راه پرداخت
رسانه فناوری‌های مالی ایران

گفتگو با مهرداد خطیبی درباره دستور لغو پرداخت با کدهای USSD

به‌زودی و تا آغاز مهرماه آینده با ابلاغ دستوری از سوی بانک مرکزی جمهوری اسلامی ایران پرداخت‌های بانکی از طریق «کدهای دستوری» (USSD) ممنوع می‌شود. «کدهای دستوری» بستری برای ارسال کدهایی مانند *، # و چند عدد هستند که هر کاربر می‌تواند با ارسال آن‌ها به اپراتورهایی که عضو شبکه آن‌ها است فعالیت‌هایی مثل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام دهد. اگرچه با ظهور تکنولوژی‌های جدید در این عرصه استفاده از این بستر تقریباً منسوخ شده است اما کار با این محیط به دلیل نیاز نداشتن کاربران به اینترنت و پیچیدگی‌های خاص فضای مجازی، رسیدگی به کارهای بانکی را به‌وسیله تلفن همراه آسان می‌کند. اغلب شبکه‌های پرداخت الکترونیک که به بانک‌ها و اپراتورهای همراه با استفاده از این بستر به ارائه خدمات می‌پردازند در صورت ممنوعیت استفاده از این بستر دچار تغییر و تحولاتی در ارائه این دست از خدمات می‌شوند. در همین زمینه با مهرداد خطیبی مدیرعامل پرداخت اول کیش (جیرینگ) گفت‌وگویی را انجام داده‌ایم که شرکتش به 25 میلیون مشترک روی این بستر خدمات ارائه می‌کند.

.

با توجه به ابلاغیه بانک مرکزی در زمینه مسدود کردن خدمات بانکی بر بستر USSD چه تصمیمی برای ادامه فعالیت از طریق این سرویس دارید؟

تاکنون هیچ ابلاغیه‌ای نه از سوی بانک مرکزی و نه از سوی شاپرک و نه هیچ نهاد قانون‌گذاری دیگری به ما ابلاغ نشده است و ما جسته‌وگریخته از بین اخبار در شبکه‌ها و گروه‌های مجازی از این مسئله مطلع شدیم. حتی مذاکره شفاهی هم در این موضوع صورت نگرفته است. در حال حاضر روزانه چند میلیون تراکنش بر بستر USSD داریم که تاکنون هیچ تراکنش ناامنی در این فضا رخ نداده است یا اطلاعات محرمانه بانکی که لو رفته و به سرقت رفته باشد، نداشته‌ایم. درصورتی‌که در سایر بسترهایی که در حال حاضر در حال خدمت به کاربران هستند، زیاد شنیده می‌شود که سوءاستفاده صورت می‌گیرد و اطلاعات مشتریان به سرقت رفته است.

.

یکی از دلایلی که برای کنار گذاشتن این شیوه پرداخت عنوان می‌شود امن نبودن آن برای پرداخت است. این عدم امنیت چقدر واقعیت دارد؟

اولاً شبکه اپراتوری یک شبکه بسته و تحت کنترل است و برعکس آن، شبکه اینترنت یک شبکه باز و غیرقابل‌کنترل است، بنابراین هر سرویسی که بر شبکه اپراتوری ارائه می‌شود، ماهیت به‌مراتب امن‌تری به نسبت سرویس‌های اینترنتی دارد. بیایید فکر کنیم امنیت USSD، صفر مطلق است، وقتی تراکنش پرداخت روی این بستر انجام می‌شود برای بار اول، اطلاعات شماره کارت‌بانکی باید ثبت شود و مشترک برای نخستین بار شماره کارت 16 رقمی را وارد می‌کند و پس‌ازآن، رمز دوم درخواست می‌شود و درصورت مطابقت و صحت اطلاعات کاربر از سوی پی‌اس‌پی‌ها این اطلاعات ثبت می‌شود. در تراکنش‌هایی که بعد از تراکنش ثبت‌نام اولیه انجام می‌شود صرفاً رمز دوم است که بر بستر USSD منتقل می‌شود و به‌جای شماره کارت، یک کد مستعار ارسال می‌شود؛ بنابراین در صورت شنود، چیزی که نصیب فرد شنود کننده متخصص می‌شود صرفاً رمز دوم کارت‌بانکی است. آیا می‌توان با رمز دوم کارت‌بانکی که مشخص نیست متعلق به چه کارت‌بانکی است، برداشت پول انجام داد؟ بنابراین راحت‌ترین کار این است که پس از اولین تراکنش که شماره کارت و رمز دوم کارت در یک تراکنش USSD اخذ می‌شود، در تراکنش بعدی از کاربر بخواهیم رمز دوم کارت را تغییر دهد و در سیستم‌های پی‌اس‌پی هم این موضوع پیاده‌سازی شود که تا زمانی که رمز دوم تغییر نکرده، به‌هیچ‌وجه اجازه تراکنش جدید روی این بستر به مشترک داده نشود. در این وضعیت، اگر حتی شنودی هم صورت بگیرد اطلاعاتی که به دست می‌آید چیزی نیست که به درد شنود کننده بخورد.

باوجوداین، اگر اصرار بر ارتقای امنیت داشته باشیم، این کار میسر است. همه می‌دانند که مقوله امنیت، یک امر نسبی است بنابراین بین ریسک امنیتی و هزینه تأمین امنیت باید تناسبی وجود داشته باشد. اگر دوستان درخواستی برای ارتقای سطح امنیتی به ما بدهند ما می‌توانیم با انتقال اپلت روی سیم کارت مشترکان، سطح امنیتی USSD را بالاتر ببریم؛ اما موضوع این است که در شرایطی که با اجرای پیشنهادهای فوق، امنیت تقریباً صد درصدی برای تراکنش‌ها محقق می‌شود، آیا توجیه اقتصادی برای صرف این هزینه سنگین وجود دارد؟ در حال حاضر 25 میلیون مشترک منحصربه‌فرد همراه اول از سرویس USSD استفاده می‌کنند و برای اجرای مدل امنیت مبتنی بر اپلت، باید سیم کارت جدید برای همه مشترکین ارسال کنیم که فقط برای تعویض سیم کارت، به‌جز هزینه‌هایی که روی شبکه USSD و شبکه پی‌اس‌پی اتفاق می‌افتد، میزان قابل‌توجهی اعتبار مالی نیاز است. اینجا است که باید بحث شود درحالی‌که با یک روش ساده مثل تغییر رمز، ارتقای امنیتی تراکنش‌های USSD شدنی است، چرا باید چنین هزینه‌ای صرف شود.

.

در حال حاضر مردم از کدهای دستوری بیشتر برای چه نوع پرداختی استفاده می‌کنند؟

در حال حاضر 80 درصد پرداخت‌ها بر بستر USSD مربوط به فروش شارژ است؛ یعنی مردم به‌جای استفاده از پین چاپ شده می‌توانند از گوشی خود، شارژ خریداری کنند و این یعنی در همین مدت کوتاه ما از نابود شدن 5 هزار اصله درخت و هدر رفتن 110 میلیون لیتر آب جلوگیری کرده‌ایم.

.

بنابراین باوجوداین همه تدابیر امنیتی به نظر می‌رسد این ترس از سوی بانک مرکزی وجود دارد که اطلاعات از سوی خود اپراتور مورد سوءاستفاده قرار گیرد.

خیلی از اطلاعات محرمانه مشتریان در اختیار اپراتورها است و ایشان امانت‌دارند و نهادهای نظارتی هم بر شبکه اپراتوری نظارت دارند. ممکن است بانک مرکزی این دغدغه را داشته باشد اما چیزی که به‌صورت غیررسمی شنیده‌ایم دغدغه‌شان این است که ممکن است در لایه‌ای که بین گوشی و BTS وجود دارد شنود اتفاق بیفتد، باید عرض کنم که این اینترفیس با پروتکل‌های امن، محافظت شده ولی حتی در صورت شنود با تجهیزات پیشرفته، این طور نیست که این قابلیت در دسترس عموم باشد و همان‌گونه که قبلاً هم گفتم، در صورت تغییر رمز از تراکنش دوم، اطلاعات قابل‌استفاده‌ای نصیب شنود کننده نمی‌شود. درحالی‌که اگر موضوع، صرفاً دغدغه امنیت باشد آن را می‌توان به‌راحتی حل کرد و در صورت رفع این دغدغه قاعدتاً محدودیت‌های سال گذشته شامل بر خرید و مانده‌گیری بر بستر USSD نیز قابل‌برگشت خواهد بود.

.

شما از امنیت صحبت می‌کنید؛ اما همین الآن شاهد بالا گرفتن موضوع سرقت اطلاعات مشترکان ایرانسل و انتشار آن در تلگرام هستیم.

اول اینکه در این خصوص مدیران ایرانسل باید پاسخگو باشند و من نمی‌توانم به‌جای ایشان اظهار نظر کنم. تا آنجا که مطلع هستم، دیتابیس برخی از مشترکان ایرانسل به‌صورت آفلاین در شبکه مجازی منتشر شده و این به معنای نفوذ در شبکه اپراتوری نیست. احتمالاً در این اتفاق، همانند نمونه مشابهی که چند سال پیش در شبکه بانکی کشور اتفاق افتاد، دسترسی به اطلاعات از داخل شرکت و از طریق پرسنل یا پیمانکاران صورت گرفته، نه به‌ واسطه نفوذ در شبکه، بنابراین همان‌طور که عرض کردم، شبکه اپراتوری بسته است و امنیت در این شبکه بالاست. در موضوع USSD باید عرض کنم، اطلاعات تبادل شده بر این بستر در شبکه همراه اول ذخیره نمی‌شود که نگران نشر اطلاعات از این طریق باشیم.

.

به نظر می‌رسد مشکل پیچیده‌ای برای رفع دغدغه دو طرف وجود ندارد، چرا این اتفاق نمی‌افتد؟

نظر ما هم همین است که اگر این تعامل ارتقا یابد و فاصله‌ها کمتر شود می‌توان راهکارهایی پیدا کرد که دغدغه‌های دو طرف رفع شود. اگر نیت ارائه سرویس راحت در جهت آسایش مردم باشد بالاخره راهکاری می‌توان پیدا کرد. ممکن است بحث این باشد که USSD قدیمی است اما فعلاً با شرایطی که کیفیت و ضریب نفوذ اینترنت اپراتورها دارند، بهترین روش برای خرید شارژ و پرداخت قبوض همین USSD است. در حال حاضر بحث تأمین پول خرد در کشور ما به یک معضل تبدیل شده است درحالی‌که ما آمادگی لازم را در این زمینه داریم که مثلاً تکنولوژی NFC را ارائه کنیم تا موبایل را تبدیل به کارت و کیف پول همراه کنیم و مشترکان می‌توانند پرداخت‌های الکترونیک خود را با آن انجام دهند. ولی ازآنجاکه در کشور ما قوانین شفاف و با ثبات نیستند و هزینه سرمایه‌گذاری در این بخش قابل‌توجه است، فعلاً دست نگه داشته‌ایم. قوانین در این زمینه در کشور ما همیشه عقب‌تر از تکنولوژی هستند.

.

آیا فکر می‌کنید این فشار از سوی بانک‌ها اعمال می‌شود تا محدوده خدمات بانکی خود را برای مشتریانشان حفظ کنند؟

وقتی بحث «سپاس» (کیف الکترونیکی) مطرح شد و تست‌های اولیه نیز انجام شد، قرار بود تا پایان سال 93 طرح سپاس رونمایی شود اما بعدازآن چرخشی به وجود آمد که به بهانه ورود تکنولوژی‌های جدید از آن جلوگیری شد، هرچند که به نظر من سپاس تکنولوژی نبود بلکه یک پلتفرم بود تا اکوسیستم ارائه خدمات کیف پول‌محور را فراهم کند اما پرونده سپاس به یک‌باره بسته شد. احساس می‌کنم دلیل این امر همزمانی با خبر فعال شدن MVNO ها (اپراتور مجازی) بود. به محض اینکه امکان حضور شبکه بانکی در شبکه اپراتوری به وجود آمد، پروژه سپاس متوقف شد؛ یعنی یک خدمت را از مردم گرفتیم، به صرف اینکه خودمان می‌خواهیم این خدمت را ارائه کنیم. الآن بسیاری از شرکت‌های شبکه پرداخت و شرکت‌های وابسته به بانک‌ها، خواهان تبدیل شدن به اپراتور مجازی هستند یعنی ازیک‌طرف، سیاست‌گذار بانک مرکزی از فعالیت شبکه‌های پرداخت جدید بانکی ممانعت به عمل می‌آورد و ازیک‌طرف سیاست‌گذار مخابراتی کاملاً فضا را باز گذاشته و حق فعالیت در فضای اپراتوری را به شرکت‌های بانکی می‌دهد.

.

این نشان می‌دهد که سیاست‌گذاران بانک مرکزی و مخابرات بر سر این موضوع با هم اختلاف دارند؟

بله کاملاً دیدگاه‌های متفاوت و متضاد با یکدیگر دارند. ازیک‌طرف، نگاه بسته رگولاتور بانکی است و از این سمت، نگاه باز رگولاتور مخابراتی است.

.

به‌هرحال در این وضعیت رگولاتور مخابراتی قصد دارد خدمتی که در محدوده فعالیت شما بود را به سیستم بانکداری هم تحویل بدهد این طور نیست؟

موضوع این است که در این شرایط آیا ماهم باید از ورود پی‌اس‌پی‌ها به شبکه اپراتوری نگران و مضطرب باشیم. عملاً شبکه بانکی و خصوصاً پی اس پی‌ها در طول مدتی که با اپراتورها سرویس مشترک ارائه می‌دادند اطلاعات محرمانه اپراتورها مانند شماره موبایل، رفتار مصرف و خیلی از اطلاعاتی که منجر به شناسایی مشتریان پرمصرف اپراتورها می‌شود را جمع‌آوری کرده‌اند؛ بنابراین با داشتن این اطلاعات و فعال شدن MVNO ها، به نوعی می‌توانند مشتریان پرمصرف اپراتورها را بگیرند؛ درحالی‌که جذب این مشترکان برای اپراتور هزینه بالایی داشته است؛ اما آیا رگولاتور مخابراتی باید همانند رگولاتور بانکی در این زمینه نگاه بسته‌ای داشته باشد و از ورود شبکه بانکی به فضای اپراتور مجازی ممانعت کند؟ یا بهتر است که رگولاتور بانکی این رفتار را بیاموزد. از سویی دیگر برخی ادعا می‌کنند نحوه تقسیم درآمد بین پی‌اس‌پی‌ها و اپراتورها عادلانه نیست درصورتی‌که خیلی از PSP ها باید توجه داشته باشند که از طریق همین بستر توانسته‌اند چنین رشدی را تجربه کنند. شبکه پرداخت باید به این موضوع توجه داشته باشد که بدون نیاز به سرمایه‌گذاری برای خرید دستگاه پوز که در کشور ما تعدادشان هم کم نیست و بدون سرمایه‌گذاری روی نگهداری آن‌که عملاً هزینه آن بر عهده اپراتور و مشترک قرار گرفته است می‌توانند در این فضا فعالیت کنند؛ بنابراین بدون نیاز به سرمایه‌گذاری انبوه به دلیل تبدیل شدن گوشی‌های موبایل به دستگاه پوز، به نسبت سرمایه‌گذاری انجام شده توسط اپراتور و شرکت‌های پرداخت الکترونیک، کفه ترازوی سهم درآمد به سمت شبکه پرداخت است. با این وجود اگر واقعاً یک مدل کسب‌وکار مناسب و شفافی ارائه شود ما از آن استقبال می‌کنیم و آماده رایزنی هستیم.

.

درنهایت، تصمیم نهایی شما در قبال این دست از محدودیت‌ها بر بستر USSD چیست، آیا ممکن است روشی را برای دور زدن این محدودیت به کار بگیرید؟

اگرچه که باز هم تأکید می‌کنم این محدودیت به‌صورت رسمی به ما ابلاغ نشده است ولی باز هم پیشنهاد مذاکره برای رسیدن به راه حل نهایی را برای رفع دغدغه‌ها داریم. ما معتقدیم محدود کردن، بدون ارائه راهکار جایگزین تصمیم خوبی نیست. حداقل باید به آن 25 میلیون مشترکی که از سوی ما از این سرویس استفاده می‌کنند، احترام گذاشت. در غیر این صورت با شدیدترین تدابیر امنیتی بر این بستر یا هر بستر دیگری و با صرف بیشترین هزینه‌ها هم اگر هدف، رسیدن به تعامل و خدمت مشترک نباشد، به نتیجه نخواهیم رسید.USSD بستری است که مشترک برای استفاده از آن نیازی به مراجعه حضوری ندارد، اگرچه این تکنولوژی قدیمی است اما قدیمی و ساده بودن به معنی ضعیف بودن و بد بودن یک سرویس نیست. جایگزین کردن آن در صورت داشتن اینترنت پرسرعت، ارزان و قابل‌اعتماد به‌وسیله اپلیکیشن‌هایی میسر است که می‌توانند مبتنی بر دیتا فعالیت کنند؛ بنابراین در صورت توسعه اپلیکیشن‌ها و ارائه اینترنت پرسرعت ارزان، کم کم USSD از چرخه ارائه خدمت، خارج می‌شود. در وضعیت فعلی، USSD بهترین بستر ممکن برای ارائه خدمات اپراتوری است. سرویس دیگر که مبتنی بر راه نزدیک است، NFC است که درحال بررسی آن هستیم. برای ورود به این فناوری نیاز به سرمایه‌گذاری قابل‌توجهی داریم، اما این سرویس جزو خدماتی است که اگر قوانین شفاف باشد و بعداً با موانعی مثل USSD مواجه نشود، قابل سرمایه‌گذاری است، با این سرویس امکان پرداخت آنلاین و آفلاین همراه، مبتنی بر سیم کارت که بالاترین امنیت را دارد، به وجود خواهد آمد.

منبع: دنیای اقتصاد

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.