#C2C'de KYC: Satıcı Evrak Doğrulama Süreci
KYC (Know Your Customer - Müşterini Tanı), finansal hizmetlerden e-ticaret pazaryerlerine kadar uzanan ve müşterinin/satıcının kimliğinin, adresinin ve ticari faaliyetinin doğrulanması anlamına gelen regülatif bir süreçtir. C2C pazaryerlerinde KYC, kara para aklama (AML) ve terörün finansmanının önlenmesi (CFT) mevzuatının yanı sıra dolandırıcılık, sahte ürün satışı ve vergi kaçakçılığını önlemenin temel aracıdır. Bu yazıda C2C pazaryerlerinde KYC süreçlerini, evrak doğrulama yöntemlerini, regülatif gereksinimleri ve otomasyon çözümlerini detaylı olarak ele alacağız.
#C2C Pazaryerlerinde KYC'nin Önemi
KYC, C2C pazaryerlerinin operasyonel ve regülatif sürdürülebilirliğinin temel taşıdır. Eksik KYC süreçleri pek çok riski beraberinde getirir: Sahte satıcıların platforma girişi, müşterilerin dolandırılması, vergi kaybı, kara para aklama riski, marka itibar zedelenmesi ve regülatif yaptırımlar. Türkiye'de MASAK (Mali Suçları Araştırma Kurulu), e-ticaret platformlarına yükümlü tutulan kuruluş statüsünde KYC zorunluluğu getirmiştir.
2022 yılında yürürlüğe giren 7416 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun değişiklikleri, e-ticaret pazaryerlerine satıcı kimlik doğrulama, vergi mükellefiyet kontrolü ve adres doğrulama zorunluluğu getirmiştir. Bu çerçevede her satıcının T.C. kimlik veya vergi numarası, adres bilgisi ve faaliyet türü pazaryeri tarafından doğrulanmalı ve gerektiğinde Ticaret Bakanlığı ile paylaşılmalıdır.
#Bireysel Satıcı KYC Süreci
Bireysel satıcı KYC süreci, gerçek kişilerin (esnaf vergi muafiyeti veya bireysel satıcı statüsü) platforma kayıt akışlarında uygulanır. Tipik bir bireysel KYC akışı şu adımlardan oluşur: T.C. kimlik numarası ve isim eşleştirmesi (NVI veya KPS sorgulama), e-Devlet üzerinden kimlik doğrulama (e-Devlet kapısı), kimlik kartı ön/arka yüz fotoğrafı yükleme, selfie ve canlılık testi (liveness check), adres beyanı ve adres doğrulama, IBAN doğrulama (banka adına eşleştirme) ve telefon numarası SMS doğrulaması.
Liveness check (canlılık testi) sahte kimlik kullanımını engellemek için kritik öneme sahiptir. Bu test sırasında satıcıdan kameraya bakması, başını çevirmesi veya gülümsemesi istenir; sistem yapay zeka ile bu hareketlerin canlı bir kişi tarafından mı yoksa fotoğraftan mı yapıldığını tespit eder. Onfido, Jumio ve yerel sağlayıcı Yapı Kredi Liveness API gibi servisler bu altyapıyı sunar.
E-Devlet üzerinden kimlik doğrulama, Türkiye'ye özel ve en güvenilir yöntemlerden biridir. e-Devlet Kapısı, kullanıcının kimliğini ve adres bilgisini Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü (NVI) verisiyle doğrular. Bu yöntemde satıcı, e-Devlet hesabıyla pazaryerine giriş yapar; pazaryeri OAuth benzeri bir akışla onaylanmış kimlik bilgilerini alır.
#Kurumsal Satıcı KYC Süreci
Kurumsal satıcı (şahıs şirketi, limited şirket, anonim şirket) KYC süreci bireysele kıyasla daha katmanlıdır. Tipik akış şu adımları içerir: Vergi numarası sorgulama (GİB üzerinden), MERSIS sicil kayıt doğrulama, faaliyet konusu kontrolü (NACE kodu), imza sirküleri ve yetki belgesi yüklemesi, vergi levhası kontrolü, ticaret sicil gazetesi kontrolü, banka hesap bilgisi (IBAN-vergi numarası eşleştirmesi), KEP (Kayıtlı Elektronik Posta) adresi doğrulama ve UBO (Ultimate Beneficial Owner - nihai faydalanan kişi) bilgisi.
MERSIS (Merkezi Sicil Kayıt Sistemi), Türkiye'de tüm tüzel kişiliklerin tek bir merkezi sicil numarası ile kayıtlı olduğu sistemdir. MERSIS sorgulaması ile şirketin tescilli olup olmadığı, faaliyet durumu, ortakları ve yetkilileri doğrulanır. KEP adresi ise resmi yazışmalarda kullanılan ve geçerli bir tüzel kişiliğe sahip olduğunun göstergesi olan elektronik posta sistemidir; aktif KEP adresi olmayan tüzel kişilikler kurumsal satıcı statüsü kazanamaz.
UBO bilgisi MASAK mevzuatı kapsamında zorunlu hale gelmiştir. Şirketin yüzde 25 ve üzerine sahip ortaklarının kimlik bilgileri ve aynı KYC süreçleri tamamlanmadan kurumsal satıcı kaydı tamamlanmaz. Bu yapı özellikle kara para aklama ve vergi kaçakçılığı tespitinde kritik önem taşır.
#OCR ve Yapay Zeka ile Otomatik Evrak Doğrulama
Geleneksel KYC süreçleri manuel evrak inceleme gerektirdiği için 2-5 iş günü sürerken, modern OCR (Optical Character Recognition) ve yapay zeka tabanlı çözümler bu süreyi 1-2 dakikaya indirir. OCR, kimlik kartı, vergi levhası, imza sirküleri gibi belgelerin metnini otomatik olarak okur; YZ algoritması ise belgenin doğruluğunu, sahte olup olmadığını ve verilerin tutarlılığını kontrol eder.
Yapay zeka tabanlı evrak doğrulamada kullanılan teknikler şunlardır: Belgenin orijinallik kontrolü (hologram, mikro yazı, kabartma tespiti), kişi yüzünün belgede ve selfide eşleşmesi (face matching), verinin GİB/NVI/MERSIS gibi resmi kaynaklarla çapraz doğrulanması, sahte belge örüntü tespiti (deepfake ve photoshop tespiti) ve metadata analizi (belgenin oluşturulma zamanı, lokasyonu).
Türkiye'de KYC otomasyonu sunan başlıca sağlayıcılar şunlardır: Anadolubank Hayat KYC, Vakıfbank VeriSelfie, FincoreLab, Alvia AI ve uluslararası ölçekte Onfido, Jumio, Sumsub. Bu sağlayıcılar API üzerinden pazaryerlerine kolay entegrasyon sunar.
#Risk Tabanlı KYC ve Sürekli İzleme
KYC tek seferlik bir süreç değil, sürekli devam eden bir izleme faaliyetidir (ongoing monitoring). Risk tabanlı yaklaşımda satıcılar düşük, orta ve yüksek risk gruplarına ayrılır; her grup için farklı seviyede doğrulama uygulanır. Düşük riskli satıcılar (örneğin küçük hacimli bireysel satıcılar) için temel KYC yeterliyken, yüksek riskli satıcılar (yüksek hacim, yüksek değerli ürün, sınır ötesi satış) için Enhanced Due Diligence (EDD) gerekir.
Sürekli izleme kapsamında pazaryerleri şu kontrolleri yapar: Sanctions list (yaptırım listesi) taraması, PEP (Politically Exposed Person) listesi taraması, olağandışı işlem örüntülerinin tespiti, satış hacminde ani artışların incelenmesi, çoklu hesap kullanımının tespiti ve şüpheli işlem bildirimi (STR - Suspicious Transaction Report) süreçleri. MASAK 2 milyon TL üzeri tek seferlik veya seri işlemlerde bildirim zorunluluğu getirmiştir.
#Veri Güvenliği ve KVKK Uyumu
KYC sürecinde toplanan veriler kişisel veri kategorisinde olup KVKK (Kişisel Verilerin Korunması Kanunu) kapsamında özel hukuki koruma altındadır. KYC verileri özel nitelikli kişisel veri olarak işlenir; bu da daha sıkı saklama, erişim ve aktarım kuralları doğurur. Pazaryerleri KYC verilerini şifreli (AES-256) olarak saklamak, erişimi kısıtlamak ve KVKK Aydınlatma Metni ile açık rıza almak zorundadır.
KYC verilerinin saklanma süresi de mevzuata uygun olmalıdır. MASAK mevzuatı işlem ve kimlik tespit kayıtlarının 8 yıl saklanmasını şart koşar. Bu süre sonunda veriler sistematik olarak imha edilmelidir; bu imha süreci KVKK Saklama ve İmha Politikası ile dokümante edilmiş olmalıdır.
#i-Pazaryeri C2C Yaklaşımı
i-Pazaryeri KYC altyapısı, Türkiye mevzuatına tam uyumlu olarak tasarlanmıştır. Bireysel satıcılar için e-Devlet entegrasyonlu hızlı kimlik doğrulama, OCR tabanlı kimlik kartı okuma, AI destekli liveness check ve NVI/KPS çapraz doğrulama otomatik olarak çalışır. Kurumsal satıcılar için MERSIS sicil sorgulama, GİB vergi numarası kontrolü, KEP adresi doğrulama, imza sirküleri OCR analizi ve UBO bilgisi yönetimi tek bir akışta tamamlanır.
Risk tabanlı KYC modülü ile satıcılar düşük, orta ve yüksek risk gruplarına otomatik atanır; sanctions list ve PEP listesi taraması arka planda sürekli çalışır. KVKK uyumlu veri saklama, AES-256 şifreleme ve sekiz yıl saklama-imha politikası altyapı standardı olarak sunulur. MASAK STR bildirim süreçleri için entegre raporlama ekranları ile pazaryeri sahibi mevzuatsal yükümlülükleri kolaylıkla yerine getirebilir. Bu yapı sayesinde satıcı onboarding süresi 2-5 iş gününden 5-10 dakikaya iner.
