Bu politika, NFTiFay’in kara para aklama (ML), terörizmin finansmanı (TF) ve diğer finansal suçların önlenmesine yönelik çerçevesini ortaya koymaktadır. Bu politika, söz konusu risklerin nasıl değerlendirildiğini, azaltıldığını ve izlendiğini tanımlar. NFTiFay’in tüm çalışanları, taşeronları, iş ortakları ve kullanıcıları için geçerlidir.
Kara Para Aklama (ML): Suç gelirlerinin kaynağını gizleyerek meşru görünmesini sağlamak amacıyla gerçekleştirilen işlemler.
Terörizmin Finansmanı (TF): Kaynağın meşruluğuna bakılmaksızın, terörist amaçlar için fon sağlanması, toplanması veya kullanılması.
Nihai Faydalanıcı (Beneficial Owner): Bir müşteriyi nihai olarak (doğrudan veya dolaylı) kontrol eden veya onun adına işlem yapan gerçek kişi(ler).
Politik Olarak Nüfuzlu Kişi (PEP): Önemli kamu görevleri üstlenmiş veya üstlenmiş olan birey.
Müşteri Durum Tespiti (CDD): Kimlik doğrulama, risk değerlendirme ve işlem takibi önlemleri.
Geliştirilmiş Durum Tespiti (EDD): Yüksek riskli müşteriler, işlemler veya bölgeler için ek kontroller.
Risk Bazlı Yaklaşım (RBA): ML/TF risk seviyesine orantılı kaynak ve kontrol tahsisi.
NFTiFay’in faaliyet gösterdiği ülkelerdeki AML / CFT mevzuatına uyum.
Uluslararası standartlara (ör. FATF tavsiyeleri) ve yaptırım listelerine (BM, AB, OFAC vb.) uyum.
Kolluk kuvvetleri ve düzenleyici kurumlarla iş birliği.
MLRO / Uyum Görevlisi: AML / CFT uyumunu denetleyen, şüpheli faaliyet raporlarını yöneten, eğitimleri sağlayan ve politikayı güncel tutan kıdemli kişi veya ekip.
Üst Yönetim: Risk iştahını onaylayan, kaynakları tahsis eden ve politikayı onaylayan taraf.
Çalışanlar / Kullanıcılar: Politikaya uymak ve şüpheli davranışları bildirmekle yükümlüdür.
ML/TF maruziyetini değerlendirmek için ilk risk analizi yapılır. Faktörler:
Kullanıcı türleri (yaratıcılar, koleksiyoncular, kurumlar).
Coğrafi riskler (kullanıcıların bulunduğu yer / IP adresleri).
İşlem türleri (yüksek tutarlı tek seferlik, sık küçük işlemler, ikincil pazar, açık artırma).
Ödeme yöntemleri (kripto, itibari para giriş/çıkış).
Yargı riski (yaptırım uygulanan ülkeler, yüksek riskli bölgeler).
Risk değerlendirmesi periyodik olarak gözden geçirilir.
Tüm müşteriler, kayıt sırasında veya belirli işlem eşiklerinden önce kimlik doğrulaması (devlet tarafından verilmiş kimlik, adres kanıtı) yapmak zorundadır.
Düşük riskli / küçük hacimli müşteriler için minimum doğrulama yeterli olabilir.
Yüksek riskli kullanıcılar veya işlemler için (örn. yüksek değerli, yüksek riskli ülkelerden gelenler, PEP’ler) EDD gereklidir: fon kaynağının doğrulanması, ek belgeler vb.
Kurumsal müşteriler için nihai faydalanıcıların kimliklerinin belirlenmesi.
Olağandışı / şüpheli faaliyetler için işlemler izlenir:
Kullanıcının normal davranışının çok üzerinde tutarlar.
Bölme (structuring): Tespitten kaçmak için birçok küçük işlem.
Kullanıcı konumu, IP, ödeme yöntemi veya kimlik belgelerindeki uyumsuzluklar.
Yetersiz kimlik doğrulama ile büyük tutarlı para çekim girişimleri.
Bilinen yasa dışı faaliyetlerle ilişkili cüzdan / adres kullanımı.
Şüpheli işlemler MLRO’ya iletilir.
Yasal zorunluluk halinde Mali İstihbarat Birimi (FIU) gibi ilgili makamlara bildirilir.
Kullanıcılar, onboarding sırasında ve periyodik olarak BM, AB, OFAC ve ulusal yaptırım listelerine göre taranır.
Listelerde yer alan kişi/kurumlarla ilgili hesaplar veya işlemler engellenir veya dondurulur.
Müşteri kimlik belgeleri, işlem kayıtları, durum tespiti, risk değerlendirmeleri, izleme ve raporlar saklanır.
Kayıtlar, yasal gerekliliklere uygun olarak genellikle 5–10 yıl süreyle muhafaza edilir.
Tüm çalışanlar (teknik, müşteri destek, uyum vb.) düzenli AML / CFT eğitimi alır.
Eğitim konuları: ML/TF farkındalığı, uyarı işaretleri, yaptırımlar, iç raporlama prosedürleri.
Görev ayrılığı, onay süreçleri, erişim kontrolleri gibi iç kontroller uygulanır.
Politikanın uyumu periyodik iç denetimlerle gözden geçirilir.
Mevzuat veya risk değişikliklerinde politika güncellenir.
EDD’yi tetikleyen işlem tutarı eşikleri belirlenir.
Yüksek riskli bölgelerden gelen işlemler kısıtlanır veya engellenir.
Büyük / olağandışı işlemler için ek doğrulama (fon kaynağı vb.) zorunlu tutulur.
Anonim işlemler sınırlandırılır veya yasaklanır.
Şüpheli faaliyet tespit edildiğinde açık bir iç prosedür devreye girer.
Kanıtlar belgelenir ve korunur.
Düzenleyici kurumlar ve kolluk kuvvetleriyle iş birliği yapılır.
Çalışanların uyumsuzluğu disiplin cezasına tabidir.
Uyumsuzluk tespitinde iyileştirme planı uygulanır.
Yasal zorunluluk halinde ihlaller yetkili makamlara raporlanır.
Platformun kabul edebileceği risk seviyeleri (örn. coğrafya, işlem hacmi, kullanıcı türleri) tanımlanır.
Risk eşiğini aşan müşteri veya işlemleri reddetme veya askıya alma kriterleri şeffaf biçimde belirlenir.
(Kosova Cumhuriyeti’ndeki Faaliyetler için Geçerlidir)
Bu politika, NFTiFay’in Kosova Cumhuriyeti yasalarına uygun olarak kara para aklama (ML), terörizmin finansmanı (TF) ve ilgili mali suçları önleme ve tespit etme çerçevesini belirler. Tüm çalışanlar, taşeronlar, iş ortakları ve kullanıcılar için geçerlidir.
NFTiFay şu düzenlemelere uyar:
Kosova Kara Para Aklamanın Önlenmesi ve Terörizmin Finansmanı ile Mücadele Hakkında 05/L-096 Sayılı Kanun.
Kosova Mali İstihbarat Birimi (FIU-K) düzenlemeleri.
Avrupa Birliği AML Direktifleri (AMLD V/VI) ve FATF tavsiyeleri.
BM, AB, OFAC ve Kosova hükümeti yaptırım listeleri.
MLRO: NFTiFay tarafından atanan, uyumu denetleyen, şüpheli faaliyet raporlarını (SAR) yöneten ve FIU-K ile iletişimi sağlayan kişi.
Üst Yönetim: Risk iştahını onaylayan, kaynak tahsis eden ve organizasyonel bağlılığı sağlayan taraf.
Çalışanlar: CDD uygulamak, şüpheli davranışları bildirmek ve iç prosedürlere uymakla yükümlüdür.
NFTiFay, ML/TF risklerini belirleyerek, değerlendirerek ve azaltarak risk bazlı yaklaşım uygular. Faktörler:
Müşteri Riski: Koleksiyoncular, kurumsal alıcılar, NFT yaratıcıları, PEP’ler.
Coğrafi Risk: Yüksek riskli veya yaptırım uygulanan bölgelerle ilgili işlemler.
Ürün/Hizmet Riski: NFT satışları, açık artırmalar, ikincil pazar satışları.
İşlem Riski: Yüksek tutarlı alımlar, sık mikro işlemler, hızlı nakde dönüş.
Zorunlu Kimlik: Tüm müşteriler geçerli kimlik belgeleri (Kosova kimliği/pasaportu veya eşdeğer yabancı kimlik) sunmalıdır.
Doğrulama: Biyometrik veya belge doğrulama araçları kullanılabilir.
EDD: PEP’ler, yüksek değerli yatırımcılar veya yüksek riskli ülkelerden gelen müşteriler için gereklidir. Fon kaynağı doğrulanabilir.
Sürekli İzleme: Müşteri profilleri ve işlemler, beklenen davranışa uygunluk açısından sürekli izlenir.
Tüm işlemler gerçek zamanlı otomatik araçlar ve manuel incelemelerle takip edilir.
Kırmızı bayraklar:
Müşteri profiline uymayan işlemler.
Aniden büyük alım/satımlar.
KYC eşiklerini aşmak için bölme (structuring).
Önceden yasa dışı faaliyetle ilişkilendirilmiş cüzdan bağlantıları.
Şüpheli Faaliyet Raporları (SAR), ML/TF şüphesi halinde FIU-K’ya derhal iletilir.
NFTiFay, tüm müşterileri Kosova hükümeti yaptırım listeleri ile BM, AB ve OFAC listelerine göre tarar.
Yaptırım kapsamındaki kişi/kurumlarla ilgili hesaplar bloke edilir, dondurulur ve FIU-K’ya bildirilir.
Kimlik, işlem ve durum tespiti belgeleri en az 5 yıl süreyle saklanır.
Kayıtlar FIU-K ve diğer yetkili otoritelerin talebi üzerine erişilebilir durumda olmalıdır.
Tüm çalışanlar yıllık AML / CFT eğitimi alır. Eğitim konuları:
Şüpheli faaliyetlerin tanınması.
Kosova’ya özgü raporlama yükümlülükleri.
Yüksek riskli müşteriler ve PEP’lerle ilgili işlemler.
Görev ayrılığı, onay süreçleri ve sahtecilik önleme gibi prosedürler uygulanır.
Bağımsız denetimler veya uyum incelemeleri yılda en az bir kez yapılır.
İşlem Eşikleri: FIU-K yönergelerine uygun olarak belirlenmiş itibari para/kripto tutarları üzerinde ek KYC kontrolleri.
Coğrafi Kontroller: Yaptırım uygulanan veya FATF tarafından yüksek riskli ilan edilen bölgelerde hizmet kısıtlamaları.
Fiat/Kripto Giriş-Çıkış Kontrolleri: Nakit çıkışları ve itibari para çekimlerinde artırılmış izleme.
NFTiFay, FIU-K, kolluk kuvvetleri ve düzenleyicilerle tam iş birliği taahhüt eder:
Talep edilen verileri zamanında sağlamak.
SAR ve soruşturmaların gizliliğini korumak.
Yasal zorunluluk halinde mali suç soruşturmalarını desteklemek.
Çalışanların uyumsuzluğu disiplin cezası ile sonuçlanır, iş akdinin feshi dahil.
Gerekli durumlarda ihlaller düzenleyici kurumlara raporlanır.