KYC (Know Your Customer — Müşteri Tanı) ve CDD (Customer Due Diligence — Müşteri Durum Tespiti), finansal kuruluşların, fintech’lerin, kripto-varlık platformlarının ve diğer düzenlenmiş kuruluşların müşteri kimliğini doğrulamasını, müşteri riskini değerlendirmesini ve müşteri ilişkilerinin süregelen izlenmesini yürütmesini gerektiren temel AML/CTF uyum disiplinleridir. KYC/CDD yükümlülükleri, AML düzenleyici gereksinimlerinin müşteri-onboarding akışlarına, işlem-izleme sistemlerine ve süregelen müşteri-ilişkisi yönetimine dönüştüğü operasyonel mekanizmadır.
KYC/CDD çerçevesi birkaç analiz katmanını ayırt eder: (i) basitleştirilmiş durum tespiti (SDD) — sınırlı doğrulama gereksinimleri olan düşük-riskli müşteri kategorileri için; (ii) standart müşteri durum tespiti (CDD) — kimlik doğrulama, gerçek-faydalanan tanımlama (kuruluşlar için), hesap amaçları belirleme ve risk-tabanlı süregelen izleme dahil tipik müşteriler için temel gereksinim; (iii) sıkılaştırılmış durum tespiti (EDD) — politik olarak maruz kalmış kişiler (PEP’ler), yüksek-riskli yargı bölgelerinden müşteriler, karmaşık mülkiyet yapıları veya olağandışı işlem desenleri dahil daha yüksek-riskli müşteriler için — fon-kaynağı belgelemesi, ilişki kurma için üst-yönetim onayı ve daha sık izleme gerektirir; ve (iv) süregelen müşteri-ilişkisi izleme — müşteri yaşam döngüsü boyunca periyodik inceleme ve risk-derecelendirme güncellemeleri.
Standart KYC doğrulama unsurları şunları içerir: devlet-ihraçlı kimlik belgesi doğrulaması (Türk kimlik kartı, pasaport, ikamet izni); adres doğrulaması (kamu hizmetleri faturası, banka ekstresi, devlet-ihraçlı belge); biyometrik doğrulama (giderek yaygın — canlılık tespiti, kimlik belgesine yüz-tanıma eşleştirme); vergi-kimlik doğrulaması (vergi otoritesi kayıtlarına karşı TC eşleştirme); OFAC, AB, BM, Türk yaptırım listelerine karşı yaptırım taraması; politik olarak maruz kalmış kişiler veritabanlarına karşı PEP taraması (tipik olarak tedarikçi-tedarikli — Refinitiv, Dow Jones, LexisNexis); ve yükseltilmiş riski gösteren olumsuz haber kapsamı için olumsuz-medya taraması.
Kuruluş müşterileri (kurumsal, ortaklıklar, tröstler) için KYC/CDD kimliğin ötesine gerçek-faydalanan tanımlamasına uzar: kuruluşu nihayetinde kimin sahip olduğu veya kontrol ettiği (FATF/Türk standartları kapsamında tipik olarak %25+ eşik; SPK kripto çerçevesi altında daha düşük %10). Bu, kuruluş-yapısı analizi, mülkiyet-zinciri belgeleme, kontrol-kişisi tanımlaması (imza sahipleri, yöneticiler, önemli kontrol uygulayan bireyler) ve tanımlanmış gerçek faydalananların doğrudan müşterilere uygulanan aynı standartlar aracılığıyla doğrulanmasını gerektirir.
Türk fintech’ler, kripto-varlık platformları ve diğer MASAK-yükümlü kuruluşlar için KYC/CDD program tasarımı operasyonel olarak temeldir: kullanıcı deneyimini (sürtünmesiz onboarding dönüşümü sürer) uyum titizliğiyle (eksik KYC düzenleyici ve operasyonel risk yaratır) dengeleyen onboarding iş akışı mimarisi; doğrulama-tedarikçi seçimi (küresel için Onfido, Jumio, Verifai, Trulioo, Sumsub; Türk-spesifik çözümler için Yarpiz, Identity, Vela); farklı izleme tetikleyen risk katmanlarına müşteri atayan risk-derecelendirme modelleri; tanımlı aralıklarda veya tetik olaylarda periyodik yeniden-doğrulama; işlem desenleri veya risk göstergeleri geliştikçe müşterileri katmanlar arasında taşıyan KYC yükseltme; ve düzenleyici inceleme için doğrulama belgelerini ve karar gerekçesini koruyan denetim-izi disiplini. Vircon Legal Türk fintech’lere ve düzenlenmiş kuruluşlara KYC/CDD program mimarisi, tedarikçi seçimi, risk-model tasarımı, MASAK-uyumlu iş akışı uygulaması ve KYC disiplininin müşteri-deneyimi ve büyüme hedefleriyle stratejik entegrasyonu konularında danışmanlık sunar.
Risk temelli yaklaşım ve Türk MASAK yükümlülükleri
Modern KYC/CDD herkese uyan tek tip bir kontrol listesi değil, risk temelli bir programdır: doğrulamanın derinliği, müşterinin taşıdığı riske göre ölçeklenir. Standart müşteriler temel kimlik doğrulaması alırken; siyasi nüfuz sahibi kişiler, karmaşık ortaklık zincirleri veya yüksek riskli ülkeler gibi daha yüksek riskli ilişkiler, nihai gerçek faydalanıcının belirlenmesi ile fon ve servet kaynağının anlaşılması dâhil sıkılaştırılmış durum tespiti gerektirir. Türkiye’de bu görevler MASAK’ın denetlediği kara para aklamayla mücadele rejimine dayanır; bu rejim bankalara, finans kuruluşlarına ve giderek artan biçimde kripto-varlık hizmet sağlayıcılarına müşteri kimlik tespiti, kayıt tutma ve şüpheli işlem bildirimi yükümlülükleri getirir. Kripto işletmeleri için “travel rule” ek bir katman getirir; belirli eşiklerin üzerindeki transferlerde gönderen ve alıcı bilgilerinin transfere eşlik etmesini zorunlu kılar.