmeleri benzersiz bir risk bileşimiyle karşı karşıyadır: piyasa, likidite, operasyonel, teknoloji, düzenleyici ve finansal suç riski. ISO 31000, tüm bunları entegre biçimde yönetmek için bir çerçeve sunar. - **Yönetim Kurulu Düzeyinde Yönetişim:** ISO 31000, risk yönetiminin kurumsal yönetişime entegrasyonuna ve liderlik taahhüdüne vurgu yapar; bu gereklilikler MiCA, VARA ve FCA düzenlemeleri tarafından yönetim kurulu düzeyinde giderek daha fazla zorunlu kılınmaktadır. ## Bu Çerçeveler Birbirini Nasıl Bağlar? Hiçbir çerçeve izole biçimde işlemez. Birbirleriyle nasıl bağlandıkları: | Çerçeve | Tür | Kapsam | Temel Gereklilik | |---------|-----|--------|------------------| | FATF | Küresel AML/CFT Standardı | Tüm VASP'lar | Seyahat Kuralı, risk temelli AML, ŞİB | | MiCA | AB Yönetmeliği | AB'ye yönelik CASP'lar | CASP lisansı, piyasa bütünlüğü, TFR | | VARA | BAE Yönetmeliği | Dubai VASP'ları | Faaliyet lisanslama, kural kitabı uyumu | | SAMA | Suudi Düzenlemesi | Suudi pazar firmaları | AML/CFT, ödeme hizmet lisansı | | MASAK | Türkiye AML/CFT | Türkiye pazar VASP'ları | ŞİB raporlaması, KYC, yaptırımlar | | GDPR | AB Veri Koruma | AB sakinlerinin verileri | Rıza, ihlal bildirimi, transferler | | KVKK | Türkiye Veri Koruma | Türkiye sakinlerinin verileri | Sicil kaydı, veri yerelleştirme | | ISO 27001 | Güvenlik Standardı | BGYS | Sertifikalı güvenlik kontrolleri | | ISO 31000 | Risk Standardı | Kurumsal risk | Risk yönetimi çerçevesi | **Uyumluluk katmanları pratikte:** 1. FATF küresel tabanı belirler — diğer tüm AML/CFT çerçeveleri bu temelin üzerine inşa edilir 2. MiCA, VARA, SAMA ve MASAK yargı alanına özgü gereklilikleri ekler 3. GDPR ve KVKK, AML/KYC süreçlerinde toplanan kişisel verileri yönetir 4. ISO 27001, tüm bunları koruyacak güvenlik altyapısını sağlar 5. ISO 31000, birleşik bir risk yönetimi yaklaşımıyla tüm çerçeveleri bir arada tutar ## Defy Tüm Bu Çerçevelerde Size Nasıl Yardımcı Olur? Defy'ın platformu, yukarıda açıklanan uyumluluk katmanları üzerine inşa edilmiştir: **Live AML**, FATF, MASAK, VARA ve SAMA AML gerekliliklerine uygun gerçek zamanlı işlem taraması sunar — 60.000'den fazla işaretlenmiş adres, 500 ms'nin altında tarama süresi, otomatik ŞİB üretimi. **Travel Rule**, MiCA'nın Fon Transferleri Yönetmeliği ve MASAK yükümlülükleri için FATF 16. Tavsiye uyumluluğunu otomatikleştirir — GDPR ve KVKK veri koruma gerekliliklerine uygun uçtan uca şifreleme ile. **Vera AI**, MiCA'nın risk temelli yaklaşımı, VARA'nın uyumluluk kural kitabı ve FATF risk değerlendirme gereklilikleri kapsamında ihtiyaç duyulan yapay zeka destekli risk puanlama ve vaka yönetimini sunar. **Yerinde (On-Premise) Dağıtım**, GDPR ve KVKK veri yerelleştirme gereklilikleri kapsamında sınır ötesi veri transferi riskini ortadan kaldırır — tüm müşteri verileri kontrollü altyapınızda kalır. **ISO 27001 Sertifikası** — Defy, ISO 27001 sertifikalıdır; bu durum bankalar, düzenlenmiş borsalar ve kurumsal müşterilerin talep ettiği kurumsal güven sinyalini sağlar. FATF, MiCA, VARA, SAMA, MASAK, GDPR, KVKK, ISO 27001 ve ISO 31000'e uyumluluk, küresel hedefleri olan kripto işletmeleri için opsiyonel değildir — düzenlenmiş piyasalarda faaliyet göstermenin bedelidir. Uyumluluk altyapısını şimdi inşa eden firmalar, sektör olgunlaştıkça kurumsal ve düzenlenmiş piyasa fırsatlarından pay almak için en iyi konumda olacaktır. Platformunuz için bir uyumluluk mimari incelemesi planlamak üzere bizimle iletişime geçin.