Açık Bankacılık sadece düzenlemeler zorunlu kıldığı için gerçekleşmiyor, ticari açıdan bir ulusun finansal altyapısını daha verimli, daha esnek hale getirmek ve müşterilere daha iyi hizmet vermek için bir fırsat olarak benimseniyor. Ekonomiye ve topluma bir bütün olarak getireceği fırsatları dört gözle bekliyoruz.

Open Banking Implementation Entity the ‘OBIE’ Uygulama Denetçisi İmran Gulamhuseinwala, İngiltere

Fintek kuruluşları için ödeme sistemlerindeki inovasyon başarısı, kullanıcıların istekleri doğrultusunda, teknolojiye olan talebi iyi analiz etmekten ve buna yönelik hazırlık yapmaktan geçiyor. Dolayısıyla finansal süreçlerin geliştirilmesinde ve sağlanacak kolaylıklarda kullanıcılarını dinleyerek çalışmalar yapan ve hizmet üreten fintek kuruluşlarının, finans dünyasında kalıcılığı elde edeceği öngörülüyor. Ancak rekabetçi ekosistemin tüm finans şirketlerine kaliteli hizmet sunma zorunluluğunu getirmesi ve Fintek’lere yapılan yatırımın oldukça artması gibi sebeplerle bu başarıyı korumak hiç kolay olmayacak. KPMG tarafından yayınlanan ‘Pulse of Fintech H2 2020’ raporuna göre, dünyada 2020 yılının genelinde 105.3 milyar dolarlık fintek yatırımı gerçekleşti.  T.C. Cumhurbaşkanlığı Finans Ofisi’nin sadece 2021 yılı için yayınladığı verilere göre, aktif olarak faaliyet gösteren fintek şirketlerinin sayısı 520’ye ulaştı. 2021 yılını incelediğimizde ise fintek sektörüne yapılan yatırım 64 milyon doları buluyor.  2020 yılında 563 olan unicorn sayısı, 2021 yılında 832’ye ulaşırken, bu şirketlerin 162’sinin fintek şirketleri olduğu ve en fazla unicorn çıkaran sektörün de finans teknolojileri olduğu görülüyor. Yazımızın konusu olan ‘açık bankacılık’ teknolojisi ise finans sektörünün geleceğini tasarlayan en önemli gelişmelerden biri olarak öne çıkıyor. Dünya genelinde yaygınlaşan açık bankacılığın, her ülkede bankacılık hizmetlerinin yeni iş modellerine dönüşmesine ve müşterilerine yeni teknik imkanlar sunmasına olanak sağlayacağı öngörülüyor.

Sistemde neler var ve nasıl işliyor?

              Açık bankacılık sisteminde, ‘hesap bilgisi hizmet sağlayıcıları’ (Account Information Service Providers) (AISP) , finansal veriyi toplayan kuruluşlar ve müşteriler, farklı bankalardaki hesaplarında yapmak istedikleri finansal işlemlerini tek bir platformda gerçekleştirebiliyor. Bu şekilde finansal verilerini tek bir yerde toplayabilen müşteriler kendi verileri üzerinde daha fazla hakimiyet kurabiliyor. Örneğin BNP Paribas, Tink şirketi ile yaptığı iş birliği ile Easy Banking adlı aplikasyondan müşterilerin başkaca bankalardaki hesaplarını görüntüleyebilmesini sağlıyor. Bu sistemle BNP Paribas müşterileri Belçika’daki Belfius, ING ve KBC bankalarındaki hesaplarını ekleyebiliyor. Ülkemizdeki örnekleri incelediğimizde ise Türkiye İş Bankası A.Ş.’nin tüzel müşterileri için geliştirdiği TekCep -TekPOS uygulamaları ve Vomsis, Finmaks, Finstant gibi girişimleri ile açık bankacılık sistemini uyguladığını görüyoruz.

’Ödeme başlatma hizmet sağlayıcıları’’ (Payment Initiation Service Providers) (PISP) ise yetkilendirilmiş üçüncü parti şirketlerin, müşterilerin kredi kartı veya banka kartı kullanımına gerek kalmadan online ödeme yapabilmelerine aracılık eden aktörler olarak görev alıyor. Bu şirketler, müşterilerin online alışverişlerinde banka ve satıcı arasındaki ödemeyi yönetiyorlar. Bu yetkiye sahip şirketler, müşteri adına ödeme işlemi başlatılabilecek, ardından müşterinin vereceği onayla doğrudan müşteri hesabından para çekebilecekler.  Müşterinin birden fazla hesabı olması durumunda ise paranın hangi hesaptan çekileceği yine müşteri tarafından belirlenecek.

Avantajları neler?

            Fintek kuruluşları ve bankalar finansal super-app olarak hem yurtiçinde hem de yurtdışında en büyük finans uygulaması olmayı amaçlıyorlar. Yayın serimizde, hem bankalar hem de fintek kuruluşları tarafından müşterilere sunulan birçok finans deneyimini örneklerle açıkladığımız, bir önceki makalemize linkten ulaşabilirsiniz. Bu finansal uygulamalar arasında en efektif model olan ‘açık bankacılık’ müşterilerin verilerini ve finansal hayatlarını daha aktif yönetmelerini, ihtiyaçlarına uygun hizmetlere daha düşük ücretlerle farklı platformlardan bir bütün halinde erişmelerini sağlayan bir iş modelidir. Bu erişimin güvenli bir şekilde çalışması için ise Uygulama Programlama Arayüzü (Application Programming Interface) (API) aracısına ihtiyaç duyuluyor. Bu arayüz ile iki farklı uygulama birbiriyle entegreli çalışıyor ve veri alışverişi sağlanıyor. Mevzuatın öngördüğü kısıtlamalara uygun olarak, bankaların sistemlerinde kayıt altına alınan müşterilere ait düzenli fatura ödemeleri, limit ve harcama bilgileri, başvurulan krediler ve para transferleri gibi bilgilerin, API’lar aracılığıyla, üçüncü parti şirketler tarafından kullanılmasıyla her müşteri için farklı ürün ve hizmetler sunulacak. Bu duruma ilişkin çok fazla para transferinde bulunan bir banka müşterisine, EFT ücretlendirmesinin yapılmadığı ya da düşük olduğu banka ve fintek şirketlerinin önerilmesi örnek gösterilebilir. Yine yasaların elverdiği ölçüde, müşterilerin karşısına kendilerine ait finansal verilerin aktarımı ve analizi ile kullanıcıların salt gelir ve giderlerine göre uygun faiz oranlı ve vade seçenekleri bulunan kredi ürünlerini gösteren bankalar çıkarılacak. Böylece müşteriler, her bankanın sunmuş olduğu ürün ve hizmeti görüntüleyebilecek ve karşılaştırma yaparak kendi bütçelerine en uygun olan finans aktörünü belirleyebilecek. Örneğin HangiKredi, Finekra, kredya ve hesapkurdu gibi platformlar bankaların sunmuş olduğu kredi oranlarının müşteriler tarafından karşılaştırma yapılabilmesine olanak sağlıyor. Bu süreçte kullanıcıların Netflix, Spotify, Blu Tv gibi aboneliklerinde özellikle cashback sağlayan banka veya fintek uygulamalarının listelenmesi gibi bir uygulama da geliştirilebilecek.

Şimdi ise açık bankacılığa ilişkin regülatif kuralların nasıl şekillendiğini inceleyelim.

Hangi temele dayalı? Türkiye’de neler oluyor?

         Avrupa Birliği’nde 2009 yılında hayata geçirilen Ödeme Hizmetleri Yönergesi’nden sonra (Payment Services Directive 1; PSD1) uyum süreciyle beraber 2018 yılının sonunu bulan Ödeme Hizmetleri Yönergesi 2 (Payment Services Directive, PSD2) ile açık bankacılığın regülatif altyapısı oluşturuldu. Açık bankacılığın temeli Türkiye’de 2019 yılında 6493 Sayılı Kanun’da yapılan değişiklikle 7192 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile düzenlendi. 2020 yılı itibariyle mevzuat çalışmaları ivme kazanarak, Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ile açık bankacılığın tanımı yapıldı. Buna göre açık bankacılık, müşterilerin bankacılık işlemlerini gerçekleştirmek veya gerçekleştirmek için bankaya talimat verdikleri elektronik dağıtım kanalı hizmeti olarak ifade ediliyor.

       Ülkemizde faaliyet gösteren bankalar, BDDK tarafından son derece sıkı güvenlik tedbirlerini almakla yükümlü tutuluyor. Yönetmelik ve 6493 Sayılı Kanun’da açık bankacılıkla ile ilgili çalışmaların yapılması konusunda TCMB görevlendirilirken, finansal ve ödeme alanları dışındaki konularda düzenleme yapma yetkisi BDDK’ya verildi. Dolayısıyla açık bankacılık hizmeti için düzenleyici ve denetleyici otorite olmak üzere BDDK ve TCMB seçildi.

      Yukarıda açıklaması yapılan hesap bilgisi hizmet sağlayıcıları (AISP) ile ödeme başlatma hizmet sağlayıcıları (PISP) için TCMB tarafından rehber niteliğinde 1 Aralık 2021’de tebliğ ve yönetmelik yayınlandı. İlgili mevzuatlarda öngörülen hizmetlerin faaliyet iznine sahip kuruluşlar tarafından yerine getirilmesinde uyulması gereken kurallar belirtildi. Bu kurallar kuruluşların geliştirecekleri iş modellerine ve bilgi sistemlerine ilişkin olup, uyum için son tarih 1 Aralık 2022 olarak belirlendi.

AB Ülkelerinde Ödeme Hizmetleri Yönergesi 2 (PSD2) ne öngörüyor? Kullanıcıların finansal verileri nasıl korunacak?

      Ödeme Hizmetleri Yönergesi 2 (PSD2) ile yukarıda da belirttiğimiz gibi açık bankacılık hizmeti kavramsal olarak hayatımıza girmiş oldu. AB ülkelerinde, tüm hesap bilgisi hizmeti ve ödeme başlatma hizmeti verecek şirketlerin yetkilendirilmesi ve denetlenmesi için Avrupa Bankacılık Otoritesi’ne tescil zorunluluğu bulunuyor. Bunların dışında, bu hizmetlerin sunumunda sürdürülebilirliğin sağlanması için faaliyetin büyüklüğüne göre şirketlerin sorumluluk sigortası veya bunun gibi bir güvence sağlamaları da bekleniyor.

Direktif müşterilerin izni doğrultusunda, bankaların, bankacılık faaliyeti konusunda yetkilendirilmiş üçüncü parti şirketlerle veri paylaşımı konusunda birtakım düzenlemeler getiriyor. Buradan hareketle, PSD2’nin açık bankacılık konusunda belki de en çarpıcı düzenlemesi ‘veri paylaşımının’ bankaların inisiyatifine bırakmadan zorunlu kılınması diyebiliriz. Dolayısıyla PSD2, açık bankacılık hizmetini, AB ülkeleri içerisinde çerçevesi kanunlar ile çizilmiş mecburi bir uygulamaya dönüştürüyor.

       Bankalardaki müşterilere ait finansal verileri toplayan bir şirketin, müşterilerin izni kapsamında erişim sağlayabilmesi esastır. Dolayısıyla ‘veri sahipliği’ olgusu bir noktada müşterilere ait olacak ve yapılacak işlemler müşterilerin vereceği izin kapsamında gerçekleşecektir. Özellikle belirtmek gerekir ki, bu erişim banka nezdindeki müşteriye ait tüm verileri değil, bakiye bilgisi ve hesap hareketleri gibi veriler ile sınırlandırılıyor. Böylece farklı bankalardan alınan veriler birleştirilerek müşteriye sunuluyor, birtakım katma değerli hizmetler vermek için bu bilgiler yasada öngörüldüğü şekilde analiz edilecek. Ancak veri toplayan şirketin, veriyi kullanım amacı iş modellerini geliştirmek temelli ise bunun için müşterilerden ek bir izin alınması gerekecek. Finansal veri toplayan şirketler ve ödeme başlatma hizmeti veren şirketler ile bankalar arasında herhangi bir sözleşme ilişkisi kurulmasına ihtiyaç bulunmaması gibi bir yaklaşımın da sergilendiği görülüyor. Zira, banka müşterileri artık bankacılık verilerine farklı platformlardan da ulaşabilme imkanına sahip olduğu için müşterilerin vereceği izin kapsamında bu işlemler yürütülebilecek.

      Müşteriye ait finansal verilerin kullanılması konusunda hem bankaların hem de üçüncü parti şirketlerin sadece PSD2’ye değil, Genel Veri Koruma Tüzüğü’nde (GDPR) yer alan kurallara da riayet etmesi gerekecek. GDPR, müşterilere ait finansal bilgilerin kullanılması için kendilerinden açık rıza alınması, bu rızayı dilediği zaman geri çekebilmesi konusunda sistemlerin oluşturulması, ayrıca bu verilerin ne şekilde ve hangi amaçla kullanılacağına ilişkin ayrıntılı bir şekilde bilgilendirme yapılması yükümlülüğünü öngörüyor. Finansal verilerin korunması için ayrıca her iki hizmeti veren şirketlerin müşterilerin banka sistemine giriş yaparken kullandığı şifrelere mutlak olarak erişim sağlamamasına ilişkin düzenleme getirildi.

Türkiye’deki durum hakkında değerlendirme   

      Üçüncü parti şirketlerin sunduğu birçok hizmet, aslında gündelik yaşantımızda da yer alıyor. Örneğin, tüketici olarak hepimizin vermiş olduğu online siparişlerin harita üzerinden senkronize bir şekilde takibi Google API’ların kullanılmasıyla gerçekleşiyor. Açık bankacılık ekosistemi ise, yukarıda izah edildiği üzere, bu API’lar vasıtasıyla, müşterilerin finansal verilerinin üçüncü taraf şirketlerle paylaşımına olanak sağlıyor. Bu finansal verilerin alışverişiyle müşterilere birtakım ürün ve hizmetlerin sağlanması amaçlanıyor. Böyle bir akışta, müşterilere ait finansal verilere yetkisiz erişimin önlenmesi ve veri ihlallerinin önüne geçilmesi için ülkemiz açısından yasal düzenlemelerin varlığına ihtiyaç duyuluyor. Bu kapsamda, finansal verilerin hangi kurallar çerçevesinde işleneceği ve aktarılacağını da ayrıca belirlemek gerekecek.

Türkiye’de mevcut kişisel veriler hakkındaki korumalardan yola çıkarak hem hesap bilgisi hizmet sağlayıcılarının (AISP) hem de ödeme başlatma hizmet sağlayıcılarının (PISP) müşterilerden verilerinin işlenmesi konusunda açık rıza alma zorunluluğu bulunuyor. Müşteriler tarafından bu açık rızanın istendiği zaman geri çekilebilecek ve rızasının kapsamını sınırlama hakkına sahip olacak. Açık rızanın alınmasına ek olarak bir de müşteri onayının da alınması gerekecek. Ancak bu hakların nasıl kullanılacağı ve müşterinin rızası ile onayının nasıl alınacağı hala belirsizliğini koruyor. PSD2’de, müşterilerin rızasının alınması halinde bankaların finansal verilerinin üçüncü parti hizmet sağlayıcılar ile paylaşım zorunluluğu bulunurken, Türk hukukunda bu minvalde bir veri paylaşımı zorunluluğuna ilişkin herhangi bir düzenlemenin bulunmuyor. Bu durumun Türkiye’de açık bankacılığın gelişimine ket vurduğunu söyleyebiliriz. Bunun için KVKK’da AB mevzuatına paralel bir şekilde uyum çalışmalarının yapılması gerekiyor. Bu uyum sadece KVKK bazında değil, Bankacılık Kanunu için de geçerli, çünkü Bankacılık Kanununa göre müşteri sırrı niteliğindeki kişisel verilerin üçüncü kişilerle paylaşılabilmesi için açık rıza yeterli olmuyor, müşterinin ayrıca bu yönde talimat vermesi gerekiyor. Bu düzenleme de KVKK’daki açık rızayı düzenleyen hükümlerin fonksiyonunu zedeliyor. Ayrıca, müşteri verilerinin yurtdışına paylaşımı ve aktarımı konusunda ise BDDK’nın yasaklama yetkisi bulunuyor, bu duruma ilişkin de ayrıca bir düzenleme yapılması gerekiyor.

Ülkemizde mevcut tüm yasal düzenlemeler veri güvenliğinin sağlanması amacını taşısa da açık bankacılığın gelişimini etkileyecek nitelikte olduğunu söyleyebiliriz. Aslında 2020 yılı itibariyle Türkiye’de açık bankacılık konusunda birtakım gelişmeler yaşandığını görebiliyoruz. Özellikle API’larını dışarıya açan bankaların sayısında bir artış yaşandı. 2019’dan 2021 yılına kadar API’lerini açan banka sayısının 8’den 10’a yükseldiği söyleniyor. Ancak Türkiye’nin fintek’ler açısından verimli ve yenilikçi yapısı göz önüne alındığında bu sayının çok da fazla olmadığını söyleyebiliriz. Bütüncül API kapılarının yokluğu, standartların kolaylaştırıcı nitelikte olmaması, API kavramının yeterince anlaşılamaması gibi faktörler bu sayının azlığına etki ediyor. Bu tabloyu değiştirmek için hem bankalar hem de üçüncü parti şirketlerin işbirlikçi adımlar atarak API standardizasyonlarını belirlemesi gerekiyor. AB mevzuatına uygun olarak, Türkiye’nin de hem bankalar hem de fintek şirketlerince açık bankacılık hizmetini zorunlu haline getirmesi ve uyum sürecini hızlı bir şekilde tamamlaması önem kazanması bekleniyor.

İdeal Sonuç: Açık Bankacılıkta Rekaberlik ve Hızlı Regülatif Adımlar

Açık bankacılık her ne kadar finansal sektörün geldiği son nokta olarak yorumlansa da; dijitalleşmenin etkisinin en çok hissedildiği alanların başında bankacılık sektörü geldiği için, teknolojik gelişmeler ile klasikleşmiş bankacılık anlayışı ve kültürü de dönüşümden nasibini alacak. Müşteriler, yeni dijital dönemde sadece kendi kanallarından içe kapalı ürünler sunan bankalar yerine, şeffaflık temelli, hayatlarını kolaylaştıran ve tercihlerini şekillendiren hizmet sağlayıcı bankaları tercih ediyor. Bunun için finteklerin bankalar nezdinde tehdit olarak görülmemesi, aksine akıllı iş birlikleri ile dijital alanda katma değerli hizmetler için koordineli çalışma yapmaları gerekiyor.

Yeni açık bankacılık anlayışının rekaberlik bakış açısına dayalı olmasının şart olduğu görülüyor. Dolayısıyla; finansal aktörlerin API’lara yönelik standartlarını arttırması ve yeni iş modellerini geliştirmesi, düzenleyici otoritelerin de uyum süreçlerinin tamamlanması yolunda hızlıca aksiyon alması gerekiyor.