درنگی بر احراز هویت دیجیتال

صادق فرامرزی، مدیرعامل هلدینگ صاد / پس از نامه‌ای که توسط اداره مبارزه با پول‌شویی بانک مرکزی مبنی بر ممنوعیت احراز هویت غیرحضوری جهت خدمات پایه به بانک‌ها ابلاغ شد در میزگردی مطالبی گفتم که به برخی از آنها اشاره می‌کنم.

کرونا با وجود همه مصائبی که بر دنیا وارد کرد، در درون خود دارای فرصتی بود که جوامع مختلف به نسبت ظرفیت خود از آن بهره‌مند شدند. به گمان من شاید یکی از کشورهایی که کمترین استفاده را از این فرصت کرد، ما بودیم. این اعتقاد نافی تمام زحمات و تغییرات مشخص اتفاق‌افتاده در این دو سال نیست، منتها همین‌ که پس از دو سال از شیوع این بیماری و تقریباً در دومین سالگرد آن در مورد دروازه ورود به تحول دیجیتال؛ یعنی ابزار هویت دیجیتال چنین حکمی می‌آید، مؤید اعتقاد بنده است. حتماً می‌دانید که ماجرا همان تبصره (۳) ماده (۹۱) آیین­نامه اجرایی ماده ۱۴ الحاقی قانون مبارزه با پول‌شویی است که با پیگیری‌های فراوان در تاریخ ۱۳۹۹/۱۱/۲۹ به این شکل تغییر کرد:

هیئت‌وزیران در جلسه ۱۳۹۹/۱۱/۲۹ به پیشنهاد وزارت اقتصاد و به استناد اصل یکصد و سی و هشتم قانون اساسی جمهوری اسلامی ایران تصویب کرد: «در تبصره (۳) ماده (۹۱) آیین­‌نامه اجرایی ماده (۱۴) الحاقی قانون مبارزه با پول‌شویی موضوع تصویب‌­نامه شماره ۹۲۹۸۶/ت ۵۷۱۰۱هـ مورخ ۱۳۹۸/۷/۲۲، عبارت «ممنوع است» به عبارت «با رعایت دستورالعملی که به تصویب شورا می‌رسد، خواهد بود» اصلاح می‌شود.»

این یعنی بدون ارائه دستورالعمل تمام این مصوبه یعنی هیچ و متأسفانه دستورالعملی هم ابلاغ نشد.

هرچند نگارنده معتقد است می‌توان این نوع احراز هویت را غیرحضوری ندانست؛ چراکه با ابزارهای بیومتریک و تصاویر لایو، این نوع احراز هویت حضوری است، فقط شامل سطوح مختلف می‌شود و این در دنیا پذیرفته‌شده است. ما قوانین را از اسناد بالادستی بین‌المللی ترجمه می‌کنیم، اما هنگام تطبیق‌پذیری‌های بعدی سخت عمل می‌کنیم.

همواره از سجام به‌عنوان یک مثال خوب از استفاده درست و به‌موقع از فناوری جهت احراز هویت یاد می‌کنند که کاملاً درست هم هست و در زمان خود بسیار هوشمندانه عمل شد. به اعتقاد من ماجرای سجام مجموعه سمات را صاحب یکی از تمیزترین و کامل‌ترین دیتابیس‌های اطلاعات کاربران کرد، حتی شاید تنها مجموعه با این سطح دقت و حجم اطلاعات. در همان زمان این نگرانی را به بانک‌ها و مخصوصاً بانک مرکزی اعلام کردم که چه نظارتی بر شرکت‌هایی که ناگهان اعلام حضور کردند و با بانک‌های مختلف جهت احراز هویت غیرحضوری قرارداد بستند، وجود دارد؟ روند اجرای عملیات غیرحضوری را چه کسی تأیید می‌کند؟ نگهداری اطلاعات چگونه کنترل می‌شوند؟ آیا حواس‌مان بود که این شرکت‌های واسطه امکان دسترسی و لاگ چه سطحی از اطلاعات محرمانه‌ را دارند؟

البته لازم به ذکر است خوشبختانه خیلی از بانک‌ها این حساسیت را داشتند و کارهای امنیتی لازم را انجام می‌دادند.

همه اینها را بگذارید در کنار اینکه تکیه این عملیات بر این بود که افراد قبلاً در بانک حساب داشته‌اند، پس یک‌ بار احراز هویت شده‌اند، اما در سیستم بانکی این ابزار قابل اتکا نیز لزوماً وجود ندارد.

حتماً ملاحظه کرده‌اید که اگر در شعبه A بانکی احراز هویت حضوری شده باشید، در مراجعه به شعبه B همان بانک در زمانی دیگر برای افتتاح حساب مجدداً و به‌طور کامل احراز هویت می‌شوید، همه مدارک را مجدداً می‌دهید و همه فرایند را مجدد انجام می‌دهید. این یعنی شعبه B مسئولیت احراز هویت انجام‌شده در شعبه A را حتی در یک بانک نمی‌پذیرد. دقت کنید داریم در مورد احراز هویت حضوری صحبت می‌کنیم. حالا بماند که حتی در همان بانک A هم در صورت درخواست وام یا افتتاح حساب جدید یا… مجدد به‌طور کامل احراز هویت می‌شوید.

در چنین حالتی مگر می‌شود در مورد به‌اشتراک‌گذاری احراز هویت غیرحضوری حرف زد. اشکال کار جایی است که مبانی احراز هویت از استاندارد یکسانی برخوردار نیستند و هیچ نهادی جهت تأیید این پلتفرم‌ها انتخاب نشده است.

در چنین حالتی دو راه به ذهن‌مان می‌رسد:

1. حاکمیت مطابق علاقه قدیمی خود اقدام به تأسیس سامانه احراز هویت ملی کند. به‌طور مثال به شرکت خدمات انفورماتیک مأموریت بدهد سامانه‌ای جهت این فرایند تهیه کند و همه بانک‌ها از طریق یک سامانه واحد اقدام به احراز هویت کنند. مطلع هستیم که اتفاقاً این اقدام در مراحلی از اجرا وجود دارد.
2. حاکمیت اقدام به ابلاغ یکسری چهارچوب‌ها و الزامات در این حوزه کند که حتماً رفرنس‌هایی در این حوزه در دنیا وجود دارند (مانند EIDAS) و در کنار آن نهاد یا نهادهایی را جهت آدیت، ارزیابی و ارائه گواهی به این شرکت‌ها و البته محصولات معرفی کند. به ذهن من شرکت‌های کاشف و افتا می‌رسند که جداگانه یا توأمان این قابلیت را دارند.

بدیهی است با وجود اینکه شاید بخش بزرگی از فعالان حوزه با راه‌حل اول مخالف باشند، اما واقعیت این است که این مدل اتفاقاً کار می‌کند و برای شرایط همیشه حساس کنونی کارساز است. اشکالات مهمی هم بر آن وارد است‌‌؛ مانند دوری از انعطاف و نوآوری که اساساً به همه سامانه‌های حاکمیتی مرکزی این ایراد وارد است و باید دید رگولاتور در ترازو به کدام نتیجه می‌رسد.

راه‌حل دوم نیز عاقلانه به نظر می‌رسد و حتی به گمان من به‌شدت الزامی است، به شکلی که اعتقاد دارم حتی فردا برای تصمیم‌گیری در این حوزه دیر است.

شاید ترکیب توأمان دو راه‌حل بهترین راه‌حل باشد؛ یعنی ضمن تأسیس یک سامانه حاکمیتی (در صورت اصرار رگولاتور) استانداردهای این حوزه نیز به‌طور دقیق تدوین و ابلاغ شود و اجازه فعالیت بخش‌های خصوصی و فین‌تک‌ها نیز در این حوزه داده شود. حوزه هوش مصنوعی پرچمدار فناوری در سال‌های پیش رو خواهد بود.

لطفاً فراموش نکنید که ما داریم در مورد به‌اشتراک‌گذاری احراز هویت صحبت می‌کنیم. در چنین حالتی رگولاتور برای خطاهایی که در این حوزه وجود دارند نیز باید روال بنویسد تا بانک‌ها بدون نگرانی بتوانند مسئولیت پذیرفتن احراز هویت انجام‌شده توسط دیگری را بپذیرند.

رگولاتور باید قوانین به‌طور خاص GDPR را در استانداردسازی به‌اشتراک‌گذاری و ذخیره داده‌های کاربران شامل اخذ تأیید و اجازه کاربران جهت به‌اشتراک‌گذاری داده‌های وی و امکان لغو مجوزهایی که قبلاً صادر کرده را بررسی و در مستندات خود مدنظر قرار دهد.

دقت کنید در دنیای نوآوری باز مفهوم مالکیت داده توسط بانک‌ها به حاکمیت داده تغییر شکل یافته؛ بنابراين دیگر بانک‌ها مالک داده مشتریان خود نیستند، بلکه فقط حاکم آن هستند و مسئولیت حفظ امنیت و محرمانگی آن را به عهده دارند.

البته حتماً راه‌حل سومی نیز وجود دارد که بگذاریم همین‌طور شرایط بدون رگولاتوری بگذرد و امیدوار باشیم اتفاقی نیفتد و بانک‌ها و سازمان‌هایی که اعتقاد به راه‌انداز جا بنداز، دارند و خیلی نگران عدم تطبیق نیستند، بازار را بگیرند، البته به‌شدت معتقدم این از حوزه‌هایی است که در صورت اتخاذ این تصمیم یا تأخیر در تصمیم درست، حتماً مجبور به تدوین یک طرح صیانت در این حوزه نیز خواهیم شد.

تلاش می‌کنم در مورد مسائل جاری در مورد امضای الکترونیک نیز بعداً مطالبی بنویسم، اما بخش اول تشکیل‌دهنده هویت دیجیتال چیزی نیست به‌جز احراز هویت دیجیتال که اجزای کاملاً تست‌شده و تمرین‌شده در دنیا دارند و نیاز و عادت قدیمی ما به اختراع مجدد چرخ را مرتفع می‌کند.

در پایان اشاره می‌کنم که مستند احراز هویت دیجیتال توسط گروهی در بانک مرکزی آماده شد و در تابستان سال گذشته (1399) تقدیم بانک مرکزی شد.