اما و اگرهای طرح رمز دوم یک‌بار مصرف

گروه بانک و بیمه |

بانک مرکزی در بخشنامه‌ای به شبکه بانکی اعلام کرد که استفاده از رمز دوم ایستا برای تراکنش‌های کمتر از ۵۰۰ هزار تومان صرفا در صورت پذیرش مسوولیت سوءاستفاده‌ها و جبران خسارت توسط بانک است. به گزارش «تعادل»، بانک مرکزی جمهوری اسلامی ایران دستورالعمل تکمیلی جایگزینی رمزهای پویا به جای رمزهای ایستا در پرداخت‌های بدون حضور کارت را به منظور افزایش سطح امنیت مشتریان بانکی و جلوگیری از تضعیع حقوق سپرده گذاران به شبکه بانکی ابلاغ کرد؛ این بخشنامه که از سوی ناصر حکیمی، معاون فناوری‌های نوین بانک مرکزی ابلاغ و منتشر شده، تاکید دارد ضروری است تا رمز یک‌بار مصرف برای مشتریان کاملا رایگان باشد و تمامی بانک‌هازیرساخت رمز دوم یک‌بار مصرف را از تاریخ اول خرداد ماه ارایه کنند.

   پذیرش مشروط

در بخش اول بخشنامه بانک مرکزی در خصوص رمز دوم یک‌بار مصرف و مسوولیت بانک‌ها اعلام شده که از ابتدای خردادماه تامین امنیت مشتریان نظام بانکی در تراکنش‌های بدون حضور کارت بر عهده بانک‌ها بوده و هرگونه مسوولیت استفاده از حساب‌های مشتریان به دلیل آسیب‌پذیری‌های امنیتی در سرویس‌های بانکی مستقیما به عهده بانک خواهد بود و در این موارد تایید مراجع قضایی برای جبران خسارت مشتریان کفایت می‌کند؛ بر همین اساس در صورتی که بانک زیرساخت رمز دوم یک‌بار مصرف را از ابتدای خرداد ماه نداشته و با دیرکرد به مشتریان ارایه کند، در صورتی که در این بازده زمانی کلاهبرداری رخ دهد یا اگر به دلیل نفوذ و سوءاستفاده از زیرساخت رمز دوم یک‌بار مصرف به دلیل آسیب‌پذیری امنیتی کلاهبرداری از مشتری انجام شود، بانک مذکور باید نسبت به جبران خسارت مشتری با تایید مراجع قضایی اقدام کند.بخشنامه جدید بانک مرکزی به شبکه بانکی در خصوص رمز دوم یک‌بار مصرف تاکید دارد که جایگزینی رمز دوم پویا به جای رمزهای دوم ایستا برنامه‌ای از سوی بانک مرکزی به منظور ارتقای سطح امنیتی نظام بانکی است و با توجه به اینکه امنیت بخش لاینفک هر خدمتی به شمار می‌رود، رمز دوم یک‌بار مصرف هیچ هزینه‌ای برای دارندگان کارت و مشتریان بانکی ندارد؛ معاون فناوری‌های نوین بانک مرکزی در این بند از بخشنامه خاطرنشان کرده است که اخذ کارمزد توسط شبکه بانکی برای فعال‌سازی رمز دوم یک‌بار مصرف غیرقانونی به شمار می‌رود و باید این خدمت رایگان ارایه شود.

   قبول مسوولیت بانک برای جبران خسارت

در این بخشنامه بانک مرکزی خاطرنشان کرده که بانک‌ها و موسسات مالی و اعتباری می‌توانند با قبول مسوولیت هرگونه سوءاستفاده از مسائل امنیتی و جبران خسارت احتمالی وارد شده به مشتریان برای تراکنش‌های کم‌مقدار (با سقف کمتر از ۵ میلیون ریال در روز برای تمامی تراکنش‌ها و همچنین تراکنش‌هایی که ذی‌نفع آن دستگاه‌های عمومی نظیر صادرکنندگان قبض باشند) استفاده از مرزهای ایستا را مجاز تلقی کنند؛ در واقع بانک مرکزی در حوزه تراکنش‌های کم مقدار تصریح کرده که اگر بانک قبول به جبران خسارت مشتریان برای تراکنش‌های کمتر از ۵۰۰ هزار تومان کند قادر خواهد بود تا زیرساخت رمز دوم ایستا یا همان رمز دوم فعلی کارت‌های بانکی را برای تراکنش به مشتریان ارایه کند و اگر بانک نسبت به جبران خسارت این تراکنش‌ها تعهد ندهد باید مشتری برای هرگونه تراکنش با رمز دوم از رمز دوم یک‌بار مصرف استفاده کند. معاون فناوری‌های نوین این بانک طی بخشنامه جدید رمزهای یک‌بار مصرف اعلام کرده که بانک مرکزی نسبت به بررسی راهکارهای تایید هویت قوی مشتری پیش از برداشت از حساب اقدام خواهد کرد؛ در همین راستا در صورتی که بانک بتواند راه‌حل مطمئن دیگری که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد را اجرایی کند، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد.بانک مرکزی در حوزه هزینه تمام شده زیرساخت تامین امنیت پرداخت‌های بدون حضور کارت اعلام کرده است که هرگونه فرآیند تامین امنیت پرداخت‌های بدون حضور کارت باید با انجام هزینه‌های منطقی و معقول و مطابق با قیمت تمام شده فنی در آن بانک به صورت یک زیرساخت دایمی صورت گرفته و صرفه و صلاح بانک بطور کامل در آن مدنظر قرار گیرد؛ در حقیقت بانک‌ها باید با هزینه معقول نسبت به ایجاد زیرساخت دایمی و مناسب مشتریان در چند بخش اقدام کنند و صرفا به دنبال ارایه راهکارهای مختلف به صورت موقت نباشند.در آخرین بند بخشنامه جدید معاونت فناوری‌های نوین بانک مرکزی در زمینه رمزهای پویا خاطرنشان شده است که به منظور پشتیبانی حداکثری از مشتریان ضرورت ‌دارد امکانات ارایه رمز، محدود به استفاده از برنامه‌های کاربردی گوشی‌های هوشمند نشده و ارایه آن از طریق سایر ابزارها نظیر پیامک، پیام‌رسان‌های داخلی مجاز و نظایر آن برای مشتریان بانک‌ها نیز حسب تشخیص بانک فعال شود؛ بر همین اساس و با توجه به تاکید قبلی بانک مرکزی، بانک‌ها و موسسات مالی و اعتباری ضمن ارایه اپلیکیشن رمز یک‌بار مصرف برای سیستم عامل اندروید و iOS باید زیرساخت ارایه رمز یک‌بار مصرف در پیام رسان‌های داخلی مجاز را توسعه دهند و برای مشتریانی که از تلفن‌های غیر هوشمند استفاده می‌کنند از بستر پیام کوتاه و USSD استفاده شود.

   دلایل رمز دوم

استفاده از رمز دوم یک‌بار مصرف به دلیل افزایش کلاهبرداری‌های اینترنتی در دستور کار بانک مرکزی قرار گرفت اما بروز یکسری از مشکلات باعث تعویق در اجرای اجباری این طرح شده است.به گزارش ایبِنا، پرداخت بدون کارت در ایران از سال ۸۶ اجرایی شده و از آن زمان برای خریدهای اینترنتی استفاده از 4 مولفه شماره کارت، رمز دوم، CVV۲ و تاریخ انقضا برای انجام تراکنش‌ها در دستور کار قرار گرفت. البته برای تراکنش‌های تلفن بانک و موبایل بانک به علت امنیت بیشتر تنها دو مولفه شماره کارت و رمز دوم درخواست می‌شود.براساس آمار کلاهبرداری‌هایی که در این حوزه می‌شود به دلیل مشکلات امنیتی از قبیل هک شدن و ایرادهای سیستمی نیست و حجم بالای این کلاهبرداری‌ها به علت لو رفتن اطلاعات این 4 مولفه رخ می‌دهد؛ برای مثال کلاهبرداری از طریق فیشینگ با سوءاستفاده از مولفه‌های وارد شده در سایت‌های جعلی پرداخت انجام شده و کلاهبرداران با کمک این اطلاعات نسبت به برداشت از حساب اقدام می‌کنند.

   رمز دوم یک‌بار مصرف چرا اجرایی شد؟

طی دو سه سال اخیر تعداد پرونده‌های تشکیل شده در این حوزه به‌شدت افزایش داشته و از طرفی علاوه بر وب سایت‌ها، اپلیکیشن‌ها و شبکه‌های اجتماعی نیز وارد میدان شده‌اند که موجب شده حجم کلاهبرداری‌ها افزایش یابد. هر چند که آمار این کلاهبرداری‌ها در مقایسه با سایر کشورها رقم بسیار پایینی است اما با توجه به انتقاداتی که به سیستم بانکی از این بابت وجود داشت، بانک مرکزی در نهایت به این تصمیم رسید که یکی از این 4 مولفه، متغیر شود و اجرای طرح رمز دوم یک‌بار مصرف در دستور کار قرار گرفت.

   دلایل تعویق اجرای رمز دوم پویا

اول خرداد ۹۸ به عنوان مهلت بانک‌ها برای اجرای این طرح در نظر گرفته شده بود تا رمزهای ایستا با رمزهای پویا جایگزین شود. ۲۵ بانک زیرساخت‌ها را آماده کرده بودند و برنامه‌ریزی بیشتر بانک‌ها این بود که از طریق اپلیکیشن رمز را ارایه دهند اما به دلیل مشکل گوشی‌های اپل و حذف شدن اپلیکیشن‌ها توسط سرویس حفاظتی گوگل این طرح با وقفه روبرو شد و بانک‌ها مجبور شدند که راهکار جایگزینی ارایه دهند. البته برای این منظور تمهیداتی در نظر گرفته شده است. بر این اساس مقرر شده زیرساخت به تدریج برای مشتریان با ریسک بالا انجام می‌شود و مشتریان برای انجام یکسری تراکنش‌ها که ریسک کمتری دارند مانند خرید شارژ و پرداخت قبض از الزام به دریافت رمز دوم پویا معاف شوند که به این ترتیب ۹۵ درصد تراکنش‌ها از دایره الزام به رمز دوم یک‌بار مصرف خارج می‌شوند.

   کوچ از اپلیکیشن به سمت پیام کوتاه

پیگیری‌های خبرنگار ایبِنا حاکی از آن است که در برنامه جدید تمرکز از روی اپلیکیشن برداشته و راه‌حل جایگزین ارایه خواهد شد که این اقدام به دو دلیل انجام می‌شود؛ یکی اینکه ۳۰ درصد از کسانی که تراکنش انجام داده‌اند، از گوشی غیرهوشمند بابت خرید شارژ و قبض بوده که نمی‌توان آنها را تحت پوشش قرار نداد و دلیل دوم این است که اپلیکیشن‌ها کاملا بی‌ثبات شده و نمی‌توان سرویسی را انحصاری روی اپلیکیشن انجام داد. بنابراین به نظر می‌رسد پیام کوتاه به سرویس اصلی ارایه رمز دوم یک‌بار مصرف تبدیل شود که البته در این زمینه نیز مشکلاتی وجود دارد و حدود ۷۰ درصد اطلاعات شماره تماس مشتریان که در اختیار بانک‌ها است، معتبر نیست. از سوی دیگر بانک مرکزی به بانک‌ها مجوز داده در صورتی که بانک بتواند راه‌حل مطمئن دیگری را اجرایی کند که با تایید بانک مرکزی متضمن تایید هویت قوی مشتری پیش از برداشت از حساب باشد، می‌تواند از این راهکار به عنوان جایگزین رمز پویا استفاده به عمل آورد که یکی از این راهکارها احراز هویت از طریق تطابق کد ملی و شماره تلفن همراه مشتری توسط سامانه شاهکار است. البته در این مورد نیز بابت استعلام شاهکار باید ۳۸۰ تومان در هر تراکنش پرداخت شود که سرویس پرهزینه‌ای است و هزینه بالا مانعی بر سر راه این اقدام خواهد بود.

   تداوم استفاده از رمز دوم ایستا

با تصمیم مسوولان بانک مرکزی استفاده از رمزهای ایستا کماکان ادامه پیدا می‌کند و طی ماه‌های آینده ارایه رمز دوم یک‌بار مصرف از مشتریان پر ریسک شروع می‌شود و به تدریج سایر مشتریان تسری می‌کند که البته زمان خاصی برای انجام آن اعلام نشده است.