بررسی سرنوشت امضای الکترونیکی با چاشنی انحصارطلبی بانک مرکزی / آیا رگولاتور زیرساخت‌های بخش خصوصی را می‌پذیرد؟

نویسنده: غزل یگانگی در تاریخ 8 آبان سال 1400 ساعت 10:45 0

در ماده ۳۲ قانون تجارت الکترونیکی به بحث صدور انواع گواهی‌های الکترونیکی و تسهیل امضای الکترونیکی پرداخته ‌شده و ذیل آن آیین‌نامه‌ای ایجاد شده که بر موضوع سیاست‌گذاری گواهی امضای الکترونیکی و مرکز ریشه دلالت دارد.

همچنین قرار شده تمام امضا‌های الکترونیکی حوزه بانکی و گواهی‌های مرکز ریشه بر بستر پلتفرم هامون که متعلق به بانک مرکزی است و تا حد زیادی اجرایی شده، ارائه شود. این موضوع برای کسب‌وکارهای فعال در حوزه امضای الکترونیک، به‌خصوص در بخش بانکی نگرانی جدیدی را ایجاد کرده است؛ نگرانی مواجهه با انحصار.

آنها معتقدند وجود یک پلتفرم خاص وابسته به نهاد دولتی باعث می‌شود امضای الکترونیکی منحصر به بانک مرکزی شود. در همین راستا راه پرداخت به‌منظور بررسی سرنوشت امضای الکترونیکی و مرکز ریشه چندی پیش نشستی را در کلاب‌هاوس ترتیب داد و با فعالان حوزه امضای الکترونیک به گفت‌وگو نشست.

مصطفی جاویده، معاون فناوری اطلاعات شرکت تأمین خدمات سیستم‌های کاربردی کاسپین؛ کیوان ارج، مدیرعامل توسعه نوین همراه کیش؛ علی حاجی‌زاده مقدم، مدیرعامل شرکت آدانیک؛ پویا پوراعظم، مدیر پروژه امضای دیجیتال بانک خاورمیانه و میثم فقیهی، مدیر شاکیلید مهمانان این نشست بودند.

حاجی‌زاده مقدم صحبت‌های خود را با طرح سؤالی آغاز کرد و گفت: «بزرگ‌ترین چالشی که در بحث امضای الکترونیکی ذهن‌ها را به خود مشغول کرده، این است که امضای الکترونیکی بانکی ذیل کدام ریشه خواهد بود و آیا ریشه‌ تنها مرکزی است که می‌تواند در این حوزه فعالیت کند؟»

او با اشاره به ‌جایگاه مرکز ریشه ادامه داد: «اینکه مرکز مذکور چه آینده‌ای خواهد داشت، موضوعی حاکمیتی و تصمیمی کلان است که در سطح شورای عالی امضای دیجیتال و سطوح بالای حاکمیتی اخذ می‌شود. این موضوع در واقع نوعی سیاست‌گذاری است که به حوزه بانکی محدود نیست. از آنجایی که بانک مرکزی برای سایر بانک‌ها حجت و ملاک است، بانک‌ها در انتظار روشن‌شدن موضوع نشسته‌اند. نتیجه این تصمیم مهم است، اما مسئله تأثیرگذارتر در سیستم بانکی این است که امضا و گواهی دیجیتال چگونه در معماری و ساختار سامانه‌های بانکی جای می‌گیرند.»

کاربرد مهم‌تر از زیرساخت است

حاجی‌زاده مقدم با بیان اینکه هنوز مفهوم امضای دیجیتال در زندگی جوامع کشورهای جهان نفوذ نکرده، اضافه کرد: «پیشرفت و تحولاتی که بر پایه فناوری شکل‌ گرفته، نشان می‌دهد امضای دیجیتال می‌تواند گره‌ها و بن‌بست‌های حوزه‌های متفاوت را باز کند. در این شرایط، عنصر کلیدی این نیست که ریشه کجا باشد. مهم این است که استفاده از امضای دیجیتال را به شکلی روان و دسترس‌پذیر برای عموم مردم در سیستم بانکی جاری کنیم.»

او با بیان اینکه نماد دارای یک مرکز میانی است که بانک‌ها را از نظر سرویس‌های زیرساختی تأمین می‌کند، اظهار کرد: «از نظر من لایه کاربرد بسیار مهم‌تر از لایه زیرساخت است. زیرساخت هرچه باشد، سمبل و واسط آن نماد است.»

به گفته مدیرعامل شرکت آدانیک، لازم است لایه اپلیکیشن هم به ‌اندازه زیرساخت‌ها مورد توجه قرار بگیرد تا با پختگی بیشتر علاوه بر تجربه کاربری خوب، ضریب نفوذ بالایی را در میان مردم پیدا کند و به سرنوشت تجربه‌های ناموفقی مانند رمز پویا دچار نشود.

او ادامه داد: «در نتیجه صحبت‌هایی که با بانک‌ها داشتیم، متوجه شدیم آنها تصور می‌کنند تمام مجموعه زیرساخت نماد و راه‌حل‌هایی که به بانک‌ها ارائه ‌شده، مانند هامون، حاکمیتی است؛ در حالی ‌که فقط زیرساخت نماد است که این ماهیت را دارد.»

حاجی‌زاده مقدم در پایان این بخش از صحبت‌هایش گفت: «اینکه در حال حاضر فقط از یک گزینه صحبت می‌کنیم، فارغ از اینکه هامون و نماد و ریشه خوب‌اند یا نه، اتفاقی مثبت با پیامدهای منفی است.»

رسالت بانک‌ها، صدور گواهی نیست

پویا پوراعظم در ابتدای صحبت‌هایش ساختار مرکز نماد و روش‌های ایده‌آل های دنیا را مقایسه کرد و گفت: «چیزی که امروز مشخص است و از سمت بانک مرکزی بیان می‌شود، این است که مرکز ریشه نماد به‌عنوان مرکز صدور گواهی امضای الکترونیکی که مراکز میانی را پوشش می‌دهد، در نظام بانکی فعالیت خواهد کرد.»

او با اشاره به اهمیت مراکز میانی بیان کرد: «وجود مراکز میانی در مراکز ریشه الزامی است. در هیچ نقطه‌ای از دنیا مرکز ریشه صدور گواهی انجام نمی‌دهد. در ایران نیز نماد یک مرکز میانی در بانک مرکزی دارد که مختص خودش است. گفته ‌شده بانک‌ها نیز می‌توانند با اخذ یک مجوز به‌عنوان مرکز میانی ذیل مرکز نماد برای مشتریان خودشان فعالیت کنند و حتی در مواردی برای سایر بانک‌ها، گواهی‌های متفاوت صادر کنند.»

پوراعظم اضافه کرد: «سؤالی که در این‌ بین مطرح می‌شود این است که چرا فقط بانک‌ها باید مرکز میانی مرکز نماد باشند، آیا واقعاً رسالت و دغدغه یک بانک مرکز صدور گواهی بودن است؟ با توجه به هزینه نگهداری زیرساخت‌ها قطعاً پاسخ این قسم سؤال‌ها منفی است. پس چرا به نهادها و شرکت‌های خصوصی اجازه ندهیم که در فضایی باز، مانند وزارت صمت و مرکز توسعه تجارت الکترونیکی به فعالیت بپردازند.»

او در ادامه توضیح داد: «زمانی که مجموعه‌های خصوصی با رعایت قوانینی که مرکز نماد اعلام می‌کند، به مرکز میانی تبدیل شوند، رقابت سالم و در نتیجه آن نوآوری به وجود خواهد آمد. مراکز صدور گواهی فقط برای عرضه گواهی امضای الکترونیکی نیستند و در بخش‌های دیگری مانند امضای مخصوص توکن، امضای الکترونیکی تراکنش‌ها در بانکداری باز، امضاهای کارت اعتباری گواهی، امضای مبتنی بر موبایل که شامل نرم‌افزارهای هامون و شرکت جی‌اس‌اس می‌شود و… نیز اقدام به صدور گواهی می‌کنند.»

به گفته او، اینکه این گواهی‌ها به نحوی صادر شود که به‌سرعت پاسخگوی نیاز بازار باشد، به معنای نوآوری در مراکز صدور است.

کووید 19 عامل اقبال به امضای دیجیتال است

در ادامه میثم فقیهی با بیان اینکه ریشه متعلق به وزارت صمت نیست، تصریح کرد: «در ساختار امضای دیجیتال کشور یک مرکز ریشه تعریف ‌شده است. قانون نیز سرویس‌دهنده آن را وزارت صمت معرفی کرده است. 15 وزارتخانه و نهاد در شورای عالی امضای دیجیتال عضو هستند؛ از قوه قضائیه گرفته تا وزارت بهداشت، مخابرات، وزارت ارتباطات و… . این شورا در واقع سیاست‌گذار و راهبرد مرکز ریشه است و وزارت صمت وظایف آن را انجام می‌دهد.»

او ادامه داد: «اینکه بانک مرکزی با دلایل و ویژگی‌های خاص خودش با شورای عالی امضای دیجیتال قرارداد همکاری امضا کند، منطقی است و تا این مرحله مسئله‌ای وجود ندارد. مهم این است که مرحله اجرایی و پیاده‌سازی در موقعیتی استاندارد با قابلیت توسعه‌پذیری صورت بگیرد.»

فقیهی خاطرنشان کرد: «با وجود اینکه زیرساخت امضای دیجیتال از سال‌های گذشته وجود داشته، این ابزار هنوز طفل است. اگر ماجرای دورکاری و کووید پیش نمی‌آمد، اقبال به سمت امضای دیجیتال مانند گذشته کم بود. پیشبرد امضای دیجیتال باید به گونه‌ای‌ باشد که دچار خدشه نشود و امکان رشد برای آن فراهم باشد. این اتفاق در صورتی رخ می‌دهد که نماد به سایر مراکز میانی نیز سرویس ارائه دهد یا به عبارتی مراکز دیگر هم بتوانند گواهی‌ها را صادر کنند.»

به گفته او، اگر نماد فقط در مرکز ریشه خلاصه شود، طبیعتاً دفاتر احراز هویت نیز کاهش پیدا می‌کند و در نتیجه از تعداد گواهی‌های صادرشده کم می‌شود.

جایگاه نماد در فضای حاکمیتی است

مصطفی جاویده در ادامه گفت: «یکی از مهم‌ترین موضوعات در بحث امضای دیجیتال جداسازی استاندارد از اجراست. لازم است نماد در جایگاه رگولاتوری باقی بماند و با ایجاد الزامات و استانداردها فضای رقابتی را گسترش دهد تا سایرین نیز به این فضا وارد شوند و به برطرف‌کردن مشکلات بپردازند. در غیر این صورت با سرویسی دولتی و معضلاتی مانند کیفیت و قیمت مواجه خواهیم شد.»

جاویده با بیان اینکه الزام استفاده از یک سامانه به معنای رانت است، ادامه داد: «در حال حاضر بانک مرکزی و سایر نهادهای رگولاتوری به ‌جای آنکه در فضای حاکمیتی باقی بمانند، به بخش‌های اجرایی ورود می‌کنند. به نظر می‌رسد این رفتار از عدم اعتماد به وندورها نشئت می‌گیرد. وجود یک مرکز برای صدور تمام گواهی‌ها، مدیریت آسان‌تری دارد، اما تبعات آن نیز کم نیست.»

زیرساخت کلید عمومی راه‌حل مدیریت دیجیتال است

کیوان ارج در ادامه بیان کرد: « در فضایی که همه سرویس‌ها به سمت غیرحضوری‌بودن حرکت می‌کردند، توسعه نوین همراه‌کیش به‌دنبال راه‌حلی برای مدیریت دیجیتال خود بوده است.»

او تأکید کرد: «یکی از کارکردهای امضای الکترونیکی احراز هویت است. در بحث کاربرد نیز مدیریت اسناد و داده‌پیام‌های کاربران و سازمان‌ها بسیار حائز اهمیت است و شاخصه‌های مهمی دارد که زیرساخت کلید عمومی یا همان PKI پاسخگوی تمام آنهاست.»

به گفته او، ماده 6 قانون تجارت الکترونیک اجازه می‌دهد از داده‌پیام به‌عنوان نوشته استفاده شود، به‌جز برخی معاملات. ماده 7 این قانون نیز می‌گوید در هر زمانی که به امضا نیاز باشد، می‌توان از امضای الکترونیکی استفاده کرد. ماده 32 قانون مذکور بحث شورای سیاست‌گذاری را مطرح کرده است، برای همین جهت دریافت این سرویس‌ها باید به مراکز میانی مراجعه کرد.

ارج اضافه کرد: «شرکت‌های خصوصی نوآور زمانی می‌توانند فعالیت کنند که رگولاتور در کنار زیرساخت‌های دولتی به آنها نیز مجوز فعالیت دهد.»

انحصاری‌شدن هامون، قاتل نوآوری بانک‌هاست

پوراعظم در خصوص ماهیت هامون توضیح داد: «هامون راه‌حل امضای مبتنی بر موبایل است که توسط شرکت خدمات انفورماتیک ارائه ‌شده است. بر اساس قانون نانوشته‌ای بانک‌ها موظف‌اند برای استفاده از امضای الکترونیکی بر بستر موبایل از هامون مجوز بگیرند.»

پوراعظم اضافه کرد: «دغدغه دوستان بانک مرکزی تعامل‌پذیری میان موجودیت‌های مختلف بین بانک‌هاست؛ به عبارتی اگر کاربری به یک بانک مراجعه و گواهی رأی مرکز نماد را دریافت کرد، برای استفاده از خدمات سایر بانک‌ها مجبور به احراز هویت مجدد و دریافت دوباره گواهی یکسان نشود. این دغدغه اصل درستی است که باید با یک روش منطقی حل شود. ایجاد الزام و انحصار توسط یک اپلیکیشن خاص مانع ایجاد نوآوری در بانک‌ها خواهد شد. روش درست این است که مرکز نماد اجازه دهد هر MSS بتواند با رعایت مقررات و الزامات امنیتی مرکز نماد و به کمک مرکز کاشف از مرکز نماد گواهینامه دریافت و صادر کند.»

پوراعظم بیان کرد: «درخواست دارم مرکز نماد را به‌عنوان یک مرکز صدور گواهی مستقل از یک ابزار و محصول امضای الکترونیکی بدانیم. این دو به هم مرتبط اما متصل نیستند. هیچ الزامی وجود ندارد که یک ابزار یا زیرساختی که می‌خواهد صدور گواهی امضای الکترونیکی بر موبایل انجام دهد، حتماً از راه‌حل از پیش تعیین‌شده استفاده کند.»

حاجی‌زاده نیز گفت: «اگر بخواهیم برای هر گواهی اپلیکیشن متفاوت نصب کنیم، نارضایتی کاربران را هم باید بپذیریم. این موضوع، مسئله جدیدی است و استفاده از آن به فرهنگ‌سازی منجر خواهد شد. باید اولین قدم‌هایمان را حساب‌شده برداریم تا کمترین مشکلات و پیامدها را برای مشتریان داشته باشد. در این خصوص به آقای محرمیان و بانک مرکزی نامه زده‌ایم و پیگیری‌هایی شده ولی موضوع هنوز به نتیجه مشخصی نرسیده‌ است.»

حاجی‌زاده مقدم در پایان تصریح کرد: «هامون راه‌حلی مبتنی بر موبایل است. در همین راستا برای بانک‌ها مبحث مهمی به‌شمار می‌رود؛ زیرا قرار است به این وسیله با مشتریان‌شان در ارتباطات باشند. اینکه برای پیاده‌سازی امضای همراه تنها یک گزینه در اختیار بانک‌ها بگذاریم، نتیجه‌ای جز انحصار نخواهد داشت.»