TÜBİTAK KVHS Bilgi Sistemleri
ve Teknolojik Altyapı Kriterleri 2026

Türkiye’de faaliyet göstermek isteyen her kripto varlık hizmet sağlayıcı (KVHS), yalnızca Sermaye Piyasası Kurulu’nun (SPK) tebliğlerine değil; TÜBİTAK BİLGEM’in hazırladığı teknik kriterlere de uymak zorunda. Bu kriterler, III-35/B.1 ve III-35/B.2 sayılı SPK Tebliğleri kapsamında TÜBİTAK’a yetki verilerek oluşturulan teknik standartlar bütünüdür. Peki bu kriterler tam olarak neyi kapsıyor, hangi sistemler zorunlu tutuluyor ve 31.03.2026 uyum tarihini kaçıranları ne bekliyor? Bu makalede şunları öğreneceksiniz: soğuk ve sıcak cüzdan güvenlik mimarisinin hukuki çerçevesi, güvenli donanım modülü (HSM) standartları, kriptografik ilklendirme (key ceremony) prosedürleri, bilgi güvenliği komite yapısı, bulut bilişim kısıtlamaları ve uyum sürecinin adım adım nasıl yürütüleceği.

Konuya sıradan bir mevzuat özeti sunmak yerine, teknik derinliğiyle birlikte ele almayı tercih ediyoruz. Zira bu kriterler — cüzdan mimarisinden HSM güvenlik protokollerine, ağlar arası geçiş sistemlerinden kriptografik anahtar yaşam döngüsüne kadar — yalnızca teknoloji ekiplerini değil, hukuk ve uyum birimlerini de doğrudan ilgilendiriyor. MASAK uyum yükümlülükleri ve KVHS şüpheli işlem bildirimleri konusunda da derin deneyime sahip olan ekibimizin DeFi Hukuk blog sayfasındaki güncel mevzuat analizlerini de incelemenizi tavsiye ederiz.

TÜBİTAK KVHS Bilgi Sistemleri Kriterleri Nedir ve Neden Zorunlu?

TÜBİTAK KVHS Bilgi Sistemleri Kriterleri, Sermaye Piyasası Kurulu’nun (SPK) III-35/B.1 ve III-35/B.2 sayılı Tebliğleri uyarınca TÜBİTAK BİLGEM tarafından hazırlanan; kripto varlık hizmet sağlayıcıların bilgi sistemleri altyapısını, cüzdan güvenliğini ve teknolojik operasyonlarını düzenleyen teknik zorunluluklar bütünüdür.

Dokümanın amacı tek cümleyle şöyle özetlenebilir: SPK tebliğlerinde TÜBİTAK’a atıfla oluşturulması öngörülen teknik kriterleri somut standartlar halinde belirlemek. Bu nedenle söz konusu kriterler, SPK tebliğleri kadar bağlayıcı nitelik taşıyor.

Kripto para avukatı Av. Ahmet Karaca, danışmanlık süreçlerinde bu konuyu şu şekilde değerlendiriyor:

Doküman beş ana bölümden oluşuyor: (1) Cüzdan güvenlik kriterleri, (2) Bilgi güvenliği kriterleri, (3) Kripto varlık alanına özel altyapı kriterleri, (4) Diğer hususlar ve (5) Teknik altyapı kavramları rehberi. Madde 33 uyarınca Madde 4, 5, 6 ve 7 kapsamındaki soğuk cüzdan ile erişim denetimi yükümlülükleri için son uyum tarihi 31.03.2026 olarak belirlenmiştir.

Soğuk Cüzdan Güvenlik Kriterleri: KVHS’lerin Yükümlülükleri Nelerdir?

Madde 4 uyarınca saklama kuruluşları, soğuk cüzdan işletmeden önce kapsamlı bir risk analizi yapmak ve bu analiz doğrultusunda fiziksel, teknik ve idari güvenlik planları oluşturmak zorundadır. Kriterlerin özü şu üç temel ilkeye dayanır:

• İzolasyon Zorunluluğu: Soğuk cüzdandaki özel anahtarları barındıran cihazlar ve yazılım sistemleri, ağlar arası geçiş sistemleri veya hava boşluğu mekanizmalarıyla internete bağlı sistemlerden fiziksel/mantıksal olarak izole edilmek zorunda.
• Kısıtlı Transfer Yetkisi: Saklama kuruluşu, soğuk cüzdanından yalnızca kendi kontrolündeki soğuk veya sıcak cüzdan adreslerine transfer yapabilir; platform müşterilerinin talepleri doğrudan soğuk cüzdandan karşılanamaz.
• Çoklu Yetkili Onayı: Soğuk cüzdan işlemlerine en az iki saklama kuruluşu yetkilisinin dahil edilmesi şartı, risk analizi doğrultusunda belirlenen yetkilendirme prosedürlerine yansıtılmalı.

Aktif-olmayan soğuk cüzdanlar konusunda kriterlerin özellikle dikkat çektiği bir nokta var: bu cüzdanların aktivasyonu, transfer yapılması ve tekrar pasif hale getirilmesi prosedürleri, müşteri varlıklarının güvenliğini riske atmayacak biçimde tasarlanmak zorunda. Uygulamada sıklıkla karşılaştığımız bir sorun şudur ki bu cüzdanların güvenlik prosedürleri kâğıt üzerinde eksiksiz görünse de bağımsız denetim sürecinde yetersiz kaldığı anlaşılabiliyor.

Soğuk cüzdanlarda kullanılan özel anahtar ve anahtar parçaları yalnızca güvenli donanım modülü (HSM) içinde üretilmeli, bu anahtarlarla yalnızca HSM içinde işlem yapılmalı, anahtarlar yalnızca bu amaçla geliştirilmiş güvenli yedekleme mekanizmalarıyla dışarı çıkarılabilmeli. Bunların yanı sıra, aktif/aktif-olmayan soğuk cüzdan bölümlendirme sayıları ve bunlara yetkisiz erişim riskleri, soğuk cüzdanların toplam cari değerinin artmasıyla orantılı biçimde düzenli olarak gözden geçirilmek zorunda.

Sıcak Cüzdan Mimarisi ve Erişim Denetimi: Platformlar Ne Yapmalı?

Madde 8 ve Madde 9 kapsamında sıcak cüzdan işleten saklama kuruluşları ile platformların uyması gereken temel gereksinimler şöyle sıralanabilir:

• Anahtar Üretimi: Tohum değerleri, özel anahtar veya parçaları güvenli donanım modülü içinde ya da güvenli ortamda üretilmeli; yedekleme ve veri tabanında saklanması şifreli biçimde HSM içinde gerçekleştirilmeli.
• Onaylı Adres Listesi (Whitelist): Saklama kuruluşunun sıcak cüzdanından onaylı adres listesinde (whitelist) yer almayan bir adrese transfer yapılması kesinlikle yasak. Platform tipi müşterilerin onaylı adres listesine yapılacak her değişiklik, sözleşmenin eki niteliğinde ve en az iki platform yetkilisinin kimlik doğrulamasına tabi.
• Bağlantı Güvenliği: Platform sunucuları ile saklama kuruluşu sunucuları arasında VPN (Virtual Private Network) veya TLS (Transport Layer Security) gibi karşılıklı kimlik doğrulama sağlayan güvenli bağlantı zorunlu.
• Mobil Cihaz Kullanımı: Yetkili kimlik doğrulamasında mobil cihaz kullanılması durumunda uzaktan sıfırlanabilir olması, amaca özel uygulamalar yüklü bulunması ve en az iki faktörlü kimlik doğrulama şartı aranıyor (Madde 11).

Platform müşteri varlıklarının dağılımı açısından TÜBİTAK kriterleri belirgin bir yapıyı öngörüyor: saklama kuruluşunun platform müşteri varlıklarının %90-95’ini soğuk cüzdanda tutması bekleniyor; platform ise tipik olarak %5 düzeyinde sıcak cüzdan işletebiliyor. Bu dağılım Şekil-6 kapsamında belgelenmiş durumda.

Güvenli Donanım Modülü (HSM) Standartları: Hangi Sertifika Zorunlu?

Madde 7 uyarınca soğuk cüzdanlarda kullanılacak güvenli donanım modülleri için geçerli sertifika şartları şöyle belirleniyor:

• Zorunlu: En az ISO/IEC 19790 Seviye-3‘e göre test edilmiş ve geçerli sertifikaya sahip HSM kullanımı.
• Tavsiye Edilen (Zorunlu Değil): EN 419221-5 koruma profiline göre Ortak Kriterler değerlendirmesi ve FPT_EMS güvenlik gereksiniminin bu değerlendirme kapsamına dahil edilmesi.
• Geçici Düzenleme: TÜBİTAK kendi testlerini tamamlayana kadar, yurt dışından alınan FIPS 140-3 sertifikalı modüller kullanılabilir. FIPS 140-2 sertifikalı ürünler ise üreticiden yenileme taahhüdü alınması şartıyla 31.12.2026 tarihine kadar geçici olarak kabul ediliyor (Madde 30).

HSM’e ilişkin özellikle dikkat çeken iki güvenlik zorunluluğu şunlar: (1) fiziksel kurcalama (tamper detection) algılandığında modülün içindeki kriptografik anahtarları güvenli biçimde silmesi zorunlu; (2) kurcalama tespit edildiğinde tüm fiziksel/teknik erişim kayıtları incelenmeli ve gerçekleştirilen faaliyetler en geç 24 saat içinde üst yönetime raporlanmalı (Madde 7/7). Bu 24 saatlik bildirim yükümlülüğü özellikle uygulama pratiğinde gözden kaçan kritik bir zaman penceresi.

Kriptografik İlklendirme (Key Ceremony) Nasıl Yapılır? — Adım Adım 2026 Rehberi

Kripto blockchain avukatı Av. Ahmet Karaca, KVHS danışmanlık süreçlerinde bu prosedürü şu şekilde ele almaktadır: ilklendirme sürecindeki en küçük prosedür hatası, tüm saklama güvenliğini temelden sarsabilir. Aşağıda Madde 14 uyarınca belirlenen süreç adımları yer alıyor.

1. 01
   Gizlilik Sözleşmesi ve Gözetim Personelinin Taahhüdü KVHS’nin üçüncü taraflarla paylaşmak istemediği hususlar, gözetimi yapacak kurum/kuruluşla gizlilik sözleşmesine bağlanır. Gözetim personelinin edindikleri bilgileri açıklamayacağına dair taahhütleri tutanakla kayıt altına alınır. Sözleşme ve tutanak örnekleri Kurul’a ibraz edilmek üzere saklanır.
2. 02
   Kontrol Listesinin Oluşturulması KVHS, ilklendirmede birlikte yapılacak adımları ve dikkat edilecek hususları belirleyerek gözetim kurumuna gönderir. Gözetim kurumunun görüşü alındıktan sonra kontrol listesi KVHS tarafından nihai hale getirilir.
3. 03
   Kablosuz Alıcı/Vericilerin Devre Dışı Bırakılması İlklendirmede kullanılan elektronik cihazlarda kablosuz alıcı/verici bulunmaması zorunludur. Denetim izi kayıtlarının alınmasında kullanılan ekipmanların kablosuz bileşenleri fiziksel olarak devre dışı bırakılmalıdır (Madde 14/13).
4. 04
   Ana Anahtar Üretimi ve Güvenli Donanım Modülüne Yüklenmesi Tüm anahtarlar HSM içinde üretilir. Ana anahtar, yalnızca 14. madde kapsamında yedekleme amacıyla ve güvenli bir mekanizmayla parçalı olarak HSM dışına çıkarılabilir. Hiçbir yetkili tek başına anahtarları oluşturamaz veya kurtaramaz.
5. 05
   Kurtarma Bileşenlerinin Oluşturulması ve Doğrulanması Kurtarma bileşenleri yalnızca ilklendirme sırasında oluşturulur (Madde 14/12). Yedekten kurtarma denemesi/testi ile bileşenlerin sorunsuz çalıştığı gözetim altında doğrulanır. Kullanılan akıllı kart ve benzeri bileşenler Ortak Kriterler, ISO/IEC 19790 veya FIPS 140-3 sertifikasına sahip olmalı.
6. 06
   Ana Anahtar Yedeklerinin Güvenli Ortamda Saklanması Ana anahtarın yedekleri (akıllı kart/PIN gibi bileşenler) kasa gibi güvenli ortamlarda tutulur. Bu verilere herhangi bir arayüz üzerinden canlı erişim kapalı tutulur. Ana anahtar yüklü yedek cihazlar kurcalama ihtimaline karşı fiziksel güvenliği sağlanmış ortamlarda saklanır (Madde 14/10-d, e).
7. 07
   İlklendirme Tutanağının Düzenlenmesi ve Bilgi Güvenliği Hukuki Desteği Tüm prosedürler KVHS’nin iç kontrol birimi gözetiminde denetim izleri alınarak kayıt altına alınır. Bu aşamada blokzincir hukuku alanında deneyimli bir avukattan destek alınması, olası uyumsuzlukların önüne geçmek açısından kritik önem taşır.

Kritik Yazılım Güvenliği Kriterleri: EAL4 Sertifikasyon Süreci Nasıl İşler?

Madde 13, cüzdan güvenlik altyapısının en sık gözden kaçan ama en kritik bileşenini düzenliyor: kritik yazılımların bağımsız güvenlik sertifikasyonu. TÜBİTAK kriterlerinin bu maddesi, KVHS’lerin kendi geliştirdiği veya üçüncü taraftan tedarik ettiği yazılımlar için Ortak Kriterler (Common Criteria — CC) değerlendirmesini zorunlu kılıyor.

Madde 13/3 uyarınca aşağıdaki işlevleri yerine getiren yazılımların TÜBİTAK tarafından onaylanmış koruma profillerine göre en az EAL4 seviyesinde Ortak Kriterler değerlendirmesine tabi tutulması ve test raporu alınması zorunludur:

• Tebliğler ve Kurul kararları doğrultusunda günlük limitleri kontrol eden yazılımlar
• Cüzdan erişim denetimi ve politika kontrollerini yapan; kontrolden geçemeyen işlemleri engelleyen yazılımlar
• Transfer emrinin izinsiz değiştirilmediğini ve eski bir emrin tekrarı olmadığını doğrulayan yazılımlar
• Platform tipi müşterilerin onaylı adres listesi değişikliklerinde kimlik doğrulama ve kayıt altına alma işlemlerini yürüten yazılımlar
• Yetkili personel müdahalesi olmadan otomatize kripto varlık transferini gerçekleştiren yazılımlar (Madde 13/3-d)
• Ağlar arası geçiş sistemlerinde izolasyon sağlayan ve yalnızca belirlenen verileri geçiren mekanizmalar

Pratikte EAL4 değerlendirmesi, tüm yazılım özelliklerini değil yalnızca güvenlik mekanizmalarını kapsayacak biçimde yapılandırılabiliyor. Üstelik tekrarlanma şartları belirlenerek küçük değişikliklerde testin yenilenmesine gerek kalmaması sağlanabiliyor; bu da hem süreç hem de maliyet açısından önemli bir esneklik sağlıyor. Yazılım bileşen listesi (SBOM — Software Bill of Materials) zorunlu olup kullanılan tüm kütüphane ve üçüncü taraf bileşenler düzenli açıklık taramasına tabi tutulmak zorunda.

KVHS’lerin Bilgi Güvenliği Yönetimi Gereksinimleri Nelerdir?

Üçüncü Bölüm (Madde 15-25) kapsamındaki bilgi güvenliği kriterleri, SPK’nın VII-128.10 sayılı Bilgi Sistemleri Yönetimine İlişkin Usul ve Esaslar Tebliği’ne ek olarak uygulanacak. Bu nedenle KVHS’lerin iki ayrı düzenleme katmanına uyum sağlaması gerekiyor.

Yönetim Yapısı: İki Zorunlu Komite

Madde 16 uyarınca iki ayrı komite oluşturulması zorunlu: Bilgi Güvenliği Komitesi ve Üst Yönetim Gözetim Komitesi. Her iki komite de yılda en az bir kez toplanarak üst yönetime ve yönetim kuruluna raporlama yapmakla yükümlü.

Kimlik ve Erişim Yönetimi (Madde 18)

• Ayrıcalıklı hesap erişimleri merkezi olarak kaydedilmeli; kullanıcı davranış analizi ve güvenlik bilgi olay yönetimi (SIEM) sistemleri kurulmalı.
• Platform müşterisinin oturum açmasında birbirinden bağımsız en az iki bileşenden oluşan çok faktörlü kimlik doğrulama zorunlu. Şifre otomatik hatırlatma veya tarayıcı kaydı kesinlikle yasaklı.
• Finansal işlemler ve müşteri bilgisi değişikliklerinde tek kullanımlık ikincil doğrulama yöntemleri varsayılan olarak uygulanacak.

Uygulama Güvenliği (Madde 19)

• Üç başarısız kimlik doğrulama denemesi sonrası ek güvenlik adımı; başarısız olması halinde hesap otomatik kilitleniyor.
• Tersine mühendislik girişimlerine karşı kod gizleme ve şifreleme teknikleri zorunlu.
• Mobil uygulamalarda donanım korumalı modüller içinde güvenli anahtar saklama; uygulama koduna anahtar verisi gömülmesi kesinlikle yasak.

KVHS’ler Bulut Bilişim Hizmetini Nasıl Kullanabilir? 2026 Kısıtlamaları

Madde 25 kapsamındaki bulut bilişim düzenlemesi, Türkiye kripto mevzuatının en kısıtlayıcı alanlarından birini oluşturuyor. Temel kural net: Bulut bilişim hizmeti, yalnızca Türk hukukuna göre kurulan ve faaliyet gösteren ticari bulut hizmet sağlayıcılardan temin edilecek.

Hassas veriler ve kriptografik anahtarlar (ana anahtar, tohum, özel anahtar) söz konusu olduğunda ise iki alternatiften en az birinin karşılanması zorunlu: (a) fiziksel ve mantıksal olarak diğer kullanıcılardan ayrıştırılmış özel bulut (private cloud) hizmet modeli ya da (b) yalnızca kamu otoritesi tarafından düzenlenmiş kuruluşlarla birlikte topluluk bulutu (community cloud).

Bulut hizmeti sağlayıcısının taşıması gereken sertifikalar şunlar: TS EN ISO/IEC 27001 (Bilgi Güvenliği Yönetim Sistemi), TS EN ISO 22301 (İş Sürekliliği), TS ISO/IEC 20000-1 (Bilgi Teknolojisi Hizmet Yönetimi), TS ISO/IEC 27701 (Kişisel Veri Yönetimi) ve TS ISO/IEC 27017 (Bulut Hizmetleri Bilgi Güvenliği). Veri merkezinin ise TIER III operasyon belgesi ya da TS EN 50600 standardında en az kullanılabilirlik sınıfı 3 belgesi olması zorunlu.

Dağıtık Defter Entegrasyonu ve Kripto Varlık Kilitleme Gereklilikleri Nelerdir?

Dördüncü Bölüm (Madde 26-28) kripto varlık alanına özgü teknik gereksinimleri düzenliyor. Dağıtık defter entegrasyonu (blockchain node bağlantısı), kripto varlık kilitleme (staking) ve entegrasyonun izlenmesi başlıkları altında üç ana yükümlülük grubu bulunuyor.

Dağıtık Defter Entegrasyonu (Madde 26)

• Çatallanma (fork) tespiti, transfer ücretlerinin doğru hesaplanması ve işlem doğrulaması için gerekli süreçler KVHS tarafından belirlenmeli.
• İmzalanmış transfer emirlerinin dağıtık defter ağına hızlı, doğru ve eksiksiz iletilmesini sağlayan izleme mekanizmaları zorunlu.
• Entegrasyon sürecinde ve sonrasında olası sorunların hızla çözülmesi için destek ekipleri oluşturulacak; iş sürekliliği ve felaketten kurtarma planları entegre edilecek.
• Sistem performans ve güvenlik sorunları, üç aylık periyotlarla yönetim kuruluna raporlanacak.

Kripto Varlık Kilitleme / Staking (Madde 27)

Staking hizmeti yalnızca sıcak cüzdanlar üzerinden sunulabilir. Bu alanda dikkat çeken en kritik kural şu: kilitleme hizmetinde kullanılan akıllı kontrat (smart contract), protokol ve benzeri mekanizmalar güvenlik denetiminden geçmiş ve açık kaynak kodlu olmak zorunda. Yüksek riskli dış protokoller, havuz hesapları (omnibus) ve benzer servisler kullanılamaz.

⚠️ Uygulamada Bilinmesi Gerekenler: 6 Kritik Uyarı

• Dikkat: Yazılım bileşen listesi (SBOM — Software Bill of Materials) tutulmadan kritik yazılım güvenliği kriterine uyum sağlanamaz. Madde 13, üçüncü taraf kütüphaneler dahil tüm bileşenlerin listelenmesini ve düzenli açıklık taramasına tabi tutulmasını zorunlu kılıyor.
• İpucu: EAL4 sertifikasyonu, kritik yazılımların tüm özelliklerini değil yalnızca güvenlik mekanizmalarını kapsayacak biçimde tasarlanabiliyor. Tekrarlanma şartları belirlenerek küçük değişikliklerde testin yenilenmesine gerek kalmaması sağlanabiliyor — bu maddi tasarruf sağlayan önemli bir teknik strateji.
• Sık Yapılan Hata: Transfer emri yetkilerce onaylandıktan sonra herhangi bir nedenle değişikliğe uğrarsa işlemlere devam edilmemesi zorunlu (Madde 5/8). Değişiklik sonrası işleme devam eden sistemler hem teknik ihlal hem de hukuki risk yaratıyor.
• Kritik: KVHS tarafından kullanılan güvenli donanım modülleri başka herhangi bir kurum veya kuruluşla ortak kullanılamaz. Soğuk cüzdan olarak kullanılan HSM’ler başka bir amaçla da kullanılamaz (Madde 20/5).
• İpucu: Yedekleme bileşenlerine yedekten geri yükleme yapılabilmesi için üst yönetimden yazılı yetki alınması ve gerekçelerin kayıt altına alınması zorunlu. Yönetim kurulu da bilgilendirilmeli (Madde 14/14).
• Yasak: Ana anahtar yedekleri (akıllı kart, PIN vb.) herhangi bir arayüz üzerinden canlı erişime açık şekilde saklanamaz. Canlı erişime kapalı, fiziksel güvenliği sağlanmış depolama zorunlu.

KVHS Teknik Uyumunda En Sık Yapılan 7 Hata ve Nasıl Önlenir?

TÜBİTAK kriterlerine uyum sürecinde danışmanlık verdiğimiz KVHS dosyalarında defalarca karşılaştığımız sistematik hatalar var. Bu hatalar çoğunlukla iyi niyetle hazırlanmış ancak kritik ayrıntıları gözden kaçırmış ekiplerin çalışmalarında ortaya çıkıyor. Uzman kripto para avukatı Av. Ahmet Karaca liderliğindeki ekibimizin sahadan derlediği bu liste, bağımsız denetim öncesi kendinizi test etmenizi sağlar.

❌ Doğru Bilinen Yanlışlar: TÜBİTAK KVHS Kriterleri Hakkında 5 Efsane

Bu Alanda Deneyimlerimiz: Teknik ve Hukuki Yetkinliğin Kesişimi

Birden fazla KVHS uyum sürecini yakından yöneten bir ekip olarak şunu net biçimde söyleyebiliriz: TÜBİTAK kriterleri mevzuat metni olarak okunduğunda anlaşılır görünebilir; ancak sahaya uygulandığında ciddi teknik ve prosedürel tuzaklar içeriyor. İstanbul’da kripto para avukatı olarak görev yapan Av. Ahmet Karaca, blockchain teknik altyapısına hâkimiyetiyle bu süreçleri yalnızca bir uyum belgesi hazırlama işi olarak değil, wallet clustering analizinden anahtar yönetimi mimarisine kadar teknik katmanlarda da derinlemesine yürütülen bir hukuki danışmanlık süreci olarak ele almaktadır.

Yılların deneyimiyle gördüğümüz gibi, KVHS uyum süreçlerinde en çok gözden kaçan alan bilgi güvenliği komitelerinin organizasyonel tasarımı oluyor. Madde 16 kapsamındaki iki komite yapısı kâğıt üzerinde kurulabiliyor, ancak yıllık raporlama döngüsü ve iç denetim bütünleşmesi eksik kalıyor. Bu tür yapısal açıkların bağımsız denetimde gün yüzüne çıkması, SPK’ya bildirimi tetikleyebiliyor. Bu nedenle teknik altyapı kurulumuyla eş zamanlı prosedür setinin oluşturulması kritik.

Haberler.com’a bu konuda değerlendirmelerde bulunan kripto hukuku uzmanı Av. Ahmet Karaca, MASAK hesap blokesi davalarında müvekkil temsil etmekte, Udemy’de blockchain hukuku üzerine ders vermekte ve İstanbul Barosu Bilişim Hukuku Komisyonu üyesi olarak sektörün hukuki dönüşümünü yakından takip etmektedir. Özyeğin Üniversitesi, Kocaeli Üniversitesi, Süleyman Demirel Üniversitesi ve Çukurova Üniversitesi’nde düzenlenen etkinliklerde KVHS mevzuatı ve blockchain hukuku üzerine konuşmalar yapan Av. Karaca, bu alanda teorik bilginin sahadaki pratik deneyimle buluşturulduğu nadir isimlerden biridir.

Uygulamada birden fazla KVHS uyum dosyasında edindiğimiz en somut sonuç şu: TÜBİTAK kriterlerine uyum sağlayan ve bağımsız denetim hazırlığını tamamlayan kuruluşların SPK lisans süreçleri, prosedürel eksiklikle başvuranların dosyalarına kıyasla belirgin biçimde daha sorunsuz ilerlemiştir. Bu yaklaşımı benimsediğimiz KVHS danışmanlık dosyalarında, süreç yönetimindeki teknik-hukuki bütünleşme, denetim gecikmelerini ve tekrar başvuru maliyetini önemli ölçüde azaltmaktadır.

Sıkça Sorulan Sorular (SSS)

Sonuç ve Değerlendirme

TÜBİTAK KVHS Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri, Türkiye’deki kripto varlık ekosistemini uluslararası standartlar düzeyine taşımayı hedefleyen kapsamlı bir teknik-hukuki çerçeve sunuyor. Soğuk/sıcak cüzdan güvenlik mimarisinden HSM sertifikasyon şartlarına, kriptografik ilklendirme prosedürlerinden bulut bilişim kısıtlamalarına kadar beş ana bölümde somut yükümlülükler belirleniyor.

En kritik tarih: 31.03.2026. Madde 4, 5, 6 ve 7 kapsamındaki soğuk cüzdan ve erişim denetimi yükümlülüklerini bu tarihe kadar yerine getiremeyen KVHS’ler doğrudan SPK yaptırımlarıyla karşılaşma riskiyle karşı karşıya. Geçici düzenlemeler (FIPS 140-2 kullanımı 31.12.2026’ya kadar) kısa vadeli bir nefes alanı sağlıyor; ancak uyum planlamasının şimdiden yapılması kaçınılmaz.

Bu konuda profesyonel hukuki ve teknik destek almak, sürecin doğru yönetilmesi açısından kritik önem taşıyor. Kripto para ve blockchain hukuku alanında Udemy eğitimleri veren, Haberler.com’da köşe yazıları yazan ve bilirkişi raporları hazırlayan kripto para avukatı Av. Ahmet Karaca, KVHS uyum süreçleri, savcılık soruşturma dosyaları ile kripto varlık teknik uzman raporları konusunda danışmanlık hizmeti sunmaktadır.