احراز هویت در تراکنش‌های موبایلی همچنان بلاتکلیف

یکی از اقدامات مهمی که بانک مرکزی به منظور کاهش کلاهبرداری‌ها در دستور کار قرار داده اما هنوز اجرایی نشده است، الزامی کردن احراز هویت تراکنش‌های موبایلی است؛ به این ترتیب که در تراکنش‌های موبایلی باید نام صاحب سیم‌کارت و کارت بانکی یکی باشد. گفته می‌شود تطبیق کدملی کارت‌ بانکی با کدملی متصل به سیم‌کارت به‌ منظور احراز هویت در برنامه‌ای موبایلی به‌ وسیله سامانه شاهکار امکان‌پذیر شده است، سامانه شاهکار که مخفف «شبکه احراز هویت کاربران» است توسط سازمان تنظیم مقررات و ارتباطات رادیویی ایجاد شده و این سازمان وب‌سرویس سامانه مذکور را در اختیار بانک مرکزی و شرکت شاپرک قرار داده که در آن با ارایه شماره سیم‌کارت و کدملی فرایند صحت انطباق انجام می‌شود.

دی ماه سال 97 معاون نظارت و توسعه شرکت شاپرک اعلام کرد، بانک مرکزی در حال تکمیل زیرساخت‌های مورد نیاز طرح احراز هویت تراکنش‌های موبایلی بوده و این طرح هنوز عملیاتی نشده است.

مهدی طوبایی، معاون نظارت و توسعه شرکت شاپرک در مصاحبه‌ای گفته بود: در حالت جدید تراکنش‌های موبایلی با کنترل شماره سیم‌کارت موبایل و شماره کارت انجام می‌شود؛ در واقع افرادی که قصد تراکنش‌های موبایلی دارند باید سیم‌کارتشان به نام خودشان باشد و از کارت بانکی استفاده کنند که به نام خودشان در شبکه بانکی ثبت شده باشد تا احراز هویتی دقیق انجام شود و میزان کلاهبرداری‌ها کاهش پیدا کند. در حال حاضر، زیرساخت‌های این طرح که مورد تاکید و الزام قوه قضاییه و پلیس فتا در حال آماده‌سازی است و با هماهنگی شرکت‌های پرداخت الکترونیکی به صورت آزمایشی اقداماتی انجام شده، اما هنوز تا زمان فاز عملیاتی زمان باقی است.

اما هفتم بهمن ماه بود که مدیر اداره نظام‌های پرداخت بانک مرکزی از طرح این بانک برای الزامی‌شدن احراز هویت در تراکنش‌های موبایلی در آینده نزدیک خبر داد و گفت: اجرای این کار در مرحله اول می‌تواند مشکلاتی را برای افرادی به همراه داشته باشد که سیم‌کارتشان به نام خودشان نیست، ولی اجرای این طرح از کلاهبرداری‌ها و سایر مشکلات این حوزه می‌کاهد.

این‌طور که به نظر می‌رسد هدف از این کار، برقراری امنیت در تراکنش‌های کارتی و ساماندهی اطلاعات کارتی مردم است.

داوود محمدبیگی در خصوص طرح بانک مرکزی برای احراز هویت تراکنش‌های موبایلی، می‌گوید: این طرح شاید آسانی دریافت خدمات را تحت‌الشعاع قرار دهد و کار را برای برخی از مردم سخت کند ولی امری لازم و ضروری است و بانک مرکزی نمی‌تواند از امنیت در این حوزه غافل شود.

محمدبیگی با بیان اینکه هر چقدر در امن کردن خدمات بانکی، مقررات سفت و سخت داشته باشیم طبیعتا آسانی در دریافت خدمات کمرنگ می‌شود، تصریح کرد: بانک مرکزی مدت‌هاست که در حال بررسی طرح احراز هویت تراکنش‌های موبایلی از طریق کنترل شماره کارت و شماره سیم‌کارت است. می‌دانیم اجرای این کار در مرحله اول می‌تواند مشکلاتی را برای افرادی به همراه داشته باشد که سیم‌کارتشان به نام خودشان نیست ولی اجرای این طرح از کلاهبرداری‌ها و سایر مشکلات این حوزه می‌کاهد.

وی در آن مقطع با بیان اینکه اطلاعات کارت‌های مردم از مهم‌ترین زیرساخت‌های اجرای این طرح است، گفت: در دو ماه اخیر و برای برقراری امنیت بیشتر در تراکنش‌های کارتی، اطلاعات کارت‌های بانکی مردم را ساماندهی کردیم.

این مقام مسوول در بانک مرکزی احراز هویت در تراکنش‌های موبایلی را نیازمند برقراری دو زیرساخت مهم دانسته: در گام اول باید کنترل شماره موبایل و شماره کارت صورت بگیرد ولی گام دوم، رمز پویاست که باید در پرداخت‌های مجازی از آن کمک بگیریم.

از آنجا که رمزپویا از جمله مواردی است که در امنیت پرداخت در کنار احراز هویت فرایند امنیت را کامل می‌کند، مدیر اداره نظام‌های پرداخت بانک مرکزی از الزام رمزپویا در بانک‌ها و اجباری شدن آن از اردیبهشت ماه خبر داده بود که البته این اتفاق رخ نداد و اجرای طرح رمز دوم یک‌بار مصرف که قرار بود از ابتدای خردادماه سال جاری اجرایی شود، به تعویق افتاد.

احراز هویت تراکنش‌‌های موبایلی و مبارزه با پولشویی

برخی کارشناسان معتقدند اجرایی شدن احراز هویت در تراکنش‌های موبایلی در کشورهای توسعه‌یافته باعث مبارزه با پولشویی و مقابله با معاملات بانکی مشکوک شده است.

جمشید پژویان، کارشناس اقتصادی در خصوص احراز هویت در تراکنش‌های موبایلی می‌‌گوید: احراز هویت تراکنش‌های موبایلی خیلی وقت است که در کشورهای توسعه‌یافته اجرا و عملیاتی شده است. اگر ما به تجربه این کشورها دقت کرده باشیم، رایج شدن این شیوه باعث مبارزه با پولشویی و مقابله با معاملات بانکی مشکوک شده است. موضوع مهم دیگر جمع‌آوری داده‌ها و اطلاعات مشتریان است که در هر صورت به کار بانک‌ها خواهد آمد و حتی ضروری بود که خیلی وقت پیش این کارها در شبکه بانکی انجام می‌شد. اما در کشور ما به مزایای هر کاری دیر توجه می‌شود و از مقاصد مثبت این کارها غفلت شده است. برای مثال لازم بود وقتی بانک مرکزی کارت بانکی را توزیع می‌کرد، مشتریان را به دادن شماره تماسی که به اسم خودشان باشد، ملزم می‌کرد. اما چرا این کار انجام نشد، بر می‌گردد به کوتاهی‌های شبکه بانکی. حالا که سوء‌استفاد‌ه‌ها از این کم‌کاری‌ها در سیستم بانکی؛ افزایش پیدا کرده است، احراز هویت تراکنش‌های موبایلی الزامی شده است. هرچند هنوز هم برای اجرای این طرح‌ها دیر نیست، اما بهتر است از این پس با تجربه‌ای که کشورهای توسعه‌یافته از این اقدامات دارند، سیستم بانکی نیز همسو و هم‌راستا با آنها گام بردارد و اطلاعات مشتریان را به‌طور دقیق وارد کند.

طرح‌های ناتمام در دست اقدام

همان طور که گفته شد تطبیق کدملی‌دارنده سیم‌کارت با کارت بانکی راهکاری مناسب برای برقراری امنیت ‌و سهولت دسترسی به تمام خدمات بانکی است و در بیشتر کشورهای دنیا برای انجام خدمات بانکی احراز هویت کامل صورت می‌گیرد. از این رو شبکه بانکی و پرداخت الکترونیکی کشور نیز باید به سمت احراز هویت کامل و شناخت مشتری حرکت کند.

هرچند گفته می‌شود بانک مرکزی مدت‌هاست که در حال بررسی طرح احراز هویت تراکنش‌های موبایلی از طریق کنترل شماره کارت و شماره سیم‌کارت است، اما سوال این است که اساسا لزوم رسانه‌ای شدن طرحی که کماکان در حال پیگیری است و احتمالا زیرساخت‌های مورد نیاز آن هنوز فراهم و عملیاتی نشده چیست؟ چرا مسوولان بانک مرکزی درباره طرحی که هنوز زیرساخت‌های آن فراهم نشده و مشخص هم نیست چه زمان اجرایی شود صحبت می‌کنند و از عملیاتی شدن آن در «آینده نزدیک» خبر می‌دهند؟ بهتر نیست طرحی به‌طور کامل به سرانجام برسد و آن‌گاه اطلاع‌رسانی‌های لازم در خصوص آن انجام شود؟

به نظر می‌رسد فهرست بلندبالایی از این اقدامات ناتمام در بانک مرکزی وجود دارد که به زودی در هفته‌نامه عصر ارتباط برخی از آنها را ارایه خواهیم کرد.

واقعیت این است که اگر قرار است طرح‌ها به شکل نصفه و نیمه انجام شوند و الزامات و بخشنامه‌ها صرفا جنبه خبری داشته باشند و در میانه راه به حال خود رها شوند شأن و اقتدار رگولاتور بانکی زیر سوال می‌رود. همان اتفاقی که در مورد رمزهای یک‌بار مصرف رخ داد. در شرایطی که بانک مرکزی از سال گذشته با ابلاغ بخشنامه‌ای به بانک‌ها خبر از اجرای طرح رمز دوم یک‌بار مصرف از خرداد ماه سال جاری داده و بانک‌ها را ملزم کرده بود تا زیرساخت‌های لازم برای اجرای کامل این طرح و ابطال رمزهای دوم ایستا را فراهم کنند و ضرب‌الاجل قرار داده بود،‌ اما به یکباره اعلام شد که این طرح از ابتدای خرداد اجرایی نمی‌شود و به تعویق افتاده است!

یا در مثالی دیگر هفته گذشته در گزارشی بررسی کردیم که علی‌رغم حساسیت رییس کل بانک مرکزی در خصوص دستگاه‌های کارت‌خوان خارج از کشور اما هیچ جریمه‌ و عقوبتی در انتظار متخلفان نیست و صرفا به مسدودسازی کارت‌خوان‌های خارج از کشور اکتفا می‌شود، در حالی که بانک مرکزی برای نشان دادن قاطعیت واقعی خود در برخورد با تخلفات می‌بایست حداقل نسبت به انتشار نام شرکت‌های متخلف، لغو پروانه، کاهش رتبه اعتباری یا جریمه آنها اقدام کند و به این ترتیب از گسترش تخلفات جلوگیری کند.

تعلل رگولاتور بانکی در حوزه رمزارزها هم باعث شد بانک‌ها از بانک مرکزی پیشی گرفته و راسا وارد حوزه رمزارزها شوند و اعلام کردند هر زمان دستورالعمل‌های لازم در این حوزه صادر شود خود را همگرا کرده و همگام با قانون حرکت خواهند کرد.

بنابراین این‌گونه تعلل‌ها در درجه اول قاطعیت و اقتدار جایگاه حاکمیتی بانک مرکزی را دچار خدشه می‌کند و سپس این پیام نانوشته را ارایه می‌دهد که بخش مالی و بانکی کشور خیلی هم نگران مصوبه‌ها و بخشنامه‌های رگولاتور بانکی نباشند، زيرا ظاهرا از قطعیت لازم برخوردار نیستند.