پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
جرمانگاری «عدم احراز هویت کاربران» در نیمه بهمن ماه سال گذشته، احراز هویت افراد را وارد فاز جدیدی از اجرا کرد. اگر تا پیش از آن احراز هویت برای ارائه خدمات دولتی جزو الزامات به شمار میآمد، حال بیدقتی در انجام آن؛ متصدی ارائه خدمات دولتی را مجرم میکند و او را با مجازاتهایی مانند انفصال از خدمت، جزای نقدی و پرداخت خسارت روبرو خواهد کرد.
به گزارش پیوست، در ماده ۷ قانون اصلاح قانون مبارزه با پولشویی که لابهلای لوایح چهارگانه FATF که مجلس به تصویب رسید، گفته شده کارمندان نهادهای دولتی و مرتبط با موضوع باید به نحو کافی و وافی احراز هویت را انجام دهند و در صورت اجرا نکردن آن به انفصال از خدمت و جزای نقدی و جبران خسارتهای وارد شده محکوم خواهد شد.
با تصویب این قانون میتوان پیشبینی کرد که امسال موضوع احراز هویت کاربران در فضای مجازی هم وارد فاز جدیدی از اجرا شود و اگر سال گذشته برای احراز هویت شهروندان در این فضا از سامانههایی مانند نهاب و شاهکار کمک گرفته شده، امسال علاوه براین سامانهها، نهادهای مختلف نیز باید به فکر راهکارهایی باشند تا احرازهویت دقیقتری برای ارائه خدمات الکترونیکی خود به کاربران در فضای مجازی انجام دهند.
احراز هویت اولین عمل حقوقی
اولین عمل حقوقی که برای هر فردی پس از به دنیا آمدنش انجام میدهند، احراز هویت وی است. از گواهی تولد گرفته که درست لحظهای پس از بهدنیا آمدن کودک در بیمارستان صادر میشود تا صدور شناسنامه توسط سازمان ثبتاحوال به صورت رسمیتر، همه و همه نتیجهاش احراز هویت شخصی است که تازه پا به این دنیا گذاشته است. هویتی که معمولا تا روزهای پایانی عمر شخص همراه اوست و از آن راهگریزی ندارد.
اما رنگ و بوی احراز هویت در دنیای مجازی کمی متفاوتتر است. با وجود اینکه باید تولد ۵۰ سالگی اینترنت را جشن بگیریم (تولد اینترنت ۱۹۶۹ رقم خورده است)؛ اما هنوز احراز هویت در این دنیا یکی از چالشهای پیش رو به شمار میآید. موضوع احراز هویت زمانی برای ما جدی شد که بسیاری از فعالیتها روی شبکه مجازی یا دنیای مجازی قرار گرفتند. حال افراد میتوانند با یک کلیک، بسیاری از خدمات دولتی را دریافت کنند یا میتوانند خرید کنند، به مسافرت بروند، پول جابهجا کنند و فعالیتهای بانکی خود را نجام دهند. تمامی این سرویسها در شرایطی به مردم ارائه میشود که هنوز امکان احراز هویت دقیق افراد در فضای مجازی وجود ندارد و گسترده شدن هر روزه این خدمات مدیران تصمیمگیر کشور را با چالشی جدی مواجه کرده است.
اگر در دنیای واقعی احراز هویت فقط و فقط با شناسنامه و کارت ملی انجام میشود؛ اما فناوری اطلاعات امکانی را در اختیار دستگاههای مختلف قرار داده که هر کدام بتوانند بخشی از فرایند احراز هویت را به انجام برسانند که یکپارچه نبودن این فرایندها نیز میتواند چالش دیگری به شمار آید.
تاکنون برخی سازمانها و نهادها قدمهای اولیهای را برای احراز هویت کاربران در فضای مجازی برداشتهاند. برای نمونه سازمان تنظیم مقررات و ارتباطات رادیویی با سامانه شاهکار به احراز هویت کاربران در فضای مجازی کمک میکند و شبکه بانکی نیز در این زمینه سامانه نهاب را برای خود ایجاد کرده است. قوه قضائیه نیز پیشنهاد میدهد دستگاههای دولتی و غیز دولتی از سرویس احراز هویت سامانه ثنا این قوه برای احراز هویت بهره برند. این سامانه که برپایه امضای الکترونیکی ایجاد شده به کاربران خود این اجازه را میدهد که به صورت مجازی شناسایی شوند و اسناد مورد نیاز را امضا کنند. درست همان سازو کاری که برای امضای الکترونیکی از سوی مرکز توسعه تجارت الکترونیکی پیشبینی شده بود.
مرکز توسعه تجارت الکترونیکی با تصویب قانون تجارت الکترونیکی ملزم به صدور امضای الکترونیکی شد تا از طریق آن هویت افراد در فضای مجازی شناسایی شود؛ اما اختلاف نظر بر سر مدیریت مرکز ریشه گواهی الکترونیکی موجب شد که این ماده قانونی تا امروز نیز به صورت کامل اجرا نشود. هر چند طبق گفته مسئولان اینن مرکز آنها امسال برنامه خاصی برای اجرایی کردن و صدور امضای الکترونیکی دارند. از سوی دیگر پیشنهاد لایحه تراکنشهای الکترونیکی که سال گذشته پیشنویس آن تهیه شده بود و برای اظهار نظر در اختیار کارشناسان قرار گرفت در صورت تصویب میتوانست سرانجام امضای الکترونیکی و احراز هویت در فضای مجازی را به صورت کامل تغییر دهد. با وجود اینکه این لایحه هنوز به سرانجام نرسیده است؛ اما بخشی از پیشبینیهای صورت گرفته در این قانون مانند هویت سنجی افراد از طریق سیمکارت محقق شده است.
گلایه از ناشناس ماندن
گسترش ارائه خدمات الکترونیکی و به تبع آن انتقال پول به صورت الکترونیکی با توجه به احراز هویت ناقصی که صورت میگیرد موجب شده طبق گفته پلیس فتا، جرایم رایانهای در این زمینه طی ۶ ماه اول سال گذشته نسبت به مدت مشابهاش در سال ۹۶ حدود ۵۰ درصد افزایش یابد. همین آمار موجب شد که سال گذشته پلیس فتا در جلسات مختلف از بانک مرکزی بخواهد تا برای انتقال وجه الکترونیکی در بستری امنتر تلاش کند یا محدودیتهایی برای انجام تراکنشهای الکترونیکی ایجاد کند.
اما ایجاد محدودیت در بسترهایی که مردم در حال استفاده از آن هستند یا اعمال هر گونه تغییر در آن بسترها کار چندان سادهای نیست و با صدور یک یا چند دستورالعمل اجرایی امکان فراهم کردن این درخواستها وجود ندارد.
بانک مرکزی برای اینکه بسیاری از سرویسها را از خطر تعطیلی نجات دهد جلسات فشردهای را با پلیس فتا از یکسو و شرکتهای ارائه دهنده خدمات پرداخت، بانکها و همچنین استارتآپهای فعال در این حوزه برگزار کرد تا راهی برای انجام تراکنش امن و در نهایت احراز هویت کاربران در فضای مجازی بیابد. نتیجه این جلسات الزام بانکها به بکارگیری رمزیکبار مصرف و برنامهزمانبندی شده برای آنان تا اجرای آن است. هرچند بانکها و شرکتهای ارائهدهنده خدمات پرداخت برای اجرای کامل آن تا خردادماه امسال فرصت دارند اما از آذر ماه سال گذشته مسئولیت هر گونه حادثه احتمالی و جبران خسارت ناشی از این حوادت برعهده بانکها گذاشته شده است. طبق گزارشهای تهیه شده از سوی بانک مرکزی تقریبا تا پیش از پایان سال گذشته فقط ۷ بانک موفق به اجرا وپیادهسازی رمزیکبار مصرف(OTP) شدهاند.
البته این سیاستگذاریهای زمانبندی شده نیز نتوانست پلیس فتا را راضی کند و آنان در نامهای به بانکها از آنان خواست تا زمان اجرایی شدن بخشنامه بانک مرکزی در خصوص احراز هویت و تقویت امنیت پرداخت۴ محدودیت را برای اپلیکیشنها پرداختی اعمال کنند. طبق در خواست فتا شرکتهای مرتبط با اپلیکیشنهای پرداخت (آپ، پات، سکه، تاپ و…) باید تنها به شماره همراه دارنده حساب اجازه انجام تراکنش از کارت یا حساب از طریق اپلیکیشنهای فعال در این زمینه را بدهند. این شرکتها همچنین در میزان و تعداد تراکنشها، حوزه مکانی و جغرافیایی استفاده از اپلیکیشنها باید محدودیت ایجاد کنند. واقعیت این است که اجرایی شدن این درخواست نیز کار سادهای نبود و در نهایت اجرای کامل این طرح به امسال واگذار شده است.
همهچیز بر سر دیوار خراب شد
نتیجه تمامی این موضعگیریها و اجرا نشدن کامل فرایند احراز هویت موجب شد تا همهچیز سر پلتفرم نیازمندیهای آنلاین «دیوار» خراب شود و در نهایت به دلیل به خطر انداختن امنیت کاربرانش تهدید به فیلتر شود. طبق گفته پلیس فتا به عنوان درخواست کننده فیلتر دیوار، این پلتفرم با توجه به عدم احراز هویت کاربرانش موجب بروز جرم و کلاهبرداری از کاربرانش میشود و در نهایت تعداد شکایتهای صورت گرفته از آن بسیار بالا رفته است. هرچند که بعد از این ادعای پلیس فتا علیه دیوار، مدیران این پلتفرم نیز در مقابل اعلام کردند که مسئولیت احرازهویت فقط بر عهده این سرویس نیست؛ چرا که فرایند احراز هویت از کاربران باید با همکاری دولت صورت گیرد. در نهایت سازمان فناوری اطلاعات با ارائه پیشنهاد استفاده از زیرساختهای سامانه شاهکار و تعاملاتی که با پلیس فتا صورت گرفت، توانستند جلوی فیلتر شدن این سرویس را تا این لحظه بگیرند. هر چند تعیین تعرفه برای ارائه خدمات این سامانه به کسبوکارهای بخش خصوصی حالا به مانعی دیگر پیش روی فعالیت آنها تبدیل شده است . برای نمونه حسام آرمندهی، همبنیانگذار پلتفرم کافه بازار، در مراسم معرفی نقشه و مسیریاب «بلد» اعلام کرد که در قالب طرح اتصال کسبوکارهای بخشخصوصی به سامانه شاهکار آنها باید بابت هر استعلام کد ملی از طریق این سامانه ۳۸۵ تومان بپردازند و به این ترتیب برای پلتفرمی مانند دیوار باید رقمی بین ۳ تا ۱۰ میلیارد تومان به دولت برای یک سال پرداخت کند. در مقابل این انتقادها اما امیر ناظمی، معاون وزیر ارتباطات و رئیس سازمان فناوری اطلاعات در گفتوگو با پیوست اعلام کرد که هدف از تعرفهگذاری استعلام کسبوکارها از سامانه شاهکار، ارائه یک سرویس پایدار و جلوگیری از به خطر افتادن حریم خصوصی کاربران در فضای مجازی است.
کلاف سر درگم
کش و قوسهای احراز هویت کاربران در فضای مجازی نه تنها طی سال گذشته به نتیجه نرسید؛ بلکه به نظر میرسد زمینه را آماده کرده (این کلاف سردر گم و پیچیده به نظرم اینطوری بهتره) در سال جاری وارد کارزار جدید شود و به زودی بسیاری از بخشهای کشور را درگیر کند. چرا که دیگر نه تنها احراز هویت کابران این فضا از اهمیت خاصی برخوردار است بلکه توسعه کسب وکارها موجب شده تا علاوه بر احراز هویت افراد و کاربران موضوع احراز هویت اپلیکیشنهای ارائه دهنده خدمات نیز مورد توجه قرار گیرد.
ناصر حکیمی معاون فناوریهای نوین بانک مرکزی در گفتوگو با پیوست اعلام کرد که امسال علاوه بر احراز هویت کاربران، به دنبال احراز هویت اپلیکیشنهای پرداختی نیز خواهند بود. راهکاری که اجرایی کردن آن چندان ساده نخواهد بود و به نظر میرسد مسئولان این نهاد هنوز برای آن راهکاری مناسبی پیدا نکردهاند. به نظر حکیمی یکی از ریسکهای بزرگ شبکه بانکی در آینده از سوی اپهایی است که باید احراز هویت شوند و اصالت آنان کنترل شود. از این گفته میتوان اینگونه برداشت کرد که پیچیدگی کلاف سر درگم احراز هویت در فضای مجازی با افزایش تنوع اپهای مختلف در این فضا پیچیدهتر میشود و شناسنامهای که در فضای مجازی و دنیای خدمات الکترونیکی هنوز برای کاربران آن صادر نشده قرار است برای اپها آن نیز صادر شود. فرایندی که چگونگی اجرای آن نه برای مجریان مشخص است و نه ناظران.