Aracı Kurumlar ve Portföy Yönetim Şirketleri’ne İlişkin Tebliğ Yayımlandı
Sermaye Piyasası Kurulu (“SPK”) tarafınca hazırlanmış olan Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (“Tebliğ”) 08.02.2022 tarihinde 31744 sayılı Resmî Gazete’de yayımlanmıştır.
Yayım tarihinden bir ay sonra yürürlüğe girecek olan Tebliğ ile getirilen düzenleme ile bankalara benzer şekilde aracı kurumlar ve portföy yönetim şirketlerinin de uzaktan kimlik tespiti yapmasına ve elektronik ortamda sözleşme kurmasına izin verilmektedir. Bu kapsamda belli başlı değişiklikler özetle aşağıda yer almaktadır;
Müşteri Kimlik Tespiti Uzaktan Yapılabilecek
Tebliğ’in 5. maddesinde belirtilen usul ve esaslara uyularak aracı kurum veya portföy yönetim şirketi tarafından görevlendirilen kişi (“Personel”) tarafından müşterinin kimlik tespitinin çevrimiçi yollarla yapılabileceği düzenlenmiştir. Personel, müşteri ile yapılan çevrimiçi görüşme sonucu işlemin riskli olduğuna karar vermesi halinde işlemi ikinci bir personele gönderecek veya sonlandıracaktır.
Tebliğ’de yer alan düzenlemeler, 1 Nisan 2021 tarihinde 31441 sayılı Resmî Gazete’de yayımlanan Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmelik’e (“Bankacılık Yönetmeliği”) oldukça benzerlik göstermektedir. Bankacılık Yönetmeliği’nde de aynı şekilde bankaların, yeni müşteri kabul sürecinde ve müşteri kimliğinin doğrulanmasında uzaktan kimlik tespiti yöntemleri düzenlenmektedir. Aynı zamanda, kimlik tespitinin devamı niteliğinde olan müşteri ile kurulacak olan sözleşmesel ilişkinin elektronik ortamda gerçekleştirilebileceği de hüküm altına alınmıştır. Bankacılık Yönetmeliği’nden farklı olarak, Tebliğ’de kimlik tespit sürecinde Mali Suçları Araştırma Kurulu (“Masak”) tarafından çıkarılan müşteri kimliğinin doğrulanması amacıyla kullanılacak uzaktan kimlik tespiti yöntemlerini düzenleyen Masak Genel Tebliği’nin (Sıra No:19) (“Masak Genel Tebliği”) de dikkate alınacağı düzenlenmiştir.
Bankacılık Yönetmeliği ve onu takiben Tebliğ’in yayımlanmasının, yakın zamanda düzenleme altına alınması beklenen kripto varlık hizmet sağlayıcılarının da benzer yöntemlerden bir noktada faydalanabileceği yönünde beklenti yaratmaktadır.
Kimlik Tespitinde Dikkat Edilecek Esaslar
Kimlik tespitine başlamadan önce aracı kurum ve portföy yönetim şirketi tarafından iş akış prosedürü oluşturulacak ve prosedürde belirlenen sürecin etkinliği test edilerek sonuçları yazılı hale getirilecektir. Uzaktan kimlik tespiti prosedürü senede 2 defa gözden geçirilecek ve gereken güncellemeler yapılacaktır.
Kimlik tespiti, Personel ve müşterinin fiziksel olarak aynı ortamda bulunmalarına gerek olmadan, çevrimiçi olarak görüntülü görüşmeleri ve birbirleri ile iletişim kurmaları ile gerçekleşecektir. Tebliğ’de Personel’in kimlik tespitinde kullanacağı usul ve esaslar detaylı olarak belirlenmiş olup, Personeller’in düzenli eğitimlere tabi tutulmaları gerektiğine ilişkin düzenlemeler yapılmıştır.
Müşterinin Açık Rızasının Alınması
Uzaktan kimlik tespiti süreci, aracı kurumun veya portföy yönetim şirketinin uygulaması üzerinden müşteri tarafından elektronik ortamda form doldurulması ile başlayacak olup alınan veriler neticesinde kişi hakkında risk değerlendirmesi gerçekleştirilecektir. Alınacak formda Masak Genel Tebliği’nde yer alan işleme konu malvarlığının ve müşteriye ait fonların kaynağı ile ortalama gelir bilgisi gibi bilgilere yer verilmelidir. Uzaktan kimlik tespiti ve sürekli iş ilişkisinde risk temelli yaklaşımla sıkılaştırılmış tedbirler uygulanacaktır. Risk değerlendirmesi sonucunda, gerekli olması halinde görüntülü görüşme yapılmadan dahi süreç sonlandırılabilecektir.
Personel ve müşteri arasında yapılacak görüntülü görüşme öncesinde müşterinin 6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca açık rızası alınacak ve kişisel verilerden sadece biyometrik verisi kullanılabilecektir.
Kimlik tespiti sürecinde yapılan görüntülü görüşme gerçek zamanlı ve kesintisiz yapılacak ve görüşme uçtan uca güvenli iletişim ile gerçekleşecektir. Görüntü kalitesinin, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilme ve sunulan belgenin yıpranmamış olmasını tasdik etmeye yarayan güvenlik ögelerinin incelenmesine olanak tanıması gerekecek olup, ayrıca müşterinin kimliğini doğrulaması amacıyla telefonuna SMS OTP iletilerek müşterinin telefon numarası doğrulanacaktır.
Kimlik Doğrulama
Uzaktan kimlik tespitinin görüntülü görüşme aşamasında, aracı kurum veya portföy yönetim şirketi tarafından, sahte yüz teknolojisine dair riskleri önlemeye yönelik tedbirler alınacaktır. Müşterinin yüzü ve kimlik belgesinde yer alan fotoğrafın biyometrik karşılaştırması yapılacaktır. Bunun yanı sıra Personel, müşteri ile yapacağı görüşme sırasında kimlik avı, sosyal mühendislik, başka bir tarafın zorlamasıyla baskı altında gerçekleşen hareketler ve benzeri dolandırıcılık yöntemlerini göz önüne alarak kişi tarafından sağlanan bilgilerin yeterliliğini ve inandırıcılığını değerlendirecektir.
Bu minvalde, aracı kurumun, elektronik ortamda sunulan yatırım hizmet ve faaliyetleri için müşterilerine birbirinden bağımsız en az iki bileşenden oluşan bir kimlik doğrulama mekanizması uygulaması ve bu bileşenlerin kimlik doğrulama sürecinde kullanılmaları esnasında barındırdıkları kimlik doğrulama verilerinin gizliliğini sağlayacak önlemleri alması esastır. Bu iki bileşen; müşterinin “bildiği”, “sahip olduğu” veya “biyometrik bir karakteristiği olan” unsur sınıflarından farklı ikisine ait olmak üzere seçilmelidir. Bileşenlerin bağımsız olması, bir bileşenin ele geçirilmesinin diğer bileşenin güvenliğini tehlikeye atmamasını ifade etmektedir. Müşterinin sahip olduğu bileşenin müşteriye özgü olması ve taklit edilememesi esastır.
Verilerin Kaydedilmesi ve Saklanması
Uzaktan yapılacak kimlik tespit sürecinin tamamı 01.08.2015 tarihli ve 29432 sayılı Resmî Gazete’de yayımlanan Yatırım Hizmet ve Faaliyetleri ile Yan Hizmetlere İlişkin Belge ve Kayıt Düzeni Hakkında Tebliğ’de (“Belge Kayıt Tebliği”) yer alan bilgi ve belge saklama ile ilgili hükümler uyarınca kayıt altına alınacak ve saklanacaktır. Önemle belirtmek gerekir ki, çerçeve sözleşmeler ile müşteri hesap numaralarına ilişkin güncellemeler 08.02.2022 tarihinde Belge Kayıt Tebliği’nin ilgili maddelerinde yapılan tadil ile getirilmiştir. Bu çerçevede, Belge Kayıt Tebliği’nin 27. maddesi uyarınca uzaktan kimlik tespiti süresince alınan tüm belgeler ve video görüntüler dahil elektronik kayıtlar, düzenli ve tasnif edilmiş bir biçimde 6102 sayılı Türk Ticaret Kanunu’nun 82. maddesi uyarınca 10 yıl süreyle saklanacaktır.
Uzaktan Kimlik Tespitinde Sorumluluk
Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak, aracı kurum veya portföy yönetim şirketinin sorumluluğunda olacak ve aracı kurum veya portföy yönetim şirketi uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izleyebilecektir. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanacaktır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü aracı kurum veya portföy yönetim şirketinde olacaktır.
Sözleşme İlişkisinin Elektronik Ortamda Kurulması
Tebliğ’de yer alan şartlar çerçevesinde uzaktan veya yüz yüze kimlik tespitinin yapılmasını takiben, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak sözleşmenin elektronik ortamda kurulabilmesi için, müşterinin sözleşmeyi kuran irade beyanının, kimlik tespiti görüşmeleri esnasında alınması veya kimlik tespitini müteakip görüşme sonlandırılmadan önce alınması halinde Belge Kayıt Tebliği’nin 5/A maddesinin birinci fıkrasındaki yükümlülük yerine getirilmiş sayılacaktır.
Sözleşmenin elektronik ortamda kurulabilmesi için (i) sözleşmenin tüm şartlarının, müşterinin okuyabileceği şekilde elektronik ortamda müşteriye iletilmesi, (ii) müşteriye iletin sözleşme ve bu sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının müşteriye özgü şifreleme gizli anahtarı ile imzalanarak aracı kurum veya portföy yönetim şirketine iletilmesi, (iii) yukarıda yer verilen (i) paragrafına göre müşteriye iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (ii) paragrafına göre müşteri tarafından yalnızca o bilgilerin imzalanması gerekmektedir.
Tebliğ’de, SPK’nın uzaktan kimlik tespiti sürecinin yürütülmesinde kullanılmak üzere oluşturulacak uygulamaların merkezi bir yapı üzerinden sağlanmasına yönelik usul ve esasları belirlemeye yetkili olduğu da ayrıca ifade edilmiştir.
Tebliğ’in tam metnine buradan ulaşabilirsiniz.