Haberler

Av. Ahmet Karaca Yazıları

Av. Ahmet Karaca Yazarın Profili >
Av. Ahmet Karaca

Yeni MASAK düzenlemesi: Banka ve kripto sektöründe yabancılara uzaktan kimlik tespiti

29.06.2026 01:06
Haber Detay Image

Yabancılar Türkiye'de uzaktan hesap açabilir mi? MASAK düzenlemesi ne getirdi?

Türkiye'de bir bankaya, ödeme kuruluşuna ya da kripto platformuna uzaktan müşteri olmak, yıllarca yalnızca Türk vatandaşlarına açık bir kapıydı. 27 Haziran 2026 tarihli ve 33293 sayılı Resmî Gazete'de yayımlanan MASAK düzenlemesiyle bu kapı, Türk uyruklu olmayan gerçek kişilere de aralandı. Artık bir yabancı, çipli pasaportuyla ve görüntülü görüşmeyle, ülkeye hiç ayak basmadan uzaktan kimlik tespiti yoluyla müşteri olabiliyor.

Ama hemen şunu eklemek gerekiyor: Bu kapı sonuna kadar açılmış değil. Düzenleme, kolaylığı getirirken yanına sıkı bir güvenlik çerçevesi de örmüş durumda. Bu yöntemle edinilen her müşteri "yüksek risk grubunda" değerlendiriliyor; çipli pasaport doğrulaması zorunlu, adres teyidi şart, riskli ülke vatandaşları kapsam dışı ve para hareketleri ciddi biçimde sınırlandırılmış.

Peki bu değişiklik tam olarak ne anlama geliyor, kimleri ilgilendiriyor ve neden tam da bu dönemde geldi? Mali suçlarla mücadele ve finansal regülasyon alanında çalışan bir avukat olarak, düzenlemenin satır aralarını ve pratikteki yansımalarını adım adım açmak istiyorum.

27 Haziran 2026 düzenlemesi neyi değiştirdi?

Özün özü şu: Hazine ve Maliye Bakanlığı, 2021'den beri yürürlükte olan MASAK Genel Tebliği'ne (Sıra No: 19) yeni bir madde ekledi. 32 sıra numaralı bu değişiklik tebliğiyle gelen 4/C maddesi, yükümlülere —yani bankalara, finansal kuruluşlara, kripto varlık hizmet sağlayıcılarına— Türk uyruklu olmayan gerçek kişilerin kimliğini uzaktan tespit etme yetkisi tanıyor. Tüm bu mimarinin dayanağı ise yıllardır mali sistemin omurgasını oluşturan 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun.

Buradaki kritik şart, pasaportun cinsi. Herhangi bir pasaport değil; Uluslararası Sivil Havacılık Teşkilatı'nın (ICAO) 9303 sayılı standardına uygun, yakın alan iletişimi (NFC) özelliği taşıyan, yani içinde çip bulunan bir pasaport gerekiyor. Bu çipteki kimlik bilgileriyle pasaportun üzerindeki bilgiler, NFC teknolojisiyle eşleştirilerek doğrulanıyor. Eşleşme sağlanamazsa iş ilişkisi kurulamıyor; sistem daha ilk adımda kapanıyor.

Bu yöntemle kimliği doğrulanan kişi, Tebliğ'in 3. maddesinin birinci fıkrasının (ç) bendi kapsamında "müşteri" sayılıyor. Yani artık mevzuat gözünde, şubeye gelip masaya oturan müşteriyle uzaktan tespit edilen yabancı müşteri aynı statüde değerlendiriliyor.

Neden şimdi? FATF gölgesinde bir adım

Bu düzenlemenin zamanlaması tesadüf değil. Türkiye, kara para aklama ve terörün finansmanıyla mücadeledeki eksiklikler nedeniyle Ekim 2021'de FATF'ın (Mali Eylem Görev Gücü) "gri liste"sine alınmış, yoğun bir reform sürecinin ardından 28 Haziran 2024'te bu listeden çıkmıştı. Ne var ki gri listeden çıkmak, defterin kapanması anlamına gelmiyor.

Türkiye, gri listeden çıkışın ardından FATF'ın beşinci tur değerlendirme sürecine girdi ve bu turun farkı şu: Artık yalnızca mevzuatın kâğıt üzerinde var olup olmadığına değil, sahada etkin biçimde uygulanıp uygulanmadığına bakılıyor. Özellikle banka dışı finansal kuruluşlar, ödeme ve elektronik para şirketleri, fintek girişimleri ve kripto varlık hizmet sağlayıcıları mercek altında.

İşte yeni düzenleme tam da bu gerilim hattının üzerinde duruyor. Bir yanda dijitalleşmenin ve yabancı yatırımcıyı finansal sisteme çekmenin getirdiği kolaylaştırma baskısı; diğer yanda FATF standartlarına uyumun gerektirdiği sıkı denetim. Metni okurken bu iki gücün âdeta her cümlede birbiriyle pazarlık ettiğini görüyorsunuz. Kapı açılıyor, ama eşik bilinçli olarak yüksek tutuluyor.

Uzaktan kimlik tespiti adım adım nasıl işliyor?

Süreç, baştan sona belirli bir disipline bağlanmış. Özetle şöyle ilerliyor:

  1. Eğitimli personel, görüntülü görüşme. Kimlik tespiti, bu konuda özel eğitim almış personel tarafından canlı görüntülü görüşmeyle yapılıyor. Canlılık testi veya fotoğraf karşılaştırması için belirli şartları sağlayan yapay zekâ temelli uygulamalar da kullanılabiliyor; ancak bunlar eğitimli personelin yerini almıyor, ona yalnızca destek oluyor.
  2. Çip doğrulaması (NFC). Pasaportun yongasındaki bilgilerle belge üzerindeki bilgilerin eşleştiği, yakın alan iletişimiyle doğrulanıyor. Doğrulama başarısızsa süreç burada biter.
  3. Görüntü kaydı. Görüşme sırasında hem kişiyi hem de sunduğu pasaportun üzerindeki bilgileri gösteren görüntüler alınıyor.
  4. Adres teyidi (en geç üç ay). Beyan edilen adres; yerleşim yeri belgesi, işlem tarihinden önceki üç ay içinde düzenlenmiş bir elektrik, su veya doğalgaz faturası, bir kamu kurumu belgesi ya da ilgili ülkenin kamuya açık veri tabanları üzerinden, risk bazlı yaklaşımla en geç üç ay içinde teyit edilmek zorunda. Bu teyit tamamlanmadan para transferi de nakit çekim de yapılamıyor.
  5. Teknik verilerin analizi. İşlemin yapıldığı elektronik ortamdan elde edilen IP/port bilgisi, cihaz kimliği, coğrafi konum ve tarayıcı bilgileri gibi veriler, pasaport bilgileriyle birlikte risk temelli olarak değerlendiriliyor. Şüphe doğuran bir durum çıkarsa süreç sonlandırılıyor.
  6. Kendi hesabından ilk transfer. Kimliğin doğrulanması için, müşterinin kendi adına kayıtlı —yurt içinde ya da yurt dışında— bir banka hesabından veya banka/kredi kartından para transferi yapılması zorunlu. Bu transfer ve kontrol, hesaptan başka hiçbir işlem yapılmadan önce tamamlanıyor.

Dikkat ederseniz, her adım bir öncekinin üzerine güvenlik ekliyor. Teknik açıdan bakıldığında buradaki mantık "tek bir doğrulamaya güvenme, katmanla" ilkesine dayanıyor; sektörde çok katmanlı kimlik doğrulama olarak bilinen bu yaklaşım, tek bir sahte belgenin bütün sistemi kandırmasını ciddi biçimde zorlaştırıyor.

"Yüksek risk" damgası: İşin en kritik tarafı

Bu düzenlemede en çok gözden kaçan ama belki de en belirleyici nokta şu: Bu yöntemle edinilen müşteriler otomatik olarak "yüksek risk grubunda" değerlendiriliyor. Yani kolaylık, beraberinde sıkı bir gözetim getiriyor.

Şunu deneyimle söyleyebilirim: Bu "yüksek risk" tanımı sadece kâğıt üzerinde bir etiket değil, somut kısıtlamalar doğuruyor. Düzenleme bu müşteriler için şu sınırları çiziyor:

  • Para girişinde "kendi hesabı" kuralı. Bu yöntemle açılan hesaba, yalnızca kişinin yurt dışında kendi adına açılmış banka hesaplarından para gönderilebiliyor. Başkasının hesabından gelen para kabul edilmiyor.
  • Para çıkışında da aynı kural. Hesaptan yurt dışına çıkış da yine yalnızca kişinin kendi adına açılmış hesaplarına yapılabiliyor. Para, geldiği kanaldan bambaşka bir yere savrulamıyor.
  • Adres teyidi olmadan hareket yok. Adres doğrulanmadan transfer ve nakit çekim mümkün değil.
  • Riskli ülke vatandaşları kapsam dışı. Yükümlüler, kendi risk analizlerinde "riskli" olarak belirledikleri ülkelerin vatandaşlarını bu yöntemle müşteri olarak kabul edemiyor.

Bu kuralların ortak amacı belli: Hesabın bir "aktarma istasyonu" gibi kullanılmasını, yani kara para aklamada sıkça görülen "paranın el değiştirip izini kaybettirmesi" senaryosunu en baştan engellemek. Paranın hep aynı kişinin elinde dönmesini şart koşarak, hesabın bir yıkama makinesine dönüşmesinin önüne geçiliyor.

Kripto borsaları neden bu denklemin içinde?

Düzenlemenin kolayca atlanan ama önemli bir ayrıntısı, 4. maddede saklı. Bu maddeyle, Tebliğ'in 5/A maddesindeki yükümlüler listesine "Kripto Varlık Hizmet Sağlayıcılar" açıkça eklendi. Yani kripto borsaları ve saklama hizmeti veren platformlar da artık bu çerçevenin doğrudan muhatabı.

Bu, boşlukta atılmış bir adım değil. Türkiye, 2024 yılında kripto varlıkları tanımlayan ve hizmet sağlayıcıların kuruluşunu izne bağlayan bir yasal çerçeveyi yürürlüğe koymuştu. FATF'ın da en çok üzerinde durduğu alanlardan biri kripto varlıklar. Dolayısıyla yabancı kullanıcıların kimlik tespitiyle kripto platformlarının yükümlülüklerinin aynı tebliğde buluşması, parçaların yerli yerine oturduğu bir tablo.

Pratikte bu şu demek: Yurt dışından bir kullanıcının Türk bir kripto platformuna uzaktan müşteri olması artık mümkün; ancak bu, bankalardakiyle aynı sıkı kimlik tespiti ve risk yönetimi kurallarına tabi. Kriptonun "Kuralsız bölge" olduğu algısı, en azından kimlik tespiti tarafında, çoktan geride kaldı.

Yükümlüler için yeni sorumluluklar

Madalyonun bir yüzü yabancı müşteriyse, diğer yüzü bu hizmeti sunacak kurumlar. Düzenleme, yükümlülere hatırı sayılır bir sorumluluk yükü getiriyor.

Yükümlü kurumlara uyum (compliance) tarafında danışmanlık veren bir hukukçu olarak, bu süreçte en sık karşılaştığımız soru şu oluyor: "Bu yöntemi kullanmaya başlamak için ne yapmamız gerekiyor?" Düzenlemenin cevabı net:

  • Uygulama rehberi. Yükümlüler; risklerin tanımlanması, derecelendirilmesi, izlenmesi ve azaltılması için bir uygulama rehberi oluşturmak zorunda. Bu rehber, kurum içi politika ve prosedürlere de işlenecek.
  • Bir aylık bildirim. Müşteri kabulüne başlanmasından itibaren bir ay içinde, alınan tedbirler ve hazırlanan rehberler hakkında MASAK Başkanlığı'na bildirim yapılması gerekiyor.
  • Üç aylık raporlama. Bu kapsamda kabul edilen müşterilere ilişkin istatistiki bilgiler, takvim yılı esas alınarak her üç aylık dönemin son ayında Başkanlığa gönderiliyor.
  • Statü değişirse güncelleme. Pasaportla kimliği tespit edilen kişi sonradan Türk vatandaşlığı kazanır ya da Türkiye'de vergi mükellefi olursa, kimlik kartı örneği veya vergi kimlik numarası elektronik ortamda alınıp müşteri kaydıyla ilişkilendiriliyor.

Bu yükümlülükler gösteriyor ki düzenleme, kurumlara "serbestsiniz" demiyor; "sorumluluğu da üstlenerek serbestsiniz" diyor. Uyum departmanları için bu, ciddi bir hazırlık ve dokümantasyon süreci anlamına geliyor. Hesap açmanın kolaylaştığı yerde denetimin de o oranda ağırlaştığını söylemek yanlış olmaz.

Sık sorulan sorular

Yabancı bir kişi Türkiye'ye gelmeden banka hesabı açabilir mi? Evet. 27 Haziran 2026'dan itibaren, çipli (NFC özellikli) ve ICAO 9303 standardına uygun pasaportu olan, Türk uyruklu olmayan gerçek kişiler, görüntülü görüşmeyle uzaktan kimlik tespiti yaptırarak müşteri olabiliyor. Ancak yükümlü kurumun bu yöntemi uygulamaya başlamış olması ve kişinin riskli ülke vatandaşı olmaması gerekiyor.

Her pasaport bu işlem için geçerli mi? Hayır. Yalnızca yakın alan iletişimi (NFC) özelliği taşıyan, yani çipli ve ICAO 9303 standardına uygun pasaportlar kabul ediliyor. Çip doğrulaması yapılamayan bir pasaportla uzaktan iş ilişkisi kurulamıyor.

Hesap açıldıktan sonra hemen para çekebilir miyim? Hayır. Adres teyidi tamamlanmadan para transferi ve nakit çekim yapılamıyor. Ayrıca hesaba para girişi yalnızca kişinin yurt dışında kendi adına açılmış hesaplarından, çıkış da yine yalnızca kendi hesaplarına yapılabiliyor.

Bu yöntemle açılan hesaplar neden "yüksek risk" sayılıyor? Yüz yüze olmayan, uzaktan bir tespit söz konusu olduğu için, suistimal ihtimaline karşı bu müşteriler yüksek risk grubunda izleniyor. Bu, daha sıkı kontrol ve sınırlamalar anlamına geliyor; kişinin kötü niyetli olduğu varsayımı değil, sürecin doğası gereği alınan bir tedbir.

Kripto platformları da bu kapsamda mı? Evet. Düzenlemeyle kripto varlık hizmet sağlayıcıları açıkça yükümlüler arasına eklendi. Yani Türk kripto platformlarına uzaktan yabancı müşteri kabulü, bankalardakiyle benzer kurallara tabi.

Düzenleme ne zaman yürürlüğe girdi? 27 Haziran 2026 tarihinde, Resmî Gazete'de yayımlandığı gün yürürlüğe girdi.

Kapanış: kolaylık geldi, ama kontrol elden bırakılmadı

Bu düzenleme, Türkiye'nin finansal sistemini yabancı gerçek kişilere uzaktan açan önemli bir eşik. Ama altını çizmek gerek: Bu açılım bir "gevşeme" değil; tam tersine, kontrolü elinde tutarak kolaylaştırma çabasının ürünü. FATF'ın beşinci tur değerlendirmesini yürüttüğü, kripto ve dijital finansın mercek altında olduğu bir dönemde gelmesi de bunu doğruluyor.

Yabancı yatırımcı ve kullanıcı için kapı aralandı; ancak içeri girerken pasaportun çipinden adresin teyidine kadar her şeyin yerli yerinde olması gerekiyor. Kurumlar içinse asıl iş, bu kapıyı açtıktan sonra arkasındaki denetim mekanizmasını kusursuz işletmekte. Çünkü mali suçlarla mücadelede eski bir ilke hâlâ geçerli: Güven iyidir, kontrol daha iyidir.

Hem yabancı müşterilere hem de yükümlü kurumlara önerim aynı: Kolaylığa kapılıp kuralları es geçmeyin. Zira bu alanda en pahalı hata, çoğu zaman en ucuz görünen kestirmeden geçer.

Avukat Ahmet Karaca

- Av. Ahmet Karaca; Bilişim hukuku, yapay zeka hukuku, kripto varlık hukuku, siber suçlar ve kripto dolandırıcılık suçları alanlarında ihtisaslaşmış multidisipliner bir teknoloji hukukçusudur.

Yazarın Tüm Yazıları

Tether Kripto Cüzdanını Nasıl Dondurur? USDT Bloke-Blacklist ve Türk Hukuku

Tether Kripto Cüzdanını Nasıl Dondurur? USDT..

USDT'm Neden Donduruldu? Tether Blacklist ve USDT Tether Kripto Blokeleri Cüzdanınızdaki USDT bir sabah kıpırdamıyorsa, paranız "kaybolmadı" —..

Devamını Oku
Kripto P2P Davalarında Sık Karşılaşılan Suçlamalar ve Cezalar | Av. Ahmet KARACA

Kripto P2P Davalarında Sık Karşılaşılan..

Bir sabah uyanıyorsunuz; banka hesabınız bloke, üstelik hakkınızda soruşturma var. Oysa yaptığınız tek şey, birkaç gün önce borsanın P2P ekranında..

Devamını Oku
Banka ve Kripto hesap blokelerinde CMK 128/A sebepleri ve çözümleri | 2026 Av. Ahmet Karaca

Banka ve Kripto hesap blokelerinde CMK 128/A..

Bilişim suçlarının işlenmesi suretiyle elde edilen menfaatin bulunduğu hesabın askıya alınması ve elkoyma MADDE 128/A- (Ek:24/12/2025-7571/22..

Devamını Oku
Tüm Yazıları
Hakan Çalhanoğlu'na bir kötü haber de kulübü Inter'den

Hakan Çalhanoğlu'na bir kötü haber de kulübü Inter'den
Sosyal medya hesabından paylaştı! Lewandowski, Türkiye'de

Sosyal medya hesabından paylaştı! Lewandowski, Türkiye'de
Kürt rapçi Serhado, Diyarbakır'da konser verdi

Kürt rapçi Serhado, Diyarbakır'da konser verdi
Dünyaca ünlü yıldızdan kötü haber: 10-12 ay sahalardan uzak kalacak

Dünyaca ünlü yıldızdan kötü haber: 10-12 ay sahalardan uzak kalacak
İsrail’in skandal '1915 olayları' kararına Dışişleri Bakanlığından sert tepki geldi

İsrail’in skandal '1915 olayları' kararına Dışişleri Bakanlığından sert tepki geldi
Fenerbahçelileri korkutan an: Antrenmanı tamamlayamadı

Fenerbahçelileri korkutan an: Antrenmanı tamamlayamadı