Açık Bankacılık ve API’ler

Yazar: Stj. Av. Zeynep ERTEN

Finansal teknolojilerin hızla geliştiği bu dönemde, “açık bankacılık” kavramı, finansal hizmetler sektöründe bir dönüşümün temel taşlarından biri haline gelmiştir. Açık bankacılık, bankaların ve diğer finansal kuruluşların, müşterilerin onayı ve güvenli API (Application Programming Interface) teknolojileri aracılığıyla, üçüncü taraf hizmet sağlayıcılarıyla müşteri verilerini paylaşmalarını ifade etmektedir. Söz konusu model, geleneksel bankacılık sistemlerinin ötesine geçerek, daha şeffaf, erişilebilir ve müşteri odaklı hizmetler sunmayı hedefler. Açık bankacılık uygulamaları ülkemizde ve dünyada büyük yankı uyandırması ve birçok girişim tarafından hizmet kalitesini artırmak amacı ile ve finansal araçlara erişimi sağlama yoluyla kullanılması sebebiyle hukuki vecihten de gündeme gelmiştir. Bu çerçevede rekabet hukuku nezdinde desteklenen açık bankacılık uygulamaları finansal hizmetlere özgü uyum süreçleri ile mahremiyet ve kişisel verilerin korunması konuları bakımından özellik arz etmektedir.

Açık Bankacılık ve API nedir, ne ifade eder?

Açık bankacılık, finansal hizmetler alanında, müşteri verilerinin yönetimi ve erişimi konusunda yeni bir sisteme işaret ederek bankaların müşteri verilerini, müşterilerin rızası ve katılımı doğrultusunda, güvenli uygulama programlama arayüzleri (API’ler) üzerinden yetkilendirilmiş üçüncü taraf hizmet sağlayıcılarına aktarmalarını sağlar.

API’ler, açık bankacılık hizmetlerinin temelini teşkil etmekle beraber teknik olarak farklı yazılım platformları ve uygulamalar arasında veri alışverişini sağlayan arayüzlerdir. Açık bankacılık bağlamında, API’ler, bankaların veri tabanlarından güvenli bir şekilde bilgi alışverişini kolaylaştırarak, üçüncü taraf uygulamaların bu verileri yenilikçi finansal hizmetlerin geliştirilmesi için kullanmasına imkan tanır.

Açık Bankacılık Sistemi Nasıl İşler?

Açık bankacılık sistemleri API’ler üzerinden yürütülmektedir. API’ler, farklı yazılım sistemleri arasında veri paylaşımını sağlayan teknik araçlar olup, bu sistem, müşteri izni ile üçüncü taraf uygulamalara banka verilerine erişim imkanı tanımaktadır.

Açık bankacılıkta API’ler, bankaların müşteri izniyle üçüncü taraf uygulamalara, örneğin fintech firmalarına veya veri toplayıcılara, özel finansal verilere erişim sağlamak için kurduğu özel uç noktalar olarak hizmet verir. Finans kurumlar, bu üçüncü taraflara şifrelenmiş erişim sağlayarak müşteri verilerinin güvenliğini korumakla yükümlüdür. Bu bağlantılar, uygulamaların hesap bakiyesi kontrolü, işlem geçmişi sorgulaması ve hesap ile yönlendirme numarası doğrulaması gibi temel müşteri işlevlerini gerçekleştirmesine olanak tanır.

Veri toplayıcılar, fintech uygulamaları ve finans kurumları arasında bir “API köprüsü” işlevi görür. Bu toplayıcılar, çok sayıda finans kurumu ile bağlantı kurar. Bu süreçte, bir borsa uygulaması kullanıcısı, banka hesabını uygulamaya bağlamak istediğinde, banka kullanıcıyı kimlik doğrulamak için banka hesap bilgilerini girmeye yönlendirir. Başarılı bir doğrulama sonrasında, banka ve veri toplayıcı arasında şifrelenmiş bir API belirteci oluşturulur. Bu belirteç, banka hesabı ve toplayıcı arasında sürekli bir bağlantı kurar. API köprüleri vesilesiyle bankalar uhdesinde tutulan veriler diğer kuruluşlar ile paylaşılmış olmaktadır. Bu yolla bir bankanın mobil uygulamasından diğer banka hesabına erişim mümkün olduğu gibi Buy Now Pay Later gibi gömülü finans uygulamalarının kullanımı da imkan dahlinde olmaktadır.

Açık Bankacılık İş Modelleri

Açık bankacılık, finansal hizmetler sektöründe dört temel rol üzerinden yeni bir iş modeli sunmaktadır: Entegratör, Üretici, Dağıtıcı ve Platform. Entegratör rolünde, bankalar hem hizmet oluşturma hem de dağıtım süreçlerini kendi bünyelerinde gerçekleştirerek, müşteri deneyimini tamamen kontrol ederler. Üretici rolünde, bankalar hizmet üretirken, üçüncü taraflar bu hizmetleri müşterilere ulaştırır, bu süreçte markalaşma ve müşteri sahipliği gibi konular ön plana çıkar. Dağıtıcı rolü, bankaların dijital kanallarını kullanarak üçüncü taraf ürün ve hizmetlerini sunmasını ihtiva eder. Platform rolü ise, bankaların aracı olarak hareket edip, üçüncü taraflar ve müşteriler arasında işlemleri kolaylaştırdığı bir yapıyı temsil eder. Bu yeni iş modeli, finansal kurumların ve fintech’lerin hizmet sunumlarını genişletmelerini sağlarken, aynı zamanda sektördeki rekabeti artırıp, müşteri odaklı yenilikleri teşvik eder. Açık bankacılığın bu rolleri, finansal hizmetlerin daha kişiselleştirilmiş, erişilebilir ve etkili bir şekilde sunulmasına olanak tanırken, aynı zamanda güvenlik, veri koruması ve düzenleyici uyumluluk gibi önemli konuları da gündeme getirmektedir.

Açık Bankacılığın Küresel Boyutta Hukuki Çerçevesi

Rekabet Hukuku Boyutuyla Açık Bankacılığın Ortaya Çıkışı ve Etkisi

Açık bankacılığın ortaya çıkış sürecinde bilhassa bankalar ile rekabet etme ihtimali olan finansal teknoloji şirketlerinin ortaya çıkması ilgili otoriteler tarafından olumlu karşılanmıştır. Rekabet hukuku, piyasadaki oyuncuların adil ve eşit şartlarda faaliyet göstermelerini ve tüketici haklarının korunmasını amaçlar. Açık bankacılık uygulamaları, bu hedefler doğrultusunda önemli bir rol oynamakta olup bu yeni model, geleneksel bankaların yanı sıra fintech şirketleri ve diğer finansal teknoloji sağlayıcıları için piyasaya giriş engellerini azaltarak, sektördeki rekabeti artırmaktadır. Açık bankacılığın getirdiği API’ler ve müşteri verilerinin paylaşılması, daha küçük ve yenilikçi şirketlerin de bankacılık ve finansal hizmetler pazarında yer almasını kolaylaştırır. Bu durum, müşterilere daha geniş bir hizmet yelpazesi sunarak, rekabeti teşvik eder ve tüketici refahını artırır. Ayrıca, açık bankacılık, finansal kurumların ürün ve hizmetlerini daha şeffaf hale getirerek tüketicilerin bilinçli kararlar almasını sağlar. Bu şeffaflık, rekabetin daha adil ve sağlıklı bir şekilde işlemesine katkıda bulunmaktadır.

Ödeme Hizmetleri Direktifi (PSD2) ve Getirdikleri

Ödeme Hizmetleri Direktifi (PSD2), Avrupa Birliği’nin bankacılık sektöründeki rekabeti artırmak ve finansal hizmetlerin yenilikçiliğini teşvik etmek amacıyla getirdiği düzenlemeleri içermekte olup PSD2, bankaların müşterilerinin hesap bilgilerini, müşterinin rızası dahilinde, üçüncü taraf sağlayıcılara açmalarına imkan kılar. Bu düzenleme, ödeme başlatma hizmetlerini ifade eden Payment Initiation Services (PIS) ve hesap bilgi hizmetleri Account Information Services (AIS) sunan yetkili üçüncü tarafların banka hesaplarına erişimlerini kolaylaştırmaktadır. PSD2’nin temel amaçları arasında, tüketiciler için daha iyi finansal ürün ve hizmetlerin sunulması, bankacılık ürünlerinin şeffaflığının artırılması ve finansal hizmetler sektöründe rekabetin teşvik edilmesi yer alır. Bu direktif, bankaları sadece hizmet sağlayıcı olmaktan öteye taşıyarak, finansal hizmetlerin daha geniş bir kullanıcı kitlesine ulaşmasını ve fintech şirketlerinin yenilikçi çözümler sunmasını sağlamaktadır.

PSD2 belirli şirketlerin FCA nezdinde bildirimde bulunarak gerekli izinleri almasını zorunlu kılmaktadır. Buna göre AIS niteliğindeki kuruluşların FCA nezdinde kayıtlı olması ve onay alması gerekmektedir. PSD2 tahtında, Hesap Bilgi Servisi (AIS), kullanıcıya, diğer ödeme hizmeti sağlayıcıları ile tutulan bir veya daha fazla ödeme hesabı hakkında konsolide bilgiler sunan bir çevrimiçi servistir. AIS sunan firmalar, tüketici onayı ile banka hesaplarına erişebilir ve tüketicilere yeni ürünler ve hizmetler sağlayabilirler.

Bunun yanı sıra Payment Initiation Services (PIS) de FCA nezdinde onaya tabi kılınmıştır. Ödeme Başlatma Servisi (PIS), PSD2 yönetmeliği altında, Avrupa’da açık bankacılığı mümkün kılan bir ödeme seçeneğidir. PIS, tüketicilerin, banka hesaplarından doğrudan ödemeler yapmalarını sağlayarak, satıcıların uygulaması veya web sitesinden ayrılmadan mal veya hizmetler için ödeme yapmalarına olanak tanır. PIS sağlayıcıları (PISPs), güvenli API’ler aracılığıyla bu doğrudan ödeme transferlerini mümkün kılan yetkili üçüncü taraf hizmet sağlayıcılarıdır. PISPs, tüketicilerin ve satıcıların arasında bir bağlantı kurarak, doğrudan banka işlemlerini mümkün kılar.  PIS’ler de AIS gibi FCA nezdinde kayıt ve onay gerektiren kuruluşlardır.

Açık Bankacılık ve Avrupa Birliği’nde Mahremiyet Hakkı

Açık bankacılık ve API’lerin Avrupa Birliği’nde veri koruma ve gizlilik yönünden incelenmesi, Genel Veri Koruma Yönetmeliği (GDPR) ve Ödeme Hizmetleri Direktifi 2 (PSD2) ile ilişkilendirilmektedir. Bankaların müşterilerinin rızasını almak suretiyle üçüncü taraf sağlayıcılara hesap bilgilerine erişim sağlamalarını gerektirmektedir. Bu düzenlemeler, açık bankacılığın kullanıcı onayına dayalı olarak işlemesini ve müşteri bilgilerinin güvenliğini sağlamayı hedeflemektedir. Bir diğer ifade ile bu yükümlülükler, finansal kurumların açık bankacılık işlemlerini işlerken GDPR standartlarına, özellikle de tüketiciden “açık rıza” alınmasına (Madde 9) ve veri ihlalleri durumunda sorumluluk alınmasına (Madde 82) uygun hareket etmeleri gerektiği anlamına gelmektedir. Açık bankacılık kapsamında yapılan veri işleme faaliyetlerinde, finansal kurumların tüketicinin açık rızasını alması ve bu rızayı veri işleme süreçlerinde kullanması gerekmektedir. Bu, hem tüketicinin mahremiyetini korumak hem de veri güvenliğini sağlamak için kritik öneme sahiptir.

Açık bankacılığın yalnızca teknolojik bir yenilik olmadığını, aynı zamanda tüketicilerin veri haklarını ve mahremiyetini korumak için yasal zorunluluklar içerdiği vurgulanmaktadır. Bu, finansal hizmet sağlayıcılarının, veri işleme ve paylaşım süreçlerinde daha şeffaf ve sorumlu olmalarını gerektirmekte olup tüketicilere veri kullanımları üzerinde daha fazla kontrol ve güvenlik tesis etmek imkanı sağlar ve finansal kurumların, tüketici verilerini işlerken daha dikkatli ve sorumlu olmalarını zorunlu kılar.

Bu bağlamda, açık bankacılık uygulamalarının başarısı, sadece teknolojik altyapıya ve yenilikçi hizmetlere dayanmamakta, aynı zamanda tüketici haklarına ve veri koruma standartlarına olan bağlılığa da yakından bağlıdır. Finansal kurumlar ve üçüncü taraf hizmet sağlayıcılar, hem teknolojik yenilikleri hem de tüketici mahremiyetini ve veri korumasını dengeli bir şekilde ele alarak, güvenli ve etik açık bankacılık hizmetleri sunmalıdır.

Türkiye’de Açık Bankacılık ve Hukuki Çerçevesi

6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun, Türkiye’de fintech sektörü için önemli bir dönüm noktasıdır. Bu kanun, açık bankacılık ve ödeme hizmetleri alanında yeni düzenlemeler getirerek, fintech şirketlerine banka verilerine daha geniş erişim sağlama ve yenilikçi ödeme çözümleri geliştirme imkanı tanımıştır. Kanun, fintech şirketlerinin müşteri hesaplarına erişim sağlamaları, ödeme emirleri başlatmaları ve hesap bilgilerini işlemeleri için çerçeve oluştururken, aynı zamanda güvenlik ve müşteri mahremiyeti konularında bazı düzenlemeler içermektedir.

İlgili süreç, Kişisel Verilerin Korunması Kanunu (KVKK) ile de yakından ilişkilidir. KVKK, Türkiye’nin kişisel verilerin işlenmesi, saklanması ve aktarılmasına dair yasal çerçevesini belirlemektedir. Özellikle finans sektöründe, müşterilerin kişisel ve finansal verilerinin korunması büyük önem taşımaktadır. Açık bankacılık uygulamaları, bankaların sunduğu API’ler üzerinden gerçekleştirilmektedir. Bu API’ler sayesinde, bankalar ile müşteriler arasında üçüncü taraf yazılımların devreye girmesi mümkün hale gelmiştir. Bu, müşterilerin rızasıyla, bankacılık verilerinin üçüncü taraf finans teknolojisi platformları tarafından kullanılabilmesine olanak tanır.

Bu süreçte, KVKK’nın getirdiği düzenlemelere uygun olarak, müşterilerin açık rızalarının alınması, verilerin güvenli bir şekilde işlenmesi ve saklanması, ayrıca veri ihlalleri durumunda ilgili taraflara bildirimde bulunulması gerekmektedir. İlgili yükümlülükler doğrultusunda hem finansal kuruluşların hem de fintech şirketlerinin, müşteri verilerini işlerken KVKK ve ilgili diğer yasal düzenlemelere uygun hareket etmeleri zorunlu kılınmıştır.

Bu bağlamda, açık bankacılık düzenlemelerine, ödeme hizmetlerinin sunumuna ilişkin hususlar 6493 sayılı kanun çerçevesinde yer verilirken kişisel verilerin korunması hususu 6698 sayılı kanun uyarınca benimsenmiştir. Bunun yanı sıra Ödeme Hizmetlerinde Veri Paylaşım Servislerine İlişkin Rehber (“Rehber”) uyarınca açık bankacılık vesilesiyle paylaşılan verilere ilişkin çerçeve çizilmiştir. Buna göre Rehber, ödeme emri başlatma ve hesap bilgisi hizmetleri, bu hizmetlerin lisanslama süreçleri, teknik sertifikasyon gereksinimleri ve uygulama mimarisi hususlarını detaylandırılır. Ayrıca, bu hizmetlerin güvenlik, müşteri onayı ve veri koruma standartlarına uyumuna değinmektedir. Hizmet sağlayıcıların yükümlülükleri, risk değerlendirmeleri ve müşteri bilgilerinin korunmasına dair yönergeler de içermektedir.

Rehber, Ödeme Hizmetlerinde Veri Paylaşım Servisleri (ÖHVPS) açık bankacılığın bir parçası olarak, müşterilerin rızası ile üçüncü taraf hizmet sağlayıcıların erişimine açılan finansal verilerin paylaşımını açıklamaktadır. Bu sistem, özellikle iki ana hizmet üzerine odaklanır:

  • Ödeme Emri Başlatma Hizmeti: Müşterinin talebi üzerine, bir ödeme hizmeti sağlayıcısında bulunan ödeme hesabı ile ilgili ödeme emirlerinin başlatılması.
  • Hesap Bilgisi Hizmeti: Müşterinin onayı ile, ödeme hizmeti sağlayıcılarında bulunan birden fazla ödeme hesabına ilişkin konsolide edilmiş bilgilerin çevrimiçi olarak sunulması.

Bu hizmetler, PSD2 gereklilikleriyle uyumlu olarak tanımlanmıştır. Türkiye Cumhuriyet Merkez Bankası (TCMB), bu hizmetlerin sunumu ve düzenlenmesi konusunda yetkili otorite olarak ilgili kanunlar ve yönetmelikler çerçevesinde bu hizmetlere ilişkin temel kuralları ve çerçeveyi belirlemektedir.

ÖHVPS’nin uygulanması, finansal kuruluşların ve üçüncü taraf hizmet sağlayıcıların teknik ve operasyonel gereksinimlere uygun hizmetler sunmasını gerektirir. Bu, hizmet sağlayıcıların TCMB’ye lisans başvurusunda bulunmalarını ve teknik sertifikasyonları tamamlamaları gerekmektedir. Ayrıca, işbu sistem kapsamında verilerin güvenliği ve müşteri onayının önemi vurgulanmaktadır.

Sonuç

Açık Bankacılık ve API’ler, finansal teknolojilerin gelişiminde önemli bir dönüm noktası oluşturmakta ise de hukuki zeminden bağımsız bir sistemin teşekkülü muhtelif sorunları da beraberinde getirebilecektir.

Açık bankacılığın hukuki çerçevesi, Ödeme Hizmetleri Direktifi (PSD2) gibi Avrupa Birliği düzenlemeleri ve Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun gibi Türkiye’deki yasal düzenlemelerle şekillenmektedir. Bu düzenlemeler, açık bankacılığın kullanıcı onayına dayalı olarak işlemesini, müşteri bilgilerinin güvenliğini sağlamayı ve tüketici haklarını korumayı hedefler.

Sonuç olarak, açık bankacılık uygulamalarının başarısı, sadece teknolojik altyapıya ve yenilikçi hizmetlere dayanmakla kalmayıp, aynı zamanda tüketici haklarına ve veri koruma standartlarına olan bağlılıkla ilişkilidir. Finansal hizmet sağlayıcıların, veri işleme ve paylaşım süreçlerinde daha şeffaf ve sorumlu olmalarını gerektirirken, tüketicilere veri kullanımları üzerinde daha fazla kontrol ve güvenlik sağlaması gerekmektedir. Bunun yanı sıra ödeme hizmetlerine ilişkin hukuki düzenlemelerin açık bankacılık sistemlerine değinen kısımlarının detaylı bir şekilde ele alınması finansal sistemin sorunsuz biçimde işlemesine sebebiyet verebilecektir.

Hukuk ve Bilişim Dergisi Blog’ta yer alan  Fintech Hukuku alanındaki tüm yazılarımıza bağlantıdan ulaşabilirsiniz.

Hukuk ve Bilişim Dergisi’nin geçmiş sayılarını okumak için bağlantıya tıklayınız.

Yazar: Stj. Av. Zeynep ERTEN