Kurucu
May 6, 2026
21 min read
İnternet bağlantısının koptuğu an ne olur? Bir deprem sırasında, uzak bir kırsal bölgede ya da aşırı yoğunluklu bir müzik festivalinde ödeme altyapısı çöker. Geleneksel finans mimarisi bu soruyu hiçbir zaman gerçek anlamda çözmemiştir; nakit fiziksel bir çözüm sunmuş, ancak dijital dünyanın ölçeklenebilirliğinden ve güvenliğinden yoksun kalmıştır.
Çevrimdışı blokzincir ödemeleri, kriptografik imzalar, donanım güvenlik elementleri ve akıllı sözleşmeler aracılığıyla internet bağlantısı olmaksızın dijital değer transferine olanak tanıyan bu köklü soruna mühendislik ve hukukun ortak yanıtıdır. Ancak teknolojinin sunduğu imkânlar kadar beraberinde getirdiği hukuki belirsizlikler de son derece karmaşıktır.
Genesis Hukuk olarak; 7518 sayılı Kanun'un kripto varlıklara yeni statü kazandırdığı, Dijital Türk Lirası'nın ikinci fazına girdiği ve küresel merkez bankalarının CBDC pilot programlarını hızlandırdığı bu kritik dönemde, çevrimdışı ödeme sistemlerinin teknik mimarisini ve hukuki sonuçlarını FinTech girişimcileri, CASP'lar ve regülatif uyum ekipleri için bütüncül bir rehberde bir araya getiriyoruz.
Çevrimdışı blokzincir ödemeleri, teknik olarak katmanlı bir mimari üzerine inşa edilmiştir. Bu mimarinin her katmanı belirli bir hukuki riski ve sorumluluk alanını da beraberinde getirir.
Bir blokzincir ağı, doğası gereği küresel ve senkronize bir deftere dayanır. Her işlem, binlerce doğrulayıcı düğümün onayını gerektiren bir konsensüs sürecinden geçer. Çevrimdışı ödemeler ise bu konsensüs sürecini "erteler"; değer transferi gerçekleşir, ancak ağın onayı daha sonra alınır.
Bu ertelenmiş konsensüs modeli, üç temel operasyonel yapıda kendini gösterir:
Tam Çevrimdışı : Ne ödeme yapan ne de alan tarafın ağ bağlantısına ihtiyaç duyduğu modeldir. Değer transferi doğrudan cihazlar arasında gerçekleşir. Nakit parayı en yakın şekilde taklit eden bu model, aynı zamanda en yüksek çifte harcama riskini taşır.
Aralıklı Çevrimdışı : İşlemler çevrimdışı gerçekleşir ve anında harcanabilir; ancak belirli işlem sayısı, tutar limiti veya zaman periyoduna ulaşıldığında sistem zorunlu senkronizasyon talep eder. Avrupa Merkez Bankası'nın Dijital Euro tasarımında tercih ettiği bu yapı, risk yönetimi ve regülatif uyum açısından daha dengeli bir çerçeve sunar.
Kademeli Çevrimdışı : Cihazlar arasında değer kriptografik olarak kilitlenir; ancak alıcı ağa bağlanmadan parayı kullanamaz. En yüksek güvenliği, en düşük kullanıcı deneyimi karşılığında sunar.
Bu üç modelin seçimi, salt teknik bir tercih değildir. Her model, farklı bir hukuki uyum yükü, farklı bir sorumluluk matrisi ve farklı bir regülatif çerçeveyle eşleşmektedir.
Sektördeki gelişmeleri Genesis Hukuk'tan takip etmek ve uzman blockchain avukatlarının sektör analizlerinden öncelikli haberdar olun.
Çevrimdışı blokzincir ödemelerinin en köklü teknik çözümü, ödeme kanalları ve durum kanallarıdır (state channels). Bu yapıları, iki taraf arasında kurulan özel, geçici bir ödeme tüneli olarak düşünebilirsiniz.
Temel çalışma mantığı şöyledir: İki taraf, zincir üzerinde bir akıllı sözleşmeye belirli miktarda dijital varlık kilitler. Ardından, ağa bağlanmaya gerek duymaksızın bu kilit havuzdan birbirlerine ödeme yaparlar. Her ödeme, kriptografik olarak imzalanan ve ardışık sıra numarasıyla zincirlenen bloklar halinde saklanır. Kanal kapatıldığında yalnızca nihai bakiyeler blokzincire yazılır.
ZenPay protokolü, bu mimarinin gerçek dünya implementasyonuna somut bir örnek oluşturmaktadır. Solana blokzinciri üzerine inşa edilen bu açık kaynak ödeme kanalı protokolünde Alice, 50 USDC'yi bir escrow PDA'ya kilitleyerek çevrimdışı ortama geçmektedir. Bob'un dükkanında, her iki cihaz da internetsizken işlem gerçekleşir.
Alice'in telefonu bu imzayı bir QR koda dönüştürür, Bob'un cihazı okur ve ödemeyi "beklemede" olarak kaydeder. İşlemin tamamı 1 saniyenin altında gerçekleşir. Bob ilerleyen saatlerde internete bağlandığında, on-chain program Ed25519 imzasını doğrular ve 12 USDC'yi Bob'un hesabına aktarır.
Bu yapının hukuki açıdan kritik özelliği, her ödeme bloğunun öncekiyle prevHash bağlantısıyla zincirlenmiş olmasıdır. Bu kriptografik zincir, ilerleyen sayfalarda inceleyeceğimiz "hukuki kesinlik" tartışmasının teknik zeminini oluşturur: Alice, aynı fonları iki kez harcamaya çalışırsa zincir bozulur ve on-chain program bunu tespit eder.
Bitcoin ekosisteminde Lightning Network ve Ethereum'da ise state channel ağları bu modelin daha sofistike versiyonlarını uygulayarak saniyede 33.000 işlemi aşan kapasiteler sergilemiştir. Teechain protokolü, Güvenilir Yürütme Ortamları (TEE) ile kombine edilen bu mimariyle transatlantik dağıtımlarda yalnızca 0.1 saniyelik gecikme kaydetmiştir.
Hukuki Uyarı: Ödeme kanalları, Türkiye'de 6493 sayılı Kanun kapsamında ödeme hizmetleri olarak değerlendirilebilir. Kanal yöneticisinin fonları geçici olarak kontrol ettiği yapılarda, BDDK nezdinde e-para kuruluşu lisansı gerekilip gerekmediği ayrıca analiz edilmelidir.
Yazılım katmanındaki kriptografik çözümler, çevrimdışı güvenliğin yalnızca bir boyutunu oluşturur. İşlemin fiziksel dünyayla buluştuğu noktada, donanım güvenliği devreye girer.
Güvenli Eleman (Secure Element — SE), kriptografik anahtarları barındıran, ödeme uygulamalarını çalıştıran ve fiziksel müdahalelere (tampering) karşı sertifikalı olarak korumalı donanımsal çiplerdir. EMV standartlarındaki tokenizasyon işlemleri büyük ölçüde bu yapı üzerinden işler. Apple Pay ve Google Pay'in güvenlik mimarisinin temeli bu elementtir.
Güvenilir Yürütme Ortamı (Trusted Execution Environment — TEE), cihazın ana işlemcisi içinde ayrılmış, işletim sisteminden bağımsız olarak çalışan güvenli bir bölgedir. Intel SGX örneğinde olduğu gibi, TEE içinde çalışan kod ve veriler, işletim sisteminin ele geçirilmesi durumunda bile korunaklı kalmaktadır. Bir çevrimdışı ödeme senaryosunda TEE şu işlevi üstlenir: Kullanıcının cihazı zincir üzerinde teminat yatırır, TEE bu teminatı çevrimdışı ödeme kanalına kriptografik olarak bağlar ve karşı taraf bu teminatın varlığını doğruladıktan sonra çevrimdışı işlem başlar. Kanal kapandığında TEE, nihai işlemi ana deftere iletir.
Fiziksel Olarak Klonlanamayan Fonksiyon (PUF), yarı iletkenlerin üretim sürecindeki mikroskobik farklılıkları kullanarak her cihaza özgü bir "dijital parmak izi" oluşturur. Bir donanım cüzdanının klonlanarak sahte işlemler üretilmesini bu teknoloji engeller.
AirSign protokolü, "sıfır ağ hava boşluğu imzalama" (zero-network air-gap signing) paradigmasını kullanır. Özel anahtar hiçbir zaman internete bağlı bir cihaza dokunmaz; imzalama cihazı ile çevrimiçi makine yalnızca tek yönlü bir optik QR kodu kanalı üzerinden haberleşir. Kanalda iletilen her çerçeve ChaCha20-Poly1305 AEAD ile korunur: tek bir bitin değişmesi MAC doğrulamasını başarısız kılarak çerçeveyi düşürür. Kanalda asla çalıştırılabilir kod taşınmaz; bu mimari man-in-the-middle saldırılarını optik katmanda fiilen imkânsız kılmaktadır.
NFC ve QR kodları ise çevrimdışı ödemelerin son kullanıcıya dokunduğu arayüzlerdir. Yakın Alan İletişimi (NFC), her işlemde değişen dinamik bir UID kullandığından hem gizliliği korur hem de klonlama saldırılarına karşı dirençlidir. Toplu taşıma turnike sistemlerinden perakende POS cihazlarına uzanan geniş bir kullanım alanında, NFC'nin 500 milisaniyelik işlem hızı kritik önem taşır.
FinTech girişiminiz için Türkiye'de blokzincir uyumluluğu ve lisanslama konularında uzman rehberlik alın.
Çevrimdışı dijital ödemelerin Achilles topuğu, çifte harcamadır. Dijital verinin bir kopyasının alınmasının son derece kolay olduğunu düşündüğünüzde, şu senaryo mümkün görünür: Alice, 50 USDC'sini Bob'a öder; aynı zamanda aynı 50 USDC'yi Carol'a da öder. Her ikisi de "ödeme alındı" görürken, çevrimiçi sistemle senkronizasyon gerçekleşene kadar hiçbiri gerçek bakiyeleri bilmez.
Bu sorunun çözümü, salt yazılımsal şifrelemeyle değil, donanım ve kriptografinin birleşimiyle sağlanabilmektedir.
Akademik literatür ve merkez bankası araştırmaları, çifte harcamayı engelleyebilen çevrimdışı sistemlerin bir MISM çerçevesinde çalışması gerektiğini ortaya koymaktadır. Bu çerçevede cihaz, yalnızca bir yönde ilerleyebilen (monoton artış gösteren) bir durum makinesini izole edilmiş bir donanım ortamında çalıştırır.
ZenPay protokolünde bu prensibi somut olarak görebiliriz: Her ödeme bloğu, önceki bloğun hash değerini içerir. Bu kriptografik zincirleme yapısı, sıra numarasının geriye sarılmasını imkânsız kılmaktadır. On-chain program, gelen ödemenin seq (sıra numarası) değerinin mevcut last_seq'den büyük olduğunu doğrular. Küçük veya eşit bir sıra numarasıyla gelen herhangi bir ödeme talebini reddeder.
Donanım katmanında ise SE veya TEE, bu monoton sayacı şifrelenmiş ve kurcalamaya karşı korumalı bir bellek alanında saklar. Cihazın çalışma durumunu byte-by-byte kopyalamaya çalışan bir saldırgan, bu sayacı da kopyalar; ancak her iki kopyadan yapılacak ödemeler birbirinin geçersizliğini kanıtlar.
Kriptografik şifreleme, verilerin gizliliğini ve bütünlüğünü korur; ancak çevrimdışı ortamda "bakiye kontrolü" yapamaz. Şifreleme sistemi şunu söyleyebilir: "Bu imza Alice'e ait." Söyleyemediği şey ise: "Alice bu parayı daha önce harcamadı."
Gerçek zamanlı bir ağa bağlantı olmaksızın bu soruyu yanıtlamanın tek yolu, cihazın kendisinin bu tarihi tutmasıdır. Ancak cihaz ele geçirildiğinde veya klonlandığında, bu tarih de klonlanır.
Bu nedenle BIS Project Polaris kılavuzu ve küresel merkez bankası araştırmaları, SE/TEE gibi donanımsal korumaların çevrimdışı CBDC sistemlerinin mimarisinde zorunlu bir unsur olduğunu belirtmektedir. Sıfır Bilgi İspatları (ZKP), gizliliği korurken işlem geçerliliğini doğrulayan güçlü bir alternatif sunmaktadır; ancak kaynak kısıtlı donanımlarda hesaplama yükü ciddi gecikmelere neden olabilmektedir.
Blokzincirin "olasılıksal kesinliği" ile ticaret hukukunun "kesin ve geri dönülemez devir" anlayışı arasındaki derin uçurum, çevrimdışı ödemelerin en temel hukuki sorununu oluşturmaktadır.
Geleneksel ödeme sistemlerinde kesinlik belirleyicidir (deterministic). Bir merkezi otorite, birleşik bir defteri günceller ve işlemi nihai olarak işaretler. Tüm katılımcılar bu tek gerçeği paylaşır.
Merkeziyetsiz blokzincirler ise olasılıksal kesinlik üzerine inşa edilmiştir. Proof-of-Work (PoW) konsensüsünde bir işlemin geri döndürülme olasılığı, her yeni blok eklendiğinde azalır; ancak matematiksel olarak hiçbir zaman sıfıra ulaşmaz. Zincir yeniden düzenlemeleri, forking veya %51 saldırıları teorik olarak her zaman mümkündür.
Çevrimdışı blokzincir ödemeleri bu belirsizliği daha da derinleştirmektedir. İki cihaz çevrimdışı işlem yaptığında, yerel defterler işlemi "kesinleşmiş" olarak kaydeder. Ancak küresel ağ, bu durum değişikliğinden habersizdir. İşte bu temporal pencere, hukuki açıdan kritik bir risk oluşturur: Yerel kesinlik, küresel durumla çelişebilir.
Ticaret hukukunda "mutabakat kesinliği" (settlement finality), mülkiyetin bir taraftan diğerine geçtiği ve bu geçişin iflâs prosedürleri dahil hiçbir hukuki mekanizmayla geri alınamayacağı anı ifade eder. Bu determinizm, blokzincirin olasılıksal yapısıyla doğrudan çelişir.
Avrupa Birliği'nin Mutabakat Kesinliği Direktifi (SFD, 98/26/EC), bu sorunu merkezi ödeme sistemleri için çözmüştür: Belirlenmiş ödeme ve menkul kıymet takas sistemlerine girilen transfer emirleri, iflâs işlemlerinin sistemik etkilerinden korunmaktadır. Ancak bu direktifin merkeziyetsiz, eşler arası, çevrimdışı işlemlere uygulanması, ciddi bir mevzuat uyarlaması gerektirmektedir. Çevrimdışı bir blokzincir işlemi, merkezi bir aracı dışında gerçekleştiğinde, regülatörlerin bu kesinlik korumasını sağlamaya tarihsel olarak isteksiz olduğu görülmektedir.
Avrupa Komisyonu'nun Dijital Euro taslak mevzuatı (2023/0212/COD), bu soruyu açık bir yasal tanımla çözmeye çalışmaktadır: Yerel güvenli depolama cihazlarındaki dijital varlık kayıtları güncellendiği anda nihai mutabakat gerçekleşir ve bu nihailiğin ağın senkronize olup olmamasından bağımsız olduğu tescil edilir. Türkiye'nin Dijital Türk Lirası projesinin de benzer bir yasal çerçeveye ihtiyaç duyduğu açıktır.
Çevrimdışı ortamda transfer edilen dijital varlığın "mülkiyeti" kime aittir? Bu soruyu yanıtlamak için hem ABD'nin UCC reformunu hem de uluslararası UNIDROIT Prensiplerini incelememiz gerekmektedir.
ABD Tekdüzen Ticaret Kanunu'nun (UCC) 2022 reformuyla eklenen Madde 12, kripto varlıklara özgü "Kontrol Edilebilir Elektronik Kayıt" (Controllable Electronic Record — CER) kavramını hukuki evrenimize sokmuştur. New York da dahil pek çok ticaret merkezi bu düzenlemeyi kabul etmiş olup bazı yargı bölgeleri için 2026'dan itibaren yürürlüktedir.
UCC Madde 12 kapsamında "kontrol" üç unsur gerektirir:
Birincisi, kişi CER'in "özünde tüm faydasını" elde edebilme gücüne sahip olmalıdır. İkincisi, başkalarının bu faydayı elde etmesini engelleyecek münhasır güce sahip olmalıdır. Üçüncüsü, CER üzerindeki kontrolü devredebilecek münhasır güce sahip olmalıdır.
Bu hukuki tanım, özel anahtar sahipliğinin kriptografik gerçekliğiyle birebir örtüşmektedir. Bir kullanıcı dijital varlığını çevrimdışı bir TEE'de tuttuğunda, UCC Madde 12 anlamında münhasır kontrol icra etmektedir ve bu kontrol, mülkiyet hakkını tesis etmektedir.
Madde 12'nin getirdiği en önemli yenilik ise müzakere edilebilirlik (negotiability) konseptidir. Bir CER'in kontrolü devredildiğinde —örneğin iki çevrimdışı donanım cüzdanının birbirine dokunması— haklarla birlikte gelen bir "take-free" kuralı devreye girer. Bu kural, çevrimdışı alıcının varlığı, üçüncü tarafların sahiplik iddialarından bağımsız olarak devralmasına imkân tanır; dijital varlığı kıyıya benzeterek (negotiable instrument) elektronik ortamda işlev görmesini sağlar.
Türk hukuku bağlamında bu kavramın doğrudan bir karşılığı henüz mevzuata girmemiş olsa da, 7518 sayılı Kanun'un kripto varlıkları "maddi olmayan varlık" olarak tanımlaması, benzer bir kontrol-mülkiyet ilişkisinin Türk Medeni Kanunu çerçevesinde kurgulanabileceğine işaret etmektedir.
Gerçek Dünya Varlıkları (RWA) TokenizasyonuHizmetlerAugust 10, 2025👤Genesis Hukuk
2023 yılında kabul edilen UNIDROIT Dijital Varlıklar ve Özel Hukuk Prensipleri, G20 dahil 65 üye devlet arasında teknolojiden bağımsız bir çerçeve oluşturmaktadır. Madde 8-10, UCC'nin "take-free" kuralıyla paralel bir "barınak" (shelter) kuralı getirmektedir: İyi niyetli bir devralan, dijital varlığı üçüncü tarafların mülkiyet iddialarından azade olarak devralır. Madde 14-17 ise kontrolü aracılığıyla güvence hakkını mükemmelleştiren alacaklılara mutlak öncelik tanımaktadır. Uluslararası CASP'lar bu çerçeveyi özellikle iflâs senaryolarında mülkiyet önceliğini belirlemek için kullanabilmektedir.
Çevrimdışı işlemler, gerçek zamanlı ağ güvenlik ağını devre dışı bırakır. Bu seçim, yazılım geliştiricilerinden donanım üreticilerine, üye işyerlerinden ihraçcı bankalara uzanan bir sorumluluk matrisini yeniden şekillendirir.
Çevrimdışı bir işlem başarısız olduğunda veya çifte harcama gerçekleştiğinde, zararın kime yükleneceğini belirlemek hem teknik hem de hukuki olarak oldukça karmaşıktır. Mevcut hukuki çerçeve, bu sorunu iki temel sorumluluk teorisi etrafında tartışmaktadır.
Kusursuz sorumluluk teorisi (Greenman v. Yuba Power Products, §402A), piyasaya sürülen kusurlu bir ürünün zarar vermesi halinde özenin derecesinden bağımsız olarak üreticiye sorumluluk yükler. Çevrimdışı blokzincir sistemlerine uygulandığında bu oldukça ağırdır: TEE geliştiricisi, sıfırıncı gün açığının ne kadar agresif denetlendiğinden bağımsız olarak, açığın yol açtığı her çifte harcamadan sorumlu tutulabilir. Mahkemeler bu nedenle yazılıma kusursuz sorumluluk uygulamaktan kaçınmaktadır; inovasyon üzerindeki caydırıcı etkiden çekinilmektedir.
Hata bazlı sorumluluk (fault-based liability) daha yaygın yoldur. Zarar gören, donanım satıcısının veya yazılım geliştiricisinin endüstri standartlarını karşılayıp karşılamadığını —örneğin bilinen bir açığı yamalamış olup olmadığını— ispat etmek zorundadır. Kurumsal yazılım senaryolarında ise mahkemeler sıklıkla "ekonomik kayıp doktrini"ni uygulayarak zarara uğrayanı sözleşmesel haklarla sınırlandırmaktadır.
Mevcut akademik ve regülatif tartışma, sorumluluk sınırlarını üç kontrol boyutunda çizmektedir. Birincisi, durum kanalı kapanma kurallarını belirleyen ya da işlem eşleştirme altyapısı sağlayanlar takas ve mutabakat yetkisi nedeniyle regülatif denetime girebilir. İkincisi, dijital varlığı doğrudan kontrol eden geleneksel "gözetim" (custody) eşiği; bu eşikle temas eden taraf uyum raporlamasını tetikler. Üçüncüsü ve en kritik olanı, akıllı sözleşme parametrelerini değiştirebilme, fonları dondurabilme veya protokolü yükseltebilme gücüne sahip geliştiriciler ve DAO'lar: Bu gücü kullananlar —yönetim tokenine sahip olup protokol oylamasına katılanlar dahil— farkında olmaksızın BSA veya Türk ödeme mevzuatı kapsamına girebilir.
Üye işyerleri açısından çevrimdışı işlem kabul etmenin iki temel yöntemi vardır ve bu iki yöntem arasındaki risk farkı çarpıcıdır.
Çevrimdışı EMV: Terminal, kartın içindeki çiple haberleşerek kriptografik olarak PIN doğruluğunu ve işlem limitlerini anlık bağlantı olmadan denetler. Kontrol karttadır. İşlem uygun bulunursa takas sürecinde işleme alınır. Güvenlik düzeyi nispeten yüksektir; ancak ABD pazarında bazı bankalar offline PIN yönetiminin senkronizasyon zorluklarından dolayı bu yapıdan kaçınmaktadır.
Sakla ve İlet (Store and Forward — SAF): POS cihazı, herhangi bir çip doğrulaması veya bakiye kontrolü yapmaksızın kart verilerini şifrelenmiş formatta geçici bellekte saklar ve işlemi anında onaylar. Cihaz ağa bağlandığında işlemler toplu olarak iletilir.
SAF'ın kritik riski şudur: Reddedilen işlemler işyerinin sorumluluğundadır. İşlem reddedildiğinde zarar tamamen üye işyerine aittir. Üstelik POS cihazı çevrimdışı moda geçtikten sonra hasar görürse, kayıtlı tüm işlemler kalıcı olarak yok olur.
Bu iki model arasındaki seçim, basit bir teknik tercih değil; işyerlerinin iflâs eşiğini belirleyebilecek kritik bir risk yönetimi kararıdır.
Ekim 2015'te küresel çapta yürürlüğe giren EMV Sorumluluk Kayması (Liability Shift) kuralları, çipli altyapıya geçmeyen tarafı dolandırıcılıktan sorumlu tutan köklü bir düzenleme getirmiştir.
Temel kural şöyledir: Çipli bir kart, manyetik şerit okuyabilen ancak çip okuyamayan eski bir POS cihazında kullanılırsa, oluşan dolandırıcılık zararı kartı ihraç eden bankadan çıkarak işlemi kabul eden işyerine/alıcı bankaya rücu eder.
Dikkat edilmesi gereken kritik neden kodları arasında Visa 10.1 (klonlanmış kartın manyetik okutulması), Visa 11.2-11.3 (SAF modunda ağa bağlanınca reddedilen işlemler) ve Mastercard 4808 (talep edilen otorizasyonun alınamaması) sayılabilir. SAF modunda işlem yapan bir işyerinin Visa 11.2-11.3 kapsamındaki uyuşmazlıklarda genellikle itiraz hakkı bulunmadığını özellikle vurgulamak gerekir.
Amerikan Express ve Mastercard bu kuralı katı biçimde uygularken, Visa ABD pazarında kayıp/çalıntı durumları için farklı bir sorumluluk dağılımı öngörmektedir.
Çevrimdışı ödemelerin tasarımındaki en derin gerilim teknolojik değil ideolojiktir: Nakit benzeri anonimlik ile finansal gözetim zorunluluğu arasındaki bu çatışma, henüz küresel düzeyde çözüme kavuşturulamamıştır.
Fiziksel nakit izlenemez ve anonimdir. Çevrimdışı dijital para bu özelliği taklit etmeye çalışırken, karşı tarafta AML/CFT rejimlerinin sınır tanımayan denetim talebi yer alır. Eşler arası, çevrimdışı ve merkezi aracısız bir işlem ortamı, geleneksel finansal suç uyum çerçevelerinin uygulanmasını teknik olarak son derece güçleştirmektedir: Gerçek zamanlı denetim yapılamaz, yaptırım altındaki kişiler anlık olarak engellenemez, kimlik doğrulaması gerçekleştirilemez.
FATF Seyahat Kuralı, finansal kurumların ve VASP'lerin belirli eşiği aşan fon transferlerinde ayrıntılı gönderici ve alıcı bilgilerini paylaşmasını zorunlu kılmaktadır. Türkiye'de MASAK bu uluslararası standartları iç hukuka yansıtmış; 2025 tarihli yeni tebliğlerle kripto hizmet sağlayıcılara uzaktan kimlik tespiti yapabilme ve sıkılaştırılmış müşteri tanıma (Enhanced Due Diligence) yükümlülükleri getirilmiştir.
Çevrimdışı ortamda bu yükümlülüklerin yerine getirilmesi, sistemin tasarım aşamasında ele alınması gereken bir sorundur.
"Tasarım yoluyla uyum" yaklaşımı, AML/CFT yükümlülüklerini sonradan eklenen bir yama olarak değil, sistemin genetiğine işlenmiş bir mimari unsur olarak ele alır.
Bu paradigmanın pratik uygulamaları şunlardır:
Kademeli limit mimarisi: Düşük bakiyeli, KYC gerektirmeyen cüzdanlar sınırlı çevrimdışı işlemlere izin verirken, yüksek bakiyeli cüzdanlar tam kimlik doğrulaması gerektirir. Ghana'nın eCEDI pilot programı, kırsal bölgelerde sıfır-KYC hesaplarla mali kapsayıcılığı artırırken bu risk-tabanlı yaklaşımı başarıyla uygulamıştır.
Donanım temelli işlem kapları: Belirli bir tutar, süre veya işlem sayısına ulaşan cüzdanlar, yeniden senkronizasyon gerçekleştirene kadar yeni işlem başlatamaz. Bu kısıtlamanın yazılım katmanında değil donanım elementinde (SE/TEE) uygulanması, manipülasyona karşı direnci kritik ölçüde artırır.
Hızlandırılmış senkronizasyon yükümlülüğü: Çevrimdışı işlem geçmişinin, bağlantı sağlandığında milisaniyeler içinde sunucularla mutabakat sağlaması ve değiştirilemez (immutable) kayıt oluşturması, Türkiye'de 6493 sayılı Kanun kapsamındaki e-para kuruluşları için öngörülen teknik standartlarla uyumludur.
Post-fraud traceability (Dolandırıcılık Sonrası İzlenebilirlik): Kullanıcılar çevrimdışı işlem süresince nakit benzeri gizlilik hakkından yararlanırken, temel işlem geçmişi donanım cihazında kriptografik olarak taahhüt edilir. Cihaz senkronize olduğunda, grafik analiz algoritmaları geriye dönük denetim yapabilir. Yargısal yetkiyle donatılmış kolluk kuvvetleri uygun kararnamelerle şifre çözme anahtarlarına erişebilir veya varlık akışını takip edebilir.
Uyum izleme için gereken kapsamlı veri toplama, veri koruma mevzuatıyla doğrudan çatışmaktadır. Bu gerilim özellikle iki alanda kendini gösterir.
Ortak veri sorumluluğu riski: İşlem verilerini uyum izleme amacıyla saklayan düğüm operatörleri veya aracı platformlar, GDPR kapsamında ortak veri sorumlusu sayılabilir. Bu durum; veri minimizasyonu, silinme hakkı ve amaç sınırlaması yükümlülüklerini beraberinde getirir.
Veri ihlali sistemik riski: Geleneksel iki katmanlı bankacılık modelinde bir veri ihlali tek bir kurumun kullanıcı tabanıyla sınırlıdır. Ancak dağıtık defterde, tek bir aracı düğümde yaşanacak veri ihlali tüm sisteme ait verileri ifşa edebilir.
Çözüm yolları arasında en umut verici yaklaşım, sıfır bilgi ispatı (ZKP) tabanlı uyum raporlamasıdır. Bu yaklaşımda sistem, bir işlemin belirli kurallara uygun olduğunu (örneğin tutarın sınırın altında kaldığını) kimlik bilgilerini açıklamaksızın ispatlayan kriptografik kanıtlar üretir. Uyum sağlandığını kanıtlamak mümkündür; ancak işlemin içeriği gizli kalır.
Türkiye'de KVKK ile AML yükümlülükleri arasındaki denge, çevrimdışı CBDC mimarisi tasarlanırken 6493 sayılı Kanun ve KVKK'nın 28. maddesi kapsamındaki istisnalar çerçevesinde ayrıca değerlendirilmelidir.
Türkiye, dünyada en ilginç regülatif paradoksu yaşayan ülkelerden biridir: Özel kriptoyla ödemeyi yasaklarken, gelişmiş çevrimdışı özelliklere sahip devlet destekli bir CBDC'yi hızla geliştirmektedir. Bu çift raylı strateji, aslında son derece hesaplı bir egemenlik refleksidir.
Temmuz 2024'te yürürlüğe giren 7518 sayılı Kanun, Türk sermaye piyasası mevzuatında köklü bir dönüşümü temsil etmektedir. Kanun, kripto varlıkları Türk hukukunda ilk kez resmi bir statüye kavuşturarak onları medeni hukuk kapsamında "maddi olmayan varlık" olarak tanımlamıştır.
Kanunun getirdiği temel düzenlemeler şunlardır:
Lisanslama zorunluluğu: Kripto Varlık Hizmet Sağlayıcılar (CASP), Sermaye Piyasası Kurulu'ndan (SPK) operasyonel lisans almak zorundadır. Bu düzenleme, Türk hukukunu AB'nin MiCA düzenlemesiyle işlevsel olarak paralel hale getirmiştir; ancak daha katı ve merkezi bir lisanslama mekanizması öngörülmüştür.
Saklama standartları: Lisanslı saklama platformları, müşteri varlıklarını belirlenmiş güvenlik standartlarına uygun biçimde korumakla yükümlüdür.
Sermaye yeterliliği: CASP'ların mali sağlamlıklarını kanıtlamaları gerekmektedir.
7518 sayılı Kanun kapsamında lisans almayan kuruluşların çevrimdışı ödeme çözümleri geliştirmesi, ciddi idari ve cezai riskler doğurabilir. Bu nedenle FinTech girişimlerinin mevzuata uygunluk durumunu hukuki danışmanlık eşliğinde değerlendirmesi kritik önem taşımaktadır.
TCMB, Nisan 2021'de yayımladığı düzenlemeyle kripto varlıkların ödeme aracı olarak kullanılmasını açıkça yasaklamıştır. Bu yasak, 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun ile 32 sayılı Türk Parasının Kıymetini Koruma Hakkında Karar kapsamında güçlü bir hukuki zemine oturtulmuştur.
Bu yasak, çevrimdışı blokzincir ödeme geliştiren Türk girişimciler için net bir hukuki sınır çizmektedir: Özel kripto varlıkların (USDT, USDC, BTC, ETH vb.) mal veya hizmet karşılığı ödeme olarak kullanılması, söz konusu işlemin çevrimdışı veya çevrimiçi olmasından bağımsız olarak mevcut hukuki düzenlemeyle çelişmektedir.
6493 sayılı Kanun çerçevesinde e-para kuruluşu lisansına sahip olunsa dahi, özel kripto ödeme aracının bu lisans kapsamında değerlendirilemeyeceği kabul edilmektedir. 6493 sayılı Kanun'un e-parasının, itibari para karşılığı ihraç edilen ve geri ödenebilen bir ödeme aracı olarak tanımlandığı göz önüne alındığında, merkezi olmayan kripto varlıklar bu tanımın dışında kalmaktadır.
Çevrimdışı ödeme sistemleri geliştiren girişimciler için kritik soru şudur: Sistem yalnızca Dijital Türk Lirası veya yasal ödeme aracıyla mı çalışıyor; yoksa özel kripto varlıklarını da kapsıyor mu? Bu ayrım, Türk hukuku kapsamındaki yasal konumlanmayı doğrudan belirlemektedir.
Blockchain & DLT Danışmanlık HizmetleriHizmetlerAugust 10, 2025👤Genesis Hukuk
TCMB öncülüğünde yürütülen Dijital Türk Lirası projesi, küresel CBDC yarışında öne çıkan en kapsamlı devlet destekli girişimlerden biridir. Birinci fazdaki kavram kanıtlama çalışmalarının ardından proje ikinci fazına geçmiş; odak noktası makroekonomik etkilerin simüle edilmesi ve çevrimdışı işlem kapasitesinin test edilmesi olmuştur.
Dijital Türk Lirası'nı geleneksel e-para cüzdanlarından ayıran en temel özellik, çevrimdışı ödeme kapasitesidir. Bu kapasite sayesinde:
Doğal afet senaryolarında telekomünikasyon altyapısı çökse dahi ödeme akışları devam edebilir.
Kırsal ve internet erişimi zayıf bölgelerde finansal kapsayıcılık sağlanabilir.
Yüksek hacimli perakende işlemlerinde anlık mutabakat gecikme olmaksızın gerçekleşebilir.
TCMB, projenin hukuki boyutları üzerinde de çalışmakta; Dijital Türk Lirası'nın resmi yasal ödeme aracı statüsü, kullanıcı verileri mahremiyeti ve ticari bankaların sistem içindeki sorumlulukları hakkında yasal taslaklar hazırlamaktadır.
Dijital Türk Lirası'nın ikinci fazı, teknik altyapı olarak dağıtık defter teknolojileri, izinli ağ mimarileri ve merkezi-hibrit modelleri kapsamaktadır. Bu altyapının en dönüştürücü yeniliği ise akıllı sözleşme katmanıdır.
Programlanabilir Dijital Türk Lirası ile mümkün hale gelebilecek başlıca kullanım senaryoları şunlardır: şirket ödemelerini koşullu olarak tetikleyen akıllı sözleşmeler; sosyal yardımları yalnızca belirli harcama kategorilerinde (gıda, ilaç, eğitim) geçerli kılacak hedefli kamu harcaması; oracle tabanlı verilerle çalışan zamansal tetikleyiciler (örneğin hava durumuna bağlı tarım sigortası ödemeleri).
Bu programlanabilirlik, geleneksel ticaret hukukunun "if-this-then-that" mantığını dijital para birimine taşımaktadır. Ancak akıllı sözleşmelerin hukuki statüsü Türkiye'de henüz mevzuata kazınmamıştır; bu boşluk programlanabilir CBDC senaryolarının hukuki çerçevesini belirsiz bırakmaktadır.
Dijital Türk Lirası'nın çevrimdışı ödeme özelliği yalnızca bir teknik tercih değil, bir egemenlik ve güvenlik stratejisidir. 2023 Kahramanmaraş depremi gibi felaketlerin ortaya koyduğu altyapı kırılganlıkları, ödeme sistemlerinin bağlantı bağımsız işlev görebilmesini zorunlu kılmaktadır. TCMB, Dijital Türk Lirası'nın merkezi FAST sistemine paralel çalışacağını ve bu yapının felaketten kurtarma sürecinde kritik bir yedeklilik katmanı oluşturacağını açıklamıştır. Projenin geleneksel banka hesabı gerektirmemesi ilkesi ise bankacılık sistemine dahil olmayan nüfus kesimleri için dijital ekonomiye önemli bir kapı aralamaktadır.
Çevrimdışı blokzincir ödeme sistemi geliştiren veya bu alanda hizmet sunan kuruluşlar için aşağıdaki kontrol listesi, hukuki ve teknik uyum çerçevesinin ana başlıklarını özetlemektedir.
Lisanslama ve Hukuki Konum: Sunduğunuz hizmetin 7518 sayılı Kanun kapsamında CASP lisansı gerektirip gerektirmediğini analiz edin. Yalnızca Dijital Türk Lirası üzerinden işlem yapan sistemlerin TCMB/BDDK izin çerçevesindeki konumunu ayrıca değerlendirin. Çevrimdışı e-para hizmeti sunuyorsanız 6493 sayılı Kanun yükümlülüklerini tespit edin.
Teknik Güvenlik Mimarisi: Çifte harcama koruması için SE, TEE veya PUF tabanlı donanım güvenlik elementleri kullanın. İşlem limitlerini donanım seviyesinde kodlayın. Monoton artan sıra numarası ve hash zincirlemesi (ZenPay'in prevHash yaklaşımı) uygulayın. QR/NFC kanallarında AEAD şifreleme (ChaCha20-Poly1305 veya eşdeğeri) zorunlu kılın.
AML/CFT Uyumu: Kademeli KYC mimarisi oluşturun; düşük değerli işlemler için basit kayıt, yüksek değerliler için tam doğrulama. Çevrimdışı işlem geçmişinin bağlantı sağlandığında değiştirilemez kayıt oluşturarak senkronize olmasını garanti edin. MASAK şüpheli işlem raporlama altyapısı ve FATF Seyahat Kuralı bilgi paylaşım yükümlülüklerini mimariyle entegre edin.
Veri Koruma (KVKK/GDPR): KYC ve işlem verilerini veri minimizasyonu ilkesiyle sınırlayın. Üçüncü taraf düğüm operatörleriyle veri işleme sözleşmeleri akdedin. Veri ihlali bildirim protokollerini dokümante edin.
Sorumluluk Yönetimi: Donanım/yazılım üreticisi sözleşmelerine güvenlik açığı tazminatı ve ürün sorumluluğu maddeleri ekleyin. Merchant sözleşmelerinde SAF modunun getirdiği riskleri açıkça tanımlayın. Ters ibraz süreçleri için teknik log altyapısı kurun.
Sıfır Bilgi İspatları ve zincir üstü kimlik sistemlerinin Türkiye'de KVKK, SPK ve MASAK uyumluluğunu nasıl sağladığını keşfedin. Tasarım yoluyla gizlilik çözümleri hakkında bilgi edinin.
Hem Türk regülatörlerine hem de sektör paydaşlarına yönelik bir dizi mevzuat iyileştirme önerisini aşağıda paylaşmaktayız.
Yasal tanım açıklığı: "Çevrimdışı dijital ödeme aracı" kavramının 6493 sayılı Kanun'da veya ikincil mevzuatta tanımlanması, lisanslama belirsizliğini ortadan kaldıracak ve yatırımcı güvenliğini artıracaktır.
Regulatory Sandbox: BDDK ve SPK nezdinde bir FinTech sandbox programı, çevrimdışı ödeme prototiplerine kontrollü test ortamı sunabilir. İngiltere FCA Sandbox'ının 200'den fazla firma üzerinde yürüttüğü testler ve Singapur MAS'ın hibe destekli sandbox modeli, Türkiye'nin uyarlayabileceği başarılı örnekler sunar.
Kademeli güvenli liman: Kişi başı aylık belirli bir limitin altındaki çevrimdışı işlemler için basitleştirilmiş uyum yükümlülükleri uygulanabilir. Bu yaklaşım finansal kapsayıcılığı artırırken regülatif kaynakların yüksek riskli işlemlere odaklanmasını sağlar.
Hukuki kesinlik mevzuatı: Dijital Türk Lirası yasal çerçevesi, kesinlik anını açıkça tanımlamalıdır. Dijital Euro taslağının modeli —yerel cihaz kaydının güncellenmesi anında kesinliğin sağlandığının tescil edilmesi— Türk mevzuatına uyarlanmaya hazır bir şablon sunmaktadır.
Akıllı sözleşme hukuku: Programlanabilir Dijital TL ile birlikte, akıllı sözleşmelerin hukuki statüsünü, uygulama mekanizmalarını ve taraf sorumluluklarını düzenleyen özgün bir yasal çerçeveye ihtiyaç duyulacaktır. Bu mevzuat boşluğunun proaktif kapatılması, Türkiye'nin dijital finans merkezi olma vizyonu açısından kritik önem taşır.
Hayır. TCMB'nin Nisan 2021 tarihli düzenlemesi, kripto varlıkların ödeme aracı olarak kullanılmasını açıkça yasaklamaktadır. Bu yasak, ödemenin çevrimdışı gerçekleşip gerçekleşmediğinden bağımsız olarak uygulanmaktadır. Yasal çevrimdışı ödeme çözümleri için Dijital Türk Lirası altyapısı veya 6493 sayılı Kanun kapsamında lisanslı e-para sistemleri değerlendirilmelidir.
7518 sayılı Kanun kapsamında kripto varlık işlemine aracılık eden CASP'ların SPK'dan lisans alması zorunludur. Ödeme hizmeti unsuru içeren çevrimdışı sistemler ise 6493 sayılı Kanun kapsamında BDDK'nın düzenleyici denetimine tabi olabilir. İki regülatörün yetki alanlarının örtüştüğü durumlarda hangisinin yetkili olduğu, somut iş modelinin analizine bağlıdır.
Bu soru, kullanılan teknolojiye ve sözleşme çerçevesine göre farklı yanıtlar alır. EMV tabanlı sistemlerde SAF modunda reddedilen işlemlerin zararı genellikle üye işyerine aittir. Blokzincir ödeme kanallarında ise akıllı sözleşme mimarisi ve protokol tasarımı sorumluluk dağılımını belirleyen birincil unsurdur. Donanım güvenlik açıklarından kaynaklanan zararlarda üretici sorumluluğu, kusursuz sorumluluk ile hata bazlı sorumluluk arasında tartışmalı olmaya devam etmektedir.
Bu, çevrimdışı blokzincir ödemelerinin merkezi hukuki sorusudur. Teknik işlemi (yerel cihaz güncellemesi) hukuki mutabakat olarak kabul eden bir yasal çerçeve olmaksızın, ticaret hukukunun "geri döndürülemez devir" standardının ne zaman sağlandığı belirsiz kalmaya devam eder. Dijital Euro mevzuatı bu belirsizliği yerel cihaz güncellemesi anında kesinliği yasal olarak tescil ederek çözme yoluna gitmiştir. Türkiye'de Dijital Türk Lirası için benzer bir yasal kesinlik tanımının oluşturulması, projenin ticari benimsenmesi açısından kaçınılmazdır.
Hayır; aksine, doğru tasarlandığında ZKP AML uyumunu kolaylaştırabilir. Sıfır bilgi ispatları, işlem içeriğini açıklamadan belirli kurallara uygunluğun kanıtlanmasını mümkün kılmaktadır. Bir işlemin yasal limitlerin altında kaldığı, kullanıcının onaylı listedeki biri olduğu veya fonların temiz kaynaktan geldiği, kimlik bilgileri ifşa edilmeksizin ispat edilebilir. Ancak bu teknolojinin yasal kabul görmesi ve düzenleyici kurumların ZKP tabanlı uyum raporlarını geçerli saymaya başlaması için mevzuat uyarlaması gerekmektedir.
Çevrimdışı blokzincir ödemeleri, sadece teknik bir mühendislik başarısı değil; aynı zamanda yüzyıllık ticaret hukuku anlayışını kökten sorgulayan bir paradigma değişimidir.
Blokzincir ödeme mimarinizin hukuki çerçevesini inşa etmek, regülatif uyum süreçlerinizi yönetmek veya Türkiye'deki lisanslama yolculuğunuzu planlamak için bizimle iletişime geçin.
Genesis Hukuk Yeşilbahçe, Lara Cd. Atmaca Sit B Blok No:25 D:1, 07160 Muratpaşa/Antalya info@genesishukuk.com | +90-530-389-1694 genesishukuk.com
Önemli Not: Bu makale yalnızca bilgilendirme amaçlıdır; hukuki tavsiye niteliği taşımaz. Çevrimdışı ödeme sistemleri geliştiren, lisans başvurusunda bulunan veya uyum süreçlerini yönetmek isteyen kurum ve girişimler, kendi özgün durumları için uzman hukuki danışmanlık almalıdır.
