Open Banking у Туреччині

Існує два формати дозволів. Перший — AIS: він надає право запитувати дані про рахунок, включно із залишком, історією операцій та реквізитами. Другий — PIS: дозволяє здійснювати переказ коштів з рахунку клієнта, наприклад, під час оплати підписки або переказу коштів між користувачами. Ліцензія може охоплювати один або обидва формати відповідно до бізнес-моделі. Діяльність повністю регулюється BRSA та потребує окремого погодження ще до старту.

Що дає впровадження Open Banking у Туреччині, та для кого це необхідність

Запровадження Open Banking у Туреччині дозволяє фінтех-компаніям інтегрувати банківські функції безпосередньо в інтерфейси користувачів: платежі, перевірку балансу та інші операції виконуються без перенаправлення на сторонні платформи. Це спрощує підписові сервіси, автоматичні розрахунки з постачальниками та роботу маркетплейсів з розподілом коштів між учасниками.

Провайдер отримує право підключатися до банківських API, ініціювати перекази та обробляти дані за умови використання персональних ідентифікаторів і наявності згоди клієнта. Верифікація є обов’язковою в будь-якому сценарії — навіть при підключенні через технічного посередника.

Запуск Open Banking у Туреччині відкриває доступ до безпосередньої взаємодії з банківськими рахунками користувача. Можна діяти від імені клієнта при отриманні інформації про баланс, ініціюванні переказів і підтвердженні операцій через API. З’являються нові можливості: 

• Оплата на платформі здійснюється безпосередньо з рахунку клієнта без використання сторонніх платіжних шлюзів.
• Маркетплейси можуть автоматично розподіляти кошти між продавцями, утримуючи комісію й податки під час розрахунку.
• Платіжні сервіси підключають сценарії з автоматичним списанням, частковими оплатами та поповненням за запитом через банківський інтерфейс.

Фінтех-сервіс самостійно керує маршрутизацією транзакції та логікою погодження, без необхідності перенаправлення клієнта на зовнішні інтерфейси. Така архітектура неможлива без отримання статусу провайдера PIS або AIS.

Отримання ліцензії на Open Banking у Туреччині є обов’язковим для фінтех-сервісів, які отримують банківські дані за запитом користувача та відображають їх у своєму інтерфейсі. До цієї категорії належать:

• Мобільні додатки з функцією перегляду балансу та історії операцій за рахунком.
• Платформи, що агрегують дані з кількох банків і відображають їх в єдиному інтерфейсі.
• Сервіси управління особистими фінансами (PFM) з візуалізацією витрат, категоризацією видатків та прогнозами.
• Бухгалтерські та податкові online-системи, які підключають банківські виписки клієнта.
• Будь-які рішення B2B або B2C, де дані використовуються при розрахунках, у повідомленнях, прогнозах або при передачі третім особам, навіть не відображаючи їх.

Також впровадження Open Banking у Туреччині необхідне для корпоративних панелей в ERP, де відображаються дані з банківських каналів контрагентів або співробітників. Нарешті, до цієї категорії належать будь-які інші інтерфейси, у яких відображається інформація, отримана через API з використанням ідентифікатора клієнта та його згоди.

Перед впровадженням Open Banking у Туреччині варто розглянути винятки. Ліцензія не потрібна, якщо компанія виконує виключно технічні завдання, що не потребують доступу до користувацьких даних чи контактів з кінцевим клієнтом. Це допустимо, якщо надаються послуги хостингу, підтримки або розробки інтерфейсу за дорученням ліцензованого провайдера, коли всі дії юридично оформлені від його імені. 

Моделі White-label звільнені від реєстрації, якщо кінцевий користувач взаємодіє виключно з брендом зареєстрованого оператора, при цьому обробка даних і управління згодою повністю формально та фактично закріплені за ним. 

Юридичні та організаційні вимоги для впровадження Open Banking у Туреччині

Для оформлення ліцензії Open Banking у Туреччині необхідно зареєструвати компанію в межах країни та дотримуватися таких умов:

• Наявність фізичного офісу у місті фактичного провадження діяльності (віртуальні адреси не приймаються).
• Підтверджена юридична адреса, внесена до торгового реєстру (MERSIS), з актуальною реєстрацією в системі електронних повідомлень (KEP). 
• Чинний податковий номер (Vergi Kimlik Numarası), виданий податковою інспекцією за місцем реєстрації фірми, а також постановка на облік у SGK (у разі наявності працівників).
• Відкритий корпоративний рахунок у банку, який діє на території країни та перебуває під наглядом BDDK.

Заявки від іноземних юридичних осіб, офшорних структур, трастів та представництв не приймаються. Також для запуску Open Banking у Туреччині компанія має бути в активному статусі в системі MERSİS та мати відповідний NACE-код (62 або 64).

До того, як впровадити Open Banking у Туреччині, необхідно зареєструвати бізнес у формі Limited Şirket (Ltd. Şti.) або Anonim Şirket (A.Ş.). Реєстрація в інших формах (зокрема філії іноземних компаній, представництва, трасти та партнерства) не допускається. Формально достатньо одного засновника та одного директора, проте під час розгляду BRSA вимагає структуру з розподіленими функціями: 

• Окремо призначений директор, зафіксований у статуті та який має право керувати діяльністю компанії у повному обсязі.
• Особа, відповідальна за дотримання вимог законодавства (compliance officer), з досвідом роботи в регульованому секторі та правом ухвалення рішень щодо внутрішніх політик.
• Керівник з інформаційної безпеки (CISO), відповідальний за впровадження технічних і процедурних заходів відповідно до нормативів BRSA.

Також для впровадження Open Banking у Туреччині знадобиться представник, який здійснюватиме взаємодію з регулятором. Це фізична особа з постійним місцем проживання в країні, офіційно уповноважена приймати повідомлення від BRSA та координувати кореспонденцію від імені компанії. Вона має бути зареєстрована у статутних документах і мати право діяти без додаткового схвалення з боку засновників.

Право підпису, доступ до банківських рахунків і повноваження щодо операційних рішень мають бути закріплені в статуті або корпоративному рішенні й підтверджені під час подання заявки.

Перш ніж впроваджувати Open Banking у Туреччині, необхідно призначити персонально відповідальних за управління ризиками, операційну діяльність і дотримання нормативних вимог. У структурі компанії має бути принаймні один директор або керівник, який є податковим резидентом Туреччини та має підтверджений досвід у фінансовому або технологічному секторі. Роль compliance officer виділяється окремо: вона не може поєднуватися з іншими посадами та потребує доступу до внутрішніх процедур, звітності й комунікації з BRSA. Використання номінальних ланцюгів, прихованої участі в капіталі через трасти, проксі або непрозорі холдинги не допускається. 

Впровадження Open Banking у Туреччині допускає участь іноземних інвесторів без обмеження частки за умови повного розкриття структури власності. Капітал має мати підтверджене походження, а контроль над компанією — бути юридично оформленим через прозорий ланцюг володіння. Залучення іноземних холдингів, закордонних фізичних осіб або компаній з офшорною юрисдикцією дозволяється за наявності документів щодо всієї структури: 

• Статутів. 
• Угод між акціонерами. 
• Декларації про бенефіціарну власність та фінансові звіти.

Під час оцінки заявки регулятор враховує не лише документи, а й ділову репутацію інвестора, наявність активів, боргове навантаження та зв’язок з юрисдикціями, що підпадають під міжнародні санкції. До впровадження Open Banking у Туреччині за участю іноземного капіталу необхідно підтвердити, що особа, на яку покладені функції контролю, не пов’язана з ризиковими регіонами й повністю розкрита у досьє.

Вимоги до капіталу при впровадженні Open Banking у Туреччині

Для відкриття Open Banking у Туреччині необхідно підтвердити мінімальний статутний капітал: від 2 000 000 турецьких лір (≈49 300$). Суму вносять у повному обсязі до подання заявки, без розстрочок, кредитів, негрошових внесків або поруки. Допускається лише прямий грошовий переказ від засновників з зарахуванням на корпоративний рахунок у турецькому банку, що перебуває під наглядом BDDK. Підтвердження транзакції додається до заявки, а сам платіж фіксується в системі MERSİS як частина статутних зобов’язань. 

Якщо заявка подається на комбіновану модель (одночасне виконання функцій AIS і PIS) або передбачається використання складної архітектури (інтеграція в схеми white-label, багаторівневе розподілення функцій чи технічний контроль над сторонніми інтерфейсами), BRSA має право вимагати збільшення капіталу. Підстави залежать від характеру послуг, кількості підключень, ступеня відповідальності за управління транзакціями та доступу до користувацьких даних. У таких випадках запитуються фінансові моделі, план покриття операційних ризиків та документальне підтвердження резервів. Підвищена сума також вноситься заздалегідь і підтверджується до початку розгляду.

Операційні вимоги для запуску Open Banking у Туреччині: персонал, процедури, внутрішній контроль.

До подання заяви на Open Banking у Туреччині необхідно призначити ключових співробітників. Фахівців оформляють відповідно до статуту, корпоративного рішення або протоколу ради. Обов’язкові дві посади: 

1. Compliance officer контролює виконання вимог BRSA, відповідає за аудит внутрішньої документації, фіксацію згод, подання звітності та дотримання всіх процедур доступу до даних. 
2. Фахівець з інформаційної безпеки (CISO) забезпечує контроль прав доступу, захищеність клієнтських даних, впровадження технічних заходів захисту, ведення журналів операцій та управління інцидентами. 

Обидві посади мають бути незалежними: їх не можна поєднувати з комерційними або управлінськими функціями, вони не можуть підпорядковуватися особам, відповідальним за продажі, маркетинг або продукт. Призначення підтверджуються резюме, трудовими контрактами, копіями дипломів та документами про стаж. 

При запуску Open Banking у Туреччині компанія зобов’язана впровадити внутрішні процедури KYC, управління згодою, логування та обробки скарг відповідно до вимог BRSA. Усі дії (від запиту даних до їх відображення) мають бути зафіксовані в системі та розподілені за рівнями доступу. Процес отримання та відкликання згоди має бути прозорим і відтворюваним. Користувач у момент авторизації повинен бачити, які дані передаються, з якою метою та на який термін. 

Будь-які помилки в логіці, технічні збої або користувацькі претензії підлягають обов’язковій фіксації та подальшому аналізу. Скарги мають реєструватися та розглядатися у строки, затверджені внутрішнім регламентом, а інформація про дії за ними включається до звітності для регулятора.

Перед впровадженням Open Banking у Туреччині необхідно розробити внутрішні політики. Вони мають охоплювати: 

1. Порядок доступу до даних, зокрема розмежування прав, принципи авторизації та умови екстреного доступу.
2. Використання API: реєстрація ключів, контроль запитів, правила взаємодії з банківськими системами та ліміти викликів. 
3. Захист конфіденційної інформації: методи шифрування, зберігання згод, ізоляція чутливих даних та аудит звернень.
4. Дії при збоях системи: порядок виявлення інциденту, повідомлення клієнта, відновлення роботи та документування події. 

BRSA перевіряє не лише наявність документації, а також її впровадження: хто затвердив регламент, хто відповідає за виконання та як фіксується дотримання. Вимоги до Open Banking у Туреччині включають обов’язкове ведення журналів звернень до банківських даних із зазначенням користувача, часу, мети та результату. Не допускається масовий або паралельний доступ без авторизації, використання одного облікового запису кількома співробітниками, а також відсутність системного логування. Виявлені відхилення від процедур вважаються порушенням ліцензійних умов.

Перед поданням заявки компанія зобов’язана впровадити систему резервного копіювання, архівування та відновлення всіх критично важливих даних: профілів користувачів, історії запитів, журналів операцій, підтверджень згоди та листування з клієнтами. Під час оформлення ліцензії на Open Banking у Туреччині перевіряється організація зберігання цих даних — місце розташування серверів, порядок доступу та відповідальні за їх збереження особи. Розташування даних дозволяється лише в межах Туреччини або на хмарних платформах, сертифікованих відповідно до стандартів BRSA. Мінімальний термін зберігання — 10 років з гарантованим доступом до даних у можливому для читання вигляді за запитом регулятора або під час інспекційної перевірки.

Технічні вимоги та архітектура під час запуску турецького Open Banking-сервісу

Оформлення ліцензії на Open Banking у Туреччині можливе лише за наявності повністю функціональної інфраструктури. Усі дії з банківськими даними клієнта (перегляд, аналіз, ініціювання транзакцій або передача третім особам) допускаються виключно через API-інтерфейс, що підтримує: 

• Шифрування. 
• Реєстрацію викликів. 
• Контроль доступу. 
• Відповідність технічному регламенту BRSA. 

Використання нестандартизованих з’єднань, прямої інтеграції без посередництва API або несертифікованих шлюзів заборонено. BRSA перевіряє не лише архітектуру системи, а й технічні політики, схеми підключення, принципи автентифікації та журналювання всіх операцій.

Перед впровадженням Open Banking у Туреччині необхідно реалізувати вимоги до API. Система має зберігати дані про тип операції, ініціатора, час, мету, статус виконання та використаний ключ. Журнали звернень формуються в режимі реального часу, захищені від змін і доступні для інспекції. Навіть при простому перегляді інформації обов’язкове підписання користувачем (з прив’язкою до конкретного запиту та підтвердженням згоди). Криптографічні ключі, які використовуються для доступу та шифрування, мають бути згенеровані сертифікованим способом, закріплені за конкретним користувачем і зберігатися у керованому середовищі. Регулятор перевіряє не лише наявність системи, а й проведення аудиту ключів, систему оформлення відгуків, права на видачу та тригери активації доступу.

Для впровадження Open Banking у Туреччині необхідно реалізувати повноцінну систему автентифікації та управління згодою. Використовується обов’язкова багатофакторна перевірка (2FA) та Strong Customer Authentication (SCA), заснована на одноразових кодах, біометрії або криптографічних токенах. Рівні доступу закріплюються в політиці безпеки: оператор не має права ініціювати передачу або обробку даних без активного підтвердження клієнта.

Кожна дія з фінансовими даними потребує окремої та документально зафіксованої згоди. Користувач повинен отримати вичерпну інформацію про склад переданих даних, мету, обсяг, строк зберігання та право на відмову. Згода оформляється інтерактивно (через окремий екран або спливне вікно) та підтверджується кваліфікованим методом ідентифікації. Закінчення строку дії, відкликання або зміна умов автоматично блокують відповідні виклики API, а факт блокування фіксується в логах.

Дані, включно з журналами дій, повинні зберігатися на території Туреччини — або на власних серверах компанії, або у хмарі, сертифікованій за стандартами BRSA. Хостинг має мати відмовостійку архітектуру, автоматичне резервне копіювання та фізичний контроль доступу до інфраструктури. Мінімальний строк зберігання — 10 років. Вся інформація має бути доступною у зручному для читання форматі під час будь-якої перевірки.

Перед видачею дозволу (Open Banking у Туреччині) регулятор перевіряє не лише архітектуру системи, а також її функціональність: від схем маршрутизації до логіки зберігання та відновлення даних. Невиконання хоча б однієї з умов розглядається як підстава для відмови.

Хочете проконсультуватися?

Зв'яжіться з нашими експертами й отримайте відповіді на Ваші запитання.

Замовити консультацію

Подача заявки та процедура отримання дозволу на Open Banking у Туреччині

Заявка на запуск Open Banking у Туреччині подається до Агентства банківського регулювання та нагляду (BRSA) через систему e-Devlet та підтверджену корпоративну електронну пошту (KEP-адресу). Відправлення можливе лише після реєстрації компанії в MERSIS, отримання e-imza та активації KEP-адреси, пов’язаної з юридичною особою. Досьє оформлюється в машиночитному форматі, підписується кваліфікованим електронним підписом і подається захищеним каналом зв’язку з фіксацією дати й часу подання.

Регулятор перевіряє наявність усіх обов’язкових компонентів, автентичність підпису, відповідність формату, а також правильність юридичних реквізитів. Документи e-imza, надіслані з непідтвердженої KEP-адреси або оформлені у невідповідному форматі, повертаються без розгляду. 

Усі розділи досьє повинні бути актуальними на дату подання: корпоративні рішення та внутрішні акти — не старші за 30 календарних днів, технічна документація — в останній версії. Будь-яка невідповідність між наданою інформацією та даними в реєстрі MERSIS вважається підставою для автоматичної відмови.

Досьє на отримання ліцензії Open Banking у Туреччині має містити затверджені документи, які підтверджують готовність системи та бізнес-моделі. BRSA розглядає не опис планів, а вже впроваджені процедури, закріплені в офіційних актах.

Обов’язкові матеріали для оформлення дозволу на Open Banking у Туреччині:

Інші застосунки потребують підтвердження технічної готовності API (звіти про тестування, акти приймання), макети користувацьких екранів з логікою згоди, документи щодо резервного зберігання даних та внутрішні акти про запуск процедур KYC і SCA. Під час оформлення ліцензії на Open Banking у Туреччині всі матеріали надаються турецькою мовою й засвідчуються кваліфікованим електронним підписом (nitelikli e-İmza) через систему E-Güven.

Розгляд досьє та умови запуску Open Banking у Туреччині

Після подання заявки BRSA проводить двоетапну перевірку: спочатку — технічний та юридичний скринінг, потім — аналіз впроваджених процедур і готовності інфраструктури. Регулятор запитує додаткові відомості у разі виникнення питань щодо моделі монетизації, зберігання даних або аудиту ключів. Відповіді надсилаються з супровідною запискою та актуалізованими документами.

Процедура fast-track застосовується обмежено. Прискорене оформлення ліцензії на Open Banking у Туреччині доступне лише компаніям, які вже ліцензовані BRSA за іншими категоріями, використовують локальну інфраструктуру та не залучають зовнішніх підрядників. У таких випадках можливі обмеження за функціоналом та терміном дії дозволу. Усі інші заявники проходять повну перевірку.

Відповідальність після отримання дозволу на Open Banking у Туреччині

Після оформлення ліцензії на Open Banking у Туреччині компанія зобов’язана дотримуватися регламенту BRSA, зокрема технічних, юридичних та операційних стандартів. Регулятор вимагає системної звітності, що охоплює безпеку, інфраструктуру, фінансові результати та дотримання зобов’язань щодо захисту даних. Форми та періодичність звітів визначаються в ліцензії та можуть доповнюватися індивідуальними приписами. При оновленні платформи, зміні керівництва, зміні моделі згоди або виявленні інцидентів компанія зобов’язана повідомити про це протягом 7 днів.

Планові перевірки проводяться за графіком, затвердженим BRSA. Інспекція включає аналіз API-інтерфейсів, перевірку журналів, аудит збереження ключів та оцінку виконання внутрішніх регламентів. Позапланові перевірки ініціюються у разі надходження скарги, збоїв у системі, скарги банку-партнера або виявлення порушень під час аналізу звітності. Всі дії інспекторів фіксуються в акті — компанія зобов’язана надати запитувані дані протягом 72 годин.

Якщо в ході нагляду виявлено невідповідності, регулятор видає припис із зазначенням термінів усунення та обсягом необхідних заходів. Невиконання припису або повторне порушення стає підставою для призупинення або анулювання дозволу. У низці випадків BRSA застосовує штрафні санкції, призупиняє доступ до API або інформує банківських партнерів про недопустимість взаємодії.

Податки для провайдерів Open Banking у Туреччині

Після отримання ліцензії на Open Banking у Туреччині ставка податку на прибуток (Corporate Income Tax, CIT) становить 30 %.

Всі сервіси, що надаються в рамках Open Banking у Туреччині (включно з доступом до API, аналітичною обробкою клієнтських даних, технічним супроводом та інтеграційними послугами), оподатковуються ПДВ (VAT) за ставкою 20 %. Послуги галузі не входять до пільгових категорій, перелічених у Турецькому податковому кодексі, тому знижені ставки 1 % або 8 % не застосовуються.

У разі виплати доходів нерезидентам застосовується податок у джерела виплати (Withholding Tax). Базові ставки: 15 % на дивіденди та 20 % на роялті й технічні послуги. Ці ставки можуть бути знижені в межах угод про уникнення подвійного оподаткування (DTT) за умови надання сертифіката податкового резидентства, а також реєстрації відповідної операції в податковій системі Туреччини. У разі відсутності таких підтверджень застосовується стандартна ставка без пільг.

Критичні помилки та блокувальні проблеми під час запуску Open Banking у Туреччині

Найпоширенішою причиною невдачі є неправильно обрана модель запуску. Компанія отримує ліцензію на Open Banking у Туреччині без наявної платформи або покладається на шаблонне рішення, що ігнорує вимоги BRSA. Архітектура виявляється несумісною з техрегламентом: відсутнє централізоване управління доступами, відсутній захист ключів, API не документовані. Це призводить до відхилення заявки без можливості доопрацювання — систему визнають непридатною.

Друга критична помилка — подання неповного або застарілого досьє. Навіть за наявності технічної реалізації компанії забувають включити регламенти, внутрішні акти, протоколи призначення службовців (officers) або підтвердження тестування. Відсутність хоча б одного обов’язкового розділу автоматично призупиняє розгляд. Терміни втрачаються, документи доводиться перепідписувати, повторно засвідчувати й актуалізувати через MERSIS. Помилки в досьє особливо небезпечні, якщо структура використовує зовнішнього інтегратора — відповідальність усе одно лежить на заявнику.

Ще одним фактором, що ускладнює впровадження Open Banking у Туреччині, є некоректна реалізація згоди та управління даними. Деякі компанії впроваджують псевдозгоду:

• Згода формується автоматично. 
• Неможливо відкликати рішення. 
• Користувач не бачить, які саме дані передаються. 

BRSA кваліфікує таку реалізацію як порушення, навіть якщо зовнішній інтерфейс відповідає вимогам. Запуск Open Banking у Туреччині виключається за відсутності прозорого механізму згоди, підписаної кваліфікованим способом і зафіксованої у логах.

Помилки у взаємодії з банками — додаткова причина зриву запуску. Без заздалегідь погодженого SLA та дозволеного API-підключення банк може відмовити в інтеграції. Такі відмови фіксуються в листуванні та стають відомі регулятору. Навіть після отримання ліцензії на Open Banking у Туреччині неузгоджені дії з банками блокують доступ до даних: компанія фактично втрачає можливість працювати, хоч і отримала формальний статус.

Будь-яка з цих помилок руйнує запуск Open Banking у Туреччині: виникають місячні затримки, витрати на доопрацювання, перегляд архітектури та повторна подача заявки. В умовах fast-track така невідповідність призводить до безумовної відмови без можливості діалогу. Ліцензія — це не просто дозвіл, а точка перевірки всієї екосистеми. Помилка в одній зоні спричиняє зрив усього проєкту.

Висновок

Оформлення ліцензії на Open Banking у Туреччині відкриває доступ до банківської інфраструктури на правах оператора: компанія отримує можливість безпосередньо ініціювати транзакції, агрегувати дані за рахунками та інтегрувати платіжні функції у цифрові сервіси без участі сторонніх провайдерів. Це принципово змінює контроль над платежами, знижує витрати та дозволяє реалізувати власні сценарії списання, поповнення й розподілу коштів.

Заявка розглядається лише за наявності повністю функціональної системи. Регулятор вимагає не план запуску, а вже реалізовану архітектуру: від захищеного API з логуванням і криптографією до інтерфейсів згоди та документованих внутрішніх процедур. Тестові середовища, тимчасові заходи або неповні призначення не приймаються — у процесі оцінки перевіряється кожен елемент на сумісність з технічним регламентом BRSA.

Навіть часткова невідповідність (розміщення хостингу за межами країни, відсутність підписаного регламенту або непрозора структура власності) блокує оформлення ліцензії на Open Banking у Туреччині. Помилки в досьє не підлягають виправленню: заява повертається без розгляду, строки втрачаються, а архітектуру доводиться перебудовувати. Регулятор розглядає заявку як допуск до критичної інфраструктури, а не як етап розвитку проєкту.