نگاهی به پشتوانه‌های قانونیِ الزامی شدن رمز دوم پویا در گفت‌وگو با محمدحسین دری

بر اساس صحبت‌های دادیار دادسرای تهران، بانک‌ها در نظام بانکی کشور، ذی‌نفع اصلی خدمات بانکداری الکترونیک شناخته شده‌اند و به همین دلیل هم طبق بخشنامه بانک مرکزی، در صورت وقوع کلاهبرداری بدون وجود رمز پویای کاربران، به‌دلیل نقص امنیتی، بانک‌ها باید این خسارت را جبران کنند.

نویسنده: نوید نیک‌نژادی در تاریخ 30 شهریور سال 1398 ساعت 13:59 0

بانک مرکزی شهریورماه 97 با همکاری مرکز کاشف، بازوی اجرایی بانک مرکزی در حوزه امنیت اطلاعات بانکی، سند «الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت» را منتشر کرد. (+) بر اساس زمانبندی این سند و ماده 58 آن، مقرر شد که از تاریخ 1 آذر 97، مسئولیت جبران خسارت مال‌باختگان در ارتباط با رمز دوم کارت بانکی، در صورت عدم رعایت الزامات مندرج در این سند به موسسه اعتباری (بانک) ارائه‌دهنده کارت بانکی، منتقل شود. همچنین بانک‌ها ملزم شدند که تا اول خرداد 98، رمز دوم ایستا را برای تمامی تراکنش‌ها حذف کنند.

اردیبهشت امسال، تنها چند روز مانده به پایان مهلت بانک‌ها برای حذف رمز ایستا، بانک مرکزی با توجه به چالش‌های زیرساختی که در راه اجرای طرح وجود داشت، این مهلت را با صدور بخشنامه‌ای تمدید کرد و البته تاکید کرد که جبران خسارت مال‌باختگان در صورت تایید مرجع قضایی بر عهده بانک‌ها خواهد بود. (+)

ببینید: چالش‌های امنیتی و عملیاتی طرح رمز یک‌بارمصرف

بانک مرکزی مسئولیت رگولاتوری و مقرره‌گذاری برای موسسات و نهادهای مالی را بر عهده دارد و قوه قضاییه به عنوان حامی بانک مرکزی در بخش ضمانت اجرایی است. دادستان کل کشور هم به تازگی در بخشنامه‌ای به دادستان‎های عمومی و انقلاب سراسر کشور اعلام کرده که در پرونده‌های کلاهبرداری رایانه‌ای در صورت احراز انجام تراکنش مجرمانه با رمز دوم ایستا، دستور پرداخت خسارت بزه‌دیده صادر و از طریق سامانه کاشف به بانک متخلف ابلاغ شود. (+)

با محمدحسین دری، دادیار دادسرای تهران و پژوهشگر مسائل حقوقی در خصوص پشتوانه‌های قانونی اجرای این قانون و چالش‌های آن گفت‌وگو کرده‌ایم.

کسی که نفع می‌برد،‌ باید خسارت را هم بپردازد

محمدحسین دری می‌گوید که در عالم حقوق، در بحث مسئولیت جبران خسارت دو نظریه وجود دارد. یکی از این نظریه‌ها،‌ نظریه جبران خسارت بر مبنای قاعده تقصیر است. بر اساس این نظریه، کسی که مقصر اصلی یک ماجرا است باید خسارت‌های وارده را پرداخت کند. برای مثال، در کلاهبرداری‌های بانکی، مسئولیت رد مال یا همان جبران خسارت بر عهده کلاهبردارها است.

دُری، نظریه دوم را جبران خسارت بر مبنای خطر یا ریسک معرفی می‌کند. یعنی کسی که در یک فرایند، منافعی عایدش می‌شود، در صورت خطرات و نقایص در فرایند هم باید جوابگوی این خطرات باشد. بر اساس این نظریه، وقتی که در فرایندی کلاهبرداری رخ می‌دهد، ذی‌نفع از فرایند باید در ابتدا خسارت مال‌باخته را جبران کند و سپس خودش به مقصر اصلی (مجرمان) مراجعه کند. به گفته دری، این نظریه یک قاعده فقهی معادل هم دارد؛ «من له الغنم فعلیه الغرم»، یعنی هرکس که غنم و منفعت برای اوست، غرم و خسارت نیز بر عهده او خواهد بود یا آنکه هر کس مفافعی دارد، غرامت‌ها و خسارت‌ها هم برای همان شخص است.

دری می‌گوید: «در نظام حقوقی ما، معمولا جبران خسارت منبعث از حقوق فرانسه مبتنی بر نظریه تقصیر بوده است و این اولین بار است که بانک‌ها بر مبنای نظریه جبران خسارت بر اساس خطر، پاسخگو شده‌اند. چنین موردی را در مقررات شاپرک درباره PSPها هم داریم. طبق قوانین حاکم بر PSPها، اگر پذیرندگان مرتکب تقصیری بشوند، PSP مربوطه باید مبتنی بر نظریه خطر پاسخگو باشد و پس از جبران خسارت مال‌باخته، به مقصران اصلی مراجعه کند.»

مشتری، ذی‌نفع اصلی نیست پس نباید در ریسک سهیم شود

مشتری، ذی‌نفع نهایی از خدمات بانکی است. با توجه به اینکه مشتری خودش ریسک فعال‌سازی رمز دوم را پذیرفته و می‌تواند خدمات اینترنتی را برای کارت خود فعال نکند، در نظریه جبران خسارت بر اساس ریسک این سوال مطرح می‌شود که آیا مشتری بانک هم در این ریسک سهیم هست یا نه.

اما دُری، مشتری بانک را نافع اصلی ارائه خدمات پرداخت اینترنتی نمی‌داند و می‌گوید: «در بحث منافع و ریسک، منظور نظام کلان بانکی است. در نظام کلان، بانک امانت‌دار پول‌های مردم است و از سپرده‌هایی که برایش ایجاد می‌شود منابع عظیم مالی دارد که از آنها فعالیت اقتصادی و درآمد و سرمایه گذاری دارد. پس منافع اصلی خدمات بانکی نصیب خود بانک‌ها می‌شود و در وهله دوم است که مشتریان از ریز خدمات بانکی بهره‌مند می‌شوند.»

طبق صحبت‌های دری، در نظام کلان، بانک‌ها از این خدمات بهره می‌برند پس باید امنیت را هم برای کاربران به نحو حداکثری فراهم کنند؛ پس چون تامین امنیت جزو وظایف بانک‌هاست نباید هیچگونه هزینه‌ای هم بابت آن از مشتری بگیرند.

جبران خسارت وارد کردن رمز دوم در سایت‌های فیشینگ بر عهده بانک‌هاست

به گفته دری و بر اساس الزامات بانک مرکزی، بانک‌ها باید یک نظام جامع امنیتی ایجاد کنند که به لحاظ امنیت شبکه هیچ جای شک و شبهه در آن وجود نداشته باشد. پس از آن، اگر کاربر مرتکب نقض امنیت رفتاری شد، دیگر بانک مسئولیتی نخواهد داشت؛ چراکه امنیت شبکه را به صورت کامل فراهم کرده و بروز کلاهبرداری ناشی از نقض الزامات امنیتی رفتاری کاربران بوده است. بارزترین نمونه نقص امنیت بانکی مربوط به کارت‌های عابربانک است که به راحتی قابل اسکیم و کپی شدن است.

البته بانک‌ها پیش از این هم الزامات امنیتی خاصی را تعریف کرده بودند. برای مثال بسیاری از کلاهبرداری‌های اینترنتی، فیشینگ هستند. بانک‌ها پیش از این همواره تاکید داشتند که در هنگام وارد کردن رمز دوم کارت خود در سایت‌ها توجه داشته باشید که درگاه پرداخت، زیرشاخه‌ای از سایت shaparak.ir باشد. اگر کاربری بدون توجه به دامنه سایت، رمز دوم خود را در اختیار کلاهبرداران اینترنتی قرار داد الزامات امنیتی بانک‌ها را نقض نکرده است؟

دادیار دادسرای تهران اشاره می‌کند که: «طبق دستورالعمل‌های بانک مرکزی، بانک‌ها باید حداقل‌هایی را برای امنیت شبکه داشته باشند. از دید بانک مرکزی، این مسئله که به کاربران درباره وارد کردن اطلاعات در سایت‌های فیشینگ هشدار بدهیم، حداقل‌های امنیتی را تامین نکرده است و با ایجاد الزامات رمزهای پویا این حد امنیتی اجرایی می‌شود.»

شرایط بانکداری الکترونیکی ما از کشورهای دیگر متفاوت است

در بانکداری الکترونیک کشورهای شناخته‌شده چیزی با عنوان رمز دوم پویا وجود ندارد. محمدحسین دری به این نکته اشاره می‌کند و معتقد است که بانکداری الکترونیکی در ایران شرایط متفاوتی با کشورهای دیگر دارد. او می‌گوید: «رمز دوم پویا یا OTP، در واقع یک ابزار برای احراز هویت است. در کشور ما، در سال‌های اخیر تعداد حساب‌های بانکی و تراکنش‌های الکترونیکی رشد بسیار زیادی داشته و تعداد حساب‌ها و تراکنش‌های بانکی ما بسیار بیشتر از کشورهای دیگر جهان است. این رشد بی‌رویه در عین حال که موجب سود بعضی از موسسات مالی شده، فضای خوبی را برای ایجاد کلاهبرداری‌های اینترنتی فراهم کرده است.»

دری تاکید می‌کند که رشد و توسعه در شرایطی خوب است که بر مبنای یک نظام ایمن و اصولی باشد. او ادامه می‌دهد: «رشد بی‌ضابطه حساب‌های بانکی، بدون ایجاد نظام یکپارچه احراز هویت رخ داده است در حالی که باید ابتدا چارچوب‌های امنیتی و ابزارهای احراز هویت ایجاد شوند و بعد رشد و توسعه رخ دهد.»

دادیار دادسرای تهران، اصلاح برخی از روندهای فعلی در نظام بانکی و به خصوص اصلاح روال‌ها در زمان افتتاح حساب را در کاهش کلاهبرداری‌ها حیاتی می‌داند. او همچنین به استارت‌آپ یوآیدی به عنوان نمونه استارتاپ احراز هویت اشاره می‌کند و ابراز امیدواری می‌کند که با پیدایش و رشد کسب‌وکارهای رگ‌تکی، ابزارهای اصولی برای شناسایی و کاهش کلاهبرداری‌های اینترنتی فراهم شود.