هزینه اجرایی شدن رمز دوم پویا برای نظام بانکی کشور چقدر بود؟ / یک سال با رمز دوم پویا

نویسنده: مینا حاجی در تاریخ 14 بهمن سال 1399 ساعت 13:04 0

یک سال از اجرایی‌شدن رمز دوم پویا می‌گذرد. از نیمه دی‌ماه ۱۳۹۸ بود که استفاده از رمز دوم پویا اجباری شد و آن‌طور که ادعا شد، دلیل اینکه بانک مرکزی به این نتیجه رسید که باید رمز دوم پویا را اجرایی کند، حجم بالای پرونده‌های فیشینگ بود. بعد از اجرایی‌شدن رمز دوم پویا، مردم و کسب‌وکارها، به‌شدت از آن گلایه داشتند. واقعیت این است که استفاده از رمز دوم پویا برای بسیاری از افراد آن روزها به دردسری تبدیل شده بود که گاهی از پرداخت‌های اینترنتی خود نیز دست می‌کشیدند و این موارد باعث شده بود که کسب‌وکارهای اینترنتی با کاهش تعداد تراکنش مواجه شوند. مسدود شدن کارت‌های بانکی در اثر واردکردن سه بار رمز دوم غلط، ناموفق بودن تراکنش‌ها، پیامک نشدن رمز به‌موقع، استفاده از رمزهای منقضی شده و نبود یک راه ساده برای رفع مسدودی کارت‌ها همه مواردی بودند که آن روزها زیاد درباره آنها می‌شنیدیم. علی ایحال رمز دوم پویا اجرایی شد و با وجود اینکه اجرایی‌شدن آن مخالفان زیادی داشت اما این کار صورت گرفت و هزینه‌های زیادی را نیز بر دوش بانک‌ها گذاشت. در این گزارش نگاهی به کارنامه یک ساله رمز دوم پویا داشتیم.

فیشینگ کم شد اما به صفر نرسید

مهم‌ترین ادعای اجرایی کردن رمز دوم پویا، کاهش آمار فیشینگ بود و بسیاری از منتقدان و مخالفان این پروژه نیز چنین ادعایی را درست نمی‌دانستند. به عقیده مخالفان، استفاده نادرست از ابزارهای کارت در جایگاه خودشان باعث آمار بالای فیشینگ شده است و رمز دوم پویا نمی‌تواند جلوی فیشینگ‌ها را بگیرد. درواقع به عقیده آنها با وجود سرویسی مانند کارت به کارت نمی‌توانیم انتظار فیشینگ نداشته باشیم. اما آنچه آمارها بعد از یک سال نشان می‌دهند این است که از زمان شروع طرح رمز دوم پویا کاهش حدود ۷۰ درصدی در حوزه فیشینگ شاهد بوده‌ایم. طبق گفته یکی از بانک‌های کشور، قبل از پیاده‌سازی رمز دوم پویا ماهانه به‌طور متوسط بیش از 350 نامه قضایی مربوط به سوءاستفاده از رمز دوم کارت مشتری را پاسخ می‌دادند که در حال حاضر تقریبا این موضوع به صفر رسیده است.

سرهنگ داوود معظمی گودرزی رئیس پلیس فتا تهران بزرگ نیز در این باره به راه پرداخت گفت: «بیش از چند هزار مرجوعه قضایی مرتبط با بانکداری الکترونیکی که بخشی از آن مربوط به جرائم فیشینگ است به پلیس فتا تهران واصل شده است که با اجباری شدن استفاده از رمز دوم پویا منجر به کاهش بیش از ۵۰ درصدی پرونده‌های واصله در خصوص جرائم مربوط به برداشت غیرمجاز از حساب‌های بانکی در پلیس فتا پایتخت شده است.»

همچنین طبق گفته‌ها، رمز دوم پویا عملکرد خوبی در کاهش مخاطرات خریدهای اینترنتی داشته است اما یکی از نکات نگران‌کننده که تا حدودی برطرف شده است، اوج‌گیری دوباره‌ استعلام کارت‌های مشکوک از اواخر بهار ۱۳۹۹ بود که می‌توانست مسیرهای جدیدی برای کلاه‌برداری هکرها فراهم کند که برای جلوگیری از این موضوع اصلاح متن و تغییر متن پیام پیامک‌های رمز دوم پویا در دستور کار بانک مرکزی قرار گرفت که در صورت ایجاد تغییرات پیش‌بینی‌شده، در هر پیامک، اطلاعات لازم برای متقاضی رمز دوم پویا ارسال و حتی نوع تراکنش نیز به اطلاع درخواست‌کننده رمز دوم پویا خواهد رسید. به‌عنوان‌مثال متن پیام دریافتی به این صورت است که N ریال پرداخت جهت خرید است.

رئیس پلیس فتا تهران بزرگ با بیان اینکه قطعا استفاده از رمز دوم پویا باعث کاهش پرونده‌های ورودی شده است، توضیح داد: «با زیرساخت‌های موجود در حال حاضر بهترین روش ارتقاء امنیت تراکنش‌های اینترنتی برای عموم شهروندان استفاده از OTP است. همچنین از شهروندان درخواست داریم در هنگام خریدهای اینترنتی مبلغ درج شده در متن پیامک رمز یک‌بارمصرف که از سوی بانک برای آنها ارسال می‌شود را با مبلغ خرید خود تطابق دهند و در صورت مغایرت از وارد کردن اطلاعات آن پرهیز کنند.»

با این حال نباید فراموش کنیم که تجربه نشان داده که مهارت افرادی که اقدام به فیشینگ می‌کنند، مدام در حال به‌روز شدن است؛ بنابراین شاید رمز دوم پویا باعث کاهش فیشینگ شده باشد ولی این مسئله فقط تا زمانی طول خواهد کشید که هکرها راه جدیدی برای مقابله با رمز دوم پیدا کنند. همین چند وقت پیش بود که شاهد فیشینگ از طریق اینترنت‌بانک‌ها بودیم و بانک‌ها برای جلوگیری از این اقدام، رمز یک‌بارمصرفی را برای ورود به اینترنت‌بانک‌ها علاوه بر رمز ایستا در نظر گرفتند. البته که علاوه بر بانک‌ها لازم است آموزش و آگاهی نیز جهت شناخت مشتریان از فیشینگ در نظر گرفته شود که ارگان‌های مختلفی را درگیر این موضوع خواهد کرد.

رئیس پلیس فتا تهران نیز درباره مدل‌های مختلف فیشینگ این‌طور توضیح داد:‌ «درصورتی‌که بخواهیم جرائم فعلی فیشینگ را با رتبه‌بندی از زیاد به کم تفکیک کنیم، به 3 دسته این موارد تقسیم می‌شوند؛ اول صفحات جعلی اینترنت بانک‌ها، دوم پیامک‌ها و لینک‌های آلوده «پیامک‌های فیشینگ» و در آخر درگاه‌های جعلی هستند. بیش از ۸۰ درصد این جرائم در پلیس فتا تهران بزرگ به‌واسطه تبلیغات مندرج در موتورهای جستجوگر و پیامک‌هایی که جامعه آماری سایت‌های اگهی‌رسان را هدف قرار داده‌اند به وجود آمده است.»

هزینه اپلیکیشن‌های ناکارآمد رمزساز

از آمار فیشینگ و اینکه اصلا رمز دوم پویا به هدف خود در کم‌کردن فیشینگ رسید یا نه که بگذریم، پیاده‌سازی رمز دوم پویا هزینه زیادی را به بانک‌ها تحمیل کرد. یکی از این هزینه‌ها، مربوط به راه‌اندازی اپلیکیشن‌های رمزساز بود. بعد از اینکه اعلام شد استفاده از رمز دوم پویا برای تراکنش‌های بیش از ۱۰۰ هزار تومان الزامی است و کاربران ملزم هستند از رمز دوم پویا برای این تراکنش‌ها استفاده کنند، بانک‌ها خیلی سریع ایجاد یک اپلیکیشن رمزساز را در دستور کار خود قرار دادند. اپلیکیشن‌هایی که گویا پیاده‌سازی هر کدام از آنها از ۴۵۰ میلیون تومان تا بیش از ۲ میلیارد تومان برای بانک‌ها هزینه داشته است.

طبق گفته‌های یکی از فعالان صنعت بانکی، برای پیاده‌سازی رمز دوم پویا در هر بانکی نیاز به سه رکن اصلی اعم از اپلیکیشن، زیرساخت و پیامک ارسالی به مشتریان است که هزینه هر سه مورد بر عهده بانک‌ها است و برای هر بانکی نیز هزینه‌ها متفاوت است؛ به‌عنوان‌مثال به‌صورت تقریبی برای زیرساخت و اپلیکیشن رمزساز با توجه به نیاز هر بانکی مبلغی حدود ۲ میلیارد تومان و شاید بیشتر هزینه شده است.

البته گویا برخی از این اپلیکیشن‌ها سرویس‌های دیگری به غیر از رمز دوم پویا را نیز ارائه می‌دهند و کاربران خاص خود را دارند ولی چیزی که واضح است این است که در حال حاضر تقریبا این اپلیکیشن‌های رمزساز خیلی کارآمد نیستند؛ درنتیجه یکی از هزینه‌هایی که اجرایی‌شدن رمز دوم پویا بر دوش بانک‌ها گذاشت، راه‌اندازی اپلیکیشن‌های رمزسازی بود که می‌توانست از ابتدای اجرایی شدن این پروژه، تنها یک اپلیکیشن واحد وجود داشته باشد.

به گفته یکی از بانک‌های کشور، نمی‌توان گفت که دیگر این اپلیکیشن‌ها کارکردی ندارند، چراکه هنوز هم مشتریان جهت دریافت و ساخت رمز دوم پویا به آنها نیاز دارند. همچنین می‌توان لایسنس آن را در همراه بانک جهت استفاده کاربران قرار داد که با این کار مشتریان نیاز نیست مجدد این رمزساز را دانلود کنند، میزان هزینه برآوردی برای هر بانکی متفاوت است و احتمالا عددی بیش از 2 میلیارد تومان باشد.

طبق صحبت‌های یکی دیگر از بانک‌های کشور،‌ آنها از ابتدا، رمز دوم پویا را به‌عنوان یک خدمت جدید در موبایل‌بانک خود اضافه کرده بودند که این موضوع هزینه‌ها را برایشان کمتر کرده بود ولی به هر حال هزینه‌های توسعه یک خدمت جدید، تست آن و … را همچنان برای بانک داشت. البته از این موضوع نیز نباید بگذریم که راه‌اندازی یک اپلیکیشن یک قصه است و هزینه‌های سالیانه پشتیبانی آن نیز یک قصه دیگر.

هزینه پیامک‌های رمز دوم پویا

بعد از راه‌اندازی اپلیکیشن‌های رمزساز، سامانه هریم راه‌اندازی شد تا کاربرانی که به اینترنت دسترسی نداشتند و یا امکان استفاده از اپلیکیشن برای آنها فراهم نبود، هنگام انجام تراکنش‌های اینترنتی، رمز خود را از طریق پیامک دریافت کنند. تقریبا بعد از راه‌اندازی سامانه هریم بود که اپلیکیشن‌های رمزساز به‌مرور کنار رفتند و اکنون شاهد این هستیم که بیشتر رمزهای دوم پویا از طریق پیامک برای افراد ارسال می‌شوند.

طبق آنچه بانک مرکزی گفته بود، هزینه دریافت پیامک رمز دوم پویا بر عهده بانک‌ها و موسسات اعتباری است؛ همین موضوع نیز هزینه زیادی را به بانک‌ها تحمیل کرده است؛ این هزینه‌ها نیز هم از بابت هزینه پرداختی به اپراتورها هست و هم بیشتر از آن، زیرساختی که باید بدون وقفه و بدون قطعی کار کند و همچنین بحث پشتیبانی از آن است. به ازای هر پیامک رمز دومی که ارسال می‌شود حدودا ۱۰ تومان پرداخت می‌شود که متناسب با تعداد کارت‌های فعال هر بانک و میزان استفاده مشتریان، هزینه‌های کلی برای هر بانکی متفاوت است و هر بانکی با تناسب به تعداد مشتریان هزینه خاص خود را در این زمینه دارد.

درواقع در حال حاضر هزينه پياده‌سازی و ارسال پيامک را بانک‌ها متحمل می‌شوند و این در حالی است که بانک مرکزی می‌توانست همزمان با اجرای اين موضوع، نظام کارمزد را نیز اصلاح کند ولی ظاهرا هيچ عزمی برای اصلاح کارمزد خدمات پرداخت وجود ندارد و بانک‌ها در اين سرويس در حال ضرر هستند؛ درحالی‌که اگر نظام کارمزد برای پرداخت اصلاح می‌شد، می‌توانست به‌جای هزينه برای بانک‌ها به درآمد تبديل شود.

معضلات جدی بعد از رمز دوم پویا

مشکلات متعددی بعد از اجرایی شدن رمز پویا به وجود آمد. از افزایش تعداد تراکنش‌های ناموفق و مسدودی کارت‌های بانکی و کاهش خریدهای اینترنتی گرفته تا موضوع احراز هویت و شلوغی شعب بانک‌ها بدین منظور. یکی از معضلاتی که بعد از اجرایی شدن رمز دوم پویا برای بانک‌ها ایجاد شد، احراز هویت افراد بود؛ چراکه قانون بانک مرکزی می‌گفت که افراد برای فعال‌کردن شماره‌ای که رمز دوم پویا باید به آن ارسال می‌شد و یا استفاده از اپلیکیشن‌های رمزساز بانک‌ها، حتما باید احراز هویت فیزیکی شوند؛ درواقع برای استفاده از رمز دوم پویا حتما باید فرد یکسری مراحل را طی می‌کرد و شماره همراه صاحب حساب تایید می‌شد تا در نهایت بتواند برای تراکنش‌های بالای ۱۰۰ هزار تومان از رمز دوم پویا استفاده کند. بدین منظور نیز کاربر یا باید به شعبه بانک مراجعه می‌کرد یا با استفاده از خودپرداز، این کار را انجام می‌داد. درنتیجه، تعداد زیادی از افراد در یکی دو ماه ابتدایی راه‌اندازی رمز دوم پویا، به بانک‌ها و دستگاه‌های خودپرداز مراجعه می‌کردند که همین موضوع ازدحام زیادی را در بانک‌ها ایجاد کرده بود و یکی از چالش‌های اساسی بانک‌ها بود. اما قبل‌تر از این موضوع حتی اطلاع‌رسانی دقیقی از اینکه افراد چگونه می‌توانستند رمز دوم پویای خود را دریافت کنند، از طرف بانک‌ها صورت نگرفته بود و در بین افراد سردرگمی ایجاد شده بود که نمی‌دانستند باید چه کنند.

علاوه بر این موارد، طبق صحبت‌هایی که با کسب‌وکارها در آن زمان داشتیم، مسدود شدن کارت بعد از چند بار آزمون‌وخطا از پر چالش‌ترین و پر ریسک‌ترین اتفاقاتی بود که موجب کاهش کل تراکنش‌های آنها شده بود. همچنین برخی بانک‌ها علیرغم اتصال به سامانه هریم، پیامک را برای مشتری دیر ارسال می‌کردند که باعث منقضی شدن رمز و عدم امکان استفاده از آن می‌شد؛ درواقع کسب‌وکارها با وجود چنین مشکلاتی شاهد افت ۲۵ تا ۳۰ درصدی در تعداد تراکنش‌هایشان بودند. در هر صورت این راهی بوده که رگولاتور تصمیم گرفته و باید طی می‌شد و اکنون دیگر بسیاری از این مشکلات به آن صورت وجود ندارد و خیلی‌ها دیگر این رمز را چه خوب و چه بد قبول کرده‌اند،اما هزینه‌های آن کماکان پابرجاست.