محمدرضا جمالی: اجرای طرح رمز یک‌بار مصرف بدعتی روی بدعت‌های قبلی است

«برای اجرای اجباری رمز دوم یک‌بار مصرف دیگر نمی‌توان صبر کرد. بر همین اساس تاکید بانک مرکزی اجرای رمز دوم یک‌بار مصرف به‌صورت اجباری برای تمامی تراکنش‌های مبتنی بر رمز دوم حتی پرداخت قبوض یا خرید شارژ با هر مبلغی از ابتدای دی‌ماه سال‌جاری است و در این زمان دیگر رمز دوم ایستا (ثابت) غیرفعال خواهد شد.» این را مهران محرمیان، معاون فناوری‌های نوین بانک مرکزی گفته است.

بانک مرکزی قصد داشت رمزهای یک‌بارمصرف را از طریق اپلیکیشن‌های بانکی در اختیار مشتری‌ها قرار دهد تا به این ترتیب از کلاهبرداری‌های اینترنتی جلوگیری شود، اما ناآشنایی برخی شهروندان با شیوه استفاده از اپلیکیشن‌های رمز دوم یکبار مصرف، مشکلات نرم‌افزاری تلفن‌های همراه اپل به‌دلیل وجود تحریم‌ها و هوشمند نبودن گوشی‌های حدود ۲۴ میلیون نفر از شهروندان از جمله دلایل اصلی بروز وقفه در اجرای طرح رمز دوم یکبار مصرف است.

از سوی دیگر پلیس فتای تهران هم اعلام کرده که با اجرای رمز دوم پویا تعداد جرائم مرتبط با فیشینگ به صفر می‌رسد و امنیت را افزایش می‌دهد. حالا بانک مرکزی راه دیگری را که به‌نظر راحت‌تر از روش‌های دیگر است انتخاب کرده و آن هم راه‌اندازی سیستم متمرکز مبتنی بر پیامک است و قرار است کلیه بانک‌ها تا ابتدای دی‌ماه به این سیستم متصل شوند. از این طریق رمز دوم یک‌بارمصرف برای افراد به‌صورت پیامک ارسال می‌شود.

احتمالاً بانک مرکزی قصد دارد با ارائه این راهکار مردم را اجبار به استفاده از رمز پویا کند، اما فرض کنید فردی بخواهد از سایتی خرید کند، او باید برای دریافت رمز دوم مدتی منتظر بماند تا عددی برای او ارسال شود و علاوه‌برآن برای این کار حتماً نیاز به تلفن همراه دارد. حتی احتمال این وجود دارد که پیامک دیر به او ارسال شود یا اصلاً ارسال نشود.

احتمال دیگری را هم می‌توان در نظر گرفت. اینکه با اجرای این طرح ممکن است فرایند خرید پیچیده‌تر و باعث افت فروش آنلاین در کوتاه‌مدت برای کسب‌وکارهای اینترنتی ضرر اقتصادی به همراه داشته باشد.

---

---

از سوی دیگر و با در نظر گرفتن تمام این احتمالات بانک مرکزی پرداخت خسارت زیان‌دیدگان فیشینگ را بر عهده بانک گذاشته است. عبدالناصر همتی در این خصوص گفته است: «مسئولیت حفاظت از اطلاعات مشتریان به عهده بانک‌ها بوده و هرگونه ضرر و زیان وارده از این ناحیه به مشتریان، به عهده آنها است.» اما مدیران بانک‌ها معتقد هستند بانک عامل ایجاد فیشینگ نیست و باید مصادیق دیگر را هم در این اتفاق درنظر گرفت.

اما آیا اگر مشتریان بانک‌ها متضرر شوند، مقصر اصلی بانک‌ها هستند و چون بانک‌ها شبکه امنیتی خود را ارتقا نداده‌اند باید نسبت به پرداخت خسارت اقدام کنند؟ برای پاسخ دادن به این سوال و احتمالات گفته شده گفت‌وگویی با محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار داشتیم که در ادامه می‌خوانید.

در دنیا مفهومی به‌نام رمز دوم وجود ندارد

جمالی موافق اجرای رمز دوم پویا نیست. به نظر او در حال حاضر ابزارهای کارت در جایگاه خودش استفاده نمی‌شود و همین امر باعث شده آمار فیشینگ بالا برود. او می‌گوید: «با اجرای این کار باز هم بدعت روی بدعتی دیگر گذاشته می‌شود و یک ریسک طراحی و سیاستگذاری غلط اداره نظام‌های پرداخت بانک مرکزی تبدیل به هزینه سنگین برای بانک‌ها و در نهایت اقتصاد کشور خواهد شد.»

او توضیح می‌دهد: «در دنیا رمز دوم ثابت وجود ندارد و کارت‌ها دارای یک رمز ایستا ۴ یا ۶ رقمی و همچنین کد ۳ رقمی CVV هستند و در بعضی از مواقع اصلاً رمز وارد نمی‌شود. رمز یک‌بار مصرف در شرایط خاص و برای دسترسی به حساب مورد استفاده قرار می‌گیرد یا در پرداخت‌های غیر حضوری از شیوه‌هایی مانند 3D Secure ویزا یا مسترکارت بهره می‌برند که در حقیقت مسئولیت پردازش تراکنش را از دوش بانک صادرکننده کارت یا پذیرنده برداشته و برعهده پردازشگر ثالث مانند ویزا یا مسترکارت می گذارد. همین موضوع منافع زیادی برای بانک‌ها دارد و از طرفی باعث می‌شود که هزینه ریسک از مشتری دریافت شده و در قالب بیمه‌های پوشش‌دهنده ریسک در مواقع لزوم جبران خسارت شود.»

او ادامه می‌دهد که با ایجاد APIها و دادن درگاه‌های پرداخت به شرکت‌ها در واقع این امکان را به‌وجود آورده‌ایم که اطلاعات محرمانه مربوط به صادرکننده در سمت پذیرنده ناامن، بدون هیچ نظارت درستی افشا شود و تازه مسئولیت این کار را بر عهده بانک‌ها می‌گذاریم، این در حالی است که در دنیا ریسک به هیچ وجه سمت بانک نمی‌رود تا تبدیل به هزینه بر بانک‌ها شود، بلکه ریسک سمت پذیرنده است و همانطور که پذیرنده و فروشنده در صورت گرفتن اسکناس جعلی خودش متضرر می‌شود، در مورد پذیرش کارت هم لازم است فرآیند درست احراز هویت را انجام دهد تا متضرر نشود.

جمالی با اشاره به اینکه وقتی طرح «دادن درگاه به فین‌تک‌ها و شرکت‌های جدید» پیش آمد این موضوع به شدت از طرف اینجانب مورد انتقاد قرار گرفت، توضیح می‌دهد: «یک درگاه که حتی یک‌صدم درصد تراکنش‌های روزانه بانک‌ها را می‌گیرد می‌تواند به سادگی اطلاعات کارت‌ها را ذخیره کند و با جابه‌جایی بین حساب‌ها در سیستم بانکی اگر دزدی نکند، حداقل اختلال ایجاد کند.»

اکنون یک فساد سیستماتیک توسط بانک مرکزی به‌وجود آمده که لازم است رئیس کل جدید به‌جای حمایت از رمز پویا و توییت کردن علیه بانک‌ها، مسائل و مشکلات 10ساله نظام‌های پرداخت را ریشه‌یابی و برطرف کند. کارت نه در مورد خرید و نه در مورد انتقال وجه به این صورت در هیچ جای دنیا استفاده نمی‌شود. مشکلات کارمزد در خرید و مشکلات طراحی نادرست کارت‌به‌کارت که قبل از تسویه بانک‌ها به‌صورت آنی جابه‌جا می‌شود کم بود که اجازه به فعالیت شرکت‌های پرداخت در کارت‌به‌کارت داده شد و الان هم می‌بینیم که راهکار جدیدی با عنوان رمز یک‌بارمصرف با ده‌ها مساله فنی و کسب‌وکاری مطرح می‌شود.

محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار

کاهش سرعت پرداخت و پذیرش ریسک‌های پرهزینه

به‌گفته جمالی سیستم متمرکز بر پیامک برای رمز دوم پویا علاوه‌بر اینکه هزینه دوباره‌ای را به صنعت بانکداری تحمیل می‌کند، سرعت پرداخت را نیز کاهش می‌دهد و ایجاد صف می‌کند. این صف هم در کسب‌وکارها و هم در زیرساخت‌های بانکی ایجاد می‌شود. ما اکنون در شرایطی هستیم که تراکنش‌ها در برخی بانک‌ها کمتر از صد میلی‌ثانیه تا 500 میلی ثانیه صورت می‌گیرد و اگر موضوع رمز یک‌بار مصرف با سیستم متمرکز و یا جداگانه بانک‌ها مبتنی بر پیامک اجرا شود، تمام تراکنش‌ها باید منتظر بمانند و زیرساخت کنونی شتاب، شاپرک و بانک‌ها به هیچ‌وجه نمی‌توانند چنین حجمی از تراکنش‌ها را نگه دارند.

جمالی با بیان اینکه بیش از ۸۰ درصد تراکنش‌های ما در کارت‌خوان زیر ۲۵ هزار تومان است و لزومی به راه‌اندازی این سیستم وجود ندارد، می‌گوید: «راه‌حل این است که نظام‌های پرداخت بازنگری شود و پرداخت از بانک به گونه مناسب جدا شود. مشکل ما این است که اگر از کارت بانکی استفاده می‌کنیم، ریسک را به صادرکننده که همان بانک‌ها هستند، می‌دهیم و می‌گوییم باید درصورت رخ دادن فیشینگ به کاربر خسارت بدهند.»

او ادامه می‌دهد: «این در حالی است که کاربر باید مواظب اطلاعات خودش باشد و بر روی هر درگاهی اطلاعات خودش را وارد نکند. دادن خسارت توسط بانک‌ها و نبود قانون درست باعث می‌شود که یک بازی ناپایدار شکل بگیرد و به علت نبود قانون درست در یک بازه کوتاه منابع زیادی از بانک‌ها به بهانه مقصر بودن بانک‌ها بر طبق شکایت‌های صورت گرفته از بانک‌ها پرداخت شود، در حالی که مقصر اصلی نظام‌های پرداخت و بانک مرکزی است که طراحی درست انجام نداده‌اند و ابزار سنتی سکه و اسکناس را برای پرداخت‌های خرد تضعیف کرده‌اند و همچنین با مدل کارمزد نادرست باعث شده‌اند که کیف پول هم در جایگاه خودش قرار نگیرد و تمامی تراکنش‌ها به صورت برخط و با اتصال مستقیم به حساب صورت گیرد. با همین فلسفه که بانک‌ها مقصر هستند، تاکنون 85 هزار پرونده درباره سرقت از حساب‌ها گزارش شده است و این روند به طور مسلم افزایش خواهد یافت.»

پرداخت 15 هزار میلیارد تومان از سوی بانک‌ها، راه‌اندازی نکردن کارت‌های اعتباری،کیف پول، تضعیف سکه و اسکناس از جمله معضلاتی است که نظام پرداخت با آن گریبانگیر است و جمالی به آنها اشاره می‌کند.

او می‌گوید: «در اجرای رمز دوم یک‌بار مصرف بحث اصلی ما در رمز است نه در مبلغ و با تعیین سقف خاصی برای تراکنش‌ها برای انجام با استفاده از رمز یک‌بار مصرف هم مشکل از بین نمی‌رود. وقتی رمز ایستا برای پرداخت‌های خرد شناسایی شود، به حساب دسترسی پیدا و این قضیه منجر به افزایش سرقت‌های اینترنتی می‌شود. از سوی دیگر همانطور که گفتم درصد تراکنش‌های بالای 500 هزار تومان بسیار کم و حدود دو درصد است و تراکنش‌های بالای صد هزار تومان حدود 10 درصد است. پس این موضوع که رمز دوم پویا برای تراکنش‌های بالای 500 هزار تومان فعال شده تأثیر زیادی در کم شدن ندارد و فقط باعث می‌شود که در هر بار حمله مبلغ کمتری از حساب کسر شود.»

جمالی معتقد است که این موضوع باید از ریشه حل شود و راهی که دنیا رفته است را برویم. دنیا به خوبی این مسائل را مدیریت و سازماندهی کرده است و الگوهای خوبی حتی به‌صورت وطنی در دنیا پیاده‌سازی شده است. حتی جاهایی نزدن رمز خیلی بهتر از این است که رمز زده شود و دسترسی به حساب صورت گیرد.

او با بیان اینکه مشکل امنیت از طریق اجرای رمز یک‌بار مصرف دوم حل نمی‌شود، بلکه مشکلات دیگری را نیز به‌وجود می‌آورد، توضیح می‌دهد: «در نهایت این کار یک ریسک که شاید مبلغش خیلی زیاد هم نباشد تبدیل به یک هزینه بالا برای سیستم بانکی می‌کند. به‌عبارتی آنچه من درک کرده‌ام این است که قراردادهایی در زمینه رمز یک‌بار مصرف بین شرکت‌های حاکمیتی و یکی دو شرکت دیگر وجود دارد که آن قراردادها مثل خیلی از قراردادهای دیگر و پروژه‌های دیگر مانند شاپرک، نه تنها دردی را درمان نمی‌کند بلکه هزینه بیشتری را به شبکه بانکی و اقتصاد کشور وارد می‌کند.»

تا زمانی‌که بانک مرکزی به‌جای نظارت و رگولیشن وارد بازی شده، دست شرکت‌های حاکمیتی باز است و درست طراحی نمی‌کند و هزینه‌های طراحی‌اش را با زور بانک مرکزی به بانک‌ها تحمیل می‌کند. ما شاهد شکل گرفتن چنین پروژه‌های بی‌ثمری هستیم که به جز ضربه به اقتصاد کشور و در نهایت بالا بردن هزینه تمام شدن پول و گردش پول در شریان‌ها و مویرگ‌های اقتصاد کشور نتیجه‌ای در بر نخواهد داشت.

محمدرضا جمالی، مدیرعامل شرکت نبض‌‌افزار

او پیشنهاد می‌دهد که علاوه بر منتقل کردن ریسک سمت پذیرنده و دارنده کارت می‌توان با قانون درست جلوی خیلی از دزدی‌ها و سو استفاده‌ها را گرفت. به‌هرحال تراکنش باید بین حساب‌ها جابه‌جا شود و پیدا کردن و شناسایی شخص خلاف کار از طریق حساب کم هزینه‌تر از این فعالیت‌هاست. قانون برای جرم صورت گرفته هم می‌تواند جزای مناسب تعیین کند که ریسک کنترل شود و شاهد افزایش سو استفاده‌ها از اطلاعات کارت‌ها نباشیم.