Kripto ve fintech şirketleri genelde “risk bazlı yaklaşım” ifadesini unuttukları için zorlanmaz. Asıl sorun, AML dosyasının sahibinin belli olmaması, hangi ürün hattının regülasyon çevresine girdiğinin netleşmemesi ve ürün yeni ödeme ya da kripto akışına geçtiğinde dosyanın nasıl değişeceğinin yazılmamış olmasıdır.
2026'da gerçek soru budur. AML önemli mi sorusu değil. Elbette önemli. Soru şu: banka, ödeme partneri ya da regülatör dosyanızı dürüstçe bir kez okuduğunda iş modelini ve kontrol düzenini anlayabiliyor mu? Corpenza'nın uyum ekibi, geniş çerçeveli AML rehberi, yabancı şirket için muhasebeci seçimi yazısı ve cezaya yol açan uyum hataları tam bu noktada birleşir.
Kripto veya fintech şirketi için ilk AML sorusu nedir?
İlk soru evrak değil, çevredir. Hangi faaliyet regüle, kim denetliyor ve lansmandan sonra iş modeli değişti mi? FCA, money laundering regulations kapsamına giren kriptoasset hizmetlerini vermek isteyen firmaların kayıt olması gerektiğini açıkça söylüyor. Aynı sayfa, Birleşik Krallık'ta iş kapsamında hareket eden firmaların faaliyete başlamadan önce kayıt olması gerektiğini de yazar. ABD tarafında FinCEN'in 2019 rehberi, convertible virtual currency ve para yerine geçen değer içeren belirli iş modellerine Bank Secrecy Act ve money services business kurallarının uygulanabildiğini hatırlatır.
Bu önemli, çünkü birçok fintech kurucusu lisans taşıyan partnerin bütün AML yükünü çözeceğini sanıyor. Bazen sponsor banka ya da EMI ana lisans çevresini taşıyabilir. Bu doğru. Ama sizin operasyon dosyanızı ortadan kaldırmaz. Müşteri edinimi, onboarding mantığı, fraud sinyalleri, source-of-funds soruları ve escalation sahipliği yine bir yerde yaşamak zorunda. Ürün değişirse dosya da değişir. Hemen.
Kripto tarafında bunun daha keskin bir versiyonu var. Cüzdan ürünü exchange akışına döner. Treasury aracı müşteri değerine temas etmeye başlar. Yeni fiat on-ramp gelir. Ürün toplantısında küçük görünen bu değişiklikler AML açısından küçük değildir.
Regülatörler temel olarak hangi AML kontrollerini görmek ister?
Politika klasörü değil, çalışan bir kontrol seti görmek isterler. FCA'nın AML sayfası, MLR kapsamında denetlenen firmaların risk değerlendirmesi yapması, uygun sistem ve kontroller kurması, due diligence uygulaması, MLRO ataması ve genel sorumluluğu yönetici ya da kıdemli bir kişiye vermesi gerektiğini söyler. 2026 tabanı budur.
Pratikte iyi AML paketi sıkıcı görünür. Ürün ve müşteri risk haritası. Ülke matrisi. KYC kuralları. Enhanced due-diligence tetikleri. Yaptırım taraması sahipliği. İzleme senaryoları. Şüpheli işlem escalation akışı. Saklama kuralları. Yönetim raporlaması. Tedarikçi gözetimi. Bunlardan biri sadece bir kişinin aklındaysa o şey kontrol değildir. Bağımlılıktır.
Fintech ekipleri çoğu zaman ürün ile uyum arasındaki devir noktasında zorlanır. Onboarding akışı değişir. Yeni belge kabul edilir. Yeni merchant segmenti açılır. Politika dosyası aynı kalır. Sonra partner incelemesi boşluğu çıkarır. Kripto ekipleri ise başka yerde kırılır. İzleme yapısı küçük hacme göre kurulmuştur, işlem hızı büyüyünce yeniden tasarlanmamıştır.
Travel rule yükümlülükleri kripto dosyasını nasıl değiştirir?
Transfer verisini doğrudan operasyon şartına çevirir. FCA, 1 Eylül 2023'ten itibaren Birleşik Krallık'taki kriptoasset işletmelerinin transferlere ilişkin bilgiyi toplaması, doğrulaması ve paylaşması gerektiğini söylüyor. AB tarafında funds ve certain crypto-assets transferlerine eşlik eden bilgiye ilişkin 2023/1113 sayılı Tüzük yürürlüktedir ve 30 Aralık 2024'ten itibaren uygulanır.
Bu şu anlama gelir: AML dosyası müşteri onboarding'de bitmez. Transfer akışının içine kadar uzanır. Hangi veri yakalanıyor. Hangi transfer review'a düşüyor. Karşı taraf nasıl tanımlanıyor. Başka ülke bu kuralı farklı takvimle uyguladığında ne oluyor. İstisnalar nasıl kaydediliyor. Veri eksikse serbest bırakma kararını kim veriyor. Bunların hiçbiri “ongoing monitoring” başlığı altında belirsiz bırakılmamalı.
Küçük kripto firmaları ilk sürtünmeyi genelde burada hisseder. Vendor aracını alır, sorunun çözüldüğünü varsayar, iç sahipliği yazmaz. Regülatör bunu temiz kaçış olarak görmez. FCA'nın açıklaması, üçüncü taraf kullanılsa bile uyum sonucunun firmaya ait kaldığını açıkça söyler. Bu cümle her implementasyon planında görünmeli.
Fintech şirketleri kripto tarafı olmasa bile en çok nerede hata yapar?
Operasyon büyümesi dosya disiplinini geçtiğinde hata başlar. Uygulama yeni ülkeye açılır. Daha riskli müşteri grubu eklenir. Manuel inceleme kuyruğu uzar. Partner due diligence cevapları dağınık dosyalardan toplanır. Şirkette AML policy hâlâ vardır, bu yüzden herkes temel konuların tamam olduğunu düşünür. Çoğu zaman değildir.
En sık görülen boşluklar tanıdıktır. Faydalanıcı sahiplik bilgisi eski kalır. Source-of-funds notları onboarding kanalları arasında tutmaz. İzleme eşikleri geçen yılın hacmine göre kalmıştır. Tek compliance analisti tüm escalation fonksiyonunu taşımaktadır. Politikada adı geçen kıdemli yönetici ise programı fiilen yönetmüyordur. Bu yüzden ceza doğuran uyum hataları yazısı önemlidir. Cezalar çoğu zaman uzun operasyonel sürüklenmeden sonra gelir.
Bunun bir finans boyutu da vardır. Hızla büyüyen fintech yapı, holding katmanını, vergi yapılanmasını ve pazara giriş akışını optimize edebilir. Güzel. Yine de ticari yapı okunabilir kalmalıdır. Uluslararası vergi optimizasyonu rehberi ancak uyum dosyası ortaklık hikâyesini karşı tarafın takip edeceği netlikte anlatıyorsa işe yarar.
2026'da denetime hazır AML işletim paketi neleri içermeli?
Üçüncü tarafın kontrollerin gerçekten nasıl çalıştığını görebileceği kadar somut şey içermeli. Sadece politika metnini değil. Güncel risk değerlendirmesi, rol sahipliği, KYC ve EDD prosedürleri, tarama mantığı, işlem izleme kuralları, gerekiyorsa travel rule kurgusu, incident escalation akışı, yönetişim kayıtları ve iş değiştiğinde programın değiştiğine dair delil çoğu dosyada bulunmalıdır.
| Alan | Ne bulunmalı | Sık hata |
|---|---|---|
| Çevre | Hizmetler, ülkeler ve denetim mantığı eşlemesi | Eski lansman notunun güncel gerçek sanılması |
| Müşteri incelemesi | Belge kuralları, EDD tetikleri ve sahiplik kontrolleri | Farklı kanalların farklı kanıt istemesi |
| İzleme | Senaryolar, escalation adımları ve review izi | Hacim büyürken eşiklerin sabit kalması |
| Yönetişim | MLRO hattı, kıdemli yönetici sahipliği, yönetim raporlaması | Adı yazılı ama dosyayı fiilen yönetmeyen sahipler |
Bu aynı zamanda dış desteğin verimli hale geldiği noktadır. Corpenza, şirket dosyasını, uyum katmanını ve danışmanlık hattını tek uygulama akışında hizalayabilir. Amaç kalın politika seti değil. İncelemeye dayanan dosyadır.
Kurucular AML programını yamamak yerine ne zaman yeniden kurmalı?
Ürün, coğrafya, müşteri profili ya da işlem paterni dokümantasyondan hızlı değiştiğinde. Yeni fiat rail. Yeni token akışı. Sınır ötesi merchant onboarding. Embedded finance dağıtımı. Daha riskli ülkeler. B2B'den B2C'ye dönüş. Bunlar küçük ek değildir. Risk değerlendirmesinin ve izleme mantığının şeklini değiştirir.
Bankadan gelen zorlayıcı soru setinin dosyanın eskidiğini söylemesini beklemeyin. Bu geçtir. Yeniden kurulum, bir sonraki lansmandan önce, bir sonraki yatırım turundan önce ve büyük partner incelemesinden önce yapılmalıdır. Kısa cümle. Önemli.
2026'nın en iyi AML programları dışarıdan hâlâ sade görünür. Net çevre. Net sahiplik. Net delil. Alttaki iş ayrıntılıdır ama dosya temiz okunur. Çoğu zaman rutindeki onboarding ile haftalar süren savunmacı follow-up arasındaki fark budur.
Sık sorulan sorular
Her fintech, kripto borsası kadar ağır AML yapısı kurmak zorunda mı?
Hayır. Dosya gerçek iş modelini ve düzenleyici çevreyi takip etmelidir. Yine de daha riskli onboarding, ödeme akışı veya partner incelemesi yaşayan her şirket savunulabilir bir kontrol paketi kurmalıdır.
Travel rule uyumunu tamamen üçüncü taraf vendor üstlenebilir mi?
Hayır. Vendor süreci destekleyebilir. Sonuç, istisna yönetimi ve delil izi yine firmaya aittir.
Büyüyen kripto AML programında ilk ne bozulur?
Genelde izleme mantığı ile escalation sahipliği. İşlem hızı review modelinden önce büyür, sonra dosya gerçek akışla tutmamaya başlar.
Faydalanıcı sahiplik verisi ne zaman tazelenmeli?
Ortaklık, kontrol ya da müşteri risk gerçeği değiştiğinde ve büyük partner ya da banka incelemelerinden önce. Eski sahiplik verisi bütün dosyayı zehirler.
Bu içerik hukuki görüş müdür?
Hayır. Bu genel bilgilendirmedir. AML yükümlülükleri, ilgili ülkelere, ürünlere, karşı taraflara ve fiili işletim modeline bağlıdır.
Bu içerik genel bilgilendirme amaçlıdır. AML, kripto ve ödeme kuralları değişir; doğru kontrol çerçevesi ürünlerinize, ülkelere ve karşı taraflara göre kurulmalıdır.
