Avrupa Bankacılık Otoritesi’nin 2025 raporuna göre Open Banking servisleri 132 milyon aktif kullanıcıya, PSD2 lisanslı üçüncü taraf sağlayıcı sayısı ise 612’ye ulaştı; 2026 sonunda işlem hacminin 1,1 trilyon euroyu aşması bekleniyor ve bu gerçeklik, FAPI 2.0 uyumlu API mimarisini bankalar için stratejik bir zorunluluk haline getiriyor.
Open Banking ve PSD2: 2026 Pazar Bağlamı
Open Banking, PSD2 Direktifi’nin (2015/2366) zorunlu kıldığı hesap bilgisi servisi (AIS) ve ödeme başlatma servisi (PIS) çerçevesinde, banka müşteri verilerinin müşteri rızasıyla üçüncü taraflara açılmasını sağlayan API ekosistemidir. EBA’nın 2025 ara raporuna göre Avrupa’da 27 ülkede 612 lisanslı üçüncü taraf sağlayıcı (TPP) faaliyet gösteriyor; bunların 443’ü AISP, 287’si PISP, 89’u her iki lisansa sahip durumda. UK Open Banking Implementation Entity verilerine göre yalnızca İngiltere’de Mart 2025 itibarıyla 11,7 milyon aktif kullanıcı ve aylık 22,1 milyon API çağrısı kaydedildi; 2024 yılında ödeme başlatma işlemi sayısı 14,5 milyona ulaşarak yıllık yüzde 73 büyüdü. PSD3 hazırlığı paralel ilerlerken, Komisyon Haziran 2023 önerisinde performans SLA’larını sertleştirdi: 99,5 yüzde uptime, ortalama 1.000 ms altı yanıt süresi ve oturum başına 4 ücretsiz strong customer authentication (SCA) limiti zorunlu kılınıyor. Berlin Group NextGenPSD2 standardı v1.3.12 sürümüyle Avrupa’da 4.500’den fazla banka tarafından benimsendi; UK CMA standardı ise OBIE çerçevesinde 9 büyük bankayı kapsıyor. Bu yoğun ekosistem, 2026 itibarıyla bankacılık API’lerinin ortalama p95 latency hedefini 350 ms altına çekmiş durumda.
FAPI 2.0 ve Güvenlik Mimarisi
OpenID Foundation Financial-grade API (FAPI) profili, OAuth 2.0 ve OpenID Connect üzerine yüksek güvenlik gereksinimleri ekleyen ve PSD2 RTS Madde 30 zorunluluklarını karşılayan endüstri standardıdır. FAPI 1.0 Advanced profili 2021’de yayımlandı; FAPI 2.0 Security Profile ise Aralık 2024’te final draft statüsüne geçti ve 2026’da Avrupa düzenleyicilerinin referans standardı olarak konumlanıyor. Temel teknik gereksinimler: mTLS (Mutual TLS) ile karşılıklı sertifika doğrulama, PKCE (Proof Key for Code Exchange) zorunlu kullanımı, JWT Secured Authorization Response (JARM) ve PAR (Pushed Authorization Requests) ile authorization endpoint koruması içeriyor. TLS 1.3 ve EBSI eIDAS sertifikaları (QWAC, QSealC) ile birlikte kullanıldığında, sertifika doğrulama gecikmesi ortalama 28 ms, oturum kurma toplam süresi 145 ms ölçülüyor.
| Güvenlik Katmanı | FAPI 1.0 Advanced | FAPI 2.0 Security | 2026 Zorunluluk | Latency Etkisi |
|---|---|---|---|---|
| Token Endpoint Auth | private_key_jwt veya tls_client_auth | tls_client_auth zorunlu | mTLS Mart 2026 | +28 ms |
| Authorization Code Flow | PKCE önerilen | PKCE zorunlu | Eylül 2025 | +5 ms |
| Pushed Authorization (PAR) | Opsiyonel | Zorunlu | Eylül 2025 | +45 ms |
| Response Mode | JARM önerilen | JARM zorunlu | Mart 2026 | +12 ms |
| Refresh Token Rotation | Önerilen | Zorunlu | Mart 2026 | +8 ms |
| DPoP veya mTLS Token Binding | Opsiyonel | Zorunlu | Eylül 2026 | +18 ms |
Berlin Group vs UK Open Banking: Standart Karşılaştırması
Avrupa pazarında iki dominant standart bulunuyor: Berlin Group NextGenPSD2 (4.500+ banka, 27 ülke) ve UK Open Banking (CMA9 + 200+ gönüllü banka). API tasarım yaklaşımları, error handling ve consent modeli açısından kritik farklar mevcut. Geliştirici deneyimi (DX) ve operasyonel maliyet açısından her iki standardın güçlü ve zayıf yönlerini bilmek, çoklu ülke kapsamı hedefleyen bankalar için stratejik öneme sahip.
- Berlin Group NextGenPSD2: 86 endpoint, 14 farklı consent modeli, hata mesajları yapılandırılmış JSON, ortalama dokümantasyon hacmi 412 sayfa.
- UK Open Banking Read/Write API v3.1.11: 67 endpoint, 4 consent tipi, daha kompakt OpenAPI specification, ortalama 285 sayfa dokümantasyon.
- Berlin Group SCA Yaklaşımı: redirect, embedded, decoupled olmak üzere 3 model destekliyor; UK ise yalnızca redirect ve decoupled destekler.
- Sandbox erişimi: Berlin Group bankalarının yüzde 78’i public sandbox sunarken UK CMA9’da bu oran yüzde 100.
- API rate limit: Berlin Group ortalama 4 çağrı/oturum (AIS), UK ise 4 ücretsiz + sınırsız ücretli model getiriyor.
İlgili konu: API gateway mimarisi rehberimizde güvenlik katmanları başlığı altında mTLS ve OAuth2 entegrasyon kalıplarına derinlemesine değiniyoruz.
Consent Yönetimi ve PIS/AIS Implementation Pattern
PSD2’nin operasyonel zorluklarının yüzde 60’ı consent (rıza) yönetiminden kaynaklanıyor. EBA’nın 2024 izleme raporuna göre TPP’lerden gelen toplam şikayetlerin yüzde 47’si consent yenileme süreçleriyle ilgili. Açık Bankacılık Türkiye (BKM) verilerine göre BDDK lisanslı 27 PISP ve 18 AISP, 2024’te 47 milyon API çağrısı gerçekleştirdi. Modern consent yönetimi mimarisinde 4 katman bulunmalı: consent registry (PostgreSQL veya CockroachDB ile event-sourced), policy decision point (Open Policy Agent veya benzeri), consent expiry scheduler (90 gün PSD2 üst limiti, Eylül 2025 sonrası 180 güne çıkıyor) ve audit log (immutable append-only, KVKK ve GDPR uyumlu 8 yıl saklama). Refresh token rotation ve granular consent revocation API’leri ortalama p99 latency 280 ms altında tutulduğunda kullanıcı deneyimi metriklerinde belirgin iyileşme sağlıyor; OBIE 2025 raporuna göre consent yenileme tamamlanma oranı yüzde 71’den yüzde 89’a yükseldi.
API Operasyonu, İzleme ve Maliyet Modelleri
PSD2 uyumlu API’lerin operasyonel sürdürülebilirliği, SLA performansı ve maliyet yönetimi etrafında şekilleniyor. EBA RTS Madde 32 zorunlu uptime hedefini yüzde 99,5 (yıllık 43,8 saat downtime hakkı) olarak belirledi; ancak rekabetçi bankalar yüzde 99,95 hedefine kilitleniyor. Datadog 2025 State of API Performance raporuna göre Open Banking API’lerinin medyan p50 latency’si 218 ms, p95 754 ms, p99 1.847 ms olarak ölçüldü. Operasyonel maliyet kalemleri: API gateway lisanslama (Kong Enterprise, Apigee, MuleSoft ortalama 8-22 dolar/milyon çağrı), mTLS sertifika rotasyonu (90 gün döngü, ortalama 12 dolar/sertifika/yıl) ve eIDAS QWAC sertifikası (yıllık 285 euro/banka).
| İzleme Metriği | P50 Hedef | P95 Hedef | P99 Hedef | Alert Eşiği |
|---|---|---|---|---|
| AIS Account List API | 180 ms | 520 ms | 1.200 ms | p95 > 750 ms |
| PIS Payment Initiation | 240 ms | 680 ms | 1.500 ms | p95 > 950 ms |
| Consent Authorization | 320 ms | 820 ms | 1.800 ms | p95 > 1.100 ms |
| Token Refresh | 120 ms | 380 ms | 720 ms | p95 > 500 ms |
| Webhook Notification | 180 ms | 540 ms | 1.100 ms | p95 > 800 ms |
Sektörel Use Case’ler: Bankacılık, Sigorta, KOBİ Finans
Open Banking API’lerinin sektörel uygulamaları 2026’da dramatik biçimde çeşitlendi. Bain & Company 2025 raporuna göre embedded finance pazarı 7 trilyon dolar işlem hacmine ulaşırken, Open Banking altyapısı bu hacmin yüzde 62’sinin temelini oluşturuyor. Kişisel finans yönetimi (PFM) uygulamaları Avrupa’da 18,4 milyon kullanıcıya ulaştı; ortalama uygulama 4,2 banka hesabını agregeliyor. KOBİ kredi onaylama otomasyonu Open Banking ile süreyi 7 günden 24 dakikaya indirdi; OakNorth ve Tide gibi sağlayıcılar yüzde 91 onay oranı raporluyor. Sigortada açık bankacılık verisi premium hesaplamada kullanıma giriyor; Lemonade benzeri carrier’lar fraud oranını yüzde 38 düşürdü. Türkiye’de BKM ÜTPS (Üçüncü Taraf Hizmet Sağlayıcı) ekosistemi 2024’te 12 PISP ve 8 AISP ile başladı; 2026 sonu hedefi 80 lisanslı sağlayıcı.
Kurumsal Open Banking Dönüşümünde Karşılaşılan Tipik Sorunlar
Danışmanlık projelerinde gözlemlenen tipik darboğazlar:
- Legacy core banking sistemlerinden API’ye yeterli throughput sağlanamaması — ortalama mainframe gateway’i 800 TPS’i geçemiyor, modern bir Open Banking sisteminde 4.500 TPS gerekiyor.
- Consent expiry yönetiminin sadece teknik problem olarak ele alınması ve müşteri iletişimi (e-posta, SMS, push) ile entegre edilmemesi sonucu yüzde 34 yenileme kaybı.
- FAPI 2.0 mTLS sertifika ömür yönetiminin manuel süreçlerle yürütülmesi; ortalama bir bankada 80+ TPP sertifikası rotasyonu manuel tutulduğunda yıllık 14 üretim insidanı yaratıyor.
- API gateway maliyet modelinin TPP hacmiyle ölçeklendirilmemesi; lisans birim maliyeti milyon çağrıda 22 dolardan 4 dolara inebilirken kurumlar genelde sabit fiyatla kontrat imzalıyor.
- EBA Q&A 2024_6845 gibi düzenleyici yorumların API’ye yansıtılma gecikmesi — ortalama 4,3 ay, ideal hedef 6 hafta.
- Performans testlerinin sadece happy path için yapılması; sandbox SCA timeout ve consent revocation senaryolarının gerçek üretim insidanlarının yüzde 41’ini oluşturması.
Sonuç
Open Banking artık regülatif bir yük değil, bankaların API ekonomisindeki konumunu belirleyen stratejik altyapı katmanıdır. 2026’da FAPI 2.0 mTLS zorunluluğu, PSD3 hazırlığı ve Berlin Group v1.4 sürümü, mimari kararların maliyetini hızla artırıyor. Erken adımı atan bankalar, üçüncü taraf sağlayıcılarla ortaklık üzerinden yeni gelir kanalları açıyor; KOBİ kredilendirme, embedded finance ve PFM dikeylerinde lider konumlarını sağlamlaştırıyor. Türkiye’de BDDK Açık Bankacılık çerçevesi olgunlaştıkça, modern API gateway, granular consent yönetimi ve sub-350 ms p95 latency hedefine yatırım yapan kurumlar 24 ay içinde net rekabet avantajı elde edecek. Detaylı teknik uygulama, sertifika rotasyon stratejisi ve gateway seçimi konusunda yorumlarınızı bekliyorum. Daha fazla derinlik için UK Open Banking Implementation Entity, Berlin Group NextGenPSD2 standartları ve OpenID Foundation FAPI 2.0 spesifikasyonu referans alınabilir.
Sıkça Sorulan Sorular
PSD2 ve PSD3 arasındaki temel farklar nelerdir?
PSD3, Haziran 2023’te Avrupa Komisyonu tarafından önerilen ve PSD2’yi güçlendiren yeni direktiftir. Temel farklar: sahtekarlık ile mücadelede zorunlu IBAN-isim eşleştirme (Verification of Payee), gelişmiş SCA istisnaları (50 EUR alt limit 100 EUR’ya çıkarıldı), TPP’ler için iyileştirilmiş veri erişimi ve API performans SLA’larının netleştirilmesi. PSD3 + PSR (Payment Services Regulation) paketinin 2026 sonu itibarıyla yürürlüğe girmesi bekleniyor.
FAPI 2.0 mTLS implementasyonu için minimum altyapı gereksinimleri nelerdir?
FAPI 2.0 mTLS için TLS 1.3 destekli load balancer (NGINX, F5, AWS ALB), eIDAS uyumlu QWAC ve QSealC sertifika yönetimi (HashiCorp Vault veya enterprise CA entegrasyonu), p95 latency 350 ms altı için NIC-level TLS offload donanımı önerilir. Ortalama 1.000 TPS yük için 4-8 vCPU, 16 GB RAM gateway node’u yeterli olur; 5.000 TPS üzeri için dedike HSM (FIPS 140-2 Level 3) yatırımı gerekir.
Türkiye’de BDDK Açık Bankacılık çerçevesi ile PSD2 farkları nelerdir?
BDDK 12 Temmuz 2023 tarihli düzenlemesi BKM ÜTPS modeli üzerinden çalışıyor; PSD2’ye benzer şekilde AISP ve PISP ayrımı var ancak SCA istisnaları Avrupa’dan daha sınırlı. Berlin Group standardı yerel adaptasyonla benimsendi; FAPI uyumu zorunlu değil ancak BKM önerisi olarak konumlanıyor. 2024’te 27 lisanslı TPP, 47 milyon API çağrısı gerçekleştirdi; 2026 hedefi 80 sağlayıcı.
Open Banking API performans SLA hedefleri nasıl belirlenmelidir?
EBA RTS Madde 32 yüzde 99,5 uptime zorunlu kılar; rekabetçi bankalar yüzde 99,95 hedefler. Latency tarafında p50 250 ms, p95 750 ms, p99 1.500 ms standart endüstri hedefleri. Datadog 2025 raporuna göre top quartile bankalar p95 380 ms altına ulaşıyor. Webhook callback teslimat oranı yüzde 99,9 ve retry policy zorunlu (exponential backoff, max 5 deneme).
Open Banking’in bankaya yıllık maliyeti ne kadar olur?
Orta ölçekli bir Avrupa bankası için (5 milyon hesap, aylık 8 milyon API çağrısı) yıllık toplam maliyet 1,4-2,8 milyon euro aralığında: API gateway lisansı 350-650 bin euro, geliştirme ve sürdürme 600 bin-1,2 milyon euro, sertifika ve uyum maliyeti 180-320 bin euro, izleme ve operasyon 270-510 bin euro. Open Banking gelir paylaşımı modelleri (TPP’lerden premium API ücreti) ile yüzde 40-60 maliyet ofset edilebiliyor.
Ömer ÖNAL
Mayıs 18, 2026Open Banking projelerinde gördüğüm en kritik hata, PSD2’yi sadece regülatif yük olarak görmek. FAPI 2.0 ve consent yönetimini doğru kurgulayan bankalar, üçüncü taraf sağlayıcılarla ortaklık üzerinden yeni gelir kanalları açıyor. Türkiye’de BDDK çerçevesi olgunlaştıkça, API ekonomisine erken yatırım yapan kurumlar 24 ay içinde net rekabet avantajı elde edecek. Mimari kararlar bugün alınmazsa, uyum maliyeti 2027’de iki katına çıkar. — Ömer ÖNAL