Günlük sıradan işletmeler - bakkallar, restoranlar veya güzellik salonları - müşterilerine kimliklerini belirlemeden özgürce hizmet verebilir. Bir kasiyer size bir somun ekmek satmak için kimliğinizi göstermenizi istemez ve elbette saç kesimi için ödediğiniz paranın kaynağını sorgulamaz. Dahası, çoğu gelişmiş ülkede, adını, yaşını, vatandaşlığını veya ikametgahını açıklamak istemeyen bir müşteriye hizmeti reddetmek bariz bir ayrımcılık olarak görülecektir.
Ancak yüksek likiditeye sahip varlıklar - örneğin kripto paralar - söz konusu olduğunda durum değişir. Burada norm farklıdır: işletmeler müşterilerini tanımak zorundadır (Know Your Customer, KYC). Kullanıcılardan belge, pasaportla selfie, ikametgah kanıtı ve bazen banka hesap özetleri istenir.
Sıkı düzenlemeleri savunanlar bunu basitçe açıklar: bir restoran yemeğini yeniden satamazsınız, ama kripto parayı kolayca yeniden satabilirsiniz. Bu yüzden bir restoran suç faaliyetlerini gizlemek için kullanılamazken, kripto para işletmesi kullanılabilir. Yüksek likiditenin dijital varlıkları suçlular için ideal bir araç yaptığına inanılır.
Gerçekte bu ciddi bir yanlış anlama. Blokzinciri işlem verileri kalıcı olarak saklanır. Bugün işlem zincirini belirli bir kişiyle ilişkilendirmek zor olsa bile, yarın yeni analitik araçların ortaya çıkmayacağını kim garanti edebilir? Aslında bu araçlar zaten var: kolluk kuvvetleri blokzinciri analitiğini başarıyla kullanıyor (Bitfinex hack'inde çalınan bitcoinlerin 3,6 milyar dolardan fazlasının el konulmasını hatırlamak yeterlidir).
Ama esas soru başka yerde yatıyor: kullanıcıları tanımlama ve fonlarının kaynağını doğrulama sorumluluğu gerçekten işletmelere mi ait olmalı? Bana göre hayır. Ve işte nedenleri.
A Rekabete Darbe: KYC'nin Startuplara Zarar Vermesi
Yeni bir kripto para işletmesi kurduğunuzu hayal edin. Geliştirmeye yatırım yapıyorsunuz, pazarlamaya büyük çaba harcıyorsunuz ve ilk müşterilerinizi çekiyorsunuz. Müşteriler geliyor ve onlara şu gereklilikle selam veriyorsunuz: "Kimliğinizi gösterin, selfie çekin, paranızın nereden geldiğini açıklayın." Tepkileri ne olur?
Müşteriler basitçe gider. Gizleyecek bir şeyleri olduğu için değil, piyasada siz daha yeni olduğunuz için. On yıllardır faaliyet gösteren ve milyonlarca kişi tarafından güvenilen büyük bir şirketle karşılaştıklarında insanlar verilerini açıklamaya isteklidir: böyle bir şirketin itibar riski vardır. Sizinle bu güven yoktur. Ve bu rasyonel bir davranıştır: hizmetiniz ortadan kalkarsa, iflas ederse ve verileri korumayı bırakırsa, dolandırıcılık veya kimlik hırsızlığı riskleri müşteride kalır ve işletmenizle birlikte yok olmaz.
Sonuç öngörülebilirdir: daha düşük fiyatlara ve daha iyi hizmete yol açacak sağlıklı rekabet yerine pazar devler tarafından tekelleşir. Daha iyi koşullar ve yenilikçi ürünler sunabilecek yeni şirketler şans bulamaz. KYC, düzenleyici yaklaşıma kapı aralayan klasik bir engel haline gelir ve mevcut liderleri güvenilir şekilde korur. Açık rekabet modeli olabilecek kripto para pazarı bir oligarşiye dönüşür.
Gizlilik Yanılsaması veya Zorunlu Rıza
Birçok ülkenin sıkı kişisel veri koruma yasaları vardır. Temel ilke basittir: bir kişi hakkında bilgi, kişinin gönüllü rızası olmadan toplanamaz. Bireylerin mahremiyet hakkı ve hangi hizmetleri kullandıklarını tüm dünyaya açıklamama hakkı vardır.
Ancak uygulamada, KYC'yi geçmeden bir kişi fiilen belirli hizmet kategorilerinden - öncelikle finansal hizmetlerden - mahrum bırakılır. Potansiyel bir müşterinin kişisel bilgilerini vermeyi reddetmesi, işletmeleri otomatik olarak onlara hizmeti reddetmeye zorlar.
2025'te FATF - bu tür düzenlemelerin ana küresel itici gücü - aşırı gerekliliklerin istenmeyen sonuçlar yarattığını; gerekli belgeleri olmayan veya kimliğini açıklamak istemeyen çok sayıda yasalara uygun insanın yasal finansal sistemin dışında kaldığını kabul etti. FATF'ye göre bu durum özellikle mültecileri, göçmenleri ve bankacılık sistemine erişimi olmayanları etkiliyor - devletten korunması beklenen gruplar.
Avrupa Birliği Adalet Divanının tutumu da anlamlıdır: 2022'de mahkeme, şirketlerin gerçek yararlanıcılarına ilişkin bilgileri genel kamuya erişilebilir kılan bir kuralı özel hayata orantısız müdahale gerekçesiyle iptal etti. Mahkeme, böyle bir müdahalenin amaçla orantılı ve gerekli olması gerektiğini vurguladı. Ancak nedense bu ilkeler Avrupa'da bile KYC gerekliliklerine uygulanmış gibi görünmüyor.
Veri Yem Oluyor: KYC Önlemeye Çalıştığını Yaratıyor
Zorunlu KYC'ye karşı en önemli argümanlardan biri tamamen pratiktir. İşletmeler milyonlarca pasaport ve selfie toplamak zorunda kaldığında, sunucuları siber suçlular için cazip hedefler haline gelir. Ve bu tehdit teorik değildir.
2019'da ExploitDOT olarak bilinen bir hacker'ın, iddia edilen büyük kripto borsaları Binance, Poloniex, Bitfinex ve Bittrex'in KYC süreçleri kapsamında toplanmış kimlik belgelerini Darknet platformu Dread'de yaklaşık 100.000 adet satıyor olabileceği bildirilmişti. Verilerin kaynağı tartışmalı kaldı: borsalar hacklendiklerini reddetti ve veriler üçüncü taraf bir KYC sağlayıcısından çalınmış olabilir. Ancak bu durum olayı daha da açığa çıkarıyor: kişisel verilerinizi tutan koruyucu zinciri düşündüğünüzden daha uzundur ve zincirdeki herhangi bir nokta savunmasız olabilir.
Mayıs 2025'te artık kaynağın belirsizliğine bağlanamayacak bir olay gerçekleşti: Coinbase, siber suçluların denizaşırı destek yüklenicileri rüşvetle satın aldığını ve bu kişiler tarafından müşterilerin isimleri, adresleri, telefon numaraları, kısmi Sosyal Güvenlik numaraları ve KYC doğrulaması sırasında sağlanan kimlik belge taramalarının teslim edildiğini kamuoyuna açıkladı. Toplam 69.461 kullanıcı etkilendi. Borsa 20 milyon dolarlık fidyeyi ödemeyi reddetti fakat olaydan kaynaklanabilecek zararları 180 ila 400 milyon dolar arasında tahmin etti.
2025 sonbaharında siber güvenlik araştırmacıları, NCX adlı kripto platformuna ait ve kullanıcıların KYC belgelerine doğrudan bağlantılar içeren 5 milyondan fazla kaydı barındıran güvensiz bir veritabanı keşfettiler. Tüm bunlar bir MongoDB yapılandırma hatası nedeniyle herkese açıktı. Herhangi bir hack gerekmedi - veritabanı basitçe açık bırakılmıştı.
Kısacası, kişisel verileri korumanın en iyi yolu onları hiç depolamamaktır. Her yeni pasaport verisi toplayan operatör yeni bir risktir. KYC sadece müşteri kayıtları yaratmaz, aynı zamanda suçlular için hedefler oluşturur. Bir kişinin adı, adresi, biyometrik verileri ve varlık geçmişine erişimle bir saldırganın onu taklit etmek için ihtiyaç duyacağı her şey eline geçer.
Suçluları Kim Yakalamalı: Polis mi, İşletme mi?
Kolluk kuvvetleri suçları soruşturmak ve yasadışı finansal akımlarla mücadele etmek gibi hizmetleri için vergilerle finanse edilir. İşletmeler de hizmet sağladıkları için ödeme alır. Ancak KYC prosedürleri polis işlevlerini özel sektöre kaydırır: işletmeler müşterileri tanımlamak, yaptırım listelerini taramak, fonların kaynağını analiz etmek ve şüpheli işlemleri bildirmekle yükümlü kılınır. Aynı zamanda devlet bu amaçlarla zaten ödenen vergilerden tek bir kuruşla onları tazmin etmez. Bir işletme hata yaparsa ceza öder. Yapmazsa bile teknik olarak bir devlet fonksiyonu olan sistem için muazzam maliyetlerle karşılaşır.
Burada en zararlı olan şey etkinlik verileridir. La Trobe Üniversitesi'nden (Avustralya) araştırmacı Ronald Pol, Policy Design and Practice dergisinde yayımlanan geniş alıntı yapılan makalesinde, uyum maliyetlerinin suçlulardan gerçekte ele geçirilen varlıkların miktarının yüz katından fazla olduğunu buldu.
İşletmeler yılda yüz milyarlarca dolar harcıyor (küresel uyum maliyetleri yılda 200 milyar dolunun üzerinde), ancak sonuçlar ihmal edilebilir düzeyde. Aklı başında kim böyle anlamsız maliyetleri üstlenmek ister? Devletler kesinlikle istemez - bu yüzden maliyetleri işletmelere ve nihayetinde tüketicilere yıkarlar.
Bazen bu mekanizma açıkça siyasi bir boyut alır. Şubat 2022'de Kanada kamyoncu protestoları sırasında hükümet, finansal ve kripto kuruluşlarının katılımcılara ilişkin veri sahibi olmasını kullanarak gelen fonları dondurmak için Acil Durum Yasasını uygulamalarını talep etti. İşletmeler politik araçlar olarak hareket ederken vatandaşlar kendi paralarına erişimini kaybetti. İki yıl sonra bir mahkeme bu eylemleri anayasaya aykırı buldu - ancak fonlar zaten dondurulmuştu ve vatandaşlar tehdidin boyutunu bizzat deneyimlemişti.
Pazar Zaten Kararını Vermiş
Pazar tepkisi zaten net. Kripto alanında KYC olmayan hizmetlere güçlü ve kalıcı bir talep var: insanlar belgelerini tanımadıkları şirketlere ve belirsiz veri saklama uygulamalarına teslim etmemek için zahmete katlanmaya, çözüm yolları aramaya ve hatta daha fazla ödemeye razı oluyorlar.
Ancak çoğu zaman daha fazla ödemek de zorunda kalmıyorlar. Rabbit.io kısmen müşteri verilerini toplama, işleme ve depolama ile ilişkili maliyetleri üstlenmediğimiz için en iyi döviz kurlarını sunabiliyor. Doğal olarak, tüketicilerin seçeneği olduğunda maliyet daha düşük olan hizmetleri tercih ederler. Bu yüzden müşterilerimiz bizi seçiyor. Ve bu yüzden işletmelere KYC uygulanmasının onları fiilen zarara uğrattığını söyleyebiliriz.
Kullanıcılarımız suçlu ya da komplo teorisyenleri değil. Onların basit ve anlaşılır bir motivasyonu var: kimliklerini açıklamadan mümkün olan en iyi kurdan işlem yapmak. Pazarda elma aldığımda satıcı pasaportumu sormuyor. Bir dükkâna banknot bozma için gittiğimde neden farklı banknotlara ihtiyacım olduğu sorulmuyor. Dijital işlemler neden temelde farklı olmalı?
Sonuç
KYC gereklilikleri maliyetlerin adaletsiz dağıldığı bir sistem yaratır. İşletmeler özünde bir devlet fonksiyonu için ödeme yapar. Dürüst kullanıcılar da bunun maliyetini öder ve ayrıca kişisel verilerini riske atar. Yeni şirketler büyük oyuncuların rekabet avantajı nedeniyle başarısız olur. Bu arada gerçek suçlular sistemi aşmanın yollarını bulur; kısmen işletmelerin KYC prosedürleri altında oluşturmak zorunda kaldığı veri kayıtlarından yararlanarak.
Hükümetler finansal akışların denetlenmesinin gerekli olduğunu düşünüyorsa dürüst bir tartışma gereklidir: bunu kim ödeyecek, sorumluluk kimde olacak ve neden özel işletmeler kendi masraflarıyla polislik işlevini görmelidir? Ayrıca zorunlu, evrensel KYC'nin pahalı ve verimsiz bir araç olduğu, dürüst piyasa katılımcılarını şüpheli hale getirdiği ve verilerini suçlular için hedefe dönüştürdüğü kabul edilmelidir.
