Dr. Soner Canko ve Av. Burcu Tümer eş yazarlığında hazırlanan ve Hukuk ve Bilişim Dergisi‘nde yayımlanan “Açık Bankacılık Uygulamaları; Dünyada ve Türkiye’de Mevzuat Gelişmeleri” başlıklı makaleyi FinTech İstanbul okurları ile paylaşıyoruz…

Giriş

Yıllar içinde değişen ve dönüşen küresel ihtiyaçlar, finansal yapıları da değişime zorlamıştır. Günümüzde tek bir kaynaktan beslenen sistemler yerini merkeziyetsiz sistemlere bırakmaktadır ve bu da sistemin içinde yer alan paydaşların aslında birbirinden faydalanarak daha güçlü bir yapı oluşturmasına olanak sağlamaktadır. Bahsettiğimiz fayda, aslında sistemin yapı taşını oluşturan “verilerin” yer değişiminden kaynaklanmaktadır. Bu sayede, sistem altyapısını oluşturan kurum ve kuruluşlar, aslında sistemden faydalanan son kullanıcılardan alınan izinler dahilinde son kullanıcıların finansal verilerine erişerek bu sayede yeni finansal ürün ve hizmetler geliştirmektedir. Açık bankacılık kavramı da bu mantıkla hareket etmektedir.

Açık bankacılık, kullanıcıların verdikleri izinler dahilinde üçüncü kişi hizmet sağlayıcıların söz konusu finansal verilere erişmesine ve işlem gerçekleştirmesine olanak sağlayan, üçüncü kişi hizmet sağlayıcılar tarafından yeni finansal ürün ve hizmetlerin ortaya konmasına vesile olan ve bu sayede kullanıcılara sunulan ürün ve hizmetlere şeffaflık getirerek finansal sektör oyuncuları arasında rekabeti teşvik eden bankacılık modeli olarak tanımlanabilir. Açık bankacılık işleyişi sayesinde kullanıcılara ait olan finansal veriler, ortak platformlar vasıtasıyla bireysel bankacılık işlemleri için kullanılabilir hale gelmektedir. İşleyiş, Uygulama Programlama Arayüzü (Application Programming Interface, “API”) vasıtasıyla yürütülmektedir.

Açık bankacılık sistem işleyişini daha iyi kavrayabilmek adına API nedir diye bakacak olursak, API, iki uygulamanın birbiriyle iletişim kurmasını sağlayan aracı bir yazılım olarak ifade edilebilir. Dolayısıyla, API vasıtasıyla finansal bir kuruluş tarafından geliştirilen bir uygulama kullanıcının vermiş olduğu izin ve yetkilendirmeyle sınırlı olacak şekilde kullanılabilmesine olanak sağlanmaktadır.

İlerleyen bölümlerde atıfta bulunacağımız OECD raporlarında yer alan çıkarımlara istinaden, açık bankacılık faaliyetlerinin öne çıkan faydalarının ve risklerinin aşağıda belirtilen kapsamda olduğunu belirtebiliriz. Genel itibariyle söz konusu raporlarda;

  • Açık bankacılıkta kullanıcıların veri paylaşımına ve verilerin yeniden kullanılmasına izin vermeleri dolayısıyla kullanıcıların dijital hizmetlerde etkin rol oynadığı, bu sayede sektör açısından inovasyonu teşvik ettiği ve yeni ürün ile hizmetlerin ortaya çıkmasına sebep olduğu,
  • Sistemin beslenmesi ve işleyişinin sağlanabilmesi için kullanıcıların veri paylaşımına izin vermeleri gerektiğinden, veri korunması açısından bazı tereddüt ve risklerin ortaya çıktığı, açık bankacılık mevzuat düzenlemeleriyle kişisel verilerin korunması mevzuatlarının örtüşmesi ve birbirini tamamlayıcı nitelikte olması gerektiği,
  • Açık bankacılık uygulamalarına ilişkin olarak ülke/bölge bazında farklı mevzuat yaklaşımları olduğundan, kimi ülkelerde mevzuat altyapısının daha net bir şekilde oluşturulduğu (İngiltere, Avrupa Birliği, İsrail gibi), kimi ülkelerde ise (Singapur, Arjantin gibi) gönüllü paylaşım esasına dayalı olarak ilerlendiği,
  • Açık bankacılığa ilişkin hedeflerin; i) finansal istikrar, ii) veri gizliliği ve tüketicinin korunması, iii) fayda ve rekabet prensiplerine dayanması gerektiği ve bu kapsamda uluslararası koordinasyonun sağlanarak çeşitli regülatörler arasında istikrarın önemsenmesi gerektiği

ifade edilmektedir.

Dünyada Açık Bankacılık Mevzuat Gelişmeleri

Açık bankacılık uygulamalarının önemini farkında olan bazı ülkeler, uygulama altyapısını mevzuatla desteklemek ve regüle etmek için bazı yasal çerçeveler ve teknik mekanizmalar oluşturmuşlardır.

İlk olarak, 2009 senesinde 2007/64 sayılı Avrupa Birliği Ödeme Hizmetleri Direktifi (“PSD1”) vasıtasıyla ödeme hizmet sağlayıcılara yönelik düzenlemeler yapılmış; Avrupa Birliği, İzlanda, Norveç ve Lihtenştayn’da uygulamaya konmuştur. Bu düzenlemenin ardından, PSD1’in kapsamını genişleten PSD2[1] 2016 yılında yürürlüğe girmiş ve bu sayede de açık bankacılık kapsamında ödeme başlatma hizmetleri ile hesap bilgisi hizmetleri mevzuata konu olmuştur. Yapılan düzenlemeyle üye devletlere 2018 yılına kadar uyum süreçlerinin tamamlanması zorunluluğu getirilerek söz konusu hizmetlere ilişkin olarak üye devletler tarafından PSD2’da tanımlanan şartlar dahilinde yetkili kuruluşlar tarafından yetkilendirme ve Avrupa Bankacılık Otoritesi (European Banking Auhority, “EBA”) nezdinde tescil edilmesi gerekliliği düzenlenmiştir. Bir diğer önemli konu ise, açık bankacılık kapsamında bankaların veri paylaşımının kendi inisiyatiflerinden çıkarılarak zorunlu hale getirilmiş olmasıdır. Bunun haricinde ise, belirtilen hizmetlere ilişkin veri koruması kapsamında alınması gereken aksiyonların yanı sıra sorumluluk sigortasına dair detaylı yükümlülüklere yer verilmiştir.

Diğer yandan, PSD1 ve PSD2 kapsamında bankaların söz konusu veriye ne şekilde erişeceğine dair detaylı düzenleme yer almadığından, İngiltere’de rekabet ve tüketicinin korunması konusunda faaliyet gösteren Rekabet ve Piyasa Otoritesi (Competition and Markets Authority, “CMA”) tarafından kullanılacak olan API standardizasyonu ortaya konmuş ve bu kapsamda Açık Bankacılık Uygulama Kuruluşu (Open Banking Implementation Entity “OBIE”) kurularak veri paylaşımı ve işlem güvenliğine yönelik pek çok çalışma gerçekleştirilmiştir. Hali hazırda İngiltere’de açık bankacılık Finansal Uygulama Otoritesi (Financial Conduct Authority, “FCA”) tarafından düzenlenmekte ve yalnızca FCS tarafından yetkilendirilen kuruluşlar kullanıcıları adına açık bankacılık API’lerinden faydalanarak işlem gerçekleştirilebilmektedir. Nitekim, Fransa, Almanya, Polonya gibi Avrupa Birliği üyesi olan bazı ülkeler de İngiltere’nin yaklaşımını benimseyerek API standardizasyonu konusunda kendi prensiplerini belirlemişlerdir.

Avrupa Birliği’nde ise PSD2’nin tamamlayıcı düzenlemesi olarak müşteri bilgilerinin doğrulanması ve veri güvenliğine ilişkin olarak teknik standartlar Düzenleyici Teknik Standartlar[2] (Regulatory Technical Standards, “RTS”) vasıtasıyla düzenlenmiş, Eylül 2019 itibariyle yürürlüğe girmiştir.

Singapur, Arjantin gibi ülkelerde açık bankacılık uygulamalarının gönüllü iş birliği prensibine dayandığı görülürken, İsrail’de 2021 senesinde çıkarılan ve kısmen Temmuz 2022 itibariyle yürürlüğe giren Finansal Bilgi Hizmeti Kanunu’nda açık bankacılıktan “açık finansa” geçişin sinyallerinin verildiği gözlemlenmektedir[3]. Nitekim, bu gelişmeye paralel olarak 27 Ocak 2023 tarihinde OECD tarafından “Açık Bankacılıktan Açık Finansa Geçiş” başlıklı rapor yayımlanmıştır. 2022 araştırma sonuçlarına dayanarak OECD tarafından hazırlanan raporda, veri paylaşım uygulamalarının açık bankacılıktan açık finansa doğru yön değiştirmekte olduğu, söz konusu dönüşümün ise veriye erişim ve veri kaynak paylaşımına ilişkin çerçeveyi genişleterek sigortacılık gibi farklı finansal faaliyetleri de kapsamına aldığı ifade edilmiştir. Bu kapsamda OECD üyesi olan ve olmayan ülkelerde hali hazırda kullanılmakta olan veri paylaşım çerçeveleri, veriye erişim ve paylaşım kriterleri, tüketiciyi koruyucu önlemler ile operasyonel ve teknik gereksinimlere ilişkin şartlar ve koşullar değerlendirilerek, mevcut uygulamalardan edinilen öğretilerin tüketicilere ve finansal piyasalara olan etkisine değinilmiştir.

OECD tarafından çıkarılan bir başka rapor ise, Şubat 2023 tarihinde yayımlanan Açık Bankacılıkta Veri Taşınabilirliği: Veri Mahremiyeti ve Dikkat Edilmesi Gereken Diğer Hususlar başlıklı rapordur. Rapor, Mart 2022 tarihinde İsrail ile ortaklaşa organize edilen çalışmalara istinaden oluşturulmuştur ve yukarıda bahsedilen Avrupa Birliği’nin mevzuat altyapılı yaklaşımını, Singapur’un Pazar ölçekli yaklaşımını, İngiltere’de düzenlenen prensip standartlarını, İsrail mevzuatını ele alarak, aynı zamanda veri paylaşımına ilişkin olarak kabul edilmesi gereken prensipleri ve kanun koyucular ile düzenleyici otoriteler arasında ulusal ve uluslararası düzeyde yürütülmesi gereken işbirliğinin önemi vurgulanmıştır.

Türkiye’de Açık Bankacılık Düzenlemeleri

Açık bankacılık uygulamaları, mevzuatımızda 2020 tarihi itibariyle detaylı olarak ele alınmaya başlanmış olsa da ilk olarak 2013 senesinde yürürlüğe giren 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun[4] (“6493 sayılı Kanun”) kapsamında PSD1’e paralel düzenlemeler gerçekleştirilerek elektronik para ve ödeme kuruluşları tanımlanmıştır.

2019-2023 yıllarına ilişkin hedeflerin belirlendiği 11. Kalkınma Planı kapsamında açık bankacılık hukuki altyapısının güçlendirilmesi amacıyla PSD2 ile mevzuat uyumunun sağlanacağı ifade edildikten sonra, Kasım 2019’da yayımlanarak 2020 tarihi itibariyle yürürlüğe giren 7192 sayılı Kanun ile 6493 sayılı Kanun’da değişiklik yapılmış, PSD2 düzenlemelerine paralel içerikli düzenlemeler getirilmiştir. Bu kapsamda; açık bankacılık ürünleri ödeme hizmeti olarak tanımlanmış, ödeme hizmet sağlayıcılar denetim yetkisi ise Türkiye Cumhuriyet Merkez Bankası’na (“TCMB”) verilmiştir.

15 Mart 2020 tarihli Resmi Gazete’de yayımlanarak aynı yıl yürürlüğe giren Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik vasıtasıyla ise mevzuatımızda ilk defa açık bankacılık tanımı yapılmıştır. Bu kapsamda, açık bankacılık servisleri; “Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak tanımlanmıştır. Aynı zamanda uzaktan kimlik tespiti yapılabilmesinin önünü de açmış olan bu düzenlemenin ardından, 1 Aralık 2021 tarihli Resmi Gazete’de Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik ve Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri ile Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin Tebliğ yayımlanmıştır. İlgili yönetmelik ve tebliğ kapsamında, ödeme kuruluşları ve elektronik para kuruluşlarının mevcut iş yapış ve bilgi sistemlerine ilişkin yenilikler getirilmiş, aynı zamanda da açık bankacılık ürünlerinden olan; i) hesap bilgisi sağlama hizmeti ve ii) ödeme emri başlatma hizmeti (iki hizmet birlikte “Ödeme Hizmetleri Veri Paylaşım Servisleri” ya da “ÖHVPS” olarak anılacaktır) sunan şirketlerin TCMB’den faaliyet izni alma zorunluluğu ve faaliyetleri süresince uyulması gereken kurallar düzenlenmiştir. Yayımı tarihinde bir senelik uyum süreci tanımlanmış olsa da en son Nisan ayında yayımlanan değişiklikle öncesinde 30 Nisan 2023 olarak belirlenmiş olan uyum tarihi 30 Haziran 2023 tarihine uzatılmıştır. Şubat 2022 tarihinde ise, TCMB tarafından ÖHVPS API İlke ve Kuralları yayımlanmıştır[5].

Ek olarak, 4 Eylül 2022 tarihli Resmi Gazete’de ilan edilen 6003 sayılı Cumhurbaşkanı Kararı ile Devletin Orta Vadeli Programı’nda ödemeler sahasında açık bankacılık ve kamu ödeme geçidi projelerinin 2023 yılında devreye alınmasının hedeflendiği ifade edilmiş, buna paralel olarak da TCMB tarafından 1 Aralık 2022 tarihinde yapılan basın duyurusu ile açık bankacılık hizmetlerinin kullanıma açıldığı, Bankalararası Kart Merkezi (“BKM”) tarafından geliştirilen ve taraflara standart açık bankacılık işlemleri sunulmasını sağlayan Açık Bankacılık Geçidi altyapısı üzerinden hizmet vermeye başladığını belirtmiştir[6].

Sonuç

Kullanıcıların finansal verilerinin kullanılması vasıtasıyla yeni ürün ve hizmetlerin ortaya çıkmasına sebep olan, aynı zamanda sektördeki banka ve kuruluşların inovasyonunu ve rekabetini teşvik eden açık bankacılık uygulamaları, yukarıda ifade edildiği üzere hem dünyada hem de ülkemizde mevzuata konu olmuştur. Ortaya çıkan veri güvenliği ve mahremiyeti gibi tereddütlerin giderilmesi konusunda çalışmalar yapılmış, eş zamanlı olarak da kullanılacak API standardizasyonuna yönelik adımlar atılmıştır. Finans sektörünün gelişimi adına önemli bir rol oynayan açık bankacılık uygulamalarının yerini açık finansa bırakacağı beklenirken, hali hazırda uygulanmakta olan ülkesel ve bölgesel mevzuatların birbirleriyle uyum içerisinde olması gerektiğinin de altının çizilmesi gerekmektedir. Bu kapsamda birbirini besleyen düzenlemelerin söz konusu olması, rekabeti destekleyerek finans sektörünün geleceğine de yön verecektir ve hem düzenleyici otoriteler, hem özel sektör, hem de kullanıcıların finansal araçları kullanım alışkanlıklarını belli bir düzene oturtarak merkeziyetsiz yapılar üzerine inşa edilecek olan Web 3 teknolojileri uygulamaları için küresel çapta bir bütünlük sağlanmasına, en azından tespit edilen sorunlar açısından farkındalık kazandırılmasına yardımcı olacaktır.

Derginin tamamını buraya tıklayarak okuyabilirsiniz.

Kaynakça

[1] Directive (EU) 2015/2366, Payment Service Directive 2

[2] https://www.eba.europa.eu/regulation-and-policy/payment-services-and-electronic-money/regulatory-technical-standards-on-strong-customer-authentication-and-secure-communication-under-psd2

[3] https://www.lexology.com/commentary/banking-financial-services/israel/yigal-arnon-co/new-israeli-legislation-implements-first-legislative-stage-of-open-banking-reform

[4] https://www.mevzuat.gov.tr/mevzuatmetin/1.5.6493.pdf

[5] https://www.tcmb.gov.tr/wps/wcm/connect/8f5e4483-89b0-4eec-acbf-97904cd73d14/ÖdemeEmriveHesapBilgiHizmetleriAPIStandartlarıv1.0.0-accepted.pdf?MOD=AJPERES&CACHEID=ROOTWORKSPACE-8f5e4483-89b0-4eec-acbf-97904cd73d14-nXUjQcG

[6] https://www.tcmb.gov.tr/wps/wcm/connect/a5c14a85-374f-4a60-96c6-ce9eedc1f10c/DUY2022-48.pdf?MOD=AJPERES&CACHEID=ROOTWORKSPACE-a5c14a85-374f-4a60-96c6-ce9eedc1f10c-ojcBZ.E

Yazarlar: Dr. Soner CankoAv. Burcu Tümer

KaynakHukuk ve Bilisim Dergisi