بسیج نظام بانکی برای محافظت از خریدهای اینترنتی

به گزارش ایبِنا،‌ رشد حدود ۴۰۰ درصدی جرائم در حوزه برداشت‌های اینترنتی غیرمجاز در سال ۹۸ نسبت به سال ۹۷ مؤید این موضوع است که مدیریت این شرایط نیازمند واکنش سریع و تأثیرگذار است ازاین‌رو بانک مرکزی با ابلاغ بخش‌نامه الزام بهره‌گیری از رمز دوم پویا در تراکنش‌های بدون حضور کارت درصدد رفع این مشکل و ارتقاء امنیت تراکنش‌های بانکی برآمده است. ازاین‌رو به دلیل اهمیت این موضوع و بررسی ابعاد آن میزگردی با عنوان "رمز دوم پویا، بیم‌ها و امیدها" با حضور علی‌رضا اطهری فرد؛   کارشناس ارشد حوزه امنیت، سید جعفری صدری؛ مدیر فناوری اطلاعات بانک صادرات، پیمان طبری؛ مدیرعامل شرکت ایران کیش، مهدی عبادی؛ مدیر انجمن فین تک و به مدیرتوری محمد گرکانی نژاد؛ عضو هیات مدیره شاپرک برگزار شد که بخش اول آن را می‌توانید در زیر مطالعه کنید.

گرکانی نژاد: بخش‌نامه رمز یکبار مصرف در تابستان سال ۹۷ به شبکه بانکی ابلاغ و یک مهلت به‌صورت مرحله‌ای برای ایجاد زیرساخت آن برای بانک‌ها در نظر گرفته شد و از آذرماه سال ۹۷ اگر این زیرساخت در بانکی فراهم نبود؛ مسئولیت هر سوءاستفاده‌ای که از این مسیر بر عهده بانک گذاشته شد البته قرار بود از اول خرداد سال ۹۸ نیز بهره‌گیری از رمز دوم یکبار مصرف برای تمام مشتریان شبکه بانکی الزامی شود. اما بر اساس مستندات بانک مرکزی همه بانک‌ها به سمت اپلیکیشن رفتند و رمز دوم پویا را با ابزار اپلیکیشن های موبایلی پیاده کردند و به دلیل این‌که تمام مردم کشور از گوشی‌های هوشمند برخوردار نبودند در آخرین روزهای اجرایی شدن این طرح از الزام قطعی خارج و اختیاری شد. همچنین قرار شد اجرای این طرح با معافیت‌هایی مثل بهره‌برداری از رمز دوم پویا برای تراکنش بالای ۵۰۰ هزار تومان همراه و حذف کامل رمز دوم ایستا برای تمام تراکنش‌ها کنار گذاشته شد؛ اما در عمل شبکه بانکی این بخش‌نامه را نادیده انگاشت تا این‌که بانک مرکزی راهکار را بر این دید که برای تسهیل تجربه کاربری از طرق سامانه هریم (هدایت رمز یکبار مصرف) وارد شود و با بروز رسانی دستورالعمل رمز دوم یکبار مصرف یک مهلتی را برای اجرای این طرح در نظر گرفت تا بانک‌ها بتوانند زیرساخت اتصال به هریم را آماده کنند و به این سامانه وصل شوند و تا ۱۵ دی‌ماه به بانک‌ها فرصت داده شد تا به‌صورت مرحله از ۱۵ تا پایان دی‌ماه بر اساس آمادگی به این سامانه متصل شود و قرار شد از اول بهمن‌ماه رمز دوم ایستا به‌صورت کامل حذف شود.

حال سؤال اصلی این است که چرا بخش‌نامه بانک مرکزی در خصوص رمز پویا در مرحله اول و در فرصت یک سال و چند ماه گذشته در بانک‌ها اجرایی نشد و اگر شد چرا اکنون‌که کارها به‌صورت فشرده در حال انجام است؟

صدری: جواب روشن به این سؤال که چرا این بخش‌نامه در سال ۹۷ جدی گرفته نشد یا اگر جدی گرفته شد؛ چرا اجرایی نشد این است که زیرساخت بانک‌ها برای اجرای این طرح در آن زمان حداقل در اکثر بانک‌های بزرگ هنوز آماده نبود؛ وقتی نگاه عمیق‌تری به این موضوع شود، درمی‌یابید که سلوشن اصلی این طرح که بر مبنای اپلیکیشن های موبایلی شکل‌گرفته بود ناکافی و برای بهره‌گیری کل مشتریان شبکه بانکی از این ابزار امنیتی از جامعیت برخوردار نبود. بهره‌گیری از رمز دوم ایستا در یک بازه ۱۰ ساله در کشور جاافتاده به‌گونه‌ای که افراد بازنشسته و مسن هم‌اکنون با این مفهوم آشنا شده و از آن استفاده می‌کنند و حال که قرار است یک مفهوم جدید جایگزین آن شود باید از ابزار اپلیکیشن های موبایلی استفاده شود که برفرض این‌که همه از گوشی‌های هوشمند برخوردار هستند؛ موضوع نصب و راه‌اندازی اپ‌های موبایلی برای بازنشستگان که به‌طورمعمول سالخورده هستند و حجم زیادی از مشتریان بانک‌های بزرگ را به خود اختصاص می‌دهند، آسان نیست. بازنشستگان هنوز از تلفن‌بانک استفاده می‌کنند و طرح قبلی حجم بزرگی از مشتریان شبکه بانکی در نحوه استفاده از این ابزار برای بهره‌گیری از رمز دوم یکبار مصرف را نادیده گرفته بود. ازاین‌رو بانک‌ها از بانک مرکزی خواستند تا تغییراتی در این بخش‌نامه اعمال شود و بانک مرکزی نیز مدل را به سمتی برد که علاوه بر اپلیکیشن های موبایلی، رمز دوم پویا از کانال‌های دیگر ازجمله کانال USSD و پیامک به مردم ارائه شود که به عقیده من راهکار منطقی و درستی به‌منظور پوشش تمام آحاد جامعه است.

افزون بر این، در اطلاعیه بانک مرکزی برای بهره‌گیری از رمز دوم پویا برای مبالغ بالای ۵۰۰ هزار تومان باز بار مسئولیت اتفاقاتی که ممکن است رخ دهد بر عهده بانک‌ها گذاشته‌شده بود که این امر به یک عامل بازدارنده برای اجرای این طرح در بانک‌ها تبدیل شد.

گرکانی نژاد: طرح رمز دوم یکبار مصرف را چگونه ارزیابی می‌کنید؟

صدری: بهترین راهکار به‌منظور کاهش تخلفات بهره‌گیری از سیستم‌های مدیریت فراد (fraud management) است که در ایران جای این سیستم‌ها خالی است و به عقیده من در شبکه بانکی کشور سرعت تبادل پول آن‌قدر سریع شده که با واریز آنی وجوه انتظارات مشتریان به‌قدری بالا رفته که انتظار دارند تمام نقل و انتقالات وجوهشان به‌صورت آنی انجام شود؛ این در حالی است که اگر از ابتدا نقل و انتقالات مالی در کشور با سرعت کمتر و با یک وقفه انجام می‌شد امکان بیشتری برای شکل‌گیری سیستم‌های fraud management در کشور وجود داشت و می‌شد نقل و انتقالات مشتریان شبکه بانکی را به شیوه بهتری رصد کرد تا این آزادی به مشتریان داده شود که تراکنش‌های خود را با سهولت انجام دهند و در مرحله بعد با سیستم‌های فراد، تراکنش‌های پرخطر مشتری شناسایی و برای پردازش چنین تراکنشی از مشتری تاییده مجدد گرفته شود که این روند جلوی بسیاری از تخلفات را می‌گرفت. محدودسازی یک روش برای کاهش تخلفات است اما با توجه به فضای شبکه پرداخت کشور اکنون راه بهتری به‌جز الزام مشتریان به بهره‌گیری از رمز دوم یکبار مصرف وجود ندارد؛ اما باید به‌تدریج به سمت بهره‌گیری از سیستم‌های fraud management حرکت کنیم تا مشتریان از آزادی عمل بیشتری برخوردار شوند.

گرکانی نژاد: چشم‌انداز و زمان‌بندی برای اجرای رمز دوم یکبار مصرف به چه صورت است؛ زیرا زمان‌های مختلفی در رسانه‌ها برای اجرای آن اعلام‌شده است؟

اطهری فرد: همان‌گونه که مستحضر هستید ما در ابتدای مسیری قرار داریم که در این مسیر قرار است وضعیت احراز هویت مشتریان شبکه بانکی در پرداخت‌های غیرحضوری ارتقاءیافته و تقویت شود. درواقع طرح فعلی که به‌عنوان پویاسازی رمز دوم کارت‌های بانکی مطرح است، اولین گام در این مسیر بوده و به‌طورقطع در گام‌های بعدی باید درصدد تکمیل گام اول برآییم به‌نحوی‌که ضمن ایجاد تجربه کاربری بهتر برای مشتریان، سطح محافظت از ایشان را در برابر فعالیت‌های متقلبانه افزایش داده و کسب‌وکارهای  موجود را نیز از مزایای محیط امن ایجادشده بهره‌مند نماییم.

در این گام رمزهای دوم کارت‌های بانکی دارای دو ویژگی یکبار مصرف بودن و طول عمر کوتاه خواهند شد و در اقدامی مشترک، شبکه صادرکنندگی و پذیرندگی رمزهای دوم کارت‌های بانکی، از ۱۰دی‌ماه به‌صورت مرحله‌ای این طرح را عملیاتی خواهند کرد، به‌نحوی‌که در هر مرحله بانک‌ها و مؤسسات اعتباری بیشتری به این طرح اضافه خواهند شد.

گرکانی نژاد: اجرای مرحله‌ای این طرح مردم را با سردرگمی مواجه نمی‌کند و به این موارد در اجرای این طرح توجه شده است؟

اطهری فرد: هدف از اجرای مرحله‌ای طرح، آشنایی تدریجی مشتریان با روند تغییرات و  جلوگیری از مواجهه یکباره دارندگان کارت‌های بانکی با تغییرات ایجادشده در ابزارهای پذیرنده رمز دوم بوده است؛ بعلاوه تا پایان دی‌ماه صادرکنندگان کارت‌های بانکی می‌توانند رمزهای ثابت و پویا را هم‌زمان بپذیرند؛ لذا با توجه به اینکه بسیاری از مشتریان از چندین کارت‌بانکی در پرداخت‌های روزمره خود استفاده می‌کنند، اجرای مرحله‌ای طرح، فرصت انطباق تدریجی مشتریان با تغییرات اعمال‌شده را فراهم می‌کند. مرحله‌ای شدن این طرح می‌تواند ریسک اجرایی شدن آن را کاهش دهد و بر اساس برنامه‌ریزی فعلی، درنهایت تا پایان دی‌ماه رفتار تمام بانک‌ها در این بخش یکسان خواهد شد.

گرکانی نژاد: چرا بهره‌گیری از رمز دوم یکبار مصرف برای تمام تراکنش‌ها الزامی شده است؟

اطهری فرد: البته به نظر می‌آید این تصمیم از یک‌سو مبتنی بر میزان آمادگی صادرکنندگان کارت‌های بانکی و از سوی دیگر با توجه به رشد روزافزون سوءاستفاده از ثابت بودن رمزهای دوم در انواع تراکنش‌ها و حتی تراکنش‌های کم‌مقدار اخذشده است. از ابتدا پیشنهادهایی مبنی بر اعمال معافیت برای برخی از انواع تراکنش‌ها و یا سقفی از مبالغ وجود داشت، اما فراهم‌سازی امکان اعمال این معافیت‌ها برای برخی از بانک‌ها نمی‌توانست به‌سرعت انجام پذیرد و البته ایجاد هرگونه استثنا نیز می‌توانست ریسک‌هایی را باقی گذارد. بعلاوه باید توجه داشت که از منظر کاربری نیز اعمال استثنائات می‌تواند تا حدی سردرگمی مشتریان را به همراه داشته باشد. بااین‌وجود کماکان احتمال اعمال برخی معافیت‌ها در این خصوص وجود دارد ولی تا امروز تصمیم بر این بوده که تمامی انواع تراکنش‌های بدون حضور کارت مشمول این طرح باشند.

گرکانی نژاد: چرا CVV۲ کارت‌ها به‌جای رمز دوم پویا نشده است؟

اطهری فرد: به‌هرحال برای مواجهه با روند رو به رشد جرائم مرتبط با برداشت‌های اینترنتی غیرمجاز در حداقل زمان ممکن، لازم بود که یکی از پارامترهای احراز هویت مشتریان در تراکنش‌های غیرحضوری پویا شود. دراین‌بین بانک‌ها از مدت‌ها پیش در برخی از خدمات اینترنتی خود از رمزها یا گذرواژه‌های پویا استفاده می‌کردند  و هم‌زمان مشتریان نیز با نحوه به‌کارگیری این نوع از رمزها یا کدهایی که برای ایشان از طریق پیامک ارسال می‌شد، آشنا شده بودند. ازاین‌رو با توجه به این‌که هم مردم آمادگی پذیرش بیشتری داشتند و هم بانک‌ها آمادگی اجرای این طرح را برای رمزهای دوم بیشتر از CVV۲ داشتند لذا رمز دوم برای پویاسازی انتخاب شد.

گرکانی نژاد: چرا چیزی که مشتری می‌دانسته حذف‌شده است، آیا این‌طور است؟

اطهری فرد: باوجود پویاسازی رمز دوم کارت‌های بانکی هنوز اقلام اطلاعاتی ثابتی از کارت وجود دارند که می‌توانند به‌عنوان عوامل دانستی از آن‌ها استفاده کرد مثل CVV۲ یا همان کد اعتبارسنجی کارت و تاریخ انقضاء آن. بعلاوه برنامک‌های رمز ساز نیز دارای گذرواژه‌های ثابتی هستند که به‌عنوان یک عامل دانستنی قبل از دستیابی به رمز دوم پویا باید مورداستفاده قرار گیرند. آنچه به‌عنوان یک عامل داشتنی به فرایند احراز هویت مشتریان اضافه‌شده شماره تلفن همراه ایشان است که احراز مالکیت آن برای بانک صادرکننده کارت امکان‌پذیر بوده و البته تلفن‌های همراه نیز به‌خصوص در انواع هوشمند آن از قابلیت‌های امنیتی متنوعی برخوردار هستند. درمجموع به نظر می‌رسد شرایط جدید از حیث محافظت از مشتریان در برابر شگردهایی که در حال حاضر مورداستفاده کلاه‌برداران سایبری است، می‌تواند در مقایسه با معایب آن، مزایای بیشتری را ایجاد نماید.

گرکانی نژاد: یک سؤالی که در شبکه‌های مجازی مطرح می‌شد این بود که چرا از google authenticator برای ارسال کد رمز دوم پویا استفاده‌نشده است؟

اطهری فرد: بدیهی است  وابسته نمودن خدمات داخلی به زیرساخت‌هایی که کنترل آن‌ها در اختیار ما نیست و در هر زمان ممکن است در دسترسی به آن‌ها اختلال ایجاد شود،   به معنای به خطر انداختن منافع مشتریان بانکی و کسب‌وکارها است.

گرکانی نژاد: چرا بانک مرکزی یک سیستم متمرکز برای ایجاد یک اپلیکیشن برای ارائه رمز دوم یک‌بارمصرف در شبکه بانکی ایجاد نکرد؟

اطهری فرد: ایجاد سازوکاری متمرکز برای ارائه رمز دوم پویا توسط بانک مرکزی می‌تواند به معنای انتقال بخشی از مسئولیت بانک‌ها در حوزه امنیت خدمات بانکی به بانک مرکزی تلقی شده و پاسخگویی و مسئولیت‌پذیری بانک‌ها را در برابر امنیت مشتریانشان خدشه‌دار نکند. این موضوع با جایگاه بانک مرکزی به‌عنوان رگولاتور در تعارض بوده و به‌نوعی برون‌سپاری وظایف بانک‌ها در حوزه احراز هویت مشتریان به بانک مرکزی تلقی می‌شود که البته منطقی نبوده و به نظر نمی‌رسد که در سایر نظام‌های بانکی بلوغ‌یافته نیز چنین تجربه‌ای وجود داشته باشد.  بانک مرکزی به‌عنوان رگولاتور، تنظیم مقررات و نظارت مستمر بر حسن اجرای آن را بر عهده دارد و احراز هویت مشتریان و اصالت‌سنجی تراکنش‌ها بر عهده بانک‌ها و مؤسسات اعتباری صادرکننده کارت است که بیشترین شناخت و اطلاعات را از مشتریان خود در اختیار داشته و می‌توانند با دقت بیشتری مشتریان خود را در تراکنش‌های مالی احراز هویت کنند.

 از سوی دیگر بانک‌ها باید این آزادی عمل را داشته باشند که بین امنیت و سایر نیازمندی‌های کسب‌وکاری خود توازن ایجاد کرده و این نیازمندی‌های را با یکدیگر هم‌راستا نمایند. لذا مجبور کردن آن‌ها به استفاده از یک‌راه حل نرم‌افزاری یا سخت‌افزاری متمرکز، می‌تواند با منافع آن‌ها و مشتریانشان در تعارض قرار گیرد. بااین‌حال تاکنون ممنوعیتی از طرف بانک مرکزی برای مشارکت بانک‌ها با یکدیگر به‌منظور ایجاد سازوکاری متمرکز و مشترک برای ارائه رمزهای دوم پویا اعلام‌نشده است.

گرکانی نژاد: شرکت ایران کیش به‌عنوان بخشی از شبکه پرداخت کشور برای اجرای طرح رمز دوم یکبار مصرف پویا چقدر آمادگی دارد و آیا زیرساخت‌های این روند در شرکت‌های PSP آماده‌شده است؟ همچنین در خصوص تسهیل تجربه کاربری چه‌کارهایی در این شرکت انجام‌شده است؟

طبری: برای اجرای این طرح با توجه به الزام بانک مرکزی در استفاده از سامانه هریم به‌تبع تمام PSP ها مجاب شدند تا هریم را تست بزنند و بدیهی است به‌سرعت آزمودن‌های آن انجام شد و درروند کارهای اجرایی آن قرار داریم. در خصوص تسهیل تجربه کاربری واقعیت این است وقتی بانک مرکزی یک مشخصه را به‌صورت شفاف به‌عنوان هریم می‌گذارد دیگر تسهیل تجربه کاربری وجود ندارد؛ زیرا ابداع خاصی نمی‌شود روی آن انجام داد و درنهایت باید در تمام درگاه‌های پرداخت غیرحضوری در کنار آپشن رمز دوم یک آیکون برای درخواست رمز دوم یک‌بارمصرف تعبیه شود تا کاربر با فشردن آن رمز دوم پویا را در قالب پیامک دریافت کند. اما آنچه در این تغییر از اهمیت بالایی برخوردار است فرهنگ‌سازی و آموزش است که متأسفانه کل وزن آن بر دوش بانک‌ها و شرکت‌های PSP گذاشته‌شده و هیچ‌گونه اطلاع‌رسانی جامعی که این روند تا پایان دی‌ماه به چه صورت است، وجود ندارد همچنین پوشش خبری جدی در صداوسیما در این خصوص وجود ندارد درصورتی‌که از سمت بانک‌ها و شرکت‌های PSP هزینه‌های هنگفتی برای سوق دادن مردم برای بهره‌گیری از رمز دوم پویا صورت گرفته است.

افزون بر این، ضربه‌ای که به شرکت‌هایی که کسب‌وکارهای  اینترنتی را راه‌اندازی کرده‌اند و  فرهنگ استفاده از رمز دوم را افزایش داده‌اند در این طرح ارزیابی نشده و برای آن راهکاری نیز ارائه نشده است. بی‌شک با اجرای این طرح و حذف رمز دوم ایستا با کاهش چشمگیر تراکنش‌های غیرحضوری مواجه هستیم و این مهم ضربه سنگینی نیز به شرکت‌های PSP وارد می‌کند؛ ازاین‌رو به عقیده من حداقل تا پایان سال باید به دارندگان کارت اجازه داده شود از رمز دوم ایستا و پویا هم‌زمان استفاده کنند. مسئله بعدی این است که چرا با قبول مسئولیت توسط خود دارندگان کارت، اختیار استفاده از رمز دوم پویا  و یا ایستا برای دارندگان کارت در نظر گرفته نشده است.

همچنین با راه‌اندازی سامانه هریم و اتصال بانک‌ها به آن رمز دوم یکبار مصرف برای مشتریان شبکه بانکی پیامک می‌شود و به دلیل تسهیل تجربه کاربری و عدم تمایل مردم به نصب چندین اپلیکیشن مردم به این کانال سوق داده می‌شوند و این موضوع مطرح می‌شود که چقدر اپراتور در این طرح همکاری می‌کند و آیا هزینه پیامک به هزینه‌های اینترنت واردشده است؟

 بار هزینه این پیامک‌ها اکنون بر دوش بانک‌ها افتاده و باید پیش‌بینی کرد که تا چه میزان بانک در این روند می‌توان منابع مالی این هزینه‌ها را تأمین کند و دوم این‌که بهره‌گیری از کانال‌های دیگر مثل USSD مغفول واقع‌شده است و به‌تبع این روند کار را سخت و شرکت‌های پرداخت را محدود به پیامک می‌کند.

گرکانی نژاد: هریم در کل محدودیتی برای نوع نمایش رمز دوم یکبار مصرف ایجاد نکرده است و یک بانک می‌تواند با کاربر خود توافق کند تا رمز دوم پویا را به‌صورت پست الکترونیک، پوش نوتیفیکیشن (Push notification) روی اپ آنلاین و PUSH USSD ارسال شود و مقررات بانک مرکزی در این بخش محدودیتی ایجاد نکرده است ولی بانک‌ها به دلیل سهولت در اجرا به سمت پیامک سوق پیداکرده‌اند.

طبری: به عقیده من در اجرای رمز دوم پویا اپراتورها نقش حساسی دارند و باید از آن‌ها در این طرح کمک گرفته شود تا با کاهش هزینه‌ها و ارائه راهکارهایی که یاری کننده است تنها خروجی هریم پیامک نباشد و این امر در اجرای این طرح بسیار مؤثر است. همچنین می‌توانیم  بهره‌گیری از رمز پویا را به‌تدریج در کشور اجباری کنیم و در ابتدا آن را به سرویس‌ها محدود کنیم، به‌عنوان‌مثال در فاز یک بهره‌گیری از رمز دوم پویا را در انتقال وجه کارت به کارت و مانده گیری اجرایی کنیم و برای مبالغ زیر ۱۰۰ هزار تومان اجازه داده شود مردم از رمز دوم ایستا استفاده کنند به عقیده این‌جانب راهکار بهتری است.

اطهری فرد: به دلیل این‌که برخی بانک‌ها هنوز از زیرساخت لازم برای مشخص کردن محدوده مبالغ برخوردار نیستند، امکان اجرای این فرآیند فعلاً امکان‌پذیر نیست.

طبری: بانک‌ها اگر مشاهده کنند در حال از دست دادن مشتریان خود هستند به‌زودی به سمت این راهکارها حرکت خواهند کرد.

گرکانی نژاد: چرا بانک‌ها در بخش‌نامه قبلی بانک مرکزی استفاده از رمز دوم یکبار مصرف را برای مبالغ بالاتر از ۵۰۰ هزار تومان اجرایی نکرد؟

صدری: در بخش‌نامه بانک مرکزی در خصوص بهره‌گیری از رمز دوم پویا تنها برای مبالغ بالای ۵۰۰ هزار تومان گفته‌شده بود اگر فرادی در این بخش صورت گیرد مسئولیت آن با بانک است؛ ازاین‌رو عامل مشوقی برای بانک برای حرکت به سمت وجود نداشت.

طبری: در حال حاضر پروتکل شبکه بانکی و پرداخت در کشور به‌صورت ستاره‌ای است و هر سرویسی در کشور نیز تا حد زیادی به این سمت حرکت کرده است؛ ازاین‌رو بانک مرکزی برای ارسال رمز دوم پویا به‌صورت پیامک برای مشتریان مجبور شد سامانه متمرکزی با عنوان هریم را راه‌اندازی کند؛ اما با توجه به این‌که تجربه بانک مرکزی و تیمش در این خصوص روی ISO بوده است و لایه iOS با لایه وب‌سرویس بسیار متفاوت است می‌خواهم بدانم بررسی‌شده که این زیرساخت چقدر تحمل بار این حجم از پیامک را دارد؛ زیرا با الزامی شدن رمز دوم پویا با توجه به این‌که شرکت‌های PSP از اپ های موبایلی برخوردار هستند حجم بسیاری از تراکنش‌ها به‌سوی شرکت‌های پرداخت متمرکز می‌شود و این حجم بالا به سمت هریم سوق پیدا می‌کند و آیا هریم می‌تواند این حجم از درخواست‌ها را  پاسخ دهد.

گرکانی نژاد: آیا به اسکیل آپ هریم در طرح الزام بهره‌گیری از رمز دوم پویا توجه شده است؟

اطهری فرد: بیش از یک سال از ابلاغ الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت می‌گذرد و از آن زمان تاکنون شاهد رشد قابل‌توجهی در سوءاستفاده از رمزهای ایستا هستیم. رشد  حدود ۴۰۰ درصدی جرائم در حوزه برداشت‌های اینترنتی غیرمجاز در سال ۹۸ نسبت به سال ۹۷ مؤید این موضوع است. شرایط فعلی نیازمند واکنشی سریع و تأثیرگذار است و  در یک سال گذشته این موضوع به‌کرات توسط سایر نهادهای امنیتی، انتظامی و قضایی مورد مطالبه بوده است. امروز افرادی که خودشان یا عزیزانشان قربانی این‌گونه سو استفاده‌ها بوده‌اند بیشتر از سایرین مطالبه گر این تغییر هستند. در این میان اگرچه موضوع رمزهای دوم ثابت تنها عامل تأثیرگذار بر فضای جرم خیز فعلی نیست اما به‌هرحال  نظام بانکی نیز باید در این خصوص به مسئولیت اجتماعی خود پایبند باشد.

گرکانی نژاد: پیش‌بینی شما در خصوص افت تراکنش‌ها با اجرای بهره‌گیری از رمز دوم پویا چیست و آیا این امر مقطعی است یا خیر؟ همچنین با توجه به این‌که استارتاپ های همواره پیشتاز روش‌های نوآورانه هستند چه راهکاری برای این افت کرده‌اند و تسهیل تجربه کاربری در این روند دارید؟

عبادی: ۵۳ میلیون گوشی هوشمند به نسبت جمعیت ۸۰ میلیونی کشور وجود دارد؛ ازاین‌رو نفوذ آن در کشور بسیار زیاد است. به اعتقاد من در اتفاقاتی که در رمز دوم پویا رخ‌داده کمترین ایراد متوجه بانک مرکزی و بیشترین ایراد معطوف به بانک‌ها علی‌الخصوص مدیران فناوری بانک‌ها است. به عقیده من بانک‌ها در این بخش به‌درستی به وظایف خود عمل‌نکرده و بانک مرکزی هیچ‌وقت جرائم لازم در این خصوص را به بانک‌ها تحمیل نکرده است؛ بدین معنا که اگر کارت مشتریان بانکی با یک اسکیمر کپی می‌شود بانک‌ها هیچ‌گاه به دلیل عدم استفاده از چیپ در کارت‌های خود پاسخگو نبوده‌اند. همچنین در خصوص رمز دوم پویا قبل از این‌که این موضوع به دغدغه بانک مرکزی تبدیل شود؛ باید به دغدغه مدیران فناوری بانک‌ها تبدیل می‌شد. سؤال اصلی این است که چرا بانک‌های کشور به سمت ۳D Secure حرکت نکرده‌اند و تصور می‌کنند هر ابزاری را باید در اختیار همگان قرار دهند؛ مثل کاری که بانک‌ها الآن در خصوص direct debit (برداشت مستقیم) و انتقال کارت به کارت در حال انجام هستند. من حامی طرح الزام بهره‌گیری از رمز دوم پویا هستم؛ زیرا این کار باید در کشور اجرایی شود به شرطی که بانک مرکزی برنامه بهبود برای این روند را نیز در دستور کار داشته باشد.

من همچنین مخالف سقف بندی مبالغ در این طرح هستم زیرا در این مدل چالش فیشینگ و به سرقت رفتن اطلاعات قابل‌حل نبوده و به قوت خود پابرجا است؛ اما موافق اختیاری بودن استفاده از رمز دوم پویا هستم بدین معنا که اگر مشتریان شبکه بانکی یک مکانیسم سخت‌تری را برای تراکنش CNP می‌پذیرند در عوض از امنیت بیشتری برخوردار هستند و در این روند اگر مشکلی رخ دهد بانک پاسخگو است و یا این مهم را نپذیرفته‌اند و خود مسئول مشکلات خواهند بود. در شبکه بانکی و پرداخت کشور هنوز سیستم مدیریت تقلب نداریم؛ ازاین‌رو تراکنش‌های فیک از سوی بانک‌ها و شرکت‌های پرداخت قابل‌شناسایی نیستند و حتی یک سناریو از پیش تعریف‌شده برای تشخیص تقلب را نیز پیاده‌سازی نکرده‌ایم. اساس ۳D Secure این است که احراز هویت را دومرحله‌ای کنیم و به نظر می‌رسید با CVV۲ می‌شد این کار را عملی کرد و آن چیزی را که در ذهن مشتری بود را نیز تغییر نداد.

افزون بر این، شرکت‌های استارتاپی به‌شدت بر پایه دیتا رفتار می‌کنند، ازاین‌رو برای ارائه تجربه کاربری بهتر همواره A/B TESTING انجام می‌دهند تا ریزش‌ها را در این روند به حداقل برسانند. بر اساس بررسی‌های شخصی انجام‌شده به این نتیجه رسیده‌ایم که اگر فیلد رمز دوم را به آخرین گزینه انتقال دهیم، تجربه کاربری بهینه‌تری ایجاد می‌شود. همچنین اگر کپچا حذف شود نیز تجربه کاربری بهینه‌تر خواهد شد. عدم تکمیل فرآیند خرید در درگاه‌های پرداخت به‌صورت میانگین علت ۹ تا ۲۳ درصد تراکنش‌های ناموفق است؛ زیرا بسیاری از کاربران فراموش می‌کنند دکمه فرآیند تکمیل خرید را بزنند. درصورتی‌که اگر زمان این مهم کوتاه و به یک ثانیه برسد، خیلی سریع و قبل از ترک کاربر از صفحه این فرآیند طی می‌شود و با حذف مرحله تکمیل فرآیند خرید نیز می‌توانیم یک مرحله پرداخت آنلاین را ساده‌تر کنیم. شرکت‌های PSP به‌طورقطع می‌توانند تجربه کاربری در درگاه‌های IPG را بهبود دهند که این موضوع ریزش تراکنش‌ها را کاهش خواهد داد. به عقیده من آموزش و فرهنگ‌سازی برای بهره‌گیری از رمز دوم پویا با ارسال پیامک عملیاتی نیست و بدین منظور به‌عنوان‌مثال می‌شد دکمه درخواست رمز دوم پویا به‌صورت نمایشی هم که شده در منوی اپلیکیشن های پرداخت و درگاه‌های پرداخت اضافه شود تا زمان راه‌اندازی نهایی کاربر از نحوه اجرایی آن آگاه شود.

همچنین گفته می‌شود بهره‌گیری از رمز دوم پویا در قالب پیامک تجربه کاربری را تسهیل می‌کند؛ ولی تا زمانی که این موضوع با یک جامعه آماری مناسب تست نشود، نمی‌توان چنین اظهارنظری کرد. به‌عنوان‌مثال در برخی کسب‌وکارهای آنلاین بر اساس آمار ۸۵ درصد مشتریان این کسب‌وکارها که اقدام به پرداخت می‌کنند از گوشی‌های اپل استفاده می‌کنند که قابلیت کپی و پیست کردن پیامک را ندارد؛ درصورتی‌که رمز دوم پویا ۶ الی ۷ رقمی تولید می‌شود و با بهره‌گیری از اپ های موبایلی رمز ساز به‌راحتی می‌شود رمز یکبار مصرف تولیدشده را کپی و در درگاه‌های پرداخت پیست کرد. همچنین بر اساس بررسی‌ها باید متن پیامک ارسال رمز درگوشی‌های اندروید به این صورت باشد که رمز در اول متن باشد تا کاربر به‌راحتی آن را به‌صورت بنر در بالای گوشی خود ببیند و وارد کند. اگر بانک‌ها و شرکت‌های پرداخت به این مسائل توجه کنند، می‌توانند با بهبود تجربه کاربری ریزش تراکنش‌ها را به حداقل برسانند. در آخر ارزیابی من این است که بازار هدف شرکت‌های استارتاپی بیشتر نسل دهه‌های ۶۰ و ۷۰ است که از گوشی‌های هوشمند واپ های موبایلی استفاده می‌کند و من بعید می‌دانم این کسب‌وکارها با ریزش چشمگیری در این روند مواجه شوند؛ البته به‌طورقطع ریزش وجود خواهد داشت اما مقطعی و در ابعاد بزرگ نیست.

بخش دوم میزگرد رمز دوم پویا، بیم‌ها و امیدها به زودی از ایبِنا منتشر خواهد شد.