Türkiye'de bir dijital cüzdan uygulaması kurmak, ödeme hizmeti aracılık etmek veya elektronik para ihraç etmek isteyen şirketler için temel soru şudur: hangi düzenleyici kuruma, hangi lisans için başvurulur?
Kripto varlık borsaları SPK'ya tabi olurken (Dijital Varlık Piyasası Yönetmeliği), geleneksel dijital cüzdan ve ödeme hizmetleri BDDK denetimine girmektedir. Bu rehber, BDDK'nın 6493 sayılı Kanun çerçevesinde düzenlediği ödeme ve e-para kuruluşu lisanslarını adım adım açıklamaktadır.
Hangi Lisans Gerekiyor?
6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun kapsamında iki temel lisans türü bulunmaktadır:
1. Ödeme Kuruluşu Lisansı
Aşağıdaki hizmetlerden birini veya birkaçını sunmak isteyen şirketler bu lisansı almalıdır:
- Para transferi (havale / EFT)
- Ödeme hesabı işletimi
- Ödeme aracı ihraç ve kabulü (sanal kart, QR ödeme)
- Fatura ödeme aracılığı
- Açık bankacılık hizmetleri (ödeme başlatma, hesap bilgisi)
Asgari ödenmiş sermaye: 3.000.000 TL
2. Elektronik Para (E-Para) Kuruluşu Lisansı
Kullanıcıların para yükleyip dijital bakiye tutabileceği ve bu bakiyeyle ödeme yapabileceği bir cüzdan (dijital cüzdan) işletmek isteyen şirketler e-para lisansı almalıdır. E-para kuruluşları aynı zamanda ödeme hizmetleri de sunabilir.
Asgari ödenmiş sermaye: 5.000.000 TL
Başvuru Adımları
1. Ön Hazırlık
BDDK'ya başvurmadan önce şirketin aşağıdaki altyapıyı tamamlaması beklenmektedir:
- Şirket kuruluşu: Anonim şirket (A.Ş.) zorunludur; limitet şirketle başvuru kabul edilmez
- Sermaye taahhüdü: Ödeme kuruluşu için min. 3M TL, e-para için 5M TL tamamen ödenmiş olmalı
- Yönetim kurulu: En az iki üye; bankacılık, finans veya ödeme sistemleri deneyimi aranır
- Uyum yöneticisi: AML/CFT uyum görevlisi atanmalı
- Teknik altyapı belgesi: Sistemin nasıl çalışacağına dair teknik mimarı belgesi hazırlanmalı
2. Başvuru Dosyası
BDDK, başvuru dosyasında aşağıdakileri talep eder:
| Belge | Açıklama |
|---|---|
| İş planı | 3 yıllık gelir-gider projeksiyonu, hedef pazar, hizmet modeli |
| Teknik altyapı belgesi | Sistem mimarisi, veri akışı, güvenlik protokolleri |
| AML/CFT politikası | KYC prosedürleri, şüpheli işlem bildirimi süreci |
| Bilgi güvenliği politikası | ISO 27001 uyumu veya eşdeğer standart |
| Müşteri şikayeti yönetimi | Şikayet alma ve yanıtlama prosedürü |
| Yönetim kurulu özgeçmişleri | Her üye için detaylı CV ve sabıka kaydı |
| Hissedar yapısı | Nihai yararlanan sahiplerin tespiti (UBO) |
| Sermaye kaynağı belgesi | Fonların yasal kaynağı (banka dekontları vb.) |
3. Ön Görüşme
BDDK, resmi başvurudan önce başvurucu şirketle ön görüşme yapılmasını tavsiye eder. Bu görüşmede iş modeli değerlendirilir, eksiklikler önceden belirlenir ve süreç hızlanır.
4. Resmi Başvuru ve İnceleme
Başvuru, BDDK'nın e-tebligat sistemi üzerinden elektronik olarak yapılır. BDDK'nın inceleme süresi:
- Başvurunun eksiksiz kabul edilmesinden itibaren 3 ay
- Ek belge talepleri süreyi uzatır
5. Lisans Kararı
BDDK Kurul kararıyla lisans verilir veya reddedilir. Lisans alındıktan sonra:
- Faaliyete başlamadan önce altyapı testleri tamamlanmalı
- İlk 1 yıl içinde denetim raporlaması başlar
Teknik Gereklilikler
BDDK, ödeme ve e-para kuruluşlarından aşağıdaki teknik standartları beklemektedir:
Güvenlik:
- SSL/TLS şifrelemesi (TLS 1.2 minimum)
- Çok faktörlü kimlik doğrulama (2FA) zorunluluğu
- Penetrasyon testi ve güvenlik açığı taraması (yıllık)
- Veri ihlali bildirimi (BDDK'ya 72 saat içinde)
İşlem altyapısı:
- Yüksek erişilebilirlik (HA) mimarisi
- Felaket kurtarma (DR) planı ve yedek veri merkezi
- İşlem log'larının en az 10 yıl saklanması
- Real-time işlem izleme ve fraud detection
KYC/AML:
- Müşteri kimlik doğrulama (kimlik belgesi + yüz tanıma)
- PEP (Politically Exposed Person) ve yaptırım listesi kontrolü
- İşlem bazlı limit yönetimi
- MASAK'a şüpheli işlem bildirimi entegrasyonu
Mevcut Lisans Sahipleri ile İş Birliği
Lisans alma süreci 6-18 ay sürebilir ve ciddi sermaye gerektirir. Bu nedenle pek çok fintech startup, kendi lisansını almak yerine lisanslı bir ödeme kuruluşuyla BaaS (Banking as a Service) ya da white-label iş birliği modeli üzerinden hizmet sunar.
Bu model için dikkat edilmesi gerekenler:
- Lisanslı kuruluşun BDDK uyum yükümlülüklerinin taşeronlara nasıl yansıdığı
- Teknik entegrasyon sorumluluklarının netleştirilmesi
- Veri işleme sözleşmesi (KVKK kapsamında)
Kripto ile Karıştırılmaması Gereken Ayrım
| Ödeme / E-Para Kuruluşu | Kripto Varlık Hizmet Sağlayıcısı | |
|---|---|---|
| Düzenleyici | BDDK | SPK |
| Dayanak Kanun | 6493 Sayılı Kanun | 7518 Sayılı Kanun |
| Asgari Sermaye | 3-5 milyon TL | 500 milyon TL |
| Kapsam | Türk lirası dijital cüzdan, havale | Kripto alım-satım, saklama |
| Örnek | PayTR, Papara, İyzipay | Binance TR, BTC Türk |
Dijital cüzdan uygulamanız yalnızca Türk lirası işliyorsa ve kripto alım-satımı sunmuyorsa BDDK lisansı gereklidir, SPK değil.
Sıkça Sorulan Sorular
Yabancı şirket Türkiye'de ödeme kuruluşu lisansı alabilir mi? Hayır, doğrudan alamaz. Türkiye'de kurulu bir A.Ş. üzerinden başvuru yapılması gerekir. Yabancı ortaklık kabul edilir ancak yerel tüzel kişilik şarttır.
Hem ödeme hem e-para lisansı aynı anda alınabilir mi? BDDK iki ayrı lisansı tek başvuruda değerlendirmektedir ancak her biri için ayrı sermaye koşulu aranır.
Lisans başvurusu ne kadar sürer? Eksiksiz başvurularda 3 ay yasal süre olmakla birlikte, ek belge talepleri ve ön görüşmeler dahil toplam süre ortalama 6-12 ay sürmektedir.
İlgili Kaynaklar
Bu konuyu Regulfy ile yönetin → BDDK Uyum Çözümü
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →