پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
همهچیز آنطور که به نظر میرسد، نیست / مروری بر میزگرد شناسایی تراکنشهای مشکوک در همایش بانکداری الکترونیک
برخی چالش اصلی در زمینه تراکنشهای مشکوک را نداشتن متولی معین میدانند و برخی معتقدند که با وجود اینکه در زمینه تشخیص خوب عمل کردیم، ولی هنوز در مورد جلوگیری از این اتفاقات لنگ میزنیم و باید یک پله به عقب برگردیم.
ماهنامه عصر تراکنش / تراکنشهای مشکوک بانکی موضوع جدیدی نیست و سالهای سال است این اختیار قانونی به استناد ماده 231 بر عهده سازمان مالیاتی است. بحث مهمی که در چند سال اخیر در دنیا تاکید شده، بحث جرمهای مالی و مالیاتی است؛ مانند پولشویی، رشوهخواری، فساد مالی و بهخصوص فرار مالیاتی. اینگونه جرمها تهدیدی برای منافع سیاسی و اقتصادی و استراتژیک کشورهای در حال توسعه و حتی توسعهیافته است. اهمیت این موضوع طی این سالها باعث شد تا یکی از میزگردهای برگزارشده در هشتمین همایش بانکداری الکترونیک و نظامهای پرداخت به همین مساله اختصاص یابد.
ميزگرد «شناسايي تراکنشهای مشکوک» عنوان برنامهای بود که در دومين روز از همايش بانکداري الکترونيک و نظامهای پرداخت با حضور روزبه ترابي، مديرعامل شرکت دادهکاوان هوشمند توسن؛ محمدمهدي طوبايي، معاون توسعه و نظارت شرکت شاپرک؛ محمدحسين دهقان، رئيس گروه بازرسي اداره مبارزه با پولشویی بانک مرکزي؛ جلالالدین نصيري، رئيس گروه سامانههای مديريت تقلب شرکت خدمات انفورماتيک و حميدرضا مختاريان، مديرعامل شرکت دادهورزی سداد بهعنوان مدير برنامه برگزار شد.
مسئوليت با کيست؟
در ابتداي اين ميزگرد درباره تعريف تراکنشهای مشکوک و اينکه چه کسي مسئول رسيدگي به اين تراکنشهاست، سوال شد و حضار به ترتيب به سوال پاسخ دادند.
به گفته ترابي تعريف دقيق تراکنشهای مشکوک بستگي به اين دارد که با چه زاویهای به آن نگاه کنيم. او بحث پولشویی را موضوعي از بالا به پايين دانست که حاکميت بايد متولیاش باشد. به گفته ترابي نهادهاي درگير پولشویی حداقل روي کاغذ مشخص هستند، اما وقتي بحث کلاهبرداري و تقلب مطرح میشود، موضوع کمي پیچیدهتر میشود. در واقع ترابي معتقد است که يکي از قسمتهای چالش ساز مساله کلاهبرداري اين است که متولي دقيقي ندارد و بايد اين مشکل را با مدلهای کسبوکاری حل کرد.
طوبايي هم تراکنشهای مشکوک را در دو دستهبندی قرار داد؛ اول اينکه رگولاتورهاي هر کشوري يکسري قواعد را مشخص میکنند و تخطي از اين قواعد بهمنزله تخلف محسوب میشود و دسته ديگر مربوط به تراکنشهایی است که ريسک کسبوکار را براي بازيگران صنعت بالا میبرد.
دهقان در مورد مسئوليت معتقد است که اين مسئوليت در اين حوزه بر دوش همه است، ولي لایههای آن فرق میکند و اينکه تمام اشخاص مشمول؛ اعم از بانکها و PSPها و غيره موظف هستند که مورد مشکوک را گزارش دهند. به نظر دهقان بهترين تعريفي که از اتفاق مشکوک میتوان داشت، اين است که عدم تناسب در آن وجود نداشته باشد. در تاييد صحبتهای دهقان، مختاريان گفت که اين مسئوليت همه عناصر درگير در حوزه گزارش دهی و مسئوليتي است که همه ما بايد توجه بيشتري به آن داشته باشيم و براي آينده شرايط کاريمان لازم است که دقت بيشتري روي اين موضوع داشته باشيم.
در ادامه صحبتهای دهقان که از عدم تناسب در بروز اتفاقات مشکوک گفته بود، ترابي از اهميت بیرون کشیدن همان عدم تناسب دادهها گفت و تاکيد کرد که اين موضوع در مورد شناسايي تراکنشهای مشکوک اهميت بسياري دارد. به گفته ترابي يکي از روندهاي ضد داده محور بودن، بخشنامههایی است که FIU و بانک مرکزي در مورد مبارزه با پولشویی ارائه میدهند.
پيدا کردن شاهکلید
نصيري هم با اشاره به اينکه روزبهروز روشهای تقلب در حال بهروز شدن هستند، توصيه کرد که براي مقابله با اين روشها بايد به جاي تشخيص رفتار مشکوک، رفتارهاي نرمال را بررسي کرد. او با اشاره به اين نکته که در سامانههای کشف تقلب از روشهای چندگانه براي جلوگيري از تخلفات مالي استفاده میشود، گفت: «در سیستمهای کشف تقلب ماژولهایی تعبيه شدهاند و بهصورت پایهای اين ماژولها بر اساس يکسري قوانين ساده، برخي از تقلبها را کشف میکنند و بيشتر بر مبناي تقلبهای تکرارشده تعيين شده است و نقطهضعف آن عدم کشف تقلبهای جديد است. روشهای مبتني بر پروفايل (حساب، کارت، مشتري، شعبه و بانک) از ديگر الگوهاي کشف تقلب است و در اين روش استخراج الگوهاي نامتعارف و تحليل پيشرفته داده بر اساس رفتار دارندگان حسابها ارزيابي میشود.»
البته نصيري در ادامه صحبتهایش درباره نقاط ضعف روش مبتني بر پروفايل در شناسايي تقلب هم توضيح داد که عدم پشتيباني مفهوم تغيير رفتار، تنظيم سطح حساسيت و عدم کشف تقلبهای پيچيده از نقاط ضعف اين روش و کارآمد بودن نسبت به روشهای تقلب جديد، عدم مشکوکشدن و پيچيدگي متوسط در سيستم از نقاط قوت اين روش بود. با توجه به اينکه شاهکلید کشف تقلب در مسائل مالي استخراج الگوي هر مشتري است؛ نصيري با بيان اينکه يادگيري ماشين شاخهای از هوش مصنوعي است که به دنبال قابليت يادگيري و ادراک سیستمهای کامپيوتري است، اعلام کرد: «هدف در روشهای يادگيري ماشين، استخراج دانش و يادگيري الگوها در داده است.»
در اين ميزگرد در مورد بزرگترین کلاهبرداریها در شبکه بانکي نيز صحبت شد که در اين خصوص مهدي طوبايي کلاه برداریهای فيشينگ و کپي کارتهای مگنت را از عمدهترین چالشها و کلاه برداریهای شبکه پرداخت عنوان کرد. او با اشاره به اينکه میتوان کلاه برداریهای حاصل از کپي کارت را از بين برد و اين چالش را در سيستم بانکي حذف کرد، گفت: «تصميم براي انتقال زيرساخت کارت از مغناطيسي به هوشمند تصميمي بوده که بانک مرکزي گرفته و ديرکرد در اين حوزه بر اساس سیاستهای کلان بانک مرکزي بوده است. به نظر من نگاه در شبکه بانکي و پرداخت بايد ريسکمحور باشد تا بتوان با ايجاد زیرساختها و محدودیتهایی از مشکلات جلوگيري کرد.»
معاون نظارت شرکت شاپرک تاکيد کرد که کارتهای EMV داراي چيپ، در زمينه نظارت و از بين بردن کارتهای مگنت يک راهحل مهم و کاربردي است. از سوي ديگر افزايش امنيت شبکه پرداخت اينترنتي و الگوریتمها براي برخورد با فيشينگ کاربرد دارد.
وضعيت ما در تشخيص و جلوگيري از تقلب
در مورد شيوه شناسايي موارد مشکوک محمدحسين دهقان نظر جالبي دارد و میگوید که براي شناخت دقيق اين موضوع بايد يک مرحله به عقب برگرديم و به شناسايي مشتریها با دقت بيشتري نگاه کنيم. رئيس گروه بازرسي اداره مبارزه با پولشویی بانک مرکزي با تاکيد بر اينکه براي بررسي شناسايي تراکنشهای مشکوک بايد حتما مشتري از قبل شناسايي شده و سابقه عملکرد او نيز موجود باشد، گفت: «براي مدلهای مختلف بايد فعاليت حوزه مشتريان بررسي شود. نگاه به رفتار گذشته شايد در حوزه تقلب پاسخگو باشد، ولي در حوزه پولشویی عملکردي ندارد.»
در مورد مباحث مربوط به شناسايي و جلوگيري از تقلب، نصيري بر اين عقيده بود که وضعيت ما در حوزه تشخيص تقلب خوب است و به عبارتي در اين مورد ما خوب توانستهایم پيش برويم، ولي در مورد جلوگيري از بروز اين تقلبها يکسري کموکاستی و نواقص داريم که به اصلاح ساختار و قوانين حقوقي و دستورالعملهای بانک مرکزي نياز دارد.
رئيس گروه سامانههای مديريتي تقلب شرکت خدمات انفورماتيک با اشاره به اينکه روشهای تقلب در سيستم پرداخت از سوي کلاهبرداران و سودجويان در حال بهروزرسانی است، سامانههای کنترل موقعيت جغرافيايي را بهعنوان يکي از ابزارهاي احراز سلامت تراکنشها معرفي کرد و اینطور توضيح داد: «در گذشته اصلا در سيستم بانکي ايران موقعيت جغرافيايي در تراکنشها مطرح نبود و با بخشنامهها يک فيلد به تراکنشهای پايا و ساتنا با عنوان موقعيت جغرافيايي به تراکنشهای بانکي و الکترونيکي افزوده شد که عملکرد خوبي داشته و لازم است تقويت شود.»
مختاريان با مباحث مطرحشده موافق بود و در تکميل صحبتهای نصيري گفت که دادههای جغرافيايي يا وجود ندارد يا ناقص است و توضيح داد: «بر اساس تجربهای که ما در بانکهای مختلف داشتيم، جالب است بدانيد که در مورد آدرس مشتريان بانکي کمترين حساسيت در بانکها وجود دارد و فقط براي اينکه اين فيلد اطلاعاتي پر شود، يک آدرس نامشخص در آن گنجانده شده است.»
دهقان هم با صحبتهای نصيري تا حدودي موافق است و در مورد زیرساختهای حقوقي و قانوني براي شناسايي تراکنشهای مشکوک گفت: «فضاي مقرراتي در کشور با فضاي اجرا فاصله زيادي دارد و دستورالعملها روي کاغذ با زمان اجرا تفاوتهای زيادي دارد.»
ازجمله اين تفاوتها میتوان به عدم وجود بسترهاي مناسب در اين حوزه اشاره کرد و اينکه راستی آزمایی بسياري از اطلاعات دريافتي ممکن نيست و به همين دليل حتما بايد مرکزي براي راستی آزمایی اطلاعات مشتريان وجود داشته باشد. رئيس گروه بازرسي اداره مبارزه با پولشویی بانک مرکزي در اين ميزگرد تاکيد کرد که ما در شبکه بانکي نکته مهم خود اظهاری را فراموش کردهایم و براي توضيح بيشتر گفت: «در بانکها خيلي کم خود اظهاری میشود و شايد اصلا انجام نشود. قبول دارم خود اظهاری شايد کامل و جامع نباشد، ولي از اين وضعيتي که داريم قطعا خيلي بهتر خواهد بود.»
به همين دليل هم بود که به عقيده دهقان تمرکز فقط و فقط بر اساس رفتار گذشته جواب درستي نخواهد داد و معتقد است که رفتار گذشته شايد بتواند در حوزه تقلب کمک کند، ولي در حوزه پولشویی کمک چنداني نمیکند و رفتن به سمت ريسکمحوري را، چه در حوزه نظارتي و چه در حوزه مشتري، بهعنوان راهکار پيشنهادي مطرح کرد و بهشدت هم با ايجاد محدوديت، بهویژه در حوزه قوانين و مقررات و استانداردها مخالفت کرد؛ زيرا معتقد است که وقتي يکسري محدودیتها بهصورت استاندارد براي همه تعريف میشود، يا افراد راهي براي دور زدن اين محدودیتها پيدا میکنند يا از طرف ديگر چالشهایی براي برخي کسبوکارها ايجاد میکنند.
از ديگر مباحثي که در مورد تراکنشهای مشکوک به آن اشاره شد، مبحث false positive بود. مختاريان اين موضوع را با تعبيري به نام اثر چوپان دروغگو معرفي کرد و ماجراي چوپان دروغگو را به اعلام تراکنشها و موارد مشکوک نسبت داد و گفت که در سامانههای تشخيص تراکنشهای مشکوک همچنین مواردي زياد است که برخي اوقات تراکنش يا مورد مشکوکي گزارش میشود، ولي وقتي بررسیهای لازم انجام میشود، متوجه میشویم که گزارشها به اشتباه ارسال شده است. نصيري با عنوان اين موضوع که در حال حاضر و با نزديک شدن به پايان سال شاهد بروز تراکنشهای عجیبوغریب و رفتارهاي عجيب در نظام پرداخت الکترونيک هستيم، گفت: «استفاده از ديتاهاي فرابانکي مانند بورس و قوه قضائيه میتواند همين مساله false positive را کاهش دهد.» در همين راستا ترابي هم در صحبتهایش از بانکها و موسسات مالي گله کرد که دادههای کشف تقلبشان را در اختيار بقيه افراد قرار نمیدهند و به همين دليل هم همهچیز به فعالیتهای نظارتي محدود میشود.