FATF Seyahat Kuralı ve Monero: 2026'daki Gerçek Etki

Haziran 2019'da Mali Eylem Görev Gücü (FATF), 16 No'lu Tavsiye Kararı'nın tek bir paragrafını sessizce yeniden yazdı — ve o tek düzenleme, Monero kullanıcılarının o günden bu yana yaşadığı her borsa listeden çıkarmasını, her KYC duvarını ve her uyum baş ağrısını şekillendirdi. "Seyahat Kuralı" aslında SWIFT tarzı banka havaleleri için tasarlanmıştı; orada bir isim ve hesap numarası paranın yanında yolculuk eder. FATF sonra aynı mantığı kripto paranın üzerine cıvatayla tutturdu ve borsaların yaklaşık 1.000 dolar üzerindeki transferlere kimlik verisi iliştirmesini şart koştu. Sorun, Monero'nun nasıl çalıştığını anladığınız anda apaçık ortaya çıkıyor: ortada herkese açık bir gönderici yok, okunabilir bir tutar yok ve bir şey iliştirebileceğiniz, tekrar kullanılan bir alıcı adresi de yok.

Bu rehber, 16 No'lu Tavsiye Kararı'nın gerçekte ne talep ettiğini, Monero'nun kriptografisinin neden bu kuralla tam ters açıda durduğunu, düzenleyicilerin ve borsaların 2024–2026 boyunca nasıl tepki verdiğini ve bugün gerçekçi olarak ne yapabileceğinizi adım adım açıklıyor. Eğer XMR edinmek için MoneroSwapper gibi KYC'siz bir hizmeti zaten kullanıyorsanız, buradaki anlatım dolaylı yoldan hissettiğiniz düzenleyici baskının çoğunu açıklayacak — daha az fiat giriş kapısı, daha çok listeden çıkarma ve giderek küçülen bir uyumlu mecra havuzu.

FATF Seyahat Kuralı Gerçekte Neyi Şart Koşuyor?

FATF bir hükümetler arası standart belirleyicidir, bir yasa değildir. 40 üye ülkesi — artı 200'den fazla ülkeyi bölgesel organlar aracılığıyla kapsayan daha geniş Küresel Ağ — onun 40 Tavsiye Kararı'nı uygulamayı kabul eder; aksi halde gri ya da kara listeye düşme riski taşırlar. Bu nokta Türkiye için soyut değil: ülke 2021'den 2024 Haziran'ına kadar tam da bu gri listede kaldı ve MASAK (Mali Suçları Araştırma Kurulu) eliyle alınan bir dizi sıkılaştırma adımıyla ancak listeden çıkabildi. 16 No'lu Tavsiye Kararı işte Seyahat Kuralı'dır ve 2019'dan beri açıkça Sanal Varlık Hizmet Sağlayıcıları'nı (VASP) kapsar: borsalar, saklamalı cüzdanlar, aracılar ve giderek artan biçimde, başkası adına kripto hareket ettiren herkesi.

Bir transfer asgari eşiği aştığında (FATF 1.000 USD/EUR öneriyor), gönderen taraftaki VASP, işlemden önce ya da işlem sırasında alıcı VASP'a tanımlı bir veri setini toplayıp iletmek zorundadır:

• Gönderici verisi: gönderenin adı, hesap numarası veya cüzdan adresi ve bir fiziksel adres, ulusal kimlik numarası ya da doğum tarihi ile yeri.
• Lehtar verisi: alıcının adı ve parayı almak için kullanılan hesap numarası veya cüzdan adresi.
• Standartlaştırılmış biçim: çoğu VASP bu veriyi IVMS101 veri modeli — interVASP Mesajlaşma Standardı — üzerinden değiş tokuş eder; bu da TRISA, TRP, OpenVASP gibi protokoller ya da Notabene ve Sygna gibi ticari aktarım hatları üzerinden taşınır.
• Karşı taraf durum tespiti: göndermeden önce VASP'ın, alıcı kurumun da kendisinin düzenlenmiş bir VASP olduğunu ve yaptırım listesinde veya lisanssız bir kuruluş olmadığını bilmesi beklenir.

FATF tüm bunları Ekim 2021'deki güncellenmiş rehberinde pekiştirdi; bu rehber ülkeleri, harici (kendi saklamanızdaki) cüzdanları yüksek riskli görmeye ve bir VASP böyle bir cüzdanla işlem yaptığında ek veri toplamaya zorladı. Ardından gelen neredeyse her gizlilik parası kısıtlamasının tohumu işte o rehberdir.

Yapısal bir zayıflığa isim vermek gerekir, çünkü düzenleyiciler bunu sürekli kullanır: gün doğumu sorunu (sunrise problem). Kural yalnızca her iki VASP da onu uygulamışsa işler. Almanya'daki uyumlu bir borsa, kuralı henüz yürürlüğe koymamış bir ülkedeki bir mecraya gönderim yaptığında, veriyi karşı uçta alacak kimse yoktur. 2019'dan yıllar sonra bile uygulama hâlâ delik deşik — bu da paradoksal biçimde düzenleyicileri baskı kurabildikleri varlıklara, başta gizlilik paralarına, daha sert yüklenmeye itiyor.

Monero Neden Seyahat Kuralı Modeline Uymuyor?

Seyahat Kuralı şeffaf bir defteri varsayar: bir gönderici adresi, bir alıcı adresi ve görünür bir tutar. Bitcoin bu üçünü de sağlar; zincir analizi şirketlerinin para akışlarını yeniden inşa edip kimliği sonradan "iliştirebilmesinin" nedeni de budur. Monero ise tam olarak bunu protokol düzeyinde imkânsız kılmak üzere mühendislikle tasarlandı ve ağır işi üç mekanizma yapıyor.

Gizli adresler "lehtar adresi" alanını çökertir

Her Monero ödemesi, alıcının açık anahtarları ile rastgele veriden hesaplanan, taze türetilmiş tek kullanımlık bir gizli (stealth) adrese gönderilir. Blok zincirine yazılan adres, hiçbir zaman alıcının yayımladığı adres değildir ve asla tekrar kullanılmaz. Dolayısıyla Seyahat Kuralı'nın "lehtar cüzdan adresi" alanı Monero için temelde kurgudur: zincir üzerindeki adres, alıcı VASP'a bunun hangi müşteriye ait olduğu konusunda hiçbir şey söylemez. Yalnızca alıcı, kendi özel görüntüleme (view) anahtarıyla tarama yaparak ödemenin kendisine ait olduğunu tanıyabilir.

RingCT tutarı gizler

2017'den beri Halka Gizli İşlemler (RingCT), transfer edilen değeri Pedersen taahhütleriyle şifreler; Bulletproofs+ aralık ispatları ise gizli tutarın pozitif ve enflasyon yaratmayan bir değer olduğunu, onu açığa çıkarmadan kanıtlar. Seyahat Kuralı'nın eşik mantığı — "1.000 dolar üzerinde veri topla" — dışarıdan bir gözlemci tarafından değerlendirilemez, çünkü hiçbir gözlemci tutarı okuyamaz. Gönderen taraf bilir; zincir bilmez.

Halka imzaları göndericiyi belirsizleştirir

Monero'nun CLSAG halka imzaları, gerçek harcamayı sahte (decoy) çıktılarla bir araya getirir; böylece bir analist tek bir gönderici yerine bir makul göndericiler kümesi görür. Hangi çıktının harcandığını açığa vurmadan çifte harcamayı önleyen anahtar görüntüleriyle (key images) birleşince, "gönderici adresi" kasıtlı olarak muğlak kalır. Yaklaşan FCMP++ (Tam Zincir Üyelik İspatları) yükseltmesi bunu daha da ileri taşıyor: anonimlik kümesini 16'lık bir halkadan tüm zincirin çıktılarına genişletiyor — 2025–2026 boyunca aktif olarak geliştirilen bir değişiklik.

Monero, Seyahat Kuralı'ndan tesadüfen kaçmıyor — kural daha ortada yokken, yıllar öncesinden, o kuralın talep ettiği her veri alanını ya okunamaz ya da var olmayan kılacak şekilde tasarlandı.

Düzenleyicilerin nadiren değindiği, az kullanılan bir incelik var: Monero seçmeli şeffaflığı destekler. Bir kullanıcı, gelen işlemleri kanıtlamak için özel görüntüleme anahtarını bir denetçiye, mali müşavire ya da hatta bir borsaya verebilir; çoğu cüzdan da belirli bir ödeme için imzalı bir işlem ispatı (transaction proof) dışa aktarır. Bu, Monero'nun "uyum karşıtı" olmaktan çok rıza temelli uyum olduğu anlamına gelir — ifşa, dünyaya varsayılan olarak yayınlanan bir şey değil, kullanıcının tercihidir. Bu ayrım her dürüst politika tartışmasında önemlidir, isterse topyekûn bir yasakla temas ettiğinde nadiren hayatta kalsın.

Düzenleyiciler ve Borsalar Nasıl Tepki Verdi? (2024–2026)

Monero, Seyahat Kuralı'nın ihtiyaç duyduğu veri alanlarını boşa çıkardığı için, pratikteki yanıt akıllıca bir adli analiz olmadı — Monero'yu düzenlenmiş kenarlardan kesip atmak oldu. Bunu iki düzenleyici hat sürükledi ve borsa kayıpları da bunların yanında üst üste birikti.

Avrupa Birliği'nde, Fon Transferi Tüzüğü (EU) 2023/1113, Seyahat Kuralı'nı kriptoya hiçbir asgari eşik olmadan uyguladı — büyüklüğü ne olursa olsun her transfer kimlik verisi taşımak zorunda — 30 Aralık 2024'ten itibaren, kripto varlık hizmet sağlayıcıları (CASP) için MiCA'nın yürürlüğe girmesiyle aynı anda. Gizlilik paraları açısından daha da kötüsü, AB'nin Kara Para Aklamayla Mücadele Tüzüğü (EU) 2024/1624'tür; bu tüzüğün 79. Maddesi, 10 Temmuz 2027'den itibaren CASP'lerin ve finans kuruluşlarının anonim hesap tutmasını ya da "anonimliği artırıcı" varlıkları işlemesini yasaklıyor. Açık ifadesiyle: AB, gizlilik paralarını kendi düzenlenmiş mecralarının dışına yasayla itti.

Amerika Birleşik Devletleri'nde FinCEN, Seyahat Kuralı'nı Banka Gizliliği Yasası kapsamında mevcut 3.000 dolarlık eşikle yönetiyor; 2020'deki bir öneri, sınır ötesi kripto eşiğini 250 dolara düşürmeyi ve harici cüzdanlara dokunan işlemler için kayıt tutma yükümlülüğü getirmeyi amaçlamıştı. SEC ve IRS kendi raporlama beklentilerini de üst üste bindirdi; 2024 aracı raporlama kuralları ise ABD giriş kapılarında kimlik toplamayı sıkılaştırdı.

Türkiye cephesinde tablo paralel ilerledi. Temmuz 2024'te yürürlüğe giren 7518 sayılı Kanun, Sermaye Piyasası Kanunu'nu değiştirerek kripto varlık hizmet sağlayıcılarını (KVHS) doğrudan SPK'nın (Sermaye Piyasası Kurulu) denetim ve lisans yetkisi altına aldı. MASAK'ın KYC ve şüpheli işlem bildirimi yükümlülükleri zaten yerli borsalarda işliyordu; yeni çerçeveyle birlikte, gizlilik paralarını listelemek lisanslı bir Türk borsası için uyum açısından savunulamaz hâle geldi. Gelir İdaresi Başkanlığı (GİB) ise bireysel kazançların vergisel boyutunu ayrı bir kulvar olarak elinde tutuyor.

Yatırımcılar için sonuçlar somut oldu. Aşağıdaki tablo bu dönemdeki başlıca mecra tepkilerini özetliyor.

Desen çok şey anlatıyor: düzenleyiciler Monero'nun zincirini okuyamadığı için, görebildikleri darboğazları düzenliyorlar — fiat giriş kapılarını ve merkezi borsaları. Varlığın kendisi ise Seyahat Kuralı'nın teknik olarak hiçbir tutamak bulamadığı bir ağ üzerinde çalışmaya devam ediyor. Borsaların elden bıraktığı talebi merkeziyetsiz takasların, atomik takas (atomic swap) araçlarının ve KYC'siz hizmetlerin emmesinin nedeni de tam olarak budur.

Monero Kullanıcıları 2026'da Gerçekte Ne Yapabilir?

Yukarıdakilerin hiçbiri, çoğu ülkede bireyler için XMR'a sahip olmayı veya kullanmayı yasa dışı kılmıyor — Seyahat Kuralı, kendi saklamasındaki cüzdanı tutan kişiyi değil, VASP'leri bağlar. Değişen şey, onu nereden ve nasıl edindiğinizdir. İşte sizi listeden çıkarmaların etrafından dolaştırırken kendi vergi yükümlülüklerinizle uyumlu tutan pratik bir sıralama.

1. XMR'ı kendi saklamanıza alın. Paralarınız listeden çıkarabilecek merkezi bir borsada duruyorsa, harcama anahtarını ve mnemonik tohumu (seed) kendi kontrol ettiğiniz bir cüzdana çekin — resmi GUI/CLI cüzdanı, Feather ya da bir donanım cüzdanı. Saklama riski artık aynı zamanda listeden çıkarma riski demek.
2. Edinmek için KYC'siz ya da merkeziyetsiz hatları kullanın. Büyük borsalardan fiat-XMR çiftleri kaybolduğunda, anlık takas hizmetleri ve atomik takaslar (BTC↔XMR) yol hâline gelir. MoneroSwapper gibi günlük tutmayan (no-log) bir takasçı, başka bir varlığı Monero'ya çevirmenizi, Seyahat Kuralı'nın aksi hâlde yakalayacağı kimlik verisini teslim etmeden mümkün kılar.
3. Kendi kayıtlarınızı tutun. Seyahat Kuralı kurumsal bir raporlama yükümlülüğüdür, ama kişisel vergi göreviniz ondan ayrıdır. Edinme tarihlerini, tutarları ve karşı tarafları kaydedin; Türkiye'de GİB ve ABD'de IRS, varlık ne kadar gizli olursa olsun beyan beklemeye devam eder.
4. Meşru ifşa için görüntüleme anahtarlarını kullanın. Bir mali müşavir, denetçi veya vergi idaresi bir işlemin kanıtını isterse, harcama anahtarınız yerine bir işlem ispatı dışa aktarın ya da salt-okunur bir görüntüleme anahtarı paylaşın — bilinçli ifşa edin, asla toptan değil.
5. Uygun olduğunda Tor veya I2P üzerinden çalışın. Ağ düzeyindeki üst veri (IP adresiniz) Monero'nun zincir üstü gizliliğinin dışındadır. Kendi saklamanızı Tor ile eşleştirin ve ağ katmanında Dandelion++ kullanmayı düşünün; böylece zincirin koruduğu verinin ta kendisini sızdırmaktan kaçının.

Bu sırayla yapıldığında, düzenleyici ortamın yokmuş gibi davranmadan değiştirilebilirliği (fungibility) ve gizliliği korursunuz. Amaç kaçınma değil — giderek bunlara sahip olmamanız gerektiğini varsayan bir sistemde kendi finansal verinizin kontrolünü elinizde tutmaktır.

Somut Bir Örnek: Türkiye'deki Sıkışma

2026 başında İstanbul'da bir yatırımcıyı düşünün. 2023 boyunca yerli bir borsadan ve Binance TR üzerinden, banka havalesiyle XMR alıyordu; MASAK ve borsanın KYC süreci tertemiz, kimliklenmiş bir fiat izi görüyordu. Şubat 2024'te Binance küresel ölçekte Monero'yu kaldırınca XMR çifti hesabından bir anda kayboldu; 2024 Temmuz'unda yürürlüğe giren 7518 sayılı Kanun'la SPK lisansı zorunlu hâle gelince, yerli lisanslı borsalar da gizlilik paralarını uyum gerekçesiyle elden bıraktı.

2026'daki gerçekçi seçenekleri üçe indi: hâlâ XMR listeleyen AB dışı bir borsada satın almak ve karşı taraf ile erişim riskini kabul etmek; uyumlu bir borsada Bitcoin edinip kendi saklamasında atomik takasla Monero'ya çevirmek; ya da doğrudan KYC'siz bir takas hizmeti kullanmak. Bu yolların her biri Seyahat Kuralı'na dokunmadan ilerler, çünkü hiçbiri okunabilir bir Monero transferi hakkında IVMS101 verisi değiş tokuş eden iki düzenlenmiş VASP içermez. Düzenleme, XMR'ı Türk borsalarının emir defterlerinden temizlemekte başarılı oldu; paraların bundan sonra nereye gittiğini görmekte ise tamamen başarısız — darboğaz düzenlemesiyle gizlilik teknolojisinin neden birbirinin yanından geçip konuştuğunun neredeyse kusursuz bir resmi.

Sıkça Sorulan Sorular

FATF Seyahat Kuralı Monero'yu yasa dışı mı yapıyor?

Hayır. Seyahat Kuralı, VASP'lere — borsalara ve saklayıcılara — yüklenen bir uyum yükümlülüğüdür; herhangi bir varlığın yasaklanması değildir ve FATF zaten hiç yasa yapamaz. Yaptığı şey, Monero'yu düzenlenmiş borsalar için ticari olarak zehirli kılmaktır; görünen etkinin tutuklamalar değil listeden çıkarmalar olmasının nedeni de budur. Birkaç ülkede gizlilik paraları doğrudan kısıtlamalarla karşılaşıyor (AB'nin 2027 AMLR yasağı en net örnek), ama XMR'ı kendi saklamanızda tutmak dünyanın büyük kısmında yasal kalmaya devam ediyor.

Borsalar Monero için Seyahat Kuralı'na gerçekten uyabilir mi?

Protokol düzeyinde anlamlı hiçbir biçimde uyamaz. Kural, okunabilir bir lehtar adresinin iletilmesini ve pratikte transfer tutarlarının değerlendirilmesini gerektirir — ikisini de Monero'nun gizli adresleri ve RingCT'si herhangi bir dış taraf için imkânsız kılar. Borsalar sizi yatırma ve çekmede KYC'den geçirebilir, ama kuralın varsaydığı zincir üstü veri alanlarını dolduramaz; çoğunun imkânsızı denemek yerine listeden çıkarmayı seçmesinin nedeni de tam olarak budur.

Seyahat Kuralı ile KYC arasındaki fark nedir?

KYC ("müşterini tanı"), bir VASP'ın kendi kullanıcıları üzerinde, hesaplar açıldığında yaptığı kimlik doğrulamasıdır. Seyahat Kuralı bir adım ileri gider: değer eşiğin üzerinde iki VASP arasında her hareket ettiğinde, bir VASP'ın bu kimlik verisini ikinci bir VASP'a iletmesini şart koşar. KYC kim olduğunuzla ilgilidir; Seyahat Kuralı ise her işlem yaptığınızda bir sonraki kuruma kim olduğunuzu söylemekle ilgilidir.

Borsalar takip edemiyorsa Monero işlemlerimi yine de beyan etmek zorunda mıyım?

Evet — kişisel vergi ve beyan görevleriniz Seyahat Kuralı'ndan bağımsızdır. GİB, IRS, HMRC ve muadili idareler sermaye kazançlarınızı ve bazı durumlarda varlıklarınızı beyan etmenizi beklemeye devam eder. Monero'nun gizliliği sizi üçüncü taraf gözetiminden korur, kendi yasal yükümlülüklerinizden değil; görüntüleme anahtarları da tam olarak, gerektiğinde işlemleri gönüllü kanıtlayabilesiniz diye vardır.

FCMP++ Seyahat Kuralı'nın uygulanışında bir şeyi değiştirir mi?

Yeni kurallar tetiklemekten çok Monero'nun direncini güçlendirir. FCMP++, halka imzalarını tam zincir üyelik ispatlarıyla değiştirir ve anonimlik kümesini 16 sahte çıktıdan zincirdeki her çıktıya genişletir. Seyahat Kuralı açısından varlık zaten okunamaz durumdadır; dolayısıyla pratik düzenleyici duruş — zinciri değil borsaları baskıla — bir protokol yükseltmesi yüzünden büyük ihtimalle değişmeyecektir.

Sonuç

FATF Seyahat Kuralı, şeffaf bir finansal sistem için yazıldı ve her defterin okunabilir olduğu varsayımıyla kriptoya aşılandı. Monero bu varsayımı gizli adreslerle, RingCT ile ve halka imzalarıyla sessizce geçersiz kılıyor; altı yıllık 16 No'lu Tavsiye Kararı uygulamasının XMR'ı izleyebilme yetisi yerine borsa listeden çıkarmaları ve bir AB yasağı üretmesinin nedeni de budur. Düzenleme, görebildiği darboğazlarda işliyor ve göremediği kriptografide duruyor.

Kullanıcılar için çıkarım pratik: kendi anahtarlarınızı tutun, dürüst kişisel kayıtlar tutun, gerçekten zorunda olduğunuzda görüntüleme anahtarlarıyla ifşa edin ve zaten okunamayan bir transfer hakkında iki düzenlenmiş VASP'ın veri takas etmesine bağlı olmayan hatlardan edinin. Seyahat Kuralı'nın doldurmak için inşa edildiği kimlik makinesini beslemeden Monero'ya geçmeniz gerekiyorsa, MoneroSwapper gibi günlük tutmayan bir hizmet — ya da Monero'yu anonim şekilde satın alma rehberindeki daha geniş yönlendirme — düzenlemenin, kendi tasarımı gereği, asla ulaşamadığı yoldur.