Hukuk ve Dijital Dönüşüm Danışmanı Avukat Yunus Emre Berk ile Hukuk ve Dijital Dönüşüm Danışmanı Avukat Oğuzhan Kundak Fintechtime Eylül sayısı için yazdı “Batı Cephesinde Yeni Bir Şey Var”.
Bugün yürürlükte olan PSD2’nin ülkemizin ödeme hizmetleri mevzuatına ne kadar yol gösterdiği ortadayken, oldukça dikkat çekici değişiklikleri ve bu yazıda açıklayacağımız yenilikleri içeren bu öneri paketinin Avrupa Birliği kadar ülkemizi de yakından ilgilendirdiğini söylersek abartmamış oluruz. Avrupa Birliği ödeme hizmetleri mevzuatını değiştirerek hayatımıza girmesi beklenen yeni düzenlemelerin neler getireceğini değerlendirmeden hem Avrupa Birliği’nin hem de dolayısıyla ülkemizin ödeme hizmetleri mevzuatının bugüne dek kat ettiği yolu gelin beraber inceleyelim.
Gergin Dünya gündeminden dolayı başlığı görüp de yeni bir savaş başladı sanılmasın. Sadece Avrupa Birliği’nde finansal teknolojiler dünyasında, özellikle de dijital suçlulara ve dolandırıcılara karşı daha sağlam bir cephe oluşturmak amacıyla ciddi gelişmeler söz konusu. Bu amaca yönelik olarak 28 Haziran 2023 tarihinde Avrupa Komisyonu, Avrupa Birliği’nde ödeme hizmetleri sektörünün temel mevzuatı Payment Services Directive 2 (“PSD2”)’nin güncellenmesi amacıyla da öneriler içeren “Finansal Veri Erişimi ve Ödemeler Paketi” başlıklı mevzuat önerilerini yayımladı. Hemen söyleyelim bu paket sadece PSD2’nin güncellenmesine dair hükümlerin çok daha ötesini barındırıyor.
Bugün yürürlükte olan PSD2’nin ülkemizin ödeme hizmetleri mevzuatına ne kadar yol gösterdiği ortadayken, oldukça dikkat çekici değişiklikleri ve bu yazıda açıklayacağımız yenilikleri içeren bu öneri paketinin Avrupa Birliği kadar ülkemizi de yakından ilgilendirdiğini söylersek abartmamış oluruz. Avrupa Birliği ödeme hizmetleri mevzuatını değiştirerek hayatımıza girmesi beklenen yeni düzenlemelerin neler getireceğini değerlendirmeden hem Avrupa Birliği’nin hem de dolayısıyla ülkemizin ödeme hizmetleri mevzuatının bugüne dek kat ettiği yolu gelin beraber inceleyelim.
PSD1 & PSD2 Ne Zaman Geldi, Ne Getirdi?
PSD1, Avrupa Birliği’nde 2009’da yılında yürürlüğe girdi ve aslında dört önemli amacı bulunmaktaydı. Bunlar; Avrupa Birliği’nde yeknesak bir ödeme hizmetleri mevzuatı oluşturmak, ödeme hizmetleri pazarının çerçevesini belirmek, Avrupa Birliği sınırları içerisinde düzenlediği pazarda rekabeti tesis ederek, hizmet kalitesi standardını belirlemek ve de en önemlisi e-ticaret tüketicilerini korumaktı. Özetle, PSD1 ile Avrupa Birliği’nde ödeme hizmetlerinin banka dışı hizmet sağlayıcıları tarafından da gerçekleştirilebilmesi için tüketiciler ile hizmet sağlayıcılar arasında köprü inşa etti. PSD kısmını anladık da peki “1, 2, 3” gibi numaralar nereden geliyor derseniz; PSD olarak ilk kez yürürlüğe giren düzenleme, 2015 yılında revize edildiğinde yeni metin PSD2 olarak anıldığı için, ilk PSD de PSD1 olarak anılmaya başlanmış ve akabinde gelen tüm düzenlemeler de takip eden numaraları almıştır.
PSD2’ye gelecek olursak; 12.01.2016’de yürürlüğe giren PSD2’nin, PSD1’in daha geliştirilmiş ve kapsama alanı arttırılmış yeni bir versiyonu olduğunu söyleyebiliriz. PSD2 ile Avrupa Birliği, ödeme hizmetleri pazarını büyütüp daha rekabetçi bir pazar oluşturmayı hedeflerken, tüketiciler ve işletmeciler yönünden ödeme hizmetlerini daha güvenli hale getirmeyi ve her iki tarafın da siber güvenliğini arttırmayı hedefledi. Bu kapsamda PSD2 ile özellikle servis sağlayıcı finansal teknoloji şirketleri önündeki bazı engeller azaltıldı ve ödeme hizmetleri sektörünün büyümesi ile pazarda rekabetinin artmasının önü açıldı. Buna ek olarak PSD2, PSD1 ile hayata geçen hali hazırdaki elektronik ödeme uygulamalarına standartlar getirilip, yeni kurallar belirlendi. PSD2 ile Avrupa Birliği ödeme hizmetleri mevzuatına birçok kavram girmekle beraber PSD2’nin en büyük yeniliğinin (ya da en azından en fazla etki yaratan) bankaların ödeme hizmetlerini API’lar (Application Programming Interface) yoluyla üçüncü partilere de açmasının zorunlu hale getirilmesi olduğunu söyleyebiliriz. Böylece “açık bankacılık” kavramı da doğmuş oldu. PSD2 ile getirilen açık bankacılık sistemiyle ödeme hizmet sağlayıcı finansal teknoloji şirketlerinin, müşterilerin onayı ile çeşitli bankalarda bulunan hesap bilgilerine erişimine ve bu hesaplarla ilgili müşterilerin ödeme işlemi başlatabilmelerine imkan tanınmış ve ödeme hizmetleri pazarına bankaların “zorunlu” olarak dahil olması/katkı sağlaması ve bankalar ile finansal teknoloji şirketleri arasındaki rekabetin finansal teknoloji şirketleri lehine hareketlenmesi amaçlandı.
Diğer yandan PSD2, bankalar dahil tüm ödeme hizmeti sağlayıcıları tarafından uygulanacak gelişmiş güvenlik önlemlerini düzenlendi. Gerçekten de PSD2 ile ödeme hizmeti sağlayıcılarının elektronik ödeme işlemleri için güçlü müşteri kimlik doğrulaması (Strong Customer Authentication) uygulaması kurması zorunlu hale gelmiş ve işlem güvenliğinde büyük bir adım atılmış oldu.
Bunun yanında ülkemizde de sansasyonel uygulamaları olan, “ticari mümessil”, namı-ı diğer “Pazar Yeri” muafiyeti istisna görüş başvurularının kaynağı da yine PSD düzenlemeleriydi. 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“6493 sayılı Kanun”)’un 12/2.b maddesiyle düzenlenen ve ödeme hizmetinin alıcı ya da satıcı adına mal/hizmet pazarlığı amacıyla yapılması olarak ifade edilen bu istisnai uygulama; PSD1’de her iki tarafa yönelik bu faaliyette bulunabilmeye imkan tanınırken, PSD2 ile yalnızca satıcı ile, onun adına hareket eden bir “commercial agent” yani bizim hukukumuzda ki daha doğru tanımla, “acentelik” ya da “simsarlık” benzeri bir ticari ilişki kurulmasına izin verildi. PSD3’de de yorum ve uygulama bu şekilde olacaktır. Türk Hukuku’nda da Merkez Bankası’nın yaklaşımı bu şekilde olmakla birlikte, mehazdan farklı olarak Merkez Bankası’na, belirli bir ciroyu aşan pazar yerleri için yıllık raporlama zorunluluğuna ek olarak bu yönde ciddi bir takdir ve gerekli gördüğü durumda faaliyetin lisansa tabi olmasına karar verme yetkisi tanınmıştır.
Son olarak, PSD2 ile ödeme hizmetlerine ilişkin direktifin uygulamasının sınır dışına etki etmesi diğer bir ifadeyle bir ucu Avrupa dışında olan ödeme işlemlerinin de PSD2 kapsamına dahil edilmesi sağlandı.
Avrupa Birliği müktesebatı ve üye ülkelerin uygulamaları birlikte değerlendirilerek, Türk hukukunda 6493 sayılı Kanun ile PSD1’e paralel olarak ödeme hizmeti sağlayıcısı ve ödeme sistemlerinin kurulması ve benzeri yenilikçi girişimlere imkân tanındı. Bu düzenlemelerin doğrudan PSD1’e karşılık geldiğini söylersek mübalağa etmemiş oluruz.
Yine giren PSD2’de yer alan mevzuat güncellemeleri de biraz rötarla olsa da 7192 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile Bazı Kanunlarda Değişiklik Yapılmasına Dair Kanun ile 22.11.2019 tarihli ve 30956 sayılı Resmi Gazete’de yayımlanarak, 2020 Ocak ayında yürürlüğe girdi. Sonrasında 6493 sayılı Kanun’un uygulamasıyla ilgili 1 Aralık 2021 yılının sonunda yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik başta olmak üzere ikincil mevzuat ile ülkemiz ödeme hizmetleri mevzuatının mehaz Avrupa Birliği müktesebatı ile neredeyse tam bir uyuma kavuştuğunu söyleyebiliriz.
Ezcümle, PSD1 ve PSD2’nin Türk hukukuna doğrudan etkisi oldu ve bu düzenlemeler ülkemiz için adeta yol gösterici oldu.
Finansal Veri Erişimi ve Ödemeler Paketi Neleri İçeriyor?
Finansal Veri Erişimi ve Ödemeler Paketi’nde PSD3’den çok daha fazlası bulunduğunu belirterek başlamamız gerekmektedir. Komisyon, bu paketin bir “devrim” değil, mevcut düzenlemelerin amacına uygun, dijitalleşen dünyayla daha uyumlu ve tüketiciler için ortaya çıkan güncel riskler ve fırsatları gözeten “evrim” niteliğinde olduğunun altını çiziyor. Paketin içerisinden 3 önemli düzenleme çıktığını söyleyebiliriz:
- Payment Services Regulation (“PSR”): Bilindiği üzere Avrupa Birliği’nde “Directive” dediğimiz düzenlemeler üye devletlerin ulusal hukuklarında doğrudan uygulanmamakta, üye devletler bu yasa metinlerini kendi hukuklarıyla uyumlu olacak şekilde uygun hukuk normlarıyla iç hukuklarına entegre etmektedir. Bu durum da bazı yasa metinlerinin ülkeden ülkeye farklı yorumlanmasına ve farklı düzenlenmesine neden olabilmektedir. Avrupa Komisyonu da öncelikle bunun önüne geçmek ve Avrupa Birliği’nde yeknesak bir ödeme hizmeti düzenlemesi olması amacıyla hali hazırda PSD2’de bulunan ödeme hizmetleriyle ilgili temel hak ve kuralların PSD2’den çıkarılarak PSR’da düzenlenmesini öngörmüştür.
- Payment Services Directive3 (“PSD3”): Bilindiği üzere Avrupa Birliği’nde elektronik para hizmetleri PSD2 ile değil farklı bir mevzuat olan E-Money Directive 2 ile düzenleniyor. Açıklanan pakete göre, artık elektronik para hizmetleri de ödeme hizmetlerinin bir alt kategorisi olarak PSD3’de düzenlenecek gibi gözüküyor. Böylece PSD3 içerisinden ödeme hizmetlerine yönelik temel hak ve yükümlülükler çıkartılarak PSR metni içerisine girerken, elektronik para mevzuatı, elektronik para ve ödeme kuruluşlarının lisans/yetki süreçleri ve yine ödeme hizmetlerine ilişkin birçok detay hususun PSD3 içerisinde düzenlenmesi öngörülmüştür.
- Financial Data Access (FIDA): Avrupa Komisyonu 28 Haziran’da yeni Finansal Veri Erişim prensiplerine yönelik yaklaşımlarını da açıkladı. Yürürlüğe girdiği zaman açık bankacılığa dair veri paylaşım sorumluluklarını ve kapsamına genişletecek olan bu düzenleme, tüm finansal verileri paylaşım imkanı sağlayacağı için, Avrupa Birliği açık finans sisteminin belkemiği olacaktır.
Batı Cephesindeki Yenilikler Sonrası Bizi Ne Bekliyor?
Son yirmi yıla kadar hukukun, kısıtlı sayıda olan yeni teknolojilerin çok gerisinde kalmadığını ve genellikle beraber ilerlediğini söyleyebilirdik. Ancak giderek dijitalleşen dünyamızda yeni teknolojilerin gelişim hızı arttıkça hukuk, yeni teknolojileri hep bir adım arkadan takip etmeye başladı ve bunun doğal bir sonucu olarak artık ana kaidemiz de önce teknoloji sonrasında onu takip eden regülasyonlar oldu. Buna kişisel verilerin korunmasından, blockchain teknolojisine, kripto paralara ve hatta son günlerde çok popüler olan yapay zeka teknolojilerine kadar birçok örnek verebiliriz. Ancak daha önceki yazılarımızda da belirttiğimiz gibi ödeme hizmetleri mevzuatı bunun istisnasını oluşturuyor. Mevzuatın güncel teknolojileri yakından takip etmesi ve özellikle ödeme hizmetlerinin büyüyüp yaygınlaşmasını öncelemesi ise ödeme hizmetleri alanında çalışan şirketlere büyük bir avantaj getiriyor. PSD1 ve PSD2 sonrası ülkemizde hızla çıkan ve zamanı geldiğinde Avrupa Birliği müktesebatına göre güncellenen mevzuat da düşünüldüğünde durum ülkemiz için de Avrupa Birliği’nden en azından bu alanda farklı değil. Hal böyle olunca ödeme hizmetleri ve finansal teknolojiyle ilgili batı cephesinden her yeni haber geldiğinde ülkemizde de ödeme hizmetleri pazarında faaliyet gösteren şirketlerin önünde fırsatlarla dolu yeni bir sayfanın haberi yayılıyor ve çok da geçmeden o yeni sayfa ülkemizde de açılıyor. Bu yeni sayfada en güzel yeri alabilmek ise yarına bugünden hazırlanmaktan geçiyor. Türkiye Cumhuriyet Merkez Bankası’nın özellikle açık bankacılık alanında hali hazırda yürüttüğü çalışmaları da düşündüğümüzde ülkemizde de Avrupa Birliği’ne benzer yeni düzenlemelerin elinin kulağında olduğunu ve Avrupa Birliği’nde mevzuat çalışmalarının yakından takip etmenin önemli olduğunu biz şimdiden fısıldamış olalım. Son söz; batıdaki gelişmeleri her zaman yakından takip edelim ve hızla adaptasyon sağlayalım ancak unutmayalım ki; ışık doğudan yükselir…
