Rekabet Kurumu
Karar Sayısı: 18-19/337-167
Karar Türü: Menfi Tespit ve Muafiyet
Konu: Bankalararası Kart Merkezi A.Ş. tarafından sunulan kart saklama hizmetine 4054 sayılı Kanun’un 5. maddesi uyarınca bireysel muafiyet tanınması talebi
Karar Tarihi: 12.06.2018

Rekabet Kurumu Başkanlığından,

REKABET KURULU KARARI
Dosya Sayısı : 2016-4-43 (Muafiyet)
Karar Sayısı : 18-19/337-167
Karar Tarihi : 12.06.2018
A. TOPLANTIYA KATILAN ÜYELER
Başkan : Prof. Dr. Ömer TORLAK
Üyeler : Arslan NARİN, Adem BİRCAN
Şükran KODALAK, Mehmet AYAN
B. RAPORTÖRLER : Dr. Hakan BİLİR, Cüneyd DAL, Nazif IŞIK
C. BİLDİRİMDE
BULUNAN : - Bankalararası Kart Merkezi A.Ş.
Temsilcisi: Av. Dr. İ. Yılmaz ASLAN
Gazi Umur Paşa Sk. Bimar Plaza 38/7-8 Balmumcu,
Beşiktaş/ İSTANBUL
(1) D. DOSYA KONUSU: Bankalararası Kart Merkezi A.Ş. tarafından sunulan kart
saklama hizmetine 4054 sayılı Kanun’un 5. maddesi uyarınca bireysel muafiyet
tanınması talebi.
(2) E. DOSYA EVRELERİ: Rekabet Kurumu (Kurum) kayıtlarına 20.03.2018 tarih ve 2291
sayı ile intikal eden ve Bankalararası Kart Merkezi A.Ş. (BKM) tarafından yapılan
bildirimde, BKM tarafından sunulan kart verisi saklama hizmetine, Rekabet Kurulunun
(Kurul) 23.03.2017 tarih ve 17-11/134-61 sayılı kararı ile 4054 sayılı Rekabetin
Korunması Hakkında Kanun’un (4054 sayılı Kanun) 5. maddesi uyarınca bireysel
muafiyet tanındığı, muafiyet süresinin pazardaki gelişmelerin takibini teminen bir yıl
süre ile sınırlandırıldığı ve bu sürenin 23.03.2018 tarihinde sona ereceği ifade edilmiş,
bu sebeple ilgili Kurul kararı üzerine geliştirilen yeni özellikleri ile söz konusu
uygulamaya Kanun’un 5. maddesi uyarınca bireysel muafiyet tanınması talep edilmiştir.
(3) Başvuruda ayrıca, mevcut kart saklama hizmetinin anılan Kurul kararı üzerine
geliştirildiği ve bu yeniliklerin aşağıdaki şekilde özetlenebileceği ifade edilmiştir:
- BKM kart verisi saklama hizmetinin, tekrarlayan ödeme alma koşulu
aranmaksızın tüm üye işyerlerine ve kartlı ödemeler sektöründe yer alan diğer
kuruluşlara açılması,
- BKM kart verisi saklama hizmetini alan tarafın bu hizmeti, üçüncü kişilere
kullandırabilmesi,
- BKM kart verisi saklama hizmetinin farklı satış kanallarında (çağrı merkezi,
internet, acente, vb.) çalışabilmesi,
- BKM kart verisi saklama hizmetinin yeni nesil ödeme kurallarına uyumlu olması.
18-19/337-167
2/27

(4) Yapılan incelemeler kapsamında BKM’ye 30.03.2018 tarih ve 4161 sayılı bilgi isteme
yazısı gönderilmiştir. BKM tarafından gönderilen ve söz konusu yazıya cevabi
nitelikteki yazı 30.04.2018 tarih ve 3440 sayı ile Kurum kayıtlarına intikal etmiştir.
Bildirim konusu işlem hakkında görüşlerinin alınması amacıyla 30.03.2018 tarih ve
4151 sayılı yazı ile (…..), aynı tarihli ve 4173 sayılı yazı ile (…..) görüş talebinde
bulunulmuştur. (…..) cevabi yazısı 10.04.2018 tarih ve 2951 sayı ile Kurum kayıtlarına
intikal etmiştir. Ayrıca konuyla ilgili olarak (…..) 30.03.2018 tarih ve 4167 sayılı bilgi
isteme yazısı gönderilmiş, (…..)’in cevabi yazısı 27.04.2018 tarihli ve 3416 sayılı yazı
ile Kurum kayıtlarına girmiştir. İlave olarak, kart saklama hizmeti sunan teşebbüslerden
olan (…..)’ye (…..), (…..)’ye (….), (…..)’ye (…..), (…..)’ye (…..) ve (…..)’ye (…..)
30.03.2018 tarih ve 4168 sayılı bilgi isteme yazısı gönderilmiştir. Teşebbüslerin cevabi
yazıları sırasıyla; (…..)’dan 27.04.2018 tarih ve 3419 sayılı, (…..)’dan 27.04.2018 tarih
ve 3423 sayılı, (…..)’dan 30.04.2018 tarih ve 3462 sayılı, (…..)’dan 09.05.2018 tarih ve
3699 sayılı, (…..)’tan 28.05.2018 tarih ve 4163 sayılı yazı ile Kurum kayıtlarına intikal
etmiştir. Konuyla ilgili olarak ayrıca bazı (…..) da bilgi talebinde bulunulmuştur. Bu
doğrultuda (…..), (…..), (…..) ve (…..)’ye (GARANTİ) 30.03.2018 tarih ve 4166 sayılı
bilgi isteme yazısı gönderilmiştir. (…..) cevabi yazıları sırasıyla; (…..) 25.04.2018 tarih
ve 3347 sayılı, (…..) 30.04.2018 tarih ve 3449 sayılı, (…..) 02.05.2018 tarih ve 3505
sayılı, (…..) 03.05.2018 tarih ve 3530 sayılı, (…..) 03.05.2018 tarih ve 3548 sayılı yazı
ile Kurum kayıtlarına girmiştir.
(5) F. RAPORTÖR GÖRÜŞÜ: İlgili raporda; teşebbüs birliği niteliğindeki BKM'nin,
bankacılık ve ödeme sektöründeki rekabeti etkileyebilecek kart verisi saklama
hizmetinin 4054 sayılı Kanun’un 4. maddesine aykırılık teşkil ettiği için Kanun’un 8.
maddesi kapsamında menfi tespit belgesi verilemeyeceği, ilgili hizmetin, 4054 sayılı
Kanun’un 5. maddesi kapsamında muafiyet şartlarını karşılamaması nedeniyle söz
konusu hizmete muafiyet tanınamayacağı ifade edilmiştir. BKM’ye, Kurul’un 17-11/134-
61 sayılı kararı ile tanınan muafiyet süresinin 23.03.2018 tarihinde sona ermesi ancak
BKM tarafından Kurum kayıtlarına 20.03.2018 tarih ve 2291 sayı ile intikal eden
başvuruda yeniden bireysel muafiyet talep edildiği dikkate alındığında;
- Kurul kararının tebliğ tarihinden itibaren 30 gün içinde kararın gereğinin
yerine getirileceğinin Kuruma bildirilmesi gerektiği, aksi halde hem BKM
hem de ortakları olan Akbank T.A.Ş. (AKBANK), Finansbank A.Ş.
(FİNANSBANK), T. Halk Bankası A.Ş. (HALK BANKASI), T.C. Ziraat
Bankası A.Ş. (ZİRAAT), GARANTİ, İŞ BANKASI, VAKIFBANK, YAPI
KREDİ, ING ve Türk Ekonomi Bankası A.Ş. (TEB) hakkında ayrı ayrı
olmak üzere 4054 sayılı Kanun’un 41. maddesi kapsamında doğrudan
soruşturma açılması,
- BKM’nin kart verisi saklama hizmeti verdiği teşebbüslerin hizmetin
alımında aksama yaşamamasını teminen, kararın tebellüğ tarihinden
itibaren 90 gün içinde bu hizmeti sunmayı sonlandırması ve durumu
Kurum’a tevsik etmesi
gerektiği, BKM tarafından sunulan kart verisi saklama hizmetinin pazardaki rekabete
olumsuz etkilerinin kaynağı olan BKM ile bankalar arasındaki entegrasyonun, “BKM
Express” sistemi kapsamında tesis edilmesi nedeniyle 23.09.2016 tarih ve 16-31/525-
236 sayılı karar ile süresiz muafiyet tanınan “BKM Express” uygulamasının da 4054
sayılı Kanun’un 13. maddesinde yer verilen “Muafiyet ve Menfi Tespit Kararlarının Geri
Alınması” hükmü kapsamında muafiyet şartlarını taşıyıp taşımadığının yeniden
incelenmesi için BKM tarafından kararın tebellüğünü takip eden 30 gün içerisinde
18-19/337-167
3/27

bireysel muafiyet formu doldurularak yeniden başvuru yapılması gerektiği sonucuna
ulaşılmıştır.
G. İNCELEME, GEREKÇE VE HUKUKİ DAYANAK
G.1. BKM
(6) BKM, 1990 yılında 13 bankanın bir araya gelerek kurdukları anonim şirket statüsünü
haiz tüzel kişiliğe sahip bir yapıdır. BKM, anonim şirket olmakla birlikte, hissedar
olmaksızın ilgili pazarda faaliyet gösteren diğer bankalar ile birlikte ödeme ve elektronik
para kuruluşlarını da üye olarak kabul etmektedir.
(7) BKM’nin en önemli faaliyetleri, kredi kartı ve banka kartı uygulaması içinde bulunan
bankalar arasında uygulanacak prosedürleri geliştirmek, standardizasyonu sağlamaya
yönelik çalışmalar yaparak kararlar almak, Türkiye genelinde uygulamalar ile yurtiçi
kuralları oluşturmak, bankalar arasındaki takas ve hesaplaşmayı yürütmek, yurtdışı
kuruluş ve komisyonlarla ilişkiler kurmak ve gerektiğinde üyelerini bu kuruluşlarda
temsil etmek, halen her banka tarafından devam ettirilen işlemleri daha güvenli, süratli
ve daha az maliyetli hale getirmek, bu yönde çalışmalar yaparak hizmetler
geliştirmektir.
(8) BKM ayrıca sistem işleticisi olarak da faaliyet göstermektedir. BKM’ye, 19.06.2015 tarih
ve 29391 sayılı Resmi Gazete'de yayımlanan TCMB kararı ile 6493 sayılı Ödeme ve
Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları
Hakkında Kanun (6493 sayılı Kanun) kapsamında ödeme sistemi işleticisi olarak
faaliyet göstermek üzere izin verilmiştir. Bunun yanında 6493 sayılı Kanun uyarınca
TCMB tarafından çıkarılan ve 28.06.2014 tarih ve 29044 sayılı Resmi Gazete'de
yayımlanarak yürürlüğe giren Ödeme ve Menkul Kıymet Mutabakat Sistemlerinin
Faaliyetleri Hakkında Yönetmelik'in (Faaliyet Yönetmeliği) 17. maddesi uyarınca da
sistem işleticilerinin sistemin işletimi ile dolaylı olarak ilgili olan veya sistemin işleyişi ile
herhangi bir bağlantısı olmayan ancak sistem katılımcılarının faaliyetlerini geliştiren,
güvenli kılan ve kolaylaştıran diğer faaliyetlerde bulunabilecekleri, bunun için de söz
konusu faaliyetlerin TCMB tarafından onaylanarak sistem işleticisine verilen izin
kapsamına alınmasının gerekli olduğu belirtilmiştir. Bu kapsamda, söz konusu
maddeden de anlaşıldığı üzere BKM tarafından yürütülen sistem işletimi dışındaki
faaliyetler TCMB iznine tabidir.
(9) BKM bankalar tarafından kurulmuş bir teşebbüs birliğidir. Asıl kuruluş amacı sistem
işleticisi olarak bankalar arasındaki otorizasyon (doğrulama), takas ve hesaplaşma
işlemlerini yürütmek olan BKM zamanla, online ödeme çözümleri, dijital cüzdan
hizmetleri, kart verisi saklama hizmetleri gibi çeşitli alanlarda ürün ve hizmet
geliştirerek faaliyet alanlarını genişletmiştir.
(10) BKM tarafından sunulan hizmetler ve BKM yönetim kurulu kararları çeşitli Kurul
kararlarına konu olmuş ve yapılan değerlendirmeler neticesinde teşebbüs birliği
niteliğindeki BKM'nin, rakip konumunda bulunan kendi ortakları/üyelerinin bankacılık
sektöründeki rekabetini etkileyebilecek uygulamalarının rekabet ortamını olumsuz
etkileyebileceği, bu yönde alınan BKM kararlarının 4054 sayılı Kanun kapsamında bir
teşebbüs birliği kararı olduğu ve Kanun'un 4. maddesine aykırılık oluşturduğu
değerlendirilmiştir. Bununla birlikte yine çeşitli Kurul kararlarında yapılan muafiyet
değerlendirmeleri sonucu BKM’nin uygulama ve kararlarına bireysel muafiyet
getirilmiştir.1

1 09.08.2017 tarih ve 17-26/405-182 sayılı, 23.09.2016 tarih ve 16-31/525-236 sayılı, 16.01.2014 tarih
ve 14-02/42-20 sayılı, 21.08.2013 tarih ve 13-48/672-288 sayılı, 21.08.2013 tarih ve 13-48/691-292
18-19/337-167
4/27

(11) BKM’ye üye olan banka, ödeme kuruluşu ve elektronik para kuruluşu sayısı 33 olmakla
birlikte, BKM’nin ortakları BKM üyesi 10 bankadan oluşmaktadır. Tablo 1’de BKM’nin
ortaklık yapısına yer verilmektedir:
Tablo 1: BKM’nin Ortaklık Yapısı
Pay Sahipleri Pay Oranı (%)
AKBANK 9,98
FİNANSBANK 9,23
HALK BANKASI 18,95
ZİRAAT 17,99
GARANTİ 10,15
İŞ BANKASI 9,98
VAKIFBANK 9,70
YAPI KREDİ 9,98
ING 2,19
TEB 1,85
G.2. İlgili Pazar
G.2.1. İlgili Ürün Pazarı
(12) Bildirime konu olan kart verisi saklama / kart saklama hizmeti özetle, tekrarlayan
ödeme alan kuruluşların tahsil edecekleri ödemeler sırasında, ödeme için kullanılacak
kart bilgilerinin bir kuruluş (dosya kapsamında BKM) tarafından saklanması yoluyla,
ödeme alan kuruluşun kart bilgisi saklamasına gerek kalmaksızın ödemenin
yapılabilmesine imkân tanıyan bir hizmettir. Kart verisi saklama hizmeti, sigorta
şirketleri, gazeteler, dershaneler, spor salonları ve bunlar gibi faaliyetleri kapsamında
genellikle tekrarlı ödemeler alan kurumlara sunulmakta ve bu hizmet sayesinde kredi
kartı ve/veya banka kartı bilgilerinin işyeri sistemlerinde saklanması yerine, güvenli
sistemlere sahip kuruluşlarca saklanması sağlanmaktadır. Kart saklama hizmeti, kart
bilgilerini saklamak zorunda kalan işyerlerinin, kart bilgilerinin güvenli şekilde
saklanması ihtiyacıyla, gerekli güvenlik yatırım maliyetleri dikkate alınarak ortaya
çıkmıştır.
(13) Söz konusu hizmet, kart bilgilerinin işyeri sistemlerinde saklanması yerine kart saklama
hizmeti veren ve bilgileri PCI Veri Güvenliği Standartlarına (Payment Card Industry
Data Security Standard – PCI DSS) uygun olarak saklayan hizmet sağlayıcılarına olan
ihtiyaca paralel olarak gelişmiş bir hizmettir. PCI Veri Güvenliği Standartları, kredi
kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal
ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Bu kurallar VISA, Mastercard,
American Express, JCB, Discover gibi şirketlerin oluşturduğu konseyin (PCI Security
Standard Council) kart bilgisi ileten, işleyen, saklayan tüm kurumların uymasını
beklediği bilgi güvenliği standardı olup, BDDK’nın bilgi sistemleri ile ilgili
düzenlemelerinde de yer almaktadır.2

sayılı, 28.01.2010 tarih ve 10-10/89-39 sayılı, 19.8.2009 tarih ve 09-36/905-217 sayılı, 19.8.2009 tarih
ve 09-36/904-216 sayılı, 13.3.2008 tarih ve 08-24/249-82 sayılı, 17.1.2008 tarih ve 08-06/63-20 sayılı
Kurul kararları.
2 Örneğin, 10.03.2007 tarih ve 26458 sayılı Resmi Gazete’de yayımlanarak yürürlüğe giren “Banka
Kartları ve Kredi Kartları Hakkında Yönetmelik”in 27/A maddesinin ilgili bentlerinde banka ya da kredi
kartı ile kartlı ödeme sistemlerine ilişkin olarak banka ya da üye işyerlerinin teknik altyapılarına yönelik
hükümlerinde Ödeme Kartı Endüstrisi Güvenlik Standartları Konseyi (Payment Card Industry –PCI-
Security Standards Council) tarafından yayımlanan standartlara atıf yapılmaktadır.
18-19/337-167
5/27

(14) Bu hizmet kapsamında bir ödeme sırasında kullanılan “Token3 Oluşturma” yöntemiyle
çalışan çözüm çerçevesinde, müşterinin kartının karşılığı olan token değeri işyerine
iletilmekte ve kart verileri PCI Veri Güvenliği Standartlarına uyumlu sistemlerde
tutulmaktadır. Böylelikle işyeri, aynı müşteri için yapılacak daha sonraki tahsilat
işlemlerini sadece token değeri üzerinden gerçekleştirmekte ve müşterinin tekrar kart
verisi girmesine gerek kalmamaktadır. İlgili kuruluşta saklanan kart bilgisi sayesinde
işyeri sisteminde kart verileri tutulmamaktadır. Kurul’un işbu dosyanın konusunu teşkil
eden BKM kart verisi saklama hizmetine bir yıl süre ile muafiyet tanıdığı 23.03.2018
tarih ve 17-11/134-61 sayılı kararında ilgili ürün pazarı, “kart verisi saklama hizmeti
pazarı” olarak tanımlanmış olup, işbu dosya kapsamında da ilgili ürün pazarı, “kart
verisi saklama hizmeti pazarı” olarak belirlenmiştir.
G.2.2. İlgili Coğrafi Pazar
(15) Tekrarlayan ödemeler alan işyerlerinin, kart saklama hizmetinden ülkenin tamamında
faydalanma imkânına sahip olması ve söz konusu işyerlerinin müşterileri tarafından
gerçekleştirilecek ödemelerin herhangi bir coğrafi kısıtlamaya tabi olmaması
nedenleriyle ilgili coğrafi pazar, herhangi bir bölgesel daraltma söz konusu olmaksızın
“Türkiye” olarak belirlenmiştir.
G.3. BKM Kart Verisi Saklama Hizmetine Dair Bilgiler
(16) BKM kart saklama hizmeti; tekrarlayan ödeme alan kuruluşların tahsil edecekleri
ödemeler sırasında, ödeme için kullanılacak kart bilgilerinin BKM tarafından
saklanması yoluyla, ödeme alan kuruluşun kart bilgisi saklamasına gerek kalmaksızın,
ödemenin yapılabilmesi için söz konusu kuruluşlara sunulan bir hizmettir. Kart saklama
hizmetini kendisi sunan işyeri, müşterisinin kart numarası (16 hane) ve son kullanma
tarihi (dört hane) bilgilerini alarak genellikle kendi bilgi sistemleri altyapısında
saklamakta ve ödeme almak istediğinde tahsilatını, bu kart bilgileri ile anlaşmalı olduğu
bankalardan sanal POS veya mail-order işlemi olarak gerçekleştirmektedir.
(17) Bildirim Formunda yer verilen bilgilere göre kart saklama hizmeti sayesinde, hem kart
bilgisinin tekrarlayan ödeme alan işyerlerinde, kart bilgilerinin sektör standartlarına
uygun olmayan koşullarda kaydedilmesi (poliçe formları, mail order gibi formlarda veya
işyerlerinin bilgi teknolojileri sistemlerinde) riskini bertaraf etmek; hem de söz konusu
işyerlerinin PCI Veri Güvenliği Standartlarına uyum yükümlülüğünü sağlamasını
kolaylaştırarak bunun için gerekli yatırım ve bakım maliyetlerinden tasarruf sağlamak,
ayrıca tahsilat başarı oranını ve güvenliğini artırmak hedeflenmektedir. Özetle; ödeme
alan işyerlerinin kartlı tahsilatlarında, üye işyeri anlaşması yapan kuruluşlarla olan
mevcut finansal iş modelini değiştirmeden, işlem başarı oranını yükselten, operasyonel
maliyetleri ve güvenlik açığı risklerini azaltan bir platform sunmak amaçlanmaktadır.

3 Token: Üye işyeri adına kart verisini saklayan kuruluş tarafından üretilen; kart numarasını, kart
hamilini ve üye işyerini temsil eden, belirli bir ömrü olan, herhangi bir işlemden geçirilerek hassas kart
verisine ulaşılması mümkün olmayan ve ele geçirilmesi halinde kart hamili adına sahte işlem
yapılamayacak referans kodu.
18-19/337-167
6/27

G.3.1. BKM Kart Verisi Saklama Hizmetinin İşleyişi
(18) BKM kart verisi saklama hizmeti çerçevesinde kartlı ödeme alan işyerlerine; kart kayıt
servisi (token alma), ödeme servisi, işlem sorgulama hizmeti, raporlama ile iptal ve
iade servisi sunulmakta olup; hizmetin işleyişi kısaca aşağıdaki gibidir:
a. İşyeri, müşterilerinden ödeme veya kart bilgilerinin saklanması talebi alma
esnasında,
i. (BKM Express sistemine kayıtlı kartlar için) kart numarasının ilk altı ve son
dört hanesiyle birlikte Türkiye Cumhuriyeti Kimlik Numarası (TCKN) bilgisini
veya
ii. kart numarasının tamamı ve son kullanma tarihi bilgilerini alır.
b. İşyeri bu bilgiyi BKM’ye gönderir.
c. Madde a.i. ile saklanan kartlar için, işyeri isteğe bağlı olarak bu bilgilerin SMS
OTP4 ile doğrulanmasını isteyebilir.
(19) Madde a.i.’deki bilgiler iletilirse, BKM bu kısmi kart bilgisi ve TCKN bilgisini kartı
çıkartan kuruluşun sisteminden kontrol etmektedir. Verilerin kartı çıkaran kuruluş
sistemiyle uyumlu olması durumunda, kartın tamamı ve güncel son kullanma tarihi
bilgisi kart çıkaran kuruluştan alınmaktadır. İşyeri SMS OTP ile doğrulama istemezse;
TCKN, kart ve son kullanma tarihi bilgileri BKM sistemlerinde saklanmakta ve BKM
tarafından her bir karta karşılık bir “token” oluşturularak, ilgili kuruluşa gönderilmektedir.
Eğer işyeri madde c’deki gibi isteğe bağlı olarak kullanılabilen SMS OTP ile doğrulama
isterse; BKM, kart çıkaran bankadan kart sahibinin bankada tanımlı cep telefonuna
SMS OTP göndermesini sağlamaktadır. Kart çıkaran bankanın gönderdiği kısa
mesajdaki tek kullanımlık SMS OTP, kart sahibi tarafından doğrulanırsa, TCKN, kart ve
son kullanma tarihi bilgileri BKM sistemlerinde saklanmakta ve BKM tarafından her bir
karta karşılık bir “token” oluşturularak işyerine gönderilmektedir.
(20) Madde a.i.’deki bilgiler iletilmesine rağmen, bu veriler kart çıkaran kuruluş sisteminde
doğrulanamazsa veya BKM sisteminin (BKM Express Sistemi) desteklediği bir kart
mevcut değilse, kart numarasının ilk altı ve son dört hanesi dışında, ortadaki altı hanesi
ve son kullanma tarihi bilgisi BKM’nin hazırladığı kullanıcı ara yüzü aracılığıyla
doğrudan BKM’ye iletilmekte ve BKM tarafından her bir karta karşılık bir token
oluşturularak ilgili işyerine gönderilmektedir.
(21) Madde a.ii.’deki bilgiler iletilirse, BKM tarafından her bir karta karşılık bir token
oluşturularak hizmet alan kuruluşa gönderilmektedir.
d. Ödeme işlemi bakımından, işyeri tahsilat işlemini başlatacağı zaman tahsilatın
gerçekleştirileceği (işyerinin banka anlaşması olduğu) sanal POS, token ile
tutar bilgilerini BKM’ye göndermekte ve ödeme süreci BKM tarafından işyerinin
anlaşmalı olduğu sanal POS üzerinden tamamlanmaktadır. BKM, işyeri ile üye
işyeri anlaşması yapan kuruluş arasında ticari anlamda bir etkide
bulunmamakta, işyeri dilediği üye işyeri anlaşması yapan kuruluş ile çalışma
özgürlüğüne sahip olmaya devam etmektedir.
e. İhtiyaç halinde iade ve iptal işlemleri de BKM’nin sağladığı servisler üzerinden
yapılmaktadır.
f. BKM işyeri adına, bu hizmet için gerekli arşiv ve kayıtları tutmaktadır.

4 OTP: “One Time Password” (Tek Kullanımlık Şifre)
18-19/337-167
7/27

G.3.2. Kart Kayıt Servisi (Token Alma)
(22) Kart kayıt servisi, işyerleri tarafından BKM’ye iletilecek kart bilgileri karşılığında
BKM’nin token üretmesi için sağlanacak olan web servisidir. Kart numarasını
içermeyen token değerleri, işyerleri için BKM ile akdettikleri sözleşme süresince geçerli
olmaktadır. İşyerleri, kart bilgilerini BKM’ye ilettikten sonra BKM tarafından iletilen
token bilgisini sistemlerinde saklayarak, bir sonraki ödeme işlemini token aracılığıyla
başlatma imkânına sahip olmaktadır. Böylelikle işyerleri, müşterilerine ait hassas kart
bilgilerini sistemlerine kaydetmeden sadece BKM tarafından kendilerine iletilen müşteri
veya kart bilgilerini içermeyen tokenları sistemlerinde saklayarak ödeme işlemini
gerçekleştirebilmektedirler. İşyerleri üç farklı model ile token temin edebilmektedir.
(23) Bu modellerin ilkinde işyerleri, BKM Express sistemine uyumlu kartlar bakımından, kart
numarasının ilk altı ve son dört hanesi ile kart sahibinin TCKN’sini BKM’ye iletmektedir.
Bunun üzerine BKM, bankalarla yapmış olduğu anlaşmalar ile sahip olduğu
entegrasyon sayesinde kart çıkaran kuruluştan kartın 16 hanesi, TCKN ile son
kullanma tarihi bilgilerini temin ederek tokeni üretip işyerine iletmektedir. Bu yöntemde
ayrıca işyeri tarafından tercih edilmesi halinde kart bilgilerinin saklanması sırasında
kart sahibine SMS OTP yolu ile kartı çıkaran banka tarafından tek kullanımlık şifre
gönderilerek söz konusu şifrenin kart sahibi tarafından BKM’nin oluşturduğu
ekran/arayüz’e girilmesi neticesinde kart bilgileri kaydedilmektedir.
(24) Token temin edilmesine yönelik ikinci modelde ise işyerleri, BKM Express sistemince
desteklenmeyen veya kart çıkaran kuruluş tarafından doğrulanamayan kartlar
bakımından, kartın ilk altı ve son dört hanesi ile kart sahibinin TCKN’sine ilave olarak,
kartın ortadaki altı hanesini ve son kullanma tarihi bilgilerini de BKM’nin oluşturduğu
ekran/arayüz aracılığıyla girmekte ve bu bilgilere karşılık olan token üretilip işyerine
iletilmektedir.
(25) Söz konusu hizmetin sunulmasına ilişkin üçüncü modelde ise özellikle sistemce
desteklenen bir kart olmasına rağmen kart sahibinin TCKN’sinin bilinmediği durumlarda
(örneğin ödeme talimatı olan eski tarihli veriler) işyerleri, doğrudan kartın 16 hanesini
ve son kullanma tarihi bilgilerini BKM’ye ileterek token temin etmektedir.
G.3.3. Ödeme Servisi
(26) Ödeme işlemi, işyeri tarafından token bilgisi içeren bir web servisi aracılığıyla
başlatılmaktadır. Ödemelerde kartlı sistem kuruluşlarına ait yurtiçi kartlar
kullanılabileceği gibi, yurtdışı kartlar da kullanılabilmektedir. Söz konusu kartların
ödeme kabulünde, BKM tarafından kartın varlığı veya statü kontrolü yapılmayıp, kart
çıkaran kuruluşun yapacağı kontroller geçerli olmaktadır. BKM, yalnızca kart çıkaran
kuruluşun onay ya da ret kodunu ilgili işyerine iletmektedir. İlave olarak işyerinin
tercihine bağlı olarak kart numarasının ilk altı ve son dört hanesi ile kart sahibinin
TCKN’si ile saklanmış olan kartlar ile yapılacak ödemeler sırasında her bir ödeme
işlemi için kart sahibine SMS OTP ile tek kullanımlık şifre gönderilebilmektedir.
G.3.4. İptal ve İade Servisi
(27) İptal veya iade işlemi, işyeri tarafından sipariş numarasının iletilmesiyle bir web servisi
aracılığıyla başlatılmaktadır. BKM söz konusu talebi ilgili sanal POS’a iletmekte ve
işlem sonucunu işyerine bildirmektedir. İptal ve iade işlemlerinin finansallaştırılması ise,
sanal POS’un bağlı olduğu üye işyeri yapan kuruluş tarafından belirlenen kurallara
göre yürütülmekte olup; bu aşamada BKM’nin herhangi bir sorumluluk veya
yükümlülüğü bulunmamaktadır.
18-19/337-167
8/27

G.4. Bankalar ve Ödeme Hizmeti Sağlayıcılarından5 Elde Edilen Bilgiler
(28) (…..) markası altında faaliyet gösteren (…..) tarafından gönderilen cevabi yazıda, BKM
tarafından sunulan ve Kurul’un bir yıllık süre ile muafiyet tanıdığı kart saklama
hizmetinin piyasadaki etkilerine ilişkin olarak özetle aşağıdaki ifadelere yer verilmiştir:
“BKM'nin kart saklama hizmeti alanına girmesi ve daha önce Rekabet
Kurulu'nun 23.03.2017 tarihi ile kendisine tanınan muafiyet ile sigorta
sektöründeki firmalarla çalışmaya başlaması ile (…..) ve diğer firmaların bu
sektörde hizmet verebilme şansı ortadan kalkmıştır. Bu alanda BKM'ye
sağlanan muafiyet bankalar tarafından BKM'ye sağlanan teknik avantajların da
ötesinde bankaların zaten BKM'ye ortak ve üye olması nedeni ile BKM'nin
hizmetlerini öne çıkarıcı uygulamalarda bulunmasına yol açarak, bu pazarda
faaliyet gösteren diğer tüm firmaların bu haksız rekabetten dolayı ciddi şekilde
olumsuz olarak etkilenmesine sebebiyet vermiştir. Söz konusu haksız rekabet
koşulları özellikle firmamızı etkilemiştir, zira bu pazardaki ödeme hizmeti
sağlayıcıları başta olmak üzere diğer oyuncular için kart saklama hizmeti bir
"yan hizmet" iken, kart saklama hizmeti (…..)'in en temel hizmeti ve faaliyet
alanıdır. (…)
BKM'ye sigorta sektörü için sağlanan bir senelik muafiyetin tüm sektörler için
geçerli olması durumunda, (…..)'in mevcut iş ortaklarını kaybetmek ve yeni iş
ortağı edinememek nedeni ile ciddi ticari kayba uğraması ve hatta pazar dışına
itilme riski ile karşı karşıya kalması söz konusu olacaktır. (…)
Hizmet alan firmanın talebine bağlı olarak kart sahibine SMS OTP doğrulama
mesajı gönderilerek işlem öncesi güvenliği arttıran bir doğrulama yapabilir hale
getirilmesi ile bankalar üzerinden bu hizmeti alamadığı için kart saklama
hizmetinin bir parçası olarak sunamayan (…..) gibi firmalara karşı BKM ve
BKM'nin kart saklama altyapısı üzerinden hizmet verecek diğer firmaların
haksız rekabet ile avantaj sağlaması sonucunu doğuracaktır. (…)”
(29) Yine (…..) tarafından, BKM kart saklama hizmetinde kart numarasının ilk altı ve son
dört hanesi ile TCKN numarası alınarak işlem yapılmasının mümkün olmasına ilişkin
olarak özetle şu açıklamalarda bulunulmuştur:
“BKM tarafından sunulan BKM Express hizmeti başta olmak üzere kart verisi
saklama ve tek tıkla ödeme çözümlerinin başladığı günden bu yana pazardaki
rekabeti oldukça olumsuz olarak etkilediği ve etkilemeye devam edeceği
görüşündeyiz. Kar amacı gütmeyen bir kuruluş olarak BKM'nin 2012 yılında
dijital cüzdan ile ödemelere ilişkin piyasaya girmesi, (…..) dâhil piyasadaki diğer
oyuncular tarafından ilk zamanlarında sektörü teşvik edici ve büyütücü bir
amaca hizmet edeceği yönünde değerlendirilmiştir. Fakat ilerleyen süreçlerde,
aşağıda açıklanan sebeplerden dolayı, BKM'nin faaliyetleri sektöre ve diğer
hizmet sağlayıcılara ticari zarar vermeye başlamış olup, günümüzde de bu
zarar devam etmektedir.
Özellikle BKM'nin ortaklarının Türkiye'nin en büyük 10 bankası olması ve
Türkiye'de faaliyet gösteren 29 bankanın tamamının da BKM üyesi olması,
bankaların BKM'nin uygulamalarını öne çıkarmalarına ve diğer kart saklama
hizmeti veren firmaların çalışmalarının gitgide zorlaşmasına sebep olmaktadır.

5 İşbu dosyanın ilerleyen bölümlerinde “ödeme hizmeti sağlayıcısı kuruluşlar” terimi, 6493 sayılı Kanun
kapsamındaki tanımından daha geniş olacak şekilde kart verisi saklama gibi tali hizmetleri veren
kuruluşları da kapsayacak şekilde kullanılacaktır.
18-19/337-167
9/27

Bankaların kart verisi saklama süreçleri ile ilgili bazı direkt entegrasyon
opsiyonlarını (kullanıcıdan kart bilgisinin sadece bir kısmının alınıp devamının
bankadan temin edilmesi, SMS ile doğru/ama kodunun direkt banka üzerinden
kullanıcıya gönderilmesi gibi) sadece BKM'ye sunması ve bu alanda hizmet
veren diğer firmalara sunmaması nedeni ile BKM, iş ortaklarının gözünde
güvenlik açısından daha avantajlı bir imaja büründürülmüştür. (… ) Daha da
ötesi, BKM'nin, bankadan gönderilen bu SMS doğrulama kodlarının, ödeme
işleminin 3D Secure olarak gerçekleşmiş sayılması için yeterli olacağını
savunması ve bu durumun doğru olmamasına rağmen bankalarca da
desteklenmesi (…..) ve diğer hizmet sağlayıcılarını iş ortaklarının gözünde
dezavantajlı konuma düşürmüştür.
Kart verilerinin sadece ilk altı ve son dört hanesinin kullanıcıdan alınarak diğer
kısımların banka entegrasyonu üzerinden temin edildiği bir yapı bankalar
tarafından sadece BKM'ye sağlanmaktadır. Bunun dışındaki tüm kart saklama
hizmeti veren teşebbüsler ((…..) dâhil) bu bilgilerin tamamını kullanıcıdan
almakta ve kaydetmektedir.
Bankaların BKM'ye bu alanda sağladığı entegrasyon imkanını diğer hizmet
sağlayıcılara da sağlaması rekabetçi ortamın sağlıklı işleyişi için kritik bir unsur
olacaktır. Bu nedenle, kart bilgisinin sadece ilk 6 ve son 4 hanesi ve TCKN
alınarak bankadan kart bilgilerinin temin edileceği entegrasyon da dahil olmak
üzere, kartın son kullanma tarihinin bankadan otomatik olarak güncellenebildiği
ve BKM ve Masterpass'e özel uygulanan kart sahibine banka üzerinden SMS
OTP doğrulama mesajı gönderiminin yapılabildiği (kart kayıt ve işlem
sırasında) entegrasyonları da firmamız için gerçekleştirmeyi talep etmekteyiz.”
(30) (…..) tarafından gönderilen cevabi yazıda, kart saklama hizmetinin sunulmasına ilişkin
olarak bankalar tarafından BKM ve diğer ödeme kuruluşlarına farklı uygulamalar
sunulup sunulmadığına ilişkin olarak ise şu açıklamalara yer verilmiştir:
“Bankalar ayrıca (…..) gibi bağımsız kart verisi saklama hizmet sağlayıcılarının
hizmet verdiği firmaların sanal poslarını CVV’siz işleme açmayı reddederek
(kayıtlı kartlarla yapılan tek tıkla ödeme ve düzenli ödeme işlemleri için bu konu
teknik bir zorunluluktur), (…..) gibi firmaların hizmet vermesini zorlaştırmış ve
dolaylı olarak çıkartılan bu zorluk, BKM'nin faaliyetlerini sorunsuz olarak
yürütmesine fayda sağlamıştır.
Kart verisi saklama hizmeti sağlanan iş ortaklarının en önem verdiği konulardan
bir tanesi de yukarıda da belirtildiği üzere son kullanma tarihi dolan kartların
bilgilerinin güncellenmesi konusudur. Özellikle müşterilerinin kart verisini
saklayarak uzun dönemli düzenli ödeme talimatı ile müşterilerinden periyodik
olarak ödeme alan iş ortaklarında bu konu azami önemli hale gelmektedir. (…)
BKM'ye bankalar tarafından son kullanma tarihi dolan kartların bilgilerinin
otomatik olarak güncellenmesi ile ilgili bir imkan tanınması bu sektördeki diğer
firmaları ciddi anlamda olumsuz olarak etkilemekte ve pazar kaybı
yaşanmasına yol açmaktadır.
Yine bankalar tarafından BKM ve Masterpass'e özel uygulanan kart kaydetme
ve işlem sırasında kart sahibine banka üzerinden SMS OTP doğrulama mesajı
gönderiminin yapılabildiği entegrasyonların bu sektördeki diğer hizmet
sağlayıcıları sağlanmaması, bu firmaları ciddi anlamda olumsuz olarak
etkilemekte ve pazar kaybı yaşanmasına yol açmaktadır.”
18-19/337-167
10/27

(31) (…..) tarafından gönderilen cevabi yazıda, BKM tarafından sunulan kart saklama
hizmetine ve bu hizmetin piyasaya etkisine ilişkin olarak özetle aşağıdaki ifadelere yer
verilmiştir:
“BKM tarafından sunulan BKM Express başta olmak üzere kart saklama hizmeti
başladığı günden beri zaten hassas dengeler üzerinde olan pazardaki rekabeti
daha da olumsuz etkilemiştir ve etkilemeye de devam etmektedir.
Bankalar BKM uygulamalarını ön plana çıkarmakta ve kullanımını
desteklemektedirler. Bu da müşteriler (üye iş yerleri) ve kart hamilleri (son
kullanıcılar) nezdinde BKM'nin rakiplerine göre daha güvenilir olduğuna yönelik
gerçeğe aykırı bir algı yaratmaktadır.
BKM'nin sahip olduğu ve diğer kartlı ödeme sektörü oyuncularına tanınmayan
entegrasyon imkanı sayesinde, yani kart bilgisinin bir kısmı ve TCKN ile diğer
bilgilerin bankadan temin edilmesi, SMS ile doğrulama kodunun doğrudan ilgili
banka üzerinden gitmesi özelliklerinin sadece BKM'ye sunulması sebebiyle
BKM'nin daha güvenli olduğuna dair gerçeğe aykırı bir algı yaratılmıştır.
BKM'nin sunduğu avantajlarmış gibi gösterilmeye çalışılarak söz konusu kart
verisi saklama hizmeti ile 4054 Sayılı Kanun'un 5. maddesindeki koşulları
sağladığı iddia edilmiştir ancak kart verisinin saklanması hizmeti ile elde edilen
avantajların büyük bir bölümü, bu hizmeti veren diğer teşebbüsler tarafından da
sağlanabilmektedir.
(…) BKM'yi diğer teşebbüslerden ayıran tek husus, bankalar ile olan münhasır
entegrasyonudur. Aynı entegrasyonun tüm kart saklama hizmeti veren
teşebbüslere açılması, hem daha fazla kullanıcının yararına olacak hem de
sektördeki rekabetin adil olmasını sağlayacaktır.
BKM kart saklama hizmetinin şirketimizin pazardaki rekabet gücünü ortadan
kaldırdığını kanıtlayan somut örnekleri dikkatinize sunmak isteriz. Şirketimizden
hâlihazırda ödeme hizmeti ve bunun yanında kart saklama hizmeti alan
müşterilerinden bir kısmı, BKM kart saklama hizmetine dair duyumlar almış ve
bu kart saklama hizmetinin sağladığı avantajlardan faydalanmak istediklerini
iletmişlerdir.”
(32) BKM tarafından sunulan kart saklama hizmetinin diğer ödeme kuruluşlarına da
açılmasına ilişkin olarak (…..) tarafından gönderilen cevabi yazıda özetle şu ifadeler
yer almıştır:
“BKM kart saklama hizmetinden hizmeti üçüncü kişilere kullandırmak üzere
faydalanmak için teknik gereksinimlere bakıldığında BKM sistemine sahip
olduğunuz sanal POS'Iarın tanımlanması gerekmektedir. Söz konusu sanal
POS'Iar şirketimiz gibi ödeme kuruluşları için oldukça hassas ve rakiplerle
paylaşılması sakıncalı ticari bilgiler içermektedirler. Bu nedenle söz konusu bu
teknik gereklilik sebebi ile BKM kart saklama hizmetinin kullanılması şirketimizin
ticari sırlarının rakibine açıklanması sonucunu doğuracaktır. (…) Şirketimiz ile
sanal POS'Iar arasında teknik olarak bir üçüncü tarafın, yani BKM'nin girecek
olması, ödeme işlemlerinin süresini artıracak, şirketimizin söz konusu
taahhütlerini riske sokacak ve BKM tarafında yaşanacak teknik bir aksaklık
şirketimizin sunduğu ödeme hizmetinin de performansını doğrudan
etkileyebilecektir.”
18-19/337-167
11/27

(33) Yine (…..) tarafından gönderilen cevabi yazıda, bankalarla BKM arasındaki
entegrasyona ilişkin olarak ise özetle şu açıklamalarda bulunulmuştur:
“BKM kart saklama hizmetini, diğer teşebbüslerin hizmetlerinden ayıran yegâne
unsur bankalar ile arasında olan entegrasyondur. Kart Saklama Hizmeti
Muafiyet Kararı'nda bireysel muafiyet verilmesine gerekçe olarak gösterilen ve
4054 Sayılı Kanun'un 5. Maddesindeki koşulları sağladığı şeklinde yorumlanan
tüm özellikler kart saklama hizmetinin olağan sonuçlandır. BKM kart saklama
hizmetinin taşıdığı ekstra avantajlar ise yine söz konusu entegrasyonun BKM'ye
sağladığı avantajlardan öteye geçememektedir.
Bunun yanında BKM'nin sahip olduğu ve kartlı ödeme pazarındaki teşebbüslere
tanınmayan bankalar ile entegrasyon imkanı yani kart bilgisinin bir kısmı ve
TCKN ile diğer bilgilerin bankadan temin edilmesi, SMS ile doğrulama kodunun
doğrudan ilgili banka üzerinden gitmesi özelliklerinin sadece BKM'ye sunulması
sebebiyle BKM'nin daha güvenli olduğuna dair gerçeğe aykırı bir algı
oluşmasına sebep olmaktadır.
Şirketimizin kart verisi saklama hizmeti verebilmesi için son kullanıcıdan kredi
kartı bilgilerinin tamamını yani hassas ödeme verisini alması gerekmektedir. Bu
sebeple de şirketimizin yıllık olarak mutlaka PCI DSS uyumluluk denetiminden
geçerek uyumluluk sertifikası alması gerekmektedir. Bu sertifikanın alınabilmesi
ise oldukça uzun süren çalışmalar ve maliyetli bir yatırım yapılmasına bağlıdır.
Bu durum hassas ödeme verisi almayan, dolayısıyla PCI DSS uyumluluğuna
gereksinim duymayan BKM karşısında kart verisi saklama hizmeti açısından
daha fazla maliyete katlanması gereken ve dolayısıyla bu maliyeti müşterilerine
yansıtan bu teşebbüslerin rekabet gücünü ortadan kaldırmaktadır.
BKM ile bankalar arasındaki böylesi bir entegrasyonun şirketimiz ile bankalar
arasında da kurulabilmesi için farklı bankalara talepler iletilmiştir, ancak henüz
bu talebimiz kabul görmemiştir.”
(34) (…..) tarafından gönderilen cevabi yazıda, BKM tarafından sunulan kart saklama
hizmeti, bu hizmetin piyasaya etkileri ve diğer ödeme kuruluşlarının da BKM’nin
altyapısını kullanabilecek olmasına ilişkin şu açıklamalar yapılmıştır:
“Kart saklama hizmetlerine yönelik olarak sadece BKM'nin sahip olduğu bazı
entegrasyonlar sebebiyle örneğin kart bilgisinin ilk 6 ve son 4 hanesine ek
olarak TCKN bilgisiyle ödeme alınması, son kullanım tarihinin otomatik
güncellenmesi, SMS ile doğrulamanın direkt ilgili banka üzerinden gitmesi gibi
BKM dışında diğer oyuncuların sağlayamayacağı özellikleri sağlamak mümkün
olmaktadır.
Kartların ilk 6 ve son 4 hane bilgisi ve TCKN ile ödeme alınması ve bunun
pazarda bankaların ortaklığı ya da üyeliği bulunan bir kurum tarafından
yapılması müşteriler nezdinde 'daha güvenilir ödeme yöntemi' algısı
oluşturmaktadır. Diğer oyuncular/kuruluşlar tarafından sağlanamayacak olan bu
hizmet ve özellikler ile de BKM'nin çok daha avantajlı ve pazarda hâkim duruma
gelmesi, diğer kurumların rekabet edemeyecek pozisyona itilmesi doğal
olacaktır.
18-19/337-167
12/27

Pazarda kart saklama hizmeti sunan şirketimizin sistemlerini BKM sistemlerine
uyumlu hale getirilebilmesi için, müşterilerimizin "ticari sır" niteliğindeki hassas
ve rakiplerle paylaşılması sakıncalı verilerin de BKM ile paylaşılmasını
gerektirecektir. Yapılması gerekecek bu teknik uyumluluk çalışmaları, şirketimiz
ile müşterileri arasına bir üçüncü kişi olacak olan BKM'nin girmesi, ödeme
işlemlerinin süresini uzatacak olup, ilgili üyelerimizin performanslarında düşüşe
ve müşteri memnuniyetsizliğine sebebiyet verecektir.”
(35) (…..) tarafından gönderilen yazıda, BKM ile bankalar arasındaki entegrasyona ilişkin
olarak ise özetle şu değerlendirmeler yapılmıştır:
“BKM altyapısına kart kaydederken, müşteriden sadece ilk 6 ve son 4 hane
bilgisine ek olarak TCKN bilgisi istemekte, bu bilgilerle banka üzerinden kurulan
doğrudan iletişimle kart doğrulaması sağlamakta ve ilgili ödeme bu doğrultuda
alınabilmektedir. Ek olarak, kartın Son Kullanım Tarihi ve CVV/CVC bilgileri de
istenmemekte, Kart Saklama Servisi (token) aracılığıyla yapılan ödemelerde
CVV/CVC dâhil kartla ilgili herhangi bir ek bilgi istemeden işlemler
gerçekleştirilebilmektedir.
BKM'nin sunduğu sadece kartın ilk 6 ve son 4 hane bilgisi ve TCKN ile ödeme
alınmasını sağlayan servisi, iş ortaklarının ödeme akışlarını buna göre
kurgulamasına neden olmaktadır. Bu kurguyu entegre eden iş ortakları (örneğin
sigorta şirketleri) kart saklamak ve/veya kart saklama hizmeti sunan bizlerle
çalışmak istediklerinde, bu teşebbüslerin ödeme işlemi için kartın 16 hanesinin
tamamına ek olarak CVV ve SKT bilgisini de istemesi, iş ortağı tarafından kabul
görmemekte veyahut iş ortaklarına yüksek entegrasyon maliyeti çıkarttığı için,
bu hizmetleri sağlayan bizlerin tercih edilememesine neden olmaktadır.
Söz konusu entegrasyon münhasır olarak sadece bankalar ile BKM arasında
olup, şirketimizin bankalarla benzer entegrasyonları bulunmamaktadır. BKM ile
bankalar arasındaki entegrasyonun şirketimizle bankalar arasında da
kurulabilmesi için farklı tarihlerde farklı bankalara ilettiğimiz taleplere henüz
olumlu dönüş almamış durumdayız. Kaldı ki, bankalar ile BKM arasındaki bu
organik bağ nedeniyle, şirketimiz bankalardan benzer servisler istediğinde,
BKM'ye yönlendirmeler yapılmaktadır.”
(36) (…..) tarafından gönderilen cevabi yazıda ise, BKM tarafından sunulan kart saklama
hizmetine ve bu hizmetin piyasaya etkilerine ilişkin olarak özetle şu açıklamalarda
bulunulmuştur:
“Neredeyse bütün üyelerini Türkiye'deki tüm bankaların oluşturduğu ve
yukarıda belirtmiş olduğumuz üzere tüm ortakları da bu üyelerin içinde olduğu
bankalar olan BKM uygulamaları, doğaldır ki bu bankalarca desteklenmekte ve
ön plana çıkarılmaktadır. Bu durum ise, zahiri biçimde müşteriler (üye işyerleri)
ve kart sahipleri (nihai kullanıcılar) açısından BKM'nin rakiplerine göre daha
güvenilir olduğu imajını çizmektedir.
18-19/337-167
13/27

Kartlı ödemeler pazarındaki kart saklama hizmetlerine ilişkin bankalarla
yalnızca BKM'nin sahip olduğu bazı önemli direkt entegrasyon imkanları (yani
ödemenin gerçekleştirilmesi için kart bilgisinin bir kısmının-kartın ilk 6 ve son 4
hanesinin ve TCKN'nin iletilmesinin yeterli olması-son kullanma tarihinin
otomatik güncellenmesi, TCKN ile diğer bilgilerin ilgili bankadan temin
edilebilmesi, SMS ile doğrulama kodunun doğrudan ilgili banka üzerinden
gitmesi, CVV'siz kart saklanabilmesi özellikleri gibi) sebebiyle, yine müşteriler
ve kart hamilleri açısından BKM'ce kart saklama hizmetinin sağlanıyor
olmasının daha güvenli olduğuna ilişkin yanlış bir algı oluşmuş durumdadır.
Tüm bu yukarıda belirtilen münhasır avantajlar, BKM'ye piyasa koşullarından
daha farklı bir şekilde ve mesela üyelerimiz açısından astronomik olabilecek
fiyatların çok altında fiyatlarla müşterilere hizmet vermesine olanak
sağlamaktadır.
Öte yandan, kart sahibinin kayıp/çalıntı durumunda ya da periyodik yenileme
süreçlerinde BKM'nin bu kart bilgisini bankadan gelen verilerle otomatik olarak
güncellemesi de müşterinin herhangi bir güncelleme yapmasını
gerektirmediğinden, yine BKM'yi pazarda avantajlı konuma getirmektedir.”
(37) Yine (…..) tarafından gönderilen cevabi yazıda, BKM ile bankalar arasındaki
entegrasyon ve bankalar tarafından BKM’ye sağlanıp da diğer ödeme kuruluşlarına
sağlanmayan imkanlara ilişkin olarak özetle şu değerlendirmelerde bulunulmuştur:
“…söz konusu entegrasyon münhasır olarak sadece bankalar ile BKM
arasında olup, (…..) bankalarla bu yönde benzer entegrasyonları
bulunmamaktadır. Buna karşın, (…..) BKM ile bankalar arasındaki böylesi bir
entegrasyonun (…..) bankalar arasında da kurulabilmesi için farklı tarihlerde
farklı bankalara talepler de iletilmiş olup henüz bu taleplerine olumlu dönüş
(…..) bulunmamaktadır.
Bankalar ile BKM arasındaki bu organik bağ öylesine güçlüdür ki, kart
saklama hizmeti sunan (…..) diğer kuruluşlar bankalardan benzer servisler
istediğinde BKM'ye yönlendirmeler yapılmaktadır. Kart saklama hizmeti
dahilinde ödemenin gerçekleşmesi için bankalara iletilen SMS doğrulamasına
yönelik talepler de isteksizce karşılanmakta olup, çoğunlukla reddedilmektedir.
Bu dahi aslında, BKM'nin ilgili pazardaki sarsılmaz, pozisyonuna en basit
örneği teşkil etmektedir.
BKM altyapısına kart kaydederken, müşteriden sadece ilk 6 ve son 4 hane
bilgisine ek olarak TCKN bilgisi istemekte, bu bilgilerle banka üzerinden
kurulan doğrudan iletişimle kart doğrulaması sağlamakta ve ilgili ödeme bu
doğrultuda alınabilmektedir. Ek olarak, kartın Son Kullanım Tarihi ve
CVV/CVC bilgileri de istenmemekte, Kart Saklama Servisi (token) aracılığıyla
yapılan ödemelerde CVV/CVC dâhil kartla ilgili herhangi bir ek bilgi istemeden
işlemler gerçekleştirilebilmektedir.”
(38) (…..) tarafından gönderilen cevabi yazıda ise, BKM tarafından sunulan kart saklama
hizmetine ilişkin olarak; bu hizmetin en önemli fonksiyonunun kart bilgilerinin tamamı
alınmadan işlem yapılabilmesi olduğu ve bu durumumun kötü niyetli kullanımları
azaltabileceği belirtilmiştir. Yine aynı cevabi yazıda, BKM tarafından sunulan hizmetin
bankalar tarafından gerekli altyapı sağlanması durumunda kendilerinin de sunmak
isteyecekleri özellikler barındırdığı, ancak kendilerinin BKM’nin elde ettiği böylesi bir
sistem/entegrasyona sahip olmadığı ifade edilmiştir.
18-19/337-167
14/27

(39) (…..) tarafından gönderilen cevabi yazıda ise özetle; BKM tarafından sunulan kart
saklama hizmetine eklenen yeniliklerin teknik özelliklerine ve bu yeniliklerin pazara ne
şekilde sunulacağına ilişkin olarak detaylı bilgiye sahip olamamalarından ötürü kart
saklama hizmeti pazarına etkilerine ilişkin değerlendirme yapamayacakları, ancak
pazarın gelişmesi açısından böyle bir hizmetin sağlanmasının faydalı olacağını
düşündükleri ifade edilmiş olup, BKM’nin sahip olduğu entegrasyona benzer bir
entegrasyonun tesisi için bankalara başvuruda bulunmadıkları belirtilmiştir.
(40) (…..) tarafından gönderilen cevabi yazıda özetle; BKM'nin piyasada kart saklama
hizmet sağlayıcısı olarak faaliyet göstermesinin, pazardaki rekabet açısından olumlu
etki yaratacağı ve bu sayede hizmet kalitesinin iyileşeceği ve fiyatların sağlıklı bir
şekilde dengeleneceği, bu hizmete eklenen yeni özelliklerin sektördeki hizmet kalitesini
ve kart hamillerinin veri güvenliklerini arttıracağı, bankaları ile BKM dışındaki bir ödeme
kuruluşuyla aralarında benzer bir entegrasyon bulunmadığı ifade edilmiştir.
(41) (…..) tarafından gönderilen cevabi yazıda özetle; BKM kart saklama hizmetine eklenen
yeniliklerin, veri güvenliğini sağlayacağı, işlem güvenliğini arttırarak sahtecilik ve
dolandırıcılık riskini azaltacağı ifade edilmiştir. Aynı cevabi yazıda ayrıca, (…..) TTNET
ve Türk Telekom gibi kurumlara tahsilat işlemlerinde kullanılmak üzere kart saklama
hizmeti sunduğu, bunun dışında (…..) ile BKM arasında olan entegrasyon dışında
herhangi bir ödeme kuruluşuyla benzer bir entegrasyonlarının bulunmadığı belirtilmiştir.
(42) (…..) tarafından gönderilen cevabi yazıda ise özetle; BKM kart saklama hizmetine
eklenen yeniliklerin piyasaya olumlu yansıyacağı ifade edilirken, (…..) ile ödeme
kuruluşları arasında, BKM ile (…..) arasındaki entegrasyona benzer bir entegrasyonun
bulunmadığı, kendilerine bu yönde ulaşan bir talebin de bulunmadığı belirtilmiştir.
(43) (…..) cevabi yazısında özetle; kart verilerinin üye işyerleri yerine kart saklama hizmeti
veren kuruluşlarca saklanmasının kart hamillerinin veri güvenliğini artıracağı, BKM'nin
sektördeki konumu sayesinde kart bilgileri saklama özelinde sağladığı avantajların kart
saklama hizmeti sunan diğer kurumlara da sağlanmasının gerektiği ifade edilmiş olup,
(…..) iştiraki olan (…..) kart saklama hizmeti sunduğu ve bu hizmetin sanal POS sahibi
olan bütün üye işyerleri için (…..) kartlarına ek olarak diğer tüm bankalara ait kart
bilgilerini de kapsayacak şekilde sunulduğu belirtilmiştir.
(44) (…..) tarafından gönderilen cevabi yazıda ise özetle; BKM kart saklama hizmetine
eklenen yeniliklerin piyasaya olumlu yansıyacağı, BKM’nin yanında BKM ile olan
entegrasyona benzer bir entegrasyonun MASTERCARD ile de kurulmuş olduğu, bu iki
teşebbüs haricinde herhangi bir ödeme kuruluşu ile benzer bir entegrasyonun
kurulmadığı ve kendilerine bu yönde ulaşan bir talebin de olmadığı belirtilmiştir.
G.5. Hukuki Değerlendirme
G.5.1. BKM Kart Saklama Hizmetinin 4054 sayılı Kanun’un 4. Maddesi Açısından
Değerlendirilmesi
(45) Yukarıda açıklandığı üzere BKM, yatay seviyede birbirine rakip konumunda bulunan
bankaların bir araya gelerek oluşturdukları ve ortak karar aldıkları bir teşebbüs birliği
niteliğindedir. Bu bakımdan, her ne kadar anonim şirket statüsünde olsa da, BKM’nin
söz konusu kontrol yapısı ile karar alma mekanizmasının, BKM tarafından hayata
geçirilen uygulamaların rekabet hukuku kapsamında değerlendirilmesinde dikkate
alınması gerekmektedir.
18-19/337-167
15/27

(46) Bildirime konu kart saklama hizmeti, bankaların bir araya gelerek oluşturdukları BKM
çatısı altında sunulan bir hizmettir. Bu hizmetle, esasen teknolojik yeniliklerden
faydalanılarak, bankacılık hizmetlerinin ve özellikle kartlı ödeme işlemlerinin daha
güvenli ve kolay bir şekilde yürütülmesi hedeflenmektedir.
(47) Rekabet hukuku perspektifinden bakıldığında, bankalar arası rekabetin bir parçasını
teşkil eden ve kartlı ödeme hizmetleri ile yakından ilişkili kart verisi saklama hizmetinin,
her bir bankanın kendi bünyesinde oluşturup geliştirilmesi ya da bankaların
birbirlerinden bağımsız olarak dış servis sağlayıcılar ile anlaşıp (“outsource”)
müşterilere sunulması mümkün iken, teşebbüs birliği niteliğinde BKM çatısı altında söz
konusu hizmetin verilmesi, pazardaki rekabetin etkilenmesine yol açmaktadır. Bu
anlamda, teşebbüs birliği niteliğindeki BKM’nin, rakip konumundaki kendi
ortakları/üyelerinin, bankacılık sektöründeki ve bankacılık hizmetlerine yardımcı
nitelikteki ikincil hizmetlerdeki rekabetini etkileyebilecek her türlü iktisadi faaliyetinin
4054 sayılı Kanun’un 4. maddesine aykırı olduğu dile getirilmelidir. Nitekim Kurul’un
BKM Express adı altında yine BKM tarafından sunulan elektronik cüzdan hizmetine
ilişkin kararı ile işbu dosya konusunu teşkil eden BKM kart verisi saklama hizmetine bir
yıl süre ile muafiyet tanıdığı kararında da, söz konusu hizmetlerin teşebbüs birliği
niteliğindeki BKM tarafından sunulması nedeniyle bu uygulamalara menfi tespit belgesi
verilemeyeceği belirtilmiştir.
G.5.2. BKM Kart Verisi Saklama Hizmetinin 4054 sayılı Kanun’un 5. Maddesi
Açısından Değerlendirilmesi
(48) 4054 sayılı Kanun’un 5. maddesi uyarınca herhangi bir rekabet kısıtlamasına bireysel
muafiyet tanınması için iki olumlu ve iki olumsuz koşulun birlikte sağlanması
gerekmektedir. Bu bakımdan işbu dosya kapsamında maddede sayılan her bir şartın
gerçekleşip gerçekleşmediğinin incelenmesine gerek duyulmaktadır.
G.5.2.1. Ekonomik veya Teknik Gelişmenin Sağlanması Şartı
(49) Muafiyet incelemesinde ele alınan olumlu şartlardan ilki, malların üretim veya dağıtımı
ile hizmetlerin sunulmasında yeni gelişme ve iyileşmelerin ya da ekonomik veya teknik
gelişmelerin sağlanması olup, bu hüküm çerçevesinde hangi hallerin ekonomik yarar
olarak kabul edileceği mevcut sistemin özelliklerine göre değişmektedir. Kısaca etkinlik
kazanımı olarak ifade edilebilen dağıtımda, üretimde vb. alanlarda ekonomik/teknik
gelişme ve kazanımlar, üretim ve dağıtım maliyetlerinin düşürülmesi, kalitenin
artırılması, malın arzında devamlılığın sağlanması, yeni piyasalara girişin
kolaylaştırılması ve yeni ürünlerin ya da üretim tekniklerinin bulunması gibi çeşitli
görünümler arz etmektedir. Bu kapsamda, rekabeti kısıtlayıcı bir anlaşmanın muafiyet
korumasından faydalanabilmesi için öncelikle rekabet üzerindeki olumsuz etkisini
bertaraf edebilecek düzeyde bir etkinlik kazanımı sunabilmesi gerekmektedir.6

6 Muafiyetin Genel Esaslarına İlişkin Kılavuz, 22. paragraf
18-19/337-167
16/27

(50) Genel olarak kart verisinin saklanması faaliyetleri, bir ticari ilişkinin7 taraflarından
bağımsız üçüncü bir tarafın, ödeme işleminin gerçekleştirilmesinde kullanılmak üzere
ödeme işleminin gerçekleştirileceği banka veya kredi kartına ait bilgileri belli güvenlik
standartları altında tokenleştirmesi, saklaması ve ödeme işlemi sırasında bu bilgileri
paylaşması faaliyetleri olarak açıklanabilmektedir. Her ne kadar pazarda bu hizmeti
sunan teşebbüsler tarafından katma değerli farklı hizmet çözümleri sunulsa da, bir
işyeri ile tüketici (“business to consumer – B2C”) yahut işyeri ile işyeri arasındaki
(“business to business – B2B”) ticari ilişkilerde ve özellikle tekrarlayan ödemelerde kart
verilerinin işyeri ile paylaşılmadan PCI Veri Güvenliği Standartları’na uygun şekilde bu
işte uzmanlaşmış taraflarca saklanması ve gerektiğinde bu bilgilerin ödeme işleminin
gerçekleşmesi için kullanılması, kart verisi saklama faaliyetinin esasını oluşturmaktadır.
(51) Bu yönüyle kart verisi saklama faaliyetleri, güvenlik kaygısını azaltması, ödeme başarı
oranını arttırması ve kart ile ödemeye yönelik tüketici alışkanlığı oluşturması açısından
kartlı ödemeler ekosisteminin gelişmesine katkıda bulunmaktadır. Kartlı ödemelerin
toplam ödemelerdeki oranının artması ise gerek sahtecilik faaliyetlerinin azalması, kara
para aklanmasının önüne geçilmesi gibi güvenlik temelli konulardaki gerekse de vergi
kaçakçılığının azaltılması, piyasadaki likit akışının arttırılması gibi ekonomik ve mali
konulardaki faydaları ile ülke ekonomisinin geneli üzerinde olumlu etkilere sahiptir. Bu
bakımdan, kartlı ödemelerin kolaylaştırılmasına yönelik kart verisi saklama hizmetinin
hem mikro düzeyde hem de makro düzeyde ekonomik anlamda olumlu etkilerinin
olduğu söylenebilmektedir.
(52) Diğer taraftan, özellikle internet erişiminin yaygınlaşması ve mobil uygulamalara
yönelik artan talep ile birlikte dünyada olduğu gibi ülkemizde de elektronik ticaret (e-
ticaret) artış göstermiş ve bu artışa paralel olarak çevrimiçi alım-satım faaliyetlerine
özgü çözümlerin gerçekleştirilmesi ihtiyacı ortaya çıkmıştır. Örneğin; belli internet
sitelerinden, özellikle de üçüncü taraf satış platformları8 üzerinden alışveriş
gerçekleştirilirken her bir alışveriş için kart bilgilerini paylaşmak yerine, ileriki
dönemlerde de kullanılmak üzere kart verilerinin bir defa paylaşıldıktan sonra bu
verilerin saklanıp gerektiğinde ileriki ödemelerde tüketicinin (kart sahibinin) rızası
dâhilinde otomatik olarak kullanılmasına yönelik bir iş akışı ihtiyacı doğmuştur. Nitekim
e-ticarette en önemli sorunlardan biri olarak görülen ödeme sayfasında ürünün
alımından vazgeçilmesi (alışveriş sepetinin terk edilmesi) sorununun9 başlıca
sebeplerinden biri olarak görülen kart verisini paylaşmakta isteksiz olunması, kart verisi
saklama hizmeti sayesinde büyük ölçüde aşılabilmektedir.
(53) Genel olarak kart verisi saklama hizmetinin faydalarına değindikten sonra bildirime
konu BKM kart verisi saklama hizmetinin incelenmesi gerekmektedir. Çünkü bilindiği
üzere 4054 sayılı Kanun’un 5. maddesinde yer alan muafiyet şartlarından biri olan
malların üretim veya dağıtımı ile hizmetlerin sunulmasında yeni gelişme ve
iyileşmelerin ya da ekonomik veya teknik gelişmenin sağlanması şartının karşılanıp
karşılanmadığının tayini için anlaşmayla ortaya çıkacak etkinlik kazanımlarının olup
olmadığının araştırılması gerektirmektedir. Bu durum ise, anlaşma ve iddia edilen
etkinlikler arasındaki illiyet bağının incelenmesini iktiza etmektedir.

7 Örneğin; bir ürünün satın alınması yahut bir hizmetten faydalanılması.
8 Örneğin; Hepsiburada, N11 ve Sahibinden çevrimiçi satış platformları.
9 Sepet terk etme (“Drop Out”), e-ticarette yaygın olarak karşılaşılan bir sorundur. Statista’nın 2016’da
yaptığı araştırmaya göre tüm dünyada bu oran, ortalama % 68.63’tür, bkz.
ticarette-sepet-terk-etmeyi-olcmenin-4-yolu/ (son erişim tarihi: 04.06.2018).
18-19/337-167
17/27

(54) BKM kart verisi saklama hizmeti incelendiğinde, yukarıda ifade edildiği üzere, bu
hizmetin esasını, özellikle tekrarlayan ödemeler10 alan sektörlerde gerçekleşen
ödemeler kapsamında, kart verilerinin belli güvenlik standartlarında ve belirli bir
özellikte saklanması faaliyeti oluşturmaktadır. Nitekim Kurul’un 23.03.2017 tarih ve 17-
11/134-61 sayılı kararı ile tanınan bir yıllık bireysel muafiyette, BKM’nin “belirli
özellikleri haiz” ve “diğer ödeme kuruluşlarından farklı bir yöntem” ile söz konusu
hizmeti vermesinin teknik bir gelişme olarak kabul edilmesinin önemli bir payı
bulunmaktadır. Bir başka deyişle, zaten kart saklama hizmetini sunan ödeme
kuruluşlarının mevcudiyeti altında bankaların bir araya gelmesinden oluşan BKM’nin bu
hizmeti sağlayabilmesi, ancak bireysel muafiyet şartlarının sağlanması ile mümkün
olacaktır. Ancak geçen bir yıllık süreçte söz konusu “farklılığın”, BKM’nin sağladığı
teknik bir gelişmeden ziyade, BKM’nin ortaklarının bankalar olması ve bankaların,
rakipleri ödeme kuruluşlarına sağlamadıkları entegrasyonu BKM’ye sağlamalarından
kaynaklandığı anlaşılmaktadır.
(55) Yukarıda yer verildiği üzere, BKM kart saklama hizmetini kart verisi saklamaya yönelik
pazardaki diğer hizmetlerden ayrıştıran ve BKM kart verisi saklama hizmetini katma
değerli hale getiren birtakım ilave çözümler/imkânlar, BKM tarafından kullanıcılara
sunmaktadır. Bu bakımdan, öncelikle söz konusu katma değerli hizmetlerin neler
olduğunun ortaya konması ve sonrasında bu katma değerli hizmetlerin, muafiyetin
koşulu olan etkinlik kazanımlarını doğurmaya elverişli ve uygun olup olmadığının
incelenmesi gerekmektedir.
(56) BKM tarafından verilen kart saklama hizmetini diğer oyunculardan ayıran üç temel
özellik; “kullanıcılardan hassas bilgilerin talep edilmemesi”, “kartların son kullanma
tarihlerinin otomatik olarak güncellenmesi” ve “bankalardan doğrudan bankada kayıtlı
cep telefonu numaralarına gönderilen işlem güvenliğine yönelik SMS” uygulamasıdır.
Söz konusu hizmetlerin tamamı, diğer ödeme kuruluşlarının hiçbirisinde olmayan
bankalar ile BKM arasında mevcut entegrasyona dayanmaktadır.
(57) BKM kart verisi saklama hizmetini diğer kart verisi saklama hizmetlerinden ayrıştıran ve
bu hizmeti farklı kılan özelliklere bakıldığında, BKM tarafından sunulan kart kayıt
servisinde (token alma) “BKM Express” sistemine uyumlu kartlar bakımından, kartın ilk
altı ve son dört hanesi ve kart sahibinin TCKN bilgisinin paylaşılmasının yeterli olup
kart bilgilerinin tamamının (16 numaralık kart hanesi ve son kullanma tarihi) yani
hassas kart verisinin paylaşılmasına gerek duyulmamasını sağlayan iş çözümü ön
plana çıkmaktadır. Yukarıda “BKM Kart Verisi Saklama Hizmetine Dair Bilgiler”
başlığında detaylıca anlatıldığı üzere bu özellik, BKM tarafından sunulan dijital cüzdan
hizmeti11 olan ve Kurul’un muafiyet tanıdığı “BKM Express” sistemine uyumlu kartlar
için geçerlidir.12 Bu yönüyle, “BKM Express” sistemiyle uyumlu kartların saklanması
işleminde hassas kart verisinin hiçbir şekilde işyerleriyle paylaşılmaması, BKM

10 Tekrarlayan ödemeler, sigorta poliçelerinin yenilenmesi, spor salonu üyelik aidatlarının ödenmesi
yahut site aidatlarının ödenmesi gibi bir yıl, altı ay vb. sürelerde düzenli aralıklarla tekrarlayan ödemeleri
ifade ettiği gibi (düzenli tekrarlayan ödemeler), aynı alışveriş sitesinden farklı zamanlarda ürün satın
alınması gibi belli dönemlere bağlı kalmadan gerçekleştirilen tekrarlayan ödemeleri de ifade etmektedir
(düzensiz tekrarlayan ödemeler).
11 Dijital Cüzdan Hizmeti: Kullanıcıların farklı bankalara ait birden çok banka/kredi kartını tek bir
uygulama üzerine tanımladıkları ve ödeme işlemi sırasında sadece hangi banka/kredi kartı ile ödeme
yapacaklarını seçip kart bilgilerini paylaşmadan anlaşmalı işyerlerinden alışveriş yapabildikleri sistem.
12 Bir dijital cüzdan hizmeti olan “BKM Express” uygulamasına kayıt olmak için kart sahibinin kartının ilk
altı ve son dört hanesi ile kart sahibinin T.C. kimlik numarası bilgisinin girilmesi yeterli olmakta ve
ödeme işleminin gerçekleşmesi esnasında gereken diğer kart bilgileri, BKM’nin bankalar ile arasında
tesis ettiği entegrasyon sayesinde ilgili kartı çıkaran bankadan elde edilmektedir.
18-19/337-167
18/27

tarafından sunulan kart verisi saklama hizmetinin tüketiciler nezdindeki güvenirlik
algısını yükseltmektedir.
(58) BKM kart verisi saklama hizmetini katma değerli hale getiren bir diğer nitelik ise, yine
“BKM Express” sistemine uyumlu kartlarla gerçekleştirilecek ödeme işlemlerinde, bu
kartların son kullanma tarihi bilgisinin otomatik güncellenebilmesi özelliğidir. Verisi
saklanmak üzere bir kartın kaydedilmesi anındaki son kullanma tarihinin ödeme işlemi
esnasında geçerliliğini yitirmiş olması durumunda ödeme işlemi gerçekleşmemekte ve
kart sahibinden kartın güncel son kullanma tarihi elde edilmeye çalışılmaktadır. Bu
durum ise kart saklama hizmetinden beklenen faydaların elde edilmesini zorlaştıran bir
husustur. Pazardaki diğer kart saklama hizmetlerinde olmayan “kartın güncel son
kullanma tarihinin otomatik elde edilmesi” özelliği, tahsilat başarı oranının artmasına
katkıda bulunarak hem tüketiciler hem de işyerleri açısından fayda sağlamaktadır.
(59) BKM kart verisi saklama hizmetini pazardaki diğer kart verisi saklama hizmetlerinden
farklılaştıran bir başka özellik, “SMS OTP” ile doğrulama seçeneğinin sunulmasına
yönelik iş çözümüdür. Hâlihazırda kart saklama hizmeti veren diğer kuruluşların da
sunabileceği SMS OTP ile doğrulama hizmetinin BKM özelinde farklılaşmasının nedeni
ise BKM’nin bankalar ile mevcut entegrasyonu sayesinde kart sahibinin telefonuna
gönderilen şifrenin doğrudan kartı çıkaran banka tarafından kart sahibinin bankada
bulunan güncel telefon numarasına gönderilmesidir. Örneğin; SMS OTP özelliğiyle kart
saklama hizmeti veren A şirketi müşterisine, ödeme işlemi esnasında A şirketinden
gelen SMS ile doğrulama şifresi gönderilirken, BKM’den bu hizmeti alan bir kullanıcıya
doğrulama şifresi doğrudan kartın ait olduğu banka tarafından gönderilen SMS ile
iletilmektedir. Kart numarasının ilk altı, son dört hanesi ve TCKN bilgisiyle kayıt altına
alınan kartlar için geçerli olan bu özellik sayesinde, gerek kartın kayıt işlemi
aşamasında gerek bu kartla gerçekleştirilen ödeme işlemi esnasında kart sahibi
doğrudan bankasından gelen şifreyi almaktadır. Bu özellik, tüketiciler nezdinde
BKM’nin sunduğu hizmetin daha güvenli olduğu algısını oluşturmaktadır.
(60) Yukarıda yer verilen açıklamalar doğrultusunda, BKM tarafından sunulan kart verisi
saklama hizmetini, pazardaki diğer kart verisi saklama hizmetlerinden ayrıştıran ve
BKM tarafından sunulan hizmeti katma değerli hale getiren nitelikleri tekraren şu
şekilde sıralamak mümkündür:
- Hassas kart verisinin işyerleri ile paylaşılmadan kart verisinin saklanabilmesi,
- Kartın güncel son kullanma tarihinin otomatik elde edilebilmesi,
- SMS OTP hizmetinin bankalar üzerinden gerçekleştirilebilmesi.
(61) Söz konusu her üç katma değerli hizmetin sunulabilmesinin temel altyapısını, BKM ile
BKM üyesi bankalar arasındaki entegrasyon teşkil etmektedir. BKM, bankalar ile ayrı
ayrı anlaşmak ve böylelikle bankacılık altyapısını kullanmak suretiyle yukarıda yer
verilen hizmetleri, kendi kart verisi saklama hizmetine dâhil etmektedir. Bankalar, BKM
ile tesis ettikleri entegrasyon ile kendi bilgi havuzlarından (ör. kart numarasının 16
hanesi ve kartın güncel son kullanma tarihi) BKM’nin faydalanmasını sağlamaktadır.
Diğer bir deyişle, BKM, bankalarla sağladığı entegrasyon üzerinden bankalardan elde
ettiği hizmeti, kendi müşterilerine yani işyerlerine sunduğu kart saklama hizmetinde bir
girdi olarak kullanmakta ve sunduğu kart saklama hizmetini katma değerli hale
getirmektedir. Bu yönüyle BKM ile bankalar arasında BKM’nin alıcı, bankaların ise
sağlayıcı konumunda bulunduğu dikey bir ilişkinin olduğunu söylemek mümkündür.
18-19/337-167
19/27

(62) Kart verisi saklama hizmetinde yer alan katma değerli söz konusu hizmetlerin, kart
bilgilerinin güvenlikli bir şekilde saklanması ve tahsilat başarı oranının artmasına
hizmet etmesi yönüyle pazarda etkinlik doğurduğu muhakkaktır. Keza, bildirim
Formunda ifade edildiği üzere kartlı ödemelerin ülke ve dünya ekonomilerine katkıları
da dikkate alındığında, bildirime konu kart saklama hizmeti, kartlı ödemelere ilişkin
güvenlik risklerini bertaraf etmek, tahsilatların hızla gerçekleşmesini sağlamak,
tahsilatlarda başarı oranını artırmak ve finansal kayıpların önüne geçmek suretiyle
etkinlik kazanımı sağlamaktadır. Ancak Muafiyetin Genel Esaslarına İlişkin Kılavuz’un
26 ve 27. paragraflarında belirtildiği üzere, rekabeti sınırlayıcı anlaşma ile öne sürülen
etkinlikler arasında doğrudan bir illiyet bağının ortaya konması, diğer bir deyişle,
etkinlik kazanımlarının rekabeti sınırlayıcı anlaşma ile hedeflenen faaliyetlerden
kaynaklanıyor olmasının ortaya konması gerekmektedir. Rekabeti sınırlayıcı anlaşma
ile ortaya çıkan dolaylı etkilerin ise, 5. madde kapsamında değerlendirmeye konu
olacak mahiyette etkinlik kazanımı olarak nitelendirilmesi mümkün değildir.
(63) BKM’nin sunduğu kart verisi saklama hizmetinin pazarda gösterebileceği etkinlik
artışlarına bakıldığında, bu etkinliklerin bir kısmının esasen BKM’nin bankalarla
kurduğu entegrasyondan ve dikey ilişkiden kaynaklandığı görülmektedir. Etkinlik
kazanımlarının diğer kısmının ise, kart saklama hizmetinin doğasından kaynaklanan ve
sadece BKM’nin değil, pazardaki diğer teşebbüslerin de sunduğu kart saklama
hizmetinin bir sonucu olarak ortaya çıkan etkinlik kazanımları olduğu anlaşılmaktadır.
(64) Bu bakımdan, kart saklama hizmeti sunan diğer teşebbüslerin de bankalarla benzer bir
dikey ilişki kurması durumunda13 elde edilebilecek etkinlik kazanımları dahi, bankalar
arasındaki rekabetin bir parçasını teşkil eden hizmeti, bankaların ortak bir şekilde
geliştirmesini, fiyatlandırmasını ve nihayetinde pazarlamasını makul gösterecek
nitelikte değildir. Nitekim defaten belirtildiği üzere, 4054 sayılı Kanun’un 5. maddesi
kapsamındaki bir etkinlik kazanımından bahsetmek için kart saklama hizmetini her bir
bankanın salt kendisinin sunması yerine, BKM çatısı altında rakipleriyle ortak bir
şekilde sunmasından doğan bir etkinlik artışının sağlanması gerekmektedir. Yürütülen
incelemeler ve elde edilen bilgiler doğrultusunda ise işbu dosya kapsamında kart verisi
saklama hizmetinin BKM tarafından verilmesine özgü ve BKM tarafından bu hizmet
verilmediği takdirde elde edilemeyecek herhangi bir etkinlik kazanımına
rastlanmamıştır. Bankaların diğer ödeme kuruluşlarına da benzer şekilde entegrasyon
hizmeti vermesi durumunda aynı etkinlik kazanımlarının elde edilmesi mümkündür. Bu
anlamda, BKM’nin sunduğu hizmete özgü teknik ve ekonomik bir gelişme, ancak
bankaların söz konusu hizmeti BKM’ye vermesi ve diğer ödeme kuruluşlarına
vermemesi halinde ortaya çıkmaktadır. Bu durum ise hem BKM ve ödeme kuruluşları
hem de bankalar ile ödeme kuruluşları arasındaki rekabeti doğrudan etkilemektedir.
Üstelik BKM’yi oluşturan bankalardan bazılarının bu hizmeti hâlihazırda vermesi ve
diğerlerinin de potansiyel olarak bunu verebilecek olması, BKM ve bankalar arasındaki
potansiyel ve hatta doğrudan rakiplik ilişkisini de ortaya çıkarmaktadır. Oysaki BKM’nin
temel işlevi, kartlı işlemlere yönelik olarak ortaya çıkan takas işlemlerinin yerine
getirilmesidir.
(65) Bu çerçevede BKM bünyesinde, kart saklama hizmetinin sunumu noktasında 4054
sayılı Kanun’un 5. maddesi anlamında etkinlik kazanımlarının sağlanmadığı ve bu
yönüyle bildirim konusu uygulamanın 4054 sayılı Kanun’un 5. maddesinin birinci
fıkrasının (a) bendindeki şartı karşılamadığı değerlendirilmektedir.

13 Hâlihazırda bu dikey ilişkinin neden kurulamadığına yönelik açıklamalara aşağıda “G.5.2.3. Piyasanın
Önemli Bir Bölümünde Rekabetin Ortadan Kalkmaması Şartı” başlığında yer verilmiştir.
18-19/337-167
20/27

G.5.2.2. Tüketici Yararının Sağlanması Şartı
(66) Muafiyetin ikinci şartı, ortaya çıkan etkinlik kazanımlarından tüketicilerin de yarar
sağlamasını aramaktadır. Söz konusu şartın gerçekleşmesi, 4054 sayılı Kanun’un 5.
maddesinin birinci fıkrasının (a) bendindeki şarta yani rekabeti sınırlayıcı anlaşma
neticesinde etkinlik elde edilmesi şartına bağlı olup, ancak etkinlik kazanımının söz
konusu olduğu bir durumda bu etkinlik artışından tüketicilerin fayda sağlayıp
sağlamadığı araştırılmaktadır.
(67) Etkinlik kazanımına ilişkin şartın gerçekleşip gerçekleşmediğinin analizine ilişkin
yukarıda yer verilen açıklamalarda belirtildiği üzere, rekabeti sınırlayıcı anlaşma ile öne
sürülen etkinlikler arasında doğrudan bir illiyet bağının ortaya konması, diğer bir
deyişle, etkinlik kazanımlarının anlaşma ile hedeflenen faaliyetlerden kaynaklanıyor
olmasının ortaya konması gerekmektedir. PCI Veri Güvenliği Standartları’na sahip
herhangi bir kuruluş ile bankalar arasında BKM’nin sahip olduğu şekilde bir
entegrasyonun tesisi durumunda da ortaya çıkabilecek, yahut kart verisi saklama
hizmetinin doğasından kaynaklanıp bu hizmetin BKM tarafından sunulmasına özgü
olmayan etkinlik kazanımları, 4054 sayılı Kanun’un 5. maddesi kapsamında
görülebilecek etkinlik kazanımları değildir. Bu bakımdan, muafiyetin ilk koşulu olarak
etkinlik kazanımının gerçekleştiğine yönelik bir bulguya rastlanılmaması nedeniyle
bildirime konu uygulama neticesinde tüketicilerin fayda sağlamasından da
bahsedilemeyecektir. Çünkü BKM’nin etkinlik kazanımları, rakip konumundaki ödeme
kuruluşlarının pazara girişinin engellenmesi ya da pazardaki faaliyetlerinin
zorlaştırılması pahasına ortaya çıkmaktadır. Üstelik bu durum, BKM’nin ortakları olan
bankaların birçok alanda rakibi konumunda olan ödeme kuruluşlarının birden fazla
pazarda faaliyetlerinin zorlaştırılmasına yol açabilecek kadar büyük bir etkiye sahiptir.
Tüm bu nedenlerle, rakip bankaların BKM çatısı altında ortak bir şekilde sundukları kart
verisi saklama hizmetinin, ortaya çıkan etkinlik kazanımlarından tüketicilerin yarar
sağlamasına yönelik muafiyet koşulunu karşılamadığı değerlendirilmektedir.
G.5.2.3. Piyasanın Önemli Bir Bölümünde Rekabetin Ortadan Kalkmaması Şartı
(68) Bildirime konu uygulamanın muafiyet alması için gerekli olan bir diğer şart, piyasanın
önemli bir bölümünde rekabetin ortadan kalkmamasıdır. Bu şartın karşılanıp
karşılanmadığının analizi, kart verisi saklama pazarındaki rakiplerin durumu, bu
rakiplerin BKM üzerinde oluşturduğu rekabetçi baskının seviyesi ve anlaşmanın
mevcut rekabetçi yapı üzerindeki etkisinin incelenmesini gerektirir.
(69) Pazarda kart verisi saklama hizmeti veren teşebbüslere bakıldığında, bu hizmeti veren
teşebbüslerin bankalar ve banka dışı teşebbüsler şeklinde ikiye ayrıldığı görülmektedir.
Banka dışı teşebbüsler, bankacılık lisansına sahip olmayıp mevduat toplama ve kredi
kullandırma gibi klasik bankacılık faaliyetlerini yürütememektedir. Söz konusu
teşebbüsler, 6493 sayılı Kanun uyarınca lisanslı ödeme kuruluşu statüsünde faaliyet
gösteren teşebbüsler olabileceği gibi ödeme hizmetinden bağımsız bir şekilde kart
verisi saklama hizmeti veren teşebbüsler de olabilmektedir. Bu bakımdan, BKM
tarafından sunulan kart verisi saklama hizmetine mukabil, pazarın önemli bir
bölümünde rekabetin devam edip etmediğinin tespiti için hem bankalar tarafından
sunulan kart verisi saklama hizmetinin hem de banka dışı kuruluşlar tarafından sunulan
kart verisi saklama hizmetinin incelenmesi gerekmektedir.
18-19/337-167
21/27

(70) Öncelikle kart verisi saklama hizmeti pazarındaki bankaların faaliyetlerine bakıldığında,
tüm bankaların kart verisi saklama faaliyetinde bulunmadığı, bu faaliyeti yürüten
bankaların bir kısmının söz konusu hizmeti sadece kendi ihraç ettiği kartlar özelinde
sunduğu, bankaların diğer bir kısmının ise bu hizmeti tüm banka kartları için sunduğu
görülmektedir.
(71) Kart saklama hizmetine yönelik BKM’ye tanınan bir yıllık muafiyet sürecinde pazardaki
gelişime bakıldığında, özellikle tekrarlayan ödemelerin alındığı en önemli sektörlerden
biri olan sigorta sektörüne yönelik kart verisi saklama hizmetinde BKM’nin pazarda en
önemli oyuncu olduğu ve bankaların bu alanda BKM ile rekabet edecek düzeyde
faaliyet göstermediği görülmektedir. BKM bu süreçte, Allianz Sigorta A.Ş., Axa Sigorta
A.Ş., Güneş Sigorta A.Ş., Neova Sigorta A.Ş. ve Ethica Sigorta A.Ş. gibi önemli sigorta
şirketleriyle anlaşarak bu şirketlere kart verisi saklama hizmeti sunmaktayken,
bankaların bu alanda kayda değer bir faaliyeti oluşmamıştır. Hâlihazırda bildirim
konusu uygulamanın diğer sektörlere de genişletilmesinin planlandığı göz önüne
alındığında, benzer bir tablonun bu sektörler özelinde de oluşması beklenebilecektir.
Nitekim BKM’nin esasen bankaların oluşturduğu bir yapı olması nedeniyle, BKM’nin
anlaşma sağladığı bir işyeri ile bankaların da anlaşma yapmaya çalışması ve BKM’ye
etkin bir rekabetçi baskı oluşturmaya çalışması mümkün gözükmemektedir.
(72) Diğer taraftan, rakip konumundaki bankaların BKM çatısı altında kart verisi saklama
hizmetini ortak bir şekilde sunması, her bir bankanın bu hizmeti bağımsız ve rekabet
eder bir şekilde sunma güdüsünü azaltabilecek bir husus olarak ön plana çıkmaktadır.
Nitekim (…..)’den gelen cevabi yazıda, kart verisi saklama hizmetinin sunumunda
BKM’nin altyapısının kullanılması amacıyla BKM ile görüşmeler yürütüldüğü
bildirilmiştir. Bu durum ileride bankaların tamamıyla bu hizmeti BKM’den alacakları
altyapı üzerinden sunmalarına ve kart verisi saklama hizmetinde bankaların büyük
ölçüde BKM çatısı altında ortak bir şekilde faaliyet göstermesine neden olabilecektir.
Böylesi bir tablo, bankalar arası rekabetin bir parçasını teşkil eden kart verisi saklama
hizmetinde rekabetin büyük ölçüde azalmasını beraberinde getirecek bir husus olarak
değerlendirilmektedir.
(73) Kart verisi saklama hizmeti veren banka dışı kuruluşlara bakıldığında, BKM’den ve
birçok bankadan önce bu hizmeti vermeye başlayan kuruluşların pazarda faaliyet
gösterdiği görülmektedir. Her ne kadar bankacılık lisansına sahip olmamaları nedeniyle
mevduat toplama ve kredi verme gibi temel bankacılık faaliyetlerini gösteremeseler de,
başta ödeme kuruluşları ve elektronik para kuruluşları olmak üzere çeşitli kuruluşlar,
özellikle ödeme hizmetleri sektöründe bankalarla rekabet eder hizmetler geliştirmekte
ve hem nihai tüketicilere hem de işyerlerine bu hizmet ve iş çözümlerini
pazarlamaktadır (ör. sanal pos kurulumları, dijital cüzdan hizmetleri ve kart verisi
saklama hizmetleri). Küresel ölçekte PayPal ve Türkiye özelinde (…..) gibi markalar
altında faaliyet gösteren örnekleri olan bu kuruluşlar, başta ödeme hizmetleri alanında
olmak üzere, bankalar ile rekabet ederken yine bu hizmetleri verirken büyük ölçüde
bankacılık altyapısını kullanma zorunluluğu altındadır. Nitekim bir ödeme işleminin
nihai olarak banka hesapları arasında havale ya da EFT ile sonuçlanması, banka dışı
ödeme hizmeti sağlayıcısı kuruluşlar tarafından geliştirilip pazarlanan katma değerli
hizmetlerin sunumunda, bir noktada bankaların sahip olduğu altyapıdan
faydalanılmasını gerektirmektedir.
18-19/337-167
22/27

(74) Bu bakımdan, ödeme ile ilişkili birçok hizmet çeşidinde banka dışı ödeme hizmeti
sağlayıcısı kuruluşlar ile bankalar arasında yatay bir rakiplik ilişkisi mevcutken, aynı
zamanda bankaların sağlayıcı, banka dışı ödeme hizmeti sağlayıcısı kuruluşların ise
alıcı konumunda bulunduğu bir dikey ilişki bulunmaktadır. Bu durum ise banka dışı
ödeme hizmeti sağlayıcısı kuruluşların bankacılık altyapısını kullanması noktasında
bankalarca birtakım zorluklar çıkarılmasını yahut bu kuruluşların faaliyet göstermesini
güçleştiren birtakım standartların belirlenmesini beraberinde getirmektedir.14
(75) Örneğin; Alman Rekabet Otoritesi Bundeskartellamt’ın Alman Bankacılık Endüstrisi
Komitesinin çevrimiçi bankacılık alanındaki standartlarına ilişkin aldığı kararda, söz
konusu standartların farklı ödeme hizmeti sağlayıcıları arasındaki rekabeti bozucu
nitelikte olduğu ve banka dışı rakiplerin pazardan dışlanması sonucunu doğurduğu
belirtilmiştir15.
(76) Kurul’un Bonus marka kredi kartı programına ilişkin 07.09.2017 tarih ve 17-28/462-201
sayılı kararında ise, GARANTİ ile platform ortağı bankalar arasındaki sözleşmelerde
yer alan alt lisanslamayı yasaklayan hükümlerin, ödeme kuruluşlarını üye işyeri edinimi
pazarından dışlayacak nitelikte olması nedeniyle Bonus kredi kartı program paylaşımı
sözleşmelerinin 4054 sayılı Kanun’un 5. maddesinin birinci fıkrasının (a) ve (b)
benlerindeki amaçların elde edilmesi için rekabetin zorunlu olandan fazla
sınırlanmaması koşulunu karşılamadığı belirtilmiştir16. Yine aynı Kurul kararında,
GARANTİ’nin ödeme kuruluşlarını üye işyeri edinme pazarında rakip olarak görmesi ve
bu kuruluşların getirdiği iş modelinin yaygınlaşmasından duyduğu endişeler nedeniyle
bu kuruluşlar ile işbirliklerinin geliştirilmesine olumsuz yaklaştığı ifade edilmiştir.
(77) Bankaların çeşitli alanlarda banka dışı ödeme hizmeti sağlayıcılarını dışlayıcı
davranışları, bu alanlarda düzenleyici müdahaleyi gerekli kılmıştır. Ödeme hizmetleri
sektöründe faaliyet gösteren bankalar ile banka dışı kuruluşlar arasındaki ilişkileri
düzenleyen kurallara bakıldığında, Avrupa Birliği Komisyonunun Aralık 2015 itibarı ile
yayımlanıp yürürlüğe giren Ödeme Hizmetleri Direktifi 2 (Payment Services Directive 2
– PSD2) dikkat çekmektedir. 2007 yılında yürürlüğe giren Ödeme Hizmetleri Direktifi
1’in17 (PSD1) pazardaki gelişmelere cevap vermekte zorlanması ve pazarın yeni
dinamiklerine uygun bir düzenlemeye ihtiyaç duyulması nedeniyle hazırlanan PSD2,
bankalar ile ödeme kuruluşları/ödeme hizmeti sağlayıcıları arasındaki ilişkileri yeniden
şekillenmiştir. PSD2’nin getirdiği en büyük yenilik ise, “hesaplara erişim hakkı” (right to
gain access to accounts) olarak ifade edilen ve yeni servis sağlayıcıların belli koşullar
altında kullanıcıların bankalardaki ödeme hesaplarına erişimini mümkün kılan
düzenlemedir.18 Buna göre, ödeme işlemlerinde bankalar, gereken güvenlik şartlarını
yerine getiren yeni servis sağlayıcıların hesap sahibinin hesap bilgilerine ulaşabilmesi19
adına, bu kuruluşlara hizmet verme yükümlülüğü altına girmiştir.20 Böylelikle
bankaların, klasik bankacılık hizmetlerinin yanı sıra, üçüncü taraf ödeme hizmeti
sağlayıcılara platform hizmeti vermesi öngörülmüştür. PSD2 düzenlemesiyle birlikte,
bankalar gibi klasik hizmet sağlayıcıların yanı sıra, yeni hizmet sağlayıcıların da
pazarda yer edinme fırsatı elde edeceği ve rekabetin artması sonucuna bağlı olarak

14 Bu tip pazar aksaklıklarının yaşandığı bir diğer örnek olarak telekomünikasyon sektörü gösterilebilir.
15
ort%C3%BCberweisung.html
16 07.09.2017 tarih ve 17-28/462-201 sayılı Kurul kararı 154. paragraf
17 6493 sayılı Kanun, büyük ölçüde PSD1’e uyumluluk arz edecek şekilde hazırlanmıştır.
18 PSD2, m. 36
19 Söz konusu erişim hakkının, hesap sahibinin onayı doğrultusunda verilmesi öngörülmektedir.
20 Bankaların söz konusu hizmeti bir uygulama programı arayüzü (Application Programming Interface -
API) ile vermesi öngörülmektedir.
18-19/337-167
23/27

sunulan hizmetlerin çeşitlenip teknolojik yeniliklerle birlikte daha erişilebilir ve kullanıcı
dostu olacağı ifade edilmektedir.
(78) Bildirime konu uygulama ve pazardaki etkilerinin incelenmesi sürecinde, banka dışı
ödeme kuruluşlarının da, BKM ile bankalar arasındaki mevcut entegrasyona benzer bir
yapıda bankalardan altyapı hizmeti alıp alamadığına yönelik araştırma yürütülmüş ve
bu kapsamda pazarda faaliyet gösteren banka dışı birçok ödeme hizmeti sağlayıcısı
kuruluştan bilgi istenmiştir. Keza, çeşitli ödeme hizmeti sağlayıcısı kuruluşların
yetkilileri ile görüşmeler gerçekleştirilmiştir. Gelen cevabi yazılar ile yapılan
görüşmelerde elde edilen bilgilerde, bu kuruluşların, BKM ile bankalar arasındaki
entegrasyona benzer bir altyapı hizmetini bankalardan temin edemediği, bankaların
hâlihazırda söz konusu altyapı hizmetini münhasıran BKM’ye vermek suretiyle kart
verisi saklama hizmeti pazarında BKM’yi öne çıkardıkları vurgulanmıştır. Söz konusu
altyapı hizmetinin, esasen bankaların bir araya gelmesiyle oluşan BKM’ye münhasıran
verilmesi suretiyle bu alanda banka dışı ödeme hizmeti sağlayıcı kuruluşların
faaliyetlerinin zorlaştırıldığı ve bunun sonucunda pazardaki rekabetin zarar gördüğü
ifade edilmiştir.
(79) Örneğin, (…..)’nun cevabi yazısında, hâlihazırda ödeme hizmeti ve bunun yanında kart
verisi saklama hizmetini (…..)’dan alan müşterilerin bir kısmının, BKM kart verisi
saklama hizmetinin sağladığı avantajlardan faydalanmak istediklerini (…..)’ya bildirdiği,
ancak (…..)’nun bankalara yönelttiği entegrasyon talebi kabul görmediği için
müşterilerin bu taleplerinin yerine getirilemediği ifade edilmiştir. (…..) tarafından
entegrasyon taleplerinin yöneltildiği bankalara ve bu taleplerin sonuçlarına Tablo 2’de
yer verilmektedir:
Tablo 2: Entegrasyon Talepleri ve Sonuçları
Banka Talep Tarihi Cevap Cevap Tarihi
(…..) (…..) Ret (…..)
(…..) (…..) Cevapsız
(…..) (…..) Cevapsız
(…..) (…..) Cevapsız
(…..) (…..) Ret (…..)
(…..) (…..) Ret, farklı servise yönlendirme (…..)
(80) Nitekim bir yıllık muafiyet süresi içerisindeki gelişmelere bakıldığında, hemen hemen
sigorta sektörünün tamamına bu hizmetin BKM tarafından verilir hale geldiği
görülmektedir. Bildirime konu uygulamanın diğer sektörler için de sunulmasının
planlandığı göz önüne alındığında, bu sektörler için sunulan kart verisi saklama
hizmetinin de büyük ölçüde BKM tarafından verilmesi ve pazardaki rekabetin
kaybolması sonucunu ortaya çıkarabilecektir.
(81) Örneğin, (…..)’in cevabı yazısındaki “söz konusu entegrasyon münhasır olarak sadece
bankalar ile BKM arasında olup, (…..) bankalarla bu yönde benzer entegrasyonları
bulunmamaktadır. Buna karşın, (…..) BKM ile bankalar arasındaki böylesi bir
entegrasyonun (…..) bankalar arasında da kurulabilmesi için farklı tarihlerde farklı
bankalara talepler de iletilmiş olup henüz bu taleplerine olumlu dönüş (…..)
bulunmamaktadır. Kaldı ki, bankalar ile BKM arasındaki bu organik bağ öylesine
güçlüdür ki, kart saklama hizmeti sunan (…..) diğer kuruluşlar bankalardan benzer
servisler istediğinde, BKM’ye yönlendirmeler yapılmaktadır. Kart saklama hizmeti
dâhilinde ödemenin gerçekleşmesi için bankalara iletilen SMS doğrulamasına yönelik
talepler de isteksizce karşılanmakta olup, çoğunlukla reddedilmektedir. Bu dahi
aslında, BKM’nin ilgili pazardaki sarsılmaz pozisyonuna en basit örneği teşkil
etmektedir.” şeklindeki açıklama, bankaların BKM’ye sağlamış olduğu altyapıyı diğer
18-19/337-167
24/27

ödeme hizmeti sağlayıcısı kuruluşlara vermekte isteksiz davrandığı iddiasını destekler
niteliktedir.
(82) (…..)’nun cevabi yazısında yer alan “BKM ile bankalar arasındaki entegrasyonun
şirketimizle bankalar arasında da kurulabilmesi için farklı tarihlerde farklı bankalara
ilettiğimiz taleplere henüz olumlu dönüş almamış durumdayız.” şeklindeki açıklamalar
ve benzer yöndeki farklı ödeme hizmeti sağlayıcısı kuruluşlar tarafından paylaşılan
bilgiler21 ile (…..) tarafından sunulan ve (…..)’nun bankalardan bu entegrasyonu talep
ettiğini ancak bankaların bu talebi ya reddettiğini ya da cevapsız bıraktığını gösteren e-
posta yazışmaları, BKM ile bankalar arasındaki entegrasyonun, bankalar ile banka dışı
ödeme hizmeti sağlayıcısı kuruluşlar arasında da tesis edilmesi noktasında bankaların
olumsuz yaklaşımını ortaya koyar mahiyettedir.
(83) Bankalar ile banka dışı ödeme hizmeti sağlayıcısı kuruluşlar arasındaki ilişkiyi ortaya
koyan yukarıda yer verilen açıklamalar doğrultusunda, bildirime konu kart verisi
saklama hizmetinde bankalar ile BKM arasında tesis edilen entegrasyonun, kart verisi
saklama hizmeti veren diğer kuruluşlar ile tesis edilmediği görülmektedir. BKM
tarafından sunulan kart verisi saklama hizmetini katma değerli hale getiren; a) hassas
kart verisinin işyerleri ile paylaşılmadan kart verisinin saklanabilmesi, b) kartın güncel
son kullanma tarihinin otomatik elde edilebilmesi ve c) SMS OTP hizmetinin bankalar
üzerinden gerçekleştirilebilmesi özelliklerinin tümü, BKM’nin bankalar ile tesis ettiği
entegrasyon sayesinde gerçekleşmekte ve aynı entegrasyondan yoksun pazardaki
diğer kart verisi saklama hizmetlerine karşı BKM’nin sunduğu hizmeti üstün
kılmaktadır. Buna bağlı olarak, müşteriler nezdinde söz konusu hizmetin BKM’den
alınması seçeneği ağırlık kazanmaktadır.
(84) Nitekim, Bildirim Formunda yer alan bilgiler ve BKM yetkilileri ile gerçekleştirilen
görüşmede, BKM kart verisi saklama hizmetine bir yıl süre ile muafiyet tanıyan Kurul
kararında yer alan değerlendirmeler doğrultusunda, BKM’nin bankalarla tesis ettiği
entegrasyon sonucu sahip olduğu altyapının, kart verisi saklama faaliyeti yürüten diğer
teşebbüslerce de talep edilmesi halinde kullandırılabileceği belirtilmiştir. Ancak çeşitli
güvenlik endişeleri nedeniyle söz konusu altyapı hizmetinin bir bütün olarak verileceği,
kart verisi saklama hizmetinin en önemli aşamasını oluşturan “token oluşturma”
işleminin de BKM tarafından sağlanacağı ifade edilmiştir.
(85) Banka dışı ödeme hizmeti sağlayıcısı kuruluşların doğrudan bankalar yerine BKM
üzerinden altyapı hizmeti almasına yönelik böylesi bir sistem, banka dışı ödeme
hizmeti sağlayıcısı kuruluşların tamamıyla BKM’ye bağımlı hale gelmesine ve
pazardaki rekabetin daha da bozulmasına neden olabilecektir. Nitekim BKM’nin katma
değerli hizmetlerine yönelik ayrıştırılmış bir altyapı paylaşımı yerine bütün bir kart verisi
saklama hizmetinin BKM altyapısına bağımlı olarak verilmesi, pazarda bu faaliyeti
yürüten teşebbüslerin kart verisi saklamaya yönelik yatırımlarını işlevsiz kılacak ve bu
teşebbüsleri BKM tarafından sunulan hizmetin yeniden satıcısı (“reseller”) konumuna
düşürecektir. Bu durum, kart verisi saklama hizmetindeki ürün/hizmet çeşitliliğini
azaltarak pazarda farklı iş çözümlerinin gelişimini ve inovasyonu sekteye
uğratabilecektir.

21 Bkz. İşbu kararın “G.4. Bankalar ve Ödeme Hizmeti Sağlayıcısı Teşebbüslerden Elde Edilen Bilgiler”
bölümündeki beyanatlar.
18-19/337-167
25/27

(86) Bunun yanı sıra, kart verisinin tamamının kart sahibinden alınmayıp bankadan elde
edilebilmesi, kartın güncel son kullanma tarihinin kartı çıkaran kuruluştan otomatik elde
edilebilmesi ve SMS OTP işleminin kartı çıkaran kuruluş üzerinden gerçekleşmesi gibi
bankalarla entegrasyon neticesinde ortaya çıkan katma değerli hizmetler özelinde bir
altyapı hizmeti sunumu yerine, kart verisi saklama hizmetinin bir bütün olarak BKM
altyapısı üzerinden sunulması, altyapıyı kullanan kuruluşların müşteri bilgileri, anlaşma
yaptığı işyeri sayısı gibi ticari açıdan hassas nitelikteki bilgilerinin BKM ile paylaşılması
sonucunu ortaya çıkarabilecektir. Bu durumda ise BKM, elde ettiği bilgiler sayesinde
avantajlı bir konum elde ederken, kart verisi saklama hizmeti pazarında BKM’nin rakibi
konumunda bulunan teşebbüsler ise kendilerini ticari açıdan dezavantajlı bir konumda
bulacaktır.
(87) Ödeme hizmeti sağlayıcısı kuruluşlardan elde edilen bilgilerde de, benzer gerekçeler
nedeniyle BKM’nin altyapısının kullanılmasının kendileri adına tercih edilebilir olmadığı
ifade edilmiştir. Bu kapsamda, müşteriler ile ödeme hizmeti sağlayıcısı kuruluş arasına
bir üçüncü kişi olarak BKM'nin girmesinin, ödeme işlemlerinin süresini uzatacağı,
hizmet performansında düşüşe neden olacağı ve müşteri memnuniyetsizliğine yol
açacağı bildirilmiştir. Keza böylesi bir senaryoda, PCI Veri Güvenliği Standartları’na
uygun olarak faaliyet gösteren kart saklama hizmeti veren diğer kuruluşların kendi
token üretim şeklini belirleyebilmesinin önünün kesilebileceği ve farklı token alma
modelini benimsemiş olan kart saklama hizmeti sunan kuruluşların geçmişe dönük
olarak saklamış oldukları kartlara ilişkin işlemlerde gerek üye işyerleri gerekse kart
sahipleri açısından ciddi sorun ve aksaklıkların yaşanabileceği belirtilmiştir.
(88) Tüm bu nedenler birlikte değerlendirildiğinde, BKM tarafından sunulan kart verisi
saklama hizmetinin sunumu noktasında bankacılık altyapısından faydalanılmasına
rağmen kart verisi saklama hizmeti veren diğer ödeme kuruluşlarının bankalarla benzer
bir entegrasyon kuramaması nedeniyle pazarın önemli bir bölümünde rekabetin
bozulduğu gözlemlenmektedir. Yine bankaların ortak bir şekilde BKM çatısı altında bu
hizmeti vermelerinin, her bir bankanın bu hizmeti bağımsız bir şekilde verme güdüsünü
azaltabileceği cihetiyle, pazardaki etkin rekabetin ve çeşitliliğin sağlanması üzerinde
olumsuz etkilere sahip olduğu değerlendirilmektedir. Bu nedenle bildirime konu
uygulamanın, 4054 sayılı Kanun’un 5. maddesinin birinci fıkrasının (c) bendinde yer
alan “piyasanın önemli bir bölümünde rekabetin ortadan kalkmaması” koşulunu
karşılamadığı belirlenmiştir.
G.5.2.4. Rekabetin Zorunlu Olandan Fazla Kısıtlanmaması Şartı
(89) Bildirime konu BKM kart saklama hizmetinin işleyişine ilişkin BKM ile işyeri arasındaki
örnek sözleşme incelendiğinde, söz konusu hizmetin kullanıcısı işyerlerine, kart verisi
saklama hizmetini sadece BKM’den almalarına yönelik herhangi bir rekabet etmeme
yükümlülüğü, münhasırlık vb. kısıtlayıcı şartın yüklenmediği görülmektedir. Bununla
birlikte, kart verisi saklama hizmetinin ücretlendirilmesinde gerçekleşen işlem adedinin
artışına bağlı olarak indirim uygulamasının, ileriki dönemlerde, fiili münhasırlığa ya da
dışlayıcı bir etkiye yol açacak niteliğe bürünmesi mümkündür.
18-19/337-167
26/27

(90) Ancak daha da önemlisi, BKM tarafından kart saklama hizmetinin verilmesi, birden
fazla alanda rekabetin zorunlu olandan fazla kısıtlanmasına neden olmaktadır. Kart
saklama hizmetinin BKM tarafından yukarıda detaylı bir biçimde anlatılan yöntemler ile
verilmesinin; hem BKM ile ödeme kuruluşları arasındaki, hem de bankalar ile ödeme
kuruluşları arasındaki rekabeti doğrudan etkilediği ve bu rekabete zarar verdiği gibi
hem BKM’nin hem de BKM’yi oluşturan bankaların potansiyel rakiplik durumunu daha
hassas hale getirmektedir. Bu anlamda, bankalar, rakip olarak gördükleri ödeme
kuruluşlarının faaliyetlerini kendi bünyelerindeki BKM ile zorlaştırmaktadır. Keza, BKM
ortağı bazı bankaların bu hizmeti hâlihazırda vermesi ve bankaların tamamının
potansiyel olarak bunu verebilecek olması karşısında, aynı anda BKM’nin de bu
hizmeti vermesi, rekabet açısından sakıncalı olduğu gibi, bankaların bu hizmeti
vermeyerek doğrudan BKM’yi bir piyasa oyuncusu olarak pazara sürmeleri de aynı
derecede tehlikeli bir durum arz etmektedir.
(91) İlaveten, 4054 sayılı Kanun’un 5. maddesinin birinci fıkrasının (d) bendinde yer alan,
rekabetin (a) ve (b) bentlerindeki amaçların elde edilmesi için zorunlu olandan fazla
sınırlanmaması şeklindeki şartın gerçekleşmesi için öncelikle aynı maddenin (a) ve (b)
bentlerinin karşılanmasının gerekmesi, diğer bir deyişle, (d) bendindeki şartın
değerlendirilmesinin, (a) ve (b) bentlerindeki şartların gerçekleşmesine bağlı olması ve
yukarıda açıklandığı üzere, işbu dosya kapsamında (a) ve (b) bentlerindeki şartların
karşılanmadığının anlaşılması nedeniyle, Kanun’un 5. maddesinin birinci fıkrasının (d)
bendinde yer alan şartın da karşılanmadığı değerlendirilmektedir.
(92) Muafiyet koşullarının karşılanıp karşılanmadığının değerlendirilmesi kapsamında
yukarıda yer verilen açıklama ve bilgiler doğrultusunda; bir yıllık süreçte pazarda
gözlemlenen gelişmeler, BKM ile bankaların mevcut ilişkileri, pazardaki diğer
oyuncuların konumları, pazarın yapısı ile pazardaki mevcut ve potansiyel rekabete
ilişkin öngörüler vb. hususların birlikte değerlendirilmesi neticesinde BKM kart verisi
saklama hizmetinin, 4054 sayılı Kanun’un 5. maddesi kapsamında muafiyet koşullarını
karşılamadığı ve bu nedenle anılan uygulamaya muafiyet tanınmasının mümkün
olmadığı değerlendirilmektedir.
(93) Bunun yanı sıra, kart verisi saklama hizmetinde BKM’yi öne çıkaran bankalarla
entegrasyonun, esasen BKM tarafından sunulan dijital cüzdan hizmeti “BKM Express”
uygulaması kapsamında tesis edilmesi ve kart verisi saklama hizmeti pazarında
yaşanan rekabet sorunlarına benzer sorunların dijital cüzdan hizmetleri pazarında22
veya bağlantılı/ilgili diğer pazarlarda da yaşanabilecek olması nedeniyle, Kurul’un
23.09.2016 tarih ve 16-31/525-236 sayılı kararı ile muafiyet tanıdığı “BKM Express”
uygulamasının, muafiyet şartlarını hâlihazırda taşımaya devam edip etmediğinin tespiti
amacıyla yeniden değerlendirilmesi uygun olacaktır.

22 Kart verisi saklama hizmeti, işyerlerinin müşterilerinin kart bilgilerinin saklanması amacıyla işyerlerine
yönelik bir hizmet faaliyeti iken, dijital cüzdan hizmetleri, çok sayıda kredi/banka kartının tek bir
uygulama üzerinden saklanıp ödeme yapılmasına imkân tanıyan ve doğrudan tüketicilere sunulan bir
hizmet faaliyetidir.
18-19/337-167
27/27

H. SONUÇ
(94) Düzenlenen rapora ve incelenen dosya kapsamına göre;
- Bankalararası Kart Merkezi A.Ş.'nin kart verisi saklama hizmetinin 4054 sayılı
Kanun’un 4. maddesi kapsamında olduğuna,
- Bankalararası Kart Merkezi A.Ş.'nin kart verisi saklama hizmetine, 4054 sayılı
Kanun’un 5. maddesinin birinci fıkrasında sayılan koşulları sağlamaması
nedeniyle bireysel muafiyet tanınamayacağına,
- 23.03.2017 tarih ve 17-11/134-61 sayılı Kurul kararı ile tanınan ve süresi
23.03.2018 tarihinde sona eren muafiyet ile ilgili Kurum kayıtlarına 20.03.2018
tarih ve 2291 sayı ile intikal eden başvuruya ilişkin olarak;
- Bankalararası Kart Merkezi A.Ş.’nin Rekabet Kurulu kararını
tebellüğünden itibaren 30 gün içinde kart verisi saklama hizmetine son
vereceğini Kuruma bildirmesi gerektiğine, aksi halde hem Bankalararası
Kart Merkezi A.Ş. hem de Bankalararası Kart Merkezi A.Ş.’nin ortakları
olan Akbank T.A.Ş., Finansbank A.Ş., T. Halk Bankası A.Ş., T.C. Ziraat
Bankası A.Ş., T. Garanti Bankası A.Ş., T. İş Bankası A.Ş., T. Vakıflar
Bankası T.A.O., Yapı ve Kredi Bankası A.Ş., ING Bank A.Ş. ve Türk
Ekonomi Bankası A.Ş. hakkında doğrudan soruşturma açılacağına,
- Bankalararası Kart Merkezi A.Ş.’nin, kart verisi saklama hizmetine, bu
hizmeti verdiği teşebbüslerin hizmet alımında aksama yaşamamasını
teminen, Kurul kararını tebellüğ tarihinden itibaren 90 gün içinde son
vererek Kuruma tevsik etmesine
- Bankalararası Kart Merkezi A.Ş. tarafından sunulan kart verisi saklama
hizmetinin pazardaki rekabete olumsuz etkilerinin kaynağı olan Bankalararası
Kart Merkezi A.Ş. ile bankalar arasındaki entegrasyonun, “BKM Express” sistemi
kapsamında tesis edilmesi nedeniyle Rekabet Kurulunun 23.09.2016 tarih ve 16-
31/525-236 sayılı kararı ile süresiz muafiyet tanınan “BKM Express”
uygulamasının da 4054 sayılı Kanun’un 13. maddesinde yer verilen “Muafiyet ve
Menfi Tespit Kararlarının Geri Alınması” hükmü kapsamında muafiyet şartlarını
taşıyıp taşımadığının yeniden incelenmesi için Bankalararası Kart Merkezi A.Ş.
tarafından Kurul kararının tebellüğünü takip eden 30 gün içerisinde bireysel
muafiyet formu doldurularak yeniden başvuru yapılmasına
gerekçeli kararın tebliğinden itibaren 60 gün içinde Ankara İdare Mahkemelerinde yargı
yolu açık olmak üzere, OYBİRLİĞİ ile karar verilmiştir.
Başkan
Prof. Dr. Ömer TORLAK


İkinci Başkan
Arslan NARİN Adem BİRCAN
Şükran KODALAK


Mehmet AYAN



Full & Egal Universal Law Academy