Basitleştirilmiş Hesap ve Bahis Riski: Kolay Açılan Hesaplar Neden Hedefte?

Papara operasyonunda tespit edilen 26.012 hesabın büyük çoğunluğunun bir ortak özelliği vardı: basitleştirilmiş doğrulama ile açılmış hesaplar. Dakikalar içinde, minimum kimlik bilgisiyle, fotoğraf yüklemeden açılan bu hesaplar, bahis çetelerinin en sevdiği araç haline gelmişti. 9 yıllık kariyerimde bu sorunun boyutlarını izledim — başlangıçta finansal kapsayıcılık için tasarlanmış bir mekanizma, yasadışı bahis ağlarının birincil altyapısına dönüştü.

Basitleştirilmiş müşteri kabul süreci, TCMB düzenlemeleri çerçevesinde tanımlanmış bir hesap açma yöntemi. Amacı, bankacılık hizmetlerine erişimi olmayan kesimlerin — öğrenciler, düşük gelirli bireyler, yaşlılar — dijital ödeme ekosistemine dahil edilmesiydi. Bu meşru amaç, 23 milyondan fazla kullanıcıya ulaşan Papara’nın büyüme motorlarından biriydi. Ancak aynı kolaylık, bahis çetelerinin toplu hesap açmasını ve bu hesapları para transfer kanalı olarak kullanmasını da mümkün kıldı.

Sorun açık: kolaylık ile güvenlik arasındaki denge bozulmuştu. Papara’nın 23 milyondan fazla kullanıcısının büyük çoğunluğu meşru kullanıcılardı — ama aralarına karışan binlerce sahte veya kiralık hesap, tüm platformu riske attı. Ve bu risk, 6 elektronik para kuruluşunun kayyuma düşmesiyle somutlaştı.

KYC — Know Your Customer, yani “Müşterini Tanı” — finansal düzenlemelerin temel taşı. Her finansal kuruluş, müşterilerinin kimliğini doğrulamak zorunda. Ancak doğrulamanın düzeyi, hesap türüne göre değişiyor ve basitleştirilmiş hesaplar en düşük doğrulama düzeyini temsil ediyor.

Basitleştirilmiş hesapta gerekli olan bilgiler genellikle şunlardı: TC kimlik numarası, cep telefonu numarası ve temel kişisel bilgiler. Fotoğraflı kimlik belgesi yüklemek gerekmiyordu, adres doğrulaması yapılmıyordu ve yüz tanıma gibi biyometrik doğrulama uygulanmıyordu. Bu, bir kişinin dakikalar içinde hesap açabilmesi anlamına geliyordu — meşru kullanıcılar için harika, bahis çeteleri için de harika.

Basitleştirilmiş hesapların işlem limitleri düşük tutuluyordu — aylık 2.500-5.000 TL civarında. Bu limit, tek bir hesap üzerinden yüksek hacimli bahis trafiği geçmesini engellemeye yönelikti. Ancak bahis çeteleri bu sorunu basit bir yöntemle çözdü: onlarca, hatta yüzlerce hesap açarak toplam hacmi katladılar. 50 hesap üzerinden aylık 5.000 TL limit, toplam 250.000 TL’lik bir kapasite demekti — ve bu hesapların açılması birkaç saatten fazla sürmüyordu.

Papara’nın 23 milyondan fazla kayıtlı kullanıcısı arasında kaç tanesinin basitleştirilmiş hesap olduğu, kamuoyuyla paylaşılmış bir veri değil. Ancak 26.012 şüpheli hesabın tespit edilmesi ve bunların önemli bir kısmının toplu açılmış hesaplar olması, basitleştirilmiş KYC’nin sistemik bir açık yarattığını gösteriyor. Bu açık sadece Papara’ya özgü değildi — kayyuma düşen diğer 5 kuruluşta da aynı patern gözlemlendi. Düşük KYC eşikleri, her kuruluşta bahis çetelerinin ilk hedef aldığı alan oldu.

Tam doğrulamalı hesaplarla karşılaştırıldığında fark çarpıcı. Tam doğrulamalı hesap açmak için fotoğraflı kimlik yükleme, video doğrulama ve bazen adres teyidi gerekiyor — bu süreç birkaç gün sürebiliyor. Basitleştirilmiş hesap ise birkaç dakikada açılıyor. Bahis çeteleri için zaman para demek ve dakikalar içinde açılabilen hesaplar, operasyonlarının hızını ve ölçeğini dramatik şekilde artırıyordu.

Sahada gördüğüm modus operandi şöyle işliyordu: çete, üniversite kampüslerinde veya düşük gelirli mahallelerde “hesap açtırma” ağı kuruyordu. Kişilere 100-500 TL ödeme yaparak onların adına e-cüzdan hesapları açtırılıyordu. Hesap sahipleri genellikle hesaplarının ne için kullanılacağını bilmiyordu — veya bildikleri halde parayı almak için göz yumuyordu.

Açılan hesaplar, bahis sitelerinin ödeme altyapısına entegre ediliyordu. Bahis oynayan kullanıcılar, bu hesaplara para gönderiyordu ve para, bu hesaplardan çetenin ana havuzuna aktarılıyordu. Her hesap birkaç hafta veya ay aktif tutulduktan sonra terk ediliyordu — çünkü MASAK’ın tespit algoritmaları belirli bir süre sonra hesabı işaretliyordu. Terk edilen hesabın yerine yenisi açılıyordu ve döngü devam ediyordu.

Bu yöntemin en acı tarafı: hesap sahibi olan kişi — genellikle genç, ekonomik baskı altında birisi — cezai sorumlulukla karşı karşıya kalıyordu. TCK 158 kapsamında nitelikli dolandırıcılık suçlamasıyla 3-10 yıl hapis riski, 100-500 TL’lik bir ödeme için ödenmeyecek kadar ağır bir bedel. Ve çoğu durumda hesap sahibi, çetenin organizasyonu hakkında hiçbir bilgiye sahip değildi — sadece hesabını “kullandırdığını” biliyordu. Ancak hukuk, “bilmiyordum” savunmasını kolayca kabul etmiyor — özellikle hesap hareketlerinde sistematik bahis trafiği tespit edildiğinde.

MASAK’ın 2025’in ilk 7 ayında 159.000 kişi hakkında rapor hazırlaması, bu ağın ne kadar geniş olduğunu gösteriyor. Bu raporların önemli bir kısmı, basitleştirilmiş hesaplar üzerinden yürütülen bahis trafiğiyle ilgiliydi. 2024’teki 27.428 kişilik rakamla karşılaştırıldığında, bir yılda altı katlık artış yaşanmış — ve bu artışın motorlarından biri, basitleştirilmiş hesapların yaygın istismarının tespit edilmesiydi. Şüpheli işlem bildirim sürecinin detaylarını ayrıca inceleyebilirsiniz.

6 elektronik para kuruluşunun kayyuma düşmesi, düzenleyicileri harekete geçirdi. TCMB ve MASAK, basitleştirilmiş hesap açığını kapatmaya yönelik somut adımlar attı ve bu adımlar 71 maddelik eylem planının da bir parçası olarak yapılandırıldı.

Birinci adım: basitleştirilmiş hesap açma koşullarının sıkılaştırılması. Artık sadece TC kimlik numarası yeterli değil — fotoğraflı kimlik belgesi yükleme zorunluluğu ve biyometrik doğrulama adımları eklendi. Bu, toplu hesap açmayı önemli ölçüde zorlaştırıyor çünkü her hesap için ayrı bir gerçek kimlik belgesi gerekiyor.

İkinci adım: basitleştirilmiş hesapların işlem limitlerinin daha da düşürülmesi. Aylık limit belirli kuruluşlarda 1.000 TL’nin altına çekildi — bu limit, meşru günlük kullanım için yeterli ama bahis trafiği için yetersiz.

Üçüncü adım: toplu hesap açma tespiti. TCMB, aynı IP adresinden, aynı cihazdan veya aynı lokasyondan kısa sürede birden fazla hesap açılmasını tespit eden mekanizmaların kurulmasını zorunlu kıldı. Bu mekanizma, çetelerin kampüslerde toplu hesap açtırma stratejisini doğrudan hedefliyor.

Bu adımlar, basitleştirilmiş hesap açığını daraltıyor ancak tamamen kapatmıyor. Bahis çeteleri adaptasyon konusunda hızlı — yeni KYC kurallarına uyum sağlamak için sahte kimlik belgeleri, çalıntı biyometrik veriler veya yurtdışı merkezli platformlar gibi alternatiflere yönelebilirler. Mücadelenin bu aşaması, düzenleyiciler ile çeteler arasındaki süregelen bir kedi-fare oyunu niteliğinde.

Cumhurbaşkanlığı Genelgesi 2025/18 kapsamındaki 71 maddelik eylem planının birkaç maddesi doğrudan KYC sıkılaştırmasına yönelik. Bu maddeler, sadece mevcut kuruluşlara değil, gelecekte lisans başvurusunda bulunacak yeni kuruluşlara da uygulanacak — böylece basitleştirilmiş hesap açığının yeni platformlarda tekrarlanması engellenmeye çalışılıyor. Bu regülatif yaklaşım doğru yönde ama etkinliği, uygulamanın hızına ve çetelerin adaptasyon kapasitesine bağlı olacak. 9 yıllık deneyimim bana şunu öğretti: düzenleme her zaman suçun bir adım gerisinde kalır ama bu mesafeyi kapatmak mümkün.