راه پرداخت؛ رسانه فناوری‌های مالی ایران

مقایسه سرویس انتقال وجه مبتنی بر کارت در مسترکارت و ویزا با اکوسیستم کارتی ایران

1

پویا پوراعظم، متخصص و مشاور امنیت اطلاعات در صنعت بانکداری و پرداخت / دو سرویس تقریباً جدید از اکوسیستم‌های ویزا و مسترکارت در سال‌های ۲۰۱۸ و ۲۰۱۹ رونمایی شدند و پیش‌بینی می‌شود در سال ۲۰۲۰ تعداد تراکنش‌های روی این بستر افزایش چشم‌گیری داشته باشد. به‌نظرم برای فعالان و متخصصان صنعت پرداخت و بانکداری الکترونیکی در ایران بحث جذابی است، علی‌الخصوص این روزها که سرویس مشابه آن در ایران موضوع داغی است که بسیار هم با چالش و انتقاد مطرح بوده و خواهد بود.


سرویس‌های MasterCard Send و Visa Direct چیست؟


سرویس‌های ارائه شده از سوی دو اکوسیستم کارتی بزرگ دنیا برای انتقال وجه سریع (تقریباً آنی) و امن، مبتنی بر کارت بانکی با هدف ارائه خدمت push-to-card transactions که کاربرد نهایی آن، انتقال وجه از کارت بانکی به یک حساب متصل به کارت بانکی دیگر البته از طریق کارت مقصد، به سه مدل پرداختی ذیل است:

Disbursements – payments from governments, businesses, and non-profits to consumers .
Domestic P2P – payments between two consumers in one country .
Cross-border P2P – payments between two consumers in different countries .

پس به نظر می‌رسد سرویس‌های جدید و جذابی در آمریکا و اروپا هستند و از طرفی هم، اینکه برخی فعالان صنعت پرداخت و بانکداری در ایران که بعضاً عقیده دارند سرویس کارت به کارت، تنها ساخته و پرداخته ایران است و در سایر دنیا چنین چیزی وجود ندارد، این‌گونه نیست. البته در سال‌های دور بله اما حداقل در دو یا سه سال اخیر، این رویکرد صحیح نیست.

اما چند نکته قابل توجه است:

۱- اهداف اصلی این سرویس که خیلی هم جدید است، پوشش نیازمندی ارائه پرداخت سریع به شخص دارنده کارت بانکی یا مصرف کننده‌های (مشتریان نهایی) کسب‌و‌کارها است. در واقع برای پرداخت‌هایی از نوع P2P، B2C وB2B هستند. البته در سرویس Visa Direct امکان ارائه خدمت انتقال وجه از نوع P2B (شخص به شخص) در شرایطی خاص مانند پرداخت قبض یا صورتحساب توسط مشتری به کارت بانکی متعلق به کسب‌و‌کار مربوطه، نیز وجود دارد.

۲- این نیازمندی در چند سال اخیر توسط ویزا و مسترکارت احساس شد که انتقال‌ها و پرداخت‌هایی که تسویه و انتقال وجه آن‌ها توسط سازوکارهای مبتنی بر حساب بانکی مثل تراکنش‌های از نوع batch مانند ACH (مشابه همان پایا / ساتنا در ایران) است، به دلایل مختلف مانند سریع نبودن انتقال، مشتریان را به طور کامل راضی نمی‌کند.

۳- بر اساس بانک‌های صادرکننده کارت یا خصوصیات تراکنش مثلاً انتقال بین دو شخص در دو کشور مختلف، ممکن است تسویه یا به اصطلاح پردازش نهایی تراکنش تا ۳۰ دقیقه به طول انجامد اما معمولاً در داخل یک کشور به صورت سریع و آنی پردازش می‌شود.

۴- از طریق زیرساخت‌های مدرن مبتنی بر API مانند واسط‌های نرم افزاری RESTful و ساختار پیامی مبتنی بر JSON به تامین‌کنندگان خدمات پرداخت ارائه می‌شود.

۵- بر روی کارت‌های بدهی (Debit) و بعضاً کارت‌های Pre-Paid قابل ارائه است. البته این دو اکوسیستم سرویس‌های خاص مشابه این سرویس برای استفاده از طریق کارت اعتباری هم ارائه داده‌اند.

۶- از موارد استفاده می‌توان به پرداخت‌های شخص به شخص (P2P) از طریق شماره کارت دریافت کننده و در مدل B2C پرداخت حق بیمه به مشتری از سوی بیمه گذار اشاره کرد که به صورت آنی انتقال وجه صورت می‌پذیرد.

۷- ارائه دهندگان خدمت: سرویس‌های مورد اشاره قالبا به صورت مستقیم از طریق API های خاص منظوره اکوسیستم ویزا و مستر برای این خدمات و قالبا توسط شرکت‌های ارائه کننده خدمات پرداخت و اصطلاحاً Payment Facilitator ها، ارائه می‌شوند.

۸- محدودیت‌ها و کنترل تراکنش: دارای محدودیت‌هایی در سقف مبلغ انتقال در روز، هفته و ماه است. ویزا محدودیتی در تعداد دفعات تراکنش ندارد.

۹- امنیت: سازوکارهای قوی تشخیص آنی و برخط تقلب، ارزیابی میزان ریسک تراکنش، مقابله با پولشویی و … در اکوسیستم مستر و ویزا برای این تراکنش‌ها به کارگرفته می‌شود. احراز و تأیید هویت قوی دارنده کارت مبداء انتقال، از قابلیت‌های امنیتی حائز اهمیت در این دو سرویس جذاب است.


تفاوت‌ها با اکوسیستم کارتی ایران


در خصوص این مورد به نظر می‌رسد هدف اصلی در ایران هم همین موارد اشاره شده، بوده است. اما سؤال اینجاست که چطور غول‌های جهانی صنعت پرداخت، یکی دو سال است که این نیازمندی رو احساس و این خدمات را ارائه دادند، ولی در ایران بیش از ۱۰ سال است که خدمت انتقال وجه کارت‌به‌کارت ارائه شده است. آیا ایران از منظر فناوری بانکی / پرداخت یا مدل کسب‌وکاری آن، جلوتر بوده؟ خیلی بعید است.

اما عقیده شخصی بنده این است که دلیل این امر، مسیر درستی بوده که اکوسیستم‌های ویزا و مستر طی کردند به گونه‌ای که اساساً آنها اول نیازمندی را درک و تحلیل می‌کنند و سپس با در نظر گرفتن تمامی ملاحظات و مولفه‌های تاثیرگذار و تأثیرپذیر، به خلق خدمتی مبتنی بر ابزار می‌پردازند و در مقابل مسیر اشتباهی که در ایران در خصوص خدمت کارت‌به‌کارت طی شد که حالا عاقبت آن چیزی است که با چالش‌های بسیار زیادی روبه‌رو شده و هر چه هم می‌گذرد اوضاع آن بدتر می‌شود.

چالش‌هایی از قبیل استفاده از کارت بانکی (انتقال وجه کارت‌به‌کارت) توسط مالک آن در کسب‌وکار برای دریافت وجه از سوی مشتریان خود، به جای استفاده از پایانه‌های فروش POS یا درگاه‌های پرداخت اینترنتی متصل به شبکه شاپرک که خوب این هم دلایل فلسفی زیادی دارد؛ شاید از فرار مالیاتی بر کسب‌وکار، فرار از شفافیت مالی گرفته تا راحتی و سادگی بیشتر از منظر مشتری یا مالک کسب‌و‌کار و در نهایت فرار از فرآیندهای دریافت مجوز درگاه و پایانه فروش یا اساساً داشتن کسب‌و‌کار مجرمانه.

تا زمانی که بستر برای مصرف کننده، دارنده کارت و مالک کسب‌وکار برای استفاده از کارت بانکی و تراکنش کارت‌به‌کارت در تجارت و دادو‌ستد در کسب‌و‌کار، فراهم و از طرفی کنترلی هم بر آن نباشد، اوضاع همین خواهد بود.

چالش دیگر استفاده از کارت بانکی و سرویس کارت‌به‌کارت در کسب‌وکارهای مجرمانه و غیر قانونی مانند قمار و شرط‌بندی است و بسیاری چالش‌های دیگر مانند تقلب، پولشویی و کلاهبرداری.

از طرفی در خصوص ملاحظات امنیتی و مدیریت مخاطرات، تفاوت در سرویس‌های Mastercard Send و Visa Direct با انتقال وجه کارت‌به‌کارت در ایران، زمین تا آسمان است! تفاوت‌هایی که در ایجاد بسیاری از چالش‌هایی که اشاره شد مؤثر بوده است. چندین سال است که توسط رگولاتور و نهادهایی مانند شاپرک اعلام شده است که زیرساخت تشخیص تقلب در پرداخت‌های کارتی پیاده سازی شده‌اند و البته شخصاً مطلع هستم که اقدامات و کارهای زیادی هم در این حوزه انجام شده است، اما خروجی و نتیجه چیست؟

در تراکنش‌های کارت‌به‌کارت، چه مقدار توانمندسازی واقعی در تشخیص تقلب و تراکنش‌های متقلبانه داشتیم؟ در پولشویی و چرخش پول بین حساب‌های متصل به کارت‌های بانکی از طریق تراکنش کارت به کارت، چه مقدار؟ در خروج وجه از طریق تراکنش کارت به کارت، از کارت‌هایی که اطلاعاتشان افشاء شده چطور؟

در اروپا و آمریکا، گزارش‌های فصلی میزان و موارد تقلب در اسکیم‌های کارت بانکی توسط خود اکوسیستم ارائه می‌شود، بنابراین پیشنهاد می‌کنیم رگولاتور و نهادهایی مانند شاپرک، خروجی و نتایج سازوکارهای تشخیص تقلب و مدیریت مخاطرات خود را در قالب گزارشات آماری از موارد تقلب و تراکنش‌های متقالبانه یا پرمخاطره شناسایی شده، به صورت دوره‌ای منتشر کنند.

البته واقفم به اینکه، این خواسته نباید شامل جزئیات قوانین و تعریف سناریوها و Case‌های تقلب و تراکنش‌های پرمخاطره باشد که بعضاً ممکن است حاوی محتوای محرمانه از منظر رگولاتور یا نهاد ناظر باشد. از طرفی عقیده دارم این سازوکارها توسط بانک‌ها و مؤسسات اعتباری چه در نقش صادرکنندگی کارت و چه در نقش پذیرنده بودن، قابل طراحی و استقرار است که کمک شایانی به شبکه کارت / پرداخت و البته خود بانک‌ها خواهد نمود.

تفاوت در مدل کسب‌و‌کاری هم که به طور قطع وجود دارد. اشاره کردم به اینکه اهداف کسب‌و‌کاری ویزا و مستر از ارائه این دو سرویس چه بوده است و چه نیازمندی‌هایی را پوشش داده‌اند. عدم وجود برخی محدودیت‌ها و کنترل‌های لازم در خصوص تراکنش کارت‌به‌کارت در اکوسیستم کارتی ایران، باعث پیدایش مخاطرات و چالش‌هایی بوده که به آن‌ها اشاره شد از قبیل استفاده از تراکنش کارت‌به‌کارت برای پرداخت وجه از سوی مشتری به کسب‌و‌کار / فروشنده.

اگر توسط رگولاتور در ایران، این یک الزام و قانون است که کسب‌و‌کار یا فروشنده برای پرداخت‌های الکترونیکی از سوی مصرف‌کننده و مشتری نهایی، باید از پایانه‌های فروش و درگاه‌های پرداخت اینترنتی تحت نظارت و کنترل شاپرک، استفاده و طی فرآیندی مشخص، مجوزدهی و در اختیار کسب‌و‌کار یا فروشنده قرار گیرد، بنابراین چطور کنترل، پایش و محدودیت‌های مناسب و کافی بر استفاده از تراکنش کارت‌به‌کارت در این دسته پرداخت‌ها، وجود ندارد؟

به شخصه فروشنده‌ای را می‌شناسم که مشتریان زیادی دارد، کالای مجاز هم به فروش می‌رساند اما هیچ پایانه و درگاه فروشی ندارد و تنها از کارت بانکی برای دریافت وجه مشتریان از طریق کارت‌به‌کارت استفاده می‌کند و از خود ایشان مطلع شدم که حداقل روزانه ۵۰ مرتبه، واریز وجه به کارت او برای این مقصود، صورت می‌گیرد! نکته این است که آیا این هدف از ارائه تراکنش کارت‌به‌کارت بوده است؟!

بنابراین به عقیده من، چندان کار سختی برای متخصیصن ما نیست، پایش و تشخیص به‌هنگام چنین استفاده‌ای از یک کارت بانکی و تراکنش کارت‌به‌کارت (که به نظر می‌رسد بر اساس تعاریف نظام پرداختی ما، نوعی تقلب محسوب می‌شود) و حتی در صورت لزوم مسدود‌سازی یا اعمال محدودیت بر کارت بانکی شناسایی شده.

اگر هم این نوع استفاده از کارت بانکی، تقلب نیست و مجاز است، پس چرا به صورت شفاف و با فرآیندهای صحیح و قانون گذاری شده، نظام‌مند نمی‌شوند؟ تقریباً مانند همان مسیری که MasterCard Send و Visa Direct دنبال می‌کنند.

در نهایت شاید پیشنهاد بازنگری در نحوه عملکرد و ارائه تراکنش انتقال وجه کارت‌به‌کارت، مفید باشد. بازنگری در تعریف موارد استفاده مجاز از تراکنش کارت‌به‌کارت، اعمال محدودیت‌های جدید بر اساس استفاده‌های مجاز و غیرمجاز از این نوع تراکنش و ایجاد زیرساخت‌های جدید برای کنترل، پایش و ارتقای سطح امنیت و کاهش مخاطرات این دسته از تراکنش‌ها.

نویسنده / مترجم پویا پوراعظم
1 نظر
  1. سامان می‌گوید

    بسیار مفید بود.
    ممنون از راه پرداخت

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.