Avrupa Komisyonu (“Komisyon”), “Finansal Veri Erişimi ve Ödemeler Paketi”ni (“Paket”) 28 Haziran 2023 tarihinde yayımladı. Böylelikle, Avrupa Birliği (“AB”) kapsamında ödeme sistemleri de dahil olmak üzere finans sektörünü düzenleyen mevzuatta önemli değişiklikler yapılmasına ilişkin büyük bir adım atıldı. Komisyon, ödeme ve finans sektörünü dijital çağ ile senkronizasyonunu arttırmayı, elektronik ödemelerde rekabeti iyileştirmeyi ve tüketicilerin verilerini güvenli bir şekilde paylaşılmasını sağlayacak –ki bu vesile ile işlem sayısı artabilecek– finansal ürün ve hizmetlere erişim imkanı sunmayı hedeflemiştir.

Komisyon, ayrıca, ödeme hizmeti sektörünün gittikçe büyüdüğünü ve 2021 yılında, 184.2 Trilyon Avro olan değerinin dört yıl öncesine göre 240 Trilyon Avro seviyesine yükseldiğinin altını çizmiştir. Ekonomik büyümenin yanı sıra “daha sofistike” türde dolandırıcılık vakalarının ortaya çıktığına dikkat çekerek, tüketicilerin risk altında olduğunu ve güvenin etkilendiğini vurgulamaktadır. Paket, Komisyon’un ifade ettiği üzere “AB’nin finansal sektörünün amaca uygun ve süregelen dijital dönüşüme ve tüketiciler için sunduğu risklere ve fırsatlara uyum sağlamasını” amaçlamaktadır. Paket ile temel olarak aşağıdaki yasal düzenlemeler ele alınmıştır:

  • Ödeme Hizmeti Direktifi 3 (Payment Service Directive 3 “PSD3”)
  • Ödeme Hizmetleri Yönetmeliği (Payment Service Regulation 1, “PSR1”)
  • Finansal Veri Erişimi Yönetmeliği (Financial Data Access Regulation, “FIDA”)

İlgili mevzuat düzenlemelerine ilişkin detaylar aşağıdaki şekilde ele alınabilecektir:

  1. Ödeme Sistemi Sektörü Kapsamında Getirilen Düzenlemeler

Paket kapsamında PSD3 ve PSR1 ile ödeme sektöründe dört hedefi gerçekleştirmek amaçlanmıştır:

Tüketici korumasını ve ödeme sektörüne olan güveni güçlendirmek: Öneriler, kullanıcıların daha güvende hissetmelerini sağlayacak önlemleri içermektedir. Bu sayede dolandırıcılık ve kötüye kullanım riski azaltılacak ve kullanıcıların ödemelere olan güveni artacaktır.

Açık bankacılık hizmetlerinin rekabet gücünün artırılması: Açık bankacılık, bankalarla banka dışı kuruluşlar arasında veri paylaşımını sağlayan bir hizmettir. Öneriler, bu alanda rekabeti teşvik edecek düzenlemeleri içermektedir. Böylelikle, yeni oyuncuların pazara girişi kolaylaşacak, inovasyon teşvik edilecek ve kullanıcılara daha geniş bir hizmet seçeneği sunulacaktır.

Üye Devletlerde uygulamayı iyileştirmek için denetim yetkilerinin ve yükümlülüklerinin düzenlenmesi: Paket ile üye devletlerdeki uygulama sürecini daha tutarlı ve etkili hale getirmek amacıyla denetim yetkileri ve yükümlülükleri düzenlenmektedir. Bu doğrultuda, farklı üye devletler arasında uyum ve iş birliği sağlanacak ve ödeme hizmetlerinin etkin bir şekilde yönetilmesi mümkün olacaktır.

Banka dışı kuruluşların ödeme sistemlerine ve banka hesaplarına erişiminin düzenlenmesi: Öneriler, bankalarla banka dışı kuruluşlar arasındaki dengeyi sağlamak ve rekabeti teşvik etmek amacıyla ödeme sistemlerine ve banka hesaplarına erişimi kolaylaştıran düzenlemeleri içermektedir. Bu kapsamda, banka dışı kuruluşlar daha fazla fırsat elde edecek ve sektördeki eşit olmayan oyun alanı azalacaktır.

Söz konusu bu hedeflerin gerçekleştirilmesi sektör oyuncularının daha güvenli ve rekabetçi bir ödeme ortamında yer almalarını sağlayacak ve finansal sektörün gelişimine katkıda bulunacaktır.

PSD2’den PSD3’e

PSD2 olarak bilinen Revize Ödeme Hizmetleri Direktifi EU 2015/2366’nın, Ocak 2016’da yürürlüğe girmesini izleyen süreçte, başta tüketici alışkanlıklarının da tetiklemesi ile ödeme, finans ve e-ticaret sektörlerinde büyük değişimler ve hızlı gelişmeler yaşandı. PSD2 ise söz konusu bu değişim ve gelişimeler karşısında piyasanın ve tüketicinin korumasının sağlanmasında yetersiz kaldı. İlk olarak, 2020 Perakende Ödemeler Stratejisi ile gündeme gelen bu hususa ilişkin çalışmalar, Komisyon’un, Mayıs 2022 itibariyle mevzuatta değişiklik yapılmasına yönelik istişareleri ile ivme kazandı. Paket ile 2022 yılından bu yana yapılan çalışmalar ve istişarelerin ardından, PSD2’nin işleyişini iyileştirmek için PSD3 için büyük bir adım atıldı.

PSD2, Avro olsun olmasın bütün para birimlerini kapsayan tüm elektronik ödemeler ve bu kapsamda gerçekleştirilen veri paylaşımları için AB’nin mevcut yasal çerçevesidir. Tüketicinin korunmasına, işlemlerin güvenliğine, ödeme hizmeti sağlayıcılarının (Payment Service Provider, PSP”) lisans almasına ve denetlenmesine ilişkin kuralları içermektedir. Ayrıca, PSD2 ile dolandırıcılığın azalması amacıyla Güçlü Müşteri Kimlik Doğrulaması (Strong Customer Authentication,SCA”) düzenlenmiştir.  SCA, dolandırıcılığı azaltmayı ve çevrimiçi ödeme yapanlara ek bir koruma katmanı sağlamayı hedefleyen bir güvenlik önlemi olup; Komisyon açıklamasında, SCA kullanımı 2020-2021 yılları arasında ödeme sistemlerinin kullanımından kaynaklı dolandırıcılığın %50 azaldığı vurgulanmıştır.  PSD2 her ne kadar olumlu düzenlemeleri ele alsa da; yeni oyuncuların piyasaya girişiyle birlikte inovasyonların hızlı gelişimi ile mevzuatın bazı alanlarında belirsizlikler ve boşlukların ortaya çıktığı da görülmüştür.

Komisyon, PSD2’de de olduğu gibi, finansal kuruluşların lisans alması ve denetlenmesine ilişkin düzenlemeleri, AB üye devletlerin ulusal yetkisini de tanıyarak direktif ile ele almıştır. PSD3’ün Avrupa Parlamento’su ve Konsey’ine de sunulduktan sonra kabul edilmesi ile PSD2’nin yürürlükten kaldırılarak AB üye devletlerinin ulusal yasalarının PSD3 ile uyumlaştırılma sürecinin başlaması beklenmektedir. Öte yandan, İkinci Elektronik Para Direktifi (Direktif 2009/110/EC) PSD3’ün uygulama tarihinden itibaren geçerli olmak üzere yürürlükten kaldırılacak (PSD2 gibi) ve yeni lisanslama rejimine geçişle ilgili geçiş hükümleri olacaktır.

PSR1

PSR1 ile ödeme hizmeti sektöründeki tarafların (PSP ve tüketici) temel hak ve yükümlülükleri düzenlenmiş olup; ödeme hizmeti sağlayıcılarının dolandırıcılıkla ilgili bilgileri birbirleriyle paylaşmalarına olanak tanınarak ödeme dolandırıcılığıyla “mücadele etmek ve hafifletmek” amaçlanmaktadır. Ayrıca PSR1 ile tüketicilerin farkındalığını artırmak, müşteri kimlik doğrulama kurallarını güçlendirmek, dolandırıcılığa maruz kalan tüketicilerin iade haklarının koşullarını genişletmek ve ödemelerde alıcıların IBAN (uluslararası banka hesap) numaralarının hesap isimleriyle uyumunu kontrol etmek için bir sistem oluşturmak zorunlu kılınmaktadır. PSR1, yasalaşma sürecini olumlu bir şekilde tamamlanmasının akabinde AB üye devletleri tarafından doğrudan uygulanacaktır.

Paketin Ödeme Sektörü Açısından Önemli Başlıkları

  • Ödeme hizmeti sağlayıcılarına yönelik davranış kurallarının AB genelinde doğrudan ve tutarlı bir şekilde uygulanabilmesi için mevcut PSD2 kurallarının PSR1 ile değiştirilmesi önerilmektedir.
  • Ödeme kuruluşlarının dolaylı olarak değil, doğrudan ödeme sistemlerine katılmalarının sağlanması hedeflenmektedir. Böylelikle, ödeme kuruluşlarının bankalar aracılığıyla değil, doğrudan ödeme sistemlerine erişim sağlamaları amaçlanmış olup; ödeme süreçleri daha hızlı ve verimli bir şekilde gerçekleştirilebilecektir.
  • IBAN doğrulamasının tüm kredi transferlerine genişletilmesi önerilmektedir. Bu, ödeme kuruluşlarının işlem yaparken alıcının hesap numarasıyla isim arasındaki uyumsuzlukları tespit etmelerini sağlayacak ve dolandırıcılığı azaltacaktır.
  • Ayrıca, güçlü müşteri kimlik doğrulama kurallarında ve Açık Bankacılıkta değişiklikler önerilmektedir. Bu değişiklikler, güvenlik önlemlerini güçlendirerek tüketicilerin daha güvenli bir ödeme deneyimi yaşamasını sağlamayı hedeflemektedir. Aynı zamanda, Açık Bankacılık alanında yapılan değişiklikler, tüketicilere daha fazla kontrol ve seçenek sunmayı ve inovasyonu teşvik etmeyi amaçlamaktadır. Güçlü müşteri kimlik doğrulama kurallarının değiştirilmesi, geri dönüş arayüzlerinin kaldırılması ve diğer değişiklikler önerilmektedir. Bu sayede müşterilerin ödeme işlemlerinde daha güvenli bir deneyim yaşamaları sağlanacak ve dolandırıcılığın önlenmesine yardımcı olunacaktır.
  • Ödeme kuruluşlarının birden fazla bankada koruma altında fonları tutmasının zorunlu kılınması önerilmektedir. Bu durum ise ödeme kuruluşlarının finansal güvenliğini artıracak ve müşterilerin fonlarının korunmasını sağlayacaktır.
  • Avrupa Bankacılık Otoritesi’ne (EBA) ürün müdahale yetkileri verilmesi önerilmektedir. Bu sayede, finansal ürünlerin etkin bir şekilde düzenlenmesi ve tüketici korumasının sağlanması amaçlanmaktadır.

Yukarıda belirtilen düzenlemelerin amacı, ödeme sektöründe daha güvenli, verimli ve inovatif bir ortamın oluşmasını sağlamaktır.

  1. Finansal Veri Erişimi: FIDA

Paket’in bir parçası olarak Komisyon, finansal verilere erişim ve finansal verilerin kullanımını ödeme hesaplarının ötesinde daha fazla finansal hizmete doğru genişleten finansal veri erişimine ilişkin olarak düzenlemeler içeren FIDA’yı yayınlamıştır. FIDA ile finansal alanda belirli müşteri veri kategorilerine erişimin, paylaşımın ve kullanımın sınırlandırılmış kurallara tabi olacağını ortaya koyulmuştur. Veri kullanıcıları ve veri sahiplerinin hak ve yükümlülükleri ile “yetkili finansal bilgi hizmeti sağlayıcıları” adı verilen yeni bir kategoriye ilişkin finansal bilgi hizmeti alanı düzenlenmektedir.

Komisyon, finans sektöründe mevcut veri akış sürecinde sorunların olduğuna değinmiştir. Temelde Standartlaştırılmış API (Uygulama Programlama Arayüzü) ve veri eksikliğinin yanı sıra gerçek veya tüzel kişi müşterilerinin, finans kuruluşlarına (data holder, veriyi muhafaza edenler) verilerinin kullanımına ilişkin verdikleri izinleri yönetebilecekleri bir aracın olmaması; finans kuruluşları ile finansal teknoloji (“Fintech”) firmaları arasında veri paylaşımlarına ilişkin bir yasal düzenlemenin olmaması; Fintech kuruluşlarının müşterilerine veri merkezli ürün veya hizmet sağlayamamaları; gibi hususlarda mevzuat yetersiz kalmıştır.

Veri paylaşım izinlerini yönetmek için kuralların ve araçların olmaması ve müşterilerin potansiyel risklerin tam olarak nasıl ele alındığını bilmemesi nedeniyle oluşan güvensizlik ortamı, müşterilerin verilerini paylaşma konusunda isteksiz kalmasına yol açmıştır.  Öte yandan, müşteriler veri paylaşmak istese dahi yasal düzenlemelerin eksik veya belirsiz olması sebebiyle veri sahipleri (örneğin, finansal kuruluşlar) her zaman veri erişimini sağlamakla yükümlü kılınmamıştır. Mevzuat yetersizliğinin bir diğer sonucu olarak, müşterilerin ve finansal kuruluşların çıkarlarının da sıklıkla çatıştığı söylenebilecektir. Zira müşteri verilerine ilişkin düzenlemeler ve teknik altyapının standartlaştırılmamış olması dolayısıyla veri paylaşımının pahalı olmasından kaynaklı olarak ortaya birçok sorun çıkmaktadır.

Komisyon tarafından yukarıda belirtilen problemler göz önüne alınarak FIDA ile müşterinin erişim hakları, veri kullanıcılarının denetlenmesi, finansal veri paylaşımlarında iş birliği, standart güvenlik şartları, standartlaştırılmış veriye erişim ve müşteri izinlerinin yönetimi için yeni araçların geliştirilmesi gibi hususlar ele alınmış olup; mevcut problemlerin aşılması hedeflenmiştir. Böylelikle, müşteriler için veri paylaşım ilişkileri üzerinde daha fazla şeffaflık ve kontrol yetkisinin tanınması ile veri paylaşımında daha fazla güvenin oluşması sağlanmış ve müşterinin seçim yapabileceği daha yenilikçi ve daha ucuz finansal hizmetler almasının yolu açılmış olacaktır. Fintech firmaları ise müşteri setlerine daha fazla erişim sağlayarak Fintech inovasyonlarının arttırılmasına hizmet edecekler, bu sayede yeni hizmet ve gelir akışları etkinleşecektir.

Türkiye’deki Mevcut Durum ve Beklenen Gelişmeler

Paket ile getirilen düzenlemeler ile Türkiye’deki ödeme ve finans sektörü mevzuatı karşılaştırıldığında her ne kadar benzer kaygıların ve hedeflerin olduğu görülse de uygulama esası itibariyle bazı farklılıklar mevcuttur. Türkiye, AB düzenlemelerini yakından takip etmekte olup; hatta On Birinci Kalkınma Planı içerisinde “Açık bankacılık hukuki altyapısını güçlendirmek amacıyla AB Ödeme Hizmetleri Direktifi 2 ile mevzuat uyumu sağlanacaktır.” hedefi açıkça belirtilmiştir. PSD2’ye uyum sağlama süreci kapsamında; “Açık Bankacılık” kavramının tanımlandığı ve düzenlendiği “Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik” 15 Mart 2020 tarihinde Resmi Gazete’de yayımlanarak 1 Temmuz 2020’de yürürlüğe girmiştir. Öte yandan, yine bu kapsamda 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’da da yapılan değişiklikler ile birlikte PSD2’ye uygun olarak Açık Bankacılık hizmetleri olan konsolide edilmiş bilgilerin sunulması (AISP) ve ödeme emri başlatma (PISP) hizmetleri tanımlanmıştır. Bu doğrultuda, yukarıda belirttiğimiz üzere Paket ödeme sektöründe daha geniş bir kapsam ele alınmakta olup; özellikle açık bankacılık hizmetlerinin rekabet gücünü artırmayı, üye devletlerde uygulamayı iyileştirmek için denetim yetkilerinin düzenlenmesini ve ödeme kuruluşlarının doğrudan ödeme sistemlerine katılımını sağlamayı hedeflemektedir. Ancak Türkiye’deki mevzuat, ödeme hizmetlerinin düzenlenmesini, lisanslandırılmasını ve denetlenmesini; tüketicinin korunmasını ve finansal istikrar konuları ile sınırlı olarak düzenlenmiştir.

Öte yandan, Türkiye’de finans sektörü ise; Bankacılık Kanunu’nun yanı sıra Finansal Kiralama, Faktoring ve Tasarruf Finansman Şirketleri Kanunu, Finansal Kiralama, Faktoring, Finansman ve Tasarruf Finansman Şirketlerince Kullanılacak Uzaktan Kimlik Tespiti Yöntemlerine ve Elektronik ortamda özleşme İlişkisinin Kurulmasına İlişkin Yönetmelik, Faktoring İşlemlerinde Uygulanacak Usul ve Esaslar Hakkında Yönetmelik, Finansal Kiralama, Faktoring ve Finansman Şirketlerinin Kuruluş ve Faaliyet Esasları Hakkında Yönetmelik gibi çeşitli düzenlemeler kapsamında ele alınmaktadır. Yukarıda da detaylı bir şekilde anlatıldığı üzere FIDA ile müşterilere, veri paylaşım ilişkilerinde daha fazla şeffaflık ve kontrol sağlanmasıyla birlikte, veri paylaşımında artan güven, müşterilerin daha yenilikçi ve uygun maliyetli finansal hizmetler arasından seçim yapmalarına olanak tanıyarak, yeni fırsatlar sunmaktadır. Türkiye’de ise bu konular daha farklı yasal düzenlemeler altında ele alınmaktadır. Ancak, özellikle, finansman şirketleri özelinde düzenlenen Finansal Kiralama Faktoring ve Finansman Şirketlerinin Bilgi Sistemlerinin Yönetimine ve Denetimine İlişkin Tebliğ uyarınca birincil sistem verilerine ilişkin oldukça katı düzenlemeler mevcuttur. Mevcut düzenlemeler kapsamında birincil sistem verilerinin kullanım ve muhafazasına ilişkin sınırlandırılması ve tüketicinin birincil sistem veriler üzerindeki hakları detaylı bir şekilde ele alınmamıştır. FIDA’nın inovasyonu desteklerken tüketicinin de haklarını koruma altına aldığı yaklaşımı; henüz Türk mevzuatında yerini almamış, çeşitli mevzuat altındaki dağınık yapısı ise uygulamada belirsizlikler yaratmıştır.

Gelecekte, Türkiye’deki ödeme ve finans sektörü mevzuatında AB düzenlemelerine daha fazla uyumlu olması ve teknolojik gelişmelerin göz önünde bulundurulması beklenen bir dizi değişiklik gerçekleşebilir. Açık Bankacılık kavramının hukuki altyapısının güçlendirilmesi süreci AB düzenlemelerine uyum sağlamayı amaçlayan daha fazla düzenleme yapılmasıyla devam edebilir. Veri paylaşımı konusunda daha fazla şeffaflık, kontrol ve güvenlik önlemlerinin getirilmesi beklenen bir gelişme olarak ortaya çıkabilir. Finans sektörü geniş bir kapsama sahip olması, daha inovatif finansal ürün ve hizmetler sunulması, bu kapsamda tüketici haklarının daha iyi korunması ve finansal istikrarın sağlanması için yeni düzenlemeler yapılması muhtemeldir. Türkiye’nin diğer ülkelerle iş birliği ve uluslararası standartlara uyum çabalarını sürdürmesi beklenmektedir.

 

 

Kaynakça: