کور کردن چشم، برای برداشتن اَبرو

حدود دو سال است که به‌طور متناوب، مساله رمز دوم یک‌بارمصرف یا OTP به پای ثابت محافل فناوری و بانکی و همچنین سوژه رسانه‌ها تبدیل شده است. افزایش چشمگیر تعداد پرونده‌های فیشینگ در تابستان گذشته باعث شده، معاون جدید فناوری بانک مرکزی، نسبت به اجرایی نشدن رمز دوم یک‌بارمصرف که قرار بود ابتدای خرداد 98 اتفاق بیفتد، واکنش نشان داده و طی اظهارنظری توئیتری، اعلام کند که دی‌ماه، آخرین مهلت برای اجرایی شدن رمز دوم یک‌بارمصرف توسط همه بانک‌های صادرکننده کارت است. این اظهارنظر مختصر، ابهامات زیادی در مورد چگونگی اجرا و خصوصاً مدل کسب‌وکار پروژه رمز دوم یک‌بارمصرف به همراه داشته به گونه‌ای که حتی در محافل تخصصی در حوزه پرداخت الکترونیک، متخصصان گمانه‌زنی‌های ضد و نقیضی در خصوص نحوه اجرای پروژه رمز دوم یک‌بارمصرف ارائه می‌کردند. علاوه بر نگرانی‌های فنی از بابت ایجاد زیرساخت‌های مناسب برای اجرایی شدن این پروژه، تغییر ناگهانی در تجربه کاربری و حتی مدل کسب‌وکاری این طرح، می‌توانست سبب ریزش تراکنش‌ها و آسیب به کسب‌وکارهای اینترنتی شود که در عمل این اتفاق نیز افتاده است. در حالی که آیا امنیت تراکنش‌ها در سایر کشورها به همین ترتیب تامین می‌شود؟ در ادامه تلاش شده بررسی نسبتاً همه‌جانبه‌ای از نحوه اجرای طرح رمز دوم یک‌بارمصرف توسط شبکه بانکی ارائه شود.

ما در کشور بیش از 10 میلیون نفر مشترک اینترنت ثابت و 64 میلیون نفر مشترک اینترنت سیار داریم. بنابراین در مجموع ضریب نفوذ اینترنت در کشور بالای 90 درصد است. به همین ترتیب، مردم اکنون بسیاری از فرآیندهای اجتماعی را بر بسترهای سایبری انجام می‌دهند.

این خدمات سایبری، آنچنان در زندگی طبقاتی از جامعه تنیده شده است که منجر به تغییر عادات سنتی مردم و حتی مدل‌های بیزنسی بسیاری از کسب‌وکارها شده است. به عنوان مثال، رستوران‌ها تا چند سال قبل، عمده تمرکزشان را بر مشتریان حضوری داشته و در نهایت می‌توانستند به مشتریانی که از لحاظ فیزیکی، پیرامون خود بودند، سرویس دهند. اما امروز با قرار گرفتن در market-placeها، ضمن آنکه مشتری در یک پاساژ الکترونیک، امکان تنوع، مقایسه، نظرسنجی و... را دارد، رستوران‌ها هم می‌توانند با هزینه کم، توسعه بازار داشته باشند.

با این تغییر مهم تکنولوژیکی و کسب‌وکاری، شاهد آن بودیم که تجارت الکترونیک و کسب‌وکارهای مبتنی بر اینترنت رشد زیادی داشته و برای مشتریان، عادی شده است که در طول روز، سرویس‌های حمل‌ونقل، تهیه غذا، خرید سایر کالا و خدمات را به صورت غیرفیزیکی انجام دهند. طبیعتاً مهم‌ترین حلقه از این فرآیند، انجام عملیات پرداخت الکترونیک از طریق درگاه‌های غیرحضوری پرداخت است. عملیاتی که طی آن، مشتری اطلاعات کارت خود را وارد کرده و پس از تایید بانک صادرکننده، پرداخت وجه را انجام می‌دهد.

متاسفانه، بانکداری شخصی در ایران به شدت مبتنی بر کارت شده است و مشتری می‌تواند به ازای هر حسابی اعم از قرض‌الحسنه، جاری، کوتاه‌مدت و بلندمدت و با هر سقف مبلغی که در سپرده‌اش باشد، از بانک درخواست صدور کارت داشته باشد و عملاً کارت مشتری با حسابش گره خورده است. بنابراین اگر اطلاعات کارت مشتری هک شود، تمام موجودی حسابش مورد تهدید قرار می‌گیرد. با توجه به وظایف بانک مرکزی بر تنظیم مقررات حوزه امنیت تراکنش‌های بانکی، این بانک بخشنامه «الزامات رمزهای پویا بر تراکنش‌های مبتنی بر کارت» را منتشر و به بانک‌ها و موسسات مالی کشور ابلاغ کرد. بنابراین بانک مرکزی تصمیم به متغیر کردن رمز دوم پویا گرفت تا از طریق آن امکان کلاهبرداری و سرقت اطلاعات کارت را به حداقل برساند.

در تراکنش‌های غیرحضوری که از طریق اینترنت و موبایل انجام می‌شوند، داشتن چهار فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (چهار تا هشت رقم)، CVV2 و تاریخ انقضای کارت است. از بین این چهار پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده است، رمز دوم کارت است. منشأ بسیاری از سرقت‌ها و سوءاستفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است. بنابراین چنانچه در تراکنش‌های غیرحضوری بتوان رمز دوم را به صورت OTP تولید کرد، امنیت این نوع تراکنش‌ها تا حد قابل توجهی افزایش می‌یابد. آمارهای منتشرشده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال 97، حدود شش درصد از تراکنش‌ها بر بستر اینترنت و شش درصد بر بستر موبایل انجام شده است. بنابراین به صورت بالقوه 12 درصد از تراکنش‌های شبکه پرداخت یعنی 5 /2 میلیارد تراکنش سالانه را که بدون حضور کارت و با چهار فاکتور انجام شده‌اند می‌توان با ابزار OTP ایمن کرد. پیش‌بینی می‌شود تعداد تراکنش‌های غیرحضوری کشور در سال 98 به بیش از سه میلیارد تراکنش یرسد.

در دنیا، رمزهای پویا می‌تواند بر بستر کارت، پیامک، ای‌میل یا اپلیکیشن موبایل تولید شود. البته نکته مهم آن است که چیزی به عنوان رمز دوم در سیستم‌های پرداخت بین‌المللی وجود ندارد. در واقع آن چیزی که به صورت پویا تولید می‌شود، کد CVV2 یک‌بارمصرف است نه رمز! زیرا رمز اساساً باید توسط مشتری محفوظ مانده یا امکان تغییر آن وجود داشته باشد و صدور رمز توسط یک سامانه و ثابت بودن CVV2 کارت‌ها از ابداعات سیستم بانکی ایران است! فراگیرترین روش در بین مردم استفاده از پیامک و همچنین تولید و نمایش رمز در اپلیکیشن موبایل است. با توجه به سهم 12درصدی تراکنش‌های غیرحضوری، حدوداً سه میلیارد تراکنش نیاز به ارسال پیامک خواهند داشت. البته این تعداد پیامک در حال حاضر نیز بازار قابل اعتنایی برای اپراتورهای موبایل است. از طرف دیگر با توجه به جنجال‌های پیش‌آمده در سال‌های گذشته پیرامون هزینه ارسال پیامک‌ها، باید دید بانک‌ها به چه صورت می‌توانند این هزینه را از مشتری اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پیامک ابعاد کسب‌وکاری مختلفی دارد که از نتایج این بخشنامه است.

در همین چند هفته که از عمر اجرای پروژه رمز دوم یک‌بارمصرف می‌گذرد، اپلیکیشن‌های بانک‌ها دچار اختلال بوده و در بسیاری از موارد کاربران نتوانستند از طریق پیامک رمز دوم پویا را دریافت کنند. همچنین بسیاری از بانک‌ها هنوز نتوانستند سرویس رمز دوم یک‌بارمصرف را بر بستر USSD ارائه دهند و همین امر سبب کاهش چشمگیر در آمار تراکنش‌های کد دستوری شده است.

بنابراین در حال حاضر که مردم و مشتریان شبکه پرداخت هنوز نتوانسته‌اند رابطه خوبی با رمزهای یک‌بارمصرف برقرار کنند، بسیاری از کسب‌وکارهای اینترنتی با افت تراکنش، ریزش مشتری و کاهش فروش همراه شده‌اند. به عنوان جمع‌بندی می‌توان به چند نکته کلیدی در باب ارزیابی نحوه اجرای طرح رمز دوم یک‌بارمصرف اشاره کرد: نخست آنکه هزینه‌ای که این طرح برای سیستم بانکی داشته به مراتب بسیار بزرگ‌تر از حجم پرونده‌های فیشینگ است و عملاً هنوز این پروژه توجیه اقتصادی ندارد. نکته دوم اهمیت اختیاری بودن سطح امنیت برای مشتریان است. قاعدتاً مشتری که می‌خواهد از سطح بالای امنیت حساب خود برخوردار باشد باید هزینه این امنیت را نیز بپردازد و یکسان بودن نوع حساب‌ها و کارت‌ها قابل قبول نیست و انتظار می‌رود سیستم بانکی بتواند سطوح مختلف امنیت حساب‌ها با هزینه‌های متفاوت را به مشتریان پیشنهاد دهد.

نکته آخر هم آموزش نامناسب، ضعیف و اجرای سریع این طرح است که طی آن، دگرگونی تجربه مشتری سبب شد بسیاری از مردم نتوانند خود را با این ابزار همراه کنند و ترجیح دهند تا از ابزارهای دیگر پرداخت استفاده کنند.