KYC/KYB ve Hukuk – AB ve Küresel Düzenlemeler

Giriş

Müşterini Tanı (KYC) ve İşletmeni Tanı (KYB) yükümlülükleri, küresel ölçekte kara para aklama (AML) ve terörün finansmanının önlenmesi (CTF) düzenlemelerinin temelini oluşturur.
Bu yükümlülükler, hem gerçek kişilerin kimliğinin hem de tüzel kişiliklerin mülkiyet ve kontrol yapılarının (nihai faydalanıcılar dahil, Ultimate Beneficial Owners – UBOs) doğrulanmasını zorunlu kılar.
Amaç, finansal veya dijital hizmetlere erişimde anonimliği ortadan kaldırmak ve kuruluşların müşterilerini ve ilişki amacını tam olarak anlamalarını sağlamaktır.

Küresel standart belirleyici kurum Mali Eylem Görev Gücü (FATF)’dır. FATF Tavsiye 10, müşteri tanıma (CDD) ve faydalanıcı sahipliğinin belirlenmesi ilkelerini tanımlar¹.

1. AB’de KYC/KYB Hukuki Çerçevesi

1.1 Kara Para Aklama Direktifleri (AMLD4–6)

AB’nin temel mevzuatları:

• Direktif (AB) 2015/849 (AMLD4) – KYC/CDD yükümlülüklerini tanımlar²,

• Direktif (AB) 2018/843 (AMLD5) – kapsamı kripto hizmet sağlayıcılarıyla genişletir³,

• Direktif (AB) 2018/1673 (AMLD6) – tüzel kişilerin cezai sorumluluğunu uyumlaştırır⁴.

AMLD4 Madde 13(1) uyarınca yükümlü kuruluşlar:

1. müşterinin kimliğini tanımlamalı ve bağımsız kaynaklardan doğrulamalı,

2. nihai faydalanıcıyı (UBO) belirlemeli,

3. iş ilişkisinin amacı ve niteliği hakkında bilgi edinmeli,

4. işlemleri sürekli izlemelidir².

Madde 30, her Üye Devletin nihai faydalanıcı sicilleri oluşturmasını öngörür².
ABAD’ın 22 Kasım 2022 tarihli kararı (Birleştirilmiş Davalar C-37/20 ve C-601/20), veri koruma gerekçeleriyle bu sicillere kamu erişimini sınırlamıştır⁵.

AMLD5, kapsamı genişleterek:

• kripto para borsalarını ve cüzdan hizmet sağlayıcılarını,

• anonim ön ödemeli araçları sınırlamış,

• yüksek riskli üçüncü ülkelerle işlemler için ek önlemler getirmiştir³.

AMLD6, kara para aklama suçunun tanımını netleştirmiş ve tüzel kişilerin sorumluluğunu güçlendirmiştir⁴.

1.2 Yeni AB AML Paketi ve AMLA

Yeni AB Kara Para Aklama Tüzüğü (AML Regulation), doğrudan uygulanabilir olacak ve ulusal farklılıkları ortadan kaldıracaktır.
Yeni kurulacak AB Kara Para Aklama Otoritesi (AMLA), yüksek riskli kuruluşlar üzerinde merkezi denetim yetkisine sahip olacaktır⁶.

1.3 GDPR ve Veri Koruma

Tüm KYC/KYB işlemleri Genel Veri Koruma Tüzüğü (GDPR)’ye uygun olmalıdır⁷.
Madde 6(1)(c) uyarınca veri işleme hukuki yükümlülük temelindedir.
Madde 5, veri minimizasyonu ve saklama süresi sınırlaması ilkelerini getirir.
AMLD4 Madde 40, verilerin en az 5 yıl saklanmasını zorunlu kılar (gerekirse 10 yıla uzatılabilir)².

1.4 Kripto, “Travel Rule” ve MiCA

AB, FATF’nin “Travel Rule” ilkesini hem fon hem de kripto transferlerine uyarlamıştır⁸.
Bu kapsamda, ödeme ve kripto varlık hizmet sağlayıcıları, gönderen ve alıcı bilgilerini aktarmak zorundadır.
MiCA (Markets in Crypto-Assets) Tüzüğü, kripto kuruluşlarına yönelik lisanslama ve tüketici koruma hükümleri getirir⁹.

1.5 AB’de Kapsam Altındaki Sektörler

AMLD4 Madde 2(1) uyarınca KYC/KYB yükümlülüğü aşağıdaki sektörlerde geçerlidir:

• kredi ve finans kuruluşları,

• denetçiler, muhasebeciler, vergi danışmanları,

• noterler ve bağımsız hukukçular,

• tröst ve şirket hizmet sağlayıcıları,

• emlak danışmanları,

• kumarhaneler,

• nakit işlemlerde 10.000 € ve üzeri tutarlarda mal ticareti yapanlar,

• ve AMLD5 ile birlikte – kripto varlık hizmet sağlayıcıları (VASP)²³.

Ayrıca bazı ülkelerde telekomünikasyon operatörleri (SIM kaydı), e-ticaret platformları (örneğin DAC7) ve lüks mal satıcıları da kapsama alınmıştır.

2. Dijital Kimlik, eIDAS ve ETSI Standartları

eIDAS Tüzüğü (AB No 910/2014), elektronik kimliklerin karşılıklı tanınması ve güvenilir hizmetler (nitelikli e-imzalar, mühürler vb.) için yasal çerçeveyi oluşturur¹⁰.
Bu sayede yüksek güven düzeyine sahip bir eID kullanıldığında, sınır ötesi KYC yapılabilir.

eIDAS 2.0, Avrupa Dijital Kimlik Cüzdanını getirerek doğrulanmış kimlik bilgilerinin tek adımda paylaşılmasını sağlayacaktır¹¹.

Teknik standartlar:

• ETSI EN 319 401 – güven hizmeti sağlayıcıları için genel güvenlik gereklilikleri,

• ETSI TS 119 461 – uzaktan kimlik doğrulama ve video tanıma standartları¹².

Bu ETSI standartları, uzaktan müşteri edinimi için regülatörlerce kabul görmektedir.

3. AB Dışındaki Ülkeler

3.1 Amerika Birleşik Devletleri

ABD’de sistem şu mevzuatlara dayanır:

• Bank Secrecy Act (BSA), 31 U.S.C. §5311 ve devamı¹³,

• USA PATRIOT Act (2001), Başlık III¹⁴,

• FinCEN Customer Identification Program (CIP) Kuralı, 31 CFR §1020.220¹⁵,

• FinCEN Customer Due Diligence (CDD) Kuralı, 31 CFR §1010.230¹⁶.

Bankalar, hesap açmadan önce isim, doğum tarihi, adres ve vergi numarasını toplamak ve doğrulamak zorundadır.
Tüzel kişiler için %25 ve üzeri ortaklık payına sahip UBO’lar belirlenmelidir.
Corporate Transparency Act (CTA), ulusal bir faydalanıcı sicili oluşturur¹⁷.

3.2 Birleşik Krallık

• Proceeds of Crime Act 2002,

• Money Laundering Regulations 2017 (MLR), 2019–2020 değişiklikleriyle birlikte¹⁸.
  FCA, uzaktan kimlik doğrulama ve biyometrik yöntemler konusunda rehberlik yayınlamaktadır.
  Economic Crime Act 2022, yabancı mülk sahipleri için kayıt sistemi getirmiştir.

3.3 İsviçre

• Kara Para Aklamayı Önleme Yasası (AMLA)¹⁹,

• FINMA AML Yönetmeliği (OBA-FINMA).

Kurallar:

• sözleşme tarafının kimliği belirlenir,

• faydalanıcı sahip tespit edilir,

• veriler 10 yıl saklanır,

• şüpheli işlemler MROS’a bildirilir.
  İsviçre, FATF’nin “Travel Rule” kuralını kripto işlemlerine de uygular¹.

3.4 Kanada

• Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA)²⁰,

• denetçi kurum: FINTRAC.
  KYC, bankalar, ödeme hizmet sağlayıcıları, kumarhaneler ve kripto platformları için zorunludur.
  Uzaktan kimlik doğrulama mümkündür (örneğin Verified.Me).
  Veri koruma, PIPEDA kapsamında düzenlenir²¹.

3.5 Avustralya

• Anti-Money Laundering and Counter-Terrorism Financing Act 2006²²,

• denetçi kurum: AUSTRAC.
  10.000 AUD üzerindeki işlemler raporlanmalıdır.
  Kötü uygulamalar ciddi cezalar doğurur — örneğin Westpac, 2020 yılında 1,3 milyar AUD ceza almıştır.

3.6 Singapur

• MAS Notice 626²³.
  Her müşteri ve faydalanıcı kimliği doğrulanmalıdır.
  SingPass sistemi, dijital kimlik doğrulamasında kullanılmaktadır.
  Şüpheli işlemler STRO’ya bildirilir.

4. Karşılaştırmalı Analiz

5. Teknoloji ve Uzaktan Müşteri Edinimi

Düzenleyiciler artık uzaktan KYC uygulamalarını kabul etmektedir, ancak şu koşullarla:

1. yöntem, yüz yüze doğrulama ile aynı güven düzeyini sağlamalı,

2. veri işleme güvenli ve GDPR uyumlu olmalı,

3. süreç izlenebilir ve denetlenebilir olmalıdır.

ETSI TS 119 461 sertifikalı çözümler, AB’de AML uyumluluğu için referans kabul edilmektedir.
API tabanlı KYC ve biyometrik kimlik doğrulama artık dünya çapında standart hale gelmiştir.

6. Finans Dışı Sektörler

KYC/KYB yükümlülükleri şu sektörlere de genişlemiştir:

• kripto hizmet sağlayıcıları (VASP),

• sigorta,

• şans oyunları ve bahis,

• emlak sektörü,

• hukuk, muhasebe ve danışmanlık,

• lüks mal satıcıları,

• telekomünikasyon ve çevrim içi platformlar (ör. DAC7).

FATF’ye göre kara para aklama riski sadece bankalarla sınırlı değildir¹.

7. Maliyet ve Etkinlik

Araştırmalara göre (ör. Fenergo, Thomson Reuters):

• büyük finans kurumları yılda 15–30 milyon USD KYC maliyetine katlanmaktadır,

• kurumsal müşteri edinimi ortalama 2–5 ay sürmektedir,

• dünya genelinde küresel GSYİH’nin %2–5’i kara para aklama faaliyetlerinden kaynaklanmaktadır²⁴²⁵.

Mevzuat gelişmiş olsa da veri paylaşımı ve uluslararası iş birliği konularında daha fazla standardizasyon gereklidir.

8. Sonuç

• AB, ABD, Birleşik Krallık, İsviçre, Kanada, Avustralya ve Singapur’daki KYC/KYB düzenlemeleri FATF standartlarıyla büyük ölçüde uyumludur.

• AB öne çıkmaktadır:

  1. kapsamlı sektör uygulaması,

  2. dijital kimlik entegrasyonu (eIDAS),

  3. güçlü veri koruma (GDPR),

  4. merkezi denetim otoritesi (AMLA).

• AB dışındaki ülkeler, katı uygulama (ABD, Avustralya, Singapur) ve dijital kimlik (Singapur) konularında öndedir.

• Küresel eğilim nettir: anonimliğe son, daha fazla şeffaflık, dijital doğrulama ve otomasyon.

Düzenleyicilerin hedefi, etkin KYC/KYB kontrollerini sağlarken işletmeler ve müşteriler için aşırı yük oluşturmayacak bir denge kurmaktır.

Ücretsiz çevrimiçi KYC/KYB danışmanlığı sipariş edin

Kaynaklar / Dipnotlar

Czy chcesz, żebym teraz przygotował francuską wersję tego artykułu w tym samym stylu (z przypisami i formatowaniem)?

Footnotes

1. FATF, International Standards on Combating Money Laundering and the Financing of Terrorism, Tavsiye 10, 11, 24 (2023). ↩ ↩² ↩³

2. Direktif (AB) 2015/849 (AMLD4), OJ L 141/73, 5.6.2015. ↩ ↩² ↩³ ↩⁴ ↩⁵

3. Direktif (AB) 2018/843 (AMLD5), OJ L 156/43, 19.6.2018. ↩ ↩² ↩³

4. Direktif (AB) 2018/1673 (AMLD6), OJ L 284/22, 12.11.2018. ↩ ↩²

5. ABAD, Birleştirilmiş Davalar C-37/20 ve C-601/20, 22 Kasım 2022. ↩

6. Anti-Money Laundering Authority (AMLA) Tüzük Teklifi, COM(2021) 421 final. ↩

7. Genel Veri Koruma Tüzüğü (GDPR), (AB) 2016/679, OJ L 119/1, 4.5.2016. ↩

8. Tüzük (AB) 2023/1113, fon ve kripto transferlerine ilişkin bilgiler (TFR). ↩

9. Tüzük (AB) 2023/1114 – Markets in Crypto-Assets (MiCA). ↩

10. Tüzük (AB) No 910/2014 (eIDAS). ↩

11. eIDAS 2.0 Tüzük Teklifi, COM(2021) 281 final. ↩

12. ETSI TS 119 461:2021; ETSI EN 319 401:2019. ↩

13. Bank Secrecy Act (31 U.S.C. §5311 vd.). ↩

14. USA PATRIOT Act, Pub. L. No. 107–56 (2001). ↩

15. FinCEN Rule, 31 CFR §1020.220 – Customer Identification Program. ↩

16. FinCEN Rule, 31 CFR §1010.230 – Customer Due Diligence. ↩

17. Corporate Transparency Act, 31 U.S.C. §5336 (2021). ↩

18. Money Laundering, Terrorist Financing and Transfer of Funds Regulations 2017 (Birleşik Krallık). ↩

19. Federal Act on Combating Money Laundering and Terrorist Financing (AMLA), SR 955.0 (İsviçre). ↩

20. Proceeds of Crime (Money Laundering) and Terrorist Financing Act (PCMLTFA), Kanada, 2000. ↩

21. PIPEDA, Kanada. ↩

22. Anti-Money Laundering and Counter-Terrorism Financing Act 2006, Avustralya. ↩

23. Monetary Authority of Singapore (MAS) Notice 626, 2020. ↩

24. UNODC, Money Laundering Estimates, 2023. ↩

25. Fenergo, Global KYC/Onboarding Report 2022. ↩

Ücretsiz çevrimiçi KYC/KYB danışmanlığı sipariş edin