トルコの金融規制の状況は急速に近代化しています

今日の顧客が銀行や金融市場に対して大幅に多くのことを要求していることは秘密ではありません。たとえば、銀行は、顧客が銀行とやり取りするすべてのチャネルにわたって完全にデジタルでシームレスなエクスペリエンスを提供することが期待されています。さらに、このレベルのサービスは、アイテムをオンラインで購入する場合でも、ローンを取る場合でも期待されます。

同時に、新しい規則は、ますます詐欺やサイバー攻撃の脅威と相まって、顧客のセキュリティを銀行部門の最優先事項にする必要があることを意味するセキュリティの重要性を高めています。

トルコの新しい銀行規制を打破する

2019年11月、トルコの支払および証券決済システム、支払サービスおよび電子マネーに関する法律機関 （ 法律第7192号 ）が制定され、官報に掲載されました（問題：30956）。2013年の最初の法律は、支払会社、支払および証券決済システム、および電子マネー会社に法的枠組みを提供しました。

改正法は2020年1月1日に施行されました。これは、トルコ共和国内のオープンバンキングに関する既存の法律を大幅に強化します。さらに、法律は驚くべきことに、銀行規制監督庁よりもトルコ共和国中央銀行に支払いサービスおよびオープンバンキングサービスプロバイダーの規制者としての役割を果たす権限を与えています。法律に基づき、オープンバンキングおよび決済サービスプロバイダー（PSP）は中央銀行に申請し、2021年1月1日までに承認を得る必要があります。

それに応えて、国の支払いおよび電子マネー協会であるÖDEDの会長は、ブルハン・エリアチュク 、言った：

「この開発は、決済サービス部門にとって大きな幸福と誇りの源です。」

「この法律により、国際的な規制や基準への準拠を実現しながら、革新的で低コストの製品やサービスが普及する決済エコシステムに向けて迅速に移行します。」

トルコは法律を変更し、中央銀行にオープンバンキングを規制する権限を与えましたが、独自のオープンバンキングシステムを開発する計画はありません。代わりに、EUとの緊密な関係と、いくつかの外資系銀行がEUでも事業を行っているという事実により、トルコはEU以外で修正された国を採用した最初の国の1つです。決済サービス指令（PSD2） 。 

ÖDEDはPSD2の採用を完全に受け入れました。エリアク氏によると、「ユーザーが残高を照会して転送できるアプリケーションは私たちの生活に取り入れられます。これにより、セクターが熱心に期待していたEUの支払いサービス指令2規制へのコンプライアンスが確保され、オープンバンキングアプリケーションがトルコ中央銀行によって設定された手順と原則の枠組み。」

支払および証券決済システム、支払サービス、電子マネー機関に関する法律の発効日に合わせて、PSD2のオープンバンキング規定も2020年1月1日に発効しました。 

施行中の新しい規制：2020年7月1日

ごく最近、2020年3月15日、トルコの銀行規制監督局は、銀行の情報システムと電子バンキングサービスに関する規制官報（ 問題：31069 ）。この規制は2020年7月1日に施行され、銀行、監査会社、銀行にアウトソーシングされたサービスを提供するテクノロジー企業、および「オープンバンキング」ソリューションを提供する企業に大きな影響を与えます。

規則は以下に対処します。

• 銀行の情報システムの確立と管理
• 銀行の情報セキュリティ
• 電子バンキングサービス

への影響によりオープンバンキング 、特定の記事を強調表示する価値があります。各チャネル（インターネット、モバイル、テレフォンバンキング）には、認証とトランザクションのセキュリティに関する詳細な規制が適用されます。

第34条は、銀行の職員および顧客が使用することを義務付けている二要素認証（2FA） 顧客アカウントへのアクセスとトランザクション用。規制には、カードのPINまたは生体認証データでトルコのIDカードを使用する例、または電子署名の使用例が含まれています。

この規制は、 SMS-OTPに関連するセキュリティの問題 。銀行は、モバイルバンキングアプリケーションの初期設定、アクティブ化、および再アクティブ化の段階で、SMSを介してワンタイムパスワード（OTP）または確認コードを送信できます。ただし、銀行は、モバイルバンキングアプリケーションをインストールしてアクティブ化した顧客にSMS経由でOTPまたは検証コードを送信して、ログインまたはセッション中にトランザクションを検証し、それを認証要素として使用することはできません。

第34条は、モバイルアプリケーションのセキュリティ 。この規制では、電子バンキングサービスで使用するために銀行が顧客に提供するソフトウェアまたはモバイルアプリケーションを、関連する銀行として検証できるようにする必要があります。銀行は、ソフトウェアまたはモバイルアプリに、顧客のセキュリティを危険にさらす可能性のあるコードが含まれていないことを確認し、脆弱性を解決するために必要なパッチと更新を顧客に提供する必要があります。規制は、モバイルアプリが受けなければならないことを具体的に述べていませんがモバイルアプリケーションのシールドマルウェアから保護するプロセスは、業界のベストプラクティスです。

第36条は、銀行に取引追跡メカニズムを実装して、異常または不正なトランザクションを検出して防止する電子バンキングサービスの範囲内。

取引で詐欺的な試みが発生した場合、銀行は以下を追跡および報告できなければなりません。

• 使用されている既知の詐欺方法
• 「ロケーション情報を使用して、実行された各トランザクションの量と、顧客が異常な支払い、送金、またはこれらの量に応じた行動パターンを示しているかどうか」を証明できる、生産可能な監査証跡
• マルウェアが認証セッションに感染した可能性のある兆候

詐欺の試みが検出された場合、銀行は、銀行のモバイルアプリ、電話、テキストメッセージへのログイン中など、複数のチャネルにわたって顧客に警告する必要があります。

第41条の演説安全な通信オープンバンキングサービスを利用する場合。顧客または顧客に代わって行動する当事者と銀行との間の通信は、銀行が顧客が連絡できるリソースに追加の補償的制御および追加の制限を実装する場合、エンドツーエンドの安全な通信の形式でなければなりません。。

第43条の演説リモート識別そして第三者に信頼しなさい。これにより、銀行はリモート識別方法を使用して、顧客または顧客に代わって行動する人物の身元を特定することができます。これは、既存のローンダリング犯罪収益防止法を害することなく、またはオープンバンキングサービスを通じて、すでに他の銀行からのものです。身元確認イベントを実行しました。

さらに、規制により銀行は詐欺を検出して防止する追跡メカニズムを備えた電子バンキングサービス。銀行が提供する電子バンキングサービスを使用する顧客には、電子バンキングサービスに関連する条件とリスクを明示的に提示する必要があります。

規制はまた提供します認証とトランザクションのセキュリティ規定。これらの規定は、オンラインバンキング、モバイルバンキング、テレフォンバンキング、オープンバンキングサービス、ATMバンキングに関連しています。

国内のクラウドホスティング要件

多くの国で、金融機関はクラウドデータストレージのセキュリティ、冗長性、および財務上の利点を活用しています。アウトソーシングによるクラウドコンピューティングサービスの使用が含まれています。ただし、規制では、サードパーティのソフトウェアまたはクラウドサービスプロバイダーがシステムとデータをトルコでホストする必要があります。プライマリシステムに関連するアウトソーシングサービスもプライマリシステムとみなされ、トルコ国内に配置する必要があります。 

トルコの銀行規制の次は？

規制のタイミングは、金融行動特別委員会の発表と密接に関連しています。デジタルIDガイダンス 。規制により、銀行はリモート識別方法を使用して、新規顧客（つまり、「非対面」の口座開設）をデジタルでオンボードしてクライアントの身元を確認することができます。

財務省の金融犯罪調査委員会（MaliSuçlarıAraştırmaKurulu）（MASAK）は、Know Your Customer（KYC）、マネーロンダリング防止（AML）、およびカウンターに関連する規制を更新する可能性が高い-テロ資金供与。  

PSD2の展開と銀行の情報システムおよび電子バンキングサービスに関する規制の施行により、トルコの金融システムが注目されます。銀行は効率とコスト削減の面で見返りを得るでしょうが、トルコの人々はすべての最大の勝者かもしれません。