Hukuk ve Uyum Görevlisi Avukat Emre Avşar, Fintechtime Şubat 2026 sayısı için yazdı “Kripto Cüzdan Mimarileri ve Hukuki Sorumluluklar Üzerine”.
“2026’da kripto varlık saklama meselesinin yalnızca teknik bir güvenlik konusu olmaktan çıkıp doğrudan mülkiyet, sorumluluk ve hukuki muhataplık tartışmasına dönüştüğünü görüyorum. Omnibus, multisig ve sıcak–soğuk cüzdan mimarileri, iflas, haciz ve denetim senaryolarında farklı risk profilleri yaratıyor. SPK ve MASAK düzenlemeleriyle birlikte, teknik kontrol ile hukuki hakimiyet arasındaki çizgi daha net tanımlanıyor. Bu dönemde güven, yalnızca güçlü altyapılarla değil; ayrıştırılmış saklama, şeffaf kayıt ve etkin denetimle tesis ediliyor. Kripto ekosisteminin sürdürülebilirliği, cüzdan mimarilerinin doğru hukuki çerçeveyle buluşmasına bağlı hale geliyor.”
Kripto Cüzdan Mimarileri ve Hukuki Sorumluluklar Üzerine
Kripto varlıkların güvenli saklanması, teknik olduğu kadar hukuki açıdan da kritik bir konu. Mevzuatın izin verdiği ölçüde artık Türkiye’de de kripto varlık saklama hizmeti alınması gerekmektedir. SPK, 31 Mart’ı son tarih olarak adreslerken saklama hizmeti sunulmasının hukuki yönü, risklerini irdelemek gerekecektir.
Saklama hizmet sağlayıcıları; omnibus, çoklu imza (multisig) mekanizmaları ile sıcak, ılık ve soğuk cüzdan türlerini harmanlayarak çalışır. Peki bu farklı cüzdan mimarileri, hukuki sorumluluk ve mülkiyet ilişkileri bakımından ne gibi sonuçlar doğuruyor? Bu makalede, söz konusu yapıların iflas, haciz ve sorumluluk durumlarında hangi hukuki sorunları ortaya çıkarabileceğini inceleyecek; SPK ve MASAK düzenlemeleri ile yakın dönemdeki taslak kanunlar ışığında olası çözüm önerilerini tartışacağız.
Omnibus Cüzdanlar’da Mülkiyet ve Muhataplık Sorunu
Kripto sektöründe omnibus cüzdan kavramı, birçok kullanıcıya ait kripto varlığın blockchain üzerinde tek bir adres veya cüzdanda birleştirilmesini ifade eder. Bu yaklaşım operasyonel olarak kolaylık sağlasa da hukuken bazı riskler barındırır. Öncelikle, varlıkların bu şekilde birbirinden ayrılamaz hale gelmesi, mülkiyetin belirlenmesini güçleştirir. Normal şartlarda, kullanıcıların platform nezdindeki hesaplarında ne kadar kripto varlık tuttuğu iç kayıtlarla bellidir; ancak zincir üstünde tek bir cüzdanda duran varlıklar, kimin neye sahip olduğunu göstermiyor. Yani kullanıcılara ait varlık “o” varlık olmaktan çıkıyor.
Bir kullanıcının borcu nedeniyle mahkeme kararıyla kripto varlıklarına haciz konulmak istendiğini varsayalım, omnibus yapı yine probleme neden olabilir. Zira blockchain üzerindeki tek bir cüzdanda birden fazla kişiye ait coin bulunuyorsa, hukuken haciz yazısında o cüzdan adresi belirtildiğinde içinde hiç ilgisiz kullanıcıların varlıkları da bulunduğundan genel bir bloke riski doğacaktır. Uygulamada bu sorunu aşmak için icra makamları, haciz kararını doğrudan platforma iletip ilgili kullanıcının hesabındaki belirli tutarın dondurulmasını istemektedir. Yani burada muhatap, cüzdanın kendisi değil, cüzdanı kontrol eden hizmet sağlayıcı şirket oluyor. Platformlar iç kayıtlarından borçlu kullanıcıya ait varlık miktarını tespit ederek ya o tutarı ayrı bir cüzdana aktararak kilitlemekte ya da çekim işlemlerini engellemektedir. Fakat eğer platform kötü niyetli veya acziyet içindeyse, bu süreç aksayabilir. Muhataplık sorunu tam da burada ortaya çıkar, kişilerin varlıkları üzerinde tek teknik hakim taraf platform olduğundan, hukuki süreçlerde muhatap hep platformdur. Omnibus cüzdan kullanımı, kullanıcıların varlıklarına doğrudan erişimini engellediği için, yasal işlemlerde kullanıcılar kendi coin’lerini hareket ettiremez veya temsil edemezler; tüm inisiyatif platformun iş birliğine kalır.
Avrupa Birliği MiCA regulasyonunda ve SPK’nın ilgili tebliğinde, müşteri varlıklarının ayrı hesaplarda izlenmesi temel bir prensip olarak benimsenmiştir. Türkiye’de SPK’nın Mart 2025’te yayımladığı III-35/B.2 sayılı Tebliğ, müşteri varlıklarının hizmet sağlayıcının malvarlığından ayrı saklanmasını şart koşmakla kalmayıp, uygun görülen üçüncü taraf saklama kuruluşlarının devreye alınabileceğini de belirtmiştir. Bu pratikte, borsaların belli bir ölçeğin üzerindeki kripto varlıkları lisanslı bir saklayıcıya emanet etmesi anlamına gelebilir. Böylece hem iflas durumunda kullanıcı varlıkları net olarak ayrıştırılabilecek, hem de bir haciz durumunda yalnız ilgili kullanıcının hesabına karşı işlem yapılıp diğer kullanıcıların hakları etkilenmeyecektir.
Kısaca, omnibus cüzdan yaklaşımlarında mülkiyetin bulanıklaşması ve hukuki muhataplık problemleri söz konusudur. Yeni yasal düzenlemeler, ayrıştırılmış hesap ve cüzdan yapılarıyla bu sorunları minimize etmeye çalışmaktadır.
Multisig Yapılar’da Tasarruf Yetkisi ve Sorumluluğun Paylaşımı
Kripto varlıkların yönetiminde çoklu imza (multisignature) yapıları, güvenliği artırmak için yaygın olarak kullanılır. Bir multisig cüzdan, tek bir cüzdan adresinden kripto transferi yapmak için birden fazla özel anahtarın onayını gerektirir. Örneğin “2/3 çoklu imza” şartı, üç anahtardan en az ikisinin bir işlemi imzalamasını zorunlu kılar. Teknik açıdan bu, tek bir kişinin tek başına tasarruf yetkisine sahip olmamasını sağlar. Böylece bir cüzdana ait anahtarın çalınması tek başına fonları hareket ettirmeye yetmez; en az bir başka anahtar sahibinin daha onayı gerekir. Kurumsal platformlar genellikle bu yöntemi, büyük tutarlı soğuk cüzdanlarını yönetirken kullanır: Özel anahtarlar kurum içinde farklı kişiler ve cihazlar arasında paylaştırılır veya bir kısmı harici bir saklayıcı/emanetçi kurumda tutulur. Amaç, tekil hata noktalarını ortadan kaldırarak hem kötü niyetli iç riskleri hem de dış saldırıları zorlaştırmaktır.
Multisig yapıların hukuki yansıması, klasik “tek kişinin hakimiyeti” durumundan farklı olduğu için bazı yeni sorular doğurur. Öncelikle, tasarruf yetkisi paylaşıldığı için, bu cüzdanlarda fonların sahibi kimdir ve kim, ne ölçüde sorumludur? Örneğin bir kripto borsası düşünelim: Soğuk cüzdanını 3 imzalı hale getirmiş ve 3 farklı üst düzey çalışanına birer anahtar vermiş olsun bu 3 kişiden 2’sinin imzasıyla transfer mümkün olsun. Bu durumda fonların yasal sahibi yine şirkettir; kullanıcıların alacak hakkı saklıdır. Ancak şirket içi prosedürde transfer yapma yetkisi bu 3 kişinin ortak kararına bırakılmıştır. Eğer bu kişilerden biri suistimal ile yetkisini kötüye kullanarak diğerinin de onayını alıp zimmete para geçirirse, hukuken şirket kadar imzacı yöneticiler de sorumluluk altında olacaktır. Nitekim, çoklu imza cüzdanlarında üçüncü tarafların varlıklarını yöneten anahtar sahipleri, hukuken birer emanetçi (trustee) veya vekil gibi değerlendirilebilir. Anglo-Amerikan hukukunda yorumlandığı üzere, bir veya daha fazla anahtar sahibi başkalarının varlığı üzerinde kontrol uyguluyorsa özen yükümlülüğü doğabilir. Bu durumda “Ben sadece imza attım” demek yetersiz kalacak; imza sahipleri özen yükümlülüğünü ihlal eder veya ihmal gösterirse şahsi olarak da sorumlu tutulabilecektir. Örneğin bir imza sahibi, bariz şekilde sahte veya yetkisiz bir transfer talebini dikkatsizce onaylar ve fonlar çalınırsa, bundan doğan zararın tazmini için o imzacının kusuru tartışma konusu yapılabilir.
Bir diğer husus, çoklu imzada karar alma ve kilitlenme (deadlock) riskidir. Diyelim ki üç ortak, bir şirket hazinesini yönetmek için 2/3 multisig cüzdan kullanıyor. Ortaklardan biri şirketten ayrıldı ve anahtarını vermeyi reddediyor, ya da iki ortak ciddi bir anlaşmazlığa düştü ve birlikte imza atmıyorlar. Sonuç olarak cüzdandaki varlıklar hareket ettirilemez hale gelir. Bu tip kilitlenmelerde hukuki çözüm oldukça çetrefillidir. Mahkemelerin blockchain tabanlı bu anlaşmazlıklara müdahalesi, genellikle altta yatan sözleşmeye veya ortaklık yapısına göre olur. Eğer taraflar arasında önceden yapılmış bir sözleşme yoksa, yargının işi daha da zorlaşır. Uyuşmazlık durumunda hakimler, multisig cüzdanın niteliğini anlamaya çalışacak, belki bir ortaklık hükümleri veya güven ilişkisi kapsamında değerlendirme yapacaktır. Bu nedenle gerek kurumsal hazinelerde gerekse DAO gibi yapılarda, çoklu imza kullanımında tarafların rollerini ve çözüm mekanizmalarını en baştan yazılı hale getirmeleri elzem bir hal alıyor.
Regülasyon cephesinde, SPK ve diğer düzenleyiciler multisig yapıları doğrudan isim vermese de özel anahtarların parçalı ve çok taraflı yönetilmesi gereğine vurgu yapmaktadır. SPK’nın ilgili Tebliği’nde kripto varlık hizmet sağlayıcıların, anahtar yönetimini birden fazla kişi ve güvenli ortamlar arasında paylaştırması zorunlu tutulmuştur. Bu kural pratikte multisig veya benzeri çoklu kontrol mekanizmalarının uygulanmasını şart koşmaktadır. Aynı şekilde, Kripto Varlık Saklama Raporu gibi sektörel kılavuzlarda da coğrafi ve organizasyonel dağıtım ilkesine uyularak, önemli cüzdanların imza yetkisinin birden fazla sorumluya bölünmesi tavsiye edilmektedir. Böylece hem tek kişiye bağlı risk ortadan kaldırılmakta, hem de içeriden kötüye kullanımlar zorlaştırılmaktadır.
Sıcak, Ilık, Soğuk Cüzdanlar’da Teknik Risklere Karşı Hukuki Hakimiyet
Kripto varlık saklama stratejileri genellikle sıcak (hot), ılık (warm) ve soğuk (cold) cüzdan olarak üç kategoriye ayrılır. Bu sınıflandırma, cüzdanın internet bağlantısına ve erişim kolaylığına göre yapılır. Sıcak cüzdanlar çevrimiçi sistemler olup anlık işleme imkânı verirken saldırılara daha açık durumdadır. Soğuk cüzdanlar ise internete bağlı olmayan donanım cihazları veya fiziksel ortamlardır; erişimleri zahmetli ama güvenlikleri yüksektir. Ilık cüzdanlar ise bu ikisi arasında, genelde çevrimdışı tutulan ancak çevrimiçi ortama hızla alınabilecek ara çözümlerdir. Teknik açıdan sıcak cüzdanlar likidite ve hız, soğuk cüzdanlar ise güvenlik ve emniyet önceliklidir. Peki hukuki açıdan bu ayrım ne anlama gelir?
Öncelikle, bir varlığın kontrolü kavramını ele alalım. Klasik hukuki doktrinde fiilî hakimiyet (zilyetlik) ve hukuki hakimiyet ayrımı yapılır. Kripto varlıklarda fiilî hakimiyet, dijital anahtarın kontrolü demektir. Eğer bir kullanıcı kendi donanım cüzdanında Bitcoin’lerini tutuyorsa, bu varlıklar üzerinde fiilen tek başına hakimdir; işlem yapmak için kimseden onay alması gerekmez. Bu kullanıcı açısından hukuki hakimiyet de kendisindedir, çünkü varlık onun mülkiyetinde sayılır ve başkasının bu varlıklara erişim yetkisi yoktur. Öte yandan, kullanıcı varlıklarını bir kripto platformunda tutuyorsa – ki bu platform muhtemelen varlıkları sıcak ve soğuk cüzdanlar arasında paylaştıracaktır – kullanıcı teknik hakimiyeti platforma devretmiştir. Platform sıcak cüzdanında tutulan kısım için de soğuk cüzdanında tutulan kısım için de özel anahtarlar platform yetkililerindedir. Kullanıcı platforma güvenerek hesap bakiyesine ilişkin bir alacak hakkına sahip olur; buna rağmen blockchain seviyesinde coin’ler üzerinde doğrudan tasarruf hakkı yoktur. Hukuki olarak bu durumda kullanıcı yine mülkiyet hakkı olduğunu iddia eder (nitekim platformun sözleşmeleri genelde “varlıklar sizin mülkünüzdür, biz sadece emanette tutuyoruz” şeklinde olur). Ancak fiiliyatta, platform varlıklara el koyarsa veya hacklenirse, kullanıcıların hukuki haklarını fiilen icra ettirmeleri çok güç hale gelir. İşte sıcak/soğuk cüzdan meselesi bu noktada devreye giriyor: Platformlar kullanıcı varlıklarını korumak için teknik riskleri minimize etmeye çalışırken, kullanıcıların hukuki hakimiyetleri konusunda da denge kurmak zorunda.
Teknik riskler bakımından, sıcak cüzdanlar en zayıf halkadır. Yakın geçmişte birçok borsa, sıcak cüzdanları hedef alan siber saldırılar sonucu milyonlarca dolarlık kayıplar yaşadı örneğin 2023’te Poloniex ve Atomic Wallet saldırıları bunlara örnektir. Soğuk cüzdanlar ise çevrimdışı oldukları için hackerların erişimine kapalıdır; bu yüzden büyük borsalar müşterilerinin varlıklarının çoğunluğunu soğuk depolarda tutmayı standart hale getirmiştir. Türkiye’de de bu konuda regülatif bir sınır getirilmiştir: SPK düzenlemelerine göre bir platform, toplam müşteri varlıklarının en fazla %5’ini sıcak cüzdanlarda bulundurabilir – istisnai durumlarda bu oran %10’a çıkabilir – geri kalanını mutlaka çevrimdışı, güvenli ortamlarda saklamalıdır. Bu kural, teknik risk ayrımını hukuki yaptırıma dönüştüren önemli bir örnektir. Yani kanun koyucu, sıcak cüzdanın riskli olduğunu kabul ederek, platformların sıcak-soğuk dengesini belli bir oranda tutmasını şart koşmaktadır. Nitekim Türkiye’de çıkarılan Tebliğ ile KVHS’ler müşteri kripto varlıklarının en az %95’ini yetkilendirilmiş saklayıcılarda (soğuk depolarda) tutmak zorundadır; operasyonel likidite için en fazla %5’i sıcak cüzdanlarda bırakılabilir. Ayrıca platformların belli bir likidite rezervi bulundurması da zorunlu hale gelmiştir.
Doktrinsel olarak hukuki hakimiyet meselesine dönersek: Kullanıcı perspektifinden, kendi cüzdanında tuttuğu kripto parada hem teknik hem hukuki hakimiyet kendisindedir. Platformda tuttuğunda ise teknik hakimiyet platformdadır fakat hukuken platform bunu bir emanet gibi tutmak durumundadır. Yeni SPK düzenlemeleri bu noktayı açıkça belirtiyor: “Müşteri varlıkları, hizmet sağlayıcının malvarlığından ayrı tutulur; hizmet sağlayıcının kendi borçları nedeniyle bunlara dokunulamaz.” Bu ifade, hukuki hakimiyetin müşteride olduğunu teyit eden bir düzenlemedir aslında. Yani platform, elindeki kripto paraları şirketin diğer malvarlığı gibi kullanamaz, rehin gösteremez, kredi çekemez; sadece müşteri nam ve hesabına saklamakla yükümlüdür. Bu nedenle teknik olarak ister sıcak ister soğuk cüzdanda olsun, varlıkların sahibi müşterilerdir.
Özetlemek gerekirse, sıcak-ılık-soğuk cüzdan ayrımı hukuki olarak “fiilî kontrol” meselesine tekabül eder. Sıcak cüzdanlar platformun fiilen kontrol ettiği ve hızlı işlem yaptığı alanlardır, soğuk cüzdanlar ise platformun bile rutin dışı erişebildiği kısıtlı alanlardır. Kullanıcıların hukuki hakları, bu alanların niteliğinden ziyade platform ile aralarındaki sözleşme ve yasal çerçeveye bağlıdır. Ancak teknik risk seviyesi ne kadar yüksekse, platformun hukuki sorumluluğu da o kadar artar. Bu yüzden hem kullanıcıların hem de düzenleyicilerin tercihi, “yüksek teknik risk – düşük hukuki kontrol” yerine “düşük teknik risk – yüksek güvence” yönünde evrilmektedir. Somut olarak, güvenilir bir platformun mümkün olduğunca varlıkları soğuk cüzdanlarda tutması, sıcak cüzdan erişimini sıkı güvenlik protokolleriyle sınırlandırması ve çok faktörlü onay mekanizmaları kurması beklenir. Bu sayede, hem teknik olarak hack riskine karşı koruma sağlanır hem de bir olay yaşansa bile platformun gerekli özeni gösterdiği ispatlanabildiğinden hukuki sorumluluğu azaltılır.
Mevzuatın Yaklaşımı: SPK, MASAK ve Kanun Düzenlemeleri
Omnibus hesap kullanımı konusunda düzenleyici çerçeve netlik kazanıyor. SPK, platformların müşteri varlıklarına ilişkin doğru ve güncel kayıt tutmasını, her bir müşterinin varlığının açıkça izlenebilir olmasını şart koşuyor. Birden çok müşterinin varlığının aynı hesapta toplanması durumunda, bundan kaynaklanabilecek risklerin müşterilere şeffafça açıklanması gerekiyor. Ayrıca belirtildiği gibi, müşteri varlıkları yasal olarak ayrı kabul edildiği için, platform kendi mali sorunları için bunları kullanamayacağı gibi, bir icra-iflas sürecinde de bu varlıkların kullanıcıya aidiyeti kabul edilecek. Bu düzenlemeler, akıllara gelen “Borsa iflas ederse param ne olur?” sorusuna net bir güvence sunma çabasıdır.
Kripto varlık ekosisteminde güven, sadece teknolojik önlemlerle değil aynı zamanda hukuki altyapının sağlamlığıyla tesis edilir. İncelediğimiz üzere, farklı cüzdan mimarileri çeşitli risk ve sorumluluk profilleri oluşturuyor
Elbette, hukuki çerçeve ne kadar gelişirse gelişsin, uygulamada başarı kriteri uyum ve denetim olacaktır. Önümüzdeki dönemde SPK ve MASAK’ın aktif denetimleri, örnek yaptırımları piyasa disiplinini oluşturacak. Kullanıcılar tarafında ise bilinçlenme önemli: Hangi platform nasıl cüzdan yapısı kullanıyor, varlıklar nerede saklanıyor, acil durum planları var mı gibi soruları sormak gerekiyor.
Bir diğer değinilmesi gereken nokta, küresel entegrasyon. Kripto varlıklar küresel olduğu için, bir ülkedeki düzenleme tek başına sınırlı kalabilir. Türkiye’deki kullanıcılar yabancı borsaları kullanmaya devam ettikçe veya defalarca gördüğümüz üzere yabancı platformlar iflas ettiğinde buradaki yatırımcılar da etkilendikçe, uluslararası iş birliği önem kazanacak. Bu bağlamda, ülkemizde getirilen saklama ve cüzdan güvenliği standartlarının uluslararası rehber ilkelerle uyumlu olması sevindirici.
Sonuç olarak, kripto varlık saklama yapılarının hukuki sorumluluk doğuran yönlerine dair farkındalık arttıkça, hem kullanıcı düzeyinde hem de kurumsal düzeyde daha sağlam uygulamalar göreceğiz. Omnibus cüzdan yerine segregated (ayrılmış) hesaplar, tek imza yerine çoklu imza ve MPC çözümleri, sorumsuz risk alma yerine kontrollü sıcak cüzdan kullanımı yeni normlar haline geliyor. Bu dönüşüm, kısa vadede bazı operasyonel yükler getirse de uzun vadede sektörün güven kazanması için vazgeçilmez. Unutmayalım ki finans dünyasında güveni sarsmak bir an, inşa etmek ise yıllar alır. Kripto endüstrisi de şimdiye kadarki tecrübelerle bunu anlamış durumda.
