ناصر حکیمی در گفتوگو با خبرنگار ایبِنا درباره دادن API به فینتکها و نقش رگولاتور در این زمینه برای حفظ محرمانگی اطلاعات، گفت: در دنیا این موضوع دارای استاندارد PSD2 است ولی وقتی ما استانداردها را رعایت نمیکنیم یا به آنها توجه نمیکنیم، مشکل درست میشود.
وی تاکید استاندارد PSD2 را بر روی احراز هویت قوی عنوان کرد و افزود: احراز هویت قوی باید توسط بانک و مستقل از فینتک انجام شود. فینتک شروع کننده یا ارسال کننده تراکنش از طریق API باز است ولی اطلاعات مربوط به تراکنش نباید در اختیار فینتک قرار بگیرد.
این کارشناس بانکداری الکترونیک درباره اینکه چرا نباید این اطلاعات در اختیار فینتک قرار بگیرد، گفت: این موضوع 2 دلیل عمده دارد؛ اول اینکه فینتک آن قدر امین است که ما اطلاعات محرمانه که برای انجام یک تراکنش لازم است را به او میدهیم. برای احراز این امانتداری قوی باید به فینتک مجوز دارد و بر آن نظارت کرد تا این امانتداری برای ما اثبات شود.
معاون سابق فناوریهای نوین بانک مرکزی ادامه داد: کما اینکه در حال حاضر 12 PSP فعال در کشور که اطلاعات کارت بانکی مردم را در اختیار دارند، تحت نظارت دقیق و شدید شاپرک قرار دارند.
حکیمی توضیح داد: با این حال اگر بخواهیم به فینتکها مجوز دهیم و برآنها نظارت کنیم، دیگر نام آنها فینتک نخواهد بود بلکه موسسهای مجوزدار هستند که باید دهها الزام و اجبار را رعایت کنند. این در حالی است که ذات فینتکها کوچک بوده و فارغ از سختگیریهای مرسوم فعالیت میکنند.
وی با بیان اینکه فینتکها نوآوری و خلاقیت دارند و کار خود را با امکانات کم شروع میکنند، اظهار داشت: اگر بخواهیم فینتکها را وارد بازی نظارت کنیم، نقض غرض کردهایم.
این کارشناس بانکداری الکترونیک ادامه داد: مساله سوم این است که نظارت، توان و پشتوانهای در نهاد رگولاتور میخواهد؛ نهاد ناظر باید عقبه و توان نظارت هم داشته باشد زیرا نمیتواند بر 2هزار فینتک به طور همزمان نظارت کند. چنین موضوعی نه از نظر عقلی و نه از نظر اجرایی امکانپذیر نیست.
معاون سابق فناوریهای نوین بانک مرکزی توضیح داد: در دنیا این مشکل را با بحث احراز هویت قوی حل کردهاند و الزامات کلی و کم دردسری را برای فینتکها در نظر گرفتهاند مانند اینکه در جایی ثبت شده و کسبوکار آن معلوم باشد.
حکیمی ادامه داد: فینتکها در حقیقت شروع کننده تراکنش هستند و آن را از مشتری گرفته و برای بانک میفرستند؛ این بانک است که باید به نحوی با مشتری تماس گرفته و تائیدیه تراکنش را از او بگیرد. به نظر من رگولاتور باید بر این موضوع تمرکز کند که هر بانکی API میدهد باید خودش هم تائیدیه تراکنش را از مشتری بگیرد و آن را پیادهسازی کند.
وی درباره نقش نهاد ناظر درباره ایجاد سامانههای کشف تقلب و تخلف نیز اظهار داشت: متاسفانه این موضوع بدرستی تبیین نشده است و همه انتظار دارند رگولاتور خود سیستم کشف تقلب را راهاندازی کند اما واقعیت این است که کشف تقلب نیاز به رفتارشناسی مشتری و داشتن اطلاعات تراکنشهای او از منظر منطقه جغرافیایی و منحنیهای رفتاری دارد که این موارد در اختیار بانک است.
این کارشناس بانکداری الکترونیک تصریح کرد: رگولاتور در این زمینه بیشتر الزاماتی را برای ایجاد پروفایل هر مشتری در بانکها مشخص میکند و در این پروفایل مشتری رفتارسنجی شده و رفتارهای مشکوک او از طریق تائید یا عدم تائید تراکنش اجرایی میشود.