پیگیری جرائم حوزه دیجیتال برعهده کدام نهاد است؟ / در دنیای امروز، قوانین امنیتی و سازوکارهای فنی دیروز پاسخگو نیست

چندی پیش بود که پلیس فتا در نامه‌ای به اپلیکیشن‌های پرداخت، در مواردی سازوکار لازم در راستای رعایت ماده 10 بخشنامه الزامات خدمت انتقال کارت به کارت دوجانبه بدون حضور کارت و رفع نواقص را مطرح کرد. در این نامه هشدار داده شده بود که «در غیر این صورت به ازای انجام هر تراکنش مالی از بستر اپلیکیشن آن شرکت، می‌بایست به علت فراهم آوردن بستر سرقت به مالباختگان، خسارت پرداخت نمائید و بعد از تاریخ اعلامی مجوز فعالیت آن شرکت لغو و دسترس عموم مردم به اپلیکیشن آن شرکت محدود خواهد گردید.»

در این گزارش ابتدا در نظر داریم به این موضوع بپردازیم که موارد مطرح‌شده در این نامه به لحاظ فنی چه مواردی را گوشزد می‌کند و حل کردن آنها از چه طریقی ممکن است.

1-     شماره همراه انجام‌دهنده تراکنش‌های مالی با شماره همراه ثبت شده و تخصیص یافته به کد ملی دارنده کارت بانکی مبدأ تراکنش، یکسان نیست.

حل این مساله با سرویس مانای بانک مرکزی امکان‌پذیر است. در این سرویس، شماره کارت، کد ملی و شماره موبایل کاربر از او گرفته می‌شود، در ادامه از طریق سامانه شاهکار، تطابق مالکیت شماره موبایل با کد ملی کنترل شده و بررسی می‌شود که آیا شماره موبایل به همان کد ملی متعلق است یا خیر، سپس شماره کارت با کد ملی و شماره موبایل ثبت شده در بانک، مورد سنجش قرار می‌گیرد.

در این میان باید به این نکته اشاره کرد که تنها تطابق شماره موبایل و کد ملی کافی نیست، چراکه امکان استفاده از کارت فیشینگ شده و انجام تراکنش از آن همچنان وجود دارد. در حال حاضر بانک مرکزی امکان استفاده از این سرویس را به چند PSP داده و البته فقط برای مانده‌گیری مورد استفاده قرار می‌گیرد و نه سایر خدمات.

2-     فعالیت اپلیکیشن‌های در خارج از حوزه جغرافیایی کشور امکان‌پذیر است.

بر اساس قانون بانک مرکزی تمام تراکنش‌ها باید از طریق API های داخل کشور انجام پذیرد، اما مساله این است که در کشور ما تقریباً همه به دلایل مختلف، ازجمله استفاده از خدمات شرکت‌های نرم‌افزاری بین‌المللی که برای IP های ایران محدودیت وضع کرده‌اند، از فیلترشکن جهت تغییر آدرس IP خود استفاده می‌کنند.

اگر دسترسی افرادی که از فیلترشکن‌ها استفاده می‌کنند محدود شود، بدیهی است که این موضوع برای کاربران خوشایند نیست در نتیجه تعداد کاربرها ریزش می‌کند، درحالی که این مساله برای تمام اپلیکیشن‌ها بسیار حائز اهمیت و حیاتی است. از طرفی باید به این نکته نیز اشاره کرد که تراکنش‌ها تنها از طریق اپلیکیشن‌های پرداخت صورت نمی‌پذیرد بلکه از طریق کارتخوان و درگاه در سایر کشورها هم امکان تراکنش با کارت بانک‌های ایرانی وجود دارد.

3-     اپلیکیشن‌های پرداخت با شماره همراهی غیر از شماره خطوط اپراتورهای داخل کشور فعال می‌گردد. (فعالیت اپلیکیشن با شماره‌های مجازی و غیرواقعی ممنوع است.)

4-     وابستگی فی‌مابین اپلیکیشن پرداخت، شماره تلفن همراه و IMEI گوشی به صورت مداوم بررسی نمی‌گردد.

دریافت IMEI به صورت نرم‌افزاری در گوشی ممنوع است چراکه مساله‌ای امنیتی است و در این صورت استورها نیز از قرار دادن اپلیکیشن، امتناع می‌کنند. از طرفی امکان تغییر IMEI وجود دارد به همین دلیل نیز این مورد از سمت اپراتورها قابل استناد نیست.

5-     فرآیند شارژ و دشارژ کیف پول اپلیکیشن‌ها محدود به رعایت بند اول، دوم و حداکثر مبلغ 200 هزار تومان طی 24 ساعت نیست.

شرکت‌ها از سوی بانک مرکزی، ملزم به رعایت سقف تراکنش 200 هزار تومان، در اپلیکیشن‌های کیف پول خود شدند و تعیین سقفی معقول، طبیعی و مانع پولشویی است. سؤال اینجاست که آیا این عدد با توجه به تورمی که در حال حاضر در کشور وجود دارد، کافی است یا خیر؟

6-      هنگام نصب و راه‌اندازی اپلیکیشن‌های پرداخت معمولاً شماره همراه، کد ملی و IMEI از کاربر اخد نشده و این اطلاعات نیز صحت‌سنجی نمی‌گردد.

برای حل این موضوع، سرویس شاهکار وزارت ارتباطات مورد نیاز است.

7-     هیچ محدودیتی در میزان تراکنش افراد دریافت‌کننده ابزار تله‌پرداز آن هم متناسب به فعالیت شخص دریافت‌کننده لحاظ نگردیده است.

8-     خرید شارژ و انجام تراکنش مالی از نظر تعداد و مبلغ معادل کل تراکنش‌ها با محدودیت همراه نیست.

برای شارژ، تعیین سقف تعداد معقول و مانع از کلاهبرداری و تقلب خواهد شد، اما سقف انتقال وجه در شبکه شتاب سه میلیون تومان است که البته این عدد با توجه به تورم این سال‌ها تغییری نداشته و یکی از دلایلی که افراد چند کارت بانکی بلااستفاده دارند، همین مساله است چراکه میزان تراکنش‌های آنها با محدودیت همراه است. از سوی دیگر اجبار برای راه‌اندازی رمز دوم پویا، مقابله با فیشنگ بود. با استفاده از این رمز، بسیاری از نگرانی‌های امنیتی اپلیکیشن‌ها مرتفع می‌شود و نیازی به تطابق کد ملی و شماره همراه نیست.

حال می‌خواهیم به این موضوع بپردازیم که کدام نهادها می‌توانند در موضوعات مربوط به جرائم سایبری مداخله کننند و این امر با چه سازوکاری امکان‌پذیر است.

.

پلیس مجری دستورات قضایی است

محمدعلی حکیم ایمانی، مدیر حقوقی و قراردادهای شرکت زرین‌پال درخصوص بررسی نهادهای فعال در حوزه امنیت پرداخت گفت: «طبق مستنداتی که وجود دارد مرکز افتا برای نظارت زیرساخت‌های مخابراتی، مدیریت اتفاقات و تهدیدات و مواردی مانند حک در سطح ملی به وجود آمد؛ مانند مساله‌ای که برای سایت سازمان تأمین اجتماعی ایجاد شد. این مرکز، بر تهدیدات احتمالی و موارد سایبری در فضای مجازی نظارت می‌کند. به‌طور کلی ماموریت‌هایی که به این نهاد سپرده شده تضمین و ابلاغ نوسازی زیرساخت‌های حیاتی فضای مجازی، بروزرسانی استانداردهای امنیتی و تدوین دستورالعمل ارتقای امنیت مجازی است. فعالیت‌های این نهاد بیشتر ستادی و از طریق دستورالعمل و آیین‌نامه است. همینطور کارهای پژوهشی نیز توسط افتا انجام می‌شود.»

او درباره فعالیت مرکز ماهر عنوان کرد: «فعالیت این مرکز، مشابه افتاست و در این قلمرو فعالیت می‌کند. رسیدگی فوری به مسائل فضای مجازی براساس درخواست سازمان‌ها، ارائه هشدارها و اطلاعات در فضای مجازی و ارائه کارگاه‌ها در چارچوب عملکردی نیز دیگر وظایف مرکز ماهر است. تفاوت پلیس فتا، دادستانی و این نهادها در اینجا مشخص می‌شود.»

او با اشاره به اینکه دادستانی مرجعی است که بر مبنای قانون اساسی شرح وظایفی دارد، گفت: «دادستانی کل کشور درخصوص جرائم و نظارت بر فضای مجازی بخشی را تعیین کرده به نام معاونت فضای مجازی که کلیه اتفاقات و جرائم در فضای مجازی مانند هک، عملیات غیرقانونی سایبری، قمار و شرط‌بندی و …. توسط این معاونت، در دستور رسیدگی قرار دارد. برای مثال وقتی مبلغی از حساب فرد خارج می‌شود، دادسرای جرائم رایانه و پلیس فتا به این موارد رسیدگی می‌کنند که این مرحله پس از شکایت شاکی به دادسراست.

پس از آن، پلیس فتا به عنوان ضابط قضایی وارد عمل می‌شود. پلیس فتا بر اساس دستوری که از مقام قضایی دارد رسیدگی را انجام می‌دهد و هدف آن نیز شناسایی مجرم است.»

به گفته حکیم‌ایمانی علی‌الاصول و بر اساس قانون، پلیس فتا مطیع دستورات قضایی است. اگر فی‌المثال دستور مبتنی بر فیلتر شدن وب‌سایتی باشد و این دستور جهت اجرا به پلیس فتا و دیگر نهادهای قانونی ارسال شده باشد آنها باید تمکین دستورات قضایی کنند. به‌طور کلی دستور باید از سوی معاونت فضای مجازی دادستانی یا دیگر مقامات صالحه قضایی ارسال شده باشد تا پلیس به عنوان اهرم و بازوی اجرایی وارد عمل شود. حتی اگر به بانک‌ها ابلاغیه‌ای یا دستوری جهت اجرا داده شود، بانک‌ها نیز می‌توانند تصویر دستور را از مرجع ارجاع دهنده درخواست تا آن را پس از رویت اجرا و گزارش عملکرد تنظیم کنند.

علی الاصول بسته شدن حساب افراد هم بدون حکم قضایی امکان ندارد. پلیس عامل و اجراکننده دستورات است نه صادرکننده دستور و ابلاغ آن. به طور مثال درخصوص پرونده‌های کارت‌های سوخت (فیشینگ وب‌سایت کارت سوخت) خیلی از افراد متضرر و در تله فیشینگ افتادند. وظیفه مقام قضایی پر واضح و مشخص است و پلیس فتا مجری دستورات آنهاست. درحقیقت بر اساس قانون آیین دادرسی کیفری پلیس مجری دستورات قضاییست نه صادر کننده دستورات.

او در پاسخ به این سؤال که آیا می‌توان اپلیکیشن‌های پرداختی را بستر جرم تلقی کرد، گفت: «اگر قرار باشد به اشخاص حقیقی یا حقوقی جرمی را نسبت دهیم باید تحقیقات و دادرسی‌ها انجام و عنصر مادی و معنوی جرم که تشکیل دهنده ماهیت مجرمانه افراد است محقق و اثبات شود و صرف داشتن اپلیکیشن های پرداختی دلیل مناسبی بر معاونت در جرم و آماده‌سازی بستر جرم از سوی آنها نیست. وقتی جرم محرز می‌شود، دادستانی یا دادسرا دستورات و پیگیری‌های اولیه را انجام می‌دهند و پس از آن، پلیس فتا برای اجرا و تکمیل تحقیقات مورد نظر مقام قضایی وارد عمل شده که این وظیفه براساس دستور قبلی مقامات قضایی است.»

.

دو وظیفه فعالانه و منفعلانه دادستانی

محمدحسین دری، دادیار دادسرای تهران درخصوص موقعیت و شان نهادهای نظارتی و بازرسی توضیح داد: «باید بررسی کرد که هرکدام از این مراجع به چه کیفیت و تفکیکی کار خود را پیش می‌برند. بعضی از نهادهای نظارتی وجود دارد که به‌عنوان بازوی نظارتی فعالیت می‌کنند و در صورتی که با پدیده مجرمانه‌ای مواجه شوند، این پدیده را به مراجع بالاتر ارجاع می‌دهند. ممکن است در صورت وقوع جرم مرجع بالادستی، دادستانی باشد یا اگر جرم مربوط به واحدهای صنفی باشد، به نهادهای نظارتی یا بانک مرکزی ارجاع داده شود.»

او در ادامه گفت: «در صورتی که گزارش به نهادهای بالادستی منعکس شود، مسئولیت تحقیق به‌وجود می‌آید و پس از آن تعقیب نیز به‌وجود می‌آید.»

دری درباره سلسله‌مراتب پیگیری جرائم از سوی نهادها گفت: «در حوزه قضایی نهاد بالادستی، دادستانی کل کشور است. این دادستانی دو وظیفه و کارکرد دارد؛ وظیفه اول مقابله با جرم است. اینکه جرم اتفاق افتاده و قرار است با آن برخورد شود. این موضع، انفعالی محسوب می‌شود و دادستان به‌صورت منفعلانه بعد از وقوع جرم به‌دنبال مرتکبین جرم است. این قضیه بر عهده نهادی به نام دادسراست که زیر نظر دادستانی کل کشور است و در همه شهرستان‌ها وجود دارد. گزارش‌هایی که از سوی پلیس فتا ارائه می‌شود یا شکایت‌های خصوصی نیز از طریق همین نهاد پیگیری می‌شود.»

وظیفه دوم دادستانی به گفته این دادیار در رابطه با پیشگیری از وقوع جرم و رفع بسترهای آن است. او گفت: «این موضع، فعال است و ابتدا دادستانی ورود می‌کند تا جرمی اتفاق نیفتد. به‌طور مثال دادستانی کل کشور می‌گوید که شرکت‌های پرداخت‌یار و فین‌تکی باید مجوز داشته باشند و اگر نداشته باشند اجازه فعالیت ندارند. اگر این پیشگیری صورت نگیرد، فضای مبهم و غبارآلودی به‌وجود می‌آید که موجب شکل‌گیری پرونده‌های کیفری می‌شود. رسیدگی به این پرونده‌ها نیز بر عهده دادستانی است.»

دری توضیح داد: «در قانون اساسی نیز آمده که یکی از وظایف دادستانی کل کشور احیای حقوق عامه یا پیشگیری از وقوع جرم است. البته این وظیفه دادگستری و قوه قضائیه است که به دادستانی محول شده است.»

.

پلیس فتا تنها به‌عنوان ضابط عمل می‌کند

او با اشاره به نقش مهم ضابطین و گزارش‌های آنها، گفت: «گزارش‌هایی که ضابطین به مقامات قضایی منعکس می‌کند می‌تواند نقش مهمی داشته باشد. در اینجا ضابط ما پلیس فتا است. البته ممکن است ضابطین دیگری مانند وزارت اطلاعات یا سپاه نیز موضوع را منعکس کنند. پلیس فتا بنا به تحقیقی که از دادستانی می‌گیرد، مسئولیت جمع‌آوری یا مستندسازی ادله را برعهده دارد. البته ممکن است پلیس فتا خود تحقیقات اولیه را انجام دهد، اما دستوراتی مانند احضار متهم یا مسدودشدن حساب‌ها و حکم جلب از اختیار پلیس فتا خارج است.»

به گفته دری وظیفه پلیس فتا این است که می‌تواند در جایی که جرم مشهودی اتفاق می‌افتد، مساله را به مقامات قضایی منعکس کند. همچنین به اشخاصی که مرتکب جرم شده‌اند، اخطار دهد. به‌طور مثال در قضیه سایت دیوار، پلیس فتا گفت که این سایت باید الزاماتی را رعایت کند. هرچند اگر اقدامی ضرورت داشته باشد و دسترسی سریع به مقامات قضایی مقدور نباشد، پلیس فتا بنا به تشخیص خود، طبق قانون آیین دادرسی کیفری می‌تواند متهم را بازداشت کند، با این شرط که کمتر از بیست‌وچهار ساعت متهم را به مرجع قضایی تحویل دهد.

او با اشاره به اینکه پلیس فتا ده‌ها برابر استانداردهای جهانی بار مسئولیت پرونده‌ها و تراکم آنها را بر دوش داشته باشد، گفت: «یکی از دلایل این مساله این است که جرم زیادی در ایران اتفاق می‌افتد. همچنین عدم وجود نظام متمرکز احراز هویت، مشکلات نظام بانکی، خلأ قانونی و نبود سواد رسانه‌ای باعث تشدید این پرونده‌ها می‌شود.»

.

جرائم جدید با راهکارهای قدیمی

ما سال‌هاست که پا به دنیای دیجیتال گذاشته و اتفاقاً به خوبی از آن استقبال کرده‌ایم؛ اینکه 43 درصد از مردم دنیا گوشی هوشمند دارند خود گواه این امر است. به‌واسطه این دنیای دیجیتال، سال‌هاست کسب‌وکارها و سبک زندگی افراد، تغییر کرده است. طبیعی است در این دنیای جدید، جرائم و مسائل موجود هم تغییر کند، به‌روز شود و با توجه به آمار استفاده‌کنندگان از گوشی‌های هوشمند افزایش یابد. اگر در گذشته بیشتر جرائم، چاقوکشی و قمه‌کشی بوده امروز جرائم دیجیتال هستند.

با راهکارهای قدیمی، نمی‌توان مسائل جدید را حل کرد. این روزها استدلال‌هایی که منجر به پاک کردن صورت مساله شود، همانقدر عجیب است که در برابر مسائلی که قرار است برایمان با ورود به دنیای دیجیتال پیش بیاید راه‌حل و نگاه فنی نداشته باشیم.

حالا می‌خواهیم سوالاتمان را با یک مثال مطرح کنیم. طبق آمار، وضعیت حوادث جاده‌ای ما بحرانی است و به خوبی می‌دانیم که عدم استاندارد بودن برخی خودروها در کنار عدم وجود جاده‌های ایمن، بر این مساله دامن زده، اما آیا هیچ‌گاه در برابر تولیدات خودروهای غیراستاندارد ایستادگی شده تا تولید آنها به صفر برسد یا تولید این خودروها هرساله در حال افزایش است؟

اگر ما ساختارهای فنی مناسبی در نظام بانکی‌مان نداریم، سازوکارها مناسب نیست و این موضوع جرائم سایبری را افزایش داده، قصور از جانب اپلیکیشن‌هایی است که در این نظام فعالیت می‌کنند؟ آیا بهتر نیست قوانین و ساختارهای فنی موجود به‌روز شود تا برای پیشگیری از اتفاقات نامطلوب، صورت‌مساله پاک نشود؟ از سوی دیگر آیا مطلوب نیست تمام واضعان قانون و امنیت با سازوکارهای موجود و راه‌حل‌هایی که منجر به حل کردن مسائل حوزه دیجیتال می‌شود آشنا باشند و آنها نیز صورت مساله را پاک نکنند؟

در ساده‌ترین مثال، می‌توان به این موضوع اشاره کرد؛ زمانی که وارد بانک می‌شوید تا پولی را واریز کنید، هیچ هویتی محرز نمی‌شود. آیا نمی‌توان این کار را مصداق عدم وجود قوانین مناسب و حفظ امنیت در نظام بانکی کشور دانست که ارتباطی هم با بانکداری الکترونیک ندارد؟