پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
گفتگو با مهرداد خطیبی درباره دستور لغو پرداخت با کدهای USSD
بهزودی و تا آغاز مهرماه آینده با ابلاغ دستوری از سوی بانک مرکزی جمهوری اسلامی ایران پرداختهای بانکی از طریق «کدهای دستوری» (USSD) ممنوع میشود. «کدهای دستوری» بستری برای ارسال کدهایی مانند *، # و چند عدد هستند که هر کاربر میتواند با ارسال آنها به اپراتورهایی که عضو شبکه آنها است فعالیتهایی مثل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام دهد. اگرچه با ظهور تکنولوژیهای جدید در این عرصه استفاده از این بستر تقریباً منسوخ شده است اما کار با این محیط به دلیل نیاز نداشتن کاربران به اینترنت و پیچیدگیهای خاص فضای مجازی، رسیدگی به کارهای بانکی را بهوسیله تلفن همراه آسان میکند. اغلب شبکههای پرداخت الکترونیک که به بانکها و اپراتورهای همراه با استفاده از این بستر به ارائه خدمات میپردازند در صورت ممنوعیت استفاده از این بستر دچار تغییر و تحولاتی در ارائه این دست از خدمات میشوند. در همین زمینه با مهرداد خطیبی مدیرعامل پرداخت اول کیش (جیرینگ) گفتوگویی را انجام دادهایم که شرکتش به 25 میلیون مشترک روی این بستر خدمات ارائه میکند.
.
با توجه به ابلاغیه بانک مرکزی در زمینه مسدود کردن خدمات بانکی بر بستر USSD چه تصمیمی برای ادامه فعالیت از طریق این سرویس دارید؟
تاکنون هیچ ابلاغیهای نه از سوی بانک مرکزی و نه از سوی شاپرک و نه هیچ نهاد قانونگذاری دیگری به ما ابلاغ نشده است و ما جستهوگریخته از بین اخبار در شبکهها و گروههای مجازی از این مسئله مطلع شدیم. حتی مذاکره شفاهی هم در این موضوع صورت نگرفته است. در حال حاضر روزانه چند میلیون تراکنش بر بستر USSD داریم که تاکنون هیچ تراکنش ناامنی در این فضا رخ نداده است یا اطلاعات محرمانه بانکی که لو رفته و به سرقت رفته باشد، نداشتهایم. درصورتیکه در سایر بسترهایی که در حال حاضر در حال خدمت به کاربران هستند، زیاد شنیده میشود که سوءاستفاده صورت میگیرد و اطلاعات مشتریان به سرقت رفته است.
.
یکی از دلایلی که برای کنار گذاشتن این شیوه پرداخت عنوان میشود امن نبودن آن برای پرداخت است. این عدم امنیت چقدر واقعیت دارد؟
اولاً شبکه اپراتوری یک شبکه بسته و تحت کنترل است و برعکس آن، شبکه اینترنت یک شبکه باز و غیرقابلکنترل است، بنابراین هر سرویسی که بر شبکه اپراتوری ارائه میشود، ماهیت بهمراتب امنتری به نسبت سرویسهای اینترنتی دارد. بیایید فکر کنیم امنیت USSD، صفر مطلق است، وقتی تراکنش پرداخت روی این بستر انجام میشود برای بار اول، اطلاعات شماره کارتبانکی باید ثبت شود و مشترک برای نخستین بار شماره کارت 16 رقمی را وارد میکند و پسازآن، رمز دوم درخواست میشود و درصورت مطابقت و صحت اطلاعات کاربر از سوی پیاسپیها این اطلاعات ثبت میشود. در تراکنشهایی که بعد از تراکنش ثبتنام اولیه انجام میشود صرفاً رمز دوم است که بر بستر USSD منتقل میشود و بهجای شماره کارت، یک کد مستعار ارسال میشود؛ بنابراین در صورت شنود، چیزی که نصیب فرد شنود کننده متخصص میشود صرفاً رمز دوم کارتبانکی است. آیا میتوان با رمز دوم کارتبانکی که مشخص نیست متعلق به چه کارتبانکی است، برداشت پول انجام داد؟ بنابراین راحتترین کار این است که پس از اولین تراکنش که شماره کارت و رمز دوم کارت در یک تراکنش USSD اخذ میشود، در تراکنش بعدی از کاربر بخواهیم رمز دوم کارت را تغییر دهد و در سیستمهای پیاسپی هم این موضوع پیادهسازی شود که تا زمانی که رمز دوم تغییر نکرده، بههیچوجه اجازه تراکنش جدید روی این بستر به مشترک داده نشود. در این وضعیت، اگر حتی شنودی هم صورت بگیرد اطلاعاتی که به دست میآید چیزی نیست که به درد شنود کننده بخورد.
باوجوداین، اگر اصرار بر ارتقای امنیت داشته باشیم، این کار میسر است. همه میدانند که مقوله امنیت، یک امر نسبی است بنابراین بین ریسک امنیتی و هزینه تأمین امنیت باید تناسبی وجود داشته باشد. اگر دوستان درخواستی برای ارتقای سطح امنیتی به ما بدهند ما میتوانیم با انتقال اپلت روی سیم کارت مشترکان، سطح امنیتی USSD را بالاتر ببریم؛ اما موضوع این است که در شرایطی که با اجرای پیشنهادهای فوق، امنیت تقریباً صد درصدی برای تراکنشها محقق میشود، آیا توجیه اقتصادی برای صرف این هزینه سنگین وجود دارد؟ در حال حاضر 25 میلیون مشترک منحصربهفرد همراه اول از سرویس USSD استفاده میکنند و برای اجرای مدل امنیت مبتنی بر اپلت، باید سیم کارت جدید برای همه مشترکین ارسال کنیم که فقط برای تعویض سیم کارت، بهجز هزینههایی که روی شبکه USSD و شبکه پیاسپی اتفاق میافتد، میزان قابلتوجهی اعتبار مالی نیاز است. اینجا است که باید بحث شود درحالیکه با یک روش ساده مثل تغییر رمز، ارتقای امنیتی تراکنشهای USSD شدنی است، چرا باید چنین هزینهای صرف شود.
.
در حال حاضر مردم از کدهای دستوری بیشتر برای چه نوع پرداختی استفاده میکنند؟
در حال حاضر 80 درصد پرداختها بر بستر USSD مربوط به فروش شارژ است؛ یعنی مردم بهجای استفاده از پین چاپ شده میتوانند از گوشی خود، شارژ خریداری کنند و این یعنی در همین مدت کوتاه ما از نابود شدن 5 هزار اصله درخت و هدر رفتن 110 میلیون لیتر آب جلوگیری کردهایم.
.
بنابراین باوجوداین همه تدابیر امنیتی به نظر میرسد این ترس از سوی بانک مرکزی وجود دارد که اطلاعات از سوی خود اپراتور مورد سوءاستفاده قرار گیرد.
خیلی از اطلاعات محرمانه مشتریان در اختیار اپراتورها است و ایشان امانتدارند و نهادهای نظارتی هم بر شبکه اپراتوری نظارت دارند. ممکن است بانک مرکزی این دغدغه را داشته باشد اما چیزی که بهصورت غیررسمی شنیدهایم دغدغهشان این است که ممکن است در لایهای که بین گوشی و BTS وجود دارد شنود اتفاق بیفتد، باید عرض کنم که این اینترفیس با پروتکلهای امن، محافظت شده ولی حتی در صورت شنود با تجهیزات پیشرفته، این طور نیست که این قابلیت در دسترس عموم باشد و همانگونه که قبلاً هم گفتم، در صورت تغییر رمز از تراکنش دوم، اطلاعات قابلاستفادهای نصیب شنود کننده نمیشود. درحالیکه اگر موضوع، صرفاً دغدغه امنیت باشد آن را میتوان بهراحتی حل کرد و در صورت رفع این دغدغه قاعدتاً محدودیتهای سال گذشته شامل بر خرید و ماندهگیری بر بستر USSD نیز قابلبرگشت خواهد بود.
.
شما از امنیت صحبت میکنید؛ اما همین الآن شاهد بالا گرفتن موضوع سرقت اطلاعات مشترکان ایرانسل و انتشار آن در تلگرام هستیم.
اول اینکه در این خصوص مدیران ایرانسل باید پاسخگو باشند و من نمیتوانم بهجای ایشان اظهار نظر کنم. تا آنجا که مطلع هستم، دیتابیس برخی از مشترکان ایرانسل بهصورت آفلاین در شبکه مجازی منتشر شده و این به معنای نفوذ در شبکه اپراتوری نیست. احتمالاً در این اتفاق، همانند نمونه مشابهی که چند سال پیش در شبکه بانکی کشور اتفاق افتاد، دسترسی به اطلاعات از داخل شرکت و از طریق پرسنل یا پیمانکاران صورت گرفته، نه به واسطه نفوذ در شبکه، بنابراین همانطور که عرض کردم، شبکه اپراتوری بسته است و امنیت در این شبکه بالاست. در موضوع USSD باید عرض کنم، اطلاعات تبادل شده بر این بستر در شبکه همراه اول ذخیره نمیشود که نگران نشر اطلاعات از این طریق باشیم.
.
به نظر میرسد مشکل پیچیدهای برای رفع دغدغه دو طرف وجود ندارد، چرا این اتفاق نمیافتد؟
نظر ما هم همین است که اگر این تعامل ارتقا یابد و فاصلهها کمتر شود میتوان راهکارهایی پیدا کرد که دغدغههای دو طرف رفع شود. اگر نیت ارائه سرویس راحت در جهت آسایش مردم باشد بالاخره راهکاری میتوان پیدا کرد. ممکن است بحث این باشد که USSD قدیمی است اما فعلاً با شرایطی که کیفیت و ضریب نفوذ اینترنت اپراتورها دارند، بهترین روش برای خرید شارژ و پرداخت قبوض همین USSD است. در حال حاضر بحث تأمین پول خرد در کشور ما به یک معضل تبدیل شده است درحالیکه ما آمادگی لازم را در این زمینه داریم که مثلاً تکنولوژی NFC را ارائه کنیم تا موبایل را تبدیل به کارت و کیف پول همراه کنیم و مشترکان میتوانند پرداختهای الکترونیک خود را با آن انجام دهند. ولی ازآنجاکه در کشور ما قوانین شفاف و با ثبات نیستند و هزینه سرمایهگذاری در این بخش قابلتوجه است، فعلاً دست نگه داشتهایم. قوانین در این زمینه در کشور ما همیشه عقبتر از تکنولوژی هستند.
.
آیا فکر میکنید این فشار از سوی بانکها اعمال میشود تا محدوده خدمات بانکی خود را برای مشتریانشان حفظ کنند؟
وقتی بحث «سپاس» (کیف الکترونیکی) مطرح شد و تستهای اولیه نیز انجام شد، قرار بود تا پایان سال 93 طرح سپاس رونمایی شود اما بعدازآن چرخشی به وجود آمد که به بهانه ورود تکنولوژیهای جدید از آن جلوگیری شد، هرچند که به نظر من سپاس تکنولوژی نبود بلکه یک پلتفرم بود تا اکوسیستم ارائه خدمات کیف پولمحور را فراهم کند اما پرونده سپاس به یکباره بسته شد. احساس میکنم دلیل این امر همزمانی با خبر فعال شدن MVNO ها (اپراتور مجازی) بود. به محض اینکه امکان حضور شبکه بانکی در شبکه اپراتوری به وجود آمد، پروژه سپاس متوقف شد؛ یعنی یک خدمت را از مردم گرفتیم، به صرف اینکه خودمان میخواهیم این خدمت را ارائه کنیم. الآن بسیاری از شرکتهای شبکه پرداخت و شرکتهای وابسته به بانکها، خواهان تبدیل شدن به اپراتور مجازی هستند یعنی ازیکطرف، سیاستگذار بانک مرکزی از فعالیت شبکههای پرداخت جدید بانکی ممانعت به عمل میآورد و ازیکطرف سیاستگذار مخابراتی کاملاً فضا را باز گذاشته و حق فعالیت در فضای اپراتوری را به شرکتهای بانکی میدهد.
.
این نشان میدهد که سیاستگذاران بانک مرکزی و مخابرات بر سر این موضوع با هم اختلاف دارند؟
بله کاملاً دیدگاههای متفاوت و متضاد با یکدیگر دارند. ازیکطرف، نگاه بسته رگولاتور بانکی است و از این سمت، نگاه باز رگولاتور مخابراتی است.
.
بههرحال در این وضعیت رگولاتور مخابراتی قصد دارد خدمتی که در محدوده فعالیت شما بود را به سیستم بانکداری هم تحویل بدهد این طور نیست؟
موضوع این است که در این شرایط آیا ماهم باید از ورود پیاسپیها به شبکه اپراتوری نگران و مضطرب باشیم. عملاً شبکه بانکی و خصوصاً پی اس پیها در طول مدتی که با اپراتورها سرویس مشترک ارائه میدادند اطلاعات محرمانه اپراتورها مانند شماره موبایل، رفتار مصرف و خیلی از اطلاعاتی که منجر به شناسایی مشتریان پرمصرف اپراتورها میشود را جمعآوری کردهاند؛ بنابراین با داشتن این اطلاعات و فعال شدن MVNO ها، به نوعی میتوانند مشتریان پرمصرف اپراتورها را بگیرند؛ درحالیکه جذب این مشترکان برای اپراتور هزینه بالایی داشته است؛ اما آیا رگولاتور مخابراتی باید همانند رگولاتور بانکی در این زمینه نگاه بستهای داشته باشد و از ورود شبکه بانکی به فضای اپراتور مجازی ممانعت کند؟ یا بهتر است که رگولاتور بانکی این رفتار را بیاموزد. از سویی دیگر برخی ادعا میکنند نحوه تقسیم درآمد بین پیاسپیها و اپراتورها عادلانه نیست درصورتیکه خیلی از PSP ها باید توجه داشته باشند که از طریق همین بستر توانستهاند چنین رشدی را تجربه کنند. شبکه پرداخت باید به این موضوع توجه داشته باشد که بدون نیاز به سرمایهگذاری برای خرید دستگاه پوز که در کشور ما تعدادشان هم کم نیست و بدون سرمایهگذاری روی نگهداری آنکه عملاً هزینه آن بر عهده اپراتور و مشترک قرار گرفته است میتوانند در این فضا فعالیت کنند؛ بنابراین بدون نیاز به سرمایهگذاری انبوه به دلیل تبدیل شدن گوشیهای موبایل به دستگاه پوز، به نسبت سرمایهگذاری انجام شده توسط اپراتور و شرکتهای پرداخت الکترونیک، کفه ترازوی سهم درآمد به سمت شبکه پرداخت است. با این وجود اگر واقعاً یک مدل کسبوکار مناسب و شفافی ارائه شود ما از آن استقبال میکنیم و آماده رایزنی هستیم.
.
درنهایت، تصمیم نهایی شما در قبال این دست از محدودیتها بر بستر USSD چیست، آیا ممکن است روشی را برای دور زدن این محدودیت به کار بگیرید؟
اگرچه که باز هم تأکید میکنم این محدودیت بهصورت رسمی به ما ابلاغ نشده است ولی باز هم پیشنهاد مذاکره برای رسیدن به راه حل نهایی را برای رفع دغدغهها داریم. ما معتقدیم محدود کردن، بدون ارائه راهکار جایگزین تصمیم خوبی نیست. حداقل باید به آن 25 میلیون مشترکی که از سوی ما از این سرویس استفاده میکنند، احترام گذاشت. در غیر این صورت با شدیدترین تدابیر امنیتی بر این بستر یا هر بستر دیگری و با صرف بیشترین هزینهها هم اگر هدف، رسیدن به تعامل و خدمت مشترک نباشد، به نتیجه نخواهیم رسید.USSD بستری است که مشترک برای استفاده از آن نیازی به مراجعه حضوری ندارد، اگرچه این تکنولوژی قدیمی است اما قدیمی و ساده بودن به معنی ضعیف بودن و بد بودن یک سرویس نیست. جایگزین کردن آن در صورت داشتن اینترنت پرسرعت، ارزان و قابلاعتماد بهوسیله اپلیکیشنهایی میسر است که میتوانند مبتنی بر دیتا فعالیت کنند؛ بنابراین در صورت توسعه اپلیکیشنها و ارائه اینترنت پرسرعت ارزان، کم کم USSD از چرخه ارائه خدمت، خارج میشود. در وضعیت فعلی، USSD بهترین بستر ممکن برای ارائه خدمات اپراتوری است. سرویس دیگر که مبتنی بر راه نزدیک است، NFC است که درحال بررسی آن هستیم. برای ورود به این فناوری نیاز به سرمایهگذاری قابلتوجهی داریم، اما این سرویس جزو خدماتی است که اگر قوانین شفاف باشد و بعداً با موانعی مثل USSD مواجه نشود، قابل سرمایهگذاری است، با این سرویس امکان پرداخت آنلاین و آفلاین همراه، مبتنی بر سیم کارت که بالاترین امنیت را دارد، به وجود خواهد آمد.
منبع: دنیای اقتصاد