35 درصد جرایم سایبری سرقت اطلاعات کارت بانکی است

دغدغه دادستانی و پلیس فتا در ارقام زیر 500 هزار تومان با رمز پویا رفع نمی شود

گروه بانک و بیمه|

بانک مرکزی باهدف افزایش امنیت تراکنش‌های بدون حضور کارت با همکاری شرکت کاشف نسبت به انتشار سند الزامات رمزهای پویا و ابلاغ بخشنامه پیاده‌سازی رمز دوم یک‌بارمصرف و ارائه آن توسط شبکه بانکی اقدام کرد؛ بر همین اساس تمامی بانک‌ها و مؤسسات مالی و اعتباری کشور باید زیرساخت ارائه رمز دوم یک‌بارمصرف به مشتریان را ارائه کنند، اما تهیه زیرساخت رمز پویا، نحوه مواجهه بانک‌ها و شرکت‌های پرداخت به همراه تجربه کاربری و استفاده مشتریان از آن چالش‌ها و فرصت‌هایی را ایجاد کرده است.

 به گزارش «تعادل»، هر چند قرار بود این طرح از ابتدای خردادماه اجرایی شود اما بانک مرکزی در روزهای گذشته اعلام کرد رمز دوم یک‌بار مصرف فعلا اجباری نیست و بانک‌هایی که زیرساخت لازم را ندارند می‌توانند از رمز ایستا استفاده کنند در همین حال بانک مرکزی همچنین اعلام کرده است بانک‌هایی که زیرساخت آنها آماده است می‌توانند این برنامه را اجرایی کنند.

با توجه به اهمیت این موضوع و سردرگمی‌هایی که مشتریان نظام بانکی برای رمز پویا داشته اند، میزگردی با عنوان رمز دوم یک‌بارمصرف؛ چالش‌ها و فرصت‌ها  و با حضور علیرضا اطهری فر مدیر طرح و برنامه شرکت کاشف، محمدمهدی صادق از شرکت سداد، مهدی شهیدی و مهرداد حداد و محمد گرکانی نژاد برگزار شد تا زوایای مختلف پیاده‌سازی و عملیاتی‌سازی رمز دوم یک‌بارمصرف در نظام بانکی مورد بحث و بررسی قرار گیرد

علیرضا اطهری فر،گفت : از اواسط شهریورماه سال ۹۷، کاشف با مشارکت بانک مرکزی درزمینه روند رو به رشد جرائم و سرقت‌ها بررسی و پیمایشی انجام داد؛ گزارش‌ها حاکی از سرقت اطلاعات کارت‌های بانکی در کشور بود که از ابتدای سال ۹۷ شروع‌شده و در اواسط سال ۹۷ مشکلات به نقطه بحرانی رسیده بود. این مهم نظام بانکی و پرداخت تحت‌فشار دستگاه قضایی و پلیس به دلیل حجم پرونده‌های شکایتی در حوزه کلاه‌برداری مالی از طریق تراکنش‌های بدون حضور کارت قرار داده بود؛ همچنین فشار به‌نظام بانکی برای حضور فین تک‌ها و کسب‌وکارهای جدید و به‌منظور جلوگیری از کلاهبرداری و رعایت حقوق مشتریان نظام بانکی منجر به این شد که بانک مرکزی به دنبال راهکاری برای افزایش امنیت و رفع دغدغه‌ها باشد که در همین راستا پویاسازی رمزهای بانکی با همکاری کاشف پیگیری شد.

معاونت فناوری‌های نوین بانک مرکزی گفت: با توجه به استانداردهای بین‌المللی سند پیش‌نویس الزامات رمزهای پویا را تدوین و با اشتراک‌گذاری و دریافت نظارت بانک‌ها، شرکت‌های پرداخت و دستگاه‌ قضایی و پلیس نسبت به تهیه نسخه نهایی و انتشار سند الزامات رمزهای پویا در تراکنش‌های مبتنی بر کارت اقدام کرد و در ابلاغیه‌ای به بانک‌ها و مؤسسات مالی و اعتباری فرصت داده شد تا زیرساخت رمز دوم یک‌بارمصرف را ایجاد کنند.

وی افزود: در حال حاضر رمزهایی که شهروندان در پرداخت باکارت استفاده می‌کنند، رمزهای ایستا (ثابت) است؛ رمزهای ایستا آسیب‌پذیر هستند و در صورت سرقت یا اشتراک‌گذاری توسط دارنده کارت، زمینه لازم برای دسترسی و برداشت غیرمجاز از حساب بانکی فراهم می‌شود و درعین‌حال رمزهای ایستا نسبت به حملات فیشینگ آسیب‌پذیر هستند که بر همین اساس بانک مرکزی پویاسازی رمز دوم به معنای تولید یک‌بارمصرف با طول عمرمحدود برای هر تراکنش را در دستور کار قرارداد که می‌تواند به رفع آسیب‌پذیری‌های فعلی کمک کند.

محمدمهدی صادق، نیز گفت:  موضوع رمز یک‌بارمصرف در حوزه عملیاتی ارتباط خاصی با شرکت‌های حوزه پرداخت الکترونیک ندارد، اما شرکت‌های پرداخت تحت تأثیر تجربه کاربری مشتریان در استفاده از خدمات پرداخت اینترنتی و موبایلی با کاهش مواجه خواهد شد زیرا با این شیوه تجربه ایجاد و درنهایت ممکن است منجر به از دست رفتن مشتریان و تراکنش برای شرکت‌های PSP شود. علی‌رغم روش‌های رایج در دنیا مدل ارائه رمز دوم به‌صورت یک‌بارمصرف برای هر تراکنش با هر مبلغ که در ابتدای این طرح مطرح بود، متداول نیست البته چندی بعد بانک مرکزی با اعلام بندهایی جدید در این سند تجدیدنظر کرد و برای مبالغ سقف قائل شد. البته از دیدگاه یک شرکت پرداخت الکترونیک که درگیر موضوعات کلاه‌برداری است این مهم که با بهره‌گیری از رمز یک‌بارمصرف پویا امکان فعالیت‌های کلاهبردارانه کاهش می‌یابد، امنیت و کاهش ریسک فعالیت‌ها بسیار مهم است. اما همچنان مسئله کاهش تراکنش به دلیل ایجاد تجربه نامناسب در میان کاربران آسیب بیشتری به شرکت‌های پرداخت وارد می‌کند که رگولاتور باید به این موضوع توجه جدی داشته باشد.

   دغدغه دادستانی و پلیس فتا در مبالغ

 زیر 500 هزار تومان

مهدی شهیدی، کارشناس پرداخت نیز گفت: در ابتدای طرح رمز دوم یک‌بارمصرف باوجود تبصره بانک مرکزی برای تراکنش‌های کمتر از ۵۰۰ هزار تومان انتظار می‌رود تغییرات خاصی در کار شرکت‌های پرداخت ایجاد نشود و امیدواریم تا چالش جدی در حوزه مشتریان نداشته باشیم چراکه بخش‌نامه درزمینه فعالیت‌ شرکت‌های پرداخت الکترونیک تأثیرگذار است. نظام بانکی با شرایط فعلی آماده اجرای رمز یک‌بارمصرف نیست؛ با عدم اجرای رمز یک‌بارمصرف برای تراکنش‌های کمتر از ۵۰۰ هزار تومان دغدغه دادستانی و پلیس فتا کاهش پیدا نخواهد کرد چراکه روزانه با سقف ۵۰۰ هزار تومان کلاه‌برداری انجام می‌شود. تغییرات در حوزه رمز دوم و پویاسازی این رمز برای شرکت‌های PSP درگیری خاصی ندارد و در حوزه درآمدی نیز تأثیر خاصی نخواهد داشت. اما توجه به این مهم ضروری است که باید الزامات رمز پویا در عملیات انتقال وجه و خرید با رمز دوم به‌گونه‌ای پیاده‌سازی شود که مشتری اگر تراکنش بالای ۵۰۰ هزار تومان را با رمز دوم یک‌بارمصرف انجام داد بعدازآن هم بتواند دیگر تراکنش‌های زیر ۵۰۰ هزار تومان را با رمز ایستا انجام دهد که این موضوع در حال حاضر اجرای این طرح عملیاتی نشده است.  همچنین مهرداد حداد، کارشناس حوزه امنیت پرداخت گفت: راهکاری که هم‌اکنون در اختیار بسیاری از بانک‌ها است، ارائه رمز یک‌بارمصرف از طریق اپلیکیشن‌های موبایلی به شمار می‎رود که دو مشکل را به دنبال دارد؛ اول این‌که مشتری باید برای استفاده از رمز دوم پویا تلفن همراه هوشمند داشته باشد و از طرفی دیگر با توجه به امکان محدودیت خدمات از سوی اپل و گوگل برای گوشی‌های هوشمند فعال در ایران و احتمال مسدودسازی، ارائه رمز یک‌بارمصرف تنها از طریق اپ‌های موبایلی از ریسک بالایی برخوردار است. البته در حال حاضر بعد از  اعلام بانک مرکزی در ارائه رمز یک‌بارمصرف علاوه بر عرضه رمز پویا از طریق اپلیکیشن‌های موبایلی، ایجاد بستر ussd و پیامک را برای دارندگان موبایل‌های غیرهوشمند در دستور کار قراردادیم. البته در دنیا به‌جای بهره‌گیری از رمز یک‌بارمصرف در تمام تراکنش‌ها بیشتر به دنبال راهکارهایی برای احراز هویت قوی از مشتریان هستند. وی افزود: در بررسی‌هایی که در بخش مبالغ تراکنش‌ها صورت گرفت؛ مشخص شد که حدود ۷ درصد تراکنش‌ها بالاتر از ۵۰۰ هزار تومان و ۹۳ درصد تراکنش‌ها را مبالغ پایین‌تر از ۵۰۰ هزار تومان به خود اختصاص داد؛ بر همین اساس انتظار می‌رود در شرایط فعلی مراجعه مشتریان به شعب بانک زیاد نباشد اما با توجه به این‌که ۵۰ درصد مشتریانی که از رمز دوم استفاده می‌کنند، مشتریان اینترنت بانک و موبایل بانک هستند چراکه لزومی به حضور در شعب برای فعال‌سازی رمز دوم یک‌بارمصرف ندارند، حجم مراجعات حضوری برای فعال‌سازی رمز دوم و سامانه‌های اینترنت بانک و موبایل بانک کمتر خواهد بود.

وی ادامه داد: یکی از مهم‌ترین مسائل و چالش‌هایی که هم‌اکنون وجود دارد این است که اگر مشتری نسبت به فعال‌سازی رمز دوم یک‌بارمصرف اقدام کند، خدمات صرفاً به‌صورت پویا به وی ارائه می‌شود و دیگر به‌صورت ایستا نمی‌تواند باشد. ازاین‌رو اگر مشتری قصد خرید شارژ داشته باشد؛ قابلیت تشخیص تراکنش‌ها تا سقف ۵۰۰ هزار تومان برای انجام عملیات با رمز ایستا و بالاتر از این مبلغ با رمز پویا در حال حاضر فراهم نیست و برای تحقق این مهم باید فرآیندهایی در کربنکینگ  بانک‌ها پیاده‌سازی شوند، اما موضوع تجربه کاربری این غربالگری را برای بانک‌ها سخت کرده است. گرکانی نژاد نیز اظهار داشت: کشمکش میان تقلب و مبارزه با تقلب یک اصل همیشه پابرجا است اما مرز میان تجربه کاربری آسان و امنیت از مهم‌ترین مسائل در نظام بانکی به شمار می‌رود که باید به آن توجه ویژه داشت چراکه رمز دوم یک‌بارمصرف تا به امروز وجود نداشته و قرار است کاربران را به سمت امنیت سوق دهد تا از رمز دوم ایستا استفاده نکنند که البته عملیات بانکی را سخت خواهد کرد ولی مأموریت بانک مرکزی و کاشف در حوزه تجربه کاربری و امینت چه بوده است؟

   35 درصد جرایم سایبری سرقت اطلاعات کارت بانکی است

از سوی دیگر، علیرضا اطهری فر، گفت: بر اساس آمار جرائم و کلاه‌برداری‌های مالی که در اختیار کاشف و بانک مرکزی قرارگرفته باید گفت که ۳۵ درصد از جرائم سایبری مختص به سرقت اطلاعات اصلی کارت‌بانکی است و آمار مراجع قضایی حاکی از آن است که رمز پویا می‌تواند تا ۵ درصد کلاه‌برداری‌ها را کاهش دهد.

بالانس میان امنیت و تجربه کاربری مسئله مهمی است که رگولاتور در تمامی الزامات ابلاغی بر آن تأکید دارد و بر همین اساس در بحث قانون‌گذاری تلاش می‌کند تا با بررسی نظرات تمام فعالان مختلف صنعت و با مشارکت آن‌ها الزامات قانونی را تدوین کند. بانک مرکزی در همین راستا در خصوص رمز دوم یک‌بارمصرف نیز جلساتی را با بانک‌ها و شرکت‌‎های پرداخت برگزار کرد و چندین دوره زمانی را برای پیاده‌سازی زیرساخت‌ها در نظر گرفت تا مشکل و اختلالی ایجاد نشود.

یک نکته بسیار مهم که شهروندان در خصوص امنیت کارت‌بانکی باید بدانند، این است که کلاه‌برداری باکارت صرفاً محدود به برداشت غیرمجاز و خالی کردن حساب بانکی نمی‌شود. بسیاری از پرونده‌ها در مراجع قضایی مختص به جرائمی می‌شود که کلاه‌برداران با دسترسی به اطلاعات کارت‌بانکی و حساب شهروندان به دلیل سهل‌انگاری آن‌ها، اقدام به پول‌شویی با حساب این افراد کرده‌اند و درنهایت مشتری سیستم بانکی بدون اطلاع از این‌که اتفاقی رخ‌داده باید در دادگاه حاضر و ادله‌ای ارائه دهد که در این جرم نقشی نداشته است. حجم بالای پرونده‌ها در این بخش منجر به تصمیم بانک مرکزی در خصوص بهره‌گیری شبکه بانکی از زیرساخت رمز پویا شد.

محمدمهدی صادق، نیز افزود: درزمینه تراکنش‌های تحت تأثیر یعنی تراکنش‌های بدون حضور کارت با مبلغ بالاتر از ۵۰۰ هزار تومان در شرکت‌های پرداخت الکترونیک باید انتظار داشت که اگر عملیات کارت به کارت در نظر گرفته نشود، بالغ‌بر ۵ درصد تراکنش‌ها متأثر از الزامات بانک مرکزی است اما در صورت ایجاد سقف روزانه برای تراکنش‌های با مبلغ کمتر از ۵۰۰ هزار تومان با رمز دوم ایستا این مقدار تا ۳۰ درصد افزایش پیدا می‌کند.

در شرایط فعلی بانک مرکزی روندی را در دستور کار قرار داده تا ۵ درصد از تراکنش‌های شرکت‌های پرداخت الکترونیک درگیر رمز دوم یک‌بارمصرف شوند اما با توجه به این‌که بانک مرکزی در دو بند جدید بخشنامه رمز یک‌بارمصرف تأکید کرده که بانک‌ها باید برای تراکنش‌های کمتر از ۵۰۰ هزار تومان قبول مسئولیت در جبران خسارت داشته باشند و نحوه پیاده‌سازی برای دستگاه‌‎های عمومی به‌صورت خاص انجام شود که در شرایط فعلی در زیرساخت‌ها بانک‌ها عملیاتی نشده است این امر منجر می‌شود میزان درآمدهای تحت تأثیر شرکت‌های پرداخت الکترونیک از ۵ درصد به ۷۵ درصد افزایش پیدا کند. من مجدد تأکیددارم که مردم برای امینت حاضرند صبر کنند اما حاضر به سخت شدن کار نیستند. مهرداد حداد، نیز ادامه داد: هنگامی‌که بخشنامه‌ای در خصوص تراکنش‌های کمتر از ۵۰۰ هزار تومان از سوی بانک مرکزی ابلاغ می‌شود که تنها برای پیاده‌سازی آن ۹ روز زمان وجود دارد، دیگر نمی‌توان انتظار انتخاب بهترین راهکار را داشت زیرا هرگونه پیاده‌سازی نیاز به آزمایش‌های متعدد و سپس عملیاتی سازی دارد. افزایش امنیت تراکنش‌ها مسیر خوبی به شمار می‌رود اما مسئله فرهنگ‌سازی از طریق مراجعی مثل بانک مرکزی، بانک‌ها و پلیس فتا موضوع مهمی است که باید آن را به‌صورت همگرا اجرایی و موردتوجه قرارداد.

مهدی شهیدی، نیز گفت: در حوزه کیف پول احراز هویت با کد ملی و شماره موبایل انجام می‌شود که در شرایط فعلی با محدودیت‌هایی روبرو است و صرفاً تنها ۱۰ بانک بعد از گذشت یک سال و چند ماه در جواب تراکنش‌های پرداخت شماره کد ملی و شماره شبا صاحب کارت را به شرکت پرداخت الکترونیک به‌منظور احراز هویت در کیف پول ارسال می‌کنند؛ درواقع بسیاری از بانک‌ها از این زیرساخت بی‌بهره هستند. محمدمهدی صادق، نیز افزود: به عقیده من تا زمانی که شرکت‌های پرداخت از بازار پرداخت خرد در تراکنش‌های آنلاین کارمزد کسب کنند و این نوع از تراکنش‌ها برای مشتریان رایگان است، پرداخت خرد با کیف پول و بهره‌گیری از این ابزار برای مشتری جذابیت ندارد و به‌منظور رایج شدن استفاده از کیف پول باید نظام کارمزد اصلاح شود.