تراکنش‌های شفاف/ کشف تقلب و راهکارهاى مقابله با آن در شبکه پرداخت

به گزارش پایگاه خبری بانکداری الکترونیک، شبکه پرداخت یکی از بسترهایی است که متخلفان اغلب با استفاده از ناآگاهی دارندگان کارت یا فیشینگ که پایه آن فریب کاربر نهایی است سعی می‌کنند به اهداف سوء خود نائل شوند؛ اما برای پیشگیری از تخلف در این شبکه راه‌هایی هست که کاربر نهایی را آگاه کنیم.

در بخش دوم پنل بحث مبارزه با پولشویی برگزار شد. در این بخش سرهنگ داود معظمی گودرزی، رئیس پلیس فتا؛ سیدکاظم دهقان، مدیرعامل شاپرک؛ حسین اسلامی، رئیس سازمان نظام صنفی رایانه‌ای تهران؛ فرهاد فائز، مدیرعامل شرکت داده‌ورزی سداد و پیمان منعم طبری، مدیرعامل کارت اعتباری ایران‌کیش به ایراد سخن پرداختند. دهقان در این بخش، از راه‌اندازی چندین سامانه موبایلی خبر داد که به کاربران کمک می‌کند تا بتوانند متخلف را قبل از انجام تخلف شناسایی کنند و در دام وی نیفتند. بخش دوم پنل را با هم می‌خوانیم. لازم به توضیح است در بخش اول پنل مقوله اصلاح نظام کارمزد در صنعت پرداخت مورد بررسی قرار گرفت.

* بخش دوم این نشست به حوزه مبارزه با پول‌شویی اختصاص دارد. طبق قوانین کشور، بانک‌ها، مؤسسات مالی، شرکت‌های پرداخت و ان‌تی‌تی‌هایی که موضوع صحبت ما هستند موظف‌اند ضمن تعیین بخش مشخص‌تر محدوده کاری خودشان الزامات آن حوزه را رعایت کنند؛ اما با ورود به بحث مبارزه با پول‌شویی بعضی از اقداماتی که در گذشته انجام می‌گرفت از دامنه تخلف به جرم تغییر مسیر داده است؛ به تعبیر دیگر زمانی کاری مغایر مقررات صورت می‌گرفت و شاپرک، بانک مرکزی یا نهادهای نظارتی ـ امنیتی متوجه می‌شدند و گزارش تهیه می‌شد و این جزو دامنة عدم رعایت الزامات و مقررات و ضوابط لحاظ می‌شد و تخلف بود و متناظر با آن تخلف، جرائم مختلف آن به اجرا گذاشته می‌شد؛ اما زمانی که قرار باشد مبارزه با پول‌شویی را وارد کنیم آن تخلف ممکن است به جرم تغییر وضعیت دهد؛ بنابراین دستگاه قضایی و انتظامی به آن حوزه ورود می‌کنند. سال‌های گذشته شرکت شاپرک سامانه‌ای با نام فهرست سیاه شاپرک برای پذیرندگانی که متخلف بودند راه‌اندازی کرد در آن زمان در حوزه قمار و شرط‌بندی و … بود. از آقای مهندس طبری درخواست می‌کنم در رابطه با سامانه فهرست سیاه شاپرک و تأثیرات مثبت و منفی آن توضیحاتی ارائه کنند تا کمی عمیق‌تر به موضوع مبارزه با پول‌شویی بپردازیم.

طبری: قبل از پاسخ به سؤال شما در مورد لیست سیاه به دو نکته اشاره کنم؛ اول اینکه در بولتن شاپرک تنها پیشنهادی که داریم این است که ادبیات بانک و PSP را یکی کنیم؛ وقتی ادبیات PSP را تراکنش و ادبیات بانک را به مبلغ تشکیل می دهد طبیعتا کار خراب می‌شود؛ اگر این ادبیات یکی شود؛ حتی اگر نظام کارمزدمان را بر اساس مبلغ طراحی کنیم هم بانک با خیال راحت هزینه‌هایش را می‌دهد و هم PSP راحت‌تر می‌تواند کار کند؛ چون وظیفه بنگاهی مانند PSP آوردن منابع به داخل بانک است و وظیفه بانک این است که این منابع را به نحو احسن با توجه به روش‌هایی که می‌داند استفاده کند؛ بنابراین در بولتن تنها باید این شاخص را درست کنیم که بانک و شرکت پرداخت به یک ادبیات واحد با هم سخن بگویند در این صورت با همگام شدن دو بازیگر، هر دو برنده هستند و بسیاری از مشکلات حل می شود. نکته دوم اینکه PSPها را باید از منظر سودآوری رتبه بندی کنیم نه از منظر تعداد تراکنش و این امر می‌تواند در خیلی از موراد از سوءاستفاده‌ها جلوگیری کند.

لیست سیاه بسیار عالی و ارزنده است و تاکنون کمک بزرگی به ما کرده؛ و ما بلافاصله الگوی لیست سیاه را در ایران‌کیش طراحی کردیم و البته همه PSPها این موضوع را رعایت کرده‌اند و برای خود الگوریتم لیست سیاهی دارند که اگر پذیرنده یا دارنده کارتی از سایت‌های قمار و شرط‌بندی استفاده می‌کند آلارمی در سیستم ایجاد می‌شود تا با خبر شویم و اقدامات لازم را انجام دهیم. اما در عین حال چه زیباتر و عالی‌تر بود اگر شاپرک این لیست سیاه را در قالب سرویس نه صرفا دیتا در اختیار PSPها قرار می‌داد کما اینکه خیلی کارها در هاب فناوران اتفاق می‌افتد و این هم جزو سرویس‌هایی باشد که اگر قصد داریم تراکنشی انجام دهیم به ویژه در قالب سایت و اینترنت باید کانفرمی از آن دریافت کنیم تا آیا این پذیرنده یا دارندة کارت در این لیست سیاه وجود دارد و اجازه ندهیم کاری صورت گیرد و در همان ابتدا مقابل آن کار را بگیریم. به هر حال تهیه لیست سیاه بسیار کمک کرد تا در صنعت پرداخت تعداد سایت‌های قمار کاهش یابد؛ اما شاهد این هستیم که این امر به سمت کارت به کارت کوچ کرده است و اگر کارت به کارت را محدود کنیم به سمت چیزهای دیگر کوچ کند.

من از شاپرک می‌خواهم که در این مورد خاص این سرویس را در اختیار PSPهای دیگر قرار دهد و PSPها هم از منظر خود این سیستم را کنار نگذارند؛ چون ما به عنوان PSP ایران‌کیش محدوده‌ای که می‌توانیم کنترل کنیم در حد توان خودمان است؛ در صورتی که یک بالاسری به نام شاپرک داریم که 12 شرکت پرداخت و نزدیک 40 شرکت پرداخت‌یار را در کنترل دارد بدین معنی که جامعه‌ای که شاپرک به عنوان لیست سیاه در اختیار ما می گذارد بسیار فراتر از جامعة PSPها است و در نتیحه اگر این دیتا به صور سرویس در اختیار PSP ها قرار بگیرد بسیار بهتر و مفیدتر خواهد بود و مطمئن هستم آقای دهقان نسبت به این مهم حسن نظر خواهند داشت و سرویس آن را در اختیار ما قرار خواهند داد.

 * هر تخلفی که رخ می‌دهد الزاماً عمده مردم درگیر تبعات آن نمی‌شوند؛ اما شاهد بودیم در مورد رمز دوم ثابت چقدر حملات فیشینگ باعث شد تا فشار زیادی بر دوش همکاران‌مان در پلیس فتا وارد شود. اما تدابیری اندیشیده شد و اقدامات عملیاتی صورت گرفت و رمز دوم پویا عملیاتی شد و همگی در حال استفاده از آن هستیم درخواست می‌کنم از آقای سرهنگ گودرزی در مورد رمز دوم پویا، تأثیرات مثبت آن به نکاتی اشاره کنند و اگر پیشنهادی برای بهبود آن دارند صحبت کنند.

گودرزی: پلیس فتا از سال 90 در سراسر کشور شروع به کار کرد زمانی که فعالیت‌مان را در این حوزه آغاز کردیم تعدادی جرائم در هر استان از جمله تهران بزرگ داشتیم اما تا سال 98 با یک رشد تصاعدی جرائم افزایش یافت؛ بطوری که از سال 90 تا 98 تعداد ورودی پرونده‌های‌مان 40 برابر شد و بیش از 70 درصد جرائم به حوزه بانکداری الکترونیک اختصاص داشت و تعداد زیادی از آنها مربوط به بحث رمز دوم ثابت بود. از همان سال‌های اول این موضوع را با عزیزان در حوزة بانک مرکزی و صاحب‌نظران پیگیری کردیم و نهایتا در جمیع جهات تصمیم به راه‌اندازی رمز پویا گرفته شد. همانطور که می دانید رمز پویا متناسب با زیرساخت شبکه بانکی کشور، شرایط حاکم و جمیع جهات شکل گرفت. از زمانی که رمز پویا راه‌اندازی شد بالغ بر 50 درصد جرائم فیشینگ کاسته شد؛ بنابراین شاهد اثرگذاری خیلی خوب این اقدام بودیم؛ از این اقدام، سیستم قضایی، پلیس، بانک مرکزی و شبکه پرداخت بهره بردند.

استحضار دارید که فیشینگ صرفاً مختص به شبکه پرداخت و صرفاً مختص کشور ما نیست. اگر طی چند سال اخیر آمار حملات سایبری را مشاهده کنید و فیشینگ را هم زیرمجموعه حملات مهندسی ـ اجتماعی تلقی کنید همواره جزو 10 حمله بالای دنیا محسوب می‌شود و نه تنها کشور ما بلکه بسیاری از کشورهای دیگر مبتلابه این قضیه هستند و علت آن سهل‌الوصول بودن این راه برای دسترسی به حساب‌های کاربری و اکانت‌ها و رمز‌های عبوری و حریم خصوصی کاربران است.

با وجود همة این مسائل، فیشینگ تمام نشده و تمام هم نخواهد شد؛ بلکه به عنوان یک شگرد کماکان با آن مقابله می‌کنیم. در بحث شبکه پرداخت نیاز است تا در دستورالعمل‌های آن میزانی از چابکی وجود داشته باشد. به تعبیر دیگر وقتی اتفاقی می‌افتد و چالش به وجود می‌آید برای فرایند رسیدگی مدتی از آن می‌گذرد. در همین ارتباط ما چندین مرحله این مسئله را پیگیری کردیم تا اینکه آقای دکتر محرمیان به مجموعه پلیس فتا آمدند و متوجه خیل عظیم مراجعه‌کننده به پلیس فتا شدند و اینکه چقدر پلیس درگیر این موضوع است.

بعضی از دوستان نسبت به رمز پویا انتقاداتی داشتند و معتقد بودند که راهکار زیرساختی و راهکار اصلی نمی‌تواند این موضوع باشد؛ ولی ما در مقام پلیس کماکان این روند را تأیید می‌کنیم و از آن استقبال کرده‌ایم و پیگیر بودیم و کماکان هم پیگیر هستیم. جلسات کارشناسی خیلی خوبی با عزیزان در حوزة پرداخت داریم کسانی که در این نشست حضور دارند غالباً کسانی هستند که خدمت‌شان رسیده‌ایم و با یکدیگر جلسات کارشناسی داشتیم و سعی کردیم تا این موضوع را بررسی کنیم؛ اما همیشه به این موضوع توجه داشتیم که مبادا دستورالعملی تدوین شود و ما با همکاری عزیزان در حوزه قضائی ابلاغیه‌ای صادر کنیم و برای بانک مرکزی تکلیفی قائل شود که سبب مختل شدن کسب و کارها شود به همین دلیل همیشه سعی کرده‌ایم بین امنیت و بیزینس تعادلی برقرار باشد تا مبادا به دلیل امنیت، بیزینس را تحت‌الشعاع قرار دهیم.

در مورد کارمزد باید بگویم که غالباً نگاه شبکه پرداخت این است که این بیزینس را توسعه دهد اما برای ما در کنار این موضوع امنیت روانی و امنیت اقتصادی مردم هم مهم است و نمی‌توان همه چیز را با پول مقایسه کرد. در کل دنیا بحث BI در شبکه پرداخت مطرح است که شبکه پرداخت در ایران هم به سمت آن حرکت کرده؛ ولی استدعایی که از عزیزان داریم این است که نگاه ویژه‌ای به TI داشته باشند؛ یعنی مواردی را که در حوزۀ لوکال در بحث PSPها و شبکه‌های پرداخت و پرداخت‌یارها و بانک‌ها نگاه می‌کنیم … در سال جاری یکی از بیشترین حملات در حوزۀ بانکداری الکترونیک، بحث رگ‌تک‌ها بود. در صورتی که اگر در لحظه اول دوستان بحث TI مدنظرشان بود حتماً می‌توانستند با رعایت پالیسی‌ها و اقدامات امنیتی پیش‌گیری مناسب‌تری را در این حوزه انجام دهند.

یکی از اساسی‌ترین مشکلاتی که نیاز است در اینجا به آن اشاره کنم؛ بحث زیرساخت‌های احراز هویت است. همین تخلفات و جرائم که بعضاً تخلف هستند؛ ولی منجر به جرم می‌شوند و باعث می‌شوند تا مسئله برای ما هم دست و پا گیر شود و هم شما عزیزانی که در اکوسیستم‌های شبکه پرداخت حضور دارید. باید برای بحث احراز هویت استانداردی تعیین شود؛ مثلاً در حوزه قمار و شرط‌بندی و در حوزه رمزارزها یکی از انگشتان اتهام به سمت حوزه بانکی و زیرساخت‌های بانکی است. بر اساس سناریوها و پرونده‌های جرائم سایبری که روزانه با آنها دست و پنجه نرم می‌کنیم تعداد زیادی از این جرائم قابل پیشگیری هستند و تعداد زیادی از این جرائم در صورتی که استاندارد لازمی از طریق رگولاتوری مبنی بر شیوه احراز هویت ابلاغ می‌شد و بر این فرآیند نظارت می‌شد شاهد این اتفاقات نبودیم. امروز برخی هویت‌فروشی می‌کنند؛ یعنی از هویت دیگران بدون اطلاع خود سوءاستفاده می‌کنند و هم با شیوه و شگردهای مختلف این هویت‌ها را دریافت می‌کنند و افرادی را تطمیع می‌کنند متأسفانه بخش اعظمی از پرونده‌های حوزة جرائم سایبری در این حوزه تشکیل شده است.

آقای دکتر دهقان ذکر خیر بولتنی را که تدوین و منتشر می‌کنید بسیار شنیده‌ایم و این بولتن بسیار خبرساز شده است بعضاً وقتی این بولتن را ابلاغ می‌کنید شما در یکی از حوزه‌ها این بولتن را تدوین می‌کنید و بخشی از پرفورمنسی است که رده‌های بالاتر آن را مبنا قرار می‌دهند تا بدانند شرکت زیرمجموعه آنها کارایی لازم را دارد یا ندارد؛ ولی خواهش می‌کنم در حوزه امنیتی نیز این کار را انجام دهید ما حاضریم بر اساس سناریوها و پرونده‌ها و موضوعات موجود اطلاعاتی را خدمت شما منعکس کنیم؛ البته شما راهکارهای بیشتری برای جمع‌آوری این اطلاعات دارید تا سطح امنیتی هر PSP و هر پرداخت‌یار و عزیزانی که در حوزۀ صنعت پرداخت فعال هستند به صورت ماهانه، شش ماهه و سالانه مشخص باشد و همین امر سبب ایجاد رقابتی می‌شود تا بتوانند امنیت خود را در سطح پایدارتری برقرار کنند.

*  موضوعی که ممکن است برخی از شما آن را مشاهده کرده باشید پیامک‌های با عنوان ابلاغیه‌های دادگستری است مبنی بر اینکه شکایتی از شما صورت گرفته به این سایت رجوع کنید و دو هزار تومان پرداخت کنید بعد از آن متوجه می‌شوید که مبلغی از حساب شما کسر می‌شود با بررسی شرکت شاپرک به نکته‌ای رسیدیم که بعضاً از سرخط‌های شخصی این پیامک‌ها ارسال می‌شوند در واقع سرخط‌های عمومی نیستند که معتقد باشیم به صورت گسترده این اتفاق صورت می‌گیرد. سؤالی که از آقای گودرزی دارم این است که نظر شما در این رابطه که اپراتورها موظف‌اند احراز هویت را به درستی انجام دهند و موارد فیشینگ را ردیابی کنند؛ چون هر قدر به سمت رمز دوم پویا و … را به صنعت پرداخت اضافه کنیم باز هم راه‌های دیگری ایجاد خواهد شد و متأسفانه مردم درگیر آن می‌شوند.

گودرزی: متأسفانه یکی از راهکارهای نقض حریم خصوصی کاربران، بحث پیامک‌های واصله است یک بخش آن که به بحث صنعت پرداخت مربوط می‌شود دسترسی به رمزهای پویاست. در این حوزه اقدامات بسیاری انجام دادیم و در طول یک سال اخیر شگرد زیادتر و باعث شده است تغییراتی در ورودی پرونده‌های ما ایجاد شود؛ یعنی با آلوده کردن گوشی‌های هوشمند انواع بدافزار مجرمین سایبری در صدد این برآمده که به رمزهای پویا دسترسی پیدا کنند اینکه از طریق شماره‌های شخصی این اتفاق می‌افتد بعضاً ممکن است صاحب شماره‌ خود اطلاع نداشته باشد؛ یعنی فردی بدافزار را برای شما ارسال کند و گوشی شما آلوده شود و به عنوان یک زامبی و به عنوان یک سرور، بدون اینکه اطلاع داشته باشید برای همة کانتکت‌های شما پیامک ارسال شود این به اپراتور ارتباط نمی‌یابد؛ ولی راهکارهای فنی این مسئله را بررسی کردیم و جلسات کارشناسی بسیاری در این حوزه گذاشتیم و اقدامات بسیار خوبی هم در این حوزه صورت گرفته است و نمی‌توان نوک پیکان را صرفاً سمت سازمان تنظیم و مقررات به عنوان رگولاتوری اپراتورها یا اپراتورها گرفت. شبکه پرداخت نیز باید کار مفیدتری در این حوزه انجام دهد که من راهکارهای آن را خدمت شما بیان می‌کنم.

طی جلساتی که با اپراتورها داشتیم به راهکارهای خیلی خوبی دست یافتیم. در مورد اینکه اطلاعی ندارید و پیامکی برای شما ارسال می‌شود پیامکی که غالباً طی آن تهدید می‌شوید یا پیامکی که از سوی سامانه سنهاب یا به عنوان پلیس ارسال می‌شود و شما بلافاصله ترغیب می‌شوید تا وارد آن لینک شوید و متأسفانه وقتی روی لینک کلیک می‌کنید و دسترسی‌ها را به او می‌دهید نرم‌افزاری در قالب بدافزار گوشی شما را آلوده می‌کند و ضمن اینکه به محتوای پیامک‌های شما دسترسی می یابد می‌تواند به لیست مخاطبان شما بدون اینکه شما بخواهید پیامک ارسال کند.

چرخه جرم را بررسی کردیم اپراتورها محدودیت‌هایی قائل شدند که کماکان در حال انجام است با توجه به اینکه یک مقداری نیاز به کار زیرساختی و فنی دارد؛ از طرفی اپراتورها می‌خواهند این محدودیت ایجاد شود و از طرفی نمی‌خواهند به حریم خصوصی دیگران خدشه‌ای وارد شود؛ یعنی اجازه ندارند که پیامک‌ها را بازگشایی کنند؛ ولی در رابطه با ارسال پیامک‌های انبوه تمهیداتی دیده شد؛ اگر صرفاً نگاه‌مان این باشد که ارسال پیامک‌ها را محدود کنیم قطعاً برای بسیاری از کسب و کارها محدودیت ایجاد می‌شود.

بسیاری از کسب و کارها به ارائة اطلاعات و گاهی تبلیغات در پیامک دارند و با یک طرفه نگاه کردن به موضوع و ایجاد محدودیت قطعاً در فرآیند این کسب و کارها اختلال ایجاد می‌شود.
خواهشی که از شبکه پرداخت دارم این است که بحث فراددیتکشن سال‌هاست مورد بررسی قرار گرفته است و کارهای بسیاری خوبی در این حوزه صورت گرفته است؛ اما می‌توان آن را در بحث فراددیتکشن توسعه داد و به الگوهای اولیه بسنده نکرد. در ابتدای صحبت‌هایم به TI اشاره کردم. ما حاضریم تمام سناریو‌ها و موضوعاتی که مرتبط با حوزۀ پرداخت است خدمت شما تقدیم کنیم. قطعاً می‌توانید الگوهای رفتاریِ کاربران را مدنظر داشته باشید؛ مثلاً در بحث قمار و شرط‌بندی درگاهی برای یک کسب و کار اخذ می‌شود که ممکن است آن کسب و کار از ساعت 7 به بعد فعالیتی نداشته باشد چه دلیلی دارد از ساعت 11 شب تا 4 صبح تراکنش‌های خیلی زیادی را حمایت کند و از درگاه پرداخت شما سوءاستفاده کند که انگشت اتهام به سمت شبکه پرداخت بیاید.

در این حوزه بحث استانداردها مطرح ست. استانداردهای بسیاری هست که هر چند می‌دانیم محدودیت‌هایی در حوزه زیرساختی وجود دارد؛ ولی اگر این استانداردها رعایت شوند؛ مشکلات مرتفع می‌شوند؛ یکی از این موضوعات بحث ip intelligence است؛ اما وقتی این مسئله را مطرح می‌کنیم بلافاصله عزیزان می‌گویند که ما با محدودیت IP روبه‌رو هستیم و شرکت زیرساخت باید آن را توسعه دهد ولی این کار نشد ندارد و شدنی است بررسی‌های آن صورت گرفته است ممکن است یک مقداری زمان‌بر باشد

آقای دهقان آن را به چند سال آینده موکول کردند ولی معتقدم اگر این موضوع از همین امروز پیگیری شود می‌تواند به بحث امنیت کمک کند. بحث دیگر بحث ip impireachment است که خودتان استحضار دارید و می‌دانید در صورتی که این اتفاق بیفتد در حوزه‌های پرداختی به ویژه کیف‌پول‌ها امنیت بسیار بالایی برقرار می‌شود. بسیاری از شبکه‌های قمار و پول‌شویی‌ها از همین کیف‌پول‌ها سوءاستفاده می‌کنند. یکی از PSPها این موضوع را راه‌اندازی کرده است که جا دارد از آنها تشکر کنیم معتقدم؛ دیر یا زود همة عزیزان باید به این سمت بروند و این استانداردسازی صورت بگیرد.

در مورد رقابت ناسالمی که آقای مهندس به آن اشاره کردند باید بگویم که همه دنبال این هستند که کسب و کار خود را توسعه دهند و مشتری بیشتری جذب کنند بعضاً طی جلسات خصوصی‌ای که با این عزیزان داریم، می‌گوییم شما باید سیاست ها را رعایت کنید. آنها می‌گویند؛ ما حرفی نداریم همین الان که از پیش شما برویم این کار را انجام می‌دهیم؛ ولی بقیه انجام نمی‌دهند و مشتریان ما به سمت آنها سوق می‌یابند، البته مشتریانی ممکن است به آن شرکت‌ها سرازیر شوند که بعضاً نگاه تخلفی به کار دارند.

مدت‌هاست که احراز هویتی چند عاملی را دنبال می‌کنیم در بحث رمز پویا یک‌جانبه به اپراتورها و شبکه پرداخت فشار آورده‌ایم در صورتی که اگر مباحث احراز هویت زیرساختی که دیر یا زود باید سراغ آنها برویم، نهادینه شوند قطعاً یک شبکه بانکی امن‌تری خواهیم داشت و به استانداردهای جهانی نزدیک‌تر خواهیم شد.

*  آیا الزامات و مقررات فعلی در تسهیل‌گری شبکه پرداخت و راه‌اندازی یک کسب و کار به ویژه از جنبه بخش خصوصی باعث این اتفاق شده است یا خیر؟

اسلامی: اگر بخواهیم صنعت بانکداری و پرداخت را با سایر صنایع مقایسه کنیم به نظرم اتفاقاً فوق‌العاده خدمات ویژه‌ای داریم امروز بسیاری از کسب و کارها می‌توانند با فاصله بسیار کمی کسب و کار خود را راه بیندازند و پوز بگیرند و IPG بگیرند و خدماتی ارائه دهند یک نقطه قوت است؛ به ویژه در مقایسه با بقیه صنایع. انصافاً حوزه پرداخت و بانکی در 20 سالة اخیر جزو پیشرفته‌ترین حوزه‌ها در مقابله و همراهی با کسب و کارها بوده است. این یک منظر اولیه است و منظر ثانویه در تأسیس و شروع کسب و کارها همچنان انتظاراتی که وجود دارد بیش از این است که الان اتفاق افتاده است.

پول‌شویی همان‌طور که می‌دانید رد کردن منشأ مال است؛ یعنی فردی که از درآمدهای نادرست مثل قاچاق مواد مخدر، سلاح یا فرار مالیاتی درآمد کسب می‌کند یا کاهش هزینه‌ای رخ می‌دهد و سعی دارد آن را به گونه‌ای نشان دهد که این درآمد از کار درست و صحیحی به دست آمده است این مبانی پول‌شویی است. عدد و رقم درستی در این زمینه وجود ندارد؛ ولی آقای دکتر یزدی که استاد اقتصاد هستند از سال 52 تا 80 را بررسی کردند و میزان پولشویی را 8/11 درصد کل نقدینگی برآورد کردند . من نمی‌دانم این عدد درست است یا نه، دوستان لطفاً رد یا تأیید کنند. این عدد حتی اگر کمتر از این هم باشد فوق‌العاده زیاد است. میزان نقدینگی سال 99، دو هزار هزار میلیارد تومان بود. این پول و این نوع پول‌ها از کسب و کارهای تازه شکل گرفته در نمی‌آید.

دوستان در دستگاه قضائی و پلیس فتا و وزارت اطلاعات در زمان دادن آموزش می‌گویند؛ در زمان احراز هویت یک فرد معلم در یک استان را مثال می زنند که وقتی30 الی 50 میلیون تومان شناور در حسابش می‌چرخد کاملاً مشخص است که این فرد معلم نیست و نیاز هم بررسی و احراز هویت شود. اما در حال حاضر احراز هویت در داخل بانک‌ها چگونه انجام می‌شود؟ یا در داخل اپراتورها چطور؟ ما باید به سیستم‌های جدید اعتماد کنیم. بسیاری از افراد برای افتتاح حساب خودشان به شعبه مراجعه نکرده‌اند آیا عکسی وجود دارد که نشان دهد فرد خود به شعبه مراجعه کرده است؟ نه. فناوری‌های نوین عکس می‌گیرند و تطبیق صدا دارند و مقایسه می‌کند و از هوش مصنوعی استفاده می‌کند می‌توان به آن اعتماد کرد. اولویت در این است که فرد متقاضی متخلف نیست.

تمام بحثم این است شبکه پرداخت که نام بسیار ملموس خدمات پرداخت را روی PSPهای خود قرار داده است آیا در خدمت کسب و کارهاست یا بالعکس؟ اگر خدمات در خدمت اینهاست آن زمان باید راه حل‌های موضوع پول‌شویی را پیدا کنیم و با آنها مقابله کنیم. بنای جوانانی که کسب و کارها را راه می‌اندازند پول‌شویی نیست، بنای کسانی که بعد از انقلاب متولد شدند و در همین محیط پرورش یافتند تخلف نیست باید این را قبول کنیم و معیار و مبنا قرار دهیم و از هوش و توان این افراد استفاده کنیم.

ما در نظام صنفی رایانه ای تهران در خدمت جناب سرهنگ هستیم این موضوعات، پیچیدگی دارند. آقای گودرزی بیان کردند که 50 درصد فیشینگ از طریق رمز دوم کاهش پیدا کرده است ولی 50 درصد دیگر را باید چه کرد؟ آیا مجموعه‌ها از PSPها خدمت نمی‌گرفتند؟ چرا می‌گرفتند. آیا احراز هویت که صورت می‌گیرد دیگر هویت‌فروشی اتفاق نمی‌افتد؟ زمانی که 500 هزار تومان یا یک میلیون تومان یا دو میلیون تومان جابه‌جا نمی‌شود احراز هویت درست انجام شده است؟ آیا یک فرد به شعبه مراجعه کرده به معنی این است که درست احراز هویت شده است؟ در هریک از اینها باید چه کرد؟

ما در صنف 20 کمیسیون تخصصی، هر کمیسیون 35 الی 37 نفر متخصص بدون هزینه داریم. حتماً در بخش دولتی نمی‌توانید این افراد را به کار بگیرید. ما در بخش خصوصی حاضریم این کار را به صورت مجانی انجام دهیم. اصلاً سطح جدید تنظیم‌گری بر عهده بخش خصوصی است، حضرت امام (ره) بیان کردند که کار مردم را به خود مردم واگذار کنید. اتفاقاً برخورد اولیه با متخلف را باید صنف انجام دهد. هزینه کارمزد نباید افزایش یابد. اگر به آرایشگاه مردانه تشریف ببرید و برای اصلاح سرتان پول زیادی بگیرد به صنف شکایت می‌کنید.

اگر مغازه‌ای در ظهر روز غیر تعطیل مشروب‌فروشی کنید چطور آن را می‌بندید؟ حتماً باید گزارش شود، نمایندگان پلیس حضور یابند و تعطیل شدن آن مشروب‌فروشی به یک فرآیند نیاز دارد. امروز یک نفر در یک وزارتخانه می‌تواند یک دکمه را فشار دهد تا IPG قطع شود و این به معنای مرگ کسب و کار است. بحث من این است غلبه جوانانی که آمدند کسب و کار نوپا ایجاد کردند تخلف نیست اتفاقاً تسهیل‌گری است می‌خواهند راحت‌تر جلو بروند.

چون خودتان می‌دانید برای دریافت مجوز بیچاره می‌شویم به نظرم دریافت مجوز در ایران را با آلمان و آمریکا مقایسه نکنید با کشور عمان مقایسه کنید. رتبه ما در تسهیل‌گری کسب و کار جدید 190 است به نظرم باید برای این موارد راه‌حل پیدا کنیم. مطمئن باشید همة آنها بیشترین میزان هماهنگی و همکاری را خواهند کرد اتفاقاً خیلی هم خوب موضوعات را می‌فهمند و هماهنگ می‌شوند. از طرفی بحث عدالت است که نمی‌توان روی کسی اعمال کرد و روی دیگری اعمال نشود.

صنف باید به عنوان یک مجموعه متخصص به عنوان یک ابزار تخصصی نهاد نظارتی در اختیار قرار بگیرد. پلیس بعد از اینکه دزدی اتفاق افتاد حضور می‌یابد و تصمیماتی گرفته می‌شود؛ اما موضوع پیشگیری مهم است. موضوع پیشگیری یک موضوع کاملاً تخصصی است باید همه دور هم جمع شویم و در مورد آن بحث کنیم و قبل از اینکه اعمال و مصوب کنیم نظر بخش خصوصی را بگیریم نه اینکه اول اعمال و برخورد کنیم بعد نظر بخش خصوصی را بگیریم. اگر این روال را اعمال کنیم و اعتماد را به بدنه مردم و کسب و کارها تزریق کنیم مطمئن باشید این حجم پول‌شویی با راه حل‌های دقیق‌تری قابلیت کنترل دارد در کل جهان نیز به همین شکل برخورد کرده‌اند.

*  اجازه بدهید به عنوان جمع‌بندی درخواست کنم از مهندس دهقان در مورد تبعات انواع اقدام مجرمانه مانند پول‌شویی صحبت بفرمایند.

دهقان: بحث مبارزه با پول‌شویی و تخلفات در شبکه پرداخت بحث بسیار مهمی است. از دید حاکمیت طبیعتاً انتظاراتی می رود مبنی بر اینکه هر کدام از بازیگران سهم خودشان را در سالم نگه داشتن شبکة پرداخت ایفا کنند.

شاپرک در هیچ شرایطی علاقه‌ای به دخالت در حوزه کسب‌وکارها ندارد؛ حتی ما با این پیش فرض جلو می‌رویم که رفتار کسب‌وکار مناسب است و طبیعتاً اینجا رفتارشناسی را مبنای قضاوت ادامة فعالیت هر کسب‌وکار قرار می‌دهیم. انتظار می‌رود همان‌طور که در بحث کارمزد مسائلی مطرح شد و قاعدتاً همه بازیگران باید به این فضا کمک کنند در سلامت شبکه پرداخت و مبارزه با پول‌شویی و مبارزه با تخلف و تقلب، هم بانک و هم شرکت‌های PSP و هم حاکمیت و پذیرندگان و کسانی که به نوعی مسئولیت این کار را برعهده دارند هم‌صدا باشند تا شاهد بهبود شرایط باشیم به طورکه این اتفاقات به حداقل برسد.

در شرکت‌های PSP که قوام‌یافته و بزرگ هستند و بلوغ نسبتاً زیادی در کار خود دارند و عملکردشان به اذعان دوستان در این حوزه به ویژه در توسعه شبکه پرداخت و ماندگاری و امنیت آن بی‌نظیر است؛ با بی‌دقتی‌ و برای تأمین منابع کوتاه‌مدت مالی به تخلفات عجیب و غریب تن داده‌اند یا چشم‌شان را روی یک سری از تخلفات این حوزه بسته‌اند. در اینجا به صورت تیتروار به این موارد اشاره می‌کنم و از دوستان می‌خواهم که به آنها توجه داشته باشند و راه‌حلی ارائه دهند.

الف: یکی از مباحث شکست تراکنش یا پمپاژ یا تراکنش صوری است. متأسفانه این معضل در حال حاضر بلای جان این صنعت شده و علت بروز این مسئله همان مدل کارمزدی غیر استاندارد است. در این تخلف سرقت از جیب بانک به نفع شرکت PSP رخ می دهد. اقدامات متعددی در این حوزه انجام شده است و با استفاده از تکنولوژی هوش مصنوعی مسیر تخلفات شناسایی می شوند. همچنین برای برخورد با شرکت متخلف کمیتة انضباطی خاصی شکل گرفته و مطابق با آئین نامه انضباطی با آن برخورد می گردد. این گونه موارد به عنوان تخلف درجه یک برای شرکت‌های PSP درج می‌شود. وظیفه ماست که حساسیت بانک‌ها و جامعه پرداخت را نسبت به این موضوع بالا ببریم. هزینة تخلف از این دست و سایر موارد آنقدر زیاد شده است که به نظرم حتی صرفه اقتصادی ندارد.

ب: در چند سال گذشته«هویت هدایت تراکنش» به بازاریابی و فروش پوز کمک می کند که فی‌الذاته مجرمانه و متخلفانه نیست. در گذشته کارتخوان را به عنوان یک ابزار خاص حوزه تخصصی می‌دانستند و اظهار می شد نباید فروش برود اما در حال حاضر از این ممنوعیت عبور کرده‌ایم. تخلفات این حوزه نیز عمدتا به کارمزد و عدم احراز هویت برمی گردد.

به طور مثال پذیرنده‌ای یک پوز یا درگاه از شرکتی دریافت کرده است و آن شرکت هویت او را تکثیر کرده و درگاه‌های متعددی به نام او ثبت کرده و امروز هم ثبت مالیاتی شده است. این نکته بسیار خطرناکی است؛ به نظرم این امر جدای از تخلف، جرم نیز است و این مساله پیگیری قضایی خواهد شد در عین حال کسانی که از هویت‌شان سوءاستفاده شده است نیز شخصاً می‌توانند این تخلف را پیگیری قضایی کنند.

که تبعات منفی زیادی به ویژه برای شرکت‌های PSP که اجازه این تخلف را دادند در پی خواهد داشت. در بحث مالیاتی نظام‌مندی و شفافیت در شبکه پرداخت ایجاد شده است. برخی از شرکت های هدایت تراکنش تخصیص پایانه بدون کد مالیاتی و بدون مجوز کسب را تبلیغ می کنند که این کار عمدتاً کلاهبرداری است؛ یعنی پرونده مالیاتی برای افراد از طریق شرکت های هدایت تراکنش تشکیل می‌شود.

ج: در بحث زیرسوئیچ‌ها تخلفات عمده‌ای وجود دارد که متأسفانه این تخلفات در حال گسترش است.

با توجه به اینکه انضباط خاصی مد نظر شاپرک است در ارتباط با زیرسوئیچ ها قواعد و مقرراتی تدوین شده است و امیدواریم با ابلاغ ممیزی‌های خاص بتوانیم این حوزه‌ها را از تقلب و تخلف مبرا کنیم. همچنین سامانه‌ای به نام ریجستری پوز در حال تدوین و تهیه و استقرار است تا استفاده پایانه های فروشگاهی را مانند موبایل مدیریت پذیر کنیم؛ چون پوز زمانی می‌تواند تراکنش داشته باشد که در سامانه ریجستری ثبت شده و قاچاق نشده باشند و از راه قانونی وارد کشور یا تولید شده باشد. در نهایت ذی‌نفع تراکنش‌ها حساب مقصد پشت پوز می باشد. طبیعتاً انطباق بین کد ملی دارنده ابزار پذیرش با کد ملی دارنده شبا، از مواردی است که خوشبختانه با تمهیدات بانک مرکزی و ایجاد سامانة سیاح برای شرکت‌های پرداخت ایجاد شده است و برای سایر بازیگران نیز این فرایند عملیاتی می‌شود.

اینکه یک نفر کارتخوان داشته باشد و فرد دیگری منتفع شود عین تخلف است. از طرفی اپلیکیشنی به زودی به بازار عرضه می‌شود که ارتباط مستقیمی بین پذیرنده و شاپرک ایجاد می‌کند که پذیرندگان در این فرآیند می‌توانند تعداد ابزارهای‌ خود را استعلام کنند و کد ثبت یا فعال‌سازی ترمینال دریافت کنند و هم اینکه می توانند گزارش‌ گیری انجام دهند.

د: نکتة دیگری که قصد دارم در جمع‌بندی صحبت‌هایم به آن بپردازم بحث شبکه پرداخت و مبارزه با تخلفاتی همچون پول‌شویی و قمار است که خوشبختانه با همتی که در بخش های مختلف ایجاد شده از جمله ورود پلیس و دادستانی به این حوزه و تعیین جرایم سنگین شاهد عملکرد خوبی در شرکت‌های پرداخت هستیم. در حال حاضر این تخلفات به تعداد اندکی رسیده است و قطعاً این گونه تخلفات به نقاط دیگری مهاجرت می‌کنند و باید حتماً متولیان امر در این حوزه حساس و مراقب باشند.

ه: در همین راستا همچنین نقش فرهنگ‌سازی و اطلاع‌رسانی بسیار خالی است. هم خودمان نتوانستیم این فرآیند را خوب مدیریت کنیم و هم شرکت‌های PSP و بانک‌ها کمتر به این مهم پرداخته اند.

و: همچنین سامانه‌ای در شرکت شاپرک با هدف رفتارشناسی پذیرندگان ایجاد شده است تا از طریق آن رفتار پذیرندگان متناسب با کد صنفی پذیرنده مربوطه تطبیق دهد و طبیعتاً ماهیانه به تعداد چند هزار عدم انطباق را به شرکت PSP اعلام می‌کنیم. امیدواریم این سامانه که مبتنی بر هوش مصنوعی است زودتر تکمیل و وارد فاز عملیاتی شود.