1. Giriş
Dijital ekonominin genişlemesi ve finansal teknoloji (FinTech) alanındaki hızlı dönüşüm, hukuk sistemlerini yeni tanım, yükümlülük ve risk kategorileriyle karşı karşıya bırakmaktadır. Türkiye’de bu dönüşümün en görünür yansımalarından biri, bilişim hukuku ile Mali Suçları Araştırma Kurulu (MASAK) tarafından yürütülen suç gelirlerinin aklanmasıyla mücadele rejimi arasındaki giderek artan kesişimdir.
Bir tarafta 5237 sayılı Türk Ceza Kanunu’nun 243 ila 246. maddelerinde düzenlenen bilişim suçları, diğer tarafta ise 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında oluşturulan önleyici mali istihbarat rejimi bulunmaktadır. Günümüzde bu iki düzenleyici alan, çoğu zaman aynı aktörler, aynı dijital altyapılar ve çoğu durumda aynı delil seti üzerinden kesişmektedir.
Kripto varlık platformları, ödeme kuruluşları ve büyük ölçekli e-ticaret pazaryerleri; hem bilişim suçu mağduru ya da faili olabilecek aktörler hem de MASAK mevzuatı kapsamında yükümlü kuruluşlar olarak konumlanabilmektedir.
Bu çalışma; söz konusu kesişimi kavramsal, normatif ve uygulama boyutlarıyla ele almayı ve özellikle hukuk uygulayıcıları ile uyum profesyonelleri açısından yol gösterici bir çerçeve sunmayı amaçlamaktadır.
2. Kavramsal Çerçeve
2.1 Bilişim Hukukunun Kapsamı
Bilişim hukuku, bilgi ve iletişim teknolojilerinin kullanımıyla ortaya çıkan hukuki ilişkileri düzenleyen ve bu teknolojiler aracılığıyla işlenen suçlara ilişkin normatif çerçeveyi belirleyen disiplinler arası bir hukuk alanıdır. Günümüzde dijitalleşmenin hız kazanmasıyla birlikte bilişim sistemleri yalnızca iletişim ve veri işleme araçları olmaktan çıkmış, aynı zamanda ekonomik faaliyetlerin, ticari ilişkilerin ve finansal işlemlerin yürütüldüğü temel platformlar haline gelmiştir. Bu gelişim, bilişim teknolojileri aracılığıyla ortaya çıkan hukuki uyuşmazlıkların ve suç tiplerinin de çeşitlenmesine neden olmuştur. Türk hukukunda bilişim suçlarının ceza hukuku boyutu ağırlıklı olarak 5237 sayılı Türk Ceza Kanunu’nun 243 ila 246. maddeleri arasında düzenlenmektedir. Bu hükümler kapsamında bilişim sistemine hukuka aykırı şekilde girilmesi veya sistemde kalınması suçu (TCK m.243), bilişim sisteminin işleyişinin engellenmesi, sistemde bulunan verilerin bozulması, silinmesi veya değiştirilmesi gibi fiilleri kapsayan sistemi engelleme, bozma veya verileri yok etme suçu (TCK m.244), banka veya kredi kartlarının hukuka aykırı şekilde kullanılması suçu (TCK m.245) ve bilişim suçlarının işlenmesine yönelik olarak tasarlanan yasak cihaz veya programların üretilmesi, satılması veya kullanılması (TCK m.245/A) gibi suç tipleri düzenlenmiştir. Bununla birlikte bilişim hukuku yalnızca ceza hukuku kapsamında değerlendirilebilecek bir alan değildir. Dijital ortamda gerçekleştirilen faaliyetlerin artmasıyla birlikte kişisel verilerin korunması, elektronik sözleşmelerin kurulması ve geçerliliği, dijital delillerin hukuki niteliği, siber güvenlik yükümlülükleri ve dijital platformların hukuki sorumluluğu gibi konular da bilişim hukukunun kapsamı içerisinde yer almaktadır. Bu yönüyle bilişim hukuku; ceza hukuku, özel hukuk ve idare hukuku alanlarının kesişiminde yer alan ve teknolojik gelişmelere paralel olarak sürekli genişleyen dinamik bir hukuk dalı niteliği taşımaktadır.
2.2 MASAK Rejiminin Temel Unsurları
Suç gelirlerinin aklanması ve terörizmin finansmanıyla mücadele amacıyla oluşturulan MASAK rejimi, Türk hukukunda 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun çerçevesinde kurulan önleyici nitelikte bir idari denetim sistemine dayanmaktadır. Bu sistem, suçtan elde edilen gelirlerin finansal sistem içerisinde dolaşıma sokulmasının önlenmesini ve şüpheli finansal hareketlerin erken aşamada tespit edilmesini amaçlamaktadır. MASAK mevzuatı kapsamında oluşturulan bu önleyici rejimin temel unsurları arasında yükümlü kuruluşların belirlenmesi, müşteri tanıma yükümlülüğü olarak ifade edilen “Know Your Customer (KYC)” süreçlerinin uygulanması, suç gelirlerinin aklanması şüphesi doğuran finansal hareketlerin MASAK’a bildirilmesini sağlayan şüpheli işlem bildirimi (ŞİB) mekanizması, yetkili makamların talebi üzerine bilgi ve belge verilmesi yükümlülüğü, belirli işlemlere ilişkin devamlı bilgi verme yükümlülüğü ile işlem kayıtlarının belirli süreler boyunca muhafaza edilmesi ve gerektiğinde ibraz edilmesi gibi yükümlülükler yer almaktadır. Bu yükümlülüklerin yerine getirilmemesi durumunda ise idari para cezaları ve çeşitli yaptırımlar uygulanabilmektedir. MASAK rejiminin hukuki altyapısını başta 5549 sayılı Kanun olmak üzere, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Yönetmeliği, MASAK tarafından yayımlanan genel tebliğler ve bankacılık, ödeme hizmetleri, kripto varlık platformları ve diğer finansal sektörler için hazırlanan sektörel şüpheli işlem bildirim rehberleri oluşturmaktadır. Bu düzenlemeler birlikte değerlendirildiğinde MASAK rejiminin temel amacının finansal sistem içerisinde şeffaflık sağlamak ve suç gelirlerinin finansal dolaşımını engellemek olduğu görülmektedir.
2.3 Temas Noktası: Dijital Finansal Aktörler
Bilişim hukuku ile suç gelirlerinin aklanmasının önlenmesine yönelik MASAK rejimi arasındaki en önemli kesişim noktası, faaliyetlerini büyük ölçüde dijital altyapılar üzerinden yürüten finansal aktörlerdir. Günümüzde finansal işlemlerin önemli bir bölümü çevrimiçi platformlar aracılığıyla gerçekleştirilmekte ve bu durum hem bilişim sistemlerinin güvenliğini hem de finansal işlem akışlarının denetlenmesini aynı anda önemli hale getirmektedir. Özellikle kripto varlık hizmet sağlayıcıları, ödeme kuruluşları, elektronik para kuruluşları ve büyük ölçekli e-ticaret pazaryerleri bu kesişim alanının en belirgin aktörleri arasında yer almaktadır. Bu kuruluşlar bir yandan faaliyetlerini bilişim sistemleri üzerinden yürüttükleri için siber saldırılar, veri ihlalleri ve bilişim suçları açısından risk altındadır; diğer yandan finansal işlemlerin gerçekleştirilmesinde aracı rol üstlendikleri için suç gelirlerinin aklanmasıyla mücadele kapsamında MASAK mevzuatı çerçevesinde yükümlü kuruluş olarak çeşitli sorumluluklar taşımaktadır. Dolayısıyla söz konusu aktörler hem bilişim hukukunun hem de mali suçlarla mücadele rejiminin ortak düzenleme alanında yer almakta ve bu iki hukuki alanın uygulamada birbirini tamamlayan şekilde değerlendirilmesini zorunlu kılmaktadır. Bu bağlamda dijital finans ekosisteminin güvenli şekilde işleyebilmesi için bilişim güvenliği, veri koruma ve mali denetim mekanizmalarının birlikte ele alınması ve bütüncül bir hukuki yaklaşımın benimsenmesi büyük önem taşımaktadır.
3. Kripto Varlık Hizmet Sağlayıcıları ve MASAK Yükümlülüğü
3.1 Normatif Çerçeve
Kripto varlık hizmet sağlayıcılarının suç gelirlerinin aklanmasıyla mücadele rejimi içerisindeki konumu, 1 Mayıs 2021 tarihinde Resmî Gazete’de yayımlanan düzenleme ile önemli ölçüde netlik kazanmıştır. Söz konusu düzenleme ile kripto varlık hizmet sağlayıcıları, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun kapsamında yükümlü kuruluşlar arasına dahil edilerek MASAK denetim ve gözetim rejimine tabi kılınmıştır. Böylece kripto varlık alım satım platformları ve benzeri hizmet sağlayıcılar, finansal sistem içerisinde faaliyet gösteren diğer aracı kurumlar gibi suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesine yönelik yükümlülükleri yerine getirmekle sorumlu hale gelmiştir. Bu düzenleme aynı zamanda uluslararası mali düzenleme standartlarını belirleyen Mali Eylem Görev Gücü (Financial Action Task Force – FATF) tarafından kullanılan “Virtual Asset Service Provider (VASP)” kavramıyla uyumlu bir düzenleyici çerçeve oluşturmayı hedeflemektedir. Bu kapsamda kripto varlık hizmet sağlayıcılarının başlıca yükümlülükleri arasında müşterinin tanınması (Know Your Customer – KYC) süreçlerinin uygulanması, şüpheli işlem bildirimlerinin yapılması, gerekli durumlarda yetkili makamlara bilgi ve belge verilmesi, devamlı bilgi verme yükümlülüğünün yerine getirilmesi, işlem kayıtlarının belirli sürelerle muhafaza edilmesi ve talep edildiğinde ibraz edilmesi, kurum içerisinde etkin bir uyum programının oluşturulması ve bu programın yürütülmesinden sorumlu bir uyum görevlisinin atanması yer almaktadır. Bu yükümlülükler, kripto varlık platformlarının yalnızca teknik işlem altyapısı sağlayan dijital arayüzler olmaktan öte, finansal sistemin güvenliği bakımından sorumluluk taşıyan düzenlenmiş aktörler haline gelmesini amaçlamaktadır.
3.2 Bilişim Altyapısının Rolü
Kripto varlık hizmet sağlayıcılarının faaliyet yapısı incelendiğinde, tüm operasyonlarının büyük ölçüde dijital ortamda yürütüldüğü görülmektedir. Kullanıcıların platformlara erişimi ve işlem gerçekleştirmesi çoğunlukla web arayüzleri, mobil uygulamalar, uygulama programlama arayüzleri (API) ve çeşitli kimlik doğrulama sistemleri aracılığıyla sağlanmaktadır. Bu dijital altyapılar, kullanıcı hesaplarının oluşturulmasından para yatırma ve çekme işlemlerine, kripto varlık transferlerinden işlem geçmişinin kaydedilmesine kadar pek çok kritik sürecin yürütülmesini mümkün kılmaktadır. Bu nedenle MASAK mevzuatı kapsamında öngörülen müşteri tanıma, işlem izleme ve şüpheli işlem tespiti gibi yükümlülüklerin etkin biçimde yerine getirilebilmesi, doğrudan bilişim altyapısının güvenilirliği, veri güvenliği mekanizmaları ve kayıt sistemlerinin sağlamlığı ile bağlantılıdır. Özellikle kimlik doğrulama sistemlerinin güvenilirliği, kullanıcı işlem kayıtlarının eksiksiz biçimde tutulması ve sistem loglarının korunması, hem MASAK yükümlülüklerinin yerine getirilmesi hem de olası bilişim suçlarına ilişkin soruşturmalarda dijital delil niteliği taşıyabilecek verilerin korunması açısından kritik öneme sahiptir.
3.3 Bilişim Temelli Risk Senaryoları
Kripto varlık ekosisteminin dijital yapısı, bu alanda ortaya çıkan risklerin de büyük ölçüde bilişim temelli olmasına neden olmaktadır. Uygulamada en sık karşılaşılan risk senaryoları arasında sahte kripto yatırım platformları aracılığıyla gerçekleştirilen nitelikli dolandırıcılık faaliyetleri önemli bir yer tutmaktadır. Bu tür olaylarda dolandırıcılar, gerçek kripto borsalarını taklit eden sahte web siteleri veya mobil uygulamalar aracılığıyla kullanıcıları yanıltarak yatırım yapmaya teşvik etmekte ve mağdurların finansal varlıklarını ele geçirebilmektedir. Bunun yanı sıra kullanıcı hesap bilgilerinin ele geçirilmesine yönelik phishing saldırıları, mobil operatör hatlarının hukuka aykırı şekilde devralınmasına dayanan SIM-swap saldırıları, kullanıcı hesaplarının yetkisiz kişiler tarafından kontrol altına alınması şeklinde ortaya çıkan hesap ele geçirme vakaları ve suç gelirlerinin izini kaybettirmek amacıyla oluşturulan çoklu sahte hesap zincirleri de kripto varlık platformlarında karşılaşılan başlıca risk senaryoları arasında yer almaktadır. Bu tür olaylar çoğu zaman yalnızca bilişim suçları kapsamında değerlendirilmemekte, aynı zamanda elde edilen gelirlerin farklı hesaplar veya kripto varlık transferleri aracılığıyla dolaşıma sokulması nedeniyle suçtan kaynaklanan malvarlığı değerlerini aklama suçunun da gündeme gelmesine neden olabilmektedir. Bu nedenle kripto varlık hizmet sağlayıcılarının hem bilişim güvenliği hem de finansal suçlarla mücadele perspektifini birlikte gözeten kapsamlı bir risk yönetim yaklaşımı benimsemeleri büyük önem taşımaktadır.
4. Ödeme Kuruluşları ve E-Ticaret Platformları
4.1 Ödeme ve Elektronik Para Kuruluşları
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında faaliyet gösteren ödeme ve elektronik para kuruluşları, finansal sistem içerisinde para transferi ve dijital ödeme altyapılarının yürütülmesinde kritik bir rol üstlenmektedir. Bu kuruluşlar, gerçekleştirdikleri işlemlerin niteliği gereği suç gelirlerinin aklanması ve terörizmin finansmanıyla mücadele bakımından yüksek risk barındıran sektörler arasında değerlendirildiğinden, MASAK tarafından yayımlanan sektörel rehberler ve düzenleyici metinler doğrultusunda kapsamlı uyum yükümlülüklerine tabidir. Bu kapsamda söz konusu kuruluşların işlem izleme sistemlerini etkin şekilde kurmaları, müşteri tanıma ve kimlik doğrulama süreçlerini güvenilir teknolojik altyapılar üzerinden yürütmeleri ve tüm işlem hareketlerine ilişkin log kayıtlarını düzenli biçimde tutmaları gerekmektedir. Özellikle elektronik ortamda gerçekleştirilen para transferlerinin hız ve hacim bakımından yüksek yoğunluk taşıması, bu sistemlerin yalnızca finansal operasyonların yürütülmesi açısından değil, aynı zamanda şüpheli işlem tespiti ve suç gelirlerinin finansal sistem içerisindeki hareketlerinin izlenmesi bakımından da büyük önem taşımasına neden olmaktadır. Bu nedenle işlem izleme altyapıları, kimlik doğrulama süreçleri ve sistem loglarının güvenli şekilde tutulması hem MASAK mevzuatının gerektirdiği yükümlülüklerin yerine getirilmesi hem de bilişim hukuku kapsamında ortaya çıkabilecek uyuşmazlıklarda dijital delil niteliği taşıyabilecek verilerin korunması açısından kritik bir rol oynamaktadır.
4.2 E-Ticaret Pazaryerleri
6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun kapsamında faaliyet gösteren büyük ölçekli e-ticaret pazaryerleri de belirli şartların gerçekleşmesi halinde suç gelirlerinin aklanmasının önlenmesine yönelik düzenlemeler çerçevesinde MASAK yükümlüsü olarak kabul edilmektedir. E-ticaret platformları, çok sayıda satıcı ve alıcının aynı dijital ortamda buluştuğu ve yoğun finansal işlem hacminin oluştuğu yapılar olduğu için, kimlik doğrulama ve ödeme süreçlerinin güvenli biçimde yürütülmesi büyük önem taşımaktadır. Bu çerçevede mevzuatta öngörülen “uyumlu hesap zorunluluğu”, pazaryerleri üzerinden gerçekleştirilen tahsilat ve ödeme işlemlerinin kimliği doğrulanmış gerçek veya tüzel kişilere ait hesaplar aracılığıyla yapılmasını öngörmektedir. Bu düzenleme, özellikle kimlik hırsızlığı, sahte satıcı hesapları veya üçüncü kişiler adına açılmış hesaplar üzerinden gerçekleştirilen dolandırıcılık faaliyetlerinin önlenmesine katkı sağlamayı amaçlamaktadır. Bununla birlikte pazaryerlerinin kullanıcı doğrulama mekanizmalarını güçlendirmesi, satıcı hesaplarının gerçekliğini denetlemesi ve ödeme akışlarını şeffaf biçimde izleyebilmesi hem bilişim suçlarıyla mücadele hem de suç gelirlerinin aklanmasının önlenmesi bakımından önemli bir koruyucu mekanizma olarak değerlendirilmektedir.
5. Şüpheli İşlem Bildirimi ve Dijital Deliller
5.1 Bilişim Suçlarına İlişkin Şüpheli İşlem Bildirimi (ŞİB) Göstergeleri
MASAK tarafından yayımlanan sektörel rehberler ve şüpheli işlem tipolojileri incelendiğinde, bilişim suçlarıyla bağlantılı finansal hareketlerin tespitinde belirli davranış kalıplarının özellikle dikkat çektiği görülmektedir. Bu kapsamda finansal kuruluşların işlem izleme sistemleri aracılığıyla belirli işlem örüntülerini analiz ederek şüpheli işlem bildirimi yapmaları beklenmektedir. Uygulamada bilişim suçlarıyla bağlantılı olabilecek başlıca şüpheli işlem göstergeleri arasında kısa zaman dilimleri içerisinde gerçekleşen olağan dışı büyüklükteki para transferleri, banka hesaplarından kripto varlık platformlarına hızlı ve yoğun para akışları, aynı kişi veya birbirleriyle bağlantılı kişiler tarafından kullanılan çoklu hesap yapıları, “smurfing” olarak adlandırılan ve büyük tutarlı bir işlemin tespit edilmesini zorlaştırmak amacıyla küçük tutarlara bölünerek farklı hesaplar üzerinden gerçekleştirilen transferler ile kullanıcının bilinen ekonomik ve finansal profiliyle açıkça uyumsuz işlem hacimleri yer almaktadır. Bu tür işlemler, özellikle bilişim yoluyla gerçekleştirilen dolandırıcılık, hesap ele geçirme saldırıları veya kimlik hırsızlığı gibi suçlardan elde edilen gelirlerin finansal sistem içerisinde dolaştırılması amacıyla kullanılabilmektedir. Bu nedenle yükümlü kuruluşların işlem izleme sistemlerini yalnızca teknik bir kontrol mekanizması olarak değil, aynı zamanda suç gelirlerinin finansal sistem içerisinde tespit edilmesini sağlayan önemli bir risk analiz aracı olarak değerlendirmeleri gerekmektedir.
5.2 Dijital Deliller
Bilişim suçları ve kripto varlık dolandırıcılığına ilişkin soruşturmalarda en önemli delil kategorisini dijital veriler oluşturmaktadır. Bu tür suçların büyük ölçüde çevrimiçi ortamda gerçekleşmesi nedeniyle olayın aydınlatılması, çoğu zaman bilişim sistemleri üzerinde bırakılan dijital izlerin incelenmesine bağlıdır. Uygulamada en sık başvurulan dijital deliller arasında platformların tuttuğu giriş ve işlem log kayıtları, kullanıcıların bağlantı noktalarını gösteren IP adresleri, kullanılan cihazların teknik özelliklerini ortaya koyan cihaz parmak izi verileri, platformlarda gerçekleştirilen kimlik doğrulama süreçlerine ilişkin kayıtlar, blok zinciri üzerinde gerçekleştirilen transferlerin izlenmesini sağlayan kripto işlem verileri ve taraflar arasındaki iletişimi ortaya koyan sosyal medya veya mesajlaşma uygulamalarına ait yazışmalar yer almaktadır. Bununla birlikte bu verilerin ceza muhakemesi bakımından hukuken geçerli ve güvenilir deliller olarak kabul edilebilmesi için dijital delillerin elde edilmesi, muhafaza edilmesi, incelenmesi ve ilgili makamlara sunulması süreçlerinde “siber delil zinciri” olarak ifade edilen teknik ve hukuki güvenlik prosedürlerinin titizlikle korunması gerekmektedir. Delilin elde edilmesi sürecinde yapılan usulsüzlükler veya veri bütünlüğünü zedeleyen müdahaleler, dijital delilin güvenilirliğini ortadan kaldırabileceği gibi ceza yargılamasında delilin geçerliliğinin tartışmalı hale gelmesine de yol açabilmektedir. Bu nedenle bilişim suçlarına ilişkin soruşturmalarda dijital delil yönetiminin hem teknik uzmanlık hem de hukuki usul kurallarına uygun biçimde yürütülmesi büyük önem taşımaktadır.
6. Bilişim Suçları ile Aklama Suçu Arasındaki Bağlantı
Bilişim sistemleri kullanılarak gerçekleştirilen nitelikli dolandırıcılık suçlarından elde edilen maddi menfaatlerin finansal sistem içerisinde farklı hesaplar, ödeme araçları veya kripto varlık platformları aracılığıyla dolaşıma sokulması, yalnızca dolandırıcılık suçunun sonuçlarıyla sınırlı kalmamakta, aynı zamanda bu suçtan elde edilen gelirlerin meşru bir görünüm kazandırılması amacıyla çeşitli işlemlerden geçirilmesi durumunda Türk Ceza Kanunu’nun 282. maddesinde düzenlenen suçtan kaynaklanan malvarlığı değerlerini aklama suçunun oluşmasına da yol açabilmektedir. Özellikle bilişim temelli dolandırıcılık olaylarında elde edilen paranın farklı banka hesaplarına aktarılması, üçüncü kişiler adına açılmış hesaplar üzerinden hareket ettirilmesi, kısa süre içerisinde kripto varlıklara dönüştürülmesi veya farklı finansal araçlar aracılığıyla parçalanarak transfer edilmesi gibi işlemler, suç gelirinin izinin kaybettirilmesine yönelik tipik aklama yöntemleri arasında yer almaktadır. Bu tür finansal hareketlilikler çoğu zaman yükümlü kuruluşların işlem izleme sistemleri tarafından tespit edilmekte ve mevzuat gereği MASAK’a şüpheli işlem bildirimi yapılmasına neden olmaktadır. MASAK tarafından gerçekleştirilen mali analiz ve değerlendirmeler sonucunda elde edilen bulgular, çoğu durumda suç gelirlerinin kaynağının bilişim yoluyla işlenen dolandırıcılık fiillerine dayandığını ortaya koyabilmekte ve bu bildirimler Cumhuriyet savcılıkları tarafından yürütülen ceza soruşturmalarının başlatılmasına veya mevcut soruşturmaların genişletilmesine zemin hazırlayabilmektedir. Bu yönüyle şüpheli işlem bildirim mekanizması, bilişim suçları ile suç gelirlerinin aklanması arasındaki bağlantının ortaya çıkarılmasında ve suçtan elde edilen malvarlığı değerlerinin finansal sistem içerisindeki hareketlerinin izlenmesinde önemli bir önleyici ve istihbari işlev görmektedir.
7. MASAK Uyum Programı ve KVKK İlişkisi
MASAK uyum programı, finansal kuruluşlar ve belirli yükümlü gruplar bakımından suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesine yönelik kurumsal bir iç kontrol mekanizması niteliği taşımakta olup birden fazla temel unsurdan oluşmaktadır. Bu programın temel bileşenleri arasında risk yönetimi süreçlerinin oluşturulması, şüpheli işlemlerin tespit edilmesini sağlayan işlem izleme sistemlerinin kurulması, çalışanların mevzuata ve uygulama yöntemlerine ilişkin düzenli olarak eğitilmesi, kurum içi faaliyetlerin mevzuata uygunluğunu denetleyen iç denetim mekanizmalarının işletilmesi ve tüm bu süreçlerin koordinasyonundan sorumlu olacak bir uyum görevlisinin atanması yer almaktadır. Söz konusu unsurlar, yükümlü kuruluşların faaliyetleri sırasında ortaya çıkabilecek aklama ve terörizmin finansmanı risklerini önceden tespit etmeyi ve bu risklere karşı etkin bir kontrol sistemi kurmayı amaçlamaktadır. Bununla birlikte MASAK uyum süreçleri kapsamında yürütülen müşteri tanıma, işlem izleme ve şüpheli işlem analizi faaliyetleri sırasında çok sayıda veri işlenmekte olup bu verilerin önemli bir bölümü gerçek kişilere ait kimlik, finansal işlem ve davranışsal profil bilgilerini içermektedir. Bu nedenle söz konusu veriler çoğu zaman kişisel veri niteliği taşımakta ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında korunmaktadır. Dolayısıyla MASAK yükümlülüklerinin yerine getirilmesi sürecinde veri işleme faaliyetlerinin hukuka uygunluk, ölçülülük ve veri güvenliği ilkeleri çerçevesinde yürütülmesi, kişisel verilerin yetkisiz erişime karşı korunması ve gerekli teknik ile idari güvenlik tedbirlerinin alınması hem MASAK mevzuatı hem de kişisel verilerin korunması hukuku bakımından büyük önem taşımaktadır.
8. Normatif Sorunlar
8.1 Tanım Sorunları
Kripto varlık hizmet sağlayıcı kavramının Türk hukukunda açık, sistematik ve kapsamlı bir yasal tanıma sahip olmaması, uygulamada önemli hukuki belirsizliklerin ortaya çıkmasına neden olmaktadır. Mevcut düzenlemelerde kripto varlık hizmet sağlayıcılarına ilişkin bazı yükümlülükler özellikle suç gelirlerinin aklanmasının önlenmesine yönelik mevzuat çerçevesinde belirlenmiş olsa da, bu aktörlerin faaliyet alanlarının sınırları, lisanslama rejimi, denetim mekanizmaları ve hukuki sorumlulukları bakımından bütüncül bir normatif çerçeve henüz tam anlamıyla oluşturulmuş değildir. Bu durum, kripto varlık platformlarının hangi faaliyetlerinin finansal hizmet olarak değerlendirileceği, hangi işlemlerin aracılık veya saklama faaliyeti kapsamında sayılacağı ve hangi kurumların düzenleyici veya denetleyici otorite olarak yetkili olduğu gibi konularda yorum farklılıklarına yol açabilmektedir. Özellikle sınır ötesi faaliyet gösteren platformlar söz konusu olduğunda, platformun Türkiye’de yerleşik olup olmadığı, kullanıcı işlemlerinin hangi hukuk düzenine tabi olduğu ve hangi yükümlülüklerin uygulanacağı gibi meseleler uygulamada ciddi hukuki tartışmalar doğurabilmektedir. Bu nedenle kripto varlık hizmet sağlayıcılarının hukuki statüsünün açık biçimde tanımlanması, faaliyet türlerinin ayrıntılı şekilde sınıflandırılması ve lisanslama ile denetim mekanizmalarının netleştirilmesi hem finansal sistemin güvenliği hem de hukuki öngörülebilirlik açısından büyük önem taşımaktadır.
8.2 Kurumsal Koordinasyon Sorunu
Kripto varlık dolandırıcılığı ve bilişim sistemleri aracılığıyla gerçekleştirilen finansal suçlara ilişkin soruşturmalarda karşılaşılan önemli sorunlardan biri de farklı kurumlar arasında yeterli düzeyde koordinasyonun sağlanamamasıdır. Bu tür dosyalarda genellikle MASAK tarafından yürütülen mali analiz ve şüpheli işlem incelemeleri, adli bilişim uzmanları tarafından gerçekleştirilen teknik incelemeler ve Cumhuriyet savcılıkları tarafından yürütülen ceza soruşturmaları eş zamanlı olarak ilerlemektedir. Ancak bu süreçlerin birbirinden kopuk veya koordinasyondan yoksun biçimde yürütülmesi, özellikle dijital delillerin toplanması, muhafazası ve analiz edilmesi aşamalarında önemli sorunlara yol açabilmektedir. Kripto işlemlerinin blok zinciri altyapısı üzerinde gerçekleşmesi, dijital cüzdan adreslerinin hızlı biçimde değiştirilebilmesi ve fonların kısa sürede farklı platformlar arasında transfer edilebilmesi gibi teknik özellikler dikkate alındığında, soruşturma süreçlerinde zaman kaybı yaşanması veya veri paylaşımının gecikmesi delil zincirinin zayıflamasına neden olabilmektedir. Bu durum hem suç gelirlerinin izinin sürülmesini zorlaştırmakta hem de ceza yargılamasında delillerin güvenilirliği konusunda tartışmalar ortaya çıkarabilmektedir. Dolayısıyla kripto varlık temelli suçlarla etkin mücadele edilebilmesi için MASAK, kolluk birimleri, adli bilişim uzmanları ve yargı makamları arasında güçlü bir kurumsal koordinasyon mekanizmasının kurulması, veri paylaşım süreçlerinin hızlandırılması ve dijital delil yönetimine ilişkin ortak standartların geliştirilmesi büyük önem taşımaktadır.
9. Sonuç
Dijital finans ekosisteminin hızlı biçimde genişlemesi ve finansal işlemlerin giderek daha fazla dijital altyapılar üzerinden gerçekleştirilmesi, bilişim hukuku ile suç gelirlerinin aklanmasının önlenmesine yönelik MASAK rejimi arasındaki ilişkiyi her geçen gün daha güçlü ve ayrılmaz bir hale getirmiştir. Özellikle kripto varlık platformları, ödeme ve elektronik para kuruluşları ile büyük ölçekli e-ticaret pazaryerleri, faaliyetlerini büyük ölçüde bilişim sistemleri üzerinden yürüttükleri için hem bilişim suçlarının hedefi olabilen hem de mali suçlarla mücadele kapsamında önemli sorumluluklar üstlenen aktörler olarak öne çıkmaktadır. Bu kurumlar, bir yandan bilişim sistemlerine yönelik saldırılar, kimlik hırsızlığı, hesap ele geçirme ve çevrimiçi dolandırıcılık gibi suç türleriyle mücadele etmek zorunda kalırken, diğer yandan suç gelirlerinin finansal sistem içerisinde dolaşımını önlemek amacıyla MASAK mevzuatı kapsamında müşteri tanıma (KYC), şüpheli işlem bildirimi (ŞİB), işlem izleme ve kayıt muhafazası gibi yükümlülükleri yerine getirmekle yükümlüdür. Bu nedenle dijital finans alanında faaliyet gösteren kuruluşların hukuki sorumlulukları yalnızca finansal düzenlemelerle sınırlı kalmamakta, aynı zamanda bilişim hukuku, veri koruma hukuku ve siber güvenlik alanlarıyla da doğrudan kesişmektedir. Bu çerçevede, MASAK uyum programlarının yalnızca idari veya prosedürel bir yükümlülük olarak görülmemesi, aksine kurumların bilişim altyapılarıyla bütünleşik şekilde tasarlanması büyük önem taşımaktadır. Bununla birlikte, bilişim suçlarına ilişkin soruşturmalarda temel delil niteliği taşıyan log kayıtları, IP verileri, cihaz parmak izi verileri ve blok zinciri işlem kayıtları gibi dijital verilerin toplanması ve muhafazası sürecinde siber delil zincirinin eksiksiz korunması, hem ceza muhakemesi süreçlerinde delillerin hukuki geçerliliğinin sağlanması hem de idari incelemelerde ispat gücünün korunması bakımından kritik bir rol oynamaktadır. Öte yandan kripto varlık hizmet sağlayıcıları ve dijital finans platformlarına ilişkin bazı kavramların Türk mevzuatında henüz yeterince açık ve kapsamlı biçimde tanımlanmamış olması, uygulamada lisanslama, denetim ve sorumluluk alanlarında çeşitli belirsizliklerin ortaya çıkmasına neden olmaktadır. Bu nedenle dijital finans ekosisteminin güvenli, şeffaf ve sürdürülebilir biçimde gelişebilmesi için sektöre özgü hukuki tanımların açık şekilde mevzuata kazandırılması, düzenleyici kurumlar arasındaki koordinasyonun güçlendirilmesi ve teknolojik gelişmelere uyum sağlayan dinamik bir düzenleyici çerçevenin oluşturulması büyük önem taşımaktadır.
