1 Nisan 2026'da Türkiye'de toplu SMS göndermenin kuralları sessizce değişti. BTK'nın 16.12.2025 tarihli, 2025/DK-YED/399 sayılı kurul kararı, "SMS Hizmeti Sunumu ile İlgili Düzenlemeler" başlığıyla yürürlüğe girdi. Karar; pazarlama mesajları gönderen e-ticaret sitesinden, OTP gönderen bankaya, randevu hatırlatması yollayan diş kliniğine kadar Türkiye'de SMS kullanan herkesi etkiliyor.

Üç temel değişiklik var: SMS gönderim panellerine artık kullanıcı adı–şifre ile değil, e-imza ya da mobil imza ile giriliyor. SMS işletmecileriyle yapılacak yeni abonelik başvuruları ve belge gönderimleri yalnızca KEP (Kayıtlı Elektronik Posta) üzerinden kabul ediliyor. Ve belki en görünür olanı: abone numarasıyla (505xx, 532xx gibi normal bir hatla) toplu SMS atma dönemi resmen sona erdi; gönderim için BTK onaylı, başlıklı (alfanümerik) bir gönderici adı kullanmak zorunlu.

Sorumluluk reddi: Bu yazı bilgilendirme amaçlıdır, hukuki danışmanlık değildir. Şirketinizin durumuna özel yükümlülükler için bir hukuk danışmanına ya da SMS hizmeti aldığınız işletmeciye başvurun. Kararın resmi metni ve güncel sürümleri için BTK ve Resmî Gazete kaynaklarını kontrol edin.

Bu Karar Neden Şimdi Geldi?

Türkiye'de SMS dolandırıcılığı yeni bir konu değil. "Kargonuz teslim edilemedi, linke tıklayın", "PTT'den bildiriminiz var", "Hesabınız kısıtlandı" başlıklı sahte SMS'ler son yıllarda o kadar yaygınlaştı ki, vatandaşların bir kısmı artık gerçek kurumlardan gelen bildirimlere bile şüpheyle yaklaşıyor. BTK'nın 2016'da getirdiği 4 haneli işletmeci kodu uygulaması (mesajın sonuna gönderimi başlatan operatörün kodunu eklemek) bu sorunu hafifletti ama bitirmedi; çünkü zincirin zayıf halkası genellikle başlığın kendisi değil, başlığa nasıl ulaşıldığıydı.

Sorun şuydu: bir saldırgan, yetkisi olmayan birinden çalınmış bir kullanıcı adı–şifre ile SMS paneline girip kısa süreliğine de olsa zararlı mesajlar gönderebiliyordu. Ya da bir bayinin abone numarası üzerinden, başlık alınma zorunluluğu olmadığı için, kim olduğu belirsiz toplu mesajlar yola çıkıyordu. Yeni karar tam olarak bu iki açığı kapatmaya çalışıyor: panele giren kişinin kimliği e-imza ile sabitleniyor, gönderici adı ise BTK onayından geçmiş ve belgelenmiş bir başlık olmak zorunda.

Değişen Üç Şey

1. SMS Panellerine E-İmza ya da Mobil İmza ile Giriş

1 Nisan 2026 itibarıyla SMS ve MMS gönderim arayüzlerine erişimde "kullanıcı adı + şifre" tek başına yeterli değil. Mesaj gönderim yetkisi olan her kullanıcının nitelikli elektronik sertifika (e-imza) ya da mobil imza ile kimlik doğrulaması yapması gerekiyor. Bu, ev kullanıcılarının e-Devlet'e e-imza ile girişine benzer bir akış: panele girerken kart/USB token takılı olmalı ya da operatöre bağlı mobil imza onayı verilmeli.

Pratikte bunun ne anlama geldiğini biraz açalım. Diyelim ki bir e-ticaret şirketinde pazarlama ekibinden üç kişi panele giriyor. Eskiden üçü de ortak bir hesabı paylaşıyor olabilirdi; artık her birinin kendi e-imzasının veya mobil imzasının olması gerekiyor. Bu, "kim ne gönderdi" sorusunu denetlenebilir hale getiriyor — ama aynı zamanda küçük şirketler için yeni bir maliyet ve süreç yükü getiriyor.

2. Abonelik Başvuruları Yalnızca KEP Üzerinden

SMS hizmeti sunan işletmecilere yapılacak yeni abonelik başvuruları ve ilgili belgeler artık yalnızca KEP (Kayıtlı Elektronik Posta) üzerinden gönderilebiliyor. Pratikte bu, KEP adresiniz yoksa yeni bir SMS aboneliği açtıramayacağınız anlamına geliyor. KEP belgelerin teslimini hukuki olarak ispat ettiği için, BTK denetimlerinde "şu belgeyi gönderdiniz mi, ne zaman gönderdiniz" sorusu artık tartışmasız bir cevaba sahip.

KEP adresi PTT ve diğer yetkilendirilmiş hizmet sağlayıcılarından alınıyor; bireysel ve kurumsal seçenekleri var. Hâlâ KEP adresi olmayan ve toplu SMS göndermeyi planlayan bir şirket için artık atılması gereken ilk adımlardan biri bu.

3. Abone Numarasıyla SMS Yok — Onaylı Gönderici Adı Zorunlu

Belki ticari etkisi en hızlı hissedilen değişiklik bu: 1 Nisan 2026'dan itibaren bir abone numarasından (örneğin 5XX'li normal bir hattan) toplu SMS gönderimi yapılamıyor. Toplu gönderim için BTK onayından geçmiş, alfanümerik bir gönderici adı (mesajın "Kimden" kısmında görünen başlık) kullanılması gerekiyor.

Gönderici adı en az 3, en fazla 11 karakter olabiliyor. Ve önemli olan: bu başlığın, başvuruyu yapan kurumla anlamlı bir bağı olduğunu belgelemek gerekiyor. Genel olarak hangi başlık hangi belgeyle alınabilir, kısaca:

• Şirket unvanı: Ticaret Sicil Gazetesi örneği ya da Ticaret Sicil Kaydı.
• Marka adı: Türk Patent ve Marka Kurumu marka tescil belgesi.
• İnternet sitesi alan adı: Alan adı sahipliğini gösteren belge (whois çıktısı, alan adı faturası vb.).
• Bayi/temsilci olunan firma adı: İlgili kurumdan alınmış yetki belgesi.
• Gerçek kişi adı/soyadı: Kimlik belgesi; unvan eklenecekse onu ispatlayan belge.

Yani "AYAKKABIDUKKANI" gibi bir başlığı alabilmek için ya şirket adınızın ya da tescilli markanızın o ifadeyi içermesi lazım. Eskiden bazı bayilerin başkasına ait gibi görünen başlıklarla mesaj atması mümkündü; yeni düzenlemenin amaçlarından biri tam olarak bunu engellemek.

Hukuki Çerçeve: Bu Karar Nereden Geliyor?

BTK kararı tek başına havada durmuyor; arkasında daha geniş bir mevzuat ağı var. Türkiye'de ticari SMS düzenlemesini şekillendiren üç ana kaynak:

• 5809 sayılı Elektronik Haberleşme Kanunu: BTK'ya elektronik haberleşme alanında düzenleme ve denetim yetkisi veren temel kanun. SMS hizmeti sunan işletmecilerin yetkilendirilmesi de bu kanuna dayanıyor.
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun: Ticari elektronik iletilerin (SMS, e-posta, sesli arama) gönderim koşullarını, onay/ret yönetimini ve İYS yükümlülüklerini düzenliyor. Ticaret Bakanlığı tarafından uygulanıyor.
• 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK): Telefon numarası kişisel veri olduğu için, SMS gönderim listenizdeki her numara aynı zamanda KVKK kapsamında. Hukuki sebep, aydınlatma metni, saklama süresi gibi başlıklar burada düzenleniyor.

Yeni BTK kararı, bu üç koldan ilkini — elektronik haberleşme tarafını — daha sıkı hale getiriyor. İYS ve KVKK yükümlülükleriniz değişmiş değil; üstüne bir katman daha ekleniyor.

Şirketler İçin Pratik Etki: Neye Hazırlıklı Olmak Lazım?

Karara hazırlıksız yakalanan şirketlerde sahada birkaç tipik aksama görülüyor:

• Kampanya gönderim gününde panele girilememesi ve mesajların zamanında gitmemesi.
• Acil bilgilendirme (kargo, randevu, OTP) mesajlarının aksaması — özellikle ortak hesap kullanan ekiplerde.
• Yeni bayi/şube açılışlarında SMS aboneliğinin günlerce sürmesi (KEP adresi olmadığı için).
• "Eski" abone numarası gönderim akışları üzerine kurulu otomasyonların sessizce kırılması.

Pratik bir hazırlık listesi şu şekilde özetlenebilir:

1. Yetkili kullanıcıları belirleyin. Panele kimlerin gireceğini netleştirin. Ortak hesap mantığından kişiye bağlı hesap mantığına geçin.
2. E-imza/mobil imza envanteri çıkarın. Bu kullanıcıların kaçında geçerli bir nitelikli elektronik sertifika veya mobil imza var? Eksikler için başvuruları erken başlatın — kart/token teslimi ve operatör mobil imza aktivasyonu birkaç günü bulabiliyor.
3. KEP adresi alın (yoksa). Toplu SMS göndermeyi düşünüyor ve henüz KEP adresiniz yoksa, hizmet sağlayıcılarından bir kurumsal KEP adresi edinin.
4. Gönderici adı (başlık) durumunuzu gözden geçirin. Hâlâ abone numarasıyla SMS gönderen akışlarınız var mı? Onaylı bir başlığınız yoksa, kullanmayı planladığınız ismi belgeleyebileceğinizden emin olun — şirket unvanı, marka tescili veya alan adı sahipliği gibi.
5. Otomasyonları test edin. CRM, e-ticaret platformu, OTP sağlayıcı, randevu sistemi gibi SMS API kullanan tüm noktaları test ortamında çalıştırın. Özellikle "From" alanına abone numarası geçen kodlar varsa, bunlar 1 Nisan sonrası sessizce başarısız olabilir.

Vatandaş Tarafından Bakınca

Gözünüze çarpan küçük bir detay olmuştur belki: son aylarda gelen SMS'lerin sonunda dört haneli sayı kodları görüyorsanız, bu yeni bir şey değil — 12 Nisan 2016'dan beri uygulanan 4 haneli işletmeci kodu sistemi. Bu kod, mesajı hangi GSM operatörünün altyapısı üzerinden başlatıldığını gösteriyor ve sorun çıktığında BTK'nın kaynağı bulmasına yarıyor. Yeni karar bu sistemi ortadan kaldırmıyor; üstüne yetkilendirme ve kimlik doğrulama katmanları ekliyor.

Beklenen pratik sonuç, başlığı rastgele bir kurum adıymış gibi gösteren SMS dolandırıcılıklarının zorlaşması. Belgelenmemiş başlık alınamayacağı, panele giren kişinin kimliği e-imzayla sabitleneceği için, kötü niyetli akışların maliyeti ve takip edilebilirliği artıyor. Tabii bu, dolandırıcılığın bittiği anlamına gelmiyor — yurt dışı kaynaklı OTT mesajları, SIM swap saldırıları, sahte sitelere yönlendiren linkler bu kararın kapsamı dışında ve ayrı bir mücadele gerektiriyor.

Geliştirici Notu: API Tarafında Ne Değişiyor?

Eğer bir SMS API entegrasyonu sürdürüyorsanız, kararın doğrudan kodunuza etkisi sınırlı ama önemli. Gönderim isteklerinizde "sender" ya da "from" alanına abone numarası geçiyorsanız, bunu önceden onay almış başlığınızla değiştirmeniz gerekiyor. Çoğu Türk SMS sağlayıcısı zaten bu alana abone numarası geçişini son güncellemelerde reddetmeye başladı; yani bir gün otomasyonunuz beklenmedik bir 403 ya da 422 ile karşılaşabilir.

Panel girişindeki e-imza zorunluluğu kullanıcı arayüzüne ilişkin; API anahtarıyla yapılan sunucu–sunucu gönderimleri farklı bir akış. Ancak API anahtarınızı yöneten panele giriş artık e-imza istiyor. Anahtarın oluşturulması, yenilenmesi, iptali gibi işlemler için kimin yetkili olduğunu DevOps tarafında belgelemek iyi bir alışkanlık.

Özet

1 Nisan 2026'da yürürlüğe giren BTK kararı, Türkiye'de SMS gönderiminin "kim, neyi, kimin adına gönderiyor" sorusunu daha sıkı şekilde cevaplamasını istiyor. Pratikte üç değişiklik var: panele girişte e-imza/mobil imza, yeni aboneliklerde KEP, ve abone numarası yerine onaylı gönderici adı. Bunlar birbirine bağlı parçalar; biri eksik kalırsa süreç tıkanıyor.

Hâlâ hazırlık aşamasında olan şirketler için tavsiye sade: yetkili kullanıcılar, e-imza/mobil imza, KEP adresi ve başlık belgeleri — bu dörtlüyü tamamlayın. Karar yeni şeyler gönderemeyeceğiniz anlamına gelmiyor; sadece "kimin gönderdiği"ni daha net göstermenizi istiyor. Uzun vadede hem vatandaş hem de meşru göndericiler için sağlıklı bir yön.

Kaynaklar:

• BTK Kurul Kararı, 16.12.2025 tarihli ve 2025/DK-YED/399 sayılı, "SMS Hizmeti Sunumu ile İlgili Düzenlemeler" — Resmî Gazete / Lexpera arşivi üzerinden erişilebilir.
• BTK Basın Açıklaması: "SMS'ler İçin BTK'dan 4 Haneli Kod Uygulaması", 12 Nisan 2016 düzenlemesi — btk.gov.tr.
• 5809 sayılı Elektronik Haberleşme Kanunu.
• 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun ve Ticari İletişim ve Ticari Elektronik İletiler Hakkında Yönetmelik (15.07.2015 tarihli, 29417 sayılı Resmî Gazete).
• 6698 sayılı Kişisel Verilerin Korunması Kanunu — kvkk.gov.tr.