info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Kripto Cüzdan Hizmet Sağlayıcılarının Hukuki Sorumlulukları

04 Tem 2025
0

Giriş
Blokzincir teknolojisi ve kripto varlıkların yaygınlaşmasıyla birlikte “kripto cüzdan” hizmet sağlayıcıları, yatırımcıların dijital varlıklarını güvenle saklayıp yönetebilmeleri için kritik bir rol üstlenmiştir. Ancak bu kuruluşlar; teknik altyapı, finansal düzenlemeler ve veri koruma mevzuatı çerçevesinde ağır bir yükümlülük paketiyle karşı karşıyadır. İşbu makalede, kripto cüzdan hizmet sağlayıcılarının Türkiye hukukuna göre taşıdığı başlıca sorumluluklar; mali, cezai, idari ve medeni boyutlarıyla ele alınacaktır.

1. Kripto Cüzdan Hizmet Sağlayıcısı Kimdir?

Kripto cüzdan, kullanıcının blokzincir üzerindeki özel ve genel anahtarlarını saklayan yazılım veya donanım ortamıdır. “Hizmet sağlayıcı” ise bu cüzdanları web, mobil uygulama veya donanım cihazı olarak sunan şirketi ifade eder. Kullanıcı, cüzdan üzerinden para yatırma/çekme, token transferi veya staking gibi işlemler yaparken, hizmet sağlayıcı:

  1. Anahtar Yönetimi,

  2. İşlem Doğrulama,

  3. Fon Saklama,

  4. Kullanıcı Desteği,

  5. Güvenlik Güncellemeleri
    gibi işlemlerden sorumludur.

2. Düzenleyici Çerçeve

Türkiye’de kripto varlıklar doğrudan SPK, BDDK veya TCMB tarafından “resmî finansal enstrüman” olarak tanınmasa da, MASAK’ın Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun (5549 sayılı Kanun) ve 6698 sayılı KVKK başta olmak üzere çeşitli düzenlemeler hizmet sağlayıcıları yükümlü kılar.

  • MASAK Yükümlülüğü: Kripto cüzdan sağlayıcıları, “yükümlü kuruluş” vasfıyla müşterini tanı (KYC) ve şüpheli işlem bildirimi (STR) yükümlülüklerini yerine getirmelidir (5549/4). Aksine davranış, 100.000–1.000.000 TL arası idari para cezası doğurur.

  • KVKK Yükümlülüğü: Hizmet sırasında işlenen kişisel veriler (kimlik, iletişim, işlem geçmişi vb.), KVKK m. 12 ve 13 kapsamındaki aydınlatma, veri envanteri, teknik ve idari tedbirler yükümlülüklerine tâbidir. Ihlal hâlinde 20.000–1.000.000 TL arası idari para cezası uygulanabilir.

  • Tüketici Koruması: Elektronik Ticaret Kanunu ve Mesafeli Sözleşmeler Yönetmeliği, cüzdan sağlayıcısının şeffaflık, cayma hakkı, hizmet kesintisizliği gibi yükümlülüklerini düzenler.

  • TCK Hükümleri: Yetkisiz erişim (TCK 243), veriyi bozma veya ele geçirme (TCK 244) gibi bilişim suçları, sağlayıcının siber güvenlik sorumluluğunu da cezai boyutta düzenler.

3. AML/CFT ve KYC Onay Süreçleri

Müşterini Tanı (KYC): Hizmet sağlayıcılar; müşteri kimlik ve adres doğrulamasını; gerçek faydalanıcı tespiti, risk profili oluşturma ve düzenli güncelleme süreçlerini işletmelidir.
Şüpheli İşlem Bildirimi (STR): Aşağıdaki gibi olağandışı işlemler tespit edildiğinde 24 saat içinde MASAK’a bildirim yapılmalıdır:

  • Şüpheli kaynaklı fonlar,

  • Yüksek tutarlı tek seferlik veya kısa sürede tekrar eden para giriş-çıkışları,

  • Ülke risk haritasına göre işbirliği riski taşıyan bölgeler.

Bu yükümlülüğün gereğini yerine getirmeyen sağlayıcı, hem idari para cezasıyla hem de soruşturma açılma riskiyle karşılaşır.

4. Veri Koruma ve KVKK Yükümlülükleri

Kripto cüzdan hizmetleri, kapsamlı kişisel veri işleme faaliyetleri içerir. KVKK’ya uygunluk için:

  1. Aydınlatma Metni: Hizmete kayıt aşamasında “hangi veriler, ne amaçla, hangi süre, kimlerle paylaşılacak” bilgileri içeren metin kullanıcıya sunulmalı; açık rıza veya diğer işleme şartları alınmalıdır.

  2. Veri Envanteri: KVKK m. 12 uyarınca, işlenen her veri kategorisi envantere kaydedilmeli; gerektiğinde Kurul’a sunulacak şekilde güncel tutulmalıdır.

  3. Teknik ve İdari Tedbirler: Şifreleme, çok faktörlü kimlik doğrulama (MFA), erişim kontrolleri, düzenli güvenlik testleri ve çalışan bilinçlendirme eğitimleri uygulamalıdır.

  4. İhlal Bildirimi: Veri ihlali durumunda 72 saat içinde hem KVKK Kurulu’na hem de etkilenen kullanıcılara bildirim yapılmalıdır.

Bu kurallara aykırı hareket eden sağlayıcılar, yüksek miktarlı idari para cezaları ve itibar kaybıyla karşılaşır.

5. Siber Güvenlik ve Cezai Sorumluluk

Kripto cüzdan sağlayıcıları, TCK m. 243 ve 244 hükmü uyarınca izinsiz erişime ve veriyi bozma/ele geçirmeye karşı önlem almak zorundadır. Olası bir hack veya “insider attack” hâlinde:

  • Cezai Soruşturma: Sağlayıcının güvenlik açıkları veya ihmali, ihmali oluşturan yöneticiler aleyhine soruşturmaya neden olabilir.

  • Tazminat Sorumluluğu: Kullanıcı cüzdanlardan çalınan varlıkları dava yoluyla tazmin talep edebilir; sağlayıcı “özen yükümlülüğü”nü yerine getirmediği için kusur sorumluluğu çerçevesinde zararı karşılamak zorunda kalabilir.

Güvenlik altyapısının etkinliği, siber sigorta poliçeleri ve dış denetim raporlarıyla desteklenmelidir.

6. Müşteri Fonlarının Segregasyonu ve Saklama Politikası

Kripto cüzdan hizmeti, banka veya aracı kuruluş muamelesi görmemesine rağmen, müşteri fonlarının segregasyonu—sağlayıcının operasyonel fonlarından ayrı tutulması—özen yükümlülüğünün parçasıdır.

  • Hukuki Niteliği: Borçlar Kanunu kapsamında “emanet sözleşmesi” hükümleri uygulandığında; hizmet sağlayıcı, müşterinin varlıklarını geri verme borcuyla yükümlüdür.

  • Uygulama: Kullanıcı varlıkları soğuk depoda (cold wallet) veya güvenli cüzdan çözümlerinde tutulmalı; bilanço kayıtlarında net ayrım yapılmalıdır.

Bu önlem, sağlayıcının iflas veya teknik arıza durumunda kullanıcı varlıklarının korunmasını sağlar.

7. Tüketici Koruması ve Mesafeli Sözleşmeler

Kripto cüzdan sağlayıcıları, e-ticaret platformu olarak Mesafeli Sözleşmeler Yönetmeliği kapsamına girebilir:

  • Sözleşme Şartları: Hizmet tanımı, ücretlendirme, cayma hakkı, süresiz üyelik iptali gibi konular sözleşmede açıkça gösterilmelidir.

  • Şeffaflık: Kullanıcı arayüzünde ücret, saklama politikası, komisyonlar ve risk uyarıları yer almalı; “ayarlar” menüsünde kolayca erişilebilir olmalıdır.

Aksi halde, Tüketicinin Korunması Hakkında Kanun çerçevesinde idari para cezası ve tüketici hakem heyeti başvuruları riski mevcuttur.

8. İhlal Durumunda İdari ve Medeni Yaptırımlar

  1. MASAK Cezaları: 5549 sayılı Kanun’a aykırı davranış 100.000–1.000.000 TL arası idari para cezasına yol açar.

  2. KVKK Cezaları: Veri ihlali veya aydınlatma yükümlülüğünü ihlal edenlere 20.000–1.000.000 TL arasında ceza kesilir.

  3. Tüketici Hukuku: Mesafeli satış hükümlerini ihlal eden hizmet sağlayıcılar için 6502 sayılı Tüketicinin Korunması Hakkında Kanun uyarınca para cezası uygulanır.

  4. Medeni Tazminat: Kullanıcı zarar görürse, “haksız fiil” (TBK 49) kapsamında zararın tamamının tazmini talep edilebilir.

Bu yaptırımlar, kullanıcı güvenini yeniden tesis etmek için ek maliyetlere ve itibar kaybına yol açar.

Sonuç

Kripto cüzdan hizmet sağlayıcıları; finansal düzenlemeler, AML/KYC, veri koruma, siber güvenlik ve tüketici hukuku alanlarında ciddi sorumluluklar taşır. Türkiye’de doğrudan finansal kuruluş olarak tanınmasalar bile, MASAK ve KVKK başta olmak üzere çok sayıda idari ve cezai yükümlülük onları sıkı bir denetim çerçevesine sokar. Hukuka tam uyum; sadece idari para cezalarından korunmayı değil, kullanıcı güvenini sağlamayı, itibar yönetimini güçlendirmeyi ve uzun vadede sürdürülebilir büyümeyi beraberinde getirir. Sağlayıcıların, uyum politikalarını güncel tutacak mekanizmalar kurmaları, dış denetimler yaptırmaları ve teknik altyapılarını güçlendirmeleri, dijital varlık ekosisteminin sağlıklı gelişimi için elzemdir.

, , , , , , , , , , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button