Regal PartnersRegal Partners

Türkiye'de Servis Modeli Bankacılığı: Hukuki Çerçeve

|Fintech & Dijital Varlıklar|Av. Nur Şentürk

Servis modeli bankacılığı ("SMB"), lisanslı bankaların sunduğu bankacılık hizmetlerinin arayüz sağlayıcıların dijital kanalları üzerinden müşterilere ulaştırılmasıdır. Bu süreç API entegrasyonları aracılığıyla yürütülür. Hizmetin hukuki sağlayıcısı banka lisansına sahip bir Servis Bankası'dır; arayüz sağlayıcısı ise müşterinin işlem yaptığı dijital platformu işletir.

SMB'nin hukuki çerçevesi öncelikli olarak 5411 sayılı Bankacılık Kanunu ve 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun olmak üzere, BDDK tarafından çıkarılan düzenlemeler ile şekillenmektedir. Bu çerçevede kişisel verilerin korunması, finansal güvenlik ve tüketici hakları alanlarındaki mevzuatlar da uygulanabilmektedir.

Sorumluluk dağılımı bakımından SMB modelinde nihai yükümlülük servis bankasında kalmaktadır. Bankalar müşteri tanıma, kara para aklama önleme ve işlem güvenliği gibi kritik alanlardan sorumludur. Arayüz sağlayıcısı ise destek hizmeti kuruluşu sıfatıyla BDDK iznine tabi olup sunduğu arayüzün mevzuata uygunluğu, veri güvenliği ve teknik yeterliliğinden sorumludur.

Servis bankasının, aracı olarak seçeceği arayüz sağlayıcıyı özenle değerlendirmesi ve süreç boyunca denetlemesi gerekmektedir. Zira Servis Bankası, ilgili yükümlülükleri yerine getirmeyen veya teknik yeterliliğe sahip olmayan arayüz sağlayıcılarla bu ilişkiyi sürdüremeyecektir.

Servis Modeli Bankacılığı Nedir?

SMB, faaliyet izni bulunan bankaların bankacılık hizmetlerini arayüz sağlayıcıların dijital platformları üzerinden sunmasıdır. Bu modelde hizmet arka planda servis bankası tarafından sağlanır; kullanıcı ise işlemini banka uygulaması yerine arayüz sağlayıcının platformu üzerinden gerçekleştirir. Böylece bankacılık ürün ve hizmetlerine banka dışı dijital kanallar aracılığıyla erişim sağlanabilir.

BaaS ile İlişkisi

Uluslararası literatürde "Banking as a Service (BaaS)" olarak adlandırılan bu model, Türk hukukunda DB-SMB Yönetmeliği ile yasal bir çerçeve oluşturmuş olup "servis modeli bankacılığı" terimi benimsenmiştir. BaaS/SMB modelinde bankacılık fonksiyonları —ödeme, hesap açma, kredi kullandırımı gibi hizmetler— modüler yapıda üçüncü taraf platformlara sunulmakta; son kullanıcılar bu hizmetlere doğrudan bir banka uygulaması üzerinden değil, ilgili platform aracılığıyla erişmektedir.

Model; bankalara yeni gelir kanalları ve daha geniş bir dağıtım ağı sunarken, arayüz sağlayıcılara banka lisansı edinme yükümlülüğü olmaksızın finansal hizmet sunma imkânı tanımaktadır. Aynı zamanda veri güvenliği, düzenleyici uyum ve taraflar arasındaki sorumluluk paylaşımı gibi konular hukuki boyutunu da oluşturmaktadır.

Geleneksel Bankacılıktan Farkı

Geleneksel bankacılık modelinde banka, müşterisiyle doğrudan ve tek taraflı bir sözleşme ilişkisi kurmakta; hizmetleri kendi şube ağı, ATM'leri veya dijital kanalları aracılığıyla sunmaktadır. Bu yapıda ekstra bir aracı devreye girmemektedir.

Servis modeli bankacılığında ise servis bankası, arayüz sağlayıcı ve müşteriden oluşan üçlü bir hukuki yapı söz konusudur. Banka bu modelde altyapı ve lisans sağlayıcı konumuna geçmekte ve müşteriyle doğrudan teması kurmamaktadır; müşteriyle doğrudan temas arayüz sağlayıcı üzerinden kurulmaktadır. Bununla birlikte banka, altyapı sağlayıcı rolüne geçmiş olmasına ve doğrudan bir etkileşim olmamasına rağmen, düzenleyici yükümlülüklerini müşteri kimlik tespiti, AML uyumu ve işlem güvenliği dahil korumaya devam etmektedir. Dolayısıyla, SMB modeli ve geleneksel bankacılık birbirinden ayrışmaktadır.

Fintech–Banka İş Birlikleri

SMB modeli, bankalar ile arayüz sağlayıcılar arasında hukuki ve teknik entegrasyona dayalı iş birlikleri gerektirmektedir. İş birliğinde bankalar; faaliyet lisanslarını, finansal altyapılarını ve düzenleyici yükümlülükleri karşılama kapasitelerini ortaya koyarken, arayüz sağlayıcılar kullanıcı arayüzü tasarımını, müşteri deneyimini ve dijital dağıtım kanallarını üstlenmektedir. Ancak birlikte koordineli bir şekilde çalışmaktadırlar. Hukuki açıdan, arayüz sağlayıcısı servis bankasına destek hizmeti sunan taraf olmaktadır. Dolayısıyla, BDDK iznine tabi tutulan hukuki bir ilişki söz konusudur.

Platform Ekonomisi ile İlişkisi

Servis modeli bankacılığında platform ekonomisinin temel mantığı çok taraflı yapı ve entegrasyondur. Finansal hizmetler e-ticaret, mobil uygulama ve süper uygulamalar üzerinden yürütülmektedir. Uygulamalar sayesinde daha kesintisiz bir kullanıcı deneyimi oluşturulmakla beraber, bankacılık platformlarının sunduğu değer zinciri, müşterilere ekonomik olarak da avantajlar sağlamaktadır.

Türkiye'de Servis Modeli Bankacılığına İlişkin Hukuki Çerçeve

Bankacılık hizmetlerinin dijital platformlar üzerinden sunulmasının yaygınlaşması ile bu alanda kapsamlı bir hukuki çerçevenin oluşturulmasını zorunlu kılmıştır. Türkiye'de servis modeli bankacılığının hukuki altyapısı, 29 Aralık 2021 tarihli ve 31706 sayılı Resmî Gazete'de yayımlanarak 1 Ocak 2022 itibarıyla yürürlüğe giren Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik (DB-SMB Yönetmeliği) ile belirlenmiştir.

Yönetmelik; 5411 sayılı Bankacılık Kanunu'nun 4, 6, 7, 10, 13, 35, 43 ve 93. maddelerine dayanılarak hazırlanmış olup finansal istikrarın korunması, tüketici haklarının güvence altına alınması ve düzenleyici uyumun sağlanması temel amaçları arasında yer almaktadır.

SMB, yalnızca bankacılık mevzuatıyla sınırlı bir çerçevede ele alınamaz. Bu modele uygulanabilir başlıca düzenlemeler şunlardır:

  • 5411 sayılı Bankacılık Kanunu
  • 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
  • 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK)
  • Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik (BSEBY)
  • Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine İlişkin Yönetmelik (UKTY)

    • BDDK Düzenlemeleri

    Servis modeli bankacılığı Türkiye'de BDDK'nin yayınladığı "Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik" ile düzenlenmiştir. Düzenleyici otorite olarak BDDK, SMB modelinde bankacılık hizmetini sunan tarafı "servis bankası", bu hizmetlere arayüz oluşturan işletmeleri ise "arayüz sağlayıcı" olarak tanımlamaktadır.

    BDDK, SMB modelinde hem Servis Bankası hem de arayüz sağlayıcı üzerinde doğrudan düzenleyici ve denetleyici yetkiye sahiptir. Bu yetki, 5411 sayılı Bankacılık Kanunu'nun 93. Maddesi ile Yönetmeliğin ilgili hükümleri çerçevesinde yer almaktadır.

    BDDK'nın SMB özelinde yetkileri şunlardır:

  • Arayüz sağlayıcılara destek hizmeti kuruluşu izni vermek ve bu izni geri almak
  • Servis bankalarının arayüz sağlayıcı seçim ve denetim süreçlerini yerinde denetlemek
  • Kimlik doğrulama ve işlem güvenliği standartlarına uyumu izlemek
  • Yönetmelik yükümlülüklerini yerine getirmeyen arayüz sağlayıcılarla servis modeli bankacılığı ilişkisinin sonlandırılmasını servis bankasından talep etmek

    • Yaptırım boyutunda BDDK, 5411 sayılı Kanun'un 146-149. maddeleri kapsamında aşağıdaki yaptırımları uygulama yetkisine sahiptir:

  • İdari para cezası (m. 146)
  • Faaliyet izninin askıya alınması veya iptali (m. 147)
  • Yöneticiler hakkında görevden uzaklaştırma ve yönetim kurulu üyeliğinden men (m. 148)
  • İşlem yasağı (m. 149)

    • SMB ilişkisinde ortaya çıkan ihlallerde BDDK, arayüz sağlayıcının destek hizmeti kuruluşu iznini iptal edebilmekte; servis bankası ise Yönetmelik'in 13. maddesi uyarınca yükümlülüklerini yerine getiremeyen arayüz sağlayıcıyla SMB ilişkisini sona erdirmek zorundadır.

    Bunun yanı sıra BDDK, servis bankalarından hizmet verdikleri tüm arayüz sağlayıcıların listesini ve sunulan bankacılık hizmetlerinin kapsamını düzenli olarak raporlamasını talep etme yetkisine de sahiptir.

    Ödeme ve Elektronik Para Kuruluşları ile İlişki

    6493 sayılı Kanun kapsamında faaliyet gösteren ödeme kuruluşları ve elektronik para kuruluşları, servis modeli bankacılığı yapısında arayüz sağlayıcı olarak yer alabilmektedir. Bu noktada temel kural, her tarafın kendi lisans sınırları içinde hareket etmesidir. Buna göre bankacılık işlemleri servis bankası üzerinden yürütülürken, ödeme hizmetleri ancak ilgili lisansa sahip kuruluşlar tarafından sunulabilmektedir. İş birliği sayesinde ödeme hizmetleri, para transferi ve dijital ödeme cüzdanı gibi ürünler geniş kitlelere ulaşabilmektedir.

    Lisans Gereklilikleri

    Servis Bankası, 5411 sayılı Kanun kapsamındaki banka lisansıyla faaliyet göstermektedir. Arayüz sağlayıcı ise banka lisansına ihtiyaç duymamakla birlikte iki ayrı yükümlülük altındadır: BDDK'dan alınması zorunlu destek hizmeti kuruluşu izni ve sunulan hizmetin niteliğine göre 6493 sayılı Kanun kapsamında ödeme veya elektronik para kuruluşu lisansı. Arayüz sağlayıcının sistemlerinin ayrıca BSEBY'de öngörülen teknik ve güvenlik kriterlerini sağlaması da zorunludur.

    Servis Modeli Bankacılığında Taraflar

    SMB modeli; servis bankası, arayüz sağlayıcı ve müşteriden oluşan üçlü bir hukuki yapı üzerine kuruludur. Taraflar arasındaki görev ve sorumluluk dağılımı, Yönetmelik çerçevesinde ve akdedilen hizmet sözleşmeleri ile somutlaşmaktadır.

    Banka

    Bu bankacılık modelinde bankalar lisans sahibi ve finansal hizmetin hukuki sağlayıcısı konumundadır. Tüm bankacılık işlemleri banka bilançosu üzerinden gerçekleşmektedir. Düzenleyici otoritelerde nihai sorumluluk bankanındır. Bankalar müşteri tanıma, risk yönetimi, uyum ve güvenlik süreçlerini yürütme konusunda yasal yükümlülüğe sahiptir.

    Arayüz Sağlayıcı

    Arayüz sağlayıcı, bankalar tarafından sunulan finansal hizmetleri API'ler üzerinden kendi dijital sistemine entegre etmektedir. Müşterilere hizmet sunan ve kullanıcı deneyimini yöneten taraftır. E-ticaret platformları, süper uygulamalar ve finansal teknoloji şirketleri bu tarafta yer alabilmektedir. Arayüz sağlayıcı, sunduğu hizmetleri servis bankasıyla akdettiği hizmet sözleşmesi kapsamında ve Yönetmelik'in öngördüğü sınırlar içinde yürütmekle yükümlüdür.

    Müşteri

    Müşteri, SMB ekosisteminde bankacılık hizmetlerinden yararlanan taraftır. Müşteri ile servis bankası arasında Bankacılık Kanunu'nun 76. maddesi uyarınca doğrudan bir sözleşme ilişkisi kurulması zorunludur; dolayısıyla müşterinin hukuki muhatabı arayüz sağlayıcı değil, servis bankasıdır. Müşteri bu hizmetlere arayüz sağlayıcının platformu üzerinden erişmekle birlikte, sunulan hizmetin hukuki güvencesi ve sorumluluğu bankaya aittir.

    Servis Modeli Bankacılığı Sorumluluk Dağılımı

    Servis Bankasının Sorumluluğu

    Servis bankası, SMB modelinde düzenleyici otoriteler karşısında esas muhatap konumundadır. Bu çerçevede servis bankası; müşteri kimlik tespiti, suç gelirlerinin aklanmasının önlenmesi (AML) ve işlem güvenliğine ilişkin birincil yasal yükümlülüğü taşımaktadır. Müşteri ile kurulan hukuki ilişki ve kimlik doğrulama süreci doğrudan 5411 sayılı Kanun ile UKTY'ye tabidir.

    Servis bankasının ayrıca iş birliği yaptığı arayüz sağlayıcıyı titizlikle seçme ve süreç boyunca denetleme yükümlülüğü bulunmaktadır. Yönetmelik, servis bankasının ilgili yükümlülükleri yerine getiremeyen ya da teknik yeterliliğe sahip olmayan arayüz sağlayıcıyla SMB ilişkisini sona erdirmek zorunda olduğunu açıkça düzenlemektedir.

    Arayüz Sağlayıcının (Platformun) Sorumluluğu

    Arayüz sağlayıcı; sunduğu arayüzün mevzuata uygunluğu, teknik yeterliliği, veri güvenliği ve güvenli işletiminden sorumludur. Kullanıcı arayüzünün tasarımı, müşteri deneyimi ve hizmet sürekliliği de arayüz sağlayıcının sorumluluk alanı içindedir. E-ticaret platformları veya süper uygulamalar gibi yapılar arayüz sağlayıcı statüsünde faaliyet gösterdiğinde, kullanıcıya sunulan bilgilendirmelerin doğruluğu, işlem akışının güvenliği ve finansal hizmetlerin şeffaf biçimde sunulması da bu sorumluluk kapsamına girmektedir. Tüm faaliyetlerin Servis Bankası'yla akdedilen hizmet sözleşmesi ve ilgili mevzuat çerçevesinde yürütülmesi zorunludur.

    Müteselsil Sorumluluk

    SMB modelinin en önemli hukuki unsurlarından biri olan müteselsil sorumluluk, kimlik doğrulama ve işlem güvenliği yükümlülükleri bakımından doğrudan Yönetmelikten doğmaktadır. Yönetmelik'in 13. maddesinin 5. fıkrası uyarınca arayüz sağlayıcının mobil uygulaması ya da internet tarayıcısı temelli arayüzünün BSEBY'de öngörülen kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygun olmasını sağlamak konusunda arayüz sağlayıcı ve Servis Bankası müteselsilen sorumludur. Bu sorumluluk taraflar arasında akdedilen sözleşme maddelerine bırakılmış olmayıp doğrudan yönetmeliğe dayanmaktadır.

    Müteselsil sorumluluk kapsamındaki ihlallerde düzenleyici otoriteler her iki tarafı da muhatap alabilir. Bu nedenle, taraflar arasındaki hizmet sözleşmelerinde iç ilişkideki sorumluluk paylaşımının düzenlenmesini gerektirebilmektedir.

    KVKK ve Veri Paylaşımı Açısından Riskler

    SMB modelinde müşteri finansal verilerinin birden fazla taraf arasında aktarılması, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında da değerlendirmeye alınmasını gerektirmektedir. Servis bankası ve arayüz sağlayıcı, müşteri verilerini hukuka uygun biçimde işlemek; veri minimizasyonu, güvenlik ve amaçla sınırlılık ilkelerine uymak zorundadır. Verilerin çok taraflı yapıda aktarılması yetkisiz erişim ve ihlal riskini artırdığından, teknik ve idari tedbirlerin güçlü biçimde uygulanması zorunludur.

    Kullanıcıdan alınan açık rıza beyanının belirli özelliklere sahip olması gerekiyor. Bu beyan belirli, bilgilendirilmiş ve özgür iradeye dayalı olmalıdır. Açık rıza uygun olmazsa, veri işleme faaliyetleri hukuka aykırı olmaktadır. Taraflar arasında yapılan veri paylaşımı sözleşmelerinde sorumluluklar net şekilde belirlenmelidir. Böylece ihlal olması halinde doğacak riskler en aza indirilebilmektedir.

    Veri Sorumlusu Kim?

    Müşteri ile kurulan hukuki ilişkinin ve finansal hizmetin asıl sağlayıcısı sıfatıyla servis bankası kural olarak veri sorumlusu konumundadır. Arayüz sağlayıcı ise üstlendiği veri işleme faaliyetinin kapsamına ve niteliğine bağlı olarak veri sorumlusu ya da veri işleyen sıfatı kazanabilmektedir. Bu ayrım taraflar arasındaki sözleşmeyle değil, KVKK kapsamında fiili veri işleme faaliyetinin niteliğiyle belirlenmektedir.

    Açık Rıza Gerekliliği

    Kişisel ve finansal verilerin işlenmesi ve üçüncü taraflarla paylaşılması konusunda açık rıza alınması zorunludur. Açık rıza belirli bir konuya ilişkin olmalıdır. Ayrıca bilgilendirmeye dayanmalı ve özgür iradeyle verilmelidir. Bu kapsamda kullanıcıdan alınan rızada hangi verilerin kimlerle ve hangi amaçla paylaşılacağı açık bir şekilde belirtilmelidir.

    Veri İhlallerinde Sorumluluk

    Veri ihlali olursa sorumluluk ihlalin gerçekleştiği sürece ve kusura göre belirlenmektedir. Servis bankası sistemin genel güvenliği ve mevzuata uyumdan birincil sorumlu olmakla birlikte, ihlalin arayüz sağlayıcının sistemlerinden kaynaklanması hâlinde sorumluluk ilgili tarafa da yönelebilmektedir. Veri ihlali niteliğine ve sorumlulukları doğrultusunda, KVKK kapsamında her iki tarafa idari para cezası uygulanabilmekte olup, taraflar arası hizmet sözleşmelerinde müteselsil sorumluluğun önceden belirlenmesi bu nedenle kritik önem taşımaktadır.

    Uygulamada Karşılaşılan Hukuki Riskler

    Sözleşmesel Boşluklar

    Servis bankası ile arayüz sağlayıcı arasındaki hizmet sözleşmelerinde sorumluluk paylaşımı, veri işleme koşulları ve hizmet kesintisine ilişkin düzenlemelerin yetersiz ya da belirsiz kalması, müşteri zararı, işlem hatası veya mevzuat ihlali hâlinde kimin sorumlu tutulacağı belirsiz olabilmektedir. Bu durum uygulamada çeşitli hukuki riskleri de beraberinde getirmektedir. Bu nedenle sözleşme detaylı, açık ve mevzuata uygun şekilde hazırlanmalıdır.

    Düzenleyici otoriteler bu tür uyuşmazlıklarda kural olarak bankayı muhatap almakta olup bu durum bankalar üzerinde ek bir uyum ve denetim yükü oluşturmaktadır. Özellikle müteselsil sorumluluk bağlamında rücu hakkının sözleşmeyle önceden belirlenmesi kritik önem taşımaktadır.

    Lisanssız Faaliyet Riski

    Arayüz sağlayıcıların, sözleşmesel kapsamı aşan bankacılık faaliyetlerinde bulunması — banka lisansı gerektiren işlemleri fiilen icra etmesi ya da müşteride bankacılık izlenimi yaratacak uygulamalara girmesi — ciddi idari yaptırım ve faaliyet kısıtlamasına yol açabilmektedir. Bu nedenle arayüz sağlayıcıların faaliyet alanlarını net olarak belirlenmesi gerekmektedir. Ayrıca banka ile olan işbirliklerine sadık kalmaları gerekmektedir.

    Yanıltıcı Hizmet Sunumu

    Kullanıcıya sunulan hizmetlerde şeffaflık eksikliği veya yanlış bilgilendirme olabilmektedir. Bu durumlarda hukuki riskler ortaya çıkabilmektedir. Arayüz sağlayıcının sunduğu bankacılık hizmetlerini doğrudan kendine aitmiş gibi konumlandırması tüketici hukuku ve bankacılık mevzuatı açısından yaptırım riski doğurmaktadır. Yönetmelik arayüz sağlayıcının müşteriyle kurduğu sözleşmede bankacılık hizmetlerinin Servis Bankası tarafından sunulduğunun açıkça belirtilmesini ve Servis Bankası'nın logo ile isminin arayüz sağlayıcının ana sayfasında görünür biçimde yer almasını zorunlu kılmaktadır.

    Siber Güvenlik ve Hizmet Sürekliliği

    Siber güvenlik açıkları, hizmet kesintileri ve kullanıcı mağduriyetleri hem hukuki hem de itibar riski oluşturabilmektedir. BSEBY kapsamındaki teknik yükümlülüklere uyumsuzluk hâlinde müteselsil sorumluluk gündeme gelebileceğinden her iki tarafın da idari tedbirler alması zorunludur.

    Servis bankacılığı hukuku konusunda profesyonel çözümler için www.regalpartners.com.tr'yi tercih edebilirsiniz.

    Tüm Yayınlar

    Bizimle Hukuki Çözüm Ortaklığı Kurun

    Bize Ulaşın