İş Dijital Varlık Teknolojileri A.Ş. Kripto Varlık Yasal ve Uyum Uzmanı Av. Emre Avşar, Fintechtime Ağustos sayısı için yazdı “Travel Rule; Dünya’da Kripto Varlıkların Değişen Kaderi”.
“Makalemde, kripto varlık transferlerinde kimlik bilgilerinin güvenli şekilde iletilmesini zorunlu kılan Travel Rule’un nasıl çalıştığını ve Türkiye’nin bu sürece nasıl uyum sağladığını ele alıyorum. Bu kuralın kara para aklama ve dolandırıcılıkla mücadelede önemli bir araç olmasının yanı sıra, operasyonel ve veri güvenliği açısından bazı zorluklar yarattığını da aktarıyorum. Türkiye’nin 2025 itibarıyla yürürlüğe aldığı düzenlemelerle birlikte küresel standartlara uyum sağladığını, ancak bu sürecin sadece mevzuatla değil, güçlü dijital altyapılarla desteklenmesi gerektiğini belirtmekte fayda var. Keyifli okumalar.”
Travel Rule; Dünya’da Kripto Varlıkların Değişen Kaderi
Finansal suçlar ve terörizmin finansmanıyla mücadele için geleneksel bankacılıkta yıllardır uygulanan “Travel Rule” (Seyahat Kuralı), son dönemde kripto varlık ekosistemine de adapte edilmiştir. FATF (Financial Action Task Force) tarafından 16 No’lu Tavsiye kapsamında önerilen bu kural, belirli bir tutarın üzerindeki transferlerde gönderici ve alıcı kimlik bilgilerinin transferle birlikte güvenli şekilde iletilmesini ve her iki tarafça kayıt altına alınmasını gerektiriyor. Kısaca, kripto varlık transferlerinde işlemi yapan tarafların kim olduğuna dair bilgilerin de “işlemle birlikte seyahat etmesi” sağlanarak, anonim transferlerin kötüye kullanımının önlenmesi amaçlanmaktadır.
Dünya genelinde kripto varlıkların yaygınlaşmasıyla birlikte Travel Rule’un kripto sektöründe uygulanması zorunlu hale gelmeye başlamıştı. Birçok ülke, uluslararası standartlara uyum için mevzuatlarında düzenlemelere gitmekteydi. Türkiye de bunlardan biri olarak, 2025 itibarıyla kripto transferlerinde Travel Rule uygulamasını devreye almıştır. Bu yazıda Travel Rule’un ne olduğu, Türkiye’deki yasal çerçeve ve yükümlülükler, Avrupa Birliği’nin MiCA düzenlemeleri ile ABD FinCEN ve FATF uygulamalarının karşılaştırması, ayrıca teknik ve hukuki zorluklar ile uyum stratejileri ele alınacaktır. Okuyuculara, bu zorunluluğun nasıl bir fırsata dönüştürülebileceğine dair perspektif de sunmaya çalışacağız.
Travel Rule Gerekli Mi?
Travel Rule’un gerekliliğini ve etkisini anlamak için birkaç örnek olaya bakmak faydalı olacaktır. Örneğin, 2014-2018 arasında faaliyet gösteren ABD merkezli büyük bir Kripto Varlık Platformu, seyahat kuralının da parçası olduğu AML yükümlülüklerini ihmal ettiği gerekçesiyle 2022’de FinCEN tarafından 29 milyon dolar ceza aldı. FinCEN yetkilileri, ilgili platformun yıllarca yeterli müşteri kimlik bilgisi toplamadan ve şüpheli işlemleri bildirmeden faaliyet göstererek sistemi yara alabilir bir hale getirdiğini vurguladılar. Bu olay, Travel Rule gibi kuralların neden gerekli olduğunu net biçimde göstermektedir.
Travel Rule’un uygulanması ile sadece kara paranın aklanması veya terörizmin finansmanı gibi suçların önüne geçilmesi değil, başkaca işlem hatalarının da önüne geçilebilir. Örneğin bir kullanıcı hatasıyla yanlış adrese büyük bir kripto transferi gönderdiğinde, Travel Rule kapsamında alıcı bilgisinin önceden doğrulanması bu tür hataların önüne geçmeye yardımcı olabilir. Nitekim sektörde yer alan firmalar da dolandırıcılık amaçlı sahte kimlikli transferler (pig-butchering gibi yöntemler) veya hata sonucu yanlış adrese varlık gönderilmesi gibi vakaların, alıcı kimliğinin işlem öncesi teyidi sayesinde azaltılabileceğini vurgulamaktadırlar. Gerçek vakalarda da, seyahat kuralına uyumlu hareket eden borsalar aracılığıyla şüpheli fon transferlerinin engellendiği veya soruşturmalara hızlı yanıt verilebildiği görülmektedir.
Travel Rule’un kripto varlık ekosistemine entegre edilmesi bazı teknik ve hukuki zorlukları beraberinde getiriyor. Hukuki boyutta, özellikle kişisel verilerin korunması ve mahremiyet konuları öne çıkıyor. Travel Rule gereği, kripto transferlerinde müşterilerin adı, adresi, kimlik numarası gibi bilgilerinin yurt içi veya yurt dışındaki başka bir finansal kuruma iletilmesi söz konusu olduğunda, bu KVKK (Kişisel Verilerin Korunması Kanunu) ve uluslararası veri koruma regülasyonlarının etki alanına giriyor. Özellikle uluslararası transferlerde, Türk bir kripto platformunun müşteriye ait kişisel veriyi yurt dışındaki bir borsaya aktarması, KVKK uyarınca “yurt dışına kişisel veri aktarımı” hükümlerine tabidir. Mevzuat, ancak yeterli korumanın bulunduğu ülkeler veya açık rıza gibi belirli şartlar altında kişisel verinin yurt dışına iletilebileceğini öngörür. Bu da Travel Rule uyumu sağlanırken verinin yurt dışına nasıl aktarılacağı konusunda soru işaretleri yaratmaktadır. Türkiye’de düzenleyici otorite bu noktada, Travel Rule kapsamındaki veri paylaşımlarının yetkili mercilerin talebi halinde yapıldığını ve KVKK’ya uygun şekilde saklandığını vurgulamaktadır.
Bir diğer hukuki zorluk, Travel Rule’un küresel ölçekte henüz tam yaygınlaşmamış olması nedeniyle ortaya çıkan “sunrise issue” olarak adlandırılan durumdur. Yani bazı ülkeler kuralı uygulamaya başlamışken, bazıları henüz mevzuatına almamıştır. Bu da kurala uyan bir ülkedeki borsanın, uymayan bir ülkedeki borsaya karşı nasıl hareket edeceği sorununu doğurur. Örneğin Türkiye’deki bir borsa, seyahat kuralına tabi olmadığı bir ülkedeki cüzdana kripto transferi yaparken karşı taraftan bilgi talep edemeyebilir veya gönderdiği bilgiyi karşı taraf işleme almıyor olabilir. FATF, 2023 güncellemesinde ülkelerin Travel Rule uygulamalarında yeterince ilerleme kaydetmediğini ve küresel koordinasyon eksikliğinin Kripto Varlık Hizmet Sağlayıcıları için ciddi bir güçlük yarattığını belirtmiştir.
Türkiye’de Travel Rule Uygulaması
Türkiye, kripto varlık hizmet sağlayıcılarının (KVHS) tabi olduğu yükümlülükleri genişleterek FATF standartlarıyla uyumlu hale getirmek üzere Aralık 2024’te önemli bir düzenleme yaprı. İlgili tarihte yayımlanan Resmi Gazete’de yer alan değişiklikle, MASAK (Mali Suçları Araştırma Kurulu) tarafından kripto varlık transferlerinde uluslararası literatürde “Travel Rule” olarak bilinen prensipler Türk hukukuna kazandırıldı. Bu düzenlemeye göre 25 Şubat 2025 itibarıyla Türkiye’de faaliyet gösteren tüm kripto varlık platformları, belirli tutarın üzerindeki transferlerde gönderici ve alıcı bilgilerinin toplanması ve iletilmesinden sorumlu hale geldi.
Öte yandan 28 Haziran 2025 tarihli 29 Nolu Masak Genel Tebliği’ne göre yine kripto varlıkların transferine 48 ve72 saatlik limitler getirilmiştir. Aynı şekilde stablecoin olarak bilinen değeri sabit bir fiat paraya ya da kıymetli madene endeksli varlıkların transferinde günlük ve aylık limitler uygulanacaktır. Yine aynı tebliğde yer alan önemli değişiklik de platformların tüm kripto varlık transfer işlemlerinde müşteriden işlemin mahiyetine ilişkin en az 20 karakter uzunluğunda bir işlem açıklaması temin edecek olmasıdır. Burada regülatör Travel Rule’un artık kripto varlıkların merkezinde olduğunu bir kez daha vurgulamaktadır.
Avrupa Birliği: MiCA ve Seyahat Kuralı
Avrupa düzenlemesi, GDPR (Genel Veri Koruma Tüzüğü) ile Travel Rule arasındaki dengeye de dikkat çekmektedir. Hukuki metinler, kripto transferleriyle ilgili müşteri bilgilerinin işlenmesi ve paylaşılmasında GDPR’a uyumun gözetilmesi gerektiğini belirtmektedir. Bu bağlamda, AB içindeki kripto hizmet sağlayıcıları hem seyahat kuralına uygun bilgi paylaşımı yapmak hem de veri minimizasyonu, veri güvenliği ve amaçla sınırlılık ilkelerine riayet etmek zorundadır. Örneğin, gerekli bilgiden fazlasının paylaşılmaması, paylaşılan verinin yalnızca AML amaçlarıyla sınırlı tutulması ve karşı tarafın da bu veriyi koruma yükümlülüğü altında olması beklenir. AB, bu düzenlemeleri 2024-2025 döneminde kademeli olarak yürürlüğe sokmaktadır. MiCA’nın bazı hükümleri Temmuz 2024’te (özellikle stablecoin ihraçları ile ilgili kısımlar) devreye girmiştir.
ABD: FinCEN’in Yaklaşımı ve Uygulamadaki Sorunlar
Amerika Birleşik Devletleri’nde kripto varlık hizmet sağlayıcıları, yasal olarak para hizmeti işletmeleri (Money Service Business) kategorisinde değerlendirilmekte ve 2013’ten bu yana FinCEN’in (Financial Crimes Enforcement Network) AML düzenlemelerine tabidir. Fiili olarak FincEN Travel Rule kripto işlemler için de uzun süredir yürürlüktedir: ABD Banka Gizliliği Yasası (BSA) kapsamında $3.000 ve üzeri para transferlerinde gönderici/alıcının kimlik bilgilerinin kaydedilip transferle birlikte iletilmesi 1990’lardan beri zorunludur. Kripto paralar için de FinCEN, 2019’da yayınladığı kılavuzla bu kuralın dijital varlık transferlerine de aynen uygulandığını vurgulamıştır. Dolayısıyla ABD’deki kripto borsaları ve cüzdan hizmetleri, $3000 üstü transferlerde müşterinin adını, hesabını, adresini, transfer tutar ve tarihini, karşı kurum bilgilerini vb. içeren verileri kayıt altına alıp alıcı kurumla paylaşmakla yükümlüdür. FinCEN kuralları, gönderici ve alıcı ad soyad, hesap numarası, adres, gönderenin finans kurumu, işlem tutarı ve tarihi ile alıcının finans kurumu gibi detayları kapsamaktadır. Ancak, bu bilgilerin hangi yöntemle iletileceğine dair spesifik bir format/altyapı FinCEN tarafından belirlenmemiştir.
ABD sisteminde Travel Rule uygulaması teoride uzun süredir var olsa da, pratikte bazı sorunlar ve gecikmeler yaşanmıştır. Öncelikle, global ölçekte eş güdümün eksikliği ABD’li şirketleri de etkilemektedir. Örneğin, bir ABD borsası $5.000 tutarında bir kripto çekim talebinde, eğer karşı taraf yabancı bir platform ise gönderici bilgilerini iletmek durumundadır, fakat karşı tarafın bunu işlememesi veya istememesi olasıdır. Benzer şekilde, kişisel cüzdanlar meselesi ABD’de de tartışmalıdır: FinCEN hali hazırda kullanıcıların kendi cüzdanlarına yaptıkları transferlerde karşı tarafa iletilecek bir kurum olmadığı için, borsanın sadece kendi tarafında bu bilgileri saklamasını zorunlu kılmaktadır.
Uygulamadaki bir diğer sorun, Travel Rule uyumunun uzun süre ciddi şekilde denetlenmemiş olmasıdır. FinCEN, yakın zamana dek kripto şirketlerine seyahat kuralı özelinde büyük cezalar vermezken, son yıllarda genel BSA ihlalleri kapsamında cezalar kesmeye başladı. 2022’de büyük borsalar ise Travel Rule gerekliliklerini karşılamak amacıyla TRUST adında bir konsorsiyum kurdular. Travel Rule Universal Solution Technology (TRUST) adı verilen bu ağ, başlangıçta ABD’de faaliyet gösteren büyük kripto şirketlerinin katılımıyla kurulmuş olup zamanla uluslararası genişleyerek 2025 itibarıyla 20’den fazla ülkeyi kapsayacak şekilde 125’ten fazla kripto varlık hizmet sağlayıcının üye olduğu bir yapıya ulaştı. TRUST ağı, üyeleri arasında güvenli ve şifreli bir bilgi paylaşım sistemi kurarak, Transfer öncesi karşı kurumun doğrulanması ve müşteri bilgilerinin doğrudan ilgili borsaya iletilmesi işlevini görüyor. Bu sayede ABD’li borsalar, Travel Rule verilerini bir konsorsiyum içinde standartlaştırılmış biçimde paylaşarak uyum sağlıyorlar.
Travel Rule Risk Barındırıyor Mu?
Travel Rule’a uyum, kripto sektörü için hem yeni riskler hem de çözülmesi gereken meseleler getiriyor.
En önemli risk alanı, veri güvenliği ve gizliliğidir. Seyahat kuralı gereği toplanan müşteri verileri son derece hassastır (isim, kimlik no, adres vb.) ve bu verilerin hem saklanması hem de transferler esnasında iletimi sırasında kötü niyetli saldırılardan korunması gerekir. Bu kapsamda, şifreleme (encryption) yöntemleri ve mümkünse eşten-eşe (P2P) veri aktarım kanalları kullanılmalıdır. Örneğin TRUST veya OpenVASP gibi çözümlerde, müşteri bilgileri doğrudan iki kurum arasında şifreli olarak iletilmekte, merkezi bir sunucuda depolanmamaktadır. Bu tür mimariler veri ihlali riskini minimize eder. Ayrıca, veri minimizasyonu ilkesi gereği, gerekli olandan fazla bilgi paylaşılmaması önemlidir. Her transfer için yalnızca zorunlu kimlik bilgileri iletilmeli, ticari sır niteliğinde veya gerekenden fazla ayrıntı paylaşılmamalıdır.
Operasyonel riskler de göz önünde bulundurulmalıdır. Travel Rule uygulaması, borsaların operasyonuna yeni adımlar ekleyerek işlem sürelerini bir miktar uzatabilir. Kullanıcılardan alıcı bilgisi talep edilmesi, kullanıcı deneyimini olumsuz etkileyebileceği için bu süreçlerin olabildiğince kullanıcı dostu tasarlanması gerekir. Platformlar, arayüzlerinde basit açıklamalar ve otomasyonlar ile kullanıcıların bu bilgileri zahmetsizce girebilmelerini sağlamalıdır. Yanlış bilgi girilmesi durumunda yapılacaklar konusunda da rehberlik sunulmalıdır.
Türkiye’de Travel Rule’un Geleceği
Seyahat Kuralı’nın Türkiye’deki geleceği, bu düzenlemenin ne kadar proaktif ve vizyoner bir yaklaşımla ele alınacağına bağlı. Düzenlemenin sadece FATF baskısıyla yapılan reaktif bir uyum adımı olarak kalmaması, aksine sektör tarafından içselleştirilerek yenilikçi bir şekilde uygulanması büyük önem taşıyor. Bu noktada regülasyon ile teknoloji arasındaki denge kritik. Henüz tüm hizmet sağlayıcılar arasında ortak bir dijital altyapının bulunmaması, operasyonel zorluklar ve verimsizlikler yaratsa da sektörde artan iş birliği ve yerli RegTech girişimlerinin yenilikçi çözümleri bu açığı kapatabilir. Seyahat Kuralı’nın etkin ve öngörülü uygulanması, Türkiye’ye kripto ekosisteminde sadece kuralları takip eden değil, aynı zamanda kural koyucu ve yol gösterici bir konum kazandırabilir.
Özetle, Travel Rule’un kripto varlık ekosistemine entegrasyonu sancılı bir uyum süreci gerektirse de sonuç olarak daha şeffaf, güvenilir ve olgun bir piyasa altyapısı oluşturacaktır. Hem Türkiye’de hem dünya genelinde sektör oyuncularının ve düzenleyicilerin iş birliğiyle, bu zorunluluk ortak standartlara, oradan da finansal inovasyon için sağlam bir zemine dönüştürülebilir. Böylece kripto dünyası, gelişen regülasyonlarla birlikte güvenilirlik kazanarak büyümeye devam edecektir.
