Türkiye Cumhuriyet Merkez Bankası (“TCMB”) tarafından 6493 sayılı Kanun (“Kanun”) mevcut açık bankacılık iş modelleri ve kart saklama hizmetleri açısından örnek ve değerlendirmelerin yer aldığı Ödeme Hizmetlerinde Veri Paylaşım Servislerine İlişkin Rehber (“Rehber”) 30.12.2022 tarihinde yayımlandı
Rehberin düzenlenme amacı, hesap bilgisi hizmeti (“HBH”) ve ödeme emri başlatma hizmeti (“ÖEBH”) ile ilgili olarak;
- Ödemeler alanında sıklıkla karşılaşılan bazı iş modellerinin ödeme emri başlatma ve hesap bilgisi hizmetleri açısından faaliyet izni alınmasını gerektirip gerektirmediği,
- Lisans ve teknik sertifikasyon süreci
gibi konularda tüm paydaşlar açısından yol gösterici bir doküman oluşturulması olarak belirtilmiştir.
Rehber’de;
- Ödeme emri başlatma hizmeti, hesap bilgisi hizmeti, yetkili ödeme hizmeti sağlayıcısı (“YÖS”) ve ödeme hizmetleri veri paylaşım servisleri (“ÖHVPS”) gibi temel kavramlar tanımlanmış,
- ÖHPS uygulama mimarisi ve Bankalararası Kart Merkezi A.Ş. teknik hizmet sağlayıcı olarak görev ve sorumlulukları açıklanmış,
- HBH ve ÖEBHleri tanımları ve örnek iş akışları ile TÖDEB ve Açık Bankacılık Grubu tarafından iletilen örnek hizmet modellerine incelemeler değerlendirmeler paylaşılmış
- HBH ve ÖEBH kapsamında, HHS, YÖS ve BKM arasındaki teknik, idari ve hukuki sorumluluklar ve sözleşme ilişkisi ele alınmış,
- Sıkça sorulan hususlara yönelik değerlendirmeler başlığı altında
o Ödeme hesapları ve işlem türleri
o Mevcut ÖHVPS’nin hangi işlemleri desteklediği,
o ÖEBH ve HBH’nin Kanun kapsamında temsilcilik iş modeliyle sunulması,
o HBH’ye ilişkin sorgulamalarda fon göndericilerine/alıcılarına ait hangi verilere erişilebileceği,
o Risk değerlendirmesi kapsamında kimlik doğrulama için güvenli alıcı listesinin dikkate alınıp alınmamasına ilişkin inisiyatif,
o YÖS’lerin ÖHVPS kapsamında HHS’den aldıkları verileri saklaması ve işlemesi,
- Lisanslama ve teknik sertifikasyon hususları
ele alınmıştır.
Bilgi notumuzda yalnızca önemli olarak addettiğimiz hususlar ele alınmıştır.
1. BKM, Açık Bankacılık Ekosistemi İçin Merkezi Kayıt (HHS ve YÖS Sertifikasyon Bilgilerinin ve İşlem Kayıtlarının Merkezi Olarak Tutulması), Test ve Sertifikasyon Çözümleri, Deney Ortamı (Simülatör) Uygulaması, Destek ve Raporlama Hizmetlerini Sunan Teknik Hizmet Sağlayıcı Olarak Konumlandırılmıştır.
2. Açık Bankacılık İş Modellerine İlişkin Değerlendirmelerde HHS, YÖS ve Müşteri Arasındaki Muhataplık İlişkisi ve Teknik, İdari, Hukuki Sorumlulukların Kimde Olduğu Hususlarının Dikkate Alınacağı Belirtilmiştir.
Rehber’de her ne kadar Kanun’un 12. Maddesinin birinci fıkrasının g bendine atıf yapılmış ve Ödeme hizmeti kullanıcısının onayının alınması koşuluyla, ödeme hizmeti kullanıcısının ödeme hizmeti sağlayıcıları nezdinde bulunan bir veya daha fazla ödeme hesabına ilişkin konsolide edilmiş bilgilerin çevrimiçi platformlarda sunulması hizmetini sunan kuruluşların TCMB’den faaliyet izni alması gerektiği belirtilmiştir.
Fakat müşterinin doğrudan HHS ile sözleşme yapması, HHS’nin sunduğu hizmetleri hukuken doğrudan HHS’den almaya devam etmesi ve bu kapsamda üçüncü taraftan sadece teknik hizmet alması şeklindeki iş modellerinin ÖHVPS kapsamında ve Kanun kapsamında ödeme hizmeti olarak değerlendirilmeyeceği belirtilmiştir.
Örnek olarak ödeme hizmeti sağlayıcıları nezdinde hesabı bulunan bir tüzel veya gerçek kişinin (“Müşteri”);
i. hareketlerine konsolide bir şekilde erişmek istediği bir HHS’deki (banka, e-para kuruluşu vb.) hesabı için, HHS ile web servis protokolü imzaladığı,
ii. HHS’den aldığı tüm veriyi idari ve operasyonel süreçlerini yönetmek için ihtiyaç duyduğu kurgu ve yapıda konsolide bir servisi sorgu yoluyla çağırmasına imkan tanıyan bir üçüncü parti bir hizmet sağlayıcısına ilettiği,
iii. Hizmet sağlayıcısının, Müşteri aracılığı ile HHS’den temin edeceği bilgileri Müşterinin sorgu yoluyla konsolide şekilde çağırabildiği bir teknik altyapı sunduğu,
iş modeline ilişkin Kanun’un kapsamında ödeme hizmeti olmadığı, Kanun’un 12. maddesinin ikinci fıkrasının (ğ) bendi kapsamında teknik hizmet olduğu değerlendirmesinde bulunulmuştur.
Anılan iş modelinde Müşteri’nin HHS ile imzalayacağı web servis protokolünde, anlaşacağı üçüncü parti bir hizmet sağlayıcısının IP bilgilerini iletmesi durumunun da HHS’nin hukuki, sözleşmesel muhatabının halen ÖHK olmaya devam etmesi gerekçesiyle iş modelinin 6493 sayılı Kanunun kapsamında ödeme hizmeti olarak değerlendirilemeyeceği belirtilmiştir.
3. On-Premises İş Modelinin ÖHVPS Kapsamında ve Kanun Kapsamında Ödeme Hizmeti Olarak Değerlendirilmeyeceği Belirtilmiştir
İdari ve operasyonel süreçlerine ilişkin olarak (Muhasebe, Sipariş, İade, Hesap Mutabakatı, vb.) HHSler nezdinde yer alan kendi hesapları için hesap hareketleri ve online toplu transfer web servislerine ihtiyaç duyan bir müşterinin, nezinde hesabı olduğu tüm HHS’lerin web servislerini konsolide edecek yazılımı satın alarak ya da lisans kiralama metoduyla kendi sistemlerine entegre etmesi (“on-premises”) iş modelinde HHS’ye karşı teknik, idari, hukuki sorumluluğun yalnızca Müşteri’de olması gerekçesiyle Kanun kapsamında ödeme hizmeti olarak değerlendirilmemiştir.
4. Bir Holdingin İştiraklerinin, Holdinge Ait Tek Bir IP Üzerinden Servis Almaları Durumu ÖHVPS Kapsamında Değerlendirilmekle Beraber Kanun’un 12. Maddesinin İkinci Fıkrası J Bendi Gereği İstisna Ödeme Hizmeti Olarak Değerlendirilmiş Ve Lisans Alınmasına Gerek Bulunmadığı Belirtilmiştir.
5. Kullanımı ÖHS veya Üye İşyeri Dikeyi ile Sınırlı Kalmayan Banka Kartı Saklanan Dijital Cüzdanlar ile Ödeme Gerçekleştirilen İş Modeli Ödeme Emri Başlatma Hizmeti Kapsamında Değerlendirilmiştir.
Rehberde bu örnekleme yapılırken kullanılan “banka kartı” ifadesinin, tarafımızca 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nda “mevduat hesabı veya özel carî hesapların kullanımı dahil bankacılık hizmetlerinden yararlanmayı sağlayan kart” tanımı göz önünde bulundurularak bilinçli olarak kullanıldığı değerlendirilerek, Rehber’deki açıklamalardan kredi kartlarının bu kapsamda değerlendirilmediği görüşünde olduğumuzu not etmek isteriz.
TCMB’nin bu değerlendirmesinin ÖEBH’nin bilinen dünya örneklerinde kartlı işlemlerden ayrık tutulması durumundan ayrıştığını da not etmek isteriz.
Diğer taraftan Ödeme Hizmetleri ve Elektronik Para İhracı İle Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik’in 59. maddesinin sekizinci fıkrasında banka kartlarının bağlı olduğu hesaplar gibi ödeme hesabı olarak tanımlanan kredi kartı hesaplarının neden ayrı tutulmak istendiği de soru işareti yaratmıştır.
TCMB değerlendirmesinde, e-ticaret sitelerindeki kart saklama iş modeli için iş yeri dikeyinde gerçekleşmesi sebebiyle ayrıştığını, ödeme hizmet sağlayıcıları tarafından banka kartı saklanan dijital cüzdanın her bir üye işyerine kullandırılması halinin ödeme emri başlatma hizmeti kapsamında değerlendirileceği anlaşılmaktadır.
Elektronik para kuruluşları nezdindeki dijital cüzdanda kayıtlı banka kartının nezdinde bulunan e-para hesaplarına fon yüklemesinde kullanması, ÖHSlerin mobil uygulamaları içerisinde yer alan üçüncü parti hizmetlere ödeme gerçekleştirilmesinde kullanılmasının kapsam içerisinde yer alıp almadığının iş modeli özelinde değerlendirilmesi gerektiği görüşündeyiz.
Banka kartlarının dijital cüzdanda saklanarak, dijital cüzdanı sağlayan dışındakilerin iş yerlerinde kullanılabildiği iş modelindeki ödemelerin, hâlihazırda standartları belirlenmiş ÖHVPS arasında yer almadığından anılan işlemlerin mevcut yöntemler ve kurallar çerçevesinde yürütülebileceği, BKM GEÇİT üzerinden yapılmayacağı belirtilmiştir.
6. Hesap Bilgisi Hizmetine İlişkin Sorgulamalarda Fon Göndericilerine / Alıcılarına Ait Kişisel Veri Niteliğindeki Kimlik Bilgileri (T.C Kimlik Numarası (TCKN), Vergi Kimlik Numarası (VKN), Vb.) ve IBAN Numarası, Hesap Numarası Gibi Karşı Taraf Bilgileri Sadece Maskelenerek Görüntülenebileceği Belirtilmiştir.
7. Bankaların Çevrimiçi Hesap Ekstrelerini, Kendi Verilerine Kendi Sistemleri Üzerinden Erişmek İsteyen Ticari ve Kurumsal Müşteriler İle Paylaşması ÖHVPS Kapsamında Yer Almayıp Mevcut Haliyle Lisans Alımı Gerektirmeden Devam Edebileceği Belirtilmiştir.
8. ÖHK Tarafından HHS Üzerinden Güçlü Kimlik Doğrulama Gerektirmeyen İşlemler İçin ÖBHS Rolündeki YÖS’e Tüm Hesaplardaki İşlemlerin Gerçekleştirilmesine Yönelik Tek Seferde Genel Yetki Verilmesi Gibi Basitleştirilmiş Bir Onay Mekanizmasının Ve Otomasyona İzin Veren Bir Yapının Oluşturulması” Yönteminin Müşteri Memnuniyetini Artıracağı Düşünülse De HHS’nin Hesap Güvenliliğine İlişkin Sorumluluğunu Ortadan Kaldırmayacağı İçin Uygulanamayacağı Belirtilmiştir.
9. Geçiş Sürecine Tabi Fintek Kuruluşlarının 1 Aralık 2022 Tarihine Kadar TCMB’ye Lisans Başvurusu Yapmış Olmaları Halinde Verdikleri Hizmetleri Kesintisiz Sürdürebilecekleri Yazılı Olarak da Belirtilmiştir.
DEĞERLENDİRME
TCMB tarafından sektörün ihtiyaçlarına cevap verecek ve yön gösterecek Rehberler yayınlanmasının sektör açısından ciddi önem taşıdığını paylaşmak isteriz.
Banka kartlarının dijital cüzdanlarda saklanmasına ilişkin iş modelinin dünya örneklerinden ayrışarak ödeme emri başlatma hizmeti olarak değerlendirilmesi piyasada açık havuz modeli ile çalışmakta olan ve nezdinde banka kartı saklayan dijital cüzdan sağlayıcı fintek kuruluşlarının ödeme hizmeti sağlayıcısı olması ve ödeme emri başlatma hizmeti özelinde faaliyet iznine sahip olması gerekliliğini doğuracağı kanaatindeyiz.
Kaynak: Ödeme Hizmetlerinde Veri Paylaşım Servislerine İlişkin Rehber
Erişim: https://www.tcmb.gov.tr/wps/wcm/connect/d60cc679-ce04-4941-b310-b3788b6f3540/Odeme+Hizmetlerinde+Veri+Paylasim+Servislerine+Iliskin+Rehber.pdf?MOD=AJPERES