Ödeme Kuruluşu Lisanslama

Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında İkincil Mevzuat Değerlendirmeleri

Bütün sektör paydaşlarının hareketli bir gündemle beklediği 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un (“Kanun”) ikincil mevzuat düzenlemeleri olan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (“Yönetmelik”) ve Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ”) 01.12.2021 tarihi itibarıyla yürürlüğe girmiştir. 

Yönetmelik ve Tebliğ adeta FinTech sektörünün geleceğini belirleyecek nitelikte kurgulanmış, halefi oldukları mülga mevzuatla kıyaslandığında çoğunluğu baştan yazılmış hükümlerle ödeme ve e-para kuruluşlarının doğuşundan gelişimine kadar esaslı tüm noktalardaki iş akış kültürü ve açık bankacılık kuralları oluşturulmuştur. Bu itibarla Yönetmelik ve Tebliğ sektörün yeni anayasa metinleri olarak kabul edilebilir. 

1. Faaliyet İzni Süreçleri & Bağlı Yükümlülükler

Ödeme ve e-para kuruluşu olarak faaliyet gösterecek kurum ve kuruluşların (“Kuruluşlar”) Türkiye Cumhuriyeti Merkez Bankası’ndan (“TCMB”) faaliyet izni alma süreçlerinin gerek mülga mevzuat gerek taslak düzenlemelere kıyasen Yönetmelik m.11 kapsamında baştan yazıldığı görülmektedir. Bu kapsamda ülkemiz mevzuatında belirli bir üst otoriteden faaliyet izni alınmasına yönelik alışık uygulamalara ayrık biçimde “ön bildirim ve ön hazırlık” süreci öngörülmekte, TCMB bildirim onayı alarak bu süreci geçen Kuruluşlardan “istihbari inceleme” ve “nihai onay” aşamalarının tamamlanması beklenmektedir.

Ön Bildirim Aşaması: Bu aşamada Kuruluşlardan şirket kuruluşuna ilişkin ana sözleşme taslağı, faaliyet izni başvuru dilekçesi ile gerçek ve tüzel kişi nitelikli pay sahiplerinin başvuru formlarından oluşan Yönetmelik eklerinin sunulması talep edilmektedir. Ön bildirim başvurusunda 500 bin TL faaliyet izni başvuru ücreti ile BSMV vergisi ödenmesi gerekecektir.

Ana Çıktılar: Ön bildirim aşaması henüz ticaret sicil kaydı ve şirket kuruluşu resmi olarak tamamlanmamış olan aşamadır. Bu anlamda TCMB tarafından faaliyet izni almak isteyen Kuruluş adına şirket ana sözleşme taslağı ile gerek faaliyet kapsamı gerek ticaret unvanında yer alması gerekli ödeme ve e-para kuruluşu olunduğunu gösterir şekli yeterlikler gibi kontrol listeleri gözden geçirilmekte ve istihbari inceleme aşamasına altyapı sağlanmaktadır. Yönetmelik EK-11-A/B/C/D bu aşamada atıf yapılan gerekli dokümanlardır. Ön bildirim aşaması özellikle gerçek kişi geçmiş ve sicil araştırmalarının ayrıntılı olarak yapıldığı aşama olup ekosisteme yeni bir şirketle dahil olacak Kuruluşlar için az sayıda ortak/tüzel kişilik ortağı bulundurmasının düzenleyici otorite pratik incelemesi için önemli olduğu söylenebilecektir.

İstihbari İnceleme Aşaması: Ön bildirim onayının alınmasını müteakip 6 ay içinde istihbari başvuru sürecine geçilip gerekli evrak ve uygulama listesi tamamlanarak sürece devam edilmelidir. Bu aşamada yukarıda belirtilen ön bildirim dokümanlarına ilaveten;

  • Faaliyet izni süreçlerine özgülenmiş yönetim kurulu kararı,
  • İş planı ve faaliyet programı, 
  • Sermayenin nakden ve her türlü muvazaadan ari ödenmiş olduğuna ilişkin YMM raporu,
  • İş akış ve iş sürekliliği planı, 
  • Faaliyet ve organizasyon programı ile organizasyon yapısının oluşturulması,
  • Yetki, görev, sorumluluk ve görev tanımlarının belirlenmesi,
  • Kurumsal yönetim anlamında gerekli politika ve prosedürlerin hayata geçirilmesi,

Gibi kontrol listeleri önemli kilometre taşları olarak görülmektedir. Yönetmelik EK-15 istihbari inceleme aşaması için gerekli bilgi ve belge kontrol listesine atıfta bulunmaktadır ve Kuruluşlar için yönlendirici olabilir.

Ana Çıktılar: Bu aşamada özellikle finansal yeterlilikler bakımından Kuruluşların güçlü olmaları aranmaktadır. Ödenmiş sermaye ve özkaynak yeterlilikleri;

  • Fatura ödemelerine aracılık edilmesine yönelik hizmet veren Kuruluşlar için 1 milyon TL sermaye ve 3 milyon TL özkaynak, 
  • Diğer ödeme hizmetlerini temin eden Kuruluşlar için 2 milyon TL sermaye ve 5 milyon TL özkaynak 
  • E-para kuruluşları için ise 5 milyon TL sermaye ve 13 milyon TL özkaynak olarak öngörülmüştür. 

Aynı zamanda özkaynak hesaplamaları Türkiye İstatistik Kurumu tarafından yayımlanan fiyat endekslerindeki yıllık değişimler göz önünde bulundurularak TCMB tarafından her yıl Ocak ayında tekrar değerlendirilir.

Fonların korunması ve teminatlar bakımından Kuruluşların TCMB nezdinde fatura ödemelerine aracılık edilmesine yönelik hizmet veren Kuruluşlar için 2 milyon TL, diğer ödeme kuruluşları için 3 milyon TL ve e-para kuruluşları için 5 milyon TL asgari teminat bulundurulması gerekmektedir.

Nihai Onay Süreci: İstihbari inceleme aşamasından onay alınmasını müteakip 120 (+60) gün içerisinde nihai onay başvurusuna ilişkin süreçlere geçilecektir. Bu kapsamda;

  • İç kontrol, risk yönetimi, muhasebe, bilgi sistemleri ve raporlama sistemlerinin kurulması,
  • Bu birimlerin çalışma esaslarının düzenlenmesi ve yönlendirilmesi, 
  • Personel görev tanımları, yetki ve sorumlulukları ve birimlerin uygulama prosedürleri ve politikalarının belirlenmesi, 
  • Güvenlik olay izleme ve müşteri şikayetleri ve memnuniyeti prosedürlerine ilişkin düzenlemelerin yapılması, 
  • KVKK uyumluluk operasyonlarının yürütülmesi, insan kaynakları ve iş hukuku süreçlerinin yapılanması, gizlilik sözleşmelerinin ve diğer ilgili prosedürlerin hazırlanması, 
  • Faaliyetlerde kullanılacak ofisle ilgili talep edilen fiziki ve nitelik durum tespitlerini bildirir raporların oluşturulması,

Önemli kilometre taşları olarak görülmektedir. Yönetmelik EK-16 nihai onay aşaması için gerekli bilgi ve belge kontrol listesine atıfta bulunmaktadır ve Kuruluşlar için yönlendirici olabilir.

Nihai onay sürecini müteakip varsa 60 gün içinde eksikliklerin giderilmesi gerekmekte, yoksa faaliyet izni harcının yatırılması ve 1 milyon TL faaliyet ruhsatı ücretinin ödenmesi ile Kuruluş faaliyete başlama bildirimini yaparak ödeme veya elektronik para kuruluşu olarak müşterilerine hizmet vermeye başlayabilecektir.

Ana Çıktılar: İstihbari ve nihai onay aşamalarında Kuruluşlardan talep edilen bilgi, belge ve süreç yönetim çıktıları incelendiğinde tam anlamıyla “içselleştirilmiş kurumsallık” ve “kurumsallık kültürü” arandığı söylenebilecektir. Bu kapsamda kalite yönetim sistemi mantığında hazırlanan politika, prosedür gibi aksiyon eylem planlarının fiili olarak hangi oranda pratikleştirildiği düzenleyici otorite tarafından kontrolü ve teyidi yapılacak ana konulardan olup gerçekten de otomatik veri kayıt sistemleri üzerinde otomasyona sürülmüş iş ve süreç akış yönetimleri aranmakta, manuel tabir edilebilecek excel, word veya fiziki kâğıt ve ajanda argümanlarını reddedecek bir yaklaşım sergilenmektedir.

İlginizi Çekebilir: Tüm Bankalar Tek Ekranda

2. Kurumsal Yönetim ve Kurumsal Kültür

Yukarıdaki başlıkta açıklandığı üzere düzenleyici otorite Kuruluşlar bünyesinde kâğıt üzerinden ziyade sistemli bir şekilde uygulandığından emin olunan kurumsallık aramaktadır. Yönetmelik’te de bu amacın hayata geçirilmesine yönelik; yönetim kurulu, üyeleri ve genel müdür, iç kontrol, risk yönetimi, muhasebe, raporlama ve bağımsız denetim mekanizmaları, TCMB’ye raporlama süreçleri, iş sürekliliği planı ve bilgi sistemleri yönetimi ve denetimi, dış hizmet alımı başlıklarıyla aranılan nitelik ve ödevler net çizgilerle belirlenmiştir. 

Bu kapsamda düzenleyici otoritenin; adil, şeffaf, hesap verebilir ve sorumlu olması adına Kuruluşlardan beklediği şüphesiz etkin ve etkili bir iç kontrol sistemi geliştirilmesi, kuvvetler ve görevler ayrılığı ile çapraz kontrol mekanizmalarının işletilmesi, güven ve itibarın en önemli Kuruluş sermayesi kabul edilerek buna zarar verme ihtimali olan bütün unsurların yok edilebileceği bir sistem kurgulanmasıdır. Kuruluşların faaliyet göstereceği sektör ve odak etki alanı dikkate alındığında bu beklentilerin oldukça yerinde olduğu söylenebilecektir.

3. Göze Çarpanlar – Genel 

  • Yönetmelik ile “hesap bilgisi hizmet sağlayıcıları” ve “ödeme emri başlatma hizmeti sağlayıcılara” (ödeme tetikleyicileri) ilişkin esaslar ile açık bankacılık esasları nihayete ermiştir. Ayrıca ödeme hizmeti sağlayıcılarına, sunulan hesap hizmetlerinin başka bir ödeme hizmeti sağlayıcısı tarafından kullanılmak istenmesi durumunda, talepte bulunan sağlayıcıya hesaplarla ilgili hizmetleri, diğer müşterileri ile benzer koşullarda sunma yükümlülüğü getirilmiştir. Bu hizmetlerin yürütülmesine ilişkin esaslar ile operasyonel ve teknik gereklilikler izleyen süreçte belirlenecek olup yeknesak uyum sağlanıp sağlanmadığı teknik hizmet sağlayıcı Bankalararası Kart Merkezi A.Ş. (“BKM”) tarafından tespit edilecektir. (Ayrıntılı bilgi için bkz: Açık Bankacılık: Entegrasyon 4.0.)
  • Kuruluşlar, ödeme hizmetlerini elektronik veya fiziki kanallar üzerinden temsilci aracılığıyla yürütebilecektir. Yönetmelik kapsamında temsilci olmak için gerekli belgeler belirlenmiş, Kuruluşlara temsilcilerini, Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği (“TÖDEB”) sistemine kayıt yükümlülüğü getirilmiş, temsilcilik sözleşmesinin TÖDEB tarafından TCMB’nin görüşü alınarak çizileceği düzenlenmiştir. Önemli bir güncelleme olarak bütün döviz büroları ve kuyumcular gibi bazı kuruluşların temsilci olamayacağı hükme bağlanmıştır. 
  • Yine, literatüre kazandırılan “anonim ön ödemeli araç” kavramı “herhangi bir şekilde ödeme hesabına bağlı olmayan ve kimlik tespiti veya doğrulaması yapılmamış, önceden ödeme ya da yükleme yapılması suretiyle kullanılabilir hale gelen, tekrar yükleme yapılma imkânı bulunan veya bulunmayan şekilde ihraç edilebilen ve yüklenen bakiye kadar kullanıma izin verilen ön ödemeli araç” olarak tanımlanmıştır. Bu kapsamda, örneğin işverenlerce çalışanlara tanımlanan anonim yemek ve ulaşım kartları anonim ön ödemeli araç kapsamında değerlendirilebilecektir.
  • Yönetmelik ile ödeme hizmeti sağlayıcıları, sunulan ödeme hesabı ve altyapı hizmetlerini kullanma talebinde bulunan diğer sağlayıcılara bu hizmetleri mevzuattan doğan yükümlülükler ile güvenlik, operasyonel ve teknik gereklilikler saklı kalmak üzere diğer ticari müşterileri, iş ortakları ve işlem yaptığı diğer ödeme hizmeti sağlayıcıları ile benzer koşullarda sunmakla yükümlü olacaklardır.
  • Kuruluşlar, işlemin her iki tarafının da Türkiye’de yerleşik olduğu ve Türkiye’de bulunan ödeme hizmeti sağlayıcılarının kullandığı ödeme işlemleri ile ilgili olarak döviz alım satım işlemi yapamayacaklardır. Kuruluş, işlemin taraflarından birinin yurt dışında bulunması şartıyla ve birtakım koşulların bulunması durumunda, sadece ödeme hizmetinin sunulmasıyla ilgili olmak kaydıyla döviz alım satım işlemi yapabilecektir.
  • Belirli hallerde ödeme fonları ile elektronik para koruma hesaplarının, fon sahiplerinin haklarının tazmin edilmesi ve Kuruluşların mevzuat kaynaklı yükümlülüklerini yerine getirmesini teminen bloke edilebileceğine hükmedilmiştir. Bu kapsamda müşteri şikayetleri süreç yönetimi ve raporlama sistemlerinin bir hayli önemli olacağı söylenebilecektir. 
  • Tüketicinin korunması ile radikal düzenlemeler kapsamında Kuruluşlara faaliyetleri ile ilgili tüketicilerin haklarını içeren, açık ve kolay anlaşılır bir dilin kullanıldığı, rahatlıkla okunabilecek bir şekilde tasarlanmış elektronik/fiziksel bilgi formu hazırlama yükümlülüğü getirilmiştir.

4. Tebliğ Hakkında

Tebliğ temel etki alanı Kuruluşların bilgi sistemleri güvenliği ve Yönetmelik’te düzenlenen operasyonel, idari, hukuki, finansal olmak üzere kurumsal bütün süreçlerin teknik izdüşümünde alınması gerekli tedbirlerin belirlenmesidir. Bu kapsamda özetle;

  • Kişisel veri işleme faaliyetlerinin 6698 sy. Kişisel Verilerin Korunması Kanunu amir hükümleri uyarınca sevk ve idare edilmesi,
  • Hassas müşteri verileri için özel tedbirler alınması,
  • Erişim yetkilendirme ve yetki/sorumluluk matrisi ile kuvvetler ayrılığına yönelik tedbirlerin alınması,
  • Kimlik doğrulama süreçlerinin sistemsel olarak izlenebilmesi ve takip edilebilmesi,
  • Bilgi güvenliği, kişisel veri güvenliği ve mahremiyeti süreçlerinde alınması gerekli teknik ve idari tedbirlerin koordineli olarak alınması,
  • Siber saldırılara/veri ihlallerine karşı aksiyon eylem planı uygulamalarının oluşturulması,
  • Zaafiyet testlerinin yapılması,
  • Bilg güvenliği ve bilgi sistemleri iş sürekliliği stratejilerinin hazırlanması,
  • Yedek merkez ve sistemlerin kurulması,

Yükümlülüklerinin getirildiği söylenebilecektir. Kuruluşların Tebliğ gerekliliklerinin profesyonellik ve olgunluk seviyeleri dikkate alındığında, yükümlülüklerini yerine getirebilmek adına profesyonel bakış açısıyla ve ciddiyetle ivedi olarak başlaması gerektiği çıkarımını yapmak yanlış olmayacaktır.

5. Son Söz 

Makro ekonomik ve büyük kalkınma planlarının her dönemde sıklıkla yapıldığı ülkemizde ayrıntılı sektör düzenlemeleri aynı sıklıkla görülmese de özellikle FinTech sektörünün gelişimi adına son yıllarda ciddi adımlar atılmaktadır. Bu gelişmelerin asıl nedeni, Z kuşağının finansal faaliyetlerden veya en genelde bankacılık hizmetlerinden beklentileri, finansal teknolojilerin dünya ile kıyaslandığında ülke ekonomisine katkıda büyük potansiyel gücü gibi etkenlerdir.

Halihazırda FinTech sektöründe bayrağı elinde tutan yerleşikler tarafından diğer oyunculara müdahale edici ve dışlayıcı eylemler, düzenleyici ve regülatif çerçeve ve pazarın kendine has birtakım yapısı FinTech’lerin gelişmesinin önündeki asıl engellerdir. Açık bankacılık ve servis modeli bankacılığı gibi, paydaşların veya hizmet sağlayıcıların birbirlerinin hizmetlerini kullanmaktan öte “ikame” dahi edebilmesi, bu gelişmeyi ileri götürecek düzenlemelerdir. 

Bu kapsamda gelişime yönelik belirleyici referans kriteri, etki temelli bir tüketici zararı doğmasıdır. İzleyen dönemde ise içinde bulunduğumuz dönemde gündemde olmasa da teknoloji şirketlerinin daha müşteri ve teknoloji odaklı yaklaşımla finansal hizmetler sunduğu bir dünya olan Tech-Fin daha çok konuşulacaktır.

Kaynak: GRC Legal