MASAK (Mali Suçları Araştırma Kurulu), Türkiye’nin finansal-istihbarat birimi (FIU) ve AML, terörizmin finansmanını önleme (CTF) ve yayılma-finansmanı önlemenin temel düzenleyicisidir. 1997’de kurulan ve Hazine ve Maliye Bakanlığı altında çalışan MASAK’ın yetki alanı; AML/CTF kural-koyma, yükümlü kuruluşların denetimi, istihbarat toplama ve analiz ile kolluk kuvvetleri ve uluslararası FIU’larla koordinasyonu (Egmont Group üyesi) kapsar. Türk fintech’leri, bankalar, kripto-varlık platformları ve diğer düzenlenmiş kuruluşlar için MASAK, sektöre özgü otoritelerle (BDDK, SPK) birlikte merkezi AML/CTF düzenleyicisidir.
MASAK’ın denetim çevresi (Kanun No. 5549 ve sonraki değişiklikler kapsamındaki yükümlü kuruluşlar) şunları içerir: (i) bankalar ve kredi kuruluşları; (ii) sermaye piyasası kuruluşları (yatırım firmaları, portföy yöneticileri, fon operatörleri); (iii) ödeme kuruluşları ve elektronik para kuruluşları; (iv) kripto-varlık hizmet sağlayıcıları (2021’de eklendi, SPK kripto çerçevesi altında 2024’te genişletildi); (v) sigorta ve reasürans şirketleri; (vi) eşik üstü işlemler için gayrimenkul aracıları; (vii) kıymetli maden tüccarları; (viii) belirli işlem türleri için bağımsız denetçiler, avukatlar, noterler, muhasebeciler; ve (ix) MASAK düzenlemeleri yoluyla periyodik olarak eklenen kuyumculuk, sanat-ticareti ve diğer kategoriler.
MASAK tarafından dayatılan temel AML/CTF yükümlülükleri şunları içerir: müşteri tanıma (KYC) — gerçek-faydalanan tanımlama (kripto için %10 eşik, diğer düzenlenmiş faaliyetler için %25), daha-yüksek-riskli müşteriler/işlemler için sıkılaştırılmış durum tespiti, süregelen müşteri-ilişkisi izleme; MASAK kırmızı-bayrak göstergelerine ve kuruluşa özgü risk değerlendirmelerine karşı işlem izleme; şüphe oluşumundan sonraki 10 iş günü içinde MASAK’a dosyalanan şüpheli işlem bildirimleri (STR); tanımlanmış eşiklerin üstündeki nakit işlemler için nakit işlem bildirimleri (CTR) (çoğu kategori için şu anda 75.000 TL); 8 yıl kayıt tutma; MLRO ataması (Uyum Görevlisi); ve OFAC/AB/BM/Türk yaptırım listelerine karşı yaptırım taraması.
MASAK yaptırım mekanizmaları şunları içerir: idari para cezaları (uyum başarısızlıkları için önemli para cezaları — son zamanlarda kuruluş boyutuna bağlı olarak ihlal başına 2,5M+ TL’ye kadar); BDDK/SPK ile koordineli lisans-askıya alma önerileri; ciddi aklama veya finansman suçları için cezai sevkler (Türk Ceza Kanunu hükümleri kapsamında önemli cezai maruziyet taşır); Egmont Group aracılığıyla yabancı FIU’larla uluslararası bilgi-paylaşımı; ve caydırma amaçları için yaptırım eylemlerinin kamuya açıklanması.
Türk fintech kurucuları için MASAK uyumu lansman sonrası eklenmesi değil 1. Gün operasyonel mimarisidir: AML program tasarımı (politikalar, prosedürler, eğitim, MLRO ataması), KYC/CDD iş akışının müşteri-onboarding mekaniğiyle entegrasyonu, MASAK kırmızı-bayrak tespiti ile işlem-izleme sistemleri, yaptırım-tarama altyapısı (tipik olarak Refinitiv, kripto için Chainalysis, Acuris gibi tedarikçiler aracılığıyla), STR-dosyalama protokolleri ve karar-verme çerçevesi ve süregelen MASAK denetimsel-ilişki yönetimi. Vircon Legal Türk fintech’lere, kripto-varlık platformlarına ve düzenlenmiş kuruluşlara MASAK uyumu konusunda danışmanlık sunar — program mimarisi, KYC/CDD çerçeve tasarımı, işlem-izleme kuralı kalibrasyonu, STR-dosyalama protokolü, MLRO yönetişimi, yaptırım-program tasarımı ve MASAK yükümlülüklerinin BDDK, SPK ve KVKK gereksinimleriyle stratejik koordinasyonu.