احراز و تایید هویت دیجیتال (Digital Identification & Authentication) امنیت (Security) انتخاب سردبیر بانک‌تک (BankTech) پی‌تک (PayTech)

گره دیگری بر کلاف مدل کسب‌وکاری بانک‌ها زده شد / گلایه‌های بانکی‌ها از اجرای طرح رمز یک‌بارمصرف

نوشته شده توسط نوید نیک‌نژادی

بانک‌ها برای اجرای طرح رمز یک‌بار‌مصرف، هزینه‌ها و دغدغه‌هایی دارند. آنها باید باز هم هزینه همه چیز را بپردازند و هیچ کارمزدی هم در ازای ارائه خدمت دریافت نکنند. در این گزارش، نگاهی به هزینه‌ها و نگرانی‌های بانک‌ها در راه اجرای طرح رمز یک‌بار مصرف داریم.

ارائه رمز یک‌بارمصرف، باعث افزایش هزینه‌های بانک‌ها در محل‌هایی از جمله توسعه و نگه‌داشت زیرساخت، طراحی محصول و مرکز پاسخگویی به مشتریان شده است. مطابق بخشنامه‌ها، این بهایی است که بانک‌ها برای تامین امنیت مشتریانشان، ملزم به پرداخت هستند.

یکی از اصلی‌ترین محل درآمدهای بانک‌های جهان، اخذ کارمزد در ازای ارائه خدمات مختلف به مشتریان است. اما در ایران، محل درآمد بانک‌ها به‌طور کلی متفاوت است و بانک‌ها به روش‌های مختلف از جمله خلق پول، اعطای وام، سرمایه‌گذاری و …، هزینه‌های خود را پوشش می‌دهند و بسیاری از آنها حتی به درآمدزایی هم نمی‌رسند.

این مسئله وقتی چالش‌برانگیزتر می‌شود که بانک‌ها برای ارائه خدمات هم نیاز به هزینه‌کرد دارند. برای مثال بانک باید برای ارائه خدمات بانکداری الکترونیکی، زیرساخت‌های کلانی را تامین کند؛ سپس، برای عملیات مشتریان نظیر عملیات کارت‌به‌کارت و خرید اینترنتی هم کارمزدی به شرکت واسط بپردازد؛ برای پیامک ارسالی هم هزینه دیگری را به یک شرکت مخابراتی بدهد و در کل هم بانک هیچ درآمدی از این خدمات ندارد.

 

دریافت کارمزد؛ امیدی که ناامید شد

در ماه‌های گذشته، مقامات عالی‌رتبه نهاد قانون‌گذار در نشست‌های مختلف، از اخذ کارمزد توسط بانک‌ها برای خدمات جدید استقبال کرده بودند. همین مسئله این امیدواری را در بانک‌ها به وجود آورده بود تا با جدی‌تر شدن الزام بانک‌ها به ارائه خدمات رمز دوم یک‌بارمصرف، بتوانند در قبال ارائه این سرویس، کارمزد بگیرند.

راه پرداخت هفته گذشته در این خصوص گفت‌وگوهایی با معاونان فناوری اطلاعات چند بانک داشت. این افراد از تدوین مدل‌های کسب‌وکاری مختلف برای کسب درآمد از محل کارمزد این طرح خبر دادند. اما در نهایت، با اطلاعیه بانک مرکزی، ارائه رمز یک‌بارمصرف در راستای وظایف بانک برای تامین امنیت شناخته شد و در نتیجه اخذ کارمزد برای آن منتفی شد.

البته میزان درآمدی که بانک‌ها پیش‌بینی کرده بودند در قبال اخذ کارمزد برای رمز یک‌بارمصرف به دست می‌آورند، باز هم در مقابل هزینه‌های بالای بانک برای ارائه این خدمت ناچیز بود. اما اخذ همین کارمزد اندک هم به‌زعم کارشناسان، گامی مثبت در راستای اصلاح نظام کارمزد و اصلاح نظام درآمدی بانک‌ها بود.

 

هزینه‌های اجرای طرح رمز یک‌بارمصرف

در زمینه هزینه‌های اجرای طرح رمز یک‌بارمصرف، گفت‌وگویی با مسئولان ارشد فناوری اطلاعات چند بانک داشتیم که آنها ترجیح می‌دهند که به نام آنها یا بانک محل فعالیت آنها اشاره‌ای نشود.

یکی از مسئولان توسعه زیرساخت در یکی از بانک‌های بزرگ کشور در خصوص هزینه‌های سنگین طرح رمز یک‌بارمصرف گفت: «برای ارائه رمز یک‌بارمصرف، هم کور بانک و هم سوئیچ درگیر می‌شوند چراکه باید رمزی تولید شود و در مدت کوتاهی مانند ۶۰ ثانیه، برای هر دوی آنها معتبر باشد و در نتیجه رمز یک‌بارمصرف باعث افزایش فشار بر زیرساخت‌های بانک می‌شود.»

به گفته او، تعیین دقیق میزان افزایش هزینه‌های بانک به خاطر اجرای طرح رمز یک‌بارمصرف، کار ساده‌ای نیست. برای مثال او به هزینه‌های کلان صدها میلیاردی بانک‌ها برای توسعه و نگهداشت زیرساخت‌هایشان به‌خصوص با توجه به مشکلات ناشی از تحریم‌ها و افزایش قیمت ارز اشاره می‌کند و می‌گوید که بخشی از این هزینه توسعه و نگهداشت زیرساخت هم صرف ارائه رمز یک‌بارمصرف می‌شود.

همچنین بانک‌ها برای طراحی محصول ارائه‌دهنده رمز یک‌بارمصرف متحمل هزینه شده‌اند؛ حال بعضی بانک‌ها با توجه به شرکت‌های اقماری‌شان، خود این محصول را تولید کرده‌اند و برخی بانک‌ها، طراحی محصول را به شرکت‌های دیگر سپرده‌اند.

بانک‌ها همچنین هزینه‌های دیگری نیز برای اجرای طرح رمز یک‌بارمصرف دارند. برای مثال، مراکز ارتباط با مشتری بانک‌ها، با افزایش تماس‌های مشتریان در روزهای اخیر مواجه شده‌اند و اگر طرح رمز یک‌بارمصرف فراگیر و الزامی شود، سیل تماس‌ها از عموم مردم جامعه به این مراکز ارتباط با مشتری گسیل خواهد شد.

از سوی دیگر اجرای طرح به شکل فعلی، در بستر آنلاین و رایگان است. اگر قرار شود بانک‌ها برای مشتریانی که گوشی هوشمند ندارند، رمز یک‌بارمصرف را از طریق پیامک و یا تماس تلفنی ارسال کنند، بانک باید هزینه این کار را هم به شرکت مخابراتی بپردازد.

 

بقیه هم وظایفشان در خصوص تامین امنیت را انجام دهند

در اطلاعیه ۲۲ اردیبهشت بانک مرکزی، آمده است «در صورتی که بانک بتواند راه‌حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به‌عنوان جایگزین رمز پویا استفاده کند.»

همچنین در بخش دیگری از این اطلاعیه آمده است: «از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک است و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت می‌کند.»

یکی از افراد مطلع در نظام بانکی در این خصوص گفت: «جبران خسارت توسط بانک قبلا هم وجود داشته است و چیز تازه‌ای نیست. در بسیاری از موارد، با شکایت کسانی که از حساب بانکی‌شان سوءاستفاده شده، بانک مسئول جبران خسارت شناخته می‌شود.»

 

خطای انسانی، با امنیت شبکه بانکی جبران نمی‌شود

این کارشناس، با بیان اینکه شبکه بانکی کشور امنیت بسیار بالایی دارد و تاکنون خطای اینترنتی نداشته گفت: «سوءاستفاده‌هایی که از حساب مشتریان می‌شود معمولا به خاطر خطای خود کاربران و برای مثال افتادن در دام فیشینگ‌ها و درگاه‌های جعلی است.»

در ایمن‌ترین و امنیتی‌ترین سیستم‌های جهان هم احتمال تهدید سایبری هست، آن هم به دلیل خطای کاربرِ انسان! یکی از موارد مهم در ایجاد ایمنی در هر زمینه‌ای، فرهنگ‌سازی است. نکته مهم اینجاست که در کشور ما، چه میزان فرهنگ‌سازی در خصوص استفاده از ابزارهای اینترنتی می‌شود.

عموم افراد جامعه، و حتی جوان‌ترها و تحصیل‌کرده‌ها، چه میزان درباره نحوه صحیح استفاده از فضای سایبری و تهدیدات آن مطلع هستند؟ چه میزان از افراد جامعه نصب اپلیکیشن‌های نامعتبر و بدافزارها بر روی گوشی هوشمندشان را یک تهدید می‌دانند؟

رمز دوم یک‌بارمصرف، از لحاظ پروتکل‌ها، از امنیت بسیار بالایی برخوردار است و با استفاده صحیح از آن، تخلفاتی مانند فیشینگ و پولشویی غیرممکن خواهد شد. اما همین رمز یک‌بارمصرف، در صورتی عدم آگاهی کاربران و نصب بدافزار به‌جای اپلیکیشن رمزساز، می‌تواند تهدیدکننده باشد.

با کمی دقت در رفتار کاربران می‌توان دریافت که برخی از آنها در رفتارهایشان، «سرعت و سهولت» را به «امنیت» ترجیح می‌دهند. برای همین هم احتمالا برای این افراد، رمز دوم یک‌بارمصرف، آنچنان خوشایند نخواهد بود و همین جاست که فرهنگ‌سازی اهمیت پیدا می‌کند.

همانطور که در اطلاعیه بانک مرکزی آمده، بانک‌ها ملزم به انجام هزینه برای تامین امنیت کاربرانشان هستند. اما نباید وظیفه سایر سازمان‌ها و به‌خصوص نهادهایی که وظیفه فرهنگ‌سازی دارند، به بانک‌ها پاس داده شود.

 

بانک‌ها فرصت برابر برای رقابت داشته باشند

«هزینه» تنها دغدغه بانک‌ها در اجرای طرح رمز یک‌بارمصرف نیست. یکی از مسئولان فناوری اطلاعات یک بانک بزرگ می‌گوید: «در حال حاضر تعداد زیادی از بانک‌ها زیرساخت لازم برای ارائه رمز یک‌بارمصرف را فراهم کرده‌اند اما احتمالا برخی از بانک‌ها، نمی‌توانند تا اول خردادماه، این زیرساخت را فراهم کنند.»

به گفته او، با توجه به این شرایط و با در نظر گرفتن نیاز مشتریان آن بانک‌ها، احتمال دارد که بانک مرکزی، باطل کردن رمز دوم ایستا را به تعویق بیندازد. او اظهار امیدواری می‌کند که سیاست دوگانه اتخاذ نشود و یا طرح به‌صورت سفت‌وسخت برای کلیه بانک‌ها اجرا شود و یا اینکه به‌طور کلی برای همه بانک‌ها، به تعویق بیفتد و بانک‌ها، شرایط برابر داشته باشند.

رضایت و تجربه مشتری یکی دیگر از دغدغه‌های بانکی‌هاست. خرید با استفاده از یک رمز ۷-۸ رقمی که تنها ۶۰ ثانیه اعتبار دارد، برای کاربران به‌خصوص در خریدهای روزهای اولشان بسیار چالش‌برانگیز است.

این مقام مسئول می‌گوید: «برخی از مشتریان ممکن است به جای استفاده از کارت بانک‌های دارای رمز یک‌بارمصرف، به سراغ کارت بانک‌هایی بروند که رمز ایستا دارند. همچنین احتمالا برخی مشتریان ترجیح خواهند داد که در حد امکان از روش‌های قدیمی‌تر به جای خرید اینترنتی استفاده کنند. باید در طراحی رمز یک‌بارمصرف دقت کنیم که مشتریان از تکنولوژی فراری نشوند.»

 

آزمون و خطا نکنیم

یکی از انتقاداتی که بسیاری اوقات به طرح‌های فراگیر ملی می‌شود این است که این طرح‌ها حالت آزمون و خطا دارند و یا مشخص نیست که روند رسیدن به «آن تصمیم» چگونه بوده است.

در خصوص طرح الزام بانک‌ها به ارائه رمز یک‌بارمصرف هم، چنین نوع انتقاداتی شنیده می‌شد. اما بانک مرکزی در اقدامی مثبت اعلام کرد که «در صورتی که بانک بتواند راه‌حل مطمئن دیگری را، که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب مشتری باشد را اجرایی کند، می‌تواند از این راهکار به‌عنوان جایگزین رمز پویا استفاده کند.»

در نتیجه در بحث تامین امنیت کاربران در خریدهای اینترنتی می‌توان نگاه صفر و یکی نداشت و به خواسته‌های مشتریان و بانک‌ها هم توجه کرد. همچنین می‌توان به تجربه کشورهای دیگر جهان توجه کرد. در کشورهای توسعه‌یافته، چیزی به نام رمز دوم اینترنتی وجود ندارد. آن‌ها چگونه خرید اینترنتی می‌کنند؟

بار دیگر به موضوع ابتدای متن بازگردیم. مدل کسب‌وکاری بانک‌های ایران تفاوت فاحشی با بانک‌های جهان دارد. حل بسیاری از مشکل‌های کلان اقتصاد ما از جمله تورم، بدون اصلاح نظام درآمدی بانک‌ها ممکن نیست. در نقاط دیگر جهان، بانک‌ها برای ارائه خدماتشان، هزینه می‌کنند و در ازای آن، کارمزد می‌گیرند؛ مثل هر کسب‌و‌کار دیگری.

درباره نویسنده

نوید نیک‌نژادی

نوید نیک‌نژادی، دانش‌آموخته کارشناسی ارشد مدیریت اجرایی از دانشگاه شهید بهشتی است.

دیدگاهتان را بنویسید

/* ]]> */