- Giriş
Türkiye’de uzun zamandır tartışılan kripto varlık piyasasının düzenleme süreci, 2024 yılında Sermaye Piyasası Kanununda Değişiklik Yapılmasına Dair Kanun (02.07.2024 tarihli ve 32590 sayılı Resmî Gazete) ile Sermaye Piyasası Kanunu’nda yapılan detaylı değişiklikler ve yeni eklemeler ile başlamıştı. Sermaye Piyasası Kanunu’ndaki bu değişiklikler ile Türkiye’de faaliyet gösteren veya gösterecek olan kripto varlık hizmet sağlayıcıları 6362 sayılı Sermaye Piyasası Kanunu kapsamına alınmış ve Sermaye Piyasası Kurulu düzenleme ve denetimi yetkisi altına alınmıştı.
2025 yılı itibarıyla ise Sermaye Piyasası Kurulu’nun yayımladığı aşağıda yer alan Tebliğler ile uygulama çerçevesi netleştirilmiş durumdadır.
- III-35/B.1 Kripto Varlık Hizmet Sağlayıcıların Kuruluş ve Faaliyet Esasları Hakkında Tebliğ (13.03.2025 tarihli ve 32840 Sayılı Resmî Gazete),
- III-35/B.2 Kripto Varlık Hizmet Sağlayıcıların Çalışma Usul ve Esasları ile Sermaye Yeterliliği Hakkında Tebliğ (13.03.2025 tarihli ve 32840 Sayılı Resmî Gazete)
Bu düzenlemelere ek olarak, 6362 sayılı Sermaye Piyasası Kanunu kapsamında, kripto varlık piyasasının güvenliğini sağlamak ile görevlendirilen Türkiye Bilimsel ve Teknolojik Araştırma Kurumu (“TÜBİTAK”)’nun Bilişim ve Bilgi Güvenliği İleri Teknolojiler Araştırma Merkezi (“BİLGEM”) tarafından, kripto varlık hizmet sağlayıcılarının bilgi sistemleri ve teknolojik altyapılarının güvenliğini sağlamak üzere uyması gereken Kriterler (“Kripto Varlık Hizmet Sağlayıcıların Bilgi Sistemleri ve Teknolojik Altyapılarına İlişkin Kriterler”, TÜBİTAK Kriterleri, 2025) yayınlanmış bulunuyor.
- TÜBİTAK Kriterleri’nin Önemi
Önceki düzenlemelerde genel olarak finansal ve organizasyonel yükümlülükler öne çıkarken, TÜBİTAK’ın yayımladığı kriterler teknik altyapı ve bilgi güvenliği boyutunu detaylı şekilde ortaya koymuştur. Bu kriterler, yalnızca asgari teknik gereklilikler değil, aynı zamanda uluslararası standartlara uyum hedefleyen bir güvenlik çerçevesi niteliği taşımaktadır.
Amaç, kripto varlıkların saklanması, transferi ve kullanıcı bilgilerinin işlenmesi sırasında siber güvenlik risklerinin en aza indirilmesi ve müşteri varlıklarının korunmasının sağlanmasıdır.
Yeni Tebliğler ve TÜBİTAK’ın Kriterleri, kripto varlık hizmet sağlayıcılarının sistemsel ve teknik altyapılarını eskisinden çok daha derinlemesine düzenlemektedir.
- TÜBİTAK Teknolojik Altyapı ve Bilgi Sistemlerinde Getirilen Yenilikler
TÜBİTAK BİLGEM tarafından yayımlanan Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri artık doğrudan mevzuata entegre edilmiş durumda. Bu da kripto varlık hizmet sağlayıcıları için güvenlikte bambaşka bir dönemin başladığını gösteriyor.
TÜBİTAK’ın yayımladığı Bilgi Sistemleri ve Teknolojik Altyapılarına İlişkin Kriterler, yalnızca “iyi niyetli bir rehber” olmakla kalmayıp Tebliğlerle birlikte kripto varlık sektörü için teknik gereklilikleri somutlaştırmaktadır.
- TÜBİTAK Kriterlerinde Öne Çıkan Teknik Gereklilikler
4.1. Sıcak ve soğuk cüzdan ayrımı: Rehberde açıkça belirtilmiştir ki, sıcak cüzdan (online, internete bağlantılı) ile soğuk cüzdan (offline, izole sistemlerde tutulan) arasında güvenlik seviyesi açısından fark olmalıdır. Soğuk cüzdanlarda özel anahtarların bulunduğu cihazlar internete doğrudan erişim sağlayamamalı; sadece aralarında hava boşluğu, izole geçit sistemleri ya da güvenli aktarım protokolleri ile veri alışverişi yapılmalıdır.
4.2. Anahtar yönetimi ve kriptografik mekanizmalar: TÜBİTAK Kriterleri, özel anahtarların üretiminden saklanmasına kadar her aşamada yüksek güvenlik önlemlerinin alınmasını şart koşmaktadır. Bu güvenlik önlemleri arasında özel anahtarların üretimi, saklanması ve yedeklenmesi süreçlerinde HSM (Güvenli Donanım Modülü) kullanımı, çok faktörlü erişim, anahtar parçalarının dağıtımı, şifreleme protokolleri ve güvenli yedekleme şartları yer alıyor. Ayrıca, Kriterler esas olarak bu mekanizmaların “iptal edilemez kayıt” ve “denetlenebilir iz” bırakacak şekilde çalıştırılması gerektiğini belirtmektedir.
4.3. İşlem Onayı Prosedürleri (Transfer Emirleri):
TÜBİTAK Kriterleri’ne göre herhangi bir kripto varlık transfer emri imzalanmadan önce, sistemlerin bazı kriterleri sağlaması gerekmektedir. Öncelikle transfer emir sahibinin kimliği doğrulanmış olmalı ve transfer emri platform politikalarına, onaylı adres listesine ve müşteri sözleşmesine uygun olmalıdır. Eğer çoklu imzalama (multi-signature) ya da eşik (threshold) imza mekanizmaları kullanılıyorsa, bunlara ilişkin iş etki analizi yapılmalı, risk kontrolleri uygulanmalıdır.
4.4. Erişim Kontrolü ve Kimlik Doğrulama: Her sistem bileşeni için erişim hakları rol bazlı tanımlanmalı, yetkili olmayan hesaplara erişim önlenmelidir. Rehber, özellikle yüksek ayrıcalıklı (privileged) erişimlerde ek kimlik doğrulama seviyeleri ve oturum sınırlandırmaları öne çıkarır. Ayrıca, belirli kritik işlemlerde kullanıcının yeniden kimlik doğrulaması (re-authentication) istenmesi gerekir.
4.5. Denetim İzleri (audit logs) ve İzlenebilirlik: Sistemde gerçekleşen tüm işlemler (kimin ne zaman giriş yaptığı, hangi işlem yaptığı, hangi parametrelerle, hangi sonuçla çıktığı vs.) güvenli bir biçimde kayıtlanmalı; bu izler değiştirilmez olmalı ve denetime hazır hale getirilmelidir. Rehber, bu kayıtların sistem içi analiz ve dış denetim süreçleri için kullanılabileceğini öngörür.
4.6. Sistem Sürekliliği, Felaket Kurtarma ve Yedekleme: Platform kesintisiz çalışmak zorundadır; arıza, saldırı veya afet durumları için iş sürekliliği (business continuity) ve felaket kurtarma (disaster recovery) planlarının olması şarttır. Ayrıca, verilerin periyodik olarak yedeklenmesi, yedeklerin güvenli ortamlarda saklanması ve beklenmedik durumlarda hızlı geri yüklenebilmesi gerekir. Rehber, yedeklenmiş sistemlerin test edilmesini ve düzenli senaryolarla simülasyonları önerilir.
4.7. Koruma Profili ve Güvenlik Testleri: TUBİTAK Kriterleri’nde açıkça ifade edilmektedir ki sistemin bileşenleri (özellikle cüzdanlar, anahtar modülleri) ulusal/uluslararası koruma profilleri (örn. Ortak Kriterler, EAL seviye) bazında test edilmeli; test raporları alınmalı ve belgelendirilmeli. Özellikle cüzdan imzalama bileşenleri ve anahtar saklama sistemleri test edilmiş, sertifikalı donanım modülleri kullanmalıdır.
4.8. Dağıtık Defter Entegrasyonu & Denetim Kontrollü Veri Akışı: Platformların blokzincir ağı ile etkileşim kuracak sistem bileşenleri, doğrulama süreçleri, ağ bağlantıları ve veri geçiş mekanizmaları güvenlik kontrollerine tabi tutulmalıdır. Rehber, transfer ücret hesaplama, çatallanma tespiti ve işlem doğrulama süreçlerinin platform kontrolünde yürütülmesini öngörmektedir.
- Sonuç
TÜBİTAK’ın yayımladığı Kriterler ile birlikte kripto varlık hizmet sağlayıcıları için güvenlik, şeffaflık ve denetim ekseninde güvenlikte yeni bir dönem başladığı net şekilde görülmektedir.
Bu Kriterler, uluslararası standartlarla uyumlu güvenlik altyapısı kurmayı zorunlu hale getirmiş, sektördeki şirketlerin yalnızca finansal değil, aynı zamanda teknolojik ve operasyonel açıdan da güçlü bir yapıya sahip olmasını şart koşmuştur.
Bu yeni düzenlemeler doğrultusunda, kripto varlık hizmet sağlayıcılarının hem SPK tebliğlerine hem de TÜBİTAK kriterlerine uyum sağlayarak faaliyetlerini sürdürmeleri, sektörde güvenilirlik ve sürdürülebilirlik açısından kritik önemdedir.
Avukat Ezginaz Çalışır