OFAC, AB, BM ve UK yaptırım listelerini Türk şirketleri neden ve nasıl kontrol etmeli? Bu rehber, yasal yükümlülükleri, gerçek risk senaryolarını, manuel ve otomatik tarama arasındaki farkı, PEP ve olumsuz medya kontrolünü ve uyum panosu kurmak için gereken her şeyi bir araya getiriyor.
Yaptırım taraması (sanctions screening), bir kişi, şirket, banka, gemi veya uçak adının uluslararası kuruluşların yayınladığı kısıtlayıcı önlem listelerinde bulunup bulunmadığının sistematik olarak kontrol edilmesidir. Tarama, bir işlem gerçekleşmeden önce yapılır: bir hesap açarken, bir ödeme yaparken, bir sözleşme imzalarken veya bir ürün ihraç ederken.
Amaç iki yönlüdür. Birinci yön, yaptırımlı bir taraf ile doğrudan veya dolaylı işlem yaparak ülkenin uluslararası yükümlülüklerini ihlal etmemektir. İkinci yön, şirketinizi ağır cezalardan, itibar kaybından ve erişim kısıtlamalarından korumaktır. ABD OFAC'in bir tek Türk firmasına kestiği cezalar geçtiğimiz yıllarda milyon dolar seviyelerine çıktı.
Tarama "eşleşti" demek her zaman "işlem yasak" anlamına gelmez. Çoğu zaman kısmi eşleşmeler false positive olur (aynı isimli farklı kişiler). Bu nedenle tarama yalnızca bir uyarı mekanizması değildir, karar alma sürecini destekleyen yapılandırılmış bir iş akışıdır: uyarı → araştırma → karar → belgeleme.
2. Neden Zorunlu?
Yaptırım taraması üç gerekçeyle şarttır:
Yasal zorunluluk: MASAK tebliğleri, BDDK düzenlemeleri ve uluslararası anlaşmalar taramayı belirli sektörler için zorunlu kılar. İhraç kontrol mevzuatı ise dual-use ürünlerde alıcıyı tarama yükümlülüğü getirir.
Cezai risk: Yaptırımlı kişiye para transferi, mal satışı veya hizmet sağlanması milyon dolarlık cezalara, Türk bankacılık sistemine erişim kaybına ve müdürün şahsi sorumluluğuna neden olur.
İtibar ve ticari risk: Yurt dışı muhabir banka ilişkileri, uluslararası müşteri portföyü ve tedarikçi güveni bir tek kamuya açık yaptırım ihlali ile sarsılır. İtibarın yeniden inşası yıllar alır.
Türkiye'de faaliyet gösteren bir firmanın ABD veya AB ile hiçbir bağlantısı olmasa bile, küresel finans sisteminde USD veya EUR kullanan herhangi bir işlem OFAC'in yetki alanına girer. Bu yüzden "bizi ilgilendirmez" yaklaşımı modern ticarette sürdürülebilir değil.
3. Hangi Listeler Kontrol Edilir?
Global yaptırım ekosistemi 50'den fazla listeden oluşur. En kritik olanlar:
Liste
Yetkili kurum
Kapsam
OFAC SDN
ABD Hazinesi
13.000+ kişi, kurum, gemi, uçak
OFAC Sectoral
ABD Hazinesi
Sektörel kısıtlamalar (enerji, finans)
AB Konsolide
Avrupa Birliği Konseyi
9.000+ kayıt
BM Güvenlik Konseyi
BM
1.000+ kayıt, tüm üye ülkeleri bağlar
UK HMT
İngiltere Hazinesi
AB'den ayrıldıktan sonra kendi listesi
Interpol Red Notice
Interpol
Uluslararası aranmakta olanlar
Bunlara ek olarak Avustralya DFAT, Kanada OSFI, Japonya METI, İsviçre SECO, Singapur MAS listeleri sektörünüze göre kritik olabilir. Isarud platformu tüm bu kaynakları tek bir havuzda birleştirir, haftalık olarak otomatik günceller ve isim varyasyonlarını (transliterasyon, takma adlar) tek bir arama ile tarar.
4. Türkiye'de Yasal Çerçeve
Türkiye'de yaptırım taramasını doğrudan ve dolaylı etkileyen temel mevzuat:
5549 Sayılı Kanun (MASAK): Suç gelirlerinin aklanması ve terörizmin finansmanının önlenmesi. Yükümlü kuruluşlara müşterini tanı (KYC) ve tarama zorunluluğu getirir.
6415 Sayılı Kanun: Terörizmin finansmanı ile mücadele; BM ve OFAC listelerine dayanak sağlar.
BDDK Düzenlemeleri: Bankalar ve finansal kuruluşlar için iç kontrol, risk ve uyum yapılanması.
SPK Tebliğleri: Sermaye piyasası kurumları için benzer yükümlülükler.
İhracat Rejimi Kararı + Dual-Use Listesi: Çift kullanımlı ürünlerde alıcı kontrolü ve BİLGE sistemine beyan.
Yükümlü kuruluşlar listesi geniş: bankalar, sigorta şirketleri, kripto varlık hizmet sağlayıcıları, noterler, mali müşavirler, bağımsız denetçiler, gayrimenkul aracı kurumları, kuyum ve değerli maden ticareti yapanlar. Bu listedeki her kuruluş müşteri kabulünde ve yüksek tutarlı işlemlerde tarama yapmakla yükümlü.
Uyum programı yoksa idari para cezaları 30.000 TL'den başlayıp milyonlarca liraya ulaşabilir; ağır ihlallerde faaliyet izni iptal edilebilir. MASAK denetiminde, tarama kayıtlarınız kurallara uygun tutulmuyorsa "yeterli uyum programı yok" kararı çıkar.
5. Gerçek Risk Senaryoları
Soyut mevzuat yerine somut vakalarla düşünmek daha öğretici. Türk şirketlerini etkileyen gerçek senaryolar:
İhracat vakası: Elektronik komponent ihraç eden bir İstanbul firması, Rusya'daki alıcının AB/OFAC listesinde olduğunu fark etmeden satış yapar. Sonuç: Alman muhabir bankanın ödemeyi dondurması, USD işlem yapma yeteneğinin kaybı, aylarca süren soruşturma.
E-ticaret vakası: Online kuyum satan bir site, müşterisinin OFAC listesindeki bir Venezuelalı yetkili olduğunu bilmeden 8.000 USD'lik sipariş alır. Kargo gümrükte takılır, stripe hesabı incelemeye alınır, hesap kapatılır.
Lojistik vakası: Uluslararası taşımacılık firması, yaptırımlı bir petrol tankerini çartere alır. ABD Hazinesi gemiyi SDN listesine ekler, ilgili tüm işlemler cezaya tabi olur.
Kripto vakası: Kripto borsası, yaptırımlı bir cüzdan adresine tokenin çıkışını engellemez. Chainalysis raporu ile tespit edilir, ABD tarafından "kolaylaştırıcı" olarak işaretlenir.
Senaryoların ortak noktası: İşlemi yapan kişinin "bilmeden" yapması savunma değil. Düzenleyiciler ihmali de ceza kapsamına alır. Dolayısıyla tarama "olsa iyi olur" değil, operasyonel zincirin bir parçası olmalıdır.
6. Manuel vs Otomatik Tarama
Küçük firmalar ilk başta "listeleri indirir, Ctrl+F yaparım" der. Bu yaklaşım üç temel sorunla çöker:
Transliterasyon sorunu: "Mohammed", "Muhammed", "Mohamed", "Mohammad" aynı kişi olabilir. Arapça, Rusça, Çince, Farsça isimlerin Latin alfabesine çevrilmesinde onlarca varyasyon var. Manuel arama çoğunu kaçırır.
Fuzzy matching: Yazım hataları, kısaltmalar, takma adlar. "John Smith" → "Jon Smith" veya "J. Smith". Manuel Ctrl+F sadece birebir eşleşmeyi bulur, fuzzy eşleşmeyi bulamaz.
Güncellik: OFAC SDN haftalık, AB neredeyse günlük, BM aylık güncellenir. Manuel indirip karşılaştırma yapan bir operatör bir hafta sonra eski listeyle çalışır.
Otomatik tarama bu üç sorunu çözer. Bir ad geldiğinde:
İsmi normalleştirir (Unicode → Latin, küçük harfe çevir)
Sonucu score ile döner: tam eşleşme / yüksek şüphe / düşük şüphe / temiz
Isarud'un tarama motoru tek isim için ortalama 80ms altında sonuç döner. Toplu CSV yüklemelerinde 10.000 kaydı 2 dakikada tarar. Sonuçlar PDF, Excel veya JSON olarak dışa aktarılabilir.
7. PEP Taraması
Politically Exposed Person, kamu görevi veya siyasi güç pozisyonunda olan kişileri ifade eder. FATF standartlarına göre üç alt kategori var: yurtiçi PEP, yabancı PEP ve uluslararası kuruluş PEP'i.
Kimler PEP sayılır?
Devlet başkanları, bakanlar, milletvekilleri
Büyükelçiler, konsoloslar, üst düzey askeri yetkililer
Yüksek yargı organı üyeleri, anayasa mahkemesi, sayıştay
Merkez bankası üst yönetimi, büyük KİT'lerin yöneticileri
Siyasi parti üst yönetimi
Bu kişilerin eşleri, çocukları ve yakın iş ortakları (associated persons)
PEP olmak yaptırımlı olmakla aynı şey değildir. PEP eşleşmesi "işlemi reddet" anlamına gelmez, "enhanced due diligence uygula" anlamına gelir: daha fazla belge iste, kaynak araştır, üst yönetim onayı al, işlemi ayrıntılı belgele.
Türkiye'de bankacılık, sigorta, gayrimenkul ve kuyum sektöründe PEP taraması yasal zorunluluk. Isarud'un PEP veritabanı 2 milyondan fazla kayıt içerir; başkanlık, bakanlık, parlamento, askeri ve yargı pozisyonlarını 180+ ülke için kapsar.
8. Olumsuz Medya Taraması
Olumsuz medya taraması (adverse media screening), bir kişi veya şirketin adı üzerinde kamuya açık olumsuz haberler olup olmadığını kontrol eder. Yaptırımlı veya PEP olmasa da, yolsuzluk, kara para, dolandırıcılık, terör bağlantısı gibi kategorilerde haberi çıkmış kişiler "yüksek risk" olarak işaretlenir.
Bu tarama reputation risk yönetimidir. Bir bankanın uyum yetkilisi şunu sormalı: "Bu müşteriyi kabul edersek, medyaya yansıdığında bankanın itibarı zarar görür mü?" Cevap belirsizse, işlemi reddetme gerekçesi oluşur.
Olumsuz medya sadece global ana akım kaynaklardan değil, yerel yayın ve uzmanlaşmış risk kaynaklarından da toplanır. Isarud medya taraması 40'tan fazla dilde içerik indexler, yolsuzluk / kara para / dolandırıcılık / kaçakçılık kategorilerine göre sınıflandırır ve tarih aralığı, dil ve kaynak filtresi ile arama sunar.
9. Sektörel Yaklaşımlar
Yaptırım tarama ihtiyacı sektöre göre şekil değiştirir:
Bankacılık ve fintech: Hesap açılışında, her yüksek tutarlı işlemde, SWIFT transfer öncesi. Gerçek zamanlı tarama ve otomatik durdurma şart.
İhracatçılar: Alıcı firma ve yetkilileri, sevkiyat ülkesi, gemi/uçak. Özellikle dual-use ürünlerde ihracat lisansı öncesi.
E-ticaret ve marketplace: Yurt dışı satışlarda her siparişin müşterisi; yüksek tutarlı iç satışlarda da.
Lojistik: Taşıma anlaşması yapılan tarafların tamamı, liman, gemi.
Gayrimenkul: Alıcı, satıcı ve gerçek lehdar (ultimate beneficial owner).
Kripto servis sağlayıcıları: Cüzdan adresi taraması (OFAC SDN'e son yıllarda onlarca cüzdan eklendi), KYC'de kişi taraması.
Her sektörün kendi eşik, politika ve iş akışı ihtiyacı vardır. Isarud tarama motoru, sektöre göre özelleştirilebilen score eşikleri, onay akışları ve otomatik eylem kuralları sunar.
10. E-Ticaret ve İhracatçılar için
E-ticaret ve ihracat yapan firmalar için yaptırım taraması çoğu zaman "unutulan" adımdır. Oysa risk yüksek: bir yabancı müşteri farkında olmadan yaptırımlı olabilir, bir dropshipping siparişi yaptırım bölgesine gidebilir.
Pragmatik çerçeve:
Yurt içi düşük tutarlı satışlarda tarama isteğe bağlı (yine de iyi uygulama)
Yurt içi 50.000 TL+ işlemler: tarama şiddetle önerilir
Yurt dışı satışlar: tarama her siparişte zorunlu
Dual-use ürün ihracat: tarama + ihracat lisansı kontrolü
Kurumsal müşteri (B2B): firma + yetkili + gerçek lehdar üçlüsü taranır
Isarud e-ticaret müşterileri için özel bir iş akışı sunar: sipariş oluştuğunda alıcı otomatik taranır, eşleşme varsa sipariş "manuel inceleme" kuyruğuna düşer, uyum yetkilisi karar verene kadar kargo etiketi üretilmez. Temiz siparişler akıp gider, risk taşıyanlar durdurulur — operasyonel yük minimum, uyum maksimum.
11. API ve Toplu Tarama
Bir tarama platformunu kurum için değerli kılan üç teknik yetenek:
REST API: Mevcut ERP, CRM veya e-ticaret sisteminize entegrasyon. Her yeni müşteri kaydı tarama tetikler, her ödeme öncesi tarama çalışır.
Toplu yükleme: Müşteri veritabanınızı CSV olarak yükleyip tamamını tek seferde tarayın. Mevcut portföyünüzü incelemeniz için bir kez yapılmalı, sonra değişen kayıtlarla devam edilmeli.
Webhook ve otomasyon: Bir müşteri sonradan yaptırım listesine eklenirse, ilgili kayıtları otomatik yeniden taratıp uyum yetkilisini bilgilendirme.
Isarud REST API her isim için tek çağrıda tarama yapar, eşleşmeleri score ile döner ve her taramanın log'unu saklar. API anahtarları rol bazlı yetkilendirilebilir (sadece oku, okuma + yazma, yönetici), rate limit ve kullanım raporu her zaman görünür.
12. Sık Sorulan Sorular
Bireysel firmayım, yine de tarama yapmalı mıyım?
Düzenli yurt dışı ticaret yapıyorsanız evet. USD veya EUR tahsil ediyorsanız muhabir bankanız sizden beklediği bir uyum standardı var. Serbest meslek erbabı olsanız bile dual-use ürün danışmanlığı veriyorsanız kontrol etmelisiniz.
Yaptırım listeleri nereden alınır?
OFAC (treasury.gov), AB (sanctionsmap.eu), BM (un.org/securitycouncil), UK HMT (gov.uk) resmi kaynaklardır ve kamuya açıktır. Ancak 50+ listeyi birleştirmek, format farklılıklarını çözmek ve güncel tutmak tam zamanlı bir iştir — bu sebeple uyum yazılımları değer yaratır.
Tarama sonrası eşleşme çıkarsa panik mi yaparım?
Hayır. İlk adım kimlik doğrulama: aynı isimli farklı kişi mi (false positive) yoksa gerçekten aynı kişi mi? İkinci adım belgelendirme: müşteriden ek kimlik belgesi iste. Üçüncü adım karar: tam eşleşme varsa işlemi reddet, şüpheli ise enhanced due diligence uygula. Her adımı kaydedin.
İşlem yapmadan önce mi, sonra mı tarama yapmalı?
Önce. Yaptırımlı tarafla işlemi yapıp sonra fark etmek "aklamayı hafifletmez"; ihmali gösterir. Gerçek zamanlı tarama standart.
Yurt içi B2B satışlarda da tarama gerekli mi?
Yasal zorunluluk sektöre ve tutara göre. Bankacılık ve finansta evet, e-ticarette genellikle hayır. Ancak müşteri kurumsal ve yüksek tutarlı ise iyi uygulama olarak önerilir — özellikle müşterinin nihai sahibi (UBO) yabancı ise.
Tarama platformu seçerken nelere bakmalı?
Liste kapsamı (kaç kaynak, kaç kayıt), güncelleme sıklığı, matching kalitesi (transliterasyon + fuzzy), API / entegrasyon, log saklama süresi, rol bazlı yetki ve Türkiye'ye yönelik destek (Türkçe arayüz, yerel vergi mükelleflerine fatura). Fiyat önemli ama tek başına yetmez.
Isarud tarama motoru nasıl çalışır?
32.500+ kayıtlı havuz günlük olarak OFAC, AB, BM, UK ve 46 ülke listesinden otomatik güncellenir. Arama yaptığınızda isim normalleştirilir, transliterasyon genişletilir, fuzzy matching uygulanır ve sonuç 0-100 skor olarak döner. Sonuç immutable log'a yazılır; istediğiniz zaman raporlayabilirsiniz.
Ücretsiz plan ne kapsar?
Isarud Free planı ayda 10 tarama, bülten başlıkları ve 4 yaptırım listesi kapsar. Küçük firmalar ve bireysel kullanıcılar için yeterli. Hacim büyüyorsa Pro (ayda 500 tarama) veya Business (sınırsız tarama + API + webhook) planları var.
Yaptırım taramasını bugün başlatın
Isarud Free planı ayda 10 tarama ücretsiz. Kart bilgisi istemez, 30 saniyede hesap açın. Yurt dışı müşterinizi, tedarikçinizi veya ortaklarınızı şimdi tarayın.