همه‌چیز آنطور که به نظر می‌رسد، نیست / مروری بر میزگرد شناسایی تراکنش‌های مشکوک در همایش بانکداری الکترونیک

نویسنده: راه پرداخت انتشار: 14 فروردین سال 1398 ساعت 8:00 به‌روز‌رسانی: ۱۳ فروردین سال ۱۳۹۸ ساعت ۴:۱۳ 0

برخی چالش اصلی در زمینه تراکنش‌های مشکوک را نداشتن متولی معین می‌دانند و برخی معتقدند که با وجود اینکه در زمینه تشخیص خوب عمل کردیم، ولی هنوز در مورد جلوگیری از این اتفاقات لنگ می‌زنیم و باید یک پله به عقب برگردیم.

ماهنامه عصر تراکنش / تراکنش‌های مشکوک بانکی موضوع جدیدی نیست و سال‌های سال است این اختیار قانونی به استناد ماده ۲۳۱ بر عهده سازمان مالیاتی است. بحث مهمی که در چند سال اخیر در دنیا تاکید شده، بحث جرم‌های مالی و مالیاتی است؛ مانند پول‌شویی، رشوه‌خواری، فساد مالی و به‌خصوص فرار مالیاتی. این‌گونه جرم‌ها تهدیدی برای منافع سیاسی و اقتصادی و استراتژیک کشورهای در حال توسعه و حتی توسعه‌یافته است. اهمیت این موضوع طی این سال‌ها باعث شد تا یکی از میزگردهای برگزارشده در هشتمین همایش بانکداری الکترونیک و نظام‌های پرداخت به همین مساله اختصاص یابد.

میزگرد «شناسایی تراکنش‌های مشکوک» عنوان برنامه‌ای بود که در دومین روز از همایش بانکداری الکترونیک و نظام‌های پرداخت با حضور روزبه ترابی، مدیرعامل شرکت داده‌کاوان هوشمند توسن؛ محمدمهدی طوبایی، معاون توسعه و نظارت شرکت شاپرک؛ محمدحسین دهقان، رئیس گروه بازرسی اداره مبارزه با پول‌شویی بانک مرکزی؛ جلال‌الدین نصیری، رئیس گروه سامانه‌های مدیریت تقلب شرکت خدمات انفورماتیک و حمیدرضا مختاریان، مدیرعامل شرکت داده‌ورزی سداد به‌عنوان مدیر برنامه برگزار شد.

مسئولیت با کیست؟

در ابتدای این میزگرد درباره تعریف تراکنش‌های مشکوک و اینکه چه کسی مسئول رسیدگی به این تراکنش‌هاست، سوال شد و حضار به ترتیب به سوال پاسخ دادند.

به گفته ترابی تعریف دقیق تراکنش‌های مشکوک بستگی به این دارد که با چه زاویه‌ای به آن نگاه کنیم. او بحث پول‌شویی را موضوعی از بالا به پایین دانست که حاکمیت باید متولی‌اش باشد. به گفته ترابی نهادهای درگیر پول‌شویی حداقل روی کاغذ مشخص هستند، اما وقتی بحث کلاهبرداری و تقلب مطرح می‌شود، موضوع کمی پیچیده‌تر می‌شود. در واقع ترابی معتقد است که یکی از قسمت‌های چالش ساز مساله کلاهبرداری این است که متولی دقیقی ندارد و باید این مشکل را با مدل‌های کسب‌وکاری حل کرد.

طوبایی هم تراکنش‌های مشکوک را در دو دسته‌بندی قرار داد؛ اول اینکه رگولاتورهای هر کشوری یکسری قواعد را مشخص می‌کنند و تخطی از این قواعد به‌منزله تخلف محسوب می‌شود و دسته دیگر مربوط به تراکنش‌هایی است که ریسک کسب‌وکار را برای بازیگران صنعت بالا می‌برد.

دهقان در مورد مسئولیت معتقد است که این مسئولیت در این حوزه بر دوش همه است، ولی لایه‌های آن فرق می‌کند و اینکه تمام اشخاص مشمول؛ اعم از بانک‌ها و PSPها و غیره موظف هستند که مورد مشکوک را گزارش دهند. به نظر دهقان بهترین تعریفی که از اتفاق مشکوک می‌توان داشت، این است که عدم تناسب در آن وجود نداشته باشد. در تایید صحبت‌های دهقان، مختاریان گفت که این مسئولیت همه عناصر درگیر در حوزه گزارش دهی و مسئولیتی است که همه ما باید توجه بیشتری به آن داشته باشیم و برای آینده شرایط کاریمان لازم است که دقت بیشتری روی این موضوع داشته باشیم.

در ادامه صحبت‌های دهقان که از عدم تناسب در بروز اتفاقات مشکوک گفته بود، ترابی از اهمیت بیرون کشیدن همان عدم تناسب داده‌ها گفت و تاکید کرد که این موضوع در مورد شناسایی تراکنش‌های مشکوک اهمیت بسیاری دارد. به گفته ترابی یکی از روندهای ضد داده محور بودن، بخشنامه‌هایی است که FIU و بانک مرکزی در مورد مبارزه با پول‌شویی ارائه می‌دهند.

پیدا کردن شاه‌کلید

نصیری هم با اشاره به اینکه روزبه‌روز روش‌های تقلب در حال بهروز شدن هستند، توصیه کرد که برای مقابله با این روش‌ها باید به جای تشخیص رفتار مشکوک، رفتارهای نرمال را بررسی کرد. او با اشاره به این نکته که در سامانه‌های کشف تقلب از روش‌های چندگانه برای جلوگیری از تخلفات مالی استفاده می‌شود، گفت: «در سیستم‌های کشف تقلب ماژول‌هایی تعبیه شده‌اند و به‌صورت پایه‌ای این ماژول‌ها بر اساس یکسری قوانین ساده، برخی از تقلب‌ها را کشف می‌کنند و بیشتر بر مبنای تقلب‌های تکرارشده تعیین شده است و نقطه‌ضعف آن عدم کشف تقلب‌های جدید است. روش‌های مبتنی بر پروفایل (حساب، کارت، مشتری، شعبه و بانک) از دیگر الگوهای کشف تقلب است و در این روش استخراج الگوهای نامتعارف و تحلیل پیشرفته داده بر اساس رفتار دارندگان حساب‌ها ارزیابی می‌شود.»

البته نصیری در ادامه صحبت‌هایش درباره نقاط ضعف روش مبتنی بر پروفایل در شناسایی تقلب هم توضیح داد که عدم پشتیبانی مفهوم تغییر رفتار، تنظیم سطح حساسیت و عدم کشف تقلب‌های پیچیده از نقاط ضعف این روش و کارآمد بودن نسبت به روش‌های تقلب جدید، عدم مشکوک‌شدن و پیچیدگی متوسط در سیستم از نقاط قوت این روش بود. با توجه به اینکه شاه‌کلید کشف تقلب در مسائل مالی استخراج الگوی هر مشتری است؛ نصیری با بیان اینکه یادگیری ماشین شاخه‌ای از هوش مصنوعی است که به دنبال قابلیت یادگیری و ادراک سیستم‌های کامپیوتری است، اعلام کرد: «هدف در روش‌های یادگیری ماشین، استخراج دانش و یادگیری الگوها در داده است.»

در این میزگرد در مورد بزرگ‌ترین کلاه‌برداری‌ها در شبکه بانکی نیز صحبت شد که در این خصوص مهدی طوبایی کلاه برداری‌های فیشینگ و کپی کارت‌های مگنت را از عمده‌ترین چالش‌ها و کلاه برداری‌های شبکه پرداخت عنوان کرد. او با اشاره به اینکه می‌توان کلاه برداری‌های حاصل از کپی کارت را از بین برد و این چالش را در سیستم بانکی حذف کرد، گفت: «تصمیم برای انتقال زیرساخت کارت از مغناطیسی به هوشمند تصمیمی بوده که بانک مرکزی گرفته و دیرکرد در این حوزه بر اساس سیاست‌های کلان بانک مرکزی بوده است. به نظر من نگاه در شبکه بانکی و پرداخت باید ریسک‌محور باشد تا بتوان با ایجاد زیرساخت‌ها و محدودیت‌هایی از مشکلات جلوگیری کرد.»

معاون نظارت شرکت شاپرک تاکید کرد که کارت‌های EMV دارای چیپ، در زمینه نظارت و از بین بردن کارت‌های مگنت یک راه‌حل مهم و کاربردی است. از سوی دیگر افزایش امنیت شبکه پرداخت اینترنتی و الگوریتم‌ها برای برخورد با فیشینگ کاربرد دارد.

وضعیت ما در تشخیص و جلوگیری از تقلب

در مورد شیوه شناسایی موارد مشکوک محمدحسین دهقان نظر جالبی دارد و می‌گوید که برای شناخت دقیق این موضوع باید یک مرحله به عقب برگردیم و به شناسایی مشتری‌ها با دقت بیشتری نگاه کنیم. رئیس گروه بازرسی اداره مبارزه با پول‌شویی بانک مرکزی با تاکید بر اینکه برای بررسی شناسایی تراکنش‌های مشکوک باید حتما مشتری از قبل شناسایی شده و سابقه عملکرد او نیز موجود باشد، گفت: «برای مدل‌های مختلف باید فعالیت حوزه مشتریان بررسی شود. نگاه به رفتار گذشته شاید در حوزه تقلب پاسخگو باشد، ولی در حوزه پول‌شویی عملکردی ندارد.»

در مورد مباحث مربوط به شناسایی و جلوگیری از تقلب، نصیری بر این عقیده بود که وضعیت ما در حوزه تشخیص تقلب خوب است و به عبارتی در این مورد ما خوب توانسته‌ایم پیش برویم، ولی در مورد جلوگیری از بروز این تقلب‌ها یکسری کم‌وکاستی و نواقص داریم که به اصلاح ساختار و قوانین حقوقی و دستورالعمل‌های بانک مرکزی نیاز دارد.

رئیس گروه سامانه‌های مدیریتی تقلب شرکت خدمات انفورماتیک با اشاره به اینکه روش‌های تقلب در سیستم پرداخت از سوی کلاه‌برداران و سودجویان در حال به‌روزرسانی است، سامانه‌های کنترل موقعیت جغرافیایی را به‌عنوان یکی از ابزارهای احراز سلامت تراکنش‌ها معرفی کرد و این‌طور توضیح داد: «در گذشته اصلا در سیستم بانکی ایران موقعیت جغرافیایی در تراکنش‌ها مطرح نبود و با بخشنامه‌ها یک فیلد به تراکنش‌های پایا و ساتنا با عنوان موقعیت جغرافیایی به تراکنش‌های بانکی و الکترونیکی افزوده شد که عملکرد خوبی داشته و لازم است تقویت شود.»

مختاریان با مباحث مطرح‌شده موافق بود و در تکمیل صحبت‌های نصیری گفت که داده‌های جغرافیایی یا وجود ندارد یا ناقص است و توضیح داد: «بر اساس تجربه‌ای که ما در بانک‌های مختلف داشتیم، جالب است بدانید که در مورد آدرس مشتریان بانکی کمترین حساسیت در بانک‌ها وجود دارد و فقط برای اینکه این فیلد اطلاعاتی پر شود، یک آدرس نامشخص در آن گنجانده شده است.»

دهقان هم با صحبت‌های نصیری تا حدودی موافق است و در مورد زیرساخت‌های حقوقی و قانونی برای شناسایی تراکنش‌های مشکوک گفت: «فضای مقرراتی در کشور با فضای اجرا فاصله زیادی دارد و دستورالعمل‌ها روی کاغذ با زمان اجرا تفاوت‌های زیادی دارد.»

ازجمله این تفاوت‌ها می‌توان به عدم وجود بسترهای مناسب در این حوزه اشاره کرد و اینکه راستی آزمایی بسیاری از اطلاعات دریافتی ممکن نیست و به همین دلیل حتما باید مرکزی برای راستی آزمایی اطلاعات مشتریان وجود داشته باشد. رئیس گروه بازرسی اداره مبارزه با پول‌شویی بانک مرکزی در این میزگرد تاکید کرد که ما در شبکه بانکی نکته مهم خود اظهاری را فراموش کرده‌ایم و برای توضیح بیشتر گفت: «در بانک‌ها خیلی کم خود اظهاری می‌شود و شاید اصلا انجام نشود. قبول دارم خود اظهاری شاید کامل و جامع نباشد، ولی از این وضعیتی که داریم قطعا خیلی بهتر خواهد بود.»

به همین دلیل هم بود که به عقیده دهقان تمرکز فقط و فقط بر اساس رفتار گذشته جواب درستی نخواهد داد و معتقد است که رفتار گذشته شاید بتواند در حوزه تقلب کمک کند، ولی در حوزه پول‌شویی کمک چندانی نمی‌کند و رفتن به سمت ریسک‌محوری را، چه در حوزه نظارتی و چه در حوزه مشتری، به‌عنوان راهکار پیشنهادی مطرح کرد و به‌شدت هم با ایجاد محدودیت، به‌ویژه در حوزه قوانین و مقررات و استانداردها مخالفت کرد؛ زیرا معتقد است که وقتی یکسری محدودیت‌ها به‌صورت استاندارد برای همه تعریف می‌شود، یا افراد راهی برای دور زدن این محدودیت‌ها پیدا می‌کنند یا از طرف دیگر چالش‌هایی برای برخی کسب‌وکارها ایجاد می‌کنند.

از دیگر مباحثی که در مورد تراکنش‌های مشکوک به آن اشاره شد، مبحث false positive بود. مختاریان این موضوع را با تعبیری به نام اثر چوپان دروغ‌گو معرفی کرد و ماجرای چوپان دروغ‌گو را به اعلام تراکنش‌ها و موارد مشکوک نسبت داد و گفت که در سامانه‌های تشخیص تراکنش‌های مشکوک هم‌چنین مواردی زیاد است که برخی اوقات تراکنش یا مورد مشکوکی گزارش می‌شود، ولی وقتی بررسی‌های لازم انجام می‌شود، متوجه می‌شویم که گزارش‌ها به اشتباه ارسال شده است. نصیری با عنوان این موضوع که در حال حاضر و با نزدیک شدن به پایان سال شاهد بروز تراکنش‌های عجیب‌وغریب و رفتارهای عجیب در نظام پرداخت الکترونیک هستیم، گفت: «استفاده از دیتاهای فرابانکی مانند بورس و قوه قضائیه می‌تواند همین مساله false positive را کاهش دهد.» در همین راستا ترابی هم در صحبت‌هایش از بانک‌ها و موسسات مالی گله کرد که داده‌های کشف تقلبشان را در اختیار بقیه افراد قرار نمی‌دهند و به همین دلیل هم همه‌چیز به فعالیت‌های نظارتی محدود می‌شود.