SPK Kripto Varlık Hizmet Sağlayıcısı Lisansı: Kapsamlı Rehber 2026

Türkiye, kripto varlık piyasasının düzenlenmesi konusunda önemli bir adım atarak 7518 sayılı Sermaye Piyasası Kanununda Değişiklik Yapılmasına Dair Kanun'u (mevzuat.gov.tr) yürürlüğe koymuştur. Bu kanun, kripto varlık hizmet sağlayıcılarının lisanslanmasını, denetlenmesini ve yatırımcıların korunmasını sağlamaya yönelik kapsamlı bir düzenleyici çerçeve oluşturmaktadır. Sermaye Piyasası Kurulu (SPK), bu alanda düzenleyici ve denetleyici otorite olarak belirlenmiştir.

Kripto varlık piyasası, dünya genelinde hızla büyüyen ve geleneksel finans sistemini dönüştüren bir alan olup Türkiye'de de milyonlarca yatırımcıyı doğrudan ilgilendirmektedir. Düzenleme öncesi dönemde yaşanan platform iflasları, dolandırıcılık vakaları ve yatırımcı kayıpları, kapsamlı bir yasal çerçevenin gerekliliğini açıkça ortaya koymuştur. 7518 sayılı Kanun, bu ihtiyaca yanıt vermekte ve Türkiye'yi kripto varlık düzenlemesi konusunda bölgesindeki öncü ülkeler arasına taşımaktadır.

Bu rehberde kripto varlık hizmet sağlayıcısı lisansının başvuru şartları, sermaye yeterliliği gereksinimleri, MASAK uyum yükümlülükleri, müşteri varlıklarının korunması esasları, siber güvenlik standartları, raporlama ve denetim yükümlülükleri, yaptırım mekanizmaları ve geçiş süreci hükümleri ayrıntılı olarak ele alınmaktadır. Kripto varlık sektöründe faaliyet gösteren veya göstermeyi planlayan kuruluşlar için bu rehber, yasal yükümlülüklerin anlaşılması açısından kapsamlı bir kaynak niteliğindedir.

Lisanslama süreci, kripto varlık ekosisteminin güvenilirliğini artırmanın yanı sıra sektörün kurumsallaşmasına da katkı sağlamaktadır. Lisanslı platformlar, yatırımcılar nezdinde daha yüksek güven oluşturmakta ve kurumsal yatırımcıların piyasaya girişini kolaylaştırmaktadır. Bu durum, Türkiye'nin kripto varlık piyasasının sağlıklı bir şekilde büyümesi açısından olumlu bir gelişmedir.

7518 Sayılı Kanunun Genel Çerçevesi

7518 sayılı Kanun, 6362 sayılı Sermaye Piyasası Kanunu'na kripto varlıklara ilişkin özel hükümler eklemektedir. Kanun, kripto varlığı "dağıtık defter teknolojisi veya benzer bir teknoloji kullanılarak elektronik olarak oluşturulan, saklanan ve transfer edilen, ancak fiat para, kaydi para, elektronik para, ödeme aracı, menkul kıymet veya diğer sermaye piyasası aracı niteliği taşımayan gayri maddi varlıklar" olarak tanımlamaktadır.

Kanun kapsamında düzenlenen kripto varlık hizmetleri arasında kripto varlıkların alım satımına aracılık, kripto varlık saklama hizmeti, kripto varlık transfer hizmeti, kripto varlık portföy yönetimi ve kripto varlık danışmanlık hizmeti yer almaktadır. Bu hizmetlerin her biri için SPK tarafından belirlenen standartlara uygunluk aranmaktadır. Hizmet türüne göre farklı lisans kategorileri ve yükümlülükler öngörülmüştür.

Kanunun temel amaçları arasında yatırımcıların korunması, piyasa bütünlüğünün sağlanması, suç gelirlerinin aklanmasının önlenmesi ve finansal istikrarın korunması yer almaktadır. Bu amaçlar doğrultusunda kanun, kripto varlık hizmet sağlayıcılarına kapsamlı yükümlülükler getirmekte ve SPK'ya geniş düzenleme ve denetleme yetkileri tanımaktadır.

Kanunun uluslararası düzenlemelerle uyumu da dikkat çekicidir. Avrupa Birliği'nin MiCA (Markets in Crypto-Assets) Tüzüğü ve FATF (Financial Action Task Force) tavsiyeleri, Türk düzenlemesinin şekillenmesinde referans kaynak olarak kullanılmıştır. Bu uyum, Türkiye'nin uluslararası standartlara uygun bir düzenleyici çerçeveye sahip olmasını sağlamakta ve sınır ötesi işbirliğini kolaylaştırmaktadır.

Lisans Başvuru Şartları ve Süreç

Kripto varlık hizmet sağlayıcısı lisansı için başvuru, SPK'ya yapılmaktadır. Başvuru sürecinde sunulması gereken belgeler ve yerine getirilmesi gereken şartlar oldukça kapsamlıdır. Başvuru sahibinin anonim şirket olarak kurulmuş olması, merkez adresinin Türkiye'de bulunması ve pay senetlerinin nama yazılı olması temel kuruluş şartları arasındadır.

Yönetim kurulu üyeleri ve genel müdür için aranan nitelikler de ayrıntılı biçimde belirlenmiştir. Bu kişilerin üniversite mezunu olması, belirli bir mesleki deneyime sahip olması, mali suçlardan mahkûm olmamış olması ve SPK tarafından yayımlanan yasaklılar listesinde bulunmaması gerekmektedir. Ayrıca bağımsız yönetim kurulu üyesi bulundurulması da zorunlu tutulmuştur.

Başvuru dosyasında sunulması gereken belgeler arasında şirket ana sözleşmesi, iş planı, organizasyon şeması, mali projeksiyonlar, teknolojik altyapı raporu, siber güvenlik politikası, iç kontrol ve risk yönetim sistemi, MASAK uyum programı ve bağımsız denetim raporu yer almaktadır. İş planının ayrıntılı ve gerçekçi olması, başvurunun değerlendirilmesinde önemli bir kriter olarak ele alınmaktadır.

SPK, başvuruyu aldıktan sonra kapsamlı bir inceleme sürecine tabi tutmaktadır. İnceleme sürecinde başvuru sahibinin mali yapısı, teknolojik altyapısı, yönetim kadrosu, iç kontrol sistemleri ve MASAK uyum programı detaylı biçimde değerlendirilmektedir. SPK, gerekli gördüğünde ek bilgi ve belge talep edebilir veya yerinde inceleme yapabilir. Başvurunun sonuçlandırılma süresi, dosyanın kapsamına ve SPK'nın iş yüküne göre değişmektedir.

Sermaye Yeterliliği ve Mali Gereksinimler

Kripto varlık hizmet sağlayıcılarının mali güçlü olması, hem yatırımcıların korunması hem de operasyonel sürdürülebilirlik açısından büyük önem taşımaktadır. SPK, faaliyet türüne göre farklı asgari ödenmiş sermaye tutarları belirlemiştir. Alım satım platformları için daha yüksek sermaye şartı aranırken, yalnızca saklama hizmeti sunan kuruluşlar için nispeten daha düşük bir tutar öngörülmüştür.

Sermaye yeterliliği, sadece başvuru aşamasında değil, faaliyetin sürdürülmesi süresince de korunması gereken bir şarttır. Kripto varlık hizmet sağlayıcıları, SPK tarafından belirlenen sermaye yeterliliği oranlarını sürekli olarak sağlamak zorundadır. Bu oranlar, şirketin risk profiline, müşteri varlıklarının büyüklüğüne ve faaliyet hacmine göre hesaplanmaktadır.

Mali raporlama yükümlülükleri de sermaye yeterliliğinin bir parçasıdır. Kripto varlık hizmet sağlayıcıları, belirli aralıklarla mali tablolarını ve sermaye yeterliliği raporlarını SPK'ya sunmak zorundadır. Bu raporların bağımsız denetimden geçmiş olması da aranmaktadır. Mali tabloların Türkiye Muhasebe Standartları'na (TMS) uygun olarak hazırlanması gerekmektedir.

Teminat ve sigorta yükümlülükleri de mali gereksinimler arasında yer almaktadır. Kripto varlık hizmet sağlayıcılarının, olası operasyonel riskler ve siber saldırılar nedeniyle oluşabilecek zararları karşılamak üzere belirli tutarda teminat yatırması veya mesleki sorumluluk sigortası yaptırması gerekmektedir. Bu düzenleme, yatırımcıların platform kaynaklı risklerden korunmasını amaçlamaktadır.

Müşteri Varlıklarının Korunması

Müşteri varlıklarının korunması, kripto varlık düzenlemesinin en kritik unsurlarından biridir. 7518 sayılı Kanun, müşteri varlıklarının platform varlıklarından kesin olarak ayrıştırılmasını zorunlu kılmaktadır. Bu ilke, platformun mali sıkıntıya girmesi veya iflas etmesi halinde müşteri varlıklarının korunmasını güvence altına almaktadır.

Kripto varlık saklama hizmetinde soğuk cüzdan (cold storage) kullanımı, güvenlik standartlarının temel unsurlarından biridir. Müşterilere ait kripto varlıkların büyük çoğunluğunun internet bağlantısı olmayan soğuk cüzdanlarda saklanması gerekmektedir. Sıcak cüzdan (hot wallet) kullanımı ise yalnızca günlük işlem hacmini karşılayacak düzeyde sınırlandırılmıştır. Bu uygulama, siber saldırılara karşı varlıkların korunmasını sağlamaktadır.

Müşteri varlıklarının düzenli olarak mutabakat kontrolüne tabi tutulması da zorunludur. Kripto varlık hizmet sağlayıcıları, müşteri hesaplarındaki bakiyeleri ile saklama sistemlerindeki varlıkları düzenli aralıklarla karşılaştırarak tutarsızlıkları tespit etmekle yükümlüdür. Bağımsız denetim kuruluşları tarafından yapılacak periyodik denetimler de bu sürecin önemli bir parçasıdır.

Müşteri varlıklarının platform borçları için rehin verilmesi, teminat gösterilmesi veya herhangi bir şekilde kullanılması kesinlikle yasaktır. Bu yasak, kanunun emredici hükümlerinden olup ihlali ağır yaptırımlara tabidir. Ayrıca müşteri varlıkları, platformun iflası halinde iflas masasına dahil edilemez ve alacaklılar tarafından haczedilemez. Bu düzenleme, müşterilere güçlü bir hukuki koruma sağlamaktadır.

MASAK Yükümlülükleri ve Suç Gelirlerinin Aklanmasının Önlenmesi

Kripto varlık hizmet sağlayıcıları, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (mevzuat.gov.tr) kapsamında yükümlü tutulmuştur. Bu kapsamda müşteri tanıma (KYC), şüpheli işlem bildirimi (SIB), uyum görevlisi atama ve iç denetim programı oluşturma yükümlülükleri bulunmaktadır.

Müşteri tanıma yükümlülüğü, kripto varlık platformlarında hesap açılması aşamasında başlamaktadır. Gerçek kişi müşteriler için kimlik doğrulama, adres teyidi ve risk değerlendirmesi yapılması gerekmektedir. Tüzel kişi müşteriler için ise ticaret sicil kayıtları, ortaklık yapısı, gerçek faydalanıcı bilgileri ve temsil yetkisi belgeleri incelenmelidir. Uzaktan müşteri ediniminde biyometrik kimlik doğrulama ve video görüşme gibi güçlendirilmiş tedbirler uygulanmaktadır.

Şüpheli işlem bildirimi (SIB), aklama veya terörün finansmanı şüphesi oluşturan işlemlerin MASAK'a bildirilmesi yükümlülüğüdür. Kripto varlık platformları, işlem izleme sistemleri kurarak olağandışı işlem kalıplarını tespit etmek ve şüpheli işlemleri derhal bildirmekle yükümlüdür. Bildirim yapılmaması veya gecikmesi halinde ağır idari para cezaları uygulanmaktadır.

Seyahat kuralı (travel rule) uygulaması da kripto varlık platformları için önemli bir MASAK yükümlülüğüdür. FATF tavsiyeleri doğrultusunda, kripto varlık transferlerinde gönderici ve alıcı bilgilerinin transferle birlikte iletilmesi gerekmektedir. Bu kural, kripto varlık transferlerinin izlenebilirliğini artırmaya ve aklama risklerini azaltmaya yönelik uluslararası bir standarttır.

Siber Güvenlik Standartları

Kripto varlık hizmet sağlayıcılarının siber güvenlik altyapısı, lisanslama sürecinde en detaylı incelenen konulardan biridir. SPK, kripto varlık platformlarının uyması gereken asgari siber güvenlik standartlarını belirlemiştir. Bu standartlar, platform altyapısının güvenliğini, müşteri verilerinin korunmasını ve operasyonel sürekliliğin sağlanmasını kapsamaktadır.

Penetrasyon testleri ve güvenlik denetimleri, düzenli aralıklarla bağımsız siber güvenlik firmaları tarafından gerçekleştirilmelidir. Bu testler, platformun güvenlik açıklarının tespit edilmesini ve zamanında giderilmesini sağlamaktadır. Test sonuçları ve alınan önlemler SPK'ya raporlanmalıdır. Kritik güvenlik açıklarının tespiti halinde derhal müdahale edilmesi ve durumun SPK'ya bildirilmesi gerekmektedir.

Çok faktörlü kimlik doğrulama (MFA), şifreli iletişim protokolleri, ağ güvenliği duvarları, izinsiz erişim tespit sistemleri ve düzenli yedekleme prosedürleri, asgari güvenlik gereksinimlerinin başlıcaları arasındadır. Ayrıca çalışanların siber güvenlik eğitimi alması ve sosyal mühendislik saldırılarına karşı bilinçlendirilmesi de zorunlu tutulmuştur.

Olay müdahale planı (incident response plan) hazırlanması ve düzenli olarak test edilmesi de siber güvenlik standartlarının bir parçasıdır. Siber saldırı veya veri ihlali durumunda uygulanacak prosedürler, sorumluluk dağılımı, iletişim planı ve toparlanma süreçleri bu planda detaylı olarak yer almalıdır. Veri ihlali durumunda müşterilerin ve düzenleyici otoritelerin bilgilendirilmesi de yasal bir zorunluluktur.

Raporlama ve Denetim Yükümlülükleri

Kripto varlık hizmet sağlayıcıları, SPK'ya düzenli raporlama yapmakla yükümlüdür. Raporlama yükümlülükleri; mali tablolar, sermaye yeterliliği raporları, işlem hacimleri, müşteri sayıları, şikâyet istatistikleri ve operasyonel risk raporlarını kapsamaktadır. Raporların zamanında ve doğru biçimde sunulmaması, idari yaptırımlara yol açabilmektedir.

Bağımsız denetim, kripto varlık hizmet sağlayıcılarının şeffaflığını ve güvenilirliğini sağlayan temel mekanizmalardan biridir. Yıllık mali tabloların SPK tarafından yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesi zorunludur. Denetim, mali tabloların doğruluğunun yanı sıra iç kontrol sistemlerinin etkinliğini ve düzenleyici uyumu da kapsamaktadır.

Müşteri varlıklarının varlık kanıtı (proof of reserves) denetimi, kripto varlık sektörüne özgü bir denetim türüdür. Bu denetimde, platformun beyan ettiği müşteri varlıklarının gerçekten mevcut olduğu, blokzincir üzerinden doğrulanarak teyit edilmektedir. Varlık kanıtı denetiminin sonuçları kamuoyuyla paylaşılması gereken önemli bir şeffaflık aracıdır.

SPK, gerekli gördüğünde yerinde denetim yapma yetkisine de sahiptir. Yerinde denetimde platformun fiziksel altyapısı, güvenlik önlemleri, personel nitelikleri, kayıt düzeni ve operasyonel süreçler incelenmektedir. Denetim sonucunda tespit edilen eksikliklerin belirli bir süre içinde giderilmesi talep edilir. Eksikliklerin giderilmemesi halinde idari yaptırımlar uygulanabilir veya lisans askıya alınabilir.

Yaptırımlar ve Cezai Hükümler

7518 sayılı Kanun, kripto varlık düzenlemelerine aykırılık halinde uygulanacak yaptırımları ayrıntılı biçimde belirlemiştir. Yaptırımlar; idari para cezaları, lisans askıya alma, lisans iptali, faaliyet durdurma ve cezai yaptırımlar olmak üzere çeşitli türlerden oluşmaktadır. Yaptırımın ağırlığı, ihlalin niteliğine ve ciddiyetine göre belirlenmektedir.

Lisans almaksızın kripto varlık hizmeti sunmak, kanunun en ağır yaptırım öngördüğü ihlallerdendir. Bu durumda hem ağır idari para cezası uygulanmakta hem de sorumlu kişiler hakkında cezai işlem başlatılmaktadır. Ayrıca lisanssız platformun internet erişiminin engellenmesi ve faaliyetlerinin durdurulması da söz konusu olabilmektedir. Bu yaptırımlar, düzenlenmemiş ve denetimsiz faaliyet gösterilmesinin önlenmesini amaçlamaktadır.

Müşteri varlıklarının kötüye kullanılması, platform varlıklarıyla karıştırılması veya izinsiz kullanılması da ağır cezai yaptırımlara tabidir. Bu tür ihlaller, güveni kötüye kullanma suçu kapsamında değerlendirilmekte olup sorumlu yöneticiler hakkında hapis cezasına hükmedilebilmektedir. Ayrıca zarar gören müşterilerin tazminat hakları da saklıdır.

SPK, orantılılık ilkesi çerçevesinde ihlalin ağırlığına göre kademeli yaptırımlar uygulamaktadır. Hafif ihlallerde uyarı ve düzeltme süresi verilirken, ağır ve tekrarlayan ihlallerde lisans iptali ve cezai yaptırımlara kadar giden süreç işletilmektedir. Yaptırım kararlarına karşı idari yargı yoluna başvurulabilir.

Geçiş Süreci ve Mevcut Platformlar

7518 sayılı Kanun, yürürlük tarihinden önce faaliyet gösteren kripto varlık platformları için bir geçiş süreci öngörmüştür. Bu süre içinde mevcut platformların SPK'ya lisans başvurusunda bulunması ve kanun ile ikincil düzenlemelerde belirlenen şartları yerine getirmesi gerekmektedir. Geçiş süresinin sonunda lisans alamayan platformların faaliyetlerini sonlandırması zorunludur.

Geçiş sürecinde mevcut platformlar, belirli koşullar altında faaliyetlerine devam edebilmektedir. Ancak bu süreçte de müşteri varlıklarının korunması, MASAK yükümlülüklerinin yerine getirilmesi ve temel güvenlik standartlarının sağlanması zorunludur. SPK, geçiş sürecinde platformları yakından izlemekte ve gerekli gördüğünde müdahale edebilmektedir.

Lisans başvurusu yapmayan veya başvurusu reddedilen platformlar, müşterilere varlıklarını çekmeleri için makul bir süre tanıyarak faaliyetlerini düzenli biçimde sonlandırmalıdır. Ani kapanma veya müşteri varlıklarına erişimin engellenmesi, ağır hukuki ve cezai sorumluluğa yol açmaktadır. Platformların geçiş sürecini doğru yönetmesi, hem müşteri memnuniyeti hem de hukuki uyum açısından büyük önem taşımaktadır.

Geçiş sürecinde Adalet Bakanlığı ve SPK'nın koordineli çalışması, düzenleyici çerçevenin etkin uygulanmasını sağlamaktadır. Platformlar arası müşteri transferleri, varlık taşıma işlemleri ve hesap kapatma süreçlerinin düzenli yürütülmesi de bu sürecin önemli bir parçasıdır.

Kripto Varlık Sektörünün Geleceği ve Düzenleyici Beklentiler

Türkiye'de kripto varlık düzenlemesinin hayata geçmesi, sektörün kurumsallaşması açısından önemli bir dönüm noktasıdır. Lisanslı platformların artmasıyla birlikte piyasa güveninin yükselmesi, kurumsal yatırımcıların ilgisinin artması ve yeni finansal ürünlerin geliştirilmesi beklenmektedir. Düzenleyici çerçevenin netleşmesi, sektördeki belirsizliği azaltmakta ve yatırım ortamını iyileştirmektedir.

SPK'nın ikincil düzenlemelerinin tamamlanmasıyla birlikte kripto varlık ihracı (token ihracı), merkeziyetsiz finans (DeFi) uygulamaları ve kripto varlık fonları gibi konuların da düzenlenmesi beklenmektedir. Bu düzenlemeler, sektörün genişlemesine ve yeni iş modellerinin ortaya çıkmasına olanak tanıyacaktır.

Uluslararası işbirliği ve karşılıklı tanıma anlaşmaları da gelecek dönemde gündeme gelecek konulardır. Türkiye'nin düzenleyici çerçevesinin uluslararası standartlarla uyumu, sınır ötesi kripto varlık işlemlerinin kolaylaştırılmasını ve Türk platformlarının küresel piyasalarda rekabet gücünün artmasını sağlayacaktır.

Blokzincir teknolojisinin finansal hizmetler dışındaki alanlarda (tedarik zinciri, sağlık, enerji, gayrimenkul gibi) uygulanması da düzenleyici gündemin önemli maddelerinden biridir. Bu alanlardaki düzenlemelerin şekillenmesinde kripto varlık düzenlemesinden elde edilen deneyimlerin değerli bir referans olacağı değerlendirilmektedir.

Sermaye Yeterliliği ve Mali Gereklilikler

Kripto varlık hizmet sağlayıcılarının (KVHS) sermaye yeterliliği gereklilikleri, Sermaye Piyasası Kurulu (SPK) tarafından belirlenen düzenleyici çerçevenin temel unsurlarından birini oluşturmaktadır. Sermaye yeterliliği, platformların mali açıdan güçlü ve sürdürülebilir bir yapıda faaliyet göstermesini sağlamaya yönelik olup yatırımcı koruması açısından hayati önem taşımaktadır. Asgari ödenmiş sermaye şartları, faaliyet türüne göre farklılaşmakta olup alım satım platformları için daha yüksek, yalnızca saklama hizmeti sunacak kuruluşlar için nispeten daha düşük tutarlar aranmaktadır. Sermaye yeterliliği yalnızca başvuru aşamasında değil, faaliyet süresince de sürekli olarak sağlanmak zorunda olup SPK bu durumu düzenli olarak denetlemektedir.

Sermaye yeterliliği hesaplamasında, platformun öz kaynakları ile üstlendiği riskler arasındaki oranın belirli bir eşiğin üzerinde tutulması gerekmektedir. Bu hesaplamada operasyonel risk, piyasa riski ve kredi riski gibi farklı risk kategorileri dikkate alınmaktadır. Platformların aylık bazda sermaye yeterliliği tablosu hazırlayarak SPK'ya raporlaması zorunlu olup oranın belirlenen eşiğin altına düşmesi halinde derhal düzeltici tedbirler alınması gerekmektedir. Sermaye yeterliliğinin sürekli sağlanamaması, faaliyetin askıya alınması ve nihayetinde lisansın iptali ile sonuçlanabilmektedir. Bu düzenleme, geleneksel finans sektöründeki sermaye yeterliliği kurallarından (Basel standartları) esinlenmiş olup kripto varlık sektörünün özelliklerine uyarlanmıştır.

Mali yeterlilik gereklilikleri kapsamında KVHS'lerin bağımsız denetim yaptırması da zorunlu tutulmaktadır. Yıllık mali tabloların bağımsız denetim kuruluşları tarafından denetlenmesi ve denetim raporunun SPK'ya sunulması gerekmektedir. Ayrıca üç aylık dönemler halinde ara dönem mali tabloların hazırlanması ve SPK'ya iletilmesi de zorunludur. Mali tabloların Türkiye Muhasebe Standartları'na (TMS) uygun olarak düzenlenmesi gerekmekte olup kripto varlıkların muhasebeleştirilmesine ilişkin özel kurallar da belirlenmiştir. Kripto varlıkların değerlemesinde gerçeğe uygun değer yönteminin kullanılması ve değerleme farklarının mali tablolara yansıtılması gerekmektedir.

Platformların mali yapısının güçlendirilmesine yönelik olarak yedek akçe ayırma yükümlülüğü ve sigorta zorunluluğu da düzenleyici çerçevenin önemli unsurları arasında yer almaktadır. KVHS'lerin operasyonel risklere karşı sigorta yaptırması veya teminat bulundurması gerekmekte olup bu teminat, olası siber saldırı, hırsızlık veya teknik arıza durumlarında müşteri zararlarının karşılanmasına yönelik bir güvence oluşturmaktadır. Mevzuat Bilgi Sistemi üzerinden 7518 sayılı Kanun'un ve ilgili ikincil düzenlemelerin güncel metinlerine erişilebilmektedir.

Müşteri Varlıklarının Korunması ve Saklama Yükümlülükleri

Müşteri varlıklarının korunması, kripto varlık düzenlemesinin en kritik bileşenlerinden birini oluşturmaktadır. Türk düzenleyici çerçevesi, müşteri varlıklarının platform varlıklarından kesin olarak ayrıştırılmasını (segregation) zorunlu kılmaktadır. Bu ayrıştırma ilkesi, platformun kendi ticari faaliyetleri veya borçları nedeniyle müşteri varlıklarının kullanılmasını veya bu varlıklar üzerinde tasarrufta bulunulmasını engellemektedir. Müşteri kripto varlıkları, platformun iflas etmesi halinde iflas masasına dahil edilememekte olup müşteriler varlıklarını doğrudan talep edebilmektedir. Bu düzenleme, FTX benzeri uluslararası örneklerde yaşanan müşteri varlığı kayıplarının önlenmesine yönelik güçlü bir koruma mekanizması oluşturmaktadır.

Saklama hizmetlerinde soğuk cüzdan (cold wallet) kullanımı, müşteri varlıklarının güvenliğini sağlamanın temel yöntemidir. Soğuk cüzdan, internet bağlantısı bulunmayan ve çevrimdışı ortamda saklanan kripto varlık cüzdanı olup siber saldırı ve yetkisiz erişim risklerini önemli ölçüde azaltmaktadır. Düzenleyici çerçeve, müşteri kripto varlıklarının büyük çoğunluğunun soğuk cüzdanda saklanmasını zorunlu kılmakta olup yalnızca günlük işlem ihtiyacını karşılayacak kadar varlık sıcak cüzdanda tutulabilmektedir. Soğuk cüzdanların fiziksel güvenliğinin sağlanması, erişim yetkilerinin sınırlandırılması ve yedekleme prosedürlerinin uygulanması da zorunlu güvenlik önlemleri arasındadır.

Müşteri varlıklarının düzenli mutabakat kontrolüne tabi tutulması, saklama yükümlülüklerinin önemli bir bileşenidir. Platformlar, blokzincir üzerindeki varlık bakiyeleri ile iç kayıt sistemlerindeki bakiyeleri günlük bazda karşılaştırarak mutabakat sağlamak zorundadır. Herhangi bir tutarsızlık tespit edilmesi halinde derhal araştırma başlatılması ve düzeltici tedbirlerin alınması gerekmektedir. Ayrıca bağımsız denetim kuruluşları tarafından yılda en az bir kez varlık doğrulaması (proof of reserves) yapılması da zorunlu tutulmaktadır. Bu doğrulama, platformun beyan ettiği müşteri varlıklarının gerçekten mevcut olduğunun bağımsız bir şekilde teyit edilmesini sağlamaktadır.

Müşteri nakit varlıklarının korunması da kripto varlık düzenlemesinin kapsamında yer almaktadır. Müşterilerin platformda bulunan Türk lirası ve yabancı para cinsinden nakit varlıkları, platformun kendi hesaplarından ayrı olarak mevduat bankalarında açılan özel hesaplarda saklanmaktadır. Bu hesaplar üzerinde platformun tasarruf yetkisi sınırlı olup müşteri talimatları doğrultusunda işlem yapılmaktadır. Nakit varlıkların Tasarruf Mevduatı Sigorta Fonu (TMSF) güvencesi kapsamında olup olmadığı, düzenleyici çerçevede ayrıca belirlenmektedir.

Siber Güvenlik Gereklilikleri ve Teknolojik Altyapı

Kripto varlık hizmet sağlayıcılarının siber güvenlik yükümlülükleri, düzenleyici çerçevenin teknolojik boyutunu oluşturmaktadır. KVHS'ler, bilgi güvenliği yönetim sistemi (BGYS) kurarak siber güvenlik politikalarını oluşturmak ve uygulamak zorundadır. Bu kapsamda ISO 27001 Bilgi Güvenliği Yönetim Sistemi standardına uygunluk sertifikası alınması veya eşdeğer güvenlik standartlarının karşılanması beklenmektedir. Siber güvenlik politikası; ağ güvenliği, erişim kontrolü, veri şifreleme, olay müdahale planı, felaket kurtarma planı ve iş sürekliliği planı gibi bileşenleri kapsamalıdır. Platformların siber güvenlik altyapısını sürekli güncel tutması ve yeni tehditlere karşı proaktif önlemler alması gerekmektedir.

Sızma testi (penetration test) ve güvenlik açığı taraması, KVHS'lerin düzenli olarak yaptırması gereken teknik denetimlerdendir. Bağımsız siber güvenlik firmaları tarafından yılda en az bir kez kapsamlı sızma testi yapılması ve tespit edilen güvenlik açıklarının belirlenen süre içinde giderilmesi zorunludur. Ayrıca sürekli güvenlik açığı taraması ile sistemlerin anlık olarak izlenmesi ve yeni ortaya çıkan tehditlere karşı otomatik uyarı mekanizmalarının kurulması gerekmektedir. DDoS saldırılarına karşı koruma, SQL enjeksiyonu ve cross-site scripting (XSS) gibi yaygın saldırı vektörlerine karşı güvenlik önlemleri de altyapı gerekliliklerinin ayrılmaz parçasıdır.

Çok faktörlü kimlik doğrulama (MFA), kripto varlık platformlarında kullanıcı hesaplarının güvenliğini sağlamanın temel yöntemidir. Platformların, müşteri hesaplarına giriş, para yatırma-çekme ve işlem onaylama gibi kritik işlemlerde çok faktörlü kimlik doğrulama uygulaması zorunlu tutulmaktadır. Biyometrik doğrulama, donanım anahtarı (hardware key) ve zaman tabanlı tek kullanımlık şifre (TOTP) gibi güvenli doğrulama yöntemlerinin desteklenmesi beklenmektedir. Ayrıca şüpheli hesap hareketlerinin otomatik olarak tespit edilmesi ve gerektiğinde hesabın geçici olarak dondurulması için yapay zekâ destekli izleme sistemlerinin kurulması da önemli bir gerekliliktir.

Veri koruma ve gizlilik yükümlülükleri, siber güvenlik çerçevesinin bir diğer önemli boyutunu oluşturmaktadır. KVHS'ler, müşteri kişisel verilerini 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca korumakla yükümlüdür. Kişisel verilerin yurt içinde saklanması, veri işleme faaliyetlerinin hukuka uygun biçimde yürütülmesi ve veri ihlallerinin belirlenen süre içinde Kişisel Verileri Koruma Kurulu'na bildirilmesi gerekmektedir. Kripto varlık platformlarında toplanan veriler; kimlik bilgileri, finansal veriler, işlem geçmişi ve IP adresi gibi hassas bilgileri içerdiğinden, veri güvenliğinin sağlanması ayrıca önem taşımaktadır.

Denetim, Raporlama ve Uyum Yükümlülükleri

Kripto varlık hizmet sağlayıcılarının denetim ve raporlama yükümlülükleri, düzenleyici gözetimin etkinliğini sağlamaya yönelik kapsamlı bir çerçeve oluşturmaktadır. KVHS'ler, SPK'ya düzenli aralıklarla mali tablolar, sermaye yeterliliği raporları, işlem verileri, müşteri istatistikleri ve uyum raporları sunmak zorundadır. Bu raporlama yükümlülükleri; aylık, üç aylık ve yıllık dönemler halinde farklılaşmakta olup raporların doğruluğu ve eksiksizliğinden şirket yönetimi sorumlu tutulmaktadır. SPK, bu raporları inceleyerek platformun düzenleyici gerekliliklere uygunluğunu değerlendirmekte ve gerektiğinde yerinde denetim gerçekleştirmektedir.

İç denetim ve uyum birimi, KVHS'lerin organizasyon yapısında zorunlu olarak yer alması gereken birimlerdir. İç denetim birimi, platformun iç kontrol sistemlerinin etkinliğini, operasyonel süreçlerin düzenleyici gerekliliklere uygunluğunu ve risk yönetimi politikalarının işlerliğini denetlemektedir. Uyum birimi ise düzenleyici değişikliklerin takibinden, uyum politikalarının güncellenmesinden ve personel eğitimlerinin koordinasyonundan sorumludur. İç denetim ve uyum birimlerinin bağımsızlığının sağlanması, etkin bir denetim mekanizmasının temel koşuludur. Bu birimlerin doğrudan yönetim kuruluna raporlama yapması ve operasyonel birimlerden bağımsız çalışması gerekmektedir.

Bağımsız dış denetim, KVHS'lerin mali tablolarının ve operasyonel süreçlerinin bağımsız bir kuruluş tarafından değerlendirilmesini sağlamaktadır. Yıllık mali tabloların bağımsız denetiminin yanı sıra, bilgi sistemleri denetimi ve MASAK uyum denetimi de bağımsız dış denetim kapsamında gerçekleştirilmektedir. Denetim raporlarının SPK'ya sunulması zorunlu olup olumsuz denetim görüşü verilmesi halinde SPK, platformun faaliyetlerini askıya alabilmektedir. Denetim standartları, Kamu Gözetimi Muhasebe ve Denetim Standartları Kurumu (KGK) tarafından belirlenmekte olup kripto varlık sektörüne özgü denetim rehberleri de hazırlanmaktadır.

Şeffaflık yükümlülükleri de denetim çerçevesinin tamamlayıcı bir bileşenidir. KVHS'ler, listelenen kripto varlıklar hakkında yatırımcılara kapsamlı bilgi sunmak, işlem ücretleri ve komisyon oranlarını açıkça ilan etmek, olağanüstü durumlarda kamuyu aydınlatma yapmak ve yönetim yapısı ile ortaklık bilgilerini güncel tutmak zorundadır. Platform internet sitelerinde risk uyarılarının belirgin biçimde yer alması ve yatırımcıların kripto varlık yatırımlarının risklerini anlayarak işlem yapmasının sağlanması da şeffaflık yükümlülüklerinin kapsamındadır. Adalet Bakanlığı ile SPK arasındaki koordinasyon, düzenleyici gözetimin etkinliğini artırmaktadır.

Lisans Başvuru Sürecinin Aşamaları ve Gerekli Belgeler

Kripto varlık hizmet sağlayıcısı lisans başvuru süreci, kapsamlı bir hazırlık ve dokümantasyon gerektirmektedir. 7518 sayılı Sermaye Piyasası Kanunu'nda Değişiklik Yapılmasına Dair Kanun ile getirilen düzenleme çerçevesinde SPK, lisans başvurularını değerlendirmekte ve faaliyet izni vermektedir. Başvuru öncesinde şirketin anonim şirket olarak kurulması, asgari sermaye koşulunun sağlanması ve ana sözleşmede kripto varlık hizmetlerinin faaliyet konusu olarak yer alması gerekmektedir. Ana sözleşme değişikliklerinin ticaret sicilinde tescil edilmesi ve Türkiye Ticaret Sicili Gazetesinde ilan edilmesi zorunludur.

Lisans başvurusunda sunulması gereken belgeler arasında kapsamlı bir iş planı öne çıkmaktadır. İş planında şirketin faaliyet modeli, hedef pazar analizi, rekabet stratejisi, gelir-gider projeksiyonları, risk değerlendirmesi ve büyüme planı detaylı biçimde açıklanmalıdır. Teknolojik altyapı raporu, kullanılan blokzincir protokollerini, eşleştirme motorunun çalışma prensibini, sipariş defteri yapısını ve sistem kapasitesini açıklamaktadır. Siber güvenlik politikası belgesi, penetrasyon testleri, güvenlik açığı tarama sonuçları ve olay müdahale planını içermelidir. Tüm bu belgelerin güncel ve eksiksiz olması, başvurunun değerlendirilme sürecini hızlandırmaktadır.

Ortaklık yapısı ve yönetim kadrosuna ilişkin uygunluk değerlendirmesi, lisans sürecinin kritik bir aşamasını oluşturmaktadır. SPK, yüzde on ve üzerinde pay sahibi olan ortakların ve yönetim kurulu üyelerinin mali durumunu, adli sicil kayıtlarını, mesleki deneyimlerini ve itibarlarını incelemektedir. Ortakların ve yöneticilerin sermaye piyasası mevzuatına aykırı fiillerden dolayı idari veya cezai yaptırım almamış olması, iflas etmemiş olması ve konkordato ilan etmemiş olması aranan koşullar arasındadır. Ayrıca yönetim kadrosunda finans, teknoloji ve hukuk alanlarında yeterli deneyime sahip profesyonellerin bulunması beklenmektedir.

Lisans başvurusunun değerlendirme süreci, SPK tarafından belirlenen takvime göre yürütülmektedir. Başvurunun ön incelemesi, eksik belge tamamlama süreci, uzman değerlendirmesi ve kurul kararı aşamalarından oluşmaktadır. SPK, başvuru sürecinde ek bilgi ve belge talep edebilmekte, şirket merkezinde yerinde inceleme yapabilmekte ve teknolojik altyapının testini isteyebilmektedir. Lisans kararının olumlu verilmesi halinde faaliyet izni belgesi düzenlenmekte ve platform, lisanslı faaliyet kapsamında işlemlerine başlayabilmektedir. Mevzuat Bilgi Sistemi üzerinden 7518 sayılı Kanun'un güncel metnine erişilebilmektedir.

Müşteri Varlıklarının Korunması ve Ayrıştırma Yükümlülüğü

Müşteri varlıklarının korunması, kripto varlık düzenlemelerinin en temel ilkelerinden birini oluşturmaktadır. Müşteri varlıkları, platform varlıklarından kesin biçimde ayrıştırılmak zorunda olup platform, müşteri varlıklarını kendi operasyonel giderleri, borçları veya yatırımları için kullanamamaktadır. Bu ayrıştırma yükümlülüğü, platformun iflas etmesi halinde müşteri varlıklarının iflas masasına dahil edilmemesini ve doğrudan müşterilere iade edilmesini sağlamaktadır. Ayrıştırma, hem fiat para birimi cinsinden müşteri bakiyeleri hem de kripto varlık cinsinden müşteri varlıkları için geçerlidir.

Soğuk cüzdan saklama zorunluluğu, müşteri kripto varlıklarının büyük çoğunluğunun internet bağlantısı olmayan güvenli depolama ortamlarında saklanmasını gerektirmektedir. SPK düzenlemeleri, müşteri kripto varlıklarının belirli bir oranının soğuk cüzdanlarda tutulmasını zorunlu kılmaktadır. Soğuk cüzdanların fiziksel güvenliği, çoklu imza (multi-sig) mekanizmaları ve yedekleme prosedürleri, varlık güvenliğinin sağlanmasında kritik öneme sahiptir. Sıcak cüzdanlarda tutulan varlık miktarı, günlük işlem hacmiyle orantılı olarak sınırlandırılmaktadır.

Düzenli mutabakat kontrolü, müşteri varlıklarının doğruluğunun ve bütünlüğünün sürekli olarak denetlenmesini sağlamaktadır. Platform, en az günlük bazda müşteri bakiyelerinin toplamı ile saklama ortamlarındaki varlık toplamını karşılaştırmak zorundadır. Mutabakat kontrolünde tespit edilen farklılıklar derhal araştırılmalı ve giderilmelidir. Bağımsız dış denetim kuruluşları tarafından yapılan periyodik denetimler de varlık güvenliğinin doğrulanmasında önemli bir araçtır. Müşteri varlıklarının sigortalanması, sektörde giderek yaygınlaşan bir uygulama olarak öne çıkmaktadır.

Platform operatörünün kişisel sorumluluğu, müşteri varlıklarının korunması yükümlülüğünün ihlali halinde gündeme gelmektedir. Platform yöneticileri, müşteri varlıklarının zimmete geçirilmesi, yetkisiz kullanılması veya kaybedilmesi halinde hem hukuki hem de cezai sorumluluk altındadır. Güveni kötüye kullanma suçu, Türk Ceza Kanunu'nun 155. maddesi kapsamında değerlendirilmekte olup ağır cezai yaptırımlar öngörülmektedir. Adalet Bakanlığı ile SPK arasındaki koordinasyon, müşteri varlıklarının korunmasına yönelik denetim mekanizmasını güçlendirmektedir.

Siber Güvenlik Yükümlülükleri ve Teknolojik Altyapı Standartları

Kripto varlık hizmet sağlayıcılarının siber güvenlik yükümlülükleri, SPK düzenlemeleri ve bilgi güvenliği standartlarıyla kapsamlı biçimde belirlenmiştir. Platform, bilgi güvenliği yönetim sistemi (BGYS) kurarak ISO 27001 standardına uygun bir güvenlik çerçevesi oluşturmak zorundadır. Güvenlik politikaları, erişim kontrol mekanizmaları, veri şifreleme standartları, ağ güvenliği önlemleri ve fiziksel güvenlik tedbirleri BGYS'nin temel bileşenleridir. Yıllık penetrasyon testleri ve güvenlik açığı taramaları, bağımsız siber güvenlik firmaları tarafından gerçekleştirilmeli ve raporları SPK'ya sunulmalıdır.

DDoS saldırılarına karşı koruma, iç tehdit yönetimi, sosyal mühendislik saldırılarına karşı eğitim ve olay müdahale planı, siber güvenlik stratejisinin kritik bileşenleridir. Platform, siber saldırı durumunda uygulanacak olay müdahale prosedürlerini önceden belirlemiş olmalı ve bu prosedürleri düzenli olarak tatbikat yoluyla test etmelidir. Siber güvenlik olaylarının SPK'ya ve gerekli hallerde MASAK'a bildirilmesi zorunlu olup bildirimin gecikmesi idari yaptırım sebebi oluşturabilmektedir. Saldırı sonrası adli bilişim incelemesi ve zarar tespit raporu hazırlanması da yükümlülükler arasındadır.

Sistem sürekliliği ve felaket kurtarma planı, platformun kesintisiz hizmet sunabilmesi için zorunlu bir altyapı gereksinimidir. Yedekli sunucu yapıları, coğrafi olarak dağıtılmış veri merkezleri, otomatik yük dengeleme sistemleri ve anlık veri replikasyonu, sistem sürekliliğini sağlayan teknik çözümler arasındadır. Felaket kurtarma planında, farklı senaryolara göre toparlanma süreleri (RTO) ve veri kaybı toleransları (RPO) belirlenmelidir. Planın yılda en az bir kez tam kapsamlı tatbikat ile test edilmesi ve sonuçların belgelenmesi gerekmektedir.

Akıllı sözleşme güvenliği, merkeziyetsiz finans (DeFi) protokolleriyle etkileşimde bulunan platformlar için ayrı bir güvenlik katmanı oluşturmaktadır. Akıllı sözleşme denetimleri, bağımsız güvenlik firmaları tarafından yapılmalı ve denetim raporları kamuya açıklanmalıdır. Akıllı sözleşmelerdeki güvenlik açıklarının istismar edilmesi, müşteri varlıklarının kaybına yol açabileceğinden, güvenlik denetimlerinin düzenli olarak tekrarlanması büyük önem taşımaktadır. SPK, platform güvenlik standartlarını belirlerken uluslararası en iyi uygulamaları ve FATF tavsiyelerini dikkate almaktadır.

Yatırımcı Koruması ve Şeffaflık Yükümlülükleri

Yatırımcı koruması, kripto varlık düzenlemelerinin temel hedeflerinden birini oluşturmaktadır. Platform, yatırımcılara kripto varlık yatırımlarının risklerini açıkça bildirmek zorundadır. Risk uyarıları, platform internet sitesinde ve mobil uygulamada belirgin biçimde yer almalı ve yatırımcıların işlem yapmadan önce riskleri anladığını teyit etmesi sağlanmalıdır. Kripto varlık piyasalarının yüksek volatilitesi, likidite riskleri, teknolojik riskler ve düzenleyici riskler, yatırımcılara bildirilmesi gereken başlıca risk unsurlarıdır.

Listeleme kriterleri, platformda işlem görecek kripto varlıkların seçiminde uygulanan standartları belirlemektedir. Platform, kripto varlıkların listelenmesinde güvenlik, şeffaflık, teknolojik sağlamlık ve piyasa derinliği gibi kriterleri değerlendirmek zorundadır. Listeleme kararlarının gerekçeli olarak belgelenmesi ve düzenleyici otoriteye bildirilmesi gerekmektedir. Listelenen kripto varlıklar hakkında yatırımcılara kapsamlı bilgi sunulması, projenin teknik özellikleri, ekibi, yol haritası ve risk faktörlerinin açıklanması da şeffaflık yükümlülüklerinin kapsamındadır.

İşlem kuralları ve piyasa bütünlüğü, yatırımcı güveninin korunmasında kritik bir role sahiptir. Piyasa manipülasyonu, içeriden öğrenenlerin ticareti ve yapay fiyat oluşturma gibi kötü niyetli faaliyetlerin tespit edilmesi ve önlenmesi platformun yükümlülüğündedir. Şüpheli işlem kalıplarını tespit eden gözetim sistemlerinin kurulması, anormal fiyat hareketlerinin izlenmesi ve gerektiğinde işlemlerin durdurulması gibi piyasa gözetim mekanizmaları uygulanmalıdır. SPK, piyasa bütünlüğünün korunması amacıyla platformları düzenli olarak denetlemektedir.

Şikayet yönetimi ve uyuşmazlık çözümü süreçleri de yatırımcı korumasının önemli bileşenleridir. Platform, yatırımcı şikayetlerini etkin biçimde yönetmek üzere bir şikayet mekanizması kurmak zorundadır. Şikayetlerin belirli süreler içinde yanıtlanması, çözüm önerilerinin sunulması ve çözülemeyen şikayetlerin üst mercilere yönlendirilmesi prosedürleri belirlenmelidir. SPK, yatırımcı şikayetlerini doğrudan da kabul etmekte olup ciddi ihlal tespitlerinde idari yaptırım uygulayabilmektedir. Mevzuat Bilgi Sistemi üzerinden Sermaye Piyasası Kanunu'nun yatırımcı korumasına ilişkin hükümlerine erişilebilmektedir.

Vergilendirme ve Mali Yükümlülükler

Kripto varlık hizmet sağlayıcılarının vergisel yükümlülükleri, kurumlar vergisi, KDV, BSMV ve stopaj gibi çeşitli vergi türlerini kapsamaktadır. Platform, elde ettiği komisyon ve hizmet gelirleri üzerinden kurumlar vergisi ödemekle yükümlüdür. Kripto varlık işlemlerinin KDV'ye tabi olup olmadığı, işlemin niteliğine göre değerlendirilmektedir. Finansal hizmet niteliğindeki işlemler BSMV kapsamında değerlendirilirken, mal ve hizmet teslimi niteliğindeki işlemler KDV'ye tabi tutulabilmektedir. Vergi mevzuatındaki gelişmelerin yakından takip edilmesi, uyum yükümlülüklerinin doğru yerine getirilmesi açısından büyük önem taşımaktadır.

Yatırımcıların kripto varlık alım satımından elde ettiği kazançların vergilendirilmesi, güncel bir mevzuat konusu olarak tartışılmaktadır. Gerçek kişilerin kripto varlık ticaretinden elde ettiği gelirin değer artış kazancı veya ticari kazanç olarak nitelendirilmesi, vergilendirme rejimini belirlemektedir. Sürekli olarak alım satım yapan kişilerin faaliyeti ticari kazanç olarak değerlendirilmekte olup bu durumda gelir vergisi beyannamesi verilmesi ve defter tutulması gerekmektedir. Arızi nitelikteki kazançlar ise belirli koşullar altında değer artış kazancı olarak değerlendirilmektedir.

Platformun fatura düzenleme ve belge saklama yükümlülükleri, Vergi Usul Kanunu hükümlerine tabidir. Hizmet komisyonları için fatura düzenlenmesi, muhasebe kayıtlarının usulüne uygun tutulması ve belgelerin yasal sürelerde saklanması zorunludur. E-fatura ve e-defter uygulamaları, kripto varlık hizmet sağlayıcıları için de geçerli olup dijital belge düzeninin oluşturulması gerekmektedir. Vergi denetimlerine hazırlıklı olmak için muhasebe kayıtlarının güncel ve eksiksiz tutulması, işlem kayıtlarının arşivlenmesi ve vergi beyannamelerinin zamanında verilmesi büyük önem taşımaktadır.

Uluslararası vergi uyumu ve bilgi paylaşımı, kripto varlık sektöründe giderek artan bir düzenleyici beklentidir. OECD'nin Kripto Varlık Raporlama Çerçevesi (CARF), kripto varlık hizmet sağlayıcılarının müşteri bilgilerini vergi otoriteleriyle otomatik olarak paylaşmasını öngörmektedir. Türkiye'nin bu çerçeveye uyum süreci, platformların bilgi raporlama sistemlerinin güncellenmesini gerektirmektedir. Çifte vergilendirmeyi önleme anlaşmaları da uluslararası kripto varlık işlemlerinin vergilendirilmesinde dikkate alınmaktadır.

Lisans Başvurusunda Sık Yapılan Hatalar

Kripto varlık hizmet sağlayıcılarının SPK lisans başvurusunda en sık karşılaştığı sorunların başında sermaye yeterliliği belgelerinin eksik sunulması gelmektedir. Başvuru dosyasında asgari sermaye tutarının karşılandığını gösteren mali tabloların bağımsız denetimden geçmiş olması zorunludur. Sermaye yapısının şeffaf biçimde ortaya konulması ve ortaklık yapısındaki dolaylı pay sahipliğinin tam olarak açıklanması gerekmektedir. Ödenmiş sermayenin nakit olarak karşılanması ve taahhüt edilen sermayenin belirli süreler içinde ödenmesi koşulu, başvuru sürecinde dikkatle takip edilmelidir. Sermaye yeterliliğine ilişkin belgelerdeki tutarsızlıklar, başvurunun reddine yol açan en yaygın nedenler arasında yer almaktadır.

Bilgi teknolojileri altyapısına ilişkin gereksinimlerin yetersiz karşılanması, lisans başvurularında karşılaşılan bir diğer kritik hatadır. SPK, platformların siber güvenlik standartlarını karşılamasını, veri yedekleme sistemlerinin oluşturulmasını ve felaket kurtarma planlarının hazırlanmasını zorunlu kılmaktadır. Penetrasyon testleri ve güvenlik denetim raporlarının başvuru dosyasına eklenmesi gerekmektedir. Müşteri varlıklarının platform varlıklarından ayrı tutulmasını sağlayan teknik altyapının kurulması da lisans koşulları arasında yer almaktadır. Bilgi teknolojileri altyapısının mevzuat gereksinimlerini karşılamadığının tespiti halinde başvuru eksiklik bildirimi ile iade edilmektedir.

Uyum programı ve iç kontrol sisteminin yetersizliği, başvuruların değerlendirilme sürecinde sıklıkla tespit edilen bir eksikliktir. Müşterini tanı prosedürlerinin mevzuata uygun biçimde oluşturulması ve şüpheli işlem bildirimi süreçlerinin tanımlanması zorunludur. İç denetim biriminin bağımsızlığının sağlanması ve uyum görevlisinin yeterli yetki ve sorumluluklarla donatılması gerekmektedir. Risk yönetim politikalarının yazılı hale getirilmesi ve düzenli güncellenmesi, lisans değerlendirmesinde olumlu etki yaratan faktörler arasındadır. MASAK yükümlülüklerine ilişkin prosedürlerin başvuru aşamasında hazır olması da başvurunun olumlu sonuçlanma olasılığını artırmaktadır.

Yönetici ve denetim kurulu üyelerinin uygunluk değerlendirmesinde karşılaşılan sorunlar da başvuru sürecini olumsuz etkileyebilmektedir. SPK, platform yöneticilerinin mesleki yeterlilik koşullarını taşımasını ve belirli suçlardan mahkum olmamış olmalarını aramaktadır. Yönetim kadrosunun finans veya teknoloji sektöründe yeterli deneyime sahip olması beklenmektedir. Ortaklık yapısında yer alan tüzel kişilerin gerçek hak sahipliğinin şeffaf biçimde açıklanması da değerlendirme kriterlerinden birini oluşturmaktadır. Sermaye Piyasası Kanunu hükümlerine uyumun eksiksiz sağlanması, başvurunun başarıyla sonuçlanması için temel gerekliliktir.

Sık Sorulan Sorular