Modül 2/MASAK Uyum Görevlisi Yetkilendirme Sınavı – Detaylı Konu Anlatım

1. Yükümlüler ve Genel Çerçeve

5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve ilgili Tedbirler Yönetmeliği, finansal sistemin suçlular tarafından bir “arka kapı” olarak kullanılmasını engellemek için belirli aktörleri yükümlü olarak tanımlar. Yükümlü kavramı, sadece paranın bizzat döndüğü bankalarla sınırlı değildir, suç gelirinin sisteme girebileceği veya transfer edilebileceği her türlü kanal bu kapsamdadır.

Sistem, yükümlüleri risk seviyelerine göre üç ana gruba ayırır:

1. Finansal Kuruluşlar: Bankalar, sermaye piyasası aracı kurumları, sigorta şirketleri, ödeme ve elektronik para kuruluşları ile kripto varlık hizmet sağlayıcılar. Bu grup, paranın doğrudan kaynağına ve dolaşımına hakim oldukları için denetimin en sıkı olduğu gruptur.

2. Finansal Olmayan Belirli İş ve Meslekler (FOBİM): Emlakçılar, kuyumcular (kıymetli maden/taş ticareti yapanlar), noterler, serbest muhasebeciler ve belirli finansal işlemleri yürüten avukatlar. Bu meslek grupları, büyük çaplı mal alım-satımı veya hukuki işlemler aracılığıyla aklama faaliyetine aracılık edebilecekleri için yükümlü sayılırlar.

   

   MASAK Uyum Görevlisi Yetkilendirme Sınavı – Konu Anlatımı ve Çözümlü Sorular

   ×

3. Diğer Gruplar: PTT, kargo şirketleri, varlık yönetim şirketleri, spor kulüpleri ve şans oyunları düzenleyen kuruluşlar.

Yükümlülerin temel görevi müşteriyi tanımak, şüpheli işlemleri bildirmek, bilgi ve belge vermek ve muhafaza etmektir. Ancak her yükümlünün sorumluluk düzeyi aynı değildir. Kanun koyucu, işletmenin büyüklüğüne ve riskine göre “farklılaştırılmış sorumluluk” modelini benimsemiştir.

Karıştırılan Yerler

• Avukatların Durumu: Avukatlar her türlü faaliyetinde yükümlü değildir. Sadece taşınmaz alım satımı, şirket kurulması/yönetilmesi gibi finansal karakterli işlerde temsilci sıfatıyla hareket ettiklerinde yükümlü sayılırlar. Savunma hakkı kapsamında yürüttükleri faaliyetler bu kapsam dışındadır.

• Uyum Görevlisi vs. Uyum Birimi: Her uyum görevlisi atayan kurumun bir “uyum birimi” (departmanı) olması gerekmez. Bazı kurumlar sadece bir kişiyi görevlendirmekle yetinebilirken, bankalar gibi büyük yapılar tam teşekküllü bir birim kurmak zorundadır.

• Yurt Dışı Mevzuat Çatışması: Eğer Türk yükümlüsünün yurt dışı şubesi, bulunduğu ülkenin yasaları nedeniyle Türkiye’deki tedbirleri uygulayamıyorsa, bu durumu derhal MASAK’a bildirmelidir. “Uygulayamıyorum o halde yapacak bir şey yok” diyemez.

Örnek Soru

2. Uyum Yönetiminde Görev ve Sorumluluklar

Suç gelirlerinin aklanması ve terörizmin finansmanıyla mücadele kapsamında yürütülen faaliyetlerin verimli olması, kurumların kağıt üzerinde kalan kurallar yerine yaşayan bir sistem kurmasına bağlıdır. Bu kurumsal savunma mekanizmasına uyum programı denir. Uyum programı, risk yönetimi, izleme ve kontrol faaliyetleri, kurum politikası ve prosedürlerinin oluşturulması, eğitim faaliyetleri ve iç denetimi kapsayan bütünleşik bir yapıdır. Bu yapının merkezinde ise uyum görevlisi yer alır. Uyum görevlisi, 5549 sayılı Kanun ve ilgili mevzuat uyarınca yükümlünün uyum faaliyetlerini yönetmek üzere görevlendirilen, idari düzeyde yüksek yetkilere sahip profesyoneldir.

Uyum programının oluşturulmasında temel mantık, her kurumun kendi risk profilini belirlemesi ve bu risklere uygun “zırhlar” geliştirmesidir. Programın kurulması ve işletilmesinde en üst irade Yönetim Kurulu’dur. Yönetim kurulu, uyum görevlisini atamak, kurum politikalarını onaylamak ve sistemin aksayan yönlerini denetletmekle sorumludur. Bu noktada sınavda ve uygulamada en çok karıştırılan husus sorumluluk paylaşımıdır: Yönetim kurulu, uyum konusundaki yetkilerini bir veya birkaç üyesine devredebilir ancak bu durum yönetim kurulunun nihai sorumluluğunu ortadan kaldırmaz. Uyum görevlisi ise bu politikaları sahada uygulayan, personeli eğiten ve şüpheli işlemleri tespit ederek MASAK’a bildiren kişidir.

Sistemdeki bir diğer önemli ayrım ise yükümlülerin risk ve büyüklüklerine göre ayrılmasıdır. Bankalar ve büyük finansal kuruluşlar tam kapsamlı bir uyum programı kurmak zorundayken, B grubu yetkili müesseseler, reasürans şirketleri, kargo şirketleri ve varlık yönetim şirketleri gibi kurumlar için münhasıran uyum görevlisi atama usulü getirilmiştir. Bu kurumlarda “tam teşekküllü bir uyum birimi” kurma zorunluluğu olmasa da, atanan kişinin bağımsızlığı ve nitelikleri çok sıkı şartlara bağlanmıştır. Özellikle münhasıran atanan uyum görevlisinin, yönetim kurulu üyeleri veya genel müdür ile kan veya sıhri hısımlığının bulunmaması, kurumda nitelikli pay sahibi olmaması gibi şartlar, denetimin tarafsızlığını korumayı amaçlar.

Uyum görevlisinin en kritik fonksiyonu olan Şüpheli İşlem Bildirimi (ŞİB) sürecinde tam yetkili olması gerekir. Kurum içindeki personel şüpheli bir işlem gördüğünde bunu dahili olarak uyum birimine iletir ancak bu işlemin gerçekten şüpheli olup olmadığına karar verecek ve MASAK’a gönderilmesine imza atacak tek kişi uyum görevlisidir. Bu yetki kesinlikle devredilemez. Uyum görevlisinin yokluğunda bu görevleri yardımcısı yürütebilir fakat bu durumda da tüm sorumluluk ve karar yetkisi yine atanan asli görevlinin çizdiği sınırlar içerisindedir.

Yükümlülerin yurt dışı şube ve acenteleri de Türkiye’deki mevzuata uyum sağlamak zorundadır. Eğer şubenin bulunduğu ülkenin mevzuatı Türkiye’deki tedbirleri uygulamaya engel oluyorsa, durumun derhal MASAK’a bildirilmesi kritik bir usul kuralıdır.

Örnek Soru

3. Uyum Görevlisi Olarak Yetkilendirme ve Lisanslama

25 Aralık 2024 tarihinde yapılan mevzuat değişikliği, suç gelirlerinin aklanmasıyla mücadele süreçlerini profesyonelleştirmek amacıyla Uyum Görevlisi Lisansı sistemini getirmiştir. Artık bir kurumda uyum görevlisi veya yardımcısı olarak görev yapabilmek için sadece atanmış olmak yeterli değildir, kişinin bu alandaki yetkinliğini ispatlaması ve MASAK tarafından verilen resmi lisansa sahip olması yasal bir zorunluluktur.

Bu sistemin temel taşı Uyum Görevlisi Sicilidir. MASAK bünyesinde tutulan bu sicil, kimlerin bu görevi yürütmeye yetkili olduğunu gösteren merkezi bir veri tabanıdır. Yükümlü kurumlar (bankalar, ödeme kuruluşları, kripto varlık hizmet sağlayıcılar vb.), bir kişiyi bu pozisyonlara atamadan önce sicil üzerinden lisansın geçerliliğini ve askıda olup olmadığını kontrol etmekle mükelleftir.

Lisans alabilmek için adayların öncelikle MASAK veya yetkilendirdiği kurumlarca düzenlenen yetkilendirme sınavından başarılı olmaları gerekir. Sınavın mantığı, adayın hem hukuki mevzuata hem de operasyonel risklere hakimiyetini ölçmektir. Başarı puanı 100 üzerinden en az 65 olarak belirlenmiştir. Sınavın birden fazla modül halinde yapılması durumunda ise adayların her bir modülden en az 50 alması ve tüm modüllerin ortalamasının yine 65 olması şarttır. Sınava girmek isteyen adaylarda aranan “temiz sicil” şartı ise oldukça katıdır, yüz kızartıcı suçlar, dolandırıcılık, rüşvet veya doğrudan aklama ve terörün finansmanı gibi suçlardan hüküm giymiş kişiler, affa uğrasalar dahi bu lisansı alamazlar.

Lisans alındıktan sonra süreç sona ermez. Lisansın “canlı” kalabilmesi için her üç yılda bir yenileme eğitimine katılmak şarttır. Eğer bir uyum görevlisi bu eğitimi zamanında almazsa veya gerekli belgeleri MASAK’a iletmezse lisansı askıya alınır. Lisansı askıda olan biri bu süreçte fiilen görev yapamaz. Askı süresinin uzaması durumunda ise daha sert bir yaptırım uygulanır: Sınav tarihinden veya son yenileme eğitiminden itibaren beş yıl geçmişse, lisans tamamen iptal edilir ve kişinin tekrar sınava girmesi gerekir.

Bu sistemde istisnai bir durum olarak “tecrübe muafiyeti” öngörülmüştür. MASAK’ta idari düzeyde (başkan, başkan yardımcısı, daire başkanı) en az 4 yıl görev yapanlar ile Hazine ve Maliye Uzmanı veya denetim elemanı olarak en az 12 yıl çalışanlar, bu teknik bilgiye zaten sahip kabul edildikleri için sınava girmeden lisans alabilirler.

Lisansın geçerlilik süresi, belgenin basıldığı tarihte değil, sınavın yapıldığı tarihte başlar. Bu ince ayrıntı, yenileme eğitimlerinin zamanlaması açısından hayati önem taşır. Ayrıca, MASAK’ta halen görev yapan personel, kurumda çalıştığı sürece yenileme eğitimlerinden muaf tutulur, bu kişilerin güncel bilgiye iş başında ulaştıkları varsayılır.

Örnek Soru

4. Uyum Programı, Kurum Politikası ve Prosedürler

Suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadelede en temel savunma hattı uyum programıdır. Bu program, bir yükümlünün maruz kalabileceği riskleri öngörmesini, bu risklere karşı önlem almasını ve operasyonlarını hukuka uygun yürütmesini sağlayan kurumsal bir koruma kalkanıdır. Uyum programı “şekli” bir zorunluluk değil, risk temelli bir yaklaşımdır. Yani kurum, riskin yüksek olduğu alanlara daha fazla kaynak ve denetim ayırırken, riskin düşük olduğu alanlarda daha sade prosedürler uygular.

Uyum programı birbirini tamamlayan altı ana bileşenden oluşur:

1. Kurum Politikası ve Prosedürleri: Programın “anayasa” ve “uygulama rehberi” kısmıdır.

2. Risk Yönetimi: Potansiyel tehditlerin ölçülmesi ve derecelendirilmesidir.

3. İzleme ve Kontrol: Günlük işlemlerin takibidir.

4. Uyum Görevlisi ve Uyum Birimi: Programın yönetim kademesidir.

5. Eğitim: Personelin farkındalığının artırılmasıdır.

6. İç Denetim: Sistemin çalışıp çalışmadığının geriye dönük test edilmesidir.

Kurum politikası, yönetim kurulu tarafından onaylanması gereken ve en geç iki yılda bir gözden geçirilmesi zorunlu olan stratejik bir belgedir. Bu politika hazırlanırken sadece kurum içi dinamikler değil, devletin yayınladığı Ulusal Risk Değerlendirmesi sonuçları da dikkate alınmalıdır. Prosedürler ise bu politikanın sahada nasıl can bulacağını, örneğin bir işlemin şüpheli olup olmadığına kimin karar vereceğini veya hangi personelin hangi yetkiye sahip olacağını detaylandırır.

Finansal gruplarda ise yapı biraz daha geniştir. Eğer bir ana kuruluş, başka finansal kuruluşlar üzerinde kontrol gücüne sahipse (sermaye çoğunluğu olmasa dahi yönetim kurulu üyelerinin çoğunluğunu atayabiliyorsa veya kararları etkileyebiliyorsa), bu yapılar “finansal grup” sayılır. Bu durumda her bir bağlı kuruluşun kendi programı olsa da, grup genelinde bir grup uyum programı oluşturulur. Grubun uyum görevlisi ve iç denetim faaliyetleri ana finansal kuruluş tarafından yürütülür. Bu yapının en kritik noktası grup içi bilgi paylaşımıdır. Grup içindeki kuruluşlar, risk yönetimi amacıyla birbirlerine bilgi aktarabilir ve bu noktada özel kanunlardaki (bankacılık sırrı vb.) gizlilik hükümlerine sığınılamaz. Ancak, bir işlemin MASAK’a bildirildiğine (ŞİB) dair bilgi, grup içinde dahi olsa kesinlikle paylaşılamaz.

Sınav odaklı bakıldığında, “iç denetim” ile “izleme ve kontrol” arasındaki farkı iyi anlamak gerekir. İzleme ve kontrol süreci işlemler devam ederken yapılan bir “sıcak takip” iken; iç denetim, tüm bu sistemin işleyişini dışarıdan bir gözle, geriye dönük inceleyen “test” aşamasıdır. Ayrıca, finansal grup seviyesinde oluşturulan uyum programı, bağlı kuruluşların kendi mevzuat sorumluluklarını ortadan kaldırmaz, sadece grup genelinde bir standart oluşturur.

Örnek Soru

5. Risk Yönetimi, İzleme ve Kontrol

Suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadelede en kritik unsur risk yönetimidir. Risk yönetimi, yükümlünün karşılaşabileceği tehditleri henüz ortaya çıkmadan belirlemesini, bu tehditlerin boyutunu ölçmesini ve onları kontrol altına almasını sağlayan proaktif bir süreçtir. Mevzuat, tüm yükümlülerin “risk temelli bir yaklaşım” sergilemesini bekler. Bu yaklaşımın temel mantığı, riskin yüksek olduğu yerde daha sıkı, riskin düşük olduğu yerde ise daha sade tedbirler uygulamaktır.

Riskler genellikle üç ana başlık altında sınıflandırılır:

• Müşteri Riski: Müşterinin mesleği, iş hacmi, suç örgütleriyle bağlantılı olma ihtimali veya nakit parayı çok yoğun kullanması gibi unsurlardır. Örneğin, döviz büroları veya kuyumcular gibi nakit akışının çok hızlı olduğu sektörlerde çalışanlar doğal olarak daha yüksek risk taşır. Ayrıca, “Siyasi Nüfuz Sahibi Kişiler” (PEP) gibi statüler de müşteri riskini artıran unsurlardır.

• Ülke (Coğrafi) Riski: Müşterinin yerleşik olduğu veya işlemin yapıldığı coğrafyanın güvenilirliği ile ilgilidir. FATF tarafından “gri liste” veya “kara liste”ye alınmış ülkeler, denetimin yetersiz olduğu açık deniz (off-shore) bölgeleri veya sınır komşusu olan riskli bölgeler bu kapsamdadır.

• Hizmet (Ürün/İşlem) Riski: Sunulan hizmetin doğası gereği kötüye kullanılmaya ne kadar müsait olduğudur. Özellikle yüz yüze olmayan işlemler (internet bankacılığı, mobil uygulamalar gibi), anonim kalma imkanı sunan elektronik paralar veya karmaşık türev araçlar yüksek hizmet riski oluşturur.

Risk yönetimi süreci sadece bu riskleri tanımlamakla bitmez, bu risklerin derecelendirilmesi (düşük, orta, yüksek) ve yüksek riskli alanlar için “Artırılmış Müşteri Tedbirleri” uygulanması gerekir. Bu tedbirler kapsamında, yüksek riskli bir müşteriyle iş ilişkisi kurmadan önce üst düzey yönetici onayı alınması, müşterinin servetinin ve fonlarının kaynağının araştırılması ve işlemlerin normalden daha sık izlenmesi bir zorunluluktur.

Bu sürecin operasyonel tamamlayıcısı ise izleme ve kontrol faaliyetleridir. İzleme, işlemlerin gerçekleştiği sırada veya hemen sonrasında yapılan bir “takip” iken, kontrol, bu işlemlerin kurumun iç politikalarına ve yasal mevzuata uygun olup olmadığının denetlenmesidir. Burada hayati kural görevler ayrılığı ilkesidir. Bir işlemi yapan personel, o işlemin kontrolünü veya izlemesini de yapamaz. Bu durum, suistimallerin ve hataların önlenmesi için sağlıklı bir iç denetim mekanizmasının temelini oluşturur.

Sınavlarda sıkça karıştırılan bir nokta, izleme ve kontrol faaliyetlerinin sadece “geçmişe dönük” olduğudur, oysa bu faaliyetler hem “eş zamanlı” (online/gerçek zamanlı sistemlerle) hem de “geriye dönük” (offline) olarak yürütülür. Ayrıca, bir işlemin sadece “büyük” olması değil, “olağandışı” veya “karmaşık” olması da (örneğin mantıklı bir ekonomik amacı olmayan zincirleme işlemler) izleme biriminin radarına girmesi için yeterli bir sebeptir. Müşteri bilgilerinin güncelliği de bu sürecin bir parçasıdır; yüksek riskli müşterilerin bilgileri genellikle yılda bir kez güncellenirken, daha düşük riskli müşteriler için bu süre daha uzun tutulabilir.

Örnek Soru

6. Müşterinin Tanınması

Suç gelirlerinin aklanması ve terörün finansmanıyla mücadelenin “ilk savunma hattı” müşterinin tanınması (KYC) prensibidir. Bu prensip, sanılanın aksine sadece bir kimlik fotokopisi almaktan ibaret değildir. Temel amaç; yükümlü kurumun (banka, kuyumcu, emlakçı vb.) kiminle iş yaptığını tam olarak bilmesi, paranın asıl sahibini (gerçek faydalanıcı) belirlemesi ve gerçekleştirilen işlemin müşterinin profiliyle (geliri, mesleği, ticari geçmişi) uyumlu olup olmadığını sürekli denetlemesidir.

Süreç, risk temelli bir yaklaşımla yürütülür. Eğer yükümlü, müşterinin kimliği hakkında tereddüde düşerse, gerçek faydalanıcıyı tespit edemezse veya iş ilişkisinin amacı (neden hesap açıldığı, paranın kaynağı vb.) hakkında yeterli bilgi edinemezse, iş ilişkisi tesis edemez, hesap açamaz ve talep edilen işlemi gerçekleştiremez. Bu aşamada, işlemin reddedilmesi aynı zamanda bu durumun bir şüpheli işlem bildirimi (ŞİB) olarak MASAK’a iletilip iletilmeyeceğinin de değerlendirilmesini gerektirir.

Kimlik tespiti süreci, işlemin niteliğine ve tutarına göre devreye girer. Genellikle sürekli bir iş ilişkisi (hesap açılması gibi) tesis edilirken tutar gözetmeksizin kimlik tespiti yapılır. Tek seferlik işlemlerde ise mevzuatta belirlenen parasal sınırların aşılması durumunda bu zorunluluk doğar. Kimlik tespiti, bilgilerin sadece alınması değil, aynı zamanda güvenilir belgelerle teyit (doğrulama) edilmesini de kapsar.

Sınavlarda sıklıkla karıştırılan bir nokta, kimlik tespitinin sadece işlemin başında yapılması gerektiği düşüncesidir. Oysa “sürekli izleme” gereği, müşteri bilgileri düzenli aralıklarla güncellenmeli ve risk profili değiştikçe (örneğin ev hanımı olan bir müşterinin hesabına aniden milyonlarca lira gelmesi durumunda) bilgiler yeniden teyit edilmelidir. Ayrıca, “başkası hesabına hareket edildiği beyan edilmese bile”, işlemden şüpheleniliyorsa (örneğin kişinin finansal kapasitesini çok aşan bir işlem yapması veya sürekli birilerinden talimat alması gibi) yükümlü doğrudan gerçek faydalanıcıyı bulmaya yönelik araştırma yapmalıdır. Gerçek faydalanıcı tespiti yükümlülüğü sadece “sürekli iş ilişkisi” (hesap açma, kredi verme vb.) tesisinde doğar, ancak tek seferlik işlemlerde de şüphe varsa bu araştırma yapılmalıdır.

Örnek Soru

7. Basitleştirilmiş ve Sıkılaştırılmış Tedbirler

Suç gelirlerinin aklanması ve terörizmin finansmanıyla mücadelede “herkese aynı standart uygulama” yerine Risk Temelli Yaklaşım esastır. Bu yaklaşımın doğal bir sonucu olarak, işlemin veya müşterinin risk seviyesine göre alınacak tedbirlerin dozajı ayarlanır. Bu doğrultuda karşımıza iki ana uygulama çıkar: Basitleştirilmiş Tedbirler ve Sıkılaştırılmış Tedbirler.

Basitleştirilmiş Tedbirler, riskin düşük olduğu kabul edilen belirli müşteri ve işlem grupları için operasyonel kolaylık sağlayan bir “esneklik” rejimidir. Ancak burada en çok karıştırılan nokta şudur: Basitleştirilmiş tedbir uygulamak, müşteriyi hiç tanımamak veya kimlik tespitinden tamamen muaf olmak demek değildir. Sadece kimlik bilgilerinin teyidi (doğrulanması) veya adres tespiti gibi süreçlerde daha pratik yolların (örneğin toplu maaş ödemelerinde işyeri bildiriminin esas alınması gibi) kullanılmasına izin verilir. Bu kolaylıklar, kamu kurumları, başka finansal kuruluşlar, belirli limitlerin altındaki ön ödemeli kartlar (aylık yükleme sınırı 5.000 TL gibi güncel limitler dahilinde) ve düşük riskli emeklilik planları gibi alanlarda uygulanır. Kritik bir kural olarak, işlem ne kadar düşük riskli görünürse görünsün, en ufak bir aklama veya terörün finansmanı şüphesi doğduğu an basitleştirilmiş tedbirler derhal sona erer ve tam kapsamlı tedbirler ile şüpheli işlem bildirimi süreci başlar.

Sıkılaştırılmış Tedbirler ise riskin standartların üzerinde olduğu durumlarda devreye giren “tam saha pres” uygulamasıdır. Bu rejimde temel amaç, yüksek riskli müşterinin veya işlemin sisteme sızmasını engellemek için ek güvenlik katmanları oluşturmaktır. Özellikle Kamusal Nüfuz Sahibi Kişiler (PEP), bu grubun en hassas halkasını oluşturur. Yabancı bir ülkede devlet başkanı, bakan, üst düzey siyasetçi veya askeri yetkili olan bir kişi (ve bunların aile bireyleri ile yakınları), mevzuat gereği doğrudan “yüksek riskli” kabul edilir. Bu kişilerle iş ilişkisi kurulurken sıradan bir personelin onayı yeterli olmaz; mutlaka üst düzey yönetici onayı alınmalı, müşterinin sadece fon kaynağı değil servet kaynağı da araştırılmalı ve iş ilişkisi sürekli, yoğun bir izlemeye tabi tutulmalıdır. Bu sıkı gözetim, kişi görevden ayrılsa bile riskin hemen bitmediği varsayımıyla en az bir yıl daha devam ettirilir. Benzer şekilde, teknolojik yapıları gereği takibi zor olan Kripto Varlık Hizmet Sağlayıcılar (KVHS) ile girilen ilişkiler de yapısal olarak yüksek riskli kabul edilir ve benzeri sıkılaştırılmış prosedürlere tabi tutulur.

Karmaşık ve olağandışı işlemler de bu kapsamdadır. Eğer bir işlemin makul bir ekonomik veya hukuki amacı yoksa, işlem tutarı müşterinin bilinen profiliyle aşırı uyumsuzsa veya çok katmanlı, anlaşılmaz bir yapısı varsa bu işlem “karmaşık” kabul edilir. Bu tür durumlarda yükümlü, işlemin amacını ve fonun kaynağını yazılı olarak sormalı, aldığı cevapları teyit etmeli ve bu kayıtları en az 10 yıl süreyle saklamalıdır.

Örnek Soru

8. Uzaktan Kimlik Tespiti

Dijitalleşen finans dünyasında, suç gelirlerinin aklanmasıyla mücadelenin en temel adımı olan “müşterini tanı” ilkesi artık fiziksel mekanlara hapsolmuş durumda değildir. Uzaktan Kimlik Tespiti (UKT), müşteri ile yükümlü kurumun (banka, aracı kurum vb.) fiziksel olarak aynı ortamda bulunmasına gerek kalmadan, teknolojik imkanlarla kimlik doğrulama sürecini ifade eder. Bu yöntem sadece bir kolaylık değil, aynı zamanda güvenlik ve hız dengesini gözeten, sıkı kurallara bağlanmış bir dijital kapıdır.

Bir kurumun UKT yapabilmesi için iki temel hukuki zemine sahip olması gerekir. Öncelikle, o kurumun ana faaliyetini düzenleyen özel kanunlarda (örneğin Bankacılık Kanunu veya Sermaye Piyasası Kanunu) uzaktan sözleşme kurulmasına izin verilmiş olmalıdır. İkinci olarak, MASAK’ın 19 No’lu Genel Tebliği’nde ilgili yükümlü grubu için bu sürecin usul ve esaslarının belirlenmiş olması şarttır. Günümüzde bankalar, aracı kurumlar, portföy yönetim şirketleri, hayat sigortası şirketleri ve belirli şartları sağlayan ödeme ve elektronik para kuruluşları bu kapsama dahil edilmiştir.

UKT süreci “görüntülü görüşme” veya “yapay zekâ destekli otomatik doğrulama” şeklinde yürütülebilir. Ancak her iki durumda da sürecin çevrimiçi, kesintisiz ve gerçek zamanlı olması zorunludur. Gerçek kişilerle yürütülen bu süreçte, yeni nesil kimlik kartlarında bulunan çiplerin Yakın Alan İletişimi (NFC) teknolojisi ile okunması en güvenilir yöntemdir. Eğer NFC teknolojisi kullanılamıyorsa, kimlik kartı üzerindeki hologram, mikro yazı ve kinegram gibi en az dört farklı güvenlik öğesinin görüntülü görüşme sırasında uzman personel veya gelişmiş algoritmalarca doğrulanması gerekir. Ayrıca, kişinin o an hayatta ve gerçek olduğunu kanıtlayan “canlılık testi” (liveness detection) ve kimlikteki fotoğraf ile o anki yüzün biyometrik eşleşmesi sürecin ayrılmaz parçalarıdır.

UKT süreci başlatılırken adayın konumu ve iletişim bilgileri üzerinden bir risk analizi yapılır. Örneğin, kişinin IP adresinin riskli bir coğrafyada olması veya VPN kullanması durumunda süreç sonlandırılabilir. Sınavlarda sıklıkla karıştırılan bir nokta, UKT’nin her yükümlü tarafından serbestçe yapılabileceği düşüncesidir, oysa MASAK tarafından yetkilendirilmeyen veya tebliğ kapsamına alınmayan yükümlüler (örneğin kuyumcular veya emlakçılar) uzaktan kimlik tespiti yapamazlar.

Kripto varlık hizmet sağlayıcıları (KVHS) için ise durum daha hassastır. Gizlilik odaklı kripto varlıkların (işlem gizleyen paralar) ticaretine imkan sağlayan platformların UKT yapmasına izin verilmez. Bu, teknolojik hızı kullanırken sistemin anonimliğe ve izlenemezliğe hizmet etmesini engellemek için getirilmiş bir “fren” mekanizmasıdır. Ayrıca UKT, sadece kimlik tespitini değil, müşterinin gelir düzeyi ve işlem amacı gibi “müşterini tanı” profil bilgilerinin toplanmasını da zorunlu kılar.

Örnek Soru

9. Şüpheli İşlem Bildirimi

Suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadelenin en temel direği, yükümlülerin (bankalar, finansal kuruluşlar, kuyumcular, emlakçılar vb.) “gözü ve kulağı” olma görevini yerine getirmeleridir. Bu görev, hukuki karşılığını Şüpheli İşlem Bildirimi (ŞİB) mekanizmasında bulur. Şüpheli işlem bildirimi, bir işlemin yasa dışı yollardan elde edilen bir malvarlığıyla yapıldığına veya yasa dışı amaçlarla (terörün finansmanı dahil) kullanılacağına dair herhangi bir bilgi, şüphe veya şüpheyi gerektirecek bir durumun bulunması halinde bu durumun MASAK’a (Mali Suçları Araştırma Kurulu) iletilmesidir.

Bu mekanizmanın en karakteristik özelliği tutar gözetmeksizin yapılmasıdır. Normalde kimlik tespiti gibi yükümlülüklerde belirli parasal sınırlar (örneğin 185.000 TL veya 20.000 € gibi) bulunurken, şüpheli işlem bildiriminde 1 TL bile olsa, eğer durum şüpheliyse bildirim zorunludur. Kanun koyucu burada “kesin delil” aramaz; işlemin olağandışılığı, müşterinin profilinden sapması veya mantıklı bir açıklamasının olmaması “şüphe” için yeterlidir. Hatta işlemin tamamlanmış olması şart değildir, yapılmaya teşebbüs edilen ancak yükümlünün dikkati sayesinde gerçekleşmeyen işlemler de bildirim kapsamındadır.

Süreç, yükümlü kurumun içindeki herhangi bir çalışanın şüpheyi fark etmesiyle başlar. Bu çalışan, durumu kurum içi prosedürlere uygun olarak (yazılı bir formla) uyum görevlisine bildirir. Uyum görevlisi, elindeki imkanlarla (geçmiş işlemler, müşteri profili, açık kaynak araştırmaları vb.) incelemesini yapar. Eğer o da şüpheyi ciddi bulursa, şüphenin oluştuğu tarihten itibaren en geç 10 iş günü içinde MASAK’a bildirimde bulunur. Eğer durum çok acilse (gecikmesinde sakınca varsa), bu süre beklenmeksizin bildirim derhal yapılır.

Şüpheli işlem bildiriminde en çok karıştırılan hususlardan biri, bildirim süresinin ne zaman başladığıdır. Süre, işlemin yapıldığı tarihte değil, işlemin “şüpheli olduğunun anlaşıldığı/kanaatine varıldığı” tarihte başlar. Örneğin bir bankada işlem bugün yapılmış olabilir ancak bankanın analiz sistemleri bu işlemin şüpheli olduğunu 3 gün sonra tespit ettiyse, 10 iş günlük yasal süre bu tespit gününden itibaren işlemeye başlar.

Bir diğer hassas nokta ise “İyi Niyet” kuralıdır. Eğer yükümlü, bir müşterisini sadece kişisel husumet nedeniyle veya kötü niyetle asılsız yere ihbar ederse, koruma kalkanından yararlanamaz. Ancak makul bir gerekçeye dayanan ve dürüstçe yapılan her bildirim, MASAK tarafından hukuki koruma altındadır. İfşa yasağının ihlali ise sadece idari bir kusur değil, hapis cezasını öngören ağır bir suçtur, çünkü bildirimin sızdırılması hem devletin yürüttüğü gizli soruşturmayı tehlikeye atar hem de bildirim yapan personelin güvenliğini riske sokar.

Örnek Soru

10. İşlemlerin Ertelenmesi

Suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadelede bazen sadece şüpheli bir işlemi bildirmek yeterli olmaz. Finansal sistemin hızı göz önüne alındığında, şüpheli paranın sisteme girip hemen başka hesaplara dağılması, yani “buharlaşması”, adli makamların elini kolunu bağlayabilir. Bu durumu önlemek amacıyla getirilen en güçlü acil durum mekanizması işlemlerin ertelenmesi (veya askıya alınması) uygulamasıdır.

İşlemlerin ertelenmesi, yükümlülerin (bankalar, aracı kurumlar vb.) nezdinde yapılmaya teşebbüs edilen veya halihazırda devam eden bir işlemin, aklama veya terörün finansmanı ile ilgili olduğuna dair ciddi emareler taşıması durumunda, bu işlemin geçici bir süre durdurulmasıdır. Bu süreç, yükümlünün “erteleme talepli” bir Şüpheli İşlem Bildirimi (ŞİB) hazırlayıp MASAK’a iletmesiyle başlar. Bildirim yapıldığı andan itibaren yükümlü, Hazine ve Maliye Bakanı tarafından bir karar verilip kendisine tebliğ edilene kadar işlemi gerçekleştirmekten kaçınmak (imtina etmek) zorundadır.

Bu mekanizma sadece yükümlünün talebiyle değil, iki farklı yolla daha tetiklenebilir: MASAK’ın kendi yaptığı incelemeler sonucunda (resen) veya karşılıklılık ilkesi çerçevesinde yabancı ülkelerin muadil kuruluşlarından (FIU) gelen talepler üzerine de erteleme kararı alınabilir. Burada temel mantık, paranın sistemden çıkışını dondurup MASAK uzmanlarına ve adli makamlara inceleme yapabilmeleri için zaman kazandırmaktır.

Sınav ve uygulama açısından en kritik nokta, bu askıya alma sürecinin belirli bir süresi olduğudur. Yükümlü, bildirimi yaptığı andan itibaren en fazla yedi iş günü boyunca işlemi gerçekleştirmeden beklemekle yükümlüdür. Eğer bu yedi iş günü içinde Bakanlık tarafından verilmiş bir erteleme kararı yükümlüye tebliğ edilmezse, yükümlünün işlemi gerçekleştirmeme yükümlülüğü sona erer. Yani banka veya ilgili kurum, yasal sürenin sonunda bir karar gelmemişse, müşterinin işlemini yerine getirmek durumundadır, aksi halde müşteri karşısında hukuki sorumluluk altına girebilir.

Burada bir ayrıntıya daha değinmek gerekir: Eğer yedi iş günlük süre dolmadan Bakanlık bir “erteleme” kararı verirse, bu kararın süresi savcılığa bildirim yapılana kadar devam eder. Eğer savcılık el koyma kararı talep ederse, süreç adli makamlara devredilir. Yani yükümlü için kritik eşik, bildirimi takip eden yedi iş günlük bekleme süresidir. Ayrıca, yabancı bir finansal istihbarat birimi (FIU) Türkiye’deki bir işlemin ertelenmesini isterse, MASAK bu talebi değerlendirir ve makul bulursa Bakanlık onayıyla Türkiye’deki işlemi durdurabilir.

Örnek Soru

11. Diğer Yükümlülükler ve Yükümlülerin Korunması

Suç gelirlerinin aklanması ve terörizmin finansmanı ile mücadele, sadece şüpheli işlemleri bildirmekle sınırlı bir süreç değildir. MASAK’ın finansal sistemi kontrol altında tutabilmesi için düzenli bir veri akışına ve ihtiyaç duyduğunda geçmişe dönük inceleme yapabileceği sağlam bir arşive ihtiyacı vardır. Bu denetim mekanizması; devamlı bilgi verme, muhafaza ve ibraz, bilgi ve belge sağlama ile elektronik tebligat olmak üzere dört temel sütun üzerine inşa edilmiştir.

Devamlı bilgi verme, yükümlülerin (bankalar, sigorta şirketleri, şans oyunları vb.) herhangi bir şüpheye dayanmaksızın, Bakanlıkça belirlenen türdeki ve tutardaki işlemleri periyodik olarak MASAK’a raporlamasıdır. Şüpheli İşlem Bildirimi’nden (ŞİB) en büyük farkı budur: ŞİB şüpheye dayanır ve tutar sınırı yoktur, devamlı bilgi verme ise tutar ve işlem türü bazlıdır ve otomatiktir. Örneğin, belirli bir miktarın üzerindeki nakit yatırma işlemleri veya yurt dışı transferler, yükümlü tarafından sistem üzerinden MASAK’a “olağan bir bildirim” olarak iletilir. Sadece özel yükümlüler değil, bazı kamu kurumları da kendi veri tabanlarındaki kayıtları (tapu kayıtları, araç tescilleri vb.) MASAK’a düzenli olarak sunmakla görevlendirilebilir.

Bu bildirimlerin ve yapılan tüm işlemlerin denetlenebilir kalması için muhafaza ve ibraz yükümlülüğü devreye girer. Yükümlüler, faaliyetlerine ilişkin her türlü belge, defter ve kaydı 8 yıl boyunca saklamak zorundadır. Burada sınav başarısı için sürelerin başlangıç tarihlerini iyi ayırt etmek gerekir:

• Kimlik tespitine ilişkin belgelerde: Son işlem tarihinden itibaren,

• Hesap dosyalarında: Hesabın kapandığı tarihten itibaren,

• Diğer belgelerde: Düzenleme (tanzim) tarihinden itibaren 8 yıllık süre başlar.

Süreçteki en geniş yetki ise bilgi ve belge verme yükümlülüğüdür. MASAK veya görevlendirdiği denetim elemanları, inceleme sırasında sadece yükümlü kurumlardan değil, tüm kamu kurumlarından, vakıflardan, derneklerden ve hatta sıradan gerçek kişilerden bilgi talep edebilir. Bu noktada “müşteri sırrı” veya “meslek sırrı” gibi gerekçelerle bilgi vermekten kaçınılamaz, zira 5549 sayılı Kanun, özel kanunlardaki gizlilik hükümlerini bu durum için geçersiz kılmış ve “üstün kamu yararı” ilkesini benimsemiştir.

Dijital dünyada işlemlerin hızı, tebligat süreçlerini de değiştirmiştir. Sınavlarda en çok karıştırılan teknik detay tebliğ anıdır. Genel hukuk kurallarında (Tebligat Kanunu) elektronik tebligatların 5 gün sonra yapılmış sayıldığı görülse de, 5549 sayılı Kanun kapsamında elektronik tebligat, muhatabın elektronik hesabına ulaştığı anda tebliğ edilmiş sayılır. Bu durum, yükümlünün “henüz mesajı açmadım” deme hakkını elinden alır ve MASAK’ın taleplerine cevap süresini anında başlatır. Ayrıca, muhafaza edilmesi gereken belgelerin sadece kağıt ortamında değil, mikrofilm, mikrofiş veya manyetik ortamlarda da saklanabileceği, ancak bu kayıtların asılları kadar erişilebilir ve okunabilir olması gerektiği unutulmamalıdır.

Örnek Soru

12. Yükümlülük Denetimi ve İdari Para Cezaları

Suç gelirlerinin aklanması ve terörün finansmanıyla mücadele sürecinde mevzuatın sadece kâğıt üzerinde kalmaması için devlet, etkin bir denetim mekanizması kurgulamıştır. Bu denetimin merkezinde Mali Suçları Araştırma Kurulu (MASAK) yer alır. Ancak MASAK bu görevi sadece kendi kadrosuyla değil; vergi müfettişleri, Hazine ve Maliye uzmanları, Bankacılık Düzenleme ve Denetleme Kurumu (BDDK) ve Sermaye Piyasası Kurulu (SPK) uzmanları gibi geniş bir denetim elemanı havuzu vasıtasıyla yürütür.

Denetimlerin temel felsefesi risk temelli bir yaklaşımdır. Denetim elemanları, yükümlü kurumlardan (bankalar, kargo şirketleri, kuyumcular vb.) her türlü bilgi ve belgeyi isteme, tüm kayıtları inceleme ve personelden sözlü veya yazılı beyan alma yetkisine sahiptir. Yükümlüler için bu incelemeler bir “rica” değil, kanuni bir zorunluluktur; denetim elemanlarına uygun bir çalışma ortamı sağlamak ve incelemeyi kolaylaştırmakla mükelleftirler.

İncelemeler genellikle iki şekilde gerçekleşir: Birincisi, yükümlünün genel işleyişinin mevzuata uygunluğunu ölçen uyum denetimi, ikincisi ise belirli bir şüphe veya ihbar üzerine yapılan ihlal incelemesidir. İnceleme sonunda hazırlanan raporlar MASAK tarafından değerlendirilir ve eğer bir aykırılık saptanırsa idari veya adli yaptırım süreci başlatılır.

Sorumluluk sadece kurumun tüzel kişiliğiyle sınırlı değildir. Mevzuat, “sorumluluk yukarıdan başlar” ilkesini benimseyerek, yönetim kurulu üyelerini de sürece dahil eder. Eğer bir kuruma yükümlülük ihlali nedeniyle ceza kesilirse, bu cezanın dörtte biri oranında bir tutar yönetim kurulu üyelerine de şahsen uygulanır. Bu durum, üst yönetimin uyum süreçlerini sadece bir formalite olarak görmesini engellemeyi amaçlar.

Bu süreçte en çok karıştırılan nokta, hangi ihlalde süre verildiği, hangisinde doğrudan ceza kesildiğidir. Sınav odaklı bir bakışla, paranın takibini doğrudan etkileyen “kimlik tespiti” ve “şüpheli işlem bildirimi” gibi konularda devletin toleransı yoktur ve doğrudan ceza uygular. Ancak kurumun içindeki “eğitim” veya “iç denetim” gibi organizasyonel eksikliklerde düzeltme imkânı tanınır. Bir diğer kritik ayrıntı ise gizlilik ihlalidir, bir banka personeli müşteriye “senin hakkında MASAK’a bildirim yaptık” dediği an, bu artık bir idari para cezası konusu değil, hapis cezasını öngören bir adli suç konusudur.

Örnek Soru

13. Elektronik Transferler ve Kripto Varlık Transferlerinde Seyahat Kuralı

Finansal sistemin hızlanmasıyla birlikte paranın takibi, suç gelirlerinin aklanmasını ve terörizmin finansmanını engellemede en hayati unsur haline gelmiştir. Elektronik transferler (EFT, Havale, SWIFT gibi) ve son yıllarda hayatımıza giren kripto varlık transferleri, paranın kimden kime gittiğinin en net görülebileceği alanlardır. Bu nedenle kanun koyucu, bu işlemlerde tarafların “izlenebilirliğini” sağlamak amacıyla katı kurallar belirlemiştir. Bu kuralların temel amacı, finansal sistemin anonim bir şekilde kötüye kullanılmasını engellemek ve şüpheli bir durumda paranın izini sürebilmektir.

Elektronik transferlerde temel eşik 15.000 TL’dir. Bu tutar ve üzerindeki hem yurt içi hem de yurt dışı transferlerde, parayı gönderenin (amir) adı-soyadı, hesap numarası (veya işlemin izlenebilmesini sağlayan eşsiz referans numarası) ile adres, doğum yeri veya kimlik numarası gibi belirleyici bilgilerinin mesaj içeriğinde yer alması zorunludur. Ayrıca bu bilgilerin doğruluğu yükümlü tarafından teyit edilmelidir. Eğer transfer 15.000 TL’nin altındaysa, sadece ad-soyad ve hesap numarası bilgisi yeterli görülür, bu durumda ayrıca bir teyit işlemi yapılması zorunluluğu aranmaz.

Burada dikkat edilmesi gereken en kritik husus, bilginin sadece “alınması” değil, transfer mesajıyla birlikte “karşı kuruma iletilmesi”dir. Eğer gönderici banka bu bilgileri eksik gönderirse, alıcı banka risk temelli bir yaklaşımla parayı iade edebilir veya bilgilerin tamamlanmasını bekleyebilir.

Kripto varlık transferlerinde ise risk seviyesi daha yüksek görüldüğünden Seyahat Kuralı (Travel Rule) adı verilen özel bir mekanizma devreye girer. Kripto Varlık Hizmet Sağlayıcılar (KVHS), 15.000 TL ve üzerindeki transferlerde gönderen ve alıcı bilgilerini içeren veri paketini, transferle eş zamanlı ve güvenli bir şekilde mesaj zinciri boyunca tüm aracı kuruluşlara iletmekle yükümlüdür. Bu kural, kripto varlıkların blokzincir üzerindeki anonimliğini kırarak, finansal kuruluşlar arasındaki veri akışını şeffaf hale getirir.

Sınav sorularında sıklıkla karıştırılan bir nokta, 15.000 TL altındaki işlemlerdir. Unutulmamalıdır ki, tutar ne olursa olsun ad-soyad ve hesap numarası bilgisi her zaman mesajda yer almalıdır, sadece bu bilgilerin “teyit” (doğrulama) zorunluluğu 15.000 TL eşiğine bağlanmıştır. Ayrıca, seyahat kuralının uygulanmadığı durumlar (özel cüzdanlar veya bilgi paylaşımı yapmayan yabancı kurumlar) birer “muafiyet” alanı değil, aksine yükümlünün kendi müşterisinden daha fazla bilgi almasını gerektiren “yüksek riskli” alanlar olarak görülmelidir.

KVHS’ler arasında yapılan transferlerde, bilgilerin iletimi için kullanılan teknolojinin güvenli olması ve verilerin gizliliğinin korunması da yükümlülüğün bir parçasıdır. Bilgi paylaşımının yapılmadığı durumlarda, yükümlü kurumu zor durumda bırakan asıl mesele, MASAK nezdinde “yükümlülüklere aykırılık” durumuna düşmektir.

Örnek Soru

Genel Bir Bakış

Bu bölümün aslında çok net bir özeti var: Tanı, değerlendir, raporla ve sakla. Mevzuatın yükümlülere verdiği görev sadece basit bir müşteri kabul süreci değildir. Asıl mesele, yapılan işlemin gerçek amacını kavramak ve risk profilini doğru analiz etmektir. Riskin boyutuna göre şekillendirdiğimiz bu tedbirler, finansal sistemin suç şebekeleri tarafından kullanılmasını engelleyen en güçlü barajımızdır.

Nihayetinde uyum süreci, sadece kağıt üzerinde kalan soğuk bir kanun metni değil, sürekli yaşayan ve riskleri önceden sezen bir yönetim anlayışıdır. Bu sistemin gerçekten başarılı olması ise en tepedeki yönetim kurulunun kararlılığından, ön saftaki operasyon personelinin dikkatine kadar herkesin bu sorumluluğu içtenlikle paylaşmasına bağlıdır.