Yeni finansal sistemin anahtar kelimesi API (Application Programming Interface). API’lerin hayatımıza girmesi ile artık her türlü ürünü kendi bünyesinde sunan devasa bankaların domine ettiği bir finansal mimariden bankalar yanında (kaldı ki bankalar bile kendi içerisinde mutasyona uğruyor) çok sayıda banka dışı finans kuruluşu ve ödeme kuruluşu ile farklı alanlardan envaı çeşit destek hizmeti kuruluşunun olduğu, şirketler arası entegrasyonun arttığı ve yalnızca hesap/kredi işlemleri değil analitik/bilgi bazlı hizmetlerin de öne çıktığı, herkes için tek tip ya da gruplaştırılmış ürünlerden bireyselleştirilmiş ürünlere/hizmetlere doğru ilerleyen “real-time” çalışan bir finansal mimariye geçiyoruz. API’ler finansal verinin demokratikleşmesinin yollarını açan araçlardır. Ancak API kullanımı çok sayıda riski de içermekte olup bu risklerin yönetimi için otoriteler, bankalar ve diğer API sağlayan kuruluşlar, API servislerini kullanan kuruluşlar ve finansal verisinin kullanımına izin veren finansal tüketicilere de çeşitli görevler düşmektedir.
Finans sektörü iç kontrol, uyum ve risk yönetimi fonksiyonlarının en güçlü olduğu ayrıca regülasyon ve otorite denetiminin de en sıkı olduğu sektörlerden birisidir. Bu çerçevede API’lerin artan kullanımı iç kontrol, uyum ve risk yönetimi birimleri açısından ne ifade etmektedir. Finansal kuruluşların ve ilgili destek hizmeti kuruluşlarının API yönetim ve uygulama politikaları nasıl olmalıdır? Ayrıca denetim otoritelerinin faaliyetleri açısından artan API kullanımı ne ifade etmektedir? API standardizasyonu gerekli midir?
Arayüz Geliştiriciler ve Açık Bankacılık Ödeme Kuruluşları
API sağlayan bankalarla işbirliği içinde bu API’leri kullanarak çalışacak fintech girişimlerini genel olarak açık bankacılık girişimleridir. Bunları temelde arayüz geliştiriciler ve açık bankacılık ödeme kuruluşları olarak iki ana gruba ayırabiliriz. Arayüz geliştiriciler servis modeli bankacılığında servis bankası ile işbirliği içinde çalışır. Bunlar mobil uygulaması ya da internet tarayıcısı temelli arayüzü üzerinden, servis bankasının sunduğu bankacılık hizmetlerine bankanın açık bankacılık servisleri yoluyla ulaşarak, müşterilerinin bankacılık işlemlerini gerçekleştirmesine imkân sağlayan kuruluşlardır. Arayüz geliştiriciler birer destek hizmeti kuruluşudur ve BDDK’dan izin alarak bankalarla sözleşme tesis etmek yoluyla faaliyet gösterirler.
Açık bankacılık ödeme şirketleri ise ödemeler mevzuatı çerçevesinde ödeme emri başlatma hizmeti ve hesap bilgisi hizmeti sunan kuruluşlardır. Açık bankacılık ödeme şirketleri TCMB’den lisans almış ödeme ve elektronik para kuruluşlarıdır. Bunlar münhasıran açık bankacılık hizmetleri yapabilecekleri gibi diğer ödeme hizmetlerini de sunabilirler.
API Sağlayan Bankalar ve Diğer Finansal Kuruluşlar
Öncelikle üçüncü taraf servis sağlayıcılara API sağlayan bankalar ve finansal kuruluşların bir API yönetim platformu olması gerekmektedir. Bu platform API kullanımlarının izlenmesi ve kontrol edilmesi, API güvenliği ve etkin bir API yönetim ve geliştirme programı yürütülmesi gibi konularda bir araç olarak kullanılacaktır. Erişim kontrolleri, rıza onayları, log kontrolleri, kişisel hakların ve müşteri sırrının ihlalinin izlenmesi, yasal düzenlemelere uyumun izlenmesi ve raporlanması bu sürecin ayrılmaz parçasıdır.
API kullanacak destek hizmeti kuruluşlarının 6493 sayılı Kanun ve ilgili mevzuat çerçevesinde yetkilendirilmiş olan ödeme ve elektronik para kuruluşları olmaları durumunda, bu kuruluşlar BKM API Gateway yoluyla bankalara bağlanacaklardır. BKM bu kapsamda açık bankacılık işlemleri yapacak ödeme ve elektronik para kuruluşlarının teknik yeterliliklerini değerlendirecek ve sisteme katılmalarına bir çeşit onay vermiş olacaktır. Bu kuruluşlar için bankaların bağımsız olarak analiz yapma ve onay verme yetkileri bulunmayacaktır. Ancak bunlar dışında API kullanan çok sayıda servis sağlayıcı da olacaktır. Bu servis sağlayıcılarla işbirliği doğrudan bankaların yetki ve sorumluluk alanındadır.
Bankalar API kullanan servis sağlayıcılarla ilgili bir iç politika oluşturmak ve bunu düzenli olarak uygulamak ve güncellemek zorundadırlar. Ayrıca bankaların bu kuruluşlar hakkında bir risk analizi yapmaları gerekmektedir. Bu çerçevede yapılacak risk analizinin servis sağlayıcının ortaklık ve organizasyon yapısı, teknik donanımı, iç kontrol süreçleri ve risk yönetim süreçleri, belge ve kayıt düzeni, veri güvenliği ve yedekleme politikası, KVKK politikası gibi konuları kapsaması gerekmektedir. Servis sağlayıcının PCI-DSS kapsamında olup olmadığı ayrıca değerlendirilmelidir.
Açık bankacılık işlemleri ile ilgili risklerin risk yönetim politikası içerisinde ele alınması, ICAAP raporlarında bu risklerin mümkün olduğu ölçüde sayısallaştırılması ve bu riskleri gerekmesi durumunda içsel sermaye gereksinimine dahil etmeleri gerekmektedir.
Otorite Bakış Açısı
Açık bankacılık ödeme kuruluşları 6493 sayılı Kanun çerçevesinde TCMB’nin gözetim ve denetimi altında faaliyetlerini yürütmektedirler. Servis bankaları ile sözleşme tesis etmek yoluyla hizmet sunan arayüz geliştiriciler ise Bankacılık Düzenleme ve Denetleme Kurulu’ndan izin alarak çalışabileceklerdir. Bu kuruluşlar “Dijital Bankaların Faaliyet Esasları İle Servis Modeli Bankacılığı Hakkında Yönetmelik”e tabi olarak faaliyet göstereceklerdir. Ayrıca bu kuruluşlar birer destek hizmeti kuruluşu da olduklarından “Bankaların Destek Hizmeti Almalarına İlişkin Yönetmelik”e de uyum sağlanması gerekmektedir.
Açık bankacılık ödeme kuruluşları için TCMB Şubat 2022’de “Ödeme Hizmetleri Veri Paylaşım Servisleri (Öhvps) API İlke ve Kuralları” adlı bir doküman yayınlamıştır. Bu doküman teknik uygulama detayları içermektedir. Ayrıca bu kuruluşların TCMB tarafından belirlenen teknik ve operasyonel gerekliliklere uyum sağlayıp sağlamadıkları lisans alma sürecinde Bankalararası Kart Merkezi (BKM) tarafından değerlendirmeye tabi tutulacaktır.
Servis bankalarının arayüz sağlayıcılara vereceği hizmetlere ilişkin kullandıracağı açık bankacılık servisleri hakkında teknik kriterler ile usul ve esasları belirleme yetkisi Bankacılık Düzenleme ve Denetleme Kurulu’ndadır. Henüz bu kapsamda bir regülasyon yayınlanmamış olmakla birlikte önümüzdeki dönemde yayınlanması beklenmektedir. Arayüz geliştiriciler birer destek hizmeti kuruluşu olduğundan bankaların denetim komiteleri bu kuruluşlarla sözleşme tesis etme sürecinde bir değerlendirme raporu hazırlayarak yönetim kuruluna sunacaklardır. Bu raporda arayüz geliştiriciden destek hizmeti alınmasında bankanın iç sistemlerinin etkin ve yeterli bir şekilde işletilmesini veya iç kontrol ya da iç denetim faaliyetlerinin yürütülmesini engelleyici ya da risk doğurucu herhangi bir hususun oluşup oluşmadığı ve destek hizmeti kuruluşunun nitelikli pay sahiplerinin ve şirketi temsil ile yetkili yöneticilerinin belirlenen şartları idame ettirip ettirmedikleri hususları değerlendirilecek, bu değerlendirme her yıl yenilecektir.
