شعار سال:بر اساس ابلاغیه بانک مرکزی، طرح رمز دوم یکبار مصرف از ۱۵ دی ماه اجباری میشود. از این تاریخ دیگر رمزهای ایستا اعتباری نخواهند داشت و انجام تمامی تراکنشهای بدون حضور کارت با رمز دوم یکبار مصرف قابل انجام است.
در طرح اولیه اجرای رمز دوم پویا، قرار بود بانکها زیرساخت لازم برای تولید رمز دوم یکبارمصرف در قالب اپلیکیشن را فراهم کنند و بهرهگیری از رمز دوم یکبارمصرف از اول خردادماه سال ۱۳۹۸ اجباری شود، اما به دلیل اینکه تمام کاربران به گوشیهای هوشمند دسترسی نداشته یا علاقهمند به نصب برنامک رمزساز روی گوشی خود نبوده و همچنین تعدادی از بانکها زیرساخت لازم برای راهاندازی این طرح را در اختیار نداشتند، الزامی شدن آن به تعویق افتاد.
بانک مرکزی هم با این هدف که در ارائه رمز دومیکبار مصرف تسهیل تجربه کاربری فراهم شود، سامانه هدایت رمز یکبار مصرف را پیادهسازی کرده که تحت عنوان «هریم» برای دریافت پیامکی رمز دوم پویا فعال میشود.
طبق گفته مدیرعامل شرکت خدمات انفورماتیک، سید ابوطالب نجفی تغییرات لازم در سیستمهای فنی برای اجرای پروژه رمز دوم یکبار مصرف انجام شده و بانکها بستر ارائه رمز دوم پویا به مشتریان را ایجاد کردهاند؛ در همین راستا شرکت خدمات انفورماتیک برای ارائه رمز دوم پویا سامانه هدایت رمز دوم یکبار مصرف بانکی تحت عنوان «هریم» را ایجاد کرده که طبق دستورالعمل بانک مرکزی، تمامی بانکها باید به آن متصل شوند.
فعالیت این سامانه بدین صورت است که تمام بانکهای کشور بعد از اتصال به سامانه هریم بانک مرکزی میتوانند درخواست رمز دوم یکبارمصرف مشتریان خود را دریافت و پاسخ را در قالب پیامک به مشتریان خود ارائه دهند که از این مسیر افرادی که فاقد گوشی هوشمند هستند و همچنین افرادی که میلی به نصب چندین اپلیکیشن برای پرداختهای غیرحضوری خود ندارند، میتوانند از رمز دوم یکبار مصرف استفاده کنند.
اما این سؤال پیش میآید که چرا نهادی غیر از بانک میخواهد این سامانه را راهاندازی کند و آیا با راهاندازی سیستم پیامکی، امنیت بیشتری ایجاد میشود یا خیر؟
محمدرضا جمالی، مدیرعامل نبضافزار معتقد است علاوه بر مشکلات کیفی و امنیتی پیامک، هزینه دوبارهای به صنعت بانکداری تحمیل میشود، سرعت پرداخت را نیز کاهش میدهد و ایجاد صف میکند.
توقف طرح اجباری کردن رمز دوم پویا جلوی ضرر را میگیرد
جمالی توضیح داد: «که طرح رمز دوم پویا در هر مرحلهای است باید متوقف شود و بانک مرکزی دخالت اجرایی در آن نداشته باشد. هر بانک برای تأمین امنیت مشتریان خود از روشهای عرف و استاندارد استفاده میکند و نباید این مساله را اجباری کرد. با آزاد گذاشتن این موضوع نیز ریسک و هزینه به نقطه تعادل خود میرسند. زیرساخت امنیتی بانکها مشکلی ندارد و حتی مشتری که امنیت بیشتری میخواهد میتواند هزینه بیشتری صرف و از نرمافزارها و خدمات مدرن هر بانک استفاده کند.»
او تاکید کرد: «مشکل اصلی ما در قوانین است، نه بانکها و باید اصلاح قوانین هم در قوانین جزایی مربوط به جرائم سایبری و هم در قوانین نظامهای پرداخت صورت گیرد.»
جمالی با بیان اینکه با اجرای این کار امنیت بیشتر نمیشود، توضیح داد: «مثل این است که بگوییم برای دزدی ارتفاع دیوار خانهها را به جای سه متر شش متر کنیم و بقیه آثار آن را در نظر نگیریم. همین الان مغایرتهایی که بهدلیل مشکلات عملکردی و ساختار فوق متمرکز و غیرپاسخگوی شتاب و شاپرک وجود دارد صدها برابر کل گردش فیشینگ است.»
او با اشاره به اینکه با اجرای این کار یک سامانه متمرکز به سامانههای قبلی اضافه میشود، گفت: «هزینه رفع یک خطا در پرداختهای خرد بالاست. بهطور مثال اگر بهازای هر ۱۰۰ تراکنش یک مغایرت وجود داشته باشد، حداقل ۵۰ هزار تومان هزینه صرف مغایرت میشود، با این کار به شدت مغایرتهای مالی بالا میرود. هیچ مدلسازی و ارزیابی هم در این حوزه صورت نگرفته است. باتوجه به اینکه کارمزد را بانکها میدهند، این هزینه بر روی قیمت تمام شده پول اثر میگذارد. با اجرای سامانه هریم هم هزینه اضافهتری ایجاد میشود.»
طبق گفته جمالی در پرداختهای خرد باید هم سرعت و هم امنیت بالا باشد و هیچ ابزاری حتی کیف پول تاکنون نتوانسته با ابزارهایی مانند سکه و اسکناس رقابت کند. از نظر سیستمی در پرداختهای خرد نیاز به ابزارهایی با دقت ۵۰۰۰ تراکنش یک خطا داریم، در حالی که همین الان در بهترین حالت شبکه برخط کنونی ۱۵۰ تراکنش، یک خطا دارد و در روز واریز یارانهها و یا روزهای پر ترافیک سطح کیفی تا ۵۰ تراکنش، یک خطا کاهش مییابد.
مدیرعامل نبضافزار معتقد است: «در هر کاری باید ریسک و هزینه در نظر گرفته شود. وقتی مجموع فیشینگها حدود ۶۰۰ میلیون در سال و قابل پیگیری است، لزومی ندارد روزانه حداقل ۵۰۰ میلیون تا یک میلیارد تومان هزینه را به شبکه اضافه کنیم. دادن خسارت به مشتریان توسط بانکها و نبود قانون درست باعث میشود که یک بازی ناپایدار شکل بگیرد و به علت نبود قانون درست در یک بازه کوتاه منابع زیادی از بانکها به بهانه مقصر بودن آنها بر طبق شکایتهای صورت گرفته از بانکها پرداخت شود.»
سیستم متمرکز بر پیامک برای رمز دوم پویا علاوهبر اینکه هزینه دوبارهای را به صنعت بانکداری تحمیل میکند، سرعت پرداخت را نیز کاهش میدهد و ایجاد صف میکند. این صف هم در کسبوکارها و هم در زیرساختهای بانکی ایجاد میشود. ما اکنون در شرایطی هستیم که تراکنشها در برخی بانکها کمتر از صد تا ۵۰۰ میلی ثانیه صورت میگیرد و اگر موضوع رمز یکبار مصرف با سیستم متمرکز و یا جداگانه بانکها مبتنی بر پیامک اجرا شود، تمام تراکنشها باید منتظر بمانند و زیرساخت کنونی شتاب، شاپرک و بانکها به هیچوجه نمیتوانند چنین حجمی از تراکنشها را نگه دارند. مشکلات کیفی و امنیتی پیامک هم باید در نظر گرفته شود و به هیج وجه پیامک قابلیت اعتماد لازم را برای قرار گرفتن در این زنجیره خدمت ندارد.
باتوجه به گفتههای جمالی این طرح اگر اکنون جمعآوری شود ضرر کمتری را تحمیل میکنیم و اگر ریسک را با هزینه بسنجیم متوجه میشویم ریسک این مساله از هزینه آن بسیار کمتر است. بنابراین توجیهی برای اجرای این طرح وجود ندارد. از سوی دیگر با چک کردن حساب افراد باید جلوی تقلب را گرفت، چراکه همه حسابها مشخص و دارای شماره ملی افراد است و اگر قانون مناسبی را برای تقلبهای بانکی در نظر بگیریم مساله فیشینگ اتفاق نمیافتد. تراکنش باید بین حسابها جابهجا شود و پیدا کردن و شناسایی شخص خلافکار از طریق حساب کم هزینهتر از این فعالیتهاست. قانون برای جرم صورت گرفته هم میتواند جزای مناسب تعیین کند که ریسک کنترل شود و شاهد افزایش سو استفادهها از اطلاعات کارتها نباشیم.
ارائه رمز دوم پویا با پیامک هزینه بالایی را به بانکها تحمیل میکند
برخی از کارشناسان معتقد هستند که ارائه OTP باید با اپلیکیشن صورت گیرد و ارائه این خدمت با پیامک منطقی نیست. جمالی در این باره گفت: «دریافت رمز پویا با پیامک و در این مقیاس مناسب نیست. علاوهبر ناامن بودن، این روش تأخیر هم دارد. همچنین هزینه بالایی دارد و اگر به بانکها تحمیل شود به هزینه عملیاتی بانکها اضافه میشود، در حالی که هزینه اینترنت کاربران برعهده خودشان است.»
بانک مرکزی گفته است راهاندازی این سامانه باعث میشود که درگاههای جعلی آسانتر شناسایی شوند، چراکه اگر سایتی دکمه پیامک را در درگاه خود فعال کند ولی مشتری پیامکی دریافت نکند، نشان میدهد که درگاه جعلی است و از این رو فیشینگ کاهش مییابد. جمالی در این باره توضیح داد: «بانک مرکزی برای شاپرک هم با هدف جمعآوری کارتخوانهای اضافه همین صحبتها را مطرح کرد، اما یک میلیون کارتخوان به ۷ میلیون رسید، کارمزد ۱۵ هزار میلیارد تومانی به بانکها تحمیل شد و فساد تو در تو شکل گرفت. قبول کنیم که امنیت، ابعاد مختلفی دارد و تحلیل ریسک و هزینه باید بهدرستی صورت گیرد. در غیر این صورت با بدعتی جدید، مشکلات جدیدتری ایجاد میشود.»
معایب این طرح به مشکلات قبلی نظام پرداخت میافزاید
جمالی به معضلاتی که اکنون گریبانگیر نظام پرداخت است اشاره کرد و توضیح داد: «سامانه هریم از نظر هزینه، ریسک تمرکز، امنیت، سرعت پرداخت و سطح پایین قابلیت اعتماد مشکل دارد. اکنون مشکلاتی که در قوانین قبلی نظام پرداخت وجود دارد حل نشده و با اجباری کردن رمز دوم پویا معضل جدیدی به معضلهای قبلی اضافه میشود. در حالیکه اگر این طرح در جایگاه درستش انجام شود، باعث بهبود امنیت میشود.»
او ادامه داد: «انجام دادن آن در سطح ملی هم ریسک امنیتی بالایی را ایجاد میکند و کاربران هم حاضر نمیشوند هزینه اضافه را پرداخت کنند در حالی که اگر هر بانک به صورت مناسب عمل کند هم از نظر کسبوکار، هزینه و ریسک در تعادل قرار میگیرد و هم ریسک عملیاتی و امنیتی متوجه کشور نخواهد شد. متاسفانه علی رغم صبحتهای رئیس کل و تاکید بر توسعه سیستمهای نظارتی در معاونت فناوری نوین بانک مرکزی شاهد همان رویههای قبلی در معاونت فناوریهای نوین بانک مرکزی و نظامهای پرداخت کشور هستیم.»
پلیس فتا با کارشناسی ناقص وارد این مساله شده و این مساله را در سطح یک مساله امنیت ملی جلو برده است، در حالی که مشکلات امنیتی در معماری نظامهای پرداخت وجود دارد که هم از نظر عملیاتی و هم از نظر اقتصادی ضررهای بسیاری به کشور وارد میکند.
محمدرضا جمالی، مدیرعامل نبضافزار
جمالی با بیان این مطالب گفت: «همانطور که شوکهای ارزی و عدم پوشش نیازمندیهای بانکی و پرداخت در سیل امسال نمونههایی از این موارد بود که با تضعیف سکه و اسکناس باعث بدتر شدن وضعیت در مناطق بحران دیده شد. همچنین منفعل بودن بانک مرکزی به دلیل مجری بودن و همچنین ذینفع بودن در درآمدهای شتاب و شاپرک باعث شده که در جایگاه ضعیفی از نظر رگولاتوری در برابر پلیس فتا قرار گیرد و این موضوع به صورت نادرست به سیستم بانکی و پرداخت کشور تحمیل شود.»
جمالی معتقد است ریشه مطرح شدن این موضوعات شرکتهای فروش سختافزار هستند که آنها در پشت پرده، به هر شکلی سود خود را میبرند. ما باید با کارشناسی درست جلوی این جوسازیها را بگیریم که در نهایت بدون ارزشافزوده، باعث بالا رفتن هزینه تمام شده پول و به تبع آن نقدینگی و تورم شویم.
شعار سال،با اندکی تلخیص و اضافات برگرفته از پایگاه تحلیلی خبری راه پرداخت،تاریخ انتشار:4دی1398،کد خبر: 172603،way2pay.ir