محمد رضا جمالی در گفت‌وگو با راه پرداخت / نظام‌های پرداخت پاسخگوی مشکلاتی که ایجاد می کنند، نیستند

محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار: در رابطه با انتقال پول به‌صورت کارت‌به‌کارت یا بهتر بگوییم شبه پول با استفاده از کارت‌به‌کارت مسائل فنی، امنیتی و اقتصادی زیادی مطرح است که به آن‌ها چه درگذشته و چه در شرایط فعلی توجهی نمی‌شود.

نویسنده: راه پرداخت در تاریخ 16 دی سال 1399 ساعت 14:29 0

صبا صراف – خبرنگار/ انتقال وجه یا تراکنش مالی از کارتی به کارت دیگر شیوه متداول جابه‌جایی پول در کشور است. روشی بسیار محبوب میان ما ایرانیان، فارغ از اینکه بدانیم، این سرویس خدماتی ارائه‌شده از سوی بانک‌ها و به دنبال آن درگاه‌های پرداخت، یک روش و سرویس کاملاً ایرانی است و درجاهای دیگر دنیا حتی ایده طراحی آن نیز وجود خارجی ندارد.

این روزها با توجه به مشکلاتی که این سرویس بانکی در سیستم پرداخت کشور به وجود آورده، به سراغ محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار رفتیم. به گفته او از مدت‌ها قبل، پیش‌بینی چنین مشکلاتی را کرده است. او در گفت‌وگو با راه پرداخت به سوالات در خصوص اینکه چرا این سرویس تنها در ایران پیاده سازی شده و شرایط حقوقی و امنیتی آن چیست پاسخ داد که در ادامه متن کامل آن را مطالعه می‌کنید.

آیا روش کارت‌به‌کارت باعث عدم شفافیت در تراکنش‌های مالی خواهد شد؟

در رابطه با انتقال پول به‌صورت کارت‌به‌کارت یا بهتر بگوییم شبه پول با استفاده از کارت‌به‌کارت مسائل فنی، امنیتی و اقتصادی زیادی مطرح است که به آن‌ها چه درگذشته و چه در شرایط فعلی توجهی نمی‌شود. به‌طورکلی انتقال پول به شیوه کارت‌به‌کارت و مسائل مربوط به آن از چند بعد قابل‌بررسی است.

ابعاد پولی، بانکی
ابعاد فنی و امنیتی
ابعاد اقتصادی و سلامت کسب‌وکارها

کارت‌به‌کارت در دنیا به این شکل وجود ندارد و هیچ جا به این صورت نیست که قبل از اینکه تسویه بین بانک‌ها انجام شود پولی جابه‌جا شود. بنابراین این روش مشکلاتی دارد که اصول و مشکلات آن بررسی و موشکافی نشده است. این تسویه‌ها و در نظر نگرفتن درست زمان و فرکانس تسویه در مواردی مثل انتقال برخط پول به‌حساب در تراکنش‌های خرید روی کارت‌خوان در سال‌های گذشته هم مشکلاتی ایجاد کرده بود. متأسفانه تحلیلی هم‌روی این مورد مشاهده نمی‌شود.

علاوه بر بحث آنلاین بودن آن، مشکل دیگر آن است که انتقال به شماره کارت و نه به شماره‌حساب بانکی صورت می گیرد.این امر مشکل دارد. درواقع اگر قرار است انتقالی هم صورت بگیرد سیستم به‌صورت حساب به‌حساب است که در آن حالت هم به‌جز RTGS بقیه به‌صورت پایا و با تأخیر صورت می‌گیرد و فرصت لازم برای انواع فعالیت‌های پول‌شویی و ضد تقلب وجود خواهد داشت.

در دنیا از کارت به‌حساب یا از کارت به کارت مرسوم نیست و کارت در حقیقت ابزاری است که به‌حساب وصل شده که پروتکل‌ها و استاندارهای خود را دارد و عملیات تسویه با پذیرنده و بانک صاحب حساب پذیرنده و دارنده کارت به‌صورت برون‌خط در پرداخت صورت می‌گیرد.

در سال‌های قبل ما روی این مسائل بسیار بحث کردیم که به شرکت‌های پرداخت برای انتقال کارت‌به‌کارت واسط برنامه‌نویسی کاربردی (Application Programing Interface) داده نشود و این مسئله به مشکلات کارت‌به‌کارت اضافه می‌کند و منشأ فسادهای مختلف از مشکلات پولی و اقتصادی تا پول‌شویی و سایت‌های قمار می‌شود. حتی همان موقع بدبینانی هم بودند که شاید بدبین هم نبودند و این مسئله را به‌خاطر راه‌افتادن سایت‌های قمار مطرح می‌کردند که بانفوذهایی که در نظام‌های پرداخت و بانک مرکزی وجود داشت، به بهانه راحتی کاربران این مسئله در نظام‌های پرداخت قانونی شود.

آن موقع بدعت‌های زیادی هم‌زمان مطرح شد. کارت‌به‌کارت به‌عنوان بدعتی بزرگ مطرح شد و نظام‌های پرداخت به‌عنوان افتخاری آن را ایجاد کرد و بعد بدعت دوم رمز دوم شد و بعد هم این مورد دادن API به شرکت‌های پرداخت بود که از روی نرم‌افزار آن‌ها امکان انتقال کارت به کارت صورت گیرد. همان موقع در کارگروه‌های تخصصی این موضوع مطرح شد که کنترل با این کار از دست بانک‌ها خارج می‌شود و بانک‌ها نمی‌توانند امنیت را با توجه به اینکه کارت و اطلاعات کارت روی درگاه غیر امن ثبت می‌شود تضمین کنند.

این درگاه‌ها به‌راحتی می‌توانند اطلاعات کارت‌ها را ذخیره کنند. این بدعت‌ها ابعاد فنی، اقتصادی و امنیتی زیاد ایجاد کرد که در رمز دوم و مورد API شاهد آن بودیم و بدعت دیگری به نام رمز سوم یا رمز پویا شکل گرفت، به این صورت که اگر مبلغ از عددی بالاتر باشد رمز پویا استفاده شود. این روش نه‌تنها مشکل امنیت را حل نکرد بلکه مسائل و مشکلات زیادی را به وجود آورد و هزینه‌های زیادی به شبکه بانکی کشور تحمیل شد.

سرعت گردش پول به‌طورکلی مسئله مهمی است و سرعت گردش شبه پول که در کارت به کارت صورت می‌گیرد بسیار باید موردتوجه بانک مرکزی به‌عنوان رگولاتور قرار گیرد. ما هیچ مستندی در این سال‌ها در رابطه با ابعاد مخرب بانکی، اقتصادی، امنیتی، پول‌شویی و بقیه موارد کارت به کارت از طرف پژوهشکده‌های مختلف و همچنین دانشگاه‌ها نمی‌بینیم و به بهانه راحت بودن مردم بدعت‌ها روی بدعت جدید صورت می‌گیرد. ابعاد اقتصادی در رابطه با مشکلات سرعت گردش شبه پول و به‌گونه‌ای ایجاد شبه نقدینگی و تبدیل شبه پول به پول است.

ابعاد امنیتی که مربوط به مسائلی مانند فیشینگ و سواستفاده از رمزهای مختلف است و به خاطر کارت‌های مغناطیسی،امنیت پایین آن‌ها و اتصال مستقیم کارت به‌حساب هرروز با مشکل جدیدتری مواجه هستیم؛هر بار راه‌حلی جدید ارائه می‌شود که همه آن‌ها هم درنهایت تبدیل به پروژه‌هایی متمرکز مشابه با شاپرک، شتاب، هریم و در روزهای اخیر سامانه دیبا می‌شود.

شما در دنیا هم وقتی کارت استفاده می‌کنید این کارت یک مبدأ دارد پذیرنده در حقیقت دارای هویت حقوقی هست و وقتی کارت خود را برای خرید به کار می‌برید با یک بستر حقوقی در ارتباط هستید اما وقتی با شماره کارت انتقال کارت به کارت انجام می‌شود که تازه پشت آن حسابش هم مشخص نیست شما یک بستر شخص به شخص ایجاد کرده‌اید که بیزینسی هم اینجا نیست و این چیزی است که به‌صورت تظاهری ایجاد می‌شود و منشأ فسادهای مختلف است.

وقتی شما راه‌های ابتکاری ایجاد می‌کنید که برطبق معماری، مدل کسب‌وکار و استانداردهای دنیا نیست با مسائلی وطنی مواجه می‌شوید که راه‌حل درستی هم برای آن‌ها وجود ندارد و فقط با ایجاد موج جدید سفره فساد جدیدتری برای رگولاتورها، شرکت‌های حاکمیتی و خصوصی ایجاد می‌شود.

جالب است برای همه این‌ها هم یک راه‌حل انتخاب می‌شود. یک سیستم متمرکز که توسط شرکت خدمات انفورماتیک یا شاپرک ایجاد شود و بعد آن مشکل به ظاهر حل شود. نگاه کنید شتاب با همین بهانه‌ها ایجاد شد. مورد بعدی بحث شاپرک بود که بحث تعداد کارت‌خوان‌ها و امنیت و نظارت آن مطرح شد. بعد بحث هریم ایجاد شد. در حال حاضر هم که بحثی مانند بانکداری باز هم به یک پروژه جدید مثل دیبا دارد تبدیل می‌شود.

آیا کارت‌به‌کارت خود عاملی برای توسعه پول‌شویی‌های کلان و سو استفاده از آن برای سایت‌های شرط‌بندی نخواهد شد ؟

خب اینکه موضوع جدیدی نیست. مورد فیشینگ هم جدید نبود که رمز دوم ایجاد شد. باید دید دلیل ایجاد موج چیست و راه‌حلی که برای این موضوع ارائه می‌شود چیست؟ چه کسانی بر این طبل می‌کوبند و درنهایت چه پروژه‌ای توسط بانک مرکزی و شرکت خدمات به‌عنوان راه‌حل ارائه می‌شود! در مورد قبلی برای رمز پویا با تحریک پلیس فتا و قوه قضاییه مسئله رمز دوم ایجاد شد. چرا هیچ‌وقت نظام‌های پرداخت پاسخگوی این نیست که چرا کاری می‌کند و سرویسی راه می‌اندازد که چنین معضلاتی ایجاد شود و هزینه‌اش را مردم دهند و یا چرا در حال حاضر نیز این‌قدر روی آن مانور داده می‌شود و حتی رسانه ملی هم به آن ورود کرده است.

این حرکات بیشتر سیاسی است و راه‌حل‌های سیاسی درنهایت نتایج درستی برای مسائل اقتصادی، مالی و امنیتی ایجاد نمی‌کند. صورت‌مسئله باید مشخص شود. ابعاد آن و میزان فساد محاسبه شود. ذینفعان مشخص شوند و بعد تصمیم‌گیری شود که چه راه‌حلی استفاده شود. به‌عنوان‌مثال در مسئله فیشینگ راه‌حل‌ها زیاد بود. به‌راحتی می‌توانستیم با ردیابی حساب‌ها و ایجاد چند قانون مناسب در رابطه با فیشینگ آن را مدیریت کنیم ولی راه‌حلی مثل رمز پویا ارائه شد.

ما روی خروج پول از حساب در انتقال کارت به کارت محدودیت داریم ولی روی ورود آن، نه در حساب و نه در شماره کارت محدودیت نداریم. این نشان می‌دهد نظارت درست روی حساب‌ها صورت نمی‌گیرد، درحالی‌که با توجه به مسائلی که در رابطه با پول‌شویی مطرح است باید نظارت بر روی حساب‌ها و صاحبان حساب‌ها صورت گیرد، نه اینکه ابزار نامناسب طراحی و پیاده‌سازی کنیم و بعد دنبال راه‌حل برای جلوگیری از جرم، فساد و پول‌شویی باشیم.

شما فرض بگیرید شاپرک، ابزاری ایجاد کرده است که مثلاً (جابه‌جایی) از ۱۰۰ میلیون تا ۵۰ میلیون را پوشش می‌دهد، موضوع انتقال پول در مواردی مانند پول‌شویی و یا مواد مخدر در بسیاری جاهای دنیا همواره برای انجام دهندگان آن مسئله مهمی بوده است، حال تصور کنید شما می‌آیید و این مسئله را برای شخص حل می‌کنید؛ در حقیقت آنچه مانده فقط همان جابه‌جایی مواد است درحالی‌که شما بستر را فراهم کرده‌اید.

چه لزومی دارد یک ابزاری ۵ صفر این مملکت را پوشش دهد! یعنی از 100 تومان تا 50 میلیون را بتوان به‌وسیله آن جابجا کرد. درحالی‌که در هیچ کجای دنیا چنین نیست. هر ابزاری برای یک محدوده خاص است و کاربرد خاصی دارد. کسی نمی‌رود به‌عنوان‌مثال اتوبانی بزند که هم خودروی سواری از آن رد شود و هم فرد پیاده، هم موتورسوار برود و هم کامیون و تریلر از آن عبور کند. هر بستری برای کار خاص یا هدف خاصی طراحی می‌شود و فلسفه خاص خود را هم دارد، سیستم‌های پرداخت هم بر اساس فلسفه‌ای شکل می‌گیرند، وقتی بانک مرکزی، نظام‌های پرداخت و آن معاونت فناوری‌های نوین به این فلسفه، جایگاه آن، ابزار، مسائل مالی و امنیتی آن توجهی نمی‌کنند درنتیجه تبدیل به همین مسائلی می‌شود که ما با آن روبه‌رو هستیم.

یک‌بار می‌آیند رمز دوم ایجاد می‌کند که مشکل قبلی را برطرف کنند آن خود تبدیل به مشکل دیگری می‌شود. شما با فضایی مواجه هستید که ۸۰ میلیون کارت و ۱۰ تا ۱۵ میلیون نقطه پذیرش مختلف دارید این ابعاد مسئله را پیچیده و پیچیده‌تر می‌کند و در عمل نیاز به ابزارهای تحلیل دادگان بزرگ است که در طول فرآیند تراکنش، اطلاعات مختلف را جمع و تجزیه تحلیل کند، نه اینکه یک نقطه ایجاد کنید و همه تراکنش‌ها از آن نقطه بگذرد.

به اعتقاد شما برندگان و بازندگان سرویس خدماتی کارت‌به‌کارت چه کسانی هستند؟

ببینید در سه جنبه این مسئله را باید دید. ازنظر اقتصادی و شاخص‌های کلان وقتی یک ابزار درست طراحی نمی‌شود اثرات اقتصادی نامطلوب دارد و به‌راحتی بر شاخص‌های کلان مثل سرعت گردش، تورم و دیگر شاخص‌های اقتصادی تأثیر می‌گذارد. در بعدهای امنیتی هزینه‌های کلاهبرداری تبدیل به هزینه برای مردم و مراجعه به قوه قضاییه، پلیس و بقیه نهادهای امنیتی می‌شود و این هزینه‌ها، هزینه کمی برای مردم نیست.

وقتی این ابزار بستری برای فساد، برای مثال، همین سایت‌های قمار و پول‌شویی می‌شود، درنهایت و نتیجه آن موجب اتلاف منابع انسانی و سرمایه‌های مادی و معنوی و همچنین اشتغال منفی می‌شود. بنابراین ضرر اصلی متوجه اقتصاد کشور و درنهایت مردم است؛ به نام مردم و به بهانه راحتی آن‌ها با همین میکروها و خرده طراحی‌ها و اشتباهات، روزگارشان هرروز سخت‌تر می‌شود.

برندگان این بازی هم مثل همیشه شرکت‌های فروش سخت‌افزار و شرکت‌هایی مثل خدمات انفورماتیک و شاپرک هستند. این‌ها شرکت‌هایی هستند که به‌سختی می‌توانند بهانه‌ای برای هزینه‌های خود با توجه به آستانه سود بالا و نیروهای کم پیدا کنند و بهترین حالت برای این شرکت‌ها، تعریف پروژه‌هایی این‌چنین و یا خرید سخت‌افزار و زیرساخت‌های لازم است که در این سال‌ها می‌بینیم هر بار بهانه‌های خوبی نیز برای به وجود آوردن آن‌ها داشته‌اند. شاپرک، شتاب 7، هریم و بقیه موارد نمونه‌هایی از این پروژه‌ها بوده‌اند که بنده نظر مساعدی در مورد هیچ‌کدام این پروژه‌ها ندارم و معتقدم به مشکلات دامن زده‌اند و این جریان متأسفانه با ذینفع بودن بانک مرکزی همچنان ادامه دارد.

شما ببینید معاون جدید فناوری‌های نوین بانک مرکزی مأموریتش توسط رئیس‌کل ایجاد ابزارهای نظارتی مطرح شد. کدام‌یک از این پروژه‌هایی که تا به امروز انجام‌شده است پروژه نظارتی است ؟ چه تعریفی از نظارت باید ما داشته باشیم که این ابزارها تبدیل به ابزارهای نظارتی شوند. به‌جز تغییر معنی نظارت و پایش فکر نمی‌کنم راه‌حل دیگری برای توجیه این پروژه‌ها وجود داشته باشد.

برای این نظارت به‌جای آن‌که از ابزارهای گرفتن دیتا از بانک‌ها و مقایسه آن‌ها انجام دهند، به گونه دیگری درصدد حل آن برمی‌آیند؛ به‌عنوان‌مثال سعی می‌کنند با تنها تخصصی که شرکت انفورماتیک در حوزه سیستم‌های عملیاتی و متمرکز دارد، این مشکل را حل کنند، درحالی‌که این روش نه‌تنها کارا نیست بلکه مشکلات دیگری هم چه به لحاظ امنیتی و چه پدافندی ایجاد می‌کند.

در هر زمان که مسئله‌ای پیش می‌آید راه‌حلی که برای آن پیشنهاد می‌شود، مشکل را حل نمی‌کند ولی به قولی اگر برای کل کشور و مردم آب نداشته باشد برای کسانی نان به همراه دارد. فرض بگیرید که بحث فیشینگ شکل گرفت و ۶۰۰ میلیون در سال حجم فیشینگ اتفاق افتاد، این موضوعی بود که بسیار به آن دامن زدند و اعداد چند صدمیلیاردی از گردش آن مطرح کردند و درنهایت با فشار پلیس فتا و قوه قضاییه راه‌حلی جدید، ناکارآمد با تعداد زیادی مشکل عملیاتی و امنیتی ارائه شد.

در این شرایط از سویی سخت‌افزار فروش‌ و از سوی دیگر اپراتور و دیگرانی هست که در این میان منفعت می‌برند؛ در عمل در شرایط سخت با یک کارشناسی نامناسب و عدم تناسب بین ریسک و هزینه‌ای که آن ریسک را می‌پوشاند یک هزینه زیادی را به بانک‌ها و مردم تحمیل کردند و مشکل هم حل نشد. در حال حاضر بررسی کنید، کل گردش سایت‌های قمار چقدر است ؟ مگر نمی‌توان با دنبال کردن رد تراکنش‌ها و حساب‌ها، افراد را پیدا و دستگیر کرد. مگر نمی‌توان با محدود کردن واریز از طریق کارت به کارت مقصد، حساب مقصد و کل حساب‌های یک شخص این مسئله را محدود کرد!

آیا نمی‌توان از روی شماره حساب‌های مقصد شماره ملی دارندگان و‌مقصد پول‌ها، جابجایی‌ها را پیدا کرد؟ نماد و شاپرک چطور مجوز می‌دهند و کارشناسان آنها برای دادن مجوز به سایت‌های قمار و عدم نظارت بر آنها چرا توبیخ و مجازات نمی‌شوند؟