به گزارش ایبِنا، دی و بهمن ۹۸ بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنشهای کارتی اینترنتی (به استثنای ۱۰۰هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحثهای بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکه پرداخت یا کاهش کلاهبرداری و دزدی اطلاعات کارتها منتشر شده است. در نوشته حاضر با بررسی دادههای درگاه پرداخت اینترنتی وندار نگاهی موردی به کارنامه رمز دوم پویا و اجباری شدن آن خواهیم انداخت.
از متن بیانیههای بانک مرکزی آشکار است که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنشهای بدون حضور کارت (CNP) تصویب شد. مخاطراتی در تراکنشهای اینترنتی که باعث رونق کلاهبرداریهای تلهگذاری (Phishing) برای دزدیدن رمز کارتها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری شده است؟
معیار مناسب برای سنجش این مسئله، تعداد تراکنشهای مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاههای بانکی استعلام میکند. این استعلام بخشی از روند رسیدگیِ دادگاهها به شکایت قربانیان کلاهبرداری تلهگذاری است. اگرچه در بعضی تراکنشهای مشکوکی که استعلام میشوند لزوما جرمی اتفاق نیافته است اما تعداد این تراکنشها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه پرداخت.
از طرف دیگر مهمترین استدلال مخالفان این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارتها توضیح میداد، و این امکان را در اختیار آنها میگذاشت که بین انجام آسانتر تراکنشهای اینترنتی با رمز ایستا و امنیت بالاتر، رمز پویا انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خریدهای اینترنتی را پیچیدهتر و در نتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسبوکارهای اینترنتی شده است.
برای سنجش سادگی استفاده از درگاههای پرداخت اینترنتی میتوان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنشها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلال در عملکرد نظام پرداخت الکترونیک نبودهاند و نشاندهنده خطای کاربر در استفاده از خدمات هستند.
نسبت خطاهای کاربری به کل تراکنشهای درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن
برای دقیقتر شدن این مقایسه میتوان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسه این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان میدهد که آذر ماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵درصد از کل تراکنشها به دلیل اشتباه کاربران با خطا مواجه میشدهاند و خطاهای مربوط به رمز دلیل ناموفق بودن نزدیک به نیمی از این تراکنشها بودهاند.
از دی ماه و با آغاز طرح رمز دوم پویا میتوان دید که پیچیدهتر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن ماه به اوج خود در حدود ۲۵ درصد کل تراکنشها میرساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارتها با فرآیند جدید، از اسفند ماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنشها آغاز میشود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵ درصد سهم خطاهای کاربری و نزدیک ۱۰درصد خطاهای مربوط به رمز) تثبیت میشود.
سهم خطاهای رمز دوم از خطاهای کاربری از ۴۵ درصد آذرماه ۹۸ که به بیش از ۶۰ درصد در بهمن افزایش یافته بود، خرداد ماه ۹۹ به کمی بیش از ۵۰ درصد برگشت
بدیهی است برای سنجش تاثیر موردی پیچیدهتر شدن خرید اینترنتی روی دسترسیپذیری این خدمات برای گروههای سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گستردهتری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیه آن میتوان نتیجه گرفت که بخش قابل توجهی از کاربران به خوبی با فرآیند جدید آشنا شدهاند و اضافه کردن این ابزار امنیتی، هزینه بلندمدتی برای شبکه پرداخت نخواهد داشت.
آیا رمز دوم پویا شبکه پرداخت را امنتر از پیش کرده است؟
از دی ماه ۹۸ و با شروع طرح رمز دوم پویا کارتهایی که پلیس فتا به دلیل تراکنشهای مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده است، کاهش قابل ملاحظهای داشتهاند. تا جایی که تعداد استعلام کارتهای مشکوک به ازای هر ده هزار تراکنش در فروردین ماه ۹۹ به کمتر از نیم کارت میرسد. این کاهش را نمیتوان یکی از آثار جانبی همهگیری ویروس کرونا دانست، چرا که با در نظر گرفتن شاخص تعداد کارتهای مشکوک در هر ده هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنشهای ماهانه تاثیر چندانی بر آن ندارد.
استعلام پلیس فتا از کارتهای مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹
بنابراین در یک بازه دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته است. نکته نگرانکننده اما اوجگیری دوباره استعلام کارتهای مشکوک از خرداد ۹۹ است. افزایشی که ادامهدار بودن آن تا تیر ماه امسال میتواند نشانه ابتکارات تازهای در اجرای کلاهبرداری تلهگذاری باشد و در نتیجه میتواند در ماههای آینده هم ادامه پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.
در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداریهای اینترنتی فرآیندی زمانبر است و ممکن است چند ماه طول بکشد تا تمام تراکنشهای مشکوک رخداده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارتهای مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد.
از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی درباره تراکنشهایی با مبلغ کمتر از ۱۰۰ هزار تومان صورت نمیگرفته است. اما تقریبا ۷ درصد استعلامهای خرداد ماه تراکنشهایی با مبلغ کمتر از ۱۰۰ هزار تومان بودهاند.
اگر با افزایش احتمالی استعلامها در ماههای پیشرو این سهم ۷ درصدی هم افزایش پیدا کند، میتوان باز هم رمز دوم پویا را در کاهش مبلغ تراکنشهای مشکوک موفق دانست.
در نهایت رمز دوم پویا تصمیمی بود برای کاهش مخاطرات خریدهای بدون حضور کارت و محافظت همزمان از داراییهای مردم و کسبوکارهای اینترنتی. میتوان درباره چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. لازم است اثر آن در کاهش دسترسی بعضی از گروههای سنی یا اجتماعی به خدمات خرید اینترنتی مورد بررسی قرار گیرد. اما به نظر میرسد که اثر بلندمدت چندانی در پیچیدهتر شدن فرآیند خرید نداشته باشد و نمیتوان بر کارایی آن در کاهش کلاهبرداریهای تلهگذاری نیز چشم پوشید.
وندار به عنوان پرداختیاری پیشرو در اجرای شیوهنامههای امنیتی، بخش مهمی از توان پیگیری و پشتیبانیاش را صرف ایجاد ارتباط حرفهای و پاسخگویی سریع بین کسبوکارها و مراجع قضایی میکند تا هم از مسدود شدن حساب کسبوکارهای طرف قرارداد به دلیل مشکلات تراکنشهای مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواستهها و دستورالعملهای ساختار قضایی و پلیس فتا باشد. به همین دلیل خود را در دغدغه بانک مرکزی برای کاهش کلاهبرداری تلهگذاری شریک میداند و باور دارد برای افزایش امنیت شبکه پرداخت، اجرای طرحهایی مانند رمز دوم پویا به تنهایی کافی نیست و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوههای تلهگذاری و سرقت اطلاعات کارتها و روشهای خلاقانهای مانند استفاده از درگاه پرداخت دومرحلهای در کسبوکارهای فروش رمزارز و کالاهای دیجیتال به کار برده شوند تا نتیجه بهتری از آنها به دست آید.