آورده‌ها و ستانده‌های شاهکار برای شبکه پرداخت کشور

سارا دلیریان

آورده‌ها و ستانده‌های شاهکار برای شبکه پرداخت کشور

 

افزایش امنیت و ارتقای امکان نظارت بیشتر و سیستماتیک بر شبکه پرداخت الکترونیکی اگرچه از ابتدای فعالیت این شبکه در ایران از جمله دغدغه‌های فعالان و نهادهای حاکمیتی این حوزه بوده اما یکی دو سالی می‌شود این دو مقوله به اولویت اصلی نهادهای حاکمیتی تبدیل شده گرچه به نظر می‌رسد هزینه‌های مختلف این اولویت‌ها همچنان بر دوش فعالان و سرمایه‌گذاران بخش خصوصی است.

به گزارش عصر ارتباط، اگر سابقه ابزارهای پرداخت الکترونیکی را در ایران به سه دوره تقسیم کنیم، شاید بتوان گفت در دوره نخست تمرکز و اولویت ارايه‌دهندگان این خدمات بر آشنا کردن کاربران با مزایا و قابلیت‌های ابزارهای پرداخت الکترونیکی و همچنین متقاعدسازی بازیگران سنتی این حوزه به جدی گرفتن این فناوری‌ها بود. در دوره دوم با ایجاد اعتماد نسبی و آشنایی بیشتر با این ابزارها شاهد تنوع و گسترش خدمات و شیوه‌ها بودیم تا جایی که می‌توان این دوره را دوره فراگیری استفاده از ابزارهای پرداخت الکترونیکی در ایران دانست. دوره سوم اما با بروز و افزایش نگرانی‌ها درباره سوءاستفاده‌ها و تخلفات در این حوزه شروع شد؛ نهادهای ناظر، مسوولان قضایی و امنیتی و غیره با بروز تعداد بیشتری از موارد تقلب و تخلف در استفاده از ابزارهای پرداخت الکترونیکی، توجه خود را بیش از پیش بر بالا بردن توان نظارت و افزایش نظارت سیستماتیک بر تبادلات الکترونیکی معطوف کردند.

بر همین اساس هم در این بازه که تقریبا می‌توان شروع آن را از اوايل سال 96 دانست، شاهد هستیم مقررات سختگیرانه‌تر، ابزارهای دقیق‌تر و نهادهای تخصصی‌تری با هدف پایش، نظارت و ارتقای امنیت و شفافیت در حوزه پرداخت الکترونیکی ایجاد شده‌اند.

ایجاد سامانه‌های مختلف با به‌کارگیری سامانه‌های موجود در حوزه پرداخت الکترونیکی یکی از مصادیق این توجه و حساسیت طی سال‌های اخیر است، سامانه‌هایی نظیر «شاهکار» یا همان «شبکه احراز هویت کاربران ارتباطی» یکی از آنها است.

 

شاهکارِ شاهکار در حوزه امنیت و شفافیت

سامانه شاهکار بر اساس مصوبه سازمان تنظیم مقررات و ارتباطات رادیویی در سال ۹۴ با هدف یکپارچه‌سازی و احراز اصالت هویت کاربران و همچنین تامین حریم خصوصی و امنیت اطلاعات در فضای مجازی راه‌اندازی شد. سامانه شاهکار در واقع یک واسط بین اپراتورهای مخابراتی و مراجع تطبیق هویت است. اپراتورها پیش از ارايه سرویس به مشترکان خود، از طریق سامانه شاهکار، هویت آنها را از نظر حقیقی یا حقوقی، ایرانی یا خارجی بودن صحت‌سنجی می‌کنند و درصورت تايید درستی اطلاعات در سامانه، اپراتور اجازه ارايه سرویس به مشترکان را دارد.

تطبیق شناسه سرویس و شناسه هویتی یکی دیگر از قابلیت‌های سامانه شاهکار است که با مشخص شدن صاحبان سرویس‌های ارتباطی در این سامانه، خدمات از هر سرویس ارتباطی به صاحب همان سرویس ارايه می‌شود. با ایجاد این امکان هیچ فردی حق استفاده از شماره همراه فرد دیگری برای ثبت‌نام در نرم‌افزار دولت همراه، نرم‌افزارهای موبایل بانک، پرداخت آنلاین، ثبت آگهی فروش، فروشگاه‌های آنلاین و سایر نرم‌افزارهايی که حریم خصوصی در آنها مطرح است یا امکان تقلب و کلاهبرداری در آنها وجود دارد را نخواهد داشت.

 

پیوند شاهکار و پرداخت

رشد روزافزون استفاده از گوشی تلفن‌همراه در پرداخت‌های الکترونیکی طی سال‌های اخیر زمینه سوءاستفاده‌های فراوانی را در این حوزه فراهم آورده و طبیعی است که نهادهای مسوول به دنبال استفاده از روش‌ها و ابزارهایی برای کاستن از این موارد هستند.

از این رو همان‌گونه که از توضیحات مربوط به قابلیت‌های شاهکار مشخص است، جلوگیری از انجام تراکنش‌های پرداختی و بانکی با کارت بانکی فردی به جز دارنده سیم‌کارت، بزرگ‌ترین کمکی است که شاهکار به کاهش تخلفات و تقلب در حوزه پرداخت الکترونیکي كرده است.

تا اینجای کار به نظر نمی‌رسد مشکلی وجود داشته باشد و توافقی نسبتا کلی بر سر ضرورت استفاده از این سامانه برای افزایش امنیت میان همه اضلاع شبکه پرداخت الکترونیکی وجود دارد.

بر همین اساس شرکت شاپرک با تاکید و تایید بانک مرکزی و با هدف افزایش نظارت بر تبادلات پولی در بستر پرداخت، هاب فناوران مالی را در مدت کوتاهی راه‌اندازی کرد تا با اتصال این هاب به سامانه‌هایی مانند شاهکار، شفافیت و نظارت بیشتری از سوی نهادهای حاکمیتی ممکن شود.

بر اساس مدل تعریف شده از این پس اپلیکیشن‌های دارای مجوز از شاپرک برای ارايه خدمات پرداخت‌سازی یا سایر خدمات پرداختی مبتنی بر کارت بانکی باید مشخصات هر یک از کارت‌های بانکی وارد شده توسط کاربران به این اپ‌ها را به هاب شاپرک ارسال کنند. این هاب مشخصات کارت و کاربر را برای تطبیق کدملی به سامانه مانا و در صورت تایید هویت با اطلاعات شاخه یا همان «نُد» درگاه دولت الکترونیکي که شامل سامانه شاهکار هم می‌شود و نزد شاپرک ایجاد شده است، به منظور استعلام ارسال می‌کند. تنها در صورت تطابق کدملی، شماره کارت و شماره موبایل کاربر و محرز شدن یکی بودن مالکیت هر سه قلم هویتی، اجازه انجام تراکنش با آن کارت به کاربر اپلیکیشن داده می‌شود.

البته براساس قانون ابلاغی بانک مرکزی در موضوع استعلام به هیچ وجه اشاره‌ای به نام شاهکار نشده است و این به مفهوم آن است که بانک‌ها و psp‌ها حتی می‌توانند با راهکارهایی مانند دریافت اطلاعات سند سیم‌کارت مشتریان‌شان در اینترنت‌بانک، اپلیکیشن‌های موبایلی و یا مراجعه حضوری نسبت به تکمیل اطلاعات استعلامی خود اقدام کنند و اجباری برای استفاده از سرویس شاهکار وجود ندارد.

البته طبق قانون در حال حاضر پرداخت‌سازها یا بانک‌ها برای انتقال وجه تا سقف مبلغ یک میلیون تومان که اکنون با توجه به شرایط کرونا این سقف به 3 میلیون تومان افزایش یافته اجباری برای استفاده از سرویس شاهکار ندارند.

 

نامه‌نگاری رگولاتور بانکی برای رایگان کردن شاهکار

به گفته یک منبع آگاه که خواست نامش فاش نشود، در خصوص سرویسی که شرکت‌های پرداخت باید از شاهکار دریافت کنند چند نکته وجود دارد و آن اینکه این شرکت‌ها به ازای هر تراکنش موظف نیستند این سرویس را چک کنند، به عبارت دیگر یک بار به هنگام احراز هویت مشتری این کار را انجام می‌دهند و ممکن است در برخی موارد خاص نیز نیاز به تکرار آن باشد. اما به ازای هر تراکنش این کار نیاز به تکرار ندارد، بنابراین میزان کارمزد نیز تا حد زیادی کاهش خواهد یافت.

این مقام آگاه گفت: در عین حال یک کار مضر برای شاهکار و یک کارمزد برای سازمان تنظیم این وسط وجود ندارد و شاهکار عملا سرویسی است که توسط سازمان تنظیم مقررات ارايه می‌شود و فقط یک بار کارمزد گرفته خواهد شد.

وی افزود: شنیده شده حتی بانک مرکزی برای کاهش کارمزد و ترجیحا حذف آن در حال رایزنی با سازمان تنظیم و سازمان فناوری اطلاعات است و تلاش می‌شود این سرویس رایگان یا تعرفه‌های آن منطقی شود.

وی همچنين گفت: البته نظر سازمان فناوری اطلاعات متفاوت است، آنها معتقدند این یک سرویس حاکمیتی است كه جمله درستی است و چون این سرویس حاکمیتی است باید در مصارف حاکمیتی به صورت رایگان استفاده شود.

 

ابهام در استعلام

یکی از مهم‌ترین مسايلی که در این مدل، ابهاماتی را برای متقاضیان استفاده از سرویس استعلام و تطابق شاهکار به‌وجود آورده، مدل استعلام و کارمزد متناظر آن است. در حال حاضر دو برداشت یا ذهنیت درباره شیوه استعلام برای بررسی تطابق اطلاعات نزد فعالان حوزه پرداخت الکترونیکی وجود دارد که در برخی موارد با اظهارات مسوولان سازمان تنظیم مقررات رادیویی و سازمان فناوری اطلاعات همخوانی ندارد.

ذهنیت اول که به نظر می‌رسد سهم غالب را در شرکت‌های پرداختی به عنوان اصلی‌ترین متقاضیان استعلام از شاهکار دارند، این استعلام‌ها را در ازای هر تراکنش می‌‌داند یعنی برای هر بار تراکنش با کارت بانکی و با استفاده از اپلیکیشن پرداخت، یک بار فرایند استعلام باید انجام شود. شیوه دوم اما این استعلام را برای هر کارت در زمان اضافه شدن توسط کاربر اپلیکیشن ضروری می‌داند.

مشخص است که با توجه به تفاوت بسیار چشمگیر تعداد استعلام‌های لازم در هر یک از این دو مدل و هزینه‌ای که در قالب کارمزد باید توسط متقاضی استعلام به سازمان فناوری اطلاعات پرداخت شود، چانه‌زنی بر سر کارمزد هر استعلام و شیوه استعلام بسیار مهم است.

شهریار خلیلی مدیرعامل شرکت به‌پرداخت ملت در گفت‌و‌گو با عصر ارتباط و در حالی که برخی از مدیران شرکت‌های بزرگ پرداختی حاضر به اظهارنظر در این باره نشدند، در توضیح فرایند مرتبط با سرویس شاهکار گفت: آنچه تاکنون از فرایند این سرویس مشخص شده این است که شرکت‌های پرداخت باید یک رقمی کارمزد، برای استفاده از سرویس شاهکار به سازمان فناوری اطلاعات بپردازند و همه پی‌اس‌پی‌ها، از لحاظ زیرساختی به صورت مجتمع از طریق شاپرک، به سازمان فناوری اطلاعات متصل شوند و استعلام شاهکار را انجام دهند.

خلیلی با اشاره به نقش شاپرک در این فرایند تصریح کرد: تا جایی که مطلع هستیم، کارمزد تماما توسط سازمان فناوری اطلاعات اخذ خواهد شد و شرکت شاپرک در این بخش ذی‌نفع نیست و صرفا به عنوان رگولاتور و درواقع برای اینکه ناهماهنگی بین‌psp ها ایجاد نشود، ایفای نقش می‌کند.

وی افزود: اصولا شاپرک به عنوان قانون‌گذار شبکه پرداخت کشور، همواره به درستی تاکید دارد که شرکت‌های پرداخت باید سرویس خود را به‌طور مجتمع از این نهاد دریافت کنند و هیچ شرکت پرداختی مستقل و پراکنده نباید و نمی‌تواند اقدام به دریافت سرویس کند و به نظر اصرار شاپرک در موضوع پروژه شاهکار نیز از همین مسیر قابل درک است. همچنین در خصوص سرویس شاهکار که مشخصا باید اتفاق بیفتد، چون مالک داده و سرویس در حال حاضر سازمان فناوری اطلاعات است، شاپرک قائل به این است که شرکت‌های پرداخت توافق نهایی را با سازمان انجام داده و سرویس نهایی را از شاپرک دریافت کنند.

مدیرعامل به‌پرداخت در خصوص مدل فعلی برای پیاده‌سازی سرویس استعلام شاهکار تاکید کرد: البته به نظرم مدل فعلی، مدل متعارفی نیست و برداشت من این است که به هرحال مدل استاندارد و تعریف شده‌ای نیست زيرا اگر شاپرک در این مسیر حضور دارد، اساسا کارمزد آن چطور متصور خواهد بود و اگر سرویس، سرویسی عمومی محسوب می‌شود، اساسا نباید بابت آن کارمزد اخذ شود، و به نظرم این ابهاماتی است که در این فرایند مطرح است و پرسش مهم این است که درآینده، شاپرک اصولا چه تضمینی برای پایداری سرویس ارايه خواهد داد.

از مدیرعامل شرکت به‌پرداخت ملت پرسیدیم که اساسا قیمت تمام‌شده و سود هر تراکنش برای شرکت psp چقدر است؟ وی در پاسخ گفت: شرکت‌های پرداخت در سرویس پرکاربردی نظیر انتقال وجه کارت به کارت هیچ‌گونه کارمزدی دریافت نمی‌کنند و این سرویس تنها به دلیل تکمیل سبد محصول از سوی این شرکت‌ها در اپلیکیشن‌های پرداخت ارايه می‌شود و تمام کارمزد از سوی بانک پذیرنده دریافت می‌شود و عملا برای شرکت‌های پرداخت، درآمدی متصور نیست، اما در عین حال حتی در بخش دریافت استعلام و سرویس شاهکار، جزو الزامات تراکنش کارت به کارت است.

در مانده‌گیری هم که شرکت‌های پرداخت کارمزد دارند، در واقع بیش از 50درصد کارمزد را باید برای همین سرویس شاهکار پرداخت کنیم که این اساسا با بیزینس مدل شرکت‌های پرداخت تطابق و همخوانی ندارد و این یکی از مشکلاتی خواهد بود که این سرویس می‌تواند ایجاد کند.

 

تعرفه استفاده از خدمات شاهکار

از سوی دیگر اما مجتبی جوان‌بخت، معاون سازمان تنظیم مقررات رادیویی در گفت‌و‌گو با عصرارتباط درباره ارايه سرویس شاهکار به بانک‌ها و شرکت‌های پرداختی گفت: تعرفه استفاده از خدمات شاهکار صفر ریال است یعنی سازمان تنظیم مقررات رادیویی هیچ هزینه‌ای بابت پاسخ به استعلام شاهکار دریافت نمی‌کند چه از بخش دولتی و چه از بخش خصوصی. این رایگان بودن البته متقابل است و از آنجا که خدمات شاهکار در قالب دولت الکترونیکي از سوی سازمان تنظیم مقررات رادیویی ارايه می‌شود و این خدمات بین دستگاه‌های دولتی رایگان است، شاهکار هم که از سامانه ثبت احوال استفاده می‌کند، هیچ هزینه‌ای بابت این سرویس پرداخت نمی‌کند. این روال اما در قبال ارايه خدمات به بخش خصوصی متفاوت است؛ طبق مصوبه کمیسیون تنظیم مقررات رادیویی، سازمان فناوری اطلاعات می‌تواند در قبال ارايه خدمات درگاه دولت الکترونیکي از جمله شاهکار از خدمت‌گیرنده کارمزدی دریافت کند؛ اگر خدمت گیرنده برای ارايه خدمات به شخص سوم تعرفه‌ای داشته باشد، کارمزد دریافتی بابت سرویس شاهکار، درصدی از تعرفه خدمات خدمت گیرنده از شخص سوم خواهد بود. اگر هم خدمات سرویس گیرنده از شاهکار به شخص سوم تعرفه نداشته باشد، کارمزد خدمت شاهکار می‌تواند بر اساس مصوبه کمیسیون تنظیم مقررات تا سقف 384 تومان به ازای هر استعلام تعیین شود.

وی افزود: روال کار هم به این صورت است که هر متقاضی دریافت خدمت از شاهکار با مراجعه به سازمان تنظیم مقررات رادیویی، مستندات لازم را برای دسترسی به خدمت شاهکار ارايه می‌کند و در صورتی که این درخواست مبتنی بر یک نیاز شفاف و در چارچوب مقررات و قوانین باشد، طی صورت‌جلسه‌ای که میان سازمان و متقاضی دریافت خدمت امضا می‌شود، قانونی بودن دریافت خدمت از شاهکار، حدود دریافت آن و غیره تعیین و نهایی و در نهایت به متقاضی نام کاربری و رمز ورود به پنل داده می‌شود.

با استناد به این صورت‌جلسه که در واقع حکم مجاز بودن دسترسی به خدمات شاهکار را دارد، متقاضی اعم از بانک یا شرکت پرداختی با مراجعه به سازمان فناوری اطلاعات درباره کارمزد دریافت خدمات شاهکار وارد مذاکره می‌شود بنابراین آنچه تحت عنوان تعرفه خدمات شاهکار به اشتباه گفته می‌شود در واقع تعرفه یا حق دریافت خدمات از درگاه خدمات دولت الکترونیکي است که به سازمان فناوری اطلاعت پرداخت می‌شود و سازمان تنظیم مقررات بابت ارايه خدمت شاهکار هیچ کارمزدی دریافت نمی‌کند.

 

تحمیل هزینه‌ها به بانک‌ها وشرکت‌های پرداخت

یکی از مسايلی که از سوی برخی فعالان حوزه پرداخت و بانکداری الکترونیکی در مورد هزینه‌های استعلام از شاهکار مورد انتقاد قرار می‌گیرد، این است که پرداخت هزینه این استعلام بر عهده ارايه‌دهندگان خدمات از جمله بانک‌ها و شرکت‌های پی‌اس‌پی گذاشته است. به باور این منتقدان از آنجا که استعلام از شاهکار، روشی برای ارتقای امنیت و شفافیت تبادلات پولی است و امنیت و شفافیت هم کالاهایی عمومی هستند، دست‌کم پرداخت هزینه‌های ارتقاي سطح امنیت و شفافیت باید در لایه‌های مختلف تقسیم شود و تجمیع آنها در حوزه مسوولیت بخشی از بازیگران منطقی و عادلانه نیست.

چنین مباحثی البته پیش از این هم در جریان جبران هزینه‌های خسارت ناشی از فیشینگ مطرح بود و اکنون در قالب مصداق دیگری طرح می‌شود.

حسام‌الدین ایپکچی، مدیر حقوقی شرکت شاپرک چندی پیش در اظهارنظری که به بهانه بررسی حقوقی خسارت فیشینگ انجام داده بود، مطالبی بیان کرده که به‌نظر می‌رسد درباره تقسیم هزینه‌های استعلام شاهکار نیز صدق می‌کند. به گفته ایپکچی «باید به دنبال تعیین سهم هر یک از بازیگران، ذی‌نفعان و مسوولان باشیم؛ وقتی فقط یک نفر را در قبال موضوعی که مسوولان متعددی دارد حالا چه این مسوولیت حقوقی باشد چه مسوولیت در قبال هزینه‌ها، مسوول بدانیم در واقع از دیگر بازیگران سلب مسوولیت کرده‌ایم در حالی که روش و رویکرد درست، توزیع مسوولیت است چرا که قدرت توزیع شده است. بنابراین درست این است که مسوولیت باید متناسب با قدرت توزیع شود. برای مثال در بررسی سیکل فیشینگ متوجه می‌شویم اگر آگاهی وجود داشته باشد، فیشینگ اتفاق نمی‌افتد به همین دلیل هم این مخاطره مالی در دسته مهندسی اجتماعی قرار می‌گیرد. پس آگاهی، اولین کلمه کلیدی و گام اول است و باید ببینیم مسوول آگاهی‌بخشی چه نهاد یا سازمان‌هایی هستند. بنابراین حاکمیت در چندین سطح مسوولیت آگاهی‌بخشی دارد و باید در میان مسوولان قرار گیرد.»

بر اساس همین استدلال می‌توان این‌گونه نتیجه گرفت که اگر قرار است با استعلام از شاهکار، امنیت و شفافیت در تراکنش‌های پرداخت الکترونیکي افزایش یابد که قطعا همین گونه است، تحمیل تمام هزینه‌های این استعلام‌ها بر شرکت‌های پرداخت الکترونیکي، اشتباهی از جنس همان اشتباهی است که مدیر حقوقی شاپرک درباره منحصر کردن مسوولیت تنها یک بازیگر یا ذی‌نفع در مورد فیشینگ توضیح داده است.

به این ترتیب به نظر می‌رسد فارغ از مدل و شیوه استعلام و کارمزد آن، یکی از انتقادات مهمی که به مدل فعلی استفاده از سامانه شاهکار وارد است، تحمیل همه هزینه‌های آن به شرکت‌های پرداخت الکترونیکي است. این در حالی است که اپراتورهای تلفن همراه اطلاعاتی از مشتریان خود دارند ولی آیا اپراتورها مالک این اطلاعات هم هستند؟ در گام بعدی سازمان فناوری اطلاعات از اطلاعات اپراتورها برای ایجاد دیتاسنتر از همین اطلاعات استفاده کرده و سامانه‌ شاهکار را ایجاد کرده است. سوال اینجاست؛ در حالی که نه اپراتورها و نه سازمان فناوری اطلاعات مالک این دیتا نیستند، چرا استعلام از آن را برای بانک‌ها و شرکت‌های پرداختی که آنها هم این استعلام را برای ارتقای امنیت شبکه انجام می‌دهند، بفروشد؟

جالب اینجاست که همین هفته مصاحبه‌ای با امیر ناظمی معاون وزیر ارتباطات و رییس سازمان تنظیم مقررات در هفته نامه عصر ارتباط منتشر شده و ایشان به صراحت می‌گوید که سازمان فناوری بابت سرویس شاهکار سود که دریافت نمی‌کند بلکه سوبسید 50 تومانی هم برای هر تراکنش پرداخت می‌کند و این یعنی آنكه هر تراکنش 106 تومان برای این سازمان هزینه به دنبال دارد.

نکته مهم دیگری که نشان از تناقض در صحبت‌های وی دارد این است که به گفته ناظمی این سازمان هزینه زیادی صرف امور نرم‌افزاری، سخت‌افزاری و منابع انسانی برای ارایه سرویس شاهکار کرده است، این در حالی است که شنیده شده شاپرک تمام تجهیزات سخت‌افزاری مرتبط با شاهکار را خریداری کرده و سازمان فناوری اطلاعات نیز کل دیتای خود را روی تجهیزات مستقر در شاپرک بارگذاری کرده و با یک خط ارتباطی این دیتا به‌روز‌رسانی می‌شود.

در عین حال به نظر می‌رسد سرویس شاهکار این روزها به یکی از دغدغه‌های اصلی شبکه پرداخت تبدیل شده چرا که ابهامات مرتبط با آن به اندازه‌ای زیاد است که حتی شرکت‌ها اکنون نمی‌توانند برآورد دقیقی از هزینه‌های احتمالی این سرویس در صورت‌های مالی خود داشته باشند.

از طرفی دیگر به گفته رییس سازمان تنظیم مقررات کش کردن اطلاعات نه تنها شاهکار بلکه تمامی سرویس‌های استعلامی خلاف قانون است.

  • برچسب‌ها

دیدگاه‌ها

    ارسال دیدگاه