Open Banking в Турции

Существует два формата разрешения. Первый — AIS: он дает право запрашивать данные о счете, включая остаток, историю операций и реквизиты. Второй — PIS: позволяет отправлять деньги со счета клиента, например, при оплате подписки или переводе средств между пользователями. Лицензия может покрывать один или оба формата в зависимости от бизнес‑модели. Вся деятельность регулируется BRSA и требует отдельного согласования перед запуском.

Что дает внедрение Open Banking в Турции и кому это необходимо

Запуск Open Banking в Турции позволяет финтех-компаниям встраивать банковские функции прямо в пользовательские интерфейсы: платежи, проверки баланса и другие операции выполняются без перенаправления на сторонние платформы. Это упрощает подписочные сервисы, автоматические расчеты с поставщиками и работу маркетплейсов с распределением средств между участниками.

Провайдер получает право подключаться к банковским API, инициировать переводы и обрабатывать данные, если используются персональные идентификаторы и требуется согласие клиента. Верификация обязательна в любом сценарии — даже при подключении через технического посредника.

Запуск Open Banking в Турции открывает доступ к прямому взаимодействию с банковскими счетами пользователя. Можно выступать от имени клиента при получении информации о балансе, инициировании переводов и подтверждении операций через API. Появляются новые возможности: 

• Оплата на платформе проводится напрямую со счета клиента без использования сторонних платежных шлюзов.
• Маркетплейсы могут автоматически распределять средства между продавцами, удерживая комиссию и налоги при расчете.
• Платежные сервисы подключают сценарии с автосписанием, частичными оплатами и пополнением по запросу через банковский интерфейс.

Финтех-сервис сам управляет маршрутом транзакции и логикой согласия, без необходимости перенаправления клиента на внешние интерфейсы. Такая архитектура невозможна без получения статуса провайдера PIS или AIS.

Оформление лицензии на Open Banking в Турции обязательно для финтех-сервисов, которые получают банковские данные по запросу пользователя и отображают их в своем интерфейсе.В эту категорию входят:

• Мобильные приложения с функцией просмотра баланса и истории операций по счету.
• Платформы, агрегирующие данные из нескольких банков и отображающие их в едином интерфейсе.
• Сервисы управления личными финансами (PFM) с визуализацией трат, категоризацией расходов и прогнозами;
• Бухгалтерские и налоговые онлайн-системы, подключающие банковские выписки клиента.
• Любые B2B- или B2C‑решения, где данные используются для расчетов, уведомлений, прогнозов или передачи третьим лицам, даже без их отображения.

Также внедрение Open Banking в Турции требуется корпоративным панелям в ERP, где отображаются данные из банковских каналов контрагентов или сотрудников. Наконец, в эту категорию входят любые другие интерфейсы, в которых отображается информация, полученная по API с использованием идентификатора клиента и его согласия.

Перед тем как внедрить Open Banking в Турции, стоит рассмотреть исключения. Лицензия не требуется, если компания выполняет строго технические задачи без доступа к пользовательским данным и без контакта с конечным клиентом. Это допустимо при предоставлении услуг хостинга, поддержки или разработки интерфейса по заданию лицензированного провайдера, если все действия оформлены юридически от его имени. 

White-label‑модели освобождены от регистрации, если конечный пользователь взаимодействует исключительно с брендом зарегистрированного оператора, а вся обработка данных и управление согласием формально и фактически закреплены за ним. 

Юридические и организационные требования для внедрения Open Banking в Турции

Для оформления лицензии Open Banking в Турции необходимо зарегистрировать компанию в пределах страны и соблюсти следующие условия:

• Наличие физического офиса в городе фактического ведения деятельности (виртуальные адреса не принимаются).
• Подтвержденный юридический адрес, внесенный в торговый реестр (MERSIS), с актуальной регистрацией в системе электронных уведомлений (KEP). 
• Действующий налоговый номер (Vergi Kimlik Numarası), выданный в налоговой инспекции по месту регистрации фирмы и постановка на учет в SGK (если есть сотрудники).
• Открытый корпоративный счет в банке, действующем на территории страны и находящемся под надзором BDDK.

Заявки от иностранных юрлиц, оффшорных структур, трастов и представительств не принимаются. Также для запуска Open Banking в Турции компания должна находиться в активном статусе в системе MERSİS и подходящий NACE-код (62 или 64).

Перед тем как внедрить Open Banking в Турции, нужно открыть бизнес в форме Limited Şirket (Ltd. Şti.) или Anonim Şirket (A.Ş.). Регистрация в других форматах (включая филиалы иностранных компаний, представительские офисы, трасты и партнерства) не допускается. Формально достаточно одного родителя и одного директора, но в ходе рассмотрения BRSA запрашивает структуру с распределенными функциями: 

• Отдельно назначенный директор, зафиксированный в уставе и обладающий правом управлять деятельностью компании в полном объеме.
• Лицо, ответственное за соответствие требованиям законодательства (compliance officer), с опытом работы в регулируемом секторе и правом принятия решений по внутренним политиками.
• Руководитель по информационной безопасности (CISO), отвечающий за реализацию технических и процедурных мер в соответствии с нормативами BRSA

Также для внедрения Open Banking в Турции понадобится представитель, взаимодействующий с регулятором. Это физическое лицо с постоянным местом жительства в стране, официально уполномоченное принимать уведомления от BRSA и координировать переписку от имени компании. Он должен быть зарегистрирован в уставных документах и иметь право действовать без дополнительного одобрения со стороны учредителей.

Право подписи, доступ к банковским счетам и полномочия по операционным решениям должны быть закреплены в уставе или корпоративном решении и подтверждены при подаче заявки.

Перед тем как внедрить Open Banking в Турции, необходимо назначить персонально ответственных за управление рисками, операционную деятельность и соблюдение нормативных требований. В структуре компании должен быть хотя бы один директор или руководитель, являющийся налоговым резидентом Турции и обладающий подтвержденным опытом в финансовом или технологическом секторе. Роль compliance officer выделяется отдельно: она не может быть совмещена с другими должностями и требует доступа к внутренним процедурам, отчетности и коммуникации с BRSA. Использование номинальных цепочек, скрытого участия в капитале через трасты, прокси или непрозрачные холдинги не допускается. 

Внедрение Open Banking в Турции допускает участие иностранных инвесторов без ограничения доли при условии полностью раскрытой структуры собственности. Капитал должен иметь подтвержденное происхождение, контроль над компанией — быть юридически оформленным через прозрачную цепочку владения. Вовлеченность иностранных холдингов, зарубежных физических лиц или компаний с офшорной юрисдикцией разрешения при наличии документов по всей структуре: 

• Уставов. 
• Соглашений между акционерами. 
• Деклараций о бенефициарной собственности и финансовых отчетов.

При оценке заявки регулятор учитывает не только документы, но и деловую репутацию инвестора, наличие активов, долговую нагрузку и связь с юрисдикциями, попадающими под международные санкции. Перед тем как внедрить Open Banking в Турции с участием зарубежного капитала, необходимо подтвердить, что контролирующее лицо не связано с рисковыми регионами и полностью раскрыто в досье.

Требования к капиталу при оформлении Open Banking в Турции

Для открытия Open Banking в Турции необходимо подтвердить минимальный уставный капитал: от 2 000 000 турецких лир (≈49 300$). Сумму вносят в полном объеме до подачи заявки, без рассрочек, кредитов, неденежных вкладов или поручительств. Допускается только прямой денежный перевод от учредителей с зачислением на корпоративный счет в турецком банке, находящемся под надзором BDDK. Подтверждение транзакции прикладывается к заявке, а сам платеж фиксируется в системе MERSİS как часть уставных обязательств. 

Если заявка подается на комбинированную модель (одновременное выполнение функций AIS и PIS) или предполагается использование сложной архитектуры (интеграция в white-label‑схемы, многоуровневое распределение функций или технический контроль над сторонними интерфейсами) — BRSA вправе потребовать увеличение капитала. Основания зависят от характера услуг, количества подключений, степени ответственности за управление транзакциями и доступа к пользовательским данным. В таких случаях запрашиваются финансовые модели, план покрытия операционных рисков и документальное подтверждение резервов. Повышенная сумма также вносится заранее и подтверждается до начала рассмотрения.

Операционные требования для запуска Open Banking в Турции: персонал, процедуры, внутренний контроль

До подачи заявки на Open Banking в Турции необходимо назначить ключевых сотрудников. Специалистов оформляют через устав, корпоративное решение или протокол совета. Обязательны две позиции: 

1. Compliance officer контролирует выполнение требований BRSA, отвечает за аудит внутренней документации, фиксацию согласий, подачу отчетности и соблюдение всех процедур доступа к данным. 
2. Специалист по информационной безопасности (CISO) обеспечивает контроль прав доступа, защищенность клиентских данных, внедрение технических мер защиты, ведение журналов операций и управление инцидентами. 

Обе должности должны быть независимыми: их нельзя совмещать с коммерческими или управленческими функциями, они не могут подчиняться лицам, отвечающим за продажи, маркетинг или продукт. Назначения подтверждаются резюме, трудовыми контрактами, копиями дипломов и документами о стаже. 

При запуске Open Banking в Турции компания обязана внедрить внутренние процедуры KYC, управления согласием, логирования и обработки жалоб в соответствии с требованиями BRSA. Все действия (от запроса данных до их отображения) должны быть зафиксированы в системе и разделены по уровням доступа. Процесс получения и отзыва согласия должен быть прозрачным и воспроизводимым. Пользователь в момент авторизации должен видеть, какие данные передаются, с какой целью и на какой срок. 

Любые ошибки в логике, технические сбои или пользовательские претензии подлежат обязательной фиксации и последующему анализу. Жалобы должны регистрироваться и рассматриваться в сроки, зафиксированные во внутреннем регламенте, а информация о действиях по ним включается в отчетность для регулятора.

Перед тем как внедрить Open Banking в Турции, необходимо проработать внутренние политики. Они должны охватывать: 

1. Порядок доступа к данным, включая разграничение прав, принципы авторизации и условия экстренного доступа.
2. Использование API: регистрация ключей, контроль запросов, правила обращения к банковским системам и лимиты вызовов. 
3. Защита конфиденциальной информации: методы шифрования, хранение согласий, изоляция чувствительных данных и аудит обращений.
4. Действия при сбоях: порядок обнаружения инцидента, уведомления клиента, восстановление работы и документирование происшествия. 

BRSA проверяет не только наличие документации, но и ее внедрение: кто утвердил регламент, кто отвечает за исполнение и как фиксируется соблюдение. Требования для Open Banking в Турции включают обязательное ведение журналов обращений к банковским данным с указанием пользователя, времени, цели и результата. Не допускается массовый или параллельный доступ без авторизации, использование одного аккаунта несколькими сотрудниками, а также отсутствие системного логирования. Выявленные отклонения от процедур считаются нарушением лицензионных условий.

До подачи заявки компания обязана внедрить систему резервного копирования, архивирования и восстановления всех критически важных данных: профилей пользователей, истории запросов, логов операций, подтверждений согласия и переписки с клиентами. При оформлении лицензии на Open Banking в Турции проверяется, как организовано хранение этих данных — где размещены сервера, как обеспечивается доступ и кто отвечает за сохранность. Размещение допускается только в пределах Турции или на облачных платформах, сертифицированных по стандартам BRSA. Минимальный срок хранения — 10 лет, с гарантированным доступом к данным в читаемом виде при запросе регулятора или в рамках инспекционной проверки.

Технические требования и архитектура при запуске турецкого Open Banking-сервиса

Оформление лицензии на Open Banking в Турции возможно только при наличии работоспособной инфраструктуры. Все действия с банковскими данными клиента (просмотр, анализ, инициирование транзакций или передача третьим лицам) допускаются только через API-интерфейс, поддерживающий: 

• Шифрование. 
• Регистрацию вызовов. 
• Контроль доступа. 
• Соответствие техническому регламенту BRSA. 

Использование нестандартизированных подключений, прямой интеграции без посредства API или несертифицированных шлюзов запрещено. BRSA проверяет не только архитектуру системы, но и технические политики, схемы подключения, принципы аутентификации и журналирование всех операций.

Перед внедрением Open Banking в Турции нужно реализовать требования к API. Система должна сохранять данные о типе операции, инициаторе, времени, цели, статусе выполнения и использованном ключе. Журналы обращений формируются в режиме реального времени, защищены от изменения и доступны для инспекции. Даже при простом просмотре информации обязательна подпись пользователя (с привязкой к конкретному запросу и подтверждением согласия). Криптографические ключи, используемые для доступа и шифрования, должны быть сгенерированы сертифицированным способом, закреплены за конкретным пользователем и храниться в управляемой среде. Регулятор проверяет не только наличие системы, но и ведение аудита ключей, систему оформления отзывов, права на выпуск и триггеры срабатывания доступа.

Для внедрения Open Banking в Турции необходимо реализовать полноценную систему аутентификации и управления согласием. Используется обязательная многофакторная проверка (2FA) и Strong Customer Authentication (SCA), основанная на одноразовых кодах, биометрии или криптографических токенах. Уровни доступа фиксируются в политике безопасности: оператор не вправе инициировать передачу или обработку данных без активного подтверждения клиента.

Каждое действие с финансовыми данными требует отдельного и документированного согласия. Пользователь должен получить исчерпывающую информацию о составе передаваемых сведений, цели, объеме, сроке хранения и праве отзыва. Согласие оформляется интерактивно (через отдельный экран или всплывающее окно) и подтверждается квалифицированным методом идентификации. Истечение срока, отзыв или изменение условий автоматически блокируют соответствующие вызовы API, а факт блокировки фиксируется в логах.

Данные, включая журналы действий, должны храниться на территории Турции — либо на собственных серверах компании, либо в облаке, сертифицированном по стандартам BRSA. Хостинг обязан иметь отказоустойчивую архитектуру, автоматическое резервное копирование и физический контроль доступа к инфраструктуре. Минимальный срок хранения — 10 лет. Все сведения должны быть доступны в читаемом формате при любой проверке.

До выдачи разрешения (Open Banking в Турции) регулятор проверяет не только саму архитектуру системы, но и ее работоспособность: от схем маршрутизации до логики хранения и восстановления данных. Невыполнение хотя бы одного из условий рассматривается как основание для отказа.

Хотите проконсультироваться?

Свяжитесь с нашими экспертами и получите ответы на ваши вопросы.

Заказать консультацию

Подача заявки и процедура получения разрешения на Open Banking в Турции

Заявка на запуск Open Banking в Турции подается в Агентство банковского регулирования и надзора (BRSA) через систему e-Devlet и подтвержденный адрес корпоративной электронной почты (KEP). Отправка возможна только после регистрации компании в MERSIS, получения e-imza и активации KEP-адреса, связанного с юридическим лицом. Досье оформляется в машиночитаемом формате, подписывается квалифицированной электронной подписью и подается по защищенному каналу связи с фиксацией даты и времени подачи.

Регулятор проверяет наличие всех обязательных компонентов, подлинность подписи, соответствие формата, а также правильность юридических реквизитов. Документы e-imza, направленные с неподтвержденного KEP-адреса или оформленные в соответствующем формате, возвращаются без рассмотрения. 

Все разделы досье должны быть актуальны на дату подачи: корпоративные решения и внутренние акты — не старше 30 календарных дней, техническая документация — в последней версии. Любое расхождение между представленными сведениями и данными в реестре MERSIS считается основанием для автоматического отказа.

Досье на получение лицензии Open Banking в Турции должно включать утвержденные документы, подтверждающие готовность системы и бизнес-модели. BRSA рассматривает не описание планов, а уже внедренные процедуры, закрепленные в официальных актах.

Обязательные материалы для оформления разрешения на Open Banking в Турции:

Остальные приложения включают подтверждение технической готовности API (отчеты о тестировании, акты приемки), макеты пользовательских экранов с логикой согласия, документы по резервному хранению данных и внутренние акты о запуске процедур KYC и SCA. При оформлении лицензии на Open Banking в Турции все материалы предоставляются на турецком языке и заверяются квалифицированной электронной подписью (nitelikli e-İmza) через систему E-Güven.

Рассмотрение досье и условия запуска Open Banking в Турции

После подачи заявки BRSA проводит двухэтапную проверку: сначала — технический и юридический скрининг, затем — анализ внедренных процедур и готовности инфраструктуры. Регулятор запрашивает дополнительные сведения, если возникают вопросы к модели монетизации, хранению данных или аудиту ключей. Ответы направляются с сопроводительной запиской и актуализированными документами.

Процедура fast-track применяется ограниченно. Ускоренное оформление лицензии на Open Banking в Турции доступно только компаниям, уже лицензированным BRSA по другим категориям, использующим локальную инфраструктуру и не подключаемым внешних подрядчиков. В таких случаях возможны ограничения по функционалу и сроку действия разрешения. Все прочие заявители проходят полную проверку.

Ответственность после получения разрешения на Open Banking в Турции

После оформления лицензии на Open Banking в Турции компания обязана соблюдать регламент BRSA, включая технические, правовые и операционные стандарты. Регулятор требует системной отчетности, охватывающей безопасность, инфраструктуру, финансовые результаты и соблюдение обязательств по защите данных. Форматы и периодичность отчетов фиксируются в лицензии и могут дополняться индивидуальными предписаниями. При обновлении платформы, смене руководства, смене модели согласия или выявлении инцидентов компания обязана сообщить об этом в течение 7 дней.

Плановые проверки проводятся по графику, утвержденному BRSA. Инспекция включает анализ API-интерфейсов, проверку журналов, аудит хранения ключей и оценку исполнения внутренних регламентов. Внеплановые проверки инициируются при поступлении жалобы, сбое в системе, жалобе банка-партнера или при выявлении нарушений в ходе анализа отчетности. Все действия инспекторов фиксируются в акте — компания обязана предоставить запрошенные данные в течение 72 часов.

Если в ходе надзора выявлены несоответствия, регулятор выносит предписание с указанием сроков устранения и объемом требуемых мер. Невыполнение предписания или повторное нарушение становится основанием для приостановки или аннулирования разрешения. В ряде случаев BRSA применяет штрафы, приостанавливает доступ к API или уведомляет банков-партнеров о недопустимости взаимодействия.

Налоги для провайдеров Open Banking в Турции

После получения лицензии на Open Banking в Турции ставка налога на прибыль (Corporate Income Tax, CIT) составляет 30 %.

Все сервисы, предоставляемые в рамках Open Banking в Турции (включая доступ к API, аналитическую обработку клиентских данных, техническое сопровождение и интеграционные услуги) облагаются НДС (VAT) по ставке 20 %. Услуги отрасли не входят в льготные категории, перечисленные в турецком Налоговом кодексе, поэтому сниженные ставки 1 % или 8 % не применяются.

В случае выплаты доходов нерезидентам применяется налог у источника (Withholding Tax). Базовые ставки: 15 % на дивиденды и 20 % на роялти и технические услуги. Эти ставки могут быть снижены в рамках соглашений об избежании двойного налогообложения (DTT), при условии предоставления сертификата налогового резидентства, а также регистрации соответствующей сделки в налоговой системе Турции. При отсутствии таких подтверждений применяется стандартная ставка без льгот.

Критические ошибки и блокирующие проблемы при запуске Open Banking в Турции

Наиболее частая причина провала — неверно выбранная модель запуска. Компания оформляет лицензию на Open Banking в Турции без действующей платформы или полагаясь на шаблонное решение, игнорирующее требования BRSA. Архитектура оказывается несопоставимой с техрегламентом: отсутствует централизованное управление доступами, нет защиты ключей, API не документированы. Это приводит к отклонению заявки без возможности доработки — система признается непригодной.

Вторая критическая ошибка — подача неполного или устаревшего досье. Даже при наличии технической реализации компании забывают включить регламенты, внутренние акты, протоколы назначения офицеров или подтверждение тестирования. Отсутствие хотя бы одного обязательного раздела автоматически приостанавливает рассмотрение. Сроки теряются, документы приходится переподписывать, повторно заверять и актуализировать через MERSIS. Ошибки в досье особенно опасны, если структура использует внешнего интегратора — ответственность все равно лежит на заявителе.

Еще один блокирующий фактор при внедрении Open Banking в Турции — некорректная реализация согласия и управления данными. Некоторые компании внедряют псевдо-консент:

• Согласие формируется автоматически. 
• Невозможно отозвать решение. 
• Пользователь не видит, какие именно данные передаются. 

BRSA квалифицирует такую реализацию как нарушение, даже если внешне интерфейс соответствует требованиям. Запуск Open Banking в Турции исключается при отсутствии прозрачного механизма согласия, подписанного квалифицированным способом и зафиксированного в логах.

Ошибки при взаимодействии с банками — еще одна причина срыва запуска. Без заранее согласованного SLA и валидированного API-подключения банк может отказать в интеграции. Такие отказы фиксируются в переписке и становятся известны регулятору. Даже после получения лицензии на Open Banking в Турции несогласованные действия с банками блокируют доступ к данным: компания фактически теряет возможность работать, несмотря на формальный статус.

Любая из этих ошибок ломает запуск Open Banking в Турции: возникают месячные задержки, расходы на переработку, пересмотр архитектуры, повторная подача заявки. В условиях fast-track такое несоответствие приводит к безусловному отказу без возможности диалога. Лицензия — это не просто разрешение, а точка проверки всей экосистемы. Ошибка в одной зоне тянет за собой срыв всего проекта.

Заключение

Оформление лицензии на Open Banking в Турции открывает доступ к банковской инфраструктуре на правах оператора: компания получает возможность напрямую инициировать транзакции, агрегировать данные по счетам и встраивать платежные функции в цифровые сервисы без участия сторонних провайдеров. Это принципиально меняет контроль над платежами, снижает издержки и позволяет реализовать собственные сценарии списания, пополнения и распределения средств.

Заявка рассматривается только при наличии полностью функционирующей системы. Регулятор требует не план запуска, а уже реализованную архитектуру: от защищенного API с логированием и криптографией до интерфейсов согласия и документированных внутренних процедур. Тестовые среды, временные меры или неполные назначения не принимаются — в процессе оценки проверяется каждый элемент на совместимость с техническим регламентом BRSA.

Даже частичная несостыковка (хостинг за пределами страны, отсутствие подписанного регламента или непрозрачная структура собственности) блокирует оформление лицензии на Open Banking в Турции. Ошибки в досье не подлежат исправлению: заявка возвращается без рассмотрения, сроки утрачиваются, а архитектуру приходится перестраивать. Регулятор рассматривает заявку как допуск в критическую инфраструктуру, а не как этап развития проекта.