بزرگ‌ترین شکاف ما نسبت به دنیا در فضای الکترونیک امضای دیجیتال است

به گفته نیما امیرشکاری، عضو هیئت‌علمی و مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی، تمام سرویس‌های غیرحضوری دنیا ازنظر امنیتی بر پایه امضای دیجیتال نهادینه می‌شوند و بزرگ‌ترین شکاف ما نسبت به دنیا در فضای الکترونیک امضای دیجیتال است.

به گزارش پایگاه خبری بانکداری الکترونیک، اگرچه کیف پول می‌تواند خدمات بانکی را دچار تحول کند اما راه‌اندازی آن با موانع بزرگی روبه‌رو است. موانعی که برخی کارشناسان آن را به کاهش درآمد شرکت خدمات نسبت می‌دهند؛ اما به عقیده دکتر نیما امیر شکاری عضو هیئت‌علمی و مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی بانک مرکزی از موضع قلدری و بالا سخن می‌گوید، تکرار می‌کند: «این است که من می‌گویم در غیر این صورت هر کاری می‌خواهید انجام دهید و من سرویس‌هایم را قطع خواهم کرد». انحصارطلبی‌های بانک مرکزی نه از روی بدخواهی یا زیاده‌خواهی بلکه از روی قلدری است. دقیقاً در ادبیات بانک مرکزی این اعتقاد وجود دارد که بقیه افراد بلد نیستند کاری که آن‌ها می‌کنند را انجام دهند، یا می‌گویند اگر اجازه دهیم 30 بانک کار کنند هزینه‌اش 30 برابر می‌شود، پس ما یک‌بار آن را انجام می‌دهیم. در گفت‌وگو با نیما امیرشکاری عضو هیئت‌علمی و مدیر گروه بانکداری الکترونیک پژوهشکده پولی و بانکی اقداماتی که باید بانک مرکزی انجام داده یا بازبینی کند تشریح شد که در ادامه آن را می‌خوانید.

.

یکی از مسائلی که کیف پول راه نیفتاد را کاهش درآمد شرکت خدمات ذکر می‌کنند، چقدر این دلیل واقعی است؟

بحث اصلی این است که همه سرویس‌های بیرونی می‌تواند روی درآمد شرکت‌ها تأثیرگذار باشد و آن را خطرناک کند، همچنین باعث شود شرکتی که مانند شرکت خدمات انفورماتیک قوی است دلش نخواهد از سهم کارمزدش کم شود و در خارج از شرکت به‌جای دیگری برود. بر همین اساس با راه‌اندازی محصولاتی چون کیف پول، تعداد تراکنش‌هایی که سمت شتاب شاپرک می‌آید کم می‌شود و اگر آرام‌آرام این محصولات در بیرون راه‌اندازی شود، طرف مقابل ترجیح می‌دهد تا حد خاصی ریسک آن را بپذیرد.

.

پس تأیید می‌کنید که یکی از علل مخالفت با کیف پول همین است که درآمد شرکت خدمات کم می‌شود؟

بله یکی از دلایل همین است.

.

قبول دارید که دلیل موجهی برای تعویق کیف پول نیست؟!

دقیقاً، این به چانه‌زنی مردم و دولت مرتبط است. در شرکت خدمات و بانک مرکزی یکسری موافق وجود دارد و یکسری مخالف، افرادی هستند که می‌گویند اگر با راه‌اندازی کیف پول درآمد شرکت خدمات کم شود این شرکت بودجه توسعه شتاب و… را نخواهد داشت و این مسئله چندان مورد وثوق نیست. مخالفان اعتقاد دارند که ساختار کسب‌وکار کلان صنعت بانکداری و پرداخت الکترونیک مهم‌تر است از این مسئله و باید این ساختار درست شود.

.

به نظر شما ریشه این مسئله در چیست که عملاً دیدگاه موافقان پیروز است؟

 به نظر من این مشکل ناشی از دوگانگی بورسی و دولتی بودن شرکت خدمات شروع می‌شود، از طرفی دولت درآمدش را برای انجام یکسری کارها لازم دارد و بانک مرکزی ممکن است تمایل داشته باشد با آن پول کار دیگری انجام دهد. در بورس هم تمامی سهامداران بورسی دنبال سودآوری هستند، بنابراین دوگانگی خدمات باید از بین برود.

مشکل بزرگ این است که بانک مرکزی با هیچ‌کس سر میز مذاکره نمی‌نشیند و یک‌طرفه قطع کرده و بخشنامه می‌دهد

.

سهامی که از خدمات در بورس است چندان زیاد نیست؟

حدود 5 درصد است. نکته آن است که شرکت خدمات علاوه بر شفاف و بورسی بودن باید سودآور هم باشند اما عملاً حاکمیتی است و باید از بورس بیرون آورده و اعلام کنند بودجه‌اش دولتی است و درنتیجه غیرانتفاعی کار کنند، البته کار کردن به این شکل هم ایراداتی دارد، همین‌که خدمات انگیزه اجرای همین سرویس‌های فعلی را دارد به دلیل خصوصی بودنش است.

.

شرکت خدمات به‌راحتی می‌تواند درآمدزایی خوبی داشته باشد. چون می‌تواند بهترین مغزها و نخبه‌ها را به‌راحتی استخدام کند، می‌تواند هر جای جهان شرکت داشته باشد و خوب هم بفروشد.

بله اما متولیان شرکت در چنین فضاهایی نیستند، همه Resourceها متعلق به شتاب است و همه‌چیز از بیرون می‌آید، بانک‌ها هم از خدمات شرکت ناراضی هستند دلیلش هم قوی نبودن سرویس‌های دیگر شرکت است و همچنین این خدمات خوب جا نیفتاده است. البته خیلی روی سرویس‌ها تلاش شده است، اما به دلیل این‌که درآمدهای اصلی از محل دیگری است مابقی بخش‌ها تلاشی برای توسعه و بهبود کار ندارند درنتیجه حقوق‌بگیر و دولتی شده‌اند.

.

در رابطه با USSD هم همین اتفاق افتاد؟

با مطرح‌شدن بحث مسدود شدن USSD که قرار بود توسط خدمات پشتیبانی شود جیرینگ برای مجوز اقدام کرد که محقق نشد، خیلی‌ها آمدند کارهایی انجام دهند که نتوانستند به این فضا وارد شوند. از طرفی هم بانک مرکزی به‌شدت از میزان پولی که اپراتورها از بانک‌ها می‌گیرند شاکی است. نظرشان این است که اگر چنین روندی ادامه‌دار باشد اپراتور همیشه سهم‌خواهی می‌کند.

.

در جهان‌ هم اپراتورها اکنون بخشی از بازار پرداخت را دارا هستند؟

تا جایی که اپراتور سرویس عادی می‌دهد و کاربر روی سرویس سوار می‌شود مبحثی مجزاست، اما وقتی قیمت سرویس بنا بر مبلغ یا نوع تراکنش بانکی محاسبه می‌شود بحث متفاوت است. اگر به بنده فال حافظ و هزینه تراکنش بانکی یک‌جور قیمت داده شود ایرادی وارد نیست، این درک وجود دارد که یک سرویس با قیمتی پایه‌ای ارائه خدمت می‌دهد، اما زمانی که عنوان شود فال حافظی‌ها درآمدی برای اپراتور ندارند اما از طرف وجود طمع باعث شود نسبت مثلاً به هر یک هزار تومان یا 200 هزار تومان، اپراتور 10 درصد سهم‌خواهی کند و همین‌طور اگر نسبت به مبلغ این سهم‌خواهی صورت بگیرد و بخواهد از طریق تراکنش‌های fake و شبیه‌سازی‌شده کار پیش رود اختلافات شروع می‌شود وگرنه اگر ازلحاظ سهم‌خواهی مانند فال حافظی و استخاره‌ای برخورد شود چنین مسائلی وجود نخواهد داشت.

.

اگر کیف پول بود شاید مشکلات این‌چنین رخ نمی‌داد. به نظر شما چرا مسئله‌های بین بانک مرکزی و اپراتور کمتر حل می‌شود؟

مشکل بزرگ این است که بانک مرکزی با هیچ‌کس سر میز مذاکره نمی‌نشیند و یک‌طرفه قطع کرده و بخشنامه می‌دهد.

.

احتمالاً سر میز هم بلد نیست خوب مذاکره کند؟

خیر، نمی‌تواند، از موضع قلدری و بالا سخن می‌گوید، تکرار می‌کند: «این است که من می‌گویم در غیر این صورت هر کاری می‌خواهید انجام دهید و من سرویس‌هایم را قطع خواهم کرد»، ملاحظه می‌کنید که این روش بدترین روشی است که بانک مرکزی در مذاکره انجام می‌دهد، اگر افراد قابل‌مذاکره‌ای داشت این‌طور نبود. اپراتورها، بانک‌ها – البته نه همه بانک‌ها – سازمان تنظیم مقررات و… افراد قابل‌مذاکره‌ای دارند، اما بانک مرکزی به‌هیچ‌وجه چنین افرادی را دارا نیست، شاید بتوان گفت بهترین آن‌ها آقای حکیمی است.

باید پرسنل نظارتی را زیاد و تقویت کرد، باید شرکت‌های IT Auditing متعدد تربیت شود که با رفتن به بانک‌ها، عمل نظارت را روی Core bankingها و PSPها انجام دهند

.

شاید چون هیچ‌وقتی این بانک مرکزی نیست که چیزی را از دست می‌دهد. درهرحال این نوع برخورد به فرآیند توسعه خدمات بانکی خیلی صدمه وارد می‌کند.

بله صدمه هم به مملکت وارد می‌شود نه به فرد در بانک مرکزی، او که حقوق خوبش را دریافت می‌کند، پشت میزش نشسته، احترام و قلدری‌اش را دارد و همه‌چیز سر جایش است بنابراین صدمه بزرگ به مملکت و مردم وارد می‌شود.

.

مایه تأسف است، به نظر شما این روند تا چه زمانی ادامه خواهد داشت؟

نمی‌دانم، حتی امید ندارم پیوند هم خیلی جواب بدهد.

.

در پیوند تفاوتی به چشم نمی‌خورد؟

بله چیزی تغییر نکرده فقط سهم اپراتور کم شده است. اگر اجازه می‌دادند کیف پول را مردم یا شرکت‌های خصوصی Develop کنند هیچ اتفاق بدی نمی‌افتاد.

.

در همه‌جا هم به این صورت است و فکر می‌کنم کار درست همین باشد.

در اینجا مقداری انحصارطلبی وجود دارد که البته از روی بدخواهی یا زیاده‌خواهی نیست بلکه از روی قلدری است، دقیقاً در ادبیات بانک مرکزی این اعتقاد وجود دارد که بقیه افراد بلد نیستند کاری که آن‌ها می‌کنند را انجام دهند، یا می‌گویند اگر اجازه دهیم 30 بانک کار کنند هزینه‌اش 30 برابر می‌شود، پس ما یک‌بار آن را انجام می‌دهیم. البته آن یک‌بار با هزینه 30 برابر انجام می‌شود یا اگر هزینه‌ای 20 برابر داشته باشد با زمان 300 برابر انجام خواهد شد. استدلالشان این است که به‌جای این‌که 30 بانک این کار را انجام دهند خودشان یک‌بار این کار را انجام خواهند داد.

.

آیا اصول کلی‌ای در رابطه با تفویض وظایف وجود دارد؟

در اینجا بحث وظیفه‌مندی پیش می‌آید، مثلاً «نهاب»، وارد شد که بگوید تمام مشتریان کل نظام بانکی را مدیریت می‌کند، خب چرا باید چنین کاری کند و مسئولیت آن را بر عهده بگیرد؟ کار درستی نیست آن‌هم با توجه به این‌که در مسئله امضای دیجیتالی ورود کرد و شکست خورد باوجود شکست چندین و چندباره هنوز هم این اصرار برای انجام کار به این روش وجود دارد. در امضای دیجیتالی گفته شد که به بانک‌ها اعتماد کنیم و به هرکدام intermediateCA بدهیم و بانک مرکزی ریشه بانک‌ها شود، هرکدام از بانک‌ها خودشان به مشتریانشان کلید بدهند، اما بانک مرکزی موافقت نکرد و تمایل داشت خودش به تمام مشتریان بانک‌ها کلید بدهد.

.

این‌همه اصرار برای چه بود؟

در این خصوص باید 80 یا 100 میلیون کلید زده می‌شد. طبعاً می‌شود پیش‌بینی کرد که سیستم گران‌تر شده و همچنین مدیریت صحیح صورت نمی‌پذیرد، درواقع در بحث امضای دیجیتال این کار متعلق به بانک مرکزی نیست، سازمان روش‌ها، پرسنل، تکنولوژی، فنی، بودجه و… هیچ‌کدام جواب نخواهند داد، آیکون مثبتی در اینجا وجود ندارد و تمام کار تحت عنوان متمرکزسازی خراب خواهد شد و در آخر هم نتیجه مثبتی عاید نمی‌شود، به‌راحتی هم تقصیر گردن خارجی‌ها انداخته می‌شود و می‌گویند سیستمشان بد بوده است، درصورتی‌که تمام این اشتباهات استراتژیک به نظر من به دلیل اصرارهای بیجا است.

بنده مدیر پروژه CA در بانک مرکزی بودم، RFB آن را من به کمک مشاور خارجی به‌روزرسانی کردم، آن زمان از بهترین مشاور بلژیک که روی پروژه کارت‌های ملی آنجا کار کرده بود استفاده کردم، به‌واسطه این مشاور RFB را نوشتیم و همه‌چیز تمام شد. صفحه اول RFE دارای دیاگرامی بود که می‌گفت مبنای مدل در آن به‌صورت ریشه‌ای بودن بانک مرکزی بود، غیرازاین دیاگرام چیز دیگری در RFE دست نخورد و همین یک باکس را تغییر دادند.

هرچقدر مشاور و بنده اصرار کردیم که تو را به خدا این کار را نکنید، بگذارید بانک‌ها خودشان به مشتریانشان کلید بدهند، بانک مرکزی می‌گفت خیر ما باید یک data base از کل مشتریان نظام بانکی در بانک مرکزی داشته باشیم، بنابراین باید کلید را خودمان به آن‌ها بدهیم.

مشکلات تفکری، انحصاری و تمرکزگرایی را ما بسیار در بانک مرکزی مشاهده می‌کنیم.

.

این صحبت چه کسی بود؟

آقای حکیمی، سال ۸۷ یا ۸۸ بود در کیش چنین مسئله‌ای را عنوان کردند و بعد از بسته شدن پروژه به این شکل کل پروژه از همان لحظه اول با شکست روبه‌رو شد.

.

فکر می‌کنید آقای حکیمی چرا این‌همه انحصارگر هستند؟

به دلیل این‌که به بقیه اعتماد ندارند، البته اشتباه‌هایی از بقیه دیده و گرفته است، اما روش برخورد صحیح این نیست.

.

آزمون‌وخطا باید برای فعالان و بازیگران وجود داشته باشد، اگر اجازه اشتباه و خطا به بازیگران دیگر بازار ندهیم هیچ‌وقت نمی‌توانیم بالغ شویم.

خیر، فرصت آزمون‌وخطا قائل نیست، مثلاً زمان شاپرک یا قبل از آن در PSPها چنین کاری انجام شد و اجازه دادند سوئیچ داشته باشند، حال تراکنش‌های fake بسیاری از سمت PSP می‌آمد، اما به نظر من دلیل این اتفاقات نادرست این است که نظارت اشتباه صورت می‌گیرد، این کمبود در نظارت است و با انحصارگری حل نخواهد شد، باید کار را به‌جای این‌که بانک مرکزی اجرایی کند به تعداد عظیم پرسنل فعالان پرداخت بسپارند و خودشان نقش ناظر را ایفا کنند.

بنابراین باید پرسنل نظارتی را زیاد و تقویت کرد، باید شرکت‌های IT Auditing متعدد تربیت شود که با رفتن به بانک‌ها، عمل نظارت را روی Core bankingها و PSPها انجام دهند. این کاری زیرساختی است که به دلیل زمان‌بر بودن انجام نمی‌شود.

.

شرکت‌های IT Auditing چه ساختاری دارند؟

حسابرس‌ها که چه طور ساختاری دارند؟ مگر سازمان بورس کار حسابرسی‌ها را انجام می‌دهد؟ اعلام می‌کند به افرادی که دارای دانش و تحصیلات و تجربه لازم باشند، پس ازآنجام آزمون‌هایی مجوز می‌دهد، Auditing باید سازمان و انجمنی داشته باشند، خودشان رنکینگ دارند، شرکت بزرگ‌تر ناظر شرکت‌های بزرگ‌تر است و شرکت کوچک‌تر برای شرکت‌های کوچک‌تر نظارت می‌کنند.

همان‌طور که سازمان بورس به شرکت‌هایی که مجوز می‌دهد اعلام می‌کند خودتان حسابرسی کنید و گزارش حسابرس برای من معنادار است و درواقع بورس با دیدن گزارش و خواندن صفحه ابتدایی متوجه می‌شود شرکت در چه مرحله‌ای قرار دارد، صورت مالی و باقی مسائل هم از همان گزارش دستگیرش خواهد شد. ما همین را برای IT Auditing می‌خواهیم.

هزاران بار طی مقالات و صحبت‌هایی در بانک مرکزی اعلام کرده‌ام که دپارتمانی در بانک مرکزی تشکیل و به ITAuditorها مجوز داده شود که افراد حائز شرایط مجوز بگیرند تا بدانند مسائل مهم چیست و اشتباهات را پیدا کنند، دقیقاً همان کاری که بازرس بانک مرکزی قرار است انجام دهد.

.

درواقع این‌گونه نظام بازرسی متحول می‌شود.

همان‌طور که می‌دانید بازرس‌ها را نمی‌توان به‌روز کرد، بعضی از آن‌ها متعلق به ۵۰ سال پیش هستند، فقط حسابرسی دفتری بلدند هیچ‌کدام از آن‌ها بلد نیستند کد برنامه را نگاه کنند و بگویند که اگر Core banking دارید اشکالی ندارد، Source نمی‌خواهم، حتی اگر فرمول محاسبه هم ندارید ایراد ندارد، حسابرس باید بتواند دو عدد تیپ بدهند که خروجی‌اش رقم ثابتی باشد، یعنی اگر آخر ماه اگر هزار تومان را با ۲ درصد محاسبه می‌کند باید هزار و ۲۰ تومان خروجی داشته باشد، اگر هزار و ۳۰ تومان بود اشتباه محاسبه است و اگر هزار و یک تومان نتیجه می‌شود که جایی پول خورده شده است، متعاقب آن حسابرس ثبت سند را در دفتر مشاهده کند.

این مسائلی است که برای بانک مرکزی مهم است، باید افراد و Auditorهایی تربیت شوند که در شرکت‌های خصوصی کار انجام دهند. در اینجا باید اهم و فی‌الاهم هم قائل شد، اگر شرکتی قوی شد و پرسنل کارآمدی داشت می‌تواند بانک ملی یا صادرات را تحت پوشش قرار دهد و اگر ضعیف‌تر بود می‌تواند اقتصاد نوین یا پاسارگاد را داشته باشد، به نظرم این روشی منطقی است.

.

نکته آن است که روش بارها در جهان تجربه شده است.

بله همه‌جای دنیا چنین کارهایی انجام می‌دهند، در استاندارد، ایزو، حسابرسی و هر چیزی که کوآلیفیکیشن می‌خواهد و باید در آن یکسری مرزها رعایت شود شرکت خصوصی برای انجام این کارها وجود دارد.

اگر روند دنیا را هم نگاه کنید از سال 2000 به این‌طرف تمام بانک‌های مرکزی شروع به outsource کردن نظارت کردند.

.

دقیقاً برعکس کاری که ما انجام می‌دهیم.

بله دقیقاً بانک مرکزی ما 3 هزار و ۵۰۰ پرسنل دارد و مدام از همه شهرستان‌ها و استان‌ها بازرس جذب می‌کند، شاپرک هم جذب بازرس دارد، از همه استان‌ها بازرس‌هایی را می‌خواهیم که مدام بالای سر این‌وآن برند و چکشان کنند، به نظر شما آیا این کار دولت است؟

.

هزینه‌های گزافی هم روی دست سازمان می‌گذارد!؟

بله در سازمان افراد دولتی حقوق گرفته و دولتی فکر می‌کنند، اگر او را دست سازمانی خصوصی بسپارید به‌صورتی می‌شود که کلاً تا پایان ماه هر یک‌میلیون تومان ‌هم حقوق نخواهد گرفت، اما وقتی در سازمان دولتی وارد می‌شود، حق خواروبار، مسکن، ایاب و ذهاب و بقیه موارد را دریافت می‌کند.

به دلیل این‌که خودش را با ستاد و بزرگان دولت مقایسه می‌کند یک‌باره حقوقش به‌جای یک‌میلیون تومان پنج میلیون تومان می‌شود و این هزینه‌ای است که روی دست سازمان می‌ماند، حتی با دریافت چنین مبلغی نه چابکی دارد و نه مزیت‌های مثبت دیگری دارد حتی فامیل و آشناهای خود را نیز وارد کار می‌کند.

ازاین‌دست تفاوت‌ها وجود دارد که انتظار ما حرکت بانک مرکزی به این سمت‌وسو بوده و هست.

.

مشخص نیست بانک مرکزی چه زمانی به این سمت برود؟

اصلاً چنین تفکری وجود ندارد، کسی نیست که بخواهد به آن‌ها چنین مسائلی را بگوید بنده تا زمانی که حضور داشتم گفتم گوش شنوایی برای حرف‌هایم نبود، حال که بیرون آمده‌ام چه کسی می‌خواهد چنین مسائلی را انتقال دهد؟ این منطق فکری را از کجا باید بگیرند؟

بزرگ‌ترین شکاف ما نسبت به دنیا در فضای الکترونیک امضای دیجیتال است

.

خیلی مواقع دیده می‌شود مقرراتی که باید در بخش IT طراحی شود به بخش نظارت وارد شده درصورتی‌که بخش نظارت تسلط زیادی روی IT ندارند؟!

بله آگاهی کافی وجود ندارد و مقررات به‌درستی طراحی نمی‌شود. با مشاهده بانک مرکزی خواهید دید گزارش سالمی وجود ندارد نه این‌که آدمش ناسالم باشد بلکه به حدی گزارش خطای انسانی و دستی دارد که قابل‌ارائه نیست گزارش تماماً در اکسل طراحی شده درصورتی‌که باید به‌طور سیستماتیک پردازش شود، اگر بخواهید همه را دستی جلو ببرید و در مثبت، منفی، جمع و تفریق اشتباه انجام شود یا حتی اشتباهات دیگری اتفاق بیفتد در انتها خطاهای نامعلوم وجود خواهد داشت که ریسک به‌شدت بالایی دارد.

کما این‌که چنین اتفاقی افتاد و یکی از بانک‌ها حدود سه، چهار سال در تمامی صورت‌های مالی خود سه صفر اضافه داشت. این عدد زیادی است، اما تمامی صورت‌های مالی آن بانک برای چنین مدتی مشکل داشت و متوجه این موضوع نمی‌شدند به دلیل این‌که آن را با صورت‌حساب‌های قبل از خودش مقایسه می‌کردند.

بنابراین هیچ‌گاه این ایراد مشخص نمی‌شد تا روند را تغییر دادند و با صورت‌حساب‌های دیگر مقایسه شد، خیلی مهم است که چنین فضا ایجاد شود این‌که بگوییم فقط به خودم اطمینان دارم خیلی پرهزینه است.

.

نظرتان در رابطه با آینده امضای دیجیتال چیست؟

واقعیت این است که ما خیلی با دنیا متفاوتیم، تمام سرویس‌های غیرحضوری دنیا ازنظر امنیتی بر پایه امضای دیجیتال نهادینه می‌شوند، بزرگ‌ترین شکاف ما نسبت به دنیا در فضای الکترونیک امضای دیجیتال است.

ما نه‌تنها این امضا را نداریم بلکه متولی آن را هم نداریم، البته نداشتن به معنای مطلق نیست تمامی آن‌ها اسما وجود دارند کار زخمی شده، اما نتیجه چیز دیگری می‌گوید، مانند این است که بگویید می‌خواهم منزلم را نقاشی کنم، قرارداد بسته شده اما کارگر آن هنوز نیامده فقط سطل‌هایش را گذاشته و رفته است.

کارهایی ازاین‌دست در این حوزه انجام شده، کار زخمی‌شده‌ای که نه می‌توان آن را به دیگری سپرد و نه طرف قرارداد کار را انجام می‌دهد حتی زمان انجام کار به‌درستی صورت نمی‌گیرد.

.

زمانی که کار امضا را داده‌پردازی بر عهده داشت آخر کار به کجا رسید؟

امضای دیجیتال همان است که توضیح دادم RFB نوشتیم و برنده اعلام کردیم و افراد فنی هم آمدند، اما به دلیل اشتباه مدلی که در آن خرابکاری شد شکست خورد نباید به سمتی می‌رفت که بانک مرکزی به همه سرویس داده و همه امضاها را خودش بدهد.

این اشتباه استراتژیک همه‌چیز را خراب کرد، به دلیل این‌که داده‌پردازی را وسط آوردند و جاهایی طمع بیزینسی ایجاد شد، گفتند تعداد زیادی از افراد Token می‌خواهند و داده‌پردازی باید خریداری شود، این‌که چه میزان پول و گردش مالی در اینجا وجود دارد و چه بودجه بزرگی به داده‌پردازی می‌رسد همه منافع کسب‌وکار است.

یک پارت هم آمد و خریدها بلااستفاده ماند و افتضاح پیش آمد که در بورس پیچید. همه‌جا خرابکاری شد و دلیلش این بود که می‌خواستند همه‌چیز حتی خرید را هم متمرکزسازی کنند. منظورم این نیست که نمی‌شود متمرکزسازی کرد، مثلاً جایی مانند کره این کار را کرده است، اما زمانی که به Token رسیده آن را در بازار آزاد گذاشته است و مردم همان‌طور که ما از بازار گوشی موبایل می‌خرید می‌روند و خریداری می‌کنند.

به‌قدری در آن کشور فرهنگ‌سازی شده که طرف می‌داند اگر تراکنش‌هایش هزار و دو هزار تومان است به Token نیازی ندارد می‌تواند با User name و Pasword وارد شود و امضا را دریافت کند حتی می‌تواند روی هارد یا گوشی موبایل هم ذخیره شود. Token امضایی است که باید برای شخص ذخیره شود، اگر روی هارد باشد ممکن است امنیت پایینی داشته باشد به دلیل این‌که ممکن است در دسترس بقیه افراد قرار گیرد.

اما زمانی که شما کلاً هزار یا دو هزار تومان جابه‌جا می‌کنید تفاوتی ندارد که کسی به آن دسترسی داشته باشد یا خیر، اصلاً فرد می‌تواند تصمیم بگیرد که روی حسابی که خالی است و تراکنشی انجام نمی‌شود Token نداشته باشد و روی حسابی از بانک دیگر که کارهایش را با آن انجام می‌دهد Token ۵۰۰ هزارتومانی خریداری کند.

در کشور ما گفته می‌شود این مورد برای همه یکسان است و از بانک هم باید توکن دریافت کنند، بنابراین خرید را متمرکز می‌کنیم، در ایران ‌هم تمام سودها در خرید است. چیزی را انتخاب می‌کنیم که برای همه هم خوب نیست با قیمتی پایین یا متوسط آن را خریداری می‌کنیم و با قیمت بالاتری ارائه می‌دهیم هدفمان ‌هم این است که بانک یا شرکت IT ما روی آن سود کند.

این اشتباه است به دلیل این‌که کاربر نهایی حقی ندارد و تجهیزات شما جوابگوی کل کاربران نهایی نخواهد بود کسی هم تمایل ندارد تا این حد امن باشد، باید قوانین و مقررات شما مشخص باشد، این‌که مسئولیت چه کسی است؟ درصورتی‌که اگر سایت بانک حک شود می‌گوید مشکل کاربر است، زمانی که قوانین و مقررات حقوقی ما هیچ حفاظتی از کاربر ندارد و هزینه خرید Token را هم به کاربر تحمیل می‌کنید درصورتی‌که شاید آن را نخواهد یا حتی نیازی به آن نداشته باشد.

ما نه‌تنها این امضا را نداریم بلکه متولی آن را هم نداریم، البته نداشتن به معنای مطلق نیست

.

در این صورت مسئولیتش را هم خودش قبول می‌کند؟

بله مسئولیتش با خودش است، اما ما با این متمرکزسازی‌ها تمام مسئولیت‌ها را سمت بانک مرکزی و نظام بانکی آورده‌ایم، درصورتی‌که سوء مدیریت‌ها هم تماماً اینجاست. به نظرم یک فرد خودش بهتر می‌تواند از وسایلش مراقبت کند و اگر هم نکرد مسئولیتش را خواهد پذیرفت.

.

می‌شود این مقررات را به‌صورت کامل و روشن ذکر کرد؟

دقیقاً، چون ما کلاً این‌ها را نمی‌بینیم و از مشاور و پیمانکار خارجی درس نمی‌گیریم، تمام این‌ها فقط به ما گفته شده است. در انتها می‌بینیم که بیزینس، خرید، سود مالی موقت کوتاه‌مدت و… کجاست و ضرر این را تماماً مردم می‌بینند.

.

شاید فردی مانند آقای حکیمی سودی هم از این تصمیم‌گیری‌ها نمی‌برد؟

خیر، سود خاصی نمی‌برد.

.

پس عجیب است که چنین اصراری دارد؟

به دلیل نداشتن اعتماد است، بانک مرکزی به هیچ‌کس و هیچ جای دیگری اعتماد ندارد.

.

این‌همه تجاربی که در آن‌طرف صورت گرفته چه طور؟

چه می‌توان گفت؟ در بانک مرکزی اعتماد به کسی ندارند. بنده حدود 10 تا 11 سال پیش مدیر پروژه‌های مختلف ازجمله ساتنا بودم، آن زمان برای این پروژه شرکت انگلیسی ورود پیدا کرد و حسابداری و همه‌چیز را به‌صورت best practice آورد هدفش مدیریت تراکنش‌های بین‌بانکی بود، با انجام تمهیدات آن شرکت، کافی بود دفتر کل بانک مرکزی اتفاقات روزانه را در آخر روز در ساتنا وارد کند، هیچ احدالناسی در بانک مرکزی این تغییر ساده را قبول نکرد که سرجمع کارها آنجا برود.

هنوز که هنوز است کل تراکنش‌های ساتنا یک‌بار دیگر کلاً در دفاتر کل بانک مرکزی ثبت می‌شود؛ یعنی به‌جای این‌که جمع ستون‌ها را بیاورند و به آن استناد کنند سیستم قدیمی خود را دست‌نخورده باقی گذاشته‌اند و طی همان روند سابق کار می‌کنند.

سابقاً به دلیل نبودن سیستم تمام کارها را دستی و چکی انجام داده و در دفتر کل ثبت می‌کردند، اما در حال حاضر سیستم وجود دارد و بالغ‌بر روزی 150، 200 هزار تراکنش در ساتنا ثبت می‌شود و همه این 200 هزار تراکنش یکی‌یکی منتقل‌شده و در سیستم دفتری سند می‌خورد.

.

به نظر شما ریشه‌های چنین فرآیندهای ناکارآمدی چیست؟

مشکلات تفکری، انحصاری و تمرکزگرایی را ما بسیار در بانک مرکزی مشاهده می‌کنیم. درست مانند زمانی است که نیروی انتظامی متمرکز بود و پلیس 10+ نداشتیم، مردم به خاطر گواهینامه چه بدبختی‌هایی که نمی‌کشیدند، آن زمان ‌هم اعتماد وجود نداشت که قبول کنند شخص دیگر یا دفتر خصوصی‌ای هم می‌تواند مدارک گواهینامه را گرفته تأیید کند و برای آن‌ها بفرستد تا کار نهایی را انجام دهند.

حتی در رابطه با پاسپورت هم همین‌طور بود، انجام این کارها توسط نیروی انتظامی ایجاد صف‌های طویلی می‌کرد که فشار آن به مردم تحمیل می‌شد، تنها دلیل آن‌هم ایجاد تمرکزگرایی بود.

باوجود گذشت زمان در IT چنین تفکراتی با تغییرات مواجه شده اما هنوز در بانک مرکزی تمرکزگرایی حرف اول را می‌زند.

.

فکر می‌کنید علت این امر چه باشد؟

کسی را ندارند که این‌طور فکر کند، افرادی هم که عنوان می‌کنند آن‌قدر قدرت ندارند که بتوانند تغییرات را ایجاد کنند، اتفاقاتی که ذکر کردم زمان آقای قالی‌باف در نیروی انتظامی افتاد تصورم این است که ایشان احتمالاً روحیه و تفکر تحول‌گرایی دارند درصورتی‌که در بانک مرکزی چنین فردی وجود ندارد یا اگر هم هست قدرت کافی ندارد.

.

با آمدن آقای کرمانشاه انتظار می‌رفت اتفاقی بیفتاد اما به نظر می‌رسد ایشان ‌هم به‌نوعی در سیستم استحاله شده‌اند؟

اصلاً مشخص نیست که در زمان آقای کرمانشاه کاری انجام شده یا خیر، اگر هم ایشان چیزی بلد بودند کسی در بانک مرکزی اثر و نتیجه‌اش را مشاهده نکرد، فکر می‌کنم پس از گذشت یک سال باید بازدهی آن مشخص می‌شد ولی هیچ اتفاقی در این مدت نیفتاده است.

بانک مرکزی دوره آقای سیف ازنظر IT به‌شدت نسبت به بانک مرکزی‌های قبلی ضعیف بود. اوج قدرت IT در بانک مرکزی زمان دکتر نوربخش بود که به‌تدریج افت کرد و زمان آقای بهمنی هم که بسیار بد بود، اما در دوران آقای سیف واقعاً تبدیل به افتضاح شد.

.

بله در این زمان اتفاق ویژه‌ای نیفتاد.

نه‌تنها اتفاقی نیفتاد بلکه بدتر هم شد. هیچ‌کدام از پروژه‌های «مؤثر» که از قبل تعریف شده بود در این زمان به اثر و نتیجه نرسید.

به‌نوعی می‌توان گفت نقشه راه رها شد. پروژه‌های CA، نماد، نهاب، سپاس، سَناب و تمام پروژه‌ها به‌نوعی به حال خود واگذار شدند، دوران قبل یکسری پروژه تعریف شد که قرار بود هرکدام دردی را درمان کنند که هیچ‌کدام به ثمر ننشست و هیچ خبری هم از ادامه راه آن‌ها نیست.

.

آیا این وقفه به این خاطر نیست که مقام دیگری آمده و روبه‌روی گروه فعلی قرار گرفتند؟

فکر می‌کنم به این خاطر است.

.

زمانی آقای احمدی به‌نوعی کار را پیش می‌برد و در حال حاضر با ورود آقای کرمانشاه این امر تبدیل به تقابل شده است؟

هم تقابل است و هم‌زمان موردنیاز برای یادگرفتن افراد جدید خیلی بالاست، حتی آقای حکیمی بعد از تجارب ۱۵ ساله خود در بانک مرکزی چنین اظهاراتی دارد، اما زمانی که فردی با یک سال سابقه همراه یکسری کارشناس کاملاً بیگانه نسبت به قضیه را وارد می‌کند تا محل قسمت‌های پازل آی‌تی بانکی را یاد بگیرند زمان می‌برد.

پازل بانک مرکزی بزرگ و پیچیده است تا یاد بگیرند که کدام قطعه کجاست، اولویت کدام بالاتر است، پیش‌نیازها و پس‌نیازها را فرا بگیرند دو، سه سال زمان می‌برد درصورتی‌که این بازه زمانی وقت این کارها نیست.

زمانی که شما یک نفر را وارد می‌کنید که ازلحاظ اخلاق، مَنِش و سبک‌کاری با فرد قبلی که در رأس قرار داشت به‌هیچ‌وجه همخوانی ندارند به‌نوعی فرد قبلی را عقب زده‌اید و قدرت را به فرد جدید داده‌اید، درنتیجه فرد قبلی را کلاً کنار گذاشته‌اید او هم دیگر تمایلی به توضیح پازل‌ها ندارد و آن‌ها را ادامه نخواهد داد.

دلیلش این است که فردی را بالای سر او قرار داده‌اید که هیچ‌چیز نمی‌داند، اما قدرت دست اوست. به فرد قبلی هم می‌گویید تا فراگرفتن موارد کنار او باشد، کاملاً مشخص است اگر خود بنده هم بودم از بانک مرکزی بیرون می‌آمدم، خیلی جاها برایم این اتفاق افتاده ازآنجا بیرون آمده‌ام.

به این دلیل که می‌گویم وقتی اختیار و قدرت وجود نداشته باشد و تفکر جدید هم اندازه من نداند برای چه باید دانسته‌هایم را منتقل کنم؟ فردی که ورود کرده خودش تفکر دارد، پس بیاید و انجام دهد.

درعین‌حال من هرچه بگویم هم در بهترین حالت 50 درصد آن را گوش خواهد کرد و 50 درصد بقیه را کاری دیگر انجام خواهد داد.

باوجود گذشت زمان در IT چنین تفکراتی با تغییرات مواجه شده اما هنوز در بانک مرکزی تمرکزگرایی حرف اول را می‌زند

.

پروژه مبنا به کجا انجامید؟

بله این پروژه به شکل خیلی بدی رها شد، به دلیل این‌که این پروژه ملی و کلان است نیاز به نه پول بلکه حمایت دارد و به‌شدت لازم است مدیر بالای سر آن باشد. آقای احمدی بالای سر چکاوک بود و توانست آن را جمع کند، خودشان به‌صورت هفتگی جلساتی برگزار می‌کردند، در ساتنا دکتر شیبانی و تمام کسانی که معاون هستند مانند آقای کامیاب که در آن زمان از مسئولان مؤثر بانک مرکزی بودند، خانم میرحسینی، آقای مبرهن و… تشکیل جلسات هفتگی می‌دادند، ما هم باید گزارش می‌دادیم که چه‌کارهایی انجام داده‌ایم.

در این‌طرف بنده، دکتر رستمی و دیگر دوستان حضور داشتیم و این تیم به‌صورت هفتگی گزارش‌هایی تحویل می‌داد که چه اتفاقاتی روی داده است. زمانی که معاون‌ها، رئیس‌کل، قائم‌مقام یا دبیر کل در جلسه حضور داشته باشند یعنی قضیه مهم است و هفتگی دنبال می‌شود تا این‌که در بازه زمانی شش ماه تا یک سال ونیم بعد به نتیجه مطلوب هم برسد.

برای مثال در رابطه با سناب می‌توانم بگویم در طول یک سال ونیم یا دو سالی که من مدیر این پروژه بودم ما حتی یک جلسه هم با رئیس‌کل، آقای احمدی، قائم‌مقام و هیچ‌کدام از این‌ها نداشتیم، به دلیل نیامدن این‌ها آقای حکیمی برای جلسه می‌آمد، ایشان را هم به دلیل وجود پروژه‌های زیر برنامه‌شان ماهی یک‌بار ملاقات می‌کردیم.

وقتی پروژه به این شکل پیش می‌رود حتی اگر پول و کارمند تزریق شود اما استراتژی تزریق نشود فایده‌ای ندارد، استراتژی دوطرفه است شما صحبت‌هایتان را انجام می‌دهید و صحبت‌های طرف مقابل را می‌شنوید و به بانک مرکزی می‌گویید درواقع حکم واسط را اجرا می‌کنید و وقتی حکیمی هست، حکیمی یک نفر نیست حکیمی پشتش باید کل بانک مرکزی در جریان قرار بگیرند و کار کنند، باید می‌رفت که در آن سطح کار انجام شود.

.

یکی از اشکالات همین است که همه می‌گویند حکیمی اینجاوآنجا هست و این یکی از چالش‌هاست.

بود و حالا کرمانشاه را آوردند، در زمان حکیمی حداقل چکاوک بود و روی یک پروژه کار می‌شد، اما الان روی ۵۰ تا پروژه هیچ کاری نشده است؛ یعنی آن ۵۰-۴۰ پروژه موجود سر نخ تسبیحشان رها شد.

.

بله این‌طور شده که حکیمی هم به‌نوبه خودش مقاومت می‌کند.

اصلاً هر آدمی جای او باشد همین کار را می‌کند. اگر یکی را بالای سر شما بگذارند و همه قدرت را هم به او بدهند، طرف هم هیچ هماهنگی‌ای نه ازنظر سن‌وسال، اخلاق، مَنِش و دانشی با شما نداشته باشد چه‌کاری انجام می‌دهید؟

.

آینده را چه طور پیش‌بینی می‌کنید؟

من همه‌چیز را نزولی می‌بینم، همایش بانک الکترونیک، بانک مرکزی، وضعیت پروژه‌ها و هر چیزی که آن‌طرف می‌بینم نزولی است. فکر می‌کنم به‌زودی بشنویم که آقای سیف هم عوض شدند یا استعفا دادند و با تحولاتی دیگر روبه‌رو شویم و از صفر شروع کنیم.

حتی تا دولت بعد و مهرماه سال بعد هم امیدی به این‌که این بانک مرکزی و چنین تیمی، کاری از پیش ببرد ندارم، فکر نمی‌کنم بتوانند طی شش، هفت ماه باقی‌مانده بگویند کار مهمی انجام می‌دهند.

.

شش ماه زمان خاصی برای پروژه‌های بزرگ نیست.

ما چند پروژه خیلی اولویت‌دار داریم که اگر انجام نشود زیرساختی برای تحولات آتی نخواهیم داشت. این خیلی بد است و حتی اجازه نمی‌دهیم ارگان‌های خصوصی کاری انجام دهند، دو، سه کار اصلی هست که بانک مرکزی متولی آن است یا حداقل تا الان بوده.

یکی بحث بزرگ امضای دیجیتال است، حتماً باید به سروسامانی برسد تا بقیه بیایند و این کار را انجام دهند، یعنی اگر برای این کار مرجعی نداشته باشیم، به‌درستی پیش نخواهد رفت.

در حال حاضر همه بانک‌ها CA اینترنال دارند. هر سیستمی اعم از توسن، خدمات و… بنویسد یک‌جور کلید تولید کرده و به یکسری داده‌اند. حال Token دارند یا از اینترنت بانکشان استفاده می‌کنند یا نه بحث دیگری است؛ اما همه یک CA داخلی دارند و اصلاً سیستمی بدون CA نداریم، اما CA ما متولی قانونی ندارد و همه داخل خودشان انجام می‌شود.

به فردی نیاز است که بیاید و بخشنامه بدهد، روش کار و شرایط را بگوید و دستورالعمل صادر کند.

دو زیرساخت مهمی که نیاز داریم روی حسابرسی IT است، یعنی برای نظارت بر IT زیرساخت ایجاد شود

.

این پروسه بسیار هم ساده است؟!

بله بسیار ساده است و آن‌قدر آن را پیچانده‌اند که موضوع خطرناک شده است، می‌توان گفت از سادگی خیلی سخت شده. ما CA نداریم درصورتی‌که باید پلتفرمش را داشته باشیم.

مقصودم این نیست که CA بانک مرکزی داشته باشد، بلکه بانک مرکزی روش‌ها و اسلوب‌های استفاده از آن را در نظام بانکی را بگوید، فکر می‌کنم این خیلی ضروری باشد. به نظر من کار سختی هم نیست، مجوز قانونی هم نمی‌خواهد.

فقط یکسری بخشنامه درست‌وحسابی نیاز دارد که CAها این کارها را انجام دهند. ابزارش را هم دارد، بانک مرکزی می‌تواند از این طریق به 31 بانک خودش کلید بدهد. در پایا ما CA داشتیم و از طریق آن به همه بانک‌ها یک جفت کلید می‌دادیم همین الآن هم پایه‌اش را از همان طرح می‌زنند.

همان‌طور که مشاهده می‌کنید CA سخت و پیچیده نیست فقط فکر جمع‌شده‌ای می‌خواهد که در چند ماه آن را ساماندهی کرده و تبدیل به یک طرح اجرایی کند. درخواست CA به نظر من بسیار واجب است.

دومین مورد لازم و واجب این است که بانک مرکزی باید در کوتاه‌مدت بحث استفاده از کیف پول را تعیین تکلیف کند، نمی‌گویم کیف پول تولید کند به دست مردم بدهد، خط‌مشی‌های کیف پول و چارچوب‌های آن را ایجاد کند که مردم بتوانند از آن استفاده کنند، البته خود کیف پول به‌شدت به CA مرتبط است.

.

لطفاً بر اساس اولویت این ملزومات را نام ببرید.

امضای دیجیتال، کیف پول که کنار دست این قضیه تکلیفش معلوم نیست، اصلاً کیف پول را از بانک مرکزی نمی‌خواهند، همه ازجمله PSP ها در حال حاضر محصولات آزمایشگاهی دارند.

دو زیرساخت مهمی که نیاز داریم روی حسابرسی IT است، یعنی برای نظارت بر IT زیرساخت ایجاد شود. این هم کار سختی نیست و حتی می‌تواند به شرکت خدمات انفورماتیک یا شرکت خودش Atsource کند و می‌تواند برای اقدام به تأسیس موسسه به شرکت‌ها گواهینامه بدهد.

حتی کاشف هم می‌تواند این کار را انجام دهد، مگر پست کاشف امنیت و نظارت نیست؟ می‌تواند متولی شده و مرکز ارائه گواهی IT Auditor ی، حسابرسی IT شرکت‌های بانکی باشد.

.

در ایران لااقل سازمان خیلی موفق مانند سازمان حسابرسان رسمی وجود دارند که خیلی هم کاربردی است و تجربیات آن‌هم موجود است.

بله تجربیات مشابه آن در کشور وجود داشته که مهم است، بحث مهم دیگر risk base Approach کردن شبکه پرداخت ماست. نمی‌گویم EMV اش را صد درصد کنیم بلکه فقط EMV راهکار آن است، اما یک روش risk base شده روی نظام کارتی باید انجام دهیم؛ یعنی بازهم با کیف پول به‌شدت هماهنگ است، ممکن است راهکار کیف پول این باشد که هدفمان استفاده از کیف پول نیست، اما تغییراتی در ساختار مرکز شتاب می‌دهیم که کارت‌های شما قابلیت انجام عملکرد خودبه‌خودی تا مبلغ مشخصی را داشته باشد، حتی نه‌فقط کارت بلکه موبایل، لپ‌تاپ و… . امکاناتی اضافه شود که در همان شبکه زیر ۵۰ هزار تومان نیازی به یکسری چیزها نباشد، همان کاری که EMV کرد، بعد از تبدیل به کارت هوشمند این کارها را انجام داد.

اگر بتواند روی موبایل، اسمارت‌کارت، NFC و… وصل بشود، به‌شدت می‌تواند بار شبکه را کم کند. به دلیل این‌که وقتی خریدی زیر ۵۰ هزار تومان انجام می‌شود اگر مستقیم از گوشی انتقال پیدا کند و به مرکز نرود گوشی با POS کار کرده است، یا همین‌طور استفاده از امکانات دیگر اگر از رفتن این تراکنش‌ها با مبالغ اندک به مرکز جلوگیری کند بسیار کار ارزشمندی است، این تراکش‌ها می‌تواند بعداً با ۵۰ تراکنش دیگر یک‌باره به مرکز برود و بیاید، به‌جای این‌که هر دوهزارتومانی خرید شارژ به مرکز هم برود و بیاید.

ریسکش هم این است که اگر POS آتش گرفت و مغازه سوخت در آخر ۲۰۰ تومان یا ۵۰ تومان رفته است نه این‌که کل سیستم رفته باشد. این risk base Approach هم زیرساخت بسیار مهمی است که باید در کوتاه‌مدت برای آن تصمیم‌گیری شود.

.

اگر نکته‌ای دیگر هست در جمع‌بندی صحبت‌هایتان بگویید.

جمع‌بندی اول کارهایی بود که در اولویت بانک مرکزی قرار داشتند و جمع‌بندی دوم هم در بحث قبلی بود که بانک مرکزی نیاز به بازنگری دارد، با این آدم‌ها بعید می‌دانم بتواند بازخورد خوبی داشته باشد.

.

این مسئله خیلی مأیوس‌کننده است.

برای همین ازآنجا بیرون آمده‌ام، ضمن این‌که من کاملاً دولتی هم نبودم که بگویید کارمند صد درصد هستم، زیرمجموعه شرکت بورسی بودیم ولی کاملاً جدا شدم و بیرون آمدم که در بخش خصوصی فعالیت کنم و از زمانی هم که آقای سیف و تیمش وارد کار شدند، امیدم را نسبت به پژوهشکده، خدمات و زیرمجموعه‌های بانک مرکزی از دست داده‌ام.