Sorumluluk Reddi / Disclaimer

Bu metinde yer alan tüm değerlendirme, yorum ve görüşler yalnızca kişisel düşüncelerimi yansıtmaktadır. Buradaki içerik, herhangi bir şekilde T.C. Ziraat Bankası A.Ş.’nin veya bağlı kuruluşlarının resmî görüş, politika ya da beyanı olarak yorumlanamaz ve kurumsal bağlayıcılığı bulunmamaktadır. Bu yazıda ifade edilen hususlar, ilgili mevzuat çerçevesinde genel bilgi ve yorum niteliğinde olup, hukuki danışmanlık veya bağlayıcı bir görüş olarak değerlendirilemez. Bu içeriklere dayanılarak alınacak kararlardan veya yapılacak işlemlerden doğabilecek sonuçlar nedeniyle, kurum veya yazar herhangi bir sorumluluk kabul etmez. Kısaca, bu çalışma kişisel bir görüş paylaşımı niteliğinde olup, yalnızca bilgilendirme amacı taşımaktadır.

Uyum

6493 Kapsamında Faaliyet İptalleri: Türkiye’den Pratikler, Dünyadan Karşılaştırmalar ve MASAK Boyutu

6493 sayılı Kanun kapsamında faaliyet izni iptallerini, Türkiye’nin yaklaşımını Avrupa ve İngiltere örnekleriyle karşılaştırıyor; ayrıca MASAK denetimi ve olası düzenleme ihtiyaçlarına değiniyoruz.

10 Ağustos 2025
6 dk okuma
Sema Aytaç
6493 Kapsamında Faaliyet İptalleri: Türkiye’den Pratikler, Dünyadan Karşılaştırmalar ve MASAK Boyutu

Ödeme hizmetleri ve elektronik para dünyası çok hızlı büyüyor; beraberinde de kurumsal yönetişim, iç kontrol, sermaye yeterliliği ve AML/CFT (kara para aklama ve terörün finansmanı ile mücadele) gibi alanlarda güçlü bir denetim çerçevesi ihtiyacı doğuyor. Bu yazıda 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’daki faaliyet izninin iptali rejimini özetleyeceğim, uluslararası örneklerle kıyaslayacağım ve son bölümde MASAK yükümlülükleri hakkında yaygın bir yanılgıyı netleştirmeye çalışacağım. Hazırsanız başlayalım…

Türkiye’deki hukuki çerçeve ve sorumlu kuruluşlar

6493 sayılı Kanun, ödeme hizmetleri ve elektronik para alanındaki izin ve denetim rejimini sistematik biçimde düzenliyor. Ödeme kuruluşu statüsü ve başvuru süreci Kanun’un 14. ve 15. maddelerinde, faaliyet izninin iptali 16. maddede ve sona ermesi ise 17. maddede yer alıyor. Kanun yapısı itibarıyla, izin verilen faaliyetlerin dışına çıkılması, şartların kaybedilmesi ya da mevzuata ağır aykırılıklar gibi durumlarda iptal mekanizmasını devreye sokuyor [1].

Uygulamada, Türkiye Cumhuriyet Merkez Bankası (TCMB) ve Resmî Gazete kararları üzerinden iptal ve geçici durdurma örneklerini görmek mümkün. TCMB’nin yayınladığı listelerde[2] faaliyet izni iptal edilen ya da geçici olarak durdurulan kuruluşlar düzenli biçimde duyuruluyor; örneğin 2025 yılında bir ödeme kuruluşu için verilen iptal kararı basına ve kamu kaynaklarına yansıdı [3]. Bu duyurular, 6493 rejiminin fiilen işletildiğini gösteren somut örnekler.

Ödeme ve elektronik para kuruluşlarına ilişkin yetki devrinin geçmişine bakarsak: 6493’un ilk yıllarında izin merci BDDK iken, yapılan değişikliklerle yeni başvurularda TCMB yetkili merci hâline geldi. Hazine ve Maliye Bakanlığı’nın sektörel raporlarında, 2020 itibarıyla bu dönüşüm açıkça işaret ediliyor [4].

Özetle, 6493’te faaliyet izninin iptali (m.16) ve sona ermesi (m.17) başlıkları; (i) izin şartlarının kaybı, (ii) mevzuata aykırılık, (iii) kurumsal yapı ve yönetişimde ciddi eksiklikler gibi durumlarda, tüketiciyi ve finansal istikrarı korumayı hedefleyen bir güvenlik supabı işlevi görüyor. Bu çerçeve, yalnızca idari bir “kağıt üstü” düzenleme değil; TCMB duyuruları ve Resmî Gazete kararlarıyla fiilen uygulanıyor.

Uluslararası mercek: FCA/EBA/AB bize neler söylüyor?

Bu bölümde Türkiye’deki faaliyet izni iptal gerekçelerini, Avrupa Birliği ve Birleşik Krallık uygulamalarıyla karşılaştırmaya çalışacağım.

Birleşik Krallıkta FCA’nın (Financial Conduct Authority) Ödeme Hizmetleri Yönetmeliği (PSRs 2017)[5] kapsamında, gerekli hallerde bir ödeme kuruluşu (PI) veya elektronik para kuruluşu (EMI) yetkisini kendi inisiyatifiyle iptal edebiliyor. Aynı zamanda, PSRs 2017’nin 10.maddesi, 12 ay içinde faaliyet göstermeme gibi durumlarda iptale imkân tanıyor. Ayrıca 2018–2023 arasında izin iptali veya firmanın kendi talebiyle geri çekilmesi gibi hallerin sayısal dağılımı kamuya açık FoI (Freedom of Information) yanıtlarında yer alıyor. Bu veriler, iptal/geri çekme süreçlerinin pratikte de işlediğini; örneğin bazı yıllarda “firm request” şeklinde lisansın geri verilmesinin yaygınlaştığını gösteriyor. [6]

Avrupa Birliği (AB) tarafında ise tablo biraz farklı ama aslında aynı mantığa dayanıyor. Burada ödeme hizmetleri alanını düzenleyen temel mevzuat, Payment Services Directive 2 (PSD2) yani İkinci Ödeme Hizmetleri Direktifi [7]. Bu direktif, ödeme kuruluşlarının nasıl yetkilendirileceğini ve hangi durumlarda lisanslarının iptal edilebileceğini genel çerçevede belirliyor.

Yetkilendirme süreci her ülkenin kendi ulusal denetim otoriteleri tarafından yürütülüyor. Ancak bu sürecin nasıl işlemesi gerektiğine dair ayrıntılı teknik ve idari rehberleri yayımlayan kurum ise European Banking Authority (EBA) yani Avrupa Bankacılık Otoritesi. EBA, Avrupa genelinde ödeme ve elektronik para kuruluşlarının lisanslama standartlarını birleştirmeye çalışıyor.

2022 yılında EBA, European Securities and Markets Authority (ESMA) yani Avrupa Menkul Kıymetler ve Piyasalar Otoritesi ve European Insurance and Occupational Pensions Authority (EIOPA) yani Avrupa Sigorta ve Emeklilik Otoritesi ile birlikte bir ortak rapor yayımladı. Bu rapor özellikle AML/CFT kurallarının ağır ihlali gibi durumlarda lisansın iptali için açık, doğrudan ve spesifik gerekçeler oluşturulması gerektiğini vurguluyor.

Genel tabloya baktığımızda, Türkiye’de 6493 sayılı Kanun’un 16. maddesi ile amaçlanan koruma yaklaşımı aslında Avrupa Birliği (European Union – EU) ve Birleşik Krallık (United Kingdom – UK) uygulamalarıyla büyük ölçüde örtüşüyor. Oradaki temel anlayış, “fit and proper” yani “uygun ve güvenilir kişi/kurum” olma ilkesiyle birlikte “ongoing compliance”, yani “sürekli uyum içinde olma” bakış açısına dayanıyor.

Bu perspektifte lisans almak, tek seferlik bir onay değil; devamlı olarak uyumun, şeffaflığın ve kurumsal bütünlüğün korunması anlamına geliyor. Yani lisans, yalnızca başvuru anında verilen bir belge değil, sürekli olarak yeniden “hak edilmeye” devam eden bir güven taahhüdü gibi görülüyor.

Dünyada faaliyet izni iptallerinin en sık görülen nedenlerine baktığımızda tablo epey benzer:

  • Faaliyet göstermeme (örneğin lisans almasına rağmen uzun süre aktif işlem yapmamak)
  • Sermaye veya teminat yetersizliği
  • Kurumsal yönetişim eksiklikleri
  • Safeguarding (müşteri fonlarının korunması) ihlalleri
  • AML/CFT kurallarına uyumsuzluk

Avrupa’da da, Birleşik Krallık’ta da iptal kararlarının büyük bölümü bu başlıklardan biriyle ilişkili görünüyor. Türkiye de son yıllarda, özellikle Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yayımlanan rehber dokümanlar, teknik duyurular ve faaliyet izni iptal kararları benzer çizgide bir yaklaşımı benimsediğimizi ortaya koyuyor.

Ödeme kuruluşları MASAK denetimine tabi değil mi?

Türkiye’de 5549 sayılı Kanun (Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun) ve ikincil düzenlemeleri uyarınca ödeme kuruluşları ve elektronik para kuruluşları “yükümlü” kapsamında.

Yükümlüler listesi içinde “ödeme kuruluşları ile elektronik para kuruluşları” açıkça sayılıyor. Bu kuruluşlar şüpheli işlem bildirimi (ŞİB/STR), müşterini tanı (KYC), eğitim, iç denetim, uyum görevlisi, risk yönetimi gibi yükümlülükleri yerine getirmek zorunda. Ek olarak MASAK tarafından 2024’te yayımlanan duyuru ve rehberlerle “Ödeme ve Elektronik Para Kuruluşları Şüpheli İşlem Bildirimi Rehberi” ve MASAK Online süreçleri güncelledi [9]. Bu da bize, söz konusu kuruluşların ŞİB gönderdiğini/göndermek zorunda olduklarını ve operasyonel kanalların bu amaçla güncellendiğini göstermekte. Ayrıca 5549 sayılı Kanun’un yükümlülük ve bildirim hükümleri, MASAK’ın yaptırım ve denetim yetkileri ile birlikte çalışıyor. Öyle ki MASAK, yükümlüler nezdinde uyum denetimi yaptırabilir ve ihlallerde idari/adli yaptırımlar söz konusu olabilir.

Sonuç olarak, ödeme ve elektronik para kuruluşları da bankalar gibi MASAK yükümlüsü olup, kendi faaliyet ve risk profillerine uygun uyum programı ve ŞİB yükümlülüklerini taşırlar. Son yıllardaki mevzuat ve rehber güncellemeleri, fintek segmentinde basitleştirilmiş tedbirlerin daraltılması ve müşterini tanı (KYC) süreçlerinin sıkılaştırılması yönünde ilerlemeye devam ediyor.

Sonuç

6493 sayılı Kanun’daki faaliyet izninin iptali mekanizması, ödeme ve elektronik para pazarının güvenilir ve sağlam işlemesi için tasarlanmış bir emniyet supabı işlevi görüyor. Türkiye uygulamasında iptal ve geçici durdurma kararlarının kamuya açık biçimde duyurulması, rejimin etkin çalıştığını gösteriyor. Uluslararası cephede ise FCA ve EBA kaynakları; faaliyet göstermeme, yetersiz yönetişim/safeguarding ve özellikle AML/CFT uyumsuzluğunun iptal seviyesinde sonuçlar doğurabileceğini ortaya koymuş. Türkiye'de 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun uyarınca ödeme ve elektronik para kuruluşlarına uygulanan idari yaptırımlar ve denetleyici tedbirler, Avrupa Birliği (AB) ve Birleşik Krallık (BK) mevzuatındaki düzenlemelerle önemli ölçüde paralellik arz ediyor, uygulamada etkin ve kararlı bir şekilde yerine getiriliyor.

Ek olarak, ödeme kuruluşları MASAK kapsamı dışında değil; tam tersine yükümlüdür ve ŞİB dahil geniş bir uyum setini taşırlar. MASAK’ın güncel rehber ve sistem güncellemeleri de bunu somut olarak ortaya koyuyor. Bu nedenle, sektör oyuncularının lisanslarını yalnızca ürün-pazar uyumuyla değil, uyum-yönetim uyumuyla da güvence altına alması büyük önem arz ediyor. Umarım okuyucular için faydalı bir yazı olmuştur. Bir sonraki yazıda görüşmek üzere.

Sağlıcakla kalın...

Referanslar:

[1] Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=6493&MevzuatTur=1&MevzuatTertip=5)

[2] Elektronik Para Kuruluşları, TCMB (https://www.tcmb.gov.tr/wps/wcm/connect/tr/tcmb%2Btr/main%2Bmenu/temel%2Bfaaliyetler/odeme%2Bhizmetleri/elektronik%2Bpara%2Bkuruluslari)

[3] TCBM'den faaliyet izni iptali, Bigpara - Hürriyet (https://bigpara.hurriyet.com.tr/haberler/genel-haberler/tcbmden-faaliyet-izni-iptali_ID1614554/)

[4] Ödeme Kuruluşları - Elektronik Para Kuruluşları Sektör Araştırma Raporu, MASAK (https://ms.hmb.gov.tr/uploads/2020/12/ODEME-ve-ELEKTRONIK-PARA-KURULUSLARI-Sektor-arastirma-raporu-2020.pdf)

[5] The Payment Services Regulations 2017, The National Archives UK (https://www.legislation.gov.uk/uksi/2017/752/contents)

[6] Information on e-money and payment institutions, FCA (https://www.fca.org.uk/freedom-information/information-e-money-and-payment-institutions-january-2025)

[7] Payment Services Directive 2, European Union (https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32015L2366)

[8] Joint ESAs Report on the withdrawal of authorisation for serious breaches of AML/CFT rules (https://www.esma.europa.eu/sites/default/files/library/joint_report_on_withdrawal_of_authorisation_aml_breaches.pdf)

[9] Ödeme ve Elektronik Para Kuruluşları Şüpheli İşlem Bildirimi Rehberi ve MASAK Online Sistemi Güncellendi, MASAK (https://masak.hmb.gov.tr/duyuru/odeme-ve-elektronik-para-kuruluslari-supheli-islem-bildirimi-rehberi-ve-masak-online-sistemi-guncellendi)

Sema Aytaç

Hukuk & Teknoloji

S - Logo