تفاوت‌های رمز دوم پویا و OTP/ معافیت هوشمند تراکنش‌ها در دستورکار

به گزارش خبرنگار ایبِنا، افزایش فیشینگ و جرایم مبتنی بر برداشت غیر مجاز در طول سال‌های اخیر باعث شد تا ارتقاء امنیت تراکنش‌های بانکی بدون حضور کارت از جمله پرداخت اینترنتی، عملیات کارت به کارت، خرید شارژ یا پرداخت قبوض به صورت جدی از سوی بانک مرکزی با تاکید پلیس فتا و نهادهای قضایی به منظور افزایش امنیت مشتریان و کاهش کلاهبرداری‌ها در دستور کار قرار بگیرد؛ در همین راستا بانک مرکزی از سال گذشته برنامه‌ریزی کرد تا رمزهای دوم پویا بجای رمزهای دوم ایستا جایگزین شوند و مشتریان نیز بتوانند از طریق اپلیکیشن، پیامک و حتی کدهای دستوری به رمز یکبار مصرف به سادگی و بدون هزینه دسترسی داشته باشند.

طرح رمز دوم پویا با نهایی شدن اتصال بانک‌ها به سامانه هریم (هدایت رمز یکبار مصرف) به منظور ارسال پیامکی رمز دوم از اواسط بهمن ماه در بانک‌ها اجرایی شد و در راستای تسهیل دسترسی مشتریان مقرر شد تا انجام تراکنش تا سقف روزانه صد هزار تومان با رمز دوم ایستا امکانپذیر باشد.

به دلیل اهمیت این موضوع و بررسی ابعاد آن میزگردی با حضور داوود محمد بیگی مدیر اداره نظام‌های پرداخت بانک مرکزی، مسعود خاتونی معاون فناوری اطلاعات بانک ملی ایران، محمد گرکانی‌نژاد کارشناس حوزه پرداخت الکترونیک و پیمان طبری مدیرعامل شرکت کارت اعتباری ایران کیش برگزار شد که بخشی از آن را در ادامه می‌خوانید.

ضرورت اجرای طرح رمز دوم یکبار مصرف چه بود و چه فرآیندی موجب شد بانک مرکزی به این حوزه ورود کند؟

محمدبیگی: ابتدا باید توضیحی درباره دیدگاه بانک مرکزی در پروژه رمز پویا و تفاوت آن با رمز دوم یکبار مصرف ارائه کنم. از اواخر سال ۹۶ موضوع پویاسازی یا استفاده از یک المان متغیر در پرداخت‌های بدون حضور کارت مطرح بود. بانک‌ها طی این سال‌ها یک کارت پلاستیکی به مشتریان داده بودند و مشتری می‌توانست با این کار هر کاری در فضای مجازی انجام دهد، یکسری المان‌هایی روی این کارت چاپ می‌شود که بعضا برخی از این المان‌ها مانند CVV۲ نباید روی کارت باشد و باید پشت کارت چاپ شود، در نتیجه فرآیندی اتفاق افتاد که بخش قابل توجهی از پرداخت های مردم به این کارت‌ها وابسته شد.

طبیعتاً در چنین فضایی سوءاستفاده و برداشت‌های غیرمجاز از سال ۹۶ در شبکه پرداخت رو به افزایش بود که بانک‌ها و بانک مرکزی را به این فکر برد که راه حلی برای این مسئله بیاندیشند. بخشنامه‌های رمز یکبار مصرف توسط بانک مرکزی در این حوزه در اواسط سال ۹۷ برای بانک‌ها ارسال شد و عملاً بانک مرکزی در آن زمان  مدیریت این پروژه را به خود بانک‌ها واگذار کرد و از آنها خواست که در این حوزه کار  و یک فاکتور متغیری را طراحی کنند که  اسم آن را رمز یکبار مصرف گذاشتند.

سال ۹۷ و شش ماهه اول سال ۹۸ به این شکل گذشت که بانک مرکزی مرتب بخشنامه می‌داد و پیگیری می‌کرد و بانک‌ها هم محصولات خود را ارائه می‌کردند و تلاش داشتند که مشتریان خود را برای استفاده از این محصولات ترغیب کنند و در همین اثنا هم برداشت‌های غیرمجاز افزایش یافته بود و نرخ رشد آن در سال ۹۸ نسبت به سال ۹۷ تقریباً ۳۰۰ درصد بود و این خلائی که در حوزه پرداخت وجود داشت با گذشت  زمان مورد سوءاستفاده بیشتر قرار می‌گرفت.

بانک‌ها به دلایل مختلف در این حوزه انتظاراتی را که باید برآورده نکردند که یکی از این دلایل رقابت با یکدیگر بود و برخی از بانک‌ها عنوان می‌کردند که اگر رمز یکبار مصرف را به صورت الزام برای تمام مشتریان فعال کنیم، مشتری به دلیل سختی آن به بانک‌های دیگر رجوع می‌کند. موضوع دیگری که از سمت مشتریان مطرح بود این بود که به هر حال شاید دوست نداشتند که اپلیکیشن را نصب کند و نیاز داشتند بانک‌ها راه حل‌های دیگری را پیش روی آنها قرار دهند و از سویی هزینه پیامک برای بانک‌ها دغدغه جدی بود و تلاش داشتند برای کاهش هزینه‌ها مشتریانشان را به سمت استفاده از اپلیکیشن‌ها ترغیب کنند.

در این شرایط بانک مرکزی برای اینکه یک همگامی و یکپارچگی را در حوزه نظام بانکی کشور ایجاد کند، به این طرح ورود پیدا کرد و در صورتی که این اتفاق در شبکه بانکی می‌افتاد و خود بانک‌ها هماهنگ با یکدیگر می‌توانستند این کار را انجام دهند عملاً  بانک مرکزی به شکل فعلی به این پروژه  وارد نمیشد. در چنین شرایطی بانک‌ مرکزی برنامه اقدام مشترک را مطرح کرد تا یکسان‌سازی در شبکه بانکی انجام شود.

طبیعتاً در بحث استفاده از یک المان متغیر هم سمت بانک‌ها، هم سمت بانک مرکزی و هم سمت مشتریان مخالفتی وجود نداشت چرا که ارتقای امنیت یکی از موضوعاتی است که وظیفه بانک و به نفع مشتریان است اما بحث اصلی در این زمینه شیوه پیاده‌سازی است و چیزی که بانک مرکزی از ابتدا در تمام مواضع خود با بانک‌ها مطرح کرده این است که باید به مشتریان در سبد خدمات محصولات‌شان حق انتخاب دهند که از اپلیکیشن، پیامک، ‏ussd یا سایر روش‌ها استفاده کنند که از ابتدای کار متاسفانه این امر توسط بانکها کمرنگ دیده شد و بانک‌ها بیشتر روی اپلیکیشن تمرکز کردند. بنابراین بانک مرکزی تلاش کرد که در این حوزه ورود پیدا کند و تمام تمرکز و هدف ما این بود که تمام سلایق مشتریان همه بانک‌ها را با هم ببینیم که این اقدام ممکن است مورد انتقاد برخی  باشد چرا که آنها تعداد مشتریان  در نظام بانکی بیشتر است و بانک مرکزی با در نظر گرفتن همه این شرایط تلاش کرد تا همه بانک‌ها به سطح قابل قبولی از شرایط دسترسی پیدا کنند.

بنابراین قطعاً نیاز به اجرای چنین طرحی حس می‌شد و سال‌ها بود که شبکه بانکی در این زمینه کار کرده بود اما اشکال اصلی این بود که بانک‌ها نتوانستند ضریب نفوذ برنامک ها برای جذب مشتریان را به هر دلیلی بالا ببرند و ظریب نفوذ بعد از حدود دو سال  خیلی افزایش پیدا نکرده بود، از سوی دیگر برداشت‌های غیر مجاز افزایش یافته بود و همانطور که اشاره کردم بانک مرکزی مجبور شد به این حوزه وارد شود و طرحی را برای یکسان‌سازی در شبکه بانکی پیاده کند. بعد از ورود بانک مرکزی رشد و توسعه و گسترش این خدمت از آبان ۹۸ به بعد با دو سال پیش از آن قابل مقایسه نیست. بعد از ورود بانک مرکزی با هماهنگی ای که با بانک‌ها انجام شد، رشد نفوذ پروژه انفجاری بود، هرچند هنوز یکسری خلاها و کاستی‌هایی وجود دارد که در ادامه توضیح خواهم داد.

بانک‌ها برای اجرای طرح رمز دوم پویا طرح‌های مختلفی را اجرا کردند که تعدد این طرح‌ها و اطلاع‌رسانی‌های غیر منسجم تا حدود زیادی منجر به سردرگمی مردم شد، چه چالش‌هایی در این راه وجود داشت و آیا نمی‌شد این طرح را با سهولت بیشتری اجرا کرد تا مردم هم از همان ابتدا استقبال بیشتری کنند؟

خاتونی: روش‌های تایید پرداخت و استفاده از رمزهای یکبار مصرف در دنیا مرسوم است و بانک‌ها سعی می‌کنند از مسیرهای مختلف مانند استفاده از ایمیل، پیامک، چاپ رمز در شعبه، دستورهای ‏ussd و استفاده از نرم‌افزارها سبد محصولات خود را کامل کنند. دلیل اصلی که به این طرح ورود پیدا کردیم این است که آمارها در کشور ما نشان می‌دهد جرایم سایبری در سال ۹۶ نسبت به سال ۹۵ حدود ۶۰ درصد افزایش پیدا کرده که عدد قابل توجهی است و یک سوم آن را فیشینگ در اختیار دارد و زمانی که این بخش را بررسی کنیم، متوجه می‌شویم که حوزه بانکی بیشترین جرایم را به خود اختصاص داده است.

بانک مرکزی در شهریور ۹۷ با صدور ابلاغیه به این حوزه ورود کرد و قبل از این نیز مطالعاتی در شبکه بانکی صورت گرفته بود و بانک‌ها به این نقطه رسیدند که راهکارهای فعلی دیگر جوابگو نیست و باید محصولات جدیدی را برای ایمن‌سازی حوزه پرداخت به مشتریان ارائه کنند که بر این اساس OTP به عنوان یکی از راهکارهایی که در دنیا مرسوم است، شکل گرفت. در این حوزه مشتریان باید از کانال‌های مختلف مانند اپلیکیشن، ایمیل، پیامک و یا چاپ رمز در شعبه این محصول را از بانک دریافت کنند که در این میان چاپ رمز در شعبه ارزان‌ترین راه و ارسال پیامک پرهزینه‌ترین روش برای شبکه بانکی است.

دو نکته در این میان عامل اصلی سردرگمی مشتریان است، اولین مسئله که نه تنها در این محصول بلکه در همه محصولات شبکه بانکی به چشم می‌خورد، اطلاع‌رسانی دقیق و کامل است. معمولاً بانک‌ها روی محصولاتشان اطلاع‌رسانی جامعی ندارند و اطلاع‌رسانی‌ها کل جامعه آماری را پوشش نمی‌دهد. دومین مسئله که به رگولاتور برمی‌گردد این است که سیاست‌گذاری‌ها و هدف‌گذاری‌ها منظم نیست و در ابتدا یک سیاست و هدفی را تبیین می‌کنیم اما در طول مسیر بنا به مشکلاتی که در طول راه به آن برخورد می‌کنیم این مسئله باعث می‌شود در طول مسیر مجدداً اطلاع‌رسانی‌هایی صورت ‌گیرد که موجب سردرگمی مردم می‌شود. برای مثال بانک ملی در نیمه اول سال ۹۶ اعلام می‌کند که رمز یکبار مصرف را صرفاً بر روی اپلیکیشن ارائه می‌کند اما با گذشت زمان مشکلات پیش می‌آید که رگولاتور در جلسات بیرون از نظام بانکی به نتایجی می‌رسد و برای اینکه وضعیت را مدیریت کند، نتیجه‌گیری می‌کند که باید در کنار نرم‌افزار، پیامک نیز اضافه شود که با این تغییر سیاست‌ها مردم دچار سردرگمی می‌شوند اما با وجود همه این شرایط اگر شبکه بانکی اطلاع‌رسانی خوب و آموزش مناسب را به مشتریان دهد، در حال حاضر همه بانک‌ها شرایط دادن سرویس مناسب برای رمز دوم یکبار مصرف برای مشتریان را فراهم کرده‌اند.

آیا بهتر نبود بانک‌ها یک اپلیکیشن مشترک را برای دریافت رمز دوم پویا طراحی کنند تا تعدد اپلیکیشن‌ها و راه‌های مختلف دریافت رمز این سردرگمی را برای مردم ایجاد نکند؟

گرکانی‌نژاد: اشاره‌هایی به ضرورت اجرای طرح و یکی از چالش‌های اصلی‌آن که اطلاع‌رسانی است، شد که هر دوی این موارد درست است. همچنین یک ضرورت دیگر این است که مشتریان (چه مشتریان بیشتر علاقه‌مند و آماده‌تر برای تطبیق با فناوری‌های نوین که معمولاً هدف اصلی این جور طرح‌ها قرار می‌گیرند و چه مشتریان کمتر علاقه‌مند به آمدن در فضاهای مدرن) باید مورد توجه قرار گیرند. در مجموع فکر می‌کنم ماحصل رصد و پایش این شرایط، میزان پوشش و میزان ارائه این خدمت به تمام سطوح و اقشار جامعه، رگولاتور را به سمتی برد که ساز و کاری را تبیین کند تا بتواند  پوششی جامع‌تر و کامل‌تر و به تعبیری تجربه شده در دنیا را به اجرا بگذارد.

راهکار پرکاربرد در دنیا این است که مشتری در لحظه‌ای که نیاز به پرداخت پیدا می‌کند، به ویژه در شرایط غیرحضوری ساز و کاری در اختیارش قرار گیرد که از طریق آن  بتواند از بانک صادرکننده کارت اطلاعات آن متغیر را درخواست کند تا المان برای او ارسال شود، برای ارسال این المان روش‌ها می‌تواند متفاوت باشد که در شروع روی پیامک تاکید زیادی شده است.  سامانه هریم یا هدایت رمز یکبار مصرف کار را برای کاربر راحت می‌کند و در لحظه نیاز با زدن یک دکمه اعلام نیاز می‌کند و سیستم کار خود را انجام می‌دهد و رمز برای مشتری فرستاده می‌شود. ارسال این المان متغیر که اینجا رمز یکبار مصرف است،  از کانال‌های مختلف مانند پیامک، ایمیل یا از حتی از طریق اپ‌های آنلاین و روش‌های دیگر امکان پذیر است، بنابراین با جا افتادن طرح و گذشت زمان ممکن است، روش‌های ارزان‌تر و راحت‌تری ایجاد شود.

در مورد اپ های آفلاین یک اپلیکیشن مشترک شرایط حقوقی خاصی را ایجاد می‌کند، چرا که موضوع احراز هویت اختصاصا در اختیار هر بانک صادرکننده است و اینکه بانک مرکزی این مسئولیت را بردارد، به لحاظ حقوقی مسائلی دارد اما اینکه بانک‌ها با هم به توافق برسند و یک اپلیکیشن متمرکز را توسط چند بانک ارائه دهند، ایرادی ندارد اما از نظر اجرایی و مسائل حقوقی کاری دشوار است. تصور من این است که اپ‌های آنلاین برای خیلی از کاربران می‌تواند راه حل جایگزین باشد و به جای ارسال پیامک، المان متغیر می تواند روی اپ‌های آنلاین تحویل داده شود. در این صورت ایجاد برنامک مشترک بین چند بانک موضوعات حقوقی کمتری هم خواهد داشت.

ضمن اینکه طرح رمز یکبار مصرف یک چیز است و اینکه به این المان یکبارمصرف  ملاحظات  کنترلی دیگری را وصل کنیم و ضریب امنیت را بالا ببریم موضوع دیگری است. مثلاً در طرحی که صرفا رمزهای یکبار مصرف را تحویل مشتری دهیم باعث می‌شود که نتوانیم در لحظه وقوع تراکنش در خصوص سایر مشخصات تراکنش تصمیم بگیریم اما الان دنیا به سمتی رفته که در لحظه وقوع تراکنش و در صورت اعلام نیاز مشتری برای رمز، تراکنش به اینکه از کجا و چه میزان خرید می‌کنید قفل می شود، این روشی است که از طریق سامانه هریم در اختیار سیستم و بانک‌های صادرکننده قرار خواهد گرفت که با اپ‌های آفلاین  به این  پویایی نخواهیم رسید. بنابراین سامانه هریم هم مشکل پوشش کم ابتدای طرح را جبران می‌کند به این معنی که هم برای کسانی که موبایل هوشمند ندارند  یا دارند ولی علاقه‌ای به استفاده از اپ‌ها ندارند، راه‌حل ارائه می‌دهد و  هم می‌تواند المان پویایی به معنی واقعی کلمه که امنیت بیشتر و حداکثری خواهد بود را برقرار کند که جمیع این موارد نشان می‌دهد که راه‌اندازی  هریم اجتناب‌ناپذیر بود.

به عقیده من در نظر گرفتن معافیت‌ها نیز کار درست و اصولی است حتی باید معافیت‌های هوشمندانه‌تری نیز به سیستم اضافه شود و می‌توان سقف مبلغ ۱۰۰ هزار تومان را اضافه کرد یا تمهیداتی اندیشید تا برای یکسری کارهای منظم و تکراری مشتری را درگیر دریافت ‌رمز  نکنیم.

معافیت تراکنش‌های زیر ۱۰۰ هزار تومان از دریافت رمز دوم پویا را کافی می‌دانید؟ با توجه به اینکه حتی تراکنش‌هایی مانند پرداخت قبوض هم گاهی از این سقف بالاتر است؟

محمد بیگی: چشم‌انداز بانک مرکزی این نبود که تنها یک رمز یکبار مصرف برای کاربر ارائه کند که اگر چنین بود بانک‌ها پیش از این به سراغ OTP رفته بودند و نیازی به ورود به بانک مرکزی نبود. زمانی که این طرح را شروع کردیم مقاومت عجیب و غریبی وجود داشت، مثلا در جلسات می‌گفتیم که می‌خواهیم به بانک صادرکننده کارت اطلاع دهیم که مشتری او که در یک سایت خرید می‌کند بانک از آن خرید خبر داشته باشد. خوبی این طرح این بود که هیچ تغییری در سوئیچ کارت‌های بانک‌ها ایجاد نشد و ما این امکان را فراهم کردیم که قبل از این که تراکنش انجام شود به بانک اعلام شود که مشتری در حال خرید است اما  ملاحظاتی از طرف شرکت‌های psp بود که  اطلاعات پذیرنده ها از منظر تجاری بهتر است به بانک‌ها داده نشود، با این وجود بانک مرکزی بر اساس تجارب موفق سایر کشورها و نیازهای داخل کشور مقاومت کرد و معتقد بود که حق بانک صادرکننده است که بداند مشتری در چه زمانی چه اقدامی انجام می‌دهد و این سامانه همه اطلاعات را در اختیار بانک‌ها قرار می‌دهد. در شرایطی که رمز یکبار مصرفی که در اپ‌های آفلاین وجود دارد این چنین نیست و بانک نمی‌داند مشتری این رمز را کجا استفاده می‌کند، به همین دلیل است که ما می‌گوییم رمز پویا با OTP از نظر ماهیت و جنس رمز تفاوت‌های زیادی دارد.

موضوع دیگر بحث رفتار مشتری است، واقعیت این است که ما یک کارت دست مردم دادیم و گفتیم از هر جا، هر میزان که می‌خواهند با آن خرید کنند وآنها هم یک شارژ ۲ هزار تومانی و هم کالای ۵۰ میلیون تومانی را با همین چهار المان ثابت خرید می‌کنند. این کار تا چند سال قبل جواب می‌داد اما بعد از آن که موضوعات پیچیده شد و مباحث فیشینگ پیش آمد توجه به رفتار مشتری در سایت‌های مختلف و زمان‌ها و مکان‌های مختلف موضوعاتی است که کمتر در بانک‌ها و شرکت‌های پرداخت به آن پرداخته شده است که اگر در این حوزه خوب کار کرده بودیم و سیستم‌های فراد را خوب تقویت می‌کردیم و محصولاتی را متناسب با عملکرد و نیاز شخص ارائه می‌دادیم، اکنون در این نقطه نبودیم و این اتفاقات باید خیلی قبل‌تر از اینها می‌افتاد. این اقدام بانک مرکزی یک نقطه شروع و تلنگری بود که روی این قضیه فکر کنید و بانک‌ها باید خیلی جدی روی این موضوع تمرکز کنند.

در مورد بحث معافیت زیر ۱۰۰ هزار تومان واقعیت این بود که در ابتدا قرار بود همه تراکنش‌ها با رمز پویا باشد و البته مواردی در  مورد تغییر سیاست‌ها در این مورد اعلام شد که درست است، اما به دلیل اینکه باید بین تراکنش‌های خرد و تراکنش‌های خرید با قیمت بالا تفاوت‌هایی ایجاد می‌شد این سیاست در دستور کار قرار گرفت و دلیل انتخاب مبلغ ۱۰۰ هزار تومان این بود که حدود ۸۰ درصد تراکنش‌های بدون حضور کارت زیر ۱۰۰ هزار تومان است و با این سقف ۸۰ درصد تراکنش‌ها از این معافیت استفاده می‌کنند که بخشی از مشکلات مشتریان را حل و کار را برای آنها راحت‌تر می‌کند. از طرف دیگر با نگرانی که ما در حوزه فیشینگ داریم با توجه به اینکه این مبلغ روی جمع تراکنش مشتریان است بنابراین خیلی نگرانی جدی برای تقلب روی آن وجود ندارد. طبق آمارهایی که در حوزه فیشینگ داریم، تعداد پرونده‌های زیر ۱۰۰ هزار تومان به شدت کم است و زیر یک درصد پرونده ها را تشکیل می‌دهد، البته ممکن است این انتقاد وارد شود که از این به بعد کلاهبرداران به سمت تراکنش‌های زیر ۱۰۰ هزار تومان می‌روند که انتقاد درستی است و بانک ها باید خود را در طول زمان با شرایط تطبیق دهند و مسیر را بهینه کنند.

خاتونی: اگر به تاریخچه ۱۰ سال گذشته برگردیم تمرکزگرایی یکی از عواملی بود که بانک‌ها را دچار چالش کرد. سامانه هریم اکنون دیتا را به بانک‌ها می‌دهد تا بدانند تراکنش در چه زمان و مکانی انجام شده است. اما باید پرسید که قبل از این، چه کسی جلوی این کار را گرفته بود؟ آیا شاپرک نبود و بانک مرکزی سیاست‌گذاری را بر تمرکز نگذاشت؟ بانک‌ها مجبورند برای حفظ امنیت مشتریان وارد فضایی شوند و ابزارهایی را تولید کنند که بتواند مشتری را حفظ کند و باید حق را به بانک‌ها داد. احراز هویت چند عاملی چه زمانی می‌تواند در بانک‌ها پیاده شود؟ زمانی که بانک‌ها دیتا را در مبدا تراکنش داشته باشند. اگر آن زمان این اطلاعات به بانک‌ها داده می شد آیا واقعا نمی‌توانستند جلوی فراد را بگیرند؟ ما در بانک سامانه کشف تقلب داریم و چند سال است که پیاده کرده‌ایم اما دیتا نداریم و اطلاعات با تاخیر به دست ما می‌رسد و ما این نگرانی را داریم که آیا اطلاعاتی که از شاپرک به ما می‌رسد همان اطلاعات اصلی است یا فیلتر شده و کامل نیست. به اعتقاد من تمرکزگرایی کار درستی نیست و در هریم همین کار صورت گرفته که در آینده مشکلاتی را ایجاد می‌کند.

از سوی دیگر ایجاد معافیت برای تراکنش‌های زیر ۱۰۰ هزار تومان کلاهبرداران را به سمت این تراکنش‌ها هدایت می‌کند و در آینده در این بخش دچار چالش‌های فیشینگ می‌شویم و به همین دلیل از روز اول با اعطای معافیت برای تراکنش‌های زیر ۱۰۰ هزار تومان مخالف بودم. چرا که بستر خلاف را فراهم می‌کند. باید اجازه می‌دادیم مردم از روز اول به این طرح عادت کنند و نباید از کاهش تراکنش‌های بانکی نگران می‌بودیم و اصرار نمی‌کردیم که کار غلط ادامه داشته باشد. با اطمینان می‌گویم که ظرف یک سال آینده پرونده‌های فیشینگ زیر ۱۰۰ هزار تومان ما در بانک‌ها چشمگیر خواهد بود.

در مورد ارائه یک اپلیکیشن مشترک باید بگویم که زمانی قصد انجام این کار را داشتیم و با چند بانک بزرگ که بیشترین تعداد مشتری را دارند، جلساتی را برگزار کردیم تا برای تسهیل کار مشتریان کنسرسیومی را تشکیل دهیم و نرم افزار آفلاین ایجاد کنیم که هم هزینه‌ها کاهش یابد و هم مشتریان این بانک‌ها که عمده مشتریان شبکه بانکی هستند، با یک نرم‌افزار کار خود را انجام دهند، اما بانک‌ها احساس کردند که کسب و کارشان با مشکل مواجه می‌شود و این کسب و کارها، آینده و استراتژی که برای خود تبیین کرده بودند به آنها اجازه نداد که این کار که بسیاری از مشکلات را حل می‌کرد، را انجام دهند. امروز هم بانک ملی آمادگی دارد و بارها اعلام کرده به بانک‌های همکار که این طرح را در یک فضای مشترک ارائه دهد اما با وجود ایجاد سامانه هریم، بانک‌ها دیگر احساس نیاز چندانی به این موضوع نمی‌کنند و بهتر است که وضعیتی که شکل گرفته را مدیریت کنیم تا مردم با اطلاع‌رسانی به نتیجه خوبی برسند.

گرکانی‌نژاد: در بحث تمرکزگرایی بانک مرکزی نیز یک موضوع مطرح است؛ ساختار پرداخت در کل دنیا نیز تمرکز دارد و چهار الی پنج شرکت مانند ویزا، مستر، امریکن اکسپرس و ... کل این سیستم را در اختیار دارند، ساختار پرداخت در دنیا به دلایل بیزینسی در مدل استار شکل گرفته و در ایران خیلی هم از این موضوع دور نبوده‌ایم و معماری متفاوتی نسبت به دنیا نداریم. باید یادآور شوم روزی وجود داشت که پذیرنده‌ها حاضر به پرداخت ۵۰۰ تا ۶۰۰ تومان کارمزد بودند اما این بحث در یک جنگی بدون اینکه بانک مرکزی ورود کند، تبدیل به یک رقابت وارونه و ارائه سرویس رایگان شد که خود بانک‌ها آن را ایجاد کردند. همین الان اگر کارمزدها را راه بیندازیم، به طور حتم موضوع بعدی که بانک مرکزی باید دنبالش باشد این است که بانک‌ها پول را به پذیرنده برنگردانند. اکنون بانک‌ها طبق قانون می‌توانند کارمزد بگیرند اما به دلیل رقابت هیچ کس حاضر نیست این کار را بکند و همه منتظر بانک مرکزی هستند که این کار را انجام دهد به تعبیری خود بازیگران هستند که بانک مرکزی را وادار می‌کنند وارد این بازی شود.

در مورد مسئله رمز دوم هم همین بود. در ابتدا بانک مرکزی کار را به بانک‌ها واگذار کرد اما عملکرد آنها طوری بود که بانک مرکزی مجبور به ورود به این موضوع شد. باید بپذیریم که فضای فرهنگی جامعه ما رگولاتورها را وادار می‌کند که وارد مجموعه‌ای از تعاملات و تضمین‌ها برای تنظیم بازی بین بازیگران شود، بدون اینکه بخواهیم بگوییم این موضوع خوب است یا بد، واقعیت شرایط کشور ماست که مجبور می‌شویم برخی ضوابط و قواعد که در دنیا جاری است را بومی‌سازی کنیم اما شکوفایی صنعت بانکداری و پرداخت که موتور محرک آن بانک‌ها و شرکت‌های پرداخت هستند، نشان می‌دهد که مسیر تاکنون به خوبی پیش رفته است و این اعتقاد را ندارم که یک تمرکزگرایی بیش از حد داشته‌ایم و از سوی دیگر اعتقاد دارم که بانک‌ها نیز بر اساس ضرورت‌هایی برخی از کارها را انجام می‌دهند.

اجرای طرح رمز دوم پویا چه تاثیری بر تعداد تراکنش‌ها داشته و درآمدهای شرکت‌های پرداخت را چه میزان تحت تاثیر قرار داده است؟

طبری: باید تاکید کنم که اجرای طرح رمز دوم پویا با توجه به نگرانی‌هایی که در جامعه در حوزه فیشینگ وجود داشت، کار بسیار خوبی بود. این طرح طبق آماری که داریم بیشتر از ۱۵ تا ۲۰ درصد کاهش تراکنش برای مصرف‌کنندگان و دارندگان کارت ایجاد نکرده و حتی رصدها نشان می‌دهد که کسانی که عادت نداشتند نیز آرام آرام به این سمت روی آورده‌اند و مجدداً میزان تراکنش‌ها در حال بازگشت است. ضمن اینکه این طرح در زمان خوبی اتفاق افتاد و بهمن و اسفند موقع استفاده و خریدهای زیاد است و مردم به دلیل اینکه نیاز به خرید در این ماه‌ها دارند به سمت فعال کردن رمز پویا رفته‌اند.

طبیعی است که این موضوع بر درآمدهای شرکت‌های PSP اثر گذاشته است. چراکه یکی از مهم‌ترین محل‌های درآمد PSP‌ها به ویژه در بخش تراکنش‌های بدون حضور کارت، کارمزد شاپرکی است که هر چقدر تعداد تراکنش‌ها کاهش یابد، به تبع بر روی درآمد شرکت‌ها تاثیر می‌گذارد. اما معافیت ۱۰۰ هزار تومان که توسط بانک مرکزی قرار داده شد، تصمیم خوبی بود، چرا که اغلب تراکنش‌ها کمتر از این مبلغ است. به ویژه اینکه اغلب تراکنش‌ها خرید شارژ و بسته‌های اینترنتی است. معتقدم حال که بانک مرکزی سیاست‌گذاری خوبی کرده است، اقدامی می‌توان در کنار سامانه هریم انجام داد این است که معافیت‌ها را به نوع تراکنش وابسته کنیم، این اتفاق در بانک مرکزی به وسیله سیستم شاپرک ۲ افتاده که برای پیمنت‌ها و خرید شارژها تراکنش‌های خاص انجام می‌دهد که می‌توانیم برای این مدل تراکنش‌ها رمز پویا استفاده نکنیم. بنابراین می‌توان معافیت را به نوع تراکنش تسری داد که اکنون این کار انجام نشده اما می‌توانستیم الزام کنیم که برای همه تراکنش‌های خرید از رمز پویا استفاده شود، اما در قالب غیر خرید که در صنعت psp به آن پیمنت می‌گویند نیاز به رمز یکبار مصرف نباشد.

همچنین یکی از مسائلی که بانک‌ها شکایت دارند مبالغ خردی مانند خرید شارژ است که بانک برای آن کارمزد پرداخت می‌کند و سیستم را به هم ریخته است، اگر این تفکیک صورت بگیرد (که کارهای آن انجام شده و برای اجرا به زمان نیاز دارد) فرآیند رمز پویا بسیار کامل‌تر خواهد شد.

گزارش از : پوریا صادقی