Kripto Varlık Güvenliği: SPK Tebliği ve Diğer Ülkelerde Düzenlemeler

Son iki yılda düzenleyiciler, kripto varlıkların güvenli saklanması için ortak bir çerçevede yakınsadı: güçlü anahtar yönetimi, müşteri varlıklarının ayrıştırılması, sorumluluğun netleştirilmesi ve uygun olduğu yerlerde çevrimdışı (“soğuk”) saklama. Finansal İstikrar Kurulu, yerel farklılıklara alan tanıyan, tutarlı ve risk temelli çerçevelerin uygulanmasını teşvik eden “küresel düzenleyici asgari seviye” yaklaşımını açıkça destekliyor.

Aşağıda, özellikle soğuk cüzdan güvenliği ve ilişkili kontroller açısından, hukuki metinleri ve ABD için resmî açıklamaları bölge bazında inceledik.

Türkiye (SPK — Tebliğ III-35/B.1)

Türkiye metni oldukça derecede açık. SPK tebliği, soğuk cüzdanı, özel anahtarların fiziksel, idari ve teknik bilgi güvenliği kontrolleri ile korunduğu ve “işlem onaylama ve işlem imzalama gibi kritik işlemlerin yetkili personelin müdahalesiyle, fiziki veya teknik hava boşlukları ile internetten izole edilmiş ortamlarda” yürütüldüğü cüzdan teknolojisi olarak tanımlar (Madde 4/1-t).

Bu tanım yalnızca kavramsal değildir; doğrudan iki temel güvenlik şartını hukuka taşır: kritik operasyonlarda hava boşluklu izolasyon ve imzalama adımlarında insan denetimi. Bu ikili gereklilik, Türkiye’de soğuk cüzdan kurulumlarının ihtiyat seviyesini belirgin biçimde yükseltir.

Ayrıca bu yaklaşım, kripto varlık hizmet sağlayıcılarının mimarisini somut olarak şekillendirir. İmza süreçlerinin çevrimdışı kalması, yetki matrislerinin açıkça tanımlanması, görevlerin ayrılığı ve kayıt-denetim izlerinin üretimi, işletme tasarımının merkezine yerleşir. İşletmeler; anahtar üretimi, korunması, yedeklenmesi ve yok edilmesi gibi yaşam döngüsü adımlarını prosedürlere bağlamak, kritik işlemler için çok taraflı onay akışları uygulamak ve çevrimdışı imza istasyonlarına yalnızca gerektiği kadar, kontrollü ve doğrulanmış veri akışını sağlamak zorunda kalır. Sonuç, hem düzenleyici beklentilerle uyumlu hem de denetime elverişli bir soğuk cüzdan işletim modelidir.

Avrupa Birliği (MiCA)

MiCA “soğuk” ya da “sıcak” ifadelerini kullanmaz; ancak somut saklama sonuçları dayatır. Saklama hizmeti sunan kripto varlık hizmet sağlayıcıları (CASP’ler), “söz konusu kripto varlıkların veya bu varlıklara erişim araçlarının emniyetini ya da kontrolünü sağlamak” için bir saklama politikası tesis eder (Madde 75/3). Ayrıca CASP’ler, “müşterileri adına tuttukları kripto varlıkları kendi varlıklarından ayrıştırır ve erişim araçlarının bu amaçla açıkça tanımlanmasını sağlar”; müşterilerin varlıklarının zincir üzerinde ayrı tutulduğunu temin eder (Madde 75/7). Son olarak sorumluluk açıktır: CASP’ler “herhangi bir kripto varlığın veya erişim araçlarının kaybından” müşterilerine karşı sorumludur ve bu sorumluluk, kayıp anındaki piyasa değeri ile sınırlıdır (Madde 75/8).

Uygulamada bu hükümler, belirli bir teknolojiyi dayatmadan, erişim araçlarını (özel anahtarlar) koruyan ve varlık ayrıştırmasını ispatlayabilen savunmacı saklama mimarilerine yöneltir.

Amerika Birleşik Devletleri (Federal bankacılık kurumları; SEC RFI)

Temmuz 2025’te OCC, Federal Reserve ve FDIC, bankacılık kuruluşları için Kripto Varlık Saklama konulu ortak bir açıklama yayımladı. Metin, açıklamanın “yeni bir denetim beklentisi yaratmadığını” vurgular; mevcut güvenlik ve sağlamlık kurallarının nasıl uygulanacağını netleştirir. Cüzdanlar açısından kritik nokta, müşteri sözleşmelerinin “varlıkların tutulma yöntemi (soğuk/sıcak/hibrit saklama)” konusunu açıkça ele almasıdır. Açıklama ayrıca cüzdanların ‘soğuk’tan ‘sıcak’a uzanan bir devamlılıkta konumlandığını belirtir.

Ayrı olarak, SEC saklama konularında görüş topluyor. Komiser Peirce’ın 2025 tarihli bilgi talebinde şu soru yer alır: “Soğuk ya da sıcak saklamayı içeren kripto varlıklar bağlamında, saklamanın zilyetlik ya da kontrol anlamına gelip gelmediğine ilişkin kaygıları gidermek için hangi netleştirmeler gereklidir?” Bu bir bağlayıcı kural değildir; ancak federal menkul kıymetler rejiminde soğuk-sıcak saklamanın ‘zilyetlik’ ve ‘kontrol’ kavramlarıyla nasıl örtüştüğüne dair artan düzenleyici ilgiyi gösterir.

Sonuç olarak ABD’de düzenlemeye tabi bankaların saklama modellerini (soğuk/sıcak/hibrit) belgelendirip müşteri dokümanlarına yansıtmaları beklenir. Menkul kıymet otoriteleri ise saklama tanımının soğuk saklamayı nasıl kapsaması gerektiğini irdeler.

Dubai (VARA — Custody Services Rulebook)

Dubai’nin VARA düzenlemesi cüzdan topolojisini doğrudan ele alır. III.C.1 başlığı **“Sıcak ve soğuk Sanal Varlık saklama” dır. VASP’lerin, saklama yöntemini risk temelli analizle belirlemesini ve sıcak-soğuk-ılıman cüzdanlar arasındaki aktarımların metodolojisini ve davranışını belgelemesini, bunun bağımsız denetime tabi olmasını ister. VARA, “çoklu imza yaklaşımlarını zorunlu kılma hakkını saklı tutar” (III.C.2.d).

Ayrıştırma tarafında ise saklamacıların “her bir müşterinin Sanal Varlıklarını yalnızca o müşteriye ait varlıkların bulunduğu ayrı VA Cüzdanlarında tutmasını” ve saklama operasyonlarını yürüten kişiler ile diğer iş kolları arasında “operasyonel ve fiziksel ayrışma” tesis edilmesini zorunlu kılar (III.B.3 ve III.B.7–8).

VARA belirli bir soğuk oranı dikte etmez; fakat yönetişim, belgeleme ve ayrıştırmayı zorunlu kılar ve sıcak-soğuk tercihini denetlenebilir bir risk programının merkezine yerleştirir.

Bahreyn (CBB — Kural Kitabı, Cilt 4, Ek AU-1)

Bahreyn kuralları, anahtar yönetimi ve cüzdan duruşu konularında derindir. Metin, “hemen erişilmesi gerekmeyen kripto varlıkların çevrimdışı, ‘soğuk cüzdan’da tutulması gerektiğini” belirtir. Ayrıca çoklu imza kullanımını zorunlu kılar ve mümkün olduğunda soğuk cüzdan anahtar saklamasını tavsiye eder. Taşınabilir medya yoluyla bulaşma risklerine dikkat çekerek, işlemlerin hava boşluklu cihazlarda üretilip imzalanıp dışa aktarılabileceğini tanır.

Bu, erişimi hemen gerekmeyen varlıklar için soğuk saklamayı ve varsayılan kontrol olarak çoklu imzayı birlikte öngören en net hukuki metinlerden biridir.

Özetle

Bölgeler arasında soğuk saklama, tek başına bir çözüm olarak değil, daha geniş bir kontrol çerçevesinin parçası olarak öne çıkar. Hukuki metinler tutarlı biçimde şunları vurgular: belgelenmiş saklama politikası ve kontroller, müşteri varlıkları ile işletmenin kendi varlıklarının ve operasyonlarının ayrıştırılması, sağlam anahtar yönetimi (çoğu zaman çoklu imza ve hava boşluğu uygulamalarıyla) ve erişim araçları kaybolduğunda net sorumluluk. Bu çizgi, FSB’nin tutarlı bir küresel asgari seviyeye yönelik çağrısıyla uyumludur.

DataFlowX ile Uyumlu Soğuk Cüzdan Teknolojisi

Soğuk cüzdanlar ancak iki koşul aynı anda sağlandığında vaatlerini yerine getirir. Anahtarlar ve imzalama iş akışları çevrimdışı kalır ve yüksek riskli ağlardan hiçbir şey imza ortamına ulaşamaz. Bizim tek yönlü izolasyonumuz tam olarak bu boşluğu kapatır.

DataDiodeX, soğuk alanlardan dış yayın veya operasyon bölgesine sadece tek yönlü bir yol dayatır. İmzalı işlemler, tahrifata dayanıklı denetim kayıtları ve anahtar seremonisi kanıtları alanı terk edebilir. Geri dönüş yoktur. Bu, doğrulama ve imza gibi kritik adımlar için internet izolasyonu ve hava boşluğu bekleyen düzenleyici dil ile uyumludur.

Soğuk iş akışlarının yine de tanımı net girdilere ihtiyaç duyan güvenli bir alım yoluna ihtiyacı vardır. DataBrokerX, bu yolu boşluğu kapatmadan sağlar. Fiziksel tek yönlü mimariyi, yalnızca beyaz listeye alınmış mesaj türlerini ve boyutlarını kabul eden; protokol düzeyinde ayrıştırma, insan onayı ve çok taraflı kontroller uygulayan aracılı istek-yanıt tasarımıyla birleştirir.

Kripto varlık depolamanız için sağlam ve uyumlu bir çerçeve nasıl uygulayabileceğinizi öğrenmek için uzman ekibimizle hemen iletişime geçin.