MASAK Şüpheli İşlem Bildirimi (STR), 5549 sayılı Kanun kapsamında yükümlü kuruluşların karşılaştığı suç geliri aklama veya terör finansmanı şüphesi taşıyan işlemleri Mali Suçları Araştırma Kurulu'na bildirmesidir; şüphe oluştuğu andan itibaren en geç 10 iş günü içinde yapılması zorunludur. 2026 yeniden değerleme oranıyla güncellenen idari para cezaları bankadan fintech'e, sigortacıdan kripto varlık hizmet sağlayıcısına kadar tüm yükümlü kuruluşlar için geçerlidir.
İlgili rehberler: Fintech çözümü için /cozumler/fintech/ · Bankacılık çözümü için /cozumler/bankacilik/ · Kripto varlık operasyonları için SPK Dijital Varlık Çözümü.
MASAK Şüpheli İşlem Bildirimi (STR), bir banka veya fintech için AML uyum operasyonunun en kritik halkasıdır. Doğru zamanda, doğru içerikle yapılan STR; suç gelirleri ile mücadeleye katkı sağlarken kuruluşu hem idari para cezasından hem ceza hukuku riskinden korur. Geç ya da yapılmamış bildirim ise zincirin koptuğu yerdir.
Bu rehber, bir Uyum Görevlisi, AML uzmanı veya yönetici için STR'nin ne, ne zaman, nasıl sorularına operasyonel cevap verir: kim yükümlüdür, hangi karineler şüphe oluşturur, bildirim süreci nasıl işler, müşteri bilgilendirme yasağı (tipping off) ne anlama gelir, 2026 cari cezalar ne kadardır.
1. STR ve 5549 Sayılı Kanun Çerçevesi
5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (2006), Türkiye'nin AML/CFT (Anti-Money Laundering / Counter-Financing of Terrorism) çerçevesinin omurgasıdır. Kanun, yükümlü olarak tanımlanan kuruluşlara üç temel yükümlülük getirir:
- Müşterini tanı (KYC) — Müşteri kimliği, gerçek faydalanıcısı, işlem amacı tespit edilir.
- İzle — Müşteri ilişkisi boyunca işlemler şüphe karineleri açısından izlenir.
- Bildir (STR) — Şüphe oluştuğunda MASAK'a bildirim yapılır.
MASAK (Mali Suçları Araştırma Kurulu Başkanlığı), Hazine ve Maliye Bakanlığı'na bağlı bir kurumdur. Yükümlü kuruluşların STR'lerini toplar, analiz eder, gerektiğinde Cumhuriyet Başsavcılığı veya yetkili kurumlara intikal ettirir.
2. Yükümlü Kuruluşlar — Kim STR Göndermek Zorunda?
Yükümlü tanımı geniştir. 2026 itibariyle başlıca kategoriler:
2.1 Finansal Kuruluşlar
- Bankalar (mevduat, katılım, kalkınma, yatırım)
- Ödeme kuruluşları ve elektronik para kuruluşları (PSP, EMI)
- Sermaye piyasası aracı kuruluşları
- Portföy yönetim şirketleri (PYŞ)
- Sigorta ve emeklilik şirketleri
- Finansal kiralama (leasing), faktoring, finansman şirketleri
- Döviz büroları
- Kıymetli madenler aracı kuruluşları
- Kripto varlık hizmet sağlayıcıları (KVHS) — 2024 itibariyle eklenmiş
2.2 Finansal Olmayan Kuruluşlar
- Gümrük müşavirleri
- Noterler
- Avukatlar (belirli işlemlerde — taşınmaz, şirket kurulumu, varlık yönetimi)
- Serbest Muhasebeci Mali Müşavirler (SMMM) ve YMM
- Bağımsız denetçiler
- Gayrimenkul yatırım şirketleri ve gayrimenkul aracıları
- Kumar oyunları ve şans oyunları işletmecileri
- Antika, sanat eseri ve değerli koleksiyon ürünü aracıları
2.3 Yükümlülük Yoksa Bile Önemli Olan
Yükümlü olmayan bir kuruluş bile, suç gelirleri aklama şüphesi taşıyan bir işlemden haberdar olursa, Türk Ceza Kanunu kapsamındaki bildirim yükümlülüğüne dikkat etmelidir. Bilgi gizleme, suç ortaklığı tartışmasını gündeme getirebilir.
3. Şüphe Karineleri — Hangi Durumlar STR Tetikler?
Şüphe değerlendirmesi tek bir kurala dayanmaz; multifaktöriyel bir değerlendirmedir. MASAK Genelgeleri ve sektör pratiğinden derlenen başlıca karineler:
3.1 İşlem Profili Karineleri
- Müşterinin bilinen ekonomik profili ile uyumsuz büyüklükte/sıklıkta işlem
- Beklenmedik kaynaklardan gelen büyük tutarlar
- Yurt dışı transfer hacminin müşterinin iş modeli ile uyumsuzluğu
- Hesabın yatırılır-çekilir tipi (in-and-out) kullanımı — para yatırıldıktan kısa süre sonra çekilmesi
3.2 Parçalama (Structuring) Karineleri
- Bildirim eşiklerinin (örn. 80.000 TL) hemen altında ardışık işlemler
- Aynı gün/aynı hafta birden fazla şubeden, ATM'den küçük tutarlı işlemler
- Çoklu hesap kullanarak parçalama
- Birden fazla kişinin aynı hedef hesaba küçük tutarlar göndermesi (smurfing)
3.3 Müşteri Davranış Karineleri
- Müşterinin işlem amacını açıklamaktan kaçınması
- Belge yetersizliği veya sahte belge şüphesi
- Müşteri yetkilisi/temsilcisinin sürekli değişmesi
- Müşterinin medyada olumsuz haberlere konu olması
- Müşterinin uluslararası yaptırım listelerinde yer alması (OFAC, BM, AB, BMGK)
3.4 Coğrafi/Yapısal Karineler
- Yüksek riskli ülke (FATF yüksek risk listesi) kaynaklı veya hedefli transferler
- Vergi cenneti / off-shore ülke aracılığıyla yapılan karmaşık işlemler
- Gerçek faydalanıcının gizlendiği izlenimi veren çok katmanlı şirket yapıları
- Kabuk şirket (shell company) kullanımı
3.5 Ekonomik Mantık Karineleri
- Açık ekonomik gerekçesi olmayan işlemler
- Zarar pahasına yapılan döviz alım-satımları
- Beklenen ticari ilişki olmamasına rağmen yapılan büyük transferler
- Yatırım profili ile uyumsuz aşırı riskli işlemler
3.6 PEP — Siyasi Görünür Kişiler
PEP (Politically Exposed Person), kamu görevlisi veya yakın akrabası/iş ortağı olan müşteriler. PEP işlemlerinde otomatik STR yoktur, ancak işlemler artırılmış müşteri tanıma (Enhanced Due Diligence — EDD) ile değerlendirilir. PEP'lerin olağandışı işlemleri normal müşterilerden daha düşük şüphe eşiği ile değerlendirilir.
4. STR Süreci — Adım Adım
Aşama 1 — Tespit
İzleme sistemi (otomatik kurallar) veya manuel inceleme bir şüphe karinesi tetikler. Tetikleyici uyarı Uyum Birimi'ne ulaşır.
Aşama 2 — İlk Değerlendirme
Uyum analisti, uyarı bilgisini değerlendirir. Müşteri dosyasını, işlem geçmişini, KYC verisini gözden geçirir. İlgili belgeleri toplar. Şüphe haklı bulunursa Uyum Görevlisi'ne eskalasyon yapar.
Aşama 3 — STR Kararı
Uyum Görevlisi (5549 sayılı Kanun gereği atanması zorunlu kişi) STR yapılıp yapılmayacağına karar verir. Karar gerekçeli olmalıdır; STR yapılmama kararı da kayıt altına alınır (sonraki denetimde sorulabilir).
Aşama 4 — Bildirim
STR formatı MASAK tarafından belirlenmiştir. Bildirim genellikle MASAK Bilgi Sistemi (MASBİS) üzerinden çevrimiçi yapılır. Bildirim içeriği:
- Müşteri bilgileri (kimlik, iletişim, KYC verisi)
- İşlem detayları (tarih, tutar, taraflar, kanal)
- Şüphe açıklaması (hangi karine, hangi gözlem)
- Destekleyici belgeler (banka ekstresi, KYC dosyası, izleme uyarısı çıktısı)
Aşama 5 — Bekleme ve Olası MASAK Aksiyonu
Bildirim yapıldıktan sonra yükümlü kuruluş olağan işlemlerine devam eder. Müşteriyi bilgilendirmek YASAK (tipping off). MASAK gerekirse 7 gün el koyma kararı gönderir; bu durumda işlem askıya alınır. Uzun süreli askıya alma için mahkeme kararı gerekir.
Aşama 6 — Kayıt ve Arşivleme
STR ve ilgili tüm belgeler en az 8 yıl saklanır (bazı belge tipleri için daha uzun). Saklama zorunluluğu, sonraki denetim, soruşturma veya mahkeme talebi için kritiktir.
5. Müşteri Bilgilendirme Yasağı (Tipping Off)
5549 sayılı Kanun, STR yapılmış veya yapılacak olan müşteriye doğrudan veya dolaylı olarak bilgi verilmesini mutlak yasak olarak düzenler.
Yasak Davranışlar
- Müşteriye "hesabınızda MASAK incelemesi var" demek
- Müşteriye "bu işlem için sorgulama yapıyoruz" demek
- Müşteriye işlem reddini "AML nedeniyle" gibi açıklamak
- Müşterinin avukatına/danışmanına bilgi vermek
- Müşterinin akrabası/iş ortağı sorduğunda detay paylaşmak
- Sosyal medyada, mesajlarda veya gayri resmi konuşmalarda STR'den bahsetmek
İzin Verilen Davranışlar
- "Sistem hatası" gibi nötr standart yanıtlar
- "Teknik kontrol süreci" gibi belirsiz açıklamalar
- İç MASAK uzmanları arasında bilgi paylaşımı (gizlilikle)
- Yetkili kamu kurumları (MASAK, savcılık, mahkeme) ile resmi iletişim
İhlal Riski
Tipping off ihlali:
- İdari para cezası
- Türk Ceza Kanunu 281 (Suç delillerini yok etme) veya 282 (Suç gelirlerini aklamayı kolaylaştırma) kapsamında hapis cezası riski
- Yetkili yöneticinin kişisel sorumluluğu (Uyum Görevlisi dahil)
6. 2026 İdari Para Cezaları ve Risk
5549 sayılı Kanun kapsamındaki idari para cezaları 2026 yeniden değerleme oranı (%25,49) ile güncellenmiştir. Başlıca ceza kalemleri:
| İhlal | 2026 Cari Bant (yaklaşık) |
|---|---|
| Müşteri tanıma yükümlülüğü ihmali | Yüzbinlerce TL'den milyonlarca TL'ye |
| Şüpheli işlem bildirimi yapmama / geciktirme | Yüzbinlerce TL'den milyonlarca TL'ye |
| Tipping off ihlali | Yüzbinlerce TL + ceza hukuku riski |
| Uyum Görevlisi atamama / yetersiz uyum programı | Yüzbinlerce TL |
| Kayıt ve saklama yükümlülüğü ihlali | Yüzbinlerce TL |
Spesifik tutarlar her yıl MASAK Genelgesi ile güncellenir. Cezalar kuruluş büyüklüğüne ve ihlal niteliğine göre uygulanır.
Eskalasyon
- İlk ihlal: Genelde idari para cezası + iyileştirici plan istenir.
- Tekrar eden ihlal: Daha yüksek ceza + yöneticilerin kişisel sorumluluğu gündeme gelir.
- Sistematik ihmal: Lisans değerlendirmesi (BDDK, SPK ile koordineli), Türk Ceza Kanunu kapsamında dosya açılması.
7. Sektörel Uygulamalar — Bankacılık, Fintech, KVHS
7.1 Bankacılık
Bankalar, en büyük yükümlü kategorisidir. Çoklu kanal (şube, ATM, mobil, internet, çağrı merkezi) izleme zorluğu yaratır. Tipik STR akışı: otomatik izleme kuralı tetiklenir → şube/operasyon ekip ilk değerlendirme → AML birim eskalasyonu → Uyum Görevlisi onayı → MASBİS bildirimi. Banka için STR sayısı yıllık binlerce-onbinlerce olabilir.
7.2 Fintech (Ödeme/EPK)
Fintech için STR yükümlülüğü 2024 sonrası BDDK lisansı ile beraber gelir. Düşük tutarlı yüksek frekanslı işlemlerin yoğunluğu (örn. mobil ödeme, e-para yükleme/transfer) parçalama (structuring) karinesini özellikle önemli kılar. Otomatik izleme altyapısı kritiktir.
7.3 Kripto Varlık Hizmet Sağlayıcıları (KVHS)
2024'te yükümlü listesine eklendi. Karşılaştığı özel zorluklar:
- Pseudonymous adresler (gerçek kimlik tespiti güç)
- Sınır ötesi karakter — birden fazla yasal düzenleme çakışması
- Karıştırma hizmetleri (mixers/tumblers) ile gizlenmiş işlemler
- Cüzdan adresleri arası transferlerin izlenmesi (chain analysis)
KVHS'ler için STR pratiği gelişmekte; MASAK 2025-2026 döneminde kripto özgü karine listesi yayımlamayı sürdürmektedir.
7.4 Sigorta
Tek seferlik primli hayat sigortası, yüksek tutarlı sigortalar ve düzensiz prim ödemeleri tipik şüphe kaynağıdır. Hasar dosyalarındaki tutarsızlıklar da STR tetikleyebilir.
8. AML Uyum Operasyonu — 4 Aşamalı Kurulum
Bir yükümlü kuruluş için sürdürülebilir AML uyum operasyonu kurulumu:
Aşama 1 — Uyum Görevlisi Atama (1-2 hafta)
- 5549 sayılı Kanun gereği zorunlu pozisyon
- Bağımsız, yetkin, üst yönetime erişimi olan bir kişi
- BDDK ve SPK düzenlemelerinde ek nitelik şartları olabilir
- Uyum Görevlisi'nin Yönetim Kurulu'na doğrudan raporlama hattı önerilir
Aşama 2 — Risk Değerlendirme Programı (4-8 hafta)
- Müşteri segmenti × ürün × dağıtım kanalı × coğrafya bazlı risk haritası
- Yüksek risk segmentleri için EDD (Enhanced Due Diligence) prosedürleri
- Düşük risk segmentleri için SDD (Simplified Due Diligence) — sadece belirli koşullarda
- Risk haritasının yıllık güncellenmesi
Aşama 3 — İç Prosedürler ve Eğitim (4-12 hafta)
- KYC akışı (kimlik doğrulama, gerçek faydalanıcı tespiti)
- İzleme kuralları (otomatik kurallar + manuel inceleme akışları)
- STR prosedürü (eskalasyon, onay, bildirim, kayıt)
- Tipping off eğitimleri (tüm temas noktası çalışanlar için)
- Yıllık tazeleme eğitimi
Aşama 4 — İzleme ve Raporlama Altyapısı (sürekli)
- Otomatik kural setleri ile gerçek zamanlı izleme
- False positive optimizasyonu (gereksiz uyarıları azaltma)
- KPI'lar: aylık STR sayısı, kapanma süresi, yanlış pozitif oranı
- Yıllık bağımsız denetim (iç denetim + dış MASAK uyum denetimi)
- Yönetim Kurulu'na periyodik raporlama
9. Sıkça Sorulan Sorular
Yanlış STR yapsam ceza alır mıyım? İyi niyetle yapılan ancak sonradan haksız çıkan STR ceza nedeni değildir. 5549 sayılı Kanun yükümlülerini bu konuda korur — STR yapıldığı için müşteri kuruluşa karşı dava açamaz, kuruluş cezaya muhatap olmaz. Kritik olan iyi niyet ve gerekçeli kararın varlığıdır. Şüphesiz STR yapmaktan kaçınmamak gerekir — eksik bildirim cezası, gereksiz STR riskinden çok daha yüksektir.
STR sayısı çok yüksek olursa MASAK olumsuz mu değerlendirir? Hayır. Yüksek STR sayısı kötü bir gösterge değildir; aksine etkin izleme sisteminin işaretidir. Kötü gösterge olarak değerlendirilen: sektörel ortalamanın çok altında STR sayısı (eksik izleme şüphesi) veya yıllarca hiç STR yapmamış olmak.
MASAK STR'mden sonra geri bildirim gönderir mi? Genelde hayır. MASAK STR'leri analiz eder, gerektiğinde Cumhuriyet Başsavcılığı'na veya yetkili kuruluşa intikal ettirir. Yükümlü kuruluşa rutin geri bildirim verilmez. Ancak ek bilgi isteyebilir veya el koyma talebi gönderebilir.
Müşteri "neden hesabım inceleniyor" diye sorduğunda ne demeliyim? "Standart kontrol süreci" veya "rutin denetim" gibi nötr yanıtlar uygundur. "MASAK", "şüpheli işlem" veya "AML" gibi spesifik kelimelerden kaçınmalısınız. Müşteri hizmetleri ve operasyon ekiplerine bu konuda yıllık eğitim verilmelidir.
STR'ye karşı müşteri dava açabilir mi? İyi niyetle yapılan STR için 5549 sayılı Kanun yükümlülerine yasal koruma sağlar. Müşteri kuruluşa karşı tazminat davası açsa bile mahkeme genellikle yasal koruma kapsamında değerlendirir. Ancak tipping off yapılırsa veya STR keyfi/kötü niyetle yapılırsa koruma çalışmaz.
10. Operasyonel Özet
| Adım | Süre | Sorumlu |
|---|---|---|
| Şüphe tespiti | Anlık (otomatik) | İzleme sistemi |
| İlk değerlendirme | 1-3 iş günü | AML analisti |
| Uyum Görevlisi onayı | 1-2 iş günü | Uyum Görevlisi |
| MASBİS bildirimi | Vakit kaybetmeksizin / max 10 iş günü | Uyum Görevlisi |
| Belge arşivleme | Bildirim ile birlikte | AML birim |
| Bekleme | MASAK aksiyonuna kadar | Tüm temas noktaları |
| Saklama | Min. 8 yıl | Kayıt yönetimi |
Fintech Çözümü → · Bankacılık Çözümü → · SPK Dijital Varlık Çözümü →
Sık Sorulan Sorular
Şüpheli İşlem Bildirimi (STR) nedir?
STR'yi kim göndermek zorundadır?
Şüphe oluşturan karineler nelerdir?
STR ne kadar süre içinde bildirilir?
Müşteriyi STR yapıldığından haberdar etmek yasak mı?
STR sonrası işlem askıya alınır mı?
STR yapmamanın cezası nedir?
Küçük bir fintech için MASAK uyumu nereden başlamalı?
Bu konuyu Regulfy ile yönetin → FinTech Uyumluluk Çözümü
Bu yazıda bahsedilen düzenlemeleri otomatik takip edin
Regulfy, Resmi Gazete, SPK, BDDK, GİB ve 50+ düzenleyici kaynağı 7/24 izler ve anında bildirim gönderir.
Ücretsiz Başla →