HomeAML, CFT, KYC Politikası

AML, CFT, KYC Politikası

AML, CFT, KYC Politikası

  1. AMAÇ

Token Teknoloji Anonim Şirketi (“Token”), faaliyetlerinin 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun ve 6415 sayılı Terörizmin Finansmanının Önlenmesi Hakkında Kanun ile yürürlükteki diğer mevzuat uyarınca ve FATF (The Financial Action Task Force) başta olmak üzere uluslararası otoritelerin kabul ettiği standartlar çerçevesinde yürütülmesi; müşterinin tanınması ve kimlik tespiti, suç gelirlerinin aklanmasının ve terörün finansmanının önlenmesine ilişkin yükümlülüklere uyumun sağlanması; müşterilerin, işlemlerin ve hizmetlerin risk temelli bir yaklaşımla değerlendirilerek uyum riskinin yönetiminde esas alınacak temel yöntemlerin, maruz kalınabilecek risklerin azaltılmasına yönelik stratejilerin, iç kontrol ve önlemlerin, işleyiş kurallarının ve sorumlulukların belirlenmesi, Token çalışanlarının ve müşterilerin bu çerçevede bilinçlendirilmesi ve bilgilendirilmesi amacıyla işbu Token Teknoloji Anonim Şirketi Suç Gelirlerinin Aklanmasının ve Terörizmin Finansmanının Önlenmesi (Anti-Money Laundering / Combating the Financing of Terrorism) ve Müşterini Tanı (Know-Your-Customer) Politikası (“Kurum Politikası”) hazırlanmıştır.

  1. UYGULAMA ALANI, YÜRÜRLÜK VE SORUMLULUK

Kurum Politikası, suç gelirlerinin aklanmasının ve terörizmin finansmanının önlenmesine ilişkin yükümlülüklere uyumun sağlanması amacıyla politika, prosedür, kılavuz ve kontrol kriterleri ile risk yönetimine ilişkin bütün kural, uygulama ve inisiyatiflerin temelini oluşturur.

Token, Kurum Politikası’nı hazırlarken işletme büyüklüğünü, iş hacmini ve gerçekleştirilen işlemlerin niteliğini de göz önünde bulundurmuş ve ulusal risk değerlendirmesi kapsamında belirlenen hususları da dikkate almıştır.

Kurum Politikası’nın bütününün, Token’in faaliyetlerinin kapsamı ve özelliklerine uygun bir biçimde, yeterli ve etkin bir şekilde yürütülmesinden nihai olarak CEO sorumludur. Kurum Politikası kapsamındaki risk odaklı yaklaşım doğrultusunda oluşturulan tedbirler ve uygulamalar asgari yılda bir gözden geçirilerek gerekli güncellemeler yapılır.

Kurum Politikası’nın icra edilmesini ve yürütülmesini koordine etmek ve Kanunlar ve Kanunlar’a dayanılarak yürürlüğe konulan mevzuatla getirilen yükümlülüklere uyumu sağlamak maksadıyla Token nezdinde Uyum Birimi oluşturulur ve söz konusu birimin yöneticisi olarak gerekli yetkiyle donatılmış Kanuni Temsilci atanır (Bkz: 6. Uyum Birimi Yapılanması, Görev ve Sorumlulukları).

  1. RİSK YÖNETİMİ

Token’in sunmuş olduğu hizmetlerden, suç gelirlerinin aklanması veya terörün finansmanı amacıyla yararlanılması, 5549 sayılı Kanun ve bağlı mevzuatı uyarınca yükümlülüklere tam uyum sağlanamaması veya gerek Token’in gerekse çalışanlarının maruz kalabileceği mali ya da itibari zarar ihtimali “risk” olarak tanımlanır.

Token belirtilen kapsamdaki risklerin yönetilebilmesi için; müşteri riski, işlem riski, hizmet riski ve ülke riskini esas alan risk tanımlama, derecelendirme, sınıflandırma ve değerlendirme yöntemlerini geliştirerek hizmetleri, işlemlere ve müşterilere risklerine göre puanlar atar, onları derecelendirir ve sınıflandırır.

Risk yönetimi kapsamında; maruz kalınabilecek risklerin azaltılması için gerekli tedbirler alınır ve bu kapsamda riskli müşteri, işlem ve hizmetlere uygulanacak ilave tedbirler belirlenir. Ayrıca riskli müşteri, işlem ve hizmetlerin izlenmesi ve kontrol edilmesi için gerekli kural setleri oluşturulur ve üst makamın onayı ile gerçekleştirilmesi ve gerektiğinde denetlenmesi için uygun işleyiş ve kontrol kuralları geliştirilir.

Risk tanımlama ve değerlendirme yöntemleri ile risk derecelendirmesi ve sınıflandırma yöntemlerinin, örnek olaylar ya da gerçekleşen işlemler üzerinden geriye dönük olarak tutarlılıkları ve etkinlikleri sorgulanır ve varılan sonuçlara ve gelişen koşullara göre anılan yöntemler yeniden değerlendirilir ve güncellenir. Söz konusu değerlendirme ve güncellemeler, asgari yılda bir kez olmak üzere ve ihtiyaç duyuldukça daha sık periyotlarla, risklilik dereceleri dikkat alınarak incelemeye tabi tutulan işlemlerin doğurduğu şüpheli durum yoğunluğu gözetilerek yapılır.

Risk izleme ve değerlendirme sonuçları yılda bir kez Token Yönetim Kurulu’na raporlanır.

3.1. Risk Sınıflandırması

Kurum Politikası kapsamındaki risk algısı, işletme büyüklüğü, iş hacmi ve gerçekleştirilen işlemlerin niteliği gözetilerek belirlenir ve risk odaklı yaklaşımı temel alan proaktif bir metodoloji ile güncellenir. Bu kapsamda risk algımızı oluşturan unsurlar; dört başlık altında toplanır:

  • Müşteri Riski
  • İşlem Riski
  • Hizmet Riski
  • Ülke Riski

‣ Müşteri Riski; müşterinin ya da müşteri adına veya hesabına hareket edenlerin, suç gelirlerinin aklanması veya terörün finansmanı amacıyla hareket etmesi sebebiyle Token’in suiistimal edilmesi riskini,

‣ İşlem Riski; işlemin sıklık, tutar ve gerçekleştirilme saiki gibi hususları göz önünde bulundurulduğunda suç gelirlerinin aklanması veya terörün finansmanı amacıyla suiistimale imkân vermesini,

‣ Hizmet Riski; kripto varlık transferi hizmeti, suçlarla bağlantılı işlemlerde daha yaygın olarak kullanıldığı bilinen kripto varlık türleri, gelişen teknolojiler kullanılarak sunulacak yeni ürünler ve promosyonlu kampanyalar kapsamında maruz kalınabilecek riski,

‣ Ülke Riski; Token’in, aklama ve terörün finansmanının önlenmesi konusunda yeterli düzenlemelere sahip olmayan, bu suçlarla mücadele konusunda yeterli düzeyde işbirliği yapmayan veya yetkili uluslararası kuruluşlarca riskli kabul edilen ülkelerden Bakanlık tarafından duyurulanların vatandaşları ile girecekleri iş ilişkileri ve işlemleri sebebiyle maruz kalabileceği riski ifade eder.

Token, kullanmakta olduğu risk sınıflandırma modelini düzenli aralıklarla gözden geçirir.

3.2. Risk Derecelendirmesi

Token tarafından yapılan risk değerlendirme çalışmaları neticesinde; müşteri, işlem, hizmetler ve ülke risk seviyelerine göre 3 başlık altında toplanır:

  • Düşük Riskli
  • Standart
  • Yüksek Riskli

Token kullanmakta olduğu risk derecelendirme modelini yılda bir kez gözden geçirir.

3.2.1. Risk derecelendirmeleri ve bunlara göre uygulanacak tedbirler

Token, müşterini tanı ve kimlik tespiti süreçleri sırasında müşteriden temin edilen yaş ve uyruk bilgilerini, müşterilerin gerçekleştirdiği işlemlerin niteliğini ve niceliğini, yararlandığı hizmetleri ve işlem gerçekleştirilen ülkeleri esas alarak müşterileri risk derecelendirmesine tabi tutar. Müşteri, işlem, hizmetler ve ülke risk seviyelerine göre kural setleri halinde risk faktörleri belirlenir. Risk faktörleri belirlenirken yaş, uyruk ve üyelik seviyesinin yanı sıra Türk Lirası ve kripto varlık işlemlerinin hacmi, zamanlaması ve sıklığını göz önüne alır. Her bir müşteriye her bir risk faktörü için risk puanı atanır. Bir müşteriye her bir risk faktörü için ayrı ayrı atanan puanlar toplanarak ulaşılan toplam sayısal değer “Müşteri Risk Derecesi” olarak tanımlanır. Bu şekilde müşteriler (i) Yüksek Riskli, (ii) Standart Riskli ve (iii) Düşük Riskli olmak üzere üç kategoriye ayrılır.

Risk seviyelerine ilaveten, Token’in risk temelli yaklaşımı sonucunda kripto varlık çekme-yatırma ile Türk Lirası çekme-yatırma işlemleri ayrıştırılarak müşterilerin günlük ve aylık işlem hacimlerine göre üyelik seviyeleri belirlenmiştir. İleri seviye üyelik başvurusuna esas kimlik belgeleri, gerçekliklerinin saptanması amacıyla değerlendirmeye de tabi tutulur. Yüksek ülke riski yaratan müşterilerin ileri seviye üyelikleri onaylanmaz.

3.2.1.1. Yüksek riskli gruplara uygulanacak tedbirler

Token; müşteri risk sınıflandırması kriterlerine göre yapılan risk profili değerlendirmeleri neticesinde yüksek riskli olarak belirlenen müşterilere ilave tedbir ve kontroller uygular. Bu kapsamda, belirli limitlerin üzerindeki işlemler bakımından ilgili işlem gerçekleştirilmeden önce Kanuni Temsilci’den onay alınması da gerekmektedir. Müşteri, risklilik derecesi arttıkça müşterinin tanınması ve kimlik tespiti açısından daha sıkı tedbirlere tabi tutulur, işlemleri daha derinlemesine incelenir. Bu kapsamda; yüksek riskli müşterilere risk oranlarıyla tutarlı olacak şekilde aşağıdaki ilave tedbirler uygulanır.

  • Müşteri hakkında ilave bilgi edinilmesi
  • İş ilişkisinin mahiyeti hakkında ilave bilgi edinilmesi
  • Müşterinin kimlik bilgilerinin, belgelerin ve ilgili kayıtların yılda bir güncellenmesi
  • Mevcut iş ilişkisinin sürdürülmesinin Kanuni Temsilci’nin onayına bağlanması
  • Uygulanan kontrollerin sayı ve sıklığının artırılması ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisinin sıkı gözetim altında tutulması
  • Sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasının zorunlu tutulması

3.2.1.2. Düşük riskli gruplara uygulanacak tedbirler

Token; müşteri risk sınıflandırması kriterlerine göre yapılan risk profili değerlendirmeleri neticesinde düşük riskli olarak belirlenen müşterilerin kimlik tespit ve teyidinde mevzuatta öngörülen basitleştirilmiş tedbirleri uygular ve kimlik bilgilerine, belgelere ve ilgili kayıtlara ilişkin güncellemeleri üç yılda bir gerçekleştirir.

3.2.1.3. Standart riskli gruplara uygulanacak tedbirler

Yapılan risk yönetim ve değerlendirme çalışmaları neticesinde yüksek veya düşük riskli grup kapsamına değerlendirilmeyen ve standart riskli olarak kabul edilen müşterilere mevzuatta belirtilen basitleştirilmiş tedbirleri uygulanır ve kimlik bilgilerine, belgelere ve ilgili kayıtlara ilişkin güncellemeleri iki yılda bir gerçekleştirir.

3.3. Müşteri Kabulü Kapsamında Risk Yönetimi

Token, temel bir ilke olarak, müşterinin tanınması aşamalarından geçmemiş kişilere hizmet sunmamaktadır.

Müşteri kabulünde uygulanacak tedbirlerin yanı sıra, risk odaklı yaklaşım çerçevesinde Token’in müşteri olarak kabul etmeyeceği kişiler de bu Politika ile belirlenir (Bkz: 3.3.1. Sürekli iş (hizmet) ilişkisi kurulmayacak müşteriler, işlemin reddi ve iş ilişkisinin sona erdirilmesi). Token, müşteri olarak kabul edeceği kişileri, aklama ve terörün finansmanı riskleri bakımından değerlendirmeye tabi tutar. Bu değerlendirmeler sonucunda, daha yüksek risk seviyesinde olduğu belirlenen müşteriler için müşteri kabulü ile işlemlerin izlenmesine ilişkin süreçlerde sıkılaştırılmış tedbirler uygulanır.

3.3.1. Sürekli iş (hizmet) ilişkisi kurulmayacak müşteriler, işlemin reddi ve iş ilişkisinin sona erdirilmesi

Token, yasal düzenlemeler uyarınca sunulması gereken bilgi ve belgeleri sunmayı reddeden kişilere hesap açılışı yapmamaktadır. Öte yandan Token’in süreçleri uyarınca alınması gereken bilgi ve belgelerin sunulmasından kaçınılması da hesap açma veya mevcut müşteriler için işlem yapma taleplerinin reddi konusunda makul bir gerekçe oluşturmaktadır.

Müşterilerin yasal düzenlemeler uyarınca ibraz etmeleri gereken bilgi ve belgeleri vermekten kaçınmaları, müşteriye hesap açılması talebinin reddedilmesi konusunda makul ve yeterli bir gerekçe oluşturur. Token ayrıca mevcut yasal düzenlemeler uyarınca iş ilişkisinin veya gerçekleştirilmek istenen işlemin amacı konusunda yeterli bilgi edinemediği ve müşterinin bu yöndeki bilgi taleplerini karşılamaktan kaçınması durumda da talep edilen işlemi yerine getirmez.

Token Kanuni Temsilcisi, suç gelirlerinin aklanması ve terörün finansmanına ilişkin riskler dolayısıyla gerek gördüğünde kendi yetkisinde olmak üzere açık bir hesabın kapatılmasını veya yeni hesap açma talebinin reddedilmesini talep edebilir.

3.3.2. Müşterinin tanınması kapsamında risk yönetimi

Kurum Politikası kapsamında müşterini tanı süreçleri oluşturulurken hem ulusal mevzuat hem de uluslararası mevzuattaki esaslar dikkate alınır. Ulusal ve uluslararası mevzuattaki bu normlar temel olarak müşterinin tanınması sürecinde risk odaklı bir yaklaşımın esas alınmasını belirtir. Ulusal mevzuatta, müşterinin tanınmasına ilişkin temel düzenleme olarak 5549 sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’da yer alan yasal yükümlülükler ve Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine Dair Tedbirler Hakkında Yönetmelik ve ilgili tebliğler dikkate alınır. Uluslararası düzenlemeler kapsamında ise esas olarak FATF Tavsiyeleri’nin 10. önerisinde yer alan “Customer Due Diligence”, uluslararası platformda müşterini tanı süreçlerinde izlenecek yöntemleri içerir.

Müşterinin tanınması ilkesi, aklama riskini azaltmakta ve kontrol etmekte, ayrıca yasadışı faaliyetlerle bağlantılı işlemlerin tespit edilmesini kolaylaştırmaktadır. Müşterinin tanınmasında amaç, müşterinin işlemlerinde ve bilgilerinde açıklığın sağlanması, karşılıklı güven unsuruna dayalı bir ilişki kurulması ve sürdürülmesidir.

Token, müşterinin tanınması sürecini risk tabanlı bir yaklaşımla ele alır. Token tarafından belirlenen risk modeli, müşteri işlemlerinin izlenmesi ve kontrolünde de kullanılır. Müşterinin tanınması süreci kapsamında, Token nezdinde hesap açılacak müşterilerden, müşterinin tanınmasına yönelik bilgiler temin edilir.

  1. MÜŞTERİNİN TANINMASI

Müşterinin tanınmasına yönelik işlemlerin doğru ve eksiksiz olarak yerine getirilmesi müşterinin, Token’in müşteri kabul politikası çerçevesinde doğru olarak değerlendirilebilmesi bakımından büyük önem taşımaktadır.

Token, yürürlükteki mevzuat çerçevesinde müşteriyi tanımaya yönelik olarak aşağıdaki önlemlere başvurur.

  • Müşterinin kimliğinin tespiti ve teyidi
  • Müşteri ile sürekli iş ilişkisi tesis edilmesi aşamasında risklilik derecelerinin tespiti
  • Gerekli görüldüğünde müşterinin yapmak istediği işlemin amacı ve niteliği hakkında tatmin edici bilgi edinme
  • Özellikle dikkat edilmesi gereken yüksek riskli müşterileri ve işlemleri izleme

4.1. Kimlik Tespiti

Kimlik tespiti, müşterinin tanınması sürecinin en önemli adımıdır. Token, MASAK tarafından belirlenmiş mevzuat çerçevesinde, kimlik tespitini gerektiren işlemlerde, müşterilerin kimlik tespitini yapar ve kimlik tespiti kapsamındaki bilgileri teyit eder. Token, müşteri kimlik bilgilerini teyit edildiğine ilişkin log kayıtlarını, kayıt tarihinden itibaren en az sekiz (8) yıl süre ile şirket veri tabanında muhafaza eder (Bkz: 8. Muhafaza ve İbraz & Bilgi ve Belge Verme Yükümlülükleri). Yasal düzenlemeler uyarınca kimlik tespitine ilişkin yükümlülükler yerine getirilmeden müşteri ilişkisi kurulamaz. Müşteri kimliğinin tespiti, müşteri ile Token arasında sürekli iş ilişkisi kurulmadan ya da müşteri herhangi bir işlem gerçekleştirmeden önce tamamlanır. Bilgi ve belgelerin gerçek ve eksiksiz olmasına özen gösterilmesi akabinde başkası adına/hesabına hareket edilip edilmediğinin tespitine yönelik gerekli tedbirlerin alınması sağlanır. Müşterinin, aklama ve terörün finansmanı ile mücadele ve vergi düzenlemeleri de dâhil olmak üzere Token’in tabi olduğu yasal düzenlemeler uyarınca alması gereken bilgi, belge ve beyanları vermekten kaçınması durumunda müşteri ile iş ilişkisine girilmez.

Token, yenilikçi teknolojik araçların kullanıldığı hizmetlerinden yararlanan kişiler için uygun ve yeterli bir kimlik tespitinin yapılabilmesi amacıyla gereken tedbirleri alır.

Müşteri kimlik tespiti ve teyidi prosedürleri aşağıdaki hallerde ve tüm müşteriler için yılda bir kez işletilerek müşterilere ait bilgi, belge ve kayıtların kontrolü, tamamlanması ve güncellenmesi sağlanır.

  • Sürekli iş ilişkisi kurmadan (Müşterinin kabulü) önce parasal tutardan bağımsız olarak
  • İşlem tutarı ya da birbiriyle bağlantılı birden fazla işlemin toplam tutarı 85.000 TL veya üzerinde olduğunda,
  • Yürürlükteki mevzuat çerçevesinde şüpheli işlem bildirimini gerektiren durumlarda parasal tutardan bağımsız olarak
  • Önceden edinilmiş kimlik bilgilerinin doğruluğu ve yeterliliği konusunda şüphe olduğu takdirde parasal tutardan bağımsız olarak

Platform üzerinde işlem talep eden müşteri söz konusu işlemi üçüncü bir kişinin yararına gerçekleştiremez. Müşterinin kendi adına/hesabına hareket ettiğini beyan ettiği; ancak üçüncü bir kişinin yararına hareket ettiğinden şüphelenilen hallerde, Token gerçek yararlanıcının kimliğini belirlemek için bütün önlemleri alır. Üçüncü bir kişi adına veya hesabına hareket edeceği tespit edilen kişilere hesap açılmaz. Daha önceden açılmış bir hesabın sahibi adına/hesabına hareket edildiği kanaatine varılır veya tespit edilirse ilgili hesap öncelikle tedbir amaçlı dondurulur (işlemler bloke edilir) ve nihayetinde müşteri adına/hesabına hareket edenlerin kimliklerinin tespit ve teyit edilemediği durumlarda gerekli incelemeler yapıldıktan sonra ilgili hesap kapatılır. Hesabın mevzubahis sebeple kapatılması veya dondurulması durumlarında, konu şüpheli işlem bildirim yükümlülüğü açısından da değerlendirilir. Kullanıcı, kullanıcı hesabı oluştururken yalnızca kendi adına ve hesabına hareket etmek üzere kendi kimlik ve iletişim bilgilerini beyan etmekle yükümlüdür, bir başkasına ait kimlik ve iletişim bilgilerini beyan ederek veya müşterek kullanım maksadıyla hesap oluşturamaz. Aksi halde, müşteri Token’in hesabını tek taraflı bir kararla kapatarak kendisiyle olan sürekli iş ilişkisini sonlandırabileceğini kabul ve beyan eder.

Yukarıda belirtilen durumlar dışında müşterinin açıkça bir başkası hesabına hareket etmek istediğini yazılı olarak beyan ve talep etmesi durumunda;

  • Müşteri konumunda bulunan başkası hesabına hareket eden kişi olduğu için, anılan kişinin kimlik tespiti 5 No.lu MASAK Genel Tebliğinin 2.2.10. maddesine göre yapılması,
  • Başkası hesabına hareket eden kişinin yetki durumu noter onaylı vekâletname üzerinden teyit edilmesi
  • Hesabına hareket edilen kişi müşteri konumunda bulunmadığı için, anılan şahsın kimlik tespiti Tedbirler Yönetmeliğinin 6. maddesine göre yapılması

gerekmekteyse de, yukarıda belirtilen temel yasal dayanaklar ve gerekçeler dikkate alınarak, işlem yapılmadan önce müşteriler ve müşterilerin nam ve hesabına hareket edenlerin kimliklerinin tespit ve kimlik tespitine esas olan bilgi ve belgelerin doğruluğunun teyit edilmesinde yaşanabilecek zorluklar dikkate alınarak ilgili hesaplar kapatılarak müşterilerle olan sürekli iş ilişkisi sonlandırılır.

4.2. Basitleştirilmiş Tedbirler

Yapılan işlemin türü, mahiyeti ve müşterinin risk profiline göre aklama ve terörün finansmanı riskinin düşük olarak değerlendirilebileceği durumlarda, müşterini tanı süreci ilkesiyle ilgili uyulması gereken prensiplerin basitleştirilerek yani düzenlemelerin öngördüğü standart tedbirlerin tamamının uygulanmasına gerek duymaksızın ya da belirlenen yöntemlerin daha kolay bir şekilde uygulanmasına imkân veren yöntemleri ifade eder.

Bu kapsamda basitleştirilmiş tedbirler; kimlik tespit usulleri, başkası hesabına hareket edenlere kimlik tespiti, gerçek faydalanıcının tanınması, müşterinin durumunun ve işlemlerin izlenmesi maddeleri ile sınırlandırılmıştır. Bahse konu yükümlülüklerde; müşteriden alınacak bilgileri, kamuya açık kaynaklardan, müşterinin daha önce iş ilişkisine girdiği üçüncü kişilerden ve diğer kaynaklardan faydalanarak almasına ve elde ettikleri bilgileri yazılı olarak veya elektronik ortamda kaydetmesine imkân sağlanmaktadır.

Basitleştirilmiş tedbir uygulanabilecek her durum için; aklama veya terörün finansmanı bakımından kötüye kullanımın söz konusu olup olmayacağını ve dolayısıyla aklama ve terörün finansmanı riskini her bir işlem bakımından ayrı ayrı değerlendirilmesi gerekmektedir. Bu kapsamda riskli olarak değerlendirilen işlemlerde basitleştirilmiş tedbir uygulanamaz.

Aklama veya terörün finansmanı şüphesinin söz konusu olduğu durumlarda, basitleştirilmiş tedbir uygulanmaz ve konu şüpheli işlem bildirimi olarak MASAK Başkanlığı’na bildirilir.

Basitleştirilmiş tedbirlerin Token için uygulanabileceği durum aşağıda açıklanmıştır.

4.2.1. Münhasıran elektronik ortamda gerçekleştirilen işlemler

  • Türkiye’de mukim bankayla, sunulan mal veya hizmete ilişkin tahsilat ve ödeme işlemlerinin elektronik ortam üzerinden gerçekleştirileceğine dair sözleşme yapılmış olması,
  • Müşterinin elektronik ortamda alınan üyelik başvurusunda, kimliğe ilişkin bilgilerin İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanı kullanılarak sorgulanması yoluyla teyit edilmesi,
  • Tüm tahsilat ve ödemelerin, kimlik bilgileri teyit edilerek üyeliği kabul edilmiş kişinin kimlik bilgileri ile uyumlu bir banka hesabı veya kredi kartı hesabı vasıtasıyla yapılması

koşuluyla, müşterinin kimlik bilgilerinin Tedbirler Yönetmeliğinin “Gerçek kişilerde kimlik tespiti” başlıklı 6. maddesindeki usul çerçevesinde teyidi ile imza örneği alınması zorunlu değildir.

Token’in müşterileri, şirketin sunduğu hizmetlerden ancak www.Token.com adresinden ve/veya Token mobil uygulamaları üzerinden erişilen platforma üye olarak yararlanabilirler ve Token ticari faaliyetlerinin tamamını müşteri ile yüz yüze gelmeksizin münhasıran elektronik ortamda gerçekleştirir. Kimlik bilgileri teyit edilerek müşteri olarak kabul edilmiş kişiler, Token nezdindeki hesaplarına/hesaplarından tüm TL yatırma ve çekme işlemlerini yalnızca kimlik bilgileri ile uyumlu bir banka hesabı vasıtasıyla yapabilirler. Bu doğrultuda Token, MASAK mevzuatında izin verildiği usuller çerçevesinde, kimlik tespiti ve müşteri işlemlerinin izlenmesine yönelik olarak basitleştirilmiş tedbirleri uygulayabilir.

Müşteriden sürekli iş ilişkisi kurulmadan önce elektronik ortamda alınan üyelik başvurusunda kimlik bilgileri temin edilir. Genel uygulamada yer almamakla birlikte, müşteri ve işlem özelinde risk ve şüphe doğduğunda müşteri adresinde ziyaret edilerek yüz yüze doğrulama cihetine de gidilebilir. Token gerek duyulması durumunda söz konusu bilgileri müşteriyi adresinde ziyaret ederek yüz-yüze doğrulama yapmak suretiyle de elde edilebilir. Bu bilgiler gerektiğinde ve mümkün olması durumunda belgelerle veya bağımsız kaynaklarla teyit edilir.

Token’in, sürekli iş ilişkisi tesis ettiği gerçek kişi müşterilerinin kimlik tespit ve teyidinde esas aldığı Basitleştirilmiş Tedbirler, ticaret siciline kayıtlı tüzel kişi müşteriler için geçerli değildir. Ticaret siciline kayıtlı tüzel kişiler ile sürekli iş ilişkisi tesisi öncesinde kimlik tespiti ve müşterinin tanınması süreci; gerekli bilgilerin ve belgelerin alınması, belgelerin incelenmesi ve gerekli araştırmaların yapılması ve nihayetinde bilgilerin teyit edilmesi yoluyla yürütülür ve tamamlanır.

Ticaret siciline kayıtlı tüzel kişilerin sürekli iş ilişkisi kapsamında gerçekleştireceği işlemlerde;

  • Tüzel kişinin,
  • Gerçek faydalanıcının,
  • Tüzel kişiyi temsile yetkili kişinin ve
  • (Varsa) Tüzel kişiyi temsile yetkili kişinin yetkilendirdiği kişinin

kimlik tespit ve teyitleri yapılır.

Ticaret siciline kayıtlı tüzel kişilerin Token ile olan iş ilişkisinin amacını ve mahiyetini anlamak maksadıyla tüzel kişiyi temsile yetkili gerçek kişilere sorular yöneltilir ve kullanıcı sözleşmesi yazılı biçimde düzenlenir.

4.3. İleri ve Platinum Seviye Üyelikler

İleri seviye üyelik için aşağıdaki belgeler alınır, incelenir ve onaya tabi tutulur; ayrıca kodmatik uygulaması ile doğrulama gerçekleştirilir.

  • T.C. kimlik kartı, sürücü belgesi veya pasaport fotoğrafı (ön ve arka yüz)
  • Yüklenen kimlik belgesinin fotoğraflı yüzüyle beraber, üzerinde “Token” ve günün tarihi yazılı bir kağıdın yer aldığı fotoğraf

Platinum Seviye Üyelik başvurusunda talepte bulunan müşteriden talep edilen ilave bilgiler değerlendirilerek ilgililere üyelik tahsis edilir.

4.4. Kimlik Bilgilerinin Teyidi

Yeni ve mevcut tüm müşterilerin kimlikleri tespit edildikten sonra mevzuatta öngörüldüğü şekilde makul düzeye kadar doğrulanır.

Müşterinin elektronik ortamda alınan üyelik başvurusunda; (i) adı, soyadı, (ii) doğum tarihi (iii) kimlik numarası ve (iv) uyruğu İçişleri Bakanlığı Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü veri tabanı kullanılarak sorgulama yoluyla teyit edilir. Ancak bu kontrolden sonra gerçek kişiler ile sürekli iş ilişkisi tesisine otomatik olarak onay verilir.

4.5. Sıkılaştırılmış Tedbirler

Sıkılaştırılmış Tedbirler deyimi ile müşterinin tanınmasına ilişkin süreçlerde, kimlik tespit ve teyidine dayalı standart tedbirlere ilave olarak alınması öngörülen tedbirler ve bunların hangi durumlarda ortaya çıkacağı ulusal mevzuatımızda ve FATF’in ilgili tavsiye kararında belirlenmiştir. Token bu standartları esas alarak oluşturduğu risk değerleme ve derecelendirme yaklaşımlarıyla bu kapsamdaki tedbir yöntemlerini tespit etmiştir. Sıkılaştırılmış tedbirlerin uygulanmasının dayandırıldığı temel prensipler aşağıda belirtilmiştir.

  • Müşteri hakkında ilave bilgi edinilmesi
  • İş ilişkisinin mahiyeti hakkında ilave bilgi edinilmesi
  • Mevcut iş ilişkisinin sürdürülmesinin Kanuni Temsilci’nin onayına bağlanması
  • Uygulanan kontrollerin sayı ve sıklığının artırılması ve ilave kontrol gerektiren işlem türlerini belirlemek suretiyle iş ilişkisinin sıkı gözetim altında tutulması
  • Sürekli iş ilişkisi tesisinde ilk finansal hareketin, müşterinin tanınmasına ilişkin esasların uygulandığı bir başka finansal kuruluştan yapılmasının zorunlu tutulması

4.6. Kimlik Tespitinin Tekrar Edilmesini Gerektiren Haller

Kimlik tespit işleminin aşağıdaki hallerde tekrar edilmesi gerekmektedir.

  • Alınan bilgi ve belgelerle ilgili şüphelerin olması
  • Önceleri riskli olarak kabul edilmeyen bir şahsın işlemlerinin riskli hale geldiğinin tespit edilmesi
  • Suç gelirlerinin aklanması ya da terörizmin finansmanına ilişkin şüphelerin ortaya çıkması

durumunda tespit işleminin, riskli müşteriler için uygulanan sıkılaştırılmış müşteri kabul adımları takip edilmek suretiyle tekrarlanması gerekmektedir.

4.7. Müşteri Durumunun ve İşlemlerin İzlenmesi

İzleme ve kontrol faaliyetleri neticesinde, müşterinin gerçekleştirmek istediği işlemin tam olarak açık olmadığı, müşterinin bu konuda bir açıklama yapmaktan kaçındığı veya açıklama yapsa bile Token tarafından bunun tatmin edici/yeterli bulunmadığı durumlarda, talep edilen işlemin gerçekleştirilmesi reddedilebilir, işlem gerçekleşmişse hesap kapatma da dahil olmak üzere ilave tedbirler alınır.

Müşterilerin kimlik bilgileri, müşterinin tanınmasına yönelik belgeler ve ilgili kayıtlar; yüksek riskli müşteriler için yılda bir kez, standart riskli müşteriler için iki yılda bir kez, düşük riskli müşteriler için ise üç yılda bir kez güncellenir.

  1. İZLEME VE KONTROL

İzleme ve Kontrol faaliyetlerinin amacı; Token’in suç gelirlerinin aklanması ve terörizmin finansmanı risklerine karşı korunması ve faaliyetlerinin Kanuna ve Kanun uyarınca çıkarılan yönetmelik ve tebliğlerle, Kurum Politika ve prosedürlerine uygun olarak yürütülüp yürütülmediğinin sürekli olarak izlenmesi ve kontrol edilmesidir.

Müşteri ile aktif ilişkinin devamı süresince, Token sürekli bir şekilde hesapta gerçekleşen işlemlerin müşteri ile ilgili olarak Token’in sahip olduğu bilgiler ile uyumlu olmasını temin etmek üzere, düzenli gözden geçirme, izleme ve kontrol çalışmaları yürütülür.

Müşterinin tanınması bir defada yapılan ve tamamlanan bir süreç olmayıp, müşteri ilişkisi devam ettiği sürece müşteriye ilişkin bilgilerin güncelliğinin sağlanması gerekmektedir. Bunun sağlanması ise ancak müşterini tanı ilkesi kapsamında yapılan değerlendirmelerin düzenli olarak gözden geçirilmesi ve varsa eksikliklerin tespit edilerek tamamlanması ile mümkündür. Bu konudaki etkinliği artırmak amacıyla, gözden geçirme ihtiyacının belirlenmesinde de müşteri kabulünde olduğu gibi risk tabanlı bir yaklaşım sergilenir. Token, yaptığı risk analizi sonucunda elde ettiği bilgiler ve ulaştığı sonuçlar çerçevesinde belirli müşterileri daha yakından izlemeye alabilir.

Yapılanı risk analizi sonucunda elde edilen bilgiler ve ulaşılan sonuçlar çerçevesinde belirli müşteriler daha yakından izlemeye alınabilir ve bu müşterilere yönelik daha sıkı kontrol süreçleri uygulanır. Token, yasal düzenlemeler çerçevesinde, hesap açılışı ile ilgili olarak müşterilerden alınması gereken bilgi ve belgelerin teminini garanti edecek tedbirleri alır ve bu amaçla gerekli kontrol mekanizmalarını tesis eder. Sonradan bu tür bir eksikliğin tespit edilmesi/ortaya çıkması durumunda, yasal düzenlemelerde belirtilen hükümlere aykırı olmayacak şekilde ve sürede söz konusu eksikliklerin tamamlanması zorunludur. Öte yandan mevcut bir müşteri ile ilgili olarak, müşterinin kimlik bilgilerinin yeterliliği ve doğruluğu konusunda şüphe olması durumunda, yeniden kimlik tespit ve teyidi yapılır. Bunun yapılamadığı durumlarda, yasal mevzuat çerçevesinde iş ilişkisine son verilir.

İzleme ve kontrol faaliyetleri kapsamında; Kanunlar uyarınca getirilen yükümlülüklere uyumun sağlanmasıyla ilgili olarak yapılan kontroller neticesinde tespit edilen eksiklikler, gerekli tedbirlerin alınması için ilgili birimlere eposta vasıtasıyla en az yılda bir kez raporlanarak sonuçları aylık toplantılar vasıtasıyla takip edilir.

İzleme ve kontrol faaliyetlerini yürüten personelin, görevini tam ve doğru olarak yerine getirebilmesi için kurum içi bilgi kaynaklarına ulaşmasını teminen gerekli yetkilendirmeler yapılır ve uygun tedbirler alınır. Token’in müşteri ve müşteri işlemlerinin kaydedildiği ve saklandığı veri tabanı Uyum Birimi çalışanlarının kullanımına kısıtlama olmaksızın açık olup incelemelere kaynak teşkil etmek üzere farklı değişkenlerden istifade ederek sorgulama yapılabilmesini sağlayacak araçlar söz konusu çalışanlara tahsis edilir.

5.1. Şüpheli İşlem Bildirimleri

İzleme ve Kontrol faaliyetleri sonucunda elde edilen bulgular neticesinde ve Token’in sağlamış olduğu hizmetler çerçevesinde, suç gelirlerinin aklanması ve terörizmin finansmanına dair şüphe uyandıran hallerde, Uyum Birimi’nce yapılan gerekli incelemeler ve araştırmalar sonucunda ve Kanuni Temsilci tarafından şüpheli olduğuna karar verilen işlemler (şüpheli işlem) yürürlükteki mevzuat uyarınca tutara bakılmaksızın yine Kanuni Temsilci tarafından MASAK Başkanlığı’na bildirilir.

Bir diğer ifadeyle, bir işlemin şüpheli işlem olarak MASAK Başkanlığı’na bildirilip bildirilmemesine nihai olarak Kanuni Temsilci karar verir ve MASAK Başkanlığı’na şüpheli işlem bildirimlerini doğrudan Kanuni Temsilci yapar.

Şirket ve Kanuni Temsilcisi, MASAK Başkanlığı’na şüpheli işlem bildiriminde bulunulduğunu, yükümlülük denetimi ile görevlendirilen denetim elemanları ile yargılama sırasında mahkemeler dışında, işleme taraf olanlar dahil hiç kimseye açıklamazlar. Token’in Kanuni Temsilcisi’ne yapılan dahili bildirimler de gizlilik kapsamındadır. Personelin bu yükümlülüğü ihlal etmeyecek şekilde çalışması için gereken tedbirler CEO ve Kanuni Temsilci tarafından alınır. Bu yükümlülükler, Token çalışanları görevlerinden ayrılsalar dahi devam eder.

5.2. Malvarlığının Dondurulması Kararlarının İcrası

Token, MASAK tarafından malvarlığının dondurulması kararının yerine getirilmesi talebinde bulunulması ve/veya malvarlığının dondurulması kararının Resmî Gazete’de yayımlanması durumunda; ilgili kararda adı geçen kişilerin Token nezdinde malvarlığı kaydı bulunuyor ise söz konusu malvarlığını derhal dondurur ve talep ve/veya yayım tarihinden itibaren yedi (7) gün içinde söz konusu malvarlığına ilişkin mevzuatta talep edilen bilgileri Kanuni Temsilci marifetiyle MASAK’a bildirir.

Token, malvarlığı dondurulan kişilerin nezdinde hesabının bulunduğunu saptadığı anda söz konusu kişilere ait hesapları dondurarak (işlem blokesi koyarak) ilgili malvarlığının ortadan kaldırılmasına, tüketilmesine, dönüştürülmesine, transferine, devir ve temlik edilmesine yönelik işlemlere izin vermez.

Malvarlığı dondurma kararında adı geçen kişilerin şirket nezdindeki malvarlığında herhangi bir artış meydana gelmesi hâlinde, bu artışlar da malvarlığının dondurulması hükümlerine tabi tutulur.

Malvarlığı dondurma kararlarında listelenen kişinin ayırt edici bilgisi yoksa, bu kişinin ismiyle veya kullandığı/bilinen diğer adlarıyla eşleşenlerin malvarlıkları dondurulur. MASAK, yapacağı araştırma neticesinde, malvarlığı dondurulan kişinin listede ismi ilan edilen kişi olmadığına karar verip bu yönde Token’ya bildirim yaparsa hatalı dondurma işlemi düzeltilir.

Malvarlığı dondurma kararında adı geçen kişilerin şirket nezdinde herhangi bir malvarlığı kaydının bulunmaması durumunda MASAK Başkanlığı’na bildirim yapılmaz ancak ilgili kişilerin hesapları derhal kapatılır.

  1. UYUM BİRİMİ YAPILANMASI, GÖREV VE SORUMLULUKLARI

Token, Suç Gelirlerinin Aklanmasının ve Terörün Finansmanının Önlenmesine İlişkin Yükümlülüklere Uyum Programı Hakkında Yönetmelik’in 17. maddesinde yer verilen, uyum görevlisi olarak atanacak kişilerde aranacak şartları sağlamak kaydıyla, CEO’ya bağlı olacak şekilde ve münhasıran kurum personeli olarak Kanuni Temsilci atar. Kanuni Temsilci, şüpheli işlem bildirimlerinin elektronik ortamda veya posta ile gönderimini yapmak ve suç gelirlerinin aklanması ile terörizmin finansmanı konularında MASAK ile her türlü görüşmeyi yapmak üzere Yönetim Kurulu tarafından yetkilendirilir. Kanuni Temsilci’nin uhdesinde satış ve pazarlamayla ilgili görevler bulunmaz.

Token, doğrudan Kanuni Temsilci’ye bağlı olarak çalışan ve tüm uyum süreçlerinin yürütülmesiyle görevli çalışanlardan oluşan bir Uyum Birimi oluşturur. CEO, Kanuni Temsilci’nin görev ve sorumluluklarını etkin bir şekilde yerine getirebilmesini sağlamak amacıyla Token’in işletme büyüklüğü, işlem hacmi, aktif müşteri ve personel sayısı ya da karşılaşabileceği risklerin yüksekliği gibi unsurları göz önünde bulundurarak Uyum Birimi’ne yeterli personel ve kaynak tahsisi yapılmasını sağlar.

Kurum Politikasının bir bütün olarak yürütülmesi ve Kurum Politikası kapsamındaki risk yönetimi ile izleme ve kontrole ilişkin faaliyetler, CEO’nun gözetim, denetim ve sorumluluğunda Kanuni Temsilcisi idaresindeki Uyum Birimi tarafından yerine getirilir.

Kripto varlık ve blokzincir teknolojilerine ilişkin yasal düzenleme ve standartların yanı sıra suç gelirlerinin aklanması ve terörizmin finansmanıyla ilgili duyuru, rehber, regülasyon, mevzuat ve düzenlemelerin sürekli surette takip edilmesinden Kanuni Temsilci ve maiyeti sorumludur.

  1. EĞİTİM

Eğitim faaliyetlerinin temel amacı, yasal yükümlülüklere uyum sağlamak üzere, çalışanların bilgi seviyesini arttırmak ve risk temelli yaklaşım konularında sorumluluk bilincini kurum kültürü olarak benimsetmektir.

Kurum Politikası doğrultusunda, Token Kanuni Temsilcisi’nin gözetiminde eğitim faaliyetlerinin işleyişi, gerçekleştirilmesinden kimlerin sorumlu olacağı, eğitim faaliyetlerine katılacak personelin ve eğiticilerin belirlenmesi, yetiştirilmesi ve eğitim yöntemleri hususlarını içeren yıllık eğitim programı ilgili birimlerin katılımıyla hazırlanır. Eğitim programının etkin bir şekilde uygulanması Token Kanuni Temsilcisi tarafından gözetilir.

Token eğitim politikası; asgari olarak Kurum Politikası ve prosedürlerinin oluşturulması, risk yönetimi ile izleme ve kontrol faaliyetlerinin yürütülmesi konuları içerecek şekilde oluşturulur ve eğitim konuları bu kapsamda belirlenir.

Token, kabul ettiği insan kaynakları ve eğitim politikası kapsamında ve yaratılan kurum kültürünün bir parçası olarak; suç gelirlerinin aklanması ve terörün finansmanı ile mücadele, bunlara ilişkin riskler ve yükümlülükler, müşterini tanınması, Kurum Politikası ve prosedürlerinin oluşturulması ile izleme ve kontrol faaliyetlerinin yürütülmesi kapsamında veya bu eğitimlerden bağımsız olarak ve Token’in uyum riski politikasında düzenlenmiş olan diğer temel konularda; başta doğrudan kullanıcı kabul işlemi yapan veya şüpheli işlemlerle karşılaşma riski daha yüksek olan personel olmak üzere, çalışanlarının eğitim ihtiyacını belirler ve onlara düzenli eğitimler vermek suretiyle bilgilerinin güncel tutulmasını sağlar.

Token’in, periyodik olarak vereceği eğitimler asgari olarak aşağıdaki konuları kapsar.

  • Suç gelirlerinin aklanması ve terörün finansmanı kavramları
  • MASAK Başkanlığı görev, yetki ve sorumlulukları
  • Suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesi hakkındaki ulusal mevzuat
  • Aklama ve terörün finansmanı suçları, aklama suçunun aşamaları ve yöntemleri ile bu konulardaki vaka analizleri
  • Kripto varlık hizmet sağlayıcıların ulusal ve uluslararası düzenlemeler bakımından yükümlülükleri
  • Müşterinin tanınması ve kimlik tespiti ile ilgili esaslar
  • Şüpheli işlem incelemeleri ve bildirimleriyle ilgili esaslar
  • Muhafaza ve ibraz yükümlülüğü
  • Bilgi ve belge verme yükümlülüğü
  • Sürekli bilgi verme yükümlülüğü
  • Yaptırım uygulanan kişiler ve kripto varlık cüzdanlarına yönelik tedbirler
  • Kurum Politikası ve prosedürleri
  • Aklama ve terörün finansmanı ile mücadele ile ilgili uluslararası düzenlemeler
  • Yükümlülüklere uyulmaması halinde uygulanacak müeyyideler

Ulusal ve uluslararası mevzuatın temel ilkelerinin anlatıldığı eğitim programları iyi uygulama örnekleri ile desteklenir. Eğitimler, sınıf içi, uzaktan eğitim, konferans veya bilgilendirme mesajları olmak üzere dört ayrı şekilde verilebilir. Eğitim çalışmalarının planlanması ve koordinasyonu, Kanuni Temsilci gözetiminde gerçekleştirilir.

  1. MUHAFAZA VE İBRAZ & BİLGİ VE BELGE VERME YÜKÜMLÜLÜKLERİ

Yurt içi ve yurt dışı yasal otoriteler ile ilişkilerin, ilgili yasal mevzuata uygun olarak yürütülmesi için şirket ve çalışanları tarafından azami çaba gösterilir. Yasal otoritelerce, denetim ve kontrol amacıyla istenen bilgi, belge ve kayıtların doğru, eksiksiz ve zamanında iletilmesi konusunda gerekli özenin sağlanmasına ilişkin akışlar ve kontrol noktaları oluşturulur. Bu çerçevede, yasal otoritelerden gelen bilgi/belge taleplerinin karşılanması, Kurum Politikası kapsamında ilgili birimlerin sorumluluğunda olup söz konusu taleplere ilişkin Token Kanuni Temsilcisi’ne bilgi verilir. Böylelikle önemli görülen hususlarda Token Kanuni Temsilcisi aracılığıyla CEO’nun ve Yönetim Kurulu’nun bilgilendirilmesi de sağlanır. MASAK Başkanlığı tarafından Token’ya iletilen her türlü fiziki belge ise posta zarfları açılmadan ve gizlilik sağlanarak derhal Uyum Birimi’ne iletilir.

5549 Sayılı Suç Gelirlerinin Aklanmasının Önlenmesi Hakkında Kanun’la getirilen yükümlülüklere ve işlemlere ilişkin her türlü ortamdaki; belgeler düzenleme tarihinden, defter ve kayıtlar son kayıt tarihinden, kimlik tespitine ilişkin belgeler ise son işlem tarihinden itibaren en az sekiz (8) yıl süreyle muhafaza edilir. Token nezdindeki hesaplarla ilgili kimlik tespitine ilişkin belgelerin muhafaza süresinin başlangıç tarihi hesabın kapatıldığı tarih olarak kabul edilir. Diğer mevzuattan kaynaklanan daha uzun saklama sürelerine ilişkin kurallar saklıdır.

Şirket ve çalışanları, MASAK Başkanlığı ve denetim elemanları tarafından istenilecek her türlü̈ bilgi, belge ve bunlara ilişkin her türlü ortamdaki kayıtları, bu kayıtlara erişimi sağlamak veya okunabilir hale getirmek için gerekli tüm bilgi ve şifreleri tam ve doğru olarak verir ve gerekli kolaylığı sağlar. Bu kapsamda talepte bulunulan Token ve çalışanları savunma hakkına ilişkin hükümler saklı kalmak kaydıyla, özel kanunlarda yazılı hükümleri ileri sürerek bilgi ve belge vermekten kaçınamazlar.

  1. SIR SAKLAMA YÜKÜMLÜLÜĞÜ

Token çalışanları görevleri dolayısıyla müşterilerin ve müşterilerle ilgili kimselerin şahıslarına, muamele ve hesap durumlarına, işlerine, işletmelerine, servetlerine veya mesleklerine ilişkin olarak öğrendikleri sırları veya gizli kalması lazım gelen diğer hususları yasalarda açıkça yetkilendirilmiş kişi ve kurumlar hariç olmak üzere ifşa edemezler ve kendilerinin veya üçüncü şahısların yararına kullanamazlar.

Şüpheli işlem bildiriminde bulunulduğu, yükümlülük denetimi yapan denetim elemanları ile yargılama sırasında mahkemeler dışında işleme taraf olanlar dâhil kimseye açıklanamaz.

Bu yükümlülükler, Token çalışanları görevlerinden ayrılsalar dahi devam eder.