Açık Bankacılıkla İlgili Regülatif Gelişmeler
Türkiye’de açık bankacılık için yeni bir atılım yapıldı. 12 Kasım 2019 tarihi itibarıyla açık bankacılık Türk mevzuatına girdi ancak açık bankacılığın nasıl uygulanacağına dair detay için sektör bir seneden fazla bir süredir beklemeye koyuldu. Şimdi tünelin sonu görüldü ve nasıl bir uygulama bizi bekliyor sorusunun cevapları üç aşağı beş yukarı anlaşılır hale geldi. Bu yazımızda bu soruları cevaplamak istedik. Tabi bu soruyu cevaplamadan önce yeni düzenleme ile ilgili genel yazımızı okumadıysanız buradan başlayabilirsiniz.
Açık bankacılık’ın alt kolları olan AIS-Account Information Service Hesap Bilgisi Hizmeti olarak tanımlanırken, PIS-Payment Initiation Service Ödeme Emri Başlatma Hizmeti olarak tanımlanmış ve tanım kargaşasına nihai olarak son verilmiş oldu.
Türkiye’de Açık Bankacılık Engellenemez
Düzenleme taslağında en dikkat çeken konu banka ve diğer ödeme hizmeti sağlayan kuruluşunun müşterinin açık bankacılık hizmetine erişmesini engelleyememesi olmakta. Engel spesifik olarak hileli-yetkisiz erişim veya güvenlik ihlali gibi objektif sebeplerle söz konusu olabilecek. Ayrıca orantısız maliyet yüklemenin de önüne geçilmiş durumda.
Türkiye’de Açık Bankacılık BKM Aracılığıyla Mümkün Olabilecek
Engellenemeyen açık bankacılık BKM’nin geliştireceği API geçidi vasıtasıyla gerçekleşecektir. Müşteri açık bankacılık hizmeti aldığı kuruluş vasıtasıyla bankadaki hesabına ulaşırken aslında BKM’nin sunduğu servisi de kullanıyor olacak. BKM’nin sunacağı servisi kullanmanın yanı sıra BKM teknik ve operasyonel gereklilikleri karşılama konusunda açık bankacılık yapan kuruluşları değerlendirecek ve olumlu bir sonuç çıkması halinde ancak bu şirketler TCMB tarafından lisanslandırılacak. Görünen o ki, TCMB yükümlülüğünü BKM’ye yönlendirmiş. Bankaların iştiraki olan bir kuruluşun kendisine rakip olan bir sektörü denetlemesi çıkar çatışması doğuracağı teorik olarak beklenir. Teknik olarak ise olanı daha iyi anlamanız için bir görsel hazırladık:
Hassas verinin paylaşılacağı söz konusu sürecin üç parçası var. Bu süreç kimlik doğrulamaya ve açık rızaya dayanıyor, ayrıca her girişimde oturum numarası ve zaman damgası mevcut olacak. Kimlik doğrulamanın yanı sıra kimlik tespiti ise ancak belli hallerde söz konusu olacak Bunlar 300 TL altı işlemler, 500 TL altında limiti olan hesaplar veya Masak’ın öngördüğü diğer haller olarak ifade edilebilir. Açık bankacılıkta esas olan güçlü kimlik doğrulaması ancak;
- Düşük değerli ödemelerde
- Karakodlu ödemelerde
- Düzenli ödemelerde
- Gönderen ve alıcı aynı olan işlemlerde
tek bileşenli kimlik doğrulamaya da izin verilecek.
Türkiye’de Açık Bankacılık Hangi Hesapları Kapsıyor?
Avrupa’da açık bankacılığa ilişkin düzenlemelerin vadeli mevduatı kapsayıp kapsamadığına dair bir tartışma mevcuttu. Yönetmelik’le benzeri bir tartışmanın önüne geçilmiş ve vadesiz mevduat-işlem hesapları-kredi kartı hesapları ve elektronik para hesapları şeklinde bir düzenleme ortaya konmuştur. Vadeli mevduat ve diğer yatırım hesapları düzenleme kapsamında yer almıyor, ancak müşteriden açık rıza alınması ve idari/operasyonel anlamda katma değerli hizmetler için kullanılması kaydıyla muhtelif bilgileri de alabilmesine düzenleme olanak tanıyor. Dolayısıyla açık bankacılık yapan kuruluşların farklı yöntemlere (screen scraping-reverse engineering vs.) ihtiyaç duymadan söz konusu bilgilere erişebilecek. Tabi bu durum hesap bilgisi hizmeti sağlayıcıları için geçerli.
Ödeme Emri Başlatma Hizmeti İçin Bilinmesi Gerekenler
Ödeme emri başlatma hizmetini başlatan firmalar müşterinin herhangi bir bakiyesini hesaplarında tutamayacak. Görevi yalnızca talebi güvenli yöntemlerle ilgili bankaya/elektronik para kuruluşuna iletmek ve talebin gerçekleşmesini sağlamak olacak. Bu kapsamda ödeme emrinin verilmesinde veya müşteri kimliğinin doğrulanmasında kullanılan ve üçüncü kişilerce ele geçirilmesi veya değiştirilmesi halinde dolandırıcılık ya da müşteri adına sahte işlem yapılmasına imkân verebilecek kişisel veriler hassas müşteri verisi sayılmasına rağmen hesap sahibinin adı, ödeme hesabı numarası gibi bilgiler bu kapsamda nitelenemeyecek. Dolayısıyla ödeme emri başlatma kuruluşları söz konusu bilgiler için istenen ilave veri güvenliği kurallarına tabi olmayacak.
Hesap Bilgisi Hizmeti İçin Bilinmesi Gerekenler
Hesap bilgisi hizmeti de ödeme emri gibi APİ’lerle sağlanabilecek. Bu hizmeti veren kuruluşların aydınlatma, açık rıza konusundaki yükümlülükleri yanı sıra hassas verileri iletirken alması gereken tedbirler detaylı düzenlenmiş durumda. Bankaların söz konusu altyapıyı objektif sebepler sunmadan sağlamamasını mevzuat bir gerekçe kabul etmezken, açık bankacılık yapan kesimlerin bu verileri katma değerli hizmet sunabilmek için kullanabilme imkanı getiriliyor. Katma değerli hizmet olarak benim aklıma finansal hizmetlere erişimi veya finansal okuryazarlığı artıran hizmetler geliyor.
Peki Ya Finansal Şartlar
Açık bankacılık faaliyetlerinden ödeme emri başlatma hizmeti sunmak isteyenler asgari 2 milyon TL özkaynağa sahip olması gerekirken hesap hizmeti sunmak isteyenler için böyle bir şart söz konusu değildi. Yönetmelik’le birlikte bu şartın yanı sıra TCMB’de yer alacak koruma hesaplarında asgari 3 milyon TL değerinde para veya kamu borçlanma senedi bulundurma yükümlülüğü getiriliyor. Hesap bilgisi hizmeti için bu şart esnetiliyor ve mesleki sorumluluk sigortası ile telafi ediliyor. Yine de bu yükümlülüğün ağır olduğunu söylemek mümkün.
Düzenleme Sona Ermiyor
Teknik ve operasyon gerekliliklere ilişkin TCMB’nin ayrı bir tebliğ çıkarması da bekleniyor.