در موضوعات فرابخشی بدون برنامه نمی‌توان کار کرد

بررسی تمامی ابعاد بخشنامه حذف USSD‌

هفته اول بهمن 96 همزمان با برگزاری هفتمین همایش سالانه بانکداری الکترونیک و نظام‌های پرداخت از سوی بانک مرکزی، اداره نظام‌های پرداخت این بانک با صدور بخشنامه‌ای استفاده از کدهای دستوری‌‌1USSD  را برای تراکنش‌های خرید شارژ ممنوع کرد. در متن این بخشنامه با قید «خیلی فوری» این طور آمده است: «به‌منظور ارتقای امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب و به‌منظور صیانت از اطلاعات دارندگان کارت، ارتقاي امنیت و بهبود خدمات بدون حضور کارت در شبکه شتاب اقداماتی را انجام می‌دهد که بر اساس آن، از روز یکشنبه پانزدهم بهمن‌ماه ۱۳۹۶ تراکنش‌های فاقد رمزنگاری از مبدا تا مقصد در مسیرهای بدون حضور کارت صرفا برای پرداخت قبوض عمومی مانند قبوض آب، برق، گاز و تلفن شهری مجاز است و تراکنش‌های مربوط به خرید شارژ یا قبوض ویژه در شبکه‌های شتاب و شاپرک پذیرش و پردازش نخواهد شد.» همین چند جمله برای زبانه کشیدن یک آتش رسانه‌ای ميان فعالان صنعت پرداخت الکترونیک و مخابرات و شروع مذاکرات پرتنش ميان بانک مرکزی، وزارت ارتباطات و نمایندگان مجلس شورای اسلامی کافی بود. این تنش‌ها بر سر چیست؟ **آیا واقعا کدهای دستوری مشکلات امنیتی دارند و حساب دارندگان کارت را تهدید می‌کنند؟ اگر چنین است، چرا طی این سالیان فکری برای تغییر این بستر نشده و چرا بانک مرکزی به این شکل و با تعیین ضرب‌الاجل سعی در حل کردن مساله دارد؟** این سوالات در ادامه این گزارش پاسخ داده شده است؛ هرچند با تعاملات صورت‌گرفته ميان وزارت ارتباطات و بانک مرکزی و با دخالت نمایندگان مجلس، مساله تعلیق استفاده از کدهای دستوری به چند ماه بعد موکول شده است و بخشنامه اداره نظام‌های پرداخت توسط رییس ‌کل بانک مرکزی لغو شد.

کد دستوری چیست و چه مساله امنیتی دارد؟

دستگاه تلفن همراه به‌دلیل قابلیت ذخیره‌سازی و پردازش اطلاعات و همچنین ارتباطات می‌تواند همان کار یک دستگاه کارت‌خوان را انجام دهد. از طرف دیگر به‌دلیل قابل حمل بودن و گسترش پوشش شبکه سیار در کشور، میل و علاقه برای انجام تراکنش‌های بانکی بر بستر تلفن همراه بسیار زیاد است. از سال 87 کدهای دستوری که به‌صورت *# برای مردم آشنا است تراکنش بانکی را از طریق دریافت شماره کارت و رمز دوم برای شرکت پرداخت (‌‌PSP)2‌‌، شاپرک، شتاب و در نهایت بانک صادرکننده کارت ارسال و پس از تایید تراکنش از سوی بانک صادرکننده، مبلغ از حساب کارت کسر و تراکنش را به‌پایان می‌رساند. در این روش که دو مولفه‌ای (شماره کارت و رمز دوم) است، اطلاعات کارت به‌صورت غیر رمزشده به شرکت پرداخت ارسال می‌شود که این امر موجب ایراد بانک مرکزی است. از نظر بانک مرکزی در بسترهای ناامن تراکنش‌های خرید باید به‌صورت چهار مولفه‌ای (شماره کارت، رمز دوم، cvv2  و تاریخ انقضای کارت) انجام شوند. در واقع با توجه به حساسیت خدمات بانکداری، اولین و مهم‌ترین خصوصیت هر ترمینال و ابزار بانکی، داشتن امنیت مناسب است. امن کردن تلفن‌های همراه برای خدمات بانکی و پرداخت تاکنون بسیار مورد توجه کارشناسان حوزه امنیت سایبری و بانکداری بوده است، ولی تاکنون راهکار جامع و قابل‌اطمینانی برای این منظور ایجاد نشده است. حتی PCI نیز تاکنون نتوانسته استاندارد امنیتی مناسبی را برای تلفن‌های همراه ارایه دهد و اصولا تلفن‌های همراه را از نظر سخت‌افزاری برای این منظور مجاز نمی‌داند. بنابراین استفاده از زیرساخت کلید عمومی و پیاده‌سازی آن در تلفن همراه چالش اصلی طراحان راهکارهای بانکی است. حال باید بررسی کرد که نقش بانک مرکزی و شرکت شاپرک به‌عنوان رگولاتوری‌های پرداخت الکترونیکی برای کنترل امنیت در این بستر نا‌امن چیست؟

رویکرد نامناسب بانک مرکزی

مردم و دارندگان کارت سال‌ها است به استفاده از کدهای دستوری برای خرید شارژ تلفن همراه عادت کرده‌اند و به همان نسبت یک خط کسب‌وکاری برای اپراتورهای تلفن همراه و شرکت‌های PSP ایجاد شده است. **آمارهای شرکت شاپرک نشان می‌دهد که سالانه نزدیک به دو میلیارد تراکنش خرید شارژ جمعا با مبلغی بالغ بر پنج هزار میلیارد تومان توسط کاربران خریداری می‌شود. بنابراین طبیعی است که قطع شدن کانال USSD با توجه به استقبال زیاد مردم از آن، می‌تواند مخالفت‌های زیادی را در سطح جامعه، اپراتورها و حتی در سطح وزارت ارتباطات به‌وجود آورد.** منتها به‌نظر می‌رسد بانک مرکزی همین ارزیابی ساده را وانهاده و در یک اقدام ضربتی با تعیین ضرب‌الاجل یک هفته‌ای حکم به قطع شدن این کانال تراکنشی پرکاربرد داده است. صنعت پرداخت و بانکداری الکترونیکی خاطرات ناخوشایندی از بخشنامه‌های یک‌شبه دارد. براي مثال، تغییر جهت 180 درجه‌ای مکانیزم کارمزدهای شاپرک در دی‌ماه 94 که به یک‌باره درآمد 9 هزار میلیاردی بانک‌های پذیرنده کارت را به هزینه تبدیل کرد. این رویکرد بانک مرکزی به‌عنوان رگولاتور پولی و مالی کشور در تنظیم مقررات بسیار مورد نقد است. در این رویکردی که معاونت فناوری‌های نوین و اداره نظام‌های پرداخت بانک مرکزی سال‌ها است اتخاذ کرده‌اند، بدون توجه به مسایل علمی و اجتماعی و با کنار گذاشتن خرد جمعی، تصمیمات پشت پرده را اخذ و با ضرب‌الاجل اعمال می‌کنند تا به گمان خود فرصت اندیشیدن را به هیچ‌کدام از بازیگران نداده و همه را در برابر عمل انجام‌شده قرار دهند.

این رویکرد و اعلام این بخشنامه از سوی بانک مرکزی، مورد اعتراض شدید اهالی صنعت مخابرات و اپراتورها قرار گرفت؛ تا جایی که وزیر ارتباطات به مساله ورود کرده و یک‌ شب مانده به اجرایی‌شدن این بخشنامه خبر توافق ميان وزیر و رییس کل، صنعت پرداخت را در شوک فرو برد. در این شرایط طبیعی است که بسته شدن کانال USSD مردم را وادار به استفاده از اپلیکیشن‌های شرکت‌های پرداخت می‌کند. بنابراین مدیران عامل بيشتر شرکت‌های پرداخت به این خبر واکنش نشان داده و خواستار پافشاری بانک مرکزی بر تصمیم خود شدند.

بدون برنامه نمی‌توان فرابخشی کار کرد

پرسش نخست آنکه آیا معاون فناوری‌های نوین بانک مرکزی با توجه به نامه معاون وزیر ارتباطات و رییس سازمان رگولاتوری، نمی‌توانست مساله را در سطحی پایین‌تر از وزیر و رییس کل حل کند و آیا این تصمیم بدون هماهنگی با رییس کل و هیات دولت گرفته شده بود؟

قاعدتا مسایل فنی تنها یک بعد از معاونت فناوری بانک مرکزی است و سیاست‌ورزی صحیح و تعامل مناسب با همه ذی‌نفعان یک توانمندی است که لازم است معاون فناوری اطلاعات بانک مرکزی به آن مجهز باشد و در خیلی از موضوعات خارج از صنعت بانکی بدون داشتن برنامه نمی‌توان مشکلات را حل کرد و اگر در زیرمجموعه بانک مرکزی این نوع رفتارها جواب داده، به‌خاطر منافعی است که شرکت‌ها نگران به خطر افتادنشان هستند.

در موضوعات فرابخشی با جمع‌کردن عده‌ای از مدیران شرکت‌ها و دو رسانه تخصصی در جلسه‌ای پشت درهای بسته نمی‌توان به افکار عمومی پاسخ مناسبی داد و اگر عملکرد بانک مرکزی را در حوزه رسانه‌ای این موضوع ارزیابی کنید، خواهید دید که اخبار موافق با حذف USSD در رسانه‌هایی منتشر شد که مخاطبانشان از همان ابتدا نیز همسو با این تصمیم بودند، در‌صورتی‌که بانک مرکزی باید بازی را به سمت رسانه‌های عمومی‌تر می‌کشاند تا با یک منطق مشخص به نگرانی مخالفان این طرح و افکار عمومی جامعه پاسخ شفافی می‌داد.

نکته دوم آن است که آیا این بستر نا‌امن برای تراکنش‌های دو مولفه، نمی توانست طی یک برنامه زمان‌بندی مشخص و اعلام به اپراتورها و سازمان تنظیم مقررات رادیویی صورت پذیرد؟ می‌دانیم که این تراکنش‌ها چند سال است بر همین بستر انجام شده و تا کنون مورد مشخصی از لو رفتن اطلاعات کارت کاربران از این کانال گزارش نشده است. بنابراین به یقین این بخشنامه می‌توانست با تعیین یک ضرب‌الاجل شش ماهه و فرصت دادن به اپراتورها برای تغییرات مناسب، عقلایی‌تر دنبال شود.

البته احتمالا بانک مرکزی عنوان می‌کند که کسب‌و‌کار اپراتورها ربطی به این بانک نداشته و بايد خود اپراتورها از قبل فکری به حال این موضوع می‌کردند. ولی بدیهی است که غافلگیری در رگوله کردن، منافع عده‌ای را ضایع و عده‌ای دیگر را تامین می‌کند و باید دید در این غافلگیری منافع چه ذی‌نفعانی تامین شده است؟

راه‌حل مناسب

همان‌طور که پیش از این گفته شد، این مساله بايد ابتدا در سطح کارشناسی ميان شرکت‌های پرداخت و اپراتورهای تلفن همراه حل‌و‌فصل ‌شده و از بازوهای پژوهشی طرفین مانند پژوهشکده پولی و بانکی و همچنین مرکز تحقیقات مخابرات ایران در این حوزه استفاده می‌شد و سپس به‌صورت تدریجی و با تعیین مهلتی منطقی رفتار مردم در استفاده از USSD و اپلیکیشن‌های پرداخت و سایر ابزارهای خرید شارژ تغییر می‌کرد. قطعا برای اذهان آگاه سوالات زیادی بی‌پاسخ مانده است. براي مثال، آنچه مسلم است پرداخت قبض نیز یک تراکنش دو مولفه است، ولی بانک مرکزی در این بخشنامه در کمال تعجب ارایه این سرویس را ممنوع نکرده است. این موضوع و همچنین ضربتی بودن بخشنامه وجه سیاسی آن را از وجه فنی پررنگ‌تر می‌کند. مساله دیگر آن است که در همایش بانکداری الکترونیکی که مصادف با صدور این بخشنامه بود، هیچ اشاره‌ای به این تصمیم نشد. براي مثال، اگر این بخشنامه تنها یک هفته قبل از هفتمین همایش بانکداری الکترونیک منتشر شده بود، به‌طور کلی فضای همایش را تغییر می‌داد که این مساله نشان از بی‌خبری پژوهشکده پولی و بانکی از این تصمیم بانک مرکزی است و همه اینها نشان از سیاسی بودن چنین تصمیمی دارد.

به هر ترتیب **مساله پیرامون ریسک امنیتی در قبال 20 میلیون کارت بانکی است و باید منافع ملی را در اولویت قرار داد. در این شرایط بانک مرکزی خیلی از کارهایی را که می‌توانست انجام دهد وانهاده است. براي مثال، اگر کیف پول الکترونیکی به‌صورت مناسب رشد می‌کرد و بانک مرکزی جلوی رشد آن را نمی‌گرفت، یکی از کارکردهایش همین تراکنش‌های خرد بود تا مردم برای خرید یک شارژ چند هزار تومانی از کارت اصلی خود استفاده نمی‌کردند.**

بسیاری از رویه‌های غلط که سال‌ها برای مردم جا می‌افتد یک‌شبه قابل اصلاح نیست و نارضایتی به حق مردم را در پی دارد. براي مثال، استفاده از همین کارت‌های مغناطیسی که تعدادشان به 377 میلیون رسیده، اشکالات امنیتی زیادی دارد و بانک مرکزی به آن بی‌توجه است. قطعا تعویض این کارت‌ها با کارت‌های تراشه‌دار نیز هزینه‌های اقتصادی و اجتماعی زیادی برای کشور دارد و این نشان‌دهنده ضعف در رگولاتوری بانکداری و پرداخت الکترونیکی است. لازم است بانک مرکزی در روند رگولاتوری خود در جهت حفظ امنیت و توسعه کسب‌و‌کار دقیق‌تر رفتار کنند. به‌طور حتم کوتاه آمدن بانک مرکزی از بخشنامه‌های اخیر که اجتناب‌ناپذیر هم بود لطمه جدی به اعتبار و اقتدار این نهاد وارد کرده است و مدیران در هر سطحی از این سازمان بايد تصمیمات هوشمندانه‌تر و دقیق‌تری اتخاذ کنند تا ضمن حفظ شان این نهاد حاکمیتی، مسایل اجتماعی را نیز در نظر بگیرند و افکار عمومی را با تصمیمات خود همراه کنند.

 

1- Unstructured Supplementary Service Data

2- Payment Service Provider