Yeni nesil bankacılık hizmet modeli olarak adlandırılan ve bankaların diğer sektörlere alt yapı sunmak suretiyle kapsayıcılığını arttırdığı servis modeli bankacılığı (“Banking as a Service-BaaS”) iş modeline ilişkin detaylar BDDK tarafından belirlendi.

Finansal kapsayıcılığı arttıran ve bankacılık hizmetlerine erişimi kolaylaştırmak için kaldıraç işlevi gören servis modeli bankacılığın ülkemizde mevzuat anlamında önünün açılması için Bankacılık Düzenleme ve Denetleme Kurumu (“BDDK”) tarafından hazırlanan “Dijital Bankaların Faaliyet Esasları ile Servis Modeli Bankacılığı Hakkında Yönetmelik” (“Yönetmelik”) 01.01.2022 tarihinde yürürlüğe girmek üzere yayımlandı.

Yönetmeliğe ilişkin önemli noktaları aşağıdaki gibi özetlemek mümkün.

Servis Modeli Bankacılığı Yönetmelikte Nasıl Tanımlanmaktadır?

Ödemeler sektöründeki açık bankacılık hizmetlerinden farklı olarak bankaların üçüncü partilerle API vb. yöntemler aracılığıyla sadece verilerini değil, hizmetlerini paylaştığı Servis Modeli Bankacılığı (BaaS) iş modeli için Yönetmelikte iş modelinin tarafları şu şekilde tanımlanmaktadır;

  • Servis bankası, “servis modeli bankacılığı hizmetlerini sunan banka”,
  • Arayüz sağlayıcı ise “Mobil uygulaması ya da internet tarayıcısı temelli arayüzü üzerinden, servis bankasının sunduğu bankacılık hizmetlerine bankanın açık bankacılık servisleri yoluyla ulaşarak, müşterilerinin bankacılık işlemlerini gerçekleştirmesine imkân sağlayan sermaye şirketi şeklinde kurulmuş işletmeler”

Bu kapsamda, servis bankalarının 5411 sayılı Bankacılık Kanunu’nda yer alan herhangi bir banka olabileceğini, arayüz sağlayıcıların ise mobil uygulaması ya da internet tarayıcısı temelli arayüzü üzerinden müşterilerine bankacılık işlemleri gerçekleştirmesine imkan sağlayabilen finansal teknoloji şirketleri ve diğer işletmeler olduğunu söyleyebiliriz. Belirtmek gerekir ki, bankaların arayüz sağlayıcısı olması Yönetmelik kapsamında özellikle yasaklanmıştır.

Bu tanımlardan yola çıkarak servis modeli bankacılığı ise “Arayüz sağlayıcıların sundukları arayüz yoluyla, müşterilerin servis bankalarının sistemleriyle doğrudan açık bankacılık servisleri aracılığıyla bağlantı kurarak servis bankası üzerinden bankacılık işlemlerini gerçekleştirebildikleri” bir bankacılık hizmet modeli olarak tanımlanmaktadır.

Arayüz Sağlayıcılar Bakımından Yerellik Şartı

Yönetmelikte servis bankalarının, yalnızca yurt içinde yerleşik arayüz sağlayıcıların servis modeli bankacılık hizmeti verebileceği düzenlenmektedir.

Bu düzenleme ile Türkiye’de faaliyet gösterse dahi Türkiye’de yerleşik olmayan arayüz sağlayıcıların servis modeli bankacılığından faydalanamayacağı, bu hizmetten yararlanmak isteyen şirketlerin her halükarda Türkiye’de yerleşik bir şirketlerinin olması gerektiği anlaşılmaktadır.

Müşteri Nezdinde Yanlış İzlenim Uyandıracak İfade Kullanım Yasağı

Yönetmelikte arayüz sağlayıcıların, gereken izinleri almaksızın ticaret unvanlarında, her türlü belge, ilân ve reklamlarında veya kamuoyuna yaptıkları açıklamalarda

  • banka ya da ödeme kuruluşu ve elektronik para kuruluşu gibi ödeme hizmeti sağlayıcısı adlarını ya da
  • banka veya banka dışındaki ödeme hizmeti sağlayıcısı gibi faaliyet gösterdikleri, banka gibi mevduat ve katılım fonu topladıkları ya da ödeme hizmeti sağlayıcısı gibi fon topladıkları

izlenimini uyandıracak söz ve deyimleri kullanamayacakları hüküm altına alınmıştır.

Servis Bankası, Arayüz Sağlayıcı ve Müşteri Arasındaki Sözleşmesel İlişkiler

BDDK, Yönetmelik ile birlikte servis bankası, arayüz sağlayıcı ve arayüz sağlayıcının bankacılık hizmetlerinden faydalanacak müşterisi arasındaki ilişkiye dair de bir takım düzenlemeler getirmektedir.

Bu bağlamda, arayüz sağlayıcının müşterisinin servis modeli bankacılığı hizmetlerden faydalanabilmesi için hem arayüz sağlayıcı, hem de servis bankası ile sözleşme imzalaması şartı getirilmektedir.

Bununla beraber, kredi tahsis kararı da dâhil olmak üzere, arayüz sağlayıcının arayüzü üzerinden servis modeli bankacılığı yoluyla, müşteriye bankacılık hizmetlerinin sunulup sunulmamasına servis bankasının karar vereceği ve müşteriye sunulacak bankacılık hizmetlerinin servis bankasının bilançosu üzerinden gerçekleştirileceği hüküm altına alınmıştır.

Arayüz Sağlayıcıların Arayüzünün Güvenlik Seviyesi

Yönetmelik, arayüz sağlayıcısının müşterisi ile banka arasında elektronik ortamda kurulacak olan sözleşmeler bakımından sürecin Bankalarca Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik Ortamda Sözleşme İlişkisinin Kurulmasına İlişkin Yönetmeliğe uygun şekilde, ve servis bankası tarafından yapılacak kimlik tespiti ile yürütülmesi yükümlülüğü getirilmektedir. Bu nedenle, arayüz sağlayıcıların mobil uygulaması ya da internet tarayıcısı temelli arayüzünün bankalarınki ile eş değer bir güvenlik seviyesine sahip olması gerektiğini söyleyebiliriz.

Bunun yanında, servis bankası ile müşteri arasındaki sözleşme ilişkisi kurulması sürecinin arayüz sağlayıcının arayüzü üzerinden başlatılıp yine bu hizmet kanalları üzerinden tamamlanması halinde, arayüz sağlayıcının söz konusu hizmet kanallarının Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmeliği’nde (“Bilgi Sistemleri Yönetmeliği”) yer verilen güvenlik kriterlerine uygun olması ve müşteriye sözleşme içeriği olarak hangi bilgiler gösterilmiş ise müşteri tarafından yalnızca o bilgilerin onaylanmasının sağlanması konusunda güvence sağlayacak nitelikte olması gerekmektedir. Bu yükümlülüğe uyum sorumluluğu ise servis bankasına verilmiştir.

Öte yandan, müşterinin servis bankasının sunduğu hizmetlere erişmede kullandığı arayüz sağlayıcının mobil uygulaması ya da internet tarayıcısı temelli arayüzünün, Bilgi Sistemleri Yönetmeliğinin kimlik doğrulama ve işlem güvenliği yükümlülüklerine uygun olmasını sağlamak konusunda arayüz sağlayıcı ve servis bankası müteselsilen sorumlu kılınmışlardır.

Arayüz Sağlayıcıların Destek Hizmetleri Yönetmeliğine Tabi Olması

Yönetmelik uyarınca arayüz sağlayıcılar, servis bankasından hizmet almasının yanında, servis bankası ile müşteri arasında sözleşme ilişkisinin kurulmasına aracılık etmesi veya bu sözleşme kapsamında sağlamakta olduğu arayüz üzerinden, müşteriye servis bankası tarafından bankacılık hizmetlerinin sunulmasına imkân sağlaması bakımından, Destek Hizmetleri Yönetmeliği kapsamında bir destek hizmeti kuruluşu olarak değerlendirilmiştir.

Bilindiği üzere Destek Hizmetleri Yönetmeliği uyarınca bankalar, “Mevduat veya katılım fonu kabulü ile mevduat veya katılım fonu kabulüne yönelik pazarlama” faaliyetlerini destek hizmeti kuruluşlarından sağlayamamaktadırlar. Yönetmelik, işin doğasını dikkate alarak, servis bankacılığı açısından bu konuya istisna getirmiştir. Bu doğrultuda, arayüz sağlayıcının, servis bankası adına mevduat ya da katılım fonu kabul etmemesi ve arayüz sağlayıcının ödeme hizmeti sağlayıcısı (yani ödeme kuruluşu veya elektronik para kuruluşu) olduğu durumlar hariç olmak üzere mevduat ya da katılım fonunun hiçbir suretle arayüz sağlayıcı üzerinden servis bankasına yatırılmaması kaydıyla arayüz sağlayıcıların sunduğu hizmetin pazarlama faaliyetlerine yönelik destek hizmeti yasağına tabi olmayacağını belirtmektedir.

Bununla beraber, servis bankasının, arayüz sağlayıcının hizmet kanalları aracılığıyla kredi kartı talebi toplamak suretiyle arayüz sağlayıcıdan destek hizmeti alması mümkün kılınmıştır.

Arayüz sağlayıcı olarak bir servis bankasına destek hizmeti verilebilmesi, BDDK’nın Teşkilat Yönetmeliğine göre BDDK’nın gözetim ve denetimine tabi kuruluşların bilgi sistemlerinin yerinde denetimi ile görevli hizmet birimi tarafından tekemmül ettirilecek şekilde, Kurulun iznine tabi kılınmıştır.

Arayüz Sağlayıcıların Kullandığı Sistemler ve Yedekleri

Yönetmelikte, arayüz sağlayıcının servis bankasına sunduğu destek hizmetlerine ilişkin faaliyetlerini yürütmede kullandığı sistemler ve bunların yedeklerin, birincil sistemler kapsamında olduğunu kabul edilmiştir.

Bu doğrultuda, servis bankasının bu kapsamda arayüz sağlayıcı ile yapacağı sır niteliğindeki bilgilere ilişkin paylaşımın Sır Niteliğindeki Bilgilerin Paylaşılması Hakkında Yönetmelikteki destek hizmetleri ile yapılan veri alışverişi istisnası kapsamına sokulmuştur.

Servis Bankası ile Arayüz Sağlayıcı Arasındaki Hizmet Sözleşmesinin Taşıması Gereken Asgari Unsurlar

Yönetmelikteki servis bankası ile arayüz geliştirici arasındaki hizmet sözleşmesinde yer alması gereken asgari hükümler tek tek belirlenmiştir. Bu hükümlerin servis bankacılığı modelinin nasıl yürütüleceğinin sınırlarını çizdiğini söylemek yanlış olmayacaktır.

Bu kapsamda, servis modeli bankacılığının yürütülmesi esnasında servis bankasının ve arayüz sağlayıcının uyması gereken kuralları aşağıdaki alt başlıklar altında toparlamak mümkündür. Bu kurallar özellikle pürüzsüz (frictionless) bir kullanıcı deneyimi (UX) açısından önem taşıdığı gibi, tüketici nezdindeki marka konumlandırması açısından da kritiktir.

  • Arayüz Sağlayıcının Banka Olmadığını Vurgulaması: Arayüz sağlayıcı ile müşteri arasında kurulacak sözleşmede arayüz sağlayıcının faaliyet izni almış bir banka ya da — gerekli faaliyet izinlerini almamış olduğu durumlarda- ödeme hizmeti sağlayıcısı olmadığının veya faaliyet iznine tabi diğer bir finansal kuruluş olmadığının açıkça vurgulanması gerekmektedir.
  • Hizmetlerin Servis Bankası Tarafından Verildiği Vurgusu: Arayüz sağlayıcı ile müşteri arasında kurulacak sözleşmede, bankacılık hizmetlerinin servis bankası tarafından sunulduğuna, servis bankası tarafından sunulan hizmetlerin neler olduğuna ve servis bankasının sorumluluklarına, servis bankası ile müşteri arasında geçerli olan sözleşme hükümlerine ve servis bankası hizmetlerinin diğer kullanım şartlarına ilişkin servis bankası internet sayfası adresine, müşterinin servis bankasına talep ve şikâyetlerini iletebilmesi için servis bankasınca sunulan müşteri hizmetlerinin internet sayfası adresi ile çağrı merkezi telefon numarasına açıkça yer verilmesi gerekmektedir.
  • Sözleşme Örneklerinin Arayüz Sağlayıcı Tarafından Sağlanması: Arayüz sağlayıcı ile müşteri arasındaki tip sözleşmenin bir örneği ile servis bankası ile müşteri arasında kurulan tip sözleşmenin bir örneğine, arayüz sağlayıcının internet sitesinin ana sayfasında görünecek şekilde yer verilmesi gerekmektedir.
  • Hizmet Alanın Servis Bankalarının Belirtilmesi: Arayüz sağlayıcının internet sitesinin ana sayfasında görünecek şekilde hizmet alınan servis bankasının/bankalarının logosu ve ismine yer verilmesi gerekmektedir.
  • Kart İhracı Durumundaki Marka Kullanımı: Servis bankasının arayüz sağlayıcı için kartlı ödeme aracı ihraç etmesi halinde, söz konusu ödeme aracının üzerinde banka adı ve logosunun görünür bir şekilde yer alması gerekmektedir.
  • Sır Niteliğindeki Verilere İlişkin İşleme Sınırı: Arayüz sağlayıcıya müşterinin talebi doğrultusunda aktarılan sır niteliğindeki verilerin hizmetlerin sunulması ve Yönetmelikte belirli sınırlar ile sınırlı olarak işlenmesi gerekmektedir. Bu doğrultuda, söz konusu verilerin arayüz sağlayıcı tarafından profilleme veya başkaca pazarlama veya CRM amaçları ile kullanılması kural olarak yasaktır.
  • Sır Niteliğindeki Verilerin Yurt İçinde Tutulması: Arayüz sağlayıcı ya da arayüz sağlayıcının hizmet aldığı tarafların servis modeli bankacılığın sunulması esnasında işlediği sır niteliğindeki verileri işlediği sistemleri ve veri yedeklerini yurt içinde bulundurması gerekmektedir.
  • Arayüz Sağlayıcının Bulut Bilişim Hizmeti Aldığı Durumlar: Sır niteliğindeki verilerin işlendiği sistem ve veri yedekleri kapsamında arayüz sağlayıcının bulut bilişim hizmeti alması halinde, söz konusu hizmetlerin ancak arayüz sağlayıcının kendisine tahsis edilmiş donanım ve yazılım kaynakları üzerinden özel bulut hizmet modeliyle ya da sadece BDDK’nın gözetim ve denetimine tabi kuruluşlara tahsis edilmiş donanım ve yazılım kaynaklarının fiziksel olarak paylaşıldığı ancak mantıksal olarak her kuruluşa özgü dedike kaynağın atandığı ve BDDK’nın izin verdiği topluluk bulutu hizmet modeliyle dış hizmet alınması gerekmektedir.
  • Servis Bankasının Arayüz Sağlayıcısı Nezdinde Denetim Yetkisi: Servis bankasının arayüz sağlayıcısı nezdindeki işlemlerin Bilgi Sistemleri Yönetmeliğinin kimlik doğrulama ve işlem güvenliği kriterlerine uygun olmasının sağlanması konusunda arayüz sağlayıcı nezdinde denetim yapabilmesine ve ilgili bilgi, belge ve kayıtları incelemesine imkân sağlanması gerekmektedir.
  • Servis Bankasının Arayüz Sağlayıcı ile Yaptığı Sözleşmeyi Feshetmesi: Servis Bankasının Arayüz sağlayıcının sır niteliğindeki verileri işlemede kullandığı bilgi sistemleri ile hizmet kanallarının Bilgi Sistemleri Yönetmeliği kapsamındaki yükümlülükleri sağlamadığının tespit edilmesi halinde ya da arayüz sağlayıcıya destek hizmeti kuruluşu olarak servis bankasına hizmet verebilmesine ilişkin BDDK’ca verilen iznin iptal edilmesi halinde, süresi sona ermeden servis bankası ile arayüz sağlayıcı arasındaki sözleşmenin servis bankasınca derhal feshedilebilmesine imkân sağlanması gerekmektedir.
  • Hizmetlerin Devredilememesi: Arayüz sağlayıcı tarafından, servis bankasına sağlanan hizmetler ile servis bankasından alınan hizmetlerin devredilememesi gerekmektedir.

Bankaların, Servis Modeli Bankacılığını Faaliyet Genişlemesine Tabi Olmadan Sunabilmesi

Yönetmelikte bankaların, mevcut faaliyet izinleri çerçevesinde verebilecekleri hizmetleri faaliyet genişlemesi talebinde bulunmadan servis modeli bankacılığı yoluyla arayüz sağlayıcılara sunabilecekleri düzenlenmektedir.

Bununla beraber, servis bankası, hizmet verdiği tüm arayüz geliştiricilerin sağlayıcıların listesi ve hangi bankacılık hizmetlerini kullandırdığını gösterecek şekilde, verdiği hizmetlerin kapsamı hakkında internet sitesi üzerinden bilgi vermekle ve arayüz geliştiriciler sağlayıcılar ile imzaladığı her hizmet sözleşmesinin ve arayüz sağlayıcıya vereceği hizmetlerin kapsamında değişiklik öngören her sözleşme değişikliğinin bir örneğini imza tarihini müteakip bir hafta içinde yazılı olarak BDDK’ya göndermekle yükümlüdür.

Bir Arayüz Sağlayıcısının Birden Fazla Servis Bankası ile Çalışması

Yönetmelik uyarınca bir arayüz sağlayıcısının birden fazla servis bankası ile çalışması mümkündür. Ancak bir arayüz sağlayıcının birden fazla servis bankası ile çalışabilmesi Kurulun iznine tabi kılınmıştır.

Bunun yanında, Kurul tarafından bu kapsamda verilecek iznin, arayüz sağlayıcıların 6493 sayılı Kanun kapsamında birer ödeme hizmeti olarak tanımlanan Hesap Bilgisi Sağlama ve Ödeme Emri Başlatma Hizmeti ile ilgili faaliyet izni alma yükümlülükleri de dâhil olmak üzere, ilgili diğer mevzuattan kaynaklanan yükümlülüklerini ortadan kaldırmayacağı hüküm altına alınmıştır.

Bu hükme rağmen, bir arayüz sağlayıcının tek bir servis bankasının sunacağı Hesap Bilgisi Sağlama ve Ödeme Emri Başlatma hizmetlerinden faydalanıp faydalanmayacağı kanımızca belirsizliğini korumaktadır.

Servis Bankasının ve Arayüz Sağlayıcının Müşteriden Alabileceği Ücretler ve Menfaatler

Servis bankasının ve arayüz sağlayıcısının müşteriden alabileceği ve elde edebileceği her türlü ücret, masraf, komisyon ve menfaatler hakkında, Tüketicinin Korunması Hakkında Kanun ile Bankacılık Kanunun “Faiz oranları ile diğer menfaatler” başlıklı 144 üncü maddesi ve ilgili alt düzenlemelerinde yer verilen hükümler saklı tutulmuştur.

Bununla birlikte, BDDK, arayüz sağlayıcının, geliştirmiş olduğu arayüz üzerinden müşterilerine ilave olarak servis bankasının bankacılık hizmetlerini de sunmasına imkân tanıması ve bu kapsamda varsa servis bankasına ödediği hizmet bedeli karşılığında, müşterilerinden talep edeceği her türlü ücret, masraf, komisyon ve menfaatlerin, bu hükümlerin dolanılması amacıyla kullanıldığını ya da arayüz sağlayıcı tarafından servis bankasına sunulan destek hizmetlerinin ilgili mevzuat hükümlerine uygun olmadığını tespit etmesi halinde arayüz sağlayıcıya vermiş olduğu izni iptal yetkisini kendisinde tutmuştur.

Genel Değerlendirme

Yönetmelik ile getirilen servis modeli bankacılığı sayesinde bankacılık sektörünün diğer sektörler ile olan geçişkenliğinin artacağını söylemek mümkündür.

Bu geçişkenlik sayesinde bankalar müşteri porfföyünü genişletebilecekken, arayüz sağlayıcı konumunda olabilecek e-ticaret, perakende, havacılık, telekom vb. internet üzerinden kullanıcılarına ulaşabilen sektörler de müşteri sadakatini arttırmak için müşteri deneyimini bozmadan banka kaslarıyla hareket etme şansına sahip olabileceklerdir.

Bu doğrultuda, bankacılık hizmetlerinin daha da özgürleşeceğini ve müşterilere dokunduğu noktaların daha da artacağını söyleyebiliriz.

Sorunuz olması halinde yasar@canpolatlegal.com ve gokhan.yuksel@canpolatlegal.com adresleri üzerinden bizlere ulaşabilirsiniz.

Yazarlar: Gökhan Yüksel, Yaşar K. Canpolat

KaynakMedium
Ferhat Verdi
Ferhat Verdi, 2022 itibarıyla FinTech İstanbul platformunun genel yayın yönetmeni. Almanya'da doğdu. İstanbul Üniversitesi Gazetecilik Bölümü mezunu. Çalışma hayatına Western Union iletişim departmanı ile başladı. NewTech, MacLine, iPad Mag gibi teknoloji dergilerinde ve ShiftDelete.Net'te yazı işleri müdürlüğü yaptı. Uzun yıllar Bankalararası Kart Merkezi'nin blogunu yönetti. Bir dönem İstanbul Büyükşehir Belediyesi'nde sorumlu genel yayın yönetmenliği görevini de üstlenen Verdi, IoT ve blockchain alanlarına özel ilgi duyuyor.