EN
TR
E-TCMB.56887358-501.07-2160
Konu: Dolandırıcılık Eylemlerine İlişkin Talimat
DAĞITIM YERLERİNE
6493 sayılı "Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun" kapsamında Bankamızca hazırlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Hizmeti Sağlayıcıları Hakkında Yönetmelik (Yönetmelik) ve Ödeme ve Elektronik Para Kuruluşlarının Bilgi Sistemleri İle Ödeme Hizmeti Sağlayıcılarının Ödeme Hizmetleri Alanındaki Veri Paylaşım Servislerine İlişkin (Tebliğ) 1 Aralık 2021 tarih ve 31676 sayılı Resmi Gazete'de yayımlanmış ve 27/6/2014 tarihli ve 29043 sayılı Resmî Gazete'de yayımlanan Ödeme Hizmetleri ve Elektronik Para İhracı ile Ödeme Kuruluşları ve Elektronik Para Kuruluşları Hakkında Yönetmelik (Mülga Yönetmelik) ve Ödeme Kuruluşları ve Elektronik Para Kuruluşlarının Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ (Mülga Tebliğ) yürürlükten kaldırılmıştır.
Yönetmeliğin "İşyerlerine sunulan hizmetler" başlıklı 10 uncu maddesinin birinci fıkrasında;
"(1) Ödeme hizmeti sağlayıcısı, işyerine ödeme hizmeti kapsamına giren bir ödeme yöntemi ile mal ve hizmet satışı yapabilmesini sağlamak için sunacağı hizmetlerin sunumuna başlamadan önce, hizmet sunulacak işyerinin 9 uncu maddenin beşinci fıkrası uyarınca kurulan sistemde kayıtlı olup olmadığını kontrol eder, işyerinin kayıtlı olmaması durumunda kaydolmasını sağlar, kayıtlı olması durumunda ise sistemde anlaşma yapmak istediği işyerine ilişkin olumsuz bir kayıt olup olmadığını kontrol eder ve olumsuz bir kayıt bulunması durumunda, olumsuz kaydın içeriği nedeniyle işyerine ilişkin mevzuatla getirilmiş bir hizmet sunma yasağı bulunması durumunda buna uygun hareket eder, bu tür bir zorunluluk bulunmaması durumunda kayıtların içeriğini göz önünde bulundurarak risk yönetimi çerçevesinde gerekli değerlendirmeleri yapar. Ödeme hizmeti sağlayıcısı, 9 uncu maddenin beşinci fıkrası uyarınca kurulan sistemde hizmet sunduğu işyerlerine ilişkin olumsuz bir kayıt olup olmadığını yılda en az bir defa olmak üzere düzenli aralıklarla kontrol eder ve kayıt bulunması durumunda kaydın içeriğine göre gerekli önlemleri alır." hükmü,
Tebliğin "Yüksek riskli işlemlerin takibi" başlıklı 19 uncu maddesinde;
"(1) Kuruluş, sahtekârlık ya da dolandırıcılık amaçlı işlemler ile mali suç kapsamında değerlendirilebilecek işlemleri tespit etmek ve önlemek amacıyla işleme taraf müşteriler ile temsilciler, işyerleri ve insansız hizmet noktalarından gerçekleştirilen tüm işlemler için takip mekanizmaları tesis eder. Bu kapsamda şüpheli veya yüksek riskli işlemleri detaylı olarak değerlendirir. Kuruluş, gerçekleşen işlemlere yönelik işleme taraf işyeri ve sunduğu hizmete yönelik etkin bir takip yürütmekle sorumludur. Bu kapsamda kuruluş, işyerine yönelik risk değerlendirme çalışması yapmak, işyerinin sunduğu hizmetin sosyal mühendislik faaliyetlerine konu olmadığı ve belirtilen hizmet ile gerçekte sunulan hizmetin uyumluluğu konusunda bilgi sahibi olmak, hizmetlere ilişkin yoğun müşteri şikâyeti olması durumunda risk değerlendirmesini gözden geçirerek gerekli tedbirleri almaktan sorumludur.
(2) 5549 sayılı Kanuna ilişkin yükümlülükler saklı kalmak üzere kuruluş, olağan dışı, şüpheli ya da yüksek riskli işlemlerin gerçekleştirildiğini tespit etmesi halinde telefon ya da SMS gibi uygun yöntemlerle müşterilerin en kısa sürede uyarılmasını sağlar. Müşteriye kısa sürede ulaşılabilecek bir iletişim bilgisinin kuruluş ile paylaşılmamış olması halinde bu fıkra hükmü uygulanmaz.
(3) Düşük değerli olan ödeme işlemlerinin kısa bir süre içinde sıklıkla gerçekleştirilmesi ya da düşük değerli ödeme aracının kısa bir süre içinde sıklıkla kullanılması yüksek riskli işlem olarak değerlendirilir.
(4) Kuruluş, Kanun kapsamında elektronik kanallar üzerinden sunduğu hizmetlerle ilgili olarak gerçekleşen olağan dışı, sahtekârlık amaçlı veya dolandırıcılık riski bulunan işlemleri tespit etmeye ve bunları önlemeye yönelik işlem takip mekanizmaları kurar. İşlem takip mekanizması kapsamında uygun olan durumlarda asgari olarak aşağıdaki risk unsurları takip edilir:
a) Finansal sonuç doğuran işlemlere yönelik bilinen dolandırıcılık yöntemleri.
b) Gerçekleştirilen her bir ödeme işleminin tutarı ve bu tutarlara göre müşterinin, fiziki ortamlarda gerçekleştirilen tüm işlemlerde, elektronik kanallar üzerinden gerçekleştirilen işlemlerde ise müşterinin onay vermesi durumunda konum bilgisi de kullanılarak normal dışı bir ödeme, fon transferi ya da davranış deseni gösterip göstermediği.
c) Kaybolmuş, çalınmış ya da yetkisiz kişilerce ele geçirilmiş kimlik doğrulama unsurlarının listesi.
ç) Her bir kimlik doğrulama oturumuna yönelik olarak zararlı yazılımların bulaşmış olabileceğini gösteren belirtiler.
d) Mümkün olması durumunda, müşterinin ve müşterinin ödeme yaptığı veya fon transfer ettiği tarafların daha önce sahtekârlık amaçlı veya dolandırıcılık kapsamına giren ödeme işlemleri gerçekleştirip gerçekleştirmediğine ilişkin kayıtlar.
e) (Değişik ibare:RG-7/10/2023-32332) MASAK tarafından yayımlanan rehberlerde yer alan şüpheli işlem tipleri kapsamında uygun görülen senaryolar.
(5) Kuruluş, yüksek riskli işlemleri filtreleyerek değerlendirir ve bu filtrelere takılan müşterileri daha yakından takip eder.
(6) Kuruluş, yürütmekte olduğu risk yönetimi faaliyetleri kapsamında, kuruluş tarafından Kanun çerçevesinde sunulan hizmetlerin, yasa dışı bahis başta olmak üzere yasa dışı faaliyetlerde kullanılıp kullanılmadığının tespiti için sosyal medya ve çevrim içi platformlar dâhil gerekli araştırmaların yapılması ve bu tür işlemlerin önlenmesi için uygun tedbirlerin alınmasını sağlar.
(7) Altıncı fıkra uyarınca alınacak tedbirler kapsamında kuruluş bu işten doğrudan sorumlu olacak yeterli sayıda personeli görevlendirir ve;
a) Görevlendireceği personel tarafından sosyal medya ve çevrim içi platformlar başta olmak üzere yasa dışı bahis ve benzeri yasa dışı faaliyetlerin gerçekleşmesine imkân tanıyan sanal mecralarda kuruluş üzerinden para transferi yapılmasına ilişkin yer alan linkler kullanılarak kuruluş nezdinde hangi kişilerin, hesapların, kartların, işyerlerinin yasa dışı faaliyetlerde kullanıldığının tespit edilmesini,
b) Tespit edilen müşterilere ödeme hizmeti sunulmasının ivedi olarak sonlandırmasını, bu müşterilere para gönderen veya bu müşteriler tarafından para gönderilen kişilerin, hesapların, kartların, işyerlerinin de tespit edilerek yakın takibe alınması ve yasa dışı bahis başta olmak üzere yasa dışı faaliyetlerde kullanıldığına veya rol aldığına ilişkin şüphe oluşması durumunda bu müşterilere de ödeme hizmeti sunulmasının sonlandırılmasını,
c) (a) bendinde yer alan adımların, yasa dışı bahis ve benzeri yasa dışı faaliyetlerin gerçekleşmesine imkân tanıyan sanal mecralarda kuruluş üzerinden para transferi yapılmasına ilişkin diğer kişilerin, hesapların, kartların, işyerlerinin kullanılmadığına ilişkin makul görüş oluşuncaya kadar tekrarlanmasını,
ç) Bu madde uyarınca tespit edilen kişilerin, hesapların, kartların, işyerlerinin ve bunlarla ilgili olarak gerçekleştirilen tüm işlemlerin kayıt altına alması, kayıt altına alınan söz konusu müşterilerin ve bu müşteriler üzerinden gerçekleşen işlemlerin Bankaya ve yasa dışı işlemin mahiyetine bağlı olarak başta (Değişik ibare:RG-7/10/2023-32332) MASAK olmak üzere ilgili kamu otoritelerine raporlanmasını,
d) Kontrolü yapılan ve yasa dışı bahis ve benzeri yasa dışı faaliyetlerin gerçekleşmesine imkân tanıdığı tespit edilen sanal mecraların da kayıt altına alınarak Bankaya ve (Değişik ibare:RG-7/10/2023-32332) MASAK'a bildirilmesini,
sağlar.
(8) Kuruluş tarafından yedinci fıkra uyarınca görevlendirilecek personelin sayısının kuruluşun işlem adet ve tutarları ile faaliyet gösterdiği ödeme hizmeti türleri göz önünde bulundurularak yeterli kontrol mekanizmasının sağlanmasını temin edecek şekilde belirlenmesi gerekmektedir. Banka, kuruluşun işlem adet ve tutarlarını gözeterek kuruluştan yedinci fıkra uyarınca görevlendirilecek personelin bu işe özgü olarak atanmasını istemeye yetkilidir.
(9) Münhasıran Yönetmeliğin 4 üncü maddesinin birinci fıkrasının (g) bendinde yer alan ödeme hizmetlerini sunan kuruluşlar bu maddedeki yükümlülüklerden muaftır." hükümleri
yer almaktadır.
Ayrıca, 2 Ekim 2020 tarihli ve "Sunulan Hizmetlerin Yasadışı Faaliyetlerde Kullanılmasının Önlenmesi Hakkında" konulu Bankamız talimatı ile sektörde yaşanmakta olan en önemli sorunlardan biri olarak "yasa dışı faaliyetlere ilişkin ödemelere aracılık edilmesi" hususunun öne çıktığı belirtilerek tüm Kuruluşlarca 6493 sayılı Kanun kapsamında yürütülmekte olan faaliyetler esnasında alınması gereken bazı önlemlere yer verilmiştir.
Bankamıza son dönemde ulaşan şikâyet ve bilgi edinme başvuruları kapsamında, özellikle dijital kanallar aracılığıyla gerçekleştirilen ödeme işlemlerinde dolandırıcılık ve kötü niyetli kullanım eylemlerinin önemli ölçüde arttığı görülmektedir.
Konu ile ilgili olarak Bankamızca yapılan incelemeler sonucunda, kullanıcıların yasal/resmi izlenimi verilen sahte sitelere yönlendirildiği ve anılan siteler aracılığıyla kullanıcıların kart bilgilerinin ele geçirilebildiği, kullanıcıların kartlarından mal ve hizmet karşılığı olmaksızın çekim yapılabildiği, söz konusu sitelere ise bazı ödeme ve elektronik para kuruluşlarınca sanal POS hizmeti sunulabildiği anlaşılmaktadır.
Bu kapsamda, tespit edilen hususlara ilişkin Bankamızca idari süreçler yürütülmekle beraber, ödemeler alanının güvenliğinin sağlanması, tüketici mağduriyetlerinin önlenmesi ve ödeme ve elektronik para kuruluşlarının itibarının korunmasını teminen;
Yönetmeliğin "İşyeri kayıt sistemi" başlıklı 10 uncu maddesi kapsamında işyerlerine sunulacak hizmetler ile ilgili olarak İşyeri Kayıt Sistemi nezdinde gerekli işlem ve kontrollerin yapılmasına özen gösterilmesi,
Tebliğ'in "Yüksek riskli işlemlerin takibi" başlıklı 19 uncu maddesi kapsamında Kuruluşlarca gerekli takip mekanizmalarının kurulması ve aktif şekilde kullanılması,
İşyeri kabulü aşamasında işyerlerinin internet siteleri ve online satış kanallarında güvenli iletişim kurulmasına imkan sağlayan ve işyerine tanımlanmış sertifikaların mevcudiyetinin ve güncelliğinin kontrol edilmesi,
İşyerlerinin beyan ettikleri faaliyetlerin dışında herhangi bir yasa dışı faaliyet yürütmediklerinin kontrolünün gerek işyeri kabulü aşamasında gerekse sonrasında düzenli aralıklarla kontrol edilerek izlenmesi,
Çevrimiçi platform ve sosyal medyada dolandırıcılık şikayetlerine ilişkin şikayetlerin incelenerek şikayetlerde adı geçen işyerleri hakkında incelemelerde bulunulması,
İşbu yazı uyarınca tespit edilen kişilerin/hesapların/işyerlerinin ve bunlarla ilgili olarak gerçekleştirilen tüm işlemlerin kayıt altına alınması ve Bankamıza ve işlemin mahiyetine bağlı olarak T.C. Hazine ve Maliye Bakanlığı Mali Suçları Araştırma Kurulu, T.C Ticaret Bakanlığı ve sahte internet sitelerine ilişkin olarak özellikle Bilgi Teknolojileri ve İletişimi Kurumuna bilgi verilmesi,
Tüketicilerin kullandıkları sitelerin adreslerini kontrol etmeleri, kişisel ve/veya finansal bilgilerini ve şifrelerini paylaşmamaları, elektronik cihazlarına yükledikleri uygulama ve yazılımları kontrol etmeleri hususlarında bilinçlendirilmelerine yönelik bilgilendirmeler yapılması hususlarında, 6493 sayılı Kanun ve buna ilişkin ikincil düzenlemeler başta olmak üzere ilgili tüm düzenlemelere uyum durumunun kuruluşunuzca gözden geçirilmesi ve geliştirilmesinde yarar görülen hususlarda gerekli aksiyonların ivedilikle alınmasında yarar görülmektedir.
Bilgilerinizi ve gereğini rica ederiz.
