OTP؛ راهکارانحرافی برای پاک کردن صورت مساله/مشتریان تنها و شبکه بانکی بیخیال
مروری بر طرح استفاده مردم از رمز یکبار مصرف؛
یک برآورد کلی نشان میدهد بانک ملی از تابستان 97 مجموعه هزینههایی که صرف خرید محصول، خرید تجهیزات سختافزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دستکم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.
به گزارش پایگاه خبری بانکداری الکترونیک، مهلت بانکها در خصوص ایجاد امکان ارائه رمز یک بارمصرف به دارندگان کارت دیروز به پایان رسید. حدود نیمی از بانکها زیرساخت را فراهم کردند و برخی نیز موفق به این کار نشدند.
مقاله زیر نقدی است بر فرایند الزام استفاده از رمز یکبار مصرف برای پیش گیری از کلاه برداری. برای نقد بهتر از یک تجربه واقعی یعنی کمپین تبلیغاتی اپ 60 بانک ملی استفاده کردم که از نیمه سال گذشته شروع شد و همچنان ادامه دارد.
هر دانلود 300 هزار تومان
یک برآورد کلی نشان میدهد بانک ملی از تابستان 97 مجموعه هزینههایی که صرف خرید محصول، خرید تجهیزات سختافزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دستکم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.
بانکها بنا بر دستور بانک مرکزی به صورت ظاهری یا واقعی تلاش کردند تا به دارندگان کارت بقبولانند از رمز یکبارمصرف استفاده کنند.
بانک ملی یکی از بانکهایی بود که دستور بانک مرکزی را از تابستان سال گذشته در دستور کار قرار داد و با ایجاد زیرساخت اپلیکیشن 60 به کاربران توصیه کرد جهت امنیت تراکنش هایشان از این نرم افزار استفاده کنند و برای این کار نیز سرمایه گذاری قابل توجهی نیز انجام داد اما نتیجه ای که گرفت بسیار نا امید کننده بود.
بنابر آمارهای استخراجشده از سایت های کافه بازار و گوگل پلی، مجموع دانلودهای اپ 60 از شهریورماه سال گذشته که کمپین تبلیغ اپ 60 کلید خورد تنها 200 هزار دانلود بوده که از این میزان نصب کمتر از 100 هزار نفر از نصب کنند گان از این اپ استفاده میکنند.
یک برآورد کلی نشان میدهد بانک ملی از تابستان 97 مجموعه هزینههایی که صرف خرید محصول، خرید تجهیزات سختافزاری، نیروی انسانی، اداری، پشتیبانی و تبلیغ اپ 60 کرده دستکم 30 میلیارد تومان است. محاسبه بر اساس عدد مذکور نشان می دهد هزینه متوسط هر دانلود واقعی دست کم 300 هزار تومان خواهد شد.
بانک ملی کمپین اپ 60 را از اواخر شهریور سال گذشته با شعار «رمزت را فریاد بزن» در کل کشور آغاز کرد و هنوز هم این کمپین به پایان نرسیده است. این تجربه اگر چه برای بزرگترین بانک خاورمیانه بسیار پر هزینه بوده و ممکن است برخی تصور کنند چندان مطالعه و محاسبه علمی در طراحی و اجرای کمپین صورت نگرفته اما از بعد کشوری شاید این تجربه به عنوان یک تجربه واقعی و پایلوت ارزش زیادی داشته باشد.
درس های پایلوت اپ 60
طبق بررسی های آماری، مجموعه کارتهای صادره برداشت کشور حدود 300 میلیون و تعداد کارتهای فعال نیز 80 میلیون فقره اعلامشده و این بدان معناست که تنها حدود 35 درصد کارتهای صادره برداشت (دبیت) در کشور ما فعال هستند و باقی کارتها یا غیرفعالند یا آمارهای ارائهشده واقعی نیستند.
بر همین راستا، طبق اعلام بانک مرکزی تعداد کارتهای برداشت صادره بانک ملی تا پایان شهریور 97 حدود 30 میلیون کارت اعلامشده که با توجه به رشد 7 میلیون کارت در نیمه اول سال، میتوان تخمین زد تعداد صدور این نوع کارتها در پایان سال دستکم به 35 میلیون تا 37 میلیون رسیده است.
به تعبیر دیگر اگر 80 میلیون کارت فعال در کشور ما باشد در حالت خوشبینانه تنها 800 هزار نفر دارندگان کارت از رمز یکبارمصرف استفاده می کردند. در حالت واقعی و بدون تبلیغات به جرات میتوان گفت این رقم به زحمت به 500 هزار کارت در کل کشور و درمجموع بانکها برسد.
اگر مبنا را 35 میلیون کارت برداشت صادره در بانک ملی قرار دهیم و همچنین بر اساس شاخص کارتهای فعال در مقدمه، فرض کنیم 35 درصد این کارتها فعال هستند مجموع کارتهای فعال این بانک حدود 10 تا 12 میلیون فقره خواهد بود.
با مقایسه این رقم یعنی 12 میلیون کارت فعال نزد مشتریان بانک ملی و کمتر از 100 هزار دانلود اپ 60، طی دوران اجرای کمپین، درواقع کمتر از یک درصد دارندگان کارت برداشت در بانک ملی اپ 60 را نصبکرده و از آن استفاده میکنند.
بر همین اساس اگر دوران 8 ماهه اجرای کمپین تبلیغاتی با هدف فراگیر شدن استفاده از اپ 60 در سراسر کشور از طریق رسانه های مختلف را بهعنوان یک دوره آزمونه (پایلوت) در نظر بگیریم به این نتیجه می رسیم که روزانه تنها حدود 400 نفر این رغبت را پیدا می کردند که اپ 60 را دانلود و سپس استفاده کنند.
همچنین به این نتیجه میرسیم که وقتی با سرمایه گذاری زیاد و بازه 8 ماهه تنها کمتر از یک درصد از مشتریان صاحب کارت از آن استقبال کردهاند قطع بهیقین این رقم در بانکهای دیگر بهشدت پایینتر خواهد بود چراکه تا کنون هیچ بانکی برای گسترش استفاده از OTP نهتنها سرمایهگذاری تبلیغی نکرده حتی برخی بانکها قرار بود از این طریق کسب درآمد هم بکنند و بابت آن از مردم پول هم گرفته شود.
به تعبیر دیگر اگر 80 میلیون کارت فعال در کشور ما باشد در حالت خوشبینانه تنها 800 هزار نفر دارندگان کارت از رمز یکبارمصرف استفاده می کردند. در حالت واقعی و بدون تبلیغات به جرات میتوان گفت این رقم به زحمت به 500 هزار کارت در کل کشور و درمجموع بانکها برسد.
مشکل کجاست
بانک مرکزی تضمین می کند؟
در خصوص طرح الزام استفاده از OTP به چند مسئله توجه نشد: اول اینکه فرض کنیم همه دارندگان کارت از رمز یکبارمصرف استفاده کنند. در این صورت آیا بانک مرکزی بهعنوان ابلاغ کننده دستور تضمین میکند که کلاهبرداری به صفر برسد؟ قطع بهیقین چنین تضمینی وجود نخواهد داشت. چراکه کلاهبرداران همواره با شگردهای جدیدشان آمادهاند تا به زیست خود ادامه داده و همیشه یک گام و در ایران چندین گام جلو تر از بانکها حرکت می کنند.
از جهان جلو تریم
مسئله بعدی آن است که چرا وقتی درصد کلاهبرداری در ایران نسبت به جهان بسیار پایین تر است اما میزان نگرانی به شدت بالاتر از دنیاست.
باید به این نکته توجه شود که دستاوردهای حوزه بانکداری الکترونیک محصول غرب است و طبیعتا استناد به آمار و تجربه های آن سوی آب منطقی است و برای پیشگیری از کلاهبرداری هم باید از این تجربه ها استفاده ببریم.
طبق گفتههای غیررسمی مسئولان بانک مرکزی میزان کلاه برداری حوزه کارت در کشور ما تنها یک در 100 هزار معادل یکصد هزارم درصد است در حالی که در دنیا میزان کلاه برداری تا 5 درصد را طبیعی می دانند…
حتی اگر این رقم را تنها یک صدم درصد در نظر بگیریم بازهم از نظر حجم کلاهبرداری، کشور ما نسبت به استاندارد دنیا بسیار جلو است و در واقع در موقعیت خوبی قرار داریم.
چرا در ایران نگرانی ها بسیار بالاست
باید به این نکته توجه شود که دستاوردهای حوزه بانکداری الکترونیک محصول غرب است و طبیعتا استناد به آمار و تجربه های آن سوی آب منطقی است و برای پیشگیری از کلاهبرداری هم باید از این تجربه ها استفاده ببریم.
اما چرا در ایران وضعیت از نظر میزان نگرانی متفاوت است. یکی از علل آن است که در کشور ما بهجای استفاده از تجارب جهان، به راهکارهای من درآوردی اکتفا میکنیم راهکارهایی که اغلب از همان روز اول شکستخورده هستند اما به دلیل فشار شرایط حاکم مسئله را از امروز به فردا موکول می کنیم. چنین فرایندهای معیوبی بدهی ما را به سیستم به مرور آنقدر زیاد می کند که ممکن است روزی کل سیستم به یک باره فرو بنشیند.
ازجمله راهکارهای من درآوردی در کشور ما همین ارائه رمز یکبارمصرف است.
ما خواب نبودیم
اولین بار در بهار سال 84 مسئله به جهت افزایش امنیت کار، مهاجرت به کارت هوشمند مطرح شد. پس ما خواب نبودیم؛ در آن زمان کل کارت های صادره در کشور ما شاید به 5 میلیون کارت نمی رسید.
اما سؤال اینجاست که چرا بعد از 15 سال تازه بهجایی رسیدهایم که میخواهیم روشی را اجرایی کنیم که درصد تحقق آن کمتر از یک درصد است و تضمینکننده امنیت هم نیست.
به تعبیر دیگر چرا درحالیکه خواب نبودهایم اما تعداد کمی کلاهبردار آرامش را بر ما سخت کردهاند؟
در دنیا چه میکنند
مسئلهای که باعث میشود میزان کم کلاهبرداریها در ایران بهشدت پر سروصدا باشد اما 5 درصد تقلب در جهان چندان به چشم نمی آید آن است که در کشور ما مشتری بانک یا دارنده کارت هیچ پشتیبانی جز دادگاه و شکایت ندارد و شکایت زمانی امکان پذیر است که بخش یا تمام دار و ندار یک فرد به سرقت رفته و اغلب هم مراجعه به دادگاه کمتر به نتیجه رسیده است. به تعبیر دیگر صاحب حساب و دارنده کارت در ایران درنهایت کاملاً بیپناه است.
اما در دنیا مکانیزهای مختلف درعینحال مکمل هم طراحیشدهاند بهطوریکه صاحب کارت- چه اعتباری و چه دبیت – درباره سو استفادههای احتمالی چندان نگران نیست. دارنده کارت همان حسی را دارد که ما وقتی خودرو خودمان را بیمه میکنیم.
چند مکانیزم مکمل
مکانیسمهایی که مشتری بانک را در برابر مخاطرات ایمنی میبخشد در چند گام اصلی خلاصه میشود اولین گام رصد رفتار مشتریان است. ایجاد بانک اطلاعاتی از مشتریان، استفاده از فناوریهای بیگدیتا و هوش مصنوعی میتواند بهصورت آنلاین مشتری را در همه تراکنشهایش همراهی کند.
پیاده کردن این مکانیزم برای بانکهای ایرانی اصلاً سخت نیست و بسیار ارزانتر از خریدهای سختافزاری 100 تا 200 میلیارد تومانی است. بخصوص اینکه آنان را به سمت پیاده سازی بانکداری دیجیتال هدایت می کند.
در خصوص رصد رفتار مشتری مختصرا اینکه: وقتی سقف گردش مالی یک شخص در روز 5 میلیون تومان است وقتی یک رقم یا 20 میلیونی وارد حساب وی میشود بانک میتواند به صورت خودکار و بلافاصله حساب را نگه دارد تا مبدا و مقصد را بررسی کند. یا اینکه وقتی تعداد تراکنش های یک فرد در هرروز حدا اکثر 3 تراکنش بوده وقتی یک روز تراکنش های روی کارت وی به 10 تراکنش میرسد بانک میتواند به مقصد و مبدا شک کند و آن را رصد کند.
بهعنوانمثال تنها در یک نمونه از هک حسابها اشاره می کنم: در یکی از بانکهای کشور فردی تنها در یکشب 4 میلیارد تومان را از طریق کارت در 80 تراکنش 50 میلیون تومانی جابجا کرده است. در حالی که پیش از ان گردش حساب وی کلا به 50 میلیون هم نمی رسیده که همیشه هم این تراکنش ها در روز اتفاق افتاده است. بانک اگر رصد رفتار مشتری را داشت در تراکنش اول یا نهایتا دوم واریز های 50 میلیونی حساب وی را مسدود می کرد. نمونههای اینچنینی کم نیست.
بانکها در خصوص رصد رفتار مشتری حتی می توانند به پرتکلی مشترک دست یابند که بلافاصله رفتار مشتریان مشکوک را به هم خبر دهند.
اما وقتی رصد رفتار مشتری را نداریم مجبوریم 80 میلیون نفر را اسیر کنیم برای اینکه تعداد بسیار اندکی قصد کلاه برداری دارند. به تعبیر دیگر ساز را به شکل بسیار مشهودی بر عکس گرفته ایم.
مکانیزم بیمه
مکانیسم دیگر پوشش ریسک توسط بیمه است؛ که سازوکارهای آن به اشکال مختلف در دسترس است و در قالب محصولات مختلف از سوی بیمهها ارائه میشود. نکته اساسی در خصوص بیمه آن است که بانک و مشتری قبل از ورود بیمه باید طی همکاری باهم ریسکهای سو استفاده را از طریق مکانیزمهای پیشگیرانه از جمله رصد رفتار مشتری، محدودیت سقف، فاصله در انتقال پول، انتقال تراکنش های خرد به آف لاین، به حداقل برسانند و سپس بیمه وارد شود.
در ایران چون برای مشتری هیچ پشتیبانی نیست ریسک حساب بالاست. لذا پوشش این ریسک بالا پر هزینه خواهد بود و عملا غیر اقتصادی است. درنتیجه حق بیمه بهقدری بالا میرود که عملاً مشتری یا بانک استقبال چندانی از فرایند بیمه نمیکند. درحالیکه غفلت اصلی را بانک انجام داده است که تنها تا زمان صدور کارت همراه مشتری است.
EMV راهکار بلند مدت
بسیاری بهغلط فکر می کنند با پیادهسازی استاندارد ایام وی مشکلات حل خواهد شد. درحالیکه ایام وی یک ضرورت بلندمدت است؛ و حتی اگر در کوتاه مدت هم پیاده سازی شود در کاهش کلاه برداری چندان تاثیر نخواهد کرد. علت آن است که رفتن به سمت ای ام وی برای درصد احتمال کلاهبرداری تا حدود 5 درصد است ولی وقتی در کشور ما درصد سو استفاده بسیار پایین است این راهبرد به کار نخواهد آمد.
به همین خاطر EMV تنها یک راهبرد بلند مدت است که باید بهمرور به سمت پیادهسازی آن رفت چون روزی خواهد رسید که حجم کلاه برداری ها رشد معنا دار پیدا کند و باید از هم اکنون برنامه ریزی لازم را داشت… ضمن اینکه برای پیشگیری از افزایش شدید کلاهبرداری پیادهسازیایام وی یک اتفاق مثبت است اما برای شرایط فعلاً هیچ کمکی نمیکند.
مسئله را درست تعریف نکرده ایم
اول باید بپذیریم که ایران در خصوص کلاهبرداری در حوزه کارتهای بانکی نسبت به جهان نه تنها دچار مشکلی نیست بلکه وضع کامل خوبی دارد.
اگر بازیگران اصلی بازار کارت غیر از صاحبان کارت یعنی رگلاتور و بانکها اقدامات درست متناسب با تجربه های آنسوی آب انجام دهند خودبهخود کلاهبرداری های اندکی که وجود دارد شکل دیگری می یابد.
با این پیش فرض کل مسئله ما تغییر خواهد کرد و ما به سمتی خواهیم رفت که نگرانی مشتری را به حداقل برسانیم در عین حال که می داند داشتن کارت مخاطراتی دارد همانگونه که رانندگی با خودرو نیز مخاطراتی دارد که باید از قبل برای پوشش آن راهکارهایی اندیشید.
دوم اینکه بپذیریم در خصوص الزام بر استفاده از رمز یکبارمصرف مسئله را بد تعریف کردهایم
در چنین صورتی راهحل چندان سخت نیست. اگر بازیگران اصلی بازار کارت غیر از صاحبان کارت یعنی رگلاتور و بانکها اقدامات درست متناسب با تجربه های آنسوی آب انجام دهند خودبهخود کلاهبرداری های اندکی که وجود دارد شکل دیگری می یابد.
به تعبیر دیگر در یک بزرگراه مطمئن، خودرو ایمن مجهز با ابزارهای فناوری جیپیاس و نهایتاً بیمه راننده با خیال آسوده رانندگی می کند و اتفاقا بهتر مقررات را رعایت می کند. در چنین صورتی میزان خسارات جانی و مالی هم به شکل بسیار معناداری کاسته خواهد شد؛ اما وقتی جاده ناایمن، ماشین ناایمن، فناوری در خودرو در حد صفر، هزینه بیمه بالا باشد در چنین شرایطی اگر فقط از راننده بخواهیم که خوب رانندگی کند اولا معلوم نیست به حرف ما گوش دهد چون می بیند که نه مسئول راهداری و نه خودرو ساز هیچ کدام به وظایف خود عمل نکرده اند.
در نتیجه نباید انتظار داشته باشیم رعایت مقررات روی خط سبز باشد. همان میشود که اکنون در کشور ما جاری است. نکته آن است که خودروسازها شاید نتوانند خودروها را ایمن کنند اما بانکها بهواسطه ابزارهای فناوری که دارند میتوانند میزان ایمنی حسابها را از طریق رصد رفتار مشتری تا حد زیادی بالا ببرند. شبکهها و درگاههای پرداخت اینترنتی، موبایلی و کارتخوان را هم متولیان این شبکهها میتوانند ایمنی را بالا ببرند. در این صورت بیمهها هم قادرند ریسک آن حداقل کلاهبرداری را پوشش دهند.
چرا اشتباه میرویم
هیچ به این فکر کردهاید که بانک مرکزی خود قادر نیست 42 بانک و موسسه را بهگونهای مدیریت کند که بسترهای نرم و سختافزاری استانداردی داشته باشند؛ اما از بانکها انتظار دارد 80 میلیون دارنده کارت را که روزانه 225 میلیون تراکنش انجام میدهند را مدیریت کنند.
ضمن اینکه مسئولان بانک مرکزی و بانکها کاملاً هم دیگر را میشناسند در دسترس هم هستند و سالن طبقه 17 یا 18 بانک مرکزی هرروز میهمان بخشی از همین مدیران است؛ اما بانکها با یک کشور با طبقات اجتماعی و اقتصادی مختلف، سطح سواد مختلف و فرهنگ متفاوت روبرو هستند.
به نظر میرسد در هنگام ارائه خیلی از راهحلهایی که بعضاً بر اجرای آنهم تأکید میشود معلوم نیست اصلاً دربارهاش فکر هم کردهایم.
چرا ما اینجا هستیم
چرا بانکها مشتریان را بدون پشتیبان رها کردهاند. آیا آنها که حاضرند به مشتری سود سپرده بالای 30 درصد بدهند دوست ندارند از مشتری حمایت کند. آیا مشکل در فهم مسئله است یا زیرساخت مشکل دارد.
آیا باید بپذیریم که همانقدر که بانکها عاشق خرید سختافزار بودهاند برای فهم درست مسئله مشتریان سرمایه کافی نگذاشتهاند تا زیرساخت فناوری درستی طراحی کنند. مسئله بهواقع کجاست؟
آیا اگر مشکل از بانک مرکزی است که بجای تدوین و ابلاغ استانداردها از طریق نامهها و فرمانها مختلف مدیریت میکند و بانکها تنها عاملیت میکنند. آیا مشکل نبود آدمهاست یا انحصارطلبی آدمها…مشکل معماری و اکوسیستم و ساختار نظام بانکی است یا اینکه اولویت بانکها جای دیگری است. هر چه باشد باید راهی پیدا کنیم که ایمن رانندگی کنیم. برای این کار همه باید رفتارشان را درست کنند و تصمیمات درست بگیرند.
در غیر این صورت راه حل های فاقد توجیه علمی فقط مشکل امروز را به فردا منتقل می کند و وقتی مشکلات امکان انتقال به فردای دیگری را نداشته باشد این سیستم است که زمین می خورد.
سلام
ضمن تشکر از شما بابت ارائه این موضوع مهم در این نوشتار، باید عرض کنم که
موضوع بسیار مهم امضا الکترونیکی فراموش شده، کاربردی که در دنیا برای تراکنش های بانکی مرسوم است و بیمه با اتکا به آن قابل استفاده می باشد.
ارادتمند
محمدرضا پورحسن