به گزارش می متالز، بانک مرکزی باهدف افزایش امنیت تراکنشهای بدون حضور کارت با همکاری شرکت کاشف نسبت به انتشار سند الزامات رمزهای پویا و ابلاغ بخشنامه پیادهسازی رمز دوم یکبارمصرف و ارائه آن توسط شبکه بانکی اقدام کرد؛ بر همین اساس تمامی بانکها و مؤسسات مالی و اعتباری کشور باید زیرساخت ارائه رمز دوم یکبارمصرف به مشتریان را ارائه کنند، اما تهیه زیرساخت رمز پویا، نحوه مواجهه بانکها و شرکتهای پرداخت به همراه تجربه کاربری و استفاده مشتریان از آن چالشها و فرصتهایی را ایجاد کرده است.
هر چند قرار بود این طرح از ابتدای خردادماه اجرایی شود اما بانک مرکزی در روزهای گذشته اعلام کرد رمز دوم یکبار مصرف فعلا اجباری نیست و بانکهایی که زیرساخت لازم را ندارند میتوانند از رمز ایستا استفاده کنند در همین حال بانک مرکزی همچنین اعلام کرده است بانکهایی که زیرساخت آنها آماده است میتوانند این برنامه را اجرایی کنند.
باشگاه دیجیتال ایبِنا با توجه به اهمیت این موضوع و سردرگمیهایی که مشتریان نظام بانکی برای رمز پویا داشته اند، در میزگردی با عنوان «رمز دوم یکبارمصرف؛ چالشها و فرصتها» میزبان علیرضا اطهری فر مدیر طرح و برنامه شرکت کاشف، محمدمهدی صادق مدیرعامل شرکت پرداخت الکترونیک سداد، مهدی شهیدی قائممقام مدیرعامل شرکت آسان پرداخت پرشین و مهرداد حداد رئیس اداره انفورماتیک بانک پاسارگاد با مدیریت محمد گرکانی نژاد کارشناس ارشد حوزه پرداخت بود تا زوایای مختلف پیادهسازی و عملیاتیسازی رمز دوم یکبارمصرف در نظام بانکی مورد بحث و بررسی قرار گیرد که مشروح آن را در ادامه میخوانید:
گرکانی نژاد: بانک مرکزی با عملیاتی سازی رمز دوم یکبارمصرف به دنبال افزایش امنیت در زمینهٔ تراکنشهای بدون حضور کارت است اما این تغییر فرآیند برای افزایش امنیت که مثبت ارزیابی میشود، چالشهایی را در سیستم بانکی و پرداخت به دنبال داشته است؛ در همین راستا بهعنوان اولین پرسش، اعضای میزگرد در خصوص جایگاه و نحوه مواجهه با رمز یکبارمصرف در سازمان خود توضیح دهند؟
علیرضا اطهری فر، مدیر طرح و برنامه کاشف: از اواسط شهریورماه سال ۹۷، شرکت کاشف با مشارکت بانک مرکزی درزمینهٔ روند رو به رشد جرائم و سرقتها بررسی و پیمایشی انجام داد؛ گزارشها حاکی از سرقت اطلاعات کارتهای بانکی در کشور بود که از ابتدای سال ۹۷ شروعشده و در اواسط سال ۹۷ مشکلات به نقطه بحرانی رسیده بود. این مهم نظام بانکی و پرداخت تحتفشار دستگاه قضایی و پلیس به دلیل حجم پروندههای شکایتی در حوزه کلاهبرداری مالی از طریق تراکنشهای بدون حضور کارت قرار داده بود؛ همچنین فشار بهنظام بانکی برای حضور فین تکها و کسبوکارهای جدید و بهمنظور جلوگیری از کلاهبرداری و رعایت حقوق مشتریان نظام بانکی منجر به این شد که بانک مرکزی به دنبال راهکاری برای افزایش امنیت و رفع دغدغهها باشد که در همین راستا پویاسازی رمزهای بانکی با همکاری کاشف پیگیری شد.
معاونت فناوریهای نوین بانک مرکزی با توجه به استانداردهای بینالمللی سند پیشنویس الزامات رمزهای پویا را تدوین و با اشتراکگذاری و دریافت نظارت بانکها، شرکتهای پرداخت و دستگاه قضایی و پلیس نسبت به تهیه نسخه نهایی و انتشار سند الزامات رمزهای پویا در تراکنشهای مبتنی بر کارت اقدام کرد و در ابلاغیهای به بانکها و مؤسسات مالی و اعتباری فرصت داده شد تا زیرساخت رمز دوم یکبارمصرف را ایجاد کنند.
در حال حاضر رمزهایی که شهروندان در پرداخت باکارت استفاده میکنند، رمزهای ایستا (ثابت) است؛ رمزهای ایستا آسیبپذیر هستند و در صورت سرقت یا اشتراکگذاری توسط دارنده کارت، زمینه لازم برای دسترسی و برداشت غیرمجاز از حساب بانکی فراهم میشود و درعینحال رمزهای ایستا نسبت به حملات فیشینگ آسیبپذیر هستند که بر همین اساس بانک مرکزی پویاسازی رمز دوم به معنای تولید یکبارمصرف با طول عمرمحدود برای هر تراکنش را در دستور کار قرارداد که میتواند به رفع آسیبپذیریهای فعلی کمک کند.
محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: موضوع رمز یکبارمصرف در حوزه عملیاتی ارتباط خاصی با شرکتهای حوزه پرداخت الکترونیک ندارد، اما شرکتهای پرداخت تحت تأثیر تجربه کاربری مشتریان در استفاده از خدمات پرداخت اینترنتی و موبایلی با کاهش مواجه خواهد شد زیرا با این شیوه تجربه ایجاد و درنهایت ممکن است منجر به از دست رفتن مشتریان و تراکنش برای شرکتهای PSP شود.
اعتقاد دارم علیرغم روشهای رایج در دنیا مدل ارائه رمز دوم بهصورت یکبارمصرف برای هر تراکنش با هر مبلغ که در ابتدای این طرح مطرح بود، متداول نیست البته چندی بعد بانک مرکزی با اعلام بندهایی جدید در این سند تجدیدنظر کرد و برای مبالغ سقف قائل شد. البته از دیدگاه یک شرکت پرداخت الکترونیک که درگیر موضوعات کلاهبرداری است این مهم که با بهرهگیری از رمز یکبارمصرف پویا امکان فعالیتهای کلاهبردارانه کاهش مییابد، امنیت و کاهش ریسک فعالیتها بسیار مهم است. اما همچنان مسئله کاهش تراکنش به دلیل ایجاد تجربه نامناسب در میان کاربران آسیب بیشتری به شرکتهای پرداخت وارد میکند که رگولاتور باید به این موضوع توجه جدی داشته باشد.
مهدی شهیدی، قائممقام مدیرعامل آسان پرداخت پرشین: در ابتدای طرح رمز دوم یکبارمصرف باوجود تبصره بانک مرکزی برای تراکنشهای کمتر از ۵۰۰ هزار تومان انتظار میرود تغییرات خاصی در کار شرکتهای پرداخت ایجاد نشود و امیدواریم تا چالش جدی در حوزه مشتریان نداشته باشیم چراکه بخشنامه درزمینهٔ فعالیت شرکتهای پرداخت الکترونیک تأثیرگذار است.
نظام بانکی با شرایط فعلی آماده اجرای رمز یکبارمصرف نیست؛ البته من اعتقاددارم با عدم اجرای رمز یکبارمصرف برای تراکنشهای کمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا کاهش پیدا نخواهد کرد چراکه روزانه با سقف ۵۰۰ هزار تومان کلاهبرداری انجام میشود. تغییرات در حوزه رمز دوم و پویاسازی این رمز برای شرکتهای PSP درگیری خاصی ندارد و در حوزه درآمدی نیز تأثیر خاصی نخواهد داشت. اما توجه به این مهم ضروری است که باید الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم بهگونهای پیادهسازی شود که مشتری اگر تراکنش بالای ۵۰۰ هزار تومان را با رمز دوم یکبارمصرف انجام داد بعدازآن هم بتواند دیگر تراکنشهای زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد که این موضوع در حال حاضر اجرای این طرح عملیاتی نشده است.
یکی از مسائلی که قانونگذار باید به آن توجه ویژه داشته باشد بحث نامگذاری دستورالعملها و واژگان جدید در حوزه بانکی و پرداخت است؛ کلاهبرداران با استفاده از مهندسی اجتماعی با راههای مختلف ازجمله تماس تلفنی با مشتریانی که اطلاعات کمتری دارند، اقدام به سرقت اطلاعات کارت و کلاهبرداری میکنند؛ بر همین اساس اطلاعرسانی و فرهنگسازی برای مشتریان بانکی از سوی نظام بانکی یک بحث مهم است.
مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: مسئله امنیت در تراکنشهای مشتریان با توجه به شعار بانک پاسارگاد از سالهای گذشته موردتوجه این بانک بوده است ازاینرو رمز دوم یکبارمصرف برای سامانه اینترنت بانک پاسارگاد درگذشته راهاندازی شده بود و از ابتدای ابلاغ سند و بخشنامه رمز یکبارمصرف کارهای اجرایی برای پیادهسازی این الزام در تراکنشهای مبتنی بر کارت آغاز شد؛ با توجه به اینکه بخشی از زیرساخت آماده بود و اینکه قرار بود تا بانک پاسارگاد رمز دوم یکبارمصرف را در ابعاد کوچکتری انجام دهد، توانستیم تا با سرعت بالایی زیرساخت رمز پویا را ایجاد کنیم.
در حوزه فعالسازی رمز دوم یکبارمصرف کارتبانکی در بخش اینترنت و موبایل بانک برای مشتریان آماده شد تا با ارائه درخواست پویاسازی رمز دوم از سوی مشتریان و بعد از دریافت و نصب نرمافزار ارائه رمز یکبارمصرف بانک پاسارگاد عملیات تطابق شماره موبایلی که نرمافزار در آن نصبشده با شماره موبایلی که در بانک هنگام افتتاح حساب احراز هویت شده انجام میشود و درنهایت در صورت تطابق، مشتری میتواند رمز دوم یکبارمصرف را از طریق اپلیکیشن دریافت کند.
راهکاری که هماکنون در اختیار بانک پاسارگاد و بسیاری دیگر از بانکها است، ارائه رمز یکبارمصرف از طریق اپلیکیشنهای موبایلی به شمار میرود که دو مشکل را به دنبال دارد؛ اول اینکه مشتری باید برای استفاده از رمز دوم پویا تلفن همراه هوشمند داشته باشد و از طرفی دیگر با توجه به امکان محدودیت خدمات از سوی اپل و گوگل برای گوشیهای هوشمند فعال در ایران و احتمال مسدودسازی، ارائه رمز یکبارمصرف تنها از طریق اپ های موبایلی از ریسک بالایی برخوردار است. البته در حال حاضر بعد از اعلام بانک مرکزی در ارائه رمز یکبارمصرف علاوه بر عرضه رمز پویا از طریق اپلیکیشنهای موبایلی، ایجاد بستر ussd و پیامک را برای دارندگان موبایلهای غیرهوشمند در دستور کار قراردادیم. البته در دنیا بهجای بهرهگیری از رمز یکبارمصرف در تمام تراکنشها بیشتر به دنبال راهکارهایی برای احراز هویت قوی از مشتریان هستند.
در بانک پاسارگاد با بررسی که از مشتریان انجام شد، بسیاری از کاربران در حوزه رمز کارت دغدغه امنیتی نداشته و تأکید داشتند که ما بهعنوان مشتری راهکار امن نگهداشتن رمز اول و دوم کارت خود را میدانیم و رمز دوم یکبارمصرف تجربه کاربری را سخت خواهد کرد. بانک پاسارگاد مطابق با الزامات بانک مرکزی از اول خردادماه زیرساخت رمز یکبارمصرف را آماده و در اختیار مشتریان قرار میدهد و هماکنون مشتریان با استفاده از ابزارهای اعلامشده میتوانند رمز یکبارمصرف را فعال کنند؛ در مجموعه بانک پاسارگاد امیدواریم در بخش مشتری در حوزه رمز یکبارمصرف چالشی در حوزه سایز مشتری نداشته باشیم چراکه بیشترین نگرانی بانک نیز در همین خصوص است.
بر اساس پایش انجامشده در خصوص ثبتنام و فعالسازی رمز دوم یکبارمصرف در بانک پاسارگاد تا هفته گذشته باوجود ارائه رمز دوم پویا از سوی این بانک از ابتدای آذرماه ۹۷ و اطلاعرسانی به مشتریان در شعب و سایتهای خبری صرفاً یک درصد از مجموع مشتریان رمز دوم یکبارمصرف را فعال کردهاند و از این خدمت استفاده میکنند. همچنین در بررسیهایی که در بخش مبالغ تراکنشها صورت گرفت؛ مشخص شد که حدود ۷ درصد تراکنشها در بانک پاسارگاد بالاتر از ۵۰۰ هزار تومان و ۹۳ درصد تراکنشها را مبالغ پایینتر از ۵۰۰ هزار تومان به خود اختصاص داد؛ بر همین اساس انتظار میرود در شرایط فعلی مراجعه مشتریان به شعب بانک زیاد نباشد اما با توجه به اینکه ۵۰ درصد مشتریانی که از رمز دوم استفاده میکنند، مشتریان اینترنت بانک و موبایل بانک پاسارگاد هستند چراکه لزومی به حضور در شعب برای فعالسازی رمز دوم یکبارمصرف ندارند، حجم مراجعات حضوری برای فعالسازی رمز دوم و سامانههای اینترنت بانک و موبایل بانک کمتر خواهد بود.
یکی از مهمترین مسائل و چالشهایی که هماکنون وجود دارد این است که اگر مشتری نسبت به فعالسازی رمز دوم یکبارمصرف اقدام کند، خدمات صرفاً بهصورت پویا به وی ارائه میشود و دیگر بهصورت ایستا نمیتواند باشد. ازاینرو اگر مشتری قصد خرید شارژ داشته باشد؛ قابلیت تشخیص تراکنشها تا سقف ۵۰۰ هزار تومان برای انجام عملیات با رمز ایستا و بالاتر از این مبلغ با رمز پویا در حال حاضر فراهم نیست و برای تحقق این مهم باید فرآیندهایی در کربنکینگ (CORE BANKING) بانکها پیادهسازی شوند، اما موضوع تجربه کاربری این غربالگری را برای بانکها سخت کرده است.
گرکانی نژاد: اعتقاددارم کشمکش میان تقلب و مبارزه با تقلب یک اصل همیشه پابرجا است اما مرز میان تجربه کاربری آسان و امنیت از مهمترین مسائل در نظام بانکی به شمار میرود که باید به آن توجه ویژه داشت چراکه رمز دوم یکبارمصرف تا به امروز وجود نداشته و قرار است کاربران را به سمت امنیت سوق دهد تا از رمز دوم ایستا استفاده نکنند که البته عملیات بانکی را سخت خواهد کرد ولی مأموریت بانک مرکزی و کاشف در حوزه تجربه کاربری و امینت چه بوده است؟
علیرضا اطهری فر، مدیر طرح و برنامه کاشف: بالانس میان امنیت و تجربه کاربری مسئله مهمی است که رگولاتور در تمامی الزامات ابلاغی بر آن تأکید دارد و بر همین اساس در بحث قانونگذاری تلاش میکند تا با بررسی نظرات تمام فعالان مختلف صنعت و با مشارکت آنها الزامات قانونی را تدوین کند. بانک مرکزی در همین راستا در خصوص رمز دوم یکبارمصرف نیز جلساتی را با بانکها و شرکتهای پرداخت برگزار کرد و چندین دوره زمانی را برای پیادهسازی زیرساختها در نظر گرفت تا مشکل و اختلالی ایجاد نشود.
بانک مرکزی باوجود هماهنگی و اعلامهای قبلی در خصوص رمز دوم یکبارمصرف بهمنظور جلوگیری از تجربه نامناسب کاربری مشتریان بانکی و مشکلات احتمالی تصمیم گرفت تا معافیتهایی را در این طرح در نظر بگیرد تا تجربه کاری مطلوب و این مهم آهسته فراگیر شود؛ من معتقدم باید ذائقه مشتری تغییر پیدا کند زیرا در صورت بروز رخدادهای که بر اساس آن تمام یا بخشی از سرمایه مشتریان از دست برود بهیکباره دغدغه امنیتی پررنگ میشود و مشتریان حاضر هستند تا سختگیریهای امنیتی را انجام دهند اما دچار سرقت و کلاهبرداری نشوند. مشتریان بانکها بهمرورزمان به بهرهگیری از ابزارهای امنیتی عادت میکنند چراکه مطالبه آنها دریافت و استفاده از خدمات امن بهجای خدمات آسیبپذیر است.
در حوزه تجربه کاربری باید به این نکته اشاره داشت که امروز دیگر در شرایط سال ۸۷ که آغاز فرآیندهای بانکداری الکترونیک و تراکنش مبتنی بر کارت بود، قرار نداریم و خریدهای اینترنتی در کشور به بلوغ و نقطه اوج خود رسیده است و بسیاری از مشتریان بانکی سواد رایانهای مناسبی دارند که با درک مخاطرات و افزایش کلاهبرداریهایی مالی مانند فیشینگ رسیدهاند و معتقد هستند باید در جهت ایمنسازی زیرساختها اقدام شود.
رمز دوم یکبارمصرف برای برخی بانکها چالش و برای برخی دیگر فرصت خواهد بود؛ فرآیند پذیرش تغییر از رمز دوم ایستا به رمز دوم پویا و ارائه تجربه کاربری مناسب وظیفه مهم بانکها خواهد بود که در این زمینه بانکها باید با خلاقیت علاوه بر امنیت مشتریان بتوانند تجربه کاربری مناسبی را نیز ایجاد و سهم بازار بیشتری را با این رویکرد به خود اختصاص دهند.
شرایط حوزه پرداخت در ایران با دیگر کشورها بسیار متفاوت است که مهم نیز باید موردتوجه قرار گیرد؛ رمز یکبارمصرف از اولین اقدامات و گامهای بانک مرکزی در راستای ارتقاء سازوکارهای احراز هویت قوی مشتریان در شبکه پرداخت کشور است که انتظار میرود باتدبیر شبکه بانکی این گام موردپذیرش واقع شود و نتایج مناسب در بخش امنیت برای مشتریان بانکی ایجاد کند.
یک نکته بسیار مهم که شهروندان در خصوص امنیت کارتبانکی باید بدانند، این است که کلاهبرداری باکارت صرفاً محدود به برداشت غیرمجاز و خالی کردن حساب بانکی نمیشود. بسیاری از پروندهها در مراجع قضایی مختص به جرائمی میشود که کلاهبرداران با دسترسی به اطلاعات کارتبانکی و حساب شهروندان به دلیل سهلانگاری آنها، اقدام به پولشویی با حساب این افراد کردهاند و درنهایت مشتری سیستم بانکی بدون اطلاع از اینکه اتفاقی رخداده باید در دادگاه حاضر و ادلهای ارائه دهد که در این جرم نقشی نداشته است. حجم بالای پروندهها در این بخش منجر به تصمیم بانک مرکزی در خصوص بهرهگیری شبکه بانکی از زیرساخت رمز پویا شد.
گرکانی نژاد: برخی از فعالان صنعت پرداخت و بانکی معتقدند که رمز یکبارمصرف ابزار مناسبی برای احراز هویت در ایران نیست و کارایی مناسبی نخواهد داشت، اما شما معتقدید که بانک مرکزی با رمز دوم پویا به دنبال احراز هویت قوی حرکت کرده و این شیوه برای احراز هویت مناسب است، سؤالی که در این بخش مطرح میشود این است که آیا استفاده از رمز یکبارمصرف در دنیا در مقوله امنیت مرسوم است؟
علیرضا اطهری فر، مدیر طرح و برنامه کاشف: استفاده از رمز دوم یکبارمصرف در دنیا غیرمرسوم نیست. البته توجه به این نکته نیز ضروری است که در حوزه احراز هویت و افزایش امنیت تراکنشهای بانکی هر کشوری با توجه به شرایط و وضعیت کلاهبرداریها اقداماتی را عملیاتی کرده است؛ ازاینرو انتخاب رمز یکبارمصرف با توجه به شرایط حاکم بر ایران انتخاب مناسبی بوده است.
بر اساس آمار جرائم و کلاهبرداریهای مالی که در اختیار کاشف و بانک مرکزی قرارگرفته باید گفت که ۳۵ درصد از جرائم سایبری مختص به سرقت اطلاعات اصلی کارتبانکی است و آمار مراجع قضایی حاکی از آن است که رمز پویا میتواند تا ۵ درصد کلاهبرداریها را کاهش دهد.
گرکانی نژاد: آیا شرکتهای پرداخت الکترونیک در کنار بانکها و مؤسسات مالی و اعتباری در خصوص اطلاعرسانی رمز دوم یکبارمصرف، نحوه استفاده و فعالسازی آن همکاری خواهند کرد؟
محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: امینت در خدمات مالی مسئله مهمی به شمار میرود و افزایش آن از دیدگاه شرکتهای پرداخت نیز مطلوب. اما من معتقدم که در طراحی و تدوین این مدل از افزایش امنیت با رمز دوم یکبارمصرف به تجربه مشتری دقت نشده است. بحث OTP در صنایع پرداخت دنیا مرسوم است اما این موضوع که برای هر تراکنش یک رمز جدید صادر و ارسال شود، مرسوم نیست و تجربه کاربری مشتری را با دشواری روبرو میکند.
در حال حاضر روند جهانی احراز هویت و افزایش امینت ۳D secure است که میتوانستیم از این روش بهرهبرداری و آن را در کشور عملیاتی کنیم که روال به این صورت است که مشتری با رمز ثابت تراکنش انجام دهد و اگر تراکنش به هر دلیلی ازجمله مشکوک بودن نیاز به استفاده از رمز یکبارمصرف داشت این رمز تولید و به فرد پیامک شود و خرید بعد از واردکردن رمز یکبارمصرف فرد انجام میشود. البته وضعیت شرکتهای پرداخت الکترونیک در مواجهه با رمز دوم یکبارمصرف به میزان قابلتوجهی به نحوه پیادهسازی بانکها بستگی دارد؛ یک شرکت پرداخت الکترونیک به دلیل اینکه محل مصرف ۸۰ درصد تراکنشهای بدون حضور کارت است باید اطلاعرسانی و آموزشهایی را در این بخش عملیاتی کند ه کدر این زمینه اقداماتی انجام خواهد شد.
درزمینه تراکنشهای تحت تأثیر یعنی تراکنشهای بدون حضور کارت با مبلغ بالاتر از ۵۰۰ هزار تومان در شرکتهای پرداخت الکترونیک باید انتظار داشت که اگر عملیات کارت به کارت در نظر گرفته نشود، بالغبر ۵ درصد تراکنشها متأثر از الزامات بانک مرکزی است اما در صورت ایجاد سقف روزانه برای تراکنشهای با مبلغ کمتر از ۵۰۰ هزار تومان با رمز دوم ایستا این مقدار تا ۳۰ درصد افزایش پیدا میکند.
در شرایط فعلی بانک مرکزی روندی را در دستور کار قرار داده تا ۵ درصد از تراکنشهای شرکتهای پرداخت الکترونیک درگیر رمز دوم یکبارمصرف شوند اما با توجه به اینکه بانک مرکزی در دو بند جدید بخشنامه رمز یکبارمصرف تأکید کرده که بانکها باید برای تراکنشهای کمتر از ۵۰۰ هزار تومان قبول مسئولیت در جبران خسارت داشته باشند و نحوه پیادهسازی برای دستگاههای عمومی بهصورت خاص انجام شود که در شرایط فعلی در زیرساختها بانکها عملیاتی نشده است این امر منجر میشود میزان درآمدهای تحت تأثیر شرکتهای پرداخت الکترونیک از ۵ درصد به ۷۵ درصد افزایش پیدا کند. من مجدد تأکیددارم که مردم برای امینت حاضرند صبر کنند اما حاضر به سخت شدن کار نیستند.
گرکانی نژاد: تجربه ۳D secure بر پایه رمز یکبارمصرف است که روندی بینالمللی به شمار میرود، پیادهسازی تجربه کاربری و پذیریش مسئولیت نیز میتواند از سوی بانک مدیریت شود که باعث میشود تا وظیفه بانکها در این بخش بسیار مهم باشد، آیا بانک پاسارگاد برنامهای برای بهبود تجربه کاربری مشتریان دارد و در این زمینه با چه چالشهایی روبرو خواهد شد؟
مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: بانک پاسارگاد علیرغم بخشنامه بانک مرکزی در خصوص پویاسازی رمزهای بانکی به سمت افزایش امینت، ارائه رمز یکبارمصرف و احراز هویت قوی گامهایی را درگذشته برداشته بود، اما مهمترین موضوع برای بانک سیستم کشف تقلب است که بتواند با استفاده از الگوریتمهای پیشرفته، قوانین رگولانور و زبان یادگیری ماشین ریسک را برای مشتریان شناسایی کند. اما هنگامیکه بخشنامهای در خصوص تراکنشهای کمتر از ۵۰۰ هزار تومان از سوی بانک مرکزی ابلاغ میشود که تنها برای پیادهسازی آن ۹ روز زمان وجود دارد، دیگر نمیتوان انتظار انتخاب بهترین راهکار را داشت زیرا هرگونه پیادهسازی نیاز به آزمایشهای متعدد و سپس عملیاتی سازی دارد. اعتقاددارم افزایش امنیت تراکنشها مسیر خوبی به شمار میرود اما مسئله فرهنگسازی از طریق مراجعی مثل بانک مرکزی، بانکها و پلیس فتا موضوع مهمی است که باید آن را بهصورت همگرا اجرایی و موردتوجه قرارداد.
این بانک در حوزه الزامات رمز یکبارمصرف به حوزه پذیرنده نگاهی جدی داشت چراکه یک پیادهسازی سمت سامانه شتاب و شاپرک نیاز است و برای هر تراکنش ۳۰ ثانیه زمانداریم؛ درواقع در این مدتزمان، ۵ ثانیه برای ارتباطات شبکه صرف میشود و بانک فقط ۲۰ ثانیه زمان نیاز دارد تا تراکنش را مشکوک به تقلب را شناسایی کند و به مشتری اطلاع دهد ازاینرو بهمنظور افزایش امنیت در شبکه بانکی باید مدتزمان بررسی تراکنش مشکوک بهینه و افزایشیاید تا مشکل رفع شود.
ساختار تراکنشهای خرد یکی از موضوعاتی است که باید در نظام بانکی اصلاح شود زیرا این دسته از تراکنشها در شبکه باید بهصورت آفلاین انجام شود تا امنیت افزایش و هزینهها کاهش یابد.
گرکانی نژاد: موضوع تراکنشهای خرد از اهمیت بالایی برخوردار است و بانک مرکزی در سند پرداخت بان نسبت به آن تأکید کرده اما چرا این موضوع بهصورت فراگیر اجرایی نشده و همواره با چالش روبرو است؟
مهدی شهیدی، قائممقام مدیرعامل آسان پرداخت پرشین: در حوزه کیف پول احراز هویت با کد ملی و شماره موبایل انجام میشود که در شرایط فعلی با محدودیتهایی روبرو است و صرفاً تنها ۱۰ بانک بعد از گذشت یک سال و چند ماه در جواب تراکنشهای پرداخت شماره کد ملی و شماره شبا صاحب کارت را به شرکت پرداخت الکترونیک بهمنظور احراز هویت در کیف پول ارسال میکنند؛ درواقع بسیاری از بانکها از این زیرساخت بیبهره هستند.
محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: به عقیده من تا زمانی که شرکتهای پرداخت از بازار پرداخت خرد در تراکنشهای آنلاین کارمزد کسب کنند و این نوع از تراکنشها برای مشتریان رایگان است، پرداخت خرد با کیف پول و بهرهگیری از این ابزار برای مشتری جذابیت ندارد و بهمنظور رایج شدن استفاده از کیف پول باید نظام کارمزد اصلاح شود.
مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: نظام کارمزدی باید مشکل پرداخت خرد را حل کند و بانک مرکزی در این زمینه باید تصمیمگیریهای لازم را انجام دهد.
گرکانی نژاد: امکان سوءاستفاده از رمز یکبارمصرف با مهندسی اجتماعی یکی از موضوعات مهم است که به آن اشاره شد، راهکار جلوگیری از کلاهبرداری در این بخش چیست؟
مهدی شهیدی، قائممقام مدیرعامل آسان پرداخت پرشین: قطعاً امکان سوءاستفاده از رمز یکبارمصرف با مهندسی اجتماعی وجود دارد، اما نکتهای که باید به آن توجه داشت این است که در زمان بهرهگیری از رمز دوم در ایران استفاده از این الگو در هیچ کجای دنیا مرسوم نبود و بعد از گذشت سالها در دنیا این خدمت ارائه شد؛ در حقیقت ایران نسبت به جهان در این بخش ۱۶ سال پیشرو است. اما در این مدت عدم فرهنگسازی و طمعکار شدن شهروندان منجر به رشد آمار کلاهبرداریها شد؛ من معتقد هستم با سخت شدن فهم موضوعات بانکی و پرداخت مهندسی اجتماعی برای افزایش کلاهبرداریها راحتتر میشود.
فرهنگسازی بسیار سخت است؛ مسئولان باید در گفتگوها بسیار دقت داشته باشند و با تأکید بر این موضوع که از بانکها برای فعالسازی رمز دوم یکبارمصرف با مشتریان تماس تلفنی گرفته نمیشود، زمینه برای کلاهبرداریها در این بخش را کاهش دهند.
من اعتقاد دارم؛ ایران از سالها پیش پارامتر امنیتی رمز دوم را در اختیار داشته و حال اگر این رمز بهصورت ایستا یا یکبارمصرف ارائه شود هیچ تفاوت خاصی را ایجاد نمیکند.
گرکانی نژاد: بانک مرکزی با توجه به شرایط کشور و درخواستهای مقام قضایی و انتظامی بهسوی رمز دوم یکبارمصرف گام برداشت که در این مسیر چالشهایی مهمی وجود دارد که باید با همکاری نهادهای ذیربط رفع شود؛ چشمانداز آینده نظام بانکی در مقابل پیچیدگیهای کلاهبرداریهای مالی و مأموریت افزایش امینت را چگونه بررسی میکنید و در پایان وضعیت یکبارمصرف سازی رمزهای کارتبانکی و دغدغهها بهعنوان جمعبندی چیست؟
علیرضا اطهری فر، مدیر طرح و برنامه کاشف: امنیت موضوع تک جانبهای نیست و باید به توسعه امنیت بهصورت همهجانبه در بخش بانکی و پرداخت نگاه شود که میتواند تأثیر اقدامات را افزایش دهد؛ انتقال مسئولیت، تشخیص و مبارزه با تقلب، آگاهیرسانی و فرهنگسازی حلقههای یک زنجیر هستند و موضوعات مهمی به شمار میروند.
در حوزه اطلاعرسانی و فرهنگسازی همه وظیفه بر عهده بانکها نیست و باید از ظرفیتهای شرکتهای پرداخت الکترونیک استفاده کرد زیرا اپ های موبایلی جعلی زیادی در شبکههای مجازی منتشر میشود و نحوه اطلاعرسانی ایمن از نرمافزارهای شرکتهای پرداخت موضوع بسیار جدی است.
زیرساخت و دستورالعملی که در خصوص رمزهای پویا بهمنظور کاهش ریسکهای موجود در شبکه پرداخت و بانکی ارائه شد بهطورقطع در مقابله با بدافزارهای موبایلی و مهندسی اجتماعی آسیبپذیریهایی را دارد؛ اما مسئله رمز یکبارمصرف وابستگی زیادی به نحوه پیادهسازی بانکها دارد و در همین خصوص بانکها باید به موضوع تهدیدات آتی نیز توجه ویژه داشته باشند.
در بخشنامه جدید، بانک مرکزی انعطاف به خرج داده و تأکید کرده تا هر راهحل دیگری که با رعایت الزامات امنیتی بانک مرکزی باشد میتواند جایگزین پویاسازی رمزها شود و این مهم موردبررسی بانک مرکزی قرار خواهد گرفت که نشان از توجه ویژه رگولاتور به تجربه کاربری مطلوب دارد. بانک مرکزی قصد ایجاد خسارت به بازیگران و تصمیمگیری بدون دریافت نظرات آنها را ندارد. بانکهایی که نیازمندیهای مشتریان را رفع کنند و راهحلهایی مناسب ارائه دهند، میتوانند با الزامات جدید فرصتی برای دریافت سهم بیشتر از تراکنشهای بدون حضور کارت در آینده کسب کنند.
محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: موضوع امنیت و افزایش ضریب امنیت مورد اجماع تمامی فعالان صنعت پرداخت و بانک است اما موضوع تجربه کاربری که از ابتدا به آن تأکید شد بسیار مبحث مهمی به شمار میرود و اگر تجربه کاربری در نظر گرفته نشود، ضریب امنیت کاهش پیدا خواهد کرد؛ بر همین اساس باید با لحاظ تجربه کاربری آسان امنیت افزایش پیدا کند تا درنهایت میزان کلاهبرداریها کاهش یابد. این شرکت بهعنوان شرکت پرداخت الکترونیک به مشتریان روش پویاسازی رمز دوم را اطلاعرسانی خواهد کرد ولی تا زمانی که پیادهسازی فنی در بانکها انجامنشده در حوزه فرهنگسازی نمیتوان قدمهای مهمی را برداشت چراکه فضای رمز دوم یکبارمصرف در زیرساختهای بانکها گنگ است و ابعاد کار فرهنگی باید روشن شود.
مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: هدف بانک پاسارگاد افزایش امنیت با رعایت الزامات بانک مرکزی و رضایت مشتریان است و در تمامی امور به این دو نکته توجه ویژه دارد، ازاینرو در حوزه پیادهسازی از افرادی استفادهشده که به بخشنامه بانک مرکزی تسلط و اطلاعات کافی داشتند و در بخش مشتری از افرادی استفادهشده تا از تجربه مشتری بهخصوص تجارب مشتریان شرکت پرداخت الکترونیک پاسارگاد بهره گرفتهاند تا تجربه کاربری بهبود یابد.
در این بانک اصلاحاتی را تا پایان اردیبهشت برای رمز دوم یکبارمصرف در دستور قرار دادهایم که از طریق کانالها ارتباطی این بانک اطلاعرسانی میشود؛ همچنین برنامههای بلندمدتتری برای بهرهگیری از هوش مصنوعی، تحلیل داده و احراز هویت بایومتریک بهمنظور افزایش امنیت در دستور کارداریم. بانک مرکزی با سند پرداخت بان و احراز هویت قوی در حال حرکت بهسوی روندهای جهانی است و باید با همسویی بیشتر هماهنگیها در این بخش افزایش یابد تا بانکها بتوانند اقدامات سریعتری را انجام دهند.
مهدی شهیدی، قائممقام مدیرعامل آسان پرداخت پرشین: در حوزه اطلاعرسانی شرکتهای پرداخت الکترونیک نباید وارد شوند و اگر ورود و هزینه پرداخت میکند، صرفاً به دلیل رقابت ناسالم شرکتهای پرداخت است؛ در حقیقت ازنظر قانونی و تجاری شرکتهای PSP هیچ مسئولیتی در این بخش ندارند، اما از منظر مسئولیت اجتماعی قادر هستیم تا فرهنگسازی در این بخش را توسعه دهیم.
یک موضوع مهم در حوزه رمز دوم یکبارمصرف برای بانکهای این است که باید، کد فعالسازی رمز دوم یکبارمصرف با سرشمارِ بانک عامل ارسال شود و نیاز نیست تا رمز با یک سرشمارِ ناشناخته و مبهم ۱۲ رقمی به مشتری اعلام شود؛ سر شماره موضوع بسیار مهمی برای مشتریان بهمنظور اعتماد است. ازاینرو بانکها باید از سرشمارههای خودشان یا از ماسک پیامک استفاده کنند تا کاملاً مشخص شود که این پیامک از سوی بانک ارسالشده است.
وزارت ارتباطات و فناوری اطلاعات باید بهتمامی بانکها ماسک پیامک ارائه کند تا مشخص شود که پیام کوتاه واقعاً از سوی بانک ارسالشده یا از سوی افرادی برای کلاهبرداری است. سازمان تنظیم مقررات و ارتباطات رادیویی برای ماسک پیام کوتاه هزینه گزافی را دریافت میکند درحالیکه این خدمت باید در اختیار شبکه بانکی قرار بگیرد تا مردم دچار کلاهبرداری و مشکل نشوند و در همین راستا وزیر ارتباطات برای ایجاد شفافیت بهتر است، گامی در این زمینه بردارد چراکه هزینههای این خدمت برای بانکهای کوچک بههیچعنوان اقتصادی نیست.
درصورتیکه قرار باشد بانکها برای ارائه رمز دوم یکبارمصرف از زیرساخت پیام کوتاه استفاده کنند هزینههایی به دنبال دارد و دریافت حق عضویت برای سرویس پیام کوتاه بهصورت رقم ثابت و سالیانه منطقی نیست و وزارت ارتباطات و فناوری اطلاعات و اپراتورهای تلفن همراه میتوانند سامانه رمز یکبارمصرف را ایجاد کند و هزینه را با افزایش حساب مشتریان سیمکارت دائمی یا کسر از اعتبار مشتریان سیمکارت اعتباری محاسبه کند تا در صورت ۵ هزار تراکنش هزینه ۵ هزار پیام کوتاه پرداخت شود و در صورت ماهیانه دو تراکنش صرفاً هزینه دو پیام کوتاه رمز یکبارمصرف محاسبه شود تا بانک درگیر هزینه پیام کوتاه رمز یکبارمصرف نشود.