همراه ما باشید
هفته نامه عصر ارتباط
اولیـن و پرتیـراژتـرین هفتـه نـامه ICT کشـور

وقتی بخشنامه مهم و به‌هنگام رگولاتور بانکی ناقص اجرا می‌شود

بانک آینده در مقابل بانک مرکزی

رامین جهان‌پیما

به‌تازگي بخشنامه‌اي از سوي بانك مركزي در خصوص ارايه خدمات بانكي بر بستر اپليكيشن‌هاي موبايلي صادر شده كه تمركز آن بر موضوعاتی از قبیل ممنوعیت ارایه سرویس کارت‌ به کارت توسط اپلیکیشن‌های پرداخت به غیر از PSPها، ممنوعیت ارایه سرویس مانده‌گیری برای تمامی PSPها و پرداخت‌یارها و احراز هويت مشتريان در فضاي سايبري است.

محتواي اين بخشنامه كه از اداره نظام‌هاي پرداخت بانك مركزي صادر شده، مانند بخشنامه‌اي كه در خصوص رعايت كردن سقف تراكنش‌هاي پرداخت ابلاغ شده بود، ماهيتي تذكرآميز دارد. در بندهايي که در این بخشنامه وجود دارد، مساله اصلي و مورد تمركز آن‌، تاكيد بر فرايند احراز هويت به صورت غيرحضوري است. این در حالی است که هفته نامه عصر ارتباط در شماره‌های پیشین خود در گزارشی با عنوان «چالش احراز هويت در بستر پيشخوان بانك آینده» در مورد وضعيت نابسامان احراز هويت در سرويس‌هايي مانند پيشخوان بانك آينده پرداخته بود. پس از انتشار آن گزارش، بانك مركزي و اداره نظام‌هاي پرداخت در حركتي هوشيارانه اقدام به انتشار بخشنامه‌‌ای جدید و تذكر موارد امنيتي در اين حوزه کردند. لذا در اين شماره، محور را حوزه اپليكيشن‌هاي موبايلي قرار داده‌ايم تا بررسي مجددي بر نگراني‌هاي بانك مركزي در خصوص موارد امنيتي در استفاده از سرويس‌هاي بانكي داشته باشيم.  

مروری بر یک بخشنامه

روند جهاني در حوزه بانكداري و پرداخت ديجيتال، خارج‌شدن بانك‌ها از حوزه بانكداري خرد در سطح UI/UX و ايجاد دسترسي براي نهادهاي ثالث (third party) است، بنابراين استارت‌آپ‌هاي فناوري مالي (fintech) پتانسيل زيادي براي گسترش بازارهاي خرد براي بانك‌ها دارند. عصر نوين بانكداري ديجيتال را مي‌توان عصر بانكداري باز يا open API دانست كه بانك‌ها و شركت‌هاي پرداختي، سرويس‌هاي خود را به صورت API در اختيار فين‌تك‌ها قرار داده و عملا اين شركت‌ها را درگاه جذب تراكنش و تعامل با مشتري خواهند كرد.

این در حالی است که مهرماه سال گذشته، بانك مركزي مستندي با عنوان «سياست بانك مركزي جمهوري اسلامي ايران در خصوص فناوري مالي» را منتشر كرده بود. اين مستند بسيار كلي و در 12 بند سياست‌هاي اين بانك را در حوزه فناوري‌هاي مالي مشخص كرده است. در بند دهم اين مستند تصريح شده «احراز هويت و اهليت همه استفاده‌كنندگان (كاربران نهايي) هر يك از كسب‌و‌كارها، ضروري بوده و پيش از ارايه هرگونه خدمت به ايشان بايد انجام شود، بنابراين تمام پرداخت‌سازها كه طبق تعريف، آغازكنندگان و گردآورندگان دستور پرداخت هستند، مي‌بايست احراز هويت را به‌درستي انجام دهند.»

اما آنچه در بخشنامه‌ جدید بانک مرکزی به آن تاکید شده، جلوگیری از ایجاد موج جدیدی از تخلفات است که با ورود سریع این نهاد در این بخش به نظر می‌رسد این چالش در نطفه خفه خواهد شد.

در بخشنامه جدید آمده است: اخیرا مشاهده شده خدمات بانکی غیرحضوری توسط بانک‌های کشور از طریق برنامک‌های موبایلی ارایه می‌شود که در صورت عدم توجه دقیق به مقررات مربوطه، مخاطرات بزرگی برای شبکه بانکی در پی خواهد داشت. لذا ضروری است به دقت نکات ذیل مورد امعان قرار گیرد.

 الف- در زمينه خدمات مرتبط با پرداخت‌سازها در حال حاضر صرفا خدمت كارت به كارت كه طي بخشنامه شماره 88098/96 مورخ 25/3/96 اعلام شده است، مجاز مي‌باشد و ارايه هر‌گونه خدمت ديگر در قالب پرداخت‌ساز تا زمان ارايه بخشنامه مرتبط غيرمجاز تلقي مي‌گردد.

توقف تخلف اپلیکیشن‌های موبایلی

بنابراين اپليكيشن‌هاي موبايلي كه از طريق شركت‌هاي PSP ارایه‌شده مجاز به ارایه سرویس کارت به کارت هستند و پرداخت‌یارها و فين‌تك‌ها حق ارایه این سرویس را ندارند.

از آنجا که این بند دقیقا به تخلفاتی همانند اپلیکیشن "همراه‌کارت" که پیش از این متعلق به شرکت ارتباط فردا بود و اکنون به شرکت "پیدا" واگذار شده (که سهامدارانش و نحوه وابستگی آن به بانک آینده محل ابهام است) اشاره مستقیم دارد، این در حالی‌است که اپلیکیشن‌ "همراه کارت" نزدیک به یک سال است سرویس کارت به کارت و موجودی را به کاربرانش ارایه می‌دهد. ناگفته نماند که به نظر می‌رسد تعداد دیگری از برنامک‌های بانکی در بازار فعلی مشغول به خدمت‌رسانی به کاربران هستند و در حال حاضر بررسی کامل و دقیق از خدمات احتمالی خارج از ضوابط این برنامک‌ها انجام نشده که قطعا با توجه به اهمیت موضوع و ارتباط آن با منافع کاربران به نظر می‌رسد بانک مرکزی خود راسا وارد عمل شده و یا باید سامانه یا شماره تلفنی را برای اعلام این تخلفات از سوی کاربران در نظر بگیرد تا در اسرع وقت از مسیر قانونی با آنها برخورد شود.

جوسازی از طریق رسانه‌ها

**در هر حال به نظر می‌رسد همزمان با ارایه این بخشنامه، برخی از این شرکت‌ها به دلیل به خطر افتادن منافعشان که البته دقیقا هم مشخص نیست در کدام بخش ارایه این سرویس منفعت دارند، در حرکتی غیرمعمول توسط یک رسانه‌ شایعه کردند که بانک مرکزی سرویس کارت به کارت را از طریق اپلیکیشن‌های موبایلی قطع کرد، درحالی‌که این بانک به منظور سیاست‌گذاری و جلوگیری از ایجاد آشفته‌بازاری که می‌توانست در آینده تبعات امنیتی و اقتصادی را برای شبکه بانکی کشور به دنبال داشته باشد، بخشنامه مذکور را صادر کرد. اما با این حال برخی جریانات دوست دارند این موضوع را به مسیر دیگری سوق دهند تا ماهی خود را از آب گل‌آلود صید کنند. **

تاکید بر امنیت در ابزارهای موبایلی

ب- ارايه خدمت كارت به كارت در قالب پرداخت‌ساز مي‌بايست صرفا با رعايت دقيق بخشنامه اشاره‌شده در بند الف صورت پذيرد. عدم رعايت كامل بخشنامه مزبور باعث ايجاد امكان رخنه در سامانه‌هاي آن بانك شده و فرصت سوءاستفاده براي خلافكاران را مهيا خواهد كرد.

پرداخت‌سازها اولين گره زنجيره تراكنش هستند، بنابراين وظيفه اخذ اطلاعات كارت، حساب و احراز هويت مشتريان و فرستادن آن به گره‌هاي بعدي را بر عهده دارند. به این ترتیب امكان تخلف از سوي پرداخت‌سازها همواره وجود دارد و به همین دليل است که رگولاتور بايد تكليف فین‌تك‌ها را مشخص كرده و مطابق با همان بخشنامه مورخ 12/7/97 سياست‌هاي كلان را به صورت جزئي و دقيق مشخص و ابلاغ كند.

باز هم یادآوری می‌کنیم که سرعت رشد فين‌تك‌ها زياد است و اگر سرعت تنظيم مقررات خيلي كندتر از اين رشد باشد، موجب جهت‌‌گيري نامناسب اين کسب‌وکارها در آینده شده و حتي بدتر از آن، رشد بيزنس‌هاي خرد و اتصال به منابع قدرت در مواردي به‌اندازه‌اي غيرقابل مهار مي‌شود كه چه بسا زورشان به قانون‌گذار هم خواهد رسيد و در آن صورت بانك مركزي ديگر قادر نخواهد بود در برابر فشارهاي اجتماعي، مقررات صحيح را وضع كند. مشابه همين وضعيت در مساله كارمزد تراكنش‌هاي الكترونيكي ديده مي‌شود.

مانده‌گیری خارج از ضوابط ممنوع حتی با API

ج- ساير خدمات بانكي، به‌ويژه مانده‌‌گيري و انتقال از/به حساب درون/برون بانكي نيز صرفا در قالب اينترنت‌بانك با رمز و نام كاربري مشخص و احراز هويت كامل مطابق ضوابط و از طريق سامانه‌هاي رمزنگاري‌شده انتها به انتها (end to end encryption) قابل اجرا است. ارايه خدمات فراتر از چارچوب تعيين‌شده فوق و يا عدم اجراي تمام ضوابط احراز هويت براي خدمات بانكي به هر شكل و قالبي از قبيل API و غيره، اكيدا ممنوع بوده و در اسرع وقت متوقف گردد.

به نظر می‌رسد این بخش به دلیل ارایه برخی سرویس‌های جدید همچون مانده‌گیری و 10 تراکنش‌آخر از سوی برخی از شرکت‌های PSP و شرکت "پیدا" (مالک اپلیکیشن همراه‌کارت) صادر شده است.

این در حالی است که در هفته‌هاي گذشته شاهد بوديم كه ايران‌كيش خبر از ايجاد سرويس مانده‌‌گيري و 10 گردش آخر حساب‌هاي بانک تجارت بر بستر اپليكيشن پات را اعلام كرده بود. همچنين به‌پرداخت ملت سرويس مشابهي را براي كارت‌هاي ملت ارايه كرده بود. در نهايت هر دو PSP مجبور به غيرفعال كردن اين سرويس در اپليكيشن‌هاي خود شدند.** اين در حالي است كه شركت "پیدا" که پیش از این خبر از مانده‌‌گيري کارت‌های بانك ملي را به عنوان یک دستاورد اعلام می‌کرد، هفته گذشته با ابلاغ این بخشنامه ارایه موجودی کارت‌های بانک ملی را متوقف کرد، اما همچنان تا لحظه نگارش این گزارش موجودی کار‌ت‌های بانك آينده را در اپلیکیشن "همراه‌کارت" ارايه می‌کند که طبق این بخشنامه تخلف است. **

یکی از نکاتی که به نظر می‌رسد می‌تواند آزمونی برای بانک مرکزی محسوب شود، نحوه برخورد در همین زمینه است؛ چراکه بانک مرکزی به‌راحتی به شرکت‌های PSP که از خودش مجوز دریافت کرده‌اند، حتی قبل از ابلاغ بخشنامه فشار می‌آورد و آنها را مجبور به بستن این سرویس‌ها می‌کند، اما اگر نتواند همین فرایند را با سایر شرکت‌ها که از قضا برخی از آنها حتی مشخص نیست برای کدام مجموعه و بانک‌ هستند، ناتوان ظاهر شود، اتفاق چند سال قبل که توسط شرکت انیاک در لو رفتن شماره کارت و رمز مشتریان آنها رخ داد، بار دیگر تکرار شود.

**سوال مهم دیگری که در این ميان وجود دارد، این موضوع است که شرکت ارتباط فردا اپلیکیشن همراه‌کارت را به یک شرکت دیگر واگذار کرده است، حال چرا در خصوص این موضوع صراحتا اطلاع‌رسانی نمی‌کند؟ این در حالی است که همچنان برخی کاربران تصور می‌کنند این اپلیکیشن متعلق به مجموعه ارتباط فردا است. لازم به تاکید است که نوع قرارداد همکاری شرکت ارتباط فردا با بانک آینده نیز شفاف نیست. **(بماند که برخی شنیده‌های غیر رسمی گویای خرید یک ساختمان جدید توسط این شرکت از پارس‌آنلاین است که در خصوص نحوه این خرید نیز ابهاماتی مطرح است.)

نکته دیگر اينكه بانک‌ها تا به این لحظه از ارایه API منع شده‌اند و این در حالی است که بانک آینده خدمات بانکی خود را از طریق API در اختیار شرکت "پیدا" گذاشته است. **حال سوال اینجا است كه چنانچه در آینده اتفاق مشابهی که برای شرکت انیاک رخ داد برای این شرکت نیز رخ دهد، مسوولیت این مخاطره با بانک آینده است یا شرکت "ارتباط فردا" یا شرکت "پیدا" یا همه آنها یا هیچ‌کدام از آنها؟**

آیا بانک آینده مسوولیت این مخاطرات را خواهد پذیرفت؟ البته طبق بخشنامه بانک مرکزی، چشم‌پوشی از مخاطرات مذکور در بخشنامه علاوه بر ایجاد حفره‌های امنیتی و زیان‌های مادی و معنوی به بانک‌ها و کاربران شبکه بانکی، برخوردهای انضباطی به جدی‌ترین شکل ممکن مطابق مقررات را در پی خواهد داشت. همچنین مسوولیت کامل پاسخگویی به مقامات قضایی و انتظامی برعهده بانک متخلف است.

**به نظر می‌رسد با توجه به این بخشنامه، مدیران بانک آینده در خصوص نحوه تعامل با شرکت‌های بیرونی می‌بایست دقت بیشتری بکنند؛ چراکه کوچک‌ترین خطایی می‌تواند صدمات جبران‌نا‌پذیری برای این بانک به همراه داشته باشد.**

تعیین تکلیف بانک مرکزی برای احراز هویت از راه دور

نکته دیگری که در موضوع احراز هویت در این بخشنامه به آن تاکید شده، تاکید به اجرای قانون در این زمینه است. طبق قانون هیچ بانکی اجازه احراز هویت از راه دور را ندارد. این در حالی است که در گزارش چند هفته پیش هفته‌نامه عصر ارتباط که به موضوع چالش احراز هویت در پیشخوان بانک آینده پرداخته بود، تمامی ريسك ناشی از این جریان به بانک ارایه‌دهنده این سرویس منتقل شده است.

آنچه در ماجرای احراز هویت غیرحضوری پیشخوان بانک آینده مي‌توان بر آن ایراد گرفت، این است که اگر فردی به هر دليلي بتواند به رمز ورود و كد يك مشتري ديگر دسترسي داشته باشد (براي مثال به ايميل، موبايل و بسترهايي اين‌چنيني كه پيشخوان براي ارسال كد تاييد از آن استفاده مي‌كند)، تمامی خدمات بانكي مشتري در اختيار ‌فرد نفوذي قرار مي‌گيرد.

در حال حاضر برخی مشتریان بانک آینده یا از وجود چنین سرویسی و امکان فعال‌سازی آن بدون مراجعه حضوری به بانک مطلع نیستند، یا اگر هم بدانند نیازی به استفاده از آن ندارند. در چنین شرایطی اگر فردی بتواند با استفاده از اطلاعات شخصي مانند شماره شناسنامه، كد ملي و ... که توسط کاربر مرکز تماس شرکت ارتباط فردا قبل از ارسال نام کاربری و رمز عبور پرسیده می‌شود پاسخ درست بدهد و ...، سرويس پيشخوان اجازه سوءاستفاده از حساب مشتري را براي عامل نفوذي تسهيل می‌کند، که باید دید بانک در چنین شرایطی قبول مسوولیت می‌کند یا خیر.

اکنون بانك آينده حدود یک درصد از سهم بازار را در اختيار دارد. اين به معناي نيم ميليون مشتري است كه اگر متوسط مبلغ مانده در حساب اين مشتريان را تنها يك ميليون تومان در نظر بگيريم، با حجم پولي معادل 500 ميليارد تومان مواجه هستيم كه به‌طور بالقوه تحت ريسك است، بنابراين با يك تحليل هزينه- فايده مي‌توان به اين نتيجه رسيد كه مجريان اين طرح مي‌بايست از فناوري‌هاي نوين و امن در فرايند احراز هويت بهره ببرند نه اینکه هزینه ریسک را به گردن مشتری بيندازند.

جمع‌بندی و نتیجه‌گیری

حال که بانك مركزي در حركتي پيشگيرانه اقدام به انتشار چنين بخشنامه‌اي كرده باید منتظر ماند و دید که با توجه به اینکه مسووليت خسارات ناشي از عدم اجراي صحيح الزامات امنيتي بر عهده بانك‌ها گذاشته شده، ادامه همکاری فین‌تک‌ها و شرکت‌های زیرمجموعه آنها چگونه خواهد بود. همچنين توجه كافي به روش‌هاي نوين تامين امنيت و KYC و همچنين احراز هويت مشتري با ابزارهاي نوين، مبتني بر بايومتريك‌ها و ابزارهاي هوش مصنوعي از ديگر مواردي است كه بانك مركزي مي‌بايست توجه كافي را نسبت به آن داشته باشد.

البته در عین حال که این بخشنامه در زمان درستی منتشر شد و نقش نوشدارو قبل از مرگ سهراب را داشت، باید تاکید کرد که بانک مرکزی باید در اسرع وقت نسبت به مقررات‌گذاری و تعیین تکلیف فین‌تک‌ها و فعالان این حوزه اقدام کند.

                                                                                                      

درج دیدگاه

بررسی بازی