«رمز یکبار مصرف بانکی» سرپوشی روی مشکلات نظام پرداخت

نظام پرداخت در ایران همواره به عنوان یکی از چالش‌های بانکی و اقتصادی مطرح است. در حالی که در دنیای امروز پیشرفته‌ترین ابزار برای پرداخت‌های الکترونیکی به وجود آمده، در ایران همچنان این «رمز»ها هستند که حرف اول و آخر را می‌زنند. حدود 25 سال پیش که ATMها به شکل رسمی و فراگیر راه‌اندازی شدند هر کارت بانکی یک رمز اول داشت و صاحبان کارت از طریق آن به نقدینگی بانکی دست پیدا می‌کردند و از ابتدای دهه 90 که درگاه‌های اینترنتی راه‌اندازی شدند، استفاده از رمزهای دوم ایستا و دائمی فراگیر شد. حال با وجود محرزشدن تخلفات در این حوزه و تشدید انتقادات به شکاف‌های رمز دوم اینترنتی مسئولان بانک مرکزی تصمیم به تغییر رمزهای دوم گرفته‌اند و استفاده از رمزهای دوم یکبار مصرف از ابتدای خرداد را در دستور کار قرار داده‌اند تا نشان دهند که همچنان نظام پرداخت در ایران به شکل جزیره‌ای و فارغ از تمام ابزارهایی که سایر کشورها مورد استفاده قرار داده‌اند عمل می‌کند. از جمله مزایای مثبت استفاده از رمز یک بار مصرف یا OTP که مسئولان بانکی از آن یاد می‌کنند، می‌توان به عدم امکان دسترسی افراد غیرمجاز به حساب بانکی مشتری در صورت سرقت و یا افشا شدن رمز ثابت کاربران، جلب نظر مشتریان به استفاده از خدمات بانکداری اینترنتی به دلیل ارتقای امنیت و سهولت استفاده از سخت‌افزار، ایمنی رمز، جلوگیری از بروز مخاطرات امنیتی، افزایش امنیت در انجام تراکنش‌های مالی آنلاین و … اشاره کرد که در نگاه اول آن را اقدامی بسیار مثبت جلوه می‌دهد. اما در این زمینه به نظر می‌رسد شکاف‌های جدیدی وجود دارد که مزایای آن را ممکن است از بین ببرد. طی چند روز گذشته بانک‌های عامل این امکان را برای مشتریان ایجاد کرده‌اند که بتوانند هر 60 ثانیه رمز جدیدی را برای تراکنش‌های بانکی خود بر اساس الگوریتم تصادفی و پیروی از قابلیت‌های رمزنگاری دریافت کنند. کافی است مشتریان فقط یکبار به بانک مورد نظر مراجعه کنند و پس از آن با نصب یک اپلیکیشن هرگاه که می‌خواهند رمز دوم را دریافت کنند. اما این امر زمانی قابل تحقق است که تمام مشتریان دارای گوشی‌های هوشمند باشند. زیرا ممکن است عده‌ای یا گوشی‌های غیرهوشمند داشته باشند و یا گوشی هوشمند آنها قابلیت پذیرش برنامه‌های ایرانی را نداشته باشد. از دیگرسو کسانی که توانسته‌اند از رمزهای دوم ایستا سوءاستفاده کنند، به مراتب برای هک‌کردن برنامه‌های موبایلی و نفوذ به گوشی شهروندان کار راحت‌تری دارند.

انحراف نظام پرداخت ایران

مدیره گروه بانکداری الکترونیک پژوهشکده پولی و بانکی بانک مرکزی در گفت‌وگو با «آرمان» درباره استفاده از رمزهای دوم یکبارمصرف بانکی می‌گوید: در نظام کارت‌های بانکی ایران که حدود 20 سال از عمر مفید آن می‌گذرد، یک ابداعی به ‌اشتباه یا به‌انحراف از مسیری که سایر کشورهای دنیا رفتند شکل گرفته و آن بحث استفاده رمز دوم کارت‌های بانکی است. در هیچ کجای دنیا رمز دوم وجود ندارد و حتی در بسیاری از نظام‌های بانکی رمز اول هم معنایی ندارد. نیما امیرشکاری درباره روش پرداخت‌های کارتی در سایر نقاط دنیا و کاهش ریسک آن توضیح می‌دهد: در سایر کشورها معمولا به استفاده از روش «مبتنی بر ریسک» از تراکنش‌ها مراقبت می‌کنند و آن را تحت کنترل درمی‌آورند. در این روش پشت هر «سوئیچ پرداخت» یک سیستم هوشمند تشخیص تخلف و جعل وجود دارد که کنترل‌ لازم را بر احتمال تقلبی و تخلفی‌بودن تراکنش دارد. علاوه بر این، در سایر کشورها قانون هم از بانک‌ها و نظام‌های پرداخت می‌خواهد که اگر توانایی کنترل ندارند، مسئولیت تخلفات را بپذیرند و جبران خسارت را بر عهده بگیرند. یعنی اگر از طریق درگاه بانکی تخلفی صورت بگیرد و پول مشتری ربوده شود، بانک در دادگاه متولی جبران خسارت خواهد بود. او با اشاره به این موارد و نگاهی به تجربه نظام پرداخت در ایران، ادامه می‌دهد: در ایران از روزی که این سیستم کلید خورد، ما با رمز اول توانستیم از عابربانک و سپس «پوز» تراکنش‌های «کارت پرزنت» (تراکنش‌هایی که نیاز به استفاده فیزیکی از کارت دارد) استفاده کنیم. بعد از مدتی بازار خریدهای اینترنتی و از راه دور داغ شد و مطابق با اقتصاد روز دنیا فعالیت سایت‌های خرید و فروش اینترنتی به اوج خود رسید. آنگاه بود که نیاز به استفاده از خرید کالا و خدمات بدون استفاده فیزیکی از کارت احساس شد. این نوع تراکنش‌ها ریسک استفاده از رمز را بالا بردند. در دنیا اطلاعات روی کارت به عنوان رمز، مورد استفاده قرار می‌گیرد و از همان پین کدی که از اول وجود دارد استفاده می‌شود، به همین دلیل هیچ‌گاه در جهان رمز دوم به وجود نیامد، بلکه کنترل آنها را به سیستم‌های پشت‌صحنه و قوانین کنترل‌کننده سپردند. حال در این مسیر ما در نقطه‌ای به نظرمان آمد که نمی‌توانیم آن سامانه‌های کنترل تخلف و تقلب را در اختیار داشته باشیم. یا در انتقال فناوری موفق نبوده‌ایم و یا مطالعات و دانش ما برای این کار کفایت نمی‌کند؛ از این رو سیاست‌گذاران تصمیم گرفتند این خلأ را با رمز دوم پر کنند و سوئیچ شتاب، شاپرک و تمام زیرساخت‌های پرداخت کارتی‌مان را به مسیر دیگری نسبت به سایر دنیا انتقال دادیم. امیرشکاری می‌افزاید: در حالی که پیش از آن، سیستم شاپرک ما مطابق با روال جهانی فعالیت داشت. اما از آن روز ما بدعتی را در مسیر خود با استانداردهای بین‌المللی ایجاد کردیم. چنین بدعتی را سال‌ها ادامه دادیم و هیچ‌گاه به این موضوع نیندیشیدیم که در پشت تراکنش‌ها سیستمی کنترل‌کننده را راه‌اندازی کنیم و هنوز هم از نبود آن رنج می‌بریم. در واقع ما خلأ چنین سیستمی را با دادگاه‌ها، کلانتری‌ها و پلیس فتا پر کرده‌ایم. از سوی دیگر قانون مکملی هم برای آن در نظر نگرفته‌ایم. به همین دلیل مسئولیت جبران خسارت را به جایی سپرده‌ایم که سیستم امنی ندارد و اگر هم فکر می‌کند امن است، به خوبی نتوانسته کنترل‌گر باشد که دقیقا به چه کسانی درگاه پرداخت را واگذار می‌کند. این کارشناس بانکداری الکترونیک اضافه می‌کند: این بخش‌های کنترل‌کننده توجهی ندارند که درگاه پرداخت را به سایت‌های قمار، شرط‌بندی و فروش فیلم‌های غیرمجاز واگذار می‌کنند و یا آن را به فعالیت مجازی می‌سپارند. در حالی که آن کسی که این درگاه را ایجاد کرده مقصر بروز تخلف‌هاست. این افراد موظف به احراز هویت درخواست‌کنندگان و تشخیص اهلیت آنها هستند، اما متاسفانه مسئولیت تخلفات به مال‌باختگان سپرده می‌شود. چنانچه در دنیا از هر طریقی دزدی اتفاق بیفتد کسانی که درگاه را ایجاد کرده‌اند مقصر شناخته می‌شوند و باید جبران خسارت کنند. به همین دلیل میزان تخلفات به حداقل خود می‌رسد، در حالی که در ایران به دلیل نبود چنین سیستمی، حتی زد و بندهایی شکل می‌گیرد و واگذارکننده درگاه از تخلفات شکل‌گرفته منتفع می‌شود. در اینجا اگر مردم هم ضرر کنند خودشان مقصر هستند که توجهی به هشدارهای پلیس نشان نداده‌اند! امیرشکاری یادآور می‌شود: با یک قانون ساده می‌توان مسئولیت را به شخصی منتقل کرد که درگاه پرداخت را بدون احراز هویت در اختیار افراد قرار می‌دهد.

رمزهای یکبارمصرف راهکاری نه خوب؛ نه بد

مدیره گروه بانکداری الکترونیک پژوهشکده پولی و بانکی بانک مرکزی درباره کارآیی استفاده از رمزهای دوم یکبار مصرف می‌گوید: پلیس و نیروهای کنترل‌کننده تقصیری در این ماجرا ندارند، آنها که اکنون مشاهده کردند آبی از بانک‌ها نمی‌جوشد تصمیم گرفتند که حداقل رمز دوم کارت‌های بانکی ایستا و دائمی نباشد و به جای آن از رمز دوم یکبار مصرف و موقتی 60 ثانیه‌ای استفاده کنند که در واقع این راهکاری میانی و سرپوشی روی مشکلات نظام پرداخت کشور است که هر روز هم بیشتر می‌شود. واقعیت این است که با راهکاری ریشه‌ای‌تر باید مسائل نظام پرداخت کشور را حل کرد. استفاده از رمزهای یکبار مصرف راهکار بدی نیست، اما نمی‌توان آن را چندان مناسب هم دانست. امیرشکاری در پایان درباره محدودیت‌های تلفنی و اینترنتی دسترسی به این رمزها عنوان می‌کند: علاوه بر محدودیت‌هایی که روی برخی گوشی‌های تلفن همراه و اینترنت وجود دارد، خود اپ‌هایی که بانک‌ها از مشتریان خواسته‌اند روی گوشی نصب کنند ممکن است مورد سوءاستفاده سودجویان قرار بگیرد. بدین صورت که عده‌ای با پخش اپ‌های جعلی در فضای مجازی و اینترنت کارت بانکی افراد را خالی می‌کنند. همچنین با این بدافزارها می‌توان اطلاعات شخصی افراد را از گوشی آنها ربود. همانطور که در رابطه با تلگرام هم چنین بدافزاهایی با نام‌های مختلف شیوع پیدا کردند. متاسفانه رابطه ایران با شرکت‌های گوگل و اپل هم چندان مناسب نیست و گوشی‌های خارجی اپ‌های ایرانی را به رسمیت نمی‌شناسند. نرم‌افزارهایی هم که رجیستر نشده باشند، از دید آن گوشی غیرقانونی، بدافزار و غیرساپورتی شناخته می‌شوند.