CFIUS Nedir? ABD’de Yabancı Yatırımcıların Teknoloji ve Gayrimenkul Alımlarında Ulusal Güvenlik Denetimi

ABD’de şirket satın almak, teknoloji girişimine yatırım yapmak ya da stratejik bir bölgede gayrimenkul edinmek isteyen yabancı yatırımcılar için en kritik hukuk başlıklarından biri CFIUS incelemesidir. CFIUS, yani Committee on Foreign Investment in the United States, ABD’deki belirli yabancı yatırımların ve bazı gayrimenkul işlemlerinin ulusal güvenlik üzerindeki etkisini inceleyen kurumlar arası bir komitedir. ABD Hazine Bakanlığı’na göre CFIUS, yabancı kişilerin ABD’de yaptığı belirli yatırım işlemlerini ve bazı gayrimenkul işlemlerini, bunların ABD ulusal güvenliği üzerindeki etkisini değerlendirmek için inceler; komite, Defense Production Act’in 721. bölümü, Executive Order 11858 ve 31 CFR Chapter VIII altındaki düzenlemeler çerçevesinde çalışır. (U.S. Department of the Treasury)

Bu nedenle ABD’de yabancı yatırımcı açısından mesele artık yalnızca şirketler hukuku, sözleşme hukuku veya rekabet hukuku değildir. Özellikle savunma, yarı iletkenler, yapay zekâ, veri işleme, kritik altyapı, sağlık verisi, biyoteknoloji ve hassas coğrafi bölgelerde bulunan taşınmazlar söz konusu olduğunda, işlem kapanmadan önce “CFIUS riski var mı?” sorusu sorulmalıdır. CFIUS, klasik anlamda yabancı yatırımı yasaklayan bir sistem değildir; ancak ulusal güvenlik riski gördüğünde işlemi hafifletici şartlara bağlayabilir, taraflardan bildirim isteyebilir, tamamlanmış işlemi geriye dönük inceleyebilir ve nihai aşamada Başkan’a işlemi engelleme veya elden çıkarma yönünde sevk yapabilir. (U.S. Department of the Treasury)

Bugün bu konu daha da önemlidir; çünkü 2024 sonunda CFIUS rejiminde hem enforcement hem de gayrimenkul tarafında önemli güncellemeler yürürlüğe girdi. Hazine Bakanlığı Kasım 2024’te ceza, bilgi verme yükümlülüğü ve prosedürleri güçlendiren bir nihai kural yayımladı; ayrıca Kasım 2024 tarihli başka bir nihai kuralla, CFIUS’un gayrimenkul yetki alanını onlarca yeni askeri tesis çevresinde genişletti. 2026 itibarıyla ise Hazine, “Known Investor Program” adı verilen ve süreci hızlandırmayı amaçlayan yeni bir modeli geliştirmektedir; fakat Hazine açıkça, bu programın CFIUS’un yargı yetkisini veya temel inceleme sürecini değiştirmediğini belirtmektedir. (U.S. Department of the Treasury)

CFIUS hangi işlemleri inceler?

CFIUS’un yetkisi her yabancı yatırımı kapsamaz; ancak kapsadığı işlemler düşündüğünden daha geniş olabilir. Temel ayrım, covered control transaction, covered investment ve covered real estate transaction başlıkları arasında yapılır. 31 CFR Part 800 altında yer alan covered control transaction, yabancı kişinin bir ABD işletmesi üzerinde kontrol elde etmesine yol açabilecek işlemleri kapsar. Bu, çoğunluk hissesi devri kadar, fiilî kontrol doğuran başka yapılanmaları da içerebilir. CFIUS SSS metinlerinde özellikle şu nokta netleştirilmiştir: bir yatırımcı “excepted investor” statüsünde olsa bile, yabancı kontrol doğuran işlemler bakımından CFIUS’un yetkisi ortadan kalkmaz. (Federal Register)

Buna karşılık covered investment, her azınlık yatırımını kapsamaz. CFIUS düzenlemelerine göre covered investment, bir yabancı kişinin — excepted investor değilse — unaffiliated TID U.S. business içinde yaptığı ve yabancı tarafa belirli özel haklar veren kontrol dışı yatırımı ifade eder. Bu haklar üç ana başlıkta toplanır: maddi ve kamuya açık olmayan teknik bilgiye erişim, yönetim kurulunda üyelik/gözlemci/nominasyon hakkı ve kritik teknoloji, kritik altyapı veya hassas kişisel veri üzerinde “substantive decisionmaking”e katılım. Bu nedenle yatırımcı “çoğunluğu almıyorum, sadece minority investor oluyorum” diye düşünse bile, eğer işlem teknik bilgiye erişim veya yönetim hakları yaratıyorsa CFIUS kapsamına girebilir. (Federal Register)

Bu noktada TID U.S. business kavramı belirleyicidir. TID, “Technology, Infrastructure, Data” kelimelerinin baş harflerinden oluşur. Düzenleme ve Hazine materyalleri, TID U.S. business’ı; kritik teknolojiler üreten/geliştiren, belirli kritik altyapı fonksiyonlarını yerine getiren veya hassas kişisel verileri tutan/toplayan ABD işletmeleri olarak tanımlar. CFIUS’un son yıllarda özellikle veri ve teknoloji işlemlerine ağırlık vermesinin nedeni budur: artık risk sadece savunma sanayi şirketi satın almakla sınırlı görülmemekte; büyük ölçekli sağlık verisi, tüketici verisi, biyolojik veri, finansal profil verisi ve kritik yazılım/altyapı bileşenleri de ulusal güvenlik perspektifine dâhil edilmektedir. (U.S. Department of the Treasury)

Teknoloji yatırımlarında CFIUS neden bu kadar önemlidir?

ABD’de teknoloji sektörüne yapılan yabancı yatırımlar, CFIUS açısından en yoğun inceleme alanlarından biridir. Bunun temel sebebi, 2022 tarihli Executive Order 14083 sonrasında CFIUS’un değerlendirme başlıklarının teknoloji liderliği, siber güvenlik, hassas veri ve tedarik zinciri dayanıklılığı gibi alanlarda açık biçimde genişletilmiş olmasıdır. 2024 Annual Report da, kritik teknoloji işlemlerinin hâlâ CFIUS faaliyetinin ana eksenlerinden biri olduğunu; incelemenin özellikle savunma ve ihracat kontrolleriyle bağlantılı teknolojiler üzerinde yoğunlaştığını göstermektedir. (U.S. Department of the Treasury)

Özellikle “kritik teknoloji” başlığı yatırımcılar için yanılgı yaratır. Çünkü burada yalnızca klasik savunma ürünleri değil; ihracat lisansına tabi bazı ileri teknoloji kalemleri de gündeme gelebilir. Hazine’nin 2020 tarihli kritik teknoloji zorunlu bildirim kuralı özeti ve 2024 raporu, mandatory declaration rejiminin bir kısmının tam da bu kritik teknoloji işlemlerine odaklandığını göstermektedir. Dolayısıyla çip tasarımı, ileri sensör teknolojileri, özel yazılımlar, savunma veya çift kullanımlı teknolojiler, bazı yapay zekâ uygulamaları ve belirli biyoteknoloji alanları, işlem formal olarak “venture investment” gibi görünse bile CFIUS riski taşıyabilir. (U.S. Department of the Treasury)

Burada çoğu yatırımcının düştüğü hata şudur: şirket hedefinin küçük veya erken aşama olması nedeniyle CFIUS riskinin de küçük olduğu sanılır. Oysa covered investment rejimi tam olarak bunu değiştirmiştir. Artık kontrol devri olmadan, küçük yüzdeli yatırımda bile teknik bilgiye erişim, board observer hakkı veya veri üzerinde karar mekanizmasına katılım varsa CFIUS dosyası doğabilir. Özellikle seed/Series A yatırımlarında kullanılan bilgi hakları, veto hakları, observer seat ve teknik due diligence erişimi, işlem belgesinde fark edilmeden CFIUS eşiğini aşabilir. Bu nedenle ABD teknoloji yatırımında yalnızca hisse oranına değil, hak paketine bakılmalıdır. (Federal Register)

Gayrimenkul alımlarında CFIUS nasıl devreye girer?

CFIUS’un gayrimenkul yetkisi, birçok yabancı yatırımcının düşündüğünden daha dardır; ama stratejik konumlu taşınmazlarda çok önemlidir. Hazine Bakanlığı’na göre Part 802 kapsamındaki yetki, yabancı kişilerin ABD’deki belirli gayrimenkulleri satın alması, kiralaması veya concession yoluyla edinmesi gibi işlemleri kapsar; ancak bu yetki özellikle havaalanları, deniz limanları ve belirli askeri tesislerin çevresindeki taşınmazlarla sınırlı şekilde çalışır. İlgili askeri tesisler Appendix A’da isim ve lokasyon bazında listelenmiştir. (U.S. Department of the Treasury)

Kasım 2024’te yayımlanan nihai kural bu alanı önemli ölçüde genişletti. Hazine’nin resmî açıklamasına göre kural, 40 ek askeri tesis çevresinde 1 mil, 19 ek askeri tesis çevresinde 100 mil yarıçaplı alanları kapsama aldı; ayrıca daha önce listede olan bazı tesisler için 1 mil ile 100 mil arasındaki “extended range” alanını genişletti. Bu değişiklik 9 Aralık 2024’te yürürlüğe girdi. Bu nedenle ABD’de taşınmaz alımı planlayan yabancı yatırımcı artık yalnızca county imar ve title due diligence ile yetinmemeli; taşınmazın CFIUS coğrafi yetki alanına girip girmediğini de ayrıca test etmelidir. (U.S. Department of the Treasury)

Ancak her taşınmaz işlemi CFIUS’a girmez. Hazine’nin gayrimenkul FAQ ve real estate sayfaları, önemli istisnalar olduğunu açıkça gösterir. Bunlar arasında tek bir housing unit alımı, bazı urbanized area ve urban cluster işlemleri, havaalanı/limanda perakende amaçlı belirli kiralamalar, çok birimli ticari binalarda belirli ofis alanları ve bazı Alaska Native/tribal istisnaları vardır. Ayrıca bir işlem zaten Part 800 kapsamında bir U.S. business işlemiyse, aynı işlem ayrıca Part 802 real estate dosyası olarak ele alınmayabilir. Bu nedenle “yabancının taşınmaz aldığı her dosya CFIUS’a gider” demek doğru değildir; ama stratejik konumlu arsa, depo, liman yakını lojistik tesis, enerji sahası veya askeri tesis çevresi taşınmazlarında CFIUS taraması artık standart hale gelmelidir. (U.S. Department of the Treasury)

CFIUS başvurusu her zaman zorunlu mudur?

Hayır. CFIUS rejimi hâlâ büyük ölçüde gönüllü bildirim mantığına dayanır. Hazine’nin overview sayfası, sistemin esasen gönüllü olduğunu; tarafların kısa declaration veya daha ayrıntılı notice sunabileceğini belirtir. Ancak aynı metin, bazı durumlarda declaration sunmanın zorunlu olduğunu da açıkça söyler. En önemli iki mandatory filing başlığı şunlardır: belirli kritik teknoloji işlemleri ve belirli foreign government substantial interest işlemleri. (U.S. Department of the Treasury)

Mandatory declaration bakımından ilk ana eksen, belirli kritik teknoloji işlemleridir. Hazine’nin 2020 final rule fact sheet’i ve 2024 Annual Report, belirli covered transactions involving critical technologies için zorunlu declaration rejiminin devam ettiğini göstermektedir. İkinci ana eksen ise, yabancı hükümetin bir yabancı yatırımcı içinde “substantial interest” sahibi olduğu ve bu yatırımcının bir TID U.S. business içinde yine “substantial interest” elde ettiği covered transactions’lardır. Bu yapı özellikle devlet bağlantılı fonlar, sovereign wealth funds, devlet kontrollü şirketler veya karma ortaklık yapılarında önem kazanır. (U.S. Department of the Treasury)

Buna karşılık gayrimenkul işlemlerinde durum farklıdır. Treasury’nin 2024 kural açıklamasında ve Part 802 materyallerinde, real estate declarations ve notices anlatılsa da Part 802 için Part 800’deki türde bir genel mandatory declaration rejimi bulunmadığı görülmektedir. Dolayısıyla gayrimenkulde esas sistem, çoğu dosyada gönüllü dosyalama ve risk esaslı değerlendirmedir. Bu da pratikte şu anlama gelir: gayrimenkul işleminde “zorunlu değil, o halde dosya gereksiz” denmemeli; tam tersine, risk yüksekse gönüllü başvuru ve safe harbor stratejisi ayrıca değerlendirilmelidir. (U.S. Department of the Treasury)

Declaration mı, Notice mı?

CFIUS tarafında iki ana filing biçimi vardır. Declaration, daha kısa ve özet bir başvurudur; Hazine’nin declaration instructions sayfasına göre CFIUS, kabul edilen declaration üzerinde 30 günlük bir assessment süresi içinde işlem yapar. Bu assessment sonunda komite, işlemi kapatabilir, taraflardan full notice isteyebilir, taraflara isterlerse notice verebileceklerini bildirebilir veya tek taraflı inceleme başlatabilir. 2024 Annual Report de bu dört olası sonucu tekrarlar. Declaration’ların önemli bir avantajı, genel olarak filling fee gerektirmemeleridir. (U.S. Department of the Treasury)

Notice ise daha ayrıntılı, daha ağır ve daha masraflı dosyalama yoludur. Hazine’nin notice instructions ve overview sayfalarına göre kabul edilen formal written notice için önce 45 günlük review, gerekirse ardından 45 günlük investigation dönemi yürür; Başkan’a sevk halinde buna 15 günlük presidential review eklenebilir. 2024 Annual Report, CFIUS’un 2024 yılında kabul ettiği 209 notice üzerinde review yaptığını, bunların 116’sında investigation’a geçtiğini ve iki işlemin başkanlık kararına kadar gittiğini göstermektedir. Ayrıca formal notices için filing fee vardır; fee, işlem değerine göre 0 ila 300.000 dolar arasında değişir. (U.S. Department of the Treasury)

Bu noktada stratejik soru şudur: hangi işlemde declaration yeterli, hangi işlemde doğrudan notice daha uygundur? Eğer işlem çok hassas bir teknoloji, devlet bağlantılı yatırımcı, karmaşık data seti, board rights ve mitigation ihtimali taşıyorsa, declaration yerine doğrudan notice ile daha kontrollü ilerlemek daha mantıklı olabilir. Buna karşılık risk daha sınırlıysa ve taraflar süreci hızlı test etmek istiyorsa declaration tercih edilebilir. Ancak önemli nüans şudur: Treasury açıkça, CFIUS’un advisory opinion vermediğini belirtir. Yani taraflar “önceden soralım, kapsamda mıyız?” şeklinde bağlayıcı görüş alamaz; riski kendileri değerlendirip filing stratejisini seçer. (U.S. Department of the Treasury)

Safe harbor neden önemlidir?

CFIUS’a gönüllü dosya vermenin en büyük hukuki değeri, komitenin işlemi sonuçlandırması halinde sağlanan safe harbor’dır. 2024 Annual Report’a göre CFIUS, kendisine sunulan ve covered transaction olduğuna karar verdiği bir işlemde tüm aksiyonu tamamladığında, belirli istisnai durumlar dışında o işlemi yeniden incelemeyeceğini ifade eden bir güvenli liman etkisi doğar. Bu güvenli liman, özellikle işlem kapandıktan sonra yatırımcı açısından büyük belirsizlik azaltır. Çünkü CFIUS’un yetkisi, dosya verilmese bile tamamlanmış işlemleri sonradan incelemeye kadar uzanır. (U.S. Department of the Treasury)

Bu nedenle birçok yatırımcı “nasıl olsa filing zorunlu değil” düşüncesiyle tamamen sessiz kalmanın daha düşük riskli olduğunu zanneder. Oysa Hazine’nin annual report ve enforcement materyalleri, CFIUS’un non-notified transactions üzerinde aktif çalıştığını ve gönüllü dosya verilmeyen işlemleri de tespit edip bilgi isteyebildiğini göstermektedir. 2024 raporu açıkça, CFIUS’un gönüllü bildirim yapılmayan işlemler hakkında bilgi talep ettiğini ve gerekli görürse taraflardan notice vermelerini istediğini belirtir. Sessizlik bu yüzden her zaman koruma sağlamaz; bazen yalnızca belirsizliği uzatır. (U.S. Department of the Treasury)

CFIUS’a rağmen işlem kapanabilir mi?

Evet; ancak ulusal güvenlik riski görülürse çoğu zaman mitigation gündeme gelir. CFIUS, 2024 raporunda bazı işlemleri mitigation agreement veya order ile kapattığını, bazı işlemlerde ise tarafların mitigation kabul etmemesi veya komitenin yeterli çözüm bulamaması nedeniyle dosyanın geri çekildiğini ya da başkanlık kararına gittiğini belirtmektedir. Mitigation araçları dosyadan dosyaya değişebilir; örneğin belirli veriye erişim sınırlaması, güvenlik yöneticisi atanması, ABD vatandaşı yönetici zorunluluğu, certain business lines’ın ayrıştırılması, source code erişim kısıtı veya tesis bazlı güvenlik önlemleri gündeme gelebilir. (U.S. Department of the Treasury)

Bu nedenle CFIUS yalnızca “yasaklayan” bir mekanizma değildir; çoğu zaman şartlı izin veya yapısal revizyon üreten bir ulusal güvenlik denetimidir. Yatırımcı açısından doğru yaklaşım, CFIUS’u işlem sonrası kriz olarak değil, işlem yapısının parçası olarak görmektir. Term sheet, SPA, governance rights, board observer düzeni, data room erişimi ve closing conditions daha en başta CFIUS riskine göre kurgulanırsa, sonraki mitigation pazarlığı daha yönetilebilir hale gelir. (U.S. Department of the Treasury)

Yaptırımlar ve ceza riski ne kadar ciddidir?

CFIUS ihlalleri artık yalnızca teorik bir risk değildir. Hazine’nin Enforcement and Penalty Guidelines metni, üç temel ihlal kategorisini sayar: mandatory filing yapılmaması, CFIUS mitigation’a uyulmaması ve material misstatement/omission veya false certification. Bu kuralların altında yer alan 31 CFR 800.901 özetine göre, material misstatement veya omission için her ihlal başına 5 milyon dolara kadar, mandatory filing yükümlülüğüne uyulmaması için ise 5 milyon dolar veya işlem değeri, hangisi yüksekse o seviyeye kadar sivil para cezası uygulanabilir. 2024 nihai kuralı da bu enforcement alanını özellikle güçlendirmiştir. (U.S. Department of the Treasury)

Bu yüzden CFIUS’ta en tehlikeli yaklaşım, “bildirim vermedim ama sorun çıkarsa sonra anlatırım” mantığıdır. Komite, kamu verileri, hükümet içi kaynaklar, üçüncü taraflar ve ihbarlar dahil birçok kaynaktan bilgi toplayabildiğini ve self-disclosure’ı teşvik ettiğini açıkça söylemektedir. Ayrıca işlem taraflarının CFIUS’a sunduğu tüm sertifikasyonlar doğrudan CEO veya yetkili üst düzey temsilci imzasıyla verilir. Dolayısıyla eksik veya yanlış beyan, yalnızca teknik form hatası olarak görülmez; doğrudan enforcement konusu olabilir. (U.S. Department of the Treasury)

“Excepted investor” her şeyi çözer mi?

Hayır. Excepted investor rejimi sınırlı bir rahatlama sağlar; tam bağışıklık yaratmaz. Treasury FAQ’ye göre CFIUS, bugün Avustralya, Kanada, Yeni Zelanda ve Birleşik Krallık için excepted foreign state / excepted real estate foreign state determinations yayımlamıştır. Ancak aynı FAQ açıkça, excepted investor olmanın her işlemi CFIUS yetkisinden çıkarmadığını; özellikle foreign control doğuran işlemlerde komitenin yetkisinin devam ettiğini belirtir. Bu statü esasen bazı covered investments, certain real estate filings ve bazı mandatory declaration yükleri bakımından sınırlı istisnalar yaratır. Ayrıca yatırımcının gerçekten excepted investor sayılabilmesi için kuruluş yeri, ana iş merkezi, sahiplik yapısı ve compliance geçmişi gibi ayrı kriterler de karşılanmalıdır. (U.S. Department of the Treasury)

Bu nedenle birçok yatırımcının yaptığı hata, “İngiltere/Avustralya/Kanada bağlantılıyım, o halde CFIUS yok” varsayımıdır. Hukuken doğru ifade, “bazı non-controlling covered investments ve bazı real estate işlemlerinde excepted investor statüsü önemli koruma sağlayabilir; ama control transaction’larda CFIUS yetkisi devam eder” şeklindedir. Özellikle holding yapısı çok katmanlıysa, ultimate ownership ve principal place of business analizi dikkatle yapılmalıdır. (U.S. Department of the Treasury)

Sonuç

CFIUS, ABD’de yabancı yatırımcı açısından artık niş bir savunma hukuku başlığı değil; teknoloji yatırımı, veri odaklı şirket alımı, kritik altyapı ortaklığı ve stratejik gayrimenkul edinimi yapan herkes için temel bir işlem riski analizidir. Bir işlem kontrol devri doğuruyorsa, TID U.S. business’a azınlık yatırım veriyorsa veya belirli askeri tesis/liman/havaalanı çevresinde gayrimenkul edinimi içeriyorsa, CFIUS değerlendirmesi artık standart due diligence kalemi haline gelmiştir. Üstelik zorunlu filing yalnızca bazı işlemlerde geçerli olsa bile, gönüllü dosya verilmemiş işlemlerin sonradan incelenebilmesi nedeniyle “sessiz kapanış” her zaman güvenli değildir. (U.S. Department of the Treasury)

Pratik hukuk açısından doğru yaklaşım şudur: ABD’de yabancı yatırım planlanırken önce “Bu işlem CFIUS kapsamında olabilir mi?” sorusu sorulmalı; sonra “declaration mı, notice mı, yoksa no-filing risk acceptance mı?” kararı verilmelidir. Bu karar, yalnızca sektör adına bakılarak değil; kontrol yapısı, yatırımcı profili, bilgi hakları, veri setleri, ihracat kontrol rejimi, coğrafi konum ve devlet bağlantısı birlikte değerlendirilerek verilmelidir. CFIUS iyi yönetildiğinde işlem kapanışını güvence altına alan bir araç olabilir; kötü yönetildiğinde ise kapanmış işlemi dahi yıllar sonra geri açabilen bir ulusal güvenlik dosyasına dönüşebilir. (U.S. Department of the Treasury)