ARC Law Firm Kurucusu Avukat Cemal Araalan ile ARC Law Firm Ortağı Avukat Alp Mete Şirin, Fintechtime Ocak 2026 sayısı için yazdı “Fintech’lerin Kurumsallaşma Sınavı”.
“Makalemizde, 2025’in fintech ekosistemi için bir büyüme döneminden çok kurumsallaşma eşiği olduğunu vurguluyoruz. Denetimin sertleştiği, lisansın alınan bir belge değil her gün hak edilen bir yetkiye dönüştüğü bu süreçte yaşanan kapanmaların temelinde yönetişim, iç kontrol, uyum kültürü ve finansal dayanıklılık alanlarında biriken yapısal eksikler yer aldı. SPK ve TCMB adımları, girişim refleksiyle yönetilen yapıların zorlandığını açık biçimde gösterdi. 2026’ya girerken rekabetin ekseni ürün hızından güvenilirlik ve denetlenebilirliğe kayıyor; regülasyonu kurumsal tasarımın parçası haline getiren fintech’ler bu seçici olgunlaşma döneminde ayakta kalacak.”
Fintech’lerin Kurumsallaşma Sınavı
2025 boyunca sahada en çok duyduğumuz cümle şuydu: “Ürünü yaptık ama kurum olamadık.” Türkiye’de fintech ekosistemi bir süredir büyüme hikayeleriyle anılıyordu. 2025’te ise tablo belirgin biçimde değişti. Denetim refleksinin sertleştiği, lisanslı faaliyetlerin “süreç ve delil” temelli yönetilmeye başladığı, yaptırımların daha görünür hale geldiği bir yıl yaşadık. Özellikle SPK’nın kripto varlık alanında attığı adımlar bu dönüşümü oldukça hızlandırdı.
2025’te neden daha fazla kapanma, durma, geri çekilme gördük
Bizim gözlemimiz, “tek bir büyük hata”dan çok, üst üste biriken kurumsallaşma eksiklerinin aynı anda görünür hale gelmesi. Bir fintech ölçeklenirken, ürün ve satış kadar hızlı büyütmesi gereken dört temel katman var: yönetişim, iç kontrol ve risk yönetimi, uyum kültürü, finansal dayanıklılık. Kripto varlık tarafında bu çerçevenin hukuki zemini 2025’te daha da netleşti. SPK, 13 Mart 2025’te kripto varlık hizmet sağlayıcılarının kuruluş ve faaliyet esasları ile çalışma usul ve sermaye yeterliliğine dair iki temel tebliği yayımladı (III-35/B.1 ve III-35/B.2). Bu metinler, iç sistemler, organizasyon, sermaye yeterliliği, faaliyetlerin sınırlandırılması veya durdurulması gibi başlıkları daha “işletilebilir” hale getirdi.
Bununla paralel olarak SPK bültenlerinde “rezerv kanıt denetimi” gibi teknik gereklilikleri somutlaştıran ilke kararları da öne çıktı. Bu tip başlıklar, sadece finansal değil aynı zamanda operasyonel yeterliliği de ölçen bir denetim yaklaşımına işaret ediyordu. SPK’nın ayrıca kripto varlık hizmet sağlayıcıları için “faaliyette bulunanlar” ve “tasfiye sürecinde olanlar” gibi listeler yayımlaması, piyasadaki ayrışmanın kamuya açık şekilde izlenmesine de imkan verdi. Ekosistem açısından mesaj aynıydı: lisans sadece alınan bir belge değil, her gün “hak edilen” bir yetki. 2025 Ekim ayında TCMB’nin bazı ödeme ve elektronik para kuruluşlarının faaliyet izinlerini geçici olarak durdurduğuna dair kararlar, sektörde uyum ve iç kontrol tartışmasını büyüttü. Aynı dönemde bazı kuruluşlar açısından faaliyet izinlerinin iptaline ilişkin haberler de kamuoyuna yansıdı.[1] Bu örnekleri özellikle şunun için önemsiyoruz 2026’ya giderken “kurumsallaşma”, tek bir regülatöre uyumdan ibaret değil, çoklu düzenleyici gerçekliğe uygun bir yönetim mimarisi kurmak anlamına geliyor.
Kurumsallaşma eksiği tam olarak nerede başlıyor
Yönetişim: Birçok girişimde yönetim kurulu yapısı, komiteler, sorumluluk matrisi ya hiç yoktu ya da kâğıt üzerindeydi. Yetki devri belirsizse, kritik kararlar birkaç kişide birikiyorsa, kriz anında karar alma mekanizması kilitleniyor.
İç kontrol ve risk yönetimi: Finansal hizmetlerde kontrol, bazen ürün hızını kesen bir fren gibi görülüyor. 2025 ise bize şunu gösterdi: kontrol frenden çok direksiyon. Kripto varlık hizmet sağlayıcılarına ilişkin ikincil düzenlemelerde iç denetim, iç kontrol ve risk yönetimi başlıklarının merkezde olması tesadüf değil. Çünkü müşteri varlıklarının korunması, saklama süreçleri, iş sürekliliği, siber güvenlik ve dış hizmet bağımlılıkları doğrudan operasyonel risk.
Uyum kültürü: “Uyum departmanı kurduk” demek ile “uyumu işin kalbine koyduk” demek aynı şey değil. Uyum fonksiyonu sadece prosedür yazmakla sınırlı kalırsa, iş birimleri pratikte kendi kısa yollarını üretir. Bu da veri akışından müşteri iletişimine, pazarlama dilinden ürün tasarımına kadar zincirleme risk yaratır. SPK’nın yayımladığı bültenlerde idari para cezaları ve diğer yaptırımların düzenli yer alması, ihlallerin hem finansal hem itibari maliyetini artıran bir görünürlük yaratıyor.
Finansal dayanıklılık: Birçok fintech büyümeyi sübvanse ederek, gelir modeli oturmadan ölçeklendi. Denetim ve raporlama yükü arttığında ise iki maliyet kalemi aynı anda yükseldi: uyum yatırımı ve sermaye ihtiyacı. Bu noktada bazı girişimler için “kapanma”, tek başına kötü yönetim değil, regülasyon maliyeti ile fonlama koşullarının aynı anda ağırlaşmasının sonucu oldu.
Denetim sadece mevzuatla değil kurum kapasitesiyle de büyüyor
2025’i özel kılan bir diğer gelişme, SPK’nın kendi organizasyonunu fintech gerçekliğine göre yeniden kurgulamasıydı. 19 Kasım 2025’te yayımlanan teşkilat düzenlemesi ile SPK bünyesinde Finansal Teknolojiler Dairesi Başkanlığı kuruldu ve kripto varlıklar için ayrı bir yapılanma vurgulandı.[2] Bu, denetimin “kurumsal kapasite” olarak da güçlendiğini gösteren net bir işaret.
Nerelerde genel hatalar yapılıyor
Bizim sık gördüğümüz hatalar genelde aynı yerlerde toplanıyor. Lisans ve uyum yol haritası ürün yol haritasının sonuna bırakılıyor. Dış hizmet alımlarında sorumluluğun tedarikçiye devredildiği sanılıyor, halbuki düzenlemeler dış hizmet alımının da yönetilmesini ve denetlenmesini bekliyor. Kayıt düzeni ve veri yönetişimi erteleniyor, denetim geldiğinde “kanıt üretme” yükü operasyonu kilitliyor. İç sistemler bir maliyet kalemi gibi görülüyor, oysa kriz anında şirketi ayakta tutan mekanizma tam olarak orası. Son olarak, regülatörle iletişim reaktif yönetiliyor, yani ancak sorun çıktığında devreye giriliyor.
2026 için nereden başlamalıyız
Hukuki perspektiften baktığımızda 2025’in ana mesajı şu: lisanslı alanlarda faaliyet gösteren fintech’ler artık “girişim mantığı” ile değil “düzenlenen kuruluş mantığı” ile hareket etmek zorunda. Kripto varlık alanında 6362 sayılı Sermaye Piyasası Kanunu’na eklenen geçiş hükümleri ve SPK’nın yayımladığı ikincil düzenlemeler, gözetim ve yaptırım setini daha somut hale getirdi. Ayrıca mevzuatın bizzat kendisi, faaliyet izninin kamu güvencesi olmadığına ve uyuşmazlıkların genel hükümlere tabi olduğuna dikkat çekerek “riskin işletmeden işletmeye” taşındığını açıkça söylüyor.
Bizim 2026 önerimiz, üç adımlı ve ölçülebilir bir başlangıç:
İlk adım, mevzuat haritası ve boşluk analizi. Hangi regülatörün hangi alanı düzenlediğini, lisans koşullarınızı, raporlama ve denetim takviminizi tek bir matriste toplamak gerekiyor. İkinci adım, yönetişim ve iç sistemler. Yönetim kurulu ve komite yapısı, görev tanımları, risk iştahı, iç kontrol planı, iç denetim döngüsü, dış hizmet alımı yönetimi, iş sürekliliği ve olay müdahale süreçleri yazılı ve işletilebilir hale gelmeli. Kripto varlık tarafında bu, doğrudan ikincil düzenlemelerin beklediği “kurumsal kas”tır. Üçüncü adım, finansal ve operasyonel dayanıklılık. Sermaye planı, likidite senaryoları, kritik tedarikçi bağımlılıkları ve siber güvenlik yatırımları 2026’nın “olmazsa olmaz” gündemidir. Çünkü artık rekabet, sadece ürün hızında değil, güvenilirlik ve denetlenebilirlikte yaşanıyor.
Biz 2026’yı bir toparlanma yılından çok, seçici bir olgunlaşma yılı olarak görüyoruz. Bu sınavı geçenler, yalnızca regülasyona uydukları için değil, regülasyonu kurumsal tasarımın parçası haline getirdikleri için ayakta kalacak. Türkiye’de fintech hikayesi “kim daha hızlı” sorusundan uzaklaşıp “kim daha kurumsal ve daha güvenilir” sorusuna doğru evriliyor.
