Giriş
Dijital ticaretin hızla genişleyen ekosistemi içinde elektronik para ve ödeme kuruluşlarının sunduğu sanal POS hizmetleri, yalnızca teknik bir altyapı bileşeni olmanın çok ötesine geçmiş; taraflar arasında çok katmanlı hukuki sorumluluk ve risk dağıtım ilişkileri doğuran finansal-hukuki bir zemin haline gelmiştir. Bu zeminde gerçekleşen her ödeme işlemi, özünde bir tahsilat faaliyeti olmakla birlikte; aynı zamanda sözleşme hukuku, finansal regülasyon ve kart şeması kurallarının kesişiminde konumlanan karmaşık bir hukuki ilişkiler bütününü barındırmaktadır. Bu ilişkiler bütününün en kritik noktası, harcama itirazı (chargeback) mekanizmasıdır.
Sanal POS sağlayan fintech’ler açısından harcama itirazı, sıradan bir operasyonel prosedür olarak ele alınamaz. Zira bu mekanizma; 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun’un öngördüğü yükümlülükler, uluslararası kart şemalarının bağlayıcı kuralları ve taraflar arasındaki sözleşme düzenlemelerinin birbirini dönüşümlü olarak etkilediği, dinamik ve çok boyutlu bir hukuki alandır. Bu makalede söz konusu mekanizma; aktörler, sorumluluk rejimleri, fraud türleri ve sözleşmesel risk dağıtımı ekseninde elektronik para ve ödeme kuruluşları perspektifinden yeniden değerlendirilmektedir.
1. Sanal POS Modelinde Aktörler ve Hukuki İlişki Ağı
Sanal POS hizmeti, yapısal olarak birden fazla aktörü bünyesinde barındıran çok taraflı bir hukuki ilişkiler ağına dayanmaktadır. Bu ağın temel unsurları şöyle sıralanabilir: elektronik para veya ödeme kuruluşu (PSP), üye işyeri (merchant), kart hamili, kart ihraç eden (issuing) banka ve Visa, Mastercard gibi uluslararası kart şemaları.
Bu yapı içinde ödeme kuruluşunun konumu, klasik aracılık kavramının öngördüğünden çok daha işlevsel ve hukuki açıdan çok daha yüklü bir nitelik taşımaktadır. Şöyle ki ödeme kuruluşu, kart hamili ile doğrudan bir sözleşme ilişkisi kurmamakta; bununla birlikte işlemin teknik olarak gerçekleştirilmesinde, güvenliğinin sağlanmasında ve operasyonel bütünlüğünün korunmasında belirleyici bir işlev üstlenmektedir. Pek çok yapılanmada ödeme kuruluşu, acquiring fonksiyonunu da fiilen yerine getirmekte; bu durum ise onu hukuki açıdan salt bir teknik aracı olmaktan çıkararak işlemin güvenliğinden ve risk yönetiminden sorumlu bir konum olan fiili risk yöneticisi konumuna taşımaktadır.
Bu saptama, makalenin ilerleyen bölümlerinde ele alınacak sorumluluk tartışmalarının temel eksenini oluşturmaktadır.
2. Harcama İtirazı Sürecinin Sanal POS Özelindeki İşleyişi
Sanal POS işlemlerine özgü harcama itirazı süreci, genel hatlarıyla şu aşamalardan oluşmaktadır: kart hamilinin issuing bankaya başvurusu, işlemin chargeback olarak sınıflandırılması, talebin acquirer veya ödeme kuruluşuna iletilmesi, üye işyerinden savunma ve belge toplanması ile son olarak kart şeması kuralları çerçevesinde yapılan nihai değerlendirme.
Bu süreçte dikkat çekici olan husus, ödeme kuruluşunun üstlendiği rolün katmanlarıdır. Ödeme kuruluşu; sürecin koordinasyonunu yürütmekte, delil akışını yönetmekte ve çoğu durumda finansal riski fiilen taşıyan taraf konumuna gelmektedir. Bu durum, söz konusu aktörün hukuki statüsü ile fiili yükümlülükleri arasında belirgin bir asimetriye yol açmakta; “teknik aracı” nitelendirmesinin, uygulamada ne ölçüde gerçekçi olduğunu sorgulatmaktadır.
3. 6493 Sayılı Kanun Kapsamında Sorumluluk Çerçevesi
6493 sayılı Kanun, ödeme hizmeti sağlayıcılarına özellikle:
- işlem güvenliğini sağlama,
- yetkisiz işlemleri önleme,
- kullanıcı mağduriyetini giderme yükümlülükleri yüklemektedir.
Ancak sanal POS modelinde kritik ayrım şudur:
- Kart hamili ile doğrudan sözleşme ilişkisi çoğu zaman issuing kuruluştadır.
- Ödeme kuruluşu ise merchant tarafında konumlanır.
Bu nedenle ödeme kuruluşunun sorumluluğu:
- doğrudan kart hamili/kullanıcıya karşı değil,
- işlem güvenliğini sağlama ve sistem bütünlüğünü koruma yükümlülüğü üzerinden şekillenir.
Bununla birlikte, pratikte; chargeback süreçlerinin finansal etkisi çoğu zaman ödeme kuruluşuna yansımakta, bu da hukuki sorumluluk ile ekonomik yükün ayrışmasına neden olmaktadır.
4. Sorumluluğun Fiili Dağılımı: Normatif Çerçeve ile Uygulama Gerçekliği Arasındaki Fark
Normatif düzlem açısından değerlendirildiğinde tablo görece nettir: yetkisiz işlemlerde kart hamili korunur; ürün veya hizmetin ifasından merchant sorumludur; ödeme kuruluşu ise aracı sıfatıyla sınırlı bir sorumluluk üstlenir.
Ancak uygulama gerçekliği bu tabloyu önemli ölçüde karmaşıklaştırmaktadır. Dolandırıcılık/sahtekarlık (fraud) kaynaklı harcama itirazları öncelikle merchant’a yöneltilmekte; merchant’ın bu yükü karşılayamaması durumunda risk ödeme kuruluşuna devredilmektedir. Sistemsel açıkların varlığı halinde sorumluluk daha da yukarıya taşınmakta, zincirin her halkası bir öncekine dayanmaktadır.
Bu tablo bize temel bir çıkarım sunmaktadır: Sanal POS ekosisteminde sorumluluk, kanuni statüden ziyade fiili risk yönetim kapasitesine göre şekillenmektedir. Bir başka deyişle hukuki metinlerin öngördüğü sorumluluk hiyerarşisi ile operasyonel gerçekliğin dayattığı yük dağılımı arasında yapısal bir kopukluk mevcuttur.
| Aktör | Hukuki Statü | Temel Sorumluluk / Risk |
| Ödeme Kuruluşu (PSP) | Teknik Aracı / Acquirer | Sistem Güvenliği & Likidite Riski |
| Üye İşyeri (Merchant) | Hizmet Sağlayıcı | İfa ve Kanıtlama Yükümlülüğü |
| Kart Hamili | Ödeme Hizmet Kullanıcısı | İtiraz Hakkı (Chargeback) |
| Kart İhraç Eden Finansal Kuruluş (Issuer) | Kredi/Banka Kartı Sağlayıcı | Nihai Karar Verici (Şema Kuralları Dahilinde) |
5. Fraud Türleri ve Hukuki Yansımaları
Kart hamilinin yapacağı ve işlemin karta yansımasından itibaren her halükarda 540 günü aşamayacak olan harcama itirazı nedenleri 6 temel başlık altında toplanmaktadır:
I.Belge talepleri
II.Kart Hamilinin işlemi hatırlamaması
III. Provizyon hatası itirazları
IV.Kart hamili onayı dışında gerçekleşen işlemlere itirazlar (Dolandırıcılık İtirazları)
V. Süreç hatası itirazları
VI.İptal/İade işlem itirazları
VII. Ürün/Hizmet temini itirazları
Önemle belirtmek gerekir ki; işlem sırasında 3D Secure vb güvenli yöntemlerin kullanılması, kart hamillerinin ürün\hizmetin niteliğine ve\veya teslimine yönelik itiraz haklarını ortadan kaldırmamaktadır.
Sanal POS işlemlerinde harcama itirazı uyuşmazlıklarının büyük çoğunluğu, üç temel fraud senaryosu etrafında yoğunlaşmaktadır.
a) Yetkisiz Kart Kullanımı
Kart bilgilerinin üçüncü bir kişi tarafından ele geçirilmesi ve bu bilgiler aracılığıyla işlem gerçekleştirilmesi durumunda temel hukuki sorun, sorumluluk atfının nereye yapılacağıdır. Özellikle 3D Secure doğrulama sisteminin devreye alınmadığı işlemlerde ödeme kuruluşunun güvenlik yükümlülüğünü ne ölçüde yerine getirdiği meselesi belirleyici önem taşımaktadır. Zira 3D Secure’un yapılandırılmaması ya da zorunlu tutulmaması, ödeme kuruluşunun güvenlik standartlarına uyum yükümlülüğü kapsamında bağımsız bir sorumluluk sebebi oluşturabilecektir.
b) 3D Secure Doğrulamasına Rağmen Yöneltilen İtiraz
Kart hamilinin işlemi bizzat onaylamış olmasına karşın sonradan itiraz yoluna gitmesi, “ağır ihmal” kavramının yorumlanması bakımından ciddi güçlükler doğurmaktadır. 6493 sayılı Kanun çerçevesinde kullanıcının katkı payı sorumluluğunun değerlendirilmesi, her somut olayın koşullarına bağlı olmakla birlikte, kanıtlanmış bir doğrulama kaydının varlığı belirleyici bir unsur olarak öne çıkmaktadır.
c) “Friendly” Fraud
İşlemin hukuka uygun şekilde gerçekleşmesine karşın kart hamilinin bilinçli olarak itiraz yoluna başvurduğu bu senaryo, ispat yükü ve kötüye kullanım sınırının belirlenmesi açısından belki de en tartışmalı alandır. Bu durum, yalnızca ödeme kuruluşunun değil, aynı zamanda merchant’ın da hukuki korunma mekanizmalarına başvurma gerekliliğini gündeme getirmektedir.
Bu üç senaryonun ortak paydası şudur: hiçbiri standart bir normun mekanik uygulanmasıyla çözüme kavuşturulamaz; her biri olay bazlı değerlendirme, güçlü belgeleme ve şema kurallarının titizlikle takibi gerektiren bir hukuki analiz sürecini zorunlu kılmaktadır.
6. Sözleşmelerin Belirleyici İşlevi
Sanal POS ekosisteminde hukuki riskin pratik dağılımını en çok belirleyen araç, kuşkusuz sözleşmelerdir. Bu bağlamda üç yapısal düzenleme özellikle önem taşımaktadır.
Üye işyeri sözleşmeleri (merchant agreements), chargeback sorumluluğunun hangi koşullarda merchant’a yansıtılacağını, fraud riskinin nasıl paylaştırılacağını ve bloke ile teminat mekanizmalarının hangi ölçütlere göre devreye gireceğini belirler. Sorumluluk ve tazminat (liability ve indemnity) hükümleri ise ödeme kuruluşunun üstlendiği riskin sözleşmesel olarak geri aktarılmasını ve zarar tazmini rejimini düzenler. Son olarak operasyonel yükümlülüklere ilişkin düzenlemeler; 3D Secure kullanım zorunluluğu, fraud önleme araçlarının yapılandırılması, web sitesi güvenlik sertifikaları ve uyum standartları gibi teknik gereklilikleri hukuki bir çerçeveye bağlar.
Bu noktada temel bir saptama kaçınılmaz hale gelmektedir: Sanal POS ekosisteminde hukuki risk, büyük ölçüde kanun koyucunun değil; sözleşme taraflarının iradesinin şekillendirdiği bir alanda yeniden inşa edilmektedir. Sözleşme mimarisi ne denli güçlü kurgulanırsa, ödeme kuruluşunun maruz kaldığı hukuki ve finansal belirsizlik o ölçüde azalmaktadır.
Sonuç itibariyle, sanal POS hizmet sağlayıcısı konumundaki finansal kuruluşlar bakımından üye işyeri sözleşmesi, yalnızca ticari şartların hüküm altına alındığı bir metin değil; aynı zamanda operasyonel asimetriden doğan finansal risklerin hukuki olarak paylaştırıldığı bir risk transfer enstrümanıdır. Bu noktada, harcama itirazı (chargeback) kaynaklı risklerin bertaraf edilmesi amacıyla kurgulanacak sözleşmesel mekanizmalar, kuruluşun likidite bütünlüğünü ve özkaynak yapısını doğrudan koruma altına almaktadır. Zira ödeme kuruluşu, kart şeması kuralları uyarınca itiraza konu tutarı kart hamili bankasına (issuer) iade etmekle yükümlü kılınırken; bu tutarın üye işyerinden rücu edilememesi ihtimali, kuruluşu ‘teknik aracı’ sıfatından çıkarıp ‘nihai risk üstlenicisi’ konumuna itmektedir. Dolayısıyla, sözleşme mimarisinde yer alan bloke (rolling reserve), hapis hakkı, kayıtsız şartsız rücu yetkisi ve ispat yükünün ters çevrilmesi gibi koruyucu hükümler; finansal kuruluşun maruz kaldığı bu ‘yansıma riski’ni (reflection risk) minimize ederek, operasyonel süreçlerin regülatif uyumla senkronize edilmesini sağlayan en stratejik savunma hattını oluşturmaktadır.
7. Kart Şeması Kurallarının Fiili Regülatif İşlevi
Visa, Mastercard ve diğer uluslararası kart şemalarının belirlediği kurallar; chargeback reason code’ları, delil standartları, süreler ve prosedürel gereklilikler bakımından tüm taraflar için bağlayıcı bir çerçeve oluşturmaktadır. Söz konusu kuralların pratikte ulusal mevzuatın önüne geçtiği durumlar yadsınamayacak biçimde karşımıza çıkmaktadır.
Bu olgu, ödeme kuruluşlarının uyum yükümlülüğünü iki katmanlı bir yapıya kavuşturmaktadır: bir yanda 6493 sayılı Kanun ve ikincil düzenlemeler; öte yanda kart şemalarının sürekli güncellenen operasyonel kuralları. Bu ikili uyum rejiminde herhangi bir katmanın göz ardı edilmesi, telafi edilmesi güç hukuki ve finansal sonuçlara yol açabilmektedir. Dolayısıyla kart şeması kuralları, salt sözleşmesel bir referans noktası olarak değil; fiili bir regülatif kaynak olarak değerlendirilmek zorundadır. Zira kart şeması kuralları, sözleşme serbestisi ilkesi çerçevesinde çoğu zaman ulusal mevzuatın gri alanlarını dolduran “de facto” bir regülasyon işlevi görmektedir.
8. Sonuç
Elektronik para ve ödeme kuruluşlarının sunduğu sanal POS hizmetleri bağlamında harcama itirazı mekanizması; tüketici korumasına yönelik tekil bir araçtan ibaret olmayıp, çok katmanlı bir risk yönetim sistemi ve sözleşmesel olarak yeniden dağıtılan bir maliyet yapısıdır. Bu yapının temel özellikleri şöyle özetlenebilir: hukuki sorumluluk ile ekonomik yük çoğu zaman örtüşmemekte; regülasyon temel çerçeveyi belirlerken ayrıntılar sözleşmeler aracılığıyla şekillenmekte; ödeme kuruluşları ise fiiliyatta üstlendikleri risk yöneticisi rolünü hukuki bir altyapıya oturtmak durumunda kalmaktadır.
Bu çerçevede sanal POS sağlayan fintech’ler açısından asıl mesele, harcama itirazlarını reaktif biçimde yönetmek değil; bu süreçten doğan hukuki ve finansal riski ex ante, yani önceden ve yapısal olarak doğru biçimde kurgulamaktır. Bu kurgunun üç vazgeçilmez bileşeni mevcuttur: güçlü ve öngörülü bir sözleşme mimarisi, etkin bir fraud yönetim altyapısı ve ulusal regülasyon ile uluslararası kart şeması kurallarının birlikte, bütünleşik bir perspektifle okunması.
Söz konusu bileşenlerin bütünleşik şekilde hayata geçirilmesi, sanal POS ekosisteminde hukuki güvenliği ve operasyonel sürdürülebilirliği sağlamanın yalnızca tavsiye edilen değil, zorunlu olan yoludur.
Kaynakça:
- 6493 sayılı Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun
- https://www.mastercard.com/content/dam/mccom/shared/business/support/rules-pdfs/chargeback-guide.pdf
Turkish