KPMG Türkiye Fintech ve Dijital Finans Lideri Sinem Cantürk, Fintechtime Kasım sayısı için yazdı “Ödeme Sistemleri Dünyasında Beklenen Mevzuat Değişikliği Gerçekleşti”.

Ödeme Sistemleri Dünyasında Beklenen Mevzuat Değişikliği Gerçekleşti. Sektörün geleceğini şekillendiren önemli bir adım niteliğindeki bu düzenlemeler, ödeme dünyasında daha fazla rekabet, inovasyon ve müşteri odaklı hizmet sunma fırsatını beraberinde getiriyor. Ancak, kuruluşların bu süreçte kısıtlama ve uyum gereksinimlerini de dikkate alarak bir stratejik yol haritası oluşturması kritik önem taşıyor.

 

Ödeme Sistemleri Dünyasında Beklenen Mevzuat Değişikliği Gerçekleşti!

TCMB tarafından “Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik” ve “Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğde Değişiklik Yapılmasına Dair Tebliğ” 7 Ekim 2023 tarihinde 32332 sayılı Resmî Gazete’de yayımlandı.

Mevzuatta yapılan değişiklik, ödeme sistemleri dünyasını etkileyen kapsamlı bir düzenleme ve bu konuya ilişkin öne çıkan başlıkları aşağıdaki şekilde özetleyebiliriz:

  • Dijital cüzdan hizmeti ve istisnaları,
  • Kıymetli maden ve kıymetli taş alım satımı ile ilgili faaliyetlere aracılık edilmesi kapsamında sunulacak hizmetler,
  • Ödeme hizmeti kapsamına girmeyen ancak bireysel bütçe yönetimi, fatura yönetimi, hesap doğrulama, ödemelere ilişkin hatırlatmalar gibi gerçek kişilerin mali durum ve finansal farkındalığını destekleyerek sunulan ödeme hizmetlerini kolaylaştıran, güvenli kılan veya etkinliğini artıran nitelikli hizmetlerin sunulması,
  • Ödeme emri başlatma hizmetleri olarak tanımlanan kart saklama hizmetleri ve dijital cüzdanlar ile ilişkisi,
  • İştirakleri bulunan ÖHS’lere ilişkin kurallar,
  • Asgari öz kaynak hesaplaması ve banka nezdinde tutulması gereken teminatlarda değişiklik,
  • Lisans alma sürecinde talep edilen dokümanlarda değişiklikler,
  • Lisans alımı kapsamında banka tarafından tebliğ edilen eksikliklerin tamamlanma süresine ilişkin tanımlamalar,
  • MASAK parasal sınırları kapsamında güncellemeler,
  • Dış hizmet sağlayıcılara ilişkin hükümler,
  • Denetim izi kayıt sistemine ilişkin hükümler,
  • Uzaktan iletişim aracı ile yürütülecek süreçlere ilişkin güncellemeler,
  • Açık bankacılık hizmetlerine ilişkin kurallar belirlendi.

 

Son derece kapsamlı olan ve sektör tarafından bir süredir merakla beklenen bu düzenlemelerde öne çıkan bazı konu başlıklarına yakından bakalım.

 

Dijital cüzdan hizmetlerine yeni düzenleme: Ne değişiyor?

Bu düzenlemeyle birlikte, dijital cüzdan hizmetleri mevzuatımızda ilk kez tanımlanmıştır ve bu hizmetin yalnızca ödeme hizmeti sağlayıcıları tarafından sunulabileceği belirtilmiştir. Buna göre, dijital cüzdan hizmeti sunan şirketlerin iş modellerine bağlı olarak lisans alması gerekecektir.

Düzenlemeler, dijital cüzdan hizmeti sunan kuruluşların, Staged Wallet[1] ve Pass-Through Wallet[2] gibi farklı iş modellerini tanımlamıştır.

Staged Wallet, hâlihazırda elektronik para lisansına sahip kuruluşların yürüttüğü bir iş modelidir. “Pass-Through Wallet” ise mevcut bir ödeme aracının tokenizasyonuyla çalışan ve fon tutmayan bir iş modelidir. TCMB tarafından açık bankacılık hizmeti olarak değerlendirilen “Pass-Through Wallet” gibi modeller için ödeme emri başlatma hizmeti lisansına sahip olması gerekmektedir. Buna göre, lisans sahibi kuruluşların gerekli değerlendirmeleri yaparak lisans genişletme başvurusu yapmalarına gerek olup olmadığını belirlemeleri önem taşıyor.

Bu düzenleme, ödeme sistemleri ve fintech’ler açısından bazı istisnalar sunuyor. Özellikle “kapalı devre” olarak bilinen cüzdanlar ve kart saklama iş modelleri, istisna kapsamında ele alınıyor. Benzer şekilde, teknik hizmet sağlayıcıları da cüzdan hizmetlerini desteklemek için teknik altyapı sağladıkları, ancak bu hizmeti kendileri sunmadığı için istisna kapsamında.

Düzenlemede, dijital cüzdan kapsamına giren hizmetlere ilişkin gerekli lisansların alınması için son süre 7 Ekim 2024 olarak belirtilmiştir. Sektörde daha fazla inovasyon ve rekabeti teşvik edecek bu düzenleme karşısında, şirketlerin iş stratejilerini gözden geçirmek ve uyum sağlamak için rehberlik eşliğinde gerekli aksiyonları almaları kritik önem taşıyor.

 

Fintech’lerin faaliyet alanı genişliyor

Düzenleme, ödeme ve elektronik para kuruluşlarının mevcut yetkilerine ek olarak yeni faaliyet alanlarını da beraberinde getiriyor. Finansal kuruluşların bu noktada, kıymetli maden ve taş ticareti ve döviz alım satımı gibi ek faaliyetlerle gelir kaynaklarını çeşitlendirme imkanına kavuştuğu söylenebilir.

 

Yönlendirme hizmeti ve arayüz sağlayıcılık: Müşterilerin mevzuat çerçevesinde yetkili bir otorite tarafından düzenlenen ve denetlenen finansal kuruluşların hizmetlerine ulaşması için müşteriye sunulan pazarlama ve ilgili finansal kuruluşun sistemlerine yönlendirme gibi ödeme hizmetlerinin kullanımını arttırabilecek nitelikteki yan hizmetler sunabilirler. Ayrıca, Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik kapsamında arayüz sağlayıcı olarak hizmet sunabilirler. Söz konusu iş modelleri sayesinde finansal hizmete erişimi kolaylaştırabilir ve müşteri sadakatini artırabilir. Ancak burada dikkat edilmesi gereken nokta, fintech şirketlerinin sundukları yönlendirme hizmeti faaliyetlerinde asli faaliyetlerinin tamamını kapsayamayacağıdır. Örneğin, bir ödeme işlemi sağlayıcısı aynı zamanda bir bankacılık faaliyeti sunamaz veya bir sigorta şirketi tüketici kredileri sunamaz.

 

Kıymetli maden ve taş aracılığı: Düzenleme, kıymetli maden ve taş alım-satımı aracılığına olanak tanımaktadır. Söz konusu iş modeli ile ilgili kuruluşlar için yeni bir iş alanı oluşmuştur. Ancak sınırlamaların dikkate alınması gerektiğini unutmamak önemlidir. Kuruluşun bir ay içerisinde aracılık edeceği azami işlem miktarının, bir önceki takvim yılındaki ödeme hacminin yüzde biri ile sınırlı olması şartı getirilmiştir. Ayrıca, kuruluşların kıymetli maden ve taş alım satımını doğrudan kendisinin yapamayacağı belirtilmiştir.

 

Nitelikli hizmetler ve katma değerli hizmetler: Nitelikli hizmetler, ödeme hizmeti kapsamına girmeyen ancak bireysel bütçe yönetimi, fatura yönetimi, hesap doğrulama, ödemelere ilişkin hatırlatmalar gibi gerçek kişilerin mali durum ve finansal farkındalığını destekleyerek sunulan ödeme hizmetlerini kolaylaştıran, güvenli kılan veya etkinliğini artıran hizmetler olarak tanımlanmıştır. Buna göre, açık bankacılık şirketlerinin sadece tüzel kişilere değil, gerçek kişilere de “nitelikli hizmet” sunmasının önü açılmıştır.

Dikkat edilmesi gereken nokta; açık bankacılık lisansına sahip kuruluşların bu hizmetleri hem kendi hem de diğer ödeme hizmeti sağlayıcıları nezdinde bulunan hesaplarla ilgili olarak sunabilirken diğer kuruluşların bu hizmetleri sadece kendi nezdindeki hesapları ile ilgili olarak sunabileceğidir.

Bu düzenlemeler, finansal kuruluşlara daha fazla esneklik ve fırsat sunarken aynı zamanda dikkat edilmesi gereken bazı uyum gereksinimlerini ve sınırlamaları beraberinde getiriyor. Fintech’ler, yeni faaliyet alanlarını ve iş fırsatlarını değerlendirirken bu düzenlemeleri yakından takip etmelidir.

 

İştirakleri bulunan ÖHS’lere ilişkin kurallar neler?

Yeni düzenlemeyle birlikte, kontrol ilişkisi bulunan bir ÖHS:

  • Kontrolünü elinde bulundurduğu diğer ÖHS’lere aynı nitelikteki hizmetleri aynı şartlar ve imkanlar dahilinde ve aynı ücret politikası ile sunmakla yükümlüdür.
  • Kendi müşterilerini kontrolünü elinde bulundurduğu ÖHS’lerden hizmet almak üzere yönlendiremez veya zorlayamaz.
  • Kontrolünü elinde bulunduran diğer ÖHS adına işlem yaptığı izlenimini uyandıracak ifadeleri kullanamaz.
  • Sunacağı hizmetlere ilişkin olarak her türlü belge, ilan, reklam ve kamuoyuna yaptığı açıklamalarda kontrolünü elinde bulunduran ÖHS adına işlem yaptığı izlenimini uyandıracak ifadeleri kullanamaz.

Finansal hizmetler sektöründe rekabeti artıracağı öngörülen bu düzenleme, aynı şirketler grubuna veya iştiraklere bağlı olan ÖHS’ler arasında adil bir rekabeti teşvik etmeyi ve müşterilere eşit koşullarda hizmet sunmayı amaçlar.

 

Lisans süreçlerindeki dokümanlar ve sürelerle ilgili düzenlemeler

  • İlk bildirim aşamasındaki bilgi ve belgelerdeki eksiklikler, TCMB tarafından belirtildiğinde, bu eksikliklerin giderilmesi için başvuru sahibine üç ay süre tanınır. Eksiklikler bu süre içinde giderilmezse lisans başvurusu yapılmamış sayılır.
  • Mevcut lisans sahipleri için faaliyet genişletme başvurusu yapılırken bilgi ve belgelerdeki eksikliklerin giderilmesi için altı aylık bir süre verilir. Bu süre içinde eksiklikler giderilmezse faaliyet genişletme başvurusu yapılmamış sayılır.
  • Bilgi sistemleri ile doğrudan ilgisi olmayan konularda alınacak raporları verme yetkisine sahip bağımsız denetim kuruluşlarının, “kamu yararını ilgilendiren kuruluşlar dahil” bağımsız denetim yapma yetkisine sahip olmaları gerekmektedir. Bu, daha geniş bir bağımsız denetim ağına ihtiyaç duyulduğunu ifade ederek bağımsız denetim konusunda daha sıkı bir düzenlemeye işaret ediyor.
  • Başvuru yapan şirketlerden gerçek ve tüzel kişi nitelikli pay sahipleri ile kontrolü elinde bulunduran kişilerden Findeks kredi notu ve iflas konkordato belgesi istenmesi gerekmektedir. Bu, lisans başvurusu yapanların finansal geçmişlerinin ve ödeme kapasitelerinin daha yakından incelendiğini gösterir.

 

Yurt dışına veri aktarımında esneklik

Yönetmelikte öne çıkan diğer bir düzenleme de ödeme işlemindeki taraflardan birinin yurt dışında bulunduğu durumda, kuruluş verileri yurt içinde saklamaya devam etmek koşuluyla sadece ödeme işlemini sorunsuz bir şekilde gerçekleştirebilecek şekilde ihtiyaç duyan veriyi yurt dışındaki ilgili üçüncü partilerle paylaşabilir. Ancak belirtildiği üzere, bu paylaşım müşteriden gelen talep veya talimata bağlı olarak ölçülülük ilkesiyle yalnızca ilgili işlemle sınırlı olacak şekilde gerçekleştirilmelidir.

TCMB, ödeme sistemlerinin bu düzenlemeden olumsuz etkilendiğine karar vermesi halinde ilave kısıtlamalar getirmeye yetkilidir.

 

Bilgi Sistemleri Tebliği çerçevesinde öne çıkan değişiklikler

  • Veri güvenliği ve mahremiyeti maddesi kapsamında, Tebliğ’in bir önceki versiyonunda yer alan hassas müşteri verileri, müşteri bilgilerinin ve rekabete duyarlı verilerin şifrelenerek saklanması gereksinimine ilişkin beklenti hafifletilmiş, düzenleme ile rekabete duyarlı verilerin şifrelenerek saklanması gereksinimi yükümlülük olmaktan çıkmıştır.
  • Denetim izlerinin oluşturulması maddesi kapsamında, denetim izi kayıt sisteminde tutulan denetim izlerinin içermesi beklenen asgari alanlara “iletişim ağı protokolü, zaman ve kaynak ile hedef port ve IP bilgileri” eklenmiştir. Ayrıca, denetim izi sisteminin durması halinde izlenerek süreç belirlenmiştir.
  • Bilgi sistemleri dış hizmet alımı maddesi kapsamında, topluluk bulut hizmetinin kuruluşun bilgi sistemleri ile alakalı olarak hizmet sunan bağlı ortaklıkları tarafından verilmesinin önü açılmıştır. Bilgi sistemleri dış hizmet sağlayıcılar ile imzalanacak sözleşmelerde asgari olarak olması beklenen maddelerde, alınan dış hizmetin niteliği kapsamında değerlendirme yapılarak niteliğiyle bağdaştığı ölçüde uygulanmasının önü açılmıştır. Ayrıca, kritik bilgi sistemleri ve güvenlik kapsamında alınacak ürün ve hizmetlerin Türkiye’de üretilmesi veya üreticilerinin AR-GE merkezlerinin Türkiye’de olmasının, dış hizmet alımı sırasında önemli bir kriter olarak değerlendirilmesi beklenmektedir.
  • Uzaktan iletişim aracı ile yürütülecek süreçler kapsamında, bu süreçlerde kullanılan bilgi sistemleri kritik bilgi sistemleri olarak tanımlanmış ve ilgili süreç akışı detaylandırılmıştır.

 

Açık bankacılığa uyum için ilave süre

Bu düzenlemeyle açık bankacılıkla ilgili belirli uyum süreleri uzatıldı. Buna göre:

  • Ödeme hizmeti sağlayıcılarının müşterilerine doğrudan çevrim içi erişim imkanı sağlayamayanlar, BKM (Bankalararası Kart Merkezi) entegrasyonuna ilişkin yükümlülüklerini 31 Aralık 2025 tarihine kadar yerine getirebilecekler.
  • Ödeme hizmeti sağlayıcılarının, lisans süreci devam edenlerle açık bankacılık lisansı almış kuruluşlara, BKM GEÇİT dışında standart olmayan servisleri kullanarak verme süresi 30 Haziran 2024’e kadar uzatılmıştır.
  • Lisans sürecinde olan açık bankacılık kuruluşları, BKM GEÇİT’te bulunan veri paylaşım servislerini 30 Haziran 2024’e kadar standart olmayan servisler kullanarak sunabilirler.
  • Bankalar ve açık bankacılık kuruluşları, 2020’de gerçekleştirilen hesaba ödeme işlemleri açısından, toplam adede göre ilk on katılımcı arasında yer almayan ödeme hizmeti sağlayıcıları nezdinde bulunan ödeme hesapları için BKM GEÇİT tarafından belirlenen veri paylaşım servislerini 30 Haziran 2024’e kadar standart olmayan servisler kullanarak sunabilirler.

 

Sonuç olarak

Sektörün geleceğini şekillendiren önemli bir adım niteliğindeki bu düzenlemeler, ödeme dünyasında daha fazla rekabet, inovasyon ve müşteri odaklı hizmet sunma fırsatını beraberinde getiriyor. Ancak, kuruluşların bu süreçte kısıtlama ve uyum gereksinimlerini de dikkate alarak bir stratejik yol haritası oluşturması kritik önem taşıyor.

 

[1] Dijital cüzdanın iş yerlerinde ödeme aracı olarak kullanıldığı ve ödeme işlemine ilişkin fonun dijital cüzdan hizmeti sunan kuruluş üzerinden aktarıldığı model.
[2] Mevcut ödeme aracının tokenizasyonuyla çalışan ve fon tutmayan model.