11 Mart 2026’da ABD Hazine Bakanlığı, Kongre’ye bir rapor sundu. Raporun tam adı “Innovative Technologies to Counter Illicit Finance Involving Digital Assets” ve GENIUS Act’in bir gereği olarak hazırlandı. GENIUS Act, ABD’de stablecoin düzenlemesini kuran yasa. Yasanın bir maddesi Treasury’den dijital varlıklardaki yasadışı finansmanla mücadele teknolojilerini değerlendirmesini istiyordu.

Treasury 220’den fazla görüş topladı. Bankalar, kripto borsaları, blockchain analiz firmaları, sektör dernekleri hepsinden. Raporu iki bölüme ayırdı: birincisi dijital varlıkların nasıl suistimal edildiğine dair risk değerlendirmesi, ikincisi buna karşı kullanılabilecek teknolojilerin ve politikaların yol haritası.

Raporun en önemli tarafı söylediği şey değil aslında. Söyleyemediği şey. Çünkü Treasury bir gerçeği açıkça kabul ediyor: mevcut AML kuralları DeFi’yi kapsamıyor. Ve bunu düzeltmek için Kongre’nin harekete geçmesi gerekiyor.

Sorun Ne?

Geleneksel finans dünyasında AML kuralları belirli kurumlar üzerinden çalışıyor. Banka, broker-dealer, para transfer şirketi, sigorta şirketi. Bank Secrecy Act bu kurumlara yükümlülükler yüklüyor: müşteriyi tanı, işlemleri izle, şüpheli olanları raporla.

Kripto borsaları da bu çerçeveye dahil edildi. Binance 4.3 milyar dolar ceza aldı. Paxful kapatıldı. Canaccord’a 80 milyon dolar kesildi. Bu tarafta artık “kurallar yok” diyemezsiniz.

Ama DeFi farklı. Merkeziyetsiz protokollerde kim müşteriyi tanıyacak? Kim şüpheli işlem bildirimi yapacak? Bir akıllı kontrat mı? Kontratı yazan geliştirici mi? Protokolü yöneten DAO mı? Likidite sağlayan kişi mi?

Bu soruların net cevabı yok. Ve Treasury bunu kabul ediyor. Raporda açıkça diyor ki: mevcut BSA çerçevesi, dağıtık veya değiştirilemez yönetişim yapılarına sahip DeFi protokollerini tam olarak kapsayamıyor.

Bu büyük bir itiraf. Çünkü suçlular tam olarak bu boşluğu kullanıyor.

Kim Ne Yapıyor?

Raporda dijital varlıklarla ilgili yasadışı finansman risklerinin haritası çıkarılmış. Birkaç kritik nokta var.

Kuzey Kore, Rusya ve İran gibi yaptırıma tabi ülkeler dijital varlıkları aktif olarak fon transferi için kullanıyor. Bu yeni bir bilgi değil ama Treasury’nin bunu resmi bir raporda bu kadar net ifade etmesi önemli.

Mixer’lar, tumbler’lar ve köprü protokolleri (bridge) kara para aklama şemalarının merkezinde. Özellikle stablecoin’lerle birlikte kullanıldığında izlemeyi çok zorlaştırıyor. Treasury burada ilginç bir denge kuruyor: bu araçların bazı kullanıcılarının meşru finansal gizlilik amacıyla kullandığını kabul ediyor ama yine de sorunlu olduklarını vurguluyor.

Kripto kiosk’ları (ATM’ler) zayıf kontrollerle çalışıyor. ABD’deki binlerce kripto ATM’nin çoğunda AML kontrolleri yetersiz. Nakit para aklama için kolay bir kanal.

Yargı alanı arbitrajı hâlâ en büyük sorun. Kripto firmaları düzenlemenin gevşek olduğu ülkelere kayıyor. Oradan ABD müşterilerine hizmet vermeye devam ediyor. VPN kullanımı bu denetimden kaçmayı kolaylaştırıyor.

Teknoloji Yol Haritası

Raporun ikinci bölümü çözüm tarafına bakıyor. Treasury beş teknoloji alanını öne çıkarıyor.

Yapay zeka ve makine öğrenimi. Finansal kurumlar zaten ML kullanarak işlem izleme, yaptırım taraması, sahte kimlik tespiti yapıyor. Treasury burada teşvik edici bir ton kullanıyor ama aynı zamanda zorlukları da sıralıyor: veri kalitesi sorunları, “kara kutu” problemi, maliyet, düzenleyici belirsizlik. Ve tabii yapay zekanın suçlular tarafından da kullanıldığı gerçeği. Deepfake, sentetik kimlik, gelişmiş sosyal mühendislik.

Dijital kimlik. Mobil ehliyet, doğrulanabilir kimlik belgeleri, sıfır bilgi kanıtları (zero-knowledge proofs). Treasury bunları AML’nin geleceğinde kritik görüyor ama altyapı parçalı, standartlar ortak değil ve denetçilerin bu araçları kabul edip etmeyeceği belli değil.

Blockchain analitiği. Chainalysis, Elliptic gibi firmalar zaten yaygın olarak kullanılıyor. Adres atıfı, işlem takibi, zincirler arası izleme. Ama mixer’lar ve gizlilik odaklı coin’ler (Monero, Zcash) bu araçların etkinliğini düşürüyor. Treasury denetçi eğitimini artırmayı ve blockchain göstergelerinin paylaşımını teşvik etmeyi planlıyor.

API’ler. Modern AML altyapısının temeli olarak tanımlanıyor. Gerçek zamanlı veri paylaşımı, işlem öncesi risk kontrolü. Ama güvenlik, gizlilik ve eski sistemlerle entegrasyon sorunları var.

DeFi. Bu en zor kısım ve Treasury’nin en az net olduğu alan. Kongre’ye şunu söylüyor: DeFi aktörlerinden hangilerinin BSA yükümlülüğüne tabi olacağını siz belirleyin. Özellikle “fiili merkeziyetçi kontrol” sahibi olanları düzenlenmiş DASP olarak tanımlayın. Yeni bir dijital varlık spesifik finansal kurum tipi oluşturun.

Ama bunu ne zaman yapacakları belli değil. Kongre ve yürütme organı birbirini bekliyor.

Ne Yapılmıyor?

Raporun en zayıf tarafı burası.

Treasury sorunları tanımlıyor, çözüm yollarını öneriyor ama somut kural koymuyor. “Kongre’nin yasa çıkarmasını öneriyoruz” diyor. Kongre de “Treasury kural koysun” diyor. Bu ping-pong yıllardır sürüyor.

OCC’nin GENIUS Act’i uygulamak için yayınladığı taslak kuralda bile AML/CFT compliance’ın pratikte ne anlama geldiği açıklanmıyor. Yönetim kurulu AML sertifikasyonu istiyor ama compliance’ın ne olduğunu tanımlamıyor.

Yani büyük resim şu: herkes dijital varlıklarda AML düzenlemesi gerektiğini kabul ediyor. Ama kimse ilk adımı atmak istemiyor. Çünkü yanlış adım hem sektörü kaçırabilir hem de düzenleyici sorumluluğu beraberinde getirir.

Bu arada suçlular beklemeden çalışmaya devam ediyor.

Türkiye İçin Ne İfade Ediyor?

Türkiye’de kripto düzenlemesi ABD’ye kıyasla daha erken aşamada ama bazı önemli adımlar atıldı. SPK’nın kripto varlık düzenlemesi yürürlükte. MASAK’ın kripto borsalarına yönelik yükümlülükleri var. Ama DeFi tarafı Türkiye’de de tamamen düzenlenmemiş durumda.

Treasury’nin bu raporu, Türk düzenleyicileri için de bir yol haritası niteliğinde. Özellikle şu konular dikkat çekici.

DeFi’de “fiili kontrol” tanımı. Eğer bir protokolü fiilen kontrol eden bir kişi veya grup varsa, o protokol düzenlenebilir. Bu yaklaşım Türkiye’de de uygulanabilir.

Mixer ve bridge riskleri. MASAK’ın kripto borsalarından beklediği şüpheli işlem bildirimi, mixer kullanımını ve zincirler arası transferleri kapsamalı. Bu kalıplar mevcut kural setlerinde muhtemelen yeterince tanımlı değil.

Stablecoin AML yükümlülükleri. GENIUS Act, stablecoin ihraççılarını BSA kapsamına alıyor. Türkiye’de stablecoin kullanımı yaygın ama ihraççı tarafında düzenleme yok. Bu bir boşluk.

Sonuç

Treasury’nin bu raporu devrim niteliğinde bir belge değil. Zaten bilinen sorunları resmi olarak kabul ediyor ve çözüm için Kongre’ye top atıyor.

Ama iki şey önemli.

Birincisi, ABD Hazinesi artık açıkça söylüyor: DeFi mevcut AML kurallarının dışında kalıyor ve bu kabul edilemez. Bu, er ya da geç DeFi’ye yönelik somut düzenlemenin geleceği anlamına geliyor.

İkincisi, teknoloji yol haritası gerçekçi. AI, blockchain analitiği, dijital kimlik, API altyapısı. Bunlar sadece kripto dünyası için değil, geleneksel bankacılık için de compliance’ın geleceğini şekillendiriyor. Ve Treasury bunları “isteğe bağlı yenilik” değil, “risk bazlı programın beklenen bileşenleri” olarak çerçeveliyor.

DeFi’nin vahşi batı dönemi bitiyor mu? Henüz bitmedi. Ama artık herkes bitirmek gerektiğini kabul ediyor. Bu da bir şey.