پیدا و پنهان رمز دوم یکبار مصرف

به گزارش بانکینا، بانک مرکزی باهدف افزایش امنیت تراکنش‌های بدون حضور کارت با همکاری شرکت کاشف نسبت به انتشار سند الزامات رمزهای پویا و ابلاغ بخشنامه پیاده‌سازی رمز دوم یک‌بارمصرف و ارائه آن توسط شبکه بانکی اقدام کرد؛ بر همین اساس تمامی بانک‌ها و مؤسسات مالی و اعتباری کشور باید زیرساخت ارائه رمز دوم یک‌بارمصرف به مشتریان را ارائه کنند، اما تهیه زیرساخت رمز پویا، نحوه مواجهه بانک‌ها و شرکت‌های پرداخت به همراه تجربه کاربری و استفاده مشتریان از آن چالش‌ها و فرصت‌هایی را ایجاد کرده است.

هر چند قرار بود این طرح از ابتدای خردادماه اجرایی شود اما بانک مرکزی در روزهای گذشته اعلام کرد رمز دوم یک‌بار مصرف فعلا اجباری نیست و بانک‌هایی که زیرساخت لازم را ندارند می‌توانند از رمز ایستا استفاده کنند در همین حال بانک مرکزی همچنین اعلام کرده است بانک‌هایی که زیرساخت آنها آماده است می‌توانند این برنامه را اجرایی کنند.

باشگاه دیجیتال ایبِنا با توجه به اهمیت این موضوع و سردرگمی‌هایی که مشتریان نظام بانکی برای رمز پویا داشته اند، در میزگردی با عنوان «رمز دوم یک‌بارمصرف؛ چالش‌ها و فرصت‌ها» میزبان علیرضا اطهری فر مدیر طرح و برنامه شرکت کاشف، محمدمهدی صادق مدیرعامل شرکت پرداخت الکترونیک سداد، مهدی شهیدی قائم‌مقام مدیرعامل شرکت آسان پرداخت پرشین و مهرداد حداد رئیس اداره انفورماتیک بانک پاسارگاد با مدیریت محمد گرکانی نژاد کارشناس ارشد حوزه پرداخت بود تا زوایای مختلف پیاده‌سازی و عملیاتی‌سازی رمز دوم یک‌بارمصرف در نظام بانکی مورد بحث و بررسی قرار گیرد که مشروح آن را در ادامه می‌خوانید:

گرکانی نژاد: بانک مرکزی با عملیاتی سازی رمز دوم یک‌بارمصرف به دنبال افزایش امنیت در زمینهٔ تراکنش‌های بدون حضور کارت است اما این تغییر فرآیند برای افزایش امنیت که مثبت ارزیابی می‌شود، چالش‌هایی را در سیستم بانکی و پرداخت به دنبال داشته است؛ در همین راستا به‌عنوان اولین پرسش، اعضای میزگرد در خصوص جایگاه و نحوه مواجهه با رمز یک‌بارمصرف در سازمان خود توضیح دهند؟

علیرضا اطهری فر، مدیر طرح و برنامه کاشف: از اواسط شهریورماه سال ۹۷، شرکت کاشف با مشارکت بانک مرکزی درزمینهٔ روند رو به رشد جرائم و سرقت‌ها بررسی و پیمایشی انجام داد؛ گزارش‌ها حاکی از سرقت اطلاعات کارت‌های بانکی در کشور بود که از ابتدای سال ۹۷ شروع‌شده و در اواسط سال ۹۷ مشکلات به نقطه بحرانی رسیده بود. این مهم نظام بانکی و پرداخت تحت‌فشار دستگاه قضایی و پلیس به دلیل حجم پرونده‌های شکایتی در حوزه کلاه‌برداری مالی از طریق تراکنش‌های بدون حضور کارت قرار داده بود؛ همچنین فشار به‌نظام بانکی برای حضور فین تک‌ها و کسب‌وکارهای جدید و به‌منظور جلوگیری از کلاهبرداری و رعایت حقوق مشتریان نظام بانکی منجر به این شد که بانک مرکزی به دنبال راهکاری برای افزایش امنیت و رفع دغدغه‌ها باشد که در همین راستا پویاسازی رمزهای بانکی با همکاری کاشف پیگیری شد.

معاونت فناوری‌های نوین بانک مرکزی با توجه به استانداردهای بین‌المللی سند پیش‌نویس الزامات رمزهای پویا را تدوین و با اشتراک‌گذاری و دریافت نظارت بانک‌ها، شرکت‌های پرداخت و دستگاه‌ قضایی و پلیس نسبت به تهیه نسخه نهایی و انتشار سند الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت اقدام کرد و در ابلاغیه‌ای به بانک‌ها و مؤسسات مالی و اعتباری فرصت داده شد تا زیرساخت رمز دوم یک‌بارمصرف را ایجاد کنند.

در حال حاضر رمزهایی که شهروندان در پرداخت باکارت استفاده می‌کنند، رمزهای ایستا (ثابت) است؛ رمزهای ایستا آسیب‌پذیر هستند و در صورت سرقت یا اشتراک‌گذاری توسط دارنده کارت، زمینه لازم برای دسترسی و برداشت غیرمجاز از حساب بانکی فراهم می‌شود و درعین‌حال رمزهای ایستا نسبت به حملات فیشینگ آسیب‌پذیر هستند که بر همین اساس بانک مرکزی پویاسازی رمز دوم به معنای تولید یک‌بارمصرف با طول عمرمحدود برای هر تراکنش را در دستور کار قرارداد که می‌تواند به رفع آسیب‌پذیری‌های فعلی کمک کند.

محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: موضوع رمز یک‌بارمصرف در حوزه عملیاتی ارتباط خاصی با شرکت‌های حوزه پرداخت الکترونیک ندارد، اما شرکت‌های پرداخت تحت تأثیر تجربه کاربری مشتریان در استفاده از خدمات پرداخت اینترنتی و موبایلی با کاهش مواجه خواهد شد زیرا با این شیوه تجربه ایجاد و درنهایت ممکن است منجر به از دست رفتن مشتریان و تراکنش برای شرکت‌های PSP شود.

اعتقاد دارم علی‌رغم روش‌های رایج در دنیا مدل ارائه رمز دوم به‌صورت یک‌بارمصرف برای هر تراکنش با هر مبلغ که در ابتدای این طرح مطرح بود، متداول نیست البته چندی بعد بانک مرکزی با اعلام بندهایی جدید در این سند تجدیدنظر کرد و برای مبالغ سقف قائل شد. البته از دیدگاه یک شرکت پرداخت الکترونیک که درگیر موضوعات کلاه‌برداری است این مهم که با بهره‌گیری از رمز یک‌بارمصرف پویا امکان فعالیت‌های کلاهبردارانه کاهش می‌یابد، امنیت و کاهش ریسک فعالیت‌ها بسیار مهم است. اما همچنان مسئله کاهش تراکنش به دلیل ایجاد تجربه نامناسب در میان کاربران آسیب بیشتری به شرکت‌های پرداخت وارد می‌کند که رگولاتور باید به این موضوع توجه جدی داشته باشد.

مهدی شهیدی، قائم‌مقام مدیرعامل آسان پرداخت پرشین: در ابتدای طرح رمز دوم یک‌بارمصرف باوجود تبصره بانک مرکزی برای تراکنش‌های کمتر از ۵۰۰ هزار تومان انتظار می‌رود تغییرات خاصی در کار شرکت‌های پرداخت ایجاد نشود و امیدواریم تا چالش جدی در حوزه مشتریان نداشته باشیم چراکه بخش‌نامه درزمینهٔ فعالیت‌ شرکت‌های پرداخت الکترونیک تأثیرگذار است.

نظام بانکی با شرایط فعلی آماده اجرای رمز یک‌بارمصرف نیست؛ البته من اعتقاددارم با عدم اجرای رمز یک‌بارمصرف برای تراکنش‌های کمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا کاهش پیدا نخواهد کرد چراکه روزانه با سقف ۵۰۰ هزار تومان کلاه‌برداری انجام می‌شود. تغییرات در حوزه رمز دوم و پویاسازی این رمز برای شرکت‌های PSP درگیری خاصی ندارد و در حوزه درآمدی نیز تأثیر خاصی نخواهد داشت. اما توجه به این مهم ضروری است که باید الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم به‌گونه‌ای پیاده‌سازی شود که مشتری اگر تراکنش بالای ۵۰۰ هزار تومان را با رمز دوم یک‌بارمصرف انجام داد بعدازآن هم بتواند دیگر تراکنش‌های زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد که این موضوع در حال حاضر اجرای این طرح عملیاتی نشده است.

یکی از مسائلی که قانون‌گذار باید به آن توجه ویژه داشته باشد بحث نام‌گذاری دستورالعمل‌ها و واژگان جدید در حوزه بانکی و پرداخت است؛ کلاه‌برداران با استفاده از مهندسی اجتماعی با راه‌های مختلف ازجمله تماس تلفنی با مشتریانی که اطلاعات کمتری دارند، اقدام به سرقت اطلاعات کارت و کلاه‌برداری می‌کنند؛ بر همین اساس اطلاع‌رسانی و فرهنگ‌سازی برای مشتریان بانکی از سوی نظام بانکی یک بحث مهم است.

مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: مسئله امنیت در تراکنش‌های مشتریان با توجه به شعار بانک پاسارگاد از سال‌های گذشته موردتوجه این بانک بوده است ازاین‌رو رمز دوم یک‌بارمصرف برای سامانه اینترنت بانک پاسارگاد درگذشته راه‌اندازی شده بود و از ابتدای ابلاغ سند و بخشنامه رمز یک‌بارمصرف کارهای اجرایی برای پیاده‌سازی این الزام در تراکنش‌‎های مبتنی بر کارت آغاز شد؛ با توجه به این‌که بخشی از زیرساخت آماده بود و این‌که قرار بود تا بانک پاسارگاد رمز دوم یک‌بارمصرف را در ابعاد کوچک‌تری انجام دهد، توانستیم تا با سرعت بالایی زیرساخت رمز پویا را ایجاد کنیم.

در حوزه فعال‌سازی رمز دوم یک‌بارمصرف کارت‌بانکی در بخش اینترنت و موبایل بانک برای مشتریان آماده شد تا با ارائه درخواست پویاسازی رمز دوم از سوی مشتریان و بعد از دریافت و نصب نرم‌افزار ارائه رمز یک‌بارمصرف بانک پاسارگاد عملیات تطابق شماره موبایلی که نرم‌افزار در آن نصب‌شده با شماره موبایلی که در بانک هنگام افتتاح حساب احراز هویت شده انجام می‌شود و درنهایت در صورت تطابق، مشتری می‌تواند رمز دوم یک‌بارمصرف را از طریق اپلیکیشن دریافت کند.

راهکاری که هم‌اکنون در اختیار بانک پاسارگاد و بسیاری دیگر از بانک‌ها است، ارائه رمز یک‌بارمصرف از طریق اپلیکیشن‌های موبایلی به شمار می‎رود که دو مشکل را به دنبال دارد؛ اول این‌که مشتری باید برای استفاده از رمز دوم پویا تلفن همراه هوشمند داشته باشد و از طرفی دیگر با توجه به امکان محدودیت خدمات از سوی اپل و گوگل برای گوشی‌های هوشمند فعال در ایران و احتمال مسدودسازی، ارائه رمز یک‌بارمصرف تنها از طریق اپ های موبایلی از ریسک بالایی برخوردار است. البته در حال حاضر بعد از  اعلام بانک مرکزی در ارائه رمز یک‌بارمصرف علاوه بر عرضه رمز پویا از طریق اپلیکیشن‌های موبایلی، ایجاد بستر ussd و پیامک را برای دارندگان موبایل‌های غیرهوشمند در دستور کار قراردادیم. البته در دنیا به‌جای بهره‌گیری از رمز یک‌بارمصرف در تمام تراکنش‌ها بیشتر به دنبال راهکارهایی برای احراز هویت قوی از مشتریان هستند.

در بانک پاسارگاد با بررسی که از مشتریان انجام‌ شد، بسیاری از کاربران در حوزه رمز کارت دغدغه امنیتی نداشته و تأکید داشتند که ما به‌عنوان مشتری راهکار امن نگه‌داشتن رمز اول و دوم کارت خود را می‌دانیم و رمز دوم یک‌بارمصرف تجربه کاربری را سخت خواهد کرد. بانک پاسارگاد مطابق با الزامات بانک مرکزی از اول خردادماه زیرساخت رمز یک‌بارمصرف را آماده و در اختیار مشتریان قرار می‌دهد و هم‌اکنون مشتریان با استفاده از ابزارهای اعلام‌شده می‌‎توانند رمز یک‌بارمصرف را فعال کنند؛ در مجموعه بانک پاسارگاد امیدواریم در بخش مشتری در حوزه رمز یک‌بارمصرف چالشی در حوزه سایز مشتری نداشته باشیم چراکه بیشترین نگرانی بانک نیز در همین خصوص است.

بر اساس پایش انجام‌شده در خصوص ثبت‌نام و فعال‌سازی رمز دوم یک‌بارمصرف در بانک پاسارگاد تا هفته گذشته باوجود ارائه رمز دوم پویا از سوی این بانک از ابتدای آذرماه ۹۷ و اطلاع‌رسانی به مشتریان در شعب و سایت‌های خبری صرفاً یک درصد از مجموع مشتریان رمز دوم یک‌بارمصرف را فعال کرده‌اند و از این خدمت استفاده می‌کنند. همچنین در بررسی‌هایی که در بخش مبالغ تراکنش‌ها صورت گرفت؛ مشخص شد که حدود ۷ درصد تراکنش‌ها در بانک پاسارگاد بالاتر از ۵۰۰ هزار تومان و ۹۳ درصد تراکنش‌ها را مبالغ پایین‌تر از ۵۰۰ هزار تومان به خود اختصاص داد؛ بر همین اساس انتظار می‌رود در شرایط فعلی مراجعه مشتریان به شعب بانک زیاد نباشد اما با توجه به این‌که ۵۰ درصد مشتریانی که از رمز دوم استفاده می‌کنند، مشتریان اینترنت بانک و موبایل بانک پاسارگاد هستند چراکه لزومی به حضور در شعب برای فعال‌سازی رمز دوم یک‌بارمصرف ندارند، حجم مراجعات حضوری برای فعال‌سازی رمز دوم و سامانه‌های اینترنت بانک و موبایل بانک کمتر خواهد بود.

یکی از مهم‌ترین مسائل و چالش‌هایی که هم‌اکنون وجود دارد این است که اگر مشتری نسبت به فعال‌سازی رمز دوم یک‌بارمصرف اقدام کند، خدمات صرفاً به‌صورت پویا به وی ارائه می‌شود و دیگر به‌صورت ایستا نمی‌تواند باشد. ازاین‌رو اگر مشتری قصد خرید شارژ داشته باشد؛ قابلیت تشخیص تراکنش‌ها تا سقف ۵۰۰ هزار تومان برای انجام عملیات با رمز ایستا و بالاتر از این مبلغ با رمز پویا در حال حاضر فراهم نیست و برای تحقق این مهم باید فرآیندهایی در کربنکینگ (CORE BANKING) بانک‌ها پیاده‌سازی شوند، اما موضوع تجربه کاربری این غربالگری را برای بانک‌ها سخت کرده است.

گرکانی نژاد: اعتقاددارم کشمکش میان تقلب و مبارزه با تقلب یک اصل همیشه پابرجا است اما مرز میان تجربه کاربری آسان و امنیت از مهم‌ترین مسائل در نظام بانکی به شمار می‌رود که باید به آن توجه ویژه داشت چراکه رمز دوم یک‌بارمصرف تا به امروز وجود نداشته و قرار است کاربران را به سمت امنیت سوق دهد تا از رمز دوم ایستا استفاده نکنند که البته عملیات بانکی را سخت خواهد کرد ولی مأموریت بانک مرکزی و کاشف در حوزه تجربه کاربری و امینت چه بوده است؟

علیرضا اطهری فر، مدیر طرح و برنامه کاشف: بالانس میان امنیت و تجربه کاربری مسئله مهمی است که رگولاتور در تمامی الزامات ابلاغی بر آن تأکید دارد و بر همین اساس در بحث قانون‌گذاری تلاش می‌کند تا با بررسی نظرات تمام فعالان مختلف صنعت و با مشارکت آن‌ها الزامات قانونی را تدوین کند. بانک مرکزی در همین راستا در خصوص رمز دوم یک‌بارمصرف نیز جلساتی را با بانک‌ها و شرکت‌‎های پرداخت برگزار کرد و چندین دوره زمانی را برای پیاده‌سازی زیرساخت‌ها در نظر گرفت تا مشکل و اختلالی ایجاد نشود.

بانک مرکزی باوجود هماهنگی و اعلام‌های قبلی در خصوص رمز دوم یک‌بارمصرف به‌منظور جلوگیری از تجربه نامناسب کاربری مشتریان بانکی و مشکلات احتمالی تصمیم گرفت تا معافیت‌هایی را در این طرح در نظر بگیرد تا تجربه کاری مطلوب و این مهم آهسته فراگیر شود؛ من معتقدم باید ذائقه مشتری تغییر پیدا کند زیرا در صورت بروز رخدادهایی که بر اساس آن تمام یا بخشی از سرمایه مشتریان از دست برود به‌یک‌باره دغدغه امنیتی پررنگ می‌شود و مشتریان حاضر هستند تا سخت‌گیری‌های امنیتی را انجام دهند اما دچار سرقت و کلاه‌برداری نشوند. مشتریان بانک‌ها به‌مرورزمان به بهره‌گیری از ابزارهای امنیتی عادت می‌کنند چراکه مطالبه آن‌ها دریافت و استفاده از خدمات امن به‌جای خدمات آسیب‌پذیر است.

در حوزه تجربه کاربری باید به این نکته اشاره داشت که امروز دیگر در شرایط سال ۸۷ که آغاز فرآیندهای بانکداری الکترونیک و تراکنش مبتنی بر کارت بود، قرار نداریم و خریدهای اینترنتی در کشور به بلوغ و نقطه اوج خود رسیده است و بسیاری از مشتریان بانکی سواد رایانه‌ای مناسبی دارند که به درک مخاطرات و افزایش کلاه‌برداری‌هایی مالی مانند فیشینگ رسیده‌اند و معتقد هستند باید در جهت ایمن‌سازی زیرساخت‌ها اقدام شود.

رمز دوم یک‌بارمصرف برای برخی بانک‌ها چالش و برای برخی دیگر فرصت خواهد بود؛ فرآیند پذیرش تغییر از رمز دوم ایستا به رمز دوم پویا و ارائه تجربه کاربری مناسب وظیفه مهم بانک‌ها خواهد بود که در این زمینه بانک‌ها باید با خلاقیت علاوه بر امنیت مشتریان بتوانند تجربه کاربری مناسبی را نیز ایجاد و سهم بازار بیشتری را با این رویکرد به خود اختصاص دهند.

شرایط حوزه پرداخت در ایران با دیگر کشورها بسیار متفاوت است که این مهم نیز باید موردتوجه قرار گیرد؛ رمز یک‌بارمصرف از اولین اقدامات و گام‌های بانک مرکزی در راستای ارتقاء سازوکارهای احراز هویت قوی مشتریان در شبکه پرداخت کشور است که انتظار می‌رود باتدبیر شبکه بانکی این گام موردپذیرش واقع شود و نتایج مناسب در بخش امنیت برای مشتریان بانکی ایجاد کند.

یک نکته بسیار مهم که شهروندان در خصوص امنیت کارت‌بانکی باید بدانند، این است که کلاه‌برداری باکارت صرفاً محدود به برداشت غیرمجاز و خالی کردن حساب بانکی نمی‌شود. بسیاری از پرونده‌ها در مراجع قضایی مختص به جرائمی می‌شود که کلاه‌برداران با دسترسی به اطلاعات کارت‌بانکی و حساب شهروندان به دلیل سهل‌انگاری آن‌ها، اقدام به پول‌شویی با حساب این افراد کرده‌اند و درنهایت مشتری سیستم بانکی بدون اطلاع از این‌که اتفاقی رخ‌داده باید در دادگاه حاضر و ادله‌ای ارائه دهد که در این جرم نقشی نداشته است. حجم بالای پرونده‌ها در این بخش منجر به تصمیم بانک مرکزی در خصوص بهره‌گیری شبکه بانکی از زیرساخت رمز پویا شد.

گرکانی نژاد: برخی از فعالان صنعت پرداخت و بانکی معتقدند که رمز یک‌بارمصرف ابزار مناسبی برای احراز هویت در ایران نیست و کارایی مناسبی نخواهد داشت، اما شما معتقدید که بانک مرکزی با رمز دوم پویا به دنبال احراز هویت قوی حرکت کرده و این شیوه برای احراز هویت مناسب است، سؤالی که در این بخش مطرح می‌شود این است که آیا استفاده از رمز یک‌بارمصرف در دنیا در مقوله امنیت مرسوم است؟

علیرضا اطهری فر، مدیر طرح و برنامه کاشف: استفاده از رمز دوم یک‌بارمصرف در دنیا غیرمرسوم نیست. البته توجه به این نکته نیز ضروری است که در حوزه احراز هویت و افزایش امنیت تراکنش‌های بانکی هر کشوری با توجه به شرایط و وضعیت کلاه‌برداری‌ها اقداماتی را عملیاتی کرده است؛ ازاین‌رو انتخاب رمز یک‌بارمصرف با توجه به شرایط حاکم بر ایران انتخاب مناسبی بوده است.

بر اساس آمار جرائم و کلاه‌برداری‌های مالی که در اختیار کاشف و بانک مرکزی قرارگرفته باید گفت که ۳۵ درصد از جرائم سایبری مختص به سرقت اطلاعات اصلی کارت‌بانکی است و آمار مراجع قضایی حاکی از آن است که رمز پویا می‌تواند تا ۵ درصد کلاه‌برداری‌ها را کاهش دهد.

گرکانی نژاد: آیا شرکت‌های پرداخت الکترونیک در کنار بانک‌ها و مؤسسات مالی و اعتباری در خصوص اطلاع‌رسانی رمز دوم یک‌بارمصرف، نحوه استفاده و فعال‌سازی آن همکاری خواهند کرد؟

محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: امینت در خدمات مالی مسئله مهمی به شمار می‌رود و افزایش آن از دیدگاه شرکت‌های پرداخت نیز مطلوب. اما من معتقدم که در طراحی و تدوین این مدل از افزایش امنیت با رمز دوم یک‌بارمصرف به تجربه مشتری دقت نشده است. بحث OTP در صنایع پرداخت دنیا مرسوم است اما این موضوع که برای هر تراکنش یک رمز جدید صادر و ارسال شود، مرسوم نیست و تجربه کاربری مشتری را با دشواری روبرو می‌کند.

در حال حاضر روند جهانی احراز هویت و افزایش امینت ۳D secure است که می‌توانستیم از این روش بهره‌برداری و آن را در کشور عملیاتی کنیم که روال به این صورت است که مشتری با رمز ثابت تراکنش انجام دهد و اگر تراکنش به هر دلیلی ازجمله مشکوک بودن نیاز به استفاده از رمز یک‌بارمصرف داشت این رمز تولید و به فرد پیامک شود و خرید بعد از واردکردن رمز یک‌بارمصرف فرد انجام می‌شود. البته وضعیت شرکت‌های پرداخت الکترونیک در مواجهه با رمز دوم یک‌بارمصرف به میزان قابل‌توجهی به نحوه پیاده‌سازی بانک‌ها بستگی دارد؛ یک شرکت پرداخت الکترونیک به دلیل این‌که محل مصرف ۸۰ درصد تراکنش‌های بدون حضور کارت است باید اطلاع‌رسانی و آموزش‌هایی را در این بخش عملیاتی کند که در این زمینه اقداماتی انجام خواهد شد.

درزمینه تراکنش‌های تحت تأثیر یعنی تراکنش‌های بدون حضور کارت با مبلغ بالاتر از ۵۰۰ هزار تومان در شرکت‌های پرداخت الکترونیک باید انتظار داشت که اگر عملیات کارت به کارت در نظر گرفته نشود، بالغ‌بر ۵ درصد تراکنش‌ها متأثر از الزامات بانک مرکزی است اما در صورت ایجاد سقف روزانه برای تراکنش‌های با مبلغ کمتر از ۵۰۰ هزار تومان با رمز دوم ایستا این مقدار تا ۳۰ درصد افزایش پیدا می‌کند.

در شرایط فعلی بانک مرکزی روندی را در دستور کار قرار داده تا ۵ درصد از تراکنش‌های شرکت‌های پرداخت الکترونیک درگیر رمز دوم یک‌بارمصرف شوند اما با توجه به این‌که بانک مرکزی در دو بند جدید بخشنامه رمز یک‌بارمصرف تأکید کرده که بانک‌ها باید برای تراکنش‌های کمتر از ۵۰۰ هزار تومان قبول مسئولیت در جبران خسارت داشته باشند و نحوه پیاده‌سازی برای دستگاه‌‎های عمومی به‌صورت خاص انجام شود که در شرایط فعلی در زیرساخت‌ها بانک‌ها عملیاتی نشده است این امر منجر می‌شود میزان درآمدهای تحت تأثیر شرکت‌های پرداخت الکترونیک از ۵ درصد به ۷۵ درصد افزایش پیدا کند. من مجدد تأکیددارم که مردم برای امینت حاضرند صبر کنند اما حاضر به سخت شدن کار نیستند.

گرکانی نژاد: تجربه ۳D secure بر پایه رمز یک‌بارمصرف است که روندی بین‌المللی به شمار می‎‌رود، پیاده‌سازی تجربه کاربری و پذیریش مسئولیت نیز می‌تواند از سوی بانک مدیریت شود که باعث می‌شود تا وظیفه بانک‌ها در این بخش بسیار مهم باشد، آیا بانک پاسارگاد برنامه‌ای برای بهبود تجربه کاربری مشتریان دارد و در این زمینه با چه چالش‌هایی روبرو خواهد شد؟

مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: بانک پاسارگاد علی‌رغم بخشنامه بانک مرکزی در خصوص پویاسازی رمزهای بانکی به سمت افزایش امینت، ارائه رمز یک‌بارمصرف و احراز هویت قوی گام‌هایی را درگذشته برداشته بود، اما مهم‌ترین موضوع برای بانک سیستم کشف تقلب است که بتواند با استفاده از الگوریتم‌های پیشرفته، قوانین رگولانور و زبان یادگیری ماشین ریسک را برای مشتریان شناسایی کند. اما هنگامی‌که بخشنامه‌ای در خصوص تراکنش‌های کمتر از ۵۰۰ هزار تومان از سوی بانک مرکزی ابلاغ می‌شود که تنها برای پیاده‌سازی آن ۹ روز زمان وجود دارد، دیگر نمی‌توان انتظار انتخاب بهترین راهکار را داشت زیرا هرگونه پیاده‌سازی نیاز به آزمایش‌های متعدد و سپس عملیاتی سازی دارد. اعتقاددارم افزایش امنیت تراکنش‌ها مسیر خوبی به شمار می‌رود اما مسئله فرهنگ‌سازی از طریق مراجعی مثل بانک مرکزی، بانک‌ها و پلیس فتا موضوع مهمی است که باید آن را به‌صورت همگرا اجرایی و موردتوجه قرارداد.

این بانک در حوزه الزامات رمز یک‌بارمصرف به حوزه پذیرنده نگاهی جدی داشت چراکه یک پیاده‌سازی سمت سامانه شتاب و شاپرک نیاز است و برای هر تراکنش ۳۰ ثانیه زمان‌داریم؛ درواقع در این مدت‌زمان، ۵ ثانیه برای ارتباطات شبکه صرف می‌شود و بانک فقط ۲۰ ثانیه زمان نیاز دارد تا تراکنش مشکوک به تقلب را شناسایی کند و به مشتری اطلاع دهد ازاین‌رو به‌منظور افزایش امنیت در شبکه بانکی باید مدت‌زمان بررسی تراکنش مشکوک بهینه و افزایشی یابد تا مشکل رفع شود.

ساختار تراکنش‌های خرد یکی از موضوعاتی است که باید در نظام بانکی اصلاح شود زیرا این دسته از تراکنش‌ها در شبکه باید به‌صورت آفلاین انجام شود تا امنیت افزایش و هزینه‌ها کاهش یابد.

گرکانی نژاد: موضوع تراکنش‌های خرد از اهمیت بالایی برخوردار است و بانک مرکزی در سند پرداخت بان نسبت به آن تأکید کرده اما چرا این موضوع به‌صورت فراگیر اجرایی نشده و همواره با چالش روبرو است؟

مهدی شهیدی، قائم‌مقام مدیرعامل آسان پرداخت پرشین: در حوزه کیف پول احراز هویت با کد ملی و شماره موبایل انجام می‌شود که در شرایط فعلی با محدودیت‌هایی روبرو است و صرفاً تنها ۱۰ بانک بعد از گذشت یک سال و چند ماه در جواب تراکنش‌های پرداخت شماره کد ملی و شماره شبا صاحب کارت را به شرکت پرداخت الکترونیک به‌منظور احراز هویت در کیف پول ارسال می‌کنند؛ درواقع بسیاری از بانک‌ها از این زیرساخت بی‌بهره هستند.

محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: به عقیده من تا زمانی که شرکت‌های پرداخت از بازار پرداخت خرد در تراکنش‌های آنلاین کارمزد کسب کنند و این نوع از تراکنش‌ها برای مشتریان رایگان است، پرداخت خرد با کیف پول و بهره‌گیری از این ابزار برای مشتری جذابیت ندارد و به‌منظور رایج شدن استفاده از کیف پول باید نظام کارمزد اصلاح شود.

مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: نظام کارمزدی باید مشکل پرداخت خرد را حل کند و بانک مرکزی در این زمینه باید تصمیم‌گیری‌های لازم را انجام دهد.

گرکانی نژاد: امکان سوءاستفاده از رمز یک‌بارمصرف با مهندسی اجتماعی یکی از موضوعات مهم است که به آن اشاره شد، راهکار جلوگیری از کلاه‌برداری در این بخش چیست؟

مهدی شهیدی، قائم‌مقام مدیرعامل آسان پرداخت پرشین: قطعاً امکان سوءاستفاده از رمز یک‌بارمصرف با مهندسی اجتماعی وجود دارد، اما نکته‌ای که باید به آن توجه داشت این است که در زمان بهره‌گیری از رمز دوم در ایران استفاده از این الگو در هیچ کجای دنیا مرسوم نبود و بعد از گذشت سال‌ها در دنیا این خدمت ارائه شد؛ در حقیقت ایران نسبت به جهان در این بخش ۱۶ سال پیشرو است. اما در این مدت عدم فرهنگ‌سازی و طمع‌کار شدن شهروندان منجر به رشد آمار کلاه‌برداری‌ها شد؛ من معتقد هستم با سخت شدن فهم موضوعات بانکی و پرداخت مهندسی اجتماعی برای افزایش کلاه‌برداری‌ها راحت‌تر می‌شود.

فرهنگ‌سازی بسیار سخت است؛ مسئولان باید در گفتگوها بسیار دقت داشته باشند و با تأکید بر این موضوع که از بانک‌ها برای فعال‌سازی رمز دوم یک‌بارمصرف با مشتریان تماس تلفنی گرفته نمی‌شود، زمینه برای کلاه‌برداری‌ها در این بخش را کاهش دهند.

من اعتقاد دارم؛ ایران از سال‌ها پیش پارامتر امنیتی رمز دوم را در اختیار داشته و حال اگر این رمز به‌صورت ایستا یا یک‌بارمصرف ارائه شود هیچ تفاوت خاصی را ایجاد نمی‌کند.

گرکانی نژاد: بانک مرکزی با توجه به شرایط کشور و درخواست‌های مقام قضایی و انتظامی به‌سوی رمز دوم یک‌بارمصرف گام برداشت که در این مسیر چالش‌های مهمی وجود دارد که باید با همکاری نهادهای ذی‌ربط رفع شود؛ چشم‌انداز آینده نظام بانکی در مقابل پیچیدگی‌های کلاه‌برداری‌های مالی و مأموریت افزایش امینت را چگونه بررسی می‌کنید و در پایان وضعیت یک‌بارمصرف سازی رمزهای کارت‌بانکی و دغدغه‌ها به‌عنوان جمع‌بندی چیست؟

علیرضا اطهری فر، مدیر طرح و برنامه کاشف: امنیت موضوع تک جانبه‌ای نیست و باید به توسعه امنیت به‌صورت همه‌جانبه در بخش بانکی و پرداخت نگاه شود که می‌تواند تأثیر اقدامات را افزایش دهد؛ انتقال مسئولیت، تشخیص و مبارزه با تقلب، آگاهی‌رسانی و فرهنگ‌سازی حلقه‌های یک زنجیر هستند و موضوعات مهمی به شمار می‌روند.

در حوزه اطلاع‌رسانی و فرهنگ‌سازی همه وظیفه بر عهده بانک‌ها نیست و باید از ظرفیت‌های شرکت‌های پرداخت الکترونیک استفاده کرد زیرا اپ های موبایلی جعلی زیادی در شبکه‌های مجازی منتشر می‌شود و نحوه اطلاع‌رسانی ایمن از نرم‌افزارهای شرکت‌های پرداخت موضوع بسیار جدی است.

زیرساخت و دستورالعملی که در خصوص رمزهای پویا به‌منظور کاهش ریسک‌های موجود در شبکه پرداخت و بانکی ارائه شد به‌طورقطع در مقابله با بدافزارهای موبایلی و مهندسی اجتماعی آسیب‌پذیری‌هایی را دارد؛ اما مسئله رمز یک‌بارمصرف وابستگی زیادی به نحوه پیاده‌سازی بانک‌ها دارد و در همین خصوص بانک‎ها باید به موضوع تهدیدات آتی نیز توجه ویژه داشته باشند.

در بخشنامه جدید، بانک مرکزی انعطاف به خرج داده و تأکید کرده تا هر راه‌حل دیگری که با رعایت الزامات امنیتی بانک مرکزی باشد می‌تواند جایگزین پویاسازی رمزها شود و این مهم موردبررسی بانک مرکزی قرار خواهد گرفت که نشان از توجه ویژه رگولاتور به تجربه کاربری مطلوب دارد. بانک مرکزی قصد ایجاد خسارت به بازیگران و تصمیم‌گیری بدون دریافت نظرات آن‌ها را ندارد. بانک‌هایی که نیازمندی‌های مشتریان را رفع کنند و راه‌حل‌هایی مناسب ارائه دهند، می‌توانند با الزامات جدید فرصتی برای دریافت سهم بیشتر از تراکنش‌های بدون حضور کارت در آینده کسب کنند.

محمدمهدی صادق، مدیرعامل شرکت پرداخت الکترونیک سداد: موضوع امنیت و افزایش ضریب امنیت مورد اجماع تمامی فعالان صنعت پرداخت و بانک است اما موضوع تجربه کاربری که از ابتدا به آن تأکید شد بسیار مبحث مهمی به شمار می‌رود و اگر تجربه کاربری در نظر گرفته نشود، ضریب امنیت کاهش پیدا خواهد کرد؛ بر همین اساس باید با لحاظ تجربه کاربری آسان امنیت افزایش پیدا کند تا درنهایت میزان کلاه‌برداری‌ها کاهش یابد. این شرکت به‌عنوان شرکت پرداخت الکترونیک به مشتریان روش پویاسازی رمز دوم را اطلاع‌رسانی خواهد کرد ولی تا زمانی که پیاده‌سازی فنی در بانک‌ها انجام‌نشده در حوزه فرهنگ‌سازی نمی‌توان قدم‌های مهمی را برداشت چراکه فضای رمز دوم یک‌بارمصرف در زیرساخت‌های بانک‌ها گنگ است و ابعاد کار فرهنگی باید روشن شود.

مهرداد حداد، رئیس اداره انفورماتیک بانک پاسارگاد: هدف بانک پاسارگاد افزایش امنیت با رعایت الزامات بانک مرکزی و رضایت مشتریان است و در تمامی امور به این دو نکته توجه ویژه دارد، ازاین‌رو در حوزه پیاده‌سازی از افرادی استفاده‌شده که به بخشنامه بانک مرکزی تسلط و اطلاعات کافی داشتند و در بخش مشتری از افرادی استفاده‌شده تا از تجربه مشتری به‌خصوص تجارب مشتریان شرکت پرداخت الکترونیک پاسارگاد بهره گرفته‌اند تا تجربه کاربری بهبود یابد.

در این بانک اصلاحاتی را تا پایان اردیبهشت برای رمز دوم یک‌بارمصرف در دستور قرار داده‌ایم که از طریق کانال‌های ارتباطی این بانک اطلاع‌رسانی می‌شود؛ همچنین برنامه‌های بلندمدت‌تری برای بهره‌گیری از هوش مصنوعی، تحلیل داده و احراز هویت بایومتریک به‌منظور افزایش امنیت در دستور کارداریم. بانک مرکزی با سند پرداخت بان و احراز هویت قوی در حال حرکت به‌سوی روندهای جهانی است و باید با همسویی بیشتر هماهنگی‌ها در این بخش افزایش یابد تا بانک‌ها بتوانند اقدامات سریع‌تری را انجام دهند.

مهدی شهیدی، قائم‌مقام مدیرعامل آسان پرداخت پرشین: در حوزه اطلاع‌رسانی شرکت‌های پرداخت الکترونیک نباید وارد شوند و اگر ورود و هزینه پرداخت می‌کند، صرفاً به دلیل رقابت ناسالم شرکت‌های پرداخت است؛ در حقیقت ازنظر قانونی و تجاری شرکت‌های PSP هیچ مسئولیتی در این بخش ندارند، اما از منظر مسئولیت اجتماعی قادر هستیم تا فرهنگ‌سازی در این بخش را توسعه دهیم.

یک موضوع مهم در حوزه رمز دوم یکبار مصرف برای بانک‌ها این است که باید، کد فعال‌سازی رمز دوم یک‌بارمصرف با سرشمارِ بانک عامل ارسال شود و نیاز نیست تا رمز با یک سرشمارِ ناشناخته و مبهم ۱۲ رقمی به مشتری اعلام شود؛ سر شماره موضوع بسیار مهمی برای مشتریان به‌منظور اعتماد است. ازاین‌رو بانک‌ها باید از سرشماره‌های خودشان یا از ماسک پیامک استفاده کنند تا کاملاً مشخص شود که این پیامک از سوی بانک ارسال‌شده است.

وزارت ارتباطات و فناوری اطلاعات باید به‌تمامی بانک‌ها ماسک پیامک ارائه کند تا مشخص شود که پیام کوتاه واقعاً از سوی بانک ارسال‌شده یا از سوی افرادی برای کلاه‌برداری است. سازمان تنظیم مقررات و ارتباطات رادیویی برای ماسک پیام کوتاه هزینه گزافی را دریافت می‌کند درحالی‌که این خدمت باید در اختیار شبکه بانکی قرار بگیرد تا مردم دچار کلاه‌برداری و مشکل نشوند و در همین راستا وزیر ارتباطات برای ایجاد شفافیت بهتر است، گامی در این زمینه بردارد چراکه هزینه‌های این خدمت برای بانک‌های کوچک به‌هیچ‌عنوان اقتصادی نیست.

درصورتی‌که قرار باشد بانک‌ها برای ارائه رمز دوم یک‌بارمصرف از زیرساخت پیام کوتاه استفاده کنند هزینه‌هایی به دنبال دارد و دریافت حق عضویت برای سرویس پیام کوتاه به‌صورت رقم ثابت و سالیانه منطقی نیست و وزارت ارتباطات و فناوری اطلاعات و اپراتورهای تلفن همراه می‌توانند سامانه رمز یکبار مصرف را ایجاد کنند و هزینه را با افزایش حساب مشتریان سیم‌کارت دائمی یا کسر از اعتبار مشتریان سیم‌کارت اعتباری محاسبه کند تا در صورت ۵ هزار تراکنش هزینه ۵ هزار پیام کوتاه پرداخت شود و در صورت ماهیانه دو تراکنش صرفاً هزینه دو پیام کوتاه رمز یک‌بارمصرف محاسبه شود تا بانک درگیر هزینه پیام کوتاه رمز یک‌بارمصرف نشود.

منبع: ایبنا