Türkiye kripto rehberi 2026: uyum, KYC ve Travel Rule

At a glance

What this is: Bu rehber, Türkiye’nin hızla regüle edilen kripto ekosisteminde KYC, AML, işlem izleme ve Travel Rule yükümlülüklerinin operasyonları nasıl şekillendirdiğini anlatıyor.

Why it matters: Bu, IAM ve uyum ekipleri için önemli çünkü kripto müşteri yaşam döngüsü, işlem gözetimi ve üçüncü taraf aktarım kontrolleri birlikte tasarlanmadığında kimlik, dolandırıcılık ve denetim riski aynı anda büyür.

By the numbers:

• Türkiye Kripto Rehberi 2026, KVHS lisanslama, AML yükümlülükleri ve SPK ile MASAK denetimini birlikte ele alıyor.
• NHIs outnumber human identities by 25x to 50x in modern enterprises.

👉 Read SumSub's Türkiye crypto guide on licensing, AML, and Travel Rule

Context

Türkiye’nin kripto piyasası artık sadece büyüyen bir işlem hacmi değil, aynı zamanda daha sıkı lisans, AML ve denetim beklentileriyle yönetilen bir kimlik ve uyum ortamı. Kripto borsaları, cüzdan sağlayıcıları ve on-off ramp operatörleri için sorun yalnızca müşteri kazanımı değil, aynı zamanda kimlik doğrulama, işlem izleme ve sınır ötesi hareketlerin sürekli denetlenmesidir.

Bu rehberin değeri, regülasyonun teknik kontrollerle nasıl birleştiğini göstermesinde yatıyor. KYC, Travel Rule ve işlem gözetimi birlikte ele alınmadığında, uyum açığı çoğu zaman ürün değil süreç kaynaklı olur; yani eksik müşteri profili, zayıf karar akışı ve tutarsız offboarding aynı riski üretir.

Key questions

Q: How should crypto platforms handle KYC and transaction monitoring together?

A: They should treat KYC and transaction monitoring as one control chain, not separate teams with separate records. The identity profile created at onboarding should feed risk scoring, transfer review, and escalation decisions. When these signals stay disconnected, platforms can verify a customer and still fail to explain what that customer is doing.

Q: Why do Travel Rule requirements matter for IAM and compliance teams?

A: Travel Rule obligations matter because they tie identity data to value movement. If the platform cannot reliably associate sender and recipient information with the transaction itself, compliance loses auditability even when screening exists. IAM teams need to ensure that identity records, wallet metadata, and transfer events can be correlated consistently.

Q: What breaks when onboarding data is not linked to ongoing risk review?

A: Ongoing risk review becomes reactive instead of evidence-based. A platform may collect identity documents at sign-up, but without refresh triggers, transaction context, and escalation history, the original profile quickly goes stale. That creates gaps in fraud detection, account restrictions, and regulatory response.

Q: How do organisations know if their crypto compliance controls are actually working?

A: They should look for repeatable decision evidence, not just policy existence. If the team can show why a customer was approved, why a transfer was escalated, and why an account was restricted, the control is functioning. If those decisions cannot be reconstructed, the control is mostly theoretical.

Technical breakdown

KYC ve müşteri kabulü Türkiye kripto uyum zincirinde nasıl konumlanır?

KYC, kripto platformlarında yalnızca ilk kayıt adımı değildir. Müşteri kimliğinin doğrulanması, risk skorlaması, ürün erişimi ve devam eden izleme kararlarının temel girdisidir. Türkiye gibi denetim yoğunluğu yüksek pazarlarda, zayıf onboarding verisi daha sonra işlem izleme, şüpheli faaliyet ayrımı ve denetim kanıtı üretimini bozar. Bu nedenle KYC, kimlik yaşam döngüsünün başlangıç kontrolü olarak görülmelidir, ayrı bir form doldurma işlemi olarak değil.

Practical implication: Onboarding verisini işlem izleme ve AML vakalarıyla aynı kimlik kaydına bağlayın.

Travel Rule ve işlem izleme neden birlikte düşünülmelidir?

Travel Rule, dijital varlık transferlerinde gönderen ve alıcı bilgilerini taşımayı amaçlar, işlem izleme ise davranışsal anomali ve risk desenlerini yakalar. Bunlar ayrı kontroller gibi görünse de aynı operasyonel zincirin parçalarıdır. Bir platform transferi izleyip kimlik verisini eşleyemiyorsa, uyum ekibi hareketi görür ama tarafları açıklayamaz. Tersi durumda kimlik vardır ama işlem bağlamı eksiktir. Güçlü model, kimlik ve işlem sinyallerini tek doğrulama akışında birleştirir.

Practical implication: Transfer verisi ile müşteri kimlik kayıtları arasında otomatik eşleştirme kurun.

KVHS lisanslama, denetim kanıtı ve operasyonel kontrol neden ayrılmaz?

Lisanslama, bir kripto şirketinin yalnızca faaliyette bulunma hakkını değil, kanıt üretebilme kapasitesini de test eder. SPK ve MASAK gözetimi altında, süreçlerin yazılı olması yetmez; kararların, istisnaların ve eskalasyonların tekrar üretilebilir olması gerekir. Bu özellikle cüzdan sağlayıcıları ve saklama hizmetlerinde kritik hale gelir, çünkü müşteri varlığı ile işlem yetkisi arasındaki çizgi sık sık operasyon içinde kayabilir. Denetim kanıtı üretilemeyen kontrol, pratikte kontrol sayılmaz.

Practical implication: Lisans denetimi için karar kayıtlarını, istisna akışlarını ve erişim onaylarını standartlaştırın.

Breaches seen in the wild

• Hugging Face Spaces breach — Hugging Face Spaces breach exposed API keys and authentication tokens.
• LiteLLM PyPI package breach — LiteLLM PyPI supply chain attack, credentials stolen from users.

Read our 52 NHI Breaches Analysis report for a comprehensive view of breaches impacting Non-Human Identities including AI Agents.

NHI Mgmt Group analysis

Türkiye kripto uyum modeli, kimlik doğrulama ile işlem gözetimini artık tek bir kontrol yüzeyi olarak ele alıyor. Bu rehberin gösterdiği şey, KYC’nin tek başına yeterli olmadığıdır; platformlar kimliği doğrulayıp sonra işlem akışını kopuk bir sistemde izlediğinde denetim açısından zayıf kalır. Uyum başarısı, müşteri kabulü ile transfer gözetiminin aynı karar mantığında birleşmesine bağlıdır.

Travel Rule, sınır ötesi işlem riskini görünür kılar ama tek başına riski ortadan kaldırmaz. Gönderen ve alıcı verisi taşınsa bile taraf doğrulaması, cüzdan sahipliği ve işlem amacını bağlayan kontroller eksikse operasyonel kör nokta sürer. Bu nedenle mesele yalnızca veri aktarımı değil, veri ve kimlik ilişkisinin sürekliliğidir.

Türkiye’de kripto operasyonlarının asıl sorunu regülasyonun varlığı değil, regülasyonun denetlenebilir sürece çevrilmesidir. KVHS lisanslama, AML yükümlülükleri ve SPK ile MASAK incelemeleri, ekiplerin belge üretmesinden çok karar izi üretmesini gerektirir. Pratik sonuç şudur: denetlenemeyen süreçler ölçeklense de yönetilemez.

Kimlik yaşam döngüsü kripto şirketlerinde artık müşteri ediniminin ötesine uzanıyor. Hesap açma, işlem yetkisi, risk yeniden değerlendirmesi ve şüpheli davranış sonrası kısıtlama aynı lifecycle içinde ele alınmazsa, dolandırıcılık ve uyum vakaları arasında kopukluk oluşur. Bu rehberin altını çizdiği yön, lifecycle governance’ın kripto için güvenlik kadar uyum mimarisi de olduğudur.

Bu pazar, NHI ve insan kimliği kontrollerinin birlikte yönetilmesini zorunlu kılıyor. Kripto platformlarında müşteri hesapları, operasyonel servis hesapları ve denetim iş akışları aynı ortamda çalışır; biri zayıfsa diğerinin kanıt değeri düşer. Başarılı programlar, erişim, işlem ve offboarding kontrollerini ayrı silolar değil tek sistem olarak ele alır.

From our research:

• 92% of organisations expose NHIs to third parties, raising concerns about supply chain security, according to Ultimate Guide to NHIs.
• 96% of organisations store secrets outside of secrets managers in vulnerable locations including code, config files, and CI/CD tools.
• For lifecycle and offboarding context, see Ultimate Guide to NHIs for how exposure and revocation gaps compound over time.

What this signals

Third-party exposure is now a governance issue, not just an integration issue. In kripto operations, outsourced custody, payment rails, and verification flows often depend on identities that the platform does not fully own. When those identities are not continuously governed, the compliance burden expands beyond the visible customer journey and into vendor-managed access paths.

Platforms should expect lifecycle controls to become a differentiator in regulator-facing conversations. The teams that can prove revocation, review, and escalation across customers, operations, and service identities will spend less time reconstructing evidence after the fact. The control story is shifting from static onboarding checks to end-to-end accountability.

NHI programs and human IAM programs are converging in regulated crypto environments. A customer account, a support workflow, and an operational API credential can all participate in the same incident chain. Teams that separate them operationally will struggle to explain how access was granted, who approved it, and when it should have ended.

For practitioners

• KYC verisini işlem izleme ile bağlayın Müşteri kabulü sırasında toplanan kimlik verisini işlem davranışı ve risk skorlarıyla aynı kayıt modeline eşleyin. Ayrı sistemlerde tutulan veriler, MASAK ve SPK incelemelerinde savunma üretmeyi zorlaştırır.
• Travel Rule eşleşmelerini otomatikleştirin Gönderen, alıcı ve transfer metadatasını otomatik eşleştiren bir doğrulama akışı kurun. Manuel mutabakat, yüksek hacimli kripto operasyonlarında hem gecikme hem de tutarsızlık üretir.
• Denetim kanıtı için karar kayıtları oluşturun Risk kabulü, hesap kısıtlama, red ve eskalasyon kararlarını değiştirilemez şekilde kayıt altına alın. Lisanslama ve denetim süreçlerinde belge değil karar izi sorgulanır.
• Offboarding ve erişim kesimini tek akışta yönetin Müşteri kapanışı, şüpheli faaliyet sonrası kısıtlama ve operasyonel hesap erişimlerinin kaldırılmasını aynı lifecycle sürecine bağlayın. Ayrık offboarding akışları, yetkinin hesap kapandıktan sonra sürmesine yol açar.

Key takeaways

• Türkiye’s kripto market is moving from growth-first expansion to a control-heavy operating model shaped by licensing, AML, and supervision.
• The core risk is not just weak onboarding, but the failure to connect identity, transfer, and offboarding decisions into one auditable lifecycle.
• Teams that can produce decision evidence and continuous transaction context will be better positioned for both fraud response and regulator scrutiny.

Key terms

• Travel Rule: A compliance requirement that transfers certain identity information alongside digital asset transactions. In practice, it means sender and recipient data must travel with the movement of value so firms can meet AML and audit obligations across platforms and jurisdictions.
• KYC: Know Your Customer is the process of verifying who a customer is before granting account access or transaction capability. In regulated crypto, KYC is not a one-time form check, but the starting point for ongoing risk scoring, monitoring, and account governance.
• Transaction Monitoring: Transaction monitoring is the continuous review of payment or transfer behaviour for suspicious patterns, sanctions exposure, or fraud signals. In crypto environments, it must connect to identity records and case handling so alerts can be explained, escalated, and audited.
• Lifecycle Governance: Lifecycle governance is the control discipline that manages access from onboarding through review, restriction, and offboarding. For crypto platforms, it needs to cover customers, operations staff, service identities, and third-party access with the same evidence standard.

Deepen your knowledge

KYC, Travel Rule, and lifecycle governance are core topics in our NHI Foundation Level course, the industry's only accredited NHI security programme. If you are building controls for a regulated crypto environment, it is worth exploring.

This post draws on content published by SumSub: Türkiye Kripto Rehberi 2026. Read the original.