internet bankacılığı
elektronik bankacılık hukuku
Aralık 2011
Avukat Özgür Eralp – Ankara
charge back ters ibraz harcama itirazı banka kredi kartı
Kredi Kartlarında (Charge Back) Ters İbraz İşleminin Hukuki Boyutu
Giriş
Son yıllarda banka kartı ve kredi kartıyla yapılan alışverişlerde ciddi bir artış gözlemlenmektedir. Kayıt dışı ekonominin önüne geçilmesi ve vergilendirme avantajları nedeniyle de hükümetler tarafından desteklen bu ödeme modeli hemen hemen her ülkede yaygınlaşmaya devam edilmektedir. İnternetin kullanımının artmasıyla internetteki alışveriş siteleri de artmış özellikle uluslar arası alışverişlerde ödeme yöntemi olarak kredi kartını kullanımı tercih edilir olmuştur. Bu gelişime paralel olarak da dolandırıcılar sistemin açıklarını kullanarak menfaat elde etmeye başlamışlardır. Başkasına ait kredi kartı bilgileriyle internetten alışveriş yapan kişiler nedeniyle asıl kart sahipleri bu işlemleri iptal ettirmekte bu nedenle de bankalar ilgili işyerine yaptıkları ödemeleri geri talep etmektedirler. Bu da işletmelerin mali kaybına ve dolayısıyla hukuki uyuşmazlıkların çıkmasına neden olmaktadır. Bu çalışmada genel olarak ters ibraz (charge back) şeklinde ifade edilen bu işlemler ve hukuki boyutu incelenmeye çalışılacaktır.
Tanımlar
Kredi kartı: Nakit kullanımı gerekmeksizin mal ve hizmet alımı veya nakit çekme olanağı sağlayan basılı kartı veya fizikî varlığı bulunmayan kart numarasıdır.
Kartlı sistem kuruluşu: Banka kartı veya kredi kartı sistemi kuran ve bu sisteme göre kart çıkarma veya üye işyeri anlaşması yapma yetkisi veren kuruluştur.
Kart çıkaran kuruluş: Banka kartı veya kredi kartı düzenleme yetkisini haiz bankalar ile diğer kuruluştur.
Üye işyeri: Üye işyeri anlaşması yapan kuruluşlar ile yaptığı sözleşme çerçevesinde kart hamiline mal ve hizmet satmayı veya nakit temin etmeyi kabul eden gerçek veya tüzel kişilerdir.
Kart hamili: Banka kartı veya kredi kartı hizmetlerinden yararlanan gerçek veya tüzel kişidir.
Harcama belgesi: Banka kartı veya kredi kartı ile yapılan işlemler ile ilgili olarak üye işyeri tarafından düzenlenen, kart hamilinin işlemden doğan borcu ile diğer bilgileri gösteren ve kart hamilinin kimliğinin bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemle belirlendiği haller dışında kart hamili tarafından imzalanan belgedir.
Alacak belgesi: Banka kartı veya kredi kartı kullanılarak alınmış olan malın iadesi veya hizmetin alımından vazgeçilmesi veya yapılan işlemin iptali halinde kart hamilinin hesabına alacak kaydedilmek üzere üye işyeri tarafından düzenlenen belgedir.
Charge Back-Ters İbraz İşlemlerinin Özellikleri
Kredi kartı şirketi tarafından, kredi kartı sahibine yapılan bir geri ödeme. Charge back, bir kredi kartı sahibinin ekstresinde bir öge üzerinde uyuşmazlığa düşmesi ve genellikle bir ödeme konusunda yetki vermediğini iddia etmesi ile meydana gelmektedir. Örneğin, bir kişinin, kredi kartının çalınması ve kullanılması suretiyle kimlik hırsızlığı mağduru olması durumunda, bu kişi tüm yetkisiz işlemler için charge back yaptırabilecektir. Charge back için diğer nedenler ise, ürünleri geç veya hasarlı almak ya da hiç almamaktır.
Visa, Mastercard, Amex, Diners, JCB ve CUP gibi bankaların elde etme yetkisine sahip olduğu uluslararası kartlı ödeme sistemleri kurallarına göre, kredi kart sahipleri kendi kartlarıyla yapılan işlemlere itiraz etme hakkına sahiptirler. Bu itiraz, kart sahibi banka tarafından işyeri bankasına iletilir, işyeri bankası ise ilgili işyerinden itiraz edilen işlem ile ilgili belgeleri talep eder. Talep edilen belgelerin yetersiz olması durumunda, söz konusu işlem tutarı işyeri bankası tarafından ilgili işyerinden tahsil edilir ve kart sahibi bankaya aktarılır. Bu işleme “chargeback” veya “ters ibraz” adı verilir.
Chargeback Prosedürü Nasıl İşler?
Prosedür aşağıdaki şekilde özetlenebilir:
- Kart sahibi kredi kart bankasına itirazını iletir.
- Kart sahibi banka bu itirazı işyeri bankasına yönlendirir.
- İşyeri bankası ilgili itirazı işyerine sunar ve işlem ile ilgili belgeleri talep eder.
- İşyeri ilgili belgeleri bankaya iletir.
- Eğer işyerine tanınan süre dahilinde hiç belge iletilmediyse veya gönderilen belgeler yeterli görülmezse, itiraz edilen tutar işyeri hesabından çekilir ve kart sahibi bankaya iade edilir.
- Gelen belgeler yeterli görülürse kart sahibi bankaya iletilirler ve itiraz reddedilir. İşyeri ilgili tutarı iade etmek zorunda kalmaz.
Chargeback Durumunda Hangi Belgeler Geçerlidir?
İtirazın sebebine göre farklı belgeler talep edilebilir. Genel olarak en sık rastlanan itiraz sebebi söz konusu işlemin kart sahibinin rızası dışında yapıldığıdır. Bu durumda mal ve/veya hizmetin kart sahibi tarafından teslim alındığını yasal olarak ispatlayan bir belge gerekmektedir. En iyi örnek lojistik yani nakliye veya kargo gibi işlemleri yapan firmalar tarafından imzalatılan teslimat belgesidir. Söz konusu belge, kart sahibinin “ıslak imzasını” taşıdığından bankalar tarafından yeterli görülür. Burada dikkat edilmesi gereken en önemli ayrıntı, bu imzanın gerçek kart sahibine ait olmasıdır: Kart sahibinden başka birisinin imzaladığı bir kargo teslimat belgesi hukuken kesin bir delil olarak kabul edilemeyecektir.
Mal satışlarında durum böyleyken hizmet satışlarında durum biraz daha farklı olabilmektedir. Zira hizmet satışlarında kargo veya nakliye firması devrede olmaz. Bu nedenle hizmet satışlarında kart sahibinin söz konusu hizmeti aldığını beyan eden imzalı bir belge yardımcı olabilir. Bu belgede kart sahibinin adı, soyadı, alışverişi yaptığı kredi kartının ilk 4 ve son 4 hanesi, işlemin tutarı, tarihi, işyerinin adı, alınan hizmetin tanımı gibi bilgilerin yer alması gerekmektedir.
Esasen kredi kartı bilgilerinin 16 haneli olarak tutulması ispat hukuku de açısından gerekli görülse de bilgi güvenliği nedeniyle kredi kartı numaralarının tamamının bir yerde kayıtlı tutulmamasında fayda vardır. Belgeler bankaya iletildikten sonra itiraz prosedürünün sonucu işyeri ve kart sahibi bankalar tarafından belirlenecektir.
İptal/İade işlemleri mutlaka sistem aracılığı ile işlem yapılan karta yapılmalı, müşterinin talebi nedeniyle farklı bir karta, isme ya da bir banka hesabına havale-eft olarak yapılmamalıdır.Özellikle dolandırıcılık eylemlerinde bu şekilde paranın hakimiyet altındaki başka bir karta transferi sağlanmış olur ki bu hususa da dikkat etmek gerekmektedir.
Chargeback Nasıl Engellenir?
İşyerlerinin chargeback riskini sıfırlamaları mümkün değildir. Özellikle internet sitesi üzerinden satış yapan işletmeler için bu risk sürekli olaak devam edecektir. Dünyada geçerli kimlik ve kart uygulamaları nedeniyle şu an itibariyle bu riskin tamamen ortadan kaldırılması mümkün gözükmemektedir.Ancak bu riski makul seviyelere düşürmek için bazı önlemler alınabilir. Hangi önlemlerin alınacağına her işyeri kendi karar vermelidir.
Sahtekarlığı ve chargeback oranlarını kontrol altında tutmak çaba gerektirir: Alınacak her önlem toplam riski azaltacak fakat maliyetleri artıracaktır. İşyerlerinin çoğu aşırı derecede güvenlik önlemleri aldıklarında satışlarının ciddi bir oranda düştüğünü gözlemlemekte, kullanıcılar da çok sıkı güvenlik altındaki ödeme işlemlerinden bunalmakta ve daha kolay ve hızlı olarak alışveriş yapabilecekleri internet sitelerine yönelmektedirler. Burada doğru olan ideal dengeyi bulmaktır. Bunun yapılabilmesi için öncelikle her işyerinin ne kadar risk almayı göze aldığına ve bu risk seviyesini tutturmak için ne kadar maliyete katlanabileceğine karar vermesi gerekmektedir. Bu noktadan sonra seçilen risk/maliyet oranına uygun önlemler belirlenebilir. Ancak hukuken belirtmek gerekir ki vazgeçilen her ek güvenlik önlemi işletmenin bu alışveriş nedeniyle oluşan zarara katlanmak zorunda kalmasına neden olabilir.
Bu ek güvenlik önlemlerinden biri olan 3D Secure Visa ve Mastercard’ın Elektronik Ticaret için geliştirdiği ortak güvenlik standartıdır. İnternet üzerinden satış yapan işletmeler sanal POS’larını bu altyapıya uygun olarak entegre edebilirler ve böylece 3D Secure olmayan bir işyerine göre chargeback riskinizi oldukça azaltmış olurlar. Ancak bu sistemde bankanın ana sistemine bağlanıp kullanıcıya cep telefonu aracılığıyla sms doğrulama şifresi gönderilmesi vb. hususlar gerektiğinden işletmeler ve kullanıcılar tarafından kolay ve hızlı bulunmadığından pek rağbet görmemektedir. Kaldı ki Türkiye’deki çoğu dolandırıcılık olaylarında tek başına 3d secure sisteminin de yeterli olmadığı anlaşılabilmektedir.
Charge back Dolandırcılık işlemlerinin karakteristik özellikleri;
- İlk defa alışveriş yapan müşteriler: 6 aydır bir siteden alışveriş yapan bir müşterinin sahtekarlık yapma ihtimali yeni müşteriye göre çok daha düşüktür.
- Ortalama sipariş tutarının çok üzerindeki siparişler: Sahtekarlar mümkün olduğu kadar az denemede mümkün olduğu kadar çok kazanç elde etmeye çalışırlar.
- Aynı üründen birden fazla içeren siparişler (çiçek gibi birden fazla alınması doğal olan ürünler dışında).
- Çalıntı mal olarak satılması kolay ürünler: Özellikle cep telefonu gibi fiziksel boyutları küçük, değerleri yüksek ve ikinci el satışı kolay ürünler sahtekarlar tarafından tercih edilir.
- Benzer kart numaraları ile ard arda birden fazla deneme yapıldıktan sonra başarılı olan siparişler, bir sahtekarın elindeki çalıntı kart numaralarını denediğini gösterebilir.
- Aynı kart numarası ile farklı son kullanım tarihi denemeleri, bir önceki madde ile aynı anlama gelebilir.
- Aynı müşteri tarafından gerçekleştirilen birden fazla başarısız işlem, müşterinin çeşitli bilgileri deneyerek doğru kart bilgilerini aradığını gösterebilir.
- Aynı kart numarasını kullanan farklı müşteriler: Sahtekarlar hareketlerini saklamak için farklı kullanıcılar yaratabilirler.
- Aynı kart ile çok kısa sürede birden fazla işlem.
- Aynı IP adresi üzerinden birden fazla kart kullanımı.
- Web tabanlı ücretsiz e-posta adresleri veren sitelerden alınmış e-posta adresi.
- Sabit ve faturalı hatlar diğerlerine göre daha fazla güvenli bulunur.
- Türk Telekom’un online rehberine girilince gönderi bilgilerini doğrulamayan telefon numaraları.
- Trace edildiklerinde fatura adresinde belirtilen şehirden farklı yerde çıkan IP (internet protokol) adresleri.
- Yurtdışı kredi kartları ile gerçekleştirilen işlemler. Özellikle de IP adresi Türkiye’ye trace (iz-belirti) oluyorsa.
- Sipariş bilgileri incelendiğinde şüphe yaratabilecek herhangi bir unsur.
Ters ibraz ya da iptal işlemi, alıcının kredi kartını çıkaran kuruluştan, işlemin tamamlandıktan sonra iptal edilmesini istemesi sonucu ortaya çıkar. Ters ibraz yalnızca ödemelerini kredi veya banka kartıyla yapan kullanıcılar için geçerlidir.
Bir alıcının ters ibrazda bulunmasının nedenleri
Bir alıcının ters ibrazda bulunmasının nedenleri üç temel nedeni vardır:
- Satın alınan ürün eline ulaşmaması.
- Ürünün tanıtımından oldukça farklı olması.
- Kredi kartının dolandırıcılık amaçlı bir ürün alışverişi için izinsiz kullanılması.
- Yetkisiz bir taraf, alıcının kredi kartını kullanarak satın alma işlemi yapmıştır
- Satın alma işleminin geçerli olup olmadığı konusunda alıcının şüpheleri vardır
- Aynı sipariş için alıcıdan bir kaç defa ödeme alınmıştır
- Alıcı satın aldığı üründen memnun kalmamıştır ve sorunu satıcıyla çözememiştir
- Alıcının satın aldığı ürünler belirtildiği şekilde alcıya ulaşmamıştır
- Alıcının satın aldığı ürünler alıcıya hiç ulaşmamıştır
Ters ibraz dolandırıcılığında en çok kullanılan hak talepleri şunlardır:
- Dolandırıcı yasal bir alışveriş yapar ancak işlemin kendi talimatıyla yapılmadığını iddia eder.
- Suçlu bir ürünün eline geçmediğini iddia eder veya tanıtımından oldukça farklı olduğu konusunda yalan söyler.
- Çoğu ters ibraz durumu, üye işyerleri standart işlem prosedürlerini izlemediğinde– mesela bir kartın son ödeme tarihini kontrol etmediklerinde, bir işleme provizyon almayı unuttuklarında veya bir işlemi yanlışlıkla birden fazla gönderdiklerinde ortaya çıkar.
- Diğer sık rastlanan nedenler ise, müşteri istediğinde düzenli ödemeleri iptal etmeyi unutma, ekstrelerde tanınamayan üye işyeri isimleri, malların alınmaması ve kart sahibinin işlemin hiçbir zaman gerçekleşmediğini iddia etmesi olarak sıralanabilir.
Asıl kredi kartı aşağıdaki sebeplerle harcamaya itiraz edebilir;
- Harcamayı hatırlamıyor ve satış belgesini görmek isteyebilir
- Harcamaların tarafımdan yapılmadığını iddia edebilir.
- Belirtilen işlem tutarındaki nakit ATM’den alınmamış olabilir.
- Hesap özetinde aynı işlem birden fazla yer alabilir. Kart sahibi sadece bir işlem yapmıştır.
- İşlem tutarı farklıdır. Satış belgesinin sunulması gerekir.
- Alacak tutarı hala hesabına aktarılmamış olabilir.
- İşlemlere konu mal/hizmet alınamamıştır. Konu işyeri ile çözümlenememiştir.
- Bu hizmet bedeli farklı yollardan ödenmiştir.
- İşlem bitiminden sonra hizmet bedeline ilave yapılmıştır.
İlgili Mevzuat
Konuya ilişkin olarak en detaylı yasal düzenlemeler 23.2.2006 tarihli 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nda mevcuttur.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 11.maddesi gereğince Kart çıkaran kuruluşlar, olarak yapacakları şikâyet ve itiraz başvurularını, başvuru tarihinden itibaren yirmi gün içinde hamilin başvuru yöntemi kullanılarak ve gerekçeli bir şekilde cevaplandırmak zorundadır. Kuruluşlar, kart ve ek kart hamillerinin şikâyet ve itirazlarının ilgili birimlerine kolaylıkla ulaşmasını sağlayacak tedbirleri almakla yükümlüdür. Kredi kartı ile yapılan işlemlere, son ödeme tarihinden itibaren on gün içinde, kart çıkaran kuruluşa başvurmak suretiyle itiraz edilebilir. Kredi kartı hamili, yapacağı başvuruda, hesap özetinin hangi unsurlarına itiraz ettiğini gerekçesiyle belirtmek zorundadır. Süresi içerisinde itiraz edilmeyen hesap özeti kesinleşir. Hesap özetinin kesinleşmesi genel hükümlere göre dava hakkını ortadan kaldırmaz.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 12.maddesi gereğince Kartın ya da 16 ncı maddede belirtilen bilgilerin kaybolması veya çalınması halinde kart hamili, yapacağı bildirimden önceki yirmidört saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zararlardan yüzelli Yeni Türk Lirası ile sınırlı olmak üzere sorumludur. Hukuka aykırı kullanımın, hamilin ağır ihmaline veya kastına dayanması veya bildirimin yapılmaması hallerinde bu sınır uygulanmaz. Kart çıkaran kuruluş, yapılacak talep ve ilgili sigorta prim bedelinin ödenmesi koşulu ile kart hamilinin birinci fıkrada belirtilen yüzelli Yeni Türk Lirası tutarındaki sorumluluğunun sigortalanmasını sağlamakla yükümlüdür. Kartların sigortalanması ve sorumluluğun paylaşılmasına ilişkin usûl ve esaslar Kurum tarafından çıkarılacak yönetmelikle belirlenir.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 15.maddesi gereğince Kart kullanımından doğan sorumluluk, sözleşme imzalandığı ve kartın zilyetliğine geçtiği veya fizikî varlığı bulunmayan kart numarasının öğrenildiği andan itibaren, kart hamiline aittir. Kartın imza hanesinin kart hamili tarafından imzalanmış olması zorunludur. Üye işyerinin talep etmesi durumunda kart hamili, kartın kullanımı sırasında kimlik belgesi ibraz etmek zorundadır. Bu Kanunun 20 nci maddesi uyarınca harcama belgesi düzenlenmeksizin çeşitli iletişim araçları yoluyla veya sipariş formu vasıtasıyla yapılan mal ve hizmet alımlarındaki hukuka aykırı kullanımlardan kaynaklanan zararlardan kart hamili sorumlu tutulamaz.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 16.maddesi gereğince Kart hamili, kendisine tevdi edilen kartı ve kartın kullanılması bir kod numarası, şifre veya kimliği belirleyici başka bir yöntemin kullanılmasını gerektiriyorsa bu bilgileri güvenli bir şekilde korumak ve başkaları tarafından kullanılmasına engel olacak önlemleri almak, kartın kaybolması, çalınması veya iradesi dışında gerçekleşmiş herhangi bir işlemi öğrenmesi halinde kart çıkaran kuruluşu derhal haberdar etmek zorundadır. Kart hamili adresinde meydana gelen değişiklikleri, değişiklik tarihinden itibaren onbeş gün içinde kart çıkaran kuruluşa bildirmekle yükümlüdür.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 17.maddesi gereğince Üye işyerleri, kart hamillerinin yapmış oldukları mal ve hizmet alımlarının bedelini banka kartı ya da kredi kartı ile ödeme taleplerini kabul etmek zorundadır. Bu zorunluluk indirim dönemlerinde de geçerlidir. Üye işyerleri, kart hamilinden kartın kullanılması dolayısıyla komisyon veya benzeri bir isim altında ilave bir ödemede bulunmasını isteyemez. Bu hükme aykırı davranılması halinde, üye işyeri anlaşması yapan kuruluşlar tarafından üye işyeri sözleşmesi feshedilir ve bir yıl süreyle yeni bir sözleşme yapılamaz. Üye işyerleri, mal ve hizmet bedeli karşılığını banka kartı veya kredi kartı ile ödemek isteyen kişilerin imza gerektiren işlemlerde imza kontrolünü yapmak, kartın tahrifata uğrayıp uğramadığını kontrol etmek ve üye işyeri anlaşması yapan kuruluşlarca kendilerine ulaştırılan bilgiler çerçevesinde kartın geçerliliğini tespit etmekle yükümlü olup, gerekli durumlarda kart üzerinde yer alan bilgilerle kimlik belgesi üzerinde yer alan bilgileri karşılaştırmak üzere geçerli bir kimlik belgesi ibrazını talep etmek ve harcama belgesi üzerindeki bilgilerle kredi kartı üzerindeki bilgileri karşılaştırarak kontrol etmekle yükümlüdür. Bu kontrollerin yapılmamasından doğan zararlardan üye işyerleri sorumludur.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 18.maddesi gereğince Üye işyerleri, mal ve hizmet bedellerinin banka kartı ya da kredi kartı ile ödenmesi veya nakit talep edilmesi halinde, 20 nci madde hükümleri saklı kalmak kaydıyla, elektronik ya da mekanik cihazları kullanarak harcama belgesi veya nakit ödeme belgesi düzenlemek ve aslını sözleşmede belirtilen süre içinde muhafaza etmek ve bir nüshayı da kart hamiline vermek zorundadır. Bu hükme aykırılık halinde satılan hizmet veya mal bedeli üye işyeri anlaşması yapan kuruluştan talep edilemez. Üye işyerleri kart kullanılarak satın alınmış bir malın iadesi veya hizmetin alımından vazgeçilmesi veya yapılan işlemin iptali halinde, alacak belgesi düzenleyerek bir nüshasını kart hamiline verdikten sonra diğer bir nüshayı da muhafaza etmekle yükümlüdür.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 19.maddesi gereğince İşlemin niteliği nedeniyle harcama ve alacak belgesi düzenleme imkânı olmayan hallerde kartlar, hamil tarafından çeşitli iletişim araçları ile kart numarası bildirilmek veya imza yerine geçen kod numarası, şifre ya da kimliği belirleyici benzeri başka bir yöntemle işlem yapılmak suretiyle de kullanılabilir.
- 5464 Sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 33.maddesi gereğince Kartlı sistem kuran, kart çıkaran, üye işyeri anlaşması yapan kuruluşlar ve üye işyerleri bu Kanun ve ilgili düzenlemeler ile getirilen yükümlülüklerin yerine getirilmesinde gerekli basiret ve özeni göstermekle yükümlüdür.
Yargıtay kararları
T.C. YARGITAY 19.Hukuk Dairesi
Esas: 2008/1253
Karar: 2008/3729
Karar Tarihi: 10.04.2008
Somut olayda; kredi kartını çıkaran dava dışı banka tarafından itiraza uğrayan satım belgelerinin (sliplerin) davacı bankadan talep edilmesine rağmen, süresinde teslim edilmemesi üzerine alışveriş tutarının charge back yöntemiyle davacı bankadan talep edildiği ve davacının da 20.5.2003 tarihinde kartı çıkaran dava dışı bankaya ödeme yapıp ödediği bu tutarı davalı üye işyerinden talep ettiği anlaşılmaktadır.
Taraflar arasında akdedilen üye işyeri sözleşmesinin 11. maddesinde üye işyeri sahiplerinin istihdam ettiği personelin yaptığı işlemler nedeniyle sorumlu olacakları hususu düzenlenmiş, aynı sözleşmenin 8. maddesinin (ı) ve (k) bentlerinde ise charge back işlemi halinde üye işyerinin sorumluluğu belirlenmiştir.
Hal böyle olunca mahkemece yukarıda açıklanan sözleşme hükümlerinde davalı üye işyerinin sorumlu tutulduğu gözetilmeden yazılı şekilde hüküm kurulmasında isabet görülmemiştir.
T.C. YARGITAY19.Hukuk Dairesi
Esas: 2003/3702
Karar: 2003/8968
Karar Tarihi: 26.09.2003
Davacı banka, anılan kartlarla yapılan harcama bedellerini ödediğini, ancak kartlar sahte olduğundan ödediği parayı kartı veren yurtdışındaki bankadan alamadığını iddia ederek ödediği slip bedelinin tahsilini talep etmektedir. Bu durumda davacı banka harcama belgelerinin yurt dışındaki bankaya gönderilmesine rağmen kartların çalıntı olması nedeniyle slip bedellerinin tahsil edilememiş olduğunu bir başka deyişle yurt dışındaki bankanın kendisine charge back ettiğini kanıtlamakla yükümlüdür. Bu nedenle banka kayıtları üzerinde inceleme yapılarak yurt dışı bankanın davacı bankaya charge back edip etmediği araştırılmadan yazılı gerekçe ile hüküm kurulması doğru olmadığı gibi, aynı harcama belgelerine dayanılarak, davalı H’nin ortağı bulunduğu P. Ltd.Şti. hakkında da dava açıldığı ve verilen kararın Yargıtay tarafından onandığı anlaşıldığından, davacı bankanın o davada alacağını tahsil edip etmediği de araştırılmadan eksik inceleme ile yazılı şekilde hüküm kurulması isabetli görülmemiştir.
T.C. YARGITAY 11.Hukuk Dairesi
Esas: 2005/13634
Karar: 2007/168
Karar Tarihi: 15.01.2007
Mahkemece, toplanan kanıtlar ve bilirkişi raporuna dayanılarak, davacının sözleşmeye aykırı davranarak işlem yapılan slip nüshasını davalı bankaya ibraz etmediği, böylece yurt dışı kredi kartı hamili tarafından yapılacak itiraza karşı sunulacak tek delilin ortadan kalkmasına ve yurt dışı bankanın harcama tutarlarını <charge back> yolu ile davalı banka hesabına borç kaydedilmesine neden olduğu, bu durumda taraflar arasındaki sözleşme hükümleri uyarınca davalı bankanın anılan işlem tutarını üye işyeri hesabına borç kaydetmek yetkisine sahip bulunduğu, davalı bankanın davacıdan tahsil ettiği toplam meblağ ve davalı banka hesabına borç kaydedilen meblağ dikkate alındığında, davalı bankanın (620) YTL. tutarında alacağının bulunduğu gerekçesiyle, asıl davanın reddine, karşı davanın kısmen kabulü ile (620) YTL.’nın karşı dava tarihinden itibaren temerrüt faiziyle birlikte davacı-karşı davalıdan tahsiline karar verilmiştir.
Dava dosyası içerisindeki bilgi ve belgelere, mahkeme kararının gerekçesinde dayanılan delillerin tartışılıp, değerlendirilmesinde usul ve yasaya aykırı bir yön bulunmamasına ve 4489 S. K. ile değişik 3095 S. K.nun 1. maddesi uyarınca, 01.01.2000 tarihinden itibaren, reeskont faizi tabirinden yasal faizin anlaşılması gerektiğinin tabii bulunmasına ve davalı-karşı davacı vekili tarafından sunulan dava dilekçesinde açıkça avans türünden temerrüt faizi talep edilmemiş olması karşısında, mahkemece karşı davada reeskont (yasal) oranında temerrüt faizine hükmedilmiş olduğunun kabulünün gerekmesine göre, davacı-karşı davalı vekilinin yerinde görülmeyen tüm temyiz itirazlarının reddi ile kararın onanması gerekmiştir.
T.C. YARGITAY 11.Hukuk Dairesi
Esas: 2005/7895
Karar: 2006/7922
Karar Tarihi: 04.07.2006
Dava, davalı banka ile üyesi olan davacı iş yeri arasında yapılan kartlı ödeme sözleşmesine dayalı alacak istemine ilişkindir.
Mahkemece, kredi kartının kullanıldığı tarih ile davanın açıldığı tarih arasında, charge back belgesinin gelmesi için beklenmesi gereken 180 günlük süre geçmediği gerekçesiyle davanın reddine karar verilmiş ise de; karar tarihi itibariyle bu süre geçmiş olup, bu gerekçeyle davanın reddine karar verilmesi doğru olmamıştır.
Somut olayda, kredi kartı ile ödemede bulunulmuş ve davalıya ait pos cihazı onay vermiş olup, bu durumda, mahkemece, tüm dosya kapsamı ve davalı bankanın charge back belgesinin gelmediğine ilişkin yazısı da değerlendirilerek, sonucuna göre karar vermek gerekirken, yazılı şekilde hüküm kurulması doğru olmamıştır.
T.C. YARGITAY 11.Hukuk Dairesi
Esas: 2005/1945
Karar: 2006/2758
Karar Tarihi: 16.03.2006
Dava, davacının banka hesabından alınan paranın tahsili istemine ilişkindir. Davacıya ait işyerinde kurulu, davalı A. tarafından verilen pos cihazı kullanılmak suretiyle 07.10.1999 tarihinde alış veriş yapıldığı hususlarında taraflar arasında her hangi bir çekişme mevcut değildir. Davalı bankaların yargılama sırasında yaptıkları savunmalar ve davalı A.’ın davadan önce davacıya noter kanalıyla gönderdiği 10.01.2001 tarihli ihtarname değerlendirildiğinde, alış verişte kullanılan A.’a ait kredi kartı ile yapılan harcamaya ilişkin slip kopyalarının A.’tan istenmesine rağmen davalı A.’ın bu istemi yerine getirememesi üzerine kart sahibi A.’ın harcama bedelini chargeback yapmak suretiyle davalı A.’tan tahsil ettiği, bunun üzerine davalı Akbank’ın da davacı şirketin saklaması gereken slip asıllarını kaybettiği gerekçesiyle ibraz edememesi nedeniyle Kartlı Ödemeler Sözleşmesi’nin 10. maddesine dayalı olarak alış veriş tutarını davacının hesabına borç kaydettiği anlaşılmıştır.
Davacı ile davalı A. arasında akdedilen Kartlı Ödemeler Sözleşmesi’nin Firma’nın Yükümlülükleri’ne ilişkin 4. maddesinde, firmanın satış belgelerinin kendinde kalacak nüshasını Vergi Usul Kanunu ve hesap uygunluğu açısından beş yıl süre ile saklaması ve banka tarafından istendiğinde ibraz etmesi gerektiği, POS İşlemleri İle İlgili Kurallar’ın 10. maddesinde de, bankanın istemi halinde firmanın elinde bulunan satış belgesine ait işyeri nüshasını bankaya ibraz etmekle yükümlü olduğu aksi takdirde bankanın slip tutarını hesabına kayıtsız şartsız borç kaydetmesini peşinen kabul ettiğinin düzenlenmiş olmasına göre somut olayda, davacının hesabından yapılan kesintinin nedeni davalı A.’ın sahte kimlik ve belgelere dayalı olarak İ. K.’a M. T.sahte kimliği ile kredi kartı vermesi değil, davacının kredi kartı karşılığı yaptığı satış işlemine ait sliplerin saklama süresi içinde banka tarafından istenmesine rağmen ibraz edememesinden kaynaklanmaktadır. O halde mahkemece, davalı A.’ın slip kopyalarını A.’tan istemesi ancak davacının bunları ibraz edememesi üzerine harcama bedelinin charge back işlemi ile alınması nedeniyle hesabından kesinti yapılması maddi olgusuna dayalı olarak davacının davalı A.’tan istemde bulunmasının mümkün olup olmadığının pos işlemleri ile ilgili düzenlemeler ve bu konuda uygulanan bankalar arası hesaplaşma usulleriyle ilgili olarak yaptırılacak bilirkişi incelemesi sonucuna göre değerlendirilerek mümeyyiz davalı banka hakkında bir karar verilmesi gerekirken, bu davanın dayanağını oluşturmayan, bu nedenle de bu davada tartışılması mümkün olmayan kredi kartının sahte belgelere dayalı olarak verilmesi nedenine dayalı olarak davalı A.’ın sorumluluğuna karar verilmesi doğru görülmemiş, kararın temyiz eden davalı banka yararına bozulması gerekmiştir.
T.C. YARGITAY 11.Hukuk Dairesi
Esas: 2006/6787
Karar: 2007/9053
Karar Tarihi: 14.06.2007
Dava, kredi kartı üye işyeri sözleşmesinden kaynaklanan alacak istemine ilişkindir.
Mahkemece; taraflar arasında mevcut sözleşme ve Uluslararası Kredi Kartı Kuralları uyarınca, davacının sözleşme ile kendisine düşen sorumluluğu yerine getirmediği, sözleşmeye aykırı olarak slip böldüğü ve bu nedenlerle davalı bankanın yaptığı bloke işleminin sözleşme ve uygulamadan doğan hakkın kullanılması niteliğinde olduğu kabul edilerek, davanın reddine karar verilmiştir.
Ancak, davalı bankanın dosyaya sunduğu cevap dilekçesinde, blokeye neden olan alışverişe ilişkin olarak, yabancı banka tarafından davalı bankaya ödeme yapıldığı kabul edilmiştir.
Bu durumda, mahkemece, hesaba bloke konulmasına neden olan alışverişe ilişkin olarak, kredi kartının ait olduğu bankaca, ödemeden sonra, bu işlem hakkında yeniden bir başvuruda bulunulup bulunulmadığı, geri istenip istenmediği, charge back işlemine tabi tutulup tutulmadığı hususları araştırılarak, bunun sonucuna göre bloke edilen paranın davalı bankada kalmasının haklı bir nedeninin bulunup bulunmadığının belirlenmesi ve sonucuna göre karar verilmesi gerekirken, eksik incelemeye dayalı olarak, yazılı şekilde karar verilmesi doğru görülmemiştir.
KAYNAKLAR:
http://www.visa.com.tr/tr/kart_kabul%C3%BC/kurallar_ve_g%C3%BCvenlik/kurallar_ve_y%C3%B6netmelikler/ters_ibrazchargeback.aspx
http://support.google.com/chrome_webstore/bin/answer.py?hl=tr&answer=1054264
http://chargify.com/blog/the-cost-of-a-chargeback-infographic/
http://www.chargebacknation.com/
http://www.mastercard.com/us/merchant/pdf/TB_CB_Manual.pdf
http://financial-dictionary.thefreedictionary.com/Chargeback
http://www.sitepoint.com/chargeback-challenge/
https://www.unibulmerchantservices.com/wpcontent/themes/unibul/images/graph2.jpg
http://eticaret.garanti.com.tr/Guvenlik/Chargeback-Ters-Ibraz-Nedir.aspx#foot1
https://cms.paypal.com/tr/cgi-bin/?cmd=_render-content&content_ID=security/chargeback_guide
Av.Özgür Eralp
Ocak 2012 – Ankara
www.ozgureralp.av.tr
internet bankacılığı dolandırıcılıkları
İnternet bankacılığı dolandırıcılıkları çoğunlukla iki adımda gerçekleştirilmektedir.Birinci adımda, hacker diye tabir edilen kişiler müşterinin hesap bilgileri olan şifre ve parola gibi bilgilerini ele geçirmektedir. İkinci adımda, hacker bu müşterinin bilgileri kullanarak mağdur kimsenin hesabındaki parayı çekmek için bir başka hesaba göndererek dolandırıcılık eyleminde bulunur. İlk işlem için hacker müşterinin kişisel bilgilerini ele geçirmek için çoğunlukla aynı olmak üzere çok çeşitli yöntemler kullanır. Casus programlar ile şifreleri ele geçiren korsanlar, bu şifreler ile rahatlıkla sanki hesap sahibiymiş gibi işlem yaparlar. İkinci aşamada ise genellikle sahte kimliklerle açılan hesaplara aktarılan paralar ya banka şubeleri veya ATM’ler aracılığıyla nakit olarak çekilmekte, kredi kartlarına yüklemeler yapılıp harcamalar yapılmakla veya son dönemlerde olduğu gibi cep telefonlarına kontör yüklenebilmektedir. Görüldüğü üzere bu tip dolandırıcılık olaylarında müşterinin şifresinin ele geçirilmiş olması eylemin tamamlanması ve zararın doğması için yeterli bir etken değildir. Nitekim son dönemlerde bu tip dolandırıcılık eylemleri neticesinde çalınan paralar harcanmadan bloke konulmak suretiyle müşteri hesabına geri döndürülebilmektedir. Bu durumu bir eve girip hırsızlık yapan ve ancak çaldığı malları ev dışarısına çıkaramayarak evin içerisinde bırakan kişinin durumuna benzetebiliriz.
İnternet bankacılığı dolandırıcılığı genellikle bir çete işidir. Şebeke kurucusu, şifreleri ele geçiren hacker, sahte belge sorumlusu, ayakçıları bulan aracı ve transfer edilen paraları bankadan çeken ayakçıdan oluşur. Ayakçılar, aracılar tarafından sadece bir iki eylemde kullanılır. Banka şubesinde hesap açarak, açılan hesaba gelen parayı çekip aracıya veren ayakçılar yapmış oldukları bu iş karşılığında ele geçirmiş oldukları tutarın oldukça önemsiz bir kısmını alırlar.
Şubelere internet dolandırıcılığı vasıtasıyla gönderilen tutarları almaya gelen ayakçı olarak tabir edilen şahıslar genellikle şebekede aracı adı verilen kişiler tarafından bulunan ve eğitim düzeyi düşük, işsiz ve daha önceden sabıkası olmayan şahıslardır.
Yukarıda açıklandığı üzere; İnternet Bankacılığı sistemlerindeki müşteri Şifre ve parolalarını ele geçirip para transfer işlemini yapan hacker ile parayı bankalardan çeken kişilerin aynı kişiler olmayacağı göz önünde bulundurulmalıdır.
SOMUT ÖRNEK: Bilgisayar korsanları müşterinin bilgisayarına müşteri farkına varmadan ufak bir programcık yerleştirirler. Bu programcık genelde internet vasıtasıyla müşterinin bilgisayarına kurulur. Bu program müşteriye gönderilen bir elektronik postanın uzantısı şeklinde olabilir veya müşterinin girdiği internet sitesinde bir sonraki sayfaya ulaşmak için onay istenir gibi yapılır ve müşteri farkına varmadan veya başka bir program çalıştığını zannederken bu program müşterinin bilgisayarına yüklenir ve çalıştırılır. Bu işlem 10 saniye gibi kısa bir süre içerisinde gerçekleştiğinden müşteri çoğunlukla bu işlemin farkına dahi varamaz. Bundan da öte bu programlar çoğu kez virüs programlarının denetiminden dahi kolaylıkla geçebilirler. Genelde .exe uzantılı olan bu dosyalar artık gelişen teknolojiyle .jpeg formatı arkasına gizlenmiş basit bir resim dosyasını arkasında bile çalıştırılabilmektedirler.Yani müşteri bir resim açtığını düşündüğü sırada aslında bu programcığı bilgisayarına kurmaktadır. Şüphesiz bu işlem müşterinin gerçek iradesinin sakatlanmasıyla gerçekleştirilmektedir.
Bu programlar müşterinin bilgisayar ekranının aynı televizyondan izlenir gibi izlenmesine yol açar. Programların çoğu yasaldır ve genellikle çocuklarının bilgisayarda yapmış oldukları işlemleri izlemek isteyen ebeveynlere veya işyerindeki çalışanların işlemlerini izlemek isteyen işverenlere yönelik olarak üretilmişlerdir. Bu programlar bir nevi kamera işlevini de görmektedirler. Bu programların kurulmasıyla ve çalıştırılmasıyla bilgisayar korsanı artık müşterinin ekranını izlemeye başlamıştır.
Müşteri bir bankacılık işlemi yapmak için bankanın internet sitesine girdiğinde bilgisayar korsanı rahatlıkla bu ekranı da görebilmektedir. Hatta şifrenin girilmesi sırasında yüklenen diğer programcıklar vasıtasıyla yıldızlı veya karartılmış olarak ekranda gözüken şifreleri dahi görebilirler.
Bu suretle müşterinin kişisel şifrelerini ve gizli bilgilerini ele geçiren bilgisayar korsanı artık aynen banka müşterisi gibi bütün işlemleri kolayca yapabilir.
Uygulamada bilgisayar korsanları ele geçirmiş oldukları şifrelerle hemen başka hesaplarahesaptaki paraları parça parça havale yapmaya başlarlar. Hatta bunlar için aynı yöntemlerle ele geçirdikleri diğer banka müşterilerinin hesaplarını da kullanırlar.
Bilgisayar korsanları çok seri ve akıllıca hareket ederler ve izlerini kaybettirirler veya hedef yanıltırlar. Genelde internet cafelerden işlem yaparlar veya ip numaralarını değiştirirler.
Bilgisayar korsanları istedikleri hesaplara havale işlemlerini gerçekleştirdikten sonra bu hesaplardan paraları yine hileli yöntemlerle çekerler. Örneğin sahte kimliklerle açılmış hesaplardan bizzat paraları kendileri çekerler veya sahte kimliklerle aldıkları kredi kartlarına yüklemeler yaparak harcamalar yaparlar. Veya paravan kişiler kullanarak ve bunları kandırarak bu kişilerin adına havale çıkarırlar ve bu kişilerden paralarını alırlar. Somut bir örnek şeklinde vermek gerekirse; Dolandırıcılar kendi hesaplarına havaleleri gerçekleştirdikten sonra bankamatiklerin önüne giderler ve kendilerine havale geleceğini yakınlarının hasta olduklarını ancak bir günde bankamatikten 800YTL’den fazla para çekemediklerini bu nedenle kuyrukta bekleyen kişinin hesabına ağabeyinin havale yapmasının mümkün olup olmadığını sorarlar. Bu durumdan şüphelenmeyen müşteri de kendi hesap numarasını verir ve o hesaba havale yapılır. Kuyrukta bekleyen müşteri bankamatikten parayı çeker ve aslında bilgisayar korsanı olan kişiye parayı teslim eder. Artık banka kayıtları üzerinde banka müşterisi başka bir banka müşterisine para havale etmiş, havale edilen müşteri de parayı çekmiş olarak gibi gözükmektedir. Ama gerçekte parayı alan bilgisayar korsanının kendisidir.
Yukarıdaki olaylar sadece örnekleme yapmak amacıyla verilmiştir. Görüldüğü üzere bu tür olaylar çok ciddi ve seri olarak çalışan, sistemin açıklarını çok iyi bilen kişilerce gerçekleştirilen profesyonel dolandırıcılık olaylarıdır.
Maalesef tüm bu olanlardan haberi olmayan tek kişi banka müşterisidir. Banka ise bu işlemleri onaylamakta zira işlemi yapanın kendi müşterisi olduğunu zannetmektedir.
Yukarıda açıklamalardan anlaşılacağı üzere esasen gerek Bankanın kullandığı gerekse müşterilerinin kullandığı bilgisayar programlarında açıklar bulunmaktadır. Bu açıklardan saldırılar olacağı da kaçınılmazdır.
Açıklardan faydalanılarak saldırılardan müşterilerinin zarar görmemesi maksadıyla Bankalarzaman içinde ek güvenlik önlemlerini uygulamaya sokmuşlardır. Örneğin; müşterinin telefona Bankaca tek kullanımlık her bir işlem için şifre bildirilip bu şifreyi müşteri kendi bilgisayarına girmek suretiyle işlemini sonuçlandırması yeni bir güvenlik önlemidir. Müşterinin kendisinin bilmediği ancak banka bilgisayarınca tanınan bir şifre üreten cihazın bankaca müşteriye verilip her bir işlem bazında bu cihaza basılarak üretilen (tek kullanımlık)şifrelerin bilgisayara girilerek işlemin sonuçlandırılması şeklinde olup, bu önlem sayesinde “hacker” gibi kişiler müşterinin bilgisayarındaki tek kullanımlık bu şifreleri ele geçirse bile müşteri hesaplarından işlem yapma imkanı bulunmayacakları türden önlemler de olabilecektir.
Şifreler, müşteri bankanın internet şubesine bağlandığında işlem yapılabilmesi için girmek zorunda olduğu müşteri numarası, şifre vs. gibi bilgiler girildiğinde çalınmaktadır.
Davalı Bankanın sunduğu ürünün, kullanımından müşterilerinin zarar görmemesi yönünde her türlü önlemi alması gerekmektedir. Bu itibarla, sözleşmeye konulan bir hükümle müşterinin bilgisayarının korunmasını müşteriye bırakılması doğru bir hareket olmayıp, ürünü sunan Bankanın basiretli bir tacir gibi davranma yükümlülüğü kapsamında müşterinin bilgisayarı içinde 3. kişilerin saldırılarına karşı gerekli güvenlik önlemlerini alması gerekmektedir. Internet ürünü sunulmasında Bankanın alacağı güvenlik tedbirleriyle müşterinin bilgisayarındaki bilgiler öğrenilebilse bile müşterinin zararına işlem yapılması mümkün olmamalıdır. Dava dosyasındaki bilgilerden davacının bilgilerine hangi bilgisayardan ulaşıldığı konusunda somut, bir bilgi ve belge de bulunmamaktadır.
Bankanın, diğer alanlarda olduğu gibi, İnternet ortamında yapılacak İşlemlerde de sistemgüvenliğini sağlamakla yükümlülüğü mevcuttur. Bu çerçevede, Banka, mevduat sahipleriningüvenli bir şekilde işlem yapabilmesi için gerekli güvenlik altyapısını hazırlamak zorunludur. Bu kapsamda, davalı Banka interaktif bankacılık İşlemleri sırasında kendi bilgisayarını 128 bit (SSL) ile korurken, sisteme bağlanan müşterinin bilgisayarında da aynı koruma tedbirini yararlandırması gerekmektedir. Başka bir anlatımla şifre bilgilerinin üçüncü kişilerce elegeçirilmesini, önleyecek bir güvenlik mekanizması, oluşturması, kendi web sayfasından başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almanın yanı sıra, mevduat sahiplerini de bilgilendirmesi gereklidir.
Diğer taraftan, Banka mevduat hesabı açan şahsa, bu hesapla ilgili ATM ve POS cihazlarındanişlem yapmaya yönelik banka kartı verirken de TTK.’nun 20/2 gereği kendisinden beklenen tüm özeni göstermesi gerekmektedir. Bu özen en azından müşterinin verdiği bilgilerin doğru olup olmadığıyla sınırlı bir istihbarat şeklinde olacaktır.
İmtiyaz suretiyle (BK. Madde 99) faaliyet icra eden ve bir güven (MK, m. 2) kuruluşu olan Bankalar muhafazasına terkedilmiş paraları TTK’nun 20/2. maddesi uyarınca bir tacir sıfatıyla kendisinden beklenen özen yükümlülüğünde korumak ve kollamak zorundadır. Bu itibarla sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Sözleşmelere konulacak hükümlerle bu sorumluluktan kurtulmalarının mümkün olup olmayacağı hususu ise Sayın Mahkemenin takdir yetkisi içerisindedir.
Esasen üçüncü kişinin hesaptan para çekmesi ile hesap sahibinin değil bankanın malvarlığın azalmış olacağı, haksız fiil sonucu banka müşterisinin değil bankanın malvarlığında azalma olduğu kabul edilmelidir. Zira mevduat hesabı vadesiz bir mevduat hesabı ise BK md.472’deki usulsüz tevdie ilişkin hükümlerin; vadeli mevduat ise BK md. 306’daki karz akdi hükümlerinin; bankanın hesabına ilişkin farklı hizmetler sunması halinde BK md.386’daki vekalet sözleşmesi hükümlerinin uygulanması gerekecektir. Usulsüz tevdi ve karz sözleşmelerinde aynen iade yerine milsen iade borcu söz konusu olduğundan para veya şeyin mülkiyeti karz alana veya müstevdiye geçer. Mülkiyetin bunlara geçmesi dolaysıyla haksız fiil bunların malvarlığına yönelik olarak işlenmiş kabul edilir. Bunun sonucu olarak da, bankanın kendi malvarlığında meydana gelen zararı müşterinin hesabına borç kaydetme hakkı yoktur. Dolayısıyla müşterinin talebi halinde banka parayı müşterisine ödemekle yükümlüdür. Vekalet sözleşmesinin ağırlık kazandığı hallerde de aynı sonuca ulaşılır. Zira sahte talimatlarda müşterinin iradesi bulunmadığı için vekaletin icrası dolayısıyla ortaya çıkmış zararın bulundu düşünülemez. Var olmayan bir talimat sonucu banka yetkisi kişiye ödemede bulunuyorsa kendi malvarlığından ödemede bulunduğunun ve meblağı müşterine borçlu kaldığının kabulü gerekir.
Davacı müşterinin banka ile arasındaki sözleşme, davacı müşteriye üçüncü kişilerin hesap ile ilgili bilgileri şifre vs edinmemeleri konusunda özen borcu yüklemektedir. Özen borcu nedeniyle kusur oranları saptanıp ona göre zararın BK md 44 uyarınca paylaştırılması düşünülebilir ise de davacı müşterinin sözleşmeden doğan koruma yükümlülüğüne aykırı davrandığı ispat külfeti bankadadır. Banka bu hususu ispat edemediği gibi dosyada bu yönde bir bilgi veya belge de bulunmamaktadır.
Dava konusu açısından diğer önemli bir husus 5070 Sayılı Elektronik İmza Kanunu ve ilgili mevzuat hükümleridir. Bilindiği üzere 5070 sayılı ELEKTRONİK İMZA KANUNU 15.01.2004 tarihinde kabul edilmiş olup 23.01.2004 tarihli 25355 sayılı Resmi Gazetede yayınlanmıştır. Aynı Kanunun 25.maddesi gereğince yayım tarihinden itibaren altı ay sonra yürürlüğe girmiştir. 5070 Sayılı Elektronik İmza Kanunun 20.maddesi gereğince- Bu Kanunun 6, 7, 8,10, 11 ve 14 üncü maddelerinin uygulanmasına ilişkin usul ve esaslar, Kanunun yürürlük tarihinden itibaren altı ay içinde ilgili kurum ve kuruluşların görüşleri alınarak Telekomünikasyon Kurumu tarafından çıkarılan Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik yayımlanmıştır. Görüldüğü üzere Elektronik İmza Kanunu yaklaşık 5 senedir ülkemizde uygulama alanı bulmakta olup bankaların bu Kanuna uygun nitelikte bankacılık hizmeti verip vermemeleri hukuksal gerçeği değiştirmemektedir. Gerek HUMK gerekse Borçlar Kanununda da değişiklikler yapan bu kanunun elektronik (internet vs.) ortamda yapılan hukuki işlemler için bağlayıcı olduğu açıktır. Davalı banka bu anlamda 5070 Sayılı kanuna uygun hukuki ve teknik standartlarda olmayan bir şifreleme yöntemiyle internet bankacılığı yapmış olmaktadır ve bu nedenle de müşterisinin elektronik ortamda (internette) yaptığını iddia ettiği havale/eft işlemlerini ispatlayamamaktadır.
Bankanın, diğer alanlarda olduğu gibi internet ortamında yapılacak işlemlerde de sistem güvenliğini sağlama yükümlülüğü mevcuttur. Bu çerçevede banka, mevduat sahibinin güvenli bir şekilde işlem yapabilmesi için gerekli güvenlik alt yapısını hazırlaması zorunludur. Bu kapsamda, bankanın interaktif bankacılık işlemleri sırasında şifre bilgilerinin üçüncü kişilerce ele geçirilmesini önleyecek bir güvenlik mekanizması oluşturması, kendi web sahifesinden başka yerlere yönlendirmelere engel olması ve herhangi bir usulsüz işlemle karşılaştığında gerekli önlemleri almasının yanı sıra, mevduat sahiplerini de bilgilendirmeleri gereklidir. Sistem güvenliğinin sağlanmamasından kaynaklanan zararların sorumluluğu bankaya ait olacaktır. Buna göre müşterilerin bilgisi dışında şifrelerin banka kayıtlarından elde edilmesi, para aktarma işlemlerine müdahale edilerek başka yerlere para aktarılması, web sahifesinin taklidi suretiyle müşterilerin kandırılması gibi yollardan gerçekleştirilen usulsüz işlemler bankanın sorumluluk alanına girmektedir.(Hukuki Yönüyle Banka Mevduatı, 2004, Yard. Doç. Dr. Mustafa Çeker, 244, 245, 246, 247, 248).
3 Konuya ilişkin Yargıtay Uygulamaları
Konu itibariyle yeni olan İnternet Bankacılığı Dolandırıcılıkları ile ilgili olarak bankalara karşı açılan davalarda Yargıtay uygulamaları yeni yeni oluşmaya başlamıştır. Önceleri Yargıtay 19.Hukuk Dairesi tarafından banka lehine kararlar verilmekte iken son zamanlarda Yargıtay 19.Hukuk Dairesi tarafından bu konuya ilişkin davalarda görevsizlik kararı verilmekte ve dosya Yargıtay 11.Hukuk Dairesi’ne gönderilmektedir. Kadıköy Asliye 4.Ticaret Mahkemesi’nin müşteriyi haklı bulan 2005/4748E. Sayılı kararı Yargıtay 11.Hukuk Dairesi’nin 2005/4748E. 2006/7341 sayılı 22.06.2006 tarihli kararıyla onanmıştır. (Bu onama kararı Yargıtay Kararları Dergisinde yayınlanmıştır.)
Aynı yöndeki Ankara 1.Ticaret Mahkemesi’nin 2006/66E. 2006/233K. Sayılı benzer kararı Yargıtay 11.Hukuk Dairesinin 2006/9694E. 2008/1205K sayılı kararıyla onanmıştır. Keza aynı şekilde Ankara 1.Ticaret Mahkemesi’nin 2006/122E. Sayılı dosyası Yargıtay 11.Hukuk Dairesi’nin 2007/4581E. 2008/6442K. 15.05.2008 tarihli kararıyla onanmıştır.
Nitekim emsal nitelikteki bir davada müşteriyi haksız bularak bankayı haklı bulan İzmir 5.Asliye Ticaret Mahkemesi’nin 2006/169E. 2006/490K. Sayılı kararı öncelikle Yargıtay 19.Hukuk Dairesince incelenmiş ve bu daire tarafından 01.02.2007 tarihinde görevsizlik kararı verilmiş ve dosyayı inceleyen Yargıtay 11.Hukuk Dairesi tarafından 01.07.2008 tarihinde de söz konusu karar bozulmuştur.
Yargıtayın güncel tarihli kararları da bu yöndedir. Örneğin Kadıköy 4.Sulh Hukuk Mahkemesi’nin 2007/62E. 2008/1561K sayılı kararını onayan Yargıtay 11.Hukuk Dairesi’nin 2009/1506E. 2010/7532K. 28.06.2010 tarihli kararı ve İstanbul 11.Asliye Ticaret Mahkemesinin 2006/474E. 2008/81K sayılı kararını bozan Yargıtay 11.Hukuk Dairesinin 2008/9239E. 2010/504K. Sayılı 19.01.2010 tarihli kararı da bu yöndedir.
Avukat Özgür Eralp
Ocak 2010-Ankara
www.ozgureralp.av.tr
İnternet Bankacılığı Dolandırıcılığı suçları
Son yıllarda teknolojinin gelişimine paralel olarak toplumsal yaşantı ve ilişkilerde değişimler gözlemlenmeye başlanmıştır. Özellikle internetin gelişmesi ve yaygınlaşmasıyla bankacılık işlemleri de hızlı ve kolay olarak sanal ortamda gerçekleştirilmeye başlanmıştır.
Bankacılık işlemlerinin büyük hacimlere ulaşması da internet korsanları diye tabir edilen kullanıcıların dikkatini bu alana yöneltmiştir. Önceleri internetteki ödemeli siteleri çeşitli bilgisayar hileleriyle bedava olarak kullanmaya başlayan internet korsanları zamanla kredi kartları sistemlerindeki boşlukları kullanarak sanal ortamda başkalarının kredi kartlarıyla alışverişler yapmaya başlamışlardır. Nihayet internet korsanları mevduat hesaplarına yönelmişler ve bilgisayar hileleriyle başkalarına ait mevduatları yönetmeye bu hesaplardan kendi hesaplarına aktarımlar yapmaya başlamışlardır. Son yıllarda gerek ülkemizde gerekse diğer ülkelerde bilişim suçları içerisinde tabir edilecek internet bankacılığını kullanılarak işlenen dolandırıcılık suçlarında ciddi bir artış gözlemlenmiştir.
İnternet bankacılığı Dolandırıcılık çeşitleri
İnternet bankacılığını vasıta kılmak suretiyle işlenen dolandırıcılık suçları genel olarak dört başlık altında toplanabilmektedir.
Müşteri kendi şifresinin 3.kişiler tarafından çalınmış gibi göstererek işlemler yapmakta ve daha sonra bankaya dönerek bu işlemler karşılığı miktarın kendisine iade edilmesini talep etmektedir.
Müşterinin eşi, çocukları, yanında çalışan elemanları gibi güven sağlayan ve şifrelere ulaşmaya müsait olan kötü niyetli yakınları tarafından bu bankacılık işlemleri gerçekleşmektedir.
Banka çalışanları müşterilerin şifrelerini ve gizli bilgilerini kullanarak bankacılık işlemleri gerçekleştirmektedir.
Tabiri caizse bu işi meslek haline getiren profesyonel dolandırıcılık çeteleri çeşitli bilgisayar hileleri ile müşterinin şifrelerini ele geçirmekte ve daha sonra bankayı da yanıltarak kendilerini banka müşterisi gibi göstermek suretiyle bankacılık işlemleri yapmakta genellikle de sahte kimliklerle açılmış banka hesaplarıyla veya ATM bankamatik sıkıştırma teknikleri ve sair şekillerde elde ettikleri bankamatik kartları aracılığıyla müşteri hesaplarını boşaltmaktadırlar.
Dolandırıcılık işlemleri nasıl yapılmaktadır?
İnternet bankacılığı dolandırıcılıkları çoğunlukla iki adımda gerçekleştirilmektedir. Birinci adımda, hacker diye tabir edilen kişiler müşterinin hesap bilgileri olan şifre ve parola gibi bilgilerini ele geçirmektedir. İkinci adımda, hacker bu müşterinin bilgileri kullanarak mağdur kimsenin hesabındaki parayı çekmek için bir başka hesaba göndererek dolandırıcılık eyleminde bulunur. İlk işlem için hacker müşterinin kişisel bilgilerini ele geçirmek için çoğunlukla aynı olmak üzere çok çeşitli yöntemler kullanır. Casus programlar ile şifreleri ele geçiren korsanlar, bu şifreler ile rahatlıkla sanki hesap sahibiymiş gibi işlem yaparlar. İkinci aşamada ise genellikle sahte kimliklerle açılan hesaplara veya ATM’ye kart sıkıştırma gibi hileli teknikler kullanılarak elde edilen bankamatik kartlarına aktarılan paralar ya banka şubeleri veya ATM’ler aracılığıyla nakit olarak çekilmekte, kredi kartlarına yüklemeler yapılıp harcamalar yapılmakla veya son dönemlerde olduğu gibi cep telefonlarına kontör yüklenebilmektedir. Görüldüğü üzere bu tip dolandırıcılık olaylarında müşterinin şifresinin ele geçirilmiş olması eylemin tamamlanması ve zararın doğması için yeterli bir etken değildir. Nitekim son dönemlerde bu tip dolandırıcılık eylemleri neticesinde çalınan paralar harcanmadan bloke konulmak suretiyle müşteri hesabına geri döndürülebilmektedir. Bu durumu bir eve girip hırsızlık yapan ve ancak çaldığı malları ev dışarısına çıkaramayarak evin içerisinde bırakan kişinin durumuna benzetebiliriz.
İnternet bankacılığı dolandırıcılığı genellikle bir çete işidir. Şebeke kurucusu, şifreleri ele geçiren hacker, sahte belge sorumlusu, ayakçıları bulan aracı ve transfer edilen paraları bankadan çeken ayakçıdan oluşur. Ayakçılar, aracılar tarafından sadece bir iki eylemde kullanılır. Banka şubesinde hesap açarak, hileli yöntemlerle elde edilmiş bankamatik kartlarına gelen paraları çekip aracıya veren ayakçılar yapmış oldukları bu iş karşılığında ele geçirmiş oldukları tutarın oldukça önemsiz bir kısmını alırlar.
Şubelere internet dolandırıcılığı vasıtasıyla gönderilen tutarları almaya gelen ayakçı olarak tabir edilen şahıslar genellikle şebekede aracı adı verilen kişiler tarafından bulunan ve eğitim düzeyi düşük, işsiz ve daha önceden sabıkası olmayan şahıslardır.
Yukarıda açıklandığı üzere; İnternet Bankacılığı sistemlerindeki müşteri Şifre ve parolalarını ele geçirip para transfer işlemini yapan hacker ile parayı bankalardan çeken kişilerin aynı kişiler olmayacağı göz önünde bulundurulmalıdır.
SOMUT ÖRNEK: Bilgisayar korsanları müşterinin bilgisayarına müşteri farkına varmadan ufak bir programcık yerleştirirler. Bu programcık genelde internet vasıtasıyla müşterinin bilgisayarına kurulur. Bu program müşteriye gönderilen bir elektronik postanın uzantısı şeklinde olabilir veya müşterinin girdiği internet sitesinde bir sonraki sayfaya ulaşmak için onay istenir gibi yapılır ve müşteri farkına varmadan veya başka bir program çalıştığını zannederken bu program müşterinin bilgisayarına yüklenir ve çalıştırılır. Bu işlem 10 saniye gibi kısa bir süre içerisinde gerçekleştiğinden müşteri çoğunlukla bu işlemin farkına dahi varamaz. Bundan da öte bu programlar çoğu kez virüs programlarının denetiminden dahi kolaylıkla geçebilirler. Genelde .exe uzantılı olan bu dosyalar artık gelişen teknolojiyle .jpeg formatı arkasına gizlenmiş basit bir resim dosyasını arkasında bile çalıştırılabilmektedirler. Yani müşteri bir resim açtığını düşündüğü sırada aslında bu programcığı bilgisayarına kurmaktadır. Şüphesiz bu işlem müşterinin gerçek iradesinin sakatlanmasıyla gerçekleştirilmektedir.
Bu programlar müşterinin bilgisayar ekranının aynı televizyondan izlenir gibi izlenmesine yol açar. Programların çoğu yasaldır ve genellikle çocuklarının bilgisayarda yapmış oldukları işlemleri izlemek isteyen ebeveynlere veya işyerindeki çalışanların işlemlerini izlemek isteyen işverenlere yönelik olarak üretilmişlerdir. Bu programlar bir nevi kamera işlevini de görmektedirler. Bu programların kurulmasıyla ve çalıştırılmasıyla bilgisayar korsanı artık müşterinin ekranını izlemeye başlamıştır.
Müşteri bir bankacılık işlemi yapmak için bankanın internet sitesine girdiğinde bilgisayar korsanı rahatlıkla bu ekranı da görebilmektedir. Hatta şifrenin girilmesi sırasında yüklenen diğer programcıklar vasıtasıyla yıldızlı veya karartılmış olarak ekranda gözüken şifreleri dahi görebilirler.
Bu suretle müşterinin kişisel şifrelerini ve gizli bilgilerini ele geçiren bilgisayar korsanı artık aynen banka müşterisi gibi bütün işlemleri kolayca yapabilir.
Uygulamada bilgisayar korsanları ele geçirmiş oldukları şifrelerle hemen başka hesaplara hesaptaki paraları parça parça havale yapmaya başlarlar. Hatta bunlar için benzer hileli yöntemlerle ele geçirdikleri diğer banka müşterilerinin hesaplarını da kullanırlar.
Bilgisayar korsanları çok seri ve akıllıca hareket ederler ve izlerini kaybettirirler veya hedef yanıltırlar. Genelde internet cafelerden işlem yaparlar veya ip numaralarını değiştirirler.
Bilgisayar korsanları istedikleri hesaplara havale işlemlerini gerçekleştirdikten sonra bu hesaplardan paraları yine hileli yöntemlerle çekerler. Örneğin sahte kimliklerle açılmış hesaplardan bizzat paraları kendileri çekerler veya sahte kimliklerle aldıkları kredi kartlarına yüklemeler yaparak harcamalar yaparlar. Veya paravan kişiler kullanarak ve bunları kandırarak bu kişilerin adına havale çıkarırlar ve bu kişilerden paralarını alırlar.Somut bir örnek şeklinde vermek gerekirse; Dolandırıcılar kendi hesaplarına havaleleri gerçekleştirdikten sonra bankamatiklerin önüne giderler ve kendilerine havale geleceğini yakınlarının hasta olduklarını ancak bir günde bankamatikten 800YTL’den fazla para çekemediklerini bu nedenle kuyrukta bekleyen kişinin hesabına ağabeyinin havale yapmasının mümkün olup olmadığını sorarlar. Bu durumdan şüphelenmeyen müşteri de kendi hesap numarasını verir ve o hesaba havale yapılır. Kuyrukta bekleyen müşteri bankamatikten parayı çeker ve aslında bilgisayar korsanı olan kişiye parayı teslim eder. Artık banka kayıtları üzerinde banka müşterisi başka bir banka müşterisine para havale etmiş, havale edilen müşteri de parayı çekmiş olarak gibi gözükmektedir. Ama gerçekte parayı alan bilgisayar korsanının kendisidir.
Olayımıza uyan başka bir örnekse şu şekilde verilebilir; Kişi bankamatik kartıyla para çekmek için ATM’ye gider, kartını ATM cihazına taktığında önceden dolandırıcılar tarafından yapılmış düzenek sayesine kartı sıkıştırılır ve şifresi de kamera sayesinde tespit edilir. Daha sonra dolandırıcılar tarafından bu bankamatik kartı alınır ve şifresi de girilmek suretiyle ilgili kişi bankamatik kartını iptal ettirene kadar işlemler yapılır.
Yukarıdaki olaylar sadece örnekleme yapmak amacıyla verilmiştir. Görüldüğü üzere bu tür olaylar çok ciddi ve seri olarak çalışan, sistemin açıklarını çok iyi bilen kişilerce gerçekleştirilen profesyonel dolandırıcılık olaylarıdır.
Maalesef tüm bu olanlardan haberi olmayan tek kişi banka müşterisidir. Banka ise bu işlemleri onaylamakta zira işlemi yapanın kendi müşterisi olduğunu zannetmektedir.
Sim kart kopyalama işlemleri
Cep telefonlarında kullanılan Sim kartların aynısından bir tane daha elde etmek için iki basit yöntem vardır. İlki yasal olan ve gsm operatörleri tarafından ikizhat – yedek hat gibi isimler altında yapılan işlemdir. Bu işlemde ilgili GSM operatörü temsilcisine gidip nüfus cüzdanınızın fotokopisiyle 10 TL civarında bir ödeme yaparak telefon hattınızın aynı özelliklerine sahip olan bir sim kart alabilirsiniz. Uygulamada kötü niyetli kişilerin sahte nüfus cüzdanı fotokopileriyle başkalarının adına kayıtlı telefon hatlarına ait sim kartlarını rahatlıkla alabildikleri gözlemlenmektedir.
İkinci yöntem ise teknik yöntemleri kullanarak orijinal sim karttan bilgileri kopyalamak suretiyle yeni bir sim kart üretme işlemidir. Son günlerden bu tür dolandırıcılık eylemleri de artış göstermiştir. Sim kart kopyalamak/klonlamak için orijinal gsm sim karttan gerekli verileri (KI ve IMS kodları) okuyabilen, okuduğu verileri silvercard olarak nitelendirilebilen yeni sim kart üzerine yazdırabilecek bir devrenin takılı olduğu bir bilgisayara piyasada rahatlıkla ulaşılabilen sim kart kopyalama yazılımlarından biri yüklenir, yazılım çalıştırılarak gerekli bilgiler alınır ve boş bir silvercard üzerine bilgiler kopyalanır. Başka bir tabirle teknik anlamda sim kartın ikizi üretilmiş olur. İki sim kart da aktif olarak çalışabilir ancak biri açıkken diğeri kapalı konuma geçer.
Bu sim kart kopyalama işlemlerini kredi kartı kopyalama işlemlerinde gerçekleşen dolandırıcılık olaylarına benzetebiliriz. Kullanıcılar tarafından bu yetkisiz kopyalama işlemlerinin fark edilmesi çok kolay olmayabilir. Zira bu işi meslek edinen dolandırıcılar çok kısa bir süre içerisinde çeşitli hilelerle cep telefon hattınız kopyalayabilirler. Örneğin cep telefonunuz tamire verdiğinizde bu hat kopyalanabilir. Cep telefon hattınızı kopyalayıp kendiniz kullanmak isteyebilirsiniz bu durumda kötü niyetli 3.kişi kartın bir kopyasını da kendisine yapar. Cep telefonunuzu kısa süreliğine bir yerde bırakma durumunuzda da böyledir.( spor merkezlerinde-güvenlik nedeniyle girişlerde cep telefonu alınan yerlerde vs.) Bir yerde cep telefonunuzu unuttuğunuzda işletme sahibi sizin güvenliğiniz nedeniyle cep telefonunu kapattıklarını ve açmanız için şifreyi söylemenizi isterler. Bunun gibi yüzlerce hile uygulanabilmekte kullanıcının şifresi elde edilebilmektedir.
Bu kopyalama işlem artık 1-2 dakika içerisinde gerçekleştirilebilmektedir. Pin numarası denilen şifrenin girmesi zorunlu gibi gözükse de bu yöntem de rahatlıkla aşılmaktadır. Telefon hatları yetkisiz kullanıma karşı koruma olarak bir veya daha fazla şifreyle donatılmıştır. PIN ve PUK şifreleri, telefonda şebeke bağlantısı kurmada kullanılan küçük bir kart olan SIM kartı korumak için kullanılır. PIN ve PUK şifreleri gsm operatörü veya servis sağlayıcı tarafından sağlanmaktadır. En çok bilinen şifre, kullanım kılavuzundaki talimatlara göre kişinin kendisinin oluşturduğu, aktif ve etkisiz hale getirebilen PIN –Personel Identification Number (Kişisel Tanım/Kimlik Numarası) kodudur. PIN2 kodu, telefonun belirli özellikleri için ikinci bir koruma katmanı olarak hareket eden bir PIN kodudur. PIN koduyla aynı şekilde çalışır. PIN kodu birden fazla yanlış girildiğinde, telefon PUK –Personal Unlock Key (Kişisel Blok Kaldırma Şifresi) kodu isteyebilir. PUK kodu, gsm operatörü veya servis sağlayıcısı tarafından sağlanan 8 rakamlı bir şifredir. PIN2 kodu birden fazla defa yanlış girildiği takdirde, telefon PUK2 kodu isteyebilir.
Genelde cep telefonlarında bulunan pin-şifre girişi yerine güvenlik kodu ile bu işlem aşılmaya çalışılmaktadır. Telefonun kendisini koruyan güvenlik/kilit şifresi SIM kartı koruyan PIN şifresinden farklıdır. Telefon güvenlik veya kilit şifresi istiyorsa ve herhangi birini aktif hale getirmediyse Geçerli güvenlik/kilit şifresini girilerek bu işlem yapılabilmektedir. Genellikle 123456 olan güvenlik kodu kullanılarak bu işlemler yapılabilmektedir.
İlgili Mevzuat
5237 sayılı Türk Ceza Kanunu’nun konuya ilişkin hükümleri aşağıdaki gibidir;
Nitelikli hırsızlık
Madde 142- (1) Hırsızlık suçunun;
a) Kime ait olursa olsun kamu kurum ve kuruluşlarında veya ibadete ayrılmış yerlerde bulunan ya da kamu yararına veya hizmetine tahsis edilen eşya hakkında,
b) Herkesin girebileceği bir yerde bırakılmakla birlikte kilitlenmek suretiyle ya da bina veya eklentileri içinde muhafaza altına alınmış olan eşya hakkında,
c) Halkın yararlanmasına sunulmuş ulaşım aracı içinde veya bunların belli varış veya kalkış yerlerinde bulunan eşya hakkında,
d) Bir afet veya genel bir felaketin meydana getirebileceği zararları önlemek veya hafifletmek maksadıyla hazırlanan eşya hakkında,
e) Adet veya tahsis veya kullanımları gereği açıkta bırakılmış eşya hakkında,
f) Elektrik enerjisi hakkında,
İşlenmesi hâlinde, iki yıldan beş yıla kadar hapis cezasına hükmolunur.
(2) Suçun;
a) Kişinin malını koruyamayacak durumda olmasından veya ölmesinden yararlanarak,
b) Elde veya üstte taşınan eşyayı çekip almak suretiyle ya da özel beceriyle,
c) Doğal bir afetin veya sosyal olayların meydana getirdiği korku veya kargaşadan yararlanarak,
d) Haksız yere elde bulundurulan veya taklit anahtarla ya da diğer bir aletle kilit açmak suretiyle,
e) Bilişim sistemlerinin kullanılması suretiyle,
f) Tanınmamak için tedbir alarak veya yetkisi olmadığı halde resmi sıfat takınarak,
g) Barınak yerlerinde, sürüde veya açık yerlerde bulunan büyük veya küçük baş hayvan hakkında,
İşlenmesi hâlinde, üç yıldan yedi yıla kadar hapis cezasına hükmolunur. Suçun, bu fıkranın (b) bendinde belirtilen surette, beden veya ruh bakımından kendisini savunamayacak durumda olan kimseye karşı işlenmesi halinde, verilecek ceza üçte biri oranına kadar artırılır.
(3) Suçun, sıvı veya gaz hâlindeki enerji hakkında ve bunların nakline, işlenmesine veya depolanmasına ait tesislerde işlenmesi halinde, ikinci fıkraya göre cezaya hükmolunur. Bu fiilin bir örgütün faaliyeti çerçevesinde işlenmesi halinde, onbeş yıla kadar hapis ve onbin güne kadar adlî para cezasına hükmolunur.
(4) (Ek: 6/12/2006 – 5560/6 md.) Hırsızlık suçunun işlenmesi amacıyla konut dokunulmazlığının ihlâli veya mala zarar verme suçunun işlenmesi halinde, bu suçlardan dolayı soruşturma ve kovuşturma yapılabilmesi için şikâyet aranmaz.
Nitelikli dolandırıcılık
Madde 158- (1) Dolandırıcılık suçunun;
a) Dinî inanç ve duyguların istismar edilmesi suretiyle,
b) Kişinin içinde bulunduğu tehlikeli durum veya zor şartlardan yararlanmak suretiyle,
c) Kişinin algılama yeteneğinin zayıflığından yararlanmak suretiyle,
d) Kamu kurum ve kuruluşlarının, kamu meslek kuruluşlarının, siyasi parti, vakıf veya dernek tüzel kişiliklerinin araç olarak kullanılması suretiyle,
e) Kamu kurum ve kuruluşlarının zararına olarak,
f) Bilişim sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması suretiyle,
g) Basın ve yayın araçlarının sağladığı kolaylıktan yararlanmak suretiyle,
h) Tacir veya şirket yöneticisi olan ya da şirket adına hareket eden kişilerin ticari faaliyetleri sırasında; kooperatif yöneticilerinin kooperatifin faaliyeti kapsamında,
i) Serbest meslek sahibi kişiler tarafından, mesleklerinden dolayı kendilerine duyulan güvenin kötüye kullanılması suretiyle,
j) Banka veya diğer kredi kurumlarınca tahsis edilmemesi gereken bir kredinin açılmasını sağlamak maksadıyla,
k) Sigorta bedelini almak maksadıyla,
İşlenmesi halinde, iki yıldan yedi yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur. (Ek cümle: 29/6/2005 – 5377/19 md.) Ancak, (e), (f) ve (j) bentlerinde sayılan hâllerde hapis cezasının alt sınırı üç yıldan, adlî para cezasının miktarı suçtan elde edilen menfaatin iki katından az olamaz.
(2) Kamu görevlileriyle ilişkisinin olduğundan, onlar nezdinde hatırı sayıldığından bahisle ve belli bir işin gördürüleceği vaadiyle aldatarak, başkasından menfaat temin eden kişi, yukarıdaki fıkra hükmüne göre cezalandırılır.
Bilişim sistemine girme
Madde 243- (1) Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası verilir.
(2) Yukarıdaki fıkrada tanımlanan fiillerin bedeli karşılığı yararlanılabilen sistemler hakkında işlenmesi halinde, verilecek ceza yarı oranına kadar indirilir.
(3) Bu fiil nedeniyle sistemin içerdiği veriler yok olur veya değişirse, altı aydan iki yıla kadar hapis cezasına hükmolunur.
Sistemi engelleme, bozma, verileri yok etme veya değiştirme
Madde 244- (1) Bir bilişim sisteminin işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır.
(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.
(3) Bu fiillerin bir banka veya kredi kurumuna ya da bir kamu kurum veya kuruluşuna ait bilişim sistemi üzerinde işlenmesi halinde, verilecek ceza yarı oranında artırılır.
(4) Yukarıdaki fıkralarda tanımlanan fiillerin işlenmesi suretiyle kişinin kendisinin veya başkasının yararına haksız bir çıkar sağlamasının başka bir suç oluşturmaması halinde, iki yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezasına hükmolunur.
Banka veya kredi kartlarının kötüye kullanılması
Madde 245 – (Değişik: 29/6/2005 – 5377/27 md.)
(1) Başkasına ait bir banka veya kredi kartını, her ne suretle olursa olsun ele geçiren veya elinde bulunduran kimse, kart sahibinin veya kartın kendisine verilmesi gereken kişinin rızası olmaksızın bunu kullanarak veya kullandırtarak kendisine veya başkasına yarar sağlarsa, üç yıldan altı yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.
(2) Başkalarına ait banka hesaplarıyla ilişkilendirilerek sahte banka veya kredi kartı üreten, satan, devreden, satın alan veya kabul eden kişi üç yıldan yedi yıla kadar hapis ve onbin güne kadar adlî para cezası ile cezalandırılır.
(3) Sahte oluşturulan veya üzerinde sahtecilik yapılan bir banka veya kredi kartını kullanmak suretiyle kendisine veya başkasına yarar sağlayan kişi, fiil daha ağır cezayı gerektiren başka bir suç oluşturmadığı takdirde, dört yıldan sekiz yıla kadar hapis ve beşbin güne kadar adlî para cezası ile cezalandırılır.
(4) Birinci fıkrada yer alan suçun;
a) Haklarında ayrılık kararı verilmemiş eşlerden birinin,
b) Üstsoy veya altsoyunun veya bu derecede kayın hısımlarından birinin veya evlat edinen veya evlâtlığın,
c) Aynı konutta beraber yaşayan kardeşlerden birinin,
Zararına olarak işlenmesi hâlinde, ilgili akraba hakkında cezaya hükmolunmaz.
(5) (Ek: 6/12/2006 – 5560/11 md.) Birinci fıkra kapsamına giren fiillerle ilgili olarak bu Kanunun malvarlığına karşı suçlara ilişkin etkin pişmanlık hükümleri uygulanır.
BİLİŞİM SUÇLARI
TÜRK CEZA KANUNU MADDE 245 – Banka veya kredi kartlarının kötüye kullanılması
1 Madde metni
2 Madde gerekçesi
3 Hükümet Tasarısı
3.1 Hükümet tasarısı madde metni
3.2 Hükümet tasarısı madde gerekçesi
4 TBMM Genel Kurulunda Yapılan değişiklikler
5 765 Sayılı TCK
6 Bilişim AĞI HİZMETLERİNİN DÜZENLENMESİ VE BİLİŞİM SUÇLARI HAKKINDA KANUN TASARISI
Tasarı metni
7 Ortak hüküm
MADDE 32 – (1) Bu Kanunun Üçüncü ve Dördüncü Bölümünde sayılan suçların yetkinin kötüye kullanılması suretiyle işlenmesi hâlinde hükmedilecek ceza yarı oranda artırılır.
(2) Bu Kanunun Üçüncü ve Dördüncü Bölümünde sayılan suçların bir
banka veya kredi kurumuna, kamu kurum, kurul ya da kuruluşuna ait sistemler üzerinde işlenmesi hâlinde hükmedilecek ceza üçte birden yarıya kadar artırılır.
8 Suçla korunan hukuki değer
9 Fail
10 Mağdur
11 Suçun konusu
12 Maddi unsur
12.1 Hareket
3.1.1 Başkasına ait banka veya kredi kartıyla hukuka aykırı yarar sağlama
3.1.2 Sahte oluşturulan veya üzerinde sahtecilik yapılan banka veya kredi kartıyla hukuka aykırı yarar sağlama
12.2 Netice
13 Hukuka aykırılık unsuru
14 Hukuka uygunluk unsuru
10.1 Rıza
10.2 Kanunun verdiği görevi yerine getirmesi
15 Manevi unsur
16 Suçun özel görünüş biçimleri
16.1 Teşebbüs
16.2 İştirak
16.3 Zincirleme suç
16.4 İçtima
16.5 Geçit suçu ile işlenebilme özelliği
17 Suça etki eden sebepler
17.1 Hafifletici neden
17.2 Ağırlatıcı neden
17.3 Cezasızlık hali
17.4 Etkin pişmanlık
18 Yaptırım
19 Müsadere
20 Kovuşturma
21 Görevli Mahkeme
22 Dava zamanaşımı
23 İstatistiki bilgiler
MADDE
|
MAHKUMİYET
|
BERAAT
|
DİĞER
|
TOPLAM SANIK
|
245/1
|
2843
|
1059
|
1404
|
5306
|
245/2
|
294
|
50
|
117
|
461
|
245/3
|
1086
|
131
|
378
|
1595
|
24 Yargıtay kararları
ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME
HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI
HAKKINDA KANUN
Kanun Numarası : 6493
Kabul Tarihi : 20/6/2013
Yayımlandığı R.Gazete : Tarih: 27/6/2013 Sayı : 28690
Yayımlandığı Düstur : Tertip : 5 Cilt : 53
Yeni Elektronik Para Mevzuatı ne getiriyor?
Elektronik para alanındaki AB gereklilikleri 2000/46/EC ve 2000/28/EC sayılı direktifler temelinde 2009/110/EC ile belirlenmiş bulunmaktadır. Elektronik fon transferlerini düzenleyen Payments Regulation 1781/2006 ‘de 2007 yılında yürürlüğe girmiştir.
6493 sayılı Ödeme Ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri Ve Elektronik Para Kuruluşları Hakkında Kanun 20.06.2014 tarihinde kabul edilmiş ve 27.06.2013 tarihli 28690 Sayılı Resmi Gazete’de yayınlanmıştır. Bu kanunun geçici 1.maddesine göre bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde hazırlanarak yürürlüğe konulacaktı.
Ödeme Hizmetleri Ve Elektronik Para İhracı İle Ödeme Kuruluşları Ve Elektronik Para Kuruluşları Hakkında Yönetmelik 29043 sayılı 27.06.2014 tarihli Resmi Gazete’de yayınlanmıştır. Ödeme Kuruluşları Ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine Ve Denetimine İlişkin Tebliğ 29043 Sayılı 27.06.2014 tarihli Resmi Gazete’de yayınlanmıştır.
Bu Kanunun amacı, ödeme ve menkul kıymet mutabakat sistemlerine, ödeme hizmetlerine, ödeme kuruluşlarına ve elektronik para kuruluşlarına ilişkin usul ve esasları düzenlemektir.
Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, bu Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri ifade etmektedir.
SİSTEM İŞLETİCİSİ
Bu kanun kapsamında Sistem işleticisi Bankadan izin alması kaydıyla bu Kanun kapsamında sistem işletebilir.Sistem işleticisinin; Anonim şirket şeklinde kurulması, Nakden ve her türlü muvazaadan ari olarak ödenmiş sermayesinin en az beş milyon Türk Lirası olması, Sistemi işletebilmek için yeterli sayıda nitelikli personel çalıştırması ve gerekli teknik donanım ile yönetime sahip olması, Yeterli risk yönetimine sahip olması ve bilgilerin güvenliği ile güvenilirliğine ve iş sürekliliğine dair gerekli tedbirleri alması, Sistemin, katılımcıların ve işletim kurallarının bu Kanuna ve bu Kanun uyarınca çıkarılacak düzenlemelere uygunluğunu sağlaması, Pay senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması, Bankanın etkin gözetimini engellemeyecek şeffaf ve açık bir ortaklık yapısı ve organizasyon şemasına sahip olması, Sermayesinde yüzde on ve üzerinde paya sahip olanların ve kontrolü elinde bulunduranların 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununda banka kurucuları için aranan nitelikleri haiz olması, gerekmektedir.
Bu kanun kapsamında 5411 sayılı Kanun kapsamındaki bankalar, Elektronik para kuruluşları, Ödeme kuruluşları, ödeme hizmeti sağlayıcısıdır. Banka ve ödeme hizmeti sağlayıcısı dışındaki kişiler ödeme hizmeti sunamazlar.
ÖDEME KURULUŞU
Bu Kanun kapsamında ödeme hizmetleri alanında faaliyette bulunmak isteyen ödeme kuruluşu Kuruldan izin almak kaydıyla faaliyette bulunabilir. Ödeme kuruluşunun;Anonim şirket şeklinde kurulması, Sermayesinde yüzde on ve üzerinde paya sahip olanların ve kontrolü elinde bulunduranların 5411 sayılı Kanunda banka kurucuları için aranan nitelikleri haiz olması, Pay senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması, Nakden ve her türlü muvazaadan ari ödenmiş sermayesinin bu Kanunun 12 nci maddesinin birinci fıkrasının (e) bendinde yer alan hizmetleri sunan ödeme kuruluşları için en az bir milyon Türk Lirası, diğer ödeme kuruluşları için ise en az iki milyon Türk Lirası olması, Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması ve şikâyet ve itirazlarla ilgili birimleri oluşturması, Bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması, Kurumun denetimini engellemeyecek şeffaf ve açık bir ortaklık yapısı ve organizasyon şemasına sahip olması,şarttır.Ödeme kuruluşu, ödeme hizmeti sunarken sadece ödeme işlemi için kullanılıyor olması şartıyla ödeme hesabı tutabilir. Ödeme ve elektronik para kuruluşlarının ödeme hizmeti ile ilgili olarak aldığı fonlar, 5411 sayılı Kanunun 60 ıncımaddesine göre mevduat veya katılım fonu veya bu Kanun kapsamında elektronik para olarak değerlendirilmez. Ödeme kuruluşu kredi verme faaliyetinde bulunamaz. Ödeme hizmetleri ile ilgili olarak yürütülen faaliyetlerin kredi verme faaliyeti kapsamına girip girmediği Kurumca çıkarılacak yönetmelikle belirlenir.
BU KANUN KAPSAMINDA CEZALANDIRILACAK SUÇLAR
-
İzinsiz faaliyette bulunmak
-
Denetim ve gözetim faaliyetlerini engellemek ve istenilen bilgileri vermemek
-
Gerçeğe aykırı beyanda bulunmak
-
Belgelerin saklanması ve bilgi güvenliği yükümlülüğüne aykırı davranmak
-
Sırların açıklanması
-
İtibarın zedelenmesi
-
Elektronik para kuruluşlarının görevli ve ilgililerinin cezai sorumluluğu
-
İşlemlerin kayıt dışı bırakılması ve gerçeğe aykırı muhasebeleştirme
-
Zimmet
SORUŞTURMA USULÜ
Bu Kanunun 28 inci, 29 uncu ve 31 inci maddelerinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, sistem işleticileri ile ilgili olarak Banka; ödeme ve elektronik para kuruluşları ile ilgili olarak ise Kurum tarafından Cumhuriyet başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir. Bu Kanunun 31 inci maddesinde belirtilen suçtan dolayı ilgililerin Cumhuriyet başsavcılığına başvurması hâlinde yazılı başvuru şartı aranmaz.Bu Kanun ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde belirtilen görevlerin yerine getirilmesi sırasındaki fiilleri dolayısıyla Banka personeli hakkında soruşturma ve kovuşturma yapılması, Bankanın Cumhuriyet başsavcılığına yazılı başvuruda bulunmasına bağlıdır.
SIZMA TESTİ
Sızma testi: Sistemin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testleri ifade etmektedir. Tebliğin 5.maddesine göre Kuruluşun bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırılmasını zorunlu tutmaktadır.
ŞİKAYET VE İTİRAZ USULÜ
Ödeme hizmeti sağlayıcıları, ödeme hizmeti kullanıcılarının ödeme hizmetiyle ilgili olarak yapacakları şikâyet ve itiraz başvurularını, başvuru tarihinden itibaren yirmi gün içinde ödeme hizmeti kullanıcılarının başvuru yöntemi kullanılarak kanıtlanabilir ve gerekçeli bir şekilde cevaplandırmak zorundadır. Ödeme hizmeti sağlayıcıları, ödeme hizmeti kullanıcılarının şikâyet ve itirazlarının ilgili birimlerine kolaylıkla ulaşmasını sağlayacak tedbirleri almakla yükümlüdür.
Elektronik para nedir?
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 3.maddesine gör Elektronik para; Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, bu Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri ifade eder.
Elektronik para kuruluşu
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 3.maddesine göre Elektronik para kuruluşu: Bu Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi ifade eder.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 13.maddesine göre Bu Kanun uyarınca; 5411 sayılı Kanun kapsamındaki bankalar, Elektronik para kuruluşları, Ödeme kuruluşları,ödeme hizmeti sağlayıcısıdır. Banka ve ödeme hizmeti sağlayıcısı dışındaki kişiler ödeme hizmeti sunamazlar.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 14.maddesine göre Bu Kanun kapsamında ödeme hizmetleri alanında faaliyette bulunmak isteyen ödeme kuruluşu Kuruldan izin almak kaydıyla faaliyette bulunabilir.
Ödeme kuruluşunun; Anonim şirket şeklinde kurulması, Sermayesinde yüzde on ve üzerinde paya sahip olanların ve kontrolü elinde bulunduranların 5411 sayılı Kanunda banka kurucuları için aranan nitelikleri haiz olması, Pay senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması, Nakden ve her türlü muvazaadan ari ödenmiş sermayesinin bu Kanunun 12 nci maddesinin birinci fıkrasının (e) bendinde yer alan hizmetleri sunan ödeme kuruluşları için en az bir milyon Türk Lirası, diğer ödeme kuruluşları için ise en az iki milyon Türk Lirası olması,Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması ve şikâyet ve itirazlarla ilgili birimleri oluşturması,Bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve ödeme hizmeti kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması,Kurumun denetimini engellemeyecek şeffaf ve açık bir ortaklık yapısı ve organizasyon şemasına sahip olması,
şarttır.
Ödeme kuruluşu, ödeme hizmeti sunarken sadece ödeme işlemi için kullanılıyor olması şartıyla ödeme hesabı tutabilir. Ödeme ve elektronik para kuruluşlarının ödeme hizmeti ile ilgili olarak aldığı fonlar, 5411 sayılı Kanunun 60 ıncımaddesine göre mevduat veya katılım fonu veya bu Kanun kapsamında elektronik para olarak değerlendirilmez.
Ödeme kuruluşu kredi verme faaliyetinde bulunamaz. Ödeme hizmetleri ile ilgili olarak yürütülen faaliyetlerin kredi verme faaliyeti kapsamına girip girmediği Kurumca çıkarılacak yönetmelikle belirlenir.
Kurul, ödeme kuruluşu tarafından yapılamayacak faaliyetleri belirlemeye yetkilidir.
Bu maddenin uygulanmasına, ödeme kuruluşunun kurulmasına ilişkin istenecek bilgi ve belgelere, işleyişine, sermaye ve özkaynak yapısına, şube, temsilci veya dış hizmet sağlayıcı kullanımına, kurumsal yönetim ilkelerine, iç sistemlerine, bilgi sistemleri yönetimine ve bu Kanun kapsamına girmeyen diğer faaliyetlerine ilişkin usul ve esaslar, Mali Suçları Araştırma Kurulu ve Bankanın görüşünün alınması suretiyle Kurumca çıkarılacak yönetmelikle belirlenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 18.maddesine göre 5411 sayılı Kanun uyarınca faaliyet gösteren bankalar ve bu Kanun kapsamında elektronik para çıkarma izni verilen elektronik para kuruluşları dışındaki kişilerin elektronik para ihracı faaliyetinde bulunmaları yasaktır.
Bu Kanun kapsamında elektronik para ihraç etmek isteyen elektronik para kuruluşu Kuruldan izin almak kaydıyla faaliyette bulunabilir.
Elektronik para kuruluşunun; Anonim şirket şeklinde kurulması,Sermayesinde yüzde on ve üzerinde paya sahip olanların ve kontrolü elinde bulunduranların 5411 sayılı Kanunda banka kurucuları için aranan nitelikleri haiz olması,Pay senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması,Nakden ve her türlü muvazaadan ari ödenmiş sermayesinin en az beş milyon Türk Lirası olması,Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması, şikâyet ve itirazlarla ilgili birimleri oluşturması,Bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve elektronik para kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması,Kurumun denetimini engellemeyecek şeffaf ve açık bir ortaklık yapısı ve organizasyon şemasına sahip olması,şarttır.
Elektronik para kuruluşları faaliyetlerini 5411 sayılı Kanunda tanımlanan bankalar aracılığıyla yürütürler.
Elektronik parayı ihraç eden kuruluşun sadece kendi mağaza ağında, sadece belirli bir mal veya hizmet grubunun satın alınmasında veya yapılan bir anlaşma sonucunda sadece belirli bir hizmet ağında kullanılabilen ön ödemeli araçlar bu Kanun kapsamı dışındadır.
Bu maddenin uygulanmasına, elektronik para kuruluşunun kurulmasına ilişkin istenecek bilgi ve belgelere, işleyişine, sermaye ve özkaynak yapısına, şube, temsilci veya dış hizmet sağlayıcı kullanımına, kurumsal yönetim ilkelerine, iç sistemlerine, bilgi sistemleri yönetimine ve bu Kanun kapsamına girmeyen diğer faaliyetlerine, elektronik paranın ihraç edilmesi ve geri ödenmesine ilişkin usul ve esaslar, Mali Suçları Araştırma Kurulu ve Bankanın görüşünün alınması suretiyle Kurumca çıkarılacak yönetmelikle belirlenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 19.maddesine göre Bu Kanunun 15 inci, 16 ncıve 17 nci maddelerinde yer alan hükümler elektronik para kuruluşları için de uygulanır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 20.maddesine göre Elektronik para ihraç eden kuruluş, aldığı fon kadar elektronik para ihraç eder.
Elektronik para ihraç eden kuruluş, elektronik para kullanıcısı tarafından yatırılan fonları gecikmeksizin elektronik paraya çevirerek kullanıma hazır hâle getirir.
Elektronik para kuruluşu, elektronik para ihracı karşılığında topladığı fonları 5411 sayılı Kanunda tanımlanan bankalar nezdinde açılacak ayrı bir hesaba aktarmak suretiyle kullanım süresi boyunca bu hesapta bulundurmak zorundadır. Bu fıkra kapsamında, fonların yatırıldığı bankalar, elektronik para kuruluşunca yatırılan tutarı kullanım süresi boyunca Banka nezdindeki hesaplarında bloke ederler. Bu fıkranın uygulanmasına ilişkin usul ve esaslar Kurulca belirlenir.
Elektronik para kuruluşu kredi verme faaliyetinde bulunamaz.
Elektronik para ihraç eden kuruluş, elektronik parayı elinde bulundurma süresine bağlı olarak elektronik para hamiline faiz veremez ve herhangi bir menfaat sağlayamaz.
Kurul, elektronik para kuruluşu tarafından yapılamayacak diğer faaliyetleri belirlemeye yetkilidir.
Elektronik para kuruluşlarının elektronik para ihracı karşılığında aldığı fonlar, 5411 sayılı Kanunun 60 ıncı maddesine göre mevduat veya katılım fonu olarak kabul edilmez.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 21.maddesine göre Ödeme kuruluşu ve elektronik para kuruluşunun bu Kanun kapsamındaki denetimi Kurum tarafından yapılır.
Kurum, birinci fıkrada belirtilen kuruluşların şubesinde, temsilcisinde veya dışarıdan hizmet aldığı kuruluşlarda da denetim yapmaya yetkilidir.
Ödeme kuruluşu ve elektronik para kuruluşunun yerinde denetimi, Kurumun yerinde denetim yapmaya yetkili meslek personeli tarafından yapılır.
Ödeme kuruluşu ve elektronik para kuruluşu ve ilgili diğer gerçek ve tüzel kişiler Kurumun yerinde denetim yapmaya yetkili meslek personeli tarafından istenecek her türlü bilgi ve belgeyi vermek, defter ve belgelerini ibraz etmek ve incelemeye hazır tutmak zorundadır.
Ödeme kuruluşu ve elektronik para kuruluşu, birinci fıkra kapsamında her türlü kayıt, bilgi ve belgeyi gizli dahi olsalar Kurulca belirlenecek usul ve esaslar çerçevesinde Kuruma tevdi etmek ve Kurumun denetimine hazır hâle getirmekle yükümlüdür.
Kamu kurum ve kuruluşları, Devletin güvenliği ve temel dış yararlarına karşı ağır sonuçlar doğuracak hâller ile meslek sırrı, aile hayatının gizliliği, soruşturmanın gizliliği ve savunma hakkına ilişkin hükümler saklı kalmak kaydıyla özel kanunlardaki yasaklayıcı ve sınırlayıcı hükümler dikkate alınmaksızın gizli dahi olsa Kurum tarafından bu Kanun kapsamında verilen görevler ile sınırlı olmak üzere istenecek her türlü bilgi ve belgeyi uygun süre ve ortamda, sürekli veya münferit olarak vermek zorundadır.
Ödeme ve elektronik para kuruluşları, bağımsız denetime tabidirler. Ödeme ve elektronik para kuruluşlarının finansal açıdan bağımsız denetimi 26/9/2011 tarihli ve 660 sayılı Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumunun Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararname çerçevesinde yapılır. Ödeme ve elektronik para kuruluşlarının bağımsız denetim kuruluşlarınca gerçekleştirilecek bilgi sistemleri denetimi ise Kurulca belirlenen usul ve esaslar çerçevesinde yerine getirilir. Düzenlenen bağımsız denetim raporları Kurulca belirlenen usul ve esaslar çerçevesinde Kuruma gönderilir.
Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumu tarafından yetkilendirilmiş bağımsız denetim kuruluşlarından bu Kanun uyarınca bağımsız denetim faaliyetinde bulunacaklardan istenilecek ilave şartlar Kurul tarafından belirlenir ve bu şartları haiz bağımsız denetim kuruluşlarına ilişkin liste kamuoyuna açıklanır. Kurul, listede yer alan bağımsız denetim kuruluşlarının bu Kanun kapsamındaki bağımsız denetim faaliyetlerine ilişkin yapacağı kalite kontrol ve denetim çalışmaları neticesinde standart ve mevzuata aykırılıkları tespit edilenleri listeden çıkarmaya yetkilidir. Kurul, yapacağı kalite kontrol ve denetim çalışmalarının sonuçlarını Kamu Gözetimi, Muhasebe ve Denetim Standartları Kurumuna bildirir.
Kurul, bağımsız denetimler de dâhil olmak üzere ödeme kuruluşu ve elektronik para kuruluşu ile ilgili olarak Kurumca yapılan denetimler sonucunda tespit edilen hususlarda gerekli tedbirlerin alınmasını istemeye, tedbirlerin alınması için altı ayı geçmemek üzere makul süre tanımaya, bu süre içinde gerekli tedbirler alınıncaya kadar ödeme kuruluşunun ve elektronik para kuruluşunun faaliyet iznini geçici olarak durdurmaya ve ilgili tedbirlerin belirlenen süre içinde alınmaması hâlinde faaliyet iznini iptal etmeye yetkilidir.
Ödeme kuruluşunun ve elektronik para kuruluşunun denetimine ilişkin diğer usul ve esaslar Kurumca çıkarılacak yönetmelikle belirlenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 22.maddesine göre Ödeme kuruluşu tarafından ödeme hizmetinin gerçekleştirilmesi amacıyla alınan fonlar ile elektronik para kuruluşunun elektronik para ihracı karşılığında topladığı fonlar Kurumca çıkarılacak yönetmelikle belirlenecek usul ve esaslar çerçevesinde korunur.
Kurul, bu Kanun kapsamındaki ödeme ve elektronik para kuruluşlarına, belirleyeceği usul ve esaslara uygun olarak Banka nezdinde teminat bulundurma yükümlülüğü getirebilir.
Ödeme ve elektronik para kuruluşları tarafından kabul edilen fonlar ve bu fonların tutulduğu hesaplar, ödeme veya elektronik para kuruluşunun iradi ya da zorunlu tasfiyeye tabi tutulması, faaliyet izninin iptal edilmesi gibi hâllerin gerçekleşmesi durumunda başka kanunlarda belirtilen önceliklere bakılmaksızın fon sahiplerinin haklarının tazmin edilmesi ve bu Kanundan kaynaklanan yükümlülüklerin yerine getirilmesini teminen kullanılır. Ödeme ve elektronik para kuruluşları, fon sahiplerinin haklarının tazmin edilmesinden sorumludur.
Banka, bu Kanun kapsamındaki sistem işleticilerine belirleyeceği usul ve esaslara uygun olarak nezdinde teminat bulundurma yükümlülüğü getirebilir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 23.maddesine göre Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar.
Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur.
Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır.
İlgili otorite tarafından istenen bilgi ve belgelerin geçerliliğini etkileyecek herhangi bir değişikliğin olması durumunda sistem işleticisi Bankayı; ödeme kuruluşu ve elektronik para kuruluşu ise Kurumu bu konuda derhâl bilgilendirir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 25.maddesine göre Doğrudan veya dolaylı pay sahipliği yoluyla sermayenin yüzde onunu ve daha fazlasını temsil eden payları edinmesi veya bir ortağa ait doğrudan veya dolaylı payların sermayenin yüzde on, yüzde yirmi, yüzde otuz üç veya yüzde ellisini aşması sonucunu veren pay edinimleri ile bir ortağa ait payların bu oranların altına düşmesi sonucunu veren pay devirleri, sistem işleticisi için Bankanın; ödeme kuruluşu ve elektronik para kuruluşu için ise Kurulun iznine tabidir. Oy hakkını içeren intifa hakkı tesisi ve sona ermesi bu fıkrada belirtilen oran dâhilinde edinim ve devir sayılır.
Yönetim kuruluna veya denetim komitesine üye belirleme imtiyazı veren payların tesisi, devri veya yeni imtiyazlı pay ihracı birinci fıkrada yer alan oransal sınırlara bakılmaksızın sistem işleticisi için Bankanın; ödeme kuruluşu ve elektronik para kuruluşu için ise Kurulun iznine tabidir.
Kuruluş sermayesinde yüzde on ve üzeri paya sahip olan tüzel kişilerin kontrolünün el değiştirmesi sonucunu doğuran pay devirleri, sistem işleticileri için Bankanın; ödeme ve elektronik para kuruluşları için Kurulun iznine tabidir.
İzne tabi pay devirlerinde pay devralacakların 5411 sayılı Kanunda banka kurucuları için aranan nitelikleri haiz olması şarttır.
İzne tabi olup izin alınmadan yapılan pay devirleri pay defterine kaydolunamaz. Bu hükme aykırı olarak pay defterine yapılan kayıtlar hükümsüzdür.
Bu maddenin uygulanmasına ilişkin usul ve esaslar, sistem işleticileri için Bankaca; ödeme ve elektronik para kuruluşları için Kurumca çıkarılacak yönetmelikle belirlenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 26.maddesine göre Bu Kanunun ödeme ve elektronik para kuruluşları ile ilgili hükümlerinin uygulanmasına ilişkin konularda, Kurum ve Banka karşılıklı mütalaa veya bilgi teatisinde bulunur.
Kurum ve Banka ödeme ve elektronik para kuruluşlarına ilişkin bu Kanunda belirtilen görevleri yerine getirmek amacıyla veri tabanlarında yer alan ve birlikte üzerinde uzlaşılan bilgileri gizlilik hükümleri çerçevesinde paylaşırlar.
Yurt içi ve yurt dışı yetkili mercilerle denetime, bilgi paylaşımına ve diğer hususlara dair yapılacak iş birliğine ilişkin usul ve esaslar, sistem işleticileri için Bankaca; ödeme ve elektronik para kuruluşları için Kurulca ilgili tarafların görüşü alınmak suretiyle belirlenir.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 3.maddesine göre Elektronik para kuruluşu: Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi ifade eder.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 5.maddesine göre Kuruluşun unvanının ödeme kuruluşu ya da elektronik para kuruluşu olduğunu gösterir ibareleri içermesi zorunludur.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 6.maddesine göre Elektronik para ihraç eden kuruluş, aldığı fon tutarı kadar elektronik parayı gecikmeksizin ihraç eder. 13 üncü maddenin üçüncü fıkrası saklı kalmak kaydıyla, elektronik para temin etmek üzere elektronik para kuruluşunun temsilcisine verilen fonlar, elektronik para kuruluşuna verilmiş sayılır.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 10.maddesine göre Elektronik para kuruluşu, elektronik para ihraç edilmesi, Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerinin sunulması, sadece ödeme hizmetinin sunulmasıyla ilgili olmak kaydıyla döviz alım satım işlemleri ve Kanunun 2 nci bölümünde yer alan hükümlere uyulması koşuluyla ödeme sistemlerinin işletilmesi dışında herhangi bir ticari faaliyette bulunamaz.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 13.maddesine göre Kuruluş ödeme hizmetlerini temsilci aracılığıyla yürütebilir. Kuruluş ile temsilci arasındaki sözleşme yazılı olarak düzenlenir. Özkaynağı 25 inci maddenin birinci fıkrasında belirtilen seviyede bulunmayan kuruluş yeni temsilci tayin edemez.
Temsilciler ve temsilcilerin ödeme hizmeti sunacağı şube ve acentelerine ilişkin liste kuruluşun internet sitesinde yayınlanır. Kuruluş yayınlanan listenin güncel tutulmasından sorumludur.
Elektronik para kuruluşunun temsilcisi elektronik para ihraç edemez.Fon ve bilgi akışına ilişkin aşamaları, bu aşamalar arasındaki zamanlama ve bağlantıları, şube veya temsilcilerin işlemdeki rolünü, dış hizmet sağlayıcılar da dahil işlemin taraflarını, dış hizmet alımına ilişkin aşamaları, elektronik para kuruluşları için elektronik paranın geri ödenmesini, süreçte kullanılacak banka hesaplarını da içerecek şekilde yürütülecek faaliyetlerin bütün aşamalarını ve gerekli açıklamaları kapsayan iş akış planlarının oluşturulmasından,sorumludur.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 17.maddesine göre Kuruluş genel müdürünün en az yedi yıl olmak üzere işletmecilik veya finans alanında mesleki deneyime sahip ve lisans düzeyinde öğrenim görmüş olması şarttır.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 25.maddesine göre Kuruluşun özkaynağı, 24 üncü maddede belirtilen usul ve esaslara göre Haziran ve Aralık ayı sonu itibariyle hesaplanır. Hesaplanan özkaynak, ödeme kuruluşu için yürütülen faaliyetlere göre Kanunun 14 üncü maddesinin ikinci fıkrasının (ç) bendinde belirtilen asgari ödenmiş sermaye tutarından ve üçüncü fıkraya göre hesaplanan asgari özkaynak tutarından; elektronik para kuruluşu için ise Kanunun 18 inci maddesinin üçüncü fıkrasının (ç) bendinde belirtilen asgari ödenmiş sermaye tutarından ve altıncı fıkraya göre hesaplanan asgari özkaynak tutarından az olamaz.
Kurul, yapılacak risk değerlendirmesi doğrultusunda bir kuruluşun asgari özkaynak tutarını yüzde elli oranına kadar artırmaya veya azaltmaya yetkilidir.
Asgari özkaynak tutarı aşağıda belirtilen tutarların toplamından oluşur:
a) İlk beş milyon Türk Liralık (0-5 milyon Türk Lirası arası dilim) ödeme hacminin yüzde dördü (%4),
b) İkinci beş milyon Türk Liralık (5-10 milyon Türk Lirası arası dilim) ödeme hacminin yüzde iki buçuğu (%2,5),
c) Sonraki doksan milyon Türk Liralık (10-100 milyon Türk Lirası arası dilim) ödeme hacminin yüzde biri (%1),
ç) Sonraki yüz elli milyon Türk Liralık (100-250 milyon Türk Lirası arası dilim) ödeme hacminin binde beşi (%0,5),
d) Ödeme hacminin geriye kalan tutarının (250 milyon Türk Lirası üzeri) binde iki buçuğu (%0,25),
Üçüncü fıkranın uygulanmasında ödeme hacmi, hesaplama döneminden önceki son on iki ay içinde kuruluşun gerçekleştirdiği ödeme işlemleri tutarının ay sayısına bölünmesiyle bulunur. Faaliyet izni alınmasından itibaren on iki ay geçmemiş olması halinde, hesaplama dönemine kadar geçen ay sayısı dikkate alınır.
Kurul, asgari özkaynak tutarını, Kanunun 12 nci maddesinin birinci fıkrasında sayılan faaliyetler bazında farklılaştırmaya yetkilidir.
Elektronik para kuruluşu, tedavüldeki ortalama elektronik para tutarının yüzde ikisi kadar özkaynak bulundurmakla yükümlüdür. Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerini de yürüten elektronik para kuruluşu, bu fıkraya göre hesapladığı tutara ilave olarak üçüncü fıkraya göre hesaplanan tutarda asgari özkaynak bulundurur.
Bu maddenin uygulanmasında tedavüldeki ortalama elektronik para tutarı, elektronik para kuruluşunun son altı aylık dönemde her günün sonundaki ihraç edilmiş elektronik paraya ilişkin finansal yükümlülüklerinin ortalamasıdır. Tedavüldeki ortalama elektronik para, hesaplama dönemi olan ayın ilk iş günü hesaplanır ve o ayın değeri olarak kabul edilir.
Özkaynağın birinci fıkrada belirtilen sınırların altına düşmesi halinde, özkaynak hesaplama dönemini takip eden bir ay içinde Kuruma bilgi verilmesi zorunludur. Kurumca verilecek süre içinde birinci fıkraya aykırılığın giderilmemesi halinde, Kanunun 21 inci maddesinin sekizinci fıkrası çerçevesinde işlem tesis etmeye Kurul yetkilidir.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 27.maddesine göre Elektronik para kuruluşu, şubeleri, temsilcileri veya elektronik para kuruluşu adına hareket eden üçüncü taraf bir hizmet sağlayıcısı tarafından elektronik para ihraç edilmesi karşılığında alınan ve alındığı günü izleyen işgünü sonuna kadar fona çevrilmeyen tutarlar 5411 sayılı Kanun kapsamındaki bir banka nezdinde, sadece bu fonların tutulacağı fonların korunması amacıyla açılan hesaba aktarılır. Bu hesap, ilgili banka nezdinde elektronik para koruma hesabı olarak tanımlanır.
Elektronik para ihracı için bir ödeme aracı vasıtasıyla alınan fonlar, birinci fıkra saklı kalmak kaydıyla elektronik para kuruluşunun hesabına geçtiğinde veya başka bir surette elektronik para kuruluşunun kullanımına hazır hale geldiğinde elektronik para koruma hesabına aktarılır. Elektronik para koruma hesabına aktarma süresi, elektronik paranın ihracından itibaren beş iş gününü geçemez.
Elektronik para koruma hesabının gün sonu bakiyesi, elektronik para koruma hesabının bulunduğu banka tarafından Merkez Bankası nezdindeki hesabında bloke edilir. Bu fıkranın uygulanmasında gün sonu bakiyesi tam iş günlerinde saat 16:30; yarım iş günlerinde saat 12:00 itibarıyla hesaplanır. Kurum, Merkez Bankasının uygun görüşünü almak şartıyla gün sonu bakiyesinin hesaplanma saatini değiştirmeye yetkilidir.
Elektronik para kuruluşu, elektronik para ihracı karşılığında aldığı fonları, diğer tüm fonlardan ayrıştırarak takip eder ve farklı bir amaç için kullanamaz.
Elektronik para ile gerçekleştirilen ödeme hizmetleri dışındaki ödeme hizmetleri için alınan fonlar, 26 ncı maddede belirtilen usul ve esaslar çerçevesinde korunur.
Elektronik para kuruluşlarının mutabakat işlemleri ve Kuruma yapılacak raporlamaları hakkında 26 ncı maddenin altıncı, yedinci, sekizinci ve dokuzuncu fıkraları uygulanır.
Resmi Gazete Tarihi: 27.06.2014 tarihli 29043 sayılı Resmi Gazetede yayınlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmeliğin 60.maddesine göre Yabancı ülke kanunlarına göre denetime yetkili ve Kurum muadili mercilerin, kendi ülkelerinde faaliyet gösteren ödeme kuruluşu ve elektronik para kuruluşlarının Türkiye’deki ortaklıklarında denetim yapma ve bilgi talepleri ile kuruluşların yurt dışındaki şube veya ortaklıklarının konsolidasyon kapsamında yer alan bilgilerine ilişkin taleplerinin karşılıklılık ilkesi de dikkate alınarak yerine getirilmesi Kurulun iznine tâbidir.
Yurt içi ve yurt dışı yetkili mercilerle denetime, bilgi paylaşımına ve diğer hususlara dair yapılacak işbirliğine ilişkin ilave usul ve esaslar ilgili tarafların görüşü alınmak suretiyle Kurulca belirlenebilir.
27.06.2014 tarihli 29043 sayılı Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğin 4.maddesine göre Kuruluş, üst yönetimi tarafından onaylanmış bir risk yönetim politikası çerçevesinde, faaliyetlerinde bilgi teknolojilerinin kullanılmasından kaynaklanan riskleri tespit etmek, analiz etmek, ölçmek, izlemek, kontrol etmek ve raporlamak üzere bir risk yönetim yapısı teşkil eder.
Elektronik para ihraç eden kuruluşlar
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 18.maddesine göre 5411 sayılı Kanun uyarınca faaliyet gösteren bankalar ve bu Kanun kapsamında elektronik para çıkarma izni verilen elektronik para kuruluşları dışındaki kişilerin elektronik para ihracı faaliyetinde bulunmaları yasaktır.
Bu Kanun kapsamında elektronik para ihraç etmek isteyen elektronik para kuruluşu Kuruldan izin almak kaydıyla faaliyette bulunabilir.
Elektronik para kuruluşunun; Anonim şirket şeklinde kurulması, Sermayesinde yüzde on ve üzerinde paya sahip olanların ve kontrolü elinde bulunduranların 5411 sayılı Kanunda banka kurucuları için aranan nitelikleri haiz olması, Pay senetlerinin nakit karşılığı çıkarılması ve tamamının nama yazılı olması, Nakden ve her türlü muvazaadan ari ödenmiş sermayesinin en az beş milyon Türk Lirası olması, Bu Kanun kapsamındaki işlemleri gerçekleştirebilecek yönetim, yeterli personel ve teknik donanıma sahip olması, şikâyet ve itirazlarla ilgili birimleri oluşturması, Bu Kanun kapsamında yürütecekleri faaliyetlerin sürekliliğine ve elektronik para kullanıcılarına ilişkin fon ve bilgilerin güvenliğine ve gizliliğine dair gerekli tedbirleri alması, Kurumun denetimini engellemeyecek şeffaf ve açık bir ortaklık yapısı ve organizasyon şemasına sahip olması şarttır.
Elektronik para kuruluşları faaliyetlerini 5411 sayılı Kanunda tanımlanan bankalar aracılığıyla yürütürler.
Elektronik parayı ihraç eden kuruluşun sadece kendi mağaza ağında, sadece belirli bir mal veya hizmet grubunun satın alınmasında veya yapılan bir anlaşma sonucunda sadece belirli bir hizmet ağında kullanılabilen ön ödemeli araçlar bu Kanun kapsamı dışındadır.
Bu maddenin uygulanmasına, elektronik para kuruluşunun kurulmasına ilişkin istenecek bilgi ve belgelere, işleyişine, sermaye ve özkaynak yapısına, şube, temsilci veya dış hizmet sağlayıcı kullanımına, kurumsal yönetim ilkelerine, iç sistemlerine, bilgi sistemleri yönetimine ve bu Kanun kapsamına girmeyen diğer faaliyetlerine, elektronik paranın ihraç edilmesi ve geri ödenmesine ilişkin usul ve esaslar, Mali Suçları Araştırma Kurulu ve Bankanın görüşünün alınması suretiyle Kurumca çıkarılacak yönetmelikle belirlenir.
Ödeme kuruluşları ve Elektronik para kuruluşlarıyla ilgili cezai hükümler
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 27.maddesine göre Bu Kanunda ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde ve alınan kararlarda yer alan ve bu Bölümde ayrı bir cezai yaptırım öngörülmeyen hususlara aykırı davranan ve ödeme hizmeti sağlayıcısı olarak faaliyet gösteren tüzel kişiler hakkında Kurulca, sistem işleticisi olarak faaliyet gösteren tüzel kişiler hakkında Bankaca yirmi bin Türk Lirasından beş yüz bin Türk Lirasına kadar idari para cezası verilir. Ancak, bu suretle menfaat temin edilmiş olması hâlinde verilecek idari para cezasının miktarı bu menfaatin iki katından az olamaz. Bu kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlenmesi hâlinde, ilgiliye bir idari para cezası verilir ve verilecek ceza iki kat artırılır. Ancak, bu kabahatin işlenmesi suretiyle bir menfaat temin edilmesi veya zarara neden olunması hâlinde idari para cezasının miktarı bu menfaat veya zararın üç katından az olamaz.
Birinci fıkra kapsamında alınan kararlar gerekçeleri ile birlikte ilgili kuruluşa bildirilir.
İdari para cezasına, ilgilinin savunması alındıktan sonra karar verilir. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren bir ay içinde savunma verilmemesi hâlinde savunma hakkından feragat edildiği kabul edilir.
Bu Kanuna göre verilen idari para cezaları kararın tebliğ tarihinden itibaren bir ay içinde ödenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 28.maddesine göre Bu Kanuna göre alınması gereken izinleri almaksızın sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösteren gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
Bu Kanuna göre alınması gereken izinleri almaksızın ticaret unvanlarında, her türlü belgelerde, ilan ve reklamlarda veya kamuoyuna yaptıkları açıklamalarda sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösterdiği izlenimini yaratacak söz ve deyimleri kullanan gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
Birinci ve ikinci fıkra kapsamında tanımlanan suçların bir iş yeri bünyesinde işlenmesi hâlinde bu işyerinin iki aydan altı aya kadar, tekerrür hâlinde sürekli olarak kapatılmasına karar verilebilir.
Bu Kanun kapsamında verilmiş olan faaliyet izni iptal edilen sistem işleticisinin, ödeme kuruluşunun veya elektronik para kuruluşunun faaliyetine devam etmesi durumunda da bu madde hükümleri uygulanır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 29.maddesine göre Bu Kanun uyarınca Banka ve Kurum tarafından yapılan denetim ve gözetim görevlerinin yerine getirilmesini engelleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
Bu Kanun uyarınca Banka ve Kurum tarafından yapılan denetim ve gözetim faaliyetleri kapsamında istenen bilgi ve belgeleri vermeyen kişi, üç aydan bir yıla kadar hapis ve bin beş yüz güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 30.maddesine göre Bu Kanun kapsamındaki sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşunun bu Kanunda gösterilen merciler ile denetim ve gözetim faaliyetinde bulunan görevlilere ve mahkemelere verdikleri veya yayımladıkları belgelerdeki gerçeğe aykırı beyanlardan dolayı, bu belgeleri imzalayan kişi ve kişiler, bir yıldan üç yıla kadar hapis ve iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 31.maddesine göre Bu Kanunun 23 üncü maddesinin birinci fıkrasında belirtilen yükümlülüğe uymayanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılır.
Ödeme hizmeti kullanıcısının ödeme aracıyla ilgili yükümlülükleri saklı kalmak kaydıyla, ödeme aracını kullanmaya yetkili olanlar dışındaki üçüncü kişilerin ödeme aracı ile ilgili kişisel güvenlik bilgilerine erişimlerinin engellenmesi için gerekli önlemleri almayan, ödeme aracının ve ödeme aracı ile ilgili kişisel güvenlik bilgilerinin ödeme hizmeti kullanıcısına güvenli bir şekilde ulaştırılmasını sağlamayan kuruluşların görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adli para cezası ile cezalandırılır.
Bu maddenin ikinci fıkrasında tanımlanan suçun dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik nedeniyle işlenmesi durumunda, ilgili kuruluşların görevlileri ve işlemi yapan kişiler bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 32.maddesine göre Bu Kanun kapsamındaki sistem işleticisinin, ödeme kuruluşunun ve elektronik para kuruluşunun ortakları, yönetim kurulu üyeleri, mensupları, bunlar adına hareket eden kişiler ile görevlileri, sıfat ve görevleri dolayısıyla öğrendikleri bu kuruluşlara ve müşterilerine ait sırları, görevden ayrılmış olsalar dahi, kanunen açıkça yetkili kılınan mercilerden başkasına açıklamaları durumunda bir yıldan üç yıla kadar hapis ile bin güne kadar adli para cezası ile cezalandırılır.
Birinci fıkrada sayılan kuruluşlara ve müşterilerine ait sırları açıklayan dış hizmet sağlayıcısının çalışanları ile üçüncü kişiler hakkında da birinci fıkra hükümleri uygulanır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 33.maddesine göre 9/6/2004 tarihli ve 5187 sayılı Basın Kanununda belirtilen araçlarla ya da radyo, televizyon, video, internet, kablolu yayın veya elektronik bilgi iletişim araçları ve benzeri yayın araçlarından biri vasıtasıyla; bu Kanun kapsamındaki sistem işleticisinin, ödeme kuruluşunun ve elektronik para kuruluşunun itibarını kırabilecek veya şöhretine ya da servetine zarar verebilecek bir hususa kasten sebep olanlar veya bu yolla asılsız haber yayanlar bir yıldan üç yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 34.maddesine göre Bu Kanunun 18 inci maddesinin dördüncü fıkrası ile 20 nci maddesinde yer alan hükümlere aykırı hareket eden elektronik para kuruluşunun görevlileri ve ilgili kişileri bir yıldan üç yıla kadar hapis ile beş bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 35.maddesine göre Bu Kanun kapsamındaki ödeme kuruluşu ve elektronik para kuruluşunun işlemlerinin kayıt dışı bırakılmasından, gerçek mahiyetlerine uygun düşmeyen bir şekilde muhasebeleştirilmesinden dolayı, bu belgeleri imzalayan kişi ve kişiler bir yıldan üç yıla kadar hapis ve iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 36.maddesine göre Görevi nedeniyle zilyetliği kendisine devredilmiş olan veya koruma ve gözetimiyle yükümlü olduğu para ve para yerine geçen evrak veya senetleri veya diğer malları kendisinin ya da başkasının zimmetine geçiren bu Kanun kapsamındaki sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu ortakları, yönetim kurulu başkan ve üyeleri, mensupları, bunlar adına hareket eden kişiler ile görevlileri, altı yıldan on iki yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacakları gibi ilgili kuruluşun uğradığı zararı tazmine mahkûm edilir.
Suçun, zimmetin açığa çıkmamasını sağlamaya yönelik hileli davranışlarla işlenmesi hâlinde faile on iki yıldan az olmamak üzere hapis ve yirmi bin güne kadar adli para cezası verilir; ancak, adli para cezasının miktarı ilgili kuruluşun uğradığı zararın üç katından az olamaz. Ayrıca meydana gelen zararın ödenmemesi hâlinde mahkemece resen ödettirilmesine hükmolunur.
Soruşturma başlamadan önce, zimmete geçirilen para veya para yerine geçen evrak veya senetlerin veya diğer malların aynen iade edilmesi veya uğranılan zararın tamamen tazmin edilmesi hâlinde, verilecek cezanın üçte ikisi indirilir. Kovuşturma başlamadan önce, gönüllü olarak, zimmete geçirilen para veya para yerine geçen evrak veya senetlerin veya diğer malların aynen iade edilmesi veya uğranılan zararın tamamen tazmin edilmesi hâlinde, verilecek cezanın yarısı indirilir. Bu durumun hükümden önce gerçekleşmesi hâlinde, verilecek cezanın üçte biri indirilir.
Zimmet suçunun konusunu oluşturan para veya para yerine geçen evrak veya senetlerin veya diğer malların değerinin azlığı nedeniyle, verilecek ceza üçte birden yarıya kadar indirilir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 37.maddesine göre Bu Kanunun 28 inci, 29 uncu ve 31 inci maddelerinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, sistem işleticileri ile ilgili olarak Banka; ödeme ve elektronik para kuruluşları ile ilgili olarak ise Kurum tarafından Cumhuriyet başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir.
Bu Kanunun 31 inci maddesinde belirtilen suçtan dolayı ilgililerin Cumhuriyet başsavcılığına başvurması hâlinde yazılı başvuru şartı aranmaz.
Bu Kanun ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde belirtilen görevlerin yerine getirilmesi sırasındaki fiilleri dolayısıyla Banka personeli hakkında soruşturma ve kovuşturma yapılması, Bankanın Cumhuriyet başsavcılığına yazılı başvuruda bulunmasına bağlıdır.
AVUKAT ÖZGÜR ERALP
08.04.2015
www.ozgureralp.av.tr
Ödeme kuruluşları ve Elektronik para kuruluşlarıyla ilgili cezai hükümler
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 27.maddesine göre Bu Kanunda ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde ve alınan kararlarda yer alan ve bu Bölümde ayrı bir cezai yaptırım öngörülmeyen hususlara aykırı davranan ve ödeme hizmeti sağlayıcısı olarak faaliyet gösteren tüzel kişiler hakkında Kurulca, sistem işleticisi olarak faaliyet gösteren tüzel kişiler hakkında Bankaca yirmi bin Türk Lirasından beş yüz bin Türk Lirasına kadar idari para cezası verilir. Ancak, bu suretle menfaat temin edilmiş olması hâlinde verilecek idari para cezasının miktarı bu menfaatin iki katından az olamaz. Bu kabahatlerden birinin idari yaptırım kararı verilinceye kadar birden çok işlenmesi hâlinde, ilgiliye bir idari para cezası verilir ve verilecek ceza iki kat artırılır. Ancak, bu kabahatin işlenmesi suretiyle bir menfaat temin edilmesi veya zarara neden olunması hâlinde idari para cezasının miktarı bu menfaat veya zararın üç katından az olamaz.
Birinci fıkra kapsamında alınan kararlar gerekçeleri ile birlikte ilgili kuruluşa bildirilir.
İdari para cezasına, ilgilinin savunması alındıktan sonra karar verilir. Savunma istendiğine ilişkin yazının tebliğ tarihinden itibaren bir ay içinde savunma verilmemesi hâlinde savunma hakkından feragat edildiği kabul edilir.
Bu Kanuna göre verilen idari para cezaları kararın tebliğ tarihinden itibaren bir ay içinde ödenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 28.maddesine göre Bu Kanuna göre alınması gereken izinleri almaksızın sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösteren gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
Bu Kanuna göre alınması gereken izinleri almaksızın ticaret unvanlarında, her türlü belgelerde, ilan ve reklamlarda veya kamuoyuna yaptıkları açıklamalarda sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösterdiği izlenimini yaratacak söz ve deyimleri kullanan gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
Birinci ve ikinci fıkra kapsamında tanımlanan suçların bir iş yeri bünyesinde işlenmesi hâlinde bu işyerinin iki aydan altı aya kadar, tekerrür hâlinde sürekli olarak kapatılmasına karar verilebilir.
Bu Kanun kapsamında verilmiş olan faaliyet izni iptal edilen sistem işleticisinin, ödeme kuruluşunun veya elektronik para kuruluşunun faaliyetine devam etmesi durumunda da bu madde hükümleri uygulanır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 29.maddesine göre Bu Kanun uyarınca Banka ve Kurum tarafından yapılan denetim ve gözetim görevlerinin yerine getirilmesini engelleyen kişi, bir yıldan üç yıla kadar hapis cezası ile cezalandırılır.
Bu Kanun uyarınca Banka ve Kurum tarafından yapılan denetim ve gözetim faaliyetleri kapsamında istenen bilgi ve belgeleri vermeyen kişi, üç aydan bir yıla kadar hapis ve bin beş yüz güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 30.maddesine göre Bu Kanun kapsamındaki sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşunun bu Kanunda gösterilen merciler ile denetim ve gözetim faaliyetinde bulunan görevlilere ve mahkemelere verdikleri veya yayımladıkları belgelerdeki gerçeğe aykırı beyanlardan dolayı, bu belgeleri imzalayan kişi ve kişiler, bir yıldan üç yıla kadar hapis ve iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 31.maddesine göre Bu Kanunun 23 üncü maddesinin birinci fıkrasında belirtilen yükümlülüğe uymayanlar bir yıldan üç yıla kadar hapis ve beş yüz günden bin beş yüz güne kadar adli para cezası ile cezalandırılır.
Ödeme hizmeti kullanıcısının ödeme aracıyla ilgili yükümlülükleri saklı kalmak kaydıyla, ödeme aracını kullanmaya yetkili olanlar dışındaki üçüncü kişilerin ödeme aracı ile ilgili kişisel güvenlik bilgilerine erişimlerinin engellenmesi için gerekli önlemleri almayan, ödeme aracının ve ödeme aracı ile ilgili kişisel güvenlik bilgilerinin ödeme hizmeti kullanıcısına güvenli bir şekilde ulaştırılmasını sağlamayan kuruluşların görevlileri ve işlemi yapan kişiler, bir yıldan üç yıla kadar hapis ve bin güne kadar adli para cezası ile cezalandırılır.
Bu maddenin ikinci fıkrasında tanımlanan suçun dikkatsizlik veya tedbirsizlik veya meslekte yetersizlik nedeniyle işlenmesi durumunda, ilgili kuruluşların görevlileri ve işlemi yapan kişiler bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 32.maddesine göre Bu Kanun kapsamındaki sistem işleticisinin, ödeme kuruluşunun ve elektronik para kuruluşunun ortakları, yönetim kurulu üyeleri, mensupları, bunlar adına hareket eden kişiler ile görevlileri, sıfat ve görevleri dolayısıyla öğrendikleri bu kuruluşlara ve müşterilerine ait sırları, görevden ayrılmış olsalar dahi, kanunen açıkça yetkili kılınan mercilerden başkasına açıklamaları durumunda bir yıldan üç yıla kadar hapis ile bin güne kadar adli para cezası ile cezalandırılır.
Birinci fıkrada sayılan kuruluşlara ve müşterilerine ait sırları açıklayan dış hizmet sağlayıcısının çalışanları ile üçüncü kişiler hakkında da birinci fıkra hükümleri uygulanır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 33.maddesine göre 9/6/2004 tarihli ve 5187 sayılı Basın Kanununda belirtilen araçlarla ya da radyo, televizyon, video, internet, kablolu yayın veya elektronik bilgi iletişim araçları ve benzeri yayın araçlarından biri vasıtasıyla; bu Kanun kapsamındaki sistem işleticisinin, ödeme kuruluşunun ve elektronik para kuruluşunun itibarını kırabilecek veya şöhretine ya da servetine zarar verebilecek bir hususa kasten sebep olanlar veya bu yolla asılsız haber yayanlar bir yıldan üç yıla kadar hapis ve bin günden iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 34.maddesine göre Bu Kanunun 18 inci maddesinin dördüncü fıkrası ile 20 nci maddesinde yer alan hükümlere aykırı hareket eden elektronik para kuruluşunun görevlileri ve ilgili kişileri bir yıldan üç yıla kadar hapis ile beş bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 35.maddesine göre Bu Kanun kapsamındaki ödeme kuruluşu ve elektronik para kuruluşunun işlemlerinin kayıt dışı bırakılmasından, gerçek mahiyetlerine uygun düşmeyen bir şekilde muhasebeleştirilmesinden dolayı, bu belgeleri imzalayan kişi ve kişiler bir yıldan üç yıla kadar hapis ve iki bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 36.maddesine göre Görevi nedeniyle zilyetliği kendisine devredilmiş olan veya koruma ve gözetimiyle yükümlü olduğu para ve para yerine geçen evrak veya senetleri veya diğer malları kendisinin ya da başkasının zimmetine geçiren bu Kanun kapsamındaki sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu ortakları, yönetim kurulu başkan ve üyeleri, mensupları, bunlar adına hareket eden kişiler ile görevlileri, altı yıldan on iki yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılacakları gibi ilgili kuruluşun uğradığı zararı tazmine mahkûm edilir.
Suçun, zimmetin açığa çıkmamasını sağlamaya yönelik hileli davranışlarla işlenmesi hâlinde faile on iki yıldan az olmamak üzere hapis ve yirmi bin güne kadar adli para cezası verilir; ancak, adli para cezasının miktarı ilgili kuruluşun uğradığı zararın üç katından az olamaz. Ayrıca meydana gelen zararın ödenmemesi hâlinde mahkemece resen ödettirilmesine hükmolunur.
Soruşturma başlamadan önce, zimmete geçirilen para veya para yerine geçen evrak veya senetlerin veya diğer malların aynen iade edilmesi veya uğranılan zararın tamamen tazmin edilmesi hâlinde, verilecek cezanın üçte ikisi indirilir. Kovuşturma başlamadan önce, gönüllü olarak, zimmete geçirilen para veya para yerine geçen evrak veya senetlerin veya diğer malların aynen iade edilmesi veya uğranılan zararın tamamen tazmin edilmesi hâlinde, verilecek cezanın yarısı indirilir. Bu durumun hükümden önce gerçekleşmesi hâlinde, verilecek cezanın üçte biri indirilir.
Zimmet suçunun konusunu oluşturan para veya para yerine geçen evrak veya senetlerin veya diğer malların değerinin azlığı nedeniyle, verilecek ceza üçte birden yarıya kadar indirilir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 37.maddesine göre Bu Kanunun 28 inci, 29 uncu ve 31 inci maddelerinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, sistem işleticileri ile ilgili olarak Banka; ödeme ve elektronik para kuruluşları ile ilgili olarak ise Kurum tarafından Cumhuriyet başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir.
Bu Kanunun 31 inci maddesinde belirtilen suçtan dolayı ilgililerin Cumhuriyet başsavcılığına başvurması hâlinde yazılı başvuru şartı aranmaz.
Bu Kanun ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde belirtilen görevlerin yerine getirilmesi sırasındaki fiilleri dolayısıyla Banka personeli hakkında soruşturma ve kovuşturma yapılması, Bankanın Cumhuriyet başsavcılığına yazılı başvuruda bulunmasına bağlıdır.
6493 Sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN’un 23’üncü maddesinin (1)’inci fıkrasında 25 Mart 2015 tarihinde bir değişiklik yapıldı. Yapılan bu değişiklik 07 Nisan 2015 tarihli Resmi Gazetede yayınlanarak yürürlüğe girdi.
TÜRKİYE BÜYÜK MİLLET MECLİSİ YASAMA DÖNEMİ 24 YASAMA YILI 5 SIRA SAYISI: 705
Eskişehir Milletvekili Salih Koca ve Uşak Milletvekili İsmail Güneş ile 6 Milletvekilinin; Bazı Kanun ve Kanun Hükmünde Kararnamelerde Değişiklik Yapılmasına Dair Kanun Teklifi ile Milli Eğitim Bakanlığının Teşkilat ve Görevleri Hakkında Kanun Hükmünde Kararnamede Değişiklik Yapılmasına Dair Kanun Tasarısı, Manisa Milletvekili Özgür Özel’in; Kamu Kurum ve Kuruluşlarının Ürettikleri Mal ve Hizmet Tarifeleri ile Bazı Kanunlarda Değişiklik Yapılması Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun Teklifi, Cumhuriyet Halk Partisi Grup Başkanvekili İstanbul Milletvekili Mehmet Akif Hamzaçebi’nin; Milli Eğitim Bakanlığının Teşkilat ve Görevleri Hakkında Kanunda Değişiklik Yapılmasına Dair Kanun Teklifi ile Plan ve Bütçe Komisyonu Raporuna bu dosyadan ulaşabilirsiniz 705 Sıra Sayılı Kanun Tasarısı
TEKLİFİN GENEL GEREKÇESİNDE YER ALAN BÖLÜM
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunda yapılan değişiklikle ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esasların bilgi teknolojilerinde gerçekleşen hızlı ve kapsamlı değişiklikler ve sektörün ihtiyaçları çerçevesinde Bankacılık Düzenleme ve Denetleme Kurulu tarafından belirlenmesini teminen düzenleme yapılmaktadır.
(Eskişehir Milletvekili Salih Koca ve Uşak Milletvekili İsmail Güneş ile 6 Milletvekilinin Teklifi) (2/2736)
MADDE 20- 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 23 üncü maddesinin birinci
fıkrası aşağıdaki şekilde değiştirilmiştir. “(1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Kurulca belirlenir.”
20.madde gerekçesi
Madde 20- Yapılan değişiklikle ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esasların bilgi teknolojilerinde gerçekleşen hızlı ve kapsamlı değişiklikler ve sektörün ihtiyaçları çerçevesinde Bankacılık Düzenleme ve Denetleme Kurulu tarafından belirlenmesine imkân tanınması amaçlanmaktadır
KOMİSYONUN MADDELER HAKKINDA KARARI
Madde 20 Teklifin çerçeve 20 nci maddesi, çerçeve 18 inci madde olarak aynen kabul edilmiştir
(Plan ve Bütçe Komisyonunun Kabul Ettiği Metin)
MADDE 18- 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 23 üncü maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir. “(1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Kurulca belirlenir.”
7 Nisan 2015 SALI | Resmî Gazete | Sayı : 29319 |
KANUN | ||
BAZI KANUN VE KANUN HÜKMÜNDE KARARNAMELERDE DEĞİŞİKLİKYAPILMASINA DAİR KANUN Kanun No. 6637 Kabul Tarihi: 27/3/2015 |
MADDE 13 – 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 23 üncü maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Kurulca belirlenir.”
MADDE 26 – Bu Kanunun;
a) 8 inci maddesi ile 5520 sayılı Kanunun 10 uncu maddesinin birinci fıkrasına eklenen (ı) bendi 1/7/2015 tarihinde,
b) 16 ncı maddesi ile 23 üncü maddesinin (a) ve (b) bentleri 15/5/2015 tarihinde,
c) Geçici 1 inci maddesi 1/1/2005 tarihinden geçerli olmak üzere yayımı tarihinde,
ç) Diğer maddeleri yayımı tarihinde, yürürlüğe girer.
6493 SAYILI KANUNA EK VE DEĞİŞİKLİK GETİREN
MEVZUATIN VEYA ANAYASA MAHKEMESİ TARAFINDAN İPTAL EDİLEN HÜKÜMLERİN YÜRÜRLÜĞE GİRİŞ TARİHİNİ
GÖSTERİR LİSTE
Değiştiren Kanunun/KHK’nin/ İptal Eden Anayasa Mahkemesi Kararının Numarası | 6493 sayılı Kanunun değişen veya iptal edilen maddeleri | Yürürlüğe Giriş Tarihi |
6637 | 23 | 7/4/2015 |
ESKİ KANUN MADDESİ
Belge ve kayıtların saklanması ile kişisel bilgilerin korunması, değişikliklerin bildirilmesi
MADDE 23 – (1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur.
(2) Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır.
(3) İlgili otorite tarafından istenen bilgi ve belgelerin geçerliliğini etkileyecek herhangi bir değişikliğin olması durumunda sistem işleticisi Bankayı; ödeme kuruluşu ve elektronik para kuruluşu ise Kurumu bu konuda derhâl bilgilendirir
YENİ KANUN MADDESİ
Belge ve kayıtların saklanması ile kişisel bilgilerin korunması, değişikliklerin bildirilmesi
MADDE 23 – (1) (Değişik: 27/3/2015-6637/13 md.) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Kurulca belirlenir.
(2) Ödeme usulsüzlüklerini önlemek, araştırmak ve ortaya çıkarmak için gerekli durumlarda, sistem işleticisi ve ödeme hizmeti sağlayıcısı, kişisel bilgileri kişisel verilerin korunmasına ilişkin gerekli tedbirleri alarak kullanır.
(3) İlgili otorite tarafından istenen bilgi ve belgelerin geçerliliğini etkileyecek herhangi bir değişikliğin olması durumunda sistem işleticisi Bankayı; ödeme kuruluşu ve elektronik para kuruluşu ise Kurumu bu konuda derhâl bilgilendirir.
Konuya ilişkin 25 Mart 2015 tarihli TBMM tutanakları aşağıdaki gibidir.
Türkiye Büyük Millet Meclisi Başkanlığına
Görüşülmekte olan 705 sıra sayılı Kanun Teklifinin 18. Maddesinin aşağıdaki şekilde değiştirilmesini arz ve teklif ederiz.
“Madde 18- 20/6/2013 tarihli ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun 23 üncü maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) Sistem işleticisi, ödeme kuruluşu ve elektronik para kuruluşu bu Kanunda yer alan hususlar ile ilgili belgeleri ve kayıtları en az on yıl süreyle güvenli ve istenildiği an erişime imkân sağlayacak şekilde yurt içinde saklar. Sistem işleticisinin faaliyetlerini yürütmede kullandığı bilgi sistemleri ve bunların yedekleri de yurt içinde tutulur. Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar Türkiye Cumhuriyet Merkez Bankası ve Kurul tarafından belirlenir.”
Mehmet Günal (Antalya) ve arkadaşları
BAŞKAN – Komisyon önergeye katılıyor mu?
PLAN VE BÜTÇE KOMİSYONU SÖZCÜSÜ FATİH ŞAHİN (Ankara) – Katılmıyoruz Sayın Başkan.
BAŞKAN – Hükûmet katılıyor mu?
BİLİM, SANAYİ VE TEKNOLOJİ BAKANI FİKRİ IŞIK (Kocaeli) – Katılmıyoruz Sayın Başkan.
BAŞKAN – Önerge üzerinde söz isteyen Ahmet Kenan Tanrıkulu, İzmir Milletvekili.
Buyurun Sayın Tanrıkulu. (MHP sıralarından alkışlar)
AHMET KENAN TANRIKULU (İzmir) – Sayın Başkan, değerli milletvekilleri; görüşmekte olduğumuz kanun teklifinin 18’inci maddesinde vermiş olduğumuz önergeyle ilgili söz almış bulunuyorum. Öncelikle Genel Kurulumuzu saygıyla selamlıyorum.
Değerli milletvekilleri, bu görüştüğümüz madde, 6493 sayılı Kanun’un 23’üncü maddesinin (1)’inci fıkrasında bir değişiklik öngörüyor. Ancak, bu değişikliği öngörürken, burada ilginç olan husus, (1)’inci fıkrada “Düzenlemeyle ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esasların belirlenmesinde kurula -yani Bankacılık Düzenleme ve Denetleme Kurumuna- yetki verir.” diyor.
Şimdi burada ilginç olan husus şu… Bugünlerde çıkartılmış olan yönetmelikte -eski kanuna yani yürürlükte olan kanuna göre çıkarılan yönetmelikte- zaten bu yetki devrini yapmış arkadaşlar. Şimdi, enteresan olan husus şu: Bizim bildiğimiz, mevzuatta, önce kanun çıkar, daha sonra yönetmelik çıkar. Usul, esas böyle gider. Ancak, herhâlde şimdi usul ve esas değişerek yönetmeliği önce çıkarmışlar, kanunu buna uydurmaya çalışıyorlar arkadaşlar. Burada da enteresan olan husus şu: Teknik olarak böyle bir şeyin yapılmaması gerektiğini de hem Hükûmete hem ilgili yetkililere söylememişler.
Şimdi, işin o kısmını bir kenara bırakırsak, esasa gelirsek burada da şöyle bir hatayla mükellef olmuşlar: Bu kanunu incelediğimiz zaman yani 6493 sayılı Kanun’u incelediğimiz zaman burada paranın dolaşımında veyahut ödeme sistemlerinin işlemesindeki gözetimi sağlamak veya gerekli düzenlemeleri yapma görevi aslında Merkez Bankasının görev ve yetkileri arasında. Burada usul ve esas yönünden biraz önceki çiğnemeyi bir kenara bırakın, bir de buradaki yetkilerin Merkez Bankasından alınıp Bankacılık Düzenleme ve Denetleme Kuruluna aktarılması hadisesi var ki vahim olan tarafı da bu.
Bu maddenin gerekçesini okuduğumuzda işin ilginç tarafı, zaten torba teklifte de öyle -artık Hükûmet, tasarı da getirmiyor torbalarda, belki de yüz bulamıyor, işi teklife dönüştürmüş durumdalar- bu teklifte gerekçeler doğru dürüst açıklama gereği dahi duyulmamış.
Değerli arkadaşlar, şimdi, kuruluş iznini Merkez Bankasının verdiği bir elektronik para ihraç işinde ve bunun hizmetini sağlama işinde esas usul ve esasların Merkez Bankası tarafından yapılması ve denetlenmesi gerekir. Hadi ondan vazgeçtik bizim önergemizdeki meseleye dönersek, burada biz
“Hem Merkez Bankası hem BDDK madem böyle bir düzenleme ihtiyacı duydunuz birlikte yapsınlar, denetleme kısmını da BDDK yapsın.” diye önerge verdik.
Değerli milletvekilleri, 57’nci Hükûmet döneminde Merkez Bankasını tam bağımsızlığına kavuşturmuştuk. Şimdi, dolambaçlı yollardan getirilen bu birtakım uygulamalar Merkez Bankasının yapısına da gölge düşürecek birtakım esaslar. Bunlardan vazgeçilmesi gerekir çünkü yapılacak o kadar ciddi işler ve meseleler varken, bugünlerde açıklanmış olan güven endekslerine bakarsak zaten ekonomide bir yavaşlamayla karşı karşıyayız hem tüketici güven endeksleri hem reel kesim güven endekslerinde 2009’dan bu yana yani kriz sonrasından bu yana çok ciddi düşüşler var. Gündemi bunun üzerine getirecek düzenlemelerin Meclisin Genel Kuruluna getirilmesi gerekirdi.
2012’den bu yana Türkiye ekonomisinde üçlü sacayağı birtakım uygulamalarla karşı karşıyayız. Bunlar nedir? Düşük büyüme, düşük tasarruf, düşük yatırım; öbür tarafta da bunun tam tersi, zıddı, yüksek enflasyon, yüksek dış borç, yüksek dış açıkla karşı karşıyayız. Yani ekonomik modeliniz artık iflas etmiş durumda. Bu paradigmayı bir kenara bırakarak yeni bir ekonomik modelle karşı karşıya kalmamız gerekir diye düşünüyoruz.
Değerli arkadaşlar, bu reformların da etkili olabilmesi açısından demokratik hukuki kurumlara da ihtiyaç bulunması gerekiyor. O yüzden yapacağınız, hukuk devleti olmadan, daha geniş birtakım demokratik hakları vermeden doğru dürüst bir ekonomi uygulaması mümkün olmaz diyor, saygılarımızı sunuyoruz. (MHP sıralarından alkışlar)
BAŞKAN – Teşekkür ediyorum.
Önergeyi oylarınıza sunuyorum: Kabul edenler… Kabul etmeyenler… Önerge kabul edilmemiştir.
Maddeyi oylarınıza sunuyorum: Kabul edenler… Kabul etmeyenler… Madde kabul edilmiştir.
Kanunun 23.maddesinin 1.fıkrasının 1.cümlesi aynen kalmıştır.
2.cümlesindeki Sistem işletici ibresi kalmış ödeme kuruluşu ve elektronik para kuruluşları cümleden çıkarılmıştır.
Madde metnine 3.cümle eklenmiş ve Ödeme kuruluşu ve elektronik para kuruluşunun faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esasların Kurulca belirleneceği ifade edilmiştir.
Madde gerekçesinde yapılan değişiklikle ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esasların bilgi teknolojilerinde gerçekleşen hızlı ve kapsamlı değişiklikler ve sektörün ihtiyaçları çerçevesinde Bankacılık Düzenleme ve Denetleme Kurulu tarafından belirlenmesine imkân tanınması amaçlandığı ifade edilmiştir.
Yapılan bu değişiklikle sistem işleticileri ile ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerini yürütmede kullandıkları bilgi sistemlerine ilişkin usul ve esaslar konusunda bir ayrıma gidilmiştir.
Bu değişikliğe göre sistem işleticileri faaliyetlerini yürütmede kullandıkları bilgi sistemleri ve bunların yedekleri de yurt içinde tutmaya devam edecek, ödeme kuruluşları ve elektronik para kuruluşlarının faaliyetlerini yürütmede kullandıkları bilgi sistemlerin ve bunların yedeklerinin nasıl tutulacağına ilişkin usul ve esaslar Bankacılık Düzenleme ve Denetleme Kurulunu belirlenecektir.
Elektronik para ve ödeme sistemleri
İnternet ve mobil uygulamaların kullanımının artmasıyla e-ticaret kullanımı yaygınlaşmış kredi kartı, elektronik para ve cüzdan kullanımı yaygınlaşmıştır.
Ülkemizde; Uluslararası faaliyet gösteren şirketlerinin yanı sıra Türk firmaları tarafından yürütülen elektronik tahsilat ve ödeme sistemleri genel hükümlere göre uygulamalarını geliştiriyordu.
Ancak bu alanda yapılan özel yasal düzenleme ile Türkiye’de faaliyet gösterecek işletmelerin belli statüye sahip olmaları şart koşulmuş bunun yanı sıra ciddi anlamda yatırımı gerektirecek teknik ve finans alt yapısına sahip olmaları hedeflenmiştir.
Aşağıda yasal dayanakları ile belirtileceği üzere önümüzdeki haftadan itibaren Türkiye’de elektronik para ve ödeme sistemleri piyasaları bu yeni mevzuat kapsamında faaliyetlerine devam edebileceklerdir.
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN 20.06.2013 tarihinde kabul edilmiş olup 27/6/2013 Sayı : 28690 Resmi Gazetede yayınlanmıştır.
Bu kanunun tanımlar başlıklı 3.maddesinde Elektronik para: Elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, bu Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değeri ifade eder şeklinde tanımlanmıştır.
Ödeme sistemi ise Üç veya daha fazla katılımcı arasındaki transfer emirlerinden kaynaklanan fon aktarımlarının gerçekleştirilmesini sağlamak amacıyla yapılan takas ve mutabakat işlemleri için gerekli altyapıyı sunan ve ortak kuralları olan yapıyı ifade eder şeklinde tanımlanmıştır.
6493 Sayılı Kanunun Yürürlük başlıklı 42.maddesine göre Bu Kanun yayımı tarihinde yürürlüğe girer.
Dolayısıyla 6493 Sayılı Kanun 27.06.2013 tarihinde yürürlüğe girmiştir.
6493 Sayılı Kanun’un GEÇİCİ MADDE si uyarınca Bu Kanunda öngörülen yönetmelikler bu Kanunun yayımı tarihinden itibaren bir yıl içinde hazırlanarak yürürlüğe konulur.
6493 Sayılı Kanun’un GEÇİCİ MADDE 2 (1) uyarınca Bu Kanunun yürürlüğe girdiği tarih itibarıyla faaliyette bulunan sistem işleticileri, sistemlerini bu Kanun kapsamında Bankaca çıkarılacak ilgili yönetmeliğin yayımı tarihinden itibaren bir yıl içinde bu Kanunla uyumlu hâle getirmek ve Bankaya başvurarak gerekli izinleri almak zorundadır.
(2) Bu Kanunun yürürlüğe girdiği tarih itibarıyla ödeme hizmetleri sunmakta olup bu Kanun kapsamında ihdas edilen ödeme kuruluşu kategorisine dâhil edilebilecek olan kuruluşlar, bu Kanun kapsamında Kurumca çıkarılacak ilgili yönetmeliklerin yayımı tarihinden başlayarak bir yıl içinde Kuruma başvurarak gerekli izinleri almak zorundadır.
(3) Bu Kanunun yürürlüğe girdiği tarih itibarıyla elektronik para ihraç etmekte olup bu Kanun kapsamında ihdas edilen elektronik para kuruluşu kategorisine dâhil edilebilecek olan kuruluşlar, bu Kanun kapsamında Kurumca çıkarılacak ilgili yönetmeliklerin yayımı tarihinden başlayarak bir yıl içinde Kuruma başvurarak gerekli izinleri almak zorundadır.
(4) İkinci ve üçüncü fıkra hükümleri uyarınca Kurumdan izin alma yükümlülüğü bulunan kuruluşlar ile bunların dışındaki ödeme hizmeti sağlayıcıları, uygulamalarını bu Kanun kapsamında Kurumca çıkarılacak ilgili yönetmeliklerin yayımı tarihinden başlayarak bir yıl içinde bu Kanun ve bu Kanuna dayanılarak çıkarılacak düzenlemelerde yer alan hükümlere uygun hâle getirmek zorundadır.
(5) Bu maddenin birinci, ikinci ve üçüncü fıkralarında belirtilen süreler içinde faaliyet izni alması gereken kuruluşlar, söz konusu izni almamaları durumunda bu Kanun kapsamında faaliyette bulunamazlar.
Görüldüğü üzere Yönetmeliğin Yayım tarihinden başlayarak bir yıl içerisinde Kuruma başvurarak gerekli izinleri almak zarureti vardır.
ÖDEME HİZMETLERİ VE ELEKTRONİK PARA İHRACI İLE ÖDEME KURULUŞLARI VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA YÖNETMELİK Resmi Gazete Tarihi: 27.06.2014 Resmi Gazete Sayısı: 29043 yayınlanmıştır.
Yönetmeliğin Yürürlük başlıklı 65.maddesine göre Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
Dolayısıyla 27.06.2013 tarihinde yürürlüğe giren 6493 Sayılı Kanuna dayanılarak çıkarılan 27.06.2014 tarihinde yayınlanan yönetmeliğin bu günden itibaren başlayarak bir yıl içerisinde 27.06.2015 tarihi itibariyle Kuruma başvurarak gerekli izinleri alma zorunluluğu vardır. 27 Haziran 2015 tarihinin Cumartesi gününe denk gelmesi itibariyle resmi başvuru tarihinin en geç 29 Haziran 2015 mesai saati bitimine kadar olması gerektiği kanaatindeyim. Sonuç olarak 30 Haziran 2015 Salı günü itibariyle Türkiye’de elektronik para ve ödeme sistemleri kapsamında faaliyette bulunan işletmeler BDDK’ya başvurmuş ve izin almış olmalıdırlar.
Yönetmeliğin 8.maddesinin 5.fıkrasına göre Kanun kapsamında aranan koşulların, niteliklerin ve yeterliliklerin sağlanması, bilgi ve belgelerin tamamlanması koşuluyla, yürütülmesi için başvuruda bulunulan hizmetler ile bu hizmetlerin yürütülmesi amacıyla kurulan sistemlerin değerlendirilmesi neticesinde Kurulca başvurunun olumlu olduğuna karar verilmesi halinde başvuru sahibi şirkete faaliyet izni verilir. Kurul faaliyet izninin kapsamını belirlemeye yetkilidir. Faaliyet izni verilmesine ilişkin kararlar Resmî Gazete’de yayımlandıkları tarihten itibaren geçerlilik kazanır.
Dolayısıyla bu işletmelerin faaliyette bulunmaları, izin kararlarının Resmi Gazete’de yayınlandığı gün itibariyle mümkün olabilecektir.
Bu yazının hazırlandığı 24.06.2015 tarihi itibariyle BDDK resmi internet sitesinde bu yönde lisans almış ve izin kararı Resmi Gazetede’de yayınlanmış bir şirket bilgisi bulunmamaktadır.
http://www.bddk.org.tr/WebSitesi/turkce/Kuruluslar/Odeme_Kuruluslari/Odeme_Kuruluslari.aspx
http://www.bddk.org.tr/WebSitesi/turkce/Kuruluslar/Elektronik_Para_Kuruluslari/Elektronik_Para_Kuruluslari.aspx
Av.Özgür Eralp
24.06.2015
www.ozgureralp.av.tr
BDDK’dan izin almaksızın faaliyet gösteren; bu şekilde ilan verip reklam yayınlayan sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşları hakkında uygulanacak cezai yaptırımlar
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN 20.06.2013 tarihinde kabul edilmiş olup 27/6/2013 Sayı : 28690 Resmi Gazetede yayınlanmıştır.
27.06.2013 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6493 Sayılı Kanuna dayanılarak çıkarılan 27.06.2014 tarihinde yayınlanan yönetmeliğin bu günden itibaren başlayarak bir yıl içerisinde 27.06.2015 tarihi itibariyle Kuruma başvurarak gerekli izinleri alma zorunluluğu vardır.
27 Haziran 2015 tarihinin Cumartesi gününe denk gelmesi itibariyle resmi başvuru tarihinin en geç 29 Haziran 2015 mesai saati bitimine kadar olması gerektiği sonuç olarak en iyimser yorumla 30 Haziran 2015 Salı günü itibariyle Türkiye’de elektronik para ve ödeme sistemleri kapsamında faaliyette bulunan işletmeler BDDK’ya başvurmuş ve izin almış olmalıdırlar.
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN’un İzinsiz faaliyette bulunmak başlıklı 28.maddesinin 1.fıkrasına göre;
alınması gereken izinleri almaksızın sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösteren gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN’un İzinsiz faaliyette bulunmak başlıklı 28.maddesinin 2.fıkrasına göre;
Bu Kanuna göre alınması gereken izinleri almaksızın ticaret unvanlarında, her türlü belgelerde, ilan ve reklamlarda veya kamuoyuna yaptıkları açıklamalarda sistem işleticisi, ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösterdiği izlenimini yaratacak söz ve deyimleri kullanan gerçek kişiler ile tüzel kişilerin görevlileri bir yıldan üç yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN’un İzinsiz faaliyette bulunmak başlıklı 28.maddesinin 3.fıkrasına göre;
Birinci ve ikinci fıkra kapsamında tanımlanan suçların bir iş yeri bünyesinde işlenmesi hâlinde bu işyerinin iki aydan altı aya kadar, tekerrür hâlinde sürekli olarak kapatılmasına karar verilebilir.
6493 sayılı ÖDEME VE MENKUL KIYMET MUTABAKAT SİSTEMLERİ, ÖDEME HİZMETLERİ VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA KANUN’un İzinsiz faaliyette bulunmak başlıklı 28.maddesinin 4.fıkrasına göre;
Bu Kanun kapsamında verilmiş olan faaliyet izni iptal edilen sistem işleticisinin, ödeme kuruluşunun veya elektronik para kuruluşunun faaliyetine devam etmesi durumunda da bu madde hükümleri uygulanır.
6493 Sayılı Kanunun Soruşturma ve kovuşturma usulü başlıklı 37.maddesinin 1.fıkrasına göre Bu Kanunun 28 inci maddesinde belirtilen suçlara ilişkin soruşturma ve kovuşturma yapılması, sistem işleticileri ile ilgili olarak Türkiye Cumhuriyet Merkez Bankası Anonim Şirketi; ödeme ve elektronik para kuruluşları ile ilgili olarak ise Bankacılık Düzenleme ve Denetleme Kurumu tarafından Cumhuriyet başsavcılığına yazılı başvuruda bulunulmasına bağlıdır. Bu başvuru muhakeme şartı niteliğindedir.
Elektronik para koruma hesabı
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun 20.06.2013 tarihinde kabul edilmiş olup 27/6/2013 Sayı : 28690 Resmi Gazetede yayınlanmıştır.
27.06.2013 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6493 Sayılı Kanuna dayanılarak çıkarılan 27.06.2014 tarihinde yayınlanan yönetmeliğin bu günden itibaren başlayarak bir yıl içerisinde 27.06.2015 tarihi itibariyle Kuruma başvurarak gerekli izinleri alma zorunluluğu vardır.
27 Haziran 2015 tarihinin Cumartesi gününe denk gelmesi itibariyle resmi başvuru tarihinin en geç 29 Haziran 2015 mesai saati bitimine kadar olması gerektiği sonuç olarak en iyimser yorumla 30 Haziran 2015 Salı günü itibariyle Türkiye’de elektronik para ve ödeme sistemleri kapsamında faaliyette bulunan işletmeler BDDK’ya başvurmuş ve izin almış olmalıdırlar.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un Elektronik para ihracı başlıklı 20.maddesine göre Elektronik para ihraç eden kuruluş, aldığı fon kadar elektronik para ihraç eder. Elektronik para ihraç eden kuruluş, elektronik para kullanıcısı tarafından yatırılan fonları gecikmeksizin elektronik paraya çevirerek kullanıma hazır hâle getirir.Elektronik para kuruluşu, elektronik para ihracı karşılığında topladığı fonları 5411 sayılı Kanunda tanımlanan bankalar nezdinde açılacak ayrı bir hesaba aktarmak suretiyle kullanım süresi boyunca bu hesapta bulundurmak zorundadır. Bu kapsamda fonların yatırıldığı bankalar, elektronik para kuruluşunca yatırılan tutarı kullanım süresi boyunca T.C. Merkez Bankası nezdindeki hesaplarında bloke ederler.
27.06.2013 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe giren 6493 Sayılı Kanuna dayanılarak çıkarılan 27.06.2014 tarihinde yayınlanan ÖDEME HİZMETLERİ VE ELEKTRONİK PARA İHRACI İLE ÖDEME KURULUŞLARI VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA YÖNETMELİğin Elektronik para koruma hesabı başlıklı 27.maddesi aşağıdaki gibidir;
MADDE 27 – (1) Elektronik para kuruluşu, şubeleri, temsilcileri veya elektronik para kuruluşu adına hareket eden üçüncü taraf bir hizmet sağlayıcısı tarafından elektronik para ihraç edilmesi karşılığında alınan ve alındığı günü izleyen işgünü sonuna kadar fona çevrilmeyen tutarlar 5411 sayılı Kanun kapsamındaki bir banka nezdinde, sadece bu fonların tutulacağı fonların korunması amacıyla açılan hesaba aktarılır. Bu hesap, ilgili banka nezdinde elektronik para koruma hesabı olarak tanımlanır.
(2) Elektronik para ihracı için bir ödeme aracı vasıtasıyla alınan fonlar, birinci fıkra saklı kalmak kaydıyla elektronik para kuruluşunun hesabına geçtiğinde veya başka bir surette elektronik para kuruluşunun kullanımına hazır hale geldiğinde elektronik para koruma hesabına aktarılır. Elektronik para koruma hesabına aktarma süresi, elektronik paranın ihracından itibaren beş iş gününü geçemez.
(3) Elektronik para koruma hesabının gün sonu bakiyesi, elektronik para koruma hesabının bulunduğu banka tarafından Merkez Bankası nezdindeki hesabında bloke edilir. Bu fıkranın uygulanmasında gün sonu bakiyesi tam iş günlerinde saat 16:30; yarım iş günlerinde saat 12:00 itibarıyla hesaplanır. Kurum, Merkez Bankasının uygun görüşünü almak şartıyla gün sonu bakiyesinin hesaplanma saatini değiştirmeye yetkilidir.
(4) Elektronik para kuruluşu, elektronik para ihracı karşılığında aldığı fonları, diğer tüm fonlardan ayrıştırarak takip eder ve farklı bir amaç için kullanamaz.
(5) Elektronik para ile gerçekleştirilen ödeme hizmetleri dışındaki ödeme hizmetleri için alınan fonlar, 26 ncı maddede belirtilen usul ve esaslar çerçevesinde korunur.
(6) Elektronik para kuruluşlarının mutabakat işlemleri ve Kuruma yapılacak raporlamaları hakkında 26 ncı maddenin altıncı, yedinci, sekizinci ve dokuzuncu fıkraları uygulanır.
Koruma hesaplarının bloke edilmesi ve teminat
MADDE 28 – (1) Kanunun 22 nci maddesinin üçüncü fıkrasında belirtilen hallerde ödeme fonlarının korunması amacıyla açılan koruma hesapları ile elektronik para koruma hesabı, fon sahiplerinin haklarının tazmin edilmesi ve kuruluşun Kanundan kaynaklanan yükümlülüklerinin yerine getirilmesini teminen ilgili banka tarafından bloke edilir.
(2) Sadece Kanunun 12 nci maddesinin birinci fıkrasının (e) bendinde belirtilen ödeme hizmetini gerçekleştiren ödeme kuruluşlarının Merkez Bankası nezdinde bir milyon Türk Lirası tutarında nakit veya T.C. Başbakanlık Hazine Müsteşarlığınca ihraç edilen devlet iç borçlanma senedi olarak teminat bulundurmaları zorunludur.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve alt düzenlemelerine ilişkin Bankacılık Düzenleme ve Denetleme Kurumu’na (BDDK) yöneltilen sorulara ilişkin Kurumun resmi internet sitesinde yayınlanan çok faydalı bir çalışmayı aşağıda sizlerle paylaşıyorum.
KAYNAK: https://www.bddk.org.tr/websitesi/turkce/Kurum_Bilgileri/SSS/142546493_sayili_kanun_ve_alt_duzenlemelerine_iliskin_sss.pdf
*** Bu Çalışmada yer alan soru ve cevaplar 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ve alt düzenlemelerine ilişkin Kurumumuza yöneltilen çeşitli sorular ile mevzuatın bazı kısımlarının ilgililer tarafından anlaşılmasını kolaylaştırmak üzere derlenen sorulara ilişkin kısa açıklamaları içermektedir. Kişi veya kuruluşların Kanun ve alt düzenlemeleri karşısındaki durumuna ilişkin yorum yapılmasını gerektirecek hususlarda bu Çalışmada yer alan açıklamalar dayanak gösterilemez. Bu çalışmada yer alan açıklama, bilgi ve verilere dayanarak alınacak kararların sonuçlarından, BDDK sorumlu tutulamaz.
SORU 1: 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (6493 sayılı Kanun/Kanun) ne zaman yürürlüğe girmiştir?
CEVAP: 6493 sayılı Kanun 27.06.2013 tarihinde 28690 sayılı Resmi Gazetede yayımlanarak yürürlüğe girmiştir.
SORU 2: BDDK tarafından 6493 sayılı Kanuna ilişkin hangi alt düzenlemeler yayınlanmıştır?
CEVAP: Kanuna ilişkin BDDK tarafından yayınlanan iki alt düzenleme bulunmaktadır. 27.06.2014 tarihli ve 29043 sayılı Resmi Gazetede yayınlanarak yürürlüğe giren bu düzenlemeler: 1-Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik: Yönetmelikte, Türkiye’de faaliyet gösteren ödeme kuruluşları ve elektronik para kuruluşlarının yetkilendirilmesi ve faaliyetleri ile ödeme hizmetleri ve elektronik para ihracına ilişkin usul ve esasları düzenlenmiştir. 2-Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ: Tebliğde, ödeme kuruluşları ve elektronik para kuruluşlarının Kanun kapsamındaki faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimine ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ilişkin usul ve esaslar düzenlenmiştir.
SORU 3: Kanun hangi kuruluşların faaliyetlerini, denetimini ve gözetimini öngörmektedir?
CEVAP: Kanunda üç farklı kuruluş türü düzenlenmiştir: 1- Sistem işleticisi, 2- Ödeme kuruluşu, 3- Elektronik para kuruluşu.
SORU 4: 6493 sayılı Kanuna göre Sistem İşleticilerine hangi kurum tarafından faaliyet izni verilmektedir?
CEVAP: Kanuna göre Sistem İşleticilerinin faaliyet izinleri ile bunların faaliyetlerinin denetimi ve gözetimi TCMB’nin sorumluluğundadır. Bir işletmenin faaliyetlerinin ödeme sistemi işleticiliği kapsamına girip girmediği ile ilgili olarak TCMB’ye müracaat edilmelidir.
SORU 5: Ödeme kuruluşu ve elektronik para kuruluşlarına faaliyet izni verilmesi, bunların faaliyetlerinin denetimi ve gözetimi hangi Kurumun sorumluluğundadır?
CEVAP: Ödeme kuruluşu ve elektronik para kuruluşlarının yetkilendirilmesi, faaliyetlerinin denetimi ve gözetimi Bankacılık Düzenleme ve Denetleme Kurumunun sorumluluğundadır. Bir şirketin faaliyetinin Kanun kapsamında ödeme hizmeti ve/veya elektronik para ihracı olup olmadığı ile ilgili olarak Bankacılık Düzenleme ve Denetleme Kurumuna müracaat edilmelidir.
SORU 6: Ödeme kuruluşu nedir? Bir ödeme kuruluşu 6493 sayılı Kanun kapsamında hangi hizmetleri sunabilir?
CEVAP: Ödeme kuruluşu, ödeme hizmeti sağlamak ve gerçekleştirmek üzere Kanun kapsamında yetkilendirilen tüzel kişidir. Kanuna göre bu tüzel kişinin anonim şirket şeklinde olması, şirketin ve ortaklarının Kanunun 14 üncü maddesinin ikinci fıkrasında belirtilen şartları taşıması gerekmektedir. Ödeme kuruluşunun sunabileceği ödeme hizmetleri Kanunun 12 nci maddesinin birinci fıkrasında sayılmıştır. Kanunun 14 üncü maddesi kapsamında ödeme kuruluşu faaliyet izni alan bir kuruluş sadece Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerini sunabilecek olup, elektronik para ihracı faaliyetinde bulunamayacaktır.
SORU 7: Elektronik para kuruluşu nedir? Elektronik para kuruluşu 6493 sayılı Kanun kapsamında hangi hizmetleri sunabilir?
CEVAP: Kanunda elektronik para; “elektronik para ihraç eden kuruluş tarafından kabul edilen fon karşılığı ihraç edilen, elektronik olarak saklanan, bu Kanunda tanımlanan ödeme işlemlerini gerçekleştirmek için kullanılan ve elektronik para ihraç eden kuruluş dışındaki gerçek ve tüzel kişiler tarafından da ödeme aracı olarak kabul edilen parasal değer” şeklinde tanımlanmıştır. Elektronik para kuruluşu ise Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişidir. Kanuna göre bu tüzel kişinin anonim şirket şeklinde kurulması, şirketin ve ortaklarının Kanunun 18 inci maddesinin ikinci fıkrasında belirtilen şartları taşıması gerekmektedir. Kanunun 18 inci maddesi kapsamında faaliyet izni verilen bir elektronik para kuruluşu elektronik para ihracının yanı sıra Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerini de yürütebilecektir.
SORU 8: Türkiye’de hangi kuruluşlar elektronik para ihraç edebilir?
Türkiye’de 5411 sayılı Bankacılık Kanunu kapsamındaki bankalar ile 6493 sayılı Kanun çerçevesinde faaliyet izni almış elektronik para kuruluşları elektronik para ihraç edebilir.
SORU 9: Bir elektronik para kuruluşu ödeme hizmetlerini sunmak için ayrıca ödeme kuruluşu faaliyet izni almalı mıdır?
CEVAP: 6493 sayılı Kanuna göre faaliyet izni almış bir elektronik para kuruluşu Kanun uyarınca bir ödeme hizmeti sağlayıcısı olduğundan Kanunda sayılan ödeme hizmetlerini gerçekleştirebilecek olup, bu ödeme hizmetlerini sunmak için ayrıca faaliyet izni alınmasına gerek bulunmamaktadır.
SORU 10: Sadece ulaşımda kullanılan bir ön ödemeli kart çıkarıyoruz. Bu elektronik para ihracı kapsamına girer mi?
CEVAP: Sadece ulaşımda kullanılan bir ön ödemeli kartın “sadece belirli bir hizmet grubunun satın alınmasında” kullanıldığı ve Kanunun 18 inci maddesinin beşinci fıkrası uyarınca Kanun kapsamı dışında olduğu değerlendirilmektedir. Bununla birlikte, her bir iş modelinin Kanunun 18 inci maddesinin beşinci fıkrası karşısındaki durumuna ilişkin değerlendirmenin ilgili iş modelinin kendi işleyişine dair esaslar dikkate alınarak ayrıca yapılması gerekmektedir.
SORU 11: Sadece X markasının mağazalarında kullanılan bir ön ödemeli kart çıkarıyoruz. Bu elektronik para ihracı kapsamına girer mi?
CEVAP: Sadece X markasının mağazalarında kullanılan bir ön ödemeli kartın “sadece belirli bir hizmet ağında” kullanıldığı ve Kanunun 18 inci maddesinin beşinci fıkrası uyarınca Kanun kapsamı dışında olduğu değerlendirilmektedir. Ancak, her bir iş modelinin Kanunun 18 inci maddesinin beşinci fıkrası karşısındaki durumuna ilişkin değerlendirmenin ilgili iş modelinin kendi işleyişine dair esaslar dikkate alınarak ayrıca yapılması gerekmektedir.
SORU 12: Sadece X tatil köyünün içinde yapılan alışverişlerde kullanılan bir ön ödemeli kart çıkarıyoruz. Bu kart ile tatil köyünün restoranında yenen yemek ücretleri ödenebildiği gibi, marketinden şampuan, terlik gibi tatil ihtiyaçları da temin edilebiliyor. Bu ön ödemeli kartın çıkarılması elektronik para ihracı kapsamına girer mi?
CEVAP: Sadece X tatil köyünün içerisindeki mal veya hizmet sağlayıcılarında kullanılan bir ön ödemeli kartın, ön ödemeli kartın kullanım şart ve koşulları içerisinde kartın sadece bu hizmet ağında kullanılabileceğinin açıkça belirtilmesi ve kartın bu hizmet ağı dışında kullanılmasının teknik olarak engellenmiş olması şartıyla, “sadece belirli bir hizmet ağında” kullanıldığı ve Kanunun kapsamı dışında olduğu değerlendirilmektedir. Ancak, her bir iş modelinin Kanunun 18 inci maddesinin beşinci fıkrası karşısındaki durumuna ilişkin değerlendirmenin ilgili iş modelinin kendi işleyişine dair esaslar dikkate alınarak ayrıca yapılması gerekmektedir.
SORU 13: Online hesap bazlı işleyen iş modelimiz ile yaklaşık 5.000 üyemize ödeme hizmeti sunuyoruz. Üyelerimiz kredi kartı veya banka kartı ile online hesaplarına para yükleyerek, aldıkları malın bedelini bu online hesaplardan malı satan üyenin online hesabına gönderiyorlar. Üyelerimiz online hesaplarındaki tutarları dilediklerinde fona çevirebiliyorlar. İşlemler sadece üyelerimiz arasında gerçekleştiğinden, sunmuş olduğumuz ön ödemeli aracın “sadece belirli bir hizmet ağında” kullanıldığı söylenebilir mi?
CEVAP: Bir ön ödemeli aracın “sadece belirli bir hizmet ağında” kullanıldığının ileri sürülebilmesi için, bu hizmet ağının sınırlarının belirli olması şarttır. Bu kapsamda, üye sayınızın sürekli artıyor olma niteliğinden ve kapsamının belli olmamasından dolayı, sunduğunuz ön ödemeli araç “sadece belirli bir hizmet ağında” kullanılan bir araç olarak değerlendirilmemektedir. Bununla birlikte, konuya ilişkin her bir iş modelinin Kanun karşısındaki durumuna ilişkin değerlendirmenin ilgili iş modelinin kendi işleyişine dair esaslar dikkate alınarak ayrıca yapılması gerekmektedir.
SORU 14: “Ödeme kuruluşu” ile “Ödeme hizmeti sağlayıcısı” kavramları arasında fark var mıdır? Yoksa her iki kavramın da kapsamı aynı mıdır?
CEVAP: “Ödeme kuruluşu” ile “Ödeme hizmeti sağlayıcısı” kavramları birbirinden farklı olup birbirinin yerine kullanılması mümkün değildir. Ödeme kuruluşu, ödeme hizmeti sağlamak ve gerçekleştirmek üzere Kanun kapsamında Bankacılık Düzenleme ve Denetleme Kurulu (Kurul) tarafından yetkilendirilen ya da faaliyet izni verilen tüzel kişidir. Kanunun 13 üncü maddesinde 5411 sayılı Bankacılık Kanunu kapsamındaki bankalar, elektronik para kuruluşları ve ödeme kuruluşlarının bu Kanun uyarınca ödeme hizmeti sağlayıcısı olduğu belirtilmiştir. Dolayısıyla “Ödeme hizmeti sağlayıcısı” ifadesi Kanunda bir üst kavram olarak tanımlanmış olup, mevzuatta bu ifadenin geçtiği yerlerde 5411 sayılı Bankacılık Kanunu kapsamındaki bankalar ile bu Kanun kapsamında Kurul tarafından faaliyet izni verilen elektronik para kuruluşları ve ödeme kuruluşlarının hepsinin birlikte kastedildiği anlaşılacaktır.
SORU 15: 6493 sayılı Kanun “Fatura Ödeme Merkezi” olarak adlandırılan işletmelerin faaliyetlerini düzenlemekte midir?
CEVAP: Kanunun 12 nci maddesinin birinci fıkrasının (e) bendinde “Fatura ödemelerine aracılık edilmesine yönelik hizmetler” Kanun kapsamında ödeme hizmeti olarak belirtilmiştir. Ancak, Kanunda “fatura ödeme kuruluşu” veya “fatura ödeme merkezi” vb. bir terminolojiye yer verilmemiştir. Dolayısıyla, fatura ödemelerine aracılık hizmetleri de Kanunun 12 nci maddesi kapsamında bir ödeme hizmeti olup, söz konusu hizmet Kuruldan faaliyet izni alan ödeme kuruluşları ve elektronik para kuruluşları tarafından gerçekleştirilebilecektir. Kanunun 12 nci ve 14 üncü maddesi hükümleri çerçevesinde Kuruldan faaliyet izni alacak ödeme kuruluşları da kendi içersinde ikiye ayrılabilecektir; 1-Fatura ödemelerine aracılık hizmetleri dahil Kanunun 12 nci maddesinde belirtilen diğer ödeme hizmetlerinden en az birini veya birkaçını daha yapmak üzere faaliyet izni alacak ödeme kuruluşları 2-Sadece fatura ödemelerine aracılık etmek üzere faaliyet izni alacak ödeme kuruluşları
SORU 16: Ödeme kuruluşu veya elektronik para kuruluşu kurmak için gerekli olan sermaye miktarı nedir?
CEVAP: Kanunun 14 üncü maddesinin ikinci fıkrası uyarınca; -Sadece fatura ödemelerine aracılık etmek üzere faaliyet izni alacak ödeme kuruluşlarının ödenmiş sermayesinin en az bir milyon Türk Lirası, -Diğer ödeme kuruluşlarının ödenmiş sermayesinin ise en az iki milyon Türk Lirası, -Elektronik para kuruluşlarının ödenmiş sermayesinin ise en az beş milyon Türk Lirası olması zorunludur. Sermayenin her türlü muvazaalı işlemden ari ve nakit olarak ödenmesi gerekmektedir. Faaliyet izni aşamasında sermayenin ortaklar tarafından taahhüt edilmesi veya sermayenin ayni olarak ödenmesi mümkün değildir. Ayrıca, Kanunun 12 nci maddesinin birinci fıkrasının (e) bendi kapsamında sadece fatura ödemelerine aracılık etmek üzere faaliyet izni alan ödeme kuruluşları tarafından, Kuruldan faaliyet izni alındıktan sonra, TCMB’ye bir milyon TL tutarında nakit veya devlet iç borçlanma senedi (hazine bonosu/tahvil) olarak teminat yatırılması gerekmektedir.
SORU 17: Faaliyetlerimizin Kanun kapsamına girip girmediği neden önem taşıyor?
CEVAP: Türkiye’de ticari faaliyet olarak Kanun kapsamındaki bir ödeme hizmeti ancak aşağıdaki kuruluşlar tarafından sunulabilir: – TCMB, – Bankalar, – PTT, – Ödeme kuruluşu, – Elektronik para kuruluşu, Geçiş süreci saklı kalmak üzere, Kanuna göre alınması gereken izinleri almaksızın ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösteren gerçek kişiler ve tüzel kişilerin görevlilerine yönelik Kanunda adli yaptırım öngörülmüştür.
SORU 18: Şirketimiz internet üzerinden satış yapan tüzel kişiliklere online ödeme altyapısı sunmakta olup, ödemeye konu olan tutar önce Şirketimize ait sanal POS aracılığıyla Şirketimizin banka hesaplarına geçmekte ve anlaşmalı vade tarihlerinde Şirketimiz tarafından işyeri hesaplarına ödenmektedir. Sunduğumuz hizmet bir ödeme hizmeti midir? Bu hizmetin yürütülebilmesi için faaliyet izni alınması şart mıdır?
CEVAP: Evet. Söz konusu hizmet, Kanunun 12 nci maddesinin ikinci fıkrasında belirtilen istisnalar kapsamına girmediği sürece, Kanun kapsamında bir ödeme hizmeti olup, bu iş modeli kapsamında bir ödeme hizmetinin sunulabilmesi için Kuruldan izin alınması şarttır.
SORU 19: Ödeme Kuruluşu veya Elektronik Para Kuruluşu faaliyet izni almak için BDDK’na hangi bilgi ve belgelerin gönderilmesi gerekmektedir?
CEVAP: Türkiye’de ödeme hizmetleri alanında faaliyette bulunmak veya elektronik para ihraç etmek üzere Kanunun 14 üncü ve 18 inci maddeleri uyarınca yapılacak faaliyet izni başvurularında Kurumumuza gönderilmesi gerekli olan bilgi ve belgeler Yönetmeliğin sekizinci maddesinin birinci ve ikinci fıkrasında sayılmıştır. Faaliyet izni başvurularında söz konusu bilgi ve belgelerin eksiksiz olarak Kurumumuza intikal ettirilmesi gerekmektedir.
SORU 20: Ödeme ve elektronik para kuruluşlarının ortaklarının minimum sayısına ilişkin herhangi bir düzenleme var mıdır? Kuruluşların asgari kaç ortakla kurulması gerekmektedir?
CEVAP: 6493 sayılı Kanunda kuruluşların asgari ortak sayısına ilişkin herhangi bir hükme yer verilmemiştir. Bu itibarla 6102 sayılı Türk Ticaret Kanunu hükümleri uyarınca bir ortaklı ödeme kuruluşu veya elektronik para kuruluşu kurulması mümkündür.
SORU 21: Faaliyet izni alacak bir kuruluşun ortak veya ortaklarının yabancı gerçek veya tüzel kişi olmasında herhangi bir sakınca var mıdır?
CEVAP: Hayır. Ortak ya da ortakları yabancı gerçek veya tüzel kişi olan şirketler de faaliyet izni almak üzere Kurumumuza başvuruda bulunabilir. Yabancı gerçek veya tüzel kişilere ilişkin belgelerin Yönetmeliğin “Yurtdışından temin edilecek belgeler” başlıklı 61 inci maddesinde belirlenen esaslara uygun olarak Kurumumuza gönderilmesi gerekmektedir.
SORU 22: Avrupa’da kurulu ve PSD (Payment Services Directive) çerçevesinde faaliyet gösteren bir ödeme kuruluşu Türkiye’de de faaliyet gösterebilir mi? CEVAP: Hayır. Türkiye’de ödeme hizmeti verilebilmesi için mutlaka Türkiye’de kurulu bir anonim şirket olunması ve Kuruldan faaliyet izni alınması gerekmektedir.
SORU 23: Avrupa’da kurulu ve kurulu bulunduğu ülkenin denetim otoritesinden faaliyet izni almış bir elektronik para kuruluşunun ihraç ettiği elektronik parayı Türkiye’de anlaşma yaptığı distribütörler satabilir mi?
CEVAP: Hayır. Türkiye’de elektronik para ihraç edecek kuruluşun mutlaka Türkiye’de kurulu bir anonim şirket olması ve Kuruldan faaliyet izni alması gerekmektedir.
SORU 24: Sadece fatura ödemelerine aracılık etmek üzere ödeme kuruluşu faaliyet izni başvurusu yapacağız. Kanuna göre şirketimizin 1 milyon TL ödenmiş sermayesi olması ve Yönetmeliğe göre TCMB nezdinde 1 milyon TL nakit veya devlet iç borçlanma senedi olarak teminat bulundurması gerekiyor. Faaliyet izni başvurusunu yaparken bu teminatı yatırmış olmalı mıyız?
CEVAP: Hayır. Faaliyet izni başvurusu yaparken şirketinizin nakden ve muvazaadan ari ödenmiş sermayesinin 1 milyon TL olduğunun tevsik edilmesi, Kurulca faaliyet izni verilmesi halinde, TCMB’ye teminatın yatırılması gerekmektedir.
SORU 25: Bir ödeme kuruluşu olarak faaliyet göstermek üzere faaliyet izni başvurusunda bulunmak istiyoruz. Kuruluşun ticaret unvanını XXX Ödeme Sistemleri A.Ş. olarak belirleyebilir miyiz?
CEVAP: Hayır. Ödeme sistemi; 6493 sayılı Kanun çerçevesinde üç veya daha fazla katılımcının arasındaki transfer emirlerinden kaynaklanan fon aktarımlarının gerçekleştirilmesini sağlamak amacıyla yapılan takas ve mutabakat işlemleri için gerekli altyapıyı sunan ve ortak kuralları olan, ödeme kuruluşundan tamamen farklı bir yapıyı ifade etmekte olup, ödeme sistemlerinin Türkiye Cumhuriyet Merkez Bankasından izin almak kaydıyla faaliyette bulunması mümkün bulunmaktadır. Kanunun 28 inci maddesinin ikinci fıkrasında Kanuna göre alınması gereken izinler alınmaksızın ticaret unvanlarında, her türlü belgelerde, ilan ve reklamlarda veya kamuoyuna yaptıkları açıklamalarda sistem işleticisi gibi faaliyet gösterdiği izlenimini yaratacak söz ve deyimleri kullanan kişiler hakkında asli ceza öngörülmüştür. Bu itibarla, kurulacak olan şirketin “XXX Ödeme A.Ş.”, “XXX Ödeme Hizmetleri A.Ş.” veya “XXX Elektronik Para A.Ş.” gibi yürüteceği faaliyetlere uygun bir ticaret unvanına sahip olması gerekmektedir.
SORU 26: Faaliyet izni almış bir ödeme kuruluşuna %8 pay oranı ile ortak olacağım. Bu hisse devri için izin tesisi gerekir mi?
CEVAP: Daha önceden ödeme kuruluşunda doğrudan veya dolaylı olarak pay sahibi olmayan bir kişinin kuruluş sermayesinin %10’undan azını edinmesi halinde izin tesisi gerekmemektedir. Ancak bu kişinin satın aldığı pay %10’a eşit ve/veya %10’un üzerinde ise söz konusu işlem izne tabi olur. Bununla birlikte, Kanunun 25 inci maddesinde hükme bağlandığı üzere yönetim kuruluna veya denetim komitesine üye belirleme imtiyazı veren payların devri, tesisi veya yeni imtiyazlı pay ihracı anılan hükmün birinci fıkrasında yer alan oransal sınırlara bakılmaksızın Kurulun iznine tabidir. İzne tabi hisse devirlerinde Yönetmelikte belirtilen bilgi ve belgelerle birlikte Kurumumuza başvuru yapılması zorunlu olup, izne tabi pay devirlerinde pay devralacakların 5411 sayılı Bankacılık Kanununda banka kurucuları için aranan şartlara haiz olması şarttır. İzne tabi olup da Kuruldan izin alınmayan pay devirleri pay defterine kaydolunamaz.
SORU 27: Ödeme ve elektronik para kuruluşlarının faaliyetlerinin kapsamına ilişkin bir kısıtlama var mıdır?
CEVAP: Evet. Yönetmeliğin 10 uncu maddesi uyarınca; -Ödeme kuruluşu, Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerinin sunulması, sadece ödeme hizmetinin sunulmasıyla ilgili olmak kaydıyla döviz alım satım işlemleri ve Kanunun 2 nci bölümünde yer alan hükümlere uyulması koşuluyla ödeme sistemlerinin işletilmesi dışında herhangi bir ticari faaliyette bulunamaz. -Elektronik para kuruluşu, elektronik para ihraç edilmesi ve Kanunun 12 nci maddesinin birinci fıkrasında sayılan ödeme hizmetlerinin sunulması, sadece ödeme hizmetinin sunulmasıyla ilgili olmak kaydıyla döviz alım satım işlemleri ve Kanunun 2 nci bölümünde yer alan hükümlere uyulması koşuluyla ödeme sistemlerinin işletilmesi dışında herhangi bir ticari faaliyette bulunamaz. Bu itibarla, ödeme ve elektronik para kuruluşlarının ana sözleşmesinde başka bir mal ve hizmet ticareti faaliyetinde bulunulabileceğine ilişkin hükümlere yer verilmemesi gerekmektedir. Öte yandan, Kanunun ilgili hükümleri ile Yönetmeliğin 10 uncu ve 11 inci hükümleri çerçevesinde ödeme ve elektronik para kuruluşlarının mevduat veya katılım fonu kabul etmeleri, kredi vermeleri ve ödenmesine aracılık edilen tutarı taksitlendirmeleri mümkün bulunmamakta olup, bu kuruluşların her türlü belge, ilân ve reklamlarında veya kamuoyuna yaptığı açıklamalarda banka adını ya da banka gibi faaliyet gösterdiği ya da banka adına işlem yaptığı izlenimini uyandıracak ifadeleri kullanmaları da yasaklanmıştır.
SORU 28: Yönetmelikte ödeme kuruluşu veya elektronik para kuruluşu için iç kontrol ve risk yönetim birimlerinin oluşturulması zorunlu tutulmuştur. Bu birimler için personel istihdam edilmesi zorunlu mudur? Aynı personel her iki birimin faaliyetlerini de yürütebilir mi?
CEVAP: Yönetmelikte İç kontrol faaliyetlerinin, yönetim kuruluna veya yönetim kurulunun belirleyeceği genel müdür dışındaki bir yönetim kurulu üyesine bağlı olarak kuruluşun faaliyet yapısı ve kapsamıyla uyumlu sayıda ve icraî görevi olmayan iç kontrol personeli vasıtasıyla gerçekleştirileceği; risk yönetimi faaliyetlerinin ise yönetim kuruluna veya yönetim kurulunun belirleyeceği genel müdür dışındaki bir yönetim kurulu üyesine bağlı olarak icraî görevi bulunmayan risk yönetimi personeli tarafından yürütüleceği hüküm altına alınmıştır. Bu itibarla, iç kontrol ve risk yönetimi birimlerinde asgari birer kişinin istihdam edilmesi gerekmektedir. İç kontrol ve risk yönetimi faaliyetlerinin aynı kişi tarafından yürütülmesi mümkün bulunmamaktadır.
SORU 29: İç kontrol personeli ve risk yönetimi personelinin faaliyet izni alınması sonrasında göreve başlatılabilmesi mümkün müdür?
CEVAP: Kurumumuza yapılacak faaliyet izni başvurularında başvuru tarihi itibariyle iç kontrol ve risk yönetimi birimlerinin oluşturulmuş, bu birimlerde çalışacak personel ile personelin görev tanımlarının, yetki ve sorumluluklarının belirlenmiş olması gerekmektedir.
SORU 30: Herhangi bir ilde veya bölgede faaliyetlerin yürütülebilmesini teminen Kuruluşun bir gerçek veya tüzel kişiye “ana temsilcilik” yetkisi vermesi ve ana temsilcinin de ilgili il veya bölgede gerçek veya tüzel kişilerle ”alt temsilcilik” sözleşmesi imzalaması mümkün müdür?
CEVAP: Yönetmeliğin 13 üncü maddesinin birinci fıkrasında yer alan “Kuruluş ödeme hizmetlerini temsilci aracılığıyla yürütebilir. Kuruluş ile temsilci arasındaki sözleşme yazılı olarak düzenlenir.” hükmü uyarınca temsilcilik sözleşmesinin doğrudan kuruluş ile temsilci arasında imzalanması gerekmektedir. Bu itibarla Kuruluşun ana temsilci tayin etmesi ve ana temsilcinin kuruluş adına ve hesabına alt temsilcilik sözleşmesi imzalaması mümkün değildir.
SORU 31: Ödeme kuruluşu veya elektronik para kuruluşunun temsilcisi olabilmek için gerekli şartlar nelerdir?
CEVAP: Temsilci olacak gerçek ve tüzel kişilerin taşıması gereken şart Yönetmeliğin 13 üncü maddesinin yedinci fıkrasında belirlenmiştir. Gerçek kişi temsilciler ile tüzel kişi temsilcinin üst yönetiminin 5411 sayılı Kanunun 8 inci maddesinin birinci fıkrasının (d) bendinde belirtilen şartı taşımaları zorunludur. Bir başka deyişle, gerçek kişi temsilciler ile tüzel kişi temsilcinin üst yönetiminin 5411 sayılı Kanunun 8 inci maddesinin birinci fıkrasının (d) bendinde belirtilen suçlardan dolayı hüküm giymemiş olması gerekmektedir. Bu şartı tevsik etmek üzere verilecek belgeler kuruluş bünyesinde denetime hazır bulundurulacaktır. Bununla birlikte Kurul, Yönetmeliğin 13 üncü maddesinin dokuzuncu fıkrası hükmü uyarınca faaliyet alanı bazında temsilci olamayacak gerçek ve tüzel kişileri belirlemeye yetkilidir.
SORU 32: Kurumunuzdan faaliyet izni almış bir ödeme kuruluşunun temsilcisi olacağım. Ancak ödeme hizmetlerini sunmanın yanı sıra iş yerimde başka mal ve hizmetlerin satışını da gerçekleştiriyorum. Temsilci olmam halinde bu faaliyetlere devam edebilir miyim?
CEVAP: Evet. Yönetmeliğin 10 uncu maddesinin birinci fıkrası uyarınca ödeme kuruluşları ödeme hizmetlerinin sunulması dışında başka bir ticari faaliyetle iştigal edemezler. Ancak kuruluşların temsilcilerinin bu faaliyetlerin yanı sıra diğer ticari faaliyetlerini de yürütmeleri mümkün bulunmaktadır.
SORU 33: BDDK tarafından içeriği ve kapsamı belirlenmiş bir “temsilcilik sözleşmesi” örneği var mıdır?
CEVAP: Hayır. Kurumumuz Yönetmeliğin 13 üncü maddesinde faaliyetlerin temsilciler aracılığıyla nasıl yürütüleceğine ilişkin usul ve esasları belirlemiş olup, temsilcilik sözleşmesinin içeriğine ilişkin herhangi bir düzenleme yapmamıştır. Yönetmelikte belirtilen hükümlere aykırılık teşkil edecek ifadelere yer verilmemek kaydıyla temsilcilik sözleşmesinin içeriği ve kapsamı taraflar arasında serbestçe belirlenebilecektir.
SORU 34: XXX Ödeme Hizmetleri A.Ş. olarak eğitim hizmetleri, avukatlık hizmetleri ve hukuk danışmanlığı konularında dış hizmet almayı planlıyoruz. Bu konularda dış hizmet alımlarında Yönetmeliğin 14 üncü maddesine uyulması zorunlu mudur?
CEVAP: Hayır. Söz konusu hizmetler Yönetmeliğin 14 üncü maddesinin kapsamındaki dış hizmetlerden değildir. Hangi faaliyetlere ilişkin dış hizmet alımlarında Yönetmeliğin 14 üncü maddesinin uygulanmayacağı aynı maddenin on birinci fıkrasında hüküm altına alınmıştır.
SORU 35: Kuruluşun kullanacağı bilgi sistemleri dış hizmet alımına konu edilebilir mi?
CEVAP: Bilgi Sistemleri Tebliğinin 11 ve 16 ncı maddesi hükümleri ile Yönetmeliğin 13 üncü maddesi hükümlerine uyulması kaydıyla ödeme veya elektronik para kuruluşunun bilgi sistemlerine ilişkin dış hizmet alımı yapılabilir.
SORU 36: Kanunun Geçici 2 nci maddesindeki geçiş süreci hangi kuruluşları kapsamaktadır? 27 Haziran 2015 tarihinden sonra faaliyet izni almak için BDDK’na başvuru yapılabilecek midir?
CEVAP: Kanunun Geçici 2 nci maddesinin ikinci ve üçüncü fıkraları uyarınca Kanunun yürürlüğe girdiği tarih itibarıyla ödeme hizmetleri sunmakta veya elektronik para ihraç etmekte olup bu Kanun kapsamında ihdas edilen ödeme kuruluşu veya elektronik para kuruluşu kategorisine dâhil edilebilecek olan kuruluşların, Kanun kapsamında Kurumumuzca çıkarılacak ilgili yönetmeliklerin yayımı tarihinden başlayarak bir yıl içinde Kurumumuza başvurarak gerekli izinleri almaları zorunludur. Kurumumuzca Kanuna istinaden çıkarılan Yönetmelik ve Bilgi Sistemleri Tebliği 27.06.2014 tarih ve 29043 sayılı Resmi Gazete’de yayınlanarak yürürlüğe girmiş olup, Kanunun yürürlüğe girdiği tarih itibarıyla ödeme hizmetleri sunan ve ödeme kuruluşu kategorisine dahil edilebilecek kuruluşlar ile Kanunun yürürlüğe girdiği tarih itibariyle elektronik para ihraç etmekte olup elektronik para kuruluşu kategorisine dahil edilebilecek kuruluşların 27.06.2015 tarihine kadar Kurumumuza faaliyet izni başvurusunda bulunarak faaliyet izni almaları gerekmektedir. Geçici 2 nci madde kapsamında olup da 27.06.2015 tarihine kadar faaliyet izni başvurusunda bulunmayan ya da faaliyet izni başvurusu olumsuz sonuçlanan kuruluşlar Kanun kapsamında faaliyette bulunamazlar. Dolayısıyla Kanunun Geçici 2 nci maddesinde belirtilen ve 27.06.2015 tarihinde sona eren bir yıllık geçiş süreci Kanunun yürürlüğe girdiği tarih itibariyle ödeme hizmetleri veya elektronik para ihracı alanında faaliyette bulunan şirketleri kapsamaktadır. Kanun, Yönetmelik ve Bilgi Sistemleri Tebliği yürürlüğe girdikten sonra ödeme hizmetleri sunmak veya elektronik para ihraç etmek üzere kurulan şirketler, Kuruldan faaliyet izni almadan faaliyetlerine başlayamazlar. Bu şirketler 27.06.2015 tarihinden önce veya sonra herhangi bir tarihte faaliyet izni başvurusunda bulunabilecektir.
SORU 37: Firmamız 2010 yılından bu yana ödeme hizmeti sunmaktadır. 27.06.2015 tarihine kadar faaliyet izni almak üzere Kurumunuza başvuruda bulunmamız yeterli midir?
Ödeme hizmetleri alanında faaliyette bulunmak üzere Kurumumuza yapılacak faaliyet izni başvurularında tevdi edilmesi gerekli olan tüm bilgi ve belgelerin 27.06.2015 tarihine kadar Kurumumuza ulaştırılarak başvurunun yapılması yeterlidir. Bu tarihe kadar gerekli bilgi ve belgeler ile başvuruda bulunmayan firmaların 27.06.2015 tarihinde ödeme hizmetleri ile ilgili faaliyetlerini durdurmaları gerekmektedir. Başvuru yapan şirketlere ilişkin yapılacak değerlendirme sonucunda Kanun, Yönetmelik ve Tebliğ’de belirtilen koşulları sağlayan şirketlere faaliyet izni verilecektir. Başvuru yapan, ancak Kanun, Yönetmelik ve Tebliğ’de belirtilen koşulları sağlayamayan şirketlere faaliyet izni verilmeyecek olup, bu şirketlerin de ilgili kararın kendilerine tebliğinden itibaren faaliyetlerini sona erdirmeleri gerekecektir.
SORU 38: Kanunun yürürlüğe girdiği tarihte ödeme hizmetleri sunan bir kuruluşuz. Ödeme kuruluşu olarak faaliyet göstermek üzere 27.06.2015 tarihinden önce faaliyet izni başvurusunda bulunmuş olsak da bahse konu tarih itibariyle henüz faaliyet iznine ilişkin değerlendirme tamamlanmamış ise 27.06.2015 tarihinde faaliyetlerimizi durdurmak durumunda kalacak mıyız?
CEVAP: Hayır. 6493 sayılı Kanunun yürürlüğe girdiği tarih itibariyle faaliyette bulunan ödeme kuruluşları ile elektronik para kuruluşlarının gerekli tüm dokümantasyonu tamamlamış olmak kaydıyla 27.06.2015 tarihine kadar izin almak üzere Kurumumuza başvuruda bulunmaları halinde başvurularına ilişkin değerlendirme sonuçlanıncaya kadar faaliyetlerine devam edebileceklerdir. Ancak Kurul tarafından faaliyet izni verilmemesi halinde ilgili kuruluşun faaliyetlerini söz konusu kararın taraflarına tebliğini müteakip derhal durdurması gerekmektedir.
SORU 39: Faaliyet izni verilecek ödeme kuruluşu veya elektronik para kuruluşu sayısına ilişkin bir üst sınır belirlenmiş midir?
CEVAP: Kanunda veya Kurumumuzca Kanuna istinaden yayınlanan alt düzenlemelerde faaliyet izni verilecek ödeme kuruluşları ile elektronik para kuruluşlarının sayısına veya bu sayının üst sınırına ilişkin herhangi bir hüküm bulunmamaktadır. Kanun ve alt düzenlemelerde belirtilen koşulları ve yeterlilikleri yerine getirmek suretiyle her bir kuruluş ödeme veya elektronik para kuruluşu faaliyet izni almak üzere Kurumumuza başvuruda bulunabilecektir.
SORU 40: Yönetmeliğin 5 inci maddesinin altıncı fıkrasında “Kanunun 12 nci maddesinin birinci fıkrasının (e) bendinde sayılan fatura ödemelerine aracılık edilmesine yönelik hizmetlerin yürütülmesinde, kuruluşun fatura üreten kurumlar ile adlarına tahsilat yapılabilmesi konusunda sözleşme yapması şarttır.” hükmüne yer verilmiş olup, söz konusu sözleşmenin fatura tahsilatına aracılık edecek ödeme kuruluşu adına bir banka tarafından imzalanması ya da ödeme kuruluşunun sözleşme yapmadan birlikte çalıştığı bankanın sözleşme imzaladığı fatura üreten kurumların faturalarını tahsil etmesi mümkün müdür?
CEVAP: Yönetmeliğin mezkur hükmünde belirtilen sözleşmenin fatura tahsilatına aracılık edecek ödeme kuruluşu ile fatura üreten kurum arasında imzalanması gerekmektedir. Bir ödeme kuruluşu tarafından fatura üreten kurumla sözleşme imzalamaksızın birlikte çalıştığı bankanın imzaladığı sözleşmeye istinaden ilgili fatura üreten kurumun faturalarının tahsiline aracılık edilmesi mümkün değildir.
SORU 41: Kanun uyarınca faaliyet izni alan ödeme kuruluşları ile elektronik para kuruluşlarının listesine nasıl ulaşabiliriz?
CEVAP: Kanunun 15 inci maddesinin birinci fıkrası uyarınca faaliyet izni verilmesine ilişkin Kurul kararı Resmi Gazete’de yayımlandıktan sonra, faaliyet izni alan ödeme kuruluşları ile elektronik para kuruluşlarının unvan ve iletişim bilgileri Kurumumuzun internet sayfasında yer alan “Kuruluşlar” sekmesi altındaki “Ödeme Kuruluşları” ve “Elektronik Para Kuruluşları” sekmeleri altında yer alan listeye eklenecektir.
SORU 42: Bitcoin 6493 sayılı Kanun kapsamında olan elektronik para mıdır?
CEVAP: Herhangi bir resmi ya da özel kuruluş tarafından ihraç edilmeyen ve karşılığı için güvence verilmeyen bir sanal para birimi olarak bilinen Bitcoin, mevcut yapısı ve işleyişi itibarıyla Kanun kapsamında elektronik para olarak değerlendirilmemekte, bu nedenle de Kanun çerçevesinde gözetim ve denetimi mümkün görülmemektedir.
SORU 43:Kanun kapsamında olan ödeme hizmetlerinin ya da Kanun kapsamında olan elektronik para ihracının izinsiz olarak sunulmasının yaptırımı nedir?
CEVAP: Kanuna göre gereken izinleri almaksızın ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösteren kişilere yönelik olarak Kanunda adli para ve hapis cezası uygulanması öngörülmüş olup, bu suçun bir işyeri bünyesinde işlenmesi durumunda bu işyerinin iki aydan altı aya kadar, tekerrür halinde sürekli olarak kapatılmasına karar verilebileceği hususu da Kanunda hükme bağlanmıştır. Ayrıca Kanuna göre gereken izinleri almaksızın ticaret unvanlarında, her türlü belgelerde, ilan ve reklamlarda veya kamuoyuna yaptıkları açıklamalarda ödeme kuruluşu veya elektronik para kuruluşu gibi faaliyet gösterdiği izlenimini yaratacak söz ve deyimleri kullanan kişilere yönelik olarak da Kanunda adli para ve hapis cezası uygulanması öngörülmüş olup, bu suçun bir işyeri bünyesinde işlenmesi durumunda bu işyerinin iki aydan altı aya kadar, tekerrür halinde sürekli olarak kapatılmasına karar verilebileceği hususu da Kanunda hükme bağlanmıştır.
Ödeme ve Elektronik para kuruluşları uyum görevlisi
SUÇ GELİRLERİNİN AKLANMASININ VE TERÖRÜN FİNANSMANININ ÖNLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLERE UYUM PROGRAMI HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK
18 Mart 2016 CUMA tarihli 29657 sayılı Resmi Gazete’de Maliye Bakanlığı’nca yayınlanan SUÇ GELİRLERİNİN AKLANMASININ VE TERÖRÜN FİNANSMANININ ÖNLENMESİNE İLİŞKİN YÜKÜMLÜLÜKLERE UYUM PROGRAMI HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK’in 1.maddesi ile 16/9/2008 tarihli ve 26999 sayılı Resmî Gazete’de yayımlanan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmeliğin 16 ncı maddesinin birinci fıkrasının birinci cümlesine “Yükümlüler,” ibaresinden sonra gelmek üzere “faaliyet izninin alınmasını müteakip otuz gün içerisinde” ibaresi eklenmiştir.
Aynı Yönetmeliğin 29 uncu maddesinin birinci fıkrası aşağıdaki şekilde değiştirilmiştir.
“(1) Tedbirler Yönetmeliğinin 4 üncü maddesinin birinci fıkrasında sayılan yükümlülerden; Türkiye Cumhuriyet Merkez Bankası ile kalkınma ve yatırım bankaları, bankalar dışında banka kartı veya kredi kartı düzenleme yetkisini haiz kuruluşlar, kambiyo mevzuatında belirtilen yetkili müesseseler, finansman ve faktoring şirketleri, reasürans şirketleri, finansal kiralama şirketleri, ödeme kuruluşları, elektronik para kuruluşları, portföy yönetim şirketleri, kargo şirketleri ve sermaye piyasası mevzuatı çerçevesinde takas ve saklama hizmeti veren kuruluşlar faaliyet izninin alınmasını müteakip otuz gün içerisinde bu Yönetmelikte bahsedilen uyum programını oluşturmaksızın idari düzeyde uyum görevlisi atamak zorundadır. Bu madde uyarınca atanacak uyum görevlisinin uhdesinde başka görevler de bulunabilir.”
Aynı Yönetmeliğin geçici 1 inci maddesine aşağıdaki fıkra eklenmiştir.
“(3) Halihazırda faaliyet izni almış bulunan ödeme kuruluşları ve elektronik para kuruluşları ile portföy yönetim şirketleri ve kargo şirketleri bu Yönetmeliğin 30 uncu maddesinde yazılı şartları haiz uyum görevlisini 1/3/2016 tarihine kadar atarlar.”
MADDE 4 – Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
MADDE 5 – Bu Yönetmelik hükümlerini Maliye Bakanı yürütür.
ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ
Suç Gelirlerinin Aklanmasının Önlenmesi hakkında Kanun Kapsamında yapması gereken işlemler
Ekli “Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik”in yürürlüğe konulması; Maliye Bakanlığının 26/1/2016 tarihli ve 18138 sayılı yazısı üzerine, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun 27 nci maddesine göre, Bakanlar Kurulu’nca 29/2/2016 tarihinde kararlaştırılmıştır.
SUÇ GELİRLERİNİN AKLANMASININ VE TERÖRÜN FİNANSMANININ ÖNLENMESİNE DAİR TEDBİRLER HAKKINDA YÖNETMELİKTE DEĞİŞİKLİK YAPILMASINA DAİR YÖNETMELİK
MADDE 1- 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararıyla yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmeliğin 3 üncü maddesinin birinci fıkrasının (f) bendinde yer alan “Genel Müdürlüğünü” ibaresi “Anonim Şirketini” şeklinde değiştirilmiştir.
MADDE 2- Aynı Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (ç), (d), (e), (i), (i) ve (m) bentleri aşağıdaki şekilde değiştirilmiştir.
“ç) Finansman ve faktoring şirketleri.
d) Sermaye piyasası aracı kurumlan ve portföy yönetim şirketleri.
e) Ödeme kuruluşları ile elektronik para kuruluşları.”
“ı) Kıymetli Madenler ve Kıymetli Taşlar Piyasasına ilişkin saklama hizmeti ile sınırlı olmak üzere Borsa İstanbul Anonim Şirketi.
i) Posta ve Telgraf Teşkilatı Anonim Şirketi ile kargo şirketleri.” “m) Kıymetli madenler aracı kuruluşları.”
MADDE 3- Aynı Yönetmeliğin 47 nci maddesi başlığı ile birlikte aşağıdaki şekilde değiştirilmiştir.”Merkezi Kayıt Kuruluşu Anonim Şirketi ve Borsa İstanbul Anonim Şirketi
MADDE 47- (1) Merkezi Kayıt Kuruluşu Anonim Şirketinin bu Yönetmeliğin Üçüncü ve Dördüncü Bölümündeki hükümler bakımından yükümlülüğü 7/8/2014 tarihli ve 29081 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Merkezi Kayıt Kuruluşunun Kuruluş, Faaliyet, Çalışma ve Denetim Esasları Hakkında Yönetmelikte belirtilen Merkezi Kayıt Kuruluşu Anonim Şirketinin üyeleriyle sınırlıdır.
(2) Borsa İstanbul Anonim Şirketinin Kıymetli Madenler ve Kıymetli Taşlar Piyasasındaki saklama hizmetine ilişkin olarak bu Yönetmeliğin Üçüncü ve Dördüncü Bölümündeki hükümler bakımından yükümlülüğü, 21/5/2007 tarihli ve 26528 sayılı Resmi Gazetede yayımlanarak yürürlüğe giren Kıymetli Madenler Borsası Aracı Kuruluşlarının Faaliyet Esasları ile Kıymetli Madenler Aracı Kurumlarının Kuruluşu Hakkında Yönetmelikte tanımlanan kıymetli madenler aracı kuruluşları ile sınırlıdır.”
MADDE 4- Bu Yönetmelik yayımı tarihinde yürürlüğe girer.
MADDE 5- Bu Yönetmelik hükümlerini Maliye Bakanı yürütür.
SUÇ GELİRLERİNİN AKLANMASININ VE TERÖRÜN FİNANSMANININ ÖNLENMESİNE DAİR TEDBİRLER HAKKINDA YÖNETMELİK
Bakanlar Kurulu Kararının Tarihi : 10/12/2007 No : 2007/13012
Dayandığı Kanunun Tarihi : 11/10/2006 No : 5549
Yayımlandığı R.Gazetenin Tarihi : 9/1/2008 No : 26751
Yayımlandığı Düsturun Tertibi : 5 Cilt : 47
Amaç ve kapsam
MADDE 1- (1) Bu Yönetmeliğin amacı, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanunun uygulanmasına yönelik olarak; suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesi amacıyla yükümlüler, yükümlülükler, yükümlülüklere uyumun denetimi, gümrük idaresine açıklama yapılması ve diğer
tedbirlere ilişkin usul ve esasları düzenlemektir
Yükümlü MADDE 4- (1) Kanunun uygulanmasında yükümlü, aşağıda sayılanlar ile bunların şube, acente, temsilci ve ticari vekilleri ile benzeri bağlı birimleridir:
ELEKTRONİK PARA KURULUŞLARI KİMLİK TESPİT ETME YÜKÜMLÜLÜKLERİ
18 Mart 2016 Tarihli ve 29657 Sayılı Resmî Gazete’de aşağıdaki mevzuat kapsamında Elektronik Para ve Ödeme kuruluşlarıyla ilgili önemli ve yeni düzenlemeler yapılmıştır.
-
Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik
-
Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik
-
Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 5)’nde Değişiklik Yapılmasına İlişkin Tebliğ (Sıra No: 14)
18 Mart 2016 CUMA tarihli 29657 sayılı Resmi Gazete’de Maliye Bakanlığı’ndan yayınlanan MALİ SUÇLARI ARAŞTIRMA KURULU GENEL TEBLİĞİ (SIRA NO: 5)’NDE DEĞİŞİKLİK YAPILMASINA İLİŞKİN TEBLİĞ (SIRA NO: 14) aşağıdaki gibidir.
MADDE 1 – 9/4/2008 tarihli ve 26842 sayılı Resmî Gazete’de yayımlanan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No:5)’nin 2.2.1 inci maddesine son paragraftan sonra gelmek üzere aşağıdaki paragraf eklenmiştir.
“21/5/2007 tarihli ve 26528 sayılı Resmî Gazete’de yayımlanan Kıymetli Madenler Borsası Aracı Kuruluşlarının Faaliyet Esasları ile Kıymetli Madenler Aracı Kurumlarının Kuruluşu Hakkında Yönetmelikte tanımlanan kıymetli madenler aracı kuruluşlarının Borsa İstanbul A.Ş. bünyesinde ve kendi aralarında gerçekleştirdikleri işlemler bakımından da bu bölümün birinci ve ikinci fıkraları uygulanır.”
MADDE 2 – Aynı Tebliğin 2.2.7 nci maddesinin birinci paragrafındaki “ikibin” ibaresi “üçbin”, “beşbin” ibaresi “yedibinbeşyüz” olarak, üçüncü paragrafı ise aşağıdaki şekilde değiştirilmiştir.
“Emeklilik sözleşmesi ile bu madde kapsamındaki hayat sigortası sözleşmesinin mesafeli satış kapsamında düzenlenmesi halinde, imza örneği aranmamakla birlikte bu sözleşmelerin onaylanmasında hizmet riski ile Yönetmeliğin 20 nci maddesinde yer alan tedbirler göz önünde bulundurulur.”
MADDE 3 – Aynı Tebliğin 2.2.9 uncu maddesinin birinci paragrafına “yükümlüler;” ibaresinden sonra gelmek üzere ve bu ibarenin bir alt satırına “- Aynı yıl içinde nakit çekim tutarı üçyüz TL’yi,” ibaresi eklenmiş, maddenin birinci paragrafında yer alan “300” ibaresi “yediyüzelli”, “Yeniden yükleme yapılabilen ve toplam yükleme limiti bir takvim yılı içinde 5.000 TL’yi (Aynı takvim yılı içinde 2.000 TL üzerinde nakit çekilmesine veya başka bir hesaba transfer edilmesine imkan verilenler hariç)” ibaresi “Yeniden yükleme yapılabilen ve toplam yükleme limiti bir ay içinde yediyüzelli TL’yi ve her halükarda bakiyesi yediyüzelli TL’yi,” olarak değiştirilmiştir.
MADDE 4 – Aynı Tebliğin 2.2.10 uncu maddesinin birinci paragrafında yer alan “yeri ve” ibaresi ile “kimlik paylaşım sistemi” ibareleri yürürlükten kaldırılmıştır.
MADDE 5 – Aynı Tebliğe 2.2.10 uncu maddesinden sonra gelmek üzere aşağıdaki madde eklenmiştir.
“2.2.11. Elektronik Para Kuruluşlarına İlişkin İşlemler
Elektronik paranın teminine yönelik işlemlerde yükümlüler;
– Aynı yıl içinde nakit çekim tutarı üçyüz TL’yi,
– Yeniden yükleme imkanı bulunmaması halinde, elektronik olarak saklanan fon tutarı yediyüzelli TL’yi,
– Yeniden yükleme yapılabilen ve toplam yükleme tutarı bir ay içinde yediyüzelli TL’yi ve her halükarda bakiyesi yediyüzelli TL’yi,
aşmayan ve sadece mal ve hizmet alımında kullanım amaçlı elektronik para ihracında kimlik tespiti yapmayabilirler.
Belirtilen tutarların üzerinde elektronik para ihracını müşteri ile yüz yüze olmaksızın münhasıran elektronik ortamda elektronik bir hesap üyeliği vasıtasıyla gerçekleştiren yükümlülerce;
– Gerçek kişi müşterinin elektronik ortamda alınan başvurusunda, kimliğe ilişkin bilgilerin (Adı, soyadı, doğum yeri ve tarihi, uyruğu, Türk vatandaşları için T.C. kimlik numarası, yabancı uyruklular için yabancı kimlik numarası) İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü kimlik paylaşım sistemi veri tabanı kullanılarak sorgulanması yoluyla teyit edilmesi,
– Ticaret siciline kayıtlı tüzel kişi müşterinin elektronik ortamda alınan başvurusunda, tüzel kişiyi temsile yetkili kişinin kimliğe ilişkin bilgilerinin gerçek kişilerdeki usule göre teyit edilmesi, tüzel kişiye ilişkin bilgilerin ise (tüzel kişinin unvanı, ticaret sicil numarası, vergi kimlik numarası, faaliyet konusu, açık adresi) Türkiye Odalar ve Borsalar Birliği, Gelir İdaresi Başkanlığı veya bu bilgilere ilişkin merkezi kayıt tutan diğer kurumların veri tabanları üzerinden tescil belgeleri ve kayıtların sorgulanması suretiyle teyit edilmesi,
– Tüm tahsilat ve ödemelerin, kimlik bilgileri teyit edilerek üyeliği kabul edilmiş kişinin kimlik bilgileri ile uyumlu bir banka hesabı veya kredi kartı hesabı vasıtasıyla yapılması,
koşuluyla müşterinin kimlik bilgilerinin Yönetmeliğin 6 ve 7 nci maddesindeki usul çerçevesinde teyidi ile imza örneği alınması zorunlu değildir.
Bu maddedeki işlemlerle ilgili olarak Yönetmeliğin 17 nci maddesindeki yükümlülükler ile 17/A maddesindeki teyide ilişkin yükümlülükler uygulanmayabilir. Ayrıca Yönetmeliğin 19 uncu maddesi uyarınca müşterinin durumunun sürekli iş ilişkisi kapsamında izlenmesi ve müşteri hakkındaki bilgi, belge ve kayıtların güncellenmesi sıklığı azaltılabilir.”
MADDE 6 – Bu Tebliğ yayımı tarihinde yürürlüğe girer.
MADDE 7 – Bu Tebliğ hükümlerini Maliye Bakanı yürütür.
Bu değişiklik kapsamında Elektronik Para Kuruluşlarına İlişkin İşlemlerde Elektronik paranın teminine yönelik işlemlerde yükümlüler;
- Aynı yıl içinde nakit çekim tutarı üçyüz TL’yi,
- Yeniden yükleme imkanı bulunmaması halinde, elektronik olarak saklanan fon tutarı yediyüzelli TL’yi,
- Yeniden yükleme yapılabilen ve toplam yükleme tutarı bir ay içinde yediyüzelli TL’yi ve her halükarda bakiyesi yediyüzelli TL’yi,aşmayan ve sadece mal ve hizmet alımında kullanım amaçlı elektronik para ihracında kimlik tespiti yapmayabilirler.
Belirtilen tutarların üzerinde elektronik para ihracını müşteri ile yüz yüze olmaksızın münhasıran elektronik ortamda elektronik bir hesap üyeliği vasıtasıyla gerçekleştiren yükümlülerce;
- Gerçek kişi müşterinin elektronik ortamda alınan başvurusunda, kimliğe ilişkin bilgilerin (Adı, soyadı, doğum yeri ve tarihi, uyruğu, Türk vatandaşları için T.C. kimlik numarası, yabancı uyruklular için yabancı kimlik numarası) İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü kimlik paylaşım sistemi veri tabanı kullanılarak sorgulanması yoluyla teyit edilmesi,
- Ticaret siciline kayıtlı tüzel kişi müşterinin elektronik ortamda alınan başvurusunda, tüzel kişiyi temsile yetkili kişinin kimliğe ilişkin bilgilerinin gerçek kişilerdeki usule göre teyit edilmesi, tüzel kişiye ilişkin bilgilerin ise (tüzel kişinin unvanı, ticaret sicil numarası, vergi kimlik numarası, faaliyet konusu, açık adresi) Türkiye Odalar ve Borsalar Birliği, Gelir İdaresi Başkanlığı veya bu bilgilere ilişkin merkezi kayıt tutan diğer kurumların veri tabanları üzerinden tescil belgeleri ve kayıtların sorgulanması suretiyle teyit edilmesi,
- Tüm tahsilat ve ödemelerin, kimlik bilgileri teyit edilerek üyeliği kabul edilmiş kişinin kimlik bilgileri ile uyumlu bir banka hesabı veya kredi kartı hesabı vasıtasıyla yapılması, koşuluyla müşterinin kimlik bilgilerinin Yönetmeliğin 6 ve 7 nci maddesindeki usul çerçevesinde teyidi ile imza örneği alınması zorunlu değildir.Bu maddedeki işlemlerle ilgili olarak Yönetmeliğin 17 nci maddesindeki yükümlülükler ile 17/A maddesindeki teyide ilişkin yükümlülükler uygulanmayabilir. Ayrıca Yönetmeliğin 19 uncu maddesi uyarınca müşterinin durumunun sürekli iş ilişkisi kapsamında izlenmesi ve müşteri hakkındaki bilgi, belge ve kayıtların güncellenmesi sıklığı azaltılabilir.”
ilgili yazılar
http://www.ozgureralp.av.tr/web/soru-cevap/soru-249-elektronik-para-uyum-gorevlisi/
http://www.ozgureralp.av.tr/web/soru-cevap/soru-250-odeme-elektronik-para-kuruluslari/
SORU 258 : Ödeme ve Elektronik Para Kuruluşları sızma testi yaptırmak zorunda mıdır?
Stres testi, penetration test olarak da bilinen sızma testleri bilgi güvenliği açısından sıklıkla uygulama alanı bulmaktadır.
Teknolojinin finans dünyasında daha çok kullanılmaya başlamasıyla birlikte bilgi güvenliği kavramı da daha önemli hale gelmiştir.
Nitekim Türk finans dünyasında düzenleyici ve denetleyici otorite olan Bankacılık Düzenleme ve Denetleme Kuruluşu BDDK da bilgi güvenliği konusunda çeşitli düzenlemeler ve denetlemeler yapmaktadır.
Aşağıda yer alan düzenlemelerde açıkça belirtildiği üzere Elektronik para mevzuatı kapsamında faaliyet gösteren kuruluşların bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekir.
Bu sızma testleri temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur.
Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak şu başlıkları kapsamalıdır: İletişim Altyapısı ve Aktif Cihazlar, DNS Servisleri, Etki Alanı ve Kullanıcı Bilgisayarları, E-posta Servisleri, Veritabanı Sistemleri, Web Uygulamaları, Mobil Uygulamalar, Kablosuz Ağ Sistemleri, ATM Sistemleri, Dağıtık Servis Dışı Bırakma Testleri, Sosyal Mühendislik Testleri
Hizmet kesintisine yol açabilecek tüm testler ödeme ve elektronik para kuruluşları ile koordineli bir şekilde planlanarak gerçekleştirilir.
Sızma Testlerini Gerçekleştirilecek Kuruluşların Seçimi Sızma testlerinin bir dış hizmet şeklinde alınması durumunda, sızma testi kuruluşlarının seçiminde ve bu kuruluşlar ile bankalar arasında imzalanacak sözleşmelerde Tebliğ’in “Bilgi Sistemlerine İlişkin Destek Hizmeti Alımı Sürecinin Yönetimi” başlıklı 8 inci maddesinde yer alan hükümler dikkate alınır.
Ödeme ve Elektronik Para Kuruluşları, sızma testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri, tespit edildiği varlıkların değerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, Ödeme ve Elektronik Para Kuruluşları yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı çerçevesinde takip etmelidir.
Sızma testleri sonucu ortaya çıkan tespitler, aynı zamanda Ödeme ve Elektronik Para Kuruluşları teftiş kurullarının iç denetim planına da dâhil edilmelidir.
Sızma testi raporları, tamamlanmasını müteakip bir ay içinde, BDDK’ya sunulmalıdır.
SIZMA TESTİ YAPTIRILMASINDA DİKKAT EDİLECEK TEMEL KONULAR
- ÖDEME VE ELEKTRONİK PARA KURULUŞLARI YILDA EN AZ BİR DEFA SIZMA TESTİ YAPTIRMALIDIR.
- SIZMA TESTLERİ BAĞIMSIZ EKİPLER TARAFINDAN YAPILMALIDIR.
- BAĞIMSIZ EKİPLER, ÖDEME VE ELEKTRONİK PARA KURULUŞLARIN BİLGİ SİSTEMLERİ ARACILIĞIYLA SUNDUĞU HİZMETLERİN TASARIMI, GELİŞTİRİLMESİ, UYGULANMASI VE YÜRÜTÜLMESİ GİBİ HİÇBİR AŞAMASINDA GÖREV ALMAMIŞ KİŞİ VE KURULUŞLARDAN OLUŞMALIDIR.
- SIZMA TESTİ TEBLİĞE UYGUN TEKNİK KRİTERLER DİKKATE ALINARAK YAPILMALIDIR.
- SIZMA TESTİ SONUCUNDA BULGU TESPİT EDİLİRSE KURULUŞ YÖNETİM KURULU AKSİYON PLANI ALMALI VE UYGULAMAYA BAŞLAMALIDIR.
- SIZMA TESTİ RAPORU BİR AY İÇERİSİNDE BDDK’YA SUNULMALIDIR.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 3.maddesine göre Elektronik para kuruluşu: Bu Kanun kapsamında elektronik para ihraç etme yetkisi verilen tüzel kişiyi ifade eder.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 13.maddesine göre Bu Kanun uyarınca; 5411 sayılı Kanun kapsamındaki bankalar, Elektronik para kuruluşları, Ödeme kuruluşları,ödeme hizmeti sağlayıcısıdır. Banka ve ödeme hizmeti sağlayıcısı dışındaki kişiler ödeme hizmeti sunamazlar.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 14.maddesine göre Bu Kanun kapsamında ödeme hizmetleri alanında faaliyette bulunmak isteyen ödeme kuruluşu Kuruldan izin almak kaydıyla faaliyette bulunabilir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 18.maddesine göre Bu maddenin uygulanmasına, elektronik para kuruluşunun kurulmasına ilişkin istenecek bilgi ve belgelere, işleyişine, sermaye ve özkaynak yapısına, şube, temsilci veya dış hizmet sağlayıcı kullanımına, kurumsal yönetim ilkelerine, iç sistemlerine, bilgi sistemleri yönetimine ve bu Kanun kapsamına girmeyen diğer faaliyetlerine, elektronik paranın ihraç edilmesi ve geri ödenmesine ilişkin usul ve esaslar, Mali Suçları Araştırma Kurulu ve Bankanın görüşünün alınması suretiyle Kurumca çıkarılacak yönetmelikle belirlenir.
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un 21.maddesine göre Ödeme kuruluşu ve elektronik para kuruluşunun bu Kanun kapsamındaki denetimi Kurum tarafından yapılır.
ÖDEME HİZMETLERİ VE ELEKTRONİK PARA İHRACI İLE ÖDEME KURULUŞLARI VE ELEKTRONİK PARA KURULUŞLARI HAKKINDA YÖNETMELİK
Resmi Gazete Tarihi: 27.06.2014 Resmi Gazete Sayısı: 29043
Bilgi sistemlerinin yönetimi ve denetimi
MADDE 64 – (1) Kuruluşların Kanun kapsamındaki faaliyetlerini gerçekleştirmede kullandıkları bilgi sistemlerinin yönetimi ile yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmelerine ilişkin usul ve esasları Kurul belirler.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ
27.06.2014 tarihli 29043 sayılı Resmi Gazete’de yayınlanan Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in 1.maddesine göre bu Tebliğin amacı, ödeme kuruluşları ve elektronik para kuruluşlarının Kanun kapsamındaki faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetimine ve yetkilendirilmiş bağımsız denetim kuruluşları tarafından denetlenmesine ilişkin usul ve esasları düzenlemektir.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in 3.maddesine göre Sızma testi: Sistemin güvenlik açıklarını istismar edilmeden önce tespit etmek ve düzeltmek amaçlı gerçekleştirilen testleri ifade eder.
Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ’in Bilgi güvenliği yönetim süreci başlıklı 5.maddesinin 4.fıkrasının d bendine göre Kuruluşun bilgi sistemleri aracılığıyla sunduğu hizmetlerin tasarımı, geliştirilmesi, uygulanması veya yürütülmesinde görevi bulunmayan bağımsız ekiplere yılda en az bir defa sızma testi yaptırılması gerekir.
BDDK Bilgi Sistemlerine İlişkin Sızma Testleri GENELGE
http://www.bddk.org.tr/websitesi/turkce/mevzuat/bankacilik_kanununa_iliskin_duzenlemeler/11076bilgi_sistemlerine_iliskin_sizma_testleri_hakkinda_genelge.pdf
“Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ” (Tebliğ) ile banka bilgi sistemlerinin maruz kalabileceği risklerin ve güvenlik açıklarının yönetimini de kapsayacak şekilde, bankaların faaliyetlerinin ifasında kullandıkları bilgi sistemlerinin yönetiminde esas alınacak asgari usul ve esaslar düzenlenmiştir.
Tebliğ’in “Bilgi Sistemlerine İlişkin Risk Yönetimi” başlıklı ikinci kısım birinci bölümünün “Güvenlik kontrol sürecinin tesis edilmesi ve yönetilmesi” başlıklı 7 nci maddesinin üçüncü fıkrası (ç) bendinde ifade edilen “Bilgi sistemlerinin güvenilirliğinin ve tutarlılığının düzenli olarak incelenmesini sağlayacak süreçler tesis edilir.
Bu çerçevede güvenlik ile ilgili hükümlerin gereklerinin yerine getirilmesi hususunda herhangi bir icrai görevi bulunmayan bağımsız ekiplere düzenli aralıklarla sızma testleri yaptırılır.
Güvenlik alanındaki güncel gelişmeler ve yeni açıklar takip edilir, gerekli yazılım güncellemeleri yapılır, gerekli yamalar uygulanır.” hükmü ile sızma testleri bankacılık sektörü için zorunlu hale getirilmiştir.
Bilgi sistemlerine yönelik olarak elektronik ortamda gerçekleştirilebilecek saldırı türlerinin de hızlı bir değişim ve gelişim göstermesi nedeniyle 27.01.2011 tarih ve 4022 sayılı Bankacılık Düzenleme ve Denetleme Kurulu Kararı ile Tebliğ’in söz konusu 7 nci maddesinin üçüncü fıkrasının (ç) bendinde yer alan hüküm ile zorunlu kılınan ve düzenli aralıklarla yapılması istenilen sızma testinin sıklığının yılda en az bir defa yapılması şeklinde belirlenmesine karar verilmiştir. Tebliğ’in 7 nci maddesinin üçüncü fıkrasının (ç) bendi uyarınca, 2012 yılından itibaren sızma testlerinin yaptırılmasında işbu Genelge ile çerçevesi çizilen usul ve esaslar dikkate alınır.
1) Amaç Sızma testlerinin amacı, banka bilgi sistemlerinde yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik açıklarının istismar edilmeden önce tespit edilmesi ve düzeltilmesidir.
2) Kapsam Sızma testleri, temel sızma testleri ile bu testler sonrası uygulanacak detaylı sızma testlerinden oluşur.
Sızma testleri kapsamında gerçekleştirilecek testler asgari olarak aşağıdaki başlıkları kapsar:
a) İletişim Altyapısı ve Aktif Cihazlar
b) DNS Servisleri
c) Etki Alanı ve Kullanıcı Bilgisayarları
ç) E-posta Servisleri
d) Veritabanı Sistemleri
e) Web Uygulamaları
f) Mobil Uygulamalar
g) Kablosuz Ağ Sistemleri
ğ) ATM Sistemleri
h) Dağıtık Servis Dışı Bırakma Testleri
i) Sosyal Mühendislik Testleri
3) Metodoloji Sızma testleri, aşağıda detaylandırılan kullanıcı profilleri ile tanımlanan erişim noktalarından gerçekleştirilecek temel sızma testleri ve detaylı sızma testlerinden oluşur. Temel sızma testleri sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar ve her bir erişim noktası kapsamında uygulanacak adımlar ile devam eder.
Temel sızma testleri sonrası saptanan açıklık ve bulgular, Kapsam bölümünde belirtilen ve ilişkili olduğu her bir başlık altında, detaylı sızma testlerinin gerçekleştirilmesi suretiyle ayrıntılı olarak incelenerek raporlanır.
Sızma testleri gerçekleştirilirken her bir test başlığı kapsamında saptanan açıklık ve bulgular, ayrı ayrı değerlendirilmenin yanında, bir araya geldiklerinde oluşturabilecekleri riskler ve açıklıklar açısından da değerlendirilir ve bu birlikte değerlendirme sonucu ortaya çıkan yeni açıklık ve bulgular da raporlanır.
Bulgular, Ek-1’de yer verilen bulgu önem dereceleri kullanılarak Ek-2’de yer verilen bulgu formatına uygun olacak şekilde sunulur. Bu kapsamda bulgu önem dereceleri belirlenirken varlığın değeri dikkate alınmaz. Varlık değerlendirmesi yapmak ve varlıkların önem derecelerine göre aksiyon almak bankaların sorumluluğundadır. Sızma testleri gerçekleştirilirken, banka faaliyetlerinin aksamasına ve hizmet kesintisine yol açmayacak yöntemler kullanılmasına dikkat edilir. Hizmet kesintisine yol açabilecek tüm testler banka ile koordineli bir şekilde planlanarak gerçekleştirilir.
3.1) Testlerin Gerçekleştirileceği Erişim Noktaları
Sızma testlerinin gerçekleştirileceği asgari erişim noktaları aşağıda tanımlanmaktadır. Bu noktalardan sisteme erişildikten sonra, temel sızma testleri gerçekleştirilmeli ve sonrasında detaylı sızma testleri uygulanmalıdır.
i. İnternet: Bankanın internet üzerinden erişilebilen tüm sunucu ve servislerine İnternet üzerinden erişilerek sızma testleri gerçekleştirilir.
ii. Banka iç ağı: Bankanın iç ağında yer alan ve test kapsamında ele alınan sunuculara banka iç ağı üzerinden erişilerek sızma testleri gerçekleştirilir. Ağ ve ağ trafiği üzerinde gerçekleştirilecek testler için de bu ağ kullanılır ve testi gerçekleştirecek şahıslara kullanımı en yaygın olan çalışan bilgisayarı profilinde bilgisayarlar sağlanır.
iii. Şube ağı: Bankanın yönlendirmesi ile belirlenecek bir şubenin sahip olduğu ağ altyapısına erişim sağlanarak bu şubede bulunan sistemler, ağ altyapısı, ağ trafiği ve şube üzerinden erişilebilen diğer sistemler sızma testlerine tabi tutulur. Testi gerçekleştirecek şahıslara, şube çalışanlarının kullanmış olduğu bilgisayarlar ile aynı profilde bilgisayarlar sağlanır.
3.2) Testlerin Gerçekleştirileceği Kullanıcı Profilleri
Sızma testlerinin sağlıklı bir şekilde gerçekleştirilebilmesi ve testlerin gerçek hayata uygun olması için, yukarıda tanımlanan erişim noktalarına bu ortamların doğasına uyacak şekilde aşağıdaki kullanıcı profilleri ile sızma testleri gerçekleştirilir.
i. Anonim kullanıcı profili: İnternet üzerinden, bankanın web servislerine erişebilen ancak web uygulamalarına giriş yetkilerine sahip olmayan kullanıcıyı temsil eder. Bankaya ait web uygulamalarının üyesi olmayan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.
ii. Banka müşterisi profili: İnternet üzerinden, bankanın web servislerine erişebilen ve web uygulamalarına giriş yetkilerine sahip olan kurumsal veya bireysel kullanıcıları temsil eder. İnternet üzerinde bankaya ait web uygulamalarının üyesi olan kullanıcıların sistem için oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.
iii. Banka misafiri profili: Bankayı ziyaret eden kişilerin misafir ağında oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır.
iv. Banka çalışanı profili: Banka personelinin çalışma ortamını kullanarak sahip olduğu yetkiler ile sistemde oluşturabileceği tehditleri tespit etmek ve ilgili zayıflıkları bertaraf etmek adına gerekli çözümler oluşturmak amacıyla bu profil kullanılmalıdır. Banka çalışanı profili ile gerçekleştirilecek testlerde, banka çapında en yaygın olarak kullanılan çalışan profilinin seçilmesinin yanında, yerel yönetici(local admin) yetkisine sahip çalışan profilleri ile de sızma testleri gerçekleştirilir. Banka çalışanı profili ile yapılan testlerde, testi yapan kişi/kuruluşa banka tarafından tanımlanan erişim yetkileri ve verilen izinler raporda açıkça ifade edilmelidir. v. Diğer kullanıcı profilleri: Sızma testlerinin, yukarıda tanımlanan diğer dört kullanıcı profiline uymayan bir kullanıcı profili ile gerçekleştirilmesi durumunda, kullanılan her bir profil için tanımlanan hak ve yetkiler bu başlık altında açıkça ifade edilir.
3.3) Sistem Tespiti, Servis Tespiti ve Açıklık Taraması
Temel sızma testleri aşağıda tanımlanan sistem tespiti, servis tespiti ve açıklık taraması/araştırması adımları ile başlar. Sistem tespiti, servis tespiti ve açıklık taraması/araştırması tüm bilgi sistemi varlıklarına uygulanır.
i. Sistem tespiti: Sunucu veya aktif/pasif ağ cihazlarının sistem/yapılandırma bilgilerinin tespit edilmeye çalışıldığı adımdır.
ii. Servis tespiti: Banka bilgi sistemlerinde yer alan varlıkların port taramasının gerçekleştirildiği ve dış dünyaya/genel erişime açık olan portların sunduğu servislerin tespit edilmeye çalışıldığı adımdır. iii. Açıklık taraması/araştırması: Bankanın bileşenleri ve bu bileşenlerin sunduğu servislerin açıklık tarayıcıları ile güncel açıklıklara karşı tarandığı ve muhtemel güvenlik açıklıklarının belirlenmeye çalışıldığı adımdır. Bu adımda ayrıca, tespit edilen muhtemel açıklıklar için açıklık veritabanları gibi kaynaklar kullanılarak bu açıklıkların bileşenlere ve bileşenlerin etkileşimde olduğu sistemlere güvenlik açısından etkileri araştırılır.
3.4) Temel Sızma Testleri
i. İnternet üzerinden gerçekleştirilecek temel sızma testleri: Banka ağından bağımsız bir lokasyondan, bankanın internet üzerinde sahip olduğu IP ağı taranarak sistem tespiti, servis tespiti ve açıklık taraması adımları gerçekleştirilir.
ii. Banka iç ağından gerçekleştirilecek temel sızma testleri: Bankanın iç ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
Kurum yerel ağ haritası tespiti
Belirlenen açık portlar üzerinden içerik filtreleme, güvenlik duvarı atlatma ve bilgi kaçırma testlerinin gerçekleştirilmesi
Yerel alan ağı içerisinde zafiyet taraması yapılması
Kurum yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması Elde edilen bilgiler ışığında kullanıcı bilgisayarları, sunucu sistemleri ve aktif cihazlara yönelik ele geçirme saldırılarının gerçekleştirilmesi
Ele geçirilen sunucu ve kullanıcı bilgisayarları üzerinden daha kritik bilgilere ulaşılmaya çalışılması
iii. Banka şube ağından gerçekleştirilecek temel sızma testleri: Bankanın şube ağında sistem tespiti, servis tespiti ve açıklık taraması adımlarının yanında aşağıdaki faaliyetlerin gerçekleştirilmesi sağlanır:
Şube yerel ağ haritasının tespiti
Şube yerel alan ağında zafiyet taraması yapılması
Şube yerel ağında araya girme teknikleri ile hassas bilgilerin elde edilmeye çalışılması
Ağ altyapısında bulunan aktif cihazların testlerinin gerçekleştirilmesi
Şube personelinin bilgisayarı üzerinden oluşturulabilecek tehditlerin incelenmesi
Elde edilen bilgiler ışığında şube ağından erişilebilen diğer sunucu ve sistemlere yönelik ele geçirme saldırılarının gerçekleştirilmesi
3.5) Detaylı Sızma Testleri Temel sızma testlerinin tamamlanması sonrası, Kapsam bölümünde belirtilen başlıkların her biri için detaylı sızma testleri gerçekleştirilir. Detaylı sızma testlerine ilişkin usul ve esasları belirlemeye Bilgi Yönetimi Daire Başkanlığının bağlı olduğu Başkan Yardımcılığı yetkilidir.
4) Sızma Testlerini Gerçekleştirilecek Kuruluşların Seçimi Sızma testlerinin bir dış hizmet şeklinde alınması durumunda, sızma testi kuruluşlarının seçiminde ve bu kuruluşlar ile bankalar arasında imzalanacak sözleşmelerde Tebliğ’in “Bilgi Sistemlerine İlişkin Destek Hizmeti Alımı Sürecinin Yönetimi” başlıklı 8 inci maddesinde yer alan hükümler dikkate alınır.
5) Sızma Testi Sonuçlarının Takibi Bankalar, sızma testleri sonucu tespit edilen bulguları, bulguların önem derecelerini, birlikte oluşturabilecekleri riskleri, tespit edildiği varlıkların değerini ve sızma testi raporlarında yer alan önerileri dikkate alarak, banka yönetim kurullarınca onaylanan ve bu bulguların en kısa sürede giderilmesini amaçlayan bir aksiyon planı çerçevesinde takip eder. Sızma testleri sonucu ortaya çıkan tespitler, aynı zamanda bankaların teftiş kurullarının iç denetim planına da dâhil edilir. Sızma testi raporları, tamamlanmasını müteakip bir ay içinde, elektronik ortamda, 17/02/2010 tarih ve BSD.2010/1 sayılı Genelgede tanımlanan Bağımsız Denetim Takip Sistemine(BADES) yüklenir. Bu kapsamda gerek duyulacak hususlara ilişkin ilave açıklamalar Bilgi Yönetimi Daire Başkanlığı tarafından yapılır. Tebliğ olunur.
EKLER: 1- Bulgu Önem Dereceleri(1 sayfa)
2- Bulgu Formatı(1 sayfa)
EK-1 Bulgu Önem Dereceleri Bulgu önem dereceleri beş kategoride ele alınır.
Acil, kritik, yüksek, orta ve düşük şeklinde olan bu kategorilere ilişkin açıklamalar aşağıda yer almaktadır:
Önem Derecesi Açıklama
Acil Niteliksiz saldırgan tarafından banka dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Kritik Nitelikli saldırgan tarafından banka dış ağından gerçekleştirilen ve sistemin tamamen ele geçirilmesi ile sonuçlanan saldırılara sebep olan açıklıklardır.
Yüksek Banka dış ağından gerçekleştirilen ve kısıtlı hak yükseltilmesi veya hizmet dışı kalma ile sonuçlanan, ayrıca yerel ağdan ya da sunucu üzerinden gerçekleştirilen ve hak yükseltmeyi sağlayan saldırılara sebep olan açıklıklardır.
Orta Yerel ağdan veya sunucu üzerinden gerçekleştirilen ve hizmet dışı bırakılma ile sonuçlanan saldırılara sebep olan açıklıklardır.
Düşük Etkilerinin tam olarak belirlenemediği ve literatürdeki en iyi sıkılaştırma yöntemlerinin izlenmemesinden kaynaklanan eksikliklerdir.
EK-2 Bulgu Formatı
Kapsam bölümünde belirtilen başlıkların her biri altında raporlanacak bulguların sunuluş biçimi aşağıda yer almaktadır:
Bulgu Referans No Rapordaki her bulguyu tekil olarak niteleyen harf/rakam dizisi
Bulgu Adı Bulguyu özet olarak ifade eden tanımlayıcı isim
Önem Derecesi Bulgunun, EK-1’de yer verilen önem derecesi
Etkisi Bulguda yer verilen açıklığın/eksikliğin kötüye kullanılması durumunda oluşabilecek potansiyel sonuç
Erişim Noktası “3.1 Testlerin Gerçekleştirileceği Erişim Noktaları” bölümünde yer verilen testin gerçekleştirildiği erişim noktası
Kullanıcı Profili “3.2 Testlerin Gerçekleştirileceği Kullanıcı Profilleri” bölümünde yer verilen testin gerçekleştirildiği kullanıcı profili
Bulgunun Tespit Edildiği Bileşen/Bileşenler 1 Bulgunun tespit edildiği bileşeni niteleyen IP Numarası, URL, Sistem, Servis, Sunucu veya Varlık adı gibi bilgiler
Bulgu Açıklaması Bulgunun detaylı açıklaması
Çözüm Önerisi Bulgunun giderilmesi için testi gerçekleştiren kuruluş tarafından yapılacak çözüm önerisi
** Kapsam bölümünde belirtilen her bir başlık altında aynı bulgunun aynı önem derecesi ile birden fazla bileşende tespit edilmesi durumunda, yeni bulgu referansı verilmeden bulgunun tespit edildiği tüm bileşenler aynı bulgu altında sıralanır.
Avukat Özgür Eralp
www.ozgureralp.av.tr