Açık Bankacılıktan Açık Finansa: OECD'nin Küresel Veri Paylaşım Çerçeveleri Analizi
Giriş
Ekonomik İşbirliği ve Kalkınma Örgütü ("OECD"), farklı yargı alanlarında açık bankacılık ve diğer veri paylaşımı düzenlemelerine ilişkin çeşitli uygulamaların ana hatlarını ortaya koyan ve açık finans olarak adlandırılan açık bankacılıkla ilgili veri düzenlemelerinin genişlemesine ilişkin konuları içeren raporunu yayınladı ("OECD Raporu").[1] Veri paylaşım alanları hızla genişliyor olsa da OECD ve OECD üyesi olmayan ülkelerin yaklaşım ve deneyimlerinde benzerlikler bulunur ve güvenlik, gizlilik, rıza, sorumluluk, karşılıklılık, hesap hizmeti ödeme servisi sağlayıcılarının teşvik edilmesi gibi zorlukların çözülmesi gerekir.
Yasal Çerçeve
OECD Raporu, farklı ülkelerin açık bankacılık için getirdiği farklı düzenlemeleri özetler. Avrupa Birliği'nde ("AB"), ödeme hizmetlerine ilişkin 2015/2366 sayılı Direktif ("PSD2") AB üyesi ülkelerin ulusal yasaları tarafından kabul edildiğinden, ödeme hesaplarına erişim yetkisine sahip üçüncü taraf sağlayıcılar, hesap sahibine hizmet sunmak için ilgili hesabından veri toplayabilir. Ödeme başlatma hizmeti sağlayıcıları, müşteri adına ödeme başlatabildikleri için hesaplar üzerinde daha fazla veri erişimine sahiptir. OECD Raporu’na göre Japonya'daki bankacılık kanunu, açık bankacılık girişimlerini teşvik etmek amacıyla 2018 yılında bir değişikliğe uğramıştır. Bu değişiklik, bankaların uygulama programlama arayüzlerini (“API’ler") açarak elektronik mutabakat aracıları gibi finansal teknoloji ("fintech") şirketlerinin sistemlerine erişmesine izin vermeleri için bağlayıcı olmayan bir yükümlülük içeriyordu. Değişikliğin ardından, bankaların %90'ından fazlası bir veya daha fazla elektronik ödeme hizmeti sağlayıcısı ile API anlaşmaları imzaladı. OECD Raporu, Meksika ve İsrail gibi bazı ülkelerde veri paylaşımına ilişkin düzenlemeler kanunlaştırıldığını, ancak uygulama yönetmeliklerinin henüz çıkarılmadığını, ABD ve İsviçre'de öncelikli olarak piyasa odaklı yaklaşımlar benimsendiğini, Kolombiya’da yakın zamanda açık finansal mimari için yönetmelikler yayınlanırken, Avustralya’nın ana düzenlemelerini bankacılığın ötesinde diğer sektörlere de genişlettiğini, örneğin enerji ve telekomünikasyon sektöründe veri düzenlemelerini ele aldığını ve Brezilya’nın sigorta, açık emeklilik fonları, yatırım ve döviz konularını düzenlemelerine dahil ettiğini, Kore'de fintech ve finans şirketleri arasında çeşitli finansal bilgi verilerinin alışverişini desteklemek için bir açık bankacılık platformu kurulduğunu belirtir.
Açık Bankacılık ve Açık Finans Tanımlamaları
OECD Raporu, OECD üyesi olan ve olmayan ülkelerde oluşturulan farklı veri paylaşım düzenlemelerini analiz ederken, bir müşterinin finansal bilgilerinin müşterinin rızasıyla üçüncü taraf hizmet sağlayıcılarla güvenli bir şekilde paylaşılmasına izin veren açık bankacılığın genellikle "iyi kavrandığını" belirtir. Birleşik Krallık, açık bankacılığı müşterinin finansal bilgilerinin müşterinin rızasıyla üçüncü taraf hizmet sağlayıcılarla güvenli bir şekilde paylaşılmasını olarak tanımlar. AB'de açık bankacılık, PSD2'de belirlenen kurallara uygun olarak öncelikle ödeme hesabıyla ilgili verileri ifade eder. Avustralya, Brezilya, Kolombiya, İsrail, Kore ve Türkiye gibi birçok ülkede açık bankacılık çerçevesi açıkça tanımlanır.
OECD Raporu açık finans kavramını, bankacılık verilerinin standartlaştırılmış ve güvenli arayüzler aracılığıyla üçüncü taraf hizmet sağlayıcılar ile paylaşılması uygulamasını ifade eden açık bankacılığın bir uzantısı olarak tanımlar. OECD Raporu, açık finansın yenilikçiliği teşvik etme, rekabeti ve müşteri deneyimi kalitesini artırma gibi hedeflerinin ve veri paylaşım düzenlemelerinin müşteriler ve finansal hizmetler üzerindeki olumlu etkilerinin altını çizer. OECD Raporuna göre, Japonya, Hollanda ve Litvanya'da uygulanan açık bankacılık düzenlemeleri yeni finansal hizmetlerin yaratılmasına ve mevcut hizmetlerin yenilikçi yollarla sunulmasına yol açar. Bu durum Estonya, Almanya, Litvanya ve Hollanda dahil olmak üzere çeşitli ülkelerde rekabetin artmasıyla sonuçlanır. Sadece Birleşik Krallık'ta 6 milyondan fazla tüketicinin ve 660.000 küçük ve orta ölçekli işletmenin, açık bankacılık özellikli ürün ve hizmetlerden yararlanmış olduğu ve tüketiciler için 12 milyar sterlin ve küçük işletmeler için 6 milyar sterlinlik bir potansiyel fayda öngörülür. Açık finansın rekabeti teşvik etmesi, bilgiye daha iyi erişim sağlaması ve tüketiciler için daha uygun fiyatlı ve kaliteli finansal ürün ve hizmetlerin üretilmesine katısı olacağı beklenir. Açık bankacılık ve açık finans alanındaki veri paylaşımı düzenlemelerinin, tüketicinin korunması kuralları, operasyonel ve teknik şartnamelerdeki kural ve koşullar göz önünde bulundurularak değerlendirilmesi önemlidir.
Veri Paylaşım Düzenlemeleri
Finansal Veri Aracıları
OECD Raporu, PSD2 ve AB Veri Yönetişimi Yasası’na odaklanarak finansal veri aracılarını ve bunların farklı ülkelerdeki düzenlemelerini ele alır. Ödeme hesabı verilerine dayalı hizmetler sunan şirketlerin, PSD2 lisanslarına başvurma ve API geliştirme konusunda zaman ve maliyet tasarrufu sağlayan API toplayıcıları ile çalışmayı tercih edebilecekleri açıklanmaktadır. Raporda ayrıca, Avustralya'daki Gizlilik Yasası ve tüketici veri hakkı kapsamında veri almaya yönelik tüketici veri hakkı ("CDR") çerçevesi gibi aracıların uyması gereken gizlilik ve veri koruma gereklilikleri de ele alınır.
Veri Taşınabilirliği
OECD Raporu, dünyanın farklı ülkelerindeki veri taşınabilirliği hükümlerini ele alır. Buna göre, veri taşınabilirliğinin Genel Veri Koruma Tüzüğü'nün ("GDPR") gereklilikleri ile düzenlendiği AB üye ülkelerinde durum açıktır. GDPR, bireylere veri sorumlusuna sağladıkları kendileriyle ilgili kişisel verileri yapılandırılmış, yaygın olarak kullanılan ve makine tarafından okunabilir bir formatta temin etme ve bu verileri başka bir veri sorumlusuna iletme hakkı sağlar. İsviçre, Kanada ve diğer OECD ülkelerinde veri taşınabilirliğini teşvik eden reformların devam ettiği görülür. Ancak ABD'de veri taşınabilirliğine ilişkin özel bir federal düzenleme bulunmaz. Dodd-Frank Yasası ve CCPA ve VCDPA gibi eyalet düzeyindeki düzenlemeler veri taşınabilirliği ile ilgili hükümler içermekle birlikte kapsamlı değildir. Kore'de veri taşınabilirliği açık bankacılık dışındaki yasalarda öngörülürken, Japonya ve Hong Kong Çin gibi bazı ülkelerde finansal hizmetler yetkililerinin veri taşınabilirliği konusunda herhangi bir yetkisi bulunmaz.
Sorumluluk:
OECD Raporu, veri erişimi, kalite, gizlilik, mahremiyet, işleme, paylaşım, depolama ve siber güvenlik ihlalleri gibi konularda kimin sorumlu olduğunu netleştirmek için veri paylaşımı düzenlemelerine sorumluluk hükümlerinin dahil edilmesinin önemini tartışır. AB'de bu hükümler GDPR kılavuz ilkeleri ile uyumlu olmalı ve tazminat, uyuşmazlık çözümü ve rıza mekanizmaları ile ilgili ayrıntıları kapsamalıdır. OECD Raporu ayrıca, bazı yargı alanlarında sorumlulukların ve ilgili tazminatların ödenmesinin talep edilebileceğini ve tazminatların ödenmesi için belirli düzenlemelerin ve şikayet mekanizmalarının mevcut olabileceğini belirtmektir.
Uygulanan Çerçevelerden En İyi Uygulamaları Anlamak
OECD Raporu'na göre, açık bankacılık ve diğer veri paylaşım çerçeveleri finans sektöründe ödeme hizmetleri, kredi değerlenme uygulamaları, borç yönetimi araçları, varlık yönetimi uygulamaları, alternatif ödeme hizmetleri, ürün karşılaştırma ve üçüncü taraflarca hesap doğrulama gibi çeşitli hizmetlerin geliştirilmesine yol açmıştır. Bu çerçeveler OECD Raporu'nda incelenen 34 ülkeden 25'inde aktif durumdadır. Veri paylaşım çerçeveleri finans sektöründe çeşitli hizmetlerin geliştirilmesine yol açmıştır:
- Hesap Bilgi Hizmetleri:
OECD raporunda hesap bilgi hizmetlerinin veri paylaşım çerçeveleri içerisinde yaygın hizmetler olduğu belirtilir. Örnek olarak, ödeme hesabı bilgi hizmetleri Hollanda'daki çeşitli bankalar tarafından müşterilerine diğer bankalarda tutulan ödeme hesapları hakkında genel bir bakış sağlamak için sunulduğu belirtilir.
- Ödeme Toplama Hizmetleri:
OECD raporuna göre ödeme birleştirme hizmetleri İtalya ve Estonya gibi bazı ülkelerde de yaygındır ve müşterilerin farklı sağlayıcılardan aldıkları tüm bankacılık ürünlerini tek bir arayüz üzerinden görmelerini sağlar.
- Ödeme Emri Başlatma Hizmeti (PISP):
PISP çeşitli ödeme seçenekleri sunar. Örneğin Litvanya'da PISP'lerin e-ticaret işlemleri için kartlı ödemelere alternatif olarak kullanıldığı, İspanya'da ödeme başlatma hizmetleri aracılığıyla mağaza içi alışverişler için alternatif ödeme seçeneklerinin kolaylaştırdığı belirtilir.
OECD Raporu, yukarıda belirtilen hizmetlere ek olarak, kredi değerleme hizmetleri, borç yönetimi hizmetleri, finansal yönetim ve varlık yönetimi uygulamalarının da farklı ülkelerde geliştiğini belirtir.
Sağlanan bilgiler uyarınca, açık finansla ilgili endişelerin verilerin kötüye kullanımı, veri sızıntıları ve siber saldırılar olduğunu söylemek mümkündür. OECD Raporu’na göre, yalnızca bir ülke, veri koruma gerekliliklerini ihlal ederek ekran kazıma yoluyla veri toplayan bir firmayla ilişkili bir veri kötüye kullanımı vakası bildirmiştir. Bu vaka, ekran kazıma yönteminin açık finans alanında güvenlik risklerini artırdığı görüşünü destekler. Düzenleyicilerin, politika yapıcıların ve sektör katılımcılarının, bu risklere karşı koruma sağlamak ve finansal hizmetlerde verilerin sorumlu ve güvenli kullanımını teşvik etmek için uygun koruma ve önlemlerin alınmasını sağlamak üzere birlikte çalışmaları önemlidir.
Türkiye’de Veri Paylaşım Düzenlemeleri
Türkiye, açık bankacılık konusunda açık bir tanımlamaya ve kurallara sahip ülkeler arasında yer alır. Bankacılık Düzenleme ve Denetleme Kurumu tarafından yürürlüğe konulan Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik ("Yönetmelik") açık bankacılığı "müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, dosya transfer protokolü gibi yöntemlerle bankanın sunduğu finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanalı" olarak tanımlar. Türkiye Cumhuriyet Merkez Bankası (TCMB), Aralık 2022'de ödemeler alanında açık bankacılık hizmetlerini resmen başlatmış ve katılımcı bankalar, Bankalararası Kart Merkezi tarafından geliştirilen ve üçüncü tarafların açık bankacılık işlemleri yapabilmesine olanak sağlayan 'Açık Bankacılık Geçidi' (GEÇİT) altyapısı üzerinden hizmet vermeye başladı.
OECD Raporu, Türkiye'nin İtalya, Yunanistan ve Kolombiya ile birlikte araştırma ve yenilik amacıyla denetim verilerine erişim sağlamayı düşünen ülkelerden biri olduğunu ve Türkiye'nin ayrıca kurumlar arasında veri paylaşımı anlaşmalarına dayanan bir siber güvenlik istihbarat düzenlemesi oluşturmayı hedeflediğini belirtir. OECD Raporu ayrıca Türkiye'nin Almanya ve Brezilya ile birlikte veri paylaşımı düzenlemelerine dahil olan tüm taraflar arasında karşılıklı veri erişimine izin verdiğini belirtir. Yönetmeliğe göre, API'ler açık bankacılık hizmetlerinin sağlanması için zorunlu araçlar değildir. Açık bankacılık hizmetlerinin tanımı, web hizmetleri ve dosya transfer protokolü gibi alternatif yöntemlerin de açık bankacılık hizmetleri sağlamak için kabul edilebilir araçlar olduğunu kanıtlıyor. Aynı yönetmelik açık bankacılık hizmetlerini, müşterilerin veya onlar adına hareket eden tarafların API, web hizmeti veya dosya transfer protokolü gibi yöntemlerle finansal hizmetlere uzaktan erişerek bankacılık işlemlerini gerçekleştirmelerine olanak tanıyan elektronik bir dağıtım kanalı olarak tanımlıyor.
Ayrıca OECD Raporu, birçok OECD ülkesinin veri paylaşım düzenlemelerini işlem ve ödemelerin ötesinde genişletmeyi düşündüğünü, Türkiye'de de uygulamanın ikinci aşamasında toplu ve yinelenen ödemeler gibi farklı ödeme türlerinin eklenmesinin planlandığını belirtir.
Sonuç
OECD ülkeleri açık finansın, bilgiye erişimi ve müşterinin seçimlerini artırarak ve daha ucuz ve daha iyi finansal ürünler sunarak rekabeti teşvik edeceğini beklemektedir. Bununla birlikte, OECD Raporu'nda belirtildiği üzere, finansal müşteri verilerine güvenli bir şekilde erişimin sağlanması, doğru tarafa sorumluluk atfedilmesi ve rızanın temini gibi tüketici haklarının korunmasına ilişkin diğer kurallarının uygulanması ve verilerin birlikte işlenmesini teşvik edecek teknik altyapının geliştirilmesinin desteklenmesi gerekir.
- OECD (2023), Shifting from Open Banking to Open Finance: Results from the 2022 OECD survey on data sharing frameworks, OECD Business and Finance Policy Papers, OECD Publishing, Paris
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.