Kuyumculuk sektöründe MASAK denetimlerine hazırlık konuşulurken sahada sık duyulan bir cümle var:“Müşteri tanı formu kâğıt ortamda ve ıslak imzalıysa genelde sorun çıkmıyor; sadece elektronik imza/onay varsa riskli kabul edilebiliyor.”
Bu yazıda tam da bu uygulama gerçeğini ve çoğu işletmenin gözünden kaçan kritik hukuki ayrımı netleştiriyorum:
- 5070 sayılı Elektronik İmza Kanunu’na uygun “güvenli elektronik imza” hukuken ıslak imza ile aynı sonucu doğurur.
- Ancak SMS onayı, tablette çizilen imza, ekranda “onayla” gibi yöntemler güvenli e-imza değildir (çünkü nitelikli sertifika ve güvenli imza oluşturma koşullarını karşılamaz).
- Özellikle yüksek tutarlı işlemlerde, denetim refleksi daha “temkinli” çalıştığı için elektronik onay tek başına yeterli görülmeyebilir (uygulama riskidir).
Not: Bu yazı pratik farkındalık içindir; özel durumlarda uyum danışmanı/hukukçu görüşü alın.
MASAK Denetimlerinde Neden “Islak İmza” Daha Rahat Geçiyor?
Denetim mantığı basit: ispat + iz sürülebilirlik + kimlik bağının netliği.
Kâğıt form + ıslak imza; denetim açısından şu avantajları verir:
- İmza sahibinin iradesi “geleneksel” ispat standardına daha yakındır.
- Dosyada fiziksel bütünlük ve süreklilik (muhafaza/ibraz) daha kolay anlatılır.
- Sahada yerleşik uygulama olduğu için denetçi beklentisiyle daha uyumludur.
Buna karşılık “sadece elektronik onay” (SMS, tablet, ekran onayı) çoğu zaman:
- İmzanın kime ait olduğu konusunda tartışma doğurur,
- Sonradan değişiklik/inkâr iddialarında ispat yükünü işletmeye taşır,
- “Bu onay, gerçekten 5070’e göre güvenli e-imza mı?” sorusunu doğurur.
Kritik Ayrım: 5070’e Uygun “Güvenli Elektronik İmza” Nedir?
5070 sayılı Kanun iki şeyi net söyler:
1) Güvenli elektronik imza belirli şartları taşıyan elektronik imzadır (imza sahibine münhasır bağlı olma, güvenli imza oluşturma aracı, nitelikli elektronik sertifikaya dayanma, değişiklik tespiti vb.)
2) Güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur.
Yani mesele “elektronik bir şey yaptık” değil; hangi standarda göre yaptık meselesidir.
Neden SMS Onayı / Tablet İmzası / Ekranda Onay “Güvenli E-İmza” Sayılmaz?
Çünkü bu yöntemler çoğunlukla:
- Nitelikli elektronik sertifika altyapısına dayanmaz,
- Güvenli imza oluşturma aracı + doğrulama zinciri üretmez,
- İmza bütünlüğü/inkâr edilemezlik (non-repudiation) standardını kurmaz.
Kısacası: Elektronik onay ≠ Güvenli elektronik imza.
“Hukuken Eşdeğer” Olmasına Rağmen Denetimde Neden Sıkıntı Yaşanıyor?
Burada çok kritik bir gerçek var:Hukuki eşdeğerlik ile denetim pratiğindeki “kabul standardı” her zaman aynı hızda ilerlemez.
Özellikle kuyumculukta:
- Güvenli e-imza altyapısı sahada “yaygın rutin” değildir.
- İşletmeler çoğu zaman tablet/SMS onayı “e-imza” sanarak ilerler.
- Denetimde ise soru şu olur: “Bu imza 5070’e göre güvenli e-imza mı, değil mi?”
Ayrıca MASAK tarafında bazı süreçlerde elektronik imza kullanımına ilişkin usul ve esasların belirlenebileceği, hatta bildirimlerde e-imza kullanımının sektöre göre düzenlenebileceği vurgulanır.
Özetle: Denetimde “elektronik” olmak tek başına artı puan değildir; doğru tür elektronik imza önemlidir.
Yüksek Tutar = Yüksek Hassasiyet: Pratik Risk Haritası
Sahada en çok zorlayan senaryo genelde şudur:
- Yüksek tutarlı işlem + müşteri tanı formu sadece elektronik onay + güvenli e-imza altyapısı yok
Bu durumda denetçi açısından risk algısı artar:
- Müşteri beyanı/iradesi sonradan inkâr edilebilir mi?
- Kimlik tespiti evraklarıyla imza ilişkisi açık mı?
- Form üzerinde değişiklik yapılıp yapılmadığı nasıl ispatlanacak?
Kuyumcular İçin Uygulanabilir Çözüm Seti (Checklist)
Aşağıdaki yaklaşım, “en az tartışma” hedefiyle pratikte iş görür:
1) Standart işlemlerde: Kâğıt + Islak İmza Disiplini
- Müşteri tanı formu ıslak imzalı,
- Kimlik kopyası/teyit belgeleri dosyada,
- Tarih, işlem türü, tutar, açıklama alanları eksiksiz.
2) Dijitale geçilecekse: “Güvenli Elektronik İmza” ile geçin
- Gerçekten 5070’e uygun güvenli e-imza altyapısı kurun (nitelikli sertifika + doğrulama).
- İmza doğrulama çıktısı/kayıtlarını saklama prosedürü belirleyin.
3) “Elektronik onay” kullanacaksanız: Bunu e-imza diye konumlamayın
- SMS/tablet/ekran onayını güvenli e-imza gibi yazmak, denetimde gereksiz tartışma çıkarır.
- Bu yöntemleri ancak “ek teyit” olarak düşünün; asıl ispat omurgası başka yerde olsun.
4) Yüksek tutarlı işlemler için ekstra katman
- Islak imza ya da güvenli e-imza (tercihen) + güçlü dosyalama
- İşlem gerekçesi ve müşteri profiliyle tutarlılık notu (kısa ama net)
Sık Sorulan Sorular (SSS)
Güvenli elektronik imza gerçekten ıslak imza yerine geçer mi?
Evet. 5070 sayılı Kanun’a göre güvenli elektronik imza, elle atılan imza ile aynı hukuki sonucu doğurur.
Tablet imzası veya SMS onayı güvenli elektronik imza mıdır?
Genellikle hayır. Bu yöntemler çoğunlukla nitelikli sertifika ve güvenli imza oluşturma şartlarını sağlamaz; bu yüzden 5070’deki “güvenli e-imza” kapsamına girmez.
MASAK denetiminde neden ıslak imza daha az riskli görünüyor?
Çünkü denetimde ispat standardı ve sahadaki yerleşik beklenti açısından ıslak imza “tartışmasız” dosya üretir. Elektronik onaylarda ise “bu, güvenli e-imza mı?” sorusu doğar.
“Elektronik” Olmak Değil, “Doğru Elektronik İmza” Önemli
Kuyumcularda MASAK denetim pratiğinde yaşanan temel sorun, çoğu zaman teknoloji değil; kavram hatasıdır:
- Güvenli elektronik imza (5070 standardı)
- SMS / tablet / ekranda onay (güvenli e-imza değil)
Eğer dijitalleşecekseniz, ya gerçekten güvenli e-imzaya geçin ya da riskli alanlarda ıslak imza disiplinini koruyun. Böylece denetimde tartışmayı “imza tipi” üzerinden değil, “uyum kalitesi” üzerinden yönetirsiniz.