13 Mart 2025 Tarihli Resmi Gazete
Sayı: 32840
Sermaye Piyasası Kurulundan:
BİRİNCİ BÖLÜM
Başlangıç Hükümleri
Amaç
MADDE 1- (1) Bu Tebliğin amacı; kripto varlık hizmet sağlayıcıların kuruluşuna, faaliyete geçmesine, faaliyetlerine ve faaliyetlerinin durdurulmasına ilişkin usul ve esasları düzenlemektir.
Kapsam
MADDE 2- (1) Bu Tebliğ; kripto varlık hizmet sağlayıcıların kuruluşuna, kurucu, yönetici, ortak ve personeline, faaliyet esaslarına, organizasyonuna, yükümlülüklerine, pay devirlerine, bilgi sistemleri ve teknolojik altyapılarına, dışarıdan hizmet alımına, yapamayacakları iş ve işlemlere, belge kayıt sistemlerine, iç denetim, iç kontrol ve risk yönetim sistemlerine ve faaliyetlerinin geçici veya sürekli olarak durdurulmasına ilişkin usul ve esasları kapsar.
Dayanak
MADDE 3- (1) Bu Tebliğ, 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununun 35/B, 35/C, 99/A ve 99/B maddelerine dayanılarak hazırlanmıştır.
Tanımlar ve kısaltmalar
MADDE 4- (1) Bu Tebliğde geçen;
a) Açık anahtar: Dağıtık defter ağı üzerinden bir cüzdandan diğer bir cüzdana kripto varlık gönderilebilmesi için cüzdanı eşsiz bir şekilde adresleyen anahtarı,
b) Banka: 19/10/2005 tarihli ve 5411 sayılı Bankacılık Kanununun 3 üncü maddesinde tanımlanan mevduat ve katılım bankaları ile kalkınma ve yatırım bankalarını,
c) BDDK: Bankacılık Düzenleme ve Denetleme Kurumunu,
ç) Birlik: Türkiye Sermaye Piyasaları Birliğini,
d) Bütünlük: Bilginin doğruluğu ve tamlığını koruma özelliğini,
e) Cüzdan: Kripto varlıkların transfer edilebilmesini ve bu varlıkların ya da bu varlıklara ilişkin özel ve açık anahtarların depolanmasını sağlayan yazılım, donanım, sistem ya da uygulamaları,
f) Erişilebilirlik: Bilginin yetkili kullanıcı, uygulama veya sistem tarafından talep edildiğinde erişilebilir ve kullanılabilir olma özelliğini,
g) Gizlilik: Bilgi sistemlerine ve bilgiye sadece yetkili kullanıcı, uygulama veya sistem tarafından erişilebilmesini,
ğ) Kamuyu Aydınlatma Platformu (KAP): Mevzuat uyarınca kamuya açıklanması gerekli olan bilgilerin elektronik imzalı olarak iletildiği ve kamuya duyurulduğu elektronik sistemi,
h) Kanun: 6/12/2012 tarihli ve 6362 sayılı Sermaye Piyasası Kanununu,
ı) Kripto varlık: Dağıtık defter teknolojisi veya benzer bir teknoloji kullanılarak elektronik olarak oluşturulup saklanabilen, dijital ağlar üzerinden dağıtımı yapılan ve değer veya hak ifade edebilen gayri maddi varlıkları,
i) Kripto varlık hizmet sağlayıcı: Platformları, kripto varlık saklama hizmeti sağlayan kuruluşları ve kripto varlıkların ilk satış ya da dağıtımı dâhil olmak üzere kripto varlıklarla ilgili olarak hizmet sağlamak üzere belirlenmiş diğer kuruluşları,
j) Kripto varlık saklama hizmeti: Müşterilerin kripto varlıklarının veya bu varlıklara ilişkin cüzdandan transfer hakkı sağlayan özel anahtarların saklanmasını, yönetimini veya Kurulca belirlenecek diğer saklama hizmetlerini,
k) Kurul: Sermaye Piyasası Kurulunu,
l) Kurum kaydi sistemi: Dağıtık defter ağına işlenmeyen, platformun işlem platformu/işlem defteri/emir defteri ve muhasebe sisteminde yer alan kayıtları,
m) MASAK: Hazine ve Maliye Bakanlığı Mali Suçları Araştırma Kurulu Başkanlığını,
n) MKK: Merkezi Kayıt Kuruluşu Anonim Şirketini,
o) Özel anahtar: Cüzdanlardan transfer hakkı sağlayan gizli anahtarları,
ö) Özsermaye: Kurulun kripto varlık hizmet sağlayıcıların sermayeleri ve sermaye yeterliliği ile ilgili düzenlemeleri uyarınca hesaplanan özsermayeyi,
p) Personel: Bu Tebliğde tanımlanan; iç denetçi, iç kontrol personeli, risk yönetim personeli, operasyon personeli, bilgi güvenliği sorumlusu, bilgi teknolojileri operasyon personeli ve yatırım danışmanını,
r) Platform: Kripto varlık alım satım, ilk satış ya da dağıtım, takas, transfer, bunların gerektirdiği saklama ve belirlenebilecek diğer işlemlerin bir veya daha fazlasının gerçekleştirildiği kuruluşları,
s) Saklama kuruluşu: Kripto varlık saklama hizmetinde bulunmak üzere Kurulca yetkilendirilmiş kuruluşu,
ş) Sıcak cüzdan: Kripto varlık hizmet sağlayıcıların müşterilerinin kripto varlık transferlerini karşılamak için kullandıkları, internete bağlı olan ve soğuk cüzdan özelliği göstermeyen cüzdan teknolojisini,
t) Soğuk cüzdan: Kripto varlığın kontrolünü sağlayan anahtarların fiziksel, idari ve teknik bilgi güvenliği kontrolleri ile korunduğu, işlem onaylama ve işlem imzalama gibi kritik işlemlerin buna yetkili personel müdahalesiyle fiziki veya teknik hava boşlukları ile internetten izole edilmiş ortamlarda yapılmasına olanak sağlayan cüzdan teknolojisini,
u) SPL: Sermaye Piyasası Lisanslama Sicil ve Eğitim Kuruluşu Anonim Şirketini,
ü) Tam zamanlılık: Kurumsallığın sağlanması açısından mesleki olarak başka bir işle iştigal edilmemesini ve çalışma ortamlarında süreklilik arz edecek şekilde görevde bulunulmasını,
v) Transfer: Cüzdanlarda bulunan kripto varlıkların dağıtık defter teknolojisi üzerinden başka cüzdanlara aktarımını,
y) TÜBİTAK: Türkiye Bilimsel ve Teknolojik Araştırma Kurumunu,
z) TÜBİTAK Altyapı Kriterleri: TÜBİTAK tarafından kripto varlık hizmet sağlayıcıların bilgi sistemleri ve teknolojik altyapılarına ilişkin olarak hazırlanan dokümanı,
aa) Yönetici: Yönetim kurulu üyeleri, genel müdür, genel müdür yardımcıları, personelin görev aldığı birimlerin bağlı bulunduğu tüm kademelerdeki yöneticiler ve bu birimlerde yönetici ile personel arasındaki kademelerde görev yapan personeli (müdür yardımcısı, yönetmen, direktör ve benzeri),
bb) III-35/B.2 sayılı Tebliğ: 13/3/2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımlanan Kripto Varlık Hizmet Sağlayıcıların Çalışma Usul ve Esasları ile Sermaye Yeterliliği Hakkında Tebliğ (III-35/B.2)’i,
cc) III-39.1 sayılı Tebliğ: 17/12/2013 tarihli ve 28854 sayılı Resmî Gazete’de yayımlanan Yatırım Kuruluşlarının Kuruluş ve Faaliyet Esasları Hakkında Tebliğ III-39.1’i,
çç) III-42.1 sayılı Tebliğ: 8/2/2022 tarihli ve 31744 sayılı Resmî Gazete’de yayımlanan Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1)’i,
dd) III-62.2 sayılı Tebliğ: 5/1/2018 tarihli ve 30292 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Bağımsız Denetim Tebliği (III-62.2)’ni,
ee) VII-128.10 sayılı Tebliğ: 13/3/2025 tarihli ve 32840 sayılı Resmî Gazete’de yayımlanan Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği (VII-128.10)’ni,
ifade eder.
İKİNCİ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Kuruluş Şartları ve İzni
Kripto varlık hizmet sağlayıcıların kuruluş şartları
MADDE 5- (1) Kripto varlık hizmet sağlayıcılara Kurulca izin verilebilmesi için;
a) Anonim ortaklık şeklinde kurulmaları,
b) Paylarının tamamının nama yazılı olması,
c) Paylarının nakit karşılığı çıkarılması,
ç) Kuruluş sermayelerinin Kurulun kripto varlık hizmet sağlayıcıların sermaye yeterliliği ile ilgili düzenlemeleri uyarınca öngörülen asgari sermaye tutarının altında olmamak kaydıyla Kurulca belirlenecek tutardan az olmaması, sermayesinin tamamının, nakden ödenmiş olması ve özsermayesinin bu tutardan az olmaması,
d) Esas sözleşmelerinin Kanun ve ilgili düzenlemelerde yer alan hükümlere uygun olması ve işletme konularının münhasıran Kurulca yetkilendirildikleri faaliyetlerin gerçekleştirilmesi olarak belirlenmiş olması,
e) Kurucularının Kanunda ve ilgili düzenlemelerde belirtilen şartları haiz olması,
f) Ortaklık yapısının şeffaf ve açık olması,
gerekir.
(2) Kripto varlık saklama hizmetinde bulunacak bankalar bakımından birinci fıkrada yer alan hükümler uygulanmaz.
Kuruculara ve ortaklara ilişkin şartlar
MADDE 6- (1) Kripto varlık hizmet sağlayıcıların kurucu ve ortaklarının;
a) 9/6/1932 tarihli ve 2004 sayılı İcra ve İflas Kanunu veya diğer mevzuat hükümlerine göre müflis olmaması, konkordato ilan etmiş olmaması, uzlaşma suretiyle yeniden yapılandırma başvurusunun tasdik edilmiş olmaması ya da hakkında iflasın ertelenmesi kararı verilmiş olmaması,
b) Tasfiyeye tabi tutulan bankerler ile iradi tasfiye haricinde faaliyet izni iptal edilmiş faktoring, finansal kiralama, finansman, tasarruf finansman, varlık yönetim, sigorta, reasürans, emeklilik şirketleri ve ödeme sistemi işleticileri, ödeme hizmeti sağlayıcıları ile para ve sermaye piyasalarında faaliyet gösteren kurumlarda doğrudan veya dolaylı olarak yüzde on veya daha fazla paya sahip olmaması veya kontrolü elinde bulundurmaması,
c) Taksirli suçlar hariç olmak üzere affa uğramış olsalar bile mülga 1/3/1926 tarihli ve 765 sayılı Türk Ceza Kanunu, 26/9/2004 tarihli ve 5237 sayılı Türk Ceza Kanunu veya diğer kanunlar uyarınca basit veya nitelikli zimmet, zimmet, irtikâp, rüşvet, hırsızlık, dolandırıcılık, sahtecilik, güveni kötüye kullanma, dolanlı iflas gibi yüz kızartıcı suçlar ile istimal ve istihlâk kaçakçılığı dışında kalan kaçakçılık suçlarından, resmî ihale ve alım satımlara fesat karıştırma, edimin ifasına fesat karıştırma, bilişim sistemini engelleme, bozma, verileri yok etme veya değiştirme, banka veya kredi kartlarının kötüye kullanılması, suçtan kaynaklanan malvarlığı değerlerini aklama suçlarından, terörizmin finansmanı ve 27/12/2020 tarihli ve 7262 sayılı Kitle İmha Silahlarının Yayılmasının Finansmanının Önlenmesine İlişkin Kanunun 5 inci maddesinde sayılan suçlardan veya Devletin şahsiyetine karşı işlenen suçlar ile egemenlik alametlerine ve organlarının saygınlığına karşı suçlardan, Devletin güvenliğine karşı suçlardan, Anayasal düzene ve bu düzenin işleyişine ve milli savunmaya karşı suçlardan, Devlet sırlarını açığa vurma suçu ile Devlet sırlarına karşı suçlardan ve casusluktan, yabancı devletlerle olan ilişkilere karşı suçlardan, 12/4/1991 tarihli ve 3713 sayılı Terörle Mücadele Kanunu kapsamındaki suçlardan, vergi kaçakçılığı suçlarından veya bu suçlara iştirakten hükümlü bulunmaması, kasten işlenen bir suçtan dolayı beş yıl veya daha fazla süreyle hapis cezasına mahkûm olmaması ya da Kanunda yazılı suçlardan kesinleşmiş mahkûmiyetinin bulunmaması,
ç) Kanunun 101 inci maddesinin birinci fıkrasının (a) bendi uyarınca işlem yasaklı olmaması,
d) Gerekli mali güç ve işin gerektirdiği dürüstlük ve itibara sahip bulunması,
e) Faaliyet izinlerinden biri Kurulca iptal edilmiş kuruluşlarda, bu müeyyideyi gerektiren olayda sorumluluğu bulunan kişilerden olmaması,
f) Kanunun 104 üncü maddesi uyarınca hakkında son beş yıl içinde idari para cezası tesis edilmemiş olması,
şarttır. (ç) bendinde yer alan şartın, kuruluş başvurusunun yapıldığı ve sonuçlandığı tarihlerde sağlanması yeterlidir.
(2) Kripto varlık hizmet sağlayıcının dağıtılabilir kârının yarısından fazlasını tek başına alma hakkını haiz olan veya şirket esas sözleşmesi uyarınca yönetim kurulunda üye sayısının yarısından fazlasını seçme veya aday gösterme şeklinde temsil edilme hakkına sahip olan gerçek kişilerin birinci fıkrada yer alan şartları taşımaları zorunludur.
(3) Kripto varlık hizmet sağlayıcının tüzel kişi kurucu ortaklarının sermayesinin veya oy haklarının doğrudan veya dolaylı olarak yüzde on veya daha fazlasını temsil eden payları ile bu oranın altında olsa dahi yönetim kurulunda temsil edilme hakkı veren imtiyazlı paylarına sahip ortaklarının da birinci fıkrada yer alan şartları taşımaları zorunludur. Kuruluştan sonraki ortaklık yapısı değişikliklerinde, kripto varlık hizmet sağlayıcının sermayesinin veya oy haklarının doğrudan veya dolaylı olarak yüzde on veya daha fazlasını temsil eden payları ile bu oranın altında olsa dahi yönetim kurulunda temsil edilme hakkı veren imtiyazlı paylarına sahip tüzel kişi ortaklarının, sermayesinin veya oy haklarının doğrudan veya dolaylı olarak yüzde on veya daha fazlasını temsil eden payları ile bu oranın altında olsa dahi yönetim kurulunda temsil edilme hakkı veren imtiyazlı paylarına sahip ortaklarının da birinci fıkrada yer alan şartları taşımaları zorunludur.
(4) Kripto varlık hizmet sağlayıcının sermayesinin veya oy haklarının doğrudan veya dolaylı olarak yüzde on veya daha fazlasını temsil eden payları ile bu oranın altında olsa dahi yönetim kurulunda temsil edilme hakkı veren imtiyazlı paylarına sahip gerçek ve tüzel kişi ortakları ile üçüncü fıkrada belirtilen ortakların, birinci fıkranın (d) bendi hariç olmak üzere, birinci fıkrada belirtilen nitelikleri kaybetmeleri halinde, sahip oldukları payları birinci fıkrada belirtilen şartları sağlayan kişilere altı ay içinde devretmeleri gerekir.
(5) Kripto varlık saklama hizmetinde bulunacak bankalar bakımından bu madde hükümleri uygulanmaz.
Ticaret ünvanı ve işletme adı
MADDE 7- (1) Platformların ticaret ünvanlarında, sunacakları hizmetleri göstermesi amacıyla “kripto varlık alım satım platformu” ibaresinin yer alması şarttır.
(2) Kripto varlık saklama hizmeti sunacak kuruluşların ticaret ünvanlarında, sunacakları hizmetleri göstermesi amacıyla “kripto varlık saklama kuruluşu” ibaresinin yer alması şarttır.
(3) Kripto varlık hizmet sağlayıcıların işletme adı veya yetkili oldukları faaliyetlerle ilgili marka kullanmak istemeleri halinde buna yönelik olarak Kuruldan izin almaları zorunludur.
(4) Kripto varlık hizmet sağlayıcıların yazılı ve görsel basın-yayın organlarında yer alacak her türlü ilan ve reklamlar ile tüm yazışmalarında, ticaret ünvanlarını kullanmaları şarttır. Bu fıkra kapsamında yapacakları ilan ve reklamlarda ticaret ünvanı yerine tescil edilen işletme adlarının veya markaların kullanılması mümkündür.
(5) Kripto varlık hizmet sağlayıcıların ticaret ünvanları, sadece yönetim kontrolünün değişmesine yol açacak şekilde pay sahipliğinin değişmesi ve oy haklarının çoğunluğuna sahip ortağın ticaret ünvanının değişmesi hallerinde veya yasal zorunlulukları yerine getirmek amacıyla değiştirilebilir.
(6) Kripto varlık saklama hizmetinde bulunacak bankalar için bu madde hükümleri uygulanmaz.
Kripto varlık hizmet sağlayıcıların kuruluş işlemleri
MADDE 8- (1) Kurucular, kuruluş şartlarına uygun olarak hazırlayacakları esas sözleşme ve 6 ncı maddede öngörülen koşulları taşıdıklarını gösteren belgeler ile Kurula başvurur. Kuruluş başvurusunda, Kurulca gerekli görülmesi halinde ek bilgi ve belge istenebilir.
(2) Kurul, kuruluş, faaliyet izni ve ortaklık yapısı değişikliği başvurularında kripto varlık hizmet sağlayıcılardan ve tüzel kişi ortaklarından özel olarak bağımsız denetim veya derecelendirme yaptırmalarını talep edebilir.
(3) Kripto varlık hizmet sağlayıcıların esas sözleşme değişikliklerinde Kurulun uygun görüşünün alınması zorunludur.
ÜÇÜNCÜ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Faaliyet Şartları ve İzni
Faaliyete geçmek için aranan şartlar
MADDE 9- (1) Kripto varlık hizmet sağlayıcıların faaliyette bulunmak üzere Kuruldan izin alabilmeleri için aşağıdaki genel şartları sağlamaları gerekir:
a) Kuruluş şartlarının kaybedilmemiş olması.
b) Asgari kuruluş sermayesinin nakden ve tamamen ödenmiş olması.
c) Kurulun kripto varlık hizmet sağlayıcılara yönelik sermaye yeterliliği ile ilgili düzenlemelerinde öngörülen yükümlülüklerin yerine getirilmesi.
ç) 10 uncu maddede sayılan şartları haiz bir organizasyon yapısının oluşturulmuş olması.
d) Çalışacak personele ilişkin olarak 13 üncü maddedeki şartların sağlanması.
e) Genel müdür ve yardımcılarına ilişkin olarak 14 üncü maddedeki şartların sağlanması.
f) VII-128.10 sayılı Tebliğde öngörülen şart ve kurallar ile TÜBİTAK Altyapı Kriterlerine uygunluk sağlanacak şekilde güvenlik altyapısının oluşturulmuş ve işlerliğinin sağlanmış olması.
g) Kripto varlık kaybına sebep olabilecek her türlü suistimalin önlenmesi dahil olmak üzere bu Tebliğde belirlenen esaslar dahilinde iç denetim, kontrol ve risk yönetimine ilişkin birim, sistem ve fonksiyonların oluşturulmuş olması.
ğ) MKK ile gereken teknik ve sistem entegrasyon testlerinin tamamlanmış olması.
h) III-35/B.2 sayılı Tebliğde belirlenen esaslara uygun olarak, özel anahtarların saklanmasına ilişkin altyapının oluşturulması, güvenliğinin sağlanması ve dağıtık defter ağlarıyla entegrasyonun tamamlanmış olması.
(2) Platformlar tarafından birinci fıkrada belirtilen şartlara ek olarak, aşağıda yer alan şartların da sağlanması gerekir:
a) Kurul tarafından kripto varlık saklama kuruluşu olarak yetkilendirilen en az bir kuruluş ile tarafların yetki ve sorumluluklarını içeren, tarafların görevlerini yerine getirmesi için gerekli bilgi akışının nasıl sağlanacağını belirleyen bir sözleşme imzalanması ve mutabakat sistemi çerçevesinde gerekli teknik süreçlerin ve entegrasyonların sağlanması.
b) Müşterilere ait nakitler için bir bankada hesap açılmış olması.
c) Müşteri işlemlerine ilişkin itirazların ve şikayetlerin etkin şekilde çözülebilmesine imkan sağlayacak dâhili mekanizmaların kurulmuş ve buna ilişkin yazılı prosedürün oluşturulmuş olması.
ç) Fiyat gözetim sisteminin kurulmuş ve buna ilişkin yazılı prosedürün oluşturulmuş olması.
(3) Kripto varlık saklama hizmetinde bulunulmasına izin verilebilmesi için, birinci fıkrada belirtilen şartlara ek olarak, münhasıran olmak üzere saklama hizmetinden sorumlu birimin veya birimlerin kurulmuş ve yeterli sayıda personelin istihdam edilmiş olması gerekir.
(4) Kripto varlık hizmet sağlayıcıların faaliyet izni başvurularının neticelendirilmesi sürecinde, gerekli görülmesi halinde Kurulun talebi üzerine TÜBİTAK, bakanlıklara bağlı, ilgili, ilişkili kurum ve kuruluşlar ile diğer kamu kurumlarıyla birlikte bilgi sistemleri denetimi yapılır. Bu denetimlerde, bilgi sistemleri ile ilişkili süreçler ve teknolojik altyapının yanı sıra, kripto varlık hizmet sağlayıcılar tarafından kullanılan cüzdanlar ve dağıtık defter teknolojisi temelli işlemlerin yeterlilikleri de III-62.2 sayılı Tebliğde belirlenecek denetim esasları çerçevesinde incelenir.
(5) Bankaların kripto varlık saklama hizmetinde bulunabilmeleri için birinci fıkranın (c), (ç), (d), (f), (g), (ğ) ve (h) bentlerinde sayılan genel şartları sağlamaları gerekir. Bankaların bankacılık mevzuatına uygun olarak oluşturulan iç sistemlerinin Kurulun iç denetim ve kontrol sistemleri için öngördüğü şartları sağladığı hususunda yönetim kurulu kararı bulunması halinde birinci fıkranın (g) bendinde yer alan şartın yerine getirildiği kabul edilir.
(6) Bankaların kripto varlık saklama hizmeti başvurusunun değerlendirilebilmesi için BDDK’nın uygun ön görüşü aranır. Bankaların, saklama hizmeti kapsamındaki başvurularına ilişkin Kurul değerlendirme sonucu ile BDDK’ya faaliyet genişleme izni başvurusu yapmaları gerekir. Bankaların talep ettikleri kripto varlık saklama hizmetini sunabilmesi BDDK’nın faaliyet genişleme onayına tabidir.
(7) Platform yöneticileri ve personeli saklama kuruluşlarında, saklama kuruluşu yöneticileri ve personeli platformlarda görev alamazlar. Saklama hizmeti sunacak bankalar bakımından yöneticiler yönüyle bu fıkra hükmü uygulanmaz.
(8) Kripto varlık hizmet sağlayıcıların faaliyet izni başvurularında Kurul gerekli görmesi halinde başvuru bazında ilave şartlar arayabilir.
(9) Kurul gerekli gördüğü hallerde faaliyet izni verilmesi aşamasında veya faaliyetlerini yürütürken, sektörün geneli için veya kripto varlık hizmet sağlayıcı bazında mesleki sorumluluk sigortası yaptırılmasını isteyebilir.
Organizasyon yapısı
MADDE 10- (1) Kripto varlık hizmet sağlayıcılara faaliyet izni verilebilmesi için organizasyon yapılarının aşağıdaki şartları taşıması gerekir:
a) Bu Tebliğde ve ilgili düzenlemelerde öngörülen hizmet birimlerinin kurulmuş, personelin istihdam edilmiş ve bunlara yönelik mekân ve teknik donanımın sağlanmış olması.
b) Bu Tebliğin iç denetim, iç kontrol ve risk yönetim sistemine ilişkin düzenlemeleri çerçevesinde yönetim yapısının oluşturulmuş olması.
c) Personelin görev tanımları ile yetki ve sorumluluklarının yazılı olarak belirlenmiş olması.
ç) Organizasyon yapılarının 11 inci ve 12 nci maddelerdeki esaslara uygun şekilde oluşturulmuş olması.
Çıkar çatışmasının yönetilmesi
MADDE 11- (1) Kripto varlık hizmet sağlayıcılar, yetkili oldukları hizmetleri sunarken müşterilerinin çıkarını ve piyasanın bütünlüğünü gözeterek adil ve dürüst davranır.
(2) Kripto varlık hizmet sağlayıcılar tarafından bu amaç doğrultusunda müşterileri ile olan ilişkilerinde kendisi, ortakları, çalışanları, yöneticileri ve bunlarla doğrudan ya da dolaylı olarak ilişkili bulunan kişiler ile müşterileri arasında veya bir müşterisi ile başka bir müşterisi arasında çıkabilecek çıkar çatışmalarını yönetebilecek bir organizasyon yapısı oluşturulur ve gerekli tedbirler alınır.
(3) Kripto varlık hizmet sağlayıcıların, bu maddedeki esaslara uygun hareket edilmesini sağlamak üzere yazılı bir çıkar çatışması politikası oluşturması ve politikanın etkinliğini periyodik olarak değerlendirerek gerekli gördüğü takdirde güncelleme yapması gerekir. Bu politikanın yönetim kurulu kararına bağlanması ve internet sitesinde yayımlanması şarttır.
(4) Çıkar çatışmasına ilişkin olarak bu Tebliğ ile öngörülen esaslar, mevzuata aykırı iş ve işlemlerin yapılması sonucunu doğuracak şekilde kullanılamaz.
Çıkar çatışması politikası
MADDE 12- (1) Kripto varlık hizmet sağlayıcılar çıkar çatışması politikasını oluştururken işlem hacmini, müşteri sayısını, listelenen kripto varlık sayısını ve çeşitliliğini, faaliyetlerinin karmaşıklığını, organizasyon yapısını ve sunmaya yetkili olduğu hizmetleri dikkate alır. Kripto varlık hizmet sağlayıcının 13/1/2011 tarihli ve 6102 sayılı Türk Ticaret Kanununun 195 inci maddesi kapsamında bir şirketler topluluğunun üyesi olması durumunda çıkar çatışması politikası, şirketler topluluğunun organizasyon yapısı ve diğer üyelerinin faaliyetleri de dikkate alınarak oluşturulur.
(2) Çıkar çatışması politikasının; müşterinin çıkarlarına aykırı olabilecek olası durumları, bu durumların önlenmesi için alınabilecek tedbirleri ve çıkar çatışmalarının önlenememesi durumunda izlenecek prosedürleri içermesi gerekir.
(3) Kripto varlık hizmet sağlayıcılar müşterinin çıkarlarına aykırı olabilecek olası durumları tespit etmek için, kendisi, ortakları, çalışanları, yöneticileri ve bunlarla yurt içinde ya da yurt dışında doğrudan ya da dolaylı olarak ilişkili bulunan kişiler arasındaki ilişkileri dikkate alarak asgari aşağıda belirtilen hususlar çerçevesinde çıkar çatışması politikasını hazırlar:
a) Müşteri aleyhine mali kazanç elde edecekleri veya mali kayıptan kurtulacakları durumlar.
b) Müşterinin bir çıkarı olmadığı halde müşteriye sunulan hizmet ve faaliyetten çıkar elde edebilecek durumda olanlar.
c) Bir müşteri ya da müşteri grubunun diğer bir müşteri veya müşteri grubuna tercih edilmesi sonucunda çıkar elde edecekleri durumlar.
ç) Müşteriye sunulan hizmet ve faaliyet nedeniyle müşteri dışındaki bir kişi, kurum veya uygulamadan standart ücret ve komisyon dışında mali kazanç elde edecekleri durumlar.
d) Listelenecek kripto varlıkların kendilerine veya iştiraklerine ait dağıtık defter ağı kullanılmasını zorunlu tutarak mali kazanç elde edecekleri durumlar.
(4) Olası çıkar çatışmalarının önlenmesi için kabul edilen tedbirlerin asgari olarak aşağıdaki hususları içermesi gerekir:
a) Kripto varlık hizmet sağlayıcı içinde veya şirketler topluluğunun üyeleri arasında bilgi akışının önlenmesi veya yönetilmesine dair tedbirleri.
b) Çıkar çatışmasına konu olan birimler ile bu birimlerde çalışanların gözetimine dair tedbirleri.
c) Kripto varlık hizmet sağlayıcının çıkar çatışmasına konu olan birimlerinde çalışanların ücretlendirilmesine dair tedbirleri.
(5) Çıkar çatışması politikası, müşteri bilgilerinin 24/3/2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında güvenliği sağlanacak şekilde oluşturulur.
Personele ilişkin şartlar
MADDE 13- (1) Kripto varlık hizmet sağlayıcılarda çalışan yönetici ve personelin 6 ncı maddede kurucu ortaklara ilişkin aranan şartları, gerekli mali güç şartı hariç olmak üzere taşıması gerekir.
(2) Yöneticiler ve personelin mevzuatta aksi belirtilmedikçe en az dört yıllık lisans eğitimi veren okullardan mezun olması esastır.
(3) Mutabakat sürecini yürütme görevi olmayan operasyon personeli ile sistem yönetimi, yazılım geliştirici, test/kalite kontrol, veri tabanı yönetimi ve bunlara ilişkin destek hizmetlerinde görevli bilgi teknolojileri operasyon personelinin ön lisans eğitimi veren okullardan mezun olması yeterlidir.
(4) Kurulca kripto varlık hizmet sağlayıcılar bünyesinde istihdam edilecek yönetici ve personel için yürütecekleri faaliyetlere göre farklı eğitim ve mesleki tecrübe şartları aranabilir, Kurulun lisanslama ve sicil tutma ile ilgili düzenlemelerinde belirlenen lisans veyahut mesleki yeterliliği gösterir bir sertifika alınması zorunlu tutulabilir.
(5) Bankalar için bu maddede yer alan şartlar saklama hizmetiyle ilgili birim yöneticileri ve personeli bakımından aranır.
Genel müdür ve yardımcıları
MADDE 14- (1) Kripto varlık hizmet sağlayıcılarda görev yapacak olan genel müdür ve genel müdür yardımcılarının mali piyasalar, bilgi işlem, bilgi teknolojileri veya finansal teknolojiler alanında en az yedi yıllık meslekî tecrübeye sahip olması ve işin gerektirdiği dürüstlük ve itibara sahip olması gerekir.
(2) Kripto varlık hizmet sağlayıcıda görev yapacak olan genel müdürün münhasıran bu görev için istihdam edilmiş, Türkiye’de mukim ve tam zamanlı atanmış olması zorunludur. Genel müdürün kripto varlık hizmet sağlayıcı nezdinde yönetim kurulu üyesi olması bu hükme aykırılık teşkil etmez.
(3) Genel müdürlük görevine son on iki aylık süre içinde altı aydan fazla vekalet edilemez.
(4) Kripto varlık hizmet sağlayıcıların genel müdür ve genel müdür yardımcısı atamalarında Kurulun uygun görüşü alınır.
(5) Herhangi bir nedenle görevden ayrılan genel müdür ve genel müdür yardımcılarının görevden ayrılma nedenleri, ilgili kripto varlık hizmet sağlayıcı tarafından üç iş günü içinde Kurula ve Birliğe bildirilir.
(6) Koordinatör, direktör ve benzeri ünvanlarla istihdam edilseler dahi, yetki ve görevleri itibarıyla genel müdüre ve genel müdür yardımcısına denk konumda görev yapan personel bu Tebliğin genel müdür ve genel müdür yardımcıları ile personele ilişkin hükümlerine tâbidir.
(7) Kripto varlık saklama hizmeti sunacak bankalarda görev yapan genel müdür ve genel müdür yardımcıları bakımından bu maddede öngörülen şartlar aranmaz.
Yönetim kurulu
MADDE 15- (1) Kripto varlık hizmet sağlayıcıların yönetim kurulu asgari olarak üç üyeden oluşur. Yönetim kurulu üyelerinin çoğunluğunun dört yıllık lisans eğitimi veren okullardan mezun olmaları şarttır.
(2) Yönetim kurulu üyelerinin, tüzel kişi yönetim kurulu üyesini temsil eden gerçek kişilerin ve yönetim kurulu üyesi olmaksızın kripto varlık hizmet sağlayıcıyı temsile yetkili kişilerin 6 ncı maddenin birinci fıkrasında yer alan mali güç şartı hariç ortaklar için öngörülen şartları taşımaları zorunludur.
(3) Yönetim kurulunda yönetim yetkisinin murahhas üyelere bırakılmak istenmesi halinde, en az iki üyenin murahhas olarak tayini ve her birinin yetki ve sorumluluk alanlarının, tereddüde yer bırakmayacak biçimde belirlenmesi zorunludur.
(4) Yönetim kurulu üyelerinin, yönetim kurulunun alacağı kararlarda taraf olan kimselerle son iki yılda istihdam, sermaye veya ticari anlamda bir ilişki kurmuş olmaları ya da eş dâhil üçüncü dereceye kadar kan ve kayın hısımlığının bulunması durumunda, bu hususları gerekçeleri ile birlikte yönetim kuruluna bildirmeleri ve toplantı tutanağına işlenmesini sağlamaları gerekir.
(5) 6102 sayılı Kanunun yönetim kurulu üyelerine ilişkin seçim şartlarına, müzakereye katılma yasağına, şirketle işlem yapma, şirkete borçlanma yasağına ve rekabet yasağına ilişkin hükümleri saklıdır.
(6) Kripto varlıkların saklanmasına yönelik hizmet sunan bankaların yönetim kurulu üyeleri bakımından bu maddede öngörülen şartlar aranmaz.
Kripto varlıkların sigortalanması ve siber güvenlik sigortası
MADDE 16- (1) Kripto varlık hizmet sağlayıcılar tarafından müşterilere ait kripto varlıklara yönelik sigorta yaptırılabilir. Söz konusu sigortanın müşterilere duyurulmasında 30 uncu maddenin altıncı fıkrasında yer alan esaslar dikkate alınır.
(2) Bilgi güvenliği veya siber güvenlik risklerinden kaynaklanabilecek olası siber saldırılar, veri ihlalleri ve iş sürekliliği kesintileri nedeniyle oluşabilecek mali zararları kısmen ya da tamamen kapsayacak; kripto varlık hizmet sağlayıcının faaliyet alanına ve risk profiline uygun siber güvenlik sigortası yaptırılabilir. Bu halde poliçe yıllık olarak gözden geçirilir ve risk profiline uygun şekilde güncellenir.
(3) Bu madde kapsamında kripto varlıkların sigortalanması halinde, sigorta poliçesinin konusu, süresi, bedeli ve varsa özel şartlarına ilişkin bilgiler hiçbir tereddüte yol açmayacak şekilde müşterilere tam ve doğru olarak yazılı veya elektronik ortamda açıklanır.
Başvuru ve faaliyet izni
MADDE 17- (1) Kuruluş için Kuruldan izin alınmasını takiben altı ay içinde faaliyet izni almak üzere başvurmayan kripto varlık hizmet sağlayıcıların faaliyet izni alma hakkı düşer. Kurul gerekli görmesi halinde bu süreyi toplam bir yılı aşmamak üzere uzatabilir.
(2) Süresi içinde faaliyet izni almak üzere Kurula başvurmayan veya faaliyet izni başvurusu uygun görülmeyen kripto varlık hizmet sağlayıcılar, bu hususların kendilerine bildirildiği tarihten itibaren en geç üç ay içinde sona erme kararı almak veya esas sözleşmelerindeki ticaret ünvanına, amaç ve faaliyet konularına ilişkin hükümleri, kripto varlıklarla ilgili olarak hizmetleri kapsamayacak şekilde değiştirmek ve buna ilişkin Türkiye Ticaret Sicili Gazetesini ilanı izleyen on iş günü içinde Kurula göndermek zorundadır.
(3) Kripto varlık hizmet sağlayıcıların başvuru konusu faaliyete geçmek üzere Kuruldan izin alabilmeleri için, bu Tebliğde öngörülen genel şartlar ile Kurulun kripto varlık hizmet sağlayıcılığına ilişkin düzenlemelerinde öngörülen özel şartları yerine getirdiklerinin ve faaliyetlerini ilgili Kurul düzenlemelerine uygun şekilde yürütebilecek nitelik ve yeterlilikte olduklarının Kurulca kabulü gerekir.
(4) Kripto varlık hizmet sağlayıcılar, bu Tebliğde öngörülen genel ve özel şartları sağladıklarını tevsik eden ve Kurulca istenebilecek diğer bilgi ve belgelerle birlikte Kurula başvurur. Kurulca belirlenen standartları taşımayan başvurular değerlendirmeye alınmaksızın iade edilir. Kurula sunulacak bilgi ve belgelerin kripto varlık hizmet sağlayıcıyı temsile yetkili olanların imzalarını taşıması ve faaliyet şartlarının yerine getirildiğini tevsik etmesi bakımından eksiksiz olması şarttır. Kurulca istenen ek bilgi ve belgelerin on günden az olmamak üzere verilen süreler içinde tamamlanmaması halinde başvurular işlemden kaldırılır.
(5) Kurulca uygun görülmesi halinde kripto varlık hizmet sağlayıcılara icra edebilecekleri hizmet ve faaliyetleri gösteren bir yetki belgesi verilir. Yetki belgesinin alınmasından önce faaliyete başlanamaz.
(6) Yetki belgesinin verilmesinden önce 2/7/1964 tarihli ve 492 sayılı Harçlar Kanunu uyarınca gerekli harcın yatırılması ve ödemeye ilişkin makbuzun Kurula ibrazı zorunludur. Kurulca faaliyet iznine ilişkin bildirim yapılmasını müteakip en geç bir ay içinde harcın ödendiğine ilişkin makbuzun Kurula iletilmemesi halinde faaliyet izni iptal edilir.
(7) Kripto varlık hizmet sağlayıcılığı faaliyetinde bulunmak üzere Kuruldan izin almayanlar ile aldıkları izinler iptal olanlar, bu hizmet ve faaliyetlerde bulunamayacakları gibi esas sözleşmelerinde, ticaret ünvanlarında veya ilân ve reklamlarında bu hizmetler ve faaliyetlerde bulundukları intibaını uyandıracak hiçbir kelime veya ibare kullanamaz. Faaliyetleri geçici olarak durdurulanlar da esas sözleşme ve ticaret ünvanları hariç bu esaslara tabidir.
(8) Kripto varlık hizmet sağlayıcıların faaliyet izni aldıktan sonra faaliyetleri süresince de genel ve özel faaliyet şartlarını sağlamaları zorunludur. Kripto varlık hizmet sağlayıcılar bu şartları kaybetmeleri halinde durumu Kurula üç iş günü içinde bildirir.
(9) Faaliyetleri geçici olarak durdurulan kripto varlık hizmet sağlayıcılar bu müeyyideyi gerektiren aykırılıkların giderildiğinin Kurulca tespiti halinde, icra edecekleri faaliyetlere ilişkin genel ve özel şartlar dikkate alınarak Kurulca uygun görülmesi durumunda yeniden faaliyetlerine başlayabilir.
(10) Borsa İstanbul A.Ş., İstanbul Takas ve Saklama Bankası A.Ş., MKK ve kamu kurumları ile Kurulca belirlenecek diğer kurumların bu Tebliğ kapsamında yapacakları başvurular bakımından Kurul farklı esaslar belirleyebilir.
DÖRDÜNCÜ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Personeli ve Personele İlişkin İlkeler
Kripto varlık hizmet sağlayıcıların personeli
MADDE 18- (1) İç denetçi; kripto varlık hizmet sağlayıcının faaliyetlerinin; Kurul mevzuatı ve tabi oldukları diğer mevzuat hükümleri, kripto varlık hizmet sağlayıcının esas sözleşmesi ve iç kontrole yönelik yazılı prosedürleri çerçevesinde yürütüldüğüne ilişkin güvencenin sağlanması için denetim faaliyetlerinin yürütülmesinden sorumlu personeldir.
(2) İç kontrol personeli; kripto varlık hizmet sağlayıcı bünyesinde bilgi sistemleri ve MASAK mevzuatından kaynaklanan yükümlülüklerin yerine getirilmesi dahil olmak üzere tesis edilen tüm süreçlerin, kontrollerin ve tabi olunan mevzuata uyumun etkinliğine ve yeterliliğine ilişkin izleme ve inceleme faaliyetleri gerçekleştirerek hata, eksiklik ve aksaklıkların raporlanması ve bu raporların aksiyon alması gereken ilgili birimlere tebliğ edilmesi amacıyla münhasıran iç denetim personeli dışında görevlendirilen personeldir.
(3) Risk yönetimi personeli; kripto varlık hizmet sağlayıcının bilgi sistemleri dâhil tüm operasyonel, finansal, uyum ve stratejik risklerini etkin bir şekilde tanımlamak, değerlendirmek, izlemek ve yönetmek; risklerin izlenmesi, risk azaltma stratejilerinin belirlenmesi, bunların üst yönetim ve yönetim kuruluna raporlanması ve III-35/B.2 sayılı Tebliğ uyarınca oluşturulacak fiyat gözetim sisteminin yürütülmesinden sorumludur.
(4) Operasyon personeli; belirlenen emir iletim kanalları üzerinden müşteri emri alan, müşterilerin günlük bakiye kontrollerini yapan, müşterilere hesapları hakkında bilgi veren, müşteri kimlik bilgilerinin takibini yapan, pazarlama faaliyetlerini yürüten, platform ile saklama kuruluşu arasındaki mutabakat süreçlerini yöneten ve benzeri işlemleri kısmen veya tamamen yerine getiren personeldir.
(5) Bilgi güvenliği sorumlusu; VII-128.10 sayılı Tebliğde belirtilen ve tam zamanlı olarak istihdam edilmiş personeldir.
(6) Bilgi teknolojileri operasyon personeli; sistem yönetimi, yazılım geliştirici, test/kalite kontrol, veri tabanı yönetimi ve bunlara ilişkin destek hizmetlerinde görevli personelin yanı sıra kriptoloji ve dağıtık defter ağı entegrasyonu konularındaki görevlerin icrasını yerine getirmekten sorumlu personeldir.
(7) Yatırım danışmanı; platformlarda kripto varlıklar hakkında müşterilere yönlendirici nitelikte yorum ve yatırım tavsiyelerinde bulunulmasından ve III-35/B.2 sayılı Tebliğin 15 inci maddesinin birinci fıkrasında belirtilen faaliyetin yürütülmesinden sorumlu olan personeldir.
(8) Başka ünvanlarla istihdam edilseler dahi, ünvanlara bağlanan görev ve yetkileri kullanan personel bu Tebliğin personele ilişkin hükümlerine tâbidir. Şu kadar ki, kripto varlık hizmet sağlayıcılar tarafından, ilgili birimde çalışacak personel olarak istihdam edilenlerin bu maddede sayılan ünvanları kullanmaları zorunludur.
(9) Kripto varlıkların saklanmasına yönelik hizmet sunan bankaların söz konusu hizmete ilişkin olarak oluşturulan birimlerinde görev alacak personel için bu madde hükümleri uygulanır. Ancak bu ünvanların yanında kendi ünvanlarını da kullanmaları mümkündür.
Personel ile ilgili ilkeler
MADDE 19- (1) III-39.1 sayılı Tebliğin 20 nci, 21 inci, 22 nci ve 23 üncü maddelerinde belirlenen personel ile ilgili ilkeler, kripto varlık hizmet sağlayıcıların personeli bakımından da uygulanır.
(2) Kripto varlıkların saklanmasına yönelik hizmet sunan bankaların bu hizmet kapsamında oluşturacağı birimlerde görevlendirilen personel, birinci fıkra hükmüne tabidir.
BEŞİNCİ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Faaliyet İlke ve Esasları
Faaliyetler süresince uyulması gereken genel ilke ve esaslar
MADDE 20- (1) Kripto varlık hizmet sağlayıcıların III-39.1 sayılı Tebliğin 24 üncü maddesinin birinci fıkrasında öngörülen genel ilke ve esaslara uyması zorunludur.
(2) Kripto varlık hizmet sağlayıcılar, Birliğe üye olmak zorundadır.
(3) Kripto varlık hizmet sağlayıcıların kritik faaliyetlerinin çalışamaz hale gelmesini önleme bakımından VII-128.10 sayılı Tebliğde belirlenen esaslara uyulur.
Müşteriye risklerin bildirilmesi yükümlülüğü
MADDE 21- (1) Platformlar, sunmaya yetkili oldukları hizmetler kapsamında; müşteriler ile imzalanacak çerçeve sözleşme ile birlikte, müşterilerine, kripto varlıklara ilişkin genel riskleri açıklamak, bu amaçla asgari içeriği Kurulca belirlenmiş EK/1’de yer alan risk bildirim formunun okunup anlaşıldığına dair müşteriler ile imzalanacak çerçeve sözleşme ile birlikte yazılı ya da elektronik bir beyan almak ve bir örneğini müşteriye iletmek veya müşteriye bilgisini vermek suretiyle formun elektronik ortamda erişimini ve görüntülenebilirliğini sağlamak zorundadır.
(2) Platformlar, sunmaya yetkili oldukları hizmetler kapsamında birinci fıkra uyarınca yapılan genel risk bildirimine ek olarak aşağıdaki hususları müşteriye açıklamak, açıklamaların müşteri tarafından okunup anlaşıldığına dair yazılı veya elektronik bir beyan almak ve açıklamaların bir örneğini müşteriye iletmek veya müşteriye bilgisini vermek suretiyle açıklamaların elektronik ortamda erişimini ve görüntülenebilirliğini sağlamak zorundadır. Söz konusu açıklamaların;
a) İşlemlere ilişkin her türlü komisyon, ücret ve vergi tutar veya oranları,
b) Varsa piyasa yapıcı ve likidite sağlayıcı hakkında bilgiler,
c) Müşterilere ait kripto varlıkların ve nakdin nerede saklandığı,
ç) Müşteri işlemlerinin karşı taraf olarak karşılanıp karşılanmadığı ve karşılanması halinde buna ilişkin bildirimin nasıl yapılacağı,
hakkında bilgileri içermesi zorunludur. Yukarıdaki hususların genel ve muğlak ifadeler ya da düzenlemelere yapılan atıflar yerine mümkün olduğunca sayısal veya somut örnekler kullanılarak açıklanması esastır.
Çerçeve sözleşme imzalama yükümlülüğü
MADDE 22- (1) Platformlar müşterileriyle işlem yapmaya başlamadan önce, sunulacak hizmete ilişkin yazılı şekilde veya uzaktan iletişim araçlarının kullanılması suretiyle mesafeli olarak ya da mesafeli olsun olmasın Kurulun yazılı şeklin yerine geçebileceğini belirlediği ve bir bilişim veya elektronik haberleşme cihazı üzerinden bir sözleşme yapmak zorundadır. Bu sözleşme, platformlarla müşterisi arasındaki ilişkiyi genel olarak düzenleyen, başlangıçta bir kez akdedilen ve münferit işlemlerin esasını oluşturan bir çerçeve anlaşmadır.
(2) Müşteri kimliğinin mesafeli olarak tespit edilmesi ve müşteri ile elektronik ortamda kurulan çerçeve sözleşmeler hakkında kripto varlık hizmet sağlayıcılar tarafından III-42.1 sayılı Tebliğin ilgili hükümleri uygulanır. Elektronik ortamda kurulacak sözleşmelerde kaşe ve imza ihtiva eden bir suretin müşteriye verilmesine gerek yoktur. Ancak elektronik ortamda kurulan sözleşmenin bir suretinin müşteriye verilmesi veya müşteri tarafından beyan edilecek elektronik posta adresine iletilmesi veya müşteriye bilgisi verilmek suretiyle sözleşmenin elektronik ortamda erişiminin ve görüntülenebilirliğinin sağlanması zorunludur.
(3) Sözleşmenin yazılı olarak kurulması halinde, sözleşmeler müteselsil sıra numaralı ve en az bir nüsha olarak düzenlenir ve aslına uygun olduğuna ilişkin onaylayanın imzasını ve platformun kaşesini ihtiva eden bir suret müşteriye verilir. Sözleşmenin platformda kalan aslının üzerine müşteri tarafından bir suretinin alındığı ibaresi yazılır ve imzalanır.
(4) Platformlar müşterileri ile akdettikleri çerçeve sözleşmeleri daha sonra elektronik ortamda değiştirebilir. Bu durumda öncelikle müşterinin çerçeve sözleşmelerde elektronik ortamda değişiklik yapılması hususunda platformlara onay vermiş olması zorunludur. Çerçeve sözleşme değişikliklerinin elektronik ortamda yapılabilmesi için nitelikli elektronik imza kullanılması veya müşterinin elektronik ortama erişiminin platformların müşteriye atadığı şifre ile sağlanmış olması ve müşterinin ilgili değişiklikleri okuduğuna ve anladığına dair onayını elektronik ortamda vermiş olması gerekir. Bu durumda da ispat yükü ve bilgilerin saklanması bakımından ikinci fıkra hükümleri geçerlidir.
(5) Platformlar ile müşteriler arasında imzalanacak sözleşmede asgari olarak; emirlerin iletilmesine, gerçekleştirilmesine, takasına ve netleştirilmesine ilişkin hususlara, işlem öncesi ve sonrası yükümlülüklere, emir türlerine, nakit yatırma ve çekme işleyişine, kripto varlık transfer işlemlerine ve varsa bunlara ilişkin limitlere, müşteri nakitlerinin hangi bankalarda tutulacağına ve nemalandırma esaslarına, platformun kripto varlıkların saklanması amacıyla hangi saklama kuruluşu ile anlaştığına, kullanıcı ve şifre bilgilerinin güvenliğine ilişkin hususlara, ücret, komisyon ve diğer masraflara ve tarafların diğer hak ve yükümlülüklerine yer verilir.
(6) Çerçeve sözleşmelerde sermaye piyasası mevzuatına aykırı hükümler ile müşterilerin haklarını ciddi şekilde zedeleyici ve kripto varlık hizmet sağlayıcıların müşterilerine karşı sorumluluğunu ortadan kaldıran veya sınırlandıran hükümlere yer verilmez.
(7) Sözleşmeye taraf olan müşterinin ya da müşterilerin, devir, birleşme, veraset gibi külli halefiyet hallerinde, müşterek hesaplara yeni hak sahiplerinin dâhil olması ya da mevcutlardan bazılarının ayrılması gibi nedenlerle değişmesi halinde sözleşmenin yenilenmesi zorunludur. Ancak değişen hak sahiplerinin sözleşme akdetmek istememesi halinde, külli halefiyeti ispat eden belgeler çerçevesinde hesap içerisindeki haklar külli haleflere devredilerek hesap kapatılır ve bu durum üç iş günü içinde MKK’ya bildirilir.
(8) Sözleşmelerde hüküm bulunmayan hallerde genel hükümler uygulanır.
Müşteri numarası ve müşteri hesapları
MADDE 23- (1) Platformlar nezdinde çerçeve sözleşme imzalanan her müşteriye ayrı bir müşteri numarası tahsis edilir. Bir müşteriye verilmiş olan müşteri numarası, çerçeve sözleşmenin sona erme tarihi üzerinden on yıl geçmedikçe başka bir müşteriye verilemez.
(2) Sözleşme yapılan her müşteri için söz konusu müşteriden emir kabul etmeden veya müşteri adına verilen emir gönderilmeden önce platformlar tarafından MKK’dan sicil numarası alınır ve sicil numarasının müşteri numarası ile eşleşmesi sağlanır. Daha önce alınmış sicil numarası varsa, müşteri numarası ile eşleşmesi sağlanır. Müşteri adına MKK’dan sicil alma ve sicil eşleştirme işlemleri, MKK tarafından belirlenecek elektronik işlem yöntemlerine uygun olarak yerine getirilir.
(3) Platformlar, MKK’da sicil almamış veya sicil ile eşleşmemiş hesaplardan emir kabul edemez.
Kripto varlık hizmet sağlayıcıların internet siteleri ve KAP duyuruları
MADDE 24- (1) Kripto varlık hizmet sağlayıcılar, KAP’ta ve internet sitelerinde yetkili oldukları hizmetler ile şirketi tanıtıcı bilgileri sunar. Şirketi tanıtıcı bilgiler asgari olarak ticaret sicil bilgileri, son durum itibarıyla ortaklık ve yönetim yapısı, telefon numarası, kurumsal adres bilgisi, e-posta adresi ve faaliyet raporlarından oluşur.
(2) Platformların internet sitelerinde asgari olarak;
a) Platformda listelenen kripto varlıklara,
b) Kripto varlık işlemlerine yönelik olarak EK/1’de yer alan risk bildirim formunda belirtilen risklere,
c) Varsa, platformun listelediği kripto varlıklarda platforma çift taraflı fiyat kotasyonu veren veya likidite sağlayıcı olarak anlaştığı kurum veya kuruluşlara, bu kuruluşlarla doğrudan veya dolaylı olarak pay sahipliği ilişkisinin bulunup bulunmadığına ilişkin açıklamalara,
ç) Alınan kişisel verilerin saklama ve kullanım koşullarına,
d) Nakit ve kripto varlık transfer politikalarına,
e) Emir gerçekleştirme politikalarına,
f) Müşteriye elektronik ortamda yapılacak bildirimlere ilişkin esaslara,
g) Olası risklere karşı hazırlanan beklenmedik durum planlarına uygun olarak müşterilerin acil ve beklenmedik durumlarda kullanabilecekleri iletişim bilgileri ile müşterilerin risklerini azaltacak asgari tedbirlere,
ğ) Sayfada verilen bilgilerin genel nitelikte olduğuna ve müşterilerin alım satım kararlarını destekleyebilecek yeterli bilginin sayfada olmayabileceğine ilişkin bir açıklamaya,
h) Piyasa fiyatlarında ani ve beklenmedik dalgalanmalara yol açabilecek; ekonomik, siyasi, teknolojik veya sistemik olaylar ile piyasada likidite eksikliğinin meydana gelmesi, ticaretin durdurulması, platformların işleyişini etkileyen teknik arızalar, siber saldırılar veya doğal afetler gibi olağan dışı durumların oluşması halinde, bunlara ilişkin açıklamalar ile bu kapsamda alınan önlem ve tedbirlere,
ı) MKK’nın E-yatırımcı uygulamasından müşterilerin MKK sistemine bildirilmiş varlıklarına ait kayıtları karşılaştırabilecekleri bilgisine,
i) Listeleme prosedürüne,
yer verilmesi ve internet sitelerinin güncelliğinin sağlanması zorunludur.
(3) Saklama kuruluşlarının internet sitesinde;
a) Anlaşmalı oldukları platformların ünvanlarına ve
b) Saklama hizmeti sundukları kripto varlıkların listesine
yer verilmesi ve internet sitelerinin güncelliğinin sağlanması zorunludur.
(4) KAP’ta yer alacak genel bilgiler, KAP işleticisinin belirlediği form kullanılarak KAP’ta yayınlanır. Bu bilgilerde değişiklik olduğunda 2 iş günü içinde güncelleme yapılır.
Müşteri tanımı ve müşterinin tanınması kuralı
MADDE 25- (1) Müşteri, kripto varlık hizmet sağlayıcılar tarafından hizmet sunulan tüm gerçek ve tüzel kişiler ile tüzel kişiliği olmayan teşekküllerdir.
(2) Kripto varlık hizmet sağlayıcılar, 11/10/2006 tarihli ve 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve ilgili mevzuat hükümleri uyarınca müşterinin tanınması ilkesi kapsamında gerekli tüm tedbirleri alırlar. Kimlik bilgileri arasında, mukim oldukları ülkeler tarafından verilen vergi kimlik numarası veya sosyal güvenlik numarası gibi eşdeğer bir numara bilgisi de yer alır.
(3) Kripto varlık hizmet sağlayıcılar, III-42.1 sayılı Tebliğin ilgili hükümleri uyarınca uzaktan kimlik tespiti yoluyla müşteri edinebilirler. Ancak kimlik tespiti kapsamında alınan adres ile kimlik bilgilerinden ad, soyad, doğum tarihi ve T.C. kimlik numarası bilgileri İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü kimlik paylaşım sistemi veri tabanı vasıtasıyla doğrulanır.
(4) Müşterek hesaplarda kimlik tespiti her bir hak sahibi için ayrı ayrı yapılır.
(5) Müşteri hesabına, müşteri dışında sadece müşteri tarafından noter marifetiyle düzenlenmiş vekâletname ile yetkilendirilmiş kişiler tarafından işlem yapılabilir. Müşteri adına hareket eden üçüncü kişilerin kimlik tespitinde, 10/12/2007 tarihli ve 2007/13012 sayılı Bakanlar Kurulu Kararı ile yürürlüğe konulan Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik hükümleri uygulanır.
ALTINCI BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Yükümlülükleri
Kripto varlık hizmet sağlayıcıların ortaklık yapısı değişikliklerinde izin veya bildirim yükümlülüğü
MADDE 26- (1) Bir kişinin kripto varlık hizmet sağlayıcı sermayesinin veya oy haklarının doğrudan veya dolaylı olarak %10’u veya daha fazlasını temsil eden payları edinmek suretiyle kripto varlık hizmet sağlayıcı ortağı olması veya bir ortağa ait payların kripto varlık hizmet sağlayıcı sermayesinin veya oy haklarının doğrudan veya dolaylı olarak %10’unu, %20’sini, %33’ünü veya %50’sini aşması sonucunu veren pay edinimleri ile bir ortağa ait payların bu fıkradaki oranların altına düşmesi sonucunu veren ortaklık yapısı değişiklikleri Kurulun iznine tabidir.
(2) Birinci fıkradaki oranın altında kalsa dahi, kripto varlık hizmet sağlayıcının yönetim kurulunda temsil edilme hakkı veren imtiyazlı paylar ya da intifa hakkı taşıyan payların devri herhangi bir orana bakılmaksızın Kurul iznine tabidir.
(3) Kripto varlık hizmet sağlayıcıda pay sahibi bulunan tüzel kişilerin kendilerine ait pay devirleri, bu pay devirlerinin kripto varlık hizmet sağlayıcı nezdinde pay sahipliğini doğrudan veya dolaylı olarak %10’unu, %20’sini, %33’ünü veya %50’sini aşma sonucunu vermesi halinde, ayrıca tüzel kişinin kripto varlık hizmet sağlayıcı ilgili olarak yönetim imtiyazına sahip bulunduğu hallerde tüzel kişinin %10, %20, %33 veya %50 oranlarındaki ortaklık yapısı değişiklikleri veya imtiyazlı paylarının devrini içeren ortaklık yapısı değişiklikleri kripto varlık hizmet sağlayıcıların faaliyet şartları bakımından Kurulun onayına tabidir. Kripto varlık hizmet sağlayıcıların %10’undan fazlasına sahip tüzel kişilerin yönetim imtiyazına sahip paylarının devri de kripto varlık hizmet sağlayıcının faaliyet şartları bakımından Kurulun onayına tabidir.
(4) Bir kişinin, doğrudan veya dolaylı olarak, kripto varlık hizmet sağlayıcı sermayesinin veya oy haklarının birinci, ikinci ve üçüncü fıkralardaki oranlara ulaşmayan veya bu oranlar arasında kalan pay devirlerinde ise devri izleyen on iş günü içinde Kurula bildirimde bulunulur.
(5) Saklama hizmeti sunacak bankaların ortaklık yapısında meydana gelecek BDDK’nın iznine tabi doğrudan ya da dolaylı değişiklikler bakımından bu madde hükmü uygulanmaz. Ancak söz konusu değişiklik için on iş günü içinde Kurula bildirimde bulunulur. Bankanın pay devri sonucunda banka dışı kripto varlık hizmet sağlayıcının ortaklık yapısında oluşacak dolaylı değişiklik için BDDK’nın iznini izleyen on iş günü içinde Kurula bildirimde bulunulur.
(6) Bu maddeye aykırı olarak gerçekleştirilen devirler pay defterine kaydolunmaz ve bu hükme aykırı olarak pay defterine yapılan kayıtlar hükümsüzdür.
(7) Bu maddenin uygulanmasında;
a) Bir gerçek kişi ile eş ve velayeti altındaki çocuklarına, bunların sınırsız sorumlulukla katıldıkları veya yönetim kurulu başkanı, üyesi, genel müdür, genel müdür yardımcısı oldukları ortaklıklara,
b) Kamu tüzel kişileri hariç olmak üzere bir tüzel kişinin veya (a) bendinde sayılanların, sermayelerinin doğrudan veya dolaylı olarak %25’ine veya daha fazlasına iştirak ettikleri ortaklıklara,
c) Kurul tarafından aralarında istihdam ilişkisi, akdi ilişki ya da sair nedenlerle birlikte hareket ettiği belirlenenlere,
ait paylar bir kişiye ait addolunur.
(8) Bankalar bakımından dolaylı pay sahipliğinin hesaplamasında BDDK düzenlemeleri saklıdır.
Tescil ve ilan yükümlülüğü
MADDE 27- (1) Kripto varlık hizmet sağlayıcıların işletme adları, konuya ilişkin Kurul izninin tebliğini izleyen on iş günü içinde ilgili ticaret siciline tescil ettirilir ve Türkiye Ticaret Sicili Gazetesinde ilan olunur. Kripto varlık hizmet sağlayıcıların markaları, konuya ilişkin Kurul izninin tebliğini takiben 22/12/2016 tarihli ve 6769 sayılı Sınai Mülkiyet Kanunu kapsamında ilgili kripto varlık hizmet sağlayıcılar adına Türk Patent ve Marka Kurumuna tescil edilir.
(2) Kripto varlık hizmet sağlayıcıların her türlü faaliyet izni ile işletme adı veya marka kullanım izinleri, konuya ilişkin Kurul izninin tebliği üzerine kripto varlık hizmet sağlayıcıların internet sitesinde ve KAP’ta ilan olunur.
(3) Faaliyetlerin geçici durdurulması ya da faaliyet izninin iptali halinde keyfiyet, Kurulca tebliği üzerine derhal kripto varlık hizmet sağlayıcıların internet sitesinde ve KAP’ta ilan olunur.
(4) Bu madde uyarınca yapılan ilanlara ilişkin masraflar, ilgili kripto varlık hizmet sağlayıcıya aittir.
Kripto varlık hizmet sağlayıcıların SPL’ye yapacakları bildirimler
MADDE 28- (1) Kripto varlık hizmet sağlayıcılar; yönetici ve personelin 18 inci madde ile belirlenen ünvanı ile görev yapacağı hizmet birimini 13 üncü maddede öngörülen şartları taşıdığını tevsik edici belgeler ve ayrıntılı iş tecrübesini gösteren özgeçmişi ile birlikte göreve başlamalarını takiben on iş günü içinde SPL’ye bildirir. Söz konusu yönetici ve personelin görevden ayrılması, ünvan ve hizmet biriminin değiştirilmesi ile benzeri her türlü değişiklik de keyfiyeti takip eden on iş günü içinde SPL’ye bildirilir.
(2) Kripto varlık hizmet sağlayıcılar, imza yetkililerini gösterir mevcut imza sirkülerlerini ve değişiklik meydana gelmesi halinde güncel imza sirkülerlerini keyfiyeti izleyen on iş günü içinde SPL’ye gönderir.
(3) Kripto varlık hizmet sağlayıcılar; ortakları, personeli, müşterileri ve diğer gerçek ve tüzel kişiler aleyhine açtıkları dava ve takipler ile bunların kendileri aleyhine açtıkları dava ve takipleri ve sonuçlarını öğrendikleri tarihi izleyen on iş günü içinde SPL’ye bildirmek zorundadır. Söz konusu dava ve takiplerin dava ve karar tarihindeki tutarın özsermayenin %10’ unu geçmesi halinde Kurula da bildirimde bulunulur.
(4) Kripto varlık hizmet sağlayıcılar Kurulun bağımsız denetimine ilişkin düzenlemeleri kapsamında seçtikleri finansal raporların ve bilgi sistemlerinin bağımsız denetimini gerçekleştirecek denetim kuruluşları hakkındaki bilgiler ile buna ilişkin değişiklikleri, keyfiyeti izleyen on iş günü içinde SPL’ye bildirir.
(5) Bankalar sundukları kripto varlık saklama hizmeti ile sınırlı olarak üçüncü ve dördüncü fıkralarda yer alan hükümlere tabidir.
İştirak ve iştirak sınırları
MADDE 29- (1) Bir şirketin borsada işlem görmeyen paylarına sahip olunması ile şirkette %10 paya veya oy hakkına ya da yönetim kurulunda temsil edilme hakkına sahip olunması veya iktisap edilen payların bir yıldan uzun sürede elden çıkarılmaması iştirak amacıyla ortaklık kabul edilir.
(2) Kripto varlık hizmet sağlayıcılar; sermaye piyasası kurumları, borsalar, kıymetli maden aracı kurumları, sigorta, bireysel emeklilik, finansal kiralama, faktoring, finansman, tasarruf finansman ve varlık yönetim şirketleri ile Kurulca uygun görülecek diğer finansal kuruluşlara herhangi bir sınıra tabi olmaksızın iştirak edebilirler. Her halükarda, kripto varlık hizmet sağlayıcılar, ödenmiş sermayelerinin %10’undan fazlasına sahip olan şirketlere ve yöneticilerinin ayrı ayrı veya birlikte sermayelerinin %25’inden fazlasına sahip oldukları şirketlere iştirak edemezler.
(3) Kripto varlık hizmet sağlayıcıların ikinci fıkrada sayılanlar dışındaki şirketlere yapabilecekleri iştirakleri toplamı ise özsermayelerinin %25’ini aşamaz. Sermaye artırımları dolayısıyla bedelsiz edinilen şirket payları ile şirket paylarının herhangi bir fon çıkışı gerektirmeyen değer artışları iştirak sınırının hesaplanmasında dikkate alınmaz.
(4) Saklama kuruluşu olarak faaliyet gösteren bankalar bakımından bu madde hükümleri uygulanmaz.
Reklam, ilan, yayın, promosyon ve duyurular
MADDE 30- (1) Kripto varlık hizmet sağlayıcıların sunmaya yetkili oldukları hizmetlere yönelik olarak her türlü yazılı basın, internet, telefon, radyo, televizyon, sinema gibi iletişim kanalları ile açık hava, basılı materyal gibi her türlü yazılı, görsel ve elektronik iletişim araç ve ortamları ile yapılacak reklam, ilan, yayın, promosyon ve duyuruda objektif olması gerekir. Kripto varlık hizmet sağlayıcılar, yalan, yanlış veya yanıltıcı bilgilere dayalı ve müşterilerin tecrübe veya bilgi noksanlıklarını istismar edici reklam, ilan, yayın, promosyon ve duyuru yapamaz, diğer yazılı ve sözlü açıklamalarda bulunamaz.
(2) Kripto varlık hizmet sağlayıcılar reklam, ilan, yayın, promosyon ve duyurularında mevzuatın imkân verdiği haller hariç olmak üzere mutlak getiri ve/veya zarara karşı garanti taahhüdünde bulunamaz.
(3) Reklam, ilan, yayın ve duyurularında, kripto varlık hizmet sağlayıcının mali durumuna ilişkin sayısal veriler ile nezdindeki toplam “saklanan kripto varlık büyüklüğüne”, “müşteri sayısına”, “işlem hacmine” ilişkin veya buna benzer resmi verilerle kanıtlanması mümkün olan ibareler, ancak bu yargılara ulaşmayı sağlayabilecek kaynaklar referans gösterilmek suretiyle kullanılabilir.
(4) Kripto varlık hizmet sağlayıcılar tarafından birinci fıkrada belirtilen mecralarda yapılacak her türlü reklam, ilan, yayın ve duyurularında;
a) Müşterinin her durumda kazanç elde edeceğine veya hiçbir durumda zarar etmeyeceğine yönelik ibarelere,
b) Belirli meslek gruplarına veya üniversite öğrencileri, ev hanımları gibi toplumun çeşitli kesimleri kullanılmak suretiyle veya genel olarak müşterilerin ek gelir veya kazanç sağlayacağına ya da mevcut gelirlerini artıracağına yönelik ibarelere,
c) İşlemlerin garantili veya güvenli olarak veya Kurulun ya da diğer kamu kurumlarının güvencesi veya teminatı kapsamında gerçekleştirildiğine ilişkin ibarelere,
ç) İşlemlerin risk taşımadığı, herhangi bir bilgi gerektirmediği veya kısa süreli bir eğitimle işlemler hakkında bilgi sahibi olunabileceğine ve yatırım yapılabileceğine yönelik ibarelere,
d) Herhangi bir istatistiki veya somut veriye dayanılmaksızın ilgili kripto varlık hizmet sağlayıcıyı öne çıkaracak şekilde aldatıcı ve/veya dürüstlük kuralına aykırı olarak haksız rekabet doğuracak ibarelere,
e) Müşterilerin dini, kültürel veya sosyal içerikli hassasiyetlerine yönelik kullanılan ibarelere,
f) Belirli bir fiyat hedefine,
g) Yanlış veya yanıltıcı izlenim uyandıracak şekilde kişi veya subjelere,
yer verilemez.
(5) Kripto varlık hizmet sağlayıcılar tarafından;
a) Bireylerin, normal ekonomik ve finansal koşullar içerisinde, ancak belli sürelerde birikim yaparak ve/veya dış kaynak (kredi ve benzeri) kullanmak suretiyle elde edebilecekleri maddi değeri çok yüksek ürünlerin kazanılmasına yönelik,
b) Yatırımcıların sadece verilecek ödülü kazanma güdüsü ile hareket etmelerine sebep olabilecek nitelikte maddi değeri çok yüksek ürünleri içerecek şekilde,
c) Herhangi bir yöntemle müşteri kazandıran kişilere veya kazandırdıkları müşterilere, her türlü menfaat ve faydanın sağlanmasını içeren,
ç) Maliyeti öngörülemeyen nitelikte,
d) Müşterilere belirli bir getiri vaadi içeren veya bir ya da birden fazla kripto varlığa yatırım yapılmasına yönlendirme niteliği taşıyacak şekilde,
promosyon kampanyaları düzenlenemez.
(6) 16 ncı madde kapsamında yaptırılan sigortalar, kripto varlık hizmet sağlayıcının yayın, ilan ve duyurularında reklam ve tanıtım konusu yapılamaz.
(7) Müşterilere yönelik bire bir tanıtım ve bilgilendirmelerde de bu maddede yer alan esaslara uyulur.
(8) Kripto varlık hizmet sağlayıcıların topladıkları müşteri bilgilerinin başka kurumlarla paylaşılması durumunda 6698 sayılı Kanun hükümlerine uyulur.
YEDİNCİ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Dışarıdan Hizmet Alımına İlişkin Esaslar
Dışarıdan hizmet alımı ve kapsamı
MADDE 31- (1) Kripto varlık hizmet sağlayıcılar, sunmaya yetkili oldukları hizmet ve faaliyetlerin yürütülmesi sırasında sermaye piyasası mevzuatından kaynaklanan yükümlülüklerinin sağlanmasına yardımcı nitelikteki hizmetleri, koşulları 34 üncü maddede belirlenen bir sözleşme kapsamında başka bir hizmet sağlayıcı kuruluştan alabilir.
(2) Kripto varlık hizmet sağlayıcıların aşağıda belirtilen faaliyetleri dışarıdan hizmet alımına konu olamaz:
a) Münhasıran kripto varlık hizmet sağlayıcı yönetim kurulunca icra edilmesi gereken faaliyetler.
b) Kuruldan izin alınmasını gerektiren hizmet ve faaliyetlerin sunulması ve bunların pazarlanmasına yönelik faaliyetler.
c) Kripto varlık hizmet sağlayıcının işlemlerinin muhasebeleştirilmesi ile finansal raporlarının düzenlenmesi.
ç) İç denetim, iç kontrol ve risk yönetim sistemi kapsamındaki faaliyetler.
(3) Bu Tebliğ kapsamındaki faaliyetlerin sunumunda doğrudan kullanılmayan danışmanlık, eğitim, reklam, güvenlik, yemek, ulaşım, temizlik, avukatlık, hukuk danışmanlığı, piyasa veri hizmetleri, posta ve kargo hizmetleri, kurum içi günlük işleyişin sürdürülmesi için gerekli her türlü teknik ekipman, demirbaş, yazılım veya donanımın temini, bakımı, onarımı ve güncelleme hizmetleri, müşteri bilgilerinin gizliliğinin korunması şartıyla arşiv hizmetleri ile bunlara benzer diğer hizmetler bu Tebliğ kapsamında yer almaz.
(4) Başka şirket bünyesinde istihdam edilmekle birlikte kripto varlık hizmet sağlayıcıda geçici veya sürekli olarak, üçüncü fıkrada sayılan işlerde çalıştırılacak personele yönelik hizmet alımları bu Tebliğ kapsamında yer almaz.
(5) Kripto varlık hizmet sağlayıcılarca, hatırlatma aramaları, teknik destek ve yardım masası, müşteriye hesap bilgilerinin verilmesi, müşterilerin kişisel bilgilerinin güncellenmesi hizmetleri gibi emir iletimi ile ilgili olmayan müşteri taleplerinin kripto varlık hizmet sağlayıcıya aktarılmasıyla sınırlı olmak üzere çağrı merkezi hizmeti alınabilir. Müşterinin kripto varlık hizmet sağlayıcıda kayıtlı olan telefon numarasından aranması gerektiği durumlarda, arama gerçekleştirilmeden önce telefonun başka bir numaraya yönlendirilmemiş olduğuna ilişkin kontroller işletilir.
(6) Kurul gerektiğinde kripto varlık hizmet sağlayıcıların dışarıdan hizmet alabilecekleri konuları belirlemeye veya platform ya da saklama kuruluşu itibarıyla dışarıdan hizmet alınabilecek konuları sınırlamaya, yasaklamaya veya sorumluluk sigortası yaptırılmasını zorunlu tutmaya veya dışarıdan alınan hizmetin niteliğine göre bu hizmetin alınmasını izin koşuluna bağlamaya yetkilidir.
(7) Bilgi güvenliğine ve dağıtık defter ağı entegrasyonuna yönelik konularda yapılacak hizmet alımında VII-128.10 sayılı Tebliğde yer alan esaslar ile TÜBİTAK Altyapı Kriterlerine uyulur.
Dışarıdan hizmet alımına ilişkin esaslar
MADDE 32- (1) Dışarıdan hizmet alımı, işin niteliğine uygun olarak kripto varlık hizmet sağlayıcı ile dışarıdan hizmet alınan kuruluş arasında akdedilecek yazılı bir sözleşme kapsamında yürütülür.
(2) Dışarıdan hizmet alacak kripto varlık hizmet sağlayıcılar, şartları bu Tebliğ ve VII-128.10 sayılı Tebliğ ile belirlenen iş akış prosedürlerini oluşturur ve gerekli kontrol mekanizmalarını kurar. Dışarıdan hizmet alımından doğabilecek riskler ile hizmetlerin herhangi bir surette kesintiye uğraması veya aksaması durumunda uygulamaya konulacak bir eylem planıyla birlikte bu risklerin yönetilmesine ve dışarıdan alınan hizmetin ikame edilebilirliğine ilişkin bilgilere acil durum planında yer verilir.
(3) Dışarıdan hizmet sağlayan kuruluş sunduğu hizmetleri etkili ve ilgili mevzuata uygun biçimde icra etme kabiliyetini önemli ölçüde etkileyebilecek her türlü gelişmeyi kripto varlık hizmet sağlayıcıya derhal bildirir.
(4) Dışarıdan hizmet sağlayan kuruluş hizmet alımı süresince ve dışarıdan hizmet alım sözleşmesinin sona ermesinden sonra kripto varlık hizmet sağlayıcı ve müşterileri hakkındaki sır niteliğindeki bilgileri korumakla yükümlüdür.
(5) Dışarıdan hizmet alımı süresince müşteri bilgilerinin hizmet sağlayan kuruluşa iletilmesi gereken durumlarda, müşterilerin bilgilendirilmesine ilişkin hususlara çerçeve sözleşmede yer verilmesi veya müşteriye bildirim yapılması zorunludur.
(6) Dışarıdan hizmet alımı, kripto varlık hizmet sağlayıcının sermaye piyasası mevzuatından, suç gelirlerinin aklanması, terörizmin finansmanının önlenmesi ve kitle imha silahlarının yayılmasının finansmanının önlenmesi dahil olmak üzere diğer mevzuattan kaynaklanan sorumluluklarını ortadan kaldırmaz. Dışarıdan hizmet sağlayan kuruluş tarafından sağlanan hizmetlerle ilgili olarak müşteriyle kurulan ilişkilerden doğan hukuki sorumluluk kripto varlık hizmet sağlayıcıya aittir.
(7) Dışarıdan hizmet alınması, kripto varlık hizmet sağlayıcıların hesap ve kayıtları ile mevzuat kapsamında tutmakla yükümlü oldukları her türlü bilgi ve belgelerin kendi bünyelerinde tutulması ve saklanması yükümlülüğünü ortadan kaldırmaz.
(8) Dışarıdan hizmet alımı, kripto varlık hizmet sağlayıcıların yasal yükümlülüklerini yerine getirmelerini, ilgili düzenlemelere uymalarını ve etkin biçimde denetlenmelerini engelleyici nitelikte olamaz.
(9) Bilgi sistemlerine ilişkin dışarıdan hizmet alımında, VII-128.10 sayılı Tebliğde belirlenen esaslara ek olarak, sermaye piyasası mevzuatı uyarınca kripto varlıklara ilişkin olarak sunulan platform ve saklama hizmetlerinin gerektirdiği yükümlülükler bakımından söz konusu hizmetlerde yönetim, içerik tasarımı, erişim, kontrol, denetim, güncelleme, bilgi veya rapor alma gibi fonksiyonlarda karar alma gücü ve sorumluluğunun kripto varlık hizmet sağlayıcıda olması gerekir.
(10) Dışarıdan hizmet sağlayan kuruluşların veya alt yüklenici kuruluşların yurt dışında kurulu olmaları veya faaliyetlerini yurt dışı şube veya ortaklıkları üzerinden gerçekleştirmeleri durumunda, bu kuruluşların faaliyet gösterdikleri ülke düzenlemeleri ve uygulamalarında, Kurulun ihtiyaç duyduğu bilgi ve belgeleri zamanında, eksiksiz ve doğru edinmesine ve bu kuruluşlardan alınan hizmetle ilgili denetim yapmasına ilişkin herhangi bir engel bulunmaması zorunludur. Kripto varlık hizmet sağlayıcıların bu Tebliğ kapsamında yurt dışında faaliyet gösteren bir kuruluştan hizmet alması durumunda, ülke riskini dikkate almak ve hizmetin herhangi bir surette kesintiye uğraması veya aksaması durumunda iş devamlılığını ve gerekirse bu hizmetin alternatif kuruluştan alınmasını sağlayacak eylem planlarını hazır bulundurması zorunludur.
Dışarıdan hizmet alımına ilişkin değerlendirme ve iş akış prosedürlerinde yer alacak hususlar
MADDE 33- (1) Kripto varlık hizmet sağlayıcıların, dışarıdan hizmet alımına başlamadan önce yürütülmekte olan faaliyetin dışarıdan hizmet alımına konu olabilecek bir hizmet olup olmadığı ile dışarıdan hizmet alımı ile beklenen fayda ve maliyetlere ilişkin değerlendirmeleri yapması ve hizmet sağlayıcı kuruluşun sağlanacak hizmeti istenilen seviyede gerçekleştirebilecek düzeyde teknik donanım, altyapı, mali güç, tecrübe, bilgi birikimi ve insan kaynağına sahip olup olmadığını tespit etmesi zorunludur.
(2) Birinci fıkra kapsamında, dışarıdan hizmet alımı kararına esas teşkil etmek üzere söz konusu tespit ve değerlendirmeler ile asgari olarak aşağıdaki değerlendirmeleri içeren bir rapor karara bağlanmak üzere genel müdür tarafından kripto varlık hizmet sağlayıcının yönetim kuruluna sunulur:
a) Faaliyet konuları itibarıyla ihtiyaç duyulan hizmet alımlarının hangileri olduğu.
b) Dışarıdan hizmet alımına geçiş aşamasında gerekli dönüşüm, iç düzenleme, altyapı ve eğitim çalışmalarının nasıl yürütüleceği.
c) Dışarıdan hizmet alımı sırasında yaşanabilecek kesintilerin kripto varlık hizmet sağlayıcının itibarı, mali durumu ve operasyonel faaliyetlerinin yürütülmesine olası etkileri.
ç) Dışarıdan hizmet alımının kripto varlık hizmet sağlayıcının müşterilerine sunacakları hizmete ilişkin olası etkileri.
d) Dışarıdan hizmet alımının kripto varlık hizmet sağlayıcının mevzuattan kaynaklanan yükümlülüklerini karşılama düzeyi ve muhtemel değişikliklere uyum kapasitesi üzerindeki olası etkileri.
e) Dışarıdan hizmet alımının maliyeti.
f) Dışarıdan hizmet sağlayan kuruluş ve kripto varlık hizmet sağlayıcı arasındaki ortaklık, iştirak ve diğer ilişkiler.
g) Dışarıdan hizmet sağlayan kuruluşun bu Tebliğ ile öngörülen yükümlülükleri sağladığına ilişkin değerlendirme.
ğ) Gerekli olması halinde alternatif bir dışarıdan hizmet sağlayan kuruluşun seçilmesine ve faaliyetin kripto varlık hizmet sağlayıcı bünyesinde yürütülmesi için gerekli zamana ve yaşanabilecek zorluklara ilişkin değerlendirme.
(3) Kripto varlık hizmet sağlayıcılar hizmet alımı süresince kullanılmak üzere;
a) Sermaye piyasası ve diğer mevzuattan kaynaklanan yükümlülüklerin kesintiye uğramaksızın yerine getirilmesine ilişkin alınacak tedbirler ile ortaya çıkabilecek risklerin tespiti ve yönetilmesi,
b) Dışarıdan hizmet sağlayan kuruluşun izlenmesi ve gerektiği durumlarda denetlenmesi,
hususlarında yetki, görev, sorumluluk ve iş akışlarını içeren prosedürleri oluşturur.
Dışarıdan hizmet alımı sözleşmesi
MADDE 34- (1) Kripto varlık hizmet sağlayıcılar ile dışarıdan hizmet sağlayan kuruluş arasında akdedilecek sözleşmenin asgari olarak aşağıdaki hususları içermesi, açık ve anlaşılır olması zorunludur:
a) Dışarıdan alınacak hizmetin konusu, kapsamı ve süresi, alınan hizmet karşılığı ödenecek ücret, tarafları tanıtıcı bilgiler ile tarafların hak ve sorumlulukları.
b) Dışarıdan hizmet sağlayan kuruluşun, sermaye piyasası mevzuatı kapsamında Kurul veya Kurulca uygun görülecek diğer kuruluşlar tarafından talep edilecek bilgileri istenilen zamanda ve nitelikte sağlamasına ilişkin yükümlülüğü ve Kurulun ve Kurulca uygun görülecek diğer kuruluşların sözleşme kapsamında sunulan hizmet ile ilgili olarak hizmet sağlayıcı bünyesindeki gerekli gördüğü her türlü bilgi, belge ve kayda erişim hakkı.
c) Kripto varlık hizmet sağlayıcıların, dışarıdan hizmet sağlayan kuruluşun sözleşme kapsamındaki faaliyetlerini sürekli olarak izleme ve değerlendirmesine ilişkin esaslar.
ç) Sözleşmenin feshine ilişkin esaslar ile dışarıdan hizmet alımına konu faaliyetin başka bir dışarıdan hizmet sağlayan kuruluşa ya da kripto varlık hizmet sağlayıcıların kendisine devrine kadar hizmet sağlanmasına devam edileceğine ilişkin hüküm.
d) Kripto varlık hizmet sağlayıcılar ile dışarıdan hizmet sağlayan kuruluş arasındaki anlaşmazlık halinde çözüm usulü.
e) Sözleşmede dışarıdan hizmet alınması yoluyla alınan hizmeti sağlayan kuruluşlar için yükümlülük teşkil eden hükümlerin, alt yüklenici kuruluşlar ile yapılacak olan sözleşmelerde de bağlayıcı maddeler olarak yer almasını sağlayacak hükümler.
f) Dışarıdan hizmet sağlayan kuruluşun veya alt yüklenicinin yükümlülüklerini kripto varlık hizmet sağlayıcıların onayı olmaksızın başka bir gerçek ya da tüzel kişiye devredemeyeceğine ilişkin hüküm.
g) Dışarıdan hizmet alımına konu edilen bir faaliyet konusunda, ilgili mevzuatta kripto varlık hizmet sağlayıcılar için yükümlülükler getirilmesi halinde, bu yükümlülüklerin dışarıdan hizmet sağlayan kuruluş tarafından da yerine getirilmesinin sağlanacağına ilişkin hüküm.
ğ) Dışarıdan hizmet sağlayan kuruluşun sunduğu hizmetleri etkili ve ilgili mevzuata uygun biçimde icra etme kabiliyetini önemli ölçüde etkileyebilecek her türlü gelişmeyi kripto varlık hizmet sağlayıcıların derhal bildireceğine ilişkin hüküm.
h) Dışarıdan hizmet sağlayan kuruluş tarafından sağlanan hizmet dolayısıyla öğrenilen kripto varlık hizmet sağlayıcılara ve müşterilerine ait bilgiler ile belgelerin, yapılan anlaşmada belirtilen amaçlar dışında kullanılmaması ve sözleşme sonlanmış olsa dahi üçüncü kişilere açıklanmamasına ilişkin hüküm.
ı) Kurulca dışarıdan hizmet alınmasının sınırlanması veya yasaklanması halinde kripto varlık hizmet sağlayıcıların sözleşme süresi sona ermeden dışarıdan hizmet sağlayan kuruluştan hizmet alımının sona erdirilmesini kararlaştırarak sözleşmeyi feshedebilmesine imkân tanıyacak hüküm.
(2) Sözleşmede bu Tebliğ ile belirlenen esasları ortadan kaldıran veya değiştiren hükümlere yer verilemez.
Dışarıdan hizmet alımına ilişkin Kurul denetimi
MADDE 35- (1) Kurul dışarıdan hizmet sağlayan kuruluşlardan, Kanun ve bu Tebliğ hükümleri ile ilgili bilgileri istemeye, bunların tüm defter ve belgelerini, elektronik, manyetik ve benzeri ortamlarda tutulanlar dâhil tüm kayıtlarını, sair bilgi ihtiva eden araçlarını ve bilgi işlem sistemini incelemeye, bunlara erişiminin sağlanmasını istemeye ve bunların örneklerini almaya, işlem ve hesaplarını denetlemeye, ilgililerden yazılı ve sözlü bilgi almaya, gerekli tutanakları düzenlemeye yetkili olup, ilgililer de istenilen bilgi, defter ve belgeler, elektronik, manyetik ve benzeri ortamlarda tutulanlar dâhil tüm kayıtlar, sair bilgi ihtiva eden araçlar ve bilgi işlem sistemine erişimi sağlamak, kayıtların ve bilgi ihtiva eden araçların örneklerini vermek, yazılı ve sözlü bilgi vermek ve tutanakları imzalamakla yükümlüdür.
SEKİZİNCİ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Belge Kayıt Sistemi
Uygulama esasları
MADDE 36- (1) Kripto varlıkların muhasebeleştirilmesinde Kurulun aracı kurumların hesap planına ilişkin düzenlemeleri kıyasen uygulanır.
(2) Bankalar, kripto varlık hizmet sağlayıcılığı faaliyetleri ile sınırlı olarak birinci fıkra hükümleri hariç olmak üzere bu Tebliğdeki belge ve kayıt düzenine ilişkin hükümlere uyarlar.
Müşteri emirlerinin alındığı ortam
MADDE 37- (1) Müşterilerin tüm emirlerinin platformların kendilerine ait internet siteleri, mobil uygulamaları veya platformun operasyon personeli aracılığıyla platformların kayıtlı telefonların üzerinden alınması esastır. Bunların haricinde veya farklı sosyal medya mecraları vasıtasıyla müşteri emirleri alınamaz. Alım veya satım emri vermesine rağmen herhangi bir işlem gerçekleştirilmediğini iddia eden müşteri, emri verdiğini ispatla yükümlüdür.
Kimlik doğrulama ve işlem güvenliği
MADDE 38- (1) Müşterilerin kimlik doğrulama ve işlem güvenliğine yönelik 1/8/2015 tarihli ve 29432 sayılı Resmî Gazete’de yayımlanan Yatırım Hizmet ve Faaliyetleri ile Yan Hizmetlere İlişkin Belge ve Kayıt Düzeni Hakkında Tebliğ (III-45.1)’in 5/A maddesinde belirlenen esaslar, platformlar bakımından da uygulanır.
Düzenlenecek belgeler
MADDE 39- (1) Platformlar tarafından, gerçekleştirdikleri faaliyetin türü gözetilmek suretiyle işlem sonuç formu ve hesap ekstresi düzenlenmesi zorunludur.
(2) İptal edilen, gerçekleştirilmeyen ve değiştirilenler de dâhil olmak üzere alınan tüm emirlere ilişkin kayıtların aşağıdaki bilgileri içermesi gerekir:
a) Müşteri numarası veya hesap numarası.
b) İşleme konu kripto varlık.
c) Emir tipi.
ç) Emrin alım ya da satım emri olduğu.
d) Emrin fiyat bilgisi.
e) Emrin miktarı.
f) Emrin alındığı ve iletildiği tarih ve zaman.
g) Emrin geçerlilik süresi.
ğ) Emrin sıra numarası.
h) İşlem yapılacak para birimi veya parite.
(3) Alınan ve satılan kripto varlıkların; cinsi, miktarı ve fiyatı ile müşteriye tahakkuk ettirilen komisyon ve gider karşılıklarını gösterecek şekilde ve müteselsil numaralı olarak işlem sonuç formunun düzenlenmesi zorunludur. Platform, düzenlenen işlem sonuç formunu en geç gün sonunda olmak üzere müşteri tarafından beyan edilecek elektronik posta adresine göndermekle veya müşterilerine hesap ekstrelerine elektronik ortamda erişim sağlamakla yükümlüdür.
(4) Platformlar, müşterilerinin hesap ekstrelerini aylık dönemler itibarıyla ilgili dönemi izleyen beş iş günü içinde müşteri tarafından beyan edilecek elektronik posta adresine göndermekle veya müşterilerine hesap ekstrelerine elektronik ortamda erişim sağlamakla yükümlüdür. İlgili dönem içinde hiçbir işlem yapmayan müşterilere hesap ekstresi gönderilmeyebilir. Hesap ekstrelerinde asgari olarak ilgili dönem içerisinde;
a) Alınan, satılan veya transfer edilen tüm kripto varlıkların adları, alım, satım ya da transfer tarihleri, zamanları, fiyatları ve miktarlarına,
b) Müşterinin platform ve saklama kuruluşu nezdinde tutulan kripto varlıklarına ve bankalarda tutulan nakitlerine ilişkin tüm hareketlere,
c) Hesaba tahakkuk ettirilen her türlü komisyon, ücret ve vergilere,
ilişkin bilgilere anlaşılır ve açık bir biçimde yer verilmesi zorunludur.
(5) Platformlar tarafından müşteriye yapılması gereken bildirim ve raporların gönderildiğine veya bunlara elektronik ortamda erişim imkanı sağlandığına ilişkin ispat yükü platformlardadır. Söz konusu bildirim ve raporlarda yer alan bilgilerin belirli süre geçtikten sonra müşteri tarafından kabul edilmiş sayılacağına ilişkin sorumsuzluk kayıtlarına çerçeve sözleşmelerde ve ilgili diğer belgelerde yer verilemez. Bu tür kayıtlar hükümsüz sayılır.
Belgelerin saklanması
MADDE 40- (1) Kripto varlık hizmet sağlayıcılar tarafından oluşturulan tüm kayıtlar güvenli, erişilebilir, takip edilebilir ve bütünlüğü, doğruluğu, gizliliği sağlanacak şekilde tutulur. Dışarıdan hizmet alımı yoluyla gerçekleşen işlemlere de bu fıkra hükümleri uygulanır.
(2) Platformlarca; gerçekleşmeyen, iptal edilen ve değiştirilen emirler dâhil olmak üzere, internet üzerinden veya her türlü elektronik ortamda alınan emirlerde tarih, zaman, miktar, fiyat ve müşteri bazında olmak üzere emri ileten müşterilere ilişkin IP (Internet Protokol) numaraları kayıtlarının, emri veren kaynağı gösterecek şekilde elektronik log kayıtlarının ve telefon ile alınan müşteri emirlerine ilişkin ses kayıtlarının Kurulca talep edilmeleri halinde yazılı hale dönüştürülebilecek ve derhal iletilebilecek şekilde tutulması zorunludur.
(3) Tüm müşterilere ilişkin hesap hareketlerinin, zaman bilgisini gösterecek şekilde piyasa yapıcılık veya likidite sağlayıcılık hizmeti sunan kurumlardan alınanlar dahil olmak üzere, müşterilere yansıtılan fiyatların ve ikinci fıkrada belirtilen tüm kayıtların silinemez, değiştirilemez ve tahrif edilemez şekilde, anlık olarak doğruluğu ve bütünlüğü sağlanmak üzere dosya bütünlük değerlerinin günlük periyotlarda zaman damgası ile düzenlenmesi ve saklanması zorunludur. Ayrıca yazılı olarak tutulan belge ve kayıtlarda ise silinti ve kazıntı yapılmaması; düzeltmelerin yanlış kaydın görülmesine engel olmayacak şekilde yapılması ve boş satır bırakılmaması zorunludur.
(4) Platformların faaliyetleri kapsamında aldıkları ve ürettikleri her türlü belge ile III-42.1 sayılı Tebliğ uyarınca uzaktan kimlik tespiti süresince alınan tüm belgeler ve video görüntüler dâhil elektronik kayıtları düzenli ve tasnif edilmiş bir biçimde 6102 sayılı Kanunun 82 nci maddesi uyarınca on yıl süre ile saklamaları zorunludur. Saklanması gereken belge ve kayıtlardan ihtilaflı olanların bu fıkrada belirtilen süre ile sınırlı olmaksızın ihtilaf sonuçlanıncaya kadar muhafazası zorunludur.
(5) Bilgi işlem altyapısında gerçekleştirilen tüm değişiklikler kimlerce yapıldığı bilgisi ile birlikte kayıt altına alınır. Bilgi işlem altyapısında oluşan bilgi güvenliği ihlalleri, hatalar ve bunlara karşı yapılan iyileştirici işlemler kayıt altına alınır.
(6) Kripto varlık hizmet sağlayıcıların; reklam, tanıtım, pazarlama ve benzeri faaliyetleri de dâhil olmak üzere yatırımcılarla sözlü, yazılı ve her türlü elektronik ortamdaki iletişimlerine dair belgeleri ve mutabakat esasları kapsamında üretecekleri her türlü bilgi ve belgeyi dördüncü fıkrada belirtilen sürede saklamaları zorunludur.
Müşteri şikâyetlerine ilişkin kayıtlar
MADDE 41- (1) 9 uncu maddenin ikinci fıkrasının (c) bendi uyarınca platformlar tarafından müşteri uyuşmazlıklarını çözmek için oluşturulacak sistem kapsamında asgari olarak aşağıdaki bilgilerin tutulması gerekir:
a) Şikâyet sahibinin adı, soyadı, adresi ve hesap numarası.
b) Şikâyet tarihi.
c) Şikâyetin özeti ve mevzuatın hangi hükümlerine aykırılık iddiasında olduğu.
ç) Şikâyete ilişkin olarak platform tarafından yapılan işlemlerin özeti.
(2) Müşteri şikâyetlerinin incelenmesine ilişkin olarak üretilen bilgi ve belgeler 40 ıncı maddenin dördüncü fıkrasında yer alan sürenin sonuna kadar saklanır.
(3) Müşterilerin şikâyetlerini yöneltebilecekleri birimlerin adres ve iletişim bilgilerinin müşterilere gönderilen belgelerde ve platformun internet sitesinde yer alması zorunludur.
DOKUZUNCU BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların İç Denetim, İç Kontrol ve Risk
Yönetim Faaliyetleri
İç denetim, iç kontrol ve risk yönetim yükümlülükleri
MADDE 42- (1) Kripto varlık hizmet sağlayıcılar tarafından, bünyelerinde faaliyetlerinin kapsam ve yapısıyla uyumlu, değişen koşullara cevap verebilecek nitelik, yeterlilik ve etkinlikte iç denetim, iç kontrol ve risk yönetim birimlerinin kurulması, kurulan birimlerce bunlara ilişkin faaliyetlerin idame ettirilmesi ve geliştirilmesi zorunludur.
İç denetim faaliyeti
MADDE 43- (1) İç denetim, kripto varlık hizmet sağlayıcıların bilgi sistemleri ile ilgili süreç ve kontroller dâhil olmak üzere iç kontrol ve risk yönetimi süreçlerinin etkinliği, yeterliliği ve uyumluluğu konusunda üst yönetime ve yönetim kuruluna güvence sağlamak amacıyla iç denetçiler tarafından gerçekleştirilen denetim faaliyetini ifade eder.
(2) İç denetim faaliyeti, kripto varlık hizmet sağlayıcının günlük faaliyetlerinden bağımsız, yönetimin ihtiyaçları ve kripto varlık hizmet sağlayıcının yapısına göre mevzuat ve politikalarına uygunluk denetimleri şeklinde iç denetçilerce gerçekleştirilen, iç kontrol sisteminin işleyişi başta olmak üzere kripto varlık hizmet sağlayıcının tüm faaliyetlerini ve birimlerini kapsayan ve bu alanlara ilişkin değerlendirme yapılmasını sağlayan, değerlendirmelerde kullanılan kanıt ve bulguların raporlama, izleme ve inceleme sonucunda elde edildiği sistematik denetim sürecini ifade eder.
(3) İç denetim faaliyeti, kripto varlık hizmet sağlayıcının tüm faaliyetlerini ve birimlerini kapsayacak şekilde yürütülür. İç denetim, kripto varlık hizmet sağlayıcı içinde tüm varlıkların, hesap ve kayıtların, belgelerin, personelin ve kripto varlık hizmet sağlayıcının güvenliğini etkileyebilecek diğer tüm unsurların yerinde inceleme ve denetleme faaliyetlerinde bulunulmasını, gerektiğinde soruşturma yapılmasını, ifade alınmasını, savunma istenmesini, belge ve bilgilere el konulmasını, gerekli görülmesi halinde sorumlu personelin inceleme sonuçlandırılıncaya kadar işten uzaklaştırılmasının kripto varlık hizmet sağlayıcı yönetim kuruluna önerilmesi gibi eylemleri kapsar. Düzenlenen raporlar ve bu raporlara esas teşkil eden belgelerin bu Tebliğin belge kayıt düzenlemelerinde belirtilen süreyle veya bu süre içinde hukuki ihtilafa konu olanların, ihtilafın sonuçlanmasına kadar saklanması zorunludur.
(4) Asgari olarak mevzuata uyum ve iş akış prosedürlerine uygunluk denetimleri yılda bir defa gerçekleştirilir ve denetim sonuçları yönetim kuruluna sunulur.
(5) Kripto varlık hizmet sağlayıcıların bünyelerinde bir iç denetim birimi oluşturmaları ve bu birimde münhasıran çalışmak üzere yeter sayıda iç denetçi istihdam etmeleri zorunludur. İç denetim birimi doğrudan yönetim kuruluna bağlı ve sorumlu olarak çalışır. Yönetim kurulu bu birime ilişkin yetkilerini, genel müdür dışında olmak üzere en az iki yönetim kurulu üyesine devredebilir.
(6) İç denetçiler yönetim kurulu kararı ile göreve başlarlar ve her türlü belgeye erişim imkanına sahip kılınırlar. İç denetçilerin kripto varlık hizmet sağlayıcı bünyesindeki tüm bilgi ve belgelere ulaşma yetkisine yazılı politikalarda açıkça yer verilir.
(7) İç denetçiler görevleri gereği eriştikleri bilgilerin gizliliğine özen gösterirler. Bu türden bilgileri hiçbir durumda kişisel fayda sağlamak amacıyla ya da yasalar, diğer hukuki düzenlemeler veya meslek etiğine aykırı biçimde kullanamazlar. Görevlerini tarafsız olarak yerine getirmelerini engelleyecek görev ya da ilişkiler içinde yer alamazlar, bu sonuca yol açabilecek görev ve sorumlulukları kabul edemezler. Faaliyetleri sırasında tarafsızlığını zedeleyebilecek bir durumun ortaya çıkması halinde iç denetçi; bu durumu birim yöneticisine iletir, ayrıca herhangi bir çalışması sırasında tarafsızlığını etkileyebilecek bir durum ortaya çıktığında, çalışma sonuçları ile birlikte tarafsızlığı bozan durumu da açıklamakla yükümlüdür.
(8) Bilgi sistemlerine ilişkin iç denetim faaliyetlerinde VII-128.10 sayılı Tebliğde belirlenen esaslar uygulanır.
İç kontrol faaliyeti ve birimi
MADDE 44- (1) Kripto varlık hizmet sağlayıcıların tüm iş ve işlemlerinin yönetim stratejisi ve politikalarına uygun olarak düzenli, verimli ve etkin bir şekilde MASAK mevzuatı dahil olmak üzere mevcut mevzuat ve kurallar çerçevesinde yürütülmesi, hesap ve kayıt düzeninin bütünlüğünün ve güvenilirliğinin, veri sistemindeki bilgilerin zamanında ve doğru bir şekilde elde edilebilirliği ile bilgi sistemleri ve teknolojik alt yapısının gizlilik, bütünlük ve erişilebilirliğinin sağlanması, hata, hile ve usulsüzlükler ile yasa dışı bahis ve dolandırıcılık gibi suçların işlenmesinin önlenmesi ve tespiti amacıyla kripto varlık hizmet sağlayıcılarda uygulanan organizasyon planı ile bunlara ilişkin tüm esas ve usulleri ifade eder.
(2) İç kontrol faaliyeti; iç kontrol yönetimi ile bilgi sistemleri iç kontrol yönetimi bileşenlerinden oluşur.
(3) Kripto varlık hizmet sağlayıcıların sundukları hizmete ilişkin iç kontrol faaliyetleri tespit edilen risklerin de izlenmesine olanak verecek şekilde günlük faaliyetlerin ayrılmaz bir parçası olarak düzenlenir ve yürütülür. Oluşturulan tüm strateji, politika ve prosedürler yazılı hale getirilerek yönetim kurulu kararıyla yürürlüğe konur.
(4) Etkin bir iç kontrolün sağlanmasında, tüm personelin kendi görevlerini yazılı prosedürlere uygun olarak yerine getirme yükümlülükleri ile meslek ilkeleriyle bağdaşmayan uygulamalar ve kurum politikalarına aykırı veya yasal olmayan faaliyetler gibi hususları üst düzey yönetime aktarmaları için görev ve yetkileri yazılı olarak tanımlanır ve ilgili personele bildirilir. Tesis edilen iç kontrol mekanizması her düzeyden personelin etkin bir şekilde iştirakini sağlayacak şekilde oluşturulur.
(5) Kripto varlık hizmet sağlayıcılar iç kontrol sisteminin yürütülmesi kapsamında bir birim oluşturur. Kripto varlık hizmet sağlayıcı yönetim kurulu; kendisine bağlı icracı birim bulunmayan üyelerinden birini iç kontrolden sorumlu yönetim kurulu üyesi olarak belirler. İç kontrol birimi iç kontrolden sorumlu yönetim kurulu üyesine bağlı olarak faaliyet gösterir.
(6) İç kontrol biriminde, iç kontrol faaliyetlerinin kapsam ve yapısıyla uyumlu yeterli sayıda iç kontrol personeli istihdam edilir. Sürekli kontrol faaliyetini icra edecek olan iç kontrol personeli, iç kontrol dışında başka görev ve sorumluluk yüklenemez. İç kontrol personeline, izledikleri, inceledikleri ve kontrol ettikleri hususlara ilişkin olarak kripto varlık hizmet sağlayıcı personelinden ilave açıklama isteme, bunların bilgi ve görüşlerine başvurma, gerekli gördüklerinde teftiş birimine denetlenebilecek alan bakımından öneride bulunma ve kripto varlık hizmet sağlayıcıda bulunan diğer birimlere uyarıda bulunma yetkisi verilir.
Risk yönetim faaliyeti ve birimi
MADDE 45- (1) Risk yönetim faaliyeti; kripto varlık hizmet sağlayıcının sunduğu hizmetler sebebiyle maruz kalabileceği temel risklerin tanımlanmasını, güncellenmesini ve maruz kalınan risklerin tutarlı bir şekilde değerlendirilmesini, tespitini, ölçümünü ve kontrolünü içeren bir risk ölçüm mekanizmasının geliştirilmesini ve fiyat gözetim sisteminin yürütülmesi için gereken tüm süreçleri içerir.
(2) Riskler tanımlanırken kripto varlık hizmet sağlayıcının tüm güvenlik unsurları dikkate alınır. Asgari olarak bilişim sistemlerinin işletilmesinden, bilişim sistemlerine yapılabilecek yetkisiz değişikliklerden, varlıkların yetkisiz kişilerin eline geçmesinden, saldırı sonucu kullanıcıların sisteme erişememesinden, fiziksel güvenlikten, her türlü siber saldırıdan, bilgi güvenliği ihlallerinden, personelin dış kaynaklı zorlama ve benzeri nedenlerle yasal olmayan faaliyetlerde bulunmasından veya personelin davranışından kaynaklanabilecek riskler göz önünde bulundurulur.
(3) Kripto varlık hizmet sağlayıcılar tarafından risk yönetim sisteminin yürütülmesinden sorumlu bir birim oluşturulur ve birime yeterli sayıda risk yönetim personeli atanır.
(4) Risk yönetim faaliyeti kapsamında tanımlanan risklerin gerçekleşmesi veya her halükarda kripto varlık hizmet sağlayıcının mali durumunu zayıflatacak, müşteri varlıkları için tehdit oluşturabilecek veya olağandışı sonuçlar doğurabilecek herhangi bir durumun varlığının tespit edilmesi halinde, risk yönetim birimi tarafından iç kontrol birimiyle eşgüdümlü çalışılarak durumun tespitini ve ortaya çıkardığı veya çıkarabileceği zararları içeren bir rapor hazırlanır ve rapor en kısa zamanda yönetim kuruluna sunulur.
İş akış prosedürleri
MADDE 46- (1) Kripto varlık hizmet sağlayıcılar asgari olarak;
a) Müşteri hesaplarının açılışı ve müşterinin tanınmasına ilişkin süreçler,
b) Müşteriden gelen ve müşteriye yapılan para transferi işlemleri,
c) Müşteri alım-satım ve transfer emirlerinin alımı ve gerçekleştirilmesi,
ç) Kripto varlık hizmet sağlayıcının özel anahtar oluşturması ve saklaması,
d) Kripto varlık hizmet sağlayıcının sıcak ve soğuk cüzdan oluşturması,
e) İşlemlerin kayıtlarının tutulması ve muhasebe sistemine aktarılması,
f) Kurul düzenlemeleri ile müşterilere gönderilmesi zorunlu tutulan belgelerin gönderimi,
g) Bilgi sistemleri ve güvenliği dahil olmak üzere kripto varlık hizmet sağlayıcının potansiyel olarak maruz kalabileceği risklerin tanımlanması, bu risklerin yönetimi ve mümkün olduğu ölçüde ortadan kaldırılmasına ilişkin önlem ve standartların belirlenmesi,
ğ) Kripto varlık alım satım, takas ve transfer faaliyeti,
h) Mali yapıya ilişkin hazırlanması öngörülen tablo ve raporlar,
ı) Mevzuat uyarınca oluşturulması gereken tüm belgelerin saklanma ve korunmasına ilişkin usul ve yöntemler,
i) Platform ile saklama kuruluşu arasında kurulacak mutabakat sisteminin işleyişi, raporların oluşturulması ve paylaşılması süreçleri ile bu süreçler içinde oluşabilecek sorunların veya hataların kontrolü ve gerektiğinde düzeltilmesi,
j) Kripto varlık hizmet sağlayıcıların MKK ile kuracakları raporlama sisteminin işleyişi, raporların oluşturulması ve paylaşılması süreçleri ile bu süreçler içinde oluşabilecek sorunların veya hataların kontrolü ve gerektiğinde düzeltilmesi,
k) Hatalı işlemlerde izlenecek yöntemler,
l) Personel politikası ve personelin görev, yetki ve sorumluluklarının belirlenmesi,
m) VII-128.10 sayılı Tebliğde belirtilen süreçler,
n) İç denetim biriminin çalışma usul ve esasları,
o) Kurtarma planı,
ö) Risk yönetim sistemine ilişkin esaslar,
p) Dışarıdan hizmet alımına ilişkin esaslar,
r) Listeleme ve listeden çıkarmaya ilişkin esaslar,
hususlarında yazılı prosedürler oluşturmak zorundadır.
Kurtarma planı
MADDE 47- (1) Kanunun 99/B maddesinin dördüncü fıkrası uyarınca kripto varlık hizmet sağlayıcıların kripto varlık kaybı sonucunu doğurabilecek eylem ve riskleri belirleyerek, bu risk ve eylemlerin gerçekleşmesi durumunda alınacak aksiyonlara kurtarma planında yer verilir. Söz konusu planın yeterliliğinin yıllık olarak veya yönetim kurulu tarafından gerekli olduğunun takdir edilmesi halinde yıl periyodu beklenmeksizin gözden geçirilmesi ve söz konusu prosedürlerde gerekli değişikliklerin yapılması zorunludur.
(2) Kurtarma planına ilişkin iş akış prosedürleri; kripto varlık hizmet sağlayıcıların büyüklükleri ve ihtiyaçları göz önünde bulundurulmak suretiyle, asgari olarak aşağıda yer verilen hususları içerir:
a) Sıcak cüzdanlarda bulunan kripto varlıkların ivedi şekilde soğuk cüzdanlara çekilmesi süreçlerini.
b) Tehdit altındaki veya olay sebebiyle etkilenen sistem ve cüzdanların diğer sistem ve cüzdanlardan izole edilmesi süreçlerini.
c) Karşılaşılan durumun, etkilenen sistem, cüzdan ve olay sebebiyle oluşabilecek sistemsel zayıflıklar bakımından değerlendirilmesini.
ç) Mevzuat uyarınca tutulması gereken tüm belge ve kayıtların tutulmaya devam edilmesinin sağlanmasını.
d) Tehdidin ortadan nasıl kaldırılabileceği ve sistem ile cüzdan güvenliğinin tekrar nasıl sağlanacağı süreçlerini.
e) Tehdidin veya olaya sebep olan zayıflığın kaynağının tespit edilmesinde kullanılabilecek araç ve yöntemleri.
f) Kripto varlık hizmet sağlayıcılarca faaliyete devam edilemeyeceği yönünde karar verilmesi durumunda müşterilere ait kripto varlıkların transferini.
g) Kurulun alınan önlemler hakkında bilgilendirilmesini.
(3) Kurtarma planının uygulamaya konulması durumunda risk yönetim birimi tarafından planın iş akış prosedürlerine uygun olarak yürütülüp yürütülmediğine ve karşılaşılan durumun müşteri varlıklarına ve kripto varlık hizmet sağlayıcıya olası mali etkisine ilişkin bir değerlendirme raporu hazırlanır ve yönetim kuruluna sunulur. Söz konusu raporun bir örneği derhal Kurula iletilir.
(4) Kripto varlık hizmet sağlayıcılar tarafından kurtarma planlarının uygulanacak durumda olması halinde kurtarma planlarının nasıl uygulanacağı ve buna ilişkin iş akış prosedürleri hakkında müşterilerine internet sayfaları aracılığıyla bilgi verilir.
(5) Kurtarma planının devreye alınmasından sonraki on beş gün içinde kripto varlık hizmet sağlayıcı tarafından rezerv kanıtı denetimi yaptırılması zorunludur.
(6) Kurtarma planı ve buna ilişkin iş akış prosedürlerinin kripto varlık hizmet sağlayıcı yönetim kurulunca onaylanması ve biri en az genel müdür yardımcısı düzeyinde olmak üzere iki personelin kurtarma planının uygulanmasından sorumlu kişiler olarak yönetim kurulunca atanması ve bu kişilere ait ünvan ile elektronik posta adresi, telefon ve faks numaraları dahil var olan her türlü iletişim bilgilerinin Kurul ve Kurulca belirlenecek diğer kuruluşlara bildirilmesi zorunludur.
ONUNCU BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Denetim Yükümlülükleri
Kripto varlık hizmet sağlayıcıların bağımsız denetim yükümlülükleri
MADDE 48- (1) Kripto varlık hizmet sağlayıcılar, III-62.2 sayılı Tebliğ hükümleri kapsamında, Kurulun internet sitesinde bilgi sistemleri bağımsız denetimi yapmak için yetkilendirilmiş bağımsız denetçiler listesinde bulunan bir kuruluş ile sözleşme imzalayarak yılda en az bir kez bilgi sistemleri bağımsız denetimi yaptırmakla ve Kurula iletmekle yükümlüdür. Bankalar bakımından bu fıkra hükmü uygulanmaz.
(2) Kripto varlık hizmet sağlayıcılar, iç kontrol sistemlerinin işleyişi ile faaliyetlerinin 46 ncı maddesinde belirtilen iş süreçlerine uyumuna ve bilgi sistemlerinin TÜBİTAK Altyapı Kriterleri’ne uygunluğuna ilişkin olarak yılda en az bir kez bilgi sistemleri bağımsız denetimi yapmak için yetkilendirilmiş bağımsız denetçilere denetim yaptırmakla ve Kurula iletmekle yükümlüdür. Bankalar bakımından saklama hizmeti ile sınırlı olarak bu fıkra hükmü uygulanır.
(3) Kripto varlık hizmet sağlayıcılar tarafından Kurulun internet sitesinde bilgi sistemleri bağımsız denetimi yapmak için yetkilendirilmiş bağımsız denetçilere; yılın üçüncü, altıncı, dokuzuncu ve on ikinci ay sonları itibarıyla kripto varlık hizmet sağlayıcı bünyesinde kayden izlenen kripto varlıklara ilişkin rezervlerin korunduğuna ve saklama hizmetinin Kurul düzenlemelerine uygunluğuna dair tespitlerin yer aldığı rezerv kanıt denetimi yaptırılır ve denetim raporu Kurula iletilir.
(4) Birinci ve ikinci fıkralarda belirtilen denetim raporlarının birlikte hazırlanması mümkündür.
(5) Kurul gerekli gördüğü durumda, bu madde kapsamında ilave denetim raporu düzenlenmesini talep edebilir.
(6) Bilgi sistemleri bağımsız denetim raporlarının Kurula gönderilmesine ilişkin süreler, ikinci ve üçüncü fıkralarda belirtilen denetim raporları için de uygulanır.
(7) Kurul, bu madde kapsamında yaptırılacak denetim raporlarına ilişkin usul ve esasları belirlemeye yetkilidir.
ON BİRİNCİ BÖLÜM
Kripto Varlık Hizmet Sağlayıcıların Yapamayacakları İş ve İşlemler
Yapılamayacak iş ve işlemler
MADDE 49- (1) Kripto varlık hizmet sağlayıcılar;
a) Kuruldan icrası için izin alınan hizmetlere ilişkin iş ve işlemler dışında hiçbir sınaî ve zirai faaliyette bulunamaz.
b) Mevzuatın imkân verdiği haller hariç olmak üzere kendi mali taahhütlerini içeren evrak çıkaramaz.
c) Ticari amaçlı gayrimenkul alım satımında bulunamaz.
ç) 5411 sayılı Kanun’da tanımlandığı üzere mevduat veya katılım fonu toplayamaz, mevduat veya katılım fonu toplama sonucunu verebilecek iş ve işlemler yapamaz.
d) III-35/B.2 sayılı Tebliğin 10 uncu maddesinin dördüncü fıkrası kapsamında yapılan işlemler hariç olmak üzere, kripto varlıkların belli bir getiri sağlayacağı yönünde herhangi bir yazılı veya sözlü taahhütte bulunamaz.
e) Müşteriye ait kripto varlıklar ve nakit üzerinde hak ve yetkileri olmaksızın kendileri veya üçüncü şahıslar lehine herhangi bir tasarrufta bulunamaz.
f) Çalışanlarına ve müşterilerine olağan müşteri – kripto varlık hizmet sağlayıcı ilişkisi dışındaki imkânlardan yararlanmak suretiyle kendi nam ve hesaplarına işlem yapmalarına olanak sağlayamaz.
g) Fiktif hesap açamaz, işlemlerini kayıt dışı bırakamaz ve gerçek mahiyetine uygun düşmeyen kayıtlar tesis edemez.
ğ) Yöneticileri, personeli veya tüm çalışanları aracılığıyla müşterilerinden; kripto varlık alım satım emri verme, mevzuat uyarınca müşterilerce onaylanması veya imzalanması gereken belgeleri imzalama, nakit yatırma ve çekme, kripto varlık transfer işlemi yapma gibi geniş yetkiler içeren vekâletname alarak veya bu sonucu doğuracak şekilde ya da müşterinin bu yöndeki yetkisine istinaden müşteri adına veya hesabına işlem yapamaz.
h) Müşterilerin hak ve yararlarını zedeleyici işlemlerde bulunamaz, iyi niyet kurallarına aykırı hareket edemez, piyasa hakkındaki bilgisizlik ya da tecrübesizliklerinden yararlanıp müşterilerin alım-satım kararlarını etkileyerek kendi veya başkası lehine kazanç sağlayamaz.
ı) Herhangi bir şekilde gelirlerini artırmak amacıyla müşterilerin gereksiz ve/veya aşırı miktarda alım-satım yapmalarına ortam hazırlayamaz, müşterilerin işlemleri nedeniyle ortaya çıkan zararların telafi edilmesi, işlem yapması veya belirli bir gruba dahil edilmesi amacıyla müşterilere kaynak sağlayamaz, müşterileri bu amaçla yönlendiremez ve müşteri talimatı olmaksızın müşteri hesabına işlem yapamaz.
i) Bir mali yılda özsermayelerinin binde beşini aşacak miktarda bağış yapamaz. Bu hükmün uygulanmasına ilişkin usul ve esaslar, Kurulca belirlenir.
j) 20/2/1930 tarihli ve 1567 sayılı Türk Parasının Kıymetini Koruma Hakkında Kanun ve ilgili mevzuat kapsamında döviz alım satımına ilişkin ticari faaliyet gösteremez ve yurt dışına döviz transferi yapamaz. Ticaret ünvanlarında, iş yeri açma ve çalışma ruhsatlarında, ilan ve reklamlarında, iş yerlerinde veya internet sitelerinde döviz alım satımına ilişkin işlem yaptığı izlenimini yaratacak hiçbir kelime, deyim ve işaret kullanamaz.
(2) Kripto varlık saklama hizmetinde bulunmak üzere yetkilendirilmiş bankalar bakımından birinci fıkranın (a), (b), (c), (ç), (i) ve (j) bentlerinde yer alan hükümler uygulanmaz.
ON İKİNCİ BÖLÜM
Faaliyetlerin Kendi İsteği ile Durdurulması ve Faaliyet İzinlerinden Feragat
Faaliyetlerin kendi isteği ile geçici olarak durdurulması
MADDE 50- (1) Kripto varlık hizmet sağlayıcılar, faaliyetlerinin tamamının geçici olarak durdurulması talebiyle Kurula başvurabilir. Bu başvurunun olumlu karşılanması halinde kripto varlık hizmet sağlayıcılara Kurulca iki yılı geçmemek üzere uygun bir süre verilir. Verilen süre Kurul karar tarihinden itibaren başlar. Kripto varlık hizmet sağlayıcıların talebi üzerine, faaliyetlerin geçici olarak durdurulmasına ilişkin olarak verilen sürelerin toplamı iki yılı geçmemek üzere ek süre verilebilir. Faaliyetleri kendi isteği ile durdurulan kripto varlık hizmet sağlayıcıların yeniden faaliyete geçmelerinden itibaren beş yıl içerisinde faaliyetlerini kendi isteği ile tekrar durdurmaları halinde iki yıllık sürenin hesaplanmasında önceki kapalılık süresi de dikkate alınır.
(2) Birinci fıkra kapsamında yapılan başvurularda 51 inci maddede yer alan hükümler uygulanır.
(3) Kripto varlık hizmet sağlayıcıların verilen sürenin sonunda yeniden faaliyete geçmek için Kurula başvurmaması halinde tüm faaliyet izinleri iptal olunur.
Faaliyet izinlerinden tamamen feragat edilmesi
MADDE 51- (1) Kripto varlık hizmet sağlayıcıların faaliyette bulunma yetkisinden tamamen feragat etmeleri halinde, Kurul faaliyet izinlerini iptal eder.
(2) Platformların faaliyet izinlerinden tamamen feragat edilmesi başvurusunun Kurulca değerlendirilebilmesi için;
a) KAP’ta ve platformun internet sitesinde açılır pencere ile platformun faaliyet izinlerinin iptal edileceği ve iptal sonrasında sona ermek ya da faaliyet konusunu değiştirmek suretiyle platform olarak faaliyetlerine son verileceği hususuna ilişkin bildirim yapılması, söz konusu bildirimde müşterilerin varlıklarını istedikleri cüzdanlara transfer edebilecekleri hususuna ve müşterilerin transfer taleplerinin yerine getirileceği son tarihe yer verilmesi,
b) Alacaklıların beyana davet edilmesi amacıyla, EK/2’de yer alan ilan metninin, platformun internet sitesinde, KAP’ta ve ülke çapında günlük olarak yayımlanan tirajı en yüksek on gazeteden en az ikisinde ilan edilmesi, ilanların bir örneğinin Kurula gönderilmesi,
c) Tüm müşteriler ile yazılı veya yazılı şekil yerine geçecek şekilde elektronik ortamda mutabakat yapılması ve mutabakat listesinin Kurula bildirilmesi,
ç) Bu fıkranın (a) bendi kapsamında müşterilere bildirilen sürenin sonunda platformun tüm faaliyetlerini sonlandırması ve gün sonu itibarıyla saklama kuruluşuyla mevzuatın belirlediği esaslar dahilinde mutabakat yapması, akabinde nezdindeki tüm müşteri kripto varlıklarının saklama kuruluşuna transfer edilmesi,
d) Müşterilere ait nakitlerin müşterilere ait banka hesaplarına iade edilmesi ve iadeye ilişkin dekontların müşterilerle elektronik ortamda paylaşılması,
e) Bu fıkranın (b) bendi kapsamında yapılan ilanda yer alan süre sonunda kendisine ulaşılamayan veya bu fıkranın (c) bendinde yer alan usulde mutabakat sağlanamayan müşterilerin varlıkları ve platformun taraf olduğu müşteri ihtilaflarına ilişkin olarak, açılan dava tutarı ile varsa 2004 sayılı Kanun kapsamındaki takiplere konu kripto varlıkların veya cari değerlerinin saklama kuruluşuna bildirilmesi ve saklama kuruluşu nezdinde bloke edilmesi,
f) Kendisine ulaşılamayan veya bu fıkranın (c) bendinde yer alan usulde mutabakat sağlanamayan herhangi bir müşterinin olmaması ya da taraf olunan herhangi bir yatırımcı ihtilafı bulunmaması durumunda ise bu durumun tespitine ilişkin noter onaylı yönetim kurulu kararının Kurula gönderilmesi,
g) Platformun sermayesinde %10 ve üzerinde paya sahip tüm ortaklarından, platform sermayesinde %10’un altında paya sahip ortakların olması halinde ise pay oranları toplamı mevcut sermayenin en az %90’ını teşkil edecek diğer ortaklarından, platformun kripto varlık hizmetlerinden kaynaklanan bütün borçlarından payları ile orantılı olarak sorumlu olduklarına ilişkin olarak alınacak taahhütname ile EK/3’te yer alan taahhütnamenin Kurula iletilmesi,
gerekir.
(3) Saklama kuruluşlarının faaliyet izinlerinden tamamen feragat edilmesi başvurusunun Kurulca değerlendirilebilmesi için;
a) Alacaklıların beyana davet edilmesi amacıyla, faaliyet izinlerinin iptal edileceği ve iptal sonrasında sona ermek ya da faaliyet konusunu değiştirmek suretiyle saklama kuruluşu olarak faaliyetlerine son verileceği hususuna ilişkin EK/2’de yer alan ilan metninin; KAP’ta, ülke çapında günlük olarak yayımlanan tirajı en yüksek on gazeteden en az ikisinde ve kendi internet sitesinde ilan edilmesi, ilanların bir örneğinin Kurula gönderilmesi,
b) Bu fıkranın (a) bendinde belirtilen sürenin sonunda gün sonu itibarıyla platform ile mevzuatın belirlediği esaslar dahilinde mutabakat yapılması, mutabakatın yapılmasının akabinde platform tarafından belirlenen başka bir saklama kuruluşuna müşterilere ait kripto varlıkların transfer edilmesi, transferler sebebiyle oluşacak ücretlerin karşılanması,
c) Bu fıkranın (a) bendinde belirtilen sürenin sonunda saklama kuruluşunun taraf olduğu müşteri ihtilaflarına ilişkin olarak, açılan dava tutarı ve/veya 2004 sayılı Kanun kapsamındaki takiplere konu kripto varlıkların başka bir saklama kuruluşu nezdinde bloke edilmesi,
ç) Taraf olunan herhangi bir yatırımcı ihtilafı bulunmaması durumunda bu durumun tespitine ilişkin noter onaylı yönetim kurulu kararının Kurula gönderilmesi,
d) Saklama kuruluşunun sermayesinde %10 ve üzerinde paya sahip tüm ortaklarından, saklama kuruluşu sermayesinde %10’un altında paya sahip ortakların olması halinde ise pay oranları toplamı mevcut sermayenin en az %90’ını teşkil edecek diğer ortaklarından, saklama kuruluşunun kripto varlık hizmetlerinden kaynaklanan bütün borçlarından payları ile orantılı olarak sorumlu olduklarına ilişkin olarak alınacak EK/3’te yer alan taahhütnamenin Kurula iletilmesi,
gerekir.
(4) Kripto varlık hizmet sağlayıcıların, faaliyet izinlerinin iptal edilmesine ilişkin Kurul kararının kendilerine bildirildiği tarihten itibaren en geç üç ay içinde sona erme kararı almaları veya esas sözleşmelerini ticaret ünvanı ile amaç ve faaliyet konuları da dâhil kripto varlık hizmetlerini kapsamayacak şekilde değiştirmeleri zorunludur. Bu değişikliklerin yayımlandığı Türkiye Ticaret Sicili Gazetesi ilanı izleyen on iş günü içinde Kurula gönderilir.
(5) Müşteri ihtilaflarına ilişkin olarak bloke edilmiş olan varlıklar, kesinleşmiş mahkeme kararının ya da 2004 sayılı Kanun çerçevesinde takibin kesinleştiğine dair belgenin saklama kuruluşuna ibraz edilmesini müteakip, dava ya da takibin lehine sonuçlandığı tarafa iade edilmek üzere saklama kuruluşu tarafından serbest bırakılır. Varlıkların müşteriler adına serbest bırakılması durumunda, saklama kuruluşu tarafından müşterilerden noter onaylı ibraname alınması gerekir. Dava ya da takibin müşteriler lehine sonuçlanması durumunda, müşterilere yapılacak ödemelerde saklama kuruluşu nezdinde bloke edilmiş olan varlıkların kullanılması esastır.
(6) Kurul, ikinci fıkranın (b) bendinin uygulanmasında, saklama kuruluşunun değiştirilmesini talep edebilir.
(7) Bu madde kapsamında Kurula başvuran kripto varlık hizmet sağlayıcıların belge kayıt düzenlemeleri kapsamındaki yükümlülükleri devam eder.
ON ÜÇÜNCÜ BÖLÜM
Kripto Varlık Hizmet Sağlayıcılar Hakkında Tedbirler
Faaliyet izinlerinin sınırlandırılması, faaliyetlerin geçici olarak durdurulması veya iptali
MADDE 52- (1) Kurul aşağıdaki hallerde, olayın mahiyet ve önemini göz önüne alarak, kripto varlık hizmet sağlayıcıların hizmet ve faaliyetlerinin kapsamını sunmaya yetkili oldukları hizmet ve faaliyet bazında sınırlandırabilir, geçici olarak durdurabilir veya faaliyet izinlerini iptal edebilir:
a) Faaliyet izninin verildiği tarihten itibaren bir yıl süreyle ilgili izin kapsamında herhangi bir faaliyette bulunulmaması.
b) Faaliyet izninin yanlış veya yanıltıcı beyanlarda bulunularak ya da hukuka aykırı diğer yollarla alınmış olması.
c) Kripto varlık hizmet sağlayıcıların kuruluş, faaliyete geçme, faaliyet izni alınmasına ilişkin olarak öngörülen şartlar ile kripto varlık hizmet sağlayıcıların ortak ve yöneticileri ile personelinin Kanun’da ve Kurul düzenlemelerinde sayılan şart ve niteliklerden herhangi birini yerine getirmediğinin ya da yitirdiğinin Kurulca tespitinden itibaren üç ayı geçmemek üzere Kurulca verilen süre içinde bu şartların yeniden sağlanamaması.
ç) 53 üncü madde kapsamında hukuka aykırı faaliyet veya işlemlerinin tespit edilmiş olması.
d) 54 üncü madde kapsamında mali durumunun bozulmuş olması.
(2) Bu Tebliğ uyarınca faaliyetlerinin geçici olarak durdurulmasına karar verilen kripto varlık hizmet sağlayıcılara Kurulca iki yılı geçmemek üzere uygun bir süre verilir. Verilen süre Kurul karar tarihinden itibaren başlar. Faaliyetlerin geçici olarak durdurulmasına ilişkin olarak verilen süre, toplamı iki yılı geçmemek üzere kripto varlık hizmet sağlayıcıların talebi üzerine veya Kurul tarafından resen uzatılabilir. Sürenin sonunda kripto varlık hizmet sağlayıcıların yeniden faaliyete geçememesi durumunda tüm faaliyet izinleri iptal edilir.
(3) İki yıl içinde faaliyetlerinin tamamı iki kez geçici olarak durdurulan kripto varlık hizmet sağlayıcılara bu tedbir üçüncü defa uygulanmaz, faaliyet izinleri iptal edilir.
(4) Faaliyet izinlerinin tamamı Kurulca iptal edilen kripto varlık hizmet sağlayıcılar hakkında 51 inci maddenin ikinci ve üçüncü fıkralarında yer alan hükümler uygulanır.
(5) Kurul, birinci fıkradaki hallerin varlığı durumunda III-35/B.2 sayılı Tebliğde düzenlenen herhangi bir diğer hizmetin sunulmasını, tüm kripto varlık hizmet sağlayıcılar veya münferit kripto varlık hizmet sağlayıcı bazında geçici veya sürekli olarak durdurmaya yetkilidir.
(6) Bu madde kapsamında faaliyetleri sınırlandırılan, geçici olarak durdurulan veya faaliyet izinleri iptal edilen kripto varlık hizmet sağlayıcıların belge kayıt düzenlemeleri kapsamındaki yükümlülükleri devam eder.
(7) Saklama hizmeti veren bankalar bakımından bu maddenin uygulanmasında BDDK’nın uygun görüşü alınır.
Kripto varlık hizmet sağlayıcıların hukuka aykırı faaliyet veya işlemlerinde uygulanacak tedbirler
MADDE 53- (1) Kurul, kripto varlık hizmet sağlayıcıların mevzuat, Kurulca belirlenen standartlar ve esas sözleşme hükümlerine aykırı faaliyetlerinin tespit edilmesi halinde; ilgililerden aykırılıkların Kurulca belirlenen bir sürede giderilmesini ve Kanuna, işletme amaç ve ilkelerine uygunluğun sağlanmasını istemeye ya da doğrudan bu kurumların faaliyetlerinin kapsamını sınırlandırmaya veya geçici olarak durdurmaya, yetkilerini iptal etmeye ya da öngöreceği diğer her türlü tedbiri almaya yetkilidir.
(2) Kurul, hukuka aykırı faaliyet veya işlemlerde sorumluluğu tespit edilen yöneticilerin ve çalışanların;
a) Sahip oldukları lisansları geçici veya sürekli olarak iptal etmeye,
b) Haklarında suç duyurusunda bulunulması kararından itibaren yargılama sonuçlanıncaya kadar imza yetkilerini sınırlandırmaya veya kaldırmaya,
yetkilidir.
(3) Kurul, hukuka aykırılıkta veya gerçekleştirilen işlemlerde cezai sorumluluğu mahkeme kararıyla tespit edilen yönetim kurulu üyelerini görevden almaya ve yapılacak ilk genel kurul toplantısına kadar yerlerine yenilerini atamaya yetkilidir.
(4) Hukuka aykırılıkta veya gerçekleştirilen işlemlerde cezai sorumluluğu mahkeme kararıyla tespit edilen yönetim kurulu üyeleri hakkında 5411 sayılı Kanunun ilgili maddeleri kapsamında gerekli işlemlerin tesis edilmesini teminen konu BDDK’ya intikal ettirilir.
Mali durumun bozulması halinde uygulanacak tedbirler
MADDE 54- (1) Kurul, kripto varlık hizmet sağlayıcıların sermaye yeterliliği yükümlülüklerini sağlayamadığı, sunmaya yetkili oldukları hizmet ve faaliyetlerinden kaynaklanan nakit ödeme ve kripto varlık teslim yükümlülüklerini yerine getiremediği veya kısa sürede yerine getiremeyeceği ya da bunlardan bağımsız olarak mali yapılarının ciddî surette zayıflamakta olduğu ya da mali durumunun taahhütlerini karşılayamayacak kadar zayıflamış olduğunun tespiti halinde;
a) Üç ayı geçmemek üzere verilecek uygun süre içerisinde mali yapılarının güçlendirilmesini istemeye,
b) Herhangi bir süre vermeksizin doğrudan bu kurumların faaliyetlerini geçici olarak durdurmaya,
c) Tamamen veya belirli hizmet ve faaliyetler itibarıyla yetkilerini kaldırmaya, faaliyet izinlerini iptal etmeye,
ç) Sorumluluğu tespit edilen yöneticilerin ve çalışanların imza yetkilerini sınırlandırmaya veya kaldırmaya,
d) Gerektiğinde yönetim kurulu üyelerini görevden almaya ve yapılacak ilk genel kurul toplantısına kadar yerlerine yenilerini atamaya,
yetkilidir.
(2) Bankalar hakkında birinci fıkrada belirlenen tedbirlerin uygulanmasına BDDK tarafından karar verilir. Söz konusu tedbirlerin, 5411 sayılı Kanunun ilgili hükümleri uyarınca yönetim veya denetimi Tasarruf Mevduatı Sigorta Fonuna devredilen bankalar hakkında uygulanmasına ise Tasarruf Mevduatı Sigorta Fonu tarafından karar verilir.
ON DÖRDÜNCÜ BÖLÜM
Çeşitli ve Son Hükümler
Süreler
MADDE 55- (1) Bu Tebliğde belirtilen süreler Kurulca uzatılabilir.
Faaliyet izni başvuru süresi ve bu Tebliğ hükümlerine uyum sağlanması
GEÇİCİ MADDE 1- (1) Kurulun i-SPK.35.B (8/8/2024 tarih ve 42/1259 s.k.) sayılı İlke Kararı kapsamında kuruluş başvurusu yapmış olanlardan; bu Tebliğin yayımı tarihi itibarıyla “Faaliyette Bulunanlar Listesi”nde yer alan platformlar ile bu Tebliğin yayımı tarihinden önce başvuru yapmış olan platformların başvuruları geçerli olup, söz konusu başvurular sermaye şartı hariç olmak üzere bu Tebliğ hükümleri çerçevesinde incelenir. İnceleme sürecinde kuruluş şartlarına aykırılıkların tespiti halinde veya hizmet sağlayıcıların kendi talepleri üzerine başvuruları işlemden kaldırılarak altıncı fıkra çerçevesinde bu kurumlar bakımından tasfiye hükümleri uygulanır. Hakkında tasfiye hükümleri uygulanmayan ve “Faaliyette Bulunanlar Listesi”nde yer alan kurumlara Kanunun geçici 11 inci maddesinin üçüncü fıkrası uyarınca ayrıca bir kuruluş izni verilmez ve kuruluş şartları faaliyet izni başvuruları kapsamında değerlendirilir. Kurulun i-SPK.35.B (8/8/2024 tarih ve 42/1259 s.k.) sayılı İlke Kararı kapsamında kuruluş başvurusu yapmış ancak bu Tebliğin yayımı tarihi itibarıyla sonuçlandırılmamış olanlar, esas sözleşmelerinin onaylanmasını ve kuruluş şartlarının tevsikini müteakip “Faaliyette Bulunanlar Listesi”ne alınır.
(2) Birinci fıkra kapsamında yer alan kuruluşlar, Kurulun belirlediği faaliyet şartlarını sağlamak suretiyle 30/6/2025 tarihine kadar faaliyet iznine başvurmak zorundadır. Bu tarihe kadar başvurmayan şirketler hakkında altıncı fıkrada belirtilen esaslar kapsamında tasfiye hükümleri uygulanır. Bu kuruluşların yapacakları faaliyet izni başvurularında, faaliyet izni başvurusu tarihinden önceki son iki aylık dönem içinde seçilecek rastgele iki farklı tarih için rezerv kanıt raporu yer alır. Faaliyet başvurusunda bulunan kuruluşlar III-62.2 sayılı Tebliğde yer alan esaslar uyarınca hazırlanmış bilgi sistemleri bağımsız denetim raporunu, 30/9/2025 tarihine kadar başvurularına eklerler.
(3) Birinci fıkra kapsamında yer alan kuruluşların, Kurulun faaliyet şartlarında belirttiği esaslara uygun olarak 30/6/2026 tarihine kadar yetki belgesi almış olması gerekir. Bu tarihe kadar yetki belgesi almamış olanlar hakkında altıncı fıkra uyarınca tasfiye hükümleri uygulanır. Kurul 30/6/2026 tarihine kadar yetki belgesi almış kuruluşlarla birlikte “Faaliyette Bulunanlar Listesi”ni yayımlamaya devam eder.
(4) Birinci, ikinci ve üçüncü fıkralar kapsamında, bu Tebliğ uyarınca yürürlüğe girecek hükümler ve Kurulca yapılacak düzenleyici işlemlere göre “Faaliyette Bulunanlar Listesi” güncellenir.
(5) İkinci fıkra kapsamında yapılacak faaliyet izni başvurularında 9 uncu maddenin ikinci fıkrasının (a) bendinde yer alan hüküm hariç olmak üzere, saklamaya ilişkin gereken şartların sağlanmış olması gerekir. 9 uncu maddenin ikinci fıkrasının (a) bendi uyarınca platformların 31/12/2025 tarihine kadar en az bir saklama kuruluşu ile sözleşme imzalaması ve mutabakat sistemi çerçevesinde gerekli teknik süreçleri ve entegrasyonları sağlaması gerekir. 31/12/2025 tarihine kadar bu fıkrada düzenlenen yükümlülüğü yerine getirmeyen platformların başvuruları işlemden kaldırılır. Saklama kuruluşları ile platformlar arasında sözleşmenin imzalanmasının akabinde müşterilere ait varlıklar saklama kuruluşuna transfer edilir ve transfer sürecinin tamamlandığı liste üzerinden mutabakat yapılarak kontrol edilir. Platformların bankalarla saklama sözleşmesi imzalayabilmeleri için ilgili bankanın BDDK’nın uygun ön görüşünü almış olması gerekir.
(6) Tasfiye edilen şirketlerin platform tanımına giren faaliyetlerini on beş gün içerisinde durdurmaları, bu tarihten itibaren herhangi bir kripto varlıkla ilgili olarak yeni satış, dağıtım ve listeleme yapmamaları, bu bağlamda yeni müşteri kabul etmemeleri, mevcut müşterilerinin hak ve menfaatlerini zarara uğratmadan konu ile ilgili olarak elektronik posta, kısa mesaj, telefon ve benzeri iletişim araçları ile müşterilerine yapacakları bildirim çerçevesinde bu müşterilerin kripto varlıklarını nakde dönüştürme ve nakit ve/veya kripto varlık transfer taleplerini on beş iş günü kısıtı olmaksızın yerine getirmeleri gerekir. Her halükarda kripto varlıkların transferine yönelik bildirim yapılmasına karşın bir ay boyunca bu yönde bir talep iletmeyen müşterilere ait varlıklar cari değerinden nakde dönüştürülerek, müşterilerin banka hesaplarına aktarılır. Tasfiye edilen kripto varlık hizmet sağlayıcıların 40 ıncı maddede düzenlenen yükümlülükleri devam eder.
(7) Bu Tebliğin yayımlandığı tarihten önce platformlar ile müşterileri arasında imzalanmış olan çerçeve sözleşmelerin bu Tebliğde yer alan hükümlere uygun şekilde 31/12/2025 tarihine kadar yenilenmesi gerekir. Sözleşmelerin yenilenmesi işlemleri bu Tebliğin ilgili hükümlerine uygun olarak elektronik ortamda yapılabilir.
(8) Bu Tebliğin yayımı tarihi itibarıyla “Faaliyette Bulunanlar Listesi”nde yer alan saklama kuruluşları ile bu Tebliğin yayımı tarihinden önce başvuru yapmış olan saklama kuruluşlarının 30/6/2025 tarihine kadar faaliyet iznine başvurmaları gerekir.
(9) 9 uncu maddenin birinci fıkrasının (ğ) bendinin uygulanmasında, MKK tarafından belirlenecek uyum süresi dikkate alınır. Birinci fıkra kapsamında yer alan kuruluşlar, MKK tarafından belirlenen uyum süresinin bitişini takiben üç ay içinde 23 üncü madde kapsamında mevcut müşterileri için sicil numarası almak ve hesap numaralarıyla eşleştirmek zorundadır.
(10) Bu Tebliğin yayımlandığı tarihten önce kripto varlık hizmet sağlayıcılar ile dışarıdan hizmet sağlayan kuruluşlar arasında imzalanmış olan sözleşmeler bu Tebliğde yer alan hükümlere uygun şekilde yenilenir.
(11) İkinci ve beşinci fıkralar saklı kalmak kaydıyla, 48 inci maddede düzenlenen bağımsız denetimler, ilk kez 2026 yılı için yaptırılır.
Yürürlük
MADDE 56- (1) Bu Tebliğin;
a) 10 uncu, 11 inci, 12 nci, 24 üncü, 39 uncu, 41 inci, 46 ncı ve 47 nci maddeleri 31/3/2025 tarihinde,
b) 9 uncu, 13 üncü, 14 üncü, 15 inci, 18 inci, 23 üncü, 26 ncı, 27 nci, 28 inci, 29 uncu, 31 inci, 32 nci, 33 üncü, 34 üncü, 36 ncı, 38 inci, 42 nci, 43 üncü, 44 üncü ve 45 inci maddeleri ile 20 nci maddesinin birinci ve üçüncü fıkraları ve 40 ıncı maddesinin ikinci fıkrası 30/6/2025 tarihinde,
c) Diğer hükümleri ise yayımı tarihinde,
yürürlüğe girer.
Yürütme
MADDE 57- (1) Bu Tebliğ hükümlerini Sermaye Piyasası Kurulu yürütür.
Ekleri için tıklayınız
