حسینی‌نژاد: با مدیریت ریسک می‌توان جلوی بسیاری از خلاف‌ها را گرفت

نویسنده: راه پرداخت در تاریخ 3 شهریور سال 1397 ساعت 9:13 0

با یک جست‌وجوی ساده می‌توان تعداد زیادی سایت شرط‌بندی آنلاین یافت که در آن مخاطبان خود را تشویق به شرط‌بندی روی بازی موردعلاقه یا تیم موردعلاقه خود می‌کنند. از طرفی هر روز از سوی پلیس فتا و شرکت‌های پی‌اس‌پی و شاپرک نیز اعلام می‌شود که تعدادی از این سایت‌ها مسدود شده‌اند. طی ماه‌های اخیر شرکت‌های ارائه‌دهنده خدمات پرداخت سعی کرده‌اند با شناسایی این سایت‌ها امکان تسویه از طریق درگاه‌های رسمی کشور را از آنان سلب کنند. در این خصوص ماهنامه پیوست با سید ابراهیم حسینی‌نژاد مدیرعامل شرکت پرداخت الکترونیک سامان گفتگو کرده است که در ادامه می‌خوانید:

مدتی است موضوع سایت‌های شرط‌بندی و قمار آنلاین تیتر اخبار قرار گرفته است و به ‌ترتیب هر کدام از شرکت‌‌های پی‌اس‌پی اعلام می‌کنند که تعدادی از این سایت‌ها را شناسایی و مسدود کرده‌اند. برای مقابله با فعالیت این سایت‌ها بخش‌های مختلف اکوسیستم پرداخت باید چه اقداماتی انجام دهند؟ چه کارهایی باید به‌صورت گروهی و هماهنگ انجام شود و چه کارهایی باید به‌طور مستقل از سوی سیاست‌گذار و شرکت‌های پی‌اس‌پی انجام شود؟

این یک کار دسته‌جمعی است. بخشی از کارها را شاپرک به‌عنوان سیاست‌گذار در این عرصه باید انجام دهد و برخی از فعالیت‌ها را نیز شرکت‌های پی‌اس‌پی. در اصل شاپرک می‌تواند نقش هماهنگ‌کننده بازی کند و اقدامات پراکنده شرکت‌های پی‌اس‌پی را تبدیل به روال‌های استاندارد کند. بعضی از اقدامات را نیز باید برخی دستگاه‌های بیرونی انجام دهند؛ برای مثال مرکز توسعه تجارت الکترونیکی به‌عنوان متولی نماد اعتماد الکترونیکی باید در دادن این نماد به اشخاص حقیقی دقت و حساسیت بیشتری به کار بندد. درواقع این مرکز باید روی اشخاص حقیقی که نماد اعتماد را می‌گیرند کنترل و نظارت بیشتری داشته باشد. از سویی شرکت‌های پی‌اس‌پی نیز در مقابل باید روی احراز هویت و KYC و تسویه دقت بیشتری کنند.

فرایندهای احراز هویت و تسویه میان تمامی شرکت‌های پی‌اس‌پی یکسان است؟

شرکت‌ها در خصوص برخی از مسائل تکنیکال با یکدیگر متفاوت هستند، مانند سوییچینگ یا گیت‌وی، اما یکسری فرایندهای یکسان نیز وجود دارند؛ مثلاً در KYC دو حالت می‌تواند وجود داشته باشد. یک حالت اینکه احراز هویت به‌صورت الکترونیکی صورت گیرد، لازمه این موضوع نیز دسترسی ما به‌عنوان یک شرکت پی‌اس‌پی به برخی از زیرساخت‌های احراز هویت است؛ اما در شرایط فعلی این دسترسی‌ها برای شرکت‌هایی مانند شرکت ما وجود ندارد.

در این صورت شما چگونه افراد را احراز هویت می‌کنید؟

ما در شرکت از حدود سه ماه پیش KYC را حضوری کردیم. خیلی‌ها می‌آمدند اینترنتی درخواست می‌دادند اما ما اعلام کردیم نه این قبول نیست، ما باید شما را ببینیم و مدارک هویتی‌تان را بررسی کنیم.

اما این رویه، KYC حضوری، فرایند را کمی طولانی‌تر می‌کند و خلاف رویه الکترونیکی است که شما و بانک مرکزی برای ارائه خدمات خود پیش گرفته‌اید.

بله درست است؛ اما باید زیرساخت مناسب در اختیار ما قرار گیرد تا امکان احراز هویت الکترونیکی افراد به‌صورت دقیق وجود داشته باشد؛ یعنی سامانه‌ای در اختیارم باشد تا اگر شخصی به من درخواست داد، بتوانم سایر اطلاعات او را نیز به دست آورم و بررسی‌های لازم را انجام دهم تا از هویت شخص مطمئن شوم.

طبیعی است که احراز هویت الکترونیکی بهترین گزینه است. لازمه این امر امضای دیجیتالی است یا دسترسی به سامانه‌های ثبت‌احوال یا هر زیرساخت دیگری تا بتوانیم به‌صورت دقیق وظیفه‌مان را در این زمینه انجام دهیم. قانون می‌گوید ما موظفیم احراز هویت و احراز اهلیت کنیم. احراز هویت چگونه اتفاق می‌افتد؟ از طریق شناسنامه و کارت ملی و این ابزار. در این بخش اگر این اطلاعات را حضوری دریافت نکنیم و چک و تیک‌های لازم را انجام ندهیم امکان دارد تخلف اتفاق بیفتد.

در احراز هویت حضوری هم البته شائبه‌هایی پیش می‌آید؛ مثلاً اگر شما به ما کارت ملی‌تان را ارائه دهید احتمال اینکه بتوانیم به‌صورت دقیق شناسایی کنیم وجود ندارد. به نظر می‌رسد بیش از ۵۰ درصد خانم‌های ایرانی از طریق کارت ملی‌شان قابل‌شناسایی نیستند. پس خود این هم ایراداتی دارد. در قانون به‌ جز دفاتر ثبت اسناد بانک‌ها را نیز در خصوص احراز هویت صاحب صلاحیت دانسته است. مثلاً اگر بانک روی سندی بزند کپی برابر اصل قابل‌قبول است، اما اگر من این کار را بکنم طبیعی است که چندان سندیتی ندارد.

وقتی احراز هویت حضوری صورت می‌گیرد دسترسی افراد به شرکت‌هایی مانند شرکت شما سخت می‌شود. طبیعی است که شما در تمام نقاط ایران دفتر ندارید و امکان حضور به این گستردگی نیز برای شما و بسیاری از شرکت‌های همکار شما به‌صرفه نیست!

ما در ۱۰۰ نقطه از ایران دفتر داریم. فکر می‌کنم ۹۹ درصد کسب‌وکارهای اینترنتی را پاسخ می‌دهد، یک درصد می‌ماند که آنجاست که مشکل داریم؛ فرض کنید اگر من در نقطه دورافتاده‌ای هم باشم و بخواهم کسب‌وکاری راه‌ بیندازم فکر می‌کنم سختی اتوبوس سوار شدن و رفتن به شهری که بتواند احراز هویت کند را می‌پذیرم.

اگر شما احراز هویت‌شان بکنید مشکل حل می‌شود؟

نه اصلاً این‌طور نیست. مشکل این بود که طرف رفته بود به اسم منشی دفتر یک درگاه گرفته بود، منشی به این دلیل که تحت نفوذ و تسلط مدیرش بوده و از سویی نیازمند این کار و با تصور اینکه اتفاقی قرار نیست بیفتد آن را پذیرفته، حتی ممکن است حقوقش را هم افزایش داده باشند. وقتی من احراز هویت می‌کنم خود منشی باید بیاید تا او را ببینم، در این صورت من می‌توانم با اطلاع‌رسانی مناسب صدمات این کار را به اطلاع وی برسانم. در اصل در این شکل دسته‌ای کنار می‌روند، دسته‌ای اصلاح می‌شوند.

به‌غیراز اصلاحات و تغییراتی که در زمینه احراز هویت و KYC صورت می‌گیرد امکان شناسایی تراکنش‌ها از طریق تکنیکال وجود ندارد؟

ازنظر تکنیکال باید امکان دادن ترمینال موقت را داشته باشیم که این امکان را داریم و تقریباً تمام شرکت‌های پی‌اس‌پی نیز چنین امکانی را دارند و باید به‌صورت دقیق تراکنش‌ها را رصد کنیم. هر کسی با ابزاری می‌تواند این کار را انجام دهد. البته بهتر است ابزارهای رصد نیز استاندارد و یکسان شوند تا امکان فراد کاهش یابد، چرا که سناریوهای مختلفی از نظر فراد می‌تواند اتفاق بیفتد. در این زمینه امکان دارد یکسان‌سازی صورت گیرد تا تمام فرادها پوشش داده شوند. باید امکان روتینگ تراکنش و کنترل تراکنش از درگاه و آی‌پی وجود داشته باشد. البته الآن تقریباً بیشتر شرکت‌ها این امکان را در زیرمجموعه خود فراهم کرده‌اند.

در حقیقت می‌توان تراکنش را کنترل کرد که از کجا می‌آید و به کجا می‌رود؟

بله یک نفر با یک آی‌پی تراکنش ارسال می‌کرد. شما آن آی‌پی را برای یک درگاه خاص ست کرده‌ای، در گذشته می‌رفت در سایت دیگری کار را انجام می‌داد بعد از همین آی‌پی درگاه سایتی که به ما اعلام کرده تراکنش را می‌فرستاد. در این صورت باید امکان کنترل مضاعف در تراکنش را فراهم کرد. در مرحله بعد ما باید برای درگاه‌هایی که چندان قابل‌اعتماد نیستند مقررات متفاوتی در نظر بگیریم.

درواقع شما می‌گویید باید مشتریان را جدا کرد: مشتریان قابل‌اعتماد و مشتریانی که هنوز نمی‌توان به‌صورت کامل به ‌آن‌ها اعتماد کرد؟

بله دقیقا. مثلاً شما الآن آمده‌اید از ما یک درگاه گرفته‌اید، من با وجود اینکه شما را احراز هویت کامل کرده‌ام اما هنوز نمی‌شناسم‌تان. ممکن است شما خوب کار کنید یا نه و تخلف کنید. برای چنین مشتری‌هایی باید امکان راه‌اندازی تسویه هفتگی وجود داشته باشد؛ یعنی شما هر چه کار کردی من با شما به‌صورت هفته‌ای تسویه می‌کنم یا نه من تضامینی در قبال کارتان از شما دریافت می‌کنم. مثلاً اینکه قرار است شما چقدر در طول یک دوره مشخص کار کنید، روزی ۱۰۰ هزار تومان، پس من به اندازه روزی ۱۰۰ هزار تومان از شما تضمین می‌گیرم. مثلاً برای یک هفته یعنی ۷۰۰ هزار تومان از شما تضمین می‌گیرم و بیشتر از ۱۰۰ هزار تومان نیز نمی‌گذارم تراکنش انجام دهی. در این صورت اگر رفتی سراغ کارهای خلاف، سایتت پایین می‌آید و نمی‌توانی کار کنی.

در دنیا هم چنین قواعدی وجود دارد. در اصل با مدیریت ریسک می‌توان جلوی بسیاری از خلاف‌ها را گرفت. یک شخص می‌گوید کسب‌وکار من فروش روسری است، میانگین فروش چقدر است؟ می‌گوید از ۲۰ هزار تومان تا ۱۰۰ هزار تومان، من در سیستم ۲۰ درصد هم بالاتر این عدد را ذخیره می‌کنم و می‌گویم امکان دارد روزانه چقدر بفروشی، می‌گوید ممکن است یک میلیون تومان بفروشم. پس باید به این میزان به من وثیقه بدهی و اگر از این بالاتر هم بروی نمی‌گذارم تراکنش انجام شود. در این صورت کنترل بعدی هم اتفاق می‌افتد ضمن اینکه تسویه نیز یک هفته‌ای انجام می‌شود. در این صورت برای افرادی که سالم کار می‌کنند در این فضا مشکلی پیش نمی‌آید، کم‌کم هم مشخص می‌شود که چه شخصی سالم کار می‌کند و به تدریج می‌توان ریسک‌های مربوط به آن را کاهش داد. مثلاً به جای هفتگی، سه روز یک بار یا روزانه تسویه می‌کنیم یا کنترل‌های ریسک‌ را به تدریج کمتر می‌کنیم. چون در حال تجارت کردن و پول درآوردن هستی، درنتیجه به سمت کار ناسالم هم نمی‌روی.

الان پی‌اس‌پی‌ها بانک اطلاعات مشتریان دارند که اطلاعات مشتریان خوب یا بد خود را با یکدیگر به اشتراک بگذارند؟

شاپرک بلک‌لیست را راه‌ انداخت اما مشکلاتی وجود داشت؛ مثلاً اسم یک سایتی را در بلک‌لیست قرار می‌داد، ما می‌گفتیم این سایت برای شخصی است که ۱۰ سایت دیگر هم به نام او وجود دارد، چرا ۱۰ سایت دیگر را نیز در بلک‌لیست خودت قرار نمی‌دهی، می‌گفت قوه قضاییه نمی‌گذارد؛ اما به نظر می‌رسد این مشکل را حل کرده‌ است. یک مکانیسم بلک‌لیست داشت که پیچیده بود، باید اثبات می‌کردی که این آدم خلافکاری است. عملاً نشدنی بود اما اخیراً کمی ساده‌تر شده است. در این بخش کم کار شده است. واقعیت این است که همه شرکت‌ها با توجه به مشکلاتی که وجود داشت دیتای خوبی در اختیار شاپرک قرار ندادند؛ بنابراین خیلی کمک نکردند. از این به بعد می‌توان بهتر روی این موضوع کار کرد.

بخش تکنیکال که بدان اشاره کردید در پی‌اس‌پی خود شما در حال اجرا و پیاده شدن است؟

بله.

می‌توانید شناسایی کنید که چه کسانی در این زمینه فعالیت می‌کنند و تسویه‌شان را به‌صورتی که به آن اشاره کردید، انجام دهید؟

توجه کنید که شاپرک مدل‌های مختلف تسویه ندارد، می‌گوید تراکنش به تراکنش بگو. این موضوع سختی است. باید مدل‌های مختلف به ما بدهد، مثلاً سه روزه یا یک هفته‌ای که ما برای هر ترمینال بتوانیم مدل تسویه خاص خودش را انتخاب نکنیم نه اینکه بگوییم این مشکل را دارد پس فعلاً این را بدین صورت تسویه کن. روش‌های مختلف نباید وجود داشته باشد، باید الگوهای مختلفی وجود داشته باشد.

ما از شاپرک خواسته‌ایم که یک نسخه به‌روزشده در این خصوص به ما ارائه دهد، اما از وقتی که کنترل‌های KYC را تشدید کرده‌ایم این نوع سایت‌ها به شدت کاهش یافته‌اند. حتی درگاه‌های قبلی‌ها را هم که متعلق به شخص حقیقی بودند نیز بررسی کردیم. مثلاً یک سایت شخص حقیقی است و هفت سال است که سالم کار کرده؛ به او کاری نداشتیم اما یک تعدادی جدید بودند و خیلی سابقه درستی نداشتند، درگاه‌هایشان را از کار انداختیم و به آن‌ها اعلام کردیم که باید برای احراز هویت به دفاتر ما مراجعه کنند. در مورد حقیقی‌ها بعد از یک مدت وقتی خوب کار کردند و انتظار داشتند که سرویس‌های بالاتری بگیرند به آن‌ها می‌گوییم برای شخص حقیقی نمی‌توانیم امکانات بیشتری بدهیم، بهتر است کارتان را تبدیل به یک شخص حقوقی کنید. وقتی شرکت شوید نظارت دیگران رویتان بیشتر می‌شود.

من با چند نفر که شرط‌بندی می‌کردند صحبت کردم، می‌گفتند که مشکلی برای انتقال پول ندارند و به سادگی پول به حساب‌شان واریز می‌شود. پول به‌صورت شبا برایشان واریز می‌شود و آن‌ها به سادگی پول را به حساب شخص خاصی واریز می‌کنند. هیچ فرایند پیچیده‌ای در این میان نیست. آیا این مدل تراکنش‌ها قابل‌شناسایی هستند؟

این‌ها به روش‌های غیرمرسوم حرکت کرده‌اند. آن سایت از مسیر درگاه پرداخت دیگر این کار را انجام نمی‌دهد بلکه به‌صورت کارت به کارت انجام می‌دهد. مسیرهای دیگری را انتخاب می‌کنند. مثلاً گیفت کارت به یکدیگر می‌دهند و اعلام می‌کنند که گیفت کارت را در فلان جا نقد کن می‌توان قمار کرد بدون اینکه از درگاه پرداخت استفاده شود.

در این صورت امکان شناسایی افراد وجود خواهد داشت؟

این کار بسیار سختی خواهد بود. کار سخت‌تر خواهد بود؛ اما ما تلاش می‌کنیم پول را خودمان تسویه نکنیم، باید کارمان را شفاف کنیم.

الان شاپرک باید نظارتش را بیشتر کند یا بانک مرکزی؟

من فکر می‌کنم همه باید نظارت‌مان را بیشتر کنیم. شاپرک باید فرایند را یکدست کند. باید با حضور تمام شرکت‌ها سناریوهای مختلف را شناسایی کند و راهکار واحد بدهد. ما به هر سناریویی برخوردیم برای آن راهکار دادیم، ممکن است به برخی از سناریوها برخورد نکرده باشیم و شرکت دیگری با یک سناریوی دیگر مواجه شده باشد. خواسته ما از شاپرک این بوده که با تمام شرکت‌ها جلسه بگذارد و به اجماعی برسیم و آن را تبدیل به یک دستورالعمل کنیم. الان اگر من این درگاه را ببندم، آن شخص می‌رود از یک نفر دیگر می‌گیرد؛ اما اگر یک رویه وجود داشته باشد، پی‌اس‌پی دیگر هم به آن شخص درگاه نمی‌دهد. شاپرک تا به حال این کار را انجام نداده است.