Türkiye Açık Bankacılık İçin Bir Adım Daha Attı!

2018 yılı sonunda kamuoyu görüşüne sunulan ve bir elektronik bankacılık hizmeti olarak Açık Bankacılık kavramını tanımlayan “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” (“Yönetmelik”) 1 Temmuz 2020 tarihinde yürürlüğe girmek üzere 15 Mart 2020 tarihinde Resmi Gazete’de yayımlandı 

Açık bankacılık kavramının tanımlamaya çalışıldığı Bilgi Sistemleri Yönetmeliği taslağı 2018 yılı sonundan bu yana yasalaşmayı bekliyordu. Temmuz 2019’da yayınlanan On Birinci Kalkınma Planı’nda (2019–2023) “Açık bankacılık hukuki altyapısını güçlendirmek amacıyla AB Ödeme Hizmetleri Direktifi 2 ile mevzuat uyumu sağlanacaktır” hedefi belirlenmiş ve hemen akabinde, 2019 yılı sonunda, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanunun’da yapılan bir dizi değişiklikle birer Açık Bankacılık hizmeti olan konsolide edilmiş bilgilerin sunulması hizmeti (“AISP”) ve ödeme emri başlatma hizmeti (“PISP”) hizmetleri mevzuat altında tanımlanmıştı.

Yönetmelik Açık Bankacılığa İlişkin Neleri Düzenliyor?

Yönetmelik Açık Bankacılık kavramı özelinde; “Müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak Açık Bankacılık kavramı tanımlanmış, Açık bankacılık servisleri için yapılacak kimlik doğrulamanın belirli şartlar altında tek bileşenli kimlik doğrulama yapılabileceği kabul edilmiş, Kimlik tespiti esnasında bankaların -kendilerinin- uzaktan kimlik tespiti yapabileceği gibi, bunun için daha önce söz konu kişiye kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alabileceği düzenleme altına alınmıştır.

Açık Bankacılığa ilişkin daha detaylı düzenleme içermeyen Yönetmelikte, bu detayları belirleme yetkisi ise Bankacılık Düzenleme ve Denetleme Kurulu’na verilmiştir.

Söz Konusu Düzenlemeleri Nasıl Okuyabiliriz? Bankalar API’lerini açmak zorunda mı? Teknik Standartlar Nelerdir?

Bu soruya şu an için kısaca “Hayır” cevabı verebiliriz. Yönetmelik sadece Açık Bankacılık tanımını yapmakla yetinmiş ve bunun kapsamını ve teknik standartlarını belirlemek için BDDK’ya yetki vermiştir. Açık Bankacılığa ilişkin dünyadaki regülasyon örneklerinde API açma zorunluluğu konusunda ikili bir yaklaşım bulunmaktadır; bazı ülkeler bunu zorunlu kılarken, bazıları ise konuyu pazar oyuncularının kendi insiyatifine bırakıp; Pazar, kendi dinamiğiyle açık bankacılık ürünlerini yaratırken sadece bunun teknik standartlarını belirlemektedir.

Ülkemizde hangi yaklaşımın benimseneceği henüz belirsiz olup, BDDK tarafından yapılacak ikincil düzenlemelerle ile bu yaklaşımı öğrenme fırsatımız olacak.

Dolayısıyla, açık bankacılığın sektörel ve gündelik hayatımıza etkilerini görebilmemiz için bu yaklaşımın ve en önemlisi teknik standartların belirlenmesi gerekmektedir.

Açık Bankacılığın Tanımının Yapılması

Avrupa Birliği düzenlenmesi olan ve Açık Bankacılık hizmetlerini detaylı şekilde düzenleyen PSD 2’de (Payment Services Directive 2) Açık Bankacılığın tanımı yer almamaktadır; hatta “Açık Bankacılık” kelimesi dahi yer almamaktadır. Yine diğer ülkelerdeki Fintech mevzuatlarında da Açık Bankacılık bir çatı kavram olarak ele alınmış ve Açık Bankacılık’ın tanımının yapılmasındansa Açık Bankacılık kapsamındaki çeşitli hizmetler ve detayları tanımlanmıştır. Dünyadaki bu yaklaşımın aksine, yürürlüğe girecek olan Yönetmelikte Açık Bankacılığın geniş ancak sınırları belirli bir tanımı yapılmıştır.

Gelişen teknoloji ile beraber her gün iş modellerinin değiştiği, özellikle çevik yapısı ve iş modelleri ile bilinen Fintech dünyasına ilişkin bir kavramın bu şekilde tanımının yapılmasının teknoloji-nötr bir regülasyon yaklaşımı olmadığını değerlendirmekteyiz.

Açık Bankacılık Hizmetlerine Benzer Mevcut Ürünlerin Durumu

Yönetmelikteki Açık Bankacılık tanımına bakıldığında hali hazırda -özellikle ticari kanallarda- screen scraping yöntemi ile müşterilere farklı bankalardaki finansal bilgilerini görme ve maaş ödemeleri vs. gibi toplu ödemeler için talimat verme çözümleri sunan üçüncü parti hizmet sağlayıcı firmaların hizmetlerinin Açık Bankacılık kapsamına alındığı görülmektedir.

Bu hizmetler halihazırda 6493 sayılı Kanun’da yapılan değişiklik ile zaten AISP ve PISP olarak tanımlanmıştı, ancak bazı kesimler API yerine farklı teknik çözümlerin kullanılması itibariyle bu hizmetlerin Açık Bankacılık kavramı düzenlemesine girmeyeceğini iddia etmekteydi.

Yapılan düzenlemede API’nin yanında ftp vb. teknik yöntemler de kapsama alındığından, bu hizmetleri halihazırda sunan firmaların Merkez Bankası’ndan faaliyet izni yani lisans alması gerektiği düşünülmektedir.

Uzaktan Kimlik Tespiti ve Üçüncü Tarafa Güven| Dijital Kimlik

Yönetmeliğin getirdiği en önemli yeniliklerden birisi de uzaktan kimlik tespitidir. Dijital Kimlik kavramını hayatımıza sokacak olan bu uygulama ile bankalar, müşteri veya müşteri adına hareket eden kişinin kimliğini uzaktan kimlik tespiti yöntemleri ile tespit edebilecek, ya da bunu yapmak için, söz konusu kişilere daha önce kimlik tespiti yapmış başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alabileceklerdir. Bu sayede, bankaların müşteri tanı ve kabul süreçleri dijitalleşirken, müşteriler de kullanıcı deneyimi anlamında gereksiz evraklarla uğraşmaktan kurtulacaklardır.

Dikkat çeken bir diğer nokta, söz konusu hükmün lafzı itibariyle Fintechleri değil, sadece bankalar kapsıyor olmasıdır. Bu nedenle Fintechlerin on-boarding süreçlerinde bu hükümden faydalanabilmesinin mümkün olmadığı; ancak (fintechler) açık bankacılık hizmetleri sunarken müşteri ile bankadaki hesabının entegrasyonunu sağlaması aşamasında bu kimlik tespiti yönteminden faydalanmasının mümkün olduğu düşünülmektedir. Bu fıkranın uygulanmasına ilişkin usul ve esasları belirleme yetkisi de BDDK’ya bırakılmıştır.

Açık Bankacılık Hizmetlerinde Tek bileşenli Kimlik Doğrulama İstisnası

PSD 2’de olduğu gibi, Yönetmelik de iki bileşenli kimlik doğrulamayı ana kural olarak belirlemiştir. Ancak PSD 2’den ayrılan bir nokta bulunmaktadır; Yönetmelik, iki bileşenli kimlik doğrulamaya istisna getirmiş ve Açık Bankacılık hizmetlerinin sunumu esnasında güvenliğin sağlanması, ilave kontrol ve kısıtlamalar getirilmesi koşuluyla tek bileşen ile kimlik doğrulama yapılabileceğini kabul etmiştir. PSD 2’de var olmayan bu istisnanın, Türkiye’deki Fintechler açısından kullanıcı deneyimi anlamında önemli bir kolaylık sağlayacağı düşünülmektedir.

Açık Bankacılığı düzenlemek için yetki kimde?

BDDK’mı, Merkez Bankası mı? AISP ve PISP hizmetleri geçtiğimiz aylarda 6493 sayılı Kanun’a eklenmiş ve bu hizmetler kapsamındaki veri paylaşımlarına ilişkin her türlü usul ve esası belirleme yetkisi Merkez Bankası’na verilmişti. Ödeme ve E-Para Kuruluşlarını düzenleme ve denetleme yetkisi de BDDK’dan Merkez Bankası’na geçmişti.

Yönetmelikte ise açık bankacılık servisleri aracılığıyla sunulabilecek hizmetler ve bu hizmetlere ilişkin usul ve esasları belirlemeye BDDK yetkili kılınmıştır. Bu ikili yapının ne şekilde uygulama alanı bulacağı şu an için belirsiz olup, Yönetmeliğin bankaların bilgi sistemlerine ilişkin düzenleme getirdiği dikkate alındığında mantığa en yakın yorum BDDK’nın banka tarafındaki, Merkez Bankası’nın ise Ödeme Kuruluşları tarafındaki Açık Bankacılığa ilişkin esas ve usulleri düzenleyecek olmasıdır.

Bildiğimiz kadarıyla bu yaklaşımın dünyada pek örneği bulunmamaktadır. Hatta Açık Bankacılık kavramına ilişkin hususlar, PSD 2 ve benzeri mevzuatlarda olduğu üzere Bankacılık yerine Ödeme Hizmetleri ile ilgili mevzuatlarda düzenlenmektedir ki, Açık Bankacılığın özünde ödeme hizmetleri olduğundan bu daha makul bir yaklaşımdır.

Sonuç

Açık Bankacılık kavramının önce 6493 sayılı kanunda yapılan yenilikler içerisinde, hemen akabinde de bu yazıya konu Yönetmelik ile düzenlemesini beraber ele aldığımızda, ülkemizde Açık Bankacılığın somut yansıma ve faydalarını göreceğimiz günlerin yakın olduğu söylemek mümkündür.

Bu durum müşteri tarafında büyük kazanımlar sağlayacağı gibi, banka ve Fintechlerin pazar içerisindeki rekabet dengesinin de farklılaşması sonucunu doğurabilecektir. Bu rekabetin tek tarafın mı, yoksa iki tarafın mı avantajına olacağını ise tarafların işbirliği ve rekaberlik tutumları belirleyecektir.

 

Kaynak: Fintech İstanbul

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir