پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
بانک مرکزی باهدف افزایش امنیت تراکنشهای بدون حضور کارت با همکاری شرکت کاشف نسبت به انتشار سند الزامات رمزهای پویا و ابلاغ بخشنامه پیادهسازی رمز دوم یکبارمصرف و ارائه آن توسط شبکه بانکی اقدام کرد؛ بر همین اساس تمامی بانکها و مؤسسات مالی و اعتباری کشور باید زیرساخت ارائه رمز دوم یکبارمصرف به مشتریان را ارائه کنند، اما تهیه زیرساخت رمز پویا، نحوه مواجهه بانکها و شرکتهای پرداخت به همراه تجربه کاربری و استفاده مشتریان از آن چالشها و فرصتهایی را ایجاد کرده است.
به گزارش روزنامه تعادل، هر چند قرار بود این طرح از ابتدای خردادماه اجرایی شود اما بانک مرکزی در روزهای گذشته اعلام کرد رمز دوم یکبارمصرف فعلا اجباری نیست و بانکهایی که زیرساخت لازم را ندارند میتوانند از رمز ایستا استفاده کنند در همین حال بانک مرکزی همچنین اعلام کرده است بانکهایی که زیرساخت آنها آماده است میتوانند این برنامه را اجرایی کنند.
با توجه به اهمیت این موضوع و سردرگمیهایی که مشتریان نظام بانکی برای رمز پویا داشتهاند، میزگردی با عنوان رمز دوم یکبارمصرف؛ چالشها و فرصتها، با حضور علیرضا اطهری فر مدیر طرح و برنامه شرکت کاشف، محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد، مهدی شهیدی، رئیس هیات مدیره شرکت آسان پرداخت، مهرداد حداد و محمد گرکانی نژاد برگزار شد تا زوایای مختلف پیادهسازی و عملیاتی سازی رمز دوم یکبارمصرف در نظام بانکی مورد بحث و بررسی قرار گیرد.
سرقت اطلاعات کارتهای بانکی در اواسط سال ۹۷ مشکلات به نقطه بحرانی رسید
علیرضا اطهری فر، در این میزگرد گفت: «از اواسط شهریورماه سال ۹۷، کاشف با مشارکت بانک مرکزی در زمینه روند رو به رشد جرائم و سرقتها بررسی و پیمایشی انجام داد؛ گزارشها حاکی از سرقت اطلاعات کارتهای بانکی در کشور بود که از ابتدای سال ۹۷ شروعشده و در اواسط سال ۹۷ مشکلات به نقطه بحرانی رسیده بود.»
او ادامه داد: «این مهم نظام بانکی و پرداخت تحتفشار دستگاه قضایی و پلیس به دلیل حجم پروندههای شکایتی در حوزه کلاهبرداری مالی از طریق تراکنشهای بدون حضور کارت قرار داده بود؛ همچنین فشار به نظام بانکی برای حضور فینتکها و کسبوکارهای جدید و بهمنظور جلوگیری از کلاهبرداری و رعایت حقوق مشتریان نظام بانکی منجر به این شد که بانک مرکزی به دنبال راهکاری برای افزایش امنیت و رفع دغدغهها باشد که در همین راستا پویاسازی رمزهای بانکی با همکاری کاشف پیگیری شد.»
معاونت فناوریهای نوین بانک مرکزی گفت: «با توجه به استانداردهای بینالمللی سند پیشنویس الزامات رمزهای پویا را تدوین و با اشتراکگذاری و دریافت نظارت بانکها، شرکتهای پرداخت و دستگاه قضایی و پلیس نسبت به تهیه نسخه نهایی و انتشار سند الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت اقدام کرد و در ابلاغیهای به بانکها و مؤسسات مالی و اعتباری فرصت داده شد تا زیرساخت رمز دوم یکبارمصرف را ایجاد کنند.»
او افزود: «در حال حاضر رمزهایی که شهروندان در پرداخت باکارت استفاده میکنند، رمزهای ایستا (ثابت) است؛ رمزهای ایستا آسیبپذیر هستند و در صورت سرقت یا اشتراکگذاری توسط دارنده کارت، زمینه لازم برای دسترسی و برداشت غیرمجاز از حساب بانکی فراهم میشود و درعینحال رمزهای ایستا نسبت به حملات فیشینگ آسیبپذیر هستند که بر همین اساس بانک مرکزی پویاسازی رمز دوم به معنای تولید یکبارمصرف با طول عمرمحدود برای هر تراکنش را در دستور کار قرارداد که میتواند به رفع آسیبپذیریهای فعلی کمک کند.»
کاهش تراکنش به دلیل ایجاد تجربه نامناسب در میان کاربران آسیب بیشتری به شرکتهای پرداخت وارد میکند
محمدمهدی صادق، نیز گفت: «موضوع رمز یکبارمصرف در حوزه عملیاتی ارتباط خاصی با شرکتهای حوزه پرداخت الکترونیک ندارد، اما شرکتهای پرداخت تحت تأثیر تجربه کاربری مشتریان در استفاده از خدمات پرداخت اینترنتی و موبایلی با کاهش مواجه خواهد شد زیرا با این شیوه تجربه ایجاد و درنهایت ممکن است منجر به از دست رفتن مشتریان و تراکنش برای شرکتهای PSP شود.»
مدیرعامل شرکت پرداخت الکترونیک سداد افزود: «علیرغم روشهای رایج در دنیا مدل ارائه رمز دوم بهصورت یکبارمصرف برای هر تراکنش با هر مبلغ که در ابتدای این طرح مطرح بود، متداول نیست البته چندی بعد بانک مرکزی با اعلام بندهایی جدید در این سند تجدیدنظر کرد و برای مبالغ سقف قائل شد.»
او ادامه داد: «البته از دیدگاه یک شرکت پرداخت الکترونیک که درگیر موضوعات کلاهبرداری است این مهم که با بهرهگیری از رمز یکبارمصرف پویا امکان فعالیتهای کلاهبردارانه کاهش پیدا میکند، امنیت و کاهش ریسک فعالیتها بسیار مهم است. اما همچنان مساله کاهش تراکنش به دلیل ایجاد تجربه نامناسب در میان کاربران آسیب بیشتری به شرکتهای پرداخت وارد میکند که رگولاتور باید به این موضوع توجه جدی داشته باشد.»
دغدغه دادستانی و پلیس فتا در مبالغ زیر 500 هزار تومان کاهش پیدا نخواهد کرد
مهدی شهیدی، کارشناس پرداخت نیز گفت: «در ابتدای طرح رمز دوم یکبارمصرف باوجود تبصره بانک مرکزی برای تراکنشهای کمتر از ۵۰۰ هزار تومان انتظار میرود تغییرات خاصی در کار شرکتهای پرداخت ایجاد نشود و امیدواریم تا چالش جدی در حوزه مشتریان نداشته باشیم چراکه بخشنامه در زمینه فعالیت شرکتهای پرداخت الکترونیک تأثیرگذار است.»
او ادامه داد: «نظام بانکی با شرایط فعلی آماده اجرای رمز یکبارمصرف نیست؛ با عدم اجرای رمز یکبارمصرف برای تراکنشهای کمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا کاهش پیدا نخواهد کرد چراکه روزانه با سقف ۵۰۰ هزار تومان کلاهبرداری انجام میشود.»
شهیدی ادامه داد: «تغییرات در حوزه رمز دوم و پویاسازی این رمز برای شرکتهای PSP درگیری خاصی ندارد و در حوزه درآمدی نیز تأثیر خاصی نخواهد داشت. اما توجه به این مهم ضروری است که باید الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم بهگونهای پیادهسازی شود که مشتری اگر تراکنش بالای ۵۰۰ هزار تومان را با رمز دوم یکبارمصرف انجام داد بعدازآن هم بتواند دیگر تراکنشهای زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد که این موضوع در حال حاضر اجرای این طرح عملیاتی نشده است.»
ارائه رمز یکبارمصرف از طریق اپلیکیشنهای موبایلی چه مشکلاتی دارد؟
همچنین مهرداد حداد، کارشناس حوزه امنیت پرداخت گفت: «راهکاری که هماکنون در اختیار بسیاری از بانکها است، ارائه رمز یکبارمصرف از طریق اپلیکیشنهای موبایلی به شمار میرود که دو مشکل را به دنبال دارد؛ اول اینکه مشتری باید برای استفاده از رمز دوم پویا تلفن همراه هوشمند داشته باشد و از طرفی دیگر با توجه به امکان محدودیت خدمات از سوی اپل و گوگل برای گوشیهای هوشمند فعال در ایران و احتمال مسدودسازی، ارائه رمز یکبارمصرف تنها از طریق اپهای موبایلی از ریسک بالایی برخوردار است.»
او افزود: «البته در حال حاضر بعد از اعلام بانک مرکزی در ارائه رمز یکبارمصرف علاوه بر عرضه رمز پویا از طریق اپلیکیشنهای موبایلی، ایجاد بستر ussd و پیامک را برای دارندگان موبایلهای غیرهوشمند در دستور کار قراردادیم. در دنیا بهجای بهرهگیری از رمز یکبارمصرف در تمام تراکنشها بیشتر به دنبال راهکارهایی برای احراز هویت قوی از مشتریان هستند.»
او ادامه داد: «در بررسیهایی که در بخش مبالغ تراکنشها صورت گرفت؛ مشخص شد که حدود ۷ درصد تراکنشها بالاتر از ۵۰۰ هزار تومان و ۹۳ درصد تراکنشها را مبالغ پایینتر از ۵۰۰ هزار تومان به خود اختصاص داد؛ بر همین اساس انتظار میرود در شرایط فعلی مراجعه مشتریان به شعب بانک زیاد نباشد اما با توجه به اینکه ۵۰ درصد مشتریانی که از رمز دوم استفاده میکنند، مشتریان اینترنت بانک و موبایل بانک هستند چراکه لزومی به حضور در شعب برای فعالسازی رمز دوم یکبارمصرف ندارند، حجم مراجعات حضوری برای فعالسازی رمز دوم و سامانههای اینترنت بانک و موبایل بانک کمتر خواهد بود.»
او گفت: «یکی از مهمترین مسائل و چالشهایی که هماکنون وجود دارد این است که اگر مشتری نسبت به فعالسازی رمز دوم یکبارمصرف اقدام کند، خدمات صرفاً بهصورت پویا به او ارائه میشود و دیگر بهصورت ایستا نمیتواند باشد. ازاینرو اگر مشتری قصد خرید شارژ داشته باشد؛ قابلیت تشخیص تراکنشها تا سقف ۵۰۰ هزار تومان برای انجام عملیات با رمز ایستا و بالاتر از این مبلغ با رمز پویا در حال حاضر فراهم نیست و برای تحقق این مهم باید فرآیندهایی در کربنکینگ بانکها پیادهسازی شوند، اما موضوع تجربه کاربری این غربالگری را برای بانکها سخت کرده است.»
گرکانی نژاد نیز اظهار داشت: «کشمکش میان تقلب و مبارزه با تقلب یک اصل همیشه پابرجا است اما مرز میان تجربه کاربری آسان و امنیت از مهمترین مسائل در نظام بانکی به شمار میرود که باید به آن توجه ویژه داشت چراکه رمز دوم یکبارمصرف تا به امروز وجود نداشته و قرار است کاربران را به سمت امنیت سوق دهد تا از رمز دوم ایستا استفاده نکنند که البته عملیات بانکی را سخت خواهد کرد ولی مأموریت بانک مرکزی و کاشف در حوزه تجربه کاربری و امینت چه بوده است؟»
35 درصد جرایم سایبری سرقت اطلاعات کارت بانکی است
از سوی دیگر، علیرضا اطهری فر، گفت: «بر اساس آمار جرائم و کلاهبرداریهای مالی که در اختیار کاشف و بانک مرکزی قرارگرفته باید گفت که ۳۵ درصد از جرائم سایبری مختص به سرقت اطلاعات اصلی کارتبانکی است و آمار مراجع قضایی حاکی از آن است که رمز پویا میتواند تا ۵ درصد کلاهبرداریها را کاهش دهد.»
بالانس میان امنیت و تجربه کاربری مساله مهمی است که رگولاتور در تمامی الزامات ابلاغی بر آن تأکید دارد و بر همین اساس در بحث قانونگذاری تلاش میکند تا با بررسی نظرات تمام فعالان مختلف صنعت و با مشارکت آنها الزامات قانونی را تدوین کند. بانک مرکزی در همین راستا در خصوص رمز دوم یکبارمصرف نیز جلساتی را با بانکها و شرکتهای پرداخت برگزار کرد و چندین دوره زمانی را برای پیادهسازی زیرساختها در نظر گرفت تا مشکل و اختلالی ایجاد نشود.
یک نکته بسیار مهم که شهروندان در خصوص امنیت کارتبانکی باید بدانند، این است که کلاهبرداری باکارت صرفاً محدود به برداشت غیرمجاز و خالی کردن حساب بانکی نمیشود. بسیاری از پروندهها در مراجع قضایی مختص به جرائمی میشود که کلاهبرداران با دسترسی به اطلاعات کارتبانکی و حساب شهروندان به دلیل سهلانگاری آنها، اقدام به پولشویی با حساب این افراد کردهاند و درنهایت مشتری سیستم بانکی بدون اطلاع از اینکه اتفاقی رخداده باید در دادگاه حاضر و ادلهای ارائه دهد که در این جرم نقشی نداشته است. حجم بالای پروندهها در این بخش منجر به تصمیم بانک مرکزی در خصوص بهرهگیری شبکه بانکی از زیرساخت رمز پویا شد.
پنج درصد از تراکنشهای شرکتهای پرداخت الکترونیک درگیر رمز دوم یکبارمصرف میشوند
محمدمهدی صادق، نیز افزود: «در زمینه تراکنشهای تحت تأثیر یعنی تراکنشهای بدون حضور کارت با مبلغ بالاتر از ۵۰۰ هزار تومان در شرکتهای پرداخت الکترونیک باید انتظار داشت که اگر عملیات کارت به کارت در نظر گرفته نشود، بالغبر ۵ درصد تراکنشها متأثر از الزامات بانک مرکزی است اما در صورت ایجاد سقف روزانه برای تراکنشهای با مبلغ کمتر از ۵۰۰ هزار تومان با رمز دوم ایستا این مقدار تا ۳۰ درصد افزایش پیدا میکند.»
او ادامه داد: «در شرایط فعلی بانک مرکزی روندی را در دستور کار قرار داده تا پنج درصد از تراکنشهای شرکتهای پرداخت الکترونیک درگیر رمز دوم یکبارمصرف شوند اما با توجه به اینکه بانک مرکزی در دو بند جدید بخشنامه رمز یکبارمصرف تأکید کرده که بانکها باید برای تراکنشهای کمتر از ۵۰۰ هزار تومان قبول مسئولیت در جبران خسارت داشته باشند و نحوه پیادهسازی برای دستگاههای عمومی بهصورت خاص انجام شود که در شرایط فعلی در زیرساختها بانکها عملیاتی نشده است این امر منجر میشود میزان درآمدهای تحت تأثیر شرکتهای پرداخت الکترونیک از ۵ درصد به ۷۵ درصد افزایش پیدا کند. مجدد تأکیددارم که مردم برای امینت حاضرند صبر کنند اما حاضر به سخت شدن کار نیستند.»
با زمان تعیین شده برای پیادهسازی رمزیکبارمصرف نمیتوان انتظار انتخاب بهترین راهکار را داشت
مهرداد حداد، نیز ادامه داد: «هنگامیکه بخشنامهای در خصوص تراکنشهای کمتر از ۵۰۰ هزار تومان از سوی بانک مرکزی ابلاغ میشود که تنها برای پیادهسازی آن ۹ روز زمان وجود دارد، دیگر نمیتوان انتظار انتخاب بهترین راهکار را داشت زیرا هرگونه پیادهسازی نیاز به آزمایشهای متعدد و سپس عملیاتی سازی دارد. افزایش امنیت تراکنشها مسیر خوبی به شمار میرود اما مساله فرهنگسازی از طریق مراجعی مثل بانک مرکزی، بانکها و پلیس فتا موضوع مهمی است که باید آن را بهصورت همگرا اجرایی و موردتوجه قرارداد.»
مهدی شهیدی، نیز گفت: «در حوزه کیف پول احراز هویت با کد ملی و شماره موبایل انجام میشود که در شرایط فعلی با محدودیتهایی روبرو است و صرفاً تنها ۱۰ بانک بعد از گذشت یک سال و چند ماه در جواب تراکنشهای پرداخت شماره کد ملی و شماره شبا صاحب کارت را به شرکت پرداخت الکترونیک بهمنظور احراز هویت در کیف پول ارسال میکنند؛ درواقع بسیاری از بانکها از این زیرساخت بیبهره هستند.»
محمدمهدی صادق، نیز افزود: «به عقیده من تا زمانی که شرکتهای پرداخت از بازار پرداخت خرد در تراکنشهای آنلاین کارمزد کسب کنند و این نوع از تراکنشها برای مشتریان رایگان است، پرداخت خرد با کیف پول و بهرهگیری از این ابزار برای مشتری جذابیت ندارد و بهمنظور رایج شدن استفاده از کیف پول باید نظام کارمزد اصلاح شود.»