در حال خواندن
بانک مرکزی بانک‌ها را به سمت بحران هدایت می‌کند!
بعدی
قبلی
1020 51
0

منبع: هفته نامه بازار امروز

موشکافی تهدیدهای‌ ابلاغیه رمز  دوم یکبار مصرف؛

عبداله افتاده – به رغم آن که بانک مرکزی، اول خردادماه ۹۸ را به عنوان آخرین مهلت بانک‌ها برای استفاده از رمزهای دوم ایستا اعلام کرده بود. پس از گذشت این مهلت همچنان شاهد آن هستیم که این اتفاق رخ نداده است.

به گزارش نود فناوری، بانک مرکزی از تابستان ۹۷ مساله رمزهای دوم یک بار مصرف (OTP) را مطرح کرده است. در اولین گام مهلت استفاده از رمزهای پویا، آذر ۹۷ برای بانک‌ها تعیین شده بود و بانک‌ها موظف بودند تا در آن تاریخ، تمام تراکنش‌هایی را که با رمز دوم انجام انجام می‌شوند، برای حفظ امنیت کافی در این تراکنش‌ها، مجهز به رمز دوم پویا کنند. برای این کار لازم است بانک‌ها تغییراتی در سوییچ کارت و سامانه متمرکز بانکی (core-banking) خود به وجود آورده و همچنین سازوکاری جهت تولید و ارسال رمزهای پویا برای مشتریان فرآهم آورند. این سازوکار می‌تواند شامل اپلیکیشن تولید و صدور رمز، ارسال بر بستر پیامک و یا کانال‌های دیگری مانند ایمیل و ussd باشد. ارسال رمز یا cvv2 یک بار مصرف در شبکه‌های پرداخت بین المللی مرسوم است ولی آن چه مسلم است به دلیل پیچیدگی‌های موجود، آشنا نبودن مشتریان بانک‌های کشور و ابهامات این طرح، مهلت آذرماه برای بانک‌ها کافی نبود و این بار بانک مرکزی مهلت استفاده از رمز دوم ایستا را تا اول خرداد ۹۸ تمدید کرد که همزمان با آغاز خرداد ماه این بانک با عقب نشینی از بخش نامه قبلی ارایه رمز دوم را به دلیل عدم آمادگی برخی از بانک‌ها برای تراکنش‌های کمتر از ۵۰۰ هزار تومان در صورت پذیرش مسئولیت سوءاستفاده‌ها و جبران خسارت توسط بانک مجاز اعلام کرد.

این بار اما استفاده از رمزهای دوم یک بار مصرف با تبلیغات گسترده بانک‌های بزرگ مانند بانک ملی و اپلیکیشن ۶۰ همراه بود. حتی صدا و سیما نیز به صورت مفصل در بخش‌های خبری خود به این موضوع پرداخت و معاون فناوری‌های نوین بانک مرکزی نیز با حضور در صدا و سیما، توضیحاتی در خصوص این طرح ارایه و بر مهلت بانک‌ها برای انجام این طرح در تا تاریخ ۳۱ اردیبهشت تاکید کرد. رییس کل بانک مرکزی نیز عنوان کرد: تغییر رمزهای ایستا به پویا باید به گونه‌ای صورت گیرد که اولا به کسب و کارهای نوپا آسیبی وارد نشود و ثانیا هزینه‌ای متوجه مشتریان نشود. با این اظهارات تکلیف اخذ کارمزد برای رمزهای یک بار مصرف هم مشخص شد. پس از آن در تاریخ ۲۱ اردیبهشت امسال معاون فناوری بانک مرکزی در ابلاغیه‌ای شش بندی نکاتی را برای بانک‌ها الزامی دانست که در این بحث بر دو مورد آن تمرکز می‌کنیم.

  • به منظور حمایت از کسب و کارهای نوپا و نیز تسهیل فرایند پرداخت غیر حضوری قبوض، بانک‌ها می‌توانند با قبول مسئولیت هرگونه سوء استفاده از مسایل امنیتی و جبران خسارات احتمالی وارد شده به مشتریان، برای تراکنش‌های کمتر از پنج میلیون ریال در روز و همچنین تراکنش‌هایی که ذینفع آن دستگاه‌های عمومی نظیر صادرکنندگان قبض باشند، استفاده از رمزهای ایستا را مجاز تلقی کنند.

معنای این ابلاغ آن است که برای تراکنش‌هایی با مبلغ بالاتر از ۵۰۰ هزارتومان، از ابتدای خردادماه، ارایه رمز دوم به صورت پویا الزامی است. ولی به رغم  این حجم از خبرسازی در رسانه‌های عمومی و تخصصی و تاکید بر الزام اجرای این طرح، همزمان با آغاز خرداد بانک مرکزی از این الزام عقب نشینی کرد و همچنان شاهد آن هستیم که امکان انجام تراکنش انتقال وجه با مبلغ بالاتر از کف تعیین شده، ممکن است و عملا بانک‌ها به مهلت مقرر شده توسط بانک مرکزی اعتنا نکرده و یا نتوانسته‌اند این کار را انجام دهند.

 

بی اعتنا شدن به مهلت‌های رگولاتور

در موارد بسیاری شاهد آن بودیم که رگولاتور پولی و مالی یعنی بانک مرکزی و شرکت‌ها و نهادهای تابعه آن حتی خودشان نیز به مهلت‌هایی که تعیین کرده‌اند پایبندی نشان نمی‌دهند. نمونه آن را می‌توان در مهلت‌هایی (deadline) که بانک مرکزی برای تنظیم مقررات در خصوص کیف پول الکترونیکی (پرداخت‌بان)، سامانه نشان گذاری، پرداخت سازها، رگ تک‌ها، ارزهای رمزنگاری شده و سایر فناوری‌های نوین تعیین کرده است، مشاهده کرد. علت این سستی و بی برنامگی را احتمالا می‌توان در مواردی مانند: عدم طرح و برنامه دقیق، عدم کار کارشناسی متقن، تصمیم گیری در فضایی غیر تعاملی، عدم هماهنگی با بانک‌ها، ارایه طرح‌ها از بالا به پایین و مشاوره‌های غیردقیق جستجو کرد. لذا در طرح رمز دوم یک بار مصرف نیز شاهد آن هستیم که با وجود تاکید فراوان، این طرح در تاریخ مقرر شده اجرایی نشد و باید دید که تصمیم بانک مرکزی و بانک‌ها جهت تعیین تکلیف این طرح چه خواهد بود.

سردرگمی مشتریان بانک‌ها

مساله امنیت حساب‌های بانکی، جز مسایل مهم و حساس برای مشتریان بانک‌هاست. وقتی یک طرح از رسانه‌های عمومی انعکاس پیدا می‌کند و اذهان عمومی را مشغول و معطوف می‌نماید، در این شرایط، عمل نکردن سیستم بانکی در مهلت مقرر سبب سردرگمی مشتریان شده و بر اعتمادشان تاثیر نامطلوب می‌گذارد. از کارشناسان و خبرگان حوزه فناوری‌های بانکی تا کارمندان بانک‌ها و مردم عادی در مورد طرح رمز دوم پویا با ابهاماتی روبرو هستند و هنوز ابعاد فنی، کاربردی و حتی حقوقی آن برای مشتریان آشکار نیست. سالانه بیش از ۴ میلیارد تراکنش با رمز دوم صورت می‌گیرد که با توجه به توسعه سرویس‌های مبتنی بر موبایل این آمار هر سال افزایش حداقل ۲۰ تا ۳۰ درصدی خواهد داشت. بنابراین تراکنش‌های بدون حضور کارت نقش پررنگی در زندگی روزمره مردم ایفا می‌کنند و انتظار می‌رود بانک مرکزی و سیستم بانکی کشور نسبت به طرح‌های این چنینی دقت و وسواس بیش‌تری به خرج دهد.

 

  • از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسئولیت سوءاستفاده از حساب های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک است و در این موارد تایید مرجع قضایی برای جبران خسارت مشتریان کفایت می‌کند.

بار حقوقی طرح رمز دوم یک بار مصرف

همان طور که در ابلاغیه بانک مرکزی تاکید شده است، بار حقوقی مربوط به تخلفات صورت گرفته در خصوص استفاده از رمز دوم ایستا بر عهده بانک‌ها خواهد بود. فرض کنید اگر مشتری رمز دوم ایستای خود را لو دهد و یا از طریق سایت‌های فیشینگ این رمز افشا شود، فرد سارق می‌تواند با تراکنش‌های کمتر از ۵۰۰ هزار تومان، از حساب مشتری برداشت کند و تمام ریسک این کار بر عهده بانک صادرکننده کارت گذاشته شده است. حتی اگر اشکال امنیتی متوجه خود کاربر و به دلیل خطای وی و یا سایت پذیرنده باشد.

با توجه به اینکه آمار دقیقی در خصوص میزان جرایم این حوزه توسط پلیس فتا ارایه نشده به هیچ وجه ابعاد بزرگی این تخلفات مشخص نیست، اما به گفته کارشناسان دریافت اطلاعات کارت بانکی مردم از طریق فیشینگ و سایر مسیرها، ابعادی بزرگ دارد که با ابلاغ جدید بانک مرکزی تمامی مسوولیت این کلاهبرداری‌ها متوجه بانک ها است و دور از ذهن نیست در آینده‌ای نزدیک مردم برای جبران خسارت به سمت بانک ها هجون نبرند.

البته نکته دیگری که در این بین وجود دارد این است که آیا بانک مرکزی که رگولاتور بخشی محسوب می‌شود، آیا می‌تواند در این مورد که جنبه قضایی و انتظامی دارد، بدون هماهنگی با قوه قضاییه تمامی مسوولیت را بدون مشخص شدن نوع جرم و دلایل وقوع آن به گردن بانک بیاندازد.

از آنجا که بانک مرکزی تمامی مسوولیت تراکنش‌های بدون حضور کارت را که می‌تواند بدون رمز دوم پویا انجام شود به گردن بانک‌ها انداخته، اگر گروهی از افراد سودجو اقدام به سوء استفاده از این مسیر بکنند و با استفاده از ابزارهایی که فناوری در اختیار آنها قرار می‌دهد سرقت اطلاعات بانکی از مسیرهای اینترنتی و امثال آن را قابلیت شبیه سازی کنند، بانک‌ها چرا باید مسوولیت چنین رخدادهایی را باید به گردن بگیرند.

این تصمیم به نظر غیر منطقی، چه مبنای حقوقی دارد؟ بانک مرکزی که یکی از وظایف ذاتی آن حمایت از بانک‌ها و کاهش ریسک بانکداری است بر چه اساسی می‌تواند این بار سنگین و مسوولیت حقوقی را متوجه بانک‌ها کند؟ جمیع این موارد نشان می‌دهد که همچنان تصمیم گیری‌ها در حوزه فناوری‌های نوین بانک مرکزی، به طرز پوپولیستی صورت گرفته و نهایت تلاش برای جلوگیری از فشارهای اجتماعی و در جهت انداختن توپ در زمین بانک‌ها انجام می‌شود. مانند آن چه در مساله کارمزد خدمات بانکداری الکترونیک سالهاست شاهد آن هستیم و در نهایت معاون فناوری بانک مرکزی به جای حل مساله، صورت مساله را پاک کرده و عنوان می‌کند که بانک‌ها، گرفتن کارمزد خدمات الکترونیکی را فراموش کنند زیرا دیگر قادر به گرفتن آن از مردم نیستیم! لذا انتظار می‌رود در بحث OTP که هنوز در ابتدای مسیر است، مجددا با تصمیم‌سازی‌های ناصواب، بدعت ایجاد نشود و وظایف بانک‌ها و مردم در حفظ امنیت تراکنش‌ها به خوبی تفکیک شده تا در سال‌های بعد هزینه سنگین‌تری را برای تغییر مقررات به کشور تحمیل نکنیم.

منتشر شده در
بانکداری الکترونیکی, بانکداری همراه, پرداخت الکترونیک
کلمات کلیدی
بانک مرکزی, رمز پویا, رمز دوم یکبار مصرف
, ,
درباره نویسنده
عبداله افتاده
دانش آموخته رشته روابط عمومی الکترونیک هستم، به واسطه شرایط زندگی رشته‌های مختلف کاری را تجربه کردم، تا اینکه در سال 1380 با ورود به خبرگزاری ایرنا استان تهران به عنوان خبرنگار متوجه اشتیاق فراوان به این حرفه شدم. از آن زمان تاکنون نیز در رسانه‌های مختلف در حوزه فناوری اطلاعات و ارتباطات مشغول به فعالیت بوده‌ام. موجب خرسندی است اگر انتقادات، پیشنهادات و سوژه های خبری خود را از طریق کانال‌های ارتباطی زیر با من به اشتراک بگذارید.

ارسال یک نظر