Kripto Varlık Hizmetlerinde ML/TF Risklerini Denetim yolu ile ele almak

Kripto varlık sektörü teknolojik olarak dinamik ve hızla büyüyor. Aynı zamanda kara para aklama ve terörün finansmanı (ML/TF) amaçları için kullanılmaya da açık. Bu nedenle, 2018 yılında belirli kripto varlık faaliyetleri AB’nin kara para aklama ve terörün finansmanıyla mücadele (AML/CFT) rejiminin kapsamına alındı. Ardından, 31 Aralık 2024 tarihinde, (AB) 2023/1114 sayılı Tüzük (MiCA) kripto varlık ihracı, ticareti ve hizmet sunumu için birleşik bir kural kitabı getirmiştir. Aynı zamanda, AB’nin AML/CFT yasal çerçevesi, daha geniş bir kripto varlık faaliyetleri yelpazesini kapsayacak şekilde genişletilmiştir. Sonuç olarak, AB artık bu sektördeki ML/TF riskleriyle mücadele için daha kapsamlı bir düzenleme ve denetim çerçevesine sahiptir.

European Banking Authority (EBA) tarafından 9 Ekim 2025 tarihinde yayımlanan “Tackling ML/TF Risks in Crypto‑Asset Services Through Supervision” başlıklı rapor, Markets in Crypto‑Assets Regulation (MiCAR) ve AB’nin kara para aklama/terörizmin finansmanı (ML/TF) çerçevesi bağlamında kripto varlık hizmet sağlayıcılarının denetim yoluyla risklerin ele alınmasına dair bir incelemedir.

Bu rapor, sektörün ne kadar geliştiğini ve MiCA ile yeni AB AML/CFT çerçevesinin yürürlüğe girmesiyle birlikte sağlam ve tutarlı denetimin ne kadar önemli olacağını gösteriyor.

Raporun hazırlanmasındaki amaç

• Kripto varlık hizmet sağlayıcıları (CASP’ler) ve varlık ihraççıları üzerinden ML/TF (kara para aklama ve terörizmin finansmanı) risklerinin nasıl ortaya çıktığını ve denetim‑gözetim açısından ne gibi zayıflıklar bulunduğunu analiz etmek.
• AB düzeyinde gözetim uygulamalarında tutarlılığı artırmak ve ulusal denetleyici otoritelerin (competent authorities) yaklaşımlarını güçlendirmek.
• MiCAR gibi yeni düzenleyici çerçevelerin gözetim açısından nasıl uygulanabileceğini ve risklerin önlenmesi için hangi denetim araçlarının etkili olabileceğini ortaya koymak.

Raporda önemli noktalar

• Kripto varlık hizmet sağlayıcılarının (örneğin alım‑satım, saklama, ihraç hizmetleri) ML/TF açısından özel riskler taşıdığı — örneğin anonim ya da yarı‑anonim işlemler, sınır ötesi hızlı transferler, yetkilendirilmemiş hizmet yoluyla faaliyetler.
• Ulusal denetleyici otoriteler arasında uygulamada farklılıklar bulunduğu; bazı hizmet sağlayıcıların forum shopping (uygulamalardan yararlanma), yetkilendirilmemiş faaliyetler yürütme ya da denetimden kaçınma yolları bulduğu.
• İç kontrol, uygunluk (compliance), müşteri tanıma (KYC), faydalanıcı sahiplik (beneficial ownership) ve izleme sistemlerinde belirgin eksiklikler olduğu; dolayısıyla gözetim yaklaşımlarının güçlendirilmesi gerektiği.
• Gözetim otoritelerinin kripto varlık faaliyetlerini izleme, veri toplama, risk değerlendirmesi yapma ve yetkisiz faaliyetleri engelleme kapasitesinin kritik olduğu vurgulanıyor.

Daha fazla bilgi ve uymanız gereken kurallar hakkında lütfen raporun tamamını okuyun! https://www.eba.europa.eu/sites/default/files/2025-10/6a64efb9-98e9-4e90-a5c5-2704a8ca8ef9/Report%20on%20tackling%20ML%20TF%20risks%20in%20crypto-asset%20services%20through%20supervision.pdf

Türkiye açısında rapor ne ifade ediyor?

Türkiye’de de kripto varlık hizmet sağlayıcılarının denetimi, saklama, kullanıcı bilgilendirme ve iç kontrol mekanizmaları gibi alanlarla ilgili düzenlemeleri Sermaye Piyasası Kurulu (SPK) ve BDDK’nın takibi ile kripto varlık platformlarıyla ilgili denetim ve iç kontrol esasları belirlenmektedir.

Dolayısıyla bu rapor, Türkiye’de faaliyet gösteren veya AB ile iş yapan kripto varlık hizmet sağlayıcılarının AB gözetim beklentilerini göz önünde bulundurmaları fayda sağlamaktadır.

Raporun bulgularına dayanarak Türkiye’deki kripto varlık hizmet sağlayıcılarına yönelik birkaç önerimiz şu şekildedir:

1. Yetkilendirme ve lisans süreçlerinizi gözden geçirin: Hem Türkiye içindeki düzenleyici otoritelerle uyumlu olun, hem de AB pazarına yönelik olası açılımları düşünüyorsanız lisans/uyum açısından hazırlıklı olun.
2. Şeffaf sahiplik ve yönetim yapısı sağlayın: UBO (nihai faydalanıcı) bilgileriniz net olsun; grup yapınız çok katmanlıysa, hangi şirketin hangi işlevi yürüttüğü açık olsun.
3. AML/CFT uyum sisteminizi güçlendirin: Müşteri tanıma (KYC), sürekli izleme, şüpheli işlem bildirimleri, “Travel Rule” yükümlülükleri, blockchain analitik araçları gibi unsurları değerlendirin.
4. Denetim ve gözetim perspektifini benimseyin: Yalnızca prosedür oluşturmak yetmez; bu prosedürlerin uygulamada etkin olduğunu ve değişen risklere göre güncellendiğini gösterebilmelisiniz. CFECERT ile iletişime geçerek sahip olmanız gereken yönetim sistemleri standartları hakkında bilgi alabilir ve denetiminizi UKAS, IAS veya TURKAK Akredite ieklinde planlayabilirsiniz.
5. Sınır ötesi iş modellerini kontrol edin: AB ülkeleriyle ya da başka ülkelere yönelen hizmetleriniz varsa, “forum shopping”, “reverse solicitation” gibi riskli kaçış yollarına karşı gözlemde olmalısınız.
6. İş modelinizi, ürünlerinizi ve kanallarınızı (örneğin DeFi, ATM, ödeme kartları) sürekli değerlendirin: Raporda, DeFi gibi yeni alanlardaki risklerin yeterince ele alınmadığına dair uyarılar bulunmaktadır.