همه‌چیز آنطور که به نظر می‌رسد، نیست / مروری بر میزگرد شناسایی تراکنش‌های مشکوک در همایش بانکداری الکترونیک

نویسنده: راه پرداخت در تاریخ 14 فروردین سال 1398 ساعت 8:00 0

برخی چالش اصلی در زمینه تراکنش‌های مشکوک را نداشتن متولی معین می‌دانند و برخی معتقدند که با وجود اینکه در زمینه تشخیص خوب عمل کردیم، ولی هنوز در مورد جلوگیری از این اتفاقات لنگ می‌زنیم و باید یک پله به عقب برگردیم.

ماهنامه عصر تراکنش / تراکنش‌های مشکوک بانکی موضوع جدیدی نیست و سال‌های سال است این اختیار قانونی به استناد ماده 231 بر عهده سازمان مالیاتی است. بحث مهمی که در چند سال اخیر در دنیا تاکید شده، بحث جرم‌های مالی و مالیاتی است؛ مانند پول‌شویی، رشوه‌خواری، فساد مالی و به‌خصوص فرار مالیاتی. این‌گونه جرم‌ها تهدیدی برای منافع سیاسی و اقتصادی و استراتژیک کشورهای در حال توسعه و حتی توسعه‌یافته است. اهمیت این موضوع طی این سال‌ها باعث شد تا یکی از میزگردهای برگزارشده در هشتمین همایش بانکداری الکترونیک و نظام‌های پرداخت به همین مساله اختصاص یابد.

ميزگرد «شناسايي تراکنش‌های مشکوک» عنوان برنامه‌ای بود که در دومين روز از همايش بانکداري الکترونيک و نظام‌های پرداخت با حضور روزبه ترابي، مديرعامل شرکت داده‌کاوان هوشمند توسن؛ محمدمهدي طوبايي، معاون توسعه و نظارت شرکت شاپرک؛ محمدحسين دهقان، رئيس گروه بازرسي اداره مبارزه با پول‌شویی بانک مرکزي؛ جلال‌الدین نصيري، رئيس گروه سامانه‌های مديريت تقلب شرکت خدمات انفورماتيک و حميدرضا مختاريان، مديرعامل شرکت داده‌ورزی سداد به‌عنوان مدير برنامه برگزار شد.

مسئوليت با کيست؟

در ابتداي اين ميزگرد درباره تعريف تراکنش‌های مشکوک و اينکه چه کسي مسئول رسيدگي به اين تراکنش‌هاست، سوال شد و حضار به ترتيب به سوال پاسخ دادند.

به گفته ترابي تعريف دقيق تراکنش‌های مشکوک بستگي به اين دارد که با چه زاویه‌ای به آن نگاه کنيم. او بحث پول‌شویی را موضوعي از بالا به پايين دانست که حاکميت بايد متولی‌اش باشد. به گفته ترابي نهادهاي درگير پول‌شویی حداقل روي کاغذ مشخص هستند، اما وقتي بحث کلاهبرداري و تقلب مطرح می‌شود، موضوع کمي پیچیده‌تر می‌شود. در واقع ترابي معتقد است که يکي از قسمت‌های چالش ساز مساله کلاهبرداري اين است که متولي دقيقي ندارد و بايد اين مشکل را با مدل‌های کسب‌وکاری حل کرد.

طوبايي هم تراکنش‌های مشکوک را در دو دسته‌بندی قرار داد؛ اول اينکه رگولاتورهاي هر کشوري يکسري قواعد را مشخص می‌کنند و تخطي از اين قواعد به‌منزله تخلف محسوب می‌شود و دسته ديگر مربوط به تراکنش‌هایی است که ريسک کسب‌وکار را براي بازيگران صنعت بالا می‌برد.

دهقان در مورد مسئوليت معتقد است که اين مسئوليت در اين حوزه بر دوش همه است، ولي لایه‌های آن فرق می‌کند و اينکه تمام اشخاص مشمول؛ اعم از بانک‌ها و PSPها و غيره موظف هستند که مورد مشکوک را گزارش دهند. به نظر دهقان بهترين تعريفي که از اتفاق مشکوک می‌توان داشت، اين است که عدم تناسب در آن وجود نداشته باشد. در تاييد صحبت‌های دهقان، مختاريان گفت که اين مسئوليت همه عناصر درگير در حوزه گزارش دهی و مسئوليتي است که همه ما بايد توجه بيشتري به آن داشته باشيم و براي آينده شرايط کاريمان لازم است که دقت بيشتري روي اين موضوع داشته باشيم.

در ادامه صحبت‌های دهقان که از عدم تناسب در بروز اتفاقات مشکوک گفته بود، ترابي از اهميت بیرون کشیدن همان عدم تناسب داده‌ها گفت و تاکيد کرد که اين موضوع در مورد شناسايي تراکنش‌های مشکوک اهميت بسياري دارد. به گفته ترابي يکي از روندهاي ضد داده محور بودن، بخشنامه‌هایی است که FIU و بانک مرکزي در مورد مبارزه با پول‌شویی ارائه می‌دهند.

پيدا کردن شاه‌کلید

نصيري هم با اشاره به اينکه روزبه‌روز روش‌های تقلب در حال بهروز شدن هستند، توصيه کرد که براي مقابله با اين روش‌ها بايد به جاي تشخيص رفتار مشکوک، رفتارهاي نرمال را بررسي کرد. او با اشاره به اين نکته که در سامانه‌های کشف تقلب از روش‌های چندگانه براي جلوگيري از تخلفات مالي استفاده می‌شود، گفت: «در سیستم‌های کشف تقلب ماژول‌هایی تعبيه شده‌اند و به‌صورت پایه‌ای اين ماژول‌ها بر اساس يکسري قوانين ساده، برخي از تقلب‌ها را کشف می‌کنند و بيشتر بر مبناي تقلب‌های تکرارشده تعيين شده است و نقطه‌ضعف آن عدم کشف تقلب‌های جديد است. روش‌های مبتني بر پروفايل (حساب، کارت، مشتري، شعبه و بانک) از ديگر الگوهاي کشف تقلب است و در اين روش استخراج الگوهاي نامتعارف و تحليل پيشرفته داده بر اساس رفتار دارندگان حساب‌ها ارزيابي می‌شود.»

البته نصيري در ادامه صحبت‌هایش درباره نقاط ضعف روش مبتني بر پروفايل در شناسايي تقلب هم توضيح داد که عدم پشتيباني مفهوم تغيير رفتار، تنظيم سطح حساسيت و عدم کشف تقلب‌های پيچيده از نقاط ضعف اين روش و کارآمد بودن نسبت به روش‌های تقلب جديد، عدم مشکوک‌شدن و پيچيدگي متوسط در سيستم از نقاط قوت اين روش بود. با توجه به اينکه شاه‌کلید کشف تقلب در مسائل مالي استخراج الگوي هر مشتري است؛ نصيري با بيان اينکه يادگيري ماشين شاخه‌ای از هوش مصنوعي است که به دنبال قابليت يادگيري و ادراک سیستم‌های کامپيوتري است، اعلام کرد: «هدف در روش‌های يادگيري ماشين، استخراج دانش و يادگيري الگوها در داده است.»

در اين ميزگرد در مورد بزرگ‌ترین کلاه‌برداری‌ها در شبکه بانکي نيز صحبت شد که در اين خصوص مهدي طوبايي کلاه برداری‌های فيشينگ و کپي کارت‌های مگنت را از عمده‌ترین چالش‌ها و کلاه برداری‌های شبکه پرداخت عنوان کرد. او با اشاره به اينکه می‌توان کلاه برداری‌های حاصل از کپي کارت را از بين برد و اين چالش را در سيستم بانکي حذف کرد، گفت: «تصميم براي انتقال زيرساخت کارت از مغناطيسي به هوشمند تصميمي بوده که بانک مرکزي گرفته و ديرکرد در اين حوزه بر اساس سیاست‌های کلان بانک مرکزي بوده است. به نظر من نگاه در شبکه بانکي و پرداخت بايد ريسک‌محور باشد تا بتوان با ايجاد زیرساخت‌ها و محدودیت‌هایی از مشکلات جلوگيري کرد.»

معاون نظارت شرکت شاپرک تاکيد کرد که کارت‌های EMV داراي چيپ، در زمينه نظارت و از بين بردن کارت‌های مگنت يک راه‌حل مهم و کاربردي است. از سوي ديگر افزايش امنيت شبکه پرداخت اينترنتي و الگوریتم‌ها براي برخورد با فيشينگ کاربرد دارد.

وضعيت ما در تشخيص و جلوگيري از تقلب

در مورد شيوه شناسايي موارد مشکوک محمدحسين دهقان نظر جالبي دارد و می‌گوید که براي شناخت دقيق اين موضوع بايد يک مرحله به عقب برگرديم و به شناسايي مشتری‌ها با دقت بيشتري نگاه کنيم. رئيس گروه بازرسي اداره مبارزه با پول‌شویی بانک مرکزي با تاکيد بر اينکه براي بررسي شناسايي تراکنش‌های مشکوک بايد حتما مشتري از قبل شناسايي شده و سابقه عملکرد او نيز موجود باشد، گفت: «براي مدل‌های مختلف بايد فعاليت حوزه مشتريان بررسي شود. نگاه به رفتار گذشته شايد در حوزه تقلب پاسخگو باشد، ولي در حوزه پول‌شویی عملکردي ندارد.»

در مورد مباحث مربوط به شناسايي و جلوگيري از تقلب، نصيري بر اين عقيده بود که وضعيت ما در حوزه تشخيص تقلب خوب است و به عبارتي در اين مورد ما خوب توانسته‌ایم پيش برويم، ولي در مورد جلوگيري از بروز اين تقلب‌ها يکسري کم‌وکاستی و نواقص داريم که به اصلاح ساختار و قوانين حقوقي و دستورالعمل‌های بانک مرکزي نياز دارد.

رئيس گروه سامانه‌های مديريتي تقلب شرکت خدمات انفورماتيک با اشاره به اينکه روش‌های تقلب در سيستم پرداخت از سوي کلاه‌برداران و سودجويان در حال به‌روزرسانی است، سامانه‌های کنترل موقعيت جغرافيايي را به‌عنوان يکي از ابزارهاي احراز سلامت تراکنش‌ها معرفي کرد و این‌طور توضيح داد: «در گذشته اصلا در سيستم بانکي ايران موقعيت جغرافيايي در تراکنش‌ها مطرح نبود و با بخشنامه‌ها يک فيلد به تراکنش‌های پايا و ساتنا با عنوان موقعيت جغرافيايي به تراکنش‌های بانکي و الکترونيکي افزوده شد که عملکرد خوبي داشته و لازم است تقويت شود.»

مختاريان با مباحث مطرح‌شده موافق بود و در تکميل صحبت‌های نصيري گفت که داده‌های جغرافيايي يا وجود ندارد يا ناقص است و توضيح داد: «بر اساس تجربه‌ای که ما در بانک‌های مختلف داشتيم، جالب است بدانيد که در مورد آدرس مشتريان بانکي کمترين حساسيت در بانک‌ها وجود دارد و فقط براي اينکه اين فيلد اطلاعاتي پر شود، يک آدرس نامشخص در آن گنجانده شده است.»

دهقان هم با صحبت‌های نصيري تا حدودي موافق است و در مورد زیرساخت‌های حقوقي و قانوني براي شناسايي تراکنش‌های مشکوک گفت: «فضاي مقرراتي در کشور با فضاي اجرا فاصله زيادي دارد و دستورالعمل‌ها روي کاغذ با زمان اجرا تفاوت‌های زيادي دارد.»

ازجمله اين تفاوت‌ها می‌توان به عدم وجود بسترهاي مناسب در اين حوزه اشاره کرد و اينکه راستی آزمایی بسياري از اطلاعات دريافتي ممکن نيست و به همين دليل حتما بايد مرکزي براي راستی آزمایی اطلاعات مشتريان وجود داشته باشد. رئيس گروه بازرسي اداره مبارزه با پول‌شویی بانک مرکزي در اين ميزگرد تاکيد کرد که ما در شبکه بانکي نکته مهم خود اظهاری را فراموش کرده‌ایم و براي توضيح بيشتر گفت: «در بانک‌ها خيلي کم خود اظهاری می‌شود و شايد اصلا انجام نشود. قبول دارم خود اظهاری شايد کامل و جامع نباشد، ولي از اين وضعيتي که داريم قطعا خيلي بهتر خواهد بود.»

به همين دليل هم بود که به عقيده دهقان تمرکز فقط و فقط بر اساس رفتار گذشته جواب درستي نخواهد داد و معتقد است که رفتار گذشته شايد بتواند در حوزه تقلب کمک کند، ولي در حوزه پول‌شویی کمک چنداني نمی‌کند و رفتن به سمت ريسک‌محوري را، چه در حوزه نظارتي و چه در حوزه مشتري، به‌عنوان راهکار پيشنهادي مطرح کرد و به‌شدت هم با ايجاد محدوديت، به‌ویژه در حوزه قوانين و مقررات و استانداردها مخالفت کرد؛ زيرا معتقد است که وقتي يکسري محدودیت‌ها به‌صورت استاندارد براي همه تعريف می‌شود، يا افراد راهي براي دور زدن اين محدودیت‌ها پيدا می‌کنند يا از طرف ديگر چالش‌هایی براي برخي کسب‌وکارها ايجاد می‌کنند.

از ديگر مباحثي که در مورد تراکنش‌های مشکوک به آن اشاره شد، مبحث false positive بود. مختاريان اين موضوع را با تعبيري به نام اثر چوپان دروغ‌گو معرفي کرد و ماجراي چوپان دروغ‌گو را به اعلام تراکنش‌ها و موارد مشکوک نسبت داد و گفت که در سامانه‌های تشخيص تراکنش‌های مشکوک هم‌چنین مواردي زياد است که برخي اوقات تراکنش يا مورد مشکوکي گزارش می‌شود، ولي وقتي بررسی‌های لازم انجام می‌شود، متوجه می‌شویم که گزارش‌ها به اشتباه ارسال شده است. نصيري با عنوان اين موضوع که در حال حاضر و با نزديک شدن به پايان سال شاهد بروز تراکنش‌های عجیب‌وغریب و رفتارهاي عجيب در نظام پرداخت الکترونيک هستيم، گفت: «استفاده از ديتاهاي فرابانکي مانند بورس و قوه قضائيه می‌تواند همين مساله false positive را کاهش دهد.» در همين راستا ترابي هم در صحبت‌هایش از بانک‌ها و موسسات مالي گله کرد که داده‌های کشف تقلبشان را در اختيار بقيه افراد قرار نمی‌دهند و به همين دليل هم همه‌چیز به فعالیت‌های نظارتي محدود می‌شود.