BT regülasyonları ve zorluklar

Türkiye finans dünyasında düzenleyici adımlar son dönemde dikkat çekici bir hız kazandı. Bankacılık sektöründe uzun süredir uygulanan BDDK’nın Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Yönetmeliği, dijital risklerin yönetiminde köklü bir çerçeve sunuyor. Sermaye Piyasası Kurulu’nun (SPK) yakın zamanda yürürlüğe giren III-35/B.1 ve III-35/B.2 sayılı tebliğleri ise kripto varlık hizmet sağlayıcıları için yeni bir dönemin kapısını araladı.

Bu düzenlemeler, finansal sistemin iki farklı ayağını birlikte değerlendirmeyi mümkün kılıyor ve regülasyonların yarattığı özgün zorlukları daha net görmemizi sağlıyor.

Bankalar avantajlı başladı
Bankacılık sektörü, uzun yıllara dayanan denetim kültürü sayesinde regülasyonlara uyum konusunda görece daha rahat hareket ediyor. Veri güvenliği yatırımları, bağımsız denetim süreçleri ve iş sürekliliği planları artık günlük işleyişin ayrılmaz bir parçası. Kripto tarafında ise tablo oldukça farklı. Henüz genç olan bu sektör, SPK tebliğleriyle birlikte siber güvenlik konusunda yatırım gereken teknolojiler, sermaye yeterliliği şartı ve kesintisiz çalışan BT altyapısı gibi zorlayıcı yükümlülüklerle karşı karşıya.

Teknoloji maliyeti en büyük yük
Bankalar yıllardır veri yerelleştirme, siber güvenlik testleri ve stres senaryoları gibi uygulamalara aşina durumda. Bu nedenle yeni düzenlemeleri benimsemeleri de görece daha kolay. Kripto varlık hizmet sağlayıcılarının çoğu ise bu standartlarla yeni tanışıyor. Bu durum, şirketlerin yatırım bütçelerinde ciddi baskı yaratıyor. Özellikle küçük ve orta ölçekli platformlar için uyum maliyetleri yalnızca operasyonel bir yük değil, aynı zamanda rekabet dezavantajı haline gelebiliyor.

Dünya aynı yönde ilerliyor
Uluslararası arenada da benzer bir eğilim gözleniyor. Avrupa Birliği’nin yürürlüğe hazırladığı DORA (Digital Operational Resilience Act ), bankacılık dahil tüm finansal kurumlarda dijital operasyonel dayanıklılığı zorunlu kılacak. MiCA (Markets in Crypto-Assets) düzenlemesi ise kripto varlık hizmet sağlayıcılarına ilişkin standartları tanımlıyor. ABD’de ise SEC (Menkul Kıymetler ve Borsa Komisyonu) ve CFTC (Emtia Vadeli İşlemler Komisyonu), borsaların BT güvenliği, müşteri varlıklarının ayrıştırılması ve siber saldırılara karşı hazırlık düzeyi üzerinde yoğunlaşıyor. Türkiye’de hem BDDK hem de SPK’nın regülasyonları bu küresel trendle uyumlu ilerliyor; ancak yerel piyasa koşulları dikkate alındığında şirketler açısından farklı yükler ortaya çıkıyor.

Ortak sorun: İnsan kaynağı
Her iki sektörde de dikkat çeken bir başka zorluk uzman eksikliği. BT regülasyonlarına hâkim, finansın dinamiklerini bilen profesyonellerin sayısı sınırlı. Bankalar, kurumsal yapıları ve geniş ölçekleri sayesinde bu açığı kapatma konusunda daha avantajlı konumda. Kripto varlık şirketleri için ise aynı durum geçerli değil; ekiplerin yetkinliğini artırmak, nitelikli yeteneği çekmek ve elde tutmak bu kurumlar için önemli bir sınav haline geliyor.

*Burak Baysal'ın Capital Dergisi için hazırladığı makaleden alınmıştır.