Ödeme hizmetlerine ilişkin Avrupa Birliği’nde yürürlüğe giren PSD1’den esinlenerek 27 Haziran 2013 tarihinde Türkiye’de ödeme hizmetlerine ilişkin kanunun yürürlüğe girmesi (6493) sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun (“Kanun”)) ve akabinde de ikincil düzenlemelerin getirilmesiyle bankacılık ve ödeme hizmetlerinde dijital dünyanın hukuki altyapısı Türkiye’de de oluşturulmuştu.
Söz konusu Kanun 12 Kasım 2019 tarihinde ve 1 Ocak 2020 tarihinden itibaren geçerli olmak üzere önemli ölçüde değişikliklere uğradı. Bunlardan biri de yeni ödeme hizmetlerinin getirilmiş olması. Böylece, bir süredir düzenleyici otoritelerin gündeminde olan açık bankacılık konusuna yasal dayanak kazandıran ilk adım da atılmış oldu. Kanun’un 12. maddesinin ödeme hizmeti türlerinin sayıldığı ilk fıkrasına eklenen (f) ve (g) bentleri ile PSD2’de yer alan düzenlemeye çok benzer şekilde açık bankacılık faaliyetleri öngörüldü. Bu kapsamda “ödeme başlatma hizmeti”, “ödeme hizmeti kullanıcısının isteği üzerine başka bir ödeme hizmeti sağlayıcısında bulunan ödeme hesabıyla ilgili sunulan ödeme emri başlatma hizmeti”; “hesap bilgisi hizmeti” ise “ödeme hizmeti kullanıcısının onayının alınması koşuluyla, ödeme hizmeti kullanıcısının ödeme hizmeti sağlayıcıları nezdinde bulunan bir veya daha fazla ödeme hesabına ilişkin konsolide edilmiş bilgilerin çevrim içi platformlarda sunulması hizmeti” şeklinde tanımlandı.
Böylece ödeme başlatma veya hesap bilgisi hizmetini sunacak olan kuruluşların Kanun kapsamında ödeme hizmet sağlayıcısı olmaları gerektiği ve ödeme hizmet sağlayıcıların uymaları gereken yükümlülüklere tabi olduğu da belirlenmiş oldu. Burada yalnızca hesap bilgisi hizmetlerini sunacak olan hizmet sağlayıcıları bakımından, diğer ödeme kuruluşları için öngörülen pay senetlerinin nakit karşılığı çıkarılması, tamamının nama yazılı olması ve asgari sermaye yükümlülüğü şartlarının aranmayacağını görüyoruz15. Yeni değişiklikler kapsamında bu konuda düzenleme yapma yetkisi Türkiye Cumhuriyet Merkez Bankası A.Ş.’de (“Merkez Bankası”) olacak.
Bununla birlikte bankaların kullandıkları bilgi sistemlerine ve elektronik bankacılık hizmetlerine ilişkin usul ve esasların düzenlendiği 15
Mart 2020 tarihinde yayımlanan ve 1 Temmuz 2020 itibarı ile yürürlüğe girecek olan ‘Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik’te, açık bankacılık servisleri “Müşterilerin ya da müşteriler adına hareket eden taraların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu inansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı” olarak tanımlanıyor ve elektronik bankacılık hizmetlerinden biri olarak kabul ediliyor. Bunun doğal bir sonucu olarak da elektronik bankacılık hizmetlerine ilişkin PSD2’ye bağlı RTS kapsamındaki kurallara benzer kimlik doğrulama, işlem güvenliği, dolandırıcılık riskine karşı işlemlerin takibi ve müşterilerin bilgilendirilmesi gibi kuralların tamamı açık bankacılık servisleri açısından da geçerli
hale gelmiş oldu. Ancak PSD2’den farklı olarak bu düzenleme ile yalnızca bankalara yükümlülükler getirildiği için, açık bankacılık hizmet sağlayıcılarının uyması gereken yükümlülükler bakımından henüz mevzuatta bir belirleme yapılmıyor. Öte yandan Merkez Bankası tarafından çıkarılması beklenen ikincil düzenlemeler ile tüm ödeme hizmet sağlayıcılarının uyması gereken yükümlülüklerin belirlenmesi bekleniyor. Açık bankacılık kapsamında yeni getirilecek düzenlemelerin Kanun’daki değişikliklerin yürürlüğe girdiği tarih olan 12 Kasım 2019’dan itibaren bir sene içerisinde, yani 12 Kasım 2020’ye kadar çıkarılması gerekmekte. Bu kapsamda, açık bankacılığın ilk olarak düzenlendiği Kanun’un komisyon görüşmelerinde Merkez Bankası tarafından açık bankacılığa ilişkin standardizasyonların belirlenmesi hususu vurgulandığından ilgili düzenlemelerde API ve benzer arayüzlere ilişkin standardizasyon hususunun da yer alması bekleniyor.
1 Temmuz 2020’de yürürlüğe girecek olan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile getirilen önemli düzenlemelerden birisi olan uzaktan kimlik tespiti sayesinde bankalar tarafından yeni edinilecek müşteriler için kimlik tespitinin uzaktan yapılabilmesi veya daha önce kimlik tespitinde bulunmuş başka bir bankadan açık bankacılık servisleri aracılığıyla hizmet alınması mümkün hale gelecek16. Bu değişiklikler sayesinde mevcutta hesabı bulunan müşterilere uzaktan inansal hizmetlerin sunulması konusunda önemli oranda yol katetmiş olan ülkemizde, inansal kurumlar tarafından yapılacak yeni müşteri edinimleri açısından da uzaktan sözleşme imzalama kolaylığı sağlanmış
ve böylece açık bankacılık kapsamında yapılabilecek işlemlerin kapsamı genişletilmiş olacaktır.
Şu an için Türkiye’de de bankaların hizmet sağlayıcılarla veri paylaşımı yapmasının zorunlu kılınıp kılınmayacağı mevzuat kapsamında belirlenmiş değil. Ancak mevcut düzenlemeler çerçevesinde PSD2’nin ilk halinden17 farklı olarak sınırlı kapsamda da olsa teknik standartlar öngörülmüş ve ileride açık bankacılık kapsamında hizmet verecek bankalar için teknolojik çerçeve bir ölçüde çizildi. Kanun’da açık bankacılıkta veri paylaşımına ilişkin usul ve esasları düzenleme yetkisi Merkez Bankası’na verilmiş olup çıkarılacak ikincil düzenlemelerde bankalardaki verilerin açık bankacılık faaliyetleri çerçevesinde diğer ödeme hizmeti sağlayıcıları ile hangi şartlar altında paylaşılmasının zorunlu olacağına ilişkin bir belirleme yapılacağı tahmin ediliyor.
Bu noktada açık bankacılığa ilişkin getirilecek yeni düzenlemelerde, bankaların beklentilerine uygun olarak veri paylaşım standardizasyonu sınırlarının net olarak çizilmesi ve veri güvenliğini sağlamaya yönelik tedbirlerin belirlenmesi, inansal teknoloji şirketleri açısından getirilen yükümlülüklerin sisteme giriş yapmayı zorlaştırmaması ve müşteriler için ise kullanım kolaylığı ve veri gizliliğini destekleyen hükümlerin yer alması son derece önemli.
Inspired by PSD1, which entered into force in the European Union for payment services, Türkiye’s law on payment services came into force on 27 June 2013 — Law No. 6493 on Payment and Securities Settlement Systems, Payment Services and Electronic Money Institutions (the “Law”). With the secondary regulations that followed, the legal infrastructure of the digital world in banking and payment services was also established in Türkiye.
That Law underwent significant changes on 12 November 2019, effective from 1 January 2020. One of these was the introduction of new payment services. With that, the first step was taken to give a legal basis to open banking — a topic that had been on regulators’ agendas for some time. Through paragraphs (f) and (g) added to the first clause of Article 12 of the Law (which lists the types of payment service), open banking activities were envisaged, very similar to the rules in PSD2. In this context, “payment initiation service” was defined as “the service of initiating a payment order in relation to a payment account held at another payment service provider, at the request of the payment service user”; and “account information service” as “the service of presenting, on online platforms, consolidated information about one or more payment accounts held by the payment service user with payment service providers, provided that the user’s consent is obtained.”
It was thereby established that institutions providing payment initiation or account information services must be payment service providers under the Law and are subject to the obligations payment service providers must meet. For providers offering only account information services, we see that the requirements applied to other payment institutions — issuing shares for cash, all shares being registered, and minimum capital — will not be sought. Under the new amendments, the authority to regulate this area lies with the Central Bank of the Republic of Türkiye (the “Central Bank”).
In addition, the “Regulation on Banks’ Information Systems and Electronic Banking Services,” published on 15 March 2020 and entering into force on 1 July 2020, defines open banking services as an “electronic distribution channel through which customers, or parties acting on behalf of customers, can remotely access the financial services offered by the bank — via methods such as API, web service or file transfer protocol — to perform banking transactions or to instruct the bank to perform them,” and accepts them as one of the electronic banking services. As a natural consequence, rules similar to those under the RTS attached to PSD2 — such as authentication, transaction security, monitoring transactions against fraud risk, and informing customers — became applicable to open banking services as well. Unlike PSD2, however, this regulation imposes obligations only on banks, so the legislation does not yet determine the obligations that open banking service providers must meet. The obligations applicable to all payment service providers are expected to be set out in secondary regulations to be issued by the Central Bank. The new open banking rules must be issued within one year of 12 November 2019, the date the amendments to the Law entered into force — that is, by 12 November 2020. Because the Central Bank emphasised, during the committee discussions on the Law that first regulated open banking, the importance of setting standards for open banking, the relevant regulations are expected to address standardisation of APIs and similar interfaces.
Thanks to remote identification — one of the important provisions introduced by the Regulation entering into force on 1 July 2020 — it will be possible to identify new customers remotely, or to receive service via open banking from another bank that has previously performed identification. With these changes, in a country that has already made significant progress in delivering remote financial services to existing customers, the convenience of signing contracts remotely will also be provided for new customer acquisition by financial institutions, broadening the scope of transactions that can be carried out under open banking.
For now, whether banks in Türkiye will be required to share data with service providers has not been determined in legislation. However, within the current framework — unlike the original version of PSD2 — technical standards have been envisaged, albeit in a limited scope, and the technological framework for banks that will provide open banking services has to some extent been drawn. The Law gives the Central Bank the authority to regulate the procedures and principles for data sharing in open banking, and it is anticipated that the secondary regulations to be issued will determine under what conditions banks must share data with other payment service providers within open banking activities.
At this point, it is extremely important that the new open banking rules clearly draw the boundaries of data-sharing standardisation in line with banks’ expectations, set out measures to ensure data security, ensure that the obligations placed on fintech companies do not make entry into the system difficult, and include provisions supporting ease of use and data privacy for customers.