6 Mart 2026’da FinCEN, New York merkezli broker-dealer Canaccord Genuity’ye 80 milyon dolar ceza verdi. Bu rakam, bir broker-dealer’a Bank Secrecy Act kapsamında verilmiş en büyük ceza. Tarihte ilk.

Aynı gün SEC 20 milyon dolar, FINRA da 20 milyon dolar ceza açıkladı. Üç düzenleyici koordineli hareket etti. Canaccord toplamda 80 milyon dolar ödeyecek çünkü FinCEN, SEC ve FINRA’ya yapılan ödemeleri kendi cezasından mahsup etti. Ama mesaj açık: bu firma sistemik olarak başarısız oldu ve düzenleyiciler bunu affetmedi.

FinCEN Direktörü Andrea Gacki’nin ifadesi sert: “Bu, AML yükümlülüklerini bilerek yerine getirmeyen broker-dealer’lar için bir uyandırma çağrısı olmalı.”

Ne Oldu?

Canaccord Genuity, Kanada merkezli bir finansal hizmetler grubunun ABD’deki broker-dealer kolu. SEC’e kayıtlı, FINRA üyesi. Ana iş alanlarından biri OTC (tezgah üstü) piyasada market making, özellikle microcap ve penny stock’larda.

Penny stock’lar zaten yüksek riskli enstrümanlar. Düşük fiyatlı, düşük hacimli, manipülasyona açık. Pump-and-dump şemalarının en sevdiği alan. Bir broker-dealer penny stock işi yapıyorsa, AML programının bu risklere özel olarak kalibre edilmesi gerekiyor. Canaccord’da bu kalibre hiçbir zaman düzgün yapılmadı.

İhlaller Mart 2018’den Haziran 2024’e kadar devam etti. Altı yıl. Bu altı yıl boyunca Canaccord’un AML programı kağıt üzerinde vardı ama pratikte çalışmıyordu.

Neler Eksikti?

Sorunları tek tek sıralamak yerine büyük resme bakmak daha anlamlı çünkü burada birbirine bağlı bir dizi başarısızlık var.

İşlem izleme sistemi yetersizdi. Firma, yüksek riskli OTC ticaretindeki şüpheli kalıpları tespit etmek için trade surveillance raporları kullanıyordu ama bu raporlar çoğu zaman incelenmeden bırakıldı. Daha kötüsü, alarm sayısını azaltmak için raporların kapsamı bilerek daraltıldı. Yani firma alarmlarla uğraşmak istemediği için alarmın sesini kıstı.

Müşteri durum tespiti yapılmadı. Yüksek riskli ülkelerden gelen müşteriler, kaynak servet sorgulaması yapılmadan kabul edildi. Yabancı finansal kurumlarla açılan muhabir hesaplarda zorunlu CDD bile tamamlanmadı.

SAR dosyalama başarısız oldu. FinCEN’in tespitine göre firma en az 160 SAR dosyalamadı. Bu 160 SAR, düzinelerce farklı OTC menkul kıymetle ilgiliydi ve arkasında binlerce şüpheli işlem vardı. Binlerce.

Compliance personeli yetersizdi. AML ekibinin ne yeterli eğitimi vardı ne de yeterli kaynağı. BSA Officer’ın sorumluluğunu yerine getirecek araçları ve yetkisi yoktu. Firma, compliance’a gereken bütçeyi ayırmadı.

Ve belki en rahatsız edici detay: düzenleyiciler daha önce uyarmıştı. Önceki denetim sınavlarında AML zafiyetleri tespit edilmişti ama firma yıllarca anlamlı bir düzeltme yapmadı.

Pump-and-Dump Bağlantısı

Bu vakanın merkezinde penny stock manipülasyonu var. Pump-and-dump şeması basit: düşük fiyatlı bir hisseyi sahte haberler veya koordineli alımlarla şişir, fiyat yükselince sat, geride elinde kalan yatırımcılar zarar eder.

Bu şemaların çalışması için birinin o hisse senetlerini piyasaya sürmesi gerekiyor. Broker-dealer’lar bu zincirdeki kritik halkalardan biri. Eğer broker-dealer şüpheli işlem kalıplarını izlemez ve raporlamazsa, manipülatörler rahatça çalışır.

Canaccord’da olan tam olarak buydu. Firma OTC piyasada market maker olarak çalışıyordu. Yani bu hisse senetlerinin alım satımını kolaylaştırıyordu. Ve bu işlemlerdeki şüpheli kalıpları ne izledi ne raporladı.

FinCEN’in consent order’ında açıkça belirtiliyor: firmanın compliance başarısızlıkları, birden fazla menkul kıymet dolandırıcılığı şemasının tespitini ve raporlanmasını engelledi. Bu şemalar yatırımcılara ciddi ekonomik zarar verdi.

Neden Önemli?

Birkaç açıdan önemli.

Birincisi, tutar. 80 milyon dolar bir broker-dealer için çok para. Canaccord Genuity’nin ABD operasyonlarının yıllık gelirine oranla bu ciddi bir darbe. FinCEN burada “caydırıcı” bir mesaj vermeyi amaçlıyor ve mesaj açık: broker-dealer’lar bankalarla aynı AML ciddiyetini göstermek zorunda.

İkincisi, “willful” tespiti. Canaccord suçlamaları kabul etti ve BSA’yı “bilerek” ihlal ettiğini teyit etti. Bu, ihmal veya bilgisizlik değil. Firma ne yapması gerektiğini biliyordu ve yapmadı. Hatta düzenleyiciler uyardıktan sonra bile yapmadı. Bu, ceza hesaplamasında ağırlaştırıcı faktör.

Üçüncüsü, koordineli yaptırım. FinCEN, SEC ve FINRA’nın aynı anda, aynı firma hakkında, koordineli olarak ceza vermesi sıra dışı. Bu, düzenleyiciler arası işbirliğinin güçlendiğini gösteriyor. Bir düzenleyiciden kaçsanız bile diğeri yakalıyor.

Dördüncüsü, SAR Lookback. Cezanın bir kısmı (5 milyon dolar) askıya alındı. Koşul: Canaccord geriye dönük SAR incelemesi yapacak ve eksik SAR’ları dosyalayacak. Yani ceza sadece para değil, firma ayrıca geçmişteki hatalarını düzeltmekle yükümlü.

Türkiye Bağlamı

Türkiye’de broker-dealer yapısı ABD’den farklı ama parallellikler var. Aracı kurumlar SPK denetimine tabi ve MASAK’a şüpheli işlem bildirimi yükümlülüğü altında. Özellikle Borsa İstanbul’da işlem gören düşük hacimli hisse senetlerinde manipülasyon riski Türkiye’de de bilinen bir sorun.

Canaccord vakası birkaç soruyu akla getiriyor.

Aracı kurumların AML programları, işlem izleme sistemleri gerçekten işlem bazında şüpheli kalıp tespiti yapabiliyor mu? Yoksa genel kurallarla mı çalışıyor? Penny stock veya düşük hacimli enstrümanlardaki pump-and-dump kalıplarını tespit edecek spesifik senaryolar tanımlı mı?

SAR dosyalama süreçleri düzenli olarak denetleniyor mu? Dosyalanması gereken ama dosyalanmayan SAR’lar var mı? Bu sorunun cevabını çoğu kurum bilmiyor çünkü geriye dönük SAR gap analizi yaygın bir uygulama değil.

Compliance bütçesi yeterli mi? Canaccord’un temel sorunu kaynak yetersizliğiydi. AML ekibi küçüktü, eğitimsizdi ve yeterli araçlara sahip değildi. Bu, Türkiye’deki aracı kurumlarda da sık karşılaşılan bir tablo. Compliance genellikle maliyet merkezi olarak görülüyor ve bütçe kısıtlamalarından ilk etkilenen birim oluyor.

Sonuç

Canaccord vakası aslında karmaşık bir hikaye değil. Bir firma, altı yıl boyunca AML programını çalıştırmadı. Düzenleyiciler uyardı, firma düzeltmedi. Binlerce şüpheli işlem raporlanmadı. Yatırımcılar zarar gördü.

Ve sonunda 80 milyon dolarlık fatura geldi.

FinCEN’in bu cezayı “tarihi” olarak nitelendirmesi tesadüf değil. Broker-dealer sektörüne açıkça diyor ki: bankalar için geçerli olan AML standartları sizin için de geçerli. “Biz banka değiliz” artık bir savunma değil.

Canaccord’un BSA Officer’ı muhtemelen bu cezanın geleceğini biliyordu. Çünkü sorunlar açıktı, düzenleyiciler uyarmıştı ve kaynaklar verilmemişti. Ama kurumsal irade olmadan, bir BSA Officer’ın yapabileceği sınırlı.

Bu da ayrı bir ders aslında. AML compliance, compliance departmanının sorunu değil. Yönetim kurulunun sorunu.