Kripto Varlık Hizmet Sağlayıcıları İçin Müşteri Şikayet Yönetimi: SPK ve MASAK Kapsamında Yükümlülükler

7518 sayılı Kanun ve SPK tebliğleriyle kripto platformları artık finans sektörünün düzenleyici yükümlülüklerine tabi. Müşteri şikayet mekanizması, yazılı prosedür zorunluluğu ve MASAK uyum gereksinimleri.

Türkiye'de kripto varlık kullanımı yıllar içinde hızla büyüdü ve ülke, küresel kripto benimseme sıralamalarında üst sıralarda yer almaya başladı. Ancak bu büyüme, uzun süre net bir yasal zemine oturmayan bir ortamda gerçekleşti. 2 Temmuz 2024 tarihinde Resmi Gazete'de yayımlanan 7518 sayılı Kanun bu tabloyu köklü biçimde değiştirdi. Kripto varlık hizmet sağlayıcılar (KVAS), artık 6362 sayılı Sermaye Piyasası Kanunu kapsamına alındı ve finans sektörünün tabi olduğu düzenleyici yükümlülükler bu platformlar için de geçerli hale geldi.

Bu dönüşüm yalnızca lisanslama boyutuyla sınırlı değil. Müşteri şikayet yönetimi, kayıt saklama, uyum programı ve denetim hazırlığı gibi operasyonel gereklilikler de KVAS'ların gündemine girdi. Bu yazıda söz konusu yükümlülüklerin yasal dayanakları, kapsam ve pratik etkileri ele alınıyor.

7518 Sayılı Kanun ve SPK Kapsamına Giriş

7518 sayılı Kanun, Sermaye Piyasası Kanunu'nda (6362) değişiklik yaparak kripto varlık hizmet sağlayıcılara ilişkin hükümleri bu kanun çerçevesine dahil etti. Kanun 2 Temmuz 2024 tarihli ve 32590 sayılı Resmi Gazete'de yayımlandı.

Bu düzenlemeyle birlikte KVAS'lar, faaliyetlerini sürdürebilmek için Sermaye Piyasası Kurulu'ndan (SPK) lisans almak zorunda. Lisans başvurusu ve faaliyetin sürdürülmesi; sermaye yeterliliği, organizasyon yapısı, teknolojik altyapı ve müşteri koruma mekanizmaları gibi kriterleri kapsıyor. 7518 öncesinde var olan "gri alan" artık ortadan kalkmış durumda: mevzuata uyum, faaliyetin hukuki dayanağıdır.

Kanunun ardından SPK, iki temel ikincil düzenlemeyi 13 Mart 2025 tarihli ve 32840 sayılı Resmi Gazete'de yayımladı:

• III-35/B.1 sayılı Tebliğ: Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları
• III-35/B.2 sayılı Tebliğ: Çalışma Usul ve Esasları ile Sermaye Yeterliliği

Her iki tebliğ de KVAS'ların operasyonel altyapısına dair somut gereklilikler ortaya koyuyor. Uyumsuzluk halinde 6362 sayılı Kanun'un 99/A ve 109/A maddeleri kapsamında idari ve cezai yaptırımlar devreye girebilir.

III-35/B.1 Tebliği: Dahili Şikayet Mekanizması Zorunluluğu

III-35/B.1 sayılı Tebliğ, müşteri şikayet yönetimini KVAS'lar için açık bir yükümlülük olarak tanımlıyor. Tebliğ çerçevesinde platformların müşteri işlemlerine ilişkin itiraz ve şikayetlerin etkin biçimde çözülmesine imkan tanıyacak dahili bir mekanizma kurması gerekiyor.

Bu mekanizmanın varlığı tek başına yeterli değil; aynı zamanda yazılı prosedüre kavuşturulması zorunlu. Hangi kanallar aracılığıyla şikayet kabul edileceği, iletilen şikayetin nasıl sınıflandırılacağı, yanıt sürelerinin ne olduğu, kimin sorumlu olduğu ve eskalasyon yollarının neler olduğu yazılı olarak belgelenmiş olmalı.

Lisans değerlendirme sürecinde SPK, bu yazılı prosedürün varlığını ve içeriğini inceliyor. Dolayısıyla şikayet mekanizması kurum için soyut bir hedef değil; lisans koşulunun somut bir bileşenidir.

Bunun yanı sıra tebliğ, müşteri varlıklarının KVAS'ın kendi varlıklarından ayrı tutulması yükümlülüğünü de getiriyor. Bu "segregation of assets" ilkesi, müşteri şikayetleri açısından da doğrudan sonuç doğuruyor: varlık ayrımına ilişkin itirazların izlenebilir ve belgelenebilir biçimde yönetilmesi gerekiyor.

MASAK Kapsamı ve Uyum Programı

7518 sayılı Kanun ve SPK düzenlemelerine ek olarak, KVAS'lar 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun çerçevesinde Mali Suçları Araştırma Kurulu'nun (MASAK) yükümlüsü konumundadır.

MASAK yükümlülüğü kapsamında kripto platformlarının bir uyum programı oluşturması ve hayata geçirmesi gerekiyor. Bu programın içermesi beklenen temel unsurlar şunlardır:

• Müşteri kimlik tespiti (KYC) ve kurum kimlik tespiti (KYB) prosedürleri
• Müşteri risk sınıflandırması
• Şüpheli işlem bildirimi (ŞİB) mekanizması
• Süregelen işlem izleme
• Yaptırım listesi taraması

Uyum programının şikayet yönetimiyle kesiştiği nokta kayıt tutma boyutudur. Hem şikayet kayıtları hem de kimlik tespiti ve işlem belgeleri, 5549 sayılı Kanun'un 8. maddesi uyarınca saklanmak zorunda. Uyum programının belgeler ve süreçleri kapsayan bütüncül bir yapıda kurulması, MASAK denetimlerine hazırlık açısından kritik önem taşıyor.

Kripto Platformlarına Özgü Şikayet Konuları

Geleneksel finans kurumlarının şikayet tipolojisinden farklı olarak KVAS'lar, sektöre özgü şikayet türleriyle karşılaşıyor. Bu şikayetlerin önemli bir kısmı teknik altyapı ve blokzincir yapısının getirdiği özgünlüklerden kaynaklanıyor:

• Platform erişim engeli veya teknik arıza sırasında oluşan işlem zararları: Yüksek volatilite dönemlerinde platformun erişilemez olması, müşteri zararı doğurabilir ve sorumluluk tartışmalarına yol açabilir.
• Emir iletim gecikmeleri: Spot ve vadeli işlem platformlarında saniyelerin önem taşıdığı durumlarda gecikme şikayetleri sık karşılaşılan bir kategoridir.
• Hesap dondurma veya kısıtlama kararlarına itiraz: MASAK yaptırımı veya platform politikası kapsamında gerçekleştirilen kısıtlamalar, müşteri tarafından itiraz konusu yapılabilir.
• Doğrulama (KYC) süreçlerinde yaşanan aksaklıklar: Kimlik doğrulama aşamasındaki gecikmeler veya red kararları şikayet hacminin önemli bir bölümünü oluşturuyor.
• İşlem iptali veya geri alınamaz transfer iddiaları: Blokzincir transferlerinin geri döndürülemez niteliği, bu tür şikayetlerin çözümünü karmaşık kılıyor.
• Çekim (withdrawal) gecikmeleri: Müşteri varlıklarına platformdan erişimde yaşanan gecikmeler, özellikle yüksek işlem hacimli dönemlerde şikayet konusu oluyor.

Bu şikayet kategorilerinin her birinin nasıl ele alınacağı, yanıt süreleri ve eskalasyon yolları yazılı prosedürde açıkça tanımlanmış olmalıdır.

Kayıt Saklama ve İbraz Yükümlülüğü

KVAS'lar için kayıt saklama yükümlülüğü birden fazla mevzuat kaynağından besleniyor:

5549 sayılı Kanun Madde 8 uyarınca:

• Belgeler, düzenleme tarihinden itibaren 8 yıl boyunca saklanmalı
• Kimlik tespitine ilişkin kayıtlar, son işlem tarihinden itibaren 8 yıl korunmalı

6362 sayılı Kanun kapsamındaki ticari kayıtlar için Türk Ticaret Kanunu (6102) 10 yıllık saklama süresi öngörüyor.

Şikayet kayıtları bu çerçevede iki ayrı yükümlülüğün kesişim noktasında yer alıyor. Bir şikayet kaydının içereceği bilgiler: müşteri kimliği, şikayetin içeriği, başvuru tarihi, ilgili işlemler, yanıtlama süreci ve sonuç. Bu bilgilerin tamamının belgelenmiş, erişilebilir ve denetimde ibraz edilebilir biçimde saklanması gerekiyor.

SPK denetimleri sürecinde şikayet kayıtları, erişim logları ve uyum programı belgeleri inceleme kapsamına girebilir. Dolayısıyla kayıt altyapısının geriye dönük olarak sunulmaya hazır tutulması, operasyonel bir zorunluluktur.

FlowDesk ile KVAS Uyum Altyapısı

KVAS'ların yukarıda aktarılan yükümlülükleri karşılaması, hem organizasyonel hem de teknolojik bir altyapının devreye alınmasını gerektiriyor. FlowDesk, bu altyapının şikayet yönetimi ve kayıt boyutlarını kapsamak üzere on-premise model olarak konumlandırılmış bir platformdur.

On-premise kurulum ve veri egemenliği: FlowDesk, kurum sunucularına ya da tercih edilen veri merkezine kurulur. Müşteri verileri ve şikayet kayıtları üçüncü taraf bulut ortamlarında depolanmaz. Bu yaklaşım, hem KVKK hem de MASAK uyum gereksinimleri açısından kurumun veri kontrolünü korumasına imkan tanır.

Yazılı prosedürü destekleyen iş akışları: III-35/B.1 Tebliği'nin öngördüğü yazılı prosedür; şikayet kanallarını, tanımlama kriterlerini, yanıt sürelerini ve eskalasyon adımlarını kapsamalıdır. FlowDesk'te bu iş akışları yapılandırılabilir biçimde tanımlanır: e-posta, WhatsApp, IVR ve webhook/API entegrasyonları aracılığıyla gelen her şikayet, tanımlı prosedürün adımlarından geçerek işlenir.

Kayıt altına alma ve denetim izi: Platforma iletilen her şikayet; başvuru zamanı, kanal bilgisi, içerik, sorumlu ekip, işlem adımı ve sonuç bilgisiyle kayıt altına alınır. Bu kayıtlar, 5549 sayılı Kanun'un öngördüğü saklama süresi boyunca saklanabilir ve denetim talebine karşı ibraz edilebilir yapıda tutulur.

MASAK uyum programı entegrasyonu: Şikayet kayıtları ile müşteri kimlik doğrulama verileri, risk sınıflandırması ve işlem izleme süreçleri arasında bağlantı kurulabilmesi için FlowDesk, API ve webhook aracılığıyla ilgili uyum araçlarıyla entegre çalışabilir.

Denetim hazırlığı: SPK ve MASAK denetimleri öncesinde kayıt bütünlüğü, prosedür belgelerine çapraz erişim ve logların sunulması kolaylaşır. Şikayet yönetim platformunun denetim ihtiyaçları gözetilerek yapılandırılmış olması, lisans yenileme ve denetim süreçlerinde kurumsal hazırlık açısından fark yaratır.

Sonuç

7518 sayılı Kanun ve akabinde çıkarılan SPK tebliğleri, Türkiye'deki kripto varlık platformları için oyunun kurallarını değiştirdi. Sektör artık bankacılık ve fintech alanındaki meslektaşlarıyla aynı düzenleyici ortamı paylaşıyor.

Müşteri şikayet yönetimi bu ortamda yalnızca müşteri memnuniyeti meselesi değil; yazılı prosedür zorunluluğu, kayıt saklama yükümlülüğü ve denetim hazırlığıyla doğrudan bağlantılı lisans koşulunun bir bileşenidir. KVAS'ların şikayet mekanizmasını III-35/B.1 Tebliği'nin gerektirdiği nitelikte kurmaması, 6362 sayılı Kanun kapsamında idari yaptırıma konu olabilir.

Sektörün uyum altyapısı kurma sürecinde olduğu bu dönemde, şikayet yönetimi sisteminin doğru temeller üzerine inşa edilmesi hem düzenleyici riskleri azaltır hem de müşteri güvenini pekiştiren kurumsal bir sinyal olarak işlev görür.