کارت به کارت، قاتق نان یا بلای جان
متأسفانه با گذشت چندين سال از صدور کارت هوشمند ملی، بحث امضاء ديجيتال فردی، در کشور بلاتکليف باقی مانده است و هنوز هم استفاده از کارت هوشمند ملی برای چنين امری به علت بی توجهی مسئولان، در هالهای از ابهام قرار دارد. در ضمن شاپرک هم با تعلل جدی و بی عملی در حوزه تدوين قواعد امنيتی و چارچوبهای کيف پول و فعالان آن برای سالهای متمادی، به اين ريسک دامن میزند.روش OTP يا رمز دوم پويا به علت برخي اختلالات مخابراتی و هزينه پيامک، روش مناسبی نیست و صرفاً به عنوان يک مُسَکِن می توان آن را در نظر گرفت که البته هزينههای بانکها را با وجود کارمزد فعلی افزايش میدهد و فشار ديگری بر بانکها وارد میکند.
حجم فيشينگ در شبکه بانکي کشور روزبهروز در حال افزايش است. گزارشها حاکيست که حجم بزرگي از پروندههاي نزد پليس فتا به فيشينگ اختصاص دارد. گاهي تصور میکنیم فيشينگ صرفاً به افراد با سواد کم سايبري اختصاص دارد؛ اما در عمل افراد بسیاری از قشر تحصيلکرده اين کشور را در بر ميگيرد که حتماً اخبار آن را شنیدهاید.
در حال حاضر حجم زيادي از تراکنشهاي مالي بر بستر اپها و درگاه پرداخت موبايلي و اينترنتي صورت میگیرد و با گسترش خدمات الکترونيکي بر اين حجم افزوده میشود.
يکي از روشهاي داراي ريسک در عمليات بانکي که به علت سهولت به شدت فراگير شده است، روش کارت به کارت از طريق اپها يا درگاههاي اينترنتي است. تفاوت اين روش با انجام کارت به کارت در ATM اين است که در ATM حتماً بايد کارت مبدأ به صورت فيزيکي در اختيار فرد باشد تا قادر به انجام اين امر شود، در حالي که در روش کارت به کارت روي اينترنت و موبايل، اطميناني از وجود و تعلق کارت مبدأ به انجامدهنده انتقال وجود ندارد.
کارت به کارت از طریق اینترنت جزو خدمات بانکداری اینترنتی محسوب نمیشود و از آنجایی که ریسک امنیتی بالایی دارد، بانک مرکزی هیچگونه مسئولیتی در قبال آن بر عهده نگرفته است؛ با اينکه اين سرويس، سرويس شتاب ي است و در چارچوب شاپرک قرار نميگيرد و تراکنش بر زيرساخت شبکه شتاب منتقل میشود.
عدم وجود تأييد دو مرحلهاي و عدم امکان احصاء موقعيت مکاني و عدم امکان بررسي شماره موبايل مبدأ سرويس کارت به کارت را به شدت براي سودجويان مناسب میکند.
مشکل ديگر، احتمال نگهداري يا انتقال غير امن اطلاعات کارت در برخي سوئيچهاي بانکي و قابليت شنود غير مجاز در بستر اينترنت يا بدافزارهاي ساکن بر گوشيها و رايانههاست که احتمال بروز اين ريسک را به شدت افزايش ميدهد.
اصولاً اين سرويس، در بانکداري الکترونيکي ساير کشورها، سرويس متداولي نيست و عموماً اين عمل از طريق شعب، کيف پول يا ATM صورت ميپذيرد يا در برخي از کشورها با استفاده از ترکيب کيف پول با امضاء ديجيتال صورت میگیرد؛ البته متداولترين و ايمنترين روش در همه دنيا براي اينگونه تراکنشها، استفاده از کيف پولهاي الکترونيکي است که با استفاده از استانداردهاي 3D Secure و ساير استانداردهاي اين حوزه از ايمني مناسب برای اين اقدام برخوردارند.
متأسفانه با گذشت چندين سال از صدور کارت هوشمند ملي، بحث امضاء ديجيتال فردي، در کشور بلاتکليف باقی مانده است و هنوز هم استفاده از کارت هوشمند ملي براي چنين امري به علت بيتوجهي مسئولان، در هالهاي از ابهام قرار دارد. در ضمن شاپرک هم با تعلل جدي و بيعملي در حوزه تدوين قواعد امنيتي و چارچوبهاي کيف پول و فعالان آن براي سالهاي متمادي، به اين ريسک دامن میزند.
روش OTP يا رمز دوم پويا به علت برخي اختلالات مخابراتي و هزينه پيامک، روش مناسبي نیست و صرفاً به عنوان يک مُسَکِن ميتوان آن را در نظر گرفت که البته هزينههاي بانکها را با وجود کارمزد فعلي افزايش میدهد و فشار ديگري بر بانکها وارد میکند.
با توجه به آنچه گذشت، برای ايجاد بستر امن انتقال فوري پول بين افراد به زيرساختهاي زير نیاز داریم:
1- راهاندازي بيمه پرداختهاي خرد که تقريباً در بخش عمده جهان ريسک تراکنشهاي مالي را کاهش ميدهد.
2- راهاندازي امضاء ديجيتال بانکي با روشهاي سهلالوصول، مانند کارتهاي هوشمندي که قابليت اتصال به پورت USB کامپيوتر را دارند.
3- انتخاب و تدوين استاندارد ملي کيف پول الکترونيکي و نحوه تبادل اطلاعات فيمابين اين کيفها با حفظ محرمانگي از طريق استانداردهاي لازم
4- عدم استفاده از کارت به کارت برای انتقال فوري پول و محول کردن اين وظيفه به کيفهاي پول الکترونيکي
5- تعيين ضوابط حاکم بر فعالان کيف پول و نحوة نظارت و پردازشهاي فني مورد نياز
6- استفاده از استانداردهاي امنيتي شبيه به 3D Secure و تأييديههاي امنيتي دو مرحلهاي
در خاتمه چون تحقق موارد مطروحه بالا با همگرایی نهادهاي متعدد از جمله بيمه مرکزي، بانک مرکزي، شاپرک ، ثبت احوال (به عنوان متولي امضاء ديجيتال و گواهي ديجيتال ملي) و … امکانپذیر است و چون نهادهای نامبرده اراده واحد و لازم را ندارند تا زماني که اشکالات جدي رخ ندهد، پيشبيني استفاده از مُسَکِنهايي نظير OTP مطرح میشود که به صورت مقطعي، بخشي و ناپايدار مشکل را مرتفع میکنند.
ماهنامه بانکداری آینده