دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص با هدف مبارزه با پولشویی تصویب شد / باز هم جای فناوری خالی است

نویسنده: فاطمه قوّتی در تاریخ 13 اسفند سال 1398 ساعت 17:56 0

شورای پول و اعتبار هفته گذشته دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص را تصویب کرد. این دستورالعمل برای شفافیت تراکنش‌های بانکی، حد آستانه‌ای را متناسب با فعالیت اشخاص حقیقی و حقوقی تعیین و تاکید کرده انتقال وجه بیشتر از مبالغ تعیین شده، مشروط به پر کردن بخش «بابت» است. برای مثال نقل‌وانتقالات وجوه مشتریان حقوقی و حقیقی دارای حساب سپرده تجاری برای وجوه بالاتر از 10 میلیارد ریال و بالاتر از دو میلیارد ریال درون بانکی و بین بانکی برای مشتری حقیقی دارای حساب سپرده شخصی منوط به تکمیل قسمت «بابت» است. همچنین انجام کلیه عملیات بانکی مبتنی بر حساب منوط به شناسه شهاب از طریق سامانه نهاب ممکن است.

پول سبز / اجرای استانداردهای شفاف‌سازی مبادلات چطور مانع از پولشویی در بانک‌ها می‌شود؟

آستانه مجاز مجموعه مبالغ برداشت از طریق درگاه‌های پرداخت غیرحضوری از مشتریان حقیقی و حقوقی و مشتری حقیقی بالاتر از 18 سال، به مبلغ روزانه یک میلیارد ریال محدود می‌شود. آستانه مجاز مجموع مبالغ برداشت از طریق درگاه‌های پرداخت غیرحضوری از کلیه حساب‌های سپرده متعلق به مشتری حقیقی پایین‌تر از 18 سال به روزانه مبلغ 150 میلیون ریال و ماهانه مبلغ 500 میلیون ریال محدود خواهد شد.

علاوه بر این موارد، در بخش دیگری از این دستورالعمل به موضوع احراز هویت اشاره شده که در آن افتتاح حساب به صورت غیرحضوری مشروط به احراز هویت بیومتریک است. طبق ماده چهارم این دستورالعمل «افتتاح هرگونه حساب سپرده به صورت غیرحضوری و ارائه خدمات به آن حساب مشروط به نصب، راه‌اندازی و استفاده از ابزارهای بیومتریک جهت شناسایی مشتری است.»

همانطور که گفتیم طبق این دستورالعمل، رعایت سقف مبالغ تعیین شده و تایید آنها تنها توسط کارمند شعبه انجام می‌شود و منوط به پر کردن فیلد «بابت» است. نقطه ضعفی که به باور کارشناسان نمی‌توان از آن چشم پوشی کرد، چراکه باز هم استفاده از فناوری نادیده گرفته شده و به نیروی انسانی اتکا شده است. نیما نامداری، معاون توسعه و نوآوری ارتباط فردا معتقد است کارمندان شعب در انجام چنین فعالیت‌هایی دچار انواع خطاهای انسانی نظیر فساد یا سوگیری و خطاهای ادراکی‌ می‌شوند و حتی ممکن است فریب بخورند. او در گفت‌وگو با راه پرداخت به این موضوع اشاره کرد که احراز و تائید هویت وظیفه بانک‌هاست و قابلیت‌های تکنولوژی این شرایط را فراهم کرده که احراز هویت بیومتریک با استفاده از تشخیص اثر انگشت، صورت، عنبیه چشم و صدا انجام شود که از خیلی از روش‌های حضوری قابل اطمینان‌تر است و فساد و خطاپذیری کمتری دارد. به هر حال این شیوه که بانک مرکزی به جای همه تصمیم می‌گیرد و جای هیچ خلاقیت و نوآوری در این زمینه نمی‌گذارد اشتباه است.

نامداری: شعبه‌محور به مساله ریسک و پولشویی نگاه کنیم

نامداری در پاسخ به این سوال که آیا صدور چنین دستورالعملی با بانکداری دیجیتال در تعارض نیست، گفت: «کنترل ریسک، ممانعت از پولشویی و نقل‌وانتقال پول‌های کثیف، یکی از وظایف مهم بانک‌ها و بانک مرکزی است. به اعتقاد من صرف اینکه بانک مرکزی با صدور این بخش‌نامه در این حوزه ورود کرده و آن را با جدیت بیشتری دنبال می‌کند نکته‌ای مثبت و حتی ضروری است. این موضوع با بانکداری دیجیتال در تضاد نیست. از آنجاکه بانکداری دیجیتال شبکه تبادلات مالی را پیچیده‌تر و کانال‌های آن را متنوع‌تر می‌کند، نیاز بیشتری به مداخله و کنترل از منظر ریسک و پولشویی دارد و از این نظر اقدام بانک مرکزی درست است.»

معاون توسعه و نوآوری ارتباط فردا از دو منظر این دستورالعمل را مورد بررسی قرار داد و گفت: «این در دستورالعمل در نگاه نخست، وارد تعاریفی شده که در مجموع خوب است. اگرچه از جزئیات آن می‌توان انتقاد کرد اما تعاریفی که در آن وجود دارد درست است. به عنوان مثال تفکیکی که بین حساب تجاری و حساب شخصی قائل شده است. تفکیکی که بین تراکنش‌های حضوری و غیرحضوری ایجاد شده و مسئولیتی که برای بانک‌ها در حوزه ریسک تعریف کرده، به اعتقاد من تعاریف درستی است. همچنین چارچوب مفهومی نسبتا درستی در این دستورالعمل و نگاه آن وجود دارد. اما در نگرش حاکم بر دستورالعمل درباره نحوه اجرا و الزامات اجرایی آن، یک خطای جدی وجود دارد و آن هم این است که فرض بر این بوده این ضوابط قرار است توسط افرادی که در شعب بانک‌ها و یا در ستاد و ادارات مرکزی بانک‌ها به عنوان کارشناسان ریسک و پولشویی حضور دارند، انجام شود. به همین دلیل اساساً فرض بر نادیده گرفتن قابلیت‌ها فناوری اطلاعات و تمرکز بر توانایی‌ها و مهارت‌های فردی و انسانی بوده که این موضوع از پایه غلط است، چراکه اساساً بحث جلوگیری از پولشویی و تهدید ریسک، فقط با قابلیت‌های ماشین و سیستم ممکن می‌شود.»

با ایجاد زنجیره تراکنش، رد پول کثیف گم می‌شود

او تصریح کرد: «معمولا برای اینکه پول از نقطه‌ای به نقطه دیگر منتقل شود یک زنجیره‌ تراکنش را طی ‌می‌کند و چند صد تراکنش انجام می شود که رد پول کثیف گم شود. در این حالت شما با یک تراکنش طرف نیستید با زنجیره‌ای از تراکنش‌ها طرف هستید و عمدتا یک انسان نمی‌تواند الگوی تقلب در یک زنجیره را تشخیص بدهد به خصوص اگر در هر دقیقه میلیون‌ها تراکنش در بانک انجام شود. به همین دلیل وجود سیستم‌های تخشیص تخلف و تحلیل ریسک ضروری است. اما متاسفانه در این قانون، تبادلات مالی با نگاه زنجیره‌ای دیده نشده و تراکنش به صورت تکی مد نظر بوده ‌است. طبق دستورالعمل فعلی شما اگر برای انجام یک تراکنش درشت بگویید پول بابت چه چیزی منتقل شده و در یک سقف و آستانه مشخصی باشید، تراکنش به احتمال زیاد معتبر و تمیز تلقی می‌شود که این غلط است. ماشین و سیستم‌های نرم‌افزاری به ما این امکان را می‌دهند که تحلیل پویا و پیچیده‌ای از زنجیر تراکنش‌ها داشته باشیم.»

به گفته نامداری ممکن است مبلغ تراکنشی خیلی کم باشد اما وقتی در زنجیره‌ای از تراکنش‌ها به آن نگاه ‌کنید بفهمید این تراکنش جزئی از مجموعه‌ای از تراکنش‌ها بوده تا پول بزرگ و کثیفی در قالب انبوهی از تراکنش‌های خرد منتقل شود. طبق ضابطه فعلی ما آن را تشخیص نمی‌دهیم چراکه زیر آستانه تعیین ‌شده است اما سیستم می‌تواند آن را تشخیص دهد چراکه الگو استخراج می‌کند و توانایی تحلیل لحظه‌ای شبکه‌ای از تراکنش‌ها را دارد.

معاون توسعه و نوآوری ارتباط فردا با تاکید بر اینکه ممکن است کارمندان شعب دچار انواع خطاهای انسانی نظیر فساد یا سوگیری و خطاهای ادراکی‌ شوند و فریب بخورند، گفت: «سیستم، این خطاهای انسانی را ندارد یا خطای آن خیلی کمتر است. بنابراین امکان تشخیص بهتر، رفتار منصفانه‌تر و در عین حال قابل‌اتکاتری در تحلیل ریسک و تشخیص تخلفات با استفاده از سیستم‌های نرم‌افزاری وجود دارد. متاسفانه این موضوع را در آیین‌نامه نمی‌بینیم. این آیین‌نامه اگر می‌خواست برای سامانه‌های تشخیص تقلب و تحلیل ریسک وزنی قائل شود باید از یک طرف بانک‌ها را مکلف می‌کرد که چنین سیستم‌هایی داشته باشند و روال‌های ممیزی برای پیاده‌سازی و بلوغ این سامانه‌ها تعریف می‌کرد. از طرف دیگر آستانه‌های تعریف شده را پویا و منعطف در نظر می‌گرفت و آن را به سیستم واگذار می‌کرد تا بانک‌ها بتوانند بنا به تشخیص خود و خروجی سیستم هم مسئولیت بپذیرند و هم مشتری‌مدار باشند. درحقیقت پویایی آستانه‌ها و پیچیدگی الگوریتم هم به نفع مشتری است و هم به نفع بانک ولی دستورالعمل فعلی اساساً این موضوع را نادیده گرفته است.»

به اعتقاد نامداری بسیاری از بخش‌نامه‌های اخیر بانک مرکزی فرض بر این گرفته شده که با یک چارچوب بسته، محدود و معین می‌توان همه مسائل را تعیین تکلیف کرد و هیچ جایی برای انعطاف، پویایی و تصمیم‌گیری بر اساس تحلیل ریسک قائل نشده است.

اچ‌اس‌بی‌سی اولین سیستم مبارزه با پولشویی خودکار صنعت را راه‌اندازی می‌کند

بزرگ‌ترین ایراد این آیین نامه این است که در ذیل پارادایم شعبه محور به مساله ریسک و پولشویی نگاه کرده در حالی که باید ذیل پارادایم ماشین محور و سیستم محور به مساله نگاه می‌شد. نامداری با بیان این مطلب گفت: «در دنیا سیستم‌های کشف تقلب، پولشویی و تحلیل ریسک، نرم‌افزارهایی هستند که به شدت قوی عمل می‌کنند. الگوریتم‌های یادگیرنده با استفاده از ابزارهایی مثل هوش مصنوعی و یادگیری ماشین، الگوهای تخلف را مدام شناسایی می‌کنند. البته در این حالت هم برای کارمند شعبه و عامل انسانی هم نقش مشخصی تعریف می‌شود و او هم جزئی از فرایند کنترل ریسک است. اما متاسفانه نگاه مدرن به مساله ریسک در بخش نظارت بانک مرکزی وجود ندارد. متاسفانه مسئولان بانک مرکزی با فناوری‌ و قابلیت‌های آن خیلی آشنا نیستند و نگاهی که به خیلی از مسائل دارند نگاهی قدیمی و امتحان پس داده‌ است که هم محدودیت زیادی برای مشتریان ایجاد می‌کند و هم ریسک را کاهش چندانی نمی‌دهد.»

بانک باید در زمینه احراز هویت آزادی عمل داشته باشد

نامداری درباره مساله احزار هویت هم گفت: «شخصا معتقدم مسئولیت احراز هویت باید برعهده بانک باشد و بانک مرکزی نباید در شیوه اجرای آن دخالت کند. بانک با توجه به تعهدی که نسبت به مشتریان و نهادهای قانونی دارد باید مسئولیت احراز هویت را بپذیرد و تصمیم بگیرد برای هر سطحی از تراکنش و هر نوع سرویس بانکی چه سطحی از احراز هویت لازم است. ممکن است برای یک سرویس، سطح بالایی از احراز هویت لازم باشد و از مراجعه حضوری و ترکیب آن با شیوه‌های بیومتریک استفاده کند. در سطوحی ممکن است فقط با احراز هویت بیومتریک این کار محقق شود، در یک سطح هم ممکن است با یک رمز یا OTP این کار را انجام دهد.»

او تصریح کرد: «احراز هویت، وظیفه بانک‌هاست و قابلیت‌های تکنولوژی این شرایط را فراهم کرده که احراز هویت بیومتریک را با استفاده از تشخیص اثر انگشت، صورت، عنبیه چشم و صدا انجام دهید که از خیلی از روش‌های حضوری قابل اطمینان‌تر است و فساد و خطاپذیری کمتری دارد. به هر حال این شیوه که بانک مرکزی به جای همه تصمیم می‌گیرد و جای هیچ خلاقیت و نوآوری در این زمینه نمی‌گذارد اشتباه است. بانک باید در زمینه احراز هویت آزادی عمل داشته باشد در عین حال مسئولیت آن را هم کامل بپذیرد. شیوه‌ای که بانک مرکزی به صورت کلی دنبال می‌کند باعث شده عملا بانک‌های ما هیچ فرقی با هم نداشته و همه چیز آنها حتی در جزئیات مشابه هم باشد.»

برای دریافت دستورالعمل شفاف‌سازی تراکنش‌های بانکی اشخاص، اینجا را کلیک کنید.