PSD3 Uyum Süreci Nedir?
PSD3 Uyum Süreci Raporu
PSD3 Uyum Süreci Raporu
1. PSD3 Kapsamı ve Temel Değişikliklerin Özeti
Ödeme Hizmetleri Direktifi 3 (PSD3), Avrupa Birliği’nin ödeme hizmetleri alanındaki mevzuatını güncelleme amaçlı yeni bir düzenlemedir. PSD3, mevcut PSD2’nin (2015/2366/AB Direktifi) devamı niteliğindedir ve dijital çağın gereksinimlerine uygun şekilde ödemeler ekosistemini modernleştirmeyi hedefler. Avrupa Komisyonu, Haziran 2023’te PSD3’ü ve tamamlayıcı bir Ödeme Hizmetleri Tüzüğü (PSR) önerisini içeren bir mevzuat paketi sunmuştur. PSD3 ve PSR birlikte, elektronik ödemelerde güvenlik, rekabet, tüketici hakları ve inovasyonu güçlendirmeyi amaçlamaktadır. PSD3 bir direktif olarak özellikle ödeme kuruluşları ve elektronik para kuruluşlarının lisanslanması ile denetimine odaklanırken, PSR doğrudan uygulanabilir bir AB tüzüğü olarak ödeme hizmeti sunumuna dair kuralları üye ülkelerde yeknesak hale getirecektir.
PSD3 ile gelen başlıca değişiklikler ve genişletilmiş kapsam şu şekilde özetlenebilir:
Dolandırıcılığın Önlenmesi ve Güvenlik: PSD3, PSD2 ile getirilen Güçlü Müşteri Kimlik Doğrulaması (SCA) kuralını daha da güçlendirmekte ve yeni dolandırıcılık türlerine karşı ek önlemler getirmektedir. PSD2 sonrası dönemde ortaya çıkan sosyal mühendislik ve kimlik taklidi (impersonation) gibi vakalara karşı koruma sağlamak amacıyla SCA kuralları güncellenecek, ödeme hizmeti sağlayıcılarının dolandırıcılık bilgilerini aralarında paylaşmasına imkân tanınacak ve dolandırıcılık mağduru tüketicilere koşulsuz iade hakları genişletilecektir. Özellikle SCA’nın yetersiz kaldığı yeni sahtekârlık senaryoları hedef alınarak, ödeme işlemi sırasında müşterinin yanlış yönlendirilmesi durumunda kayıpların telafisi ve operatörlerin sorumluluğu konusunda daha net kurallar getirilmektedir.
Tüketici Hakları ve Şeffaflık: PSD3, tüketicilerin ödeme hizmetlerine ilişkin haklarını artırmakta ve bilgi şeffaflığını iyileştirmektedir. Örneğin, hesap özetlerinde ve işlem bildirimlerinde daha açık bilgi sunulması, ATM’lerden nakit çekme işlemlerindeki ücretlerin net olarak gösterilmesi zorunlu hale gelmektedir. Ayrıca tüketicilere, hangi verilerinin kimlerle paylaşıldığı üzerinde daha fazla kontrol imkânı verilecektir. Bu kapsamda, ödeme hesabı bilgilerinin üçüncü taraflarla paylaşılmasına dair izin yönetimi panoları oluşturulacak ve müşteriler istedikleri zaman verdikleri izinleri gözden geçirip iptal edebileceklerdir. Bu değişiklikler, tüketicilerin hem güvenli bir şekilde elektronik ödeme yapmasını sağlamakta hem de hesap bilgilerinin paylaşımı konusunda güven ve kontrol hissini artırmaktadır.
Bankalar ve Fintech’ler Arasında Eşit Oyun Sahası: Yeni düzenleme, bankalar ile bankacılık dışı ödeme kuruluşları arasındaki rekabet koşullarını eşitlemeyi hedeflemektedir. PSD3 ile birlikte elektronik para kuruluşları (EMI’ler) de ödeme kuruluşları kapsamında lisanslanacak ve PSD2 ile ayrı bir mevzuat olan Elektronik Para Direktifi (2009/110/EC) yürürlükten kaldırılarak tek çatı altında birleşecektir. En önemlisi, bankacılık lisansı olmayan ödeme kuruluşlarının ulusal ve AB çapındaki ödeme sistemlerine doğrudan katılımına izin verilecektir. Bu sayede FinTech şirketleri, bugüne dek bankalar üzerinden dolaylı erişebildikleri SEPA gibi ödeme altyapılarına gerekli teminat ve teknik şartları sağlayarak doğrudan erişebilecek, piyasada yenilikçi hizmetler sunma konusunda daha eşit şartlara kavuşacaktır. Aynı zamanda, bankalar ve yeni nesil ödeme hizmeti sağlayıcıları için ortak iş kuralları ve gözetim standartları getirildiğinden, her iki grup için de adil bir rekabet zemini oluşması hedeflenmektedir.
Açık Bankacılık ve Veri Paylaşımı: PSD2 ile başlayan Açık Bankacılık (Open Banking) kavramı, PSD3/PSR ile daha da pekiştirilmektedir. Mevcut durumda açık bankacılık hizmetlerinde (hesap bilgisi ve ödeme başlatma servisleri) karşılaşılan veri arayüzü kalitesindeki dalgalanmalar ve erişim güçlükleri PSD3 ile giderilmeye çalışılacaktır. Önerilen düzenleme, banka ve fintech’ler arasındaki veri paylaşım arayüzlerinde performans ve kesintisizlik standartları getirmektedir. Örneğin, bankaların üçüncü taraf sağlayıcılara (TPP’lere) sunduğu uygulama arayüzlerinin belirli bir kullanılabilirlik yüzdesini (ör. %99+ çalışma süresi) sağlaması, makul yanıt süreleri içinde hizmet vermesi ve güvenlik protokollerine (şifreleme, OAuth2.0 vb.) tam uyumlu olması beklenecektir. Ayrıca PSD2’de bankalara tanınmış olan yedek arayüz (fallback) oluşturma zorunluluğu PSD3 ile kaldırılmakta; bunun yerine bankaların birincil API arayüzlerini yüksek performansla işletmeleri ve erişim engellerini tamamen ortadan kaldırmaları şart koşulmaktadır. Tüm bunların amacı, açık bankacılık hizmetlerinin kesintisiz ve ülke çapında tutarlı şekilde işlemesini sağlayarak fintech’lerin yenilikçi ürün geliştirmesinin önündeki teknik engelleri yok etmektir. PSD3 ile paralel olarak önerilen Finansal Veri Erişimi Tüzüğü (FIDAR) ise açık bankacılık kapsamını ödeme hesapları dışındaki finansal verilere (ör. kredi, yatırım, sigorta verileri) genişletmeyi hedeflemektedir. Bu sayede orta vadede “Açık Finans” ekosistemi kurulması, müşterinin farklı finansal kurumlarda bulunan verilerinin kendi izniyle güvenli şekilde paylaşılabilmesi öngörülmektedir.
Nakit Erişimi ve ATM Hizmetleri: PSD3, dijital ödemelerin yaygınlaşmasına rağmen nakde erişimin korunması konusunda da düzenlemeler içermektedir. Halihazırda birçok AB ülkesinde market gibi perakende noktaları, bir alışverişe bağlı olarak müşterilere “cashback” şeklinde nakit verebilmektedir. PSD3 ile, alışveriş yapma şartı olmaksızın perakendecilerin düşük tutarlarda (ör. 50 €’ya kadar) nakit çekim hizmeti sunabilmesi yasal güvenceye kavuşturulmaktadır. Bu hizmeti sunan perakendecilerin ödeme kuruluşu lisansı almadan faaliyet gösterebilmesi, ancak müşterilere uygulanacak olası ücretlerin açıkça bildirilmesi koşuluna bağlanmıştır. Benzer şekilde, bağımsız ATM işletmecilerinin (bankalara bağlı olmayan) lisans almadan ATM hizmeti sunabilmelerine ilişkin kurallar netleştirilmektedir. PSD3, her iki durumda da tüketicinin nakde ulaşımını kolaylaştırırken, ücret şeffaflığını ve gözetimi artırarak kötüye kullanım risklerini sınırlamayı amaçlamaktadır.
Denetim ve Yaptırımların Harmonik Hale Getirilmesi: PSD2’nin direktif olması nedeniyle üye ülkeler arasında uygulamada bazı farklılıklar oluşmuş; ulusal otoritelerin denetim ve yaptırım yaklaşımları çeşitlilik göstermiştir. PSD3 paketi, bu durumu düzeltmek için kuralların önemli bir bölümünü doğrudan uygulanacak bir tüzük (PSR) içine alarak tüm AB’de birörnek uygulanmasını sağlamayı planlamaktadır. Örneğin, ödeme hizmeti sağlayıcılarına aykırılıklar halinde uygulanacak idari para cezaları ve yaptırımlar konusunda üye ülkelerin takdir aralığı daraltılacak, daha sıkı ve uyumlu bir yaptırım rejimi oluşturulacaktır. Ayrıca denetleyici otoritelerin (merkez bankaları veya finansal denetim kurumları) gözetim yetkileri ve yükümlülükleri netleştirilecek; denetim altyapısı güçlendirilecektir. Bu kapsamda PSD3, ödeme kuruluşlarının lisanslanma şartlarından itibaren (ör. asgari sermaye, iç kontrol, iş sürekliliği planları gibi konular) başlayarak tüm mevzuat hükümlerinin AB genelinde tutarlı şekilde yorumlanıp uygulanmasını hedeflemektedir.
Yukarıdaki temel değişikliklere bakıldığında, PSD3 ve eşlik eden PSR’nin genel amacı; dijital ödemelerde güveni ve kullanım kolaylığını artırmak, rekabeti ve inovasyonu teşvik etmek, tüketici haklarını koruyup genişletmek ve tüm bunları AB genelinde uyumlu bir çerçeveye oturtmaktır. Bu kapsamda yeni düzenlemeler, bankalar, fintech şirketleri, ödeme ve elektronik para kuruluşları, üçüncü taraf servis sağlayıcılar (TPP’ler), tacirler ve tüketiciler dahil olmak üzere tüm paydaşları etkileyecektir. Örneğin, bankaların açık bankacılık gereksinimleri için mevcut sistemlerini güncellemeleri gerekirken, fintech’ler de artan veri paylaşımı ve güvenlik taleplerine uyum sağlamak durumunda kalacaktır. Sonuç olarak PSD3, Avrupa ödeme ekosistemini daha ileri bir düzeye taşıyacak kapsamlı bir dönüşüm sürecini temsil etmektedir.
2. Uyumluluk İçin Mevcut Durum Analizi Adımları
PSD3’e uyum sürecinde, bankalar, fintech’ler ve ödeme kuruluşlarının öncelikle kendi mevcut durumlarını detaylı bir şekilde analiz etmeleri gerekir. Bu analiz, kurumun halihazırdaki uygulamaları ile PSD3’ün getireceği yeni gereklilikler arasındaki farkları (uyum boşluklarını) tespit etmeye yöneliktir. Aşağıda, bu mevcut durum/gap analizi için izlenebilecek temel adımlar sıralanmaktadır:
Regülasyon İncelemesi ve Fark Analizi: İlk adım olarak kurum, PSD3 ve PSR’nin getireceği tüm yeni yükümlülükleri anlamalıdır. PSD3 taslağındaki maddeler, PSD2’ye kıyasla yapılan değişiklikler ile birlikte incelenmelidir. Bu kapsamda, hangi alanlarda yeni gereksinimler doğacağı (ör. güçlü kimlik doğrulamanın kapsamı, API performans kriterleri, yeni lisanslama koşulları, raporlama yükümlülükleri vb.) tespit edilmelidir. Özellikle kurumun faaliyet gösterdiği hizmet kategorilerine dair (örneğin yalnızca hesap bilgi servisi sunan bir fintech iseniz ilgili maddeler) düzenlemeler önceliklendirerek okunmalıdır. Bu aşamada hazırlanacak bir Uyumluluk Gereklilikleri Listesi, daha sonra yapılacak boşluk analizinin temelini oluşturacaktır.
Mevcut Süreç ve Sistemlerin Haritalanması: İkinci adımda, kurum içindeki mevcut süreçler, politikalar, sistem altyapısı ve kontroller detaylı bir envanter halinde çıkarılmalıdır. Örneğin:
Şu an kullanılan ödeme işlem altyapısı (ödeme geçitleri, işlem motorları, veri saklama sistemleri) listelemeli ve PSD3’te tanımlanan teknik standartlara (örn. API iletişim protokolleri, güvenlik gereksinimleri) uygunluğu değerlendirilmelidir
Veri güvenliği ve gizliliği uygulamaları gözden geçirilmelidir: Mevcut şifreleme yöntemleri, erişim kontrolleri, saklı tutulan müşteri verileri ve gizlilik politikaları, PSD3’ün getireceği muhtemel sıkılaştırılmış veri koruma ve paylaşım şartlarına göre incelenmelidir
Müşteri kimlik doğrulama mekanizmaları analiz edilmelidir: Halihazırda internet/mobil bankacılık veya ödeme işlemleri sırasında kullanılan oturum açma, OTP (tek seferlik şifre), biyometrik doğrulama gibi yöntemlerin PSD3 kapsamındaki Güçlü Müşteri Kimlik Doğrulaması kriterlerini tam olarak karşılayıp karşılamadığı belirlenmelidir. Örneğin, PSD2’ye uygun ancak PSD3 ile değişebilecek 90 günlük AISP yeniden kimlik doğrulama kuralı, ya da yeni biyometrik doğrulama standartları gibi hususlar dikkate alınmalıdır.
Risk yönetimi ve sahtekârlık izleme süreçleri değerlendirilmelidir: Mevcut dolandırıcılık tespit sistemlerinin (örn. gerçek zamanlı izleme araçları, anomali tespit algoritmaları) PSD3 ile gelmesi beklenen daha gelişmiş gerekliliklere (örn. işlemlerin gerçek zamanlı analizi, farklı veri noktalarının korelasyonu) göre eksikleri not edilmelidir.
Organizasyon ve dokümantasyon durumu gözden geçirilmelidir: PSD3, iç kontrol, iş sürekliliği ve tasfiye planları gibi alanlarda yeni belgeler talep edebilecektir. Kurumun halihazırda bir tasfiye planı (wind-down plan) bulunup bulunmadığı, iş sürekliliği planlarının DORA (Dijital Operasyonel Dayanıklılık Yasası) ile uyumlu şekilde güncellenip güncellenmediği, gizlilik etki değerlendirmesi (DPIA) yapılıp yapılmadığı gibi konular mevcut durum envanterine dahil edilmelidir.
Uyumsuzluk Boşluklarının (Gap) Belirlenmesi: Yukarıdaki envanter çalışması sonrasında, PSD3 gereklilikleriyle karşılaştırıldığında kurumun nerelerde eksik kaldığı sistematik olarak tespit edilmelidir. Bu aşamada, ilk adımda hazırlanan gereklilik listesi ile mevcut durum yan yana getirilerek her bir madde için “uyumlu”, “kısmen uyumlu” veya “uyumsuz” şeklinde bir değerlendirme yapılabilir. Örneğin, API’lar için %99,5 erişilebilirlik ve <5 sn yanıt süresi gibi bir kriter öngörülüyorsa ve mevcut API altyapınız bu seviyeye çıkamıyorsa, bu bir uyum boşluğu olarak not edilmelidir. Benzer şekilde, müşterilere sağlanan hesap ekstresi formatlarının yeni şeffaflık hükümlerini karşılamadığı, mevcut güçlü kimlik doğrulama işlem akışının yeni istisna kurallarını uygulayacak esneklikte olmadığı, veya halihazırda bir harici denetim mekanizması planlanmadığı tespit edilebilir. Tüm bu boşluklar, etki alanlarına göre (ör. hukuk, BT, operasyon, güvenlik, ürün vs.) sınıflandırılarak dokümante edilmelidir.
Önceliklendirme ve Aksiyon Planı: Belirlenen uyum eksikleri, risk düzeylerine ve uygulama zorluklarına göre önceliklendirilmelidir. Kritik müşteri güvenliği açıkları veya yasal ceza riski doğurabilecek uyumsuzluklar (örn. SCA uygulamamak, müşteri fonlarını uygun şekilde ayrıştırmamak gibi) birinci öncelikte ele alınmalıdır. Her bir boşluk için gereken aksiyonlar tanımlanarak bir uyum iyileştirme planı hazırlanmalıdır. Bu plan, hangi birimlerin sorumlu olacağı, kaynak ihtiyacı, tahmini süre ve bütçe gibi unsurları içermelidir. Örneğin, API performansını artırmak için altyapı yükseltmesi gerekiyorsa BT birimi için bir proje başlatılmalı; müşteri bildirim şablonları güncellenecekse mevzuat uyum ve pazarlama ekipleri koordinasyonla çalışmalıdır. Aksiyon planı aynı zamanda düzenleyici son tarihleri de göz önüne alarak bir takvime bağlanmalıdır.
Üst Yönetime Raporlama: Mevcut durum analizi sonucunda elde edilen bulgular ve önerilen aksiyon planı, kurumun üst yönetimine ve gerekiyorsa yönetim kuruluna sunulmalıdır. Bu raporlama, PSD3 uyum sürecinin ciddiyetini ve kaynak gereksinimlerini vurgulamalı, üst yönetimin destek ve onayını sağlamalıdır. Üst yönetimden gelecek yönlendirmeye göre, ihtiyaç halinde bütçe düzenlemeleri yapılmalı ve gerekirse dış uzman desteği (danışmanlık, dış denetim) alınması için kararlar bu aşamada verilmelidir.
Yukarıdaki adımlar, PSD3’e geçiş sürecinde kurumların “neredeyiz ve nereye ulaşmalıyız?” sorusuna sistematik bir cevap bulmasına yardımcı olacaktır. Özellikle erken aşamada yapılan kapsamlı bir boşluk analizi, ileride uyum sağlama aşamasında çıkabilecek sorunları öngörmeyi ve önlemeyi kolaylaştıracaktır. Bu nedenle, finansal kuruluşlar ve fintech’ler PSD3 henüz uygulamaya girmeden proaktif bir yaklaşımla mevcut durum analizlerini yaparak, uzun vadeli uyum yolculuğuna sağlam bir temel atmalıdır.
3. Sık Karşılaşılan Eksiklikler ve Giderilmesine Yönelik Stratejiler
PSD2’nin uygulanmasında edinilen tecrübeler ve denetleyici otoritelerin geri bildirimleri, ödeme hizmeti sağlayıcılarının uyum konusunda sıkça düştüğü bazı eksiklik alanları olduğunu göstermiştir. PSD3 uyum sürecinde de benzer eksiklikler gündeme gelebilir. Aşağıda, finansal kurumlarda sık karşılaşılan uyum zaafları ve bunların giderilmesine yönelik stratejik yaklaşımlar anlatılmaktadır:
API ve Açık Bankacılık Arayüzlerinde Yetersizlikler: PSD2 döneminde birçok banka ve finansal kuruluş, üçüncü taraf erişimi için API arayüzleri sunsa da performans ve güvenilirlik açısından tutarsızlıklar yaşanmıştır. Örneğin, bazı bankaların API’ları sık sık kesintiye uğramış veya yanıt süreleri çok yüksek kalmıştır; bu da fintech geliştiricilerini yedek yöntemlere (screen scraping) yönelmeye zorlamıştır. PSD3 ile birlikte bu konuda net standartlar geleceğinden, kurumların en sık eksik kaldığı noktalardan biri API performansı olabilir. Strateji: Bu eksikliği gidermek için kurumlar, mevcut API altyapılarını test etmeli ve uluslararası en iyi uygulamalara (örn. OAuth2.0 yetkilendirme, RESTful servis standartları, TLS 1.3 şifreleme) göre iyileştirmelidir. Mümkünse Berlin Group veya benzeri standart açık bankacılık API spesifikasyonları uygulanarak uyumluluk artırılabilir. Ayrıca, API’ların izlenmesi ve raporlanması için metrikler belirlenmeli, çalışma süreleri ve hata oranları sürekli takip edilerek iyileştirme alanları tespit edilmelidir. PSD3, bankaların API performans verilerini raporlamasını zorunlu kılabileceğinden, kuruluş içi bir API performans izleme ve uyarı sistemi kurulması tavsiye edilir.
Güçlü Kimlik Doğrulama (SCA) Uygulamalarında Aksaklıklar: PSD2 kapsamında zorunlu hale gelen SCA, birçok ülkede ertelemelerle de olsa uygulamaya alınmıştır. Ancak bazı kurumlar SCA muafiyetlerini (örn. düşük tutarlı işlemler, güvenilir alıcılar, 90 gün kuralı) yanlış yorumlayarak ya gereğinden fazla muafiyet tanımış ya da istisnaları hiç uygulamayıp müşteri deneyimini zora sokmuştur. PSD3, SCA kurallarını daha da netleştireceği ve yeni durumlara uyarlayacağı için, uyum eksikliği yaşanabilecek hususlar şunlar olabilir: yanlış muafiyet kullanımı, biyometrik doğrulamaya geçişte zorluklar, SCA yöntemlerinin tek bir cihaza bağımlı kalması. Strateji: Kurumlar, SCA süreçlerini PSD3’e göre güncellemelidir. Özellikle çok faktörlü kimlik doğrulamayı (ör. bir biyometrik unsur + PIN gibi) tüm dijital kanallara tutarlı şekilde yaygınlaştırmak önemlidir. PSD3’ün getireceği muafiyet netleşmelerine (ör. merchant-initiated işlemlerin SCA muafiyeti gibi) uygun şekilde işlem akışları tasarlanmalıdır. Ayrıca, erişilebilirlik büyük önem taşır: SCA yöntemleri, sadece akıllı telefon sahibi müşterilere değil, dijital cihaz kullanmayan veya engelli müşterilere de uygun seçenekler sunmalıdır. Bu amaçla, tek bir teknolojiye veya cihaza bağımlı kalmayan alternatif doğrulama yöntemleri (örn. donanım token’ları, arama ile OTP verme gibi) planlanmalıdır. Biyometrik kimlik doğrulama kullanılıyorsa, bunun KVKK/GDPR uyumlu, güvenli ve hatasız çalıştığı düzenli denetimlerle teyit edilmelidir.
Dolandırıcılık İzleme ve Bildirimindeki Eksiklikler: PSD2 ile getirilen güvenlik önlemleri çevrimiçi kart dolandırıcılığını azaltmış olsa da, yeni dolandırıcılık türleri (oltalama, müşteri kandırmaya dayalı para transferi dolandırıcılığı gibi) artış göstermiştir. Birçok kuruluş, bu yeni tip Yetkilendirilmiş Push Ödemesi (APP) dolandırıcılıklarına karşı yeterli izleme ve müşteri uyarı sistemlerine sahip değildir. Aynı şekilde, PSD2 kapsamında zorunlu olan ciddi olay bildirimleri ve düzenleyici raporlamalarda gecikmeler veya eksikler yaşanmıştır. Strateji: Kurumlar, gerçek zamanlı sahtekârlık tespit sistemlerini güçlendirmelidir. Makine öğrenimi tabanlı anomali tespit araçları kullanarak müşterinin normal işlem davranışından sapan durumlar anında tespit edilip müşteriye ikinci bir doğrulama sorulabilir. PSD3 ile ödeme sağlayıcılarının dolandırıcılık verilerini sektörel olarak paylaşmasına izin verileceğinden, kurumlar işbirlikçi istihbarat platformlarına dahil olmayı (ör. bankalar arası sahtekar telefon numarası ya da hesap kara listelerinin paylaşımı gibi) değerlendirmelidir. Ayrıca, harici iletişim servis sağlayıcılarıyla (örn. telekom operatörleri) koordinasyon protokolleri geliştirilmelidir; zira PSD3, sahtekârlık amaçlı aramalara karşı telekomların bankalarla işbirliği yapmasını teşvik etmektedir. Son olarak, düzenleyici otoriteye yapılacak zorunlu bildirimler (ciddi olay raporları, yıllık dolandırıcılık istatistikleri vb.) için iç süreçler gözden geçirilmeli, sorumlu ekipler ve yedeklemeler tanımlanarak raporlamanın tam ve zamanında yapılması sağlanmalıdır.
Müşteri Fonlarının Korunması (Safeguarding) ve Sermaye Yükümlülükleri: Birçok ödeme ve elektronik para kuruluşu, müşteri fonlarını koruma ve ayrı hesaplarda tutma konusunda yasal gerekliliklere uymakta zorlanmıştır. Denetleyici otoritelerin son dönemdeki incelemeleri, bazı firmalarda müşteri paralarının ayrıştırılması, sigortalanması veya uygun enstrümanlara yatırılması hususlarında eksikler bulunduğunu ortaya koymuştur. Ayrıca, hızla büyüyen fintech’lerin asgari sermaye ve özkaynak yeterliliği açısından risk taşıdığı durumlar olmuştur. Strateji: PSD3, bu alanda denetimi sıkılaştırmayı planladığından, kuruluşlar gecikmeden fon koruma mekanizmalarını güçlendirmelidir. Tüm müşteri alacakları için ayrı banka hesapları kullanılmalı, bu hesaplar üzerinde rehin/haciz engelleyici önlemler alınmalı ve günlük mutabakat süreçleri işletilmelidir. Merkez bankası veya mali otoritenin öngördüğü formatta, periyodik bağımsız denetim raporları ile müşteri fonlarının tam karşılandığı teyit edilmelidir. Ayrıca, PSD3 ile başvuru yapacak ödeme kuruluşları için talep edilen yeni lisanslama şartları (örn. tasfiye planı sunulması, iş planında finansal projeksiyonlar) eksiksiz yerine getirilmelidir. Mevcut ödeme kuruluşları, PSD3 yürürlüğe girdiğinde muhtemel “yeniden yetkilendirme” sürecine tabi olabileceğinden, halihazırda sermaye yeterlilik oranlarını ve risk yönetimi politikalarını gözden geçirip gerekirse takviye etmelidir.
İç Kontrol, Yönetişim ve Belgelendirme Açıkları: Bazı fintech’ler veya küçük ölçekli ödeme kuruluşları, PSD2’nin gerektirdiği düzeyde olgun bir iç kontrol ve uyum yapısı kurmakta zorlanmıştır. Özellikle yönetim kurulu düzeyinde uyum bilinci, ikinci ve üçüncü savunma hattı (risk yönetimi ve iç denetim) fonksiyonlarının bağımsızlığı ile politikaların dokümantasyonu konularında eksikler yaygındır. Örneğin, bazı şirketlerde iç denetim fonksiyonu ya hiç yoktur ya da doğrudan operasyon ekiplerine bağlı olduğu için bağımsız değildir. Strateji: Bu eksiklikleri gidermek için kuruluşlar, öncelikle yönetişim yapısını PSD3 ve ilgili düzenlemelerin beklentilerine uygun hale getirmelidir. Yönetim kurulu, üst yönetim ve hissedarlar nezdinde uyumun önemi vurgulanmalı, gerekirse bu konuda eğitimler düzenlenmelidir. İkinci hat (uyum ve risk yönetimi) ile üçüncü hat (iç denetim) fonksiyonları güçlendirilmelidir. İç denetim birimi, doğrudan denetim komitesine veya yönetim kuruluna raporlayacak şekilde bağımsız konumlandırılmalı ve yeterli yetkinlikte personel ile donatılmalıdır. Eğer şirketin ölçeği sınırlıysa, bu roller dışarıdan hizmet alımı (outsourcing) ile de karşılanabilir; önemli olan risklerin objektif bir gözle değerlendirilebilmesidir. Tüm kritik süreçler (ör. müşteri şikayet yönetimi, veri ihlali müdahale planı, IT yedekleme prosedürleri vb.) için yazılı politika ve prosedürler oluşturulmalı veya güncellenmelidir. PSD3 kapsamında denetçiler özellikle iş sürekliliği planları, acil durum senaryoları, veri paylaşım izin süreçleri gibi dokümanları inceleyecektir; bu nedenle eksik dokümantasyon bırakılmamalıdır.
Özetle, PSD3 uyum yolculuğunda karşılaşılabilecek eksiklikleri önceden tespit edip gidermek, “sürpriz riskleri” azaltacaktır. Buradaki stratejilerin ortak noktası, proaktif iyileştirme ve en iyi uygulamaların benimsenmesidir. Kuruluşlar, PSD3’ün getirdiği çıtayı yakalamak için gereken yatırımları ve süreç iyileştirmelerini bir maliyet olarak değil, rekabetçi bir zorunluluk ve uzun vadeli güven unsuru olarak görmelidir. Bu şekilde hareket eden kurumlar, yalnızca uyum cezalarından kaçınmakla kalmayıp aynı zamanda operasyonel verimliliklerini ve müşteri güvenini de artıracaklardır
4. Uyum Sürecinde Dış Denetim, İç Denetim ve Danışmanlık Hizmetlerinin Rolleri
PSD3 gibi kapsamlı bir düzenlemeye uyum sağlamak, kurum içinde birden fazla disiplinin işbirliğini gerektirir. Bu süreçte iç denetim, dış denetim ve danışmanlık hizmetleri farklı ancak birbirini tamamlayan roller üstlenir:
İç Denetimin Rolü
İç denetim, kurum içindeki kontrol mekanizmalarının etkinliğini bağımsız bir bakış açısıyla değerlendiren üçüncü savunma hattıdır. PSD3 uyum sürecinde iç denetim birimine düşen başlıca görevler şunlardır:
Uygulama Sürecinde Güvence Sağlama: İç denetim, PSD3 gereksinimlerinin kuruma entegre edilmesi sırasında devam eden bir güvence faaliyeti yürütmelidir. Özellikle PSD2’de de zorunlu olduğu üzere, SCA ve açık bankacılık API’ları gibi teknik gerekliliklerin iyi yönetişimle hayata geçirildiğini, belgelenip test edildiğini periyodik olarak kontrol etmelidir. İç denetçiler, PSD3 uyum projesinin erken safhalarından itibaren sürece dahil olup, alınan aksiyonların düzenlemeye uygunluğunu doğrulayabilirler. Örneğin, PSD3’ün RTS (Regülasyon Teknik Standartlar) hükümlerine göre iki yılda bir yapılması gereken penetrasyon testleri veya yıllık BT risk değerlendirmeleri varsa, iç denetim bunların zamanında yapıldığını ve bulguların kapatıldığını incelemelidir.
Bağımsız Uyum Denetimleri: PSD3 kapsamında belirli konuların bağımsız denetimi zorunlu tutulabilir. Nitekim PSD2’nin SCA & SCR (Secure Communication) RTS’sine göre, ödeme hizmeti veren kuruluşların yılda en az bir kez bilgi güvenliği önlemlerini bağımsız denetime tabi tutması gerekiyordu. PSD3 ile de benzer şekilde, kurumun güvenlik politikası, veri koruma tedbirleri veya dolandırıcılık oranları gibi konularda iç denetim tarafından düzenli incelemeler yapılmalıdır. Eğer iç denetim birimi gerekli uzmanlığa ve bağımsızlığa sahipse, bu denetimleri kurum içinden gerçekleştirebilir; aksi halde dış uzman desteğiyle birlikte yürütebilir. Önemli olan, denetimi yapan kişilerin BT güvenliği ve ödemeler konusunda uzman, operasyonlardan bağımsız olmasıdır.
Üçüncü Taraf ve Outsourcing Denetimleri: PSD3, üçüncü taraf hizmet sağlayıcılarla çalışılması durumunda (ör. bulut hizmeti, açık bankacılık arayüzü işletimi gibi) bu ilişkilerin de uygun şekilde yönetilmesini şart koşmaktadır. İç denetim, outsourcing risklerini değerlendirerek bu üçüncü tarafların sözleşme yükümlülüklerine ve PSD3 uyum kriterlerine uygun hareket ettiğini denetlemelidir. Örneğin, bir fintech şirketi SCA doğrulamasını bir üçüncü taraf kimlik doğrulama hizmetine devrettiyse, PSD3 uyarınca bunun bir dış hizmet alımı (outsourcing) olarak ele alınıp gerekli risk değerlendirmesinin yapıldığını ve denetime açık olduğunu iç denetim doğrulamalıdır.
Yönetime Danışmanlık ve Raporlama: İç denetim, tespit ettiği uyum eksiklerini üst yönetime raporlayarak düzeltici eylemleri takip eder. PSD3 gibi yeni bir düzenlemede, iç denetim birimi yönetim kuruluna periyodik olarak uyum projesinin ilerleyişi, riskler ve bulgular hakkında bilgi vermelidir. Bu sayede yönetim, proaktif kararlar alarak kaynak tahsisi yapabilir veya strateji değiştirebilir. İç denetim bulguları, PSD3 kapsamında ileride gelecek olası resmi denetimler için de kurumu hazırlayacak kritik iç aksiyonların tetikleyicisi olabilir.
Dış Denetimin Rolü
Dış denetim, kuruluşun finansal tabloları veya belirli uyum alanları için bağımsız bir üçüncü taraf tarafından yapılan denetim faaliyetidir. PSD3 uyum sürecinde dış denetimin rolü genellikle aşağıdaki şekillerde ortaya çıkar:
Zorunlu Bağımsız Denetimler: Bazı düzenleyici gereklilikler, belli periyotlarla dış denetçi onayını şart koşar. Örneğin, PSD2’nin ilgili düzenlemesinde işlem risk analizi (TRA) modelini kullanan ödeme hizmeti sağlayıcılarının ilk yıl ve devamında üç yılda bir kez, bağımsız nitelikli bir dış denetçi tarafından risk modellerinin ve raporlanan dolandırıcılık oranlarının denetlenmesi zorunluydu. PSD3 ile de benzer şekilde, belirli yüksek önem arz eden kontrollerin (mesela siber güvenlik çerçevesi veya müşteriden alınan açık rızaların yönetimi gibi) akredite dış denetçilerce periyodik incelenmesi şartı gelebilir. Bu durumlarda kurum, zamanında bir dış denetim firması ile anlaşarak gerekli denetimleri yaptırmalı ve raporlarını düzenleyiciye sunmalıdır.
Finansal Denetim ve Safeguarding Raporları: Birçok merkez bankası veya denetleyici otorite, ödeme ve elektronik para kuruluşlarından müşteri varlıklarının korunmasına ilişkin yıllık bir denetim raporu sunmalarını ister. Bu raporlar genellikle bağımsız yeminli mali müşavir veya dış denetim şirketlerince hazırlanır. PSD3 döneminde de bu uygulama devam edeceğinden, şirketler dış denetçiler ile koordineli çalışarak müşteri fonları, sermaye yeterliliği ve likidite konularında doğruluk ve bütünlük denetimlerinden geçmelidir. Elde edilen dış denetim görüşleri, varsa uygunsuzluklar, bunların giderilmesi için bir aksiyon planına dönüştürülmelidir.
Uyum Değerlendirme ve Sertifikasyon Hizmetleri: Bazı durumlarda, kurumlar PSD3’e hazır olduklarına dair bağımsız bir gözden geçirme isteyebilirler. Örneğin büyük bir banka, PSD3 yürürlüğe girmeden önce “uyuma hazır olup olmadığını” tespit etmek üzere danışmanlık kökenli dış denetim ekiplerinden gap analizi ve iyileştirme tavsiyeleri alabilir. Bu tür bağımsız uyum değerlendirmeleri, henüz resmi denetim gelmeden önce eksikleri giderme fırsatı verdiği için değerlidir. Dış denetim firmalarının PSD3 konusunda güncel bilgi ve tecrübeye sahip uzmanları, şirketin kendi tespit edemediği zayıflıkları ortaya çıkarabilir. Özellikle teknik konularda (API güvenlik testleri, penetrasyon testleri, veri gizliliği değerlendirmeleri vb.) akredite dış denetçilerden alınan sertifikasyonlar, düzenleyiciye karşı şirketin güvenilirliğini artıracaktır.
Yasal Uyum ve Finansal Raporlama Entegrasyonu: PSD3, ana faaliyet denetimlerinin dışında, şirketlerin finansal raporlamalarını da dolaylı etkileyebilir (örneğin dolandırıcılık zararları için karşılık ayrılması, ücret gelirlerinin yeni şeffaflık kurallarına göre ayrı gösterilmesi gibi). Dış denetçiler, yıllık finansal denetimler sırasında bu etkilere dikkat ederek şirketi uyarmalıdır. Bu sayede, PSD3 kurallarının finansal tablo üzerindeki etkileri (maliyet artışları, ceza karşılıkları vb.) zamanında değerlendirilerek paydaşlara doğru bilgi verilebilir.
Danışmanlık Hizmetlerinin Rolü
Danışmanlık firmaları ve uzman danışmanlar, PSD3 gibi karmaşık düzenlemelere uyum sağlama konusunda kurumlara yol gösterici bir rol üstlenirler. Danışmanlık hizmetlerinin sağlayabileceği katkılar şöyle özetlenebilir:
Uzmanlık ve En İyi Uygulamalar: Büyük danışmanlık firmaları (ör. KPMG, EY, Deloitte, PwC vb.) ve finans/BT alanında uzman butik danışmanlar, PSD3’ün teknik ve operasyonel gereklerine dair derin bilgi sahibidir. Bu uzmanlar, farklı coğrafyalardaki uygulama tecrübelerini ve “sektörün nabzını” şirketlere aktararak, uyum için en iyi uygulamaların benimsenmesini sağlarlar. Örneğin, bir danışman ekip API performans iyileştirmesi konusunda Avrupa’daki farklı bankaların deneyimlerini ve hangi teknolojilerin başarılı olduğunu şirketle paylaşabilir; böylece kurum deneme-yanılma yapmadan doğru çözümleri uygulayabilir.
Boşluk Analizi ve Yol Haritası Oluşturma: Danışmanlar, şirketlerin kendi içlerinde yaptıkları uyum analizine taze bir gözle bakarak boşluk analizi yapabilirler. Özellikle kurum içinde PSD3 bilgisinin sınırlı olduğu durumlarda, danışman ekibi bir uyum değerlendirmesi atölyesi düzenleyerek eksikleri tespit edebilir ve önceliklendirebilir. Bu sayede yukarıda 2. bölümde bahsedilen mevcut durum analizi daha objektif ve kapsamlı hale gelir. Danışmanlar, tespit ettikleri eksiklere dair ayrıntılı bir yol haritası ve takvim de hazırlayarak, şirketin yönetimine somut bir plan sunarlar.
Proje Yönetimi ve Uygulama Desteği: PSD3 uyum projesi, kurum içinde birden fazla departmanın koordinasyonunu gerektiren uzun soluklu bir çabadır. Danışmanlık ekipleri, bu tip büyük dönüşüm projelerinde uzmanlaşmış proje yöneticileri ve iş analistleri sağlayarak kurumun yükünü hafifletebilir. Özellikle birden fazla ülkede operasyonu olan finansal kuruluşlar için, AB mevzuatına uyum projesini merkezi olarak yönetip yerel ekiplere rehberlik edebilecek danışmanlara ihtiyaç duyulabilir. Danışmanlar, düzenli proje izleme, kilit kilometre taşlarını takip etme, riskleri erken bayraklama ve paydaş iletişimini sağlama konularında kritik rol oynarlar
Eğitim ve Farkındalık: PSD3’ün teknik ayrıntılarını ve pratik etkilerini şirket çalışanlarına aktarmak da önemli bir aşamadır. Danışmanlık firmaları, eğitim materyalleri hazırlama, atölye çalışmaları düzenleme ve üst yönetim bilgilendirme oturumları konusunda destek verebilir. Örneğin bir danışman, uyum sürecine dahil olacak BT ekibine PSD3 API gereksinimlerini anlatırken, ayrı bir oturumda operasyon ekibine PSD3’ün getireceği yeni müşteri hakları konusunda eğitim verebilir. Bu sayede şirket genelinde farkındalık artar ve herkes kendi sorumluluk alanında daha bilinçli hareket eder
Bağımsız Danışman Görüşü ve Regülatör İletişimi: Regülatörler, özellikle kritik karar anlarında (ör. lisans başvurusu, önemli bir uyum kararı gibi) şirketlerden bağımsız bir uzmanın görüşünü sunmalarını isteyebilir. Bu durumda danışmanlar bir rapor hazırlayarak, örneğin şirketin teknik mimarisinin PSD3’e uygun olduğunu veya gerekli dönüşüm planının makul olduğunu ortaya koyabilirler. Ayrıca danışmanlar, şirket ile düzenleyici arasındaki iletişimde aracılık ederek, teknik konuların açıklanmasına ve yanlış anlamaların önlenmesine yardımcı olurlar. Özellikle fintech sektöründe, danışmanların düzenleyiciyle yakın teması ve güncel bilgi akışı, şirketin stratejisini doğru kurmasında katkı sağlar.
Özetlemek gerekirse: İç denetim, şirket içinde sürekli bir güvence ve kontrol mekanizması olarak PSD3 uyumunun sürdürülebilir olmasını sağlarken; dış denetim, bağımsız bakış açısıyla kurumun beyan ve uygulamalarının doğruluğunu onaylar. Danışmanlık ise hem bilgi birikimi aktarımı yapar hem de uygulama desteği sunar. Üçü birden, bir orkestranın farklı enstrümanları gibi uyum içinde çalıştığında, PSD3’e geçiş süreci daha pürüzsüz, etkin ve düzenleyici beklentilerini karşılar şekilde tamamlanabilir. Örneğin, iç denetimin tespit ettiği bir sorunu danışman çözüme kavuşturabilir, dış denetim ise nihai olarak bunun uygunluğunu teyit edebilir. Bu sayede, kurum içi ve dışı tüm kontrol mekanizmaları devrede olarak tam uyum hedefine ulaşılır.
5. Teknik Gereklilikler (API Güvenliği, Veri Paylaşımı, Kimlik Doğrulama vb.)
PSD3 ve eşlik eden PSR, ödeme hizmeti altyapısının teknik yönlerine ilişkin ayrıntılı gereklilikler getirmektedir. Bu bölümde API güvenliği, veri paylaşımı (açık bankacılık) ve kimlik doğrulama başta olmak üzere önemli teknik gereklilikler ele alınmıştır:
API Güvenliği ve Arayüz Performansı
Açık bankacılık kapsamında, Uygulama Programlama Arayüzleri (API) bankalar ile fintech uygulamaları arasındaki veri ve fonksiyon paylaşımının belkemiğidir. PSD2’de, bankaların açık bankacılık API’ları sunması zorunlu kılınmış ancak teknik standartlar genel hatlarıyla belirtilmişti. PSD3/PSR ise API’ların güvenliği ve performansı konusunda daha somut kriterler getirmektedir:
Güvenli İletişim ve Yetkilendirme: PSD3, API çağrılarının güvenliğini sağlamak için mütabakatlı protokollerin kullanılmasını şart koşar. Bu kapsamda, TLS/SSL şifreleme ile uçtan uca veri bütünlüğü sağlanması, API istemci-sunucu kimlik doğrulamasının dijital sertifikalarla yapılması beklenir. PSD2 döneminde EBA’nın RTS’si, üçüncü taraf sağlayıcıların (TPP) bankalara kimliklerini eIDAS sertifikaları ile ispatlamasını öngörüyordu; PSD3 ile bu mekanizma devam edecek ve belki de daha da güçlenecektir. Ayrıca API çağrılarında oturum yönetimi ve zaman aşımı gibi konular, kullanıcı verilerinin korunması amacıyla sıkı kurallara tabi olacaktır.
Yetki ve Erişim Kontrolleri: Bir TPP, müşteri adına bankadan veri çekmek veya ödeme başlatmak istediğinde, sadece müşterinin verdiği yetki kapsamında işlem yapabilmelidir. PSD3, API üzerinden erişilebilecek veri alanlarını ve işlemleri daha granüler düzeyde tanımlayabilir. Örneğin, bir hesap bilgi servisi sağlayıcısının (AISP) sadece bakiye ve işlem bilgilerine okuma izni varken, ödeme başlatma sağlayıcısının (PISP) ödeme talimatı verme izni vardır. Banka API’ları, bu farklı izin seviyelerini denetleyebilmelidir. OAuth 2.0 protokolü ve benzeri standartlar yardımıyla kullanıcı rızasının alındığı kapsam dışında bir erişim engellenecektir. PSD3’ün yürürlüğe girmesiyle birlikte, bankaların API erişim noktalarında muhtemel ek güvenlik adımları (ör. IP kısıtlama, cihaz sertifikası doğrulama) uygulaması beklenir.
Performans ve Uptime (Çalışma Süresi): PSD3 öncesi dönemde, bazı bankaların API servislerinin yavaşlığı ve erişilememe sorunları, açık bankacılığın verimini düşürüyordu. PSD3, bu sorunu çözmek için API’lar için asgari performans kriterleri tanımlamıştır. Örneğin, AB genelinde dile getirilen bir hedef, API hizmetlerinin %99,5 oranında erişilebilir olması ve normal koşullarda 5 saniyenin altında yanıt vermesi gibi metriklerdir. Bu rakamlar düzenleyici teknik standartlarla kesinleştirilebilir, ancak genel mesaj, TPP’lerin banka API’larına kesintisiz ve hızlı erişiminin garanti altına alınması yönündedir. Dolayısıyla bankalar, altyapılarının kapasite planlamasını bu beklentilere göre yapmalı, yüksek yük altında dahi (ör. gün sonu, tatil dönemi işlem artışları) API’ların çökmesini veya ağırlaşmasını önleyecek önlemleri almalıdır.
Yedek Arayüzün Kaldırılması ve İzleme: PSD2’de bir banka, API arayüzünde ciddi sorunlar çıktığında geçici çözüm olarak müşterinin internet bankacılığı arayüzünü TPP’lere açabiliyordu (yedek arayüz). PSD3 ile bu yedek arayüz zorunluluğu kaldırılmakta ve bankaların tüm çabayı asıl API’yı güvenilir yapmak için harcaması istenmektedir. Bu nedenle bankalar API izleme sistemlerini geliştirip, olası kesinti veya hata durumlarında derhal müdahale edecek 24/7 izleme ve uyarı mekanizmaları kurmalıdır. Ayrıca PSD3 ile gelebilecek bir kural, API performans raporlaması olabilir. Bankalar, API kullanım istatistiklerini, kesinti sürelerini ve hata oranlarını belirli aralıklarla düzenleyiciye raporlamak durumunda kalabilir. Bu da bankaları proaktif olarak API kalitesini artırmaya teşvik edecektir.
Veri Paylaşımı ve Açık Bankacılık
PSD3, açık bankacılık konseptini güçlendirmekle kalmıyor, aynı zamanda gelecekteki açık finans yapısına zemin hazırlıyor. Bu kapsamda veri paylaşımına ilişkin teknik ve operasyonel gereklilikler önem kazanıyor:
Standartlaştırılmış Veri Formatı: Farklı bankaların ve finansal kurumların tutarlı formatta veri paylaşması, üçüncü taraf uygulamalar için büyük kolaylık sağlar. PSD3, API veri yapılarının ve tanımlarının standardizasyonu yönünde adımlar atabilir. Örneğin, hesap hareketleri, bakiye bilgisi, ödeme alıcısı tanımları gibi veriler için ortak JSON/XML şemaları belirlenebilir. Halihazırda ISO 20022 finansal mesaj standardı uluslararası düzeyde kullanılmaktadır; PSD3 çerçevesinde açık bankacılık API’larının da bu standardı veya benzerini kullanarak veri sunması teşvik edilmektedir. Bu sayede, bir fintech uygulaması Fransa’daki bir banka ile Almanya’daki bir bankadan benzer formatta hesap verisi çekebilecektir.
İzin Yönetimi ve Müşteri Kontrolü: Veri paylaşımının kalbinde müşteri rızası bulunmaktadır. PSD2 zaten müşterinin açık onayı olmadan bankaların verisini paylaşamayacağını hükme bağlamıştı. PSD3 ise bu rızanın yönetimini daha kullanıcı dostu hale getirmeyi amaçlamaktadır. Teknik açıdan, bankaların izin yönetimi panelleri kurması gerekecektir. Bu paneller aracılığıyla müşteriler, hangi uygulamaya hangi veriye ne süreyle erişim izni verdiklerini görebilecek ve isterlerse iptal edebilecektir. Bankalar, API üzerinden aldıkları her veri talebinin arkasında geçerli bir müşteri rızası olduğundan emin olmak durumundadır; bu da her talebin bir izin kaydı ID’si ile doğrulanmasıyla sağlanabilir. PSD3 ayrıca, izin süreleri konusunda da sınırlamalar getirebilir (ör. bir AISP erişim izni en fazla 180 gün geçerli olabilir, sonra yenilenmesi gerekir gibi). Bu durumda, API’lar izin süresini otomatik takip edip süre dolduğunda erişimi kesebilecek şekilde programlanmalıdır.
Veri Güvenliği ve Gizlilik: Açık bankacılıkta paylaşılan veriler, hassas finansal bilgiler olduğundan PSD3 bu verilerin gizliliğine özel önem verir. Teknik gereklilik olarak, kişisel verilerin maskelenmesi (masking) veya anonimleştirilmesi gerekebilir. Örneğin, bir hesap ekstresi bilgisinde karşı taraf isimleri veya açıklamalar varsa ve bunlar gereksiz ise, paylaşımda maskelenebilir. Ayrıca veri iletiminde uçtan uca şifreleme zorunlu olduğu gibi, verinin dinlenmesi veya değiştirilmesi riskine karşı API uç noktalarında imzalama mekanizmaları kullanılabilir. PSD3 aynı zamanda, veri ihlali durumlarının raporlanması konusunda da katı kurallar getirebilir; bu nedenle finansal kurumlar API erişimleriyle ilgili güvenlik olaylarını tespit edecek izleme sistemlerine sahip olmalıdır. Bu noktada, Dijital Operasyonel Dayanıklılık Yasası (DORA) ile getirilen SIEM (Güvenlik Bilgisi ve Olay Yönetimi) ve sürekli gözetim şartları, PSD3 teknik uyumunun ayrılmaz bir parçası olacaktır.
Kapsamın Genişletilmesi (Açık Finans API’ları): PSD3 ile eş zamanlı gündeme gelen Finansal Veri Erişimi mevzuatı, ödeme hesapları dışındaki ürünlere de API erişimi getirebilir. Teknik olarak bu, bankaların kredi, sigorta, yatırım hesapları gibi farklı ürünleri için de API altyapısı kurması anlamına gelir. Kurumlar, geleceğe dönük olarak mevcut açık bankacılık platformlarını ölçeklenebilir şekilde tasarlamalıdır. Örneğin bugün sadece mevduat hesapları ve ödemeler için API sunan bir banka, yarın kredi başvurusu veya yatırım portföyü verilerini de API ile paylaşmak zorunda kalabilir. Bu nedenle mikroservis tabanlı, modulern API mimarilerine yatırım yapmak, ileride yeni API’ları hızlı ekleyebilmeyi sağlayacaktır. Ayrıca açık finans kapsamında, yetkisiz veri erişimini önleyecek ekstra kontroller (örn. veri talep edenin gerçekten o veriye erişim izni olan lisanslı bir kuruluş olduğunun kontrolü) kritiktir. Bu amaçla, API çağrılarında halihazırda kullanılan eIDAS sertifikasyon sistemi, farklı finansal sektörlere yaygınlaştırılabilir.
Güçlü Kimlik Doğrulama (SCA) ve Müşteri Güvenliği
Strong Customer Authentication (SCA) – Güçlü Müşteri Kimlik Doğrulaması, PSD2 ile hayatımıza giren ve PSD3 ile daha da önem kazanan bir kavramdır. SCA, bir müşterinin bir elektronik ödeme işlemi yaparken en az iki farklı kategoriden kimlik doğrulama ögesini kullanmasını zorunlu kılar (bilgi, sahiplik, biyometri kategorilerinden). PSD3, SCA’nın kapsamını genişletmekte ve bazı uygulama detaylarını netleştirmektedir:
SCA Kapsamının Genişletilmesi: PSD2’de SCA’nın zorunlu olmadığı veya gri alan oluşturan bazı durumlar vardı. Örneğin, merchant-initiated transaction (MIT) denilen, müşterinin elektronik ortamda bulunmadığı, önceden verdiği onaya dayalı düzenli ödemeler (abonelik, otomatik ödemeler) SCA gerekliliğinden tam muaf mı değil mi tartışması yaşanıyordu. PSD3, hangi işlemlerin SCA muafiyeti kapsamında sayılacağını açıkça belirlemektedir. MIT ödemeler, telefonla verilen ödeme talimatları veya IOT cihazları üzerinden yapılan ödemeler gibi senaryolar ayrı ele alınarak, SCA’nın uygulanmayabileceği durumlar netleştirilecektir. Ancak PSD3, bu muafiyetler için ek güvenlik şartları getirmektedir. Örneğin, MIT işlemlerde müşteri sahteciliğe uğradığında geri ödeme hakkı korunacak; veya otomatik ödemeler için müşteri bankasına önceden tanıdığı alıcılar listesi sınırlandırılacaktır.
Uzaktan Ödemelerde Dinamik Otantikasyon: Özellikle internet üzerinden yapılan e-ticaret ödemelerinde SCA uygulanırken, PSD3 ile işlem tutarı ve alıcı bilgisinin doğrulamaya entegre olması (dynamic linking) şartı korunuyor ve daha da vurgulanıyor. Yani müşteri, SCA yaptığında onayladığı tutar ve alıcı, sonrasında değiştirilemez olmalıdır. PSD2’nin RTS’inde de olan bu kural, PSD3 ile herhangi bir esneklik olmaksızın sürdürülmektedir. Teknik olarak bu, bankaların OTP SMS’lerinde veya uygulama içi onay ekranlarında “X tutarını Y alıcısına ödemeyi onaylıyor musunuz?” gibi bilgileri göstermesi gerektiği anlamına gelir.
Hesap Bilgisi Servisleri için SCA Basitleştirmesi: PSD2’de bir tartışmalı konu da hesap bilgi hizmeti (AIS) kullanımında her 90 günde bir müşteriye tekrar SCA yapma zorunluluğuydu. PSD3 önerisi, hesap bilgisi sağlayıcılarının ilk erişimde bankanın SCA yapmasını, sonraki erişimlerde ise kendilerinin devralmasını öngörüyor. Yani müşteri bir finansal uygulamayı ilk kez bankasına bağlarken SCA yapacak, sonrasında aynı uygulama belli süre zarfında verilere erişirken yeniden bankanın SCA ekranına düşmeyecek – ta ki bir şüpheli durum olana kadar. Bu teknik değişiklik, bankaların API’larında “ilk erişimde SCA tamamlandı” bilgisini tutmalarını ve AIS tarafının güvenli oturum yönetimi yapmasını gerektirebilir. AIS sağlayıcıları bu durumda kendileri de bir SCA mekanizması kurmak zorunda kalabilir (örneğin kullanıcıdan düzenli aralıklarla kendi uygulamalarında yeniden oturum açmasını istemek gibi).
Dijital Cüzdan ve Kart Saklama Senaryoları: PSD3, dijital cüzdanlarda kart saklama (ör. bir sanal cüzdana kart ekleyip temassız ödemeler yapma) gibi durumlara açıklık getirmektedir. Yeni kural, bir ödeme aracının dijital cüzdana eklenmesi sırasında SCA yapılmasını zorunlu kılar. Örneğin müşteri, kartını telefonundaki bir cüzdan uygulamasına kaydederken kartı veren banka SCA doğrulaması yapacak; böylece ileride cüzdandan yapılan ödemeler daha güvenli kabul edilecektir. Bu teknik gereklilik, kart çıkaranların (issuer) ve dijital cüzdan sağlayıcılarının entegre çalışmasını gerektirir. Büyük kart şemaları (Visa, MasterCard) halihazırda tokenizasyon ve 3-D Secure akışları ile bu senaryoyu desteklemektedir; PSD3 bunu yasal zorunluluk haline getirerek uygulamayı bir örnek kılacaktır.
Erişilebilir ve Çoklu SCA Yöntemleri: PSD3, kimlik doğrulama yöntemlerinin tüm kullanıcı kitlelerine uygun olmasını şart koşuyor. Bu, teknik açıdan bankaların ve fintech’lerin en az iki farklı SCA yöntemini desteklemesini gerektirir. Örneğin, sadece akıllı telefon uygulaması üzerinden biyometrik doğrulama sunan bir banka, akıllı telefonu veya biyometrik özelliği olmayan müşteriler için alternatif (mesela donanım token’ı veya SMS OTP + PIN) sunmak zorunda olacak. Ayrıca engelli bireyler için sesli komutla SCA yapma veya görme engelliler için uyumlu uygulama gibi erişilebilirlik özellikleri teknik gereklilik haline gelebilir. Bu, yazılım geliştirme süreçlerinde evrensel tasarım ilkelerinin benimsenmesini zorunlu kılar. Test süreçlerinde farklı senaryolar ve cihazlarla SCA deneyimi doğrulanmalı, tek bir teknolojiye (örneğin sadece parmak izi okuyucusu olan akıllı telefonlara) bağımlılık olmadığı garanti edilmelidir.
Transaction Risk Analysis (İşlem Riski Analizi) ve Muafiyetler: PSD2’de belirli düşük riskli işlemlere SCA muafiyeti tanınması için işlem risk analizi (TRA) modeli kullanılabiliyordu. PSD3 bu imkânı sürdürebilir, ancak şartları daha sıkı olabilir. Örneğin daha önce online ödemelerde 30 € altı işlemlere SCA muafiyeti risk analizi ile desteklenebiliyordu. PSD3, muafiyet limitlerini güncelleyebilir ve risk modeli kriterlerini AB genelinde standardize edebilir. Bu durumda bankalar ve ödeme sağlayıcıları gerçek zamanlı işlem izleme modellerini PSD3 limit ve oranlarına göre ayarlamalıdır. Ayrıca PSD2’de TRA kullananlara getirilen bağımsız denetim şartı PSD3’te de devam edeceğinden, bu modellerin ispatlanabilir başarı oranları (fraud rate) olmalı ve düzenli olarak güncellenmelidir.
Sonuç olarak, PSD3 kapsamında teknik gereklilikler finansal kurumların BT altyapıları ve güvenlik uygulamalarında ciddi güncellemeler gerektirecektir. API güvenliği ve yüksek performansı, müşteri verisinin güvenli paylaşımı ve kimlik doğrulamanın herkese uygun ve güçlü olması temel prensiplerdir. Bu gereklilikleri karşılayan kurumlar, bir yandan düzenleyici uyumu sağlarken diğer yandan müşterilerine daha güvenli ve kesintisiz bir hizmet sunabileceklerdir. Örneğin API’larını hızlandıran bir banka, sadece yasal uyum için değil, fintech entegrasyonlarında rekabetçi avantaj için de bunu yapmış olacaktır. Benzer şekilde SCA süreçlerini iyi tasarlayan bir ödeme şirketi, müşterilerini dolandırıcılıktan koruyarak itibarını güçlendirecektir. Bu nedenle teknik gerekliliklere yatırım yapmak, orta-uzun vadede operasyonel mükemmeliyet ve müşteri memnuniyeti olarak geri dönecektir.
6. Kurumlar İçin Önerilen Yol Haritası ve Zaman Çizelgesi
PSD3’e uyum sağlama süreci, çok aşamalı bir yol haritası ile yönetilmelidir. Aşağıda, finansal kurumlar için önerilen genel bir yol haritası ve takvimsel planlama sunulmuştur. Bu takvim, AB mevzuatının yürürlüğe girişine ilişkin güncel tahminlere dayalı olup (nihai PSD3 metninin 2024 sonuna doğru kabul edilip ~18 ay sonra uygulanabilir hale gelmesi beklenmektedir), kurum içi hazırlık adımlarını içermektedir:
2023 – 2024: Farkındalık ve Planlama Evresi – Mevzuat Hazırlık Aşaması. PSD3 henüz taslak/teklif aşamasındayken dahi kurumlar bu dönemde hazırlıklara başlamalıdır. Bu evrede üst yönetim bilgilendirmeleri yapılıp, bir PSD3 proje ekibi atanmalıdır. Mevcut durum analizi tamamlanarak boşluklar ve ihtiyaçlar belirlenmeli, bütçe ve kaynak planlaması yapılmalıdır. Ayrıca düzenleyici gelişmeler yakından izlenmeli, Avrupa Komisyonu, EBA ve yerel otoritelerin yayınladığı taslaklar, Q&A dokümanları ve teknik standartlar takip edilmelidir. 2024 yılı boyunca kurum içi eğitimler ve farkındalık programları başlatılarak ilgili tüm departmanlar (BT, operasyon, hukuk, ürün geliştirme, vb.) PSD3’e hazırlık konusunda bilgilendirilmelidir. Bu dönemin sonunda, kurumun elinde detaylı bir uyum eylem planı ve takvimi olmalıdır.
2025: Uygulama ve Dönüşüm Evresi – Ulusal Mevzuata Geçiş ve Teknik Uyum. Muhtemel senaryoya göre PSD3 ve PSR, 2024 sonunda AB Resmi Gazetesi’nde yayınlanmış olacaktır. Üye ülkelere direktifin ulusal hukuka aktarımı için ~18 ay süre tanınması beklenir. 2025 yılı, bu geçiş sürecinin kritik yılı olacaktır. Kurumlar 2025 başından itibaren:
BT altyapı projelerini (API yükseltmeleri, güvenlik güçlendirmeleri, yeni SCA yöntemlerinin entegrasyonu vb.) hayata geçirmelidir. Bu projelerin geliştirme ve test faaliyetleri 2025 yılı içinde yoğunlaşacaktır.
Politika ve prosedür güncellemeleri yapılmalıdır: Uyum, risk yönetimi ve müşteri sözleşmeleri PSD3’e uygun hale getirilmelidir. Örneğin yeni tüketici hakları (artırılmış şeffaflık, itiraz ve iade hakları) müşteri sözleşmelerine ve iç prosedürlere eklenmelidir.
Personel eğitimi ve değişim yönetimi devam edecektir: Özellikle müşteriyle direkt temasta olan ekipler (çağrı merkezi, şube, satış) PSD3 sonrası değişiklikler konusunda eğitilmelidir (örneğin müşteriler ATM ücretlerini sorarsa doğru bilgilendirme yapabilmeleri için).
Bu dönemde denetleyici otoriteyle iletişim artırılmalıdır. Otoritelerin yayınladığı rehberler incelenmeli, gerekiyorsa otoriteye zorluğa yol açabilecek hususlar iletilmelidir (örneğin bir API gereksiniminin teknik olarak uygulanmasında sıkıntı varsa sektör olarak görüş talep edilebilir).
2025’in sonuna doğru, iç denetim bir ön değerlendirme yaparak kurumun hazırbulunuşluk seviyesini ölçmelidir. Tespit edilen son eksikler 2026’ya girmeden kapatılmaya çalışılmalıdır.
2026: Uyumun Sağlanması ve Canlıya Geçiş – Yürürlüğe Giriş ve Denetim. Pek çok senaryoda PSD3’ün getirdiği hükümlerin 2026 ortası gibi bağlayıcı hale gelmesi öngörülmektedir. Bu evreden itibaren:
Kurum, tüm uyum değişikliklerini canlı ortama almış olmalıdır. API’lar yeni standartlara göre çalışıyor, SCA süreçleri PSD3 uyumlu uygulanıyor, müşteri iletişimleri yeni formatlarda yürütülüyor olmalıdır.
Yeniden lisanslama/başvuru süreçleri: PSD3, mevcut ödeme ve elektronik para kuruluşlarının “yeniden başvuru” yapmasını öngörebilir (Komisyon teklifi, PSD2 altında yetkili kuruluşların yeni düzenlemeye göre basitleştirilmiş bir yetkilendirme sürecinden geçmesini işaret etmiştir). Bu süreç 2026 içinde ulusal otoritelerce başlatılabilir. Kurumlar, gerekli başvuru dokümanlarını (iş planı güncellemeleri, yeni sermaye beyanları, tasfiye planları vb.) hazırlayarak zamanında teslim etmelidir.
Düzenleyici denetimler beklenmelidir: 2026 yılı, otoritelerin PSD3 uyumunu yerinde denetlemeye başlayacağı yıl olacaktır. Merkez bankası/finansal denetim kurumu, bankalara ve ödeme kuruluşlarına uyum denetimleri planlayabilir. Kurum bu denetimlere karşı hazır olmalıdır. Özellikle 2025 sonunda yapılan iç denetim bulguları gözden geçirilmeli, dış denetim raporları (varsa 2025 için hazırlanmış) düzenleyici ile proaktif paylaşılmalıdır.
Sürekli İyileştirme: Uyum bir defalık bir hedef olmayıp süreklilik gerektirir. 2026 ve sonrası için kurum, PSD3’e uyumlu şekilde operasyonlarını yürütürken, oluşan yeni riskleri ve aksaklıkları takip etmeli, gerektiğinde süreç iyileştirmeleri yapmalıdır. Örneğin, yeni SCA sürecinde müşteri şikayetleri artmışsa, müşteri deneyimini iyileştirecek önlemler alınabilir (ek açıklamalar, iyileştirilmiş arayüzler gibi).
2027 ve Sonrası: Açık Finans ve Genişleme – PSD3’ün uygulanması ile birlikte, AB’de Açık Finans çerçevesi de yürürlüğe girebilir (FIDAR’ın kabulü durumunda). Kurumlar, 2026’da PSD3’e uyumu sağladıktan sonra, 2027+ döneminde açık finans API’ları, dijital euro entegrasyonu (eğer çıkarsa) gibi yeni gerekliliklere hazırlanmalıdır. Bu uzun vadeli vizyonda, PSD3 uyumu için yapılan yatırımların devamı niteliğinde, diğer finansal ürünlere yönelik veri paylaşımı projeleri veya yeni ödeme yenilikleri (ör. anlık ödemelerin zorunlu hale gelmesi, kripto varlık ödemelerine yönelik düzenlemeler gibi) devreye girebilir. Kurumların, PSD3 deneyiminden edindiği uyum kültürünü kalıcı hale getirerek, gelecekteki düzenlemelere de çevik biçimde adapte olabilecek bir yapıyı tesis etmeleri önemlidir.
Zaman çizelgesi özetle yukarıdaki gibi planlanabilir. Kurum ölçeğine göre bazı adımlar paralel yürütülebilir veya süreleri kısalıp uzayabilir. Önemli olan, PSD3’ün getirdiği dönüşüm için erken planlama yapmak ve tüm paydaşları (teknik ekipler, iş birimleri, üst yönetim, dış ortaklar) aynı hedef doğrultusunda harekete geçirmektir. Bu yol haritasını izleyen bir kurum, hem yasal son tarihlere uygun hareket ederek ceza riskini minimize edecek, hem de müşterilerine ve iş ortaklarına karşı yükümlülüklerini kesintisiz şekilde yerine getirebilecektir. Son tahlilde, PSD3 uyumunu bir proje olarak görmek yerine, şirketin stratejik bir parçası haline getirmek, bu zaman çizelgesinin sürdürülebilir başarısını sağlayacaktır.
Detaylı Bilgi için Bize Ulaşabilirsiniz.
info@ozmconsultany.com
