رمز دوم پویا؛ فیض اجباری

وحید صیامی، کارشناس اقتصاد، ماهنامه عصر تراکنش شماره 29 / شش سال از زمان آخرین سمت اجرایی من در صنعت پرداخت الکترونیکی می‌گذرد؛ ولیکن ارتباط من با این صنعت قطع‌ناشدنی است، اندکی بعد از ورود به این عرصه و دنیای کار، دریافتم که مشکلات اساسی و کمبودهای زیرساختی در دنیای بانکداری نیز مشابه با بقیه بخش‌های اقتصادی برقرار است و اتفاقاً بهره‌مندی بیشتر این صنعت از محصولات فناوری اطلاعات چه‌بسا جنبه مخفی نواقص را زیادتر و درک نیاز را از سوی کنشگران این عرصه دشوارتر کرده است.

در این صنعت نیز این شعار عامیانه معتبر بود که «بی‌سوادی این مملکت را به نابودی کشانده است». این‌گونه شد که با خود پیمان بستم که لحظه‌ای از خواندن و نوشتن در این عرصه دست نکشم و فهمیدن و فهماندن عمیق موضوعات و مسائل را مبنای ارتباطات خود با دیگران قرار دهم. هرچند اندازه تلاش‌های من با آنچه باید و شاید، حکایت کوه و کاه است؛ ولیکن بر راهی که انتخاب کرده‌ام ثابت‌قدم هستم.

چندی پیش از خبرها و وب‌سایت‌ها و صحبت با چندی از مدیران صنعت در جریان موضوع رمز دوم پویا قرار گرفتم و خصوصاً اینکه برخی آمارهای صنعت پرداخت که متأثر از این پروژه می‌شوند را مرور کردم.

آزرده شدم و وجود مشکل را واضح دیدم، آمارها تکان‌دهنده و تصور آینده برایم حکایتی از یک طنز خاص گزنده داشت؛ موضوع رمز دوم پویا ضمن اینکه محتوایی قابل انتقاد دارد، در یک سطح فراتر که صنعت را بنگریم، رخدادهای اخیر حول محور رمز دوم پویا، در واقع آخرین برونداد چرخه‌ای مخرب و تکرارشونده است که از سرآغاز بحث پیوند کامپیوتر با بانک، به راه افتاده، تاکنون ادامه داشته و باید متوقف شود.

بخشی از آن معضلی که عوامانه بی‌سوادی خواندمش، بی‌سوادی عاطفی ـ هیجانی من، شما و دیگر منتقدان بود که در این سال‌ها، با بیان و تشریح مشکلات، کام همه را تلخ کردیم و مشکلات نیز قبل از توضیح و تشریح ما بودند و بعد از آن هم باقی ماندند.

قطع و یقین انتقاد به همراه ارائه راه‌حل موثرتر بوده و افق روشن‌تر و امیدواری بیشتری به حل مشکلات را باعث می‌شود. برای توقف آن چرخه معیوب، باید آن را دقیقاً شناسایی کنیم؛ خصوصاً آنکه خیلی‌ها وجود آن را چه‌بسا درک نکرده و تشخیص نداده باشند.

---

دو بعد توسعه و ملزومات آن

---

به‌عنوان مطلع ورود به بحث، بپذیریم که زاویه دید مرسوم در میان مخالفان و معترضان به تصمیمات بانک مرکزی ناکاراست؛ اساساً محورها و ابعاد حاکم بر مساله را نباید سواد و بی‌سوادی، حسن‌نیت و سوءنیت تصمیم‌گیران ترسیم کرد.

به باور دکتر رنانی به‌طور عمومی تلاش برای دستیابی به وضعیت مطلوب در تمامی عرصه‌های جامعه را ذیل گفتمان توسعه صورت‌بندی می‌کنند. توسعه دو بعد دارد؛ بعد اول توسعه همان مدرنیزاسیون (نوسازی) و بعد دیگر مدرنیته (نوگرایی) است. توسعه یک کشور به فعلیت‌رسیدن این دو جنبه (مدرنیزاسیون و مدرنیته) به همراه هم و به‌صورت متوازن است.

بعد اول توسعه، مدرنیزاسیون پیشرفت‌هایی فنی و اقتصادی و فیزیکی را شامل می‌شود که به واسطه آن، امکانات مادی به‌وفور در جامعه تکثیر می‌شوند و سطح رفاه عمومی مردم افزایش پیدا می‌کند. این بعد از توسعه، مسیر غلبه بر محدودیت‌های طبیعی است، برای زندگی ما رفاه و راحتی می‌آورد و دستاوردهای آن رشد و پیشرفت اقتصادی است.

بعد دوم توسعه، مدرنیته است که به‌عنوان لایه فکری ـ فرهنگی و کیفی مطرح است که در آن الگوهای فکری، روانی الگوهای فرهنگی و روابط و روحیات ما تغییر می‌کند و نوگرایی در آنها رخ می‌دهد. مدرنیته باعث می‌شود تا روابط ما کم‌هزینه‌تر شده و رضایت و خشنودی ما افزایش یابد. بدون مدرنیته نمی‌توانیم توسعه پیدا کنیم و آنچه رخ خواهد داد، رشد و در بهترین حالت پیشرفت اقتصادی است.

دانش رهاشده
در ایران عمده علوم وارداتی است و در نهادهایی نظیر مدرسه/دانشگاه و بیمارستان به میزان محدودی تولید شده و جریان اقتصادی پیرامون آن تقریباً وجود ندارد. به‌علاوه دانش نیز رها شده است، صاحبان و مدیران شرکت‌های ایرانی اغلب هیچ ارتباطی بین کسب‌وکار خود و تولید دانش، انباشت و نگهداشت آن نمی‌بینند.

یکی از ملزومات توسعه، وجود دولت مدرن است و دولت مدرن یعنی دولتی که حاکمیت آن بر اساس قانون، قراردادهای اجتماعی، دموکراسی و… است؛ اما دولت‌های ما هنوز در مرحله پیشامدرن هستند و هنوز بخش بزرگی از مناسبات در کشور ما خارج از قانون است.

به‌علاوه برای توسعه باید سرمایه انسانی داشته باشیم که دانش و تجربه دارد و بتواند خلق ارزش کند؛ به عبارت دیگر نیروی انسانی باید دانش آشکار و دانش ضمنی را فراگرفته باشد.

نیروی انسانی ما با بی‌انگیزگی و بدون برنامه‌ای روشن و هدفمند، در دانشگاه‌ها اندکی در معرض دانش آشکار قرار می‌گیرد، اما از دانش ضمنی محروم است؛ در تربیت نیروی انسانی تنها بعد دانش آشکار را در نظر گرفته‌ایم و روح افراد را برای توانمندی‌هایی که باید در خلق ارزش به کار گیرند، تجهیز نکرده‌ایم. (محسن رنانی)

به‌علاوه «کسب‌وکار مدیریت بازار کار» به معنای مدیریت عرضه و تقاضای نیروی انسانی به‌شدت ناکارا است؛ به‌طور مثال تقاضای نیروی انسانی متخصص در حوزه ICT در همه شرکت‌های صنعت بانکداری و پرداخت به چشم می‌خورد؛ در سوی دیگر میدان، فارغ‌التحصیلان رشته کامپیوتر، در میان رشته‌های دانشگاهی، با بیش از 500 هزار نفر رکورددار بیکاری هستند.

علم مورد استفاده و قوانین حاکم بر موجودیت‌ها در تجهیزات الکترونیکی آشکارا و در دسترس همگان است و بدان Electronic Science می‌گویند و مورد استفاده تمام شرکت‌هاست؛ منظور از دانش تاکتیکال آن چیزی است که در تداوم علم الکترونیک، در طول سال‌ها به‌صورت نظام‌مند انباشت شده و در شرکت سامسونگ موجب خلق گلکسی نوت و در کمپانی اپل موجب خلق آیفون می‌شود.

رتبه رشد علمی ایران در سال‌های اخیر خیره‌کننده بوده، ولی کسی به دانش توجهی نمی‌کند. شاید این سؤال برای خواننده پیش بیاید که چرا بر چنین موضوعی تاکید می‌کنم و اثر آن بر توسعه چیست؟ اجازه بدهید تا اعداد سخن بگویند.

اسناد رسمی دولت کره جنوبی بیان می‌کند که موضوع محوری توسعه کسب‌وکارها در این کشور تمرکز بر تولید و انباشت دانش تاکتیکال بوده است؛ حد فاصل سال 1333 شمسی تا 1392، کره جنوبی از دومین کشور فقیر دنیا با مملکتی کاملاً ویران‌شده از جنگ به یکی از بزرگ‌ترین اقتصادهای جهان تبدیل شده و در این راه سرمایه‌گذاری‌های صورت‌پذیرفته به قیمت‌های جاری رقمی حدود 710 میلیارد دلار بوده است.

در همین فاصله میزان درآمد ارزی کشور ایران 3600 میلیارد دلار بوده و اقتصاد ایران سقوط عظیم و عمیقی را تجربه کرده و در حال حاضر یکی از ناکارآمدترین محیط‌های کسب‌وکار در دنیا به همراه خیل عظیم شرکت‌های زیان‌ده و ناکارآمد است.

خلئی عمیق
موضوع اساسی تفاوت Tactic Knowledge با مهارت (Experience) – کسب مهارت از راه تجربه- است؛ در شرکت‌ها و نهادها و ارگان‌های ایرانی خلاء عمیقی وجود دارد و در واقع سازوکار موجود در برخی شرکت‌ها که بر محور مهارت‌آموزی است، مناسب برای موضوع توسعه نیست.

---

دانش سازمان‌نیافته و تبعات آن

---

جامعه در واقع اجتماعی از افراد است که با قبول «نقش» در «نهاد» های مختلف حضور یافته و با دیگران تعامل دارند. منظور از نهادهای اجتماعی خانواده، پرستشگاه، مدرسه/دانشگاه، زندان، بیمارستان، بازار، نیروهای مسلح، شرکت و غیره است. هر فرد دارای چندین نقش در چندین نهاد است؛ مثلاً در نهاد خانواده نقش همسر، در نهاد شرکت، نقش مدیر و در نهاد دانشگاه نقش مدرس را همزمان بر عهده می‌گیرد.

در نهادی چون شرکت یا هر نوع دیگری از واحدهای کسب‌وکار، افراد بر اساس «مؤلفه محوری قدرت»، تحت یک ساختار مشخص و در چیدمان چارت سازمانی مستقر شده و نقش «سمت سازمانی» را برای انجام وظایف تخصصی محول‌شده برعهده می‌گیرند. در ایران در نهادها، ارگان‌ها، بخش‌های مختلف حاکمیت، شرکت‌ها و واحدهای کسب‌وکاری، هیچ چیدمان و آرایشی بر اساس مؤلفه محوری مدیریت دانش تاکتیکال و فراتر از آن مدیریت دارایی‌های فکری و نامشهود وجود نداشته و نقشی وجود ندارد.

دارایی‌های نامشهود به سه دسته سرمایه مشتری، سرمایه انسانی و سرمایه ساختاری تقسیم می‌شوند. در نبود مدرنیته و بنابراین عدم استفاده از نظام‌ها و روش‌های ساختارمند، نحوه انجام‌دادن کارها تنها در ذهن کارکنان سازمان بوده و ایشان کسب مهارت می‌کنند؛ بنابراین دانش به‌صورت غیرساختاریافته و غیر قابل تفکیک از سرمایه انسانی سازمان بوده، با ترک آنها سازمان دچار خلاء دانشی و از دست رفتن اسرار می‌شود، در حضور مدرنیته و کارکنانی با ذهنیت مدرن، اتکا به ساختارمندی و مستندسازی، موجب جذب دانش انجام کارها، تفکیک مهارت از کارکنان ماهر و انباشت نظام‌مند و فزاینده آن می‌شود که در واقع فرایند تولید و انباشت دانش ضمنی است که بخشی از سرمایه ساختاری سازمان محسوب می‌شود.

اگر امروز سهم غالب ارزش شرکت‌های بزرگ، از نوع دارایی‌های نامشهود است؛ این ارزش نه از محل سرمایه انسانی ـ که کارکنان آن دائماً جابه‌جا و جایگزین می‌شوند ـ که از محل سرمایه ساختاری و سرمایه مشتری ایجاد شده است. حال می‌توان گفت که آنچه به نام بی‌سوادی ویرانگر از آن یاد می‌کنیم، دقیقاً چه ماهیتی دارد و فقدان چه چیزی است که این‌گونه مخرب عمل می‌کند.

---

تسریع نقدینگی موجود به جای تزریق نقدینگی

---

مساله امروز صنعت پرداخت الکترونیکی ایران؛ وجود خلأهای ذکرشده در بالا در بین اعضای صنعت و بانک مرکزی و شاپرک است. شاید این حرف برای برخی گران آید و آن را انتقاد تخریبی تلقی کنند، ولیکن توسعه با تعارف و اقناع حداقلی و کنار گذاشتن برخی اصلاحات محال است که میسر شود.

اعداد سخن می‌گویند؛ تأسیس صنعت پرداخت الکترونیکی در کشورهای جهان باعث اثرات شگرفی شده، همچنین ضمن تأثیر مستقیم و پررنگ بر توسعه تجارت الکترونیکی و الکترونیکی‌شدن کسب‌وکارها، صرفه‌جویی‌های عظیم را سبب شده است. اجازه بدهید از زاویه خاص و مدرنی به این صنعت نگاه کنیم.

در مباحث بخش پولی اقتصاد، ما با سازوکار Money Supply سروکار داریم، در واقع چشمه‌ای را در کف استخر نقدینگی کشور می‌توان تصور کرد که با جوشش خود، علاوه بر افزودن به آب استخر، موجب شکل‌گیری جریانات آب در سطح و در بدنه نقدینگی می‌شود.

چرخاندن حجم عظیمی پول در سطح اقتصاد بین اعضای اقتصاد جامعه و افزایش مداوم میزان نقدینگی، نشات‌گرفته از مبادلات بین اعضا در بخش حقیقی اقتصاد است و جریانات نقدینگی کشور و خلق نقدینگی جدید باید موزون و هماهنگ با مبادلات باشد.

برای تحقق این مطلوب باید فعل جابه‌جایی پول در مقام واسطه ارزش مبادله راحت و روان صورت پذیرد تا اقتصاد تحت کنترل و تورمی اندک باعث تحرکات بیشتر اقتصادی شود. علاوه بر مبادله ارزش‌های گوناگون اقتصادی با پول، پول به‌عنوان ارزان‌ترین روش ذخیره ارزش اقتصادی نیز مورد استفاده است.

مهار خلق نقدینگی جدید، ابزار مؤثر مهار تورم است؛ از سوی دیگر نیاز به پول و توانایی بنگاه‌های اقتصادی به تأمین مالی از منابع بیرون بنگاه، لازمه رشد اقتصادی است. کشورهای پیشرفته یک ویژگی سعادتمندساز اقتصادی را به‌خوبی در خود پرورده‌اند؛ به‌جای افزایش نقدینگی از طریق تزریق پول پرقدرت، نقدینگی موجود را سریع‌تر به گردش درآورده و خلق اعتبار از طریق بانک‌های تجاری را تقویت می‌کنند.

صنعت پرداخت باید رسالتی تاریخ‌ساز را در تاریخ توسعه یک کشور ایفا کند. خلاصه جان کلام آنکه صنعت پرداخت الکترونیکی می‌تواند بخش بزرگی از مسئولیت گردش نقدینگی را پذیرفته و بر آن اساس عمل کند.

سرمایه ساختاری
در بیانی ساده سرمایه ساختاری مجموع دارایی‌های نامشهود سازمان، پس از ترک کارکنان است و بخش اعظم آن دانش ضمنی مدون شده است که مرتباً در حال رشد و بازتوزیع است.

ولی اکنون اوضاع چگونه است؟ چه کسی در سطح کلان به این مقولات اندیشیده است؟ افراد با دغدغه فکری در بخش اقتصاد و توسعه، باید به قدری زیاد باشند تا بتوانند گفتمان ساخته و بعد از آن توفانی شوند بر سر ساختارهای کهنه و ضدتوسعه در صنعت پرداخت الکترونیکی و بانکداری.

بخشی عظیمی از تولیدات اقتصادی در اتحادیه اروپا، توسط بازار سرمایه یا بازار پول تأمین مالی می‌شوند. یک نمونه شایسته از توسعه؛ بهره‌گیری از ظرفیت‌های نظام‌های پرداخت الکترونیکی برای گردش راحت‌تر و در نتیجه سریع‌تر و بیشتر نقدینگی است تا حجم بیشتری از تأمین مالی را میسر سازد.

صنعت پرداخت الکترونیکی کشورهای اروپایی به‌عنوان یک صنعت که مخاطبانی در کوچه و بازار دارد، مورد بهره‌برداری قرار گرفته و با بستر شبکه یکپارچه SEPA به هم پیوستند؛ تا ابزاری برای صادرات بسیار راحت‌تر کسب‌وکارها و سیالیت بیشتر سرمایه در سراسر اتحادیه باشند.

ابتدا Credit Transfer باعث شد که بنگاه‌ها پرداخت گروهی با ترکیبی از چندین بانک در چندین کشور داشته باشند. بعدها Direct Debit ایجاد شد و با Remote Deposit Capture تکمیل شد؛ بنگاهی در اسپانیا، چک صادره مشتری متعلق به بانک ناشناس برایش در کشور سوئد را دریافت می‌کند، می‌تواند اصالت و تقلب را تشخیص دهد، با موبایل Dematerialize شود؛ بدین معنا که اطلاعات چک تحریری به‌صورت الکترونیکی در اپ موبایل ایجاد شده و نیازی به حرکت چک بین شخص به بانک و انتقال‌های چندباره، بین اتاق‌های تصفیه (کلر) نیست.

---

چرا این‌گونه نمی‌اندیشند دولتمردان ما؟

---

به یاد بیاورید که در ابتدای این مقاله، بیان شد که در جوامع غیرمدرن، بسیاری از تصمیمات به‌درستی گرفته نمی‌شوند؛ درون حاکمیت، برخی تصمیمات در تضاد با قواعد و قوانینی است که خود وضع کرده‌اند. بررسی یکی از این تضادها، می‌تواند بیانگر مطالب سودمندی در رابطه با شکل و فرم اشتباه حاکمیت در این صنعت باشد.

استاندارد جهان‌شمولی برای تعریف و راهبری زیرساخت‌های حیاتی وجود ندارد. ولیکن استانداردی در سطح کشورهای OECD و قلیلی استاندارد دیگر مورد استفاده برخی از کشورهای بزرگ موجود هست. در تمام این استانداردها خدمات بانکی جزء زیرساخت‌های حیاتی محسوب می‌شود. بنابراین مسائلی از مقوله امنیت ملی و پدافند غیرعامل بر صنعت بانکداری عارض می‌شود.

خلق سرسام‌آور نقدینگی در بازار ایران
در اتحادیه اروپا، اندازه بازار سرمایه (سهام و بدهی و مشتقه) به‌طور میانگین در سطح کشورهای عضو، 730 درصد نقدینگی کشور بوده است. در ایران خلق سرسام‌آور نقدینگی، اقتصاد ما را از بن و بیخ سوزاند، ولیکن بخش زیادی از نقدینگی به چرخش درنیامده و اندازه بازار سرمایه ایران کمتر از 100 درصد نقدینگی است.

کمیته زیرساخت‌ها و پرداخت الکترونیکی بانک جهانی تصفیه، در تلاش برای خلق ادبیات لازم برای انعکاس دغدغه‌های امنیت ملی در زیرساخت‌های حیاتی، در زمینه سازوکارهای EFT است.

بر این اساس، به حکم حفاظت از زیرساخت‌های حیاتی و توانمندسازی این کسب‌وکار، سیستم‌ها و شبکه‌های در سطح یک کشور به دو دسته تقسیم می‌شوند؛ SIPS و PIPS. سیستم‌های مشمول تعریف SIPS باید یک نظام‌نامه 14 قسمتی را از جهت پاسخ به دغدغه‌ها رعایت کرده و برای PIPS ها هفت مورد از آن 14 مورد چنانچه رعایت شوند، کافی است.

به‌طور واضح و شفاف نهادهای متمرکز بر محور تصفیه (Clearing) باید آزادانه و پرتعداد و در فضای تعاملات و همکاری‌ها و رقابت‌های گروهی، توسط بخش خصوصی تأسیس شوند. به خاطر تعداد زیاد آنها، اندازه ارزش جمع‌شده در یک مرکز تصفیه هیچ‌گاه از شدت بزرگی مستعد بحران امنیتی نخواهد بود.

در مراکز تصفیه داده‌های پول با سرعت زیاد و بدون نیاز به خود پول جابه‌جا می‌شوند و در انتهای دوره، حسب معاملات متقابل اعضا، وجوهی، تهاتر مجاز بوده و در انتهای دوره مبالغ کمی برای تسویه بین طرفین نیاز خواهد بود.

از دیگر سو، سیستم‌های مبنی بر محور تسویه (Settlement) را باید به یک یا دو مورد کاهش داد و حاکمیت آنها را در دست گیرد. سیستم کاملاً متمرکز و انحصاری برای تسویه مستقیم، تحت تراکنش‌های مستقل، مرتباً باعث شکل‌گیری یک وضعیت حقوقی می‌شود که رسمی و تحت حمایت قانون و حاکمیت است و سقوط تعهدات طرفین معاملات، به‌طور کامل، غیرقابل انکار و غیرقابل برگشت می‌شود.

تراکنش‌های این سامانه که باید آن را به قلب صنعت بانکداری تشبیه کرد، «قطعیت» در معاملات، از طریق سقوط تعهدات و غیرقابل برگشت شدن آنها، وضعیتی است که توسط این سیستم ایجاد می‌شود و تکرار مداوم آن در سطح اقتصاد همچون یک موج حرکت می‌کند و در بخش‌های اقتصادی حس می‌شود، حس قطعیت یعنی همان حس امنیت؛ از یاد نبریم که غایت سازوکارهای امنیتی ایجاد حس ایمنی داشتن است.

این حس قطعاً با انجام تراکنش‌های بالای 15 میلیون مشتریان در سیستم ساتنا قویاً تولید نمی‌شود؛ بلکه تسویه مبالغ تهاتری همکاری‌های متنوع و تودرتوی نهادهای بازار پول حول مراکز تصفیه است که در سیستم تسویه‌حساب آنی متمرکز کشور (RTGS) ایجاد اثر می‌کند و می‌توان همچون تعداد معاملات بازار بورس که برای بازار سرمایه یک شاخص مهم محسوب شده و نقش‌آفرینی می‌کند، در اینجا نیز کارکردی مشابه را انتظار داشته و شاخص تعداد معاملات کلان نهادهای بازار پول را سنجید.

در نهایت این‌گونه بگویم که از منظر زیرساخت‌های حیاتی کشور، امنیت ملی اقتضا می‌کند که شبکه‌های همکاری بین اعضای بازار پول تحت مدل متمرکز و توپولوژی ستاره‌ای فقط یک بار و در یک جا استفاده شود.

تفاوت ما با آنها
در اروپا با وجود راه‌اندازی سامانه RTGS در تمامی کشورها، ایجاد بسترهای سطح قاره نظیر TARGET 1، TARGET 2، EUROCLEAR، شاهد هستیم که اتاق‌های تصفیه قدیمی با قدمتی بیش از 100 سال همچنان مشغول به فعالیت هستند و کاهش آنها (نه بسته‌شدن) به حکم دولت که ناشی از اقتضائات و رقابت اقتصادی است. این را مقایسه کنید با اقدام بانک مرکزی در تعطیلی اتاق تصفیه (کلر) بین‌بانکی که مالکیت آن با اعضایش بود.

---

مورد بانک لمن برادرز

---

دیگر بس است، اقتصاد ایران بیش از این «مالی‌شدن» و کنده‌شدن ارتباط بین بخش پولی اقتصاد و بخش حقیقی اقتصاد را برنمی‌تابد؛ تا قبل از اینکه آن روزی که در آتن و نیکوزیا طلوع کرد، در تهران طلوع کند، باید اقتصاد کشور را نجات داد.

25 سیستم بین‌بانکی آن روز که سر برسد، کوچک‌ترین غائله هجوم بانکی نتیجه فاجعه‌باری خواهد داشت. این‌گونه فکر نکنید که در غائله هجوم بانکی کارکنان بانک قرار است، انبوهی از مشتریان وحشت‌زده را راضی و منصرف از برداشت پول‌های سپرده خود بکنند و چه بکنیم که کارکنان کم نیاورند.

آنچه من در تلویزیون از هجوم بانکی مردم به «بانک لمن برادرز» در قلب نظام سرمایه‌داری دنیا و با بهره‌مندی کارکنان از بهترین مزایا و حقوق بیکاری، دیدم، آن بود که کارکنان بانک جلوتر از مردم مشغول غارت بانک و حتی کندن داکت‌ها و کابل‌های بانک بودند و این کار را در عوض حقوقی که آخر آن ماه دیگر نخواهند گرفت، انجام می‌دادند.

---

فیض اجباری

---

مورد عجیب پرونده پروژه رمز دوم پویا و تأسیس سیستم متمرکز حریم؛ در این است که در پروسه یافتن پاسخ برای دغدغه مطرح‌شده از جانب دادستانی، حل مساله صرفاً با اتکا به مهارت – یا با اغماض دانش ضمنی- و تجربه‌های قبلی شرکت خدمات انفورماتیک صورت پذیرفته است.

درباره اینکه میانگین بازه زمانی از طراحی و تحلیل یک سیستم متمرکز بین‌بانکی تا روز اتصال آخرین بانک به آن، در تجربیات گذشته به چه مقدار است، آماری منتشر نشده است، ولی من با اندازه‌گیری ضمنی و تقریبی و با قبول میزان خطای زیاد به مقدار کمتر از سه سال رسیده‌ام.

در همین قضیه اقدام بانک به تهیه بستر مثلاً موبایلی برای دریافت رمز پویا و توزیع آن بین تمامی دارندگان کارت چه مقدار زمان‌هایی توسط بانک‌های مختلف صرف شده است؟ این‌گونه زمان‌بندی و این‌گونه پیکربندی اجزای راه‌حل، در واقعیت امر بدین ترتیب است که بانک ملی بیهوده تلاش حداکثری کرد و با زحمت طبق شنیده‌ها پنج میلیون دارنده کارت فعال اپ موبایل را دریافت کردند؛ همه باید به کناری روند و راه را باز کنند، همه بانک‌ها در واقعیت امر به‌اجبار باید از محصول شرکت خدمات انفورماتیک مستفیض شوند.

در مقوله بازاریابی مکرر ظرافت‌هایی در به‌کارگیری دانش لازم است، به حدی که فن بازاریابی را ترکیب هنر و علم می‌دانند. چه بازارگردانی و بازاریابی زشت و زمختی که اشموغان روی جنازه کارآفرینان و ورشکستگان این اقتصاد غلتیده در باتلاق می‌کنند!!! باری اینچنین است که مرگ‌ارزان شده‌ایم.

خواص پول و ضرورت احراز هویت
خواص پول، باعث شده که جذاب‌ترین و بهترین واسطه مبادلات و ابزار ذخیره ارزش باشد، این ویژگی‌ها، دزدی پول را جذاب‌ترین و به‌صرفه‌ترین دزدی‌ها کرده است؛ بنابراین از زمان‌های دور نیاز به سرویس احراز هویت (Authorization) و کنترل و اعطای مجوز بهره‌مندی (Authentication) از هر یک از خدمات بانکی در بانکداری ضروری و مبرم بود.

---

مدیریت ریسک؟!

---

اگر کسب‌وکار کارخانه تولید نوشابه را به‌عنوان نمونه در نظر بگیرید، مدیریت صحیح و هوشمندانه تأمین مواد اولیه و خط تولید، وضعیتی را پدید می‌آورد که این کسب‌وکار با ریسک درون‌زادی مواجه نیست؛ در این کسب‌وکار ریسک‌ها برون‌زاد و سرچشمه بیرونی دارند؛ ریسک سرقت از کارخانه، ریسک وقوع زلزله، ریسک تصادف ماشین توزیع محصولات و… این کسب‌وکار با مشاوره شرکت بیمه، احتمال وقوع چنین ریسکی را کاهش داده، احتمال باقی‌مانده وقوع ریسک را به شرکت بیمه منتقل کرده و بیمه‌نامه تهیه می‌کنند.

در کسب‌وکارهای بازار پول، وضعیت این‌گونه نیست. همان‌طور که پیش‌تر گفته شد، ریسک را نمی‌توان از فرایندهای اصلی کسب‌وکار بنگاه تفکیک کرد و هر مبادله این بنگاه توام با ریسک و در حقیقت انواعی از ریسک‌هاست. مدیریت ریسک، به معنای اتخاذ و اجرای تدابیر لازم در جهت کاهش احتمال وقوع و کاهش اندازه خسارت وارده، ماهیتی پیچیده، تودرتو و به‌شدت تخصصی دارد.

بعد از بحران رکود بزرگ سال‌های 2005 تا 2007، درهم‌تنیدگی غیرقابل تفکیک ریسک از فرایندهای کاری و اهمیت روزافزون مدیریت ریسک، باعث حاکم‌شدن این گفتمان شد که به جای مدیریت فرایندهای کسب‌وکار و توجه به ریسک ممزوج با آنها، در کسب‌وکارهای صنایع مالی، مدیریت ریسک محور اصلی بوده، ممزوج با آن فرایندها مدیریت شوند.

با تجهیز به این نگاه ویژه؛ از منظر مدیریت ریسک می‌توان گفت که روش و الگوی کسب منفعت از محل وقوع تراکنش‌های اینترنتی چنان متفاوت است که وجود میزان شدیدی از ریسک انطباق کاملاً قابل مشاهده است؛ بنابراین در چنین فضایی مخاطبان انتقادات وارده به سامانه حریم و رمز دوم پویا، احتمالاً دو روش و الگوی ارائه و منطق متفاوت را در گفتمان و نوشتارهای انتقادی شاهد خواهند بود.

دو گونه psp
به نظر می‌رسد در فضای تجارت الکترونیکی کشور که همپوشانی زیادی با مقوله تراکنش‌های بدون حضور کارت دارد؛ ارائه خدمات توسط شرکت‌های PSP به فعالان این عرصه در جریان است. فهرست شرکت‌های PSP را می‌توان به نیمه بالایی یعنی شش شرکت دارای سهم عمده بازار و شش شرکت نیمه پایینی با مجموع سهم ناچیز تقسیم کرد.

چنین فضای دوگانه‌ای بسیار نامطلوب است و نهاد قاعده‌گذار و ناظر البته می‌تواند این اختلاف شدید را دستمایه اصلاحات بنیادی قرار دهد. از زاویه‌ای دیگر می‌توان گفت که یکی از دو گروه فوق، در تطبیق با مقررات مشکلات بزرگ و شدیدی دارد.

---

پروسه طولانی یک پیامک!

---

قرار است در وضعیت جدید هر کس که رمز دوم پویای خود را فعال نکرده است، در هنگام انتقال به صفحه پرداخت در اولین تلاش خود برای خرید اینترنتی؛ توسط PSP متولی شناسایی شده، درگاه پرداخت PSP، سرویس راه‌دوری را در سامانه حریم فراخوانی کند، سامانه حریم در مواجهه با این فراخوانی، درگاه مشخصی را در سمت بانک صادرکننده کارت فراخوانی کرده؛ در سمت بانک صادرکننده، دارنده کارت شناسایی شده؛ مکانیسم رمز دوم پویای نخستین فعال شده؛ بانک صادرکننده روی بستر IP سرویس ارسال پیامک را در اپراتور مطابق با شماره موبایل ثبت شده از دارنده کارت در سیستم مدیریت مشتریان (واقع در سامانه کارت یا واقع در سامانه کربنکینگ) فراخوانی کرده، تا SMS Center اپراتور برای وی رمز دوم پویا ارسال کند؛ مشتری متوجه دریافت پیامک شده و با مراجعه به بخش مربوطه در موبایل، متوجه موضوع پویایی رمز دوم شده، کد ارسالی همان رمز دوم پویای این تراکنش بوده و از آن استفاده کند.

پیامک و احراز هویت
استفاده از کانال پیامک برای مرحله‌ای از فرایند احراز هویت مورد استفاده بسیاری از سازمان‌هاست. از سوی دیگر مواردی همچون زیرساخت توزیع‌شده اپراتورها و استفاده از چند SMSC منطقه‌ای، ماهیت Store and Forward پیامک، استفاده گسترده مردم از پیام‌رسان‌ها که موجب شد اپراتورها، شبکه خود را از نظر ظرفیت هدایت داده‌ها ارتقا دهند؛ باعث شده که در رخدادهای بسیاری در بسیاری از سازمان‌ها، شاهد بروز اختلال در ارسال پیامک باشیم.

در معماری سازمانی به‌عنوان روشی مطلوب برای ایجاد نظام‌های پیچیده فناوری اطلاعات، یکی از جنبه‌های سازمان «زمان‌ها/Times» هستند؛ از دیدگاه مالک، زمان‌ها، بازه‌های زمانی خاصی هستند که کسب‌وکار اغلب به‌طور تکرارشونده با آن مواجه می‌شود.

مثلاً در گذشته، یک مثال معروف از زمان‌ها در ادارات پست، ایام ثبت‌نام کنکور بود و تا چند سال پیش در جای‌جای کشورمان، چه زمان‌های بسیاری که در تشکیل صف و حواشی آن هدر می‌رفت.

زیرساخت فناوری اطلاعات با نفوذ در سازمان‌ها، جنبه زمان‌ها را حذف نکرد و هیچ صفی را نتوانست از بین ببرد، بلکه صف‌ها گسترده‌تر و شلوغ‌تر شد و البته با سرعتی بالایی افراد واقع در صف سرویس گرفتند و دیگر اینکه در دنیای مجازی موبایل یا پی‌سی من در صف سرور می‌ایستم و من در موبایل در دست یا نشسته در مقابل صفحه نمایش، معطلی اندکی را حس می‌کنم.

---

موضوع احراز هویت

---

خواص پول، باعث شده که جذاب‌ترین و بهترین واسطه مبادلات و ابزار ذخیره ارزش باشد، در مقابل این ویژگی‌ها، دزدی پول را جذاب‌ترین و به‌صرفه‌ترین دزدی‌ها کرده است؛ بنابراین از زمان‌های دور نیاز به سرویس احراز هویت (Authorization) و کنترل و اعطای مجوز بهره‌مندی (Authentication) از هر یک از خدمات بانکی در بانکداری ضروری و مبرم بود و در راستای تحقق این سرویس، مکانیسم‌های امنیتی مناسبی ارائه شد.

مثلاً همین اواخر شاهد هستیم که مکانیسم احراز هویت در شعب بانک‌ها، منوط به صحت‌سنجی کارت‌های ملی جدید و تطبیق عکس کارت با چهره مشتری توسط کاربر باجه شده است و اعطای مجوز از طریق ثبت درخواست در فرم‌های بانکی توام با درج مشخصات متقاضی و امضا زدن است.

بحث پیرامون احراز هویت و اعطای مجوز ادبیات خاص خود را دارد و دارای محدودیت‌ها و قابلیت‌های خاص خود است. به‌طور نظری روش‌های احراز هویت بر مبنای انتخاب یک، یا ترکیب دو یا هر سه نمونه از گزینه‌های

• چیزی که دارم؛
• چیزی که می‌دانم؛
• چیزی که هستم

است. ترتیب این سه نیز مهم است، خطر دست‌اندازی دیگری از بالا به پایین کاهش می‌یابد؛ خطر خلق مشابه نیز به همین ترتیب کاهش می‌یابد. آشنایی با ادبیات این حوزه باعث می‌شود که افراد با آشنایی با روندهای موجود در این عرصه و نوآوری‌های صورت‌گرفته، از تخریب خلاقانه صورت‌گرفته به وجد بیایند. همچنین می‌توان پاسخی روشن و بسترساز نوآوری‌های بیشتر به دغدغه دادستانی داد.

در مقابل عدم آشنایی به ادبیات این عرصه، باعث می‌شود که درک موضوعات بسیار سخت، کارکردها مبهم، ظن و تردید به نفوذ شدید و در نهایت تصمیمات خطرناک اتخاذ شود.

در دهه 60 میلادی، اختراع ماشین تحویل اسکناس، موضوع احراز هویت از راه دور، بدون حضور کاربر باجه بانک و بر بستر مخابرات را مطرح ساخت. پس از چند تلاش پراکنده، کمپانی IBM اقدام به ارائه راهکار احراز هویت و اعطای دسترسی متوالی و پیوسته بر مبنای داشتن یک کارت پلاستیکی با شیار مغناطیسی حاوی اطلاعات خاص و رمزی چهار رقمی کرد.

نتیجه چندین دهه توالی و پیوستگی احراز هویت و اعطای مجوز حفظ‌شده، تلاش‌ها بر محور ارتقای فناوری کارت بود. در سال 2006، ارائه طرح کارت دیجیتال، نقطه‌عطفی در این حیطه از دانش شد؛ باور قدیمی منتج از راهکار IBM به کناری گذاشته شده، اساس راهکار جدید مبنی بر تفکیک کامل احراز هویت از اعطای مجوز شد.

در نتیجه این روند بود که چندی بعد مثلاً در اپل‌پی و پی‌پال، احراز هویت در سطح گوشی و با اتکا به اثرانگشت صورت گرفت، اعطای مجوز با ارسال اتوماتیک شماره کارت [که می‌توانست فیزیک کارتی هم نداشته باشد] به همراه رمز کارت به صادرکننده سوئیچ شد.

حجم تراکنش بر بستر USSD
حجم قابل توجه چند ده میلیونی تراکنش بر بستر USSD در جریان است؛ به‌علاوه در عرصه پرداخت‌های اینترنتی میانگین ریالی تراکنش‌های یک PSP بالای هفت میلیون ریال و دیگری بالای سه میلیون ریال است، این در حالی است که میانگین ریالی تراکنش‌های دو PSP دیگر ارقام غیرقابل مقایسه با موارد بالا یعنی در محدوده 200 هزار ریال است.

حتی در ایران هم تلاش‌هایی مبنی بر احراز هویت با استفاده از کارت هوشمند ملی و اعطای مجوز از طریق درج شماره کارت توسط کاربر روی معدودی از عابربانک‌ها محقق شد. گام بعدی حرکت از فضای گوشی موبایل به فضای ابری به‌عنوان جایی امن‌تر و مستقل‌تر برای نگهداری داده‌های حساس مرتبط با احراز هویت بود. (HCE)

در سال 2007، پروژه M-Pay در انگلستان نقطه‌عطفی دیگر را رقم زد؛ افراد با مراجعه و احراز هویت دقیق، به‌طور رسمی و با پذیرش مسئولیت، شماره موبایل و شماره انحصاری سیم‌کارت خود را در یک سامانه ملی درج می‌کردند؛ طی این ثبت رسمی، به موجب قانون تجارت الکترونیکی، در یک سامانه اطلاعاتی مطمئن، داده‌ها سامانه منتسب به اصل‌ساز بوده و وی در قبال آنها مسئولیت دارد؛ بنابراین در شبکه پرداخت الکترونیکی، بانک اگر داده‌هایی از سوی سیم‌کارت معرفی‌شده به نام شما دریافت می‌کرد، آن داده‌ها به‌طور غیرقابل انکاری منتسب به شما بودند.

دقت در پروژه EMV Transformation در آمریکا، نکته جالب دیگری را روشن می‌سازد، در وضعیت جدید، یکی از روش‌های مجاز احراز هویت و اعطای مجوز عبارت از روش CHIP and Signature است. منظور از Chip یعنی در دست داشتن کارت (چیزی که دارم). در مورد امضا، در فضای کاغذی امضای شخص در زمره «چیزی که دارم» محسوب می‌شد.

در قانون تجارت الکترونیکی کشورها، امضای الکترونیکی به رسمیت شناخته شده و چهار نوع مجاز برای آن قائل شدند که یکی امضای دیجیتال مبنی بر زیرساخت PKI و دیگری امضای شخص روی Signature Pad تحت سامانه‌های جدید مخصوص بود؛ در این سامانه‌ها، امضا نه به شکل یک تصویر (همانند سیستم‌های کربنکینگ مرسوم)؛ بلکه به شکل یک Object نرم‌افزاری شامل چندین مشخصه، نظیر سرعت چرخش، سرعت حرکت، میزان فشار وارده، تصویر و… بوده، علاوه بر این مجهز به قابلیت Learning Curve فرایند پیر شدن و لرزش دست، لرزش دست در وضعیت اضطراب و… را تشخیص می‌دهند؛ بنابراین جایگاه امضای الکترونیکی به «چیزی که هستم» ارتقا یافت.

---

کهن‌الگوی ناجی

---

تناقضی که در راهکار حریم وجود دارد این است که مبنای محوری صحت فرایند، شماره موبایل ثبت‌شده متعلق به شخص در نزد بانک صادرکننده است؛ از سوی دیگر چندین سال است که PSP ها نیز اقدام به ثبت تناظر شماره کارت و شماره موبایل مشتری کرده، در موارد به‌کارگیری اپ، شماره یکتای سیم‌کارت فرد نیز می‌تواند به‌عنوان یک پارامتر لحاظ شود.

سؤال این است که چرا به شرکت‌های PSP که همگی دارای مقام وکالت از بانک در فرایند احراز هویت و صحت‌سنجی مدارک سجلی در موقع افتتاح حساب هستند، مقام وکالت در احراز هویت نیز داده نشود، تا PSP اگر شماره کارت و شماره موبایل مشتری را متناظر و تأییدشده یافت، احراز هویت را تمام نکند و چنین فرایندی طولانی ادامه یابد.

طراحان سامانه حریم وقتی طرح خود را با روند موجود در دنیا مبنی بر PIN Less شدن روزافزون تراکنش‌ها در تقابل کامل می‌بینند، در ادامه عبارت مخدرگونه که «اینجا ایران است و بومی‌سازی کرده‌ایم» دیگر چه جملاتی در ذهن‌شان رژه می‌رود؟

در سطح خرد و خصوصاً در مواجهه با مشتریان، باید به این امر مهم دقت کرد که امنیت هنگامی کافی است که مجموعه روال‌ها، استانداردها، گواهی‌ها، نرم‌افزارها و سخت‌افزارهای مورد استفاده در نهایت احساس ایمنی را در ذهن مشتری ایجاد و پایدار سازد.

نقطه‌عطفی در شناسایی
در سال 2007، پروژه M-Pay در انگلستان نقطه‌عطفی دیگر را رقم زد؛ افراد با مراجعه و احراز هویت دقیق، به‌طور رسمی و با پذیرش مسئولیت، شماره موبایل و شماره انحصاری سیم‌کارت خود را در یک سامانه ملی درج می‌کردند؛ طی این ثبت رسمی، به موجب قانون تجارت الکترونیکی، در یک سامانه اطلاعاتی مطمئن، داده‌ها سامانه منتسب به اصل‌ساز بوده و وی در قبال آنها مسئولیت دارد؛ بنابراین در شبکه پرداخت الکترونیکی، بانک اگر داده‌هایی از سوی سیم‌کارت معرفی‌شده به نام شما دریافت می‌کرد، آن داده‌ها به‌طور غیرقابل انکاری منتسب به شما بودند.

ولیکن در سطح کلان، ارتقای امنیت باید امری رسیدگی‌پذیر، قابل اندازه‌گیری، ارتقایابنده و مقرون‌به‌صلاح و صرفه بوده، روش‌ها، استانداردها و سخت‌افزارهایی را مورد استفاده قرار دهد که تابع روندهای پذیرفته‌شده جهانی باشند.

دیکتاتوری یعنی اینکه رئیس نهاد بانک مرکزی، به خودش زحمت شناخت ادبیات امنیت را ندهد، همچون مشتریان عادی، به‌دنبال این باشد که حس ایمنی را در خودش بیابد و این حس ایمنی فقط در وی هنگامی نزول کند که انجام کار را به شرکت خصولتی وابسته به خودش بسپارد.

هرچند نظام بانکداری به‌صورت روزافزون الکترونیکی شده، ولی تن به ذلت آموختن مفهوم بیهوده‌ای همچون SLA نمی‌دهد، این‌ها یا مال کتاب‌هاست یا مال جوان‌هاست؛ در عوض خلاء آن را با قدرتی سلطانی پر کند، چنان که خبر آوردند که در امنیت سامانه‌ها مشکلی بروز یافته، همه را به خط کند و پس از ذکر و یادی از رضاخان مدیران را بنوازد و هر بار بگوید که دفعه آخرتان باشد.

در ذهن مردم واردنشده به فضای مدرنیته، کهن‌الگوی «ناجی» سخت طرفدار دارد، ولی مردم هم نباید انتظار داشته باشند که ناجی بر سیستم و نظام‌های تحت امرش تسلط یابد، این‌طوری که خیلی سخت است و زحمت دارد، سیستم خودش را با ناجی هماهنگ کند، راحت‌تر نیست؟!!