Kuruluş, faaliyete geçme ve belirli hizmetleri sunma ayrı aşamalardır. Şirketin kurulmuş veya listede görünür olması her faaliyeti sunabileceği anlamına gelmez.

Bir platformun güncel statüsü incelenirken şirket unvanı, Kurul kararı, izin verilen hizmet ve saklama modeli ayrı ayrı kontrol edilir. Geçici listede görünmek veya kuruluş izni almak, sunulan bütün hizmetler için faaliyet izni bulunduğunu göstermez.

Kuruluş, izin ve hizmet kapsamı

SPK’nın güncel çerçevesi faaliyet izni süreci konusunu yalnızca tek bir işlem hatası olarak değil; organizasyon, kayıt düzeni, saklama ve bilgi sistemleri bütünü içinde ele alır. Sorumluluk değerlendirmesi, kâğıt üzerindeki organizasyonun yanında hizmetin fiilen kim tarafından yürütüldüğünü de kapsar.

SPK, Faaliyette Bulunanlar Listesi’nde yer almanın yetkilendirme anlamına gelmediğini açıkça belirtmektedir. Bu nedenle tanıtımlarda ve kullanıcı değerlendirmesinde geçici liste kaydı, faaliyet izni ya da kamu güvencesi gibi gösterilemez.

İzin sürecinde denetlenen başlıklar

SPK’nın düzenleyici rolü ile platformun sözleşmesel yükümlülüğü birbirini tamamlar. Kurulun gözetimi, kullanıcı ile platform arasındaki her özel hukuk zararını doğrudan karşılayan bir güvence sistemi değildir.

Alım-satım, transfer, saklama ve ilk satışa aracılık aynı hizmet değildir; izin kapsamı ve saklama modeli kullanıcı sözleşmesinden bağımsız olarak kontrol edilmelidir.

SPK’nın güncel listesi şirket unvanı ve geçiş başvurusu hakkında başlangıç bilgisi sağlar. Yetki durumunun güvenilir biçimde anlaşılması; marka adı, izin verilen faaliyet, saklama kuruluşu ve yetki belgesinin ayrı kaynaklarda karşılaştırılmasına bağlıdır.

Liste kaydı ile faaliyet izni arasındaki fark

III-35/B.1 ve III-35/B.2 sayılı Tebliğler faaliyet izni süreci konusunu kuruluş, hizmet, saklama, transfer ve bilgi sistemleri çerçevesinde düzenler. Platformun hukuki konumu, kullandığı ticari unvandan çok fiilen sunduğu hizmet ve izin kapsamıyla belirlenir.

Faaliyet statüsündeki değişiklikte Kurul duyurusu, şirketin resmî bildirimi ve ticaret sicili verileri birlikte izlenmelidir. Sosyal medya söylentileri tek başına hukuki başvuru zemini oluşturmaz.

Kuruluş, faaliyet izni ve hizmet kapsamı üç ayrı kontroldür

Bir anonim şirketin kurulması, kripto alanında faaliyet göstermek için yeterli değildir. Kuruluş şartlarının sağlanması, faaliyete geçiş izninin alınması ve sunulacak her hizmetin izin kapsamına uygun olması ayrı aşamalardır. Platform alım-satım hizmeti sunarken saklamayı başka bir yetkili kuruluş üzerinden yürütüyor olabilir; bu yapı sözleşmede ve izin belgelerinde açık olmalıdır.

Faaliyette Bulunanlar Listesi’ne geçmişte dâhil olmak da tek başına lisans anlamına gelmez. Sağlıklı kontrol; güncel şirket unvanı, izin durumu, kapsanan hizmetler ve varsa faaliyet kısıtının birlikte okunmasıyla yapılır.

Ortaklar, yöneticiler ve organizasyon

Tebliğ, kurucu ve ortakların nitelikleri, pay devirleri, yöneticiler, personel ve organizasyon yapısı hakkında şartlar getirir. Bunun nedeni, kullanıcı varlığına ve kritik sistemlere erişen kuruluşların yalnızca teknik kapasiteyle değil yönetim ve mali güvenilirlikle de denetlenmesidir.

İç kontrol, risk yönetimi ve iç denetim birimlerinin kâğıt üzerinde kurulması yeterli değildir. Yetki çatışmalarının önlenmesi, kritik işlemlerde çift onay, personel erişimlerinin izlenmesi ve yönetim kuruluna düzenli raporlama fiilen işler durumda olmalıdır. Bir güvenlik olayında organizasyon şeması, sorumluluğun hangi seviyede doğduğunu göstermeye yardımcı olur.

Teknik altyapı ve kayıt düzeni

Platformun emir, transfer, bakiye ve cüzdan kayıtlarını bütünlüklü biçimde üretmesi; kullanıcı uyuşmazlığı kadar düzenleyici denetim için de önemlidir. Kayıtların sonradan değiştirilebilmesi, zaman damgalarının uyumsuzluğu veya kullanıcı bazında ayrıştırılamaması hem teknik hem hukuki risk yaratır.

Bilgi sistemleri bağımsız denetimi ve rezerv kanıt denetimi, faaliyet izni ve devam eden gözetim sürecinin parçalarıdır. Bunlar platformun hiçbir zaman zarar etmeyeceğini göstermez; belirli sistem, kayıt ve rezerv alanlarında mevzuata uyuma ilişkin güvence üretir.

Dış hizmet alımı sorumluluğu ortadan kaldırmaz

Platform; bulut, kimlik doğrulama, siber güvenlik, çağrı merkezi veya saklama hizmetini başka kuruluşlardan alabilir. Dış hizmet kullanılması, mevzuata ve kullanıcıya karşı temel sorumluluğu tamamen alt yükleniciye devretmez. Kritik hizmetlerin denetlenmesi, süreklilik planı ve veri erişimi sözleşmede düzenlenmelidir.

Alt hizmet sağlayıcının yurt dışında bulunması veri aktarımı, kayıt erişimi ve olay müdahalesi bakımından ek risk doğurur. Teknik sözleşmenin kapsamı, denetim makamının ihtiyaç duyabileceği kayıtlara zamanında erişimi de içerir.

Faaliyet kapsamı değiştiğinde yeniden değerlendirme

Platformun yalnızca spot alım-satım yaparken saklama, borç verme, kilitleme/getiri hizmeti (staking) veya token satışına geçmesi hizmet kapsamını değiştirir. Yeni ürünün mevcut izin içinde olduğu varsayılmamalıdır. Ürünün teknik adı değil kullanıcıya sunulan ekonomik işlev esas alınır.

Şirket birleşmesi, pay devri veya yönetim değişikliği de izin şartlarını etkileyebilir. Kurucuların ve önemli ortakların niteliklerine ilişkin şartlar yalnızca ilk kuruluş anında önem taşımaz.

İzin süreci hakkında sık sorulanlar

Şirket kurulunca kripto borsası faaliyetine başlanabilir mi?

Hayır. Kuruluş, faaliyet izni ve sunulacak hizmetlerin izin kapsamı ayrı ayrı değerlendirilir.

Rezerv kanıtı lisansın yerine geçer mi?

Hayır. Rezerv kanıt denetimi belirli varlık ve kayıtların karşılaştırılmasına yöneliktir; faaliyet izni için gereken tüm şartların yerine geçtiği anlamına gelmez.

2026 geçiş kararı ve faaliyet izni kontrolü

Kuruluş izni, faaliyete geçme izni ve belirli bir hizmeti sunma yetkisi aynı kavramlar değildir. SPK’nın 26 Mart 2026 tarihli kararı, geçici listedeki kuruluşların yetki belgesi almasına ve platformların saklama sözleşmesi sunmasına ilişkin sürelerin, yetkili saklama kuruluşlarının yaygın hizmet vermeye başlamasından sonra belirlenmesini öngördü. Bu sebeple başvurunun yapılmış olması veya eski bir takvimde yer almak, güncel faaliyet izninin bulunduğunu tek başına göstermez.

SPK’nın 4 Haziran 2026 tarihli bülteninde üç bankaya kripto varlık saklama faaliyet izni verilmesi, fiilî yetkilendirme kararlarının geçici listeden ayrı yayımlandığını gösterir. Bir kuruluşun statüsü; ticaret unvanı, Kurul kararı, izin verilen faaliyet ve hizmeti sunan tüzel kişinin birlikte okunmasıyla anlaşılır.

İzin kontrolünün sonucu

Şirket kuruluşu, SPK listesinde yer alma ve belirli bir hizmet için faaliyet izni aynı aşama değildir. Güncel izin belgesi ile fiilen sunulan hizmetin örtüşmesi, yetki kontrolünün temel sonucudur.

Kaynaklar ve hukuki dayanaklar
  1. 6362 sayılı Sermaye Piyasası Kanunu (m. 35/B, 35/C, 99/A, 99/B) — https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6362.pdf
  2. Kripto Varlık Hizmet Sağlayıcılarına İlişkin İki Tebliğ — https://spk.gov.tr/duyurular/basin-duyurulari/2025/kripto-varlik-hizmet-saglayicilarina-iliskin-iki-teblig-yayimlandi
  3. SPK 26.03.2026 tarihli 18/617 sayılı geçiş süresi kararı — https://spk.gov.tr/data/69c595a68f95db1e4440bc26/2026-18.pdf
  4. SPK 2026/34 Bülteni — kripto varlık saklama faaliyet izinleri — https://spk.gov.tr/data/6a21eb938f95db12a4589b32/2026-34.pdf
  5. SPK Faaliyette Bulunanlar Listesi — https://spk.gov.tr/kurumlar/kripto-varlik-hizmet-saglayicilar/faaliyette-bulunanlar-listesi

Kaynak adları ve bağlantıları yayın paketinden aynen aktarılmıştır.