Yürürlük Tarihi: 1 Nisan 2025
Yaptırım Uygulama Başlangıcı: 1 Temmuz 2025
Visa Inc., dijital ödeme ekosistemindeki suistimallerin önlenmesi ve finansal sistemin bütünlüğünü temin amacıyla, 1 Nisan 2025 itibariyle Visa Acquirer Monitoring Program (VAMP) adlı gözetim mekanizmasında yapısal bir reforma gitmektedir. Bu düzenleme, halihazırda yürürlükte olan Visa Fraud Monitoring Program (VFMP) ve Visa Dispute Monitoring Program (VDMP) sistemlerini birleştirerek, dolandırıcılık ve ihtilaf işlemlerinin tek çatı altında izlenmesini amaçlamaktadır. İlgili düzenleme, hem acquirer’ların (alıcı kuruluşların) hem de merchant’ların (tüccarların) performans göstergelerini esas alan, sistematik ve karşılıklı sorumluluğa dayanan yeni bir uyum ve denetim rejimi getirmektedir.
Yeni VAMP Oranı ve Hesaplama Yöntemi: Uyumda Nesnellik Arayışı
Yeni yapılandırmayla birlikte Visa, uyum takibi için tekil ve sadeleştirilmiş bir oran benimsemiştir:
VAMP Ratio = (Fraud TC40 + Non-Fraud Disputes) / Total Settled TransactionsBu formülde yer alan bileşenler şu şekilde tanımlanır:
- TC40 (Fraud Reports): Kart sahibinin onayı dışında gerçekleştiği bildirilen işlemleri temsil eder. Bu bildirimler, Visa’ya sahtecilik şüphesiyle iletilen ve bankalar tarafından “fraud” (dolandırıcılık) olarak işaretlenen olayları kapsar.
- Sahtecilik Dışı Uyuşmazlıklar (Non-Fraud Disputes): Visa’nın uyuşmazlık kodları kapsamında dolandırıcılık içermeyen, ancak kart sahibinin işlemle ilgili itirazda bulunduğu durumları ifade eder. Bu kapsamda değerlendirilen temel kodlar şunlardır:
- Kod 11 – Yetkisiz İşlem (Unauthorized Transaction): Kart sahibinin onayı olmaksızın gerçekleştirilen işlemler.
- Kod 12 – İşlem Hataları (Processing Errors): Tutar farkı, çifte çekim, işlem yapılmadan ücretlendirme gibi teknik veya muhasebesel hatalar.
- Kod 13 – Ürün/Hizmetle İlgili İtirazlar (Product/Service Issues): Ürün teslim edilmemesi, ayıplı mal, hizmet kalitesinden memnuniyetsizlik gibi sözleşmesel ihtilaflar.
Bu birleşik oran, Visa’nın risk izleme sisteminde hem dolandırıcılık faaliyetlerini hem de genel müşteri memnuniyetsizliğini yansıtarak, tüccarların hem teknik güvenlik önlemlerini hem de hizmet kalitesini bütüncül bir şekilde değerlendirmeyi amaçlamaktadır.
Bu oranın belirli bir eşik değerin üzerine çıkması halinde, Visa tarafından ilgili tüccar, “Excessive Merchant” (Aşırı Riskli İşletme) olarak nitelendirilerek yaptırımlara tabi tutulabilecektir.
Visa’nın bu yöntemi, objektif görünmekle birlikte; her sektörün, iş modeli ve ürün yapısı farklılıklarını dikkate almadan tek tip bir oran uygulaması risk barındırmaktadır.
Hukuki Yükümlülükler ve Uyum Riskleri
a) Akdi Sorumluluklar ve Finansal Sonuçlar
Tüccarlar ile alıcı kuruluşlar arasında yapılan ödeme hizmeti sözleşmelerinde, çoğu zaman fraud oranı, dispute frekansı ve PCI-DSS uyumu gibi performans kriterlerine bağlı özel maddeler yer almaktadır. Yeni VAMP rejimi, bu maddelerin ihlal edilmesi riskini arttırmakta; bu durum da sözleşmenin feshi, hizmetin askıya alınması veya cezai bedellerin uygulanması gibi ciddi yaptırımlarla sonuçlanabilmektedir.
b) Acquirer-Merchant Zincirinde Ortak Risk Algısı
Yeni sistemde yaptırım kararları sadece tüccarın performansına bağlı değil; aynı zamanda bu tüccarın bağlı olduğu alıcı kuruluşun VAMP oranına da bağlıdır. Dolayısıyla alıcı kuruluşun portföyündeki diğer tüccarların performansı dahi bir şirketi dolaylı olarak etkileyebilir. Bu da “zincirleme uyumsuzluk riski” (cascading liability) doğurarak, tüccarların acquirer seçiminde hukuki inceleme (due diligence) yapmasını zorunlu kılar.
c) Hukuki Belirsizlikler: RDR ve CDRN İşlemlerinin Kapsama Alınması
Visa’nın 2025 yılı başındaki teknik belgelerinde, Rapid Dispute Resolution (Hızlı Uyuşmazlık Çözüm Programı – RDR), Cardholder Dispute Resolution Network (Kart Sahibi Uyuşmazlık Ağı – CDRN) ve Compelling Evidence 3.0 (Zorlayıcı Kanıt Mekanizması) kapsamında erken aşamada çözümlenen uyuşmazlıkların VAMP oranı hesaplamasından muaf tutulacağı belirtilmekteydi. Ancak aynı yılın Mart ayında yayımlanan güncellemelerle birlikte, Visa, sahtecilik (fraud) bildirimi içeren ve RDR süreciyle sonuçlandırılmış işlemler ile CDRN sistemine düşen uyuşmazlıkların da artık VAMP oranı hesaplamasına dahil edileceğini duyurmuştur. Bu kapsam genişlemesi, Visa’nın risk izleme ve uyuşmazlık değerlendirme sistemini daha kapsayıcı hale getirdiğini, dolayısıyla işletmelerin yalnızca klasik chargeback oranlarına değil, aynı zamanda alternatif çözüm mekanizmalarındaki performanslarına da stratejik önem vermeleri gerektiğini ortaya koymaktadır.
Bu değişiklik, Visa’nın izleme sistemini dinamik biçimde güncellediğini ve sabit parametrelerle uzun vadeli uyum planlaması yapılmasının yetersiz kalabileceğini göstermektedir. Bu nedenle işletmelerin, yalnızca mevcut kurallara değil, aynı zamanda bu kuralların gelişimine de duyarlı, çevik ve sürdürülebilir bir uyum stratejisi benimsemeleri zorunluluk haline gelmiştir.
d) KVKK ve GDPR Kapsamında Veri Sorumluluğu
VAMP oranının hesaplanabilmesi için toplanan veriler, ödeme işlemleri, kart bilgilerinin hareketi, ihtilaf gerekçeleri ve sahtekarlık tespiti gibi unsurları kapsamaktadır. Bu kapsamda, tüccarlar ve alıcı kuruluşlar hem 6698 sayılı KVKK Kanunu hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) anlamında veri sorumlusu olarak hareket etmekte ve hukuka uygun veri işleme gerekçeleri sunmak zorundadır. Özellikle TC40 raporlarında, dolandırıcılığa konu işlemlerin tespitinde kullanılan kart bilgilerinin öznelerle ilişkisi, hassas verilerin işlenmesi niteliği taşıyabileceği için ayrıca dikkat gerektirir.
Hukuki Uyum Stratejileri: Tavsiye Edilen Yol Haritası
- Sözleşme Denetimi: Acquirer ile yapılan sözleşmelere, VAMP kapsamındaki oranlara ilişkin taahhütler, fesih şartları ve ceza maddeleri açısından yeniden göz atılmalıdır.
- Veri Koruma Uyum Planlaması: TC40 ve ihtilaf verilerinin KVKK ve GDPR yükümlülüleri doğrultusunda nasıl işlendiği, hangi gerekçelere dayandığı ve ne süreyle saklandığı açık bir politika ile belgelenmelidir.
- Uyum Gözetim Komitesi: Finans, hukuk, bilişim ve ödeme sistemleri departmanlarından oluşan iç denetim komiteleri kurulmalı ve VAMP oranlarını aylık bazda analiz edecek bir izleme mekanizması kurulmalıdır.
- Teknolojik Destek Kullanımı: Forter gibi ileri seviye çözümler (Predictive Payment Routing, GenAI öngörüleri, Abuse Prevention, Intelligent Vault Management) kullanılarak, teknik altyapının da hukukî yükümlülükleri desteklemesi sağlanmalıdır.
Sonuç ve Değerlendirme
Visa tarafından yeniden yapılandırılan VAMP programı, tüccar işletmelerin sadece operasyonel etkinliğini değil; aynı zamanda sözleşmesel sorumluluğunu, veriye erişim politikasını ve stratejik ödeme ortaklıklarını doğrudan etkileyen çok boyutlu bir yapıdır. Bu sistemde yüksek riskli olarak nitelendirilmek, şirketin itibarının zedelenmesi, ödeme sistemlerinden dışlanması ve muhtemel regülatör incelemelere tabi tutulması gibi zincirleme olumsuzluklara yol açabilir.
Dolayısıyla VAMP, salt bir oranlamadan ibaret değil; şirketin finansal, teknik ve hukuki düzenine dair bütüncül bir yeniden yapılanma zorunluluğudur. Bu bakımdan, işletmelerin bu yeni rejimi, “hızlı adaptasyon” yerine, “stratejik uyum ve sürekli denetim” ilkesiyle ele alarak entegre bir politika geliştirmeleri gerekmektedir.