پاسخ محمدبیگی به اما و اگرهای محدودیت‌های بانک مرکزی روی بستر یو‌اِس‌اِس‌دی

نویسنده: رسول قربانی در تاریخ 25 مرداد سال 1395 ساعت 14:32 0

سؤال خیلی از فعالان صنعت پرداخت این روزها این است: «آیا محدودیتی که طبق دستور شاپرک به نمایندگی از بانک مرکزی از اول مهرماه 95 قرار است روی بستر یو‌اِس‌اِس‌دی (USSD) اعمال شود، عملیاتی می‌شود؟» بنا بر صحبتی یک‌ساعته که با مهندس داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی داشتیم، باید آب پاکی را بریزیم روی دستتان و بگوییم: «بله، اعمال می‌شود.»

در «راه پرداخت» اولین رسانه‌ای بودیم که در خصوص تکنولوژی یو‌اِس‌اِس‌دی و مزایای استفاده از آن در صنعت بانکداری و پرداخت و حتی از مشکلات آن نوشتیم و حتی بارها گفتیم که یو‌اِس‌اِس‌دی دیگر جزو تکنولوژی‌های روز دنیا در حوزه پرداخت و بانکداری نیست (+) و فقط چند کشور در دنیا آن هم با شرایط خاصی از این تکنولوژی در حال استفاده هستند (+)؛ اما با این وجود، به سراغ داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی رفتیم تا از اما و اگرهایی که پشت محدودیت‌های بانک مرکزی روی یو‌اِس‌اِس‌دی است (+) باخبر شویم. آنچه در ادامه آمده است متن مصاحبه راه پرداخت با داود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی در این خصوص است.

دیتا آینده پرداخت‌های مبتنی بر موبایل است

قربانی: سرمایه‌گذاری‌های سنگینی از سوی شرکت‌های پرداخت (PSP) و بانک‌ها روی توسعه خدمات بانکی و پرداخت روی بستر یو‌اِس‌اِس‌دی (USSD) در چند سال گذشته انجام شده است و با توجه به وضعیتی که بسترهایی همچون دیتا در کشور داشت، باعث شد این بستر از اقبال خوبی بین مردم برخوردار شود؛ چرا اکنون بانک مرکزی به دنبال محدود کردن این بستر است؟

محمد بیگی: دیدگاهی که در بانک مرکزی وجود دارد این است که مجموعه اصولی باید در پرداخت رعایت شود. اصل اول در پرداخت این است که ما از اطلاعات مشتریان صیانت کنیم و این به این معنی نیست که سرویس یو‌اِس‌اِس‌دی که در حال حاضر ارائه می‌شود، سرویس ناامنی است؛ ولی به‌هرحال تمام کانال‌هایی که اطلاعات مشتریان را در شبکه پرداخت انتقال می‌دهند باید طوری باشند که اطلاعات به‌صورت رمزشده منتقل شوند. الآن در سرویس یو‌اِس‌اِس‌دی این اتفاق نمی‌افتد، یعنی اطلاعات به‌صورت غیر رمزشده و شفاف یا اصطلاحاً به شکل Plaintext منتقل می‌شوند (+)؛ خوشبختانه در مدتی که این سرویس استفاده شده ما مشکل جدی با این سرویس نداشتیم ولی همین‌که اطلاعات به‌صورت غیر رمزشده منتقل می‌شود یکی از اصول ما را نقض می‌کند. با توجه به اینکه اطلاعاتی که از طریق کانال یو‌اِس‌اِس‌دی منتقل می‌شوند، به‌غیراز شبکه پرداخت، شبکه‌های دیگری مانند اپراتور و شرکت‌هایی که به اپراتورها سرویس می‌دهند هم می‌توانند به این اطلاعات دسترسی داشته باشند، پیشنهاد بانک مرکزی این بود که مکانیسم‌هایی را روی این سرویس ایجاد کنیم که این اتفاق نیفتد و تا زمان ایجاد این مکانیسم‌ها، ما این سرویس را محدود کردیم.

داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی

واقعیت دوم این است که ما در حوزه‌ی موبایل 4 کانال انتقال اطلاعات داریم: Voice، SMS، USSD و Data؛ که اگر نگاهی به کشورهای پیشرفته بیندازید می‌بینید که در کل کشورهای پیشرفته‌ی دنیا روی موبایل در حوزه‌ی بانکی و پرداخت کانال انتقال اطلاعات، دیتا است. از طرف دیگر در سال‌های گذشته در حوزه دیتا در صنعت مخابرات کشور پیشرفت‌هایی داشتیم و با توجه به روند تکنولوژی در دنیا به نظر می‌رسد که در سال‌های آتی با بهبود آنتن‌دهی و ارائه خدمات اینترنتی روی موبایل به مشتریان و افزایش ضریب نفوذ گوشی‌های هوشمند در کشور، جذابیت یو‌اِس‌اِس‌دی کمتر شود. البته ناگفته نماند کشورهایی مانند هند و کنیا از بستر یو‌اِس‌اِس‌دی به‌شدت استفاده می‌کنند ولی نه با این مکانیسم فعلی ما در ایران؛ بلکه با ترفندهایی تلاش کرده‌اند که آن موارد امنیتی گفته شده را پوشش دهند.

بنابراین موضوعی که وجود دارد روند تکنولوژی است و تمام تلاش بانک مرکزی و اپراتورهای تلفن همراه تقویت سرویس‌های حوزه‌ی دیتا است و ما نیز بانک‌ها و شرکت‌های پرداخت الکترونیک را جهت‌دهی می‌کنیم تا به آن سمت بروند و سرویس‌هایشان را از طریق دیتا در اختیار مشتریان قرار دهند. (+)

از طرف دیگر در حال حاضر ممکن است در جاهایی باشید که به اینترنت دسترسی نداشته باشید و بخواهید از یک سرویسی استفاده کنید؛ بنابراین نمی‌شود سرویس یو‌اِس‌اِس‌دی را کلاً قطع کرد. برنامه‌ای‌ که بانک مرکزی دارد این است که از مهرماه با تغییر شیوه‌ها و روش‌هایی در کانال‌های یو‌اِس‌اِس‌دی یک مقدار از این نگرانی‌هایی که درباره اطلاعات حساس در کانال یو‌اِس‌اِس‌دی وجود دارد را مرتفع کند و این سرویس قطعاً ادامه‌دار خواهد بود و ما قصد نداریم این سرویس را قطع کنیم. فقط قصد داریم با تغییر فرایندها آن را به استانداردها و اصول پرداخت نزدیک‌تر کنیم. من تأکید می‌کنم که «امن‌تر» چون این حرکت بانک مرکزی به این معنی نیست که این سرویس در حال حاضر امن نیست و امنیت یک پدیده نسبی است و نمی‌توانند بگویید که امن هست یا نیست.

الآن تقریباً 90 درصد خدماتی که روی سرویس یو‌اِس‌اِس‌دی ارائه می‌شود برای خرید شارژ سیم‌کارت‌های اعتباری است و تقریباً 10 درصد برای پرداخت قبض است. خب، وضعیتی که الآن وجود دارد این است که مشتری برای خرید یک شارژ 5 هزارتومانی از طریق بستر یو‌اِس‌اِس‌دی هم شماره کارت و هم رمز دوم خودش را ارسال می‌کند؛ آن هم در شرایطی که گفتیم رمزگذاری‌های لازم روی این بستر انجام نمی‌شود. اگر این اطلاعات به دست یک شخص ثالثی بیفتد از طریق همین بستر می‌تواند مورد سوءاستفاده قرار بگیرد.

کاری که از اوایل مهرماه می‌خواهیم انجام دهیم این است که کاربر هنگام استفاده از بستر یو‌اِس‌اِس‌دی دیگر یکی از این اقلام اطلاعاتی را روی این کانال ارسال نمی‌کند؛ مثلاً برای انجام خرید دیگر نیازی به ارسال شماره کارت ندارد و فقط رمز دوم را ارسال می‌کند. حالا حتی اگر هم شخص سومی به این اطلاعات دسترسی پیدا کرد فقط به رمز دوم مشتری دسترسی دارد؛ رمز دوم یک کاربر بدون شماره کارتش به چه دردی می‌خورد؟ پس عملاً اتفاقی که خواهد افتاد این است که شماره کارت‌بانکی از کانال یو‌اِس‌اِس‌دی حذف خواهد شد. برای این کار یک سیستم متمرکز طراحی شده است که مشتریان با شماره موبایل خودشان این خریدها را انجام دهند. این دو مزیت دارد یکی اینکه شناسایی مشتریان کاملاً انجام می‌شود؛ یعنی شماره‌ی موبایل و شماره‌ی کارت مشتری را دارید و می‌دانید که مثلاً محمدبیگی با این شماره موبایل خرید می‌کند بنابراین احتمال سوءاستفاده‌ها را کمتر می‌کند و نکته‌ی دوم آن اشاره به اصلی دارد که گفتم یعنی جلوی ارسال اطلاعات حساس روی یک کانال به شکلی که پتانسیل مورد سوءاستفاده قرار گرفتن داشته باشد را خواهیم گرفت.

قانون‌گذار به چابکی سرعت تغییرات نیست

قربانی: نکته‌ای که وجود دارد این است که تجربه نشان داده است که اگر کاربران بخواهند بروند یک جایی، چه در شعبه و یا چه در اینترنت یک ثبت‌نام اولیه‌ای برای انجام تراکنش در بستر یو‌اِس‌اِس‌دی انجام دهند، کاربران این بستر ریزش چشمگیری خواهد داشت که این به‌نوعی ضربه بزرگی به شرکت‌هایی که روی این بستر سرمایه‌گذاری کرده‌اند، می‌زند. درصورتی‌که این Plaintext بودن یو‌اِس‌اِس‌دی و اطلاعاتی که ردوبدل می‌شود، از همان روز اول مشخص بود؛ پس چرا بانک مرکزی اجازه داد که این سرویس بیاید و توسعه پیدا کند؟ چه کسی مسئول این سرمایه‌گذاری‌ها است؟

محمدبیگی: روش جدید استفاده از یو‌اِس‌اِس‌دی که توضیح دادم ممکن است که کار را یک مقداری سخت‌تر کند ولی در راستای بحث شفافیت اطلاعات و بحث ارائه خدمت روی بسترهای مطمئن، مشتری هم باید یک بخش‌‌هایی را بپذیرد. یک زمانی در همین صنعت پرداخت ما روی کانال یو‌اِس‌اِس‌دی و کانال تلفن چهار قلم اطلاعاتی کارت‌بانکی را می‌گرفتیم ولی خب بعدش متوجه شدیم که اگر این اقلام اطلاعاتی روی این کانال‌ها لو برود می‌توان با استفاده از آن‌ها اینترنتی خرید کرد؛ خب بانک مرکزی آمد و این را یک مقدار محدود کرد و از چهار قلم اطلاعات کارت‌بانکی به دو قلم کاهش دادیم.

اما در خصوص اینکه چرا از ابتدای کار جلوی توسعه یو‌اِس‌اِس‌دی را نگرفتیم، باید بگویم از سال 87 که این سرویس توسط یکی از شرکت‌های پی‌اس‌پی برای اولین بار ارائه شد، تاکنون بانک مرکزی هیچ‌وقت توصیه‌ و یا تأییدی روی اینکه شرکت‌ها بروند و روی این سرویس سرمایه‌گذاری کنند نداشته است. این سرویس را خود شرکت‌ها و اپراتورهای تلفن همراه صلاح دانستند و سرمایه‌گذاری کردند و الآن هم ما بنا نداریم که این سرویس را قطع کنیم. به خاطر دلایلی همچون حفظ مشتریان و همچنین حفظ هزینه‌ها و سرمایه‌گذاری‌های انجام شده روی این سرویس، بانک مرکزی قصد ندارد این سرویس را کلاً قطع کند.

محمدبیگی: در شرایط فعلی روند تکنولوژی و پیشرفت تکنولوژی به‌قدری سریع شده است که یک جاهایی قانون‌گذار قبل از اینکه یک تکنولوژی بیاید و وارد عرصه‌ی پرداخت و یا عرصه‌ی بانکی شود، نمی‌تواند قانونی برایش وضع کند.

اگر خاطرتان باشد سال گذشته یکی دو بار بانک مرکزی خواست که یو‌اِس‌اِس‌دی را قطع کند ولی به همین دلایل دیدیم که اگر ما بخواهیم به یک‌باره این کار را انجام بدهیم طبیعتاً تعدادی از افراد متضرر می‌شوند و سعی کردیم به روش‌های بهبود سرویس فکر کنیم. واقعیت دیگری که وجود دارد این است که الآن به‌عنوان‌مثال در شبکه‌های اجتماعی بحث پرداخت را داریم و عده‌ای هم روی بحث پرداخت در شبکه‌های اجتماعی کار می‌کنند و یا عده‌ای دیگر در ایران در حال فعالیت روی بحث بیت‌کوین هستند. از طرف دیگر فعلاً بانک مرکزی روی بحث بیت‌کوین یا پرداخت در شبکه‌های اجتماعی هیچ قانون‌گذاری انجام نداده است و اگر هم انجام داده هنوز اعلام نکرده است. خب اگر کسی در این فضاها سرمایه‌گذاری کند و بانک مرکزی بعداً بیاید و ممنوعیتی را روی بیت‌کوین وضع کند این به معنای مقابله با سرمایه‌گذاری آن‌ها نیست.

حقیقت این است که در شرایط فعلی روند تکنولوژی و پیشرفت تکنولوژی به‌قدری سریع شده است که یک جاهایی قانون‌گذار قبل از اینکه یک تکنولوژی بیاید و وارد عرصه‌ی پرداخت و یا عرصه‌ی بانکی شود، نمی‌تواند قانونی برایش وضع کند. کما اینکه الآن در خصوص بیت‌کوین بانک مرکزی بسیاری از کشورها هنوز این پدیده را نه تأیید کرده‌اند و نه رد. حتی بعضی از کشورها مثل چین و روسیه از همان ابتدا آمده‌اند و این پدیده را منع کردند ولی بعضی از این کشورها هنوز دارند آن را رصد می‌کنند و جایی که ببینند این تکنولوژی‌ها ریسکی را متوجه خریدار یا فروشنده و یا متوجه حوزه پولی کشور می‌کند، ورود پیدا می‌کنند و تا جایی که این ریسک نباشد شاید هیچ‌وقت بانک‌های مرکزی هم در بعضی از این عرصه‌ها ورود پیدا نکنند چون ریسکی را برای مشتری ندارد.

اینجا هم زمانی که سرویس یو‌اِس‌اِس‌دی مطرح شد به این گستردگی نبود و به‌تدریج این سرویس گسترش پیدا کرد و مردم کم‌کم با این سرویس آشنا شدند. با گسترش سرویس، ریسک‌های آن هم افزایش یافت که لازم به مداخله بانک مرکزی شد.

از طرف دیگر، در سیاستی که ما در دهه‌ی 80 داشتیم در خیلی از عرصه‌ها بانک مرکزی و کلاً شبکه‌ی پرداخت کشور یک جاهایی برای این‌که ضریب نفوذ سرویس‌ها افزایش پیدا کند اجازه داد که یکسری از خدمات گسترش پیدا کنند ولی بعد برای اینکه بتواند ریسک‌های این خدمات را کاهش دهد مقررات برایشان وضع کرد و این موضوعی نیست که صرفاً منحصر به کشور ما باشد و در خیلی از کشورهای دیگر این اتفاق می‌افتد.

الآن هم محدودیت‌هایی را که روی این سرویس وضع شده و از مهرماه اعمال خواهد شد به اعتقاد ما خیلی تأثیری روی کاهش استفاده از این سرویس ندارد؛ یعنی به آن شدتی که تیر خلاصی باشد برای سرویس یو‌اِس‌اِس‌دی نیست. برای یک مشتری که واقعاً می‌خواهد از سرویس یو‌اِس‌اِس‌دی استفاده کند، فکر نمی‌کنم این موضوع یک بار ثبت شماره موبایل و شماره کارت، خیلی موضوع چالش‌برانگیزی باشد؛ انجام این ثبت اولیه شماره موبایل و شماره کارت می‌تواند از روی خود گوشی، از طریق سایت و یا از طریق دیگر ابزارهایی که در اختیار مشتریان قرار می‌گیرد، انجام شود. اتفاقاً در پیشنهادی که الآن ما دنبال می‌کنیم و با بعضی از شرکت‌های پی‌اس‌پی هم صحبت کردیم این بوده که کمترین تغییرات را در شرایط فعلی بدهیم، ولی بیشترین اثرگذاری را داشته باشیم.

نگاهی به مسیر پیش روی سپاس

قربانی: چیزی که مسلم است این است که با اعمال این محدودیت، کاربران یو‌اِس‌اِس‌دی دچار ریزش خواهد شد و با توجه به رویکردی که بانک مرکزی در پیش گرفته، همان‌طور که در ابتدا هم گفتید نگاه این است که تمرکز از روی یو‌اِس‌اِس‌دی برداشته شود و سرمایه‌گذاری‌ها روی دیتا انجام شود. می‌توان عملاً گفت که یو‌اِس‌اِس‌دی در 5 سال آینده دیگر جایی نخواهد داشت. یا این اوصاف سؤالی که برای خیلی‌ها پیش می‌آید این است که حرکت به سمت یو‌اِس‌اِس‌دی و فراگیر شدن آن در پاسخ به یک نیازی شکل گرفت، الآن با محدود کردن این بستر آیا بانک مرکزی جایگزینی برای پاسخ به این نیاز ارائه کرده است؟ آیا اصلاً می‌توان مواردی مثل سپاس و کیپا را در مقابل بستر یو‌اِس‌اِس‌دی دید؟ چون از آن‌ها هم به‌عنوان بسترهای پرداخت خرد هنوز خبری نیست!

محمدبیگی: سرویسی که الآن روی یواس‌اس‌دی داده می‌شود بیشتر خرید شارژ هست؛ یعنی این‌طور نیست که شما بگویید این سرویس برای پرداخت‌های خرد مردم ابزار مناسبی است؛ ما این اعتقاد را نداریم.

درباره‌ی پرداخت‌های خرد کاملاً درست است به‌هرحال سپاس از آن سیستم‌هایی بود که با توجه به شرایطی که وجود داشت و مشغله‌هایی که در حوزه‌ی بانک مرکزی و بانک‌ها بود، مقداری روند آن پروژه، روند مطلوبی نبود. دلیل دومش هم این بود که روند تکنولوژی و تغییراتی که در این حوزه داشتیم یک مقدار باعث شد که آن الگو و مدلی که بانک مرکزی داشت دچار تغییر شود.

در مورد سپاس می‌دانیم که بحث کیف پول و اینکه اصلاً بانک‌ها اجازه‌ی انتشار کیف پول را داشته باشند یک شأن پولی و بانکی دارد که باید به مصوبات شورای پول و اعتبار استناد کنیم و بر اساس مصوبات شورای پول و اعتبار هر واحد پول الکترونیکی که بانک صادر می‌کند حتماً باید معادل آن را در بانک مرکزی تودیع کند. این هم به این دلیل است حق انتشار پول صرفاً در اختیار بانک مرکزی است و حتی اگر پولی به شکل الکترونیک و خرد وارد سیستم بانکی می‌شود باید کاملاً با نظارت کامل بانک مرکزی انجام شود تا این پرداخت‌ها و پول‌های خرد در کلان اقتصاد کشور و کلان حوزه‌ی پولی کشور تأثیرات منفی نگذارد. این بعد نظارتی ماجرا بود.

در حوزه‌ی تکنیکال و بعد فنی کیف پول برنامه‌ای‌ که الآن در بانک مرکزی وجود دارد این است که ما بتوانیم با استانداردهایی که دنیا بر اساس آن‌ها کار کرده جلو برویم. الآن استاندار مشخص در حوزه پرداخت‌های برون‌خطی استاندارد EMV است که به مشتریان اجازه می‌دهد تراکنش‌های آفلاین را در این حوزه انجام دهند؛ ما در حوزه‌ی کیف پول می‌توانیم به دو شکل به این موضوع نگاه کنیم. یکی اینکه من به‌عنوان مشتری وقتی‌که می‌خواهم خریدی را انجام بدهم نیازی نباشد برای انجام خریدها زیر یک سقف و زیر یک مبلغ که پرداخت خرد محسوب می‌شود، نیاز به ورود رمز داشته باشم. الآن متأسفانه تمام این تراکنش‌های خرد که تقریباً حدود 30 درصد تراکنش‌ها را شامل می‌شود، در شبکه پرداخت آنلاین ما انجام می‌شود و این از نگرانی‌های بانک مرکزی و شبکه بانکی است؛ بنابراین اگر ما بتوانیم ابزاری را به مشتری ارائه دهیم که بدون اینکه از شبکه آنلاین استفاده کند، بتواند پرداخت‌های خردش را انجام دهد هم بانک‌ها نفع می‌برند و هم اینکه مشتری می‌تواند راحت‌تر از این ابزار استفاده کند.

استانداردی که در دنیا برای این کار وجود دارد در اختیار قرار دادن کارت‌های هوشمند است. الآن بیش از 99 درصد کارت‌هایی که در شبکه بانکی کشور در اختیار مشتریان قرار دارند کارت‌های مگنت‌استریپ است و بعضی از بانک‌ها به‌تازگی در حوزه‌ی کارت هوشمند وارد شده‌اند. بانک مرکزی درصدد ابلاغ استانداردی به بانک‌ها است که بتوانند کارت‌های هوشمند را در اختیار مردم قرار بدهند و این کارت‌ها لزوماً کارتی نیست که جسمش در اختیار مشتری قرار بگیرد. این کارت می‌تواند به‌صورت یک کارت مجازی که روی یک سکیورالمنت، روی موبایل یا سیم‌کارت شما این کارت‌هاست بشود و یا اینکه جسمش در اختیار شما قرار می‌گیرد که در هر دو صورت شما بتوانید با استفاده از این کارت پرداخت‌های خرد خود را انجام بدهید. این می‌شود مسیر پرداخت‌های خرد که الآن در شرف تدوین این استاندارها و ابلاغ آن‌ها هستیم و اگر این اتفاق بیفتد فکر می‌کنیم که در طول 2-3 سال آینده تکلیف بانک‌ها و شبکه‌های پرداخت با این محصول که یک مقدار مغفول واقع شده روشن شود که در کدام حوزه باید حرکت کنند. این موضوع اول بود که پروژه‌ی سپاس را عملاً در بحث کارت‌های هوشمند آورده‌ایم.

محمدبیگی: در مورد سپاس می‌دانیم که بحث کیف پول و اینکه اصلاً بانک‌ها اجازه‌ی انتشار کیف پول را داشته باشند یک شأن پولی و بانکی دارد که باید به مصوبات شورای پول و اعتبار استناد کنیم و بر اساس مصوبات شورای پول و اعتبار هر واحد پول الکترونیکی که بانک صادر می‌کند حتماً باید معادل آن را در بانک مرکزی تودیع کند.

نکته‌ی دوم بحث ارتباطات ما با شبکه‌های بین‌المللی است که این ایده را یک مقداری تقویت می‌کند. با توجه به اینکه شبکه‌های بین‌المللی اصولاً شبکه‌هایی هستند که برای اتصالشان یکی از ضروریات و الزاماتشان استانداردها است و یکی از آن استاندارها، استاندارد EMV هست که البته این استاندارد خیلی فراتر از این موضوعی است که ما می‌خواهیم در کیف پول از آن استفاده کنیم. ولی این می‌تواند به‌عنوان یک نقطه‌ی شروعی برای استقرار این استاندارد در بانک‌ها باشد؛ الآن بانک‌های ما در دو حوزه ورود پیدا خواهند یکی بحث پرداخت‌های ریز هست و یکی هم بحث صدور کارت‌های بین‌المللی است. برای هر دو این‌ها استانداردی در حال تدوین و اخذ نظرات بانک‌ها و خبرگان هستیم. در تدوین این مدل تلاش کردیم هر دو آن‌ها را به مدلی ببینیم که اگر به‌عنوان‌مثال بانکی سرمایه‌گذاری می‌کند و کارتی را صادر می‌کند و در اختیار مشتری قرار می‌دهد، مشتری این انتخاب را داشته باشد که هم بتواند در تراکنش‌های بین‌المللی خود از این کارت استفاده کند و هم در تراکنش‌های خرد خود و حداقل از بعد استاندارد این‌ها با همدیگر یکی باشند این اتفاق می‌تواند بیفتد و کاملاً شدنی است.