امنیت تراکنش های خرد، نیازمند راهکار اساسی است/ نزدیک اما دور
بررسی کیف پول در میز سخن فعالان بانکی و پرداخت
کیف پول در ایران داستان درازی دارد.حالا با توجه به ریسک های موجود ناشی از چالش های صنعت پرداخت، پیاده سازی آن توسط بانک ها به یک ضرورت تبدیل شده است.همانطور که کارت به کارت مشکل ایجاد کرده توسعه کیف پول نیز با سختی ممکن است؛ اما در عین حال بانک ها می دانند که باید به سمت اصلاح مکانیزم ها گام بردارند.
به گزارش پایگاه خبری بانکداری الکترونیک ، پرداختن به مقوله کیف پول و ضرورت پیاده سازی آن در ایران بحث تازه ای نیست اما غیبت آن تا بدین حد غافل گیر کننده نبوده است. در حالی که تراکنش های خرد در ایران که بیش از 80 درصد تراکنش های خرید را تشکیل می دهد از با ریسک بالا همراه است و شاهد افزایش روز افزون کلاهبرداری از مسیرهای آنلاین بدون فیزیک کارت هستیم تنها راهی که می تواند قطار صنعت پرداخت در ایران را از این مسئله برهاند کیف پول است. اگرچه مجموعه شبکه بانکی بنا بر الزاماتی، اجرای رمز پویا را در دستور کار دارد اما از ابتدا خبرگان بانکی اطمینان داشتند که این راهکار راه به جایی نخواهد برد و جز صرف هزینه و زمان نتیجه دیگری نخواهد داشت کما اینکه تا کنون تنها 5 درصد صاحبان کار گوشی های خود را به تولیدگر رمز پویا مجز کرده اند.
بر همین اساس شبکه بانکی باید از اکنون به روش های اجرایی فکر کند. در این میزگرد به چهار محور میپردازیم؛ در محور اول به سابقه کیف پول در کشور و مقایسه آن با دنیا خواهیم پرداخت، در محور دوم روی تراکنشهای خرد و کم ریسک متمرکز میشویم که به واسطه آنلاین شدن به تراکنشهای پر ریسک و نا امن تبدیل شدهاند . یکی از نمونه های پر ریسک کارت به کارت است که در محور سوم به آن میپردازیم. محور چهارم نیز سناریوهای پس از اجرایی و اجباری شدن استفاده از رمز پویاست آیا سوءاستفادهگران و هکر ها جلوتر از مردم خواهند بود یا نه؟ و راهحل اصلی چیست؟
محمد صادقی معاون فناوری بانک اقتصاد نوین، شهریار خلیلی مدیرعامل شرکت به پرداخت ملت و نیما امیرشکاری صاحب نظر حوزه کسب و کار بانکی میهمانان میزگرد « کیف پول نزدیک اما دور » هستند که متن این گفت و شنود از پی می آید.
* به پیشینه کیف پول در ایران طی یکی دو دهه اخیر و مقایسه آن با روندهای جاری این ابزار پرداخت در جهان بپردازید
صادقی: موضوع کیف پول مدت زیادیست در ایران مطرح شده است و دو حالت کلی دارد؛ حالت اول کیف پولهای آفلاین هستند که قرار بود به صورت کارت ارائه شوند و حالت دوم کارتهای هیبرید است که هم به عنوان کیف پول استفاده شود و هم خدمات شهری داخل آن باشد. چند بانک بزرگ از جمله بانک تجارت روی کیف پول سرمایهگذاری کردند و تعدادی کارت هم راهاندازی شد؛ ولی استقبال زیادی از آنها صورت نگرفت؛ چون بازارِ هدف، بازار مناسبی نبود.
بعد از مدتی کیف پولهای آنلاین مطرح شدند که امروز بسیاری از مردم، هم در اپلیکیشن های موبایلی از آنها استفاده میکنند و هم جایگزین پول خرد شده است. بیشترین کاربرد کیف پول در ایران، کرایه تاکسی است.
کیف پول در ایران با استقبال مواجه یا به طور کلی جایگزین نمیشود؛ چون موضوع کارت و کارمزد حلنشده باقی مانده است و همچنان بانکها هستند که کارمزد را میپردازد و از طرفی بانک مرکزی هم با مسکوت گذاشتن فرایند اصلاح نظام کارمزدی، هم شرکتهای پرداخت را ترغیب به افزایش تراکنشهای خرد میکند و هم ارزش افزودهای برای کیف پول ایجاد نمیکند.
* لطفاً به سابقه کیف پول در ایران و سایر نقاط جهان بپردازید و این دو را با یکدیگر مقایسه کنید؟
صادقی: کیف پول در دنیا در سه قالب کلیِ کیف پول بسته و نیمه بسته و باز توسط بازیگران این حوزه برای استفاده به مشتریان ارائه میشود که هر کدام استفاده خاص خود را دارد و به فراخور قوانین کشور و مجوزهای بانک مرکزی توسط شرکتها یا بانکها مدیریت میشود و از آن برای پرداختهای آفلاین آنلاین استفاده میشود. بستر پیادهسازی این نوع کیف پولها، میتواند کارتهای فیزیکی هوشمند یا برنامههای موبایلی باشد. موضوعی که باعث رغبت مشتریان به استفاده از کیف پول در سایر کشورها میشود سهولت بهرهگیری از آن و وجود اکوسیستم گستردهایست که پذیرای این کیف پولها هستند. در ایران نیز هر سه نوع کیف پول نامبرده در مقاطع مختلف زمانی پیاده شد و در حال حاضر نیز، کیف پولهای نیمه بسته، رواج بیشتری دارند.
اساسیترین نکتهای که سبب شد تا کیف پول در ایران رونق نداشته باشد؛ اما در سایر نقاط جهان کاربردی باشد این است که در سایر نقاط جهان، تراکنشهای مبتنی بر کارت، برای استفادهکننده هزینه دارد؛ اما در ایران کارمزدی توسط استفادهکننده پرداخت نمیشود. کارت به سهولت در اختیار استفادهکننده قرار میگیرد از طرفی انجام تراکنش، هزینهای برای او ندارد چه بسا طرحهایی نیز برای دریافت جایزه استفاده از کارت برای انجام تراکنش نیز توسط شرکتهای پرداخت گذاشته میشود؛ بنابراین مشتری راغب است تا با کارت، تراکنش خود را انجام دهد؛ به تعبیر دیگر هزینه تراکنشها بر عهدة مشتری نیست و بانک پرداخت میکند؛ بنابراین تا زمانی که بانک هزینه تراکنشها را پرداخت میکند مشتری ترغیب نمیشود که کیف پول را جایگزین آن کند و هر پرداخت خردی را با کارت خود پرداخت میکند؛ چون ارزش افزودهای برای مشتری ندارد.
* اما استفاده از کیف پول، هزینهای برای استفادهکننده ندارد؛ بنابراین مسئله پر هزینه بودن کیف پول نیست، شاید مدلی که در پیش گرفتیم مدل درستی نیست.
صادقی: دقیقاً همینطور است؛ چون استفاده از کیف پول الکترونیکی نیازمند زیرساختها و ایجاد اکوسیستمهایی برای استفاده راحت و همهگیر است تا زمانی که استفاده از کیف پول برای مشتری توجیهپذیر نباشد افراد یا سازمانهای زیادی رغبت سرمایهگذاری روی آن ندارند. در طرف مقابل برای کارت هم زیرساخت و هم اکوسیستم و هم مشوقهای کاملی ایجاد شده است؛ بنابراین مردم بیشتر راغب هستند از کارت استفاده کنند.
* آقای خلیلی، نظر شما چیست. شما هم تجربه پرداختی دارید و هم سالها در بانک ملت با موضوع کیف پول درگیر بودید.
خلیلی: اوایل دهه 80 دقیقاً در خرداد سال 83، بانک ملت کیف پولی در کارتهای جاوا مبتنی بر استاندارد VSDC راهاندازی کرد و در فلوچارت انجام تراکنش، دو گام را تغییر داد (کارتهای زرد رنگ با تصویری از سرباز هخامنشی). این کارت با نگاه کیف پول شکل گرفت و هیبریدی بود. آن زمان شتاب راهاندازی شده بود. در قسمت اسمارت این کارت یک اپلیکیشن کیف پول، مبتنی بر VSDC نصب شده بود و امکان این را داشت که تا 200 هزار تومان روی خودپرداز های بانک برداشت نقدی کند، آن زمان هنوز دستگاه پوز فروشگاهی مطرح نبود؛ بلکه پینپدهای شعبهای وجود داشتند که مشتری میتوانست در شعبه هم 200 هزار تومان برداشت نقدی کند در نتیجه مشتری بانک میتوانست 200 هزار تومان از روی مگنت و 200 هزار تومان از کیف پول اسمارتش برداشت کند و از طرفی بخش اسمارت کارت را از روی خودپرداز شارژ کند. این پروژه در نقطهای به بنبست رسید؛ چون جای دیگری قابل پذیرش نبود.
تجربه دیگر ما در بانک ملت کارتهای سوخت است. امروز 19 میلیون کیف پول کارت سوخت داریم که بعضاً هنوز استفاده میکنند و همچنین بعضی از سازمانهای دولتی برای اینکه کنترلهای مالی داشته باشند از این کیف پول استفاده میکنند؛ در واقع این سیستم هنوز جمعآوری نشده است؛ به تعبیر دیگر این سیستم که از روی کیف پول کارت سوخت هزینه سوخت را پرداخت کنید هنوز در جایگاهها برقرار است.
البته این کارت جاوا کارت نیست؛ بلکه نیتیو است و دو اپلیکیشن مجزا یکی اپلیکیشن سوخت با تشکیلات و کلید خود و دیگری اپلیکیشن بانک با کلید بانک نصب بود. از نظر سکیوریتی نیز وضعیت مناسبی دارد و نسبتاً استاندارد است، این کارت مبتنی بر استانداردهای VSDC یا ایپرس نبود. این پروژه نیز نسبتاً در بنبست قرار گرفت؛ چون کاربرد دیگری نداشت. در نتیجه آنچه میتوان در مورد کیفپولها گفت اینکه کیف پولها همواره در کشور ما لوکال و کلوزلوپ هستند و امروز مردم کمکم از ابزار کارت خارج میشوند و به سمت موبایل حرکت میکنند؛ اما از منظر کسب و کار ی کلوزلوپ است؛ مثلاً «تومن» کار محدودی در نقطه مشخصی انجام میدهد و یک کاربرد مشخصی دارد یا اسنپ یا دیجیپی کیف پولهای کلوزلوپ هستند و حلقه بستهای هستند که مصرف خاص دارند. طبیعتاً مردم پول، داخل آن نمیریزند؛ چون پول زندانی میشود؛ وقتی پول را داخل این کیف پول میریزند دیگر نمیتوانند جای دیگری از آن استفاده کنند یک یا دو یا سه کاربرد خاص دارد. «جیرینگ» چنین تجربهای داشت؛ چون یک الی دو کاربرد خاص داشت همهگیر نشد.
در نتیجه اگر هر کس کیف پولی ایجاد کند و کسب و کار خاصی روی آن سوار کند بعید است که موفق شود. طبیعتاً باید رگولاتور سیستم و پلتفرمی را الزام کند که به یکدیگر متصل باشند.
* اما تجربیاتی مثل آنچه گفتید از جمله «سپاس» موفق نبودند.
خلیلی: به نظرم جدی به آن پرداخته نشد؛ چون مردم در ایران با کارت مگنت زندگی میکنند و احساس کمبود و تمایلی به استفاده از چیز دیگری ندارند؛ از طرفی معتقدم؛ قانونگذار هم احساس نیاز نمیکند؛ به همین دلیل پروژه معطل مانده است.
دو رویکرد وجود دارد؛ اول اینکه قانونگذار پلتفرمی ارائه دهد که کیف پولها به یکدیگر متصل باشند؛ به تعبیر دیگر یک نفر از کیف پول بانک ملت بتواند به بانک تجارت پول واریز کند و … به این ترتیب پول از حالت زندانی خارج میشود و کاربرد خواهد داشت. رویکرد دوم اینکه کسی پلتفرمی ارائه کند که محدود به خود او نباشد و بتواند بقیه بازیگران را در آن وارد کند بدون اینکه آنها احساس ضرر کنند.
* آقای امیرشکاری، تجربه کیف پولهای ایران را در مقایسه با کشورهای دیگر چگونه ارزیابی میکنید؟
امیرشکاری: صحبتهایم را با این سؤالات که «کیف پول چه کاربردی دارد؟ یا در کشورهای دیگر در مقابل چه چیزی مطرح میشود؟» آغاز میکنم. روزی اسکناس و مسکوک باب بود و پول الکترونیکی وجود نداشت. من حساب بانکی داشتم و پولم در حساب بانکی بود و در حد خرج روزانهام از بانک اسکناس و مسکوک تهیه میکردم و در کیف پولم قرار میدادم و مایحتاج روزمرهام را تأمین میکردم.
بعد از مدتی پول الکترونیک باب شد؛ اگر به جوامع دیگر بنگرید متوجه میشوید که این پول نبود که الکترونیک شد؛ بلکه کردیت ویزا و مسترکارت الکترونیک شدند؛ به تعبیر دیگر پولی که وجود ندارد الکترونیک شد؛ یعنی کارتی به شما میدهیم که چه پول در حساب شما باشد یا نباشد بانک بخشی از آن را گارانتی میکند و به مغازهدار میدهد. بعد از ایجاد این کارت شروع به سود گرفتن کردند.
بانکها و مؤسسات اعتباری پیشنهاد دادند که کردیت کارتی میدهیم که به اندازه یک حقوق در آن پول است؛ یعنی حقوق شما سه هزار دلار است آخر ماه به شما 2800 دلار میدهیم تا نیازهای روزمرهتان را مرتفع کنید، مردم شروع به خرید کردند. این کارت دو حسن بزرگ داشت امن بود و دیگر لازم نبود پول از حساب خارج شود دیگر اینکه کردیت بود و دبیت نبود؛ یعنی لازم نبود پول در حسابشان باشد؛ بنابراین وقتی مردم کمکم به این کارت آلوده شدند به مرور زمان کارمزدهای بزرگ و سودهای بزرگ گرفتند.
اینجا بود که بازی جدیدی مطرح شد و آن کیف پول دبیت بود؛ به این ترتیب که قسمتی از پول را که خرج روزمره است و نمیخواهید برای آن سود و کارمزد دهید به عنوان کیف پول روی موبایل یا کارت جدید ارائه دادند.
در ایران بعد از پول نقد، کارت دبیت مطرح شد و اصلاً کردیت کارت نداشتیم و بعد از پول نقد، کارمزدی مطرح شد که بانک آن را میپردازد یا پوزی که بانک خریداری میکند؛ حال در این میان چه جایی برای ایجاد کیف پول وجود دارد؟ چه دلیلی دارد بخشی از پول را خارج و در جای دیگری که سود به آن تعلق نمیگیرد نگهداری کنم؟ اینجاست که این سؤال مطرح میشود که آیا با وجود کارت دبیت، کیف پول برایمان معنا مییابد؟ آیا با داشتن پوزی که مرچنت کارمزد نمیدهد یا دارنده کارت کارمزد نمیدهد و تنها جایی که کارمزد میدهد بانک است آیا جایی برای بازی میماند که بانک خود را از این بین فراری دهد؟ اینجاست که این سؤال مطرح میشود که آیا جای کیف پول در این کشور هست یا همان دبیت کارت کاربرد کیف پول را دارد؟
* با شرایط فعلی کیف پول میتواند ما را از سوءاستفادهها و کلاهبرداریها نجات دهد.
امیرشکاری: این سؤال بحث دیگری را مطرح میکند و آن اینکه آیا روش دبیت کارت که به آن کیف پول میگویم امن است؟ آیا قرار دادن این مبالغ در دبیت کارت درست است؟ آیا با سقف 50 میلیون تومان میتوان حسابها را امنسازی و از ریسکها جلوگیری کرد یا روشهای مکمل دیگری هم باید کنار آن قرار گیرند؟
* آقای امیرشکاری سؤالاتی را مطرح کردند آقای صادقی، نظرتان در مورد سؤالات ایشان چیست؟ لطفاً به تراکنشهای کم ریسک و پر ریسک هم بپردازید؟
صادقی: آقای امیرشکاری به نکات بسیار خوبی اشاره کردند. آیا ساز و کار استاندارد و مرسوم در دنیا برای انجام عملیات مالی آنلاین در ایران هم استفاده میشود یا چیزهای غلطی به آن افزودهایم؟ مثلاً ما در ایران به راحتی امکان انتقال لحظهای و اکثراً بدون نظارت و کنترل موجودی با روش انتقال کارت به کارت و سپرده به سپرده یا پایا و ساتنا را برای نقل و انتقال پول در درون یک بانک یا بین بانکها فراهم کردهایم؛ آیا این نوع تراکنش در کشورهای دیگر وجود دارد یا فقط در ایران این روشها ایجاد شده است؟
ریسکهای موجود بیشتر به دلیل روشها و روالهای غلط که بدون توجه به همه جوانب کار، ایجاد شدهاند؛ اگر روالها تصحیح شوند ریسکها کاهش مییابند.
با آقای امیرشکاری موافقم که کارت، همان کیف پول است؛ چون با کارت همة نیازهایم را مرتفع میکنم بدون اینکه ریسک خاصی متحمل شوم؛ البته ورود کیف پولها به بازار برای بانکها منفعت بیشتری دارد تا مشتریان، چون کیف پول تعداد تراکنشها را به شدت کاهش میدهد و در نتیجه بانکها هزینههای کمتری را پرداخت خواهند کرد.
* اگر تراکنشها را به کم ریسک و پر ریسک دستهبندی کنیم مسئله متفاوت میشود؟
صادقی: ما دو الی سه دسته تراکنش اساسی داریم؛ یک سری از تراکنشها خرد هستند که با کارت انجام میشوند و حدود 80 درصد تراکنشها را به خود اختصاص میدهند (کمتر از 50 هزار تومان). دومین تراکنشها، مبالغ تا 50 میلیون تومان را شامل میشوند و برخی تراکنشها نیز بالاتر از 50 میلیون تومان هستند که بین بانکی انجام میشوند. هر کدام از این تراکنشها ریسکهای خاص خود را دارند؛ اما آنچه برای مشتری ریسک آنی دارد تراکنشهای تا 50 میلیون تومان است؛ یعنی تراکنشهایی که آنلاین و در لحظه انجام میشوند. تراکنشهای دسته سوم بیشتر بر بستر ساتنا و پایا انجام میشوند و ریسک حادی ندارند؛ اما تراکنشهای تا سقف 50 میلیون تومان که بیشتر بر اساس رعایت نکردن سقف تراکنشهای اعمالشدة بانک مرکزی توسط بانکها رخ میدهد (بانک مرکزی برای انتقال کارت به کارت یا تراکنشها سقف تعیین میکند؛ اما بسیاری از بانکها رعایت نمیکنند) و بر بستر کانالهای غیر حضوری مثل اینترنت یا سامانههای موبایلی یا USSD انجام میشوند و کنترل صحتسنجی نیز بر اساس رمزهای ایستاست و لو رفتن اطلاعات واردشده از جمله رمز هم بسیار متداول است؛ ریسک سنگینی به مشتریها تحمیل میکند؛ علت بروز این امر هم عدم وجود دغدغههای امنیتی در مشتریان در زمان استفاده از درگاهها و کانالهای انجام تراکنش است؛ همچنان شاهد هستیم که یک پزشک یا یک متخصص فناوری یا فرد دارای تحصیلات عالیه با یک پیام تبلیغاتی اغواکننده در تلة افراد سوءاستفادهگر میافتد و حسابش خالی میشود. به طور کلی، بیشتر ریسکهای جاری مربوط به ریسکهای مربوط به حوزة امنیت اطلاعات هستند.
* چرا مشتری دغدغه امنیت ندارد از منظر جامعهشناختی چه دلایلی مطرح است که برخی مشتریان به راحتی فریب میخورند؟
صادقی: به نظرم مشتریانی که درک و شناخت درستی از مخاطرات امنیت اطلاعات ندارند به دام میافتند؛ بنابراین باید روی اطلاعرسانی در این زمینه تلاش بیشتری صورت گیرد.
* جناب خلیلی، آقای صادقی از زاویه بانک به این موضوع پرداختند لطفاً شما از زاویه ابزارهای پرداخت به ویژه اینترنت و موبایل به ریسک تراکنشها بپردازید.
خلیلی: به طور کلی همه نظام پرداخت، یک اکوسیستم است. آقای صادقی بیان کردند که 65 درصد تراکنشها کمتر از 25 هزار تومان و 80 درصد کمتر از 50 هزار تومان و 20 درصد بالای 50 هزار تومان تا سقف 50 میلیون تومان است؛ البته در کنار همه اینها ساتنا ، پایا و انتقال وجه داریم؛ بنابراین همه اینها در کنار هم یک اکوسیستم را تشکیل دادهاند که تغییر یکی از آنها موجب تغییر در همة آنها میشود؛ بنابراین باید یک دید جامع داشته باشیم؛ اگر یک کیف پول بخواهد بیاید چه تأثیری در بقیه ابزارها دارد؟
با مدلی که امروز در کشور داریم؛ اگر چنانچه تغییری رخ دهد شرکتهای پرداخت متضرر میشوند؛ چون همانطور که بیان شد 80 درصد تراکنشها کمتر از 50 هزار تومان هستند که حدود 50 درصد درآمد شرکتهای پرداخت را تشکیل میدهند؛ البته این میزان درآمد در بعضی از شرکتها بسیار بیشتر از اینهاست؛ چون بیشترین تمرکز این شرکتها روی تراکنشهای خرد است؛ اما شرکتهایی هم هستند که روی تراکنشهای خرد تمرکز ندارند؛ مثلاً تمرکز شرکت «بهپرداخت ملت» روی تراکنشهای خرد نیست؛ چون ذاتاً از روز اول در کنار یک بانک رشد کرد و تراکنش صرافی ها و طلا فروشیها را پوشش میدهد که همه آنها تراکنشهای 40 الی 50 میلیون تومانی دارند؛ ولی بخش اعظم درآمد بعضی از شرکتهای پرداخت از تراکنشهای خرد کسب میشود و اگر تغییری در این مدل رخ دهد ممکن است 75 درصد درآمدشان از بین برود در نتیجه تغییر این اکوسیستم به راحتی امکانپذیر نیست و اگر قرار است کیف پول جایگزین شود باید 75 درصد منافع این شرکتها را تأمین کند تا به این تغییر رغبت داشته باشند؛ بنابراین تأثیر وحشتناک بسیاری بر شرکتهای پرداخت دارد.
* بنابراین یکی از چالشهای گذار به کیف پول میتواند همین نکته باشد.
خلیلی: از طرف دیگر این تغییر برای بانک خوب است؛ چون 75 درصد هزینههایش کاهش مییابد؛ چون بانکها هستند که کارمزد سنگینی برای تراکنشها میپردازند و علاقهمندند که این تغییر اتفاق بیفتد؛ بنابراین موضوع، ریسک نیست. ریسک را از چه منظری مینگریم؟ آیا به ریسک از منظر دارنده کارت یا پذیرنده کارت مینگریم؟
ریسک به این دلیل وجود دارد؛ چون ما یک رمز ثابت چهار رقمی داریم و همه جا آن را بلندبلند میخوانیم.
* اما امروز بسیاری از طریق اپلیکیشن خرید میکنند.
خلیلی: اما در بازار هنوز کسانی هستند که کارتها را کپی میکنند.
ادامه دارد…