چم و خم ارائه سرویس‌های بانکی و پرداختی مبتنی بر NFC در ایران از زبان لطفی آذر

رونمایی از محصول NFC زمانی که به‌پرداخت از محصول خود رونمایی کرد باعث شد تا فاز جدیدی از پرداخت در کشور شکل بگیرد. اما این مسئله چالش‌هایی را هم به همراه داشت به‌طوری‌که شاپرک مدعی شد این شرکت باید مجوز دریافت کند درحالی‌که مسئولان شرکت به‌پرداخت ملت عنوان می‌کردند مجوز لازم را از بانک مرکزی دریافت کرده‌اند ضمن اینکه این محصول مورداستفاده عموم قرار نگرفته است. البته در نهایت هماهنگی‌های لازم با شاپرک جهت دریافت مجوز فراهم شد اما همین اتفاق باعث شد تا شرکت‌های دیگر پرداخت نیز مدعی باشند که دارای فناوری ان‌اف‌سی هستند. در گفت‌وگو با رسول لطفی آذر رئیس هیئت‌مدیره شرکت بهسازان ملت و مدیر طرح مبنا در پژوهشکده پولی و بانکی به طرح مسئله چالش مقوله NFC از بعد اجرا و سیاست‌گذاری بررسی شد. متن این گفت‌وگو در ادامه می‌آید.

.

امروز در خصوص NFC مباحث پرهیاهویی مطرح می‌شود. به نظر شمال علت چیست؟

PSPها از یک طرف برای تکنولوژی POS که NFC هم در آن به کار رفته هزینه کردند و از طرف دیگر به دنبال ابزارهای دسترسی به کارت هستند چراکه همزمان با توسعه سخت‌افزاری، آموزش‌های لازم برای استفاده از این ابزارها صورت نگرفته است. برای مثال یکی از شرکت‌ها از دو سال پیش 500 هزار دستگاه POS با قابلیت NFC در فروشگاه‌ها نصب کرده که از آن بهره‌برداری نشده است چراکه اغلب مردم یا نرم‌افزار مربوطه را در موبایل خود ندارند یا از وجود این تکنولوژی بی‌اطلاع‌اند.

.

چرا اطلاع‌رسانی لازم صورت نگرفته است؟

طبق صحبتی که اخیراً شاپرک اعلام کرده استفاده از فناوری NFC مستلزم اخذ یک سری مجوز از بانک مرکزی و شاپرک است. این مسئله بدان معنا است که داشتن صرفاً پایانه‌هایی که مجهز به NFC هستند برای این امر کافی نیست بلکه برای راه‌اندازی سرویس پرداخت با تکنولوژی NFC در کنار ابزارهای دیگری به نام موبایل که مجهز به NFC هست باید در بانک نیز بستر لازم فراهم آید.

.

براساس گفته شما برای راه‌اندازی سرویس پرداخت با تکنولوژی NFC پنج رکن بانک، شرکت پرداخت، کارت، پایانه و موبایل ضروری است؟

دقیقاً همین‌طور است. هم‌اکنون برخی شرکت‌های PSP به زعم خودشان این ابزار را در بسیاری از فروشگاه‌ها نصب کرده و این تصور را دارند که خودشان به تنهایی می‌توانند از تکنولوژی استفاده ببرند. درحالی‌که اساس NFC یعنی جایگزینی کارت با موبایل‌های دارای دسترسی به اطلاعات حساب بانکی. در نتیجه تحقق این فرایند مستلزم ایجاد قابلیت لازم از سوی بانک صادرکننده کارت و حساب و آگاهی مشتری از قابلیت‌ها و ریسک‌های مترتب بر این فناوری است. به‌بیان‌دیگر فرض بر این است که شرکت پرداخت POS را راه‌اندازی کرده اما در کنار این مسئله راه‌اندازی موبایل POS به جای کارت لازم است همچنین اجرای برخی مقررات مرتبط از سوی بانک صادرکننده که توسط بانک مرکزی مصوب شده نیز الزامی است. و نکته بسیار مهم‌تر این است که بانک‌ها باید مشتریان را از مخاطرات این سرویس آگاه کنند. مثل سرقت گوشی موبایل و دسترسی به اطلاعات حساب.

.

در بخش دستورالعمل و پروتکل روند چگونه باید باشد؟

برای راه‌اندازی NFC باید بانک‌ها دستورالعمل‌های روشن و شفافی داشته باشند. همچنین برخی پروتکل‌ها است که بین POS و موبایل ردوبدل می‌شود. برای اینکه شما به جای کشیدن کارت، کلیدی را روی موبایل بگذارید که POS آن را شناسایی کند.

.

در حال حاضر تماس نزدیک شما فقط روی کارت‌خوان‌های به‌پرداخت جواب می‌دهد و این خود یک محدودیت است؟

دقیقاً، بر همین اساس مسئله ما فعلاً این است که بانک ملت هر کارت‌خوانی را جایی نصب کرده است فقط برای مشتری خاص خود سرویس را فعال می‌کند درحالی‌که بهتر این بود که مشتری با گوشی دارای قابلیت NFC می‌توانست از هر POS ی استفاده کند. کلیدگذاری برای این استاندارد مستلزم اقداماتی توسط شاپرک است. همچنین بانک‌های عامل باید پروتکل‌هایی را بپذیرند و دستورالعمل‌هایی را اجرا کنند که مشتریان را نسبت به این فناوری و مدل دسترسی به حساب و مخاطرات آن آگاه کنند. ضمن آنکه هر عملیاتی در نظام بانکی کاملاً قابل رصد باشد.

.

بنا بر گفته شما برای راه‌اندازی NFC باید بانک‌ها دستورالعمل‌های روشن و شفافی داشته باشند. چرا این پروتکل‌ها تاکنون از سوی بانک‌ها اجرایی نشده، درصورتی‌که مباحث آن از چند سال پیش مطرح است؟

معمولاً تکنولوژی در بخش‌هایی جلوتر از چارچوب‌ها و دستورالعمل‌ها پیش می‌رود.  اما بانک‌ها می‌گویند دلیل این امر عدم اطمینان از آینده این بخش است یعنی ممکن است یک بانک برای این بخش هزینه‌هایی را انجام دهد و 4 صباح دیگر دستورالعمل‌ها و مقررات جدیدی از سوی بانک مرکزی صادر شده و تمام سرمایه‌گذاری‌ها بر باد برود. برای مثال سه سال پیش یکی از بانک‌ها قصد حرکت به این سمت را داشت اما دقیقاً به همین علت منصرف شد.

در مورد NFC تغییرات بسیار پیچیده و عظیمی در بانک‌های دارای سوئیچ وارد نخواهد شد و متحمل هزینه‌های گزاف نمی‌شوند. البته بانک‌ها این نگرانی را دارند؛ برای مثال چرا در ایران حرکت به سمت کارت‌های هوشمند شروع نمی‌شود؟ چون بانک‌ها نگران‌اند که یک وقت بانک مرکزی روی چیپ کارت‌ها، فناوری یا آپشن امنیتی جدید وضع کند، بنابراین تکلیف 350 میلیون کارت که در دست مردم است چه می‌شود؟ همین امر باعث شده که ما در کشورمان یک کیف پول کامل نداشته باشیم. یک بار هم که یک کیف پول کارت سوخت راه‌اندازی شد ما آن را به رسمیت نشناختیم. بنابراین ما یک ابزار مهم کیف پول را از دست می‌دهیم به همین دلیل. درواقع ما در ایران تکنولوژی‌ها را خوب می‌شناسیم و خوب می‌توانیم به کار بگیریم اما وقتی به مرحله سیاست‌گذاری و برقراری چارچوب‌ها می‌رسیم نهادهای حاکمیتی مرتبط نمی‌دانند اجرایی شدن آن را چگونه سیاست‌گذاری کنند.

.

علت این نوع سیاست‌گذاری چیست؟ مثلاً چهار سال پیش بانک مرکزی طرح سپاس را کلید می‌زند و پس از چند سال دستور توقف می‌دهد. طرح با آن همه سرمایه‌گذاری مالی و زمانی ناکام می‌ماند. از آن سو تلاش بانک‌ها نیز عقیم می‌ماند. بانک‌ها ضرورت وجود کیف پول را احساس می‌کنند چون می‌تواند حجم عظیمی از شبکه آن‌ها را آزاد کرده و بسیاری از امور را انجام دهد اما سیاست‌گذار روش دیگری را در پیش گرفته است.

خوشبختانه اخیراً در کشور این روند در میان نهادهای حاکمیتی جا افتاده که کم‌کم از تصدی‌گری و اجرا خارج شده و وظیفه نظارت خود را در پیش گرفته و کار را به بخش خصوصی بسپارند. از سوی دیگر راه برای مشاوران خارجی باز شده که می‌توانند الگوهای فکری و مشورتی به ما بدهند. برای مثال اگر بانک مرکزی بخواهد در بخشی، به‌عنوان مجری وارد شود همین مشاوران می‌توانند بانک مرکزی را از این کار منع کنند.

 .

اما مگر همین توصیه را از چندین سال پیش کارشناسان و مشاوران داخلی به بانک مرکزی گوشزد نمی‌کردند؟ چرا وقتی مشاور خارجی این را می‌گوید بانک مرکزی می‌پذیرد درصورتی‌که این مشاوران خارجی حرف جدیدی نزده‌اند. یک زمانی برخی مدیران سیاست‌گذار کنترل بر صفر تا صد امور را در اختیار گرفته بودند اما هم‌اکنون به تدریج در این افراد تفکرات توسعه‌یافته شکل گرفته و کلان‌روندهایی نظیر EMV، IFW، بازل 3 و… وارد می‌شود، چگونه باید این حجم ورودی مدیریت شود؟

باز هم خود نهاد حاکمیتی به جای نظارت، مسئول اجرای این فرایندها می‌شوند. در یکی از خبرهای اخیر سایت خبری بانکداری الکترونیک در بحث اتصال شبکه پرداخت جهان و صدور کارت اعتباری بین‌المللی، باز هم بانک مرکزی تصمیم گرفته که خود به تنهایی این کار را بکند و بانک‌ها صرفاً کارگزار باشند.

خیر صرفاً در حال تدوین و ابلاغ استانداردها است.

.

خبر آن با منبع موثق وجود دارد!

ان‌شاءالله که این‌طور نباشد.

.

فعلاً روند این‌گونه است. یک سؤال چرا وقتی ویزا و مستر و… تنها یک بنگاه اقتصادی هستند؛ اما بانک مرکزی به‌عنوان یک نهاد حاکمیتی‌شان خود را حفظ نمی‌کند و اجازه نمی‌دهد بنگاه‌های اقتصادی ما (بانک‌ها و شرکت‌های پرداخت) خودشان بروند با این شرکت‌ها هماهنگ کنند و نهاد ناظر فقط نقش نظارتی خود را حفظ کند؟

البته یک سری ملاحظات ناشی از تحریم‌های چندساله در بانک مرکزی وجود دارد که ما از همه آن‌ها مطلع نیستیم. به نظر من بانک مرکزی آگاهانه دست به این اقدام زده است. روسیه را مثال می‌زنم که یک روز صبح ویزا و مستر این کشور را تحریم کردند و عملاً این کشور در آستانه ساقط شدن قرار گرفت چون سوئیچ‌های غیرمتمرکز در این کشور وجود نداشت، اغلب مردم این کشور دارای کارت‌های ویزا و مستر بودند و اگر تحریم واقعی صورت می‌گرفت میلیاردها دلار و یورو از مردم در جیب کسی دیگر بود و نمی‌توانستند آن را بگیرند.

.

مثال‌های متعدد دیگری هم می‌توان زد که مغایر این روند را نشان می‌دهد.

 نکته مهم آن است که پروتکل‌ها در کشور ما باید بومی‌سازی شود چون ما تجربه متفاوتی با کشورهای دیگر در مورد تحریم‌ها داشته‌ایم. باید این‌ها را جداسازی کنیم. من به بحث NFC بازمی‌گردم که نکته آخر را توضیح دهم و آن اینکه دارندگان ابزارهای واجد NFC -یعنی مردم- باید آموزش‌های لازم را ببینند. حتی سمت پذیرندگی و صادرکنندگان که سال‌هاست دنبال کارمزد هستند، با وجود این تکنولوژی جدید می‌توانند این فرصت را ایجاد کنند که با حمایت شاپرک، قانون کارمزد را اجرایی کنند.

به نظرم اساساً مسئله ما الآن تکنولوژی نیست. هم شما و به‌پرداخت هم اغلب فعالان صنعت بانکداری و پرداخت الکترونیک و پرداخت سالیان زیادی است که ان‌اف‌سی را می‌شناسند و با آن از نزدیک آشنایی دارند و علت اصلی هم آن است که می‌خواهند در رقابت نوآور باشند و خدمات بهتری به مشتری ارائه دهند، در نتیجه در این راستا هم آموزش‌های لازم را به مردم می‌دهند و هم ابزارهای لازم را تأمین می‌کنند و هم تلاش می‌کنند امنیت لازم را برای وی فراهم کنند. اما سؤال اینجاست که چرا این پروژه و بسیاری دیگر پروژه‌ها مانند کیف پول و… اجرایی نشده.

.

سؤال من این است که مسئله ما اگر تکنولوژی نیست پس کدام است؟

ما باید به نهادهای خصوصی و مشورتی در بانک مرکزی و شاپرک بیشتر فرصت بدهیم. باید این بیزینس‌هایی که همزمان با توسعه تکنولوژی شکل می‌گیرد را پیش‌بینی کنیم که اگر یک بانک متقاضی اجرای NFC شد بتوانیم چارچوب ابلاغی آن را به بانک ارائه داده و حمایت کنیم.

.

 من یک سؤال از شما بکنم. چند سال از زمان ظهور NFC گذشته است؟

حدود 8 سال.

.

 شاپرک چند ساله است؟

حدود 4 سال.

.

چرا شاپرک امروز که بانک ملت تصمیم به استفاده از این فناوری گرفته، به فکر تهیه استانداردها و زمینه‌سازی‌ها افتاده است؟ چرا در این 4 سال چنین اقداماتی صورت نگرفته است؟

من زمانی جزو منتقدین شاپرک بودم اما اگر شاپرک به وجود نمی‌آمد بسیاری از مسائل امنیتی را ما رعایت نمی‌کردیم.

.

به نظر من، علت آن است که از ابتدا مسئله بد تعریف شد در نتیجه مسیر پرداخت منحرف شد و درواقع مسئله به سمتی رفت که ضرورت یک نهاد متمرکز به میان می‌آید. ما تکنولوژی را داریم و از این حیث مشکلی وجود ندارد. مثلاً در بحث USSD که سهم زیادی از تراکنش‌ها را هم دارد بانک مرکزی روی آن دست می‌گذارد. درحالی‌که نقش بازدارنده بانک مرکزی شرکت‌های پرداخت را مجبور به استفاده از این تکنولوژی کرد.

از قضا بانک مرکزی در مورد USSD اجازه داد تا بانک‌ها خودشان متوجه مخاطرات آن بشوند اما ولع این ثروت و کارمزد همه PSPهای ما را فراگرفت (البته فقط یکی دو تا PSP بودند که هر کاری برای رسیدن به کارمزد از طریق پرداخت‌های مبتنی بر USSD انجام دادند) ولی زمانی که بانک مرکزی دید که کسی در نظام بانکی متوجه مخاطراتی که برای دارنده کارت وجود دارد نیست باید هم ورود کند.

.

پس چرا بعد از این همه مدت که این تکنولوژی در میان اجتماع گسترش یافت آن را ممنوع کرد؟

برای اینکه هر تکنولوژی باید یک زمان منطقی برای اجرا و آزمون داشته باشد تا به تغییر روش برسیم.

 .

پس تکلیف این موج عظیم که در جامعه شکل گرفته چه می‌شود؟

این ناشی از میل درآمدزایی PSP ها بود که از نظر امنیتی اشتباه است.

.

قطع نظر از اینکه باید روش جایگزین وجود می‌داشت، اما یک سؤال در این چند سال طبق آمار، چند مورد تقلب در سیستم USSD اتفاق افتاده است؟ از یک طرف هیچ اتفاق ناخوشایندی در USSD نیفتاده و از یک طرف بانک مرکزی مدام می‌گوید این سیستم ناامن است. از سوی دیگر جایگزینی هم اجازه نداده ظهور کند.

البته ممکن است اتفاقات ناخوشایند افتاده باشد و من و شما در جریان نباشیم.

وقتی شماره کارت و رمز دوم شما در سرور یک اپراتور وارد می‌شود…

.

 پلیس فتا همواره ارقام درست و قابل‌توجه را رسانه‌ای کرده است که در مورد USSD مورد خاصی نداشته‌ایم.

یعنی شما معتقدید که USSD باید توسعه یابد؟

 .

خیر، حرف من این است که شما وقتی اجازه جایگزینی ابزار جدید و کارآمدتر را نمی‌دهید این ابزار با اینکه قدیمی است پرکاربرد می‌شود. به جای ممنوع کردن باید فضای لازم برای توسعه کیف پول ایجاد شود… حالا اگر یک خارجی این را بگوید همه می‌پذیرند درصورتی‌که از 10 سال پیش بسیاری از کارشناسان ما این را بیان می‌کنند.

سال‌هاست بانک مرکزی موضع خود را در مورد کیف پول گفته است اما هیچ بانکی حاضر به سرمایه‌گذاری نشده است. مثلاً استاندارد کیوا را مطرح کرده که شما می‌توانید طبق آن استاندارد کارت بخرید و مانده روی کیف بگذارید.

.

سپاس به‌عنوان یک سامانه متمرکز راه‌اندازی شد که بعد از چند سال خود بانک مرکزی به ناکارآمد بودن آن پی برد و طرح را متوقف کرد. بعد به صورت شفاهی گفت بانک‌ها خودشان بروند کیف پول راه بیاندازند. که در مورد آن هم هنوز استانداردهای مشخصی ابلاغ نشده و ممکن است یک بانک سرمایه‌گذاری کند و کیف پول را به مرحله اجرا دربیاورد، بعد بانک مرکزی بگوید: «خیر! این موردقبول ما نیست، آن موردنظر ماست و ما نظر دیگری داریم.» من می‌گویم ریسک ما در تکنولوژی نیست، ریسک ما بانک مرکزی است. ریسک بزرگ شبکه بانکی ما بانک مرکزی است. بانک مرکزی ضرورت‌های کسب‌وکار را در نمی‌یابد. ضرورت‌های کسب‌وکار را بنگاه می‌فهمد که با مشتری در تماس مداوم است. بانک مرکزی چه درکی می‌تواند از مشتری داشته باشد. شاید مسئله ما این باشد که این ضرورت را گم یا پنهان می‌کنیم.

در اینکه ما باید برای مدیریت این تکنولوژی‌های جدید در حوزه پیمنت یک ساختار حرفه‌ای داشته باشیم شکی نیست.

.

و دقیقاً سؤال من این است که چرا تاکنون این ساختار حرفه‌ای شکل نگرفته است؟

ما اگر به بانک مرکزی در حوزه IT نگاه می‌کنیم تعداد معدودی از پرسنل با حجم عظیمی از وظایف را می‌بینیم.

.

خب خود این ایراد است. چرا باید این‌گونه باشد؟

برای مدیریت نقدینگی کشور مجبور شدیم چکاوک را راه‌اندازی کنیم که این همه سخت‌افزار و نرم‌افزار و زحمت که برای این امر می‌گذاریم ناشی از بازار ماست وگرنه در هیچ کجای دنیا این حجم از چک پاس نمی‌شود. هیچ جا چکاوک ندارد. ولی ما به‌خاطر نوع فرهنگ بازارمان و برای مهار و کنترل آن، هزار جلسه و کارگروه و برنامه می‌گذاریم. درواقع هدر رفتن پتانسیل‌های حرفه‌ای کشور حول بیزینس‌های نادرستی است که به نظام بانکی ما تحمیل شده و این یک دغدغه و مشکل اساسی است.

.

اقتصاد هر کشوری مختصاتی دارد. همین طرح خروج فیزیک چک از سال 86 کلید خورد. چکاوک به خاطر تعدد زیاد چک ایجاد نشد. بلکه بانک مرکزی به‌عنوان یک ابزار نظارتی به آن نگاه و سپس آن را راه‌اندازی کرد. قصد اصلی پیشگیری از اضافه برداشت بانک‌ها از منابع بانک مرکزی بود.

اگر مقایسه بکنیم در بخش IT بانک‌های کشورهای پیشرفته چند نفر کار می‌کنند؟ وقتی دولت‌ها زمان و فضای کافی برای ایجاد این ساختارها را ندارند و با همان چیزی که به ارث رسیده حرکت می‌کنند طبیعتاً نباید نوک پیکان را فقط به سمت یک مجموعه گرفت. باید در ابعاد کلان‌تر ساختارهای لازم برای پذیرش این حجم از تغییرات تکنولوژی را به وجود بیاوریم و بعد از آن، انتظارات این‌چنینی مطرح شود. اما با وجود نوع بازی بازیگرها تجربه نشان می‌دهد، آن ظرفیت‌ها به وجود نمی‌آید. باید در نقشه راه بانک مرکزی و در برنامه‌های کلان کشور این جایگاه‌ها شکل بگیرد. وگرنه اینکه ما روی یک نهاد یا یک نفر زوم کنیم اشتباه است…

.

 من نمی‌گویم دیگر بخش‌ها و نهادها مقصر نیستند اما وقتی به تقسیم‌بندی میزان اثرگذاری‌ها بر این وضعیت می‌رسیم می‌بینیم که نهادهای حاکمیتی نقش پررنگ‌تری دارند.

ولی به تعداد محدود…

.

 خیر، من معتقدم نقش‌ها به صورت نادرست تعریف شده است.

وقتی ساختار نباشد در طول زمان هر برنامه‌ای که اجرا شود عقیم می‌ماند.

.

دقیقاً. به همین دلیل است که می‌گویم باید نقش‌ها از نو تعریف شوند و هر کسی مسئولیت خود را برعهده بگیرد ناظر نظارت کند و مجری اجرا کند تا ساختار درست شکل بگیرد. حال به‌عنوان جمع‌بندی بحث، درنهایت با NFC چیکار کردید؟ اختلافی که بین شما و شاپرک و بانک مرکزی وجود داشت حل شد؟

کدام اختلاف؟

.

 شاپرک اعلام می‌کند که آقای به‌پرداخت مجوز ندارد اما آقای گشتاسبی می‌گوید که مجوزش را از آقای حکیمی (حلقه حکیمی) گرفته است اما ظاهراً شفاهی.

طبیعتاً باید این مجوز به صورت مکتوب و از سوی بانک مرکزی ابلاغ شود.

.

منظورتان از بانک مرکزی، شاپرک است یا اداره نظام پرداخت؟

در حوزه POS و استانداردهای موردنیاز موبایل و POS، باید شاپرک ورود کند و مجوز بدهد اما در حوزه دارنده کارت و بانک صادرکننده، باید بانک مرکزی مجوز بدهد.

 .

آیا لازم نیست دستورالعمل مربوطه از سوی نهاد ناظر ابلاغ شود و شاپرک بر اجرای آن نظارت کند. البته بخشی از آن نیز در بانک اتفاق می‌افتد اما چون کار اصلی روی POS صورت می‌گیرد نقش اصلی با شاپرک است؟

بله، کلیدی که باید روی موبایل قرار بگیرد که بتوان بدون محدودیت از POSهای مختلف استفاده کرد باید توسط شاپرک اعمال شود چون درست نیست شرکت به‌پرداخت یا ایران‌کیش توکن خود را به دیگران بدهند. باید در این میان، یک متولی نقش حاکمیتی را بازی کند.

.

البته یک اشکال هم در اینجا وجود؛ چرا PSPها یک نهاد صنفی ندارند که بسیاری از این مسائل را در همان نهاد صنفی حل کنند.

نهاد صنفی دارند؛ شاپرک.

.

 شاپرک نهاد صنفی نیست، بلکه نماینده بانک مرکزی است.

خیر، این بانک‌ها هستند که سهام شاپرک را در اختیار دارند.

.

 این بحث سهامدار بودن بانک‌ها در شاپرک، فقط کاغذی است. روی کاغذ سهامدار هستند اما در حقیقت این‌گونه نیست. چون سهام ممتاز متعلق به بانک مرکزی و شرکت ملی انفورماتیک است و درنتیجه رأی اکثریت مطلق همیشه از آن بانک مرکزی است.

اشکال ندارد، آیا تاکنون بانک‌ها چیزی از شاپرک خواسته‌اند که او رعایت نکند؟

 .

مسئله اینجاست که مدیرعامل شاپرک اصلاً کاری به هیئت‌مدیره ندارد و همه امور را مستقیماً با بانک مرکزی تعیین تکلیف می‌کند.

من امیدوارم وضعیت به مرور بهتر شود.

منبع: ماهنامه بانکداری آینده، شماره 14 مهر 1395