آیا با اجرایی‌شدن رمز دوم پویا آمار فیشینگ کاهش پیدا می‌کند؟

افزایش نگران‌کننده آمار فیشینگ، مهم‌ترین دلیل برای اجرایی‌کردن رمز دوم پویا خوانده شد، اما آیا کارشناسان موافق این موضوع هستند و بر آن صحه می‌گذارند؟

نویسنده: فاطمه قوّتی در تاریخ 21 دی سال 1398 ساعت 12:43 0

ماهنامه عصر تراکنش شماره 30 / در شرایطی که دنیا راه‌های مختلفی را برای حفظ امنیت کاربران خود پیاده‌سازی کرده، ما با کارهایی مانند تسویه آنی و کارت‌به‌کارت، تمام استانداردها را به یکباره جابه‌جا کرده‌ایم، گویا سرعت و تجربه کاربری همیشه از امنیت برایمان مهم‌تر بوده است. شاید از نیمه دی‌ماه و با اجباری‌کردن رمز دوم پویا باز هم داریم خواسته یا ناخواسته استاندارد دیگری را بومی‌سازی می‌کنیم؛ طرحی که به باور کارشناسان، هزینه‌هایی را به شبکه بانکی تحمیل می‌کند و آمار فروش آنلاین کسب‌وکارها را به‌شدت کاهش می‌دهد. درست یا غلط این فرضیه را کارشناسان این پنل پاسخ داده‌اند. در این میزگرد که گزارش آن پیش روی شماست، سعی کردیم هم صدای موافقان را بشنویم و هم صدای مخالفان؛ بنابراین از شش میهمان ما سه نفر موافق اجرای رمز دوم پویا بودند و سه نفر منتقد آن.

ادیب حافظی‌گل، کارشناس حوزه پرداخت؛ محمدرضا جمالی، مدیرعامل شرکت نبض‌افزار؛ علی امیری، هم‌بنیان‌گذار زرین‌پال؛ محسن عزیزی، صاحب‌نظر حوزه پرداخت؛ محمد آجدانی، مدیرعامل سیمرغ تجارت و محمد صادقی، معاون فناوری اطلاعات بانک اقتصاد نوین میهمانان این پنل بودند.

دلیل اصلی برای اجرای رمز دوم پویا این بود که آمار فیشینگ در کشور افزایش قابل توجهی یافته است. آیا مساله فیشینگ در کشورمان، با این کار حل می‌شود؟

علی امیری: من مخالف جدی رمز دوم پویا نیستم و به شیوه انجام این کار انتقاد دارم. انتقادات من اول از همه به این برمی‌گردد که چرا ما باید برای یک تراکنش 10 هزار تومانی که یک بار در روز انجام می‌دهیم و رفتار کاملاً عادی داریم یک اپلیکیشن باز کنیم و با یک رمز، عملیات پرداخت را انجام دهیم. پیشنهادی که ما داشتیم این بود که برای تراکنش‌های زیر 100 هزار تومان و یک بار در روز، نیازی به انجام این کار نباشد و با همان رمز قبلی عملیات پرداخت انجام شود. انتقاد دیگر این بود که چرا پارامتر رمز را پویا کرده‌ایم.

رمز یک‌بارمصرف چیست؟
در مقابل رمز ثابت، رمز یکبارمصرف One Time Password یا OTP قرار دارد که به معنای کلمه رمزی است که فقط یک بار می‌تواند مورد استفاده قرار گیرد. علاوه بر جلوگیری از فیشینگ با استفاده از این رمز یک‌بارمصرف جلوی برداشت از طریق کیلاگرها (نرم‌افزارهایی که کلیدهای فشرده‌شده روی صفحه‌کلید را ذخیره می‌کنند) را هم می‌توان گرفت.

شاید بهتر این بود که این پارامتر ثابت می‌ماند و پارامتر دیگری مانند CVV2 فعال می‌شد. از سوی دیگر، احتمالاً تا چند روز دیگر تراکنش‌های USSD به مشکل برخورند. به اعتقاد من کاهش یا افزایش فیشینگ به شیوه اجرای این طرح بستگی دارد. اگر قرار باشد رمزی بیاید و روی ترمینال و مبلغ بایند نشود، می‌توان صفحه واسطی درست کرد، رمز را گرفت و تا 120 ثانیه در جای دیگر از آن استفاده کرد. الان این‌طور نیست و یکی از مواردی که باید اصلاح شود همین است. اگر این اتفاق رخ ندهد، احتمالاً فیشینگ کمتر نمی‌شود. پرونده‌های فیشینگ به‌نسبت کل پرداخت آنلاین کم است، اما پرونده‌ها وقتی به دادسرا می‌رود حل نمی‌شود.

آماری از فیشینگ دارید؟

امیری: آماری که من شنیدم 10 هزار پرونده است.

محمدرضا جمالی: اصل اولی که باید در نظر گرفت، محاسبه ریسک است و اینکه برای چه مبلغی داریم چه هزینه‌ای را به شبکه اضافه می‌کنیم. کل فیشینگ حدود 600 میلیون تومان در سال است. یک بانک بزرگ که حدود 11 درصد از تراکنش‌ها را دارد، کل آمار یک‌ساله خود را 60 میلیون تومان اعلام کرده است.

محسن عزیزی: آخرین آمار پلیس فتا 23 هزار پرونده از ابتدای سال در استان تهران است.

محمد صادقی: آماری که من دارم 40 میلیارد تومان بوده است.

انواع حملات مهندسی اجتماعی
حملات مهندسی اجتماعی را می‌توان به دو نوع معمول تقسیم‌بندی کرد؛ 1. متکی به انسان؛ مهندسی اجتماعی متکی به انسان به برهم‌کنش شخص‌به‌شخص برای بازیابی اطلاعات هدف اشاره دارد. 2. متکی به کامپیوتر؛ مهندسی اجتماعی متکی به کامپیوتر به داشتن نرم‌افزار کامپیوتر که تلاش کند اطلاعات هدف را بازیابی کند، اشاره دارد.

جمالی: اگر هزینه‌ای هم که می‌گویید درست باشد، شما با اعمال این طرح، هزینه بانک‌ها را روزانه 500 میلیون تا یک میلیارد تومان بالا می‌برید. چرا باید هزینه بین 200 تا 400 میلیارد را برای 40 میلیارد بدهید؛ در حالی که مساله هم حل نمی‌شود و مسائل جدیدتر ایجاد می‌شود؟ البته به هیچ‌وجه اعتقاد ندارم که این عدد 40 میلیارد درست باشد.

محمد آجدانی: با چه منطقی این را می‌گویید؟

جمالی: فقط هزینه پیامک را حساب کنید.

صادقی: هزینه رمز دوم پویا بر بستر پیامک، در سال حدود 110 میلیارد تومان می‌شود.

با وجود تمام این هزینه‌ها که گفته شد، آیا اعتقاد دارید اجرای رمز دوم پویا باعث کاهش آمار فیشینگ می‌شود؟

صادقی: به اعتقاد من این طرح، در کوتاه‌مدت آمار فیشینگ ما را کاهش می‌دهد؛ چراکه ما دو دسته فیشینگ داریم؛ دسته اول فیشینگ‌های سازمان‌یافته است که با ارسال پیامک‌ها یا پست‌هایی اغواکننده افراد زیادی را به‌صورت گروهی به سمت درگاه غیرواقعی می‌کشند و با سرقت اطلاعات اصلی کارت و رمز دوم ایستا، اقدام به برداشت یا خرید بر اساس اطلاعات به‌دست‌آمده از کارت‌ها می‌کنند. دلیل اصلی اجرای طرح رمز دوم پویا مقابله با این نوع فیشینگ بود. دسته دوم فیشینگ سرقت اطلاعات اصلی کارت‌های یک مشتری به روش‌های مختلف و سپس سوءاستفاده از اطلاعات کارت برای خرید اینترنتی است. به اعتقاد من اجرای طرح رمز دوم پویا، حتماً باعث کاهش فیشینگ می‌شود.

اجباری‌شدن رمز دوم پویا از نیمه دی‌ماه
طبق اطلاعیه بانک مرکزی، انجام تراکنش‌های بانکی و پرداخت از نیمه دی‌ماه صرفاً با رمز دوم پویا امکان‌پذیر خواهد بود و دیگر امکان انجام تراکنش از طریق رمز دوم ثابت وجود نخواهد داشت؛ بر همین اساس افراد باید از طریق راه‌هایی که هر بانک برای دریافت رمز دوم پویا فراهم کرده است، نسبت به دریافت رمز پویای کارت خود اقدام کنند.

به‌دلیل اینکه مدت اعتبار رمز دوم پویا بین 60 تا 120 ثانیه و طول آن حداقل شش رقم است، کشف آن با برنامه‌های کشف رمز، زمان‌بر و تولید و استفاده از آن در 60 تا 120 ثانیه سخت است، اما چون در روش مطرح‌شده بانک مرکزی برای دریافت رمز دوم پویا؛ بستر دریافت رمز دوم، پیامک است، ممکن است سوءاستفاده‌کنندگان با روش‌های دیگری سعی در استخراج رمز دوم مشتری در زمان کوتاه داشته باشند و بر اساس آن اقدام به سوءاستفاده کنند. مثلاً ما اپلیکیشن‌های مختلفی روی گوشی خودمان نصب می‌کنیم و دسترسی خواندن پیامک را برای انجام کارهای بعدی به آنها می‌دهیم. این کار ممکن است یکی از روش‌های سوءاستفاده باشد. در هر حال باید توجه داشت که این کار آمار را به صفر نخواهد رساند، چون سوءاستفاده‌کنندگان حتماً دنبال روش‌های دیگری خواهند رفت.

عزیزی: به پدیده فیشینگ خیلی نباید از منظر آمار و ارقام نگاه شود. فیشینگ شاید زیرمجموعه پدیده مهندسی اجتماعی تلقی شود و رمز یک‌بارمصرف قرار است باعث کاهش آن شود. شما هیچ‌وقت نمی‌توانید تقلب را پاک کنید، اما می‌توانید با راهکارهایی آن را سخت‌تر کنید. فیشینگ عوارض اجتماعی دارد؛ به‌خصوص وقتی رسانه‌ای شده، پای نهادهای اعمال قانون به آن باز می‌شود و این مساله، احساس ناامنی مضاعف و چندجانبه ایجاد می‌کند. صاحب کارت بانکی، مدیر و کارمند بانک و حتی کسب‌وکارها هم احساس ناامنی می‌کنند. برای مثال بدون اینکه صاحب کسب‌وکار بداند، حساب او به‌خاطر فیشینگ مسدود می‌شود. این‌ها همه عوارض جانبی دارد که اندازه‌گرفتن آن‌ها به نظرم کار آسانی نیست و ابعاد آن بزرگ است.

حمله مهندسی اجتماعی چیست؟
ریشه بسیاری از حملات باج‌افزارها، حمله مهندسی اجتماعی است که شامل دستکاری شخص یا اشخاصی برای دسترسی به سیستم‌های کاربران، شرکت و اطلاعات آنهاست. وظیفه مهم مهندسی اجتماعی جلب اعتماد قربانی است. برای نمونه، مهاجم با استفاده از حمله مهندسی اجتماعی، به جای صرف کلی وقت برای پیدا کردن رمز عبور، کاری می‌کند که خود قربانی آن را تحویل او بدهد.

ما مشکلی در سطح کلان داریم و آن عدم انسجام در سیاست‌گذاری است. ذی‌نفعان سیاست‌گذار نتوانسته‌اند کنار هم بنشینند و انسجامی در سیاست‌گذاری داشته باشند. پلیس فتا مصاحبه‌ها را انجام می‌دهد و می‌گوید چه تعداد پرونده تشکیل داده و دنبال صفر کردن این پرونده‌هاست. قوه قضائیه به‌عنوان متولی عدالت گزارش می‌دهد که چه تعداد پرونده آمده است. بانک مرکزی زیر تیغ می‌رود که چرا به‌عنوان رگولاتور کاری نکرده است؟ بانک‌ها زیر تیغ هستند که از حساب شما فیشینگ شده و باید آن را پرداخت کنید. وقتی ذی‌نفعان کلان با هم هماهنگی ندارند، در نهایت جایی به‌عنوان متصدی مجبور می‌شود کاری بکند. سؤال این است که آیا اجرای این طرح، صرفه اقتصادی دارد، اما می‌توان از وجوه دیگر هم سؤالات را مطرح کرد. آیا کسی عوارض فیشینگ و هزینه‌های نامشهود آن را اندازه‌گیری کرده است؟

کسی مخالف مبارزه با فیشینگ نیست. ما طرحی داریم به نام رمز دوم پویا؛ آیا این طرح باعث کاهش فیشینگ خواهد شد یا خیر؟ مثلاً می‌توانیم بگوییم آیا در چند ماه آینده رمز دوم پویا باعث کاهش فیشینگ می‌شود؟

عزیزی: به نظر من کاهش می‌یابد.

آجدانی: به اعتقاد من کاهش می‌دهد. امنیت طیف است. خلافکارها مهارت‌های متفاوتی دارند و این کار بخشی از آنها را فیلتر می‌کند. قاعدتاً این اتفاق رخ می‌دهد و کسانی که مهارت آن را دارند برای آن جایگزین پیدا می‌کنند. اگر «چه بود و چه می‌شد» را باید کنار بگذاریم. اینکه پلیس فتا چطور رفتار می‌کند و ما چه کار می‌کنیم را کنار بگذاریم. پلیس فتا نامه را دست مالباخته می‌دهد و او را به شرکت پذیرنده می‌فرستد. آیا می‌توان رفتار پلیس فتا، بانک مرکزی و قوه قضائیه را تغییر داد؟ مهیا کردن امکان کارت‌به‌کارت و تسویه آنی در ایجاد مساله فیشینگ دخیل بوده است. اگر تسویه آنی را برمی‌داشتند تا حدی مشکل حل می‌شد. از سوی دیگر، مساله فرهنگ‌سازی هم وجود دارد. اینکه دولت یا بانک‌ها باید فرهنگ‌سازی می‌کردند، خود جای سؤال است، اما بهترین تصمیم در وضع موجود چیست؟ مشخص است که این موضوع برای مردم گیج‌کننده است. در حال حاضر کمتر از 10 درصد کاربران، این کد را فعال کرده‌اند. به سامانه هریم انتقاد وارد است و بهتر است با مبلغ و کد پذیرنده هش شود. به اعتقاد من ما بد وارد این داستان شدیم و بد آن را مدیریت کردیم. اگر از همان ابتدا سامانه هریم راه‌اندازی می‌شد، خیلی بهتر بود و مردم دچار سردرگمی نمی‌شدند و تجربه کاربری بهتری هم فراهم می‌شد.

سامانه هریم چیست؟
در طرح اولیه اجرای رمز دوم پویا، قرار بود بانک‌ها زیرساخت لازم برای تولید رمز دوم یک‌بارمصرف را در قالب اپلیکیشن فراهم کنند و بهره‌گیری از رمز دوم یک‌بارمصرف از اول خردادماه ۱۳۹۸ اجباری شود، اما به‌دلیل اینکه تمام کاربران به گوشی‌های هوشمند دسترسی نداشته یا علاقه‌مند به نصب برنامک رمزساز روی گوشی خود نبوده و همچنین تعدادی از بانک‌ها زیرساخت لازم برای راه‌اندازی این طرح را در اختیار نداشتند، الزامی‌شدن آن به تعویق افتاد. بانک مرکزی هم با این هدف که در ارائه رمز دوم یک‌بارمصرف، تسهیل تجربه کاربری فراهم شود، سامانه هدایت رمز یک‌بارمصرف را پیاده‌سازی کرده که تحت عنوان «هریم» برای دریافت پیامکی رمز دوم پویا فعال می‌شود.

ادیب حافظی‌گل: تجربه نشان داده مهارت افرادی که اقدام به فیشینگ می‌کنند، مدام در حال به‌روز شدن است؛ بنابراین پیش‌بینی می‌شود در یک دوره یک الی دوماهه اقدامات کلاهبرداران کم و در پی آن شکایات کمتری به پلیس فتا تسلیم شود. ولی این مساله فقط تا زمانی طول خواهد کشید که آنها راه جدیدی برای مقابله با رمز دوم پیدا کنند.

جمالی: به اعتقاد من فیشینگ را کاهش نمی‌دهد، بلکه نوع آن تغییر می‌کند. در دو جا ما مشکل داریم که خیلی ساده‌تر می‌توانیم مساله را حل کنیم. یک جا قوانین نظام‌های پرداخت است که درست نیست و جای دیگر قوانین جزایی مناسب برای فیشینگ است. همین الان ریسک عملیاتی تسویه از ریسک فیشینگ بالاتر است و گردش مالی مغایرت‌ها بسیار بیشتر است.

اینکه بیاییم و هزینه‌ای را که چندین برابر فیشینگ و تقلب است به شبکه اضافه کنیم که فقط 130 میلیارد تومان هزینه پیامک آن است، کار درستی نیست. به اعتقاد من باید مدلی ایجاد شود که ریسک را یک نفر بر عهده بگیرد. مسئول این امر شبکه شتاب و شاپرک هستند که حداقل دو هزار میلیارد تومان در سال کارمزد می‌گیرند. وقتی کارمزد می‌گیرند و چنین نسخه‌ای را برای کشور پیچیده‌اند، باید ریسک آن را هم بدهند؛ نه اینکه هزینه مجددی را به سیستم بانکی تحمیل کنیم.

عزیزی: این ماهیت تقلب است که شکل و نوع آن تغییر کند.

امیری: ساختاری مانند بیمه باید به این شبکه اضافه شود.

جمالی: مثل دنیا فرایند شناخت مشتری باید انجام شود. مانند فرایندی که در ویزا و مسترکارت انجام می‌شود. اگر تقلبی انجام شد، پذیرنده مستندات را ارائه می‌دهد، اگر ویزا و مسترکارت اقناع نشدند، خود پذیرنده باید آن را متحمل شود. این کار هم هزینه‌ای به اقتصاد تحمیل نمی‌کند.

چرا آمار فیشینگ در ایران بالاست؟
بسته‌بودن سیستم بانکی ایران و عدم تعامل با بانک‌های بین‌المللی باعث شده سیستم پرداخت آنلاین در ایران تا حدی منحصربه‌فرد و در عین حال پراشتباه باشد. کاربران کارت‌های بانکی در بسیاری از کشورها چیزی به نام رمز دوم ثابت ندارند و خریدهای آنلاین تنها با ثبت اطلاعات هویتی فرد صاحب کارت امکان‌پذیر است. در ایران اما رمز دوم ثابت یکی از عواملی است که باعث افزایش آمار حملات فیشینگ به حساب‌های بانکی افراد می‌شود.

صادقی: اگر بخواهیم بررسی کنیم که چرا فیشینگ رخ داده، باید عمیق‌تر به ماجرا نگاه کنیم. دنبال علل، پیش‌زمینه و همچنین کاستی‌های موجود در قوانین، دستورالعمل‌ها و استفاده از روش‌های تبادل مالی ابداعی با در نظر گرفتن تمام جوانب باشیم. مثلاً در دنیا اصلاً چیزی به نام کارت‌به‌کارت آنی یا مثلاً تسویه آنی وجود ندارد.

جمالی: به نظر من در وضع موجود باید این طرح را متوقف کرد یا از مبلغی کمتر، استفاده از رمز دوم را ملغی کرد.

صادقی: این طرح خوب است، اما این سؤال پیش می‌آید که آیا سیستم‌های جاری در بانک‌ها چنین توانی دارند؟ در کشور ما یک یا دو بانک این توانایی را دارند و کر بانکی چنین امکانی را ندارد.

عزیزی: ما موضوعی را همواره فراموش می‌کنیم و نقدها را به سمت فناوری می‌بریم. واقعیت این است که ماهیت صنعت خدمات مالی، مدیریت ریسک است. بانکداری و پرداخت هم به‌عنوان بخشی از آن بر اساس ریسک است. آیا ما باید نقدمان را به مدل کسب‌وکار بکنیم یا فناوری که می‌خواهد جلوی تقلب را بگیرد؟ من جزء کسانی بودم که همیشه به مدل کسب‌وکاری نظام پرداخت کشور نقد داشتم. ماهیت نقد من هم تغییر نکرده و این یعنی اتفاقی در این حوزه رخ نداده است. ما یک مدل کسب‌وکاری ناهمگون، نامتعادل و ناهمتراز در نظام پرداخت و بانکداری داریم که ریسک هیچ چیزی را نمی‌خواهیم بپذیریم؛ آن هم در صنعتی که همه چیز بر مبنای ریسک است. شما می‌گویید این طرح به هزینه زیرساخت بانک‌ها فشار وارد می‌کند. سؤال این است که تاکنون این هزینه‌ها بر عهده کجا بوده است؟

جمالی: ما دو ریسک داریم؛ یکی ریسک عملیاتی و دیگری ریسک کسب‌وکار. ما ساختار متمرکز داریم و ابزارهای موازی و سنتی به‌شدت تضعیف شده است. ما با اجرای رمز دوم پویا ریسک عملیاتی را افزایش می‌دهیم. هریم هم یک گره اضافه‌تر است و این کار ریسک عملیاتی ما را بالاتر می‌برد. بانک‌ها درآمدهای مشاع ندارند و با اجرای این طرح، هزینه‌های عملیاتی‌شان بالا می‌رود. توجه کنید که هر هزینه‌ای که به بانک‌ها تحمیل می‌شود، باعث بالا رفتن هزینه عملیاتی آنها و در نهایت هزینه تمام‌شده پول می‌شود که به‌صورت افزایش نقدینگی و تورم در نهایت در اقتصاد مشاهده می‌شود. در مورد هریم هم با اجرای آن، ریسک کسب‌وکار بانکی بالاتر می‌رود.

عزیزی: اگر صورت‌های مالی همه بانک‌ها را تحلیل کنیم کاملاً مشخص است که بانک‌ها از کجا ضربه می‌خورند. البته به نظر من ریال به ریال این هزینه‌ها باید قابل مدیریت‌کردن باشد. می‌گویند هزینه تقلب چقدر است که بخواهیم برای آن سرمایه‌گذاری کنیم؛ من هم می‌گویم مگر هزینه این طرح به نسبت کل هزینه زیرساخت نظام پرداخت چقدر است؟

رایج‌ترین حمله مهندسی اجتماعی
رایج‌ترین حمله مهندسی اجتماعی، فیشینگ است. در Phishing، حمله از طریق ایمیل، چت، وب‌سایت یا آگهی‌های تبلیغاتی انجام می‌شود و مهاجم سعی می‌کند از طریق جعل هویت سازمان یا شرکت، اعتماد قربانی را جلب کند. پیغام‌های فیشینگ می‌تواند از طرف بانک، شرکت‌های بزرگ و حتی دولت باشد. در واقع رفتارهای فیشینگ بسیار متنوع هستند.

جمالی: اینکه نمی‌شود ما خودمان به‌عنوان بانک مرکزی و نظام‌های پرداخت درست طراحی و رگولاتوری نکنیم و ریسک عملیاتی و کسب‌وکار ایجاد کنیم و دوباره برای برطرف‌کردن آن هزینه جدید بتراشیم. همین هزینه‌ها خردخرد به شبکه اضافه شده و امسال به حدود 15000 هزار میلیارد هزینه کارمزد تحمیلی به بانک‌ها رسیده‌ایم. آن 15000 هزار میلیارد هم با همین توجیه به این عدد رسیده است.

عده‌ای اعتقاد دارند هریم می‌تواند کمک کند و اگر زودتر معرفی شده بود، این مسائل مطرح نمی‌شد، اما نکته این است که رمز دوم پویا مسائل زیرساختی دارد و هزینه تحمیل می‌کند. در بحث تسویه‌های آنی، اگر کارت‌به‌کارت نبود شاید وضعیت دیگری داشتیم. به‌طور کلی به نظر می‌آید در یک فشار این کار در حال انجام است. این فشار از کجاست؟

جمالی: این فشار و موج‌سازی برای رمز پویا مهندسی شده است. کسانی هستند که سناریو ایجاد می‌کنند. چند سال قبل شاپرک هم با همین فلسفه ایجاد شد تا تعداد کارت‌خوان‌ها کم شود، اما یک میلیون کارت‌خوان به هشت میلیون رسید و حداقل دو میلیارد دلار کارت‌خوان وارد کشور شد. اینجا هم باید دید که ذی‌نفعان اصلی این مساله چه کسانی هستند. به نظر من، در نهایت فروشندگان سخت‌افزار و اپراتورها هستند که از این پروژه سود می‌برند.

کاهش خرید اینترنتی با رمز دوم پویا
به باور کارشناسان، مدت‌زمانی که کاربر در سایت شاپرک درگیر خرید اینترنتی است، به‌طور میانگین یک دقیقه و ۵۲ ثانیه است. این زمان با اجرای طرح رمز دوم پویا به سه یا چهار دقیقه می‌رسد.

صادقی: فشاری نبوده است. شاید مقصر خود ما بانک‌ها بودیم که در این مدت به‌دنبال این کار نرفتیم. مساله رمز دوم پویا موضوعی نبوده که امروز و دیروز ایجاد شده باشد. شاید بیش از یک‌سال‌ونیم پیش بانک مرکزی ابلاغیه آن را صادر کرده و ما هم مثل همیشه باطمانینه به سراغ آن رفتیم. البته علت آن هم این نیست که بانک‌ها دنبال آن نرفتند. بانک مرکزی در سال اول، زمان مشخصی برای اجرای این طرح به بانک‌ها ابلاغ نکرد و هر یک از بانک‌ها نیز به‌دلیل نگرانی از عدم اجرای طرح توسط سایر بانک‌ها و مخاطره از دست دادن مشتری و سهم بازار در تراکنش‌های نیازمند رمز دوم، از سرمایه‌گذاری برای آماده‌سازی بستر لازم برای این طرح خودداری کردند. بانک‌ها منتظر اجرای آن توسط رقبا و دیدن بازخوردها ماندند، تا اینکه از اواخر سال گذشته فیشینگ و سوءاستفاده از اطلاعات کارت‌ها، برداشت‌ها و خریدهای غیرمجاز کارت‌های مشتریان به‌شدت افزایش پیدا کرد. افراد سوءاستفاده‌کننده هوشمند شدند، به سمت روش‌های حرفه‌ای برای جمع‌آوری اطلاعات کارت‌ها و رمزهای مشتریان رفتند، آمار پرونده‌ها افزایش یافت و در نهایت بانک مرکزی در یک چالش افتاد. از سوی دیگر قوه قضائیه هم به بانک مرکزی و بانک‌ها فشار آورد. همه این عوامل باعث شد که بانک مرکزی فشار زیادی به بانک‌ها وارد کند تا در زمان کوتاهی زیرساخت‌های لازم را فراهم کنند و فرهنگ‌سازی لازم برای مخاطرات موجود در استفاده از روش‌های پرداخت اینترنتی و همچنین اجبار به استفاده از رمز دوم را در دستور کار خود قرار دهند. متاسفانه این کارها بدون تحلیل و بررسی جامع انجام شد و مشکلاتی که در اجرای طرح دیده می‌شود، حاصل همین تعجیل دیرهنگام است.

جمالی: مگر فیشینگ از طریق حساب‌ها قابل تشخیص نیست؟

صادقی: سوءاستفاده‌کنندگان با استفاده از اطلاعات به‌دست‌آمده از کارت‌ها، پول را در حساب‌های مشتریان می‌چرخانند و باعث می‌شوند که قربانیان خود متهم هم باشند.

هزینه پیامک سامانه هریم چه می‌شود؟ این مساله مانند کارمزدی نمی‌شود که برای تراکنش‌ها در نظر گرفته شده بود؟

صادقی: هزینه آن در کنار هزینه‌های دیگر پرداختی برای پیامک توسط بانک‌ها مبلغ قابل توجهی نیست که بخواهیم درباره آن صحبت کنیم. اینکه چرا طرح رمز دوم پویا مبتنی بر پیامک ایجاد شده، یک موضوع است، اما اینکه آیا می‌توانستیم از روش‌های دیگر مبتنی بر فناوری خاص یا حتی روش مبتنی بر پیامک بهینه‌تر از آن استفاده کنیم، خود یک جنبه دیگر این قضیه است. در هر صورت نظر بنده، اجباری‌شدن رمز دوم پویاست؛ زیرا اگر اختیاری شود، مشتری قطعاً از آن استفاده نمی‌کند و مساله سوءاستفاده و فیشینگ، بدتر از الان خواهد شد.

امیری: اگر حالا بانک‌ها هریم را به اجبار استفاده می‌کنند، قبل از این می‌توانستند از سامانه پیوند استفاده کنند که خیلی می‌توانست به این مساله کمک کند. دوم اینکه اگر گفته می‌شود 60 میلیون به یکباره از حساب فردی کم شده، انتقاد به خود فرد وارد است، روز اول که ما حساب را باز می‌کنیم همه این سؤالات را از ما می‌پرسند که چقدر حق برداشت از حساب و خرید داشته باشید. کاربر وقتی گزینه نامحدود را انتخاب می‌کند، در حقیقت خودش عامل این کار بوده است. اگر این موضوعات در شعب آموزش داده می‌شد، هیچ‌وقت چنین اتفاقی رخ نمی‌داد.

کلاهبرداری‌های سایبری در ایران
بر اساس آمار اعلام‌شده از سوی پلیس فتا، کلاهبرداری فیشینگ و سرقت اطلاعات کارت بانکی برای برداشت غیرمجاز بخش مهمی از کلاهبرداری‌های سایبری در ایران را به خود اختصاص داده تا جایی که موضوع فیشینگ به یکی از مشکلات بزرگ و بحرانی برای صنعت پرداخت و بانکی ایران تبدیل شده و هر روز این دسته از کلاهبرداری‌ها در حال افزایش است.

صادقی: درباره الزام استفاده از رمز دوم پویا فشار قوه قضائیه و فشار اجتماعی را نباید فراموش کرد. در خصوص انتقال و برداشت روزانه از حساب‌ها، بانک مرکزی صراحتاً سقف تعیین کرده، اما متاسفانه بانک‌ها برای حفظ رضایت مشتری در فضای رقابتی، بدون در نظر گرفتن عواقب، این سقف‌ها را برای تمام مشتریان یا بخش زیادی از مشتریان بالاتر از مبلغ مجاز تعریف کرده‌اند.

آیا تمام این مسائل به این خاطر نیست که بانک مرکزی سیستم متمرکزی ساخته و تمام این مسائل را خودش باید حل کند؟

صادقی: به نظر من این مشکلات به‌خاطر تمرکز نیست. علت این است که در زمان ایجاد سامانه‌ها یا سازوکارها، برای انجام کارهای مالی، فرایندها، دستورالعمل‌ها، قوانین و همچنین تاثیرات جانبی آن را در نظر نمی‌گیریم. مثلاً سازوکار ساتنا، پایا یا کارت‌به‌کارت را ایجاد می‌کنیم، اما جوانب آن را در نظر نمی‌گیریم. در دنیا برای همه این موارد استانداردهایی وجود دارد که به آن توجه نمی‌کنیم. نظرات خود را در قالب استاندارد در انجام کارها استفاده می‌کنیم که اغلب نیز خام و ناقص است.

عزیزی: من در تمام وجوه اقتصاد با تمرکزگرایی مخالفم، اما نباید از نکته‌ای غافل شویم، آن هم نقش بانک مرکزی در اقتصاد، بانکداری و نظام‌های پرداخت. ما مفهومی به نام سیاست‌گذاری داریم؛ وقتی می‌خواهید این کار را در سطح اقتصاد کشور انجام دهید، باید تمام نکات مربوط به ذی‌نفعان را شناسایی، اندازه‌گیری، پیش‌بینی و تحلیل کنید. سیاست‌های دیگر و مربوطه را هم لحاظ کنید تا بتوانید در سیاست‌گذاری، جامع‌نگری داشته باشید. بانک مرکزی، در نقش تنظیم‌گری، باید سیاست‌های پولی، مالی و بانکی را کنار یکدیگر بگذارد و مقررات‌گذاری کرده و بر اساس آن، نظارت را ایجاد کند. همین‌طور یک خط‌مشی بر اساس سیاست و تنظیم‌گری ارائه دهد، مانند کاری که بانک‌های مرکزی دنیا انجام می‌دهند. من می‌خواهم این سؤال را بپرسم که در بانکداری کشورمان در سال‌های اخیر آیا بانک مرکزی توانسته این نقش‌ها را ایفا کند؟ اگر نتوانسته چرا؟ باید تمام این جوانب را در تحلیل‌ها بررسی کنیم. نمی‌توانیم هزاران نقد را به بانک مرکزی وارد بدانیم که در تنظیم‌گری، مقررات‌گذاری و خط‌مشی مشکل داشته است. واقعیت دنیا را اگر نگاه کنیم، می‌بینیم بانک مرکزی مدرن در دنیا بسیار قدرتمند و بسیار اثرگذار است. یکی از دلایل قدرتمند بودن این است که توان اعمال مقررات و مجازات را دارد. واقعیت این است که در پارادایم بانکداری مرکزی در ایران و در هیچ برهه‌ای، هیچ‌گاه بانک مرکزی این قدرت را نداشته و در سال‌های اخیر هم هیچ‌گاه این قدرت را نداشته است. روزی دو بانک بزرگ کشور کارمزد دارنده کارت و پذیرنده را در تراکنش روی کارت‌خوان صفر کردند و این یک حفره بزرگ در مدل کسب‌وکاری نظام پرداخت ایجاد کرد؛ بنابراین در سیستمی که تعادل آن به‌راحتی به هم می‌خورد، هر بازیگری کار خود را انجام می‌دهد. در نهایت چه کسی مسئول است، جلوی این کار را بگیرد و تنظیم‌گری انجام دهد؟ بانک مرکزی با رویکرد تمرکزگرایی.

ناآگاهی کاربران؛ عامل اصلی فیشینگ
طبق اعلام پلیس فتا در سال ۱۳۹۷، بین ۲۰ تا ۲۵ هزار پرونده فیشینگ ثبت شده که بخش عمده آنها ریشه در ناآگاهی کاربران داشته است. با توجه به سهولت دسترسی به اینترنت، اغلب مردم بخشی از امور بانکی و خریدهای روزانه خود را به‌صورت آنلاین از طریق سایت‌ها و اپلیکیشن‌های مختلف انجام می‌دهند. آگاهی و دانش کاربران تنها در صورتی می‌تواند راه سوءاستفاده را مسدود کند که زیرساخت‌های مناسب نیز در بستر خدمات بانکی ایجاد شود.

ما این دور تسلسل باطل را همواره داشته و خواهیم داشت؛ مگر اینکه نقش‌ها در نظام بانکداری و پرداخت درست ایفا شود، مدل کسب‌وکاری ما به‌روز و نقش‌ها درست تعریف و ایفا شود. اگر این کارها را نکنیم، هر کس به‌خاطر منافع کوتاه‌مدت خود که شاید حتی در واقع منافع خودش نباشد، آن را انجام می‌دهد. در سطح سیاست‌گذاری و مقررات‌گذاری همه ذی‌نفعان را باید شریک کنیم. اگر امروز PSD2 می‌تواند اعمال قدرت و سیاست کند، به‌خاطر این است که در ساختار PSD2 حتی پذیرنده‌ها در سیاست‌گذاری و مقررات‌گذاری مشارکت داشتند. حاصل همه اینها بعد از چند سال PSD2 شده و ما از آن به‌عنوان نمونه یک روش موفق یاد می‌کنیم. حال با توجه به این مسائل که بخشی از آن را شناسایی کرده‌ایم، چقدر طول می‌کشد تا به این استاندارد و سطح بلوغ برسیم؟

جمالی: بانک مرکزی نمی‌تواند رگولاتور قوی باشد، چون وارد اجرا شده و بازار مناسب برای رشد شرکت‌های خصوصی ایجاد نکرده است. قرار شد بانک مرکزی کار نظارت کند. الان هریم ابزار نظارتی است یا اجرایی؟ این اجراست؛ نه نظارت.

عزیزی: ابزار فناوری است که جلوی تقلب را بگیرد. معماری هریم هم سخت و پیچیده نیست.

آیا شما با هریم موافق هستید؟

حافظی‌گل: من با هریم موافق هستم، اما باید ببینیم چند درصد اکوسیستم درگیر کسب‌وکارهای آنلاین است و چقدر تراکنش در کسب‌وکارهای آنلاین داریم. کارت‌خوان را کنار بگذاریم و به سمت پرداخت قبوض برویم. چند درصد تراکنش‌های اینترنتی و کسب‌وکارهای اینترنتی، شبکه پرداخت را گرفته‌اند؟ من چرا با هریم موافقم؟ ما داریم از کسب‌وکارهایی صحبت می‌کنیم که دل نسوزاندند. این کسب‌وکارها زمانی که اینترنت ایران قطع شد، ادعا کردند اینترنت‌شان وصل است و کسب‌وکار و فروش‌شان انجام می‌شود. هیچ‌کدام کنار کسب‌وکارهای کوچک‌تر ننشستند و ابراز همدردی نکردند.

اگر بحث ما بحث فضای مجازی است، باید این نکته را بگویم که ما یک درصد کل دنیا در کسب‌وکارهای مجازی هستیم. باید به این فکر کنیم که دو سال دیگر به سمت چهار و پنج درصد می‌رویم، پس بگذاریم بستر از جایی مطمئن، پیاده‌سازی شود. دنیا این کار را روی پیامک پیاده‌سازی کرده است. یک بار هریم را با هر روشی که هست، بپذیریم و آن را بهبود دهیم. هریم مشکل دارد، اما پیاده‌سازی هریم بهتر از این است که بوروکراسی ضابط قضایی بر ما حاکم شود. یک مورد بیاورید که بانک‌ها هزینه فیشینگ را پرداخت کرده باشند. این هزینه را یا پرداخت‌یارها پرداخت کرده‌اند یا حساب کسب‌وکار را بسته‌اند. حساب PSP را نبسته‌اند. من می‌گویم بگذاریم مسئول فیشینگ یک بار خود مردم باشند. ضابط قضایی زورش به مردم نرسیده، اما تا به اینجا هیچ بانکی هزینه‌ای بابت فیشینگ پرداخت نکرده است.

جمالی: در دنیا برای جبران این موضوع، بیمه وجود دارد؛ یا هزینه را مسترکارت و ویزا می‌دهند، یا پذیرنده‌ای که اشتباه کرده است.

حافظی‌گل: بیمه ما کیست؟

عزیزی: این خسارت در بخشی از اروپا و کل آمریکا توسط بانک‌ها پرداخت می‌شود؛ نه ویزا، مسترکارت و پذیرنده.

جمالی: هیچ جا بانک هزینه را نمی‌دهد؛ مگر اینکه حساب بیمه باشد یا بانک از بخشی از درآمدهای غیرمشاع خود را روی کارمزد حساب‌ها یا تراکنش‌ها بگیرد.

امیری: در ایران مرجع قضایی برای حل این مساله بلاتکلیف است و حتی نمی‌داند باید چه کار کند.

حافظی‌گل: همچنین جرائم سازمان‌یافته شده است. از طرف دیگر در بحث احراز هویت، یک سامانه استعلام مطلوب به PSP یا پرداخت‌یار نداده‌اند. خود PSP شاهکار را می‌خواهد اما نگرفته است.

راه‌های کاهش آمار فیشینگ
موضوع فیشینگ و کلاهبرداری‌های اینترنتی نه پدیده جدیدی است و نه اتفاقی مختص ایران. اولین حمله فیشینگ حدود ۲۰ سال پیش انجام شد و همچنان این روش یکی از پرطرفدارترین راه‌های کلاهبرداری اینترنتی در دنیاست. در دنیا هم در دو سال اخیر آمار حملات فیشینگ افزایش چشم‌گیری داشته، افزایش امنیت درگاه‌های بانکی و سایت‌های معتبر پرداخت، تنها یکی از راه‌های کاهش آمار فیشینگ است؛ چراکه فیشرها بسته به شرایط اجتماعی سناریوهای جدید و تله‌های خلاقانه‌ای برای به دام انداختن کاربران طراحی می‌کنند.

جمالی: ابزارهای پرداخت و بانکی ما سکه و اسکناس، کیف پول، شاپرک، پایا، چکاوک و ساتنا هستند. بحثی که باعث می‌شود این بازار ایجاد شود، یکی کارمزد است و دیگری قوانین درست حاکم بر نظام‌های پرداخت. یعنی جاهایی شما باید با بازار این کارها را بکنید تا در عمل بخشی از پول نقد کمتر به جریان بیفتد و کیف پول‌ها جایگاهی داشته باشند. ما این بازار و قوانین را درست اجرا نکردیم. یک ابزاری به نام کارت داریم و همه را می‌خواهیم با آن به بهشت ببریم و برای تراکنش 100 تومانی هم 70 تومان کارمزد به بانک‌ها تحمیل می‌کنیم.

آجدانی: منظور از ما، صنعت است یا بانک مرکزی؟

جمالی: خود بانک مرکزی. رگولاتوری که باید تنظیم مقررات کند.

آجدانی: این یعنی باز هم باید بانک مرکزی کاری را انجام دهد و ما خودمان کاری نکرده‌ایم.

جمالی: چرا بانک مرکزی قوانین را طوری گذاشته که تراکنش از 100 تومان تا 50 میلیون تومان با یک ابزار انجام شود. 80 درصد تراکنش‌های ما زیر 25 هزار تومان است که توجیه اقتصادی ندارد و بین 15 تا 750 برابر ابزار سنتی، هزینه ایجاد می‌کند. تنها یک تا 1.2 درصد تراکنش‌ها در پرداخت اینترنتی، بالای یک میلیون تومان است. شما ابزار را در جایگاه خودش استفاده نمی‌کنید.

حافظی‌گل: آیا ما باید تاوان آن را بدهیم؟ 181 میلیون سیم‌کارت در کشور داریم. چند درصد این تعداد بی‌هویت است؟

جمالی: با این شرایط که کار می‌کنید حتی احراز هویت را تغییر دادید و آنچه می‌دانید را تبدیل به آنچه دارید، کرده‌اید. اگر شخصی به هر دلیلی موبایلش را از دست داد، چه می‌شود؟

آجدانی: برای اجرای طرح رمز دوم پویا اگر CVV2 را متغیر می‌کردند، بهتر بود.

جمالی: ما با رمز یک‌بارمصرف مخالف نیستیم. ما با فناوری مخالف نیستیم، ولی نمی‌توانیم همه را مجبور کنیم برای تأمین امنیت خود این کار را انجام دهند. این مساله باید اختیاری شود و هزینه جدیدی هم به بانک‌ها وارد نکند. من طرفدار بانک‌ها نیستم، چون این هزینه در نهایت به کل اقتصاد تحمیل می‌شود.

عزیزی: بدیلی برای این کار دارید؟

جمالی: یکی پوشش ریسک. کسی که کارمزد را می‌گیرد، باید بخشی از ریسک را جبران کند.

عزیزی: این موضوع در کوتاه‌مدت امکان‌پذیر نیست. تا شما بخواهید این کار را انجام دهید، فیشینگ رشد می‌کند.

حافظی‌گل: مشکل ما احراز هویت است. ما احراز هویت را رها کرده‌ایم؛ بنابراین فضای مجازی برای همه غول شده است.

صادقی: در بسیار از کشورها، موضوعی به نام اعتبار مشتری وجود دارد که پایه و اساس ارائه تمام سرویس‌های مالی و کسب‌وکاری به افراد است. هر فرد سال‌ها برای کسب رتبه بالاتر در آن تلاش می‌کند و در نتیجه برای حفظ این اعتبار، دقت زیادی می‌کند تا کاری نکند که به از دست رفتن این اعتبار منجر شود.

عزیزی: یکی از دلایل نامتقارن‌بودن نظام پرداخت کشور، عمق تقریباً صفر بازار اعتبار در کشور است.

حافظی‌گل: بانک مرکزی می‌گوید من نظام اعتبارسنجی ایجاد کرده‌ام.

عزیزی: شما بازار اعتبار ایجاد نکرده‌اید که ابزارهای اعتباری مختلف را فعال کنید. همه فشارها به سمت کارت بدهی آمده است. هریم در این شرایط کمک می‌کند؛ ضمن اینکه هر سازوکاری می‌خواستید بگذارید تا رمز یک‌بارمصرف را بانک‌ها بگذارند، باید سوئیچ‌ها تغییر می‌کرد و هزینه توسعه را هم لحاظ می‌کردید. برای ایرانیان خارج از کشور این امکان هست که از طریق ایمیل این برنامه فعال شود. البته پیامک هم برای آنها ارسال می‌شود. برای USSD و IVR هم این مساله وجود دارد و قصد دارند این مشکل را حل کنند.

ویزا و مسترکارت در صورت‌های مالی خود پنج درصد درآمد خود را بابت فیشینگ و فراد پرداخت می‌کنند. آیا در ایران این کار نباید توسط شاپرک انجام می‌شد که کارمزد را دریافت می‌کند؟

عزیزی: در نظام پرداخت ما دو نفر خوشبخت‌ترین ذی‌نفعان هستند؛ پذیرنده و دارنده کارت، چون هیچ هزینه‌ای پرداخت نمی‌کنند. کدام‌یک کارمزد را پرداخت می‌کنند؟ از نظر من هزینه پیامک باید بین ذی‌نفعان تقسیم شود.

حافظی‌گل: در حال حاضر هزینه پرداخت پیامک را چه کسی بر عهده می‌گیرد؟

عزیزی: هریم وب‌سرویس است. تراکنش قبل از اینکه به سوئیچ بانک برسد، کاربر در صفحه پذیرنده درخواست رمز یک‌بارمصرف می‌کند. این صفحه به وب‌سرویس هریم وصل می‌شود و وب‌سرویس، آن را به بانک صادرکننده کارت می‌فرستد و بانک قبل از سوئیچ پردازش می‌کند، پیامکی تولید می‌کند و بانک از سرشماره خود آن را برای دارنده کارت می‌فرستد. دارنده کارت نیز آن را در صفحه پذیرنده وارد می‌کند. این اطلاعات به همراه اطلاعات پرداخت برای سوئیچ می‌رود. آنجا بانک بر اساس رمزی که ارسال و دریافت کرده، احراز هویت می‌کند.

نکاتی کوتاه درباره فیشینگ
شاید برایتان جالب باشد بدانید که فیشینگ با سن شما رابطه مستقیم دارد. صنعت پرداخت بهترین دام برای فیشینگ است. دامنه‌های HTTPS امنیت بیشتری دارد تا SSL و آمریکا کانون قربانیان جرائم اینترنتی است.

امیری: می‌توانستند بگویند بالای یک رقمی تراکنش باید 500 یا هزار تومان کارمزد بدهند. بیمه‌ای هم به وجود می‌آمد و بهترین زمان بود برای اینکه پرداخت کارمزد انجام شود. ما کسب‌وکارهای اینترنتی مجبور به پرداخت کارمزد بودیم و به این ترتیب دریافت کارمزد اجرایی می‌شد.

عزیزی: اینکه تراکنش بالای یک رقم، کارمزد پرداخت کند، کار خوبی است، اما در فضای فعلی بانک‌ها در کر و سوئیچ نمی‌توانند آن را پیاده‌سازی کنند.

جمالی: در سوئیچ شاپرک این کار را می‌کردند تا حداقل کارمزدی که می‌گیرند حلال شود.

ما می‌توانستیم این قضیه را در شاپرک حل کنیم؟ همه پارامترهای ثابت هم سر جایش بود. همچنین می‌توانستیم شیوه‌های احراز هویتی را که اینستاگرام یا فیس‌بوک انجام می‌دادند، به کار بگیریم.

عزیزی: تحلیل رفتاری کار خیلی خوبی است و در کشف تقلب بسیار کمک می‌کند.

جمالی: اگر از درگاه اینترنتی این کار انجام شود، ترمینال آیدی را تغییر می‌دهند. همچنین شرکت‌هایی هستند که هر بار تراکنش را از یک شرکت پرداخت خاص ارسال می‌کنند. هنگام تسویه هم به حساب‌های مختلف می‌رود. چطور چنین چیزی امکان دارد که ما از داده‌های شاپرک، چنین تقلب‌هایی را پیدا کنیم؟ این سیستم درست طراحی نشده است. در شرایط فعلی شاپرک و شتاب باید هزینه ریسک را تقبل کنند، چون مسئول این شبکه هستند. آن‌ها این سطح از فناوری را داخل کشور آورده‌اند و اگر نسخه‌ای را برای مردم پیچیده‌اند، باید ریسک آن را هم بپذیرند.

صادقی: ابتدا باید ببینیم رخداد چیست و بعد فرایند حل مساله را از این طریق پیگیری کنیم. اینکه چرا این کار انجام نمی‌شود به این خاطر است که اولین و راحت‌ترین راه‌حل این است که هزینه سمت بانک باشد. در حالی که کل اطلاعات تراکنش‌های بانکی در شاپرک وجود دارد و گردش اطلاعات نیز در آنجا رخ می‌دهد؛ پس قطعاً می‌تواند رخدادها را مدیریت کند، اما به‌خاطر قدرت حاکمیتی که شاپرک و بانک مرکزی دارند، این کارها را به بانک‌ها تحمیل کرده‌اند.

آجدانی: من موافق این هستم که شتاب و شاپرک در ایجاد سامانه‌های کشف تقلب و تخلف نقش ایفا کنند و نقش خود را از سودی که در این شبکه می‌برند، بدهند.

امیری: من موافق هستم. باید نهادی ایجاد شود. مثلاً بیمه‌ها این کار را انجام دهند. روز صدور کارت، هزینه‌ای را از کاربر بابت بیمه کارت بگیرند و اگر کاربر این کار را نکرد، مسئولیتی گردن بانک نباشد.

صادقی: اما این کار مساله را حل نخواهد. اگر مسائل و مشکلات را ریشه‌ای حل نکنیم، نظام باج‌خواهی ایجاد می‌شود.

حافظی‌گل: هیچ بانکی رمز دوم را به کاربر نداده؛ بلکه او با استفاده از ATM یا داخل شعبه این کار را کرده، پس مسئول امنیت آن خودش است. ما داریم زور حاکمه نهاد قضایی را به گردن ذی‌نفعان تسهیل‌گر، مالکان پلتفرم یا بازار می‌اندازیم. ما دارنده کارت را رها و باب فساد را باز می‌کنیم. ما هیچ مرجعی نداریم که تحلیل رفتاری انجام دهیم. با انداختن کار به گردن شاپرک یا مابقی هم مساله ما حل نمی‌شود. مشکل ما این است که برای تحلیل رفتار، هیچ کسب‌وکار یا ارگانی را نداریم که این فرایند تحلیل را برای ما به‌صورت منسجم انجام دهد. کاشف برای چه به وجود آمد؟ همین‌طور شتاب و شاپرک؟ ما هنوز روی این مسائل بحث داریم. اگر اینها به وجود آمدند که این کارها را بکنند، پس باید وظیفه سازمانی خود را انجام دهند. اگر هریم باید از طریق آنها انجام شود و خودش کارمزد می‌گیرد، پس باید سیستم پیامک را هم خودش فعال کند.

جمالی: هیچ هزینه‌ای نباید به بانک‌ها تحمیل شود و کسانی که کارمزد می‌گیرند باید ریسک را هم پرداخت کنند. با بالا بردن ارتفاع‌های دیوارهای یک شهر از سه متر به شش متر امنیت برقرار نمی‌شود. ما اصلاح قوانین جزایی و اصلاح نظام‌های پرداخت را داریم که امیدوارم در آینده رخ دهد. متاسفانه با وجود تاکیدات رئیس‌کل، بانک مرکزی درگیر اجرا شده و این با سیاست‌های گفته‌شده در معارفه معاونت فناوری‌های نوین در تضاد است.

عزیزی: امیدوارم روزی به این نتیجه برسیم که سیاست‌گذاری را با همه ذی‌نفعان در نظام‌های پرداخت انجام دهیم و نگاه‌مان به مدل کسب‌وکار بانکداری خرد و نظام‌های پرداخت، نگاه منصفانه‌تری شود. همچنین مدل کسب‌وکار و بحث کارمزد اصلاح شود تا واقعاً کسانی که نفع بیشتری می‌برند هزینه امنیت را هم بیشتر تقبل کنند. من هم با اینکه هزینه بین ذی‌نفعان تقسیم شود و تمام فشار به بانک‌ها نیاید، موافق هستم.