مروری بر طرح استفاده مردم از رمز یکبار مصرف؛

OTP؛ راهکارانحرافی برای پاک کردن صورت مساله/مشتریان تنها و شبکه بانکی بیخیال

محمود فراهانی؛ سردبیر

یک برآورد کلی نشان می‌دهد بانک ملی از تابستان 97 مجموعه هزینه‌هایی که صرف خرید محصول، خرید تجهیزات سخت‌افزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دست‌کم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.

به گزارش پایگاه خبری بانکداری الکترونیک، مهلت بانکها در خصوص ایجاد امکان ارائه رمز یک بارمصرف به دارندگان کارت دیروز به پایان رسید. حدود نیمی از بانکها زیرساخت را فراهم کردند و برخی نیز موفق به این کار نشدند.

مقاله زیر نقدی است بر فرایند الزام استفاده از رمز یکبار مصرف برای پیش گیری از کلاه برداری. برای نقد بهتر از یک تجربه واقعی یعنی کمپین تبلیغاتی اپ 60 بانک ملی استفاده کردم که از نیمه سال گذشته شروع شد و همچنان ادامه دارد.

هر دانلود 300 هزار تومان

یک برآورد کلی نشان می‌دهد بانک ملی از تابستان 97 مجموعه هزینه‌هایی که صرف خرید محصول، خرید تجهیزات سخت‌افزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دست‌کم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.

بانک‌ها بنا بر دستور بانک مرکزی به صورت ظاهری یا واقعی تلاش کردند تا به دارندگان کارت بقبولانند از رمز یک‌بارمصرف استفاده کنند.

بانک ملی یکی از بانکهایی بود که دستور بانک مرکزی را از تابستان سال گذشته در دستور کار قرار داد و با ایجاد زیرساخت اپلیکیشن 60 به کاربران توصیه کرد جهت امنیت تراکنش هایشان از این نرم افزار استفاده کنند و برای این کار نیز سرمایه گذاری قابل توجهی نیز انجام داد اما نتیجه ای که گرفت بسیار نا امید کننده بود.

 بنابر آمارهای استخراج‌شده از سایت های کافه بازار و گوگل پلی، مجموع دانلودهای اپ 60 از شهریورماه سال گذشته که کمپین تبلیغ اپ 60 کلید خورد تنها 200 هزار دانلود بوده که از این میزان نصب کمتر از 100 هزار نفر از نصب کنند گان از این اپ استفاده می‌کنند.

یک برآورد کلی نشان می‌دهد بانک ملی از تابستان 97 مجموعه هزینه‌هایی که صرف خرید محصول، خرید تجهیزات سخت‌افزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دست‌کم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.

بانک ملی کمپین اپ 60 را از اواخر شهریور سال گذشته با شعار «رمزت را فریاد بزن» در کل کشور آغاز کرد و هنوز هم این کمپین به پایان نرسیده است. این تجربه اگر چه برای بزرگترین بانک خاورمیانه بسیار پر هزینه بوده و ممکن است برخی تصور کنند چندان مطالعه و محاسبه علمی در طراحی و اجرای کمپین صورت نگرفته اما از بعد کشوری شاید این تجربه به عنوان یک تجربه واقعی و پایلوت ارزش زیادی داشته باشد.

درس های پایلوت اپ 60

طبق بررسی های آماری، مجموعه کارت‌های صادره برداشت کشور حدود 300 میلیون و تعداد کارت‌های فعال نیز 80 میلیون فقره اعلام‌شده و این بدان معناست که تنها حدود 35 درصد کارت‌های صادره برداشت (دبیت) در کشور ما فعال هستند و باقی کارت‌ها یا غیرفعالند یا آمارهای ارائه‌شده واقعی نیستند.

بر همین راستا، طبق اعلام بانک مرکزی تعداد کارت‌های برداشت صادره بانک ملی تا پایان شهریور 97 حدود 30 میلیون کارت اعلام‌شده که با توجه به رشد 7 میلیون کارت در نیمه اول سال، می‌توان تخمین زد تعداد صدور این نوع کارت‌ها در پایان سال دست‌کم به 35 میلیون تا 37 میلیون رسیده است.

به تعبیر دیگر اگر 80 میلیون کارت فعال در کشور ما باشد در حالت خوشبینانه تنها 800 هزار نفر دارندگان کارت از رمز یک‌بارمصرف استفاده می‌ کردند. در حالت واقعی و بدون تبلیغات به جرات می‌توان گفت این رقم به زحمت به 500 هزار کارت در کل کشور و درمجموع بانک‌ها برسد.

اگر مبنا را 35 میلیون کارت برداشت صادره در بانک ملی قرار دهیم و همچنین بر اساس شاخص کارت‌های فعال در مقدمه، فرض کنیم 35 درصد این کارت‌ها فعال هستند مجموع کارت‌های فعال این بانک حدود 10 تا 12 میلیون فقره خواهد بود.

با مقایسه این رقم یعنی 12 میلیون کارت فعال نزد مشتریان بانک ملی و کمتر از 100 هزار دانلود اپ 60، طی دوران اجرای کمپین، درواقع کمتر از یک درصد دارندگان کارت برداشت در بانک ملی اپ 60 را نصب‌کرده و از آن استفاده می‌کنند.

بر همین اساس اگر دوران 8 ماهه اجرای کمپین تبلیغاتی با هدف فراگیر شدن استفاده از اپ 60 در سراسر کشور از طریق رسانه های مختلف را به‌عنوان یک دوره آزمونه‌ (پایلوت) در نظر بگیریم به این نتیجه می رسیم که روزانه تنها حدود 400 نفر این رغبت را پیدا می کردند که اپ 60 را دانلود و سپس استفاده کنند.

همچنین به این نتیجه می‌رسیم که وقتی با سرمایه گذاری زیاد و بازه 8 ماهه تنها کمتر از یک درصد از مشتریان صاحب کارت از آن استقبال کرده‌اند قطع به‌یقین این رقم در بانک‌های دیگر به‌شدت پایین‌تر خواهد بود چراکه تا کنون هیچ بانکی برای گسترش استفاده از OTP نه‌تنها سرمایه‌گذاری تبلیغی نکرده حتی برخی بانکها قرار بود از این طریق کسب درآمد هم بکنند و بابت آن از مردم پول هم گرفته شود.

به تعبیر دیگر اگر 80 میلیون کارت فعال در کشور ما باشد در حالت خوشبینانه تنها 800 هزار نفر دارندگان کارت از رمز یک‌بارمصرف استفاده می‌ کردند. در حالت واقعی و بدون تبلیغات به جرات می‌توان گفت این رقم به زحمت به 500 هزار کارت در کل کشور و درمجموع بانک‌ها برسد.

مشکل کجاست

بانک مرکزی تضمین می کند؟

در خصوص طرح الزام استفاده از OTP به چند مسئله توجه نشد: اول این‌که فرض کنیم همه دارندگان کارت از رمز یک‌بارمصرف استفاده کنند. در این صورت آیا بانک مرکزی به‌عنوان ابلاغ کننده دستور تضمین می‌کند که کلاه‌برداری به صفر برسد؟ قطع به‌یقین چنین تضمینی وجود نخواهد داشت. چراکه کلاه‌برداران همواره با شگردهای جدیدشان آماده‌اند تا به زیست خود ادامه داده و همیشه یک گام و در ایران چندین گام جلو تر از بانکها حرکت می کنند.

از جهان جلو تریم

مسئله بعدی آن است که چرا وقتی درصد کلاه‌برداری در ایران نسبت به جهان بسیار پایین تر است اما میزان نگرانی به شدت بالاتر از دنیاست.

باید به این نکته توجه شود که دستاوردهای حوزه بانکداری الکترونیک محصول غرب است و طبیعتا استناد به آمار و تجربه های آن سوی آب منطقی است و برای پیش‌گیری از کلاه‌برداری هم باید از این تجربه ها استفاده ببریم.

طبق گفته‌های غیررسمی مسئولان بانک مرکزی میزان کلاه برداری حوزه کارت در کشور ما تنها یک در 100 هزار معادل یک‌صد هزارم درصد است در حالی که در دنیا میزان کلاه برداری تا 5 درصد را طبیعی می دانند...

حتی اگر این رقم را تنها یک صدم درصد در نظر بگیریم بازهم از نظر حجم کلاه‌برداری، کشور ما نسبت به استاندارد دنیا بسیار جلو است و در واقع در موقعیت خوبی قرار داریم.

چرا در ایران نگرانی ها بسیار بالاست

باید به این نکته توجه شود که دستاوردهای حوزه بانکداری الکترونیک محصول غرب است و طبیعتا استناد به آمار و تجربه های آن سوی آب منطقی است و برای پیش‌گیری از کلاه‌برداری هم باید از این تجربه ها استفاده ببریم.

اما چرا در ایران وضعیت از نظر میزان نگرانی متفاوت است. یکی از علل آن است که در کشور ما به‌جای استفاده از تجارب جهان، به راهکارهای من درآوردی اکتفا می‌کنیم راهکارهایی که اغلب از همان روز اول شکست‌خورده هستند اما به دلیل فشار شرایط حاکم مسئله را از امروز به فردا موکول می کنیم. چنین فرایندهای معیوبی بدهی ما را به سیستم به مرور آنقدر زیاد می کند که ممکن است روزی کل سیستم به یک باره فرو بنشیند.

 ازجمله راهکارهای من درآوردی در کشور ما همین ارائه رمز یک‌بارمصرف است.

ما خواب نبودیم

اولین بار در بهار سال 84 مسئله به جهت افزایش امنیت کار، مهاجرت به کارت هوشمند مطرح شد. پس ما خواب نبودیم؛ در آن زمان کل کارت های صادره در کشور ما شاید به 5 میلیون کارت نمی رسید.

اما سؤال اینجاست که چرا بعد از 15 سال تازه به‌جایی رسیده‌ایم که می‌خواهیم روشی را اجرایی کنیم که درصد تحقق آن کمتر از یک درصد است و تضمین‌کننده امنیت هم نیست.

به تعبیر دیگر چرا درحالی‌که خواب نبوده‌ایم اما تعداد کمی کلاه‌بردار آرامش را بر ما سخت کرده‌اند؟

در دنیا چه می‌کنند

مسئله‌ای که باعث می‌شود میزان کم کلاه‌برداری‌ها در ایران به‌شدت پر سروصدا باشد اما 5 درصد تقلب در جهان چندان به چشم نمی آید آن است که در کشور ما مشتری بانک یا دارنده کارت هیچ پشتیبانی جز دادگاه و شکایت ندارد و شکایت زمانی امکان پذیر است که بخش یا تمام دار و ندار یک فرد به سرقت رفته و اغلب هم مراجعه به دادگاه کمتر به نتیجه رسیده است. به تعبیر دیگر صاحب حساب و دارنده کارت در ایران درنهایت کاملاً بی‌پناه است.

 اما در دنیا مکانیزه‌ای مختلف درعین‌حال مکمل هم طراحی‌شده‌اند به‌طوری‌که صاحب کارت- چه اعتباری و چه دبیت - درباره سو استفاده‌های احتمالی چندان نگران نیست. دارنده کارت همان حسی را دارد که ما وقتی خودرو خودمان را بیمه می‌کنیم.

چند مکانیزم مکمل

مکانیسم‌هایی که مشتری بانک را در برابر مخاطرات ایمنی می‌بخشد در چند گام اصلی خلاصه می‌شود اولین گام رصد رفتار مشتریان است. ایجاد بانک اطلاعاتی از مشتریان، استفاده از فناوری‌های بیگ‌دیتا و هوش مصنوعی می‌تواند به‌صورت آنلاین مشتری را در همه تراکنش‌هایش همراهی کند.

پیاده کردن این مکانیزم برای بانک‌های ایرانی اصلاً سخت نیست و بسیار ارزان‌تر از خریدهای سخت‌افزاری 100 تا 200 میلیارد تومانی است. بخصوص اینکه آنان را به سمت پیاده سازی بانکداری دیجیتال هدایت می کند.

 در خصوص رصد رفتار مشتری مختصرا اینکه: وقتی سقف گردش مالی یک شخص در روز 5 میلیون تومان است وقتی یک رقم یا 20 میلیونی وارد حساب وی می‌شود بانک می‌تواند به صورت خودکار و بلافاصله حساب را نگه دارد تا مبدا و مقصد را بررسی کند. یا اینکه وقتی تعداد تراکنش های یک فرد در هرروز حدا اکثر 3 تراکنش بوده وقتی یک روز تراکنش های روی کارت وی به 10 تراکنش می‌رسد بانک می‌تواند به مقصد و مبدا شک کند و آن را رصد کند.

به‌عنوان‌مثال تنها در یک نمونه از هک حساب‌ها اشاره می کنم: در یکی از بانکهای کشور فردی تنها در یک‌شب 4 میلیارد تومان را از طریق کارت در 80 تراکنش 50 میلیون تومانی جابجا کرده است. در حالی که پیش از ان گردش حساب وی کلا به 50 میلیون هم نمی رسیده که همیشه هم این تراکنش ها در روز اتفاق افتاده است. بانک اگر رصد رفتار مشتری را داشت در تراکنش اول یا نهایتا دوم واریز های 50 میلیونی حساب وی را مسدود می کرد. نمونه‌های این‌چنینی کم نیست.

بانکها در خصوص رصد رفتار مشتری حتی می توانند به پرتکلی مشترک دست یابند که بلافاصله رفتار مشتریان مشکوک را به هم خبر دهند.

اما وقتی رصد رفتار مشتری را نداریم مجبوریم 80 میلیون نفر را اسیر کنیم برای اینکه تعداد بسیار اندکی قصد کلاه برداری دارند. به تعبیر دیگر ساز را به شکل بسیار مشهودی بر عکس گرفته ایم.

مکانیزم بیمه

مکانیسم دیگر پوشش ریسک توسط بیمه است؛ که سازوکارهای آن به اشکال مختلف در دسترس است و در قالب محصولات مختلف از سوی بیمه‌ها ارائه می‌شود. نکته اساسی در خصوص بیمه آن است که بانک و مشتری قبل از ورود بیمه باید طی همکاری باهم ریسک‌های سو استفاده را از طریق مکانیزمهای پیشگیرانه از جمله رصد رفتار مشتری، محدودیت سقف، فاصله در انتقال پول، انتقال تراکنش های خرد به آف لاین، به حداقل برسانند و سپس بیمه وارد شود.

در ایران چون برای مشتری هیچ پشتیبانی نیست ریسک حساب بالاست. لذا پوشش این ریسک بالا پر هزینه خواهد بود و عملا غیر اقتصادی است. درنتیجه حق بیمه به‌قدری بالا می‌رود که عملاً مشتری یا بانک استقبال چندانی از فرایند بیمه نمی‌کند. درحالی‌که غفلت اصلی را بانک انجام داده است که تنها تا زمان صدور کارت همراه مشتری است.

EMV راهکار بلند مدت

بسیاری به‌غلط فکر می کنند با پیاده‌سازی استاندارد ای‌ام وی مشکلات حل خواهد شد. درحالی‌که ای‌ام وی یک ضرورت بلندمدت است؛ و حتی اگر در کوتاه مدت هم پیاده سازی شود در کاهش کلاه برداری چندان تاثیر نخواهد کرد. علت آن است که رفتن به سمت ای ام وی برای درصد احتمال کلاهبرداری تا حدود 5 درصد است ولی وقتی در کشور ما درصد سو استفاده بسیار پایین است این راهبرد به کار نخواهد آمد.

به همین خاطر EMV تنها یک راهبرد بلند مدت است که باید به‌مرور به سمت پیاده‌سازی آن رفت چون روزی خواهد رسید که حجم کلاه برداری ها رشد معنا دار پیدا کند و باید از هم اکنون برنامه ریزی لازم را داشت... ضمن اینکه برای پیشگیری از افزایش شدید کلاه‌برداری پیاده‌سازی‌ای‌ام وی یک اتفاق مثبت است اما برای شرایط فعلاً هیچ کمکی نمی‌کند.

مسئله را درست تعریف نکرده ایم

اول باید بپذیریم که ایران در خصوص کلاه‌برداری در حوزه کارت‌های بانکی نسبت به جهان نه تنها دچار مشکلی نیست بلکه وضع کامل خوبی دارد.

اگر بازیگران اصلی بازار کارت غیر از صاحبان کارت یعنی رگلاتور و بانک‌ها اقدامات درست متناسب با تجربه های آنسوی آب انجام دهند خودبه‌خود کلاه‌برداری های اندکی که وجود دارد شکل دیگری می یابد.

با این پیش فرض کل مسئله ما تغییر خواهد کرد و ما به سمتی خواهیم رفت که نگرانی مشتری را به حداقل برسانیم در عین حال که می داند داشتن کارت مخاطراتی دارد همانگونه که رانندگی با خودرو نیز مخاطراتی دارد که باید از قبل برای پوشش آن راهکارهایی اندیشید.

دوم اینکه بپذیریم در خصوص الزام بر استفاده از رمز یک‌بارمصرف مسئله را بد تعریف کرده‌ایم

در چنین صورتی راه‌حل چندان سخت نیست. اگر بازیگران اصلی بازار کارت غیر از صاحبان کارت یعنی رگلاتور و بانک‌ها اقدامات درست متناسب با تجربه های آنسوی آب انجام دهند خودبه‌خود کلاه‌برداری های اندکی که وجود دارد شکل دیگری می یابد.

به تعبیر دیگر در یک بزرگراه مطمئن، خودرو ایمن مجهز با ابزارهای فناوری جی‌پی‌اس و نهایتاً بیمه راننده با خیال آسوده رانندگی می کند و اتفاقا بهتر مقررات را رعایت می کند. در چنین صورتی میزان خسارات جانی و مالی هم به شکل بسیار معناداری کاسته خواهد شد؛ اما وقتی جاده ناایمن، ماشین ناایمن، فناوری در خودرو در حد صفر، هزینه بیمه بالا باشد در چنین شرایطی اگر فقط از راننده بخواهیم که خوب رانندگی کند اولا معلوم نیست به حرف ما گوش دهد چون می بیند که نه مسئول راهداری و نه خودرو ساز هیچ کدام به وظایف خود عمل نکرده اند.

در نتیجه نباید انتظار داشته باشیم رعایت مقررات روی خط سبز باشد. همان می‌شود که اکنون در کشور ما جاری است. نکته آن است که خودروسازها شاید نتوانند خودروها را ایمن کنند اما بانک‌ها به‌واسطه ابزارهای فناوری که دارند می‌توانند میزان ایمنی حساب‌ها را از طریق رصد رفتار مشتری تا حد زیادی بالا ببرند. شبکه‌ها و درگاه‌های پرداخت اینترنتی، موبایلی و کارت‌خوان را هم متولیان این شبکه‌ها می‌توانند ایمنی را بالا ببرند. در این صورت بیمه‌ها هم قادرند ریسک آن حداقل کلاه‌برداری را پوشش دهند.

چرا اشتباه می‌رویم

هیچ به این فکر کرده‌اید که بانک مرکزی خود قادر نیست 42 بانک و موسسه را به‌گونه‌ای مدیریت کند که بسترهای نرم و سخت‌افزاری استانداردی داشته باشند؛ اما از بانک‌ها انتظار دارد 80 میلیون دارنده کارت را که روزانه 225 میلیون تراکنش انجام می‌دهند را مدیریت کنند.

ضمن اینکه مسئولان بانک مرکزی و بانک‌ها کاملاً هم دیگر را می‌شناسند در دسترس هم هستند و سالن طبقه 17 یا 18 بانک مرکزی هرروز میهمان بخشی از همین مدیران است؛ اما بانک‌ها با یک کشور با طبقات اجتماعی و اقتصادی مختلف، سطح سواد مختلف و فرهنگ متفاوت روبرو هستند.

به نظر می‌رسد در هنگام ارائه خیلی از راه‌حل‌هایی که بعضاً بر اجرای آن‌هم تأکید می‌شود معلوم نیست اصلاً درباره‌اش فکر هم کرده‌ایم.

چرا ما اینجا هستیم

چرا بانک‌ها مشتریان را بدون پشتیبان رها کرده‌اند. آیا آن‌ها که حاضرند به مشتری سود سپرده بالای 30 درصد بدهند دوست ندارند از مشتری حمایت کند. آیا مشکل در فهم مسئله است یا زیرساخت مشکل دارد.

آیا باید بپذیریم که همان‌قدر که بانک‌ها عاشق خرید سخت‌افزار بوده‌اند برای فهم درست مسئله مشتریان سرمایه کافی نگذاشته‌اند تا زیرساخت فناوری درستی طراحی کنند. مسئله به‌واقع کجاست؟

آیا اگر مشکل از بانک مرکزی است که بجای تدوین و ابلاغ استانداردها از طریق نامه‌ها و فرمان‌ها مختلف مدیریت می‌کند و بانک‌ها تنها عاملیت می‌کنند. آیا مشکل نبود آدم‌هاست یا انحصارطلبی آدم‌ها...مشکل معماری و اکوسیستم و ساختار نظام بانکی است یا اینکه اولویت بانکها جای دیگری است. هر چه باشد باید راهی پیدا کنیم که ایمن رانندگی کنیم. برای این کار همه باید رفتارشان را درست کنند و تصمیمات درست بگیرند.

در غیر این صورت راه حل های فاقد توجیه علمی فقط مشکل امروز را به فردا منتقل می کند و وقتی مشکلات امکان انتقال به فردای دیگری را نداشته باشد این سیستم است که زمین می خورد.

 


خبر پیشنهادی

این مطلب را به اشتراک بگذارید
خبر پیشنهادی