UZAKTAN KİMLİK TESPİTİ YÖNTEMLERİNE VE ELEKTRONİK ORTAMDA SÖZLEŞME İLİŞKİSİNİN KURULMASINA YÖNELİK DÜZENLEMELER

ARACI KURUMLAR VE PORTFÖY YÖNETİM ŞİRKETLERİ TARAFINDAN KULLANILACAK UZAKTAN KİMLİK TESPİTİ YÖNTEMLERİNE VE ELEKTRONİK ORTAMDA SÖZLEŞME İLİŞKİSİNİN KURULMASINA YÖNELİK DÜZENLEME GETİRİLDİ.

Aracı Kurumlar ve Portföy Yönetim Şirketleri Tarafından Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Tebliğ (III-42.1) 8 Şubat 2022 tarihli 31744 sayılı Resmi Gazete’de yayımlanarak 08 Mart 2022 tarihinde yürürlüğe girecektir. Buna göre;

• Tebliğ’in amacı, aracı kurumlar ve portföy yönetim şirketleri tarafından yeni müşteri kabulünde kullanılabilecek uzaktan kimlik tespiti yöntemlerine ve mesafeli olsun olmasın bir bilişim veya elektronik haberleşme cihazı üzerinden yazılı şeklin yerine geçecek şekilde ya da mesafeli olarak sözleşme ilişkisinin kurulmasına yönelik usul ve esasları düzenlemektir.
• Uzaktan kimlik tespiti yöntemi, 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ile 6698 sayılı Kişisel Verilerin Korunması Kanunu ve bu Kanunlar ile ilgili mevzuatta yer alan yükümlülükler saklı kalmak kaydıyla uygulanacaktır.
• Uzaktan kimlik tespiti, Tebliğ’de belirtilen usul ve esaslar daahilinde personel ile kişinin; fiziksel olarak aynı ortamda bulunmasına gerek olmadan, çevrim içi olarak görüntülü görüşmesi ve birbiriyle iletişim kurması ile yapılacaktır.
• Uzaktan kimlik tespitinde uygulanacak yöntem, yüz yüze yapılan kimlik tespiti yöntemine benzer ve asgari seviyede risk ihtiva edecek şekilde tasarlanır.
• Kimlik tespiti sırasında kullanılacak belgelere, bu belgelerde var olan doğrulanabilir özelliklere ve doğrulamanın yapılması sırasında kullanılacak kriterlere ilişkin detaylı dokümanlar oluşturulacaktır.
• Uzaktan kimlik tespitinde kullanılacak görüntülü görüşme yönteminde olası teknolojik, operasyonel ve benzeri riskler dikkate alınarak yeterli seviyede güvenlik önlemleri alınacaktır.
• Uzaktan kimlik tespiti için kullanılacak süreçler ve sistemler yoluyla uzaktan kimlik tespiti işlemi, kritik işlem olarak değerlendirilir ve işlemin bilgi teknolojileri veya personel tarafından başlatılması, onaylanması ve tamamlanmasına imkaan vermeyecek şekilde tasarlanır ve işletilir. Sürecin kişi tarafından başlatılması, bilgi teknolojileri tarafından uygulanan kontroller ile devam ettirilmesi ve personel tarafından yapılacak onaylama ve ek kontroller ile tamamlanması sağlanır. Personel tarafından yapılan kontrollerde işlemin riskli bulunması halinde işlem ikinci bir personele onaya gönderilir veya sonlandırılacaktır.
• Aracı kurum ve portföy yönetim şirketi tarafından uzaktan kimlik tespiti sürecinin uygulanmasından önce, iş akış prosedürü oluşturulur ve prosedürde belirlenen sürecin etkinliği test edilerek sonuçları yazılı hale getirilir. Test sonuçlarının başarılı bulunmaması durumunda prosedürde gerekli güncellemeler yapılır ve sürecin etkinliği ve yeterliliğinden emin olunmadıkça süreç uygulanmayacaktır.
• Uzaktan kimlik tespiti prosedürü yılda en az iki defa gözden geçirilir. Güvenlik ihlallerinin tespit edilmesi veya gerçekleşmesi, ilgili mevzuatta değişiklik yapılması, aracı kurumun ve portföy yönetim şirketinin muhtemel dolandırıcılık veya sahtecilik teşkil edebilecek eylemlerden haberdar olması ve kullanılan uzaktan kimlik tespiti yöntemine ilişkin zayıflıkların ortaya çıkması gibi durumlarda teknolojik gelişmeler ve uygulamada kazanılan deneyimler dikkate alınarak sürecin ayrıca gözden geçirilmesi sağlanır ve gerekli güncellemeler yapılacaktır.
• Uzaktan kimlik tespitinin görüntülü görüşme aşaması bu konuda eğitim almış personel tarafından gerçekleştirilecektir.
• Personelin, kimlik tespitinde kullanılabilecek belgelerin özelliklerini ve bu belgeler için uygulanan geçerli doğrulama yöntemlerini öğrenmesi ve dolandırıcılık veya sahtecilik teşkil edebilecek eylemlere, Tebliğ’de ve ilgili diğer mevzuatta yer alan yükümlülüklere ilişkin bilgi sahibi olması sağlanacaktır.
• Personelin, uzaktan kimlik tespiti sürecine ilişkin yılda en az bir defa ve her bir güncelleme sonrasında kişisel verilerin korunması mevzuatı da daahil olmak üzere eğitim alması sağlanacaktır.
• Personelin, kişinin aracı kurum veya portföy yönetim şirketi müşterisi olma veya hizmet ve faaliyetlerinden yararlanma isteğini aracı kurumdan veya portföy yönetim şirketinden kendi iradesiyle talep ettiğine şüphe bırakmayacak şekilde karar verebilmesi konusunda eğitim alması sağlanacaktır.
• Uzaktan kimlik tespiti sürecinde personelin, yaşanabilecek güvenlik zafiyetlerinin ya da suistimallerin engellenmesine yönelik gerekli tedbirlerin alındığı, erişimi sınırlandırılmış ayrı alanlarda çalışması sağlanır.
• Kişiye güven açısından personelin aracı kurum veya portföy yönetim şirketi adına çalıştığını yansıtacak şekilde uygun bir ortam oluşturulması veya yöntemler kullanılması sağlanacaktır.
• Aracı kurum veya portföy yönetim şirketi tarafından engelli kişilere hizmet verebilmek amacıyla gerekli önlemler alınacaktır.
• Uzaktan kimlik tespiti sürecinde görüntülü görüşme başlamadan önce kişinin başvurusu uzaktan kimlik tespiti sürecinin işletildiği aracı kurum veya portföy yönetim şirketi uygulaması üzerinden elektronik ortamda doldurulan bir form ile alınır, alınan veriler kullanılarak kişi hakkında risk değerlendirmesi gerçekleştirilir. Alınan formda asgari olarak Mali Suçları Araştırma Kurulu Genel Tebliği (Sıra No: 19)’nde yer alan bilgilere yer verilir. Risk değerlendirmesi sonucunda gerekiyorsa görüntülü görüşme başlatılmadan süreç sonlandırılacaktır.
• Tebliğ kapsamında uygulanacak uzaktan kimlik tespiti sürecinde, kişinin uzaktan kimlik tespitinin yapılması amacıyla özel nitelikli kişisel verilerden sadece biyometrik verisi kullanılabilir ve kişinin buna dair açık rızası elektronik ortamda kayıt altına alınacaktır.
• Personele uzaktan kimlik tespiti işlemleri atanırken belirli bir kişinin belirli bir personele atanması gibi önceden tahmin edilebilir durumlardan kaynaklı suistimal olasılığını azaltmak için gerekli mekanizmalar tesis edilecektir.
• Kişi ile yapılan görüntülü görüşmede personelin soracağı asgari sorular belirlenir ve sorulan soruların sırası ve/veya türü değişkenlik arz edecektir.
• Uzaktan kimlik tespitinin görüntülü görüşme aşaması gerçek zamanlı ve kesintisiz şekilde yapılır. Personel ile kişi arasındaki görsel-işitsel iletişimin bütünlüğünün ve gizliliğinin yeterli seviyede olması sağlanır. Bu amaçla, yapılan görüntülü görüşme uçtan uca güvenli iletişim ile gerçekleştirilecektir.
• Gerçekleşen iletişimin görüntü ve ses kalitesinin, Tebliğ’de yer alan hükümler ve kontroller çerçevesinde şüpheye yer bırakmayacak ve kimlik tespitinde herhangi bir kısıtlamaya imkan vermeyecek şekilde tüm görüşme esnasında yeterli seviyede olması sağlanır. Görüntü kalitesinin, sunulan belgeyi beyaz ışık altında görsel olarak doğrulayabilmeye ve sunulan belgenin yıpranmamış ya da tahrif edilmemiş olduğunu kontrol edebilmeye yönelik güvenlik ögelerinin incelenmesine olanak tanıması gerekecektir.
• Uzaktan kimlik tespiti sürecinde kişiye yalnızca yapılan kimlik tespiti işlemi için geçerli, merkezi olarak üretilen SMS OTP iletilir. İletilen SMS OTP’nin kişi tarafından çevrim içi olarak uygulama ara yüzü üzerinden geri gönderilmesi sağlanır. Sistemde bu SMS OTP’nin başarılı şekilde onaylanması durumunda kişinin cep telefonu numarası doğrulanmış olur.
• Görüntülü görüşme ile uzaktan kimlik tespiti sürecinde beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip olan kimlik belgesi kullanılacaktır.
• Yakın alan iletişimi kullanılarak kimlik belgesinin yongası üzerinde yer alan kimlik bilgilerinin doğrulanması, kimlik belgesinden kişinin kimliğinin tespit edilmesi için gereken eşleşmenin sağlandığı anlamına gelir. Söz konusu doğrulama;

1. 1. Kullanılan kimlik belgesinin, belgeyi çıkaran yetkili makam tarafından verildiği ve belgenin temassız yongası üzerindeki bilgilerin değiştirilmediği,
   2. Kimlik belgesinin temassız yongası üzerindeki anahtarların kopyalanarak oluşturulmadığı

kontrol edilerek yapılacaktır.

• Yakın alan iletişimi kullanılarak yukarıda belirtilen doğrulamanın herhangi bir nedenle yapılamaması halinde görüntülü görüşme ile uzaktan kimlik tespiti sürecinde; beyaz ışık altında görsel olarak ayırt edilebilen güvenlik ögelerine, fotoğraf ve imzaya sahip olan kimlik belgesinin sahip olduğu görsel güvenlik unsurlarından seçilen en az dört adedinin şekil ve içerik bakımından doğrulanması sağlanır. Sadece görsel güvenlik unsurlarının doğrulanması suretiyle yapılan kimlik tespitinde ilave olarak kişi ile sürekli iş ilişkisi tesisi öncesinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluş üzerinden yapılması zorunlu olacaktır.
• Görsel güvenlik unsurlarının doğrulanması suretiyle yapılan kimlik tespiti esnasında kişinin, kimlik belgesini kameranın önünde yatay veya dikey olarak eğmesi ve personelin vereceği talimata göre ilave hareketler yapması sağlanır. Bu amaçla kişiden, kimlik belgesinin güvenlikle ilgili kısımlarından sistem tarafından değişken ve rastgele şekilde belirlenen kısımlarına parmağını koyması istenecektir.
• Personel, görüntülü görüşme sürecinde kişiyi ve kişi tarafından sunulan kimlik belgesinin ön ve arka yüzü ile birlikte belgenin üzerindeki bilgileri gösteren fotoğraflar ve/veya ekran görüntüleri oluşturulacaktır.
• Personel, kişinin hareketlerinden alınan, kesilen ve büyütülen tekil görselleri kullanarak, beyaz ışık altında görsel olarak ayırt edilebilen tüm güvenlik ögeleri ile birlikte kimlik belgesinin doğru açıyla tam olarak kapsandığından ve kimlik belgesinin üzerindeki kısımlar arasındaki geçiş noktalarında tahrifatı gösteren hiçbir yapaylık bulunmadığından emin olacaktır.
  1. Sunulan kimlik belgesinde bulunan veri ve bilgilerin geçerliliği ve gerçekliğine ilişkin doğrulama, görüntülü görüşme ile uzaktan kimlik tespiti sürecinin bir parçası olarak gerçekleştirilir. Bu kapsamda asgari olarak;

1. 1. Kimlik belgesinde bulunması gereken karakterlerin yazı tipi, düzeni, sayısı, büyüklüğü, aralığı ve tipografisi gibi belgeyi çıkaran yetkili makamca tanımlanan özelliklere sahip olduğu,
   2. Kimlik belgesinin zarar görmemiş, tahrif edilmemiş, değiştirilmemiş ve özellikle üzerine sonradan fotoğraf yapıştırılmamış olduğu,
   3. Kimlik belgesi geçerlilik süresinin söz konusu kimlik belgesinin sahip olduğu standartlara aykırı olmadığı,
   4. Kimlik belgesinin optik karakter okuma yöntemlerini kullanarak makine okuması için biçimlendirilmiş, zorunlu ve isteğe bağlı verileri kapsayan, kimlik belgesi üzerinde yer alan sabit boyutlu alanında (MRZ’sinde) yer alan bilgiler ile kimlik belgesine ait bilgilerin uyuştuğu,
   5. Kişiye ilişkin kimlik belgesinde yer alan bilgilerin aracı kurum veya portföy yönetim şirketi tarafından bilinen, Kimlik Paylaşımı Sisteminden alınan ve varsa kimlik tespiti yapmak amacıyla aracı kurumun veya portföy yönetim şirketinin erişimine açık olan diğer bilgiler ile eşleştiği,
   6. Kişiye görüntülü görüşme sırasında kimlik belgesinde yer alan seri numarası okutularak doğrulanacaktır.

• Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişinin canlılığını tespit edici yöntemler kullanılır. Aracı kurum veya portföy yönetim şirketi sahte yüz teknolojisine dair riskleri önlemeye yönelik ilave tedbirler alacaktır.
• Uzaktan kimlik tespiti sürecinde, kişinin yüzü ile kimlik belgesinden yakın alan iletişimi kullanılarak alınabilmesi halinde temassız yongadaki fotoğrafın, alınamaması halinde ise kimlik belgesi üzerinde yer alan fotoğrafın biyometrik karşılaştırması yapılacaktır.
• Personel, kişi ile kuracağı diyalog ve yapacağı gözlemler yardımıyla kimlik avı, sosyal mühendislik, başka bir tarafın zorlamasıyla baskı altında gerçekleşen hareketler ve benzeri dolandırıcılık yöntemlerini göz önüne alarak kullanılan kimlik belgesindeki fotoğrafın ve kişisel bilgilerin kişi ile uyuştuğundan ve kimlik belgesindeki bilgilerin, görüşme esnasında kişi tarafından sağlanan bilgilerin ve belirtilen niyetin inandırıcı ve yeterli olduğundan emin olacaktır.
• Uzaktan kimlik tespitinin görüntülü görüşme aşamasının sonunda kişiye, belirlenmiş olması halinde verilecek hizmet ve faaliyetlerin belirtilmesi ve kişiden aracı kurum veya portföy yönetim şirketi müşterisi olacağının kabulüne ilişkin sözlü onay alınması ile süreç tamamlanmış olacaktır.
• Zayıf ışık koşulları, düşük görüntü kalitesi ya da iletimi ve benzeri durumlar nedeniyle bu Tebliğde belirtildiği şekilde görsel doğrulama yapmanın ve/veya kişi ile sözlü iletişim kurmanın mümkün olmadığı hallerde uzaktan kimlik tespitinin görüntülü görüşme aşaması sonlandırılır. Süreçte herhangi başka bir tutarsızlık veya belirsizlik bulunması durumunda da görüntülü görüşme aşaması bu şekilde sonlandırılacaktır.
• Uzaktan kimlik tespitinin görüntülü görüşme aşamasında kişi tarafından sunulan belgelerin geçerliliği hususunda ya da dolandırıcılık veya sahtecilik teşebbüsünden şüphe edilmesi durumunda, uzaktan kimlik tespiti süreci sonlandırılacaktır.
• Uzaktan kimlik tespiti sürecinin tamamı, sürecin tüm adımlarını içerecek ve denetlenebilir olmasını sağlayacak şekilde kayıt altına alınır ve saklanır. Bilgi ve belge saklama gereklilikleri Belge Kayıt Tebliği’nde yer alan bilgi ve belge saklama ile ilgili hükümleri aynen saklı kalmak koşuluyla uygulanacaktır.
• Uzaktan kimlik tespiti için kullanılan çözümlerin kişiyi yanlış tespit riskini en aza indirecek şekilde kullanılmasını sağlamak aracı kurumun veya portföy yönetim şirketinin sorumluluğundadır. Sermaye Piyasası Kurulu tarafından yetkilendirilmiş aracı kurum veya portföy yönetim şirketi uzaktan kimlik tespiti ile kimlik tespiti yaptığı kişileri farklı bir risk profilinde izler. Bu kişilerce yapılan işlemin türüne ve tutarına bağlı olarak ilave güvenlik ve kontrol yöntemleri uygulanır. Kişilere ya da üçüncü bir tarafa yükümlülük doğuran işlemlerde itiraz halinde ispat yükümlülüğü aracı kurum veya portföy yönetim şirketindedir.
• Aracı kurumun veya portföy yönetim şirketinin Tebliğ’de yer alan hükümlere uyum durumu, şikaayetler ile sahtecilik veya dolandırıcılık teşkil edebilecek eylemlerin değerlendirilmesi neticesinde ve gerekli görülen diğer hallerde uzaktan kimlik tespiti kullanımını kısıtlamaya veya durdurmaya Sermaye Piyasası Kurulu yetkili olacaktır.
• Tebliğ’de yer alan şartlar daahilinde uzaktan veya yüz yüze kimlik tespitinin yapılmasını müteakiben, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak sözleşme ilişkisinin mesafeli olarak kurulabilmesi için, müşterinin sözleşmeyi kuran irade beyanının elektronik ortamda Belge Kayıt Tebliği’ne uygun olarak gerçekleştirilmiş bir kimlik doğrulama sonrasında alınması şarttır.
• Mesafeli olarak sözleşme kurulmasına ilişkin müşteri irade beyanının, Tebliğ’de yer alan şartlar dahilinde gerçekleştirilen uzaktan kimlik tespiti görüşmesi esnasında veya kimlik tespitini müteakip görüşme sonlandırılmadan önce alınması durumunda, kimlik doğrulamaya ilişkin Belge Kayıt Tebliği’nin gerekleri yerine getirilmiş sayılacaktır.
• Tebliğ’de yer alan usul ve esaslar dahilinde uzaktan kimlik tespitinin yapılmasını müteakiben mesafeli olsun olmasın, müşterilerce gerçekleştirilmek istenen işlemlere yönelik olarak bir bilişim veya haberleşme cihazı üzerinden yazılı şeklin yerine geçecek nitelikte bir sözleşme ilişkisi kurulmak istenmesi halinde;

1. 1. Söz konusu sözleşmenin bütün şartlarının, müşterinin okuyabileceği şekilde elektronik ortamda müşteriye iletilmesi,
   2. (a) bendine göre müşteriye iletilen sözleşme ve bu sözleşme ile birlikte müşterinin sözleşmeyi kuran irade beyanının, Belge Kayıt Tebliği’nde belirtilen müşteriye özgü şifreleme gizli anahtarı ile imzalanarak aracı kuruma veya portföy yönetim şirketine iletilmesi,
   3. (a) bendine göre iletilen sözleşmede müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise (b) bendine göre müşteri tarafından yalnızca o bilgilerin imzalanmasının sağlanması şarttır.

• Müşteriye sunulacak yatırım hizmet ve faaliyetlerine yönelik olarak aracı kurum ile müşteri arasındaki ilişkileri düzenleyen teminat, kefalet, temlik gibi sözleşmeler de dahil olmak üzere her türlü sözleşme, yukarıdaki şekilde kurulması halinde, yazılı şekilde kurulmuş sayılır. Bu durum, portföy yönetim şirketi ile müşteriler arasında imzalanan sözleşmeler bakımından da geçerli olacaktır.
• Sermaye Piyasası Kurulu, uzaktan kimlik tespiti sürecinin yürütülmesinde kullanılmak üzere oluşturulacak uygulamaların merkezi bir yapı üzerinden sağlanmasına yönelik usul ve esaslar belirlemeye yetkili olacaktır.