Hazine ve Maliye Bakanlığı tarafından tüzel kişilerin uzaktan kimlik doğrulama süreçlerine ilişkin konularda birtakım değişiklikler yapan Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)'nde Değişiklik Yapılmasına İlişkin Tebliğ (Sıra No: 24), 11 Ağustos 2023 tarihli Resmi Gazete'de yayımlanarak yürürlüğe girmiştir.

Önemli Noktalar:

  • Ticaret siciline kayıtlı tüzel kişilerin uzaktan kimlik doğrulama süreçleri düzenlenerek yükümlülerce tüzel kişi şirketlerin MASAK düzenlemeleri kapsamında uzaktan müşteri olarak edinilmesinin önü açılmıştır.
    • Diğer yandan, ödeme ve elektronik para kuruluşları işbu değişiklik ile MASAK Genel Tebliği Sıra No:19 altında "Yükümlüler İtibarıyla Uzaktan Kimlik Tespiti" maddesi altına eklenmediklerinden gerek gerçek gerek tüzel kişilerin Ödeme Tebliğ Madde 22'ye uygun kimlik şekilde gerçekleştirilen doğrulama süreçleri hala MASAK tarafından geçerli kabul edilmeyecektir.
    • Bankalar açısından ise, 25 Mayıs 2023'te bankaların uzaktan kimlik doğrulama düzenlemelerinde yapılan değişiklik sonrasında 19 No'lu Tebliğ'de yapılan bu değişiklik ile birlikte ticaret siciline kayıtlı tüzel kişiler için uzaktan müşteri ediniminin önü tamamen açılmıştır.
    • Finansal kiralama, faktöring ve finansman şirketleri açısından ise uzaktan kimlik doğrulama ve sözleşme süreçlerine ilişkin düzenlemelerindeki "kişi" tanımı hala tüzel kişileri kapsamadığından bu kuruluşlar kendi düzenlemelerine uygun şekilde tüzel kişiler için uzaktan müşteri edinimi yapamayacaktır.
  • Uzaktan kimlik tespiti sürecinin tamamının çevrimiçi, kesintisiz, görüntülü ve gerçek zamanlı olacağı öngörülmüş ve sürecin tüm adımlarını içerecek şekilde kayıt alınması ve saklanması yükümlülüğü getirilmiştir.
    • Bu yükümlülük sebebiyle müşteri temsilcisi ile konuşulmayan, yapay zeka destekli yöntemlerin kullanıldığı süreçlerde dahi, görüşmeler canlı ve gerçek zamanlı olmalı, yapay zeka görüşme esnasında müşteri temsilcisinin yapacağı kontroller anlık olarak gerçekleştirmelidir. Yapay zeka uygulamalarının kullanıldığı görüşmelerin de tüm adımları içerecek şekilde kaydedilmesi gerekecektir.
  • Uzaktan kimlik tespiti sürecinin yapay zekâ temelli yöntemlerle gerçekleştirilmesi MASAK düzenlemeleri açısından da kabul edilmiştir. Yapay zekâ temelli yöntemlerin kullanımına ilişkin esaslar detaylandırılmıştır.
    • Kullanılacak yapay zeka uygulamalarında yanlış onay vakasının on milyonda birin altında olduğunu gösteren Türk Standardları Enstitüsü raporunun alınması zorunluluğu getirilmiştir.
  • Uzaktan kimlik tespiti sürecinin kısmen veya tamamen hizmet alımı suretiyle gerçekleştirilmesi durumunda, hizmet alınacak kuruluşların TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibi olmalarının zorunlu olduğu belirtilmiştir.

Tebliğ Değişikliği Neler Getiriyor?

  • Ticaret siciline kayıtlı tüzel kişilerin uzaktan kimlik doğrulaması: Uzaktan kimlik doğrulamaları açısından takip edilecek MASAK düzenlemesi olan MASAK Genel Tebliği Sıra No:19 ("Tebliğ") içerisindeki "müşteri" tanımı "ticaret siciline kayıtlı tüzel kişiler"i de kapsayacak şekilde genişletilmiştir. Yapılan değişikliklerle birlikte gerçek kişilerin yanında şirketlerin de kimlik doğrulamasının yapılmasının önü açılmıştır.

Süreçte yapılması gerekenler özetle aşağıdaki gibidir:

  • Ticaret siciline kayıtlı tüzel kişilerde kimlik tespiti için Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik'inmaddesinde belirtilen bilgiler alınacaktır.
  • Bu bilgiler MERSİS ve Gelir İdaresi Başkanlığı'nın veri tabanındaki sorgulamalarda doğrulanacak, aynı zamanda tüzel kişiliği temsile yetkili kişinin uzaktan kimlik tespiti Tebliğ'in 4.maddesinde belirtilen gerçek kişilerin kimlik tespitinde uygulanan usulle doğrulanacaktır.
    • Tüzel kişiyi temsile yetkili kişinin hâlihazırda aynı yükümlünün müşterisi olması halinde, temsilcisi olduğu tüzel kişiye ilişkin sürekli iş ilişkisi tesis etmeye yönelik talebini, kullanımına açık olan internet şubesi ya da mobil uygulama üzerinden oturum açmak suretiyle de iletebilecektir.
  • Kimliği doğrulanan gerçek kişinin temsilyetkisi, alınan bilgilerin MERSİS veya Türkiye Ticaret Sicili Gazetesi üzerinden sorgulama yapılarak edinilen güncel bilgiler ile eşleştirilmesi suretiyle teyit edilecektir.
  • İhtiyaç duyulması halinde, temsile yetkili kişi tarafından sunulan imza sirkülerindeki imza örneğikişinin kimlik belgesinde ve/veya MERSİS'te bulunan imza örneği ile karşılaştırılacaktır.
  • Uzaktan kimlik tespiti sürecinde kayıt alma ve saklama yükümlülüğü:Uzaktan kimlik tespitinde sürecin; çevrimiçi, kesintisiz, görüntülü ve gerçek zamanlı olarak yürütülmesi esas alınmıştır. Buna ek olarak uzaktan kimlik tespiti sürecinin tamamını, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alma ve saklama yükümlülüğü getirilmiştir.
  • Dış hizmet sağlayıcıların ISO sertifikası yükümlülüğü: Uzaktan kimlik tespiti sürecinin kısmen veya tamamen hizmet alımı suretiyle gerçekleştirilmesi durumunda, hizmet alınacak kuruluşların TS EN ISO/IEC 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası sahibi olmaları zorunlu tutulmuştur. Bu kapsamda uzaktan kimlik doğrulama sürecinin dış hizmet alınarak yürütülmesi durumunda ISO sertifikası olmayan şirketlerle çalışılmasının önüne geçilmiştir.
  • Uzaktan kimlik doğrulama süreçlerinde yapay zeka kullanımı: Uzaktan kimlik tespitinde müşteri temsilcisi tarafından gerçekleştirilen işlemler yapay zekâ temelli yöntemler ile de yapılabilecektir. Burada belirtmek gerekir ki, süreç yapay zeka yardımıyla yürütülse dahi yapılacak görüşmeler "çevrimiçi ve gerçek zamanlı" olmalıdır. Dolayısıyla yapılacak uzaktan kimlik doğrulama süreçleri sırasında yapay zeka yöntemlerinin kullanımı ancak aksi halde müşteri temsilcisinin yapacağı doğrulamaların anlık olarak yapay zeka tarafından yerine getirilmesi şeklinde olabilecektir.
  • Bu başlık altında ilave bir sertifika yükümlülüğü olarak, kimlik doğrulama süreçleri esnasında kullanılan yapay zekâ algoritmalarının yanlış onay vakasının on milyonda birin altında olduğunu gösteren Türk Standardları Enstitüsü raporununalınmasının gerekli olduğu düzenlenmiştir. Yapay zeka algoritmasının yurtdışı menşeli bir kuruluştan alınması ve söz konusu kuruluşun yurtdışında uluslararası geçerliliği bulunan bir sertifika sahibi olması durumunda Türk Standartları Enstitüsü raporu alınmasına gerek olmayacaktır.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.