Finansal aracılık sektörü yapısı gereği regülasyonlara fazlasıyla bağımlıdır. Özelikle Avrupa Birliğinde ilki 2007, ikincisi ise 2018 yılında devreye alınan Ödeme Hizmetleri Direktifi (Payment Service Directive – PSD) finansal teknolojilerin gelişmesinde öncülük etmiş ve aynı kurallar ile biçimlendirilmiş büyük bir piyasa oluşmasını sağlamıştır. Bu direktifler fintech kavramını da sektöre kazandırmış ve fintech firmalarının finansal sistemde birer aktör olmasının önünü açmıştır.
Benzer şekilde dünya çapında kişisel verilerin güvenliğine dair gereksinimler ve bu alandaki regülatif değişimler finansal aracı kurumları da etkilemiştir. Türkiye’de “Kişisel Verilerin Korunması Kanunu” (KVKK) ve Avrupa Birliğinde “Genel Veri Koruna Yönetmeliği” (General Data Protection Regulation – GDPR) gibi regülasyonlar bu alanda esaslı tedbirleri de beraberlerinde getirmişlerdir.
Gerek regülatif zorunluluklardan gerek stratejik iş birliklerinden gerek piyasa etkisinden gerek risk paylaşımı gibi ortak amaçlardan doğan ve veri paylaşımı zorunluluğu doğuran gelişmeler, ilgili paylaşım şartlarına uyumu da beraberinde getirmektedir. Özellikle kanun, tüzük, yönetmelik ile hızlı değişebilen bu gereklilikler hızlı uyum ihtiyacını doğurmakta, bu durum da teknoloji kullanabilmeyi finansal aracı kurumlar için büyük bir ihtiyaç haline getirmektedir.
Regülatif zorunluluklar bir yana; etkinliği, kaliteyi, hızı ve kullanıcı deneyimini iyileştirmek, riski azaltmak, süreçleri daha sürtünmesiz hale getirmek gibi amaçlarla yapılan dijital dönüşüm çalışmaları, tüm finansal aracı kurumlar için rekabette farklılaşmanın ana yöntemi haline gelmiştir.
Aşağıda verilen örnekler, bahsi geçen değişim ihtiyaçlarının daha iyi anlaşılmasını sağlarken, ilgililerine finansal aracı kurumlar için regülasyonların nasıl değişken olabileceğini ifade edecektir.
PSD2 ve Etkileri
2017 yılında PSD (Payment Service Directive – Ödeme Hizmetleri Direktifi) ile tüm Avrupa Birliği çapında (üye olmayan Norveç gibi ülkeler de katılmıştır) aynı kurallara tabi bir finansal ödeme alanı oluşturulmak amaçlanmıştır. Ödeme hizmetleri konusunda bankalara ek olarak ödeme hizmeti sağlayıcı firmalar oluşturmak, bu alanda kaliteyi ve rekabeti arttırmak ana hedefler olarak benimsenmiştir. PSD, aynı zamanda SEPA (Single Euro Payment Area) projesinin önemli basamaklarından biri olarak görülmüştür. Türkiye ise PSD’ye dört yıl sonra gerekli kanun düzenlemelerini yaparak adapte olmuştur.
PSD2 ise 2015 yılında yayınlanmış ve 2018 itibariyle zorunlu hale gelmiş (28 ülkeyi kapsamaktadır), EBA (European Banking Authority) ve ECB (European Central Bank) işbirliği ile teknik standartları (RTS – Regularity Technical Standarts) belirlenmiş bir regülasyon olarak karşımıza çıkmaktadır.
PSD2 ile birlikte birçok yeni kavram ve finansal aracılıkta farklı uygulamalar da hayatımıza girmiştir. Bu kavramlardan bazılarını kısaca incelemek PSD2 etkisinin daha iyi anlaşılmasını sağlayacaktır:
- AISP (Account Information Service Provider): Hesap Bilgisi Hizmeti Sağlayıcısı, temelde birden fazla hesap bilgisine erişen ve bunları müşterilerine sunabilen firmalar anlamına gelmektedir.
- ASPSP (Account Servicing Payment Service Provider): Ödeme hesabı hizmeti veren tüm kuruluşları ifade eden kavramdır. PSD2 ile bu firmalara üçüncü parti firmalar için servis açma zorunluluğu getirilmektedir.
- Merchant Acquirer: Alıcı finansal kuruluş (örneğin banka) adına, alıcının kart ödemelerini işleyen kuruluş anlamına gelmektedir.
- PISP (Payment Initiation Service Provider): Ödemeyi başlatan firma arayüzü ile ödemenin yapılacağı platform arasında köprü kuran firmaları ifade etmektedir. Amaç güvenliği, hızı ve işlem kalitesini daha da arttırmaktır.
- PSP (Payment Service Provider): Aslında PSD1 ile tanımlanmış bir kavramdır. PSD2 ile bu hizmetin kapsamı AB dışına da açılmış, yeni güvenlik gereksinimleri doğmuş ve API’ler yoluyla tüm üçüncü parti firmalara açılışı zorunlu hale getirilmiştir.
- XS2A (Access to the Account): Hesaplara Erişim, banka ya da finansal kuruluşlar ile beraber üçüncü parti firmaların da müşterilerin hesap bilgilerine erişmesi anlamına gelmektedir.
PSD2’nun getirdiği zorunluluk ile birlikte finansal aracı kurumlar müşteri ve hesap bilgileri, ödeme hizmetleri gibi birçok veri ve özelliği belirlenen sınırlar dahilinde farklı firmalara açmak, aynı zamanda ödeme başlatma ve kullanıcı girişi gibi farklı alanlarda yeni eklenen güvenlik gereksinimlerini de karşılamak zorunda kalmışlardır. Bu bağlamda birçok finansal aracı kuruluş API (Application Programing Interface – Uygulama Programlama Arayüzü) servisleri oluşturmuşlardır. Hatta geliştiriciler için oluşturdukları ortamlar ve kullanıma açtıkları API’ler vasıtasıyla ve müşterileri için daha fazla değer yaratma amacıyla çalışmalar yapmaktadırlar. Özellikle bankacılıkta “Açık bankacılık” (Open Banking) olarak ifade edilen bu API geliştirme çalışmalarının bankacılığın tüm çehresini değiştireceği öngörülmektedir.
Bankaları ağır işleyişten uzaklaştırmak ve verilerini paylaşmalarını sağlayarak daha kullanıcı odaklı hale getirmek zor olsa da günümüzde bir ihtiyaç haline gelmiştir. PSD2 ile bu dönüşüme öncülük edilmesi, rekabetin arttırılması ve müşteri açısından ilgili piyasanın daha avantajlı hale getirilmesi amaçlanmaktadır. Üstelik PSD2 sadece bankalar için değil ödeme işlemleri içeren tüm finansal aracılık kolları için etkili olan bir değişimdir. Yine PSD2 etkisi ile büyük finansal aracılar fintech’ler ile çalışmaya teşvik edilmekte ve sektör platform ekonomisi modeline doğru evrilmektedir.
Kişisel Verilerin Korunması Kanunları ve Etkileri
Avrupa Birliğinde 1998 yılında yürürlüğe giren “Kişisel Verilerin İşlenmesi ve Serbest Dolaşımı Bakımından Bireyin Korunmasına İlişkin Direktif” kişisel verilerin korunması anlamında Avrupa sınırlarını aşarak, tüm dünyada regülatör kurumlar tarafından kabul gören bir çerçeve sunmuştur. Bu yönetmelik zaman içerisinde birkaç kez revizyona uğrayarak güncellenmiş, özellikle çeşitliliği ve kapasitesi artan kişisel veri trafiğinin, teknolojik gelişmelerin ve veri işlemedeki yeni yaklaşımların sonucu olarak yirmi yıl sonra reform geçirerek güncellenmiştir. Avrupa Parlementosu Mayıs 2016’da “Genel Veri Koruma Yönetmeliği” (General Data Protection Regulation – GDPR) kabul etmiş ve ilgili yönetmeliğin etkilediği tüm kurumlara iki yıl sonra (Mayıs 2018) yürürlüğe gireceğini duyurarak yayınlamıştır.
Türkiye’de ise yürürlüğe giren “Kişisel Verilerin Korunması Kanunu” (KVKK), ülkemizde bu anlamda büyük bir eksikliği tamamlamıştır. Fakat zaman açısından bakıldığında KVKK, Avrupa Birliği yönetmeliğine kısmi olarak uyumlu olsa da gerisinden gelmektedir.
Tüm bu kanun, yönetmelik ve tebliğler; kişisel veri elde eden tüm kurumları sorumlu kabul etmektedir. Kişisel veri ile kasıt sadece verilerle kısıtlı kalmamış, teknoloji ile mümkün hale gelen veri sahibinin davranışlarının izlenmesi de ilgili kanuna dahil edilmiştir.
Finansal aracı kurumlar doğaları gereği kişisel verileri aktif olarak toplamaktadır. Haliyle tüm finansal aracı kurumlar bu regülasyonlara uyum sağlamak zorundadırlar. Bu uyum kapsamında ilgili firmalara hangi verileri ne amaçla toplandıklarına ve ne kadar saklandıklarına dair hem veri sahibini hem de gerektiğinde regülatif kurumları aydınlatma yükümlülüğü getirilmiştir. Bunun dışında anonim hale getirme ile açık verilerin bulanıklaştırılması sorumluluğu da ilgili firmalara yüklenmiştir. Bu bağlamda tüm finansal aracı kurumlar, bütün sistem ve süreçlerini elden geçirmek ve açık verileri bulanıklaştırılmak zorundadırlar. Son dönemde finansal aracıların internet sayfalarına girerken gözlemlediğimiz, müşteri numarası, şifre gibi bilgilerin maskelenmesi, iç sistemlerde veri sahibinin sadece belirli verilerinin kısıtlanmış şekilde sunulması gibi köklü değişimler hali hazırda sürmektedir. Paralelde finansal aracı kurumlar KVKK aydınlatma metinlerini müşterilerine ulaştırılmaya devam etmekte ve verilerinin kullanımı için açık rıza metinlerini müşterilerine onaylatmaya çalışılmaktadırlar.
Sürekli yeni yönetmelik ve tebliğler yoluyla kanun güncellenmeye ve açıklanmaya devam etmekte ve bu alanda değişiklik gereksinimi de devam etmektedir. Dolayısıyla tüm finansal aracılar için veri toplama, saklama ve paylaşma gereksinimlerini takip etmek, marka imajı ve kanunun getirdiği cezai şartlar nedeniyle büyük önem arz etmektedir.
Ortak Veri Merkezi Düzenlemeleri
Finansal aracı kurumlar özellikle kredilendirme sürecinde, kendi ortak veri merkezlerini oluşturarak veya devletler tarafından oluşturmuş veri merkezlerini kullanarak müşterilerinin kredi ve risk bilgilerini takip etmek zorundadırlar. Bu kontrol yapılmadığı durumda batık kredi miktarı artmakta ve bu durum özellikle finansal krizlerde, krizin derinliğini arttırabilmektedir. Türkiye örneğinden ilerlersek, Kredi Kayıt Bürosu ve Risk Merkezi gibi yapılanmalar bu amaca hizmet etmektedirler.
Önde gelen bankaların ortaklığı ile kurulan Kredi Kayıt Bürosu (KKB) tarafından oluşturulan Findeks raporu ile kredi notu öğrenme, risk ve çek raporları alma gibi hizmetler sunmaktadır. Benzer şekilde regülatif düzenlemeler ile oluşturulan ve Bankacılık Düzenleme ve Denetleme Kurumu’nun (BDDK) denetiminde faaliyet gösteren tüm finansal aracı kuruluşlar tarafından kullanımı zorunlu olan Türkiye Bankalar Birliği Risk Merkezi, tüm finansal aracı kuruluşlardan risk odağında verileri toplamak ve gerektiğinde diğer finansal aracılar ile paylaşmak işlevlerini yerine getirmektedir.
KKB ve Risk Merkezine benzer şekilde, Hazine Müsteşarlığı tarafından yayınlanan yönetmelik ile tüm sigorta bilgilerinin tek merkezde toplanması, bu sayede sigortacılık faaliyetlerinin daha kapsamlı ve etkin yürütülmesi, sağlıklı işleyişin sağlanması, suiistimallerin önüne geçilmesi ve denetimin daha etkin hale getirilmesi hedefleri ile kurulan “Sigorta Bilgi ve Gözetim Merkezi”, sigortacılık alanında ortak veri merkezi olarak çalışmaktadır. Yine Hazine Müsteşarlığı tarafından görev ve yetkilendirmesi ile kurulan “Emeklilik Gözetim Merkezi” benzer amaçlarla bireysel emeklilik alanında hizmet vermektedir.
Ortak veri merkezleri ve bu merkezlere bağlı kurumlar ile paylaşılan müşteri verilerinin mahremiyeti ve süreçlerin rekabet kurallarını sarsmayacak şekilde kurgulanması gerektiği de göz önüne alındığında, çok kapsamlı bir veri işleme, saklama ve paylaşma gerekliliğinin mevcut olduğu ve bu süreçlerin sıkı sıkıya uygulanan kurallar ile düzenlendiği aşikardır. Bu durum ortak veri paylaşım ve kullanım ihtiyacı olan her alanda takip edilmesi gereken kurallar demektir. Tüm finansal aracı kurumların verilerini bu şekilde tek tip hale getirilerek belirlenen merkez ile paylaşması, gerektiğinde bu merkezden veri sağlanması ve bu verilerin ilgili kuruma özel şekilde işlenmesi özen ve düzenleme gerektiren çalışmalardır.
Ortak veri kullanımı ile birlikte, bu verilere erişen finansal aracılara denetim yükümlülükleri de gelmektedir. Regülatör kurumlar veya bağımsız denetçiler tarafından yürütülen bu denetim çalışmaları, tüm finansal aracı kurumlar için dikkat edilmesi gereken bilgi politikaları oluşturma ve denetim gerekliliklerini yerine getirme yükümlülüğü doğurmaktadır.
Ortak veri kullanımı gün geçtikçe artmakta, ortak veri paylaşılan kurumlara yenileri eklenmekte, bu ortak veri kurumlarının yönetmelikleri özellikle gelişen teknoloji ile birlikte sürekli güncellenmektedir. Her bir güncelleme, ekleme veya değişiklik, yeniden çalışmak demek olduğundan finansal aracı kurumlar ortak veri merkezi düzenlemelerinden fazlasıyla etkilenmekte, oluşturdukları kurullar ve yaptıkları görevlendirmeler ile tüm bu düzenlemeleri takip etmeye çalışmakta ve gerektiğinde kendi sistemlerinde güncelleme yapmaktadırlar.
