Kripto Ekosistemindeki KYC Odaklı Gerilim Alanları

Hayata dair temel kural, bilmediğin şeyi yönetemezsin. Bu risk yönetimi açısından da geçerli. Ve risk yönetim döngüsünün ilk adımını da, bir organizasyonu etkileyen iç ve dış faktörlerin belirlenmesi oluşturur. Bu faktörler belirlenip anlaşılmadan risklerin analizi ve risk cevaplarının tanımlanması hatalı güvence kabulüne götürecektir bizleri. Takdir edersiniz ki finans sektöründen bir firmayı etkileyen risk faktörleri ile perakende sektöründen bir firmayı etkileyenler aynı olmayacaktır. Her organizasyonun karşı karşıya olduğu riskler, bulunduğu coğrafyaya, sektöre, hatta kendi marka değerine göre farklılık gösterir. Risk uzmanları bunu risk profili olarak adlandırıyor. Yani organizasyonların kendilerine has risk profili mevcuttur, ama emin olun çoğu bu profili tanımlama konusunda epey zorlanıyor.   

Kripto varlık hizmet sağlayıcıları açısından da bu durum geçerli ve sanırım firmaların risk profillerindeki en önemli başlıklar müşteri tanıma sürecinde yer alıyor. 2019 yılında SEC, FinCEN ve CFTC’nin kripto varlık hizmet sağlayıcılarını, finans kuruluşu olarak sınıflandırmasıyla birlikte bu kuruluşlar, KYC ve kara para aklamayı önleme (AML) kurallarına göre izlenmeye başlanıyor. Türkiye’de de Mali Suçları Araştırma Kurulu Başkanlığı (MASAK) bu konuda ciddi denetim ve izleme yürütüyor. Düzenleyici kuruluşların kripto ekosistemine olan dikkati, bu ekosistemde gerçekleştirilen işlemlerin hızı ve anonimliği sayesinde geleneksel AML/CFT kontrollerinden kaçmak isteyen suçlular açısından elverişli bir alan görülmesinden kaynaklanıyor. Bu nedenle kripto varlık hizmet sağlayıcılarının sistemlerini kimlerin kullandığına ilişkin etkin bir izleme yapısı kurması ve ilgili düzenleyici kuruluşlara raporlamalar yapması gerekiyor. 

KYC (Know Your Customer) sürecini; finansal hesap açarken müşterilerin gerçek kimliğinin tespiti, teyidi veya iş ilişkisi süresince beyan ettikleri kişiler olmaya devam ettiklerini (inanın her nasıl oluyor bilmiyorum ama değişebiliyor) periyodik olarak doğrulanması için, ulusal ve uluslarası mevzuat çerçevesinde zorunlu tutulan bir analizler bütünü olarak tanımlayabiliriz.

MASAK mevzuatı gereği ülkemizde faaliyet yürüten tüm kripto hizmet varlık sağlayıcılarının müşteri edinimi süreçlerinde KYC gereği;

• Yeni müşterilerin kimlikleri doğrulanır.
  
  
• Kimlik doğrulama işlemi ile birlikte müşterilerden alınan belgeler için gerçeklik, doğruluk ve geçerlilik kontrolleri gerçekleştirilir.
  
  
• Müşteri adres bilgileri, format, gerçeklik ve aktif ikamet durumu detayları açısından teyit edilir.
  
  

Tabii ki basitleştirerek sunduğum bu süreç, güvence ihtiyaçları çerçevesinde yapay zeka temelli teknolojilerin, hukuk, uyum ve dolandırıcılık önleme alanlarında uzman kişilerin dahil olduğu karmaşık bir sistemle yürütülür. Bu hiç de kolay bir konu değil tabiki. Bazen müşterilerin KYC sürecinden geçmeden önce bir hesap oluşturmasına izin verebildiği durumlar olabiliyor, ancak bu hesaplar genellikle kimlik doğrulama süreci tamamlanana işlem kısıtlamalarına tabi oluyor. Yani, kimliği doğrulanana kadar kripto varlık alım satımı gerçekleştiremezler. 

Bu açıklamaların ardından esas değinmek istediğim konuya, KYC uygulamalarının neden olduğu üç gerilim alanına göz atalım. 

İlk gerilim noktası merkezi olmayan ekonominin temel değerlerinden kaynaklanıyor. Kripto varlık hizmet sağlayıcılarından yararlanmak isteyen insanların temel motivasyonlarından birisinin hızlı işlem avantajı diğerinin ise anonimlik olduğunu söyleyebiliriz. Ancak düzenleyici kuruluşlar bu anonimlikten çok da memnun olması ve sürekli olarak daha katı kripto KYC önlemlerinin uygulanması konusunda baskı uyguluyorlar.

Kripto varlık hizmet sağlayıcıları açısından ikinci gerilim noktası, mali suç riskini azaltma zorunluluğu ile iyi bir müşteri deneyimi sağlamak arasında yaşanıyor. Müşteriler genel olarak kripto alım satım konusunda işlem hızına odaklanmış durumda. Aslında ekosistemin genel güvenliğine odaklı KYC süreçlerindeki titizlik arttıkça ortaya çıkan yavaşlama ve kısıtlar müşteri tarafında tepkiyle karşılanıyor. Dolayısıyla, yoğun rekabetçi bir sektörde faaliyet yürüten kripto varlık hizmet sağlayıcıları, müşteri memnuniyetini sağlamak ile MASAK mevzuatı arasında, gerilimli bir alanda faaliyet yürütmek zorundalar. 

KYC süreçleri açısından bir başka gerilim alanı ise, işlenen müşteri verilerinin niteliği ve boyutu nedeniyle yaşanıyor. Bildiğiniz gibi KVKK mevzuatının temel ilkelerinden birisi veri minimizasyonu ancak müşteri edinimi sürecinde ve sonrasında çok yoğun kişisel veri işleniyor. Hem işleme esnasında hem de işlenen verinin yaşam döngüsü içinde korunmasında yaşanacak aksaklıklar KVKK kapsamında şikayetlere, sonrasında ise yaptırımlara neden olabiliyor. Bu nedenle kripto varlık hizmet sağlayıcıları, müşteri verileri alınmasından imhasına kadar süren işleme süreçlerini iyi tanımlanmış politika ve süreçlerle sıkı şekilde kontrol altına almalı, zaten KVKK kapsamında veri sorumlusu olarak zorunlu denetim çalışmalarını aksatmadan yaptırmalılar. KYC süreçlerinde MASAK mevzuatı çerçevesinde işlenen verinin niteliği ve boyutunun artması, KVKK mevzuatı açısından uyumsuzluk riskini artırıyor. Burada, ancak layıkıyla yapılmış veri koruma etki analizi sonuçlarına göre kurgulanan insan, teknoloji ve süreçlerden oluşan güçlü bir kontrol yapısı ile bu gerilim dengelenebilir.