ELEKTRONİK PARA VE ÖDEME HİZMETİ KURULUŞLARINA İLİŞKİN BİLGİ NOTU

1. ELEKTRONİK PARA VE ÖDEME HİZMETİ KAVRAMSAL ALTYAPISI

Elektronik para, basit şekilde ifade etmek gerekirse gündelik yaşamda kullanılan paranın, elektronik para kuruluşu gibi gerekli izinleri almış bir kuruluşa yatırılması neticesinde elektronik ortamda kullanım imkânı olan karşılığı şeklinde tanımlanabilir.

Ödeme hizmeti ise, yine Kanun’daki tanımından yola çıkıldığında, ödeme hizmeti kullanıcıları için hesap açılması, fiziki ve sanal ön ödemeli kart çıkarılması, yurtiçi veya yurtdışına para gönderimi, cep telefonu faturasına yansıtılmak üzere harcama yapılması, fatura ödeme hizmeti, açık bankacılık kapsamında tüm hesapların tek uygulama üzerinden yönetimi ve görüntülenmesi gibi faaliyetleri içermektedir.

Elektronik para kuruluşları (“EPK”) ve ödeme kuruluşları (“ÖK”), bankalara kıyasla bankaların gerçekleştirdiği faaliyetler açısından daha sınırlı olarak sadece ödemeye aracılık, elektronik para ihracı ve ön ödemeli kart çıkarılmasına yönelik faaliyetleri gerçekleştirmektedir.

EPK ile ÖK arasındaki temel fark ise, EPK topladığı fon karşılığında elektronik para ihraç etme imkanını haiz olmasına rağmen, ÖK’lar bu imkândan yoksundur. Dolayısıyla, ÖK’ların elektronik para ihraç etme fonksiyonu bulunmamaktadır. Ancak, EPK ve ÖK her ikisinin de fiziki POS ve/veya sanal POS hizmeti sunmak, para aktarımına aracılık etmek, fatura ödenmesine aracılık etme gibi işlevleri söz konusudur.

6493 Sayılı Kanun ve sair yasal mevzuat gereğince, EPK ve ÖK’ların organizasyonel yapıları ile olarak “birim” ve “sistem” kavramlarına yer verildiği görülmektedir. “Birim” konusunda EPK ve ÖK’ların üç fonksiyonu bulunmaktadır: (i) Şikayet ve itirazlarla ilgili birim, (ii) risk yönetim birimi, (iii) iç kontrol birimi. İç kontrol birimine, uygulamada MASAK mevzuatından dolayı uyum (compliance) faaliyeti de eklenmektedir. “Sistem” olarak tanımlanan fonksiyonlar ise esas itibariyle muhasebe, raporlama, bilişim gibi fonksiyonlardır.

2. EPK VE ÖK’LARIN ANA FAALİYET KONULARI

Ödeme hizmeti, 6493 Sayılı Kanun’un 12. maddesinde sayılan faaliyetler olarak tanımlanmış olup uygulamada ana faaliyet konuları şunlardır:

• Ödeme hesabı tutulması
• Fiziki POS ve sanal POS başta olmak üzere kredi kartı, banka kartı, ön ödeme kartı gibi ödeme araçları ile yapılan ödeme işlemlerine aracılık
• Ön ödemeli kart ihracı ile ön ödemeli kartın ödeme aracı olarak kabul edilerek işlem yapılması
• Yurtiçine veya yurtdışına para gönderimine aracılık
• GSM şirketleri tarafından sağlanan cep telefonu faturasına yansıtılan ödeme hizmeti
• Fatura tahsilatına aracılık
• Bir finansal uygulamadan diğer kuruluşlardaki tüm parasal hesapları kullanarak ödeme yapılmasını sağlayan ödeme hizmeti
• Bir finansal uygulamadan diğer kuruluşlardaki tüm parasal hesapları görebilmeye imkan sağlayan hizmeti

3. EPK VE ÖK’LARIN TABİ OLDUĞU MEVZUAT VE DENETİMİ

EPK ve ÖK’lar 6493 Sayılı Kanun kapsamında düzenlenmiş olup anılan kanun gereğince Türkiye Cumhuriyet Merkez Bankası(“TCMB”)’nın gözetim ve denetimine tabidir.

6493 Sayılı Kanun’a bağlı olarak EPK ve ÖK’ların ödeme hizmetine ilişkin tabi olduğu ilgili yönetmelikler ve tebliğ başlıkları şu şekildedir:

• Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik
• Ödeme Hizmetlerinde TR Karekodun Üretilmesi ve Kullanılması Hakkında Yönetmelik
• Ödemelerde Kripto Varlıkların Kullanılmamasına Dair Yönetmelik
• Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ

EPK ve ÖK’ların TCMB’nin yanı sıra tabi oldukları mevzuat ve denetimine tabi oldukları kuruluşlar şunlardır:

• MASAK mevzuatı çerçevesinde MASAK
• Tüketici mevzuatı ve anonim şirketler hukuku çerçevesinde Ticaret Bakanlığı
• POS kullanımı açısından BDDK
• Vergisel açıdan Hazine ve Maliye Bakanlığı ile Gelir İdaresi Başkanlığı
• Meslek ilkelerine uyum açısından Türkiye Ödeme ve Elektronik Para Kuruluşları Birliği (“TÖDEB”)

4. EPK VE ÖK’LARIN BANKA VE KREDİ KARTLARI MEVZUATINA TABİ OLDUĞU DURUMLAR

EPK’lar ve ÖK’lar bir bankadan veya üye işyeri ile anlaşma yapan kuruluştan, kendi müşterilerinin kullanımına sunulmak üzere POS temin etmeleri halinde 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu ile sair mevzuata (“Kart Mevzuatı”) tabi olacaktır.

Kart Mevzuatı ile ilgili temel düzenlemeler şunlardır:

• 7247 Sayılı Bazı Kanun Ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun (“7247 Sayılı Kanun”)
• 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu (“5464 Sayılı Kanun”)
• Banka Kartları Ve Kredi Kartları Hakkında Yönetmelik

7247 Sayılı Kanun çerçevesinde, banka kartları ve kredi kartları çıkaran kuruluşlar ve kart hamilleri arasında sözleşmelerin yazılı şekilde yapılma zorunluluğu kaldırılmıştır.

EPK’lar ve ÖK’lar açısından Kart Mevzuatı’na bakıldığında, POS veren banka, “üye işyeri ile anlaşma yapan kuruluş”, POS hizmeti alan EPK ve ÖK’lar ise “üye işyeri” konumundadır. Ancak, bankalar yerine EPK ve ÖK’ların kendi POS sistemlerini kurmak istemeleri halinde Kart Mevzuatı gereğince “üye işyerleri ile anlaşma yapan kuruluş” konumunda olacakları için bu durumda BDDK’dan faaliyet izni almaları gerekecektir.

5. EPK VE ÖK’LAR AÇISINDAN MASAK MEVZUATI BAKIMINDAN DİKKAT EDİLMESİ GEREKEN HUSUSLAR

EPK’lar ve ÖK’lar, Türkiye’de diğer finansal kuruluşlar gibi MASAK mevzuatına tabidir. MASAK mevzuatı kapsamında öne çıkan düzenlemeler şunlardır:

• 5549 Sayılı Kanun
• Suç Gelirlerinin Aklanmasının ve Terörün Finansmanın Önlenmesine Dair Tedbirler Hakkında Yönetmelik
• MASAK Genel Tebliğ Sıra No: 5
• MASAK Genel Tebliği Sıra No: 13
• Ödeme ve Elektronik Para Kuruluşları- ŞİB Rehberi

Yukarıda belirtilen yasal düzenlemeler çerçevesinde, EPK ve ÖK’lar açısından MASAK mevzuatı kapsamında dikkat edilmesi gereken temel konular şunlardır:

• Kimlik kontrolü yapmak
• Teyide esas belgelerin gerçekliğini kontrol etmek
• Gerçek faydalanıcıyı tanımak
• Özel dikkat gerektiren işlemlere ilişkin tedbir almak
• Müşteri durumunu ve işlemleri izlemek
• Teknolojik risklere karşı tedbir almak
• Şüpheli işlem bildiriminde bulunmak

6. EPK VE ÖK’LARIN YÜKÜMLÜ OLDUKLARI VERGİLER

EPK ve ÖK’lar yasal olarak anonim şirket olarak kurulmak zorundadır. Bu nedenle elde ettikleri ticari kazanç üzerinden 5520 Sayılı Kurumlar Vergisi’ne göre kurumlar vergisi ve geçici vergi öderler.

EPK ve ÖK’lar aynı zamanda 5520 Sayılı Kurumlar Vergisi Kanunu’nun 15. Maddesi ve 193 Sayılı Gelir Vergisi Kanunu’nun 94. Maddesi uyarınca, ilgili düzenlemelerde bahsi geçen ödemeler üzerinden stopaj yapmakla ve bu tutarları muhtasar beyanname ile beyan etmekle yükümlüdür.

EPK ve ÖK’lar gerçekleştirdikleri işlemler nedeniyle tahsil ettikleri komisyon tutarları üzerinden 6802 Sayılı Gider Vergileri Kanunu’na göre banka ve sigorta muameleleri vergisi (“BSMV”) hesaplayıp ödemek zorundadır.

Son olarak, 3065 Sayılı KDV Kanunu’nun 17/4-e hükmü gereğince BSMV’ye tabi işlemler, KDV’den istisna olduğundan, EPK ve ÖK’ların verdikleri hizmetler nedeniyle KDV yükümlülüğü bulunmamaktadır.

7. EPK VE ÖK’LARIN BİLGİ SİSTEMLERİ AÇISINDAN ÖNE ÇIKAN KONULAR VE BU KAPSAMDA MEVZUATLA GETİRİLEN GEREKLİLİKLER

1 Aralık 2021 tarihli ve 31676 Sayılı Resmi Gazete’de yayınlanan Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ (“Tebliğ”), EPK ve ÖK’ların bilişim altyapıları ve bunların yönetimine ilişkin bazı gereklilikler şunlardır:

• EPK ve ÖK’ların birincil ve ikincil sistemleri ile veri yedekleme merkezlerini yurt içinde bulundurmaları zorunludur.
• EPK ve ÖK’ların müşterileri arasındaki ödeme işlemlerinin yürütülmesinde kullanılan tüm bilgi sistemleri ve bunların yedeklerinin yurt içinde tutulması gerekmektedir.
• Ödeme hizmetlerinin gerçekleştirilmesinde dış hizmet alınması halinde dış hizmet sağlayıcının söz konusu hizmete yönelik faaliyetleri yürütmede kullandığı bilgi sistemleri ve bunların yedeklerinin de yurt içinde tutulması gerekmektedir.
• Yazılım geliştirme süreçlerinde geliştirme, test ve üretim ortamlarının birbirinden ayrı olması ve görevler ayrılığı ilkesine uygun şekilde, geliştirme, test ve üretime geçiş süreçlerinin farklı kişiler tarafından yürütülmesi sağlanmalıdır.
• Bilgi sistemleri envanterinin ve konfigürasyon bilgisinin oluşturulması, güvenli bir şekilde saklanması, güncellenmesi ve üst yönetime raporlanması sağlanmalıdır.
• Hassas müşteri verileri veya müşteri bilgilerine sahip sistemlerin özel iç ağda bulunması ve hiçbir şekilde doğrudan internetten erişilemiyor olması sağlanır. Özel iç ağdaki sistemlere yalnızca vekil uygulamalar veya güvenlik duvarı cihazları üzerinden iletişim kurulur.
• Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemi, veritabanları ve uygulamalar ile güvenlik duvarları, yönlendirici ve anahtarlama cihazları gibi ağ cihazları için sıkılaştırılmış ve test edilmiş güvenli standart konfigürasyon bilgilerini oluşturur.
• Masaüstü, dizüstü, mobil cihazlar ve sunucular üzerindeki işletim sistemleri için bu işletim sistemlerinin tipi, sürüm numarası, yama seviyesi ve üzerinde yüklü olan veritabanları ve uygulamaların listesini gösterecek şekilde bir yazılım envanteri oluşturur.
• Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
• Güçlü kimlik doğrulaması, kimlik doğrulamada kullanılan ve bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmayacağı en az iki bileşenden oluşan, bu iki bileşenin de müşterinin bildiği, sahip olduğu veya biyometrik bir karakteristiği olan bileşen sınıflarından farklı ikisine ait olacak şekilde seçildiği yöntem olarak tanımlanmıştır.
• Bulut bilişim hizmetlerinden yararlanılması halinde, hassas müşteri verilerini, rekabete duyarlı verileri, kişisel verileri veya müşteriyle ilintilendirilebilir ve onu belirli ya da belirlenebilir kılan her türlü bilgiyi işleyecek, saklayacak ve iletecek şekilde alınacak hizmetler için ancak özel bulut hizmeti kullanılacaktır.
• Sahtekârlık ya da dolandırıcılık amaçlı işlemler ile mali suç kapsamında değerlendirilebilecek işlemleri tespit etmek ve önlemek amacıyla işleme taraf müşteriler ile temsilciler, işyerleri ve insansız hizmet noktalarından gerçekleştirilen tüm işlemler için takip mekanizmaları tesis eder. 

Tebliğ hükümleri çerçevesinde EPK ve ÖK’ların bilgi sistemleri bağımsız denetime tabidir. Bağımsız denetimler iki senede bir gerçekleştirilir.

Yazar : Av. Cemal ARAALAN