در حال خواندن
بانک آینده در مقابل بانک مرکزی
0

نویسنده : رامین جهان‌پیما

به‌تازگی بخشنامه‌ای از سوی بانک مرکزی در خصوص ارایه خدمات بانکی بر بستر اپلیکیشن‌های موبایلی صادر شده که تمرکز آن بر موضوعاتی از قبیل ممنوعیت ارایه سرویس کارت‌ به کارت توسط اپلیکیشن‌های پرداخت به غیر از PSPها، ممنوعیت ارایه سرویس مانده‌گیری برای تمامی PSPها و پرداخت‌یارها و احراز هویت مشتریان در فضای سایبری است.

محتوای این بخشنامه که از اداره نظام‌های پرداخت بانک مرکزی صادر شده، مانند بخشنامه‌ای که در خصوص رعایت کردن سقف تراکنش‌های پرداخت ابلاغ شده بود، ماهیتی تذکرآمیز دارد. در بندهایی که در این بخشنامه وجود دارد، مساله اصلی و مورد تمرکز آن‌، تاکید بر فرایند احراز هویت به صورت غیرحضوری است. این در حالی است که هفته نامه عصر ارتباط در شماره‌های پیشین خود در گزارشی با عنوان «چالش احراز هویت در بستر پیشخوان بانک آینده» در مورد وضعیت نابسامان احراز هویت در سرویس‌هایی مانند پیشخوان بانک آینده پرداخته بود. پس از انتشار آن گزارش، بانک مرکزی و اداره نظام‌های پرداخت در حرکتی هوشیارانه اقدام به انتشار بخشنامه‌‌ای جدید و تذکر موارد امنیتی در این حوزه کردند. لذا در این شماره، محور را حوزه اپلیکیشن‌های موبایلی قرار داده‌ایم تا بررسی مجددی بر نگرانی‌های بانک مرکزی در خصوص موارد امنیتی در استفاده از سرویس‌های بانکی داشته باشیم.

مروری بر یک بخشنامه

روند جهانی در حوزه بانکداری و پرداخت دیجیتال، خارج‌شدن بانک‌ها از حوزه بانکداری خرد در سطح UI/UX و ایجاد دسترسی برای نهادهای ثالث (third party) است، بنابراین استارت‌آپ‌های فناوری مالی (fintech) پتانسیل زیادی برای گسترش بازارهای خرد برای بانک‌ها دارند. عصر نوین بانکداری دیجیتال را می‌توان عصر بانکداری باز یا open API دانست که بانک‌ها و شرکت‌های پرداختی، سرویس‌های خود را به صورت API در اختیار فین‌تک‌ها قرار داده و عملا این شرکت‌ها را درگاه جذب تراکنش و تعامل با مشتری خواهند کرد.

این در حالی است که مهرماه سال گذشته، بانک مرکزی مستندی با عنوان «سیاست بانک مرکزی جمهوری اسلامی ایران در خصوص فناوری مالی» را منتشر کرده بود. این مستند بسیار کلی و در ۱۲ بند سیاست‌های این بانک را در حوزه فناوری‌های مالی مشخص کرده است. در بند دهم این مستند تصریح شده «احراز هویت و اهلیت همه استفاده‌کنندگان (کاربران نهایی) هر یک از کسب‌و‌کارها، ضروری بوده و پیش از ارایه هرگونه خدمت به ایشان باید انجام شود، بنابراین تمام پرداخت‌سازها که طبق تعریف، آغازکنندگان و گردآورندگان دستور پرداخت هستند، می‌بایست احراز هویت را به‌درستی انجام دهند.»

اما آنچه در بخشنامه‌ جدید بانک مرکزی به آن تاکید شده، جلوگیری از ایجاد موج جدیدی از تخلفات است که با ورود سریع این نهاد در این بخش به نظر می‌رسد این چالش در نطفه خفه خواهد شد.

در بخشنامه جدید آمده است: اخیرا مشاهده شده خدمات بانکی غیرحضوری توسط بانک‌های کشور از طریق برنامک‌های موبایلی ارایه می‌شود که در صورت عدم توجه دقیق به مقررات مربوطه، مخاطرات بزرگی برای شبکه بانکی در پی خواهد داشت. لذا ضروری است به دقت نکات ذیل مورد امعان قرار گیرد.

الف- در زمینه خدمات مرتبط با پرداخت‌سازها در حال حاضر صرفا خدمت کارت به کارت که طی بخشنامه شماره ۸۸۰۹۸/۹۶ مورخ ۲۵/۳/۹۶ اعلام شده است، مجاز می‌باشد و ارایه هر‌گونه خدمت دیگر در قالب پرداخت‌ساز تا زمان ارایه بخشنامه مرتبط غیرمجاز تلقی می‌گردد.

توقف تخلف اپلیکیشن‌های موبایلی

بنابراین اپلیکیشن‌های موبایلی که از طریق شرکت‌های PSP ارایه‌شده مجاز به ارایه سرویس کارت به کارت هستند و پرداخت‌یارها و فین‌تک‌ها حق ارایه این سرویس را ندارند.

از آنجا که این بند دقیقا به تخلفاتی همانند اپلیکیشن “همراه‌کارت” که پیش از این متعلق به شرکت ارتباط فردا بود و اکنون به شرکت “پیدا” واگذار شده (که سهامدارانش و نحوه وابستگی آن به بانک آینده محل ابهام است) اشاره مستقیم دارد، این در حالی‌است که اپلیکیشن‌ “همراه کارت” نزدیک به یک سال است سرویس کارت به کارت و موجودی را به کاربرانش ارایه می‌دهد. ناگفته نماند که به نظر می‌رسد تعداد دیگری از برنامک‌های بانکی در بازار فعلی مشغول به خدمت‌رسانی به کاربران هستند و در حال حاضر بررسی کامل و دقیق از خدمات احتمالی خارج از ضوابط این برنامک‌ها انجام نشده که قطعا با توجه به اهمیت موضوع و ارتباط آن با منافع کاربران به نظر می‌رسد بانک مرکزی خود راسا وارد عمل شده و یا باید سامانه یا شماره تلفنی را برای اعلام این تخلفات از سوی کاربران در نظر بگیرد تا در اسرع وقت از مسیر قانونی با آنها برخورد شود.

جوسازی از طریق رسانه‌ها

در هر حال به نظر می‌رسد همزمان با ارایه این بخشنامه، برخی از این شرکت‌ها به دلیل به خطر افتادن منافعشان که البته دقیقا هم مشخص نیست در کدام بخش ارایه این سرویس منفعت دارند، در حرکتی غیرمعمول توسط یک رسانه‌ شایعه کردند که بانک مرکزی سرویس کارت به کارت را از طریق اپلیکیشن‌های موبایلی قطع کرد، درحالی‌که این بانک به منظور سیاست‌گذاری و جلوگیری از ایجاد آشفته‌بازاری که می‌توانست در آینده تبعات امنیتی و اقتصادی را برای شبکه بانکی کشور به دنبال داشته باشد، بخشنامه مذکور را صادر کرد. اما با این حال برخی جریانات دوست دارند این موضوع را به مسیر دیگری سوق دهند تا ماهی خود را از آب گل‌آلود صید کنند.

تاکید بر امنیت در ابزارهای موبایلی

ب- ارایه خدمت کارت به کارت در قالب پرداخت‌ساز می‌بایست صرفا با رعایت دقیق بخشنامه اشاره‌شده در بند الف صورت پذیرد. عدم رعایت کامل بخشنامه مزبور باعث ایجاد امکان رخنه در سامانه‌های آن بانک شده و فرصت سوءاستفاده برای خلافکاران را مهیا خواهد کرد.

پرداخت‌سازها اولین گره زنجیره تراکنش هستند، بنابراین وظیفه اخذ اطلاعات کارت، حساب و احراز هویت مشتریان و فرستادن آن به گره‌های بعدی را بر عهده دارند. به این ترتیب امکان تخلف از سوی پرداخت‌سازها همواره وجود دارد و به همین دلیل است که رگولاتور باید تکلیف فین‌تک‌ها را مشخص کرده و مطابق با همان بخشنامه مورخ ۱۲/۷/۹۷ سیاست‌های کلان را به صورت جزئی و دقیق مشخص و ابلاغ کند.

باز هم یادآوری می‌کنیم که سرعت رشد فین‌تک‌ها زیاد است و اگر سرعت تنظیم مقررات خیلی کندتر از این رشد باشد، موجب جهت‌‌گیری نامناسب این کسب‌وکارها در آینده شده و حتی بدتر از آن، رشد بیزنس‌های خرد و اتصال به منابع قدرت در مواردی به‌اندازه‌ای غیرقابل مهار می‌شود که چه بسا زورشان به قانون‌گذار هم خواهد رسید و در آن صورت بانک مرکزی دیگر قادر نخواهد بود در برابر فشارهای اجتماعی، مقررات صحیح را وضع کند. مشابه همین وضعیت در مساله کارمزد تراکنش‌های الکترونیکی دیده می‌شود.

مانده‌گیری خارج از ضوابط ممنوع حتی با API

ج- سایر خدمات بانکی، به‌ویژه مانده‌‌گیری و انتقال از/به حساب درون/برون بانکی نیز صرفا در قالب اینترنت‌بانک با رمز و نام کاربری مشخص و احراز هویت کامل مطابق ضوابط و از طریق سامانه‌های رمزنگاری‌شده انتها به انتها (end to end encryption) قابل اجرا است. ارایه خدمات فراتر از چارچوب تعیین‌شده فوق و یا عدم اجرای تمام ضوابط احراز هویت برای خدمات بانکی به هر شکل و قالبی از قبیل API و غیره، اکیدا ممنوع بوده و در اسرع وقت متوقف گردد.

به نظر می‌رسد این بخش به دلیل ارایه برخی سرویس‌های جدید همچون مانده‌گیری و ۱۰ تراکنش‌آخر از سوی برخی از شرکت‌های PSP و شرکت “پیدا” (مالک اپلیکیشن همراه‌کارت) صادر شده است.

این در حالی است که در هفته‌های گذشته شاهد بودیم که ایران‌کیش خبر از ایجاد سرویس مانده‌‌گیری و ۱۰ گردش آخر حساب‌های بانک تجارت بر بستر اپلیکیشن پات را اعلام کرده بود. همچنین به‌پرداخت ملت سرویس مشابهی را برای کارت‌های ملت ارایه کرده بود. در نهایت هر دو PSP مجبور به غیرفعال کردن این سرویس در اپلیکیشن‌های خود شدند.

 این در حالی است که شرکت “پیدا” که پیش از این خبر از مانده‌‌گیری کارت‌های بانک ملی را به عنوان یک دستاورد اعلام می‌کرد، هفته گذشته با ابلاغ این بخشنامه ارایه موجودی کارت‌های بانک ملی را متوقف کرد، اما همچنان تا لحظه نگارش این گزارش موجودی کار‌ت‌های بانک آینده را در اپلیکیشن “همراه‌کارت” ارایه می‌کند که طبق این بخشنامه تخلف است.

یکی از نکاتی که به نظر می‌رسد می‌تواند آزمونی برای بانک مرکزی محسوب شود، نحوه برخورد در همین زمینه است؛ چراکه بانک مرکزی به‌راحتی به شرکت‌های PSP که از خودش مجوز دریافت کرده‌اند، حتی قبل از ابلاغ بخشنامه فشار می‌آورد و آنها را مجبور به بستن این سرویس‌ها می‌کند، اما اگر نتواند همین فرایند را با سایر شرکت‌ها که از قضا برخی از آنها حتی مشخص نیست برای کدام مجموعه و بانک‌ هستند، ناتوان ظاهر شود، اتفاق چند سال قبل که توسط شرکت انیاک در لو رفتن شماره کارت و رمز مشتریان آنها رخ داد، بار دیگر تکرار شود.

سوال مهم دیگری که در این میان وجود دارد، این موضوع است که شرکت ارتباط فردا اپلیکیشن همراه‌کارت را به یک شرکت دیگر واگذار کرده است، حال چرا در خصوص این موضوع صراحتا اطلاع‌رسانی نمی‌کند؟ این در حالی است که همچنان برخی کاربران تصور می‌کنند این اپلیکیشن متعلق به مجموعه ارتباط فردا است. لازم به تاکید است که نوع قرارداد همکاری شرکت ارتباط فردا با بانک آینده نیز شفاف نیست. (بماند که برخی شنیده‌های غیر رسمی گویای خرید یک ساختمان جدید توسط این شرکت از پارس‌آنلاین است که در خصوص نحوه این خرید نیز ابهاماتی مطرح است.)

نکته دیگر اینکه بانک‌ها تا به این لحظه از ارایه API منع شده‌اند و این در حالی است که بانک آینده خدمات بانکی خود را از طریق API در اختیار شرکت “پیدا” گذاشته است.

حال سوال اینجا است که چنانچه در آینده اتفاق مشابهی که برای شرکت انیاک رخ داد برای این شرکت نیز رخ دهد، مسوولیت این مخاطره با بانک آینده است یا شرکت “ارتباط فردا” یا شرکت “پیدا” یا همه آنها یا هیچ‌کدام از آنها؟

آیا بانک آینده مسوولیت این مخاطرات را خواهد پذیرفت؟ البته طبق بخشنامه بانک مرکزی، چشم‌پوشی از مخاطرات مذکور در بخشنامه علاوه بر ایجاد حفره‌های امنیتی و زیان‌های مادی و معنوی به بانک‌ها و کاربران شبکه بانکی، برخوردهای انضباطی به جدی‌ترین شکل ممکن مطابق مقررات را در پی خواهد داشت. همچنین مسوولیت کامل پاسخگویی به مقامات قضایی و انتظامی برعهده بانک متخلف است.

به نظر می‌رسد با توجه به این بخشنامه، مدیران بانک آینده در خصوص نحوه تعامل با شرکت‌های بیرونی می‌بایست دقت بیشتری بکنند؛ چراکه کوچک‌ترین خطایی می‌تواند صدمات جبران‌نا‌پذیری برای این بانک به همراه داشته باشد.

تعیین تکلیف بانک مرکزی برای احراز هویت از راه دور

نکته دیگری که در موضوع احراز هویت در این بخشنامه به آن تاکید شده، تاکید به اجرای قانون در این زمینه است. طبق قانون هیچ بانکی اجازه احراز هویت از راه دور را ندارد. این در حالی است که در گزارش چند هفته پیش هفته‌نامه عصر ارتباط که به موضوع چالش احراز هویت در پیشخوان بانک آینده پرداخته بود، تمامی ریسک ناشی از این جریان به بانک ارایه‌دهنده این سرویس منتقل شده است.

آنچه در ماجرای احراز هویت غیرحضوری پیشخوان بانک آینده می‌توان بر آن ایراد گرفت، این است که اگر فردی به هر دلیلی بتواند به رمز ورود و کد یک مشتری دیگر دسترسی داشته باشد (برای مثال به ایمیل، موبایل و بسترهایی این‌چنینی که پیشخوان برای ارسال کد تایید از آن استفاده می‌کند)، تمامی خدمات بانکی مشتری در اختیار ‌فرد نفوذی قرار می‌گیرد.

در حال حاضر برخی مشتریان بانک آینده یا از وجود چنین سرویسی و امکان فعال‌سازی آن بدون مراجعه حضوری به بانک مطلع نیستند، یا اگر هم بدانند نیازی به استفاده از آن ندارند. در چنین شرایطی اگر فردی بتواند با استفاده از اطلاعات شخصی مانند شماره شناسنامه، کد ملی و … که توسط کاربر مرکز تماس شرکت ارتباط فردا قبل از ارسال نام کاربری و رمز عبور پرسیده می‌شود پاسخ درست بدهد و …، سرویس پیشخوان اجازه سوءاستفاده از حساب مشتری را برای عامل نفوذی تسهیل می‌کند، که باید دید بانک در چنین شرایطی قبول مسوولیت می‌کند یا خیر.

اکنون بانک آینده حدود یک درصد از سهم بازار را در اختیار دارد. این به معنای نیم میلیون مشتری است که اگر متوسط مبلغ مانده در حساب این مشتریان را تنها یک میلیون تومان در نظر بگیریم، با حجم پولی معادل ۵۰۰ میلیارد تومان مواجه هستیم که به‌طور بالقوه تحت ریسک است، بنابراین با یک تحلیل هزینه- فایده می‌توان به این نتیجه رسید که مجریان این طرح می‌بایست از فناوری‌های نوین و امن در فرایند احراز هویت بهره ببرند نه اینکه هزینه ریسک را به گردن مشتری بیندازند.

جمع‌بندی و نتیجه‌گیری

حال که بانک مرکزی در حرکتی پیشگیرانه اقدام به انتشار چنین بخشنامه‌ای کرده باید منتظر ماند و دید که با توجه به اینکه مسوولیت خسارات ناشی از عدم اجرای صحیح الزامات امنیتی بر عهده بانک‌ها گذاشته شده، ادامه همکاری فین‌تک‌ها و شرکت‌های زیرمجموعه آنها چگونه خواهد بود. همچنین توجه کافی به روش‌های نوین تامین امنیت و KYC و همچنین احراز هویت مشتری با ابزارهای نوین، مبتنی بر بایومتریک‌ها و ابزارهای هوش مصنوعی از دیگر مواردی است که بانک مرکزی می‌بایست توجه کافی را نسبت به آن داشته باشد.

البته در عین حال که این بخشنامه در زمان درستی منتشر شد و نقش نوشدارو قبل از مرگ سهراب را داشت، باید تاکید کرد که بانک مرکزی باید در اسرع وقت نسبت به مقررات‌گذاری و تعیین تکلیف فین‌تک‌ها و فعالان این حوزه اقدام کند.

منبع: هفته نامه عصر ارتباط

 

درباره نویسنده
عبداله افتاده
دانش آموخته رشته روابط عمومی الکترونیک هستم، به واسطه شرایط زندگی رشته‌های مختلف کاری را تجربه کردم، تا اینکه در سال 1380 با ورود به خبرگزاری ایرنا استان تهران به عنوان خبرنگار متوجه اشتیاق فراوان به این حرفه شدم. از آن زمان تاکنون نیز در رسانه‌های مختلف در حوزه فناوری اطلاعات و ارتباطات مشغول به فعالیت بوده‌ام. موجب خرسندی است اگر انتقادات، پیشنهادات و سوژه های خبری خود را از طریق کانال‌های ارتباطی زیر با من به اشتراک بگذارید.

ارسال یک نظر