Kısa çerçeve: Kimlik tespiti hesap açılışıyla sona ermez; risk, işlem türü ve taraflara göre ek bilgi veya belge istenebilir.

Bilgi talebinin kapsamı transferin türüne, karşı tarafa ve risk görünümüne göre değişebilir. Kullanıcıdan istenen verinin işlemle bağlantılı olması kadar, platform tarafından güvenli ve amaçla sınırlı işlenmesi de önemlidir.

Kimlik tespiti ve seyahat kuralının kapsamı

Teknik verinin hangi sistemden ve ne zaman üretildiğinin görülebilmesi, ispat değerlendirmesinin temelidir. Gönderen-alıcı bilgisi, cüzdan sahipliği ve kaynak açıklaması yalnızca olayın bir bölümünü gösterir; verinin kim tarafından üretildiği ve diğer delillerle uyumu görülmeden kesin sonuç çıkarılamaz.

MASAK’ın risk temelli yaklaşımı seyahat kuralı uygulaması sırasında platformun ek bilgi veya belge istemesine imkân verir. Bu talep suçluluk tespiti değildir; ancak gönderen-alıcı bilgisi, cüzdan sahipliği ve kaynak açıklaması ile kullanıcının açıklaması arasında uyumsuzluk bulunması incelemenin kapsamını etkileyebilir.

Kullanıcının platforma belge vermesi, adli veya idari makamın yapacağı ispat değerlendirmesinin yerine geçmez. Sunulan kayıtlar para akışını açıklayan unsurlardır; tek başlarına kesin bir hukuki sonuç doğurmazlar.

Fon kaynağını açıklayan belge zinciri

KVKK’nın 2023/570 sayılı karar özeti, seyahat kuralı uygulaması sırasında kanuni kimlik tespiti amacı bulunsa dahi gereğinden fazla veri toplanamayacağını gösterir. Belge talebi, somut işlem riskine dayanmalı; kapsamı gereksiz veri toplamaya dönüşmemeli ve güvenli biçimde saklanmalıdır.

Seyahat kuralı uygulaması sürecinde kimlik ve finansal hareket verileri aynı profilde birleşebilir. Veri güvenliği yükümlülüğü; erişim yetkilerinin sınırlandırılmasını, kayıtların bozulmaya karşı korunmasını ve güvenli muhafazayı kapsar.

Fon kaynağı açıklaması yalnız bir gelir belgesine dayandırılmamalıdır. Banka hareketleri, platform emirleri, cüzdan transferleri ve hukuki ilişki arasındaki zaman uyumu fon kaynağı açıklamasının gücünü belirler.

Transfer türüne göre bilgi yükü

Süreç Sorulan temel bilgi Amaç
Kimlik tespiti Müşteri kim? Hesap sahibini doğrulamak
Seyahat kuralı Gönderen ve alıcı kim? Transfer bilgisiyle kimliği ilişkilendirmek
Kaynak açıklaması Varlık nasıl elde edildi? İşlemin ekonomik ve hukuki kaynağını anlamak

Seyahat kuralı hangi bilgi boşluğunu kapatır?

Kripto transferi zincirde adresler arasında görünür; fakat gönderen ve alıcının kimliği her zaman görünmez. Seyahat kuralı, hizmet sağlayıcıların transferle birlikte gönderen ve alıcıya ilişkin belirli bilgileri iletmesini ve kaydetmesini amaçlar. Böylece zincir verisi ile müşteri kaydı arasında denetlenebilir bağ kurulur.

Bilginin eksik veya uyumsuz olması transferin bekletilmesine, ek doğrulamaya veya reddedilmesine yol açabilir. Uygulama yalnızca tutara değil karşı hizmet sağlayıcının statüsüne, ülkesine ve işlem riskine göre değişebilir.

Kişisel cüzdanlara yapılan transferler

Kullanıcı kendi kontrolündeki cüzdana çekim yaptığında platform, adresin kullanıcıya ait olduğuna veya transfer amacına ilişkin ek bilgi isteyebilir. Cüzdan sahipliğinin küçük doğrulama transferi, imza veya beyanla kontrol edilmesi teknik modele göre değişir.

Bu süreçte talep edilen bilgi amaçla bağlantılı ve ölçülü olmalıdır. Cüzdan adresi, kimlik ve işlem geçmişinin birleşmesi ayrıntılı bir finansal profil oluşturur; bu veri yoğunluğu daha güçlü güvenlik tedbirlerini gerektirir.

Kaynak açıklaması ile seyahat kuralı aynı şey değildir

Seyahat kuralı transfer taraflarına ilişkin bilgiyi taşır; fon kaynağı incelemesi ise varlığın ekonomik olarak nasıl elde edildiğini sorgular. Alıcı ve gönderici bilgisi eksiksiz olsa bile fonun kaynağı ayrıca açıklanamayabilir.

Kullanıcı, banka girişinden borsa emrine ve cüzdan transferine kadar zinciri gösteren kayıtları saklamalıdır. Yalnızca son cüzdan hareketi, varlığın önceki kaynağını açıklamayabilir.

Bilgi uyuşmazlıkları ve transferin bekletilmesi

Gönderen adı, doğum bilgisi veya hesap numarası karşı hizmet sağlayıcının kaydıyla uyuşmadığında transfer manuel incelemeye alınabilir. Türkçe karakter, farklı isim yazımı veya şirket unvanı değişikliği yanlış eşleşme doğurabilir. Kullanıcı kayıtların güncel ve tutarlı olmasını sağlamalıdır.

Transferin zincirde gerçekleşmiş olması, alıcı platformun hesaba bakiyeyi hemen yansıtacağı anlamına gelmez. Eksik seyahat kuralı verisi nedeniyle iç hesap kredilendirmesi bekleyebilir.

Yurt dışı karşı platformun kuralları

Karşı platformun bulunduğu ülkede seyahat kuralı eşiği ve veri formatı farklı olabilir. Bilgi paylaşmayan veya yüksek riskli görülen sağlayıcıya transfer reddedilebilir. Kullanıcının kendi cüzdanı ile yabancı platform hesabı aynı risk sınıfında değerlendirilmez.

Platformlar arası teknik uyumsuzluk kullanıcı kusuru olmadan gecikme yaratabilir. İşlem kayıtları, gerekli mesajın gönderen platformda mı yoksa karşı platformda mı eksik kaldığını gösterir.

Kural bütün cüzdanları kamuya açık kimlikli hâle getirmez

Hayır. Kural hizmet sağlayıcılar üzerinden yapılan transferlerde bilgi paylaşımını güçlendirir; zincirdeki her adresin kamuya açık kimliğini oluşturmaz.

Kişisel cüzdana çekimde de risk bilgisi istenebilir

Platform cüzdan sahipliğini ve transfer riskini doğrulamak isteyebilir. İstenen bilginin ölçülü ve güvenli işlenmesi, kişisel cüzdana çekimde de geçerli veri koruma sınırıdır.

Veri düzeltme ve erişim talepleri

Seyahat kuralı kapsamında yanlış isim, ülke veya hesap bilgisinin aktarılması transferin gecikmesine ve kullanıcının riskli görünmesine yol açabilir. Kullanıcı, platform nezdindeki kimlik verilerinin düzeltilmesini ve işlenen verilere ilişkin bilgi talep edebilir. Bununla birlikte karşı platformdaki kaydın düzeltilmesi ayrı süreç gerektirebilir.

Platformlar arasında aktarılan verinin güvenli kanalda ve yalnızca gerekli kapsamda paylaşılması gerekir. Transfer mesajının zincir üzerinde kamuya açık olmaması, veri güvenliği yükümlülüğünü azaltmaz. Yetkisiz erişim veya yanlış alıcıya veri gönderimi ayrıca ihlal değerlendirmesi doğurabilir.

Güncel rehber ve değişebilen eşikler

MASAK’ın Kripto Varlık Hizmet Sağlayıcılar Rehberi 30 Eylül 2025’te güncellenmiştir. Seyahat kuralında aktarılacak bilgiler, eksik bilgi hâlinde uygulanacak tedbirler ve işlem limitleri zaman içinde değişebildiği için sabit rakamların eski içeriklerden kopyalanması güvenilir değildir. İşlemin yapıldığı tarihte yürürlükte olan Tedbirler Yönetmeliği, MASAK rehberi ve platform prosedürü birlikte açılmalıdır.

Seyahat kuralı, blokzincirdeki her adresin kamuya açık kimliğe dönüşmesini sağlamaz. Kural, yükümlü hizmet sağlayıcılar arasındaki transfer mesajında gönderen ve alıcıya ilişkin bilgilerin ilişkilendirilmesine yöneliktir. Güncel değerlendirmede kişisel cüzdan transferi için talep edilen ek bilginin amaçla bağlantısı, kapsamı ve ölçüsü birlikte denetlenir.

Zincir kaydı ile kimlik bilgisi farklı katmanlardır

Blokzincirde görülen cüzdan adresi, işlem zamanı ve transfer miktarı teknik hareketi gösterir; bu kayıt gerçek kişinin kimliğini veya işlemin hukuki sebebini her durumda açıklamaz. Seyahat kuralının işlevi, yükümlü hizmet sağlayıcılar arasındaki transferde gönderen ve alıcıya ilişkin gerekli bilgilerin işlemle birlikte taşınmasını sağlamaktır. Böylece zincir üzerindeki teknik kayıt ile platformların müşteri kayıtları arasında izlenebilir bir bağlantı kurulması amaçlanır.

Bu bilgi katmanı, blokzincirin herkese açık bir nüfus kaydına dönüşmesi anlamına gelmez. Kimlik ve transfer verileri, yükümlü kuruluşların mevzuat kapsamındaki süreçlerinde işlenir; erişim, saklama ve güvenlik yükümlülükleri kişisel veri hukuku bakımından devam eder. Transferin zincirde görünür olması, platformun elindeki kimlik belgesi veya hesap hareketlerini sınırsız biçimde paylaşabileceği sonucunu doğurmaz.

Gönderen platform ile alıcı platformun kayıtları uyuşmadığında sorun yalnızca cüzdan adresindeki yazım hatası olmayabilir. Hesap sahibinin adı, karşı kuruluşun statüsü, transfer amacı veya lehtar bilgisi farklılık gösterebilir. Düzeltme talebinde hangi alanın hatalı olduğu açıkça belirtilmeli; teknik işlem geri alınamasa bile platform kayıtlarındaki yanlış kimlik veya açıklama bilgisinin düzeltilmesi ayrıca ele alınmalıdır.

Kişisel cüzdan transferinde kontrol soruları değişir

Kişisel saklama cüzdanına yapılan transferde karşı tarafta kimlik tespiti yapan başka bir platform bulunmayabilir. Bu durum, gönderen platformun müşterisini tanıma ve işlemin riskini değerlendirme yükünü ortadan kaldırmaz; yalnızca bilgi toplama yöntemini değiştirir. Cüzdanın kimin kontrolünde olduğu, işlemin amacı ve fonun kaynağı somut risk düzeyine göre sorulabilir.

Kullanıcının bir cüzdan adresini daha önce kullanmış olması da o adresin her zaman aynı kişinin kontrolünde kaldığını kesin olarak göstermez. Anahtar devri, ortak kullanılan cüzdan, köprü veya akıllı sözleşme etkileşimi teknik rotayı karmaşıklaştırabilir. Bu nedenle cüzdan sahipliği değerlendirilirken yalnızca geçmiş transfer listesi değil, platform hesabındaki talep, imza veya doğrulama kayıtları ve kullanıcının açıklaması birlikte okunur.

Kişisel cüzdan ile karşı platform cüzdanı ayrımının doğru kurulması, gereksiz belge talebini de önler. Transferin doğrudan kullanıcının kontrolündeki adrese yapıldığı olayda, var olmayan bir karşı platformdan belge istenmesi çözüm üretmez. Buna karşılık adres bir hizmet sağlayıcıya aitse kuruluşun unvanı ve hesap sahibinin bilgileri transfer kaydıyla eşleştirilmelidir.

Veri uyuşmazlığı için düzeltme yolu kurulmalıdır

Seyahat kuralı kapsamında işlenen bilginin yanlış olması, transferin ekonomik sonucundan bağımsız bir veri sorunu yaratabilir. Kullanıcı; hangi kaydın, hangi nedenle yanlış olduğunu ve doğru bilginin hangi belgeye dayandığını belirterek düzeltme isteyebilir. Platformun ise teknik transfer kaydını değiştirmeden, kendi müşteri veya mesajlaşma katmanındaki hatayı ayırarak incelemesi gerekir.

Kimlik ve transfer verilerinin birlikte tutulması güvenlik riskini artırır. KVKK’nın veri güvenliğine ilişkin açıklamaları uyarınca hukuka aykırı erişimi önleyecek ve verilerin korunmasını sağlayacak tedbirler, seyahat kuralı verileri bakımından da önem taşır. Uyum amacıyla daha fazla veri toplanması, erişim yetkisinin belirsiz bırakılmasını veya kayıtların amaç dışı kullanılmasını haklı kılmaz.

Kimlik tespiti ve seyahat kuralı, transferin tarafları hakkında bilgi taşınmasına ve riskin izlenmesine yöneliktir. Belge talebi tek başına suç isnadı anlamına gelmez.

Kaynaklar ve hukuki dayanaklar
  1. MASAK Kripto Varlık Hizmet Sağlayıcılar Rehberi — 30.09.2025 güncellemesi — https://masak.hmb.gov.tr/duyuru/kripto-varlik-hizmet-saglayicilar-rehberi-guncellendi-ve-yayimlandi
  2. Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik — https://masak.hmb.gov.tr/suc-gelirlerinin-aklanmasinin-ve-terorun-finansmaninin-onlenmesine-dair-tedbirler-hakkinda-yonetmelik-3/
  3. KVKK 11.04.2023 tarihli ve 2023/570 sayılı karar özeti — https://www.kvkk.gov.tr/Icerik/7756/2023-570
  4. KVKK veri güvenliğine ilişkin yükümlülükler — https://www.kvkk.gov.tr/Icerik/2040/Veri-Guvenligine-Iliskin-Yukumlulukler

Kaynak adları ve bağlantıları yayın paketinden aynen aktarılmıştır.