تفاوتهای رمز دوم پویا و OTP
به گزارش تفاهم، افزایش فیشینگ و جرایم مبتنی بر برداشت غیر مجاز در طول سالهای اخیر باعث شد تا ارتقاء امنیت تراکنشهای بانکی بدون حضور کارت از جمله پرداخت اینترنتی، عملیات کارت به کارت، خرید شارژ یا پرداخت قبوض به صورت جدی از سوی بانک مرکزی با تاکید پلیس فتا و نهادهای قضایی به منظور افزایش امنیت مشتریان و کاهش کلاهبرداریها در دستور کار قرار بگیرد؛ در همین راستا بانک مرکزی از سال گذشته برنامهریزی کرد تا رمزهای دوم پویا بجای رمزهای دوم ایستا جایگزین شوند و مشتریان نیز بتوانند از طریق اپلیکیشن، پیامک و حتی کدهای دستوری به رمز یکبار مصرف به سادگی و بدون هزینه دسترسی داشته باشند.
طرح رمز دوم پویا با نهایی شدن اتصال بانکها به سامانه هریم (هدایت رمز یکبار مصرف) به منظور ارسال پیامکی رمز دوم از اواسط بهمن ماه در بانکها اجرایی شد و در راستای تسهیل دسترسی مشتریان مقرر شد تا انجام تراکنش تا سقف روزانه صد هزار تومان با رمز دوم ایستا امکانپذیر باشد.
به دلیل اهمیت این موضوع و بررسی ابعاد آن میزگردی با حضور داوود محمد بیگی مدیر اداره نظامهای پرداخت بانک مرکزی، مسعود خاتونی معاون فناوری اطلاعات بانک ملی ایران، محمد گرکانینژاد کارشناس حوزه پرداخت الکترونیک و پیمان طبری مدیرعامل شرکت کارت اعتباری ایران کیش برگزار شد که بخشی از آن را در ادامه میخوانید.
ضرورت اجرای طرح رمز دوم یکبار مصرف چه بود و چه فرآیندی موجب شد بانک مرکزی به این حوزه ورود کند؟
محمدبیگی: ابتدا باید توضیحی درباره دیدگاه بانک مرکزی در پروژه رمز پویا و تفاوت آن با رمز دوم یکبار مصرف ارائه کنم. از اواخر سال ۹۶ موضوع پویاسازی یا استفاده از یک المان متغیر در پرداختهای بدون حضور کارت مطرح بود. بانکها طی این سالها یک کارت پلاستیکی به مشتریان داده بودند و مشتری میتوانست با این کار هر کاری در فضای مجازی انجام دهد، یکسری المانهایی روی این کارت چاپ میشود که بعضا برخی از این المانها مانند CVV۲ نباید روی کارت باشد و باید پشت کارت چاپ شود، در نتیجه فرآیندی اتفاق افتاد که بخش قابل توجهی از پرداخت های مردم به این کارتها وابسته شد.
طبیعتاً در چنین فضایی سوءاستفاده و برداشتهای غیرمجاز از سال ۹۶ در شبکه پرداخت رو به افزایش بود که بانکها و بانک مرکزی را به این فکر برد که راه حلی برای این مسئله بیاندیشند. بخشنامههای رمز یکبار مصرف توسط بانک مرکزی در این حوزه در اواسط سال ۹۷ برای بانکها ارسال شد و عملاً بانک مرکزی در آن زمان مدیریت این پروژه را به خود بانکها واگذار کرد و از آنها خواست که در این حوزه کار و یک فاکتور متغیری را طراحی کنند که اسم آن را رمز یکبار مصرف گذاشتند.
سال ۹۷ و شش ماهه اول سال ۹۸ به این شکل گذشت که بانک مرکزی مرتب بخشنامه میداد و پیگیری میکرد و بانکها هم محصولات خود را ارائه میکردند و تلاش داشتند که مشتریان خود را برای استفاده از این محصولات ترغیب کنند و در همین اثنا هم برداشتهای غیرمجاز افزایش یافته بود و نرخ رشد آن در سال ۹۸ نسبت به سال ۹۷ تقریباً ۳۰۰ درصد بود و این خلائی که در حوزه پرداخت وجود داشت با گذشت زمان مورد سوءاستفاده بیشتر قرار میگرفت.
بانکها به دلایل مختلف در این حوزه انتظاراتی را که باید برآورده نکردند که یکی از این دلایل رقابت با یکدیگر بود و برخی از بانکها عنوان میکردند که اگر رمز یکبار مصرف را به صورت الزام برای تمام مشتریان فعال کنیم، مشتری به دلیل سختی آن به بانکهای دیگر رجوع میکند. موضوع دیگری که از سمت مشتریان مطرح بود این بود که به هر حال شاید دوست نداشتند که اپلیکیشن را نصب کند و نیاز داشتند بانکها راه حلهای دیگری را پیش روی آنها قرار دهند و از سویی هزینه پیامک برای بانکها دغدغه جدی بود و تلاش داشتند برای کاهش هزینهها مشتریانشان را به سمت استفاده از اپلیکیشنها ترغیب کنند.
در این شرایط بانک مرکزی برای اینکه یک همگامی و یکپارچگی را در حوزه نظام بانکی کشور ایجاد کند، به این طرح ورود پیدا کرد و در صورتی که این اتفاق در شبکه بانکی میافتاد و خود بانکها هماهنگ با یکدیگر میتوانستند این کار را انجام دهند عملاً بانک مرکزی به شکل فعلی به این پروژه وارد نمیشد. در چنین شرایطی بانک مرکزی برنامه اقدام مشترک را مطرح کرد تا یکسانسازی در شبکه بانکی انجام شود.
طبیعتاً در بحث استفاده از یک المان متغیر هم سمت بانکها، هم سمت بانک مرکزی و هم سمت مشتریان مخالفتی وجود نداشت چرا که ارتقای امنیت یکی از موضوعاتی است که وظیفه بانک و به نفع مشتریان است اما بحث اصلی در این زمینه شیوه پیادهسازی است و چیزی که بانک مرکزی از ابتدا در تمام مواضع خود با بانکها مطرح کرده این است که باید به مشتریان در سبد خدمات محصولاتشان حق انتخاب دهند که از اپلیکیشن، پیامک، ussd یا سایر روشها استفاده کنند که از ابتدای کار متاسفانه این امر توسط بانکها کمرنگ دیده شد و بانکها بیشتر روی اپلیکیشن تمرکز کردند. بنابراین بانک مرکزی تلاش کرد که در این حوزه ورود پیدا کند و تمام تمرکز و هدف ما این بود که تمام سلایق مشتریان همه بانکها را با هم ببینیم که این اقدام ممکن است مورد انتقاد برخی باشد چرا که آنها تعداد مشتریان در نظام بانکی بیشتر است و بانک مرکزی با در نظر گرفتن همه این شرایط تلاش کرد تا همه بانکها به سطح قابل قبولی از شرایط دسترسی پیدا کنند.
بنابراین قطعاً نیاز به اجرای چنین طرحی حس میشد و سالها بود که شبکه بانکی در این زمینه کار کرده بود اما اشکال اصلی این بود که بانکها نتوانستند ضریب نفوذ برنامک ها برای جذب مشتریان را به هر دلیلی بالا ببرند و ظریف نفوذ بعد از حدود دو سال خیلی افزایش پیدا نکرده بود، از سوی دیگر برداشتهای غیر مجاز افزایش یافته بود و همانطور که اشاره کردم بانک مرکزی مجبور شد به این حوزه وارد شود و طرحی را برای یکسانسازی در شبکه بانکی پیاده کند. بعد از ورود بانک مرکزی رشد و توسعه و گسترش این خدمت از آبان ۹۸ به بعد با دو سال پیش از آن قابل مقایسه نیست. بعد از ورود بانک مرکزی با هماهنگی ای که با بانکها انجام شد، رشد نفوذ پروژه انفجاری بود، هرچند هنوز یکسری خلاها و کاستیهایی وجود دارد که در ادامه توضیح خواهم داد.
بانکها برای اجرای طرح رمز دوم پویا طرحهای مختلفی را اجرا کردند که تعدد این طرحها و اطلاعرسانیهای غیر منسجم تا حدود زیادی منجر به سردرگمی مردم شد، چه چالشهایی در این راه وجود داشت و آیا نمیشد این طرح را با سهولت بیشتری اجرا کرد تا مردم هم از همان ابتدا استقبال بیشتری کنند؟
خاتونی: روشهای تایید پرداخت و استفاده از رمزهای یکبار مصرف در دنیا مرسوم است و بانکها سعی میکنند از مسیرهای مختلف مانند استفاده از ایمیل، پیامک، چاپ رمز در شعبه، دستورهای ussd و استفاده از نرمافزارها سبد محصولات خود را کامل کنند. دلیل اصلی که به این طرح ورود پیدا کردیم این است که آمارها در کشور ما نشان میدهد جرایم سایبری در سال ۹۶ نسبت به سال ۹۵ حدود ۶۰ درصد افزایش پیدا کرده که عدد قابل توجهی است و یک سوم آن را فیشینگ در اختیار دارد و زمانی که این بخش را بررسی کنیم، متوجه میشویم که حوزه بانکی بیشترین جرایم را به خود اختصاص داده است.
بانک مرکزی در شهریور ۹۷ با صدور ابلاغیه به این حوزه ورود کرد و قبل از این نیز مطالعاتی در شبکه بانکی صورت گرفته بود و بانکها به این نقطه رسیدند که راهکارهای فعلی دیگر جوابگو نیست و باید محصولات جدیدی را برای ایمنسازی حوزه پرداخت به مشتریان ارائه کنند که بر این اساس OTP به عنوان یکی از راهکارهایی که در دنیا مرسوم است، شکل گرفت. در این حوزه مشتریان باید از کانالهای مختلف مانند اپلیکیشن، ایمیل، پیامک و یا چاپ رمز در شعبه این محصول را از بانک دریافت کنند که در این میان چاپ رمز در شعبه ارزانترین راه و ارسال پیامک پرهزینهترین روش برای شبکه بانکی است.
دو نکته در این میان عامل اصلی سردرگمی مشتریان است، اولین مسئله که نه تنها در این محصول بلکه در همه محصولات شبکه بانکی به چشم میخورد، اطلاعرسانی دقیق و کامل است. معمولاً بانکها روی محصولاتشان اطلاعرسانی جامعی ندارند و اطلاعرسانیها کل جامعه آماری را پوشش نمیدهد. دومین مسئله که به رگولاتور برمیگردد این است که سیاستگذاریها و هدفگذاریها منظم نیست و در ابتدا یک سیاست و هدفی را تبیین میکنیم اما در طول مسیر بنا به مشکلاتی که در طول راه به آن برخورد میکنیم این مسئله باعث میشود در طول مسیر مجدداً اطلاعرسانیهایی صورت گیرد که موجب سردرگمی مردم میشود. برای مثال بانک ملی در نیمه اول سال ۹۶ اعلام میکند که رمز یکبار مصرف را صرفاً بر روی اپلیکیشن ارائه میکند اما با گذشت زمان مشکلات پیش میآید که رگولاتور در جلسات بیرون از نظام بانکی به نتایجی میرسد و برای اینکه وضعیت را مدیریت کند، نتیجهگیری میکند که باید در کنار نرمافزار، پیامک نیز اضافه شود که با این تغییر سیاستها مردم دچار سردرگمی میشوند اما با وجود همه این شرایط اگر شبکه بانکی اطلاعرسانی خوب و آموزش مناسب را به مشتریان دهد، در حال حاضر همه بانکها شرایط دادن سرویس مناسب برای رمز دوم یکبار مصرف برای مشتریان را فراهم کردهاند.
آیا بهتر نبود بانکها یک اپلیکیشن مشترک را برای دریافت رمز دوم پویا طراحی کنند تا تعدد اپلیکیشنها و راههای مختلف دریافت رمز این سردرگمی را برای مردم ایجاد نکند؟
گرکانینژاد: اشارههایی به ضرورت اجرای طرح و یکی از چالشهای اصلیآن که اطلاعرسانی است، شد که هر دوی این موارد درست است. همچنین یک ضرورت دیگر این است که مشتریان (چه مشتریان بیشتر علاقهمند و آمادهتر برای تطبیق با فناوریهای نوین که معمولاً هدف اصلی این جور طرحها قرار میگیرند و چه مشتریان کمتر علاقهمند به آمدن در فضاهای مدرن) باید مورد توجه قرار گیرند. در مجموع فکر میکنم ماحصل رصد و پایش این شرایط، میزان پوشش و میزان ارائه این خدمت به تمام سطوح و اقشار جامعه، رگولاتور را به سمتی برد که ساز و کاری را تبیین کند تا بتواند پوششی جامعتر و کاملتر و به تعبیری تجربه شده در دنیا را به اجرا بگذارد.
راهکار پرکاربرد در دنیا این است که مشتری در لحظهای که نیاز به پرداخت پیدا میکند، به ویژه در شرایط غیرحضوری ساز و کاری در اختیارش قرار گیرد که از طریق آن بتواند از بانک صادرکننده کارت اطلاعات آن متغیر را درخواست کند تا المان برای او ارسال شود، برای ارسال این المان روشها میتواند متفاوت باشد که در شروع روی پیامک تاکید زیادی شده است. سامانه هریم یا هدایت رمز یکبار مصرف کار را برای کاربر راحت میکند و در لحظه نیاز با زدن یک دکمه اعلام نیاز میکند و سیستم کار خود را انجام میدهد و رمز برای مشتری فرستاده میشود. ارسال این المان متغیر که اینجا رمز یکبار مصرف است، از کانالهای مختلف مانند پیامک، ایمیل یا از حتی از طریق اپهای آنلاین و روشهای دیگر امکان پذیر است، بنابراین با جا افتادن طرح و گذشت زمان ممکن است، روشهای ارزانتر و راحتتری ایجاد شود.
در مورد اپ های آفلاین یک اپلیکیشن مشترک شرایط حقوقی خاصی را ایجاد میکند، چرا که موضوع احراز هویت اختصاصا در اختیار هر بانک صادرکننده است و اینکه بانک مرکزی این مسئولیت را بردارد، به لحاظ حقوقی مسائلی دارد اما اینکه بانکها با هم به توافق برسند و یک اپلیکیشن متمرکز را توسط چند بانک ارائه دهند، ایرادی ندارد اما از نظر اجرایی و مسائل حقوقی کاری دشوار است. تصور من این است که اپهای آنلاین برای خیلی از کاربران میتواند راه حل جایگزین باشد و به جای ارسال پیامک، المان متغیر می تواند روی اپهای آنلاین تحویل داده شود. در این صورت ایجاد برنامک مشترک بین چند بانک موضوعات حقوقی کمتری هم خواهد داشت.
ضمن اینکه طرح رمز یکبار مصرف یک چیز است و اینکه به این المان یکبارمصرف ملاحظات کنترلی دیگری را وصل کنیم و ضریب امنیت را بالا ببریم موضوع دیگری است. مثلاً در طرحی که صرفا رمزهای یکبار مصرف را تحویل مشتری دهیم باعث میشود که نتوانیم در لحظه وقوع تراکنش در خصوص سایر مشخصات تراکنش تصمیم بگیریم اما الان دنیا به سمتی رفته که در لحظه وقوع تراکنش و در صورت اعلام نیاز مشتری برای رمز، تراکنش به اینکه از کجا و چه میزان خرید میکنید قفل می شود، این روشی است که از طریق سامانه هریم در اختیار سیستم و بانکهای صادرکننده قرار خواهد گرفت که با اپهای آفلاین به این پویایی نخواهیم رسید. بنابراین سامانه هریم هم مشکل پوشش کم ابتدای طرح را جبران میکند به این معنی که هم برای کسانی که موبایل هوشمند ندارند یا دارند ولی علاقهای به استفاده از اپها ندارند، راهحل ارائه میدهد و هم میتواند المان پویایی به معنی واقعی کلمه که امنیت بیشتر و حداکثری خواهد بود را برقرار کند که جمیع این موارد نشان میدهد که راهاندازی هریم اجتنابناپذیر بود.
به عقیده من در نظر گرفتن معافیتها نیز کار درست و اصولی است حتی باید معافیتهای هوشمندانهتری نیز به سیستم اضافه شود و میتوان سقف مبلغ ۱۰۰ هزار تومان را اضافه کرد یا تمهیداتی اندیشید تا برای یکسری کارهای منظم و تکراری مشتری را درگیر دریافت رمز نکنیم.
معافیت تراکنشهای زیر ۱۰۰ هزار تومان از دریافت رمز دوم پویا را کافی میدانید؟ با توجه به اینکه حتی تراکنشهایی مانند پرداخت قبوض هم گاهی از این سقف بالاتر است؟
محمد بیگی: چشمانداز بانک مرکزی این نبود که تنها یک رمز یکبار مصرف برای کاربر ارائه کند که اگر چنین بود بانکها پیش از این به سراغ OTP رفته بودند و نیازی به ورود به بانک مرکزی نبود. زمانی که این طرح را شروع کردیم مقاومت عجیب و غریبی وجود داشت، مثلا در جلسات میگفتیم که میخواهیم به بانک صادرکننده کارت اطلاع دهیم که مشتری او که در یک سایت خرید میکند بانک از آن خرید خبر داشته باشد. خوبی این طرح این بود که هیچ تغییری در سوئیچ کارتهای بانکها ایجاد نشد و ما این امکان را فراهم کردیم که قبل از این که تراکنش انجام شود به بانک اعلام شود که مشتری در حال خرید است اما ملاحظاتی از طرف شرکتهای psp بود که اطلاعات پذیرنده ها از منظر تجاری بهتر است به بانکها داده نشود، با این وجود بانک مرکزی بر اساس تجارب موفق سایر کشورها و نیازهای داخل کشور مقاومت کرد و معتقد بود که حق بانک صادرکننده است که بداند مشتری در چه زمانی چه اقدامی انجام میدهد و این سامانه همه اطلاعات را در اختیار بانکها قرار میدهد. در شرایطی که رمز یکبار مصرفی که در اپهای آفلاین وجود دارد این چنین نیست و بانک نمیداند مشتری این رمز را کجا استفاده میکند، به همین دلیل است که ما میگوییم رمز پویا با OTP از نظر ماهیت و جنس رمز تفاوتهای زیادی دارد.
موضوع دیگر بحث رفتار مشتری است، واقعیت این است که ما یک کارت دست مردم دادیم و گفتیم از هر جا، هر میزان که میخواهند با آن خرید کنند وآنها هم یک شارژ ۲ هزار تومانی و هم کالای ۵۰ میلیون تومانی را با همین چهار المان ثابت خرید میکنند. این کار تا چند سال قبل جواب میداد اما بعد از آن که موضوعات پیچیده شد و مباحث فیشینگ پیش آمد توجه به رفتار مشتری در سایتهای مختلف و زمانها و مکانهای مختلف موضوعاتی است که کمتر در بانکها و شرکتهای پرداخت به آن پرداخته شده است که اگر در این حوزه خوب کار کرده بودیم و سیستمهای فراد را خوب تقویت میکردیم و محصولاتی را متناسب با عملکرد و نیاز شخص ارائه میدادیم، اکنون در این نقطه نبودیم و این اتفاقات باید خیلی قبلتر از اینها میافتاد. این اقدام بانک مرکزی یک نقطه شروع و تلنگری بود که روی این قضیه فکر کنید و بانکها باید خیلی جدی روی این موضوع تمرکز کنند.
در مورد بحث معافیت زیر ۱۰۰ هزار تومان واقعیت این بود که در ابتدا قرار بود همه تراکنشها با رمز پویا باشد و البته مواردی در مورد تغییر سیاستها در این مورد اعلام شد که درست است، اما به دلیل اینکه باید بین تراکنشهای خرد و تراکنشهای خرید با قیمت بالا تفاوتهایی ایجاد میشد این سیاست در دستور کار قرار گرفت و دلیل انتخاب مبلغ ۱۰۰ هزار تومان این بود که حدود ۸۰ درصد تراکنشهای بدون حضور کارت زیر ۱۰۰ هزار تومان است و با این سقف ۸۰ درصد تراکنشها از این معافیت استفاده میکنند که بخشی از مشکلات مشتریان را حل و کار را برای آنها راحتتر میکند. از طرف دیگر با نگرانی که ما در حوزه فیشینگ داریم با توجه به اینکه این مبلغ روی جمع تراکنش مشتریان است بنابراین خیلی نگرانی جدی برای تقلب روی آن وجود ندارد. طبق آمارهایی که در حوزه فیشینگ داریم، تعداد پروندههای زیر ۱۰۰ هزار تومان به شدت کم است و زیر یک درصد پرونده ها را تشکیل میدهد، البته ممکن است این انتقاد وارد شود که از این به بعد کلاهبرداران به سمت تراکنشهای زیر ۱۰۰ هزار تومان میروند که انتقاد درستی است و بانک ها باید خود را در طول زمان با شرایط تطبیق دهند و مسیر را بهینه کنند.
خاتونی: اگر به تاریخچه ۱۰ سال گذشته برگردیم تمرکزگرایی یکی از عواملی بود که بانکها را دچار چالش کرد. سامانه هریم اکنون دیتا را به بانکها میدهد تا بدانند تراکنش در چه زمان و مکانی انجام شده است. اما باید پرسید که قبل از این، چه کسی جلوی این کار را گرفته بود؟ آیا شاپرک نبود و بانک مرکزی سیاستگذاری را بر تمرکز نگذاشت؟ بانکها مجبورند برای حفظ امنیت مشتریان وارد فضایی شوند و ابزارهایی را تولید کنند که بتواند مشتری را حفظ کند و باید حق را به بانکها داد. احراز هویت چند عاملی چه زمانی میتواند در بانکها پیاده شود؟ زمانی که بانکها دیتا را در مبدا تراکنش داشته باشند. اگر آن زمان این اطلاعات به بانکها داده می شد آیا واقعا نمیتوانستند جلوی فراد را بگیرند؟ ما در بانک سامانه کشف تقلب داریم و چند سال است که پیاده کردهایم اما دیتا نداریم و اطلاعات با تاخیر به دست ما میرسد و ما این نگرانی را داریم که آیا اطلاعاتی که از شاپرک به ما میرسد همان اطلاعات اصلی است یا فیلتر شده و کامل نیست. به اعتقاد من تمرکزگرایی کار درستی نیست و در هریم همین کار صورت گرفته که در آینده مشکلاتی را ایجاد میکند.
از سوی دیگر ایجاد معافیت برای تراکنشهای زیر ۱۰۰ هزار تومان کلاهبرداران را به سمت این تراکنشها هدایت میکند و در آینده در این بخش دچار چالشهای فیشینگ میشویم و به همین دلیل از روز اول با اعطای معافیت برای تراکنشهای زیر ۱۰۰ هزار تومان مخالف بودم. چرا که بستر خلاف را فراهم میکند. باید اجازه میدادیم مردم از روز اول به این طرح عادت کنند و نباید از کاهش تراکنشهای بانکی نگران میبودیم و اصرار نمیکردیم که کار غلط ادامه داشته باشد. با اطمینان میگویم که ظرف یک سال آینده پروندههای فیشینگ زیر ۱۰۰ هزار تومان ما در بانکها چشمگیر خواهد بود.
در مورد ارائه یک اپلیکیشن مشترک باید بگویم که زمانی قصد انجام این کار را داشتیم و با چند بانک بزرگ که بیشترین تعداد مشتری را دارند، جلساتی را برگزار کردیم تا برای تسهیل کار مشتریان کنسرسیومی را تشکیل دهیم و نرم افزار آفلاین ایجاد کنیم که هم هزینهها کاهش یابد و هم مشتریان این بانکها که عمده مشتریان شبکه بانکی هستند، با یک نرمافزار کار خود را انجام دهند، اما بانکها احساس کردند که کسب و کارشان با مشکل مواجه میشود و این کسب و کارها، آینده و استراتژی که برای خود تبیین کرده بودند به آنها اجازه نداد که این کار که بسیاری از مشکلات را حل میکرد، را انجام دهند. امروز هم بانک ملی آمادگی دارد و بارها اعلام کرده به بانکهای همکار که این طرح را در یک فضای مشترک ارائه دهد اما با وجود ایجاد سامانه هریم، بانکها دیگر احساس نیاز چندانی به این موضوع نمیکنند و بهتر است که وضعیتی که شکل گرفته را مدیریت کنیم تا مردم با اطلاعرسانی به نتیجه خوبی برسند.
گرکانینژاد: در بحث تمرکزگرایی بانک مرکزی نیز یک موضوع مطرح است؛ ساختار پرداخت در کل دنیا نیز تمرکز دارد و چهار الی پنج شرکت مانند ویزا، مستر، امریکن اکسپرس و … کل این سیستم را در اختیار دارند، ساختار پرداخت در دنیا به دلایل بیزینسی در مدل استار شکل گرفته و در ایران خیلی هم از این موضوع دور نبودهایم و معماری متفاوتی نسبت به دنیا نداریم. باید یادآور شوم روزی وجود داشت که پذیرندهها حاضر به پرداخت ۵۰۰ تا ۶۰۰ تومان کارمزد بودند اما این بحث در یک جنگی بدون اینکه بانک مرکزی ورود کند، تبدیل به یک رقابت وارونه و ارائه سرویس رایگان شد که خود بانکها آن را ایجاد کردند. همین الان اگر کارمزدها را راه بیندازیم، به طور حتم موضوع بعدی که بانک مرکزی باید دنبالش باشد این است که بانکها پول را به پذیرنده برنگردانند. اکنون بانکها طبق قانون میتوانند کارمزد بگیرند اما به دلیل رقابت هیچ کس حاضر نیست این کار را بکند و همه منتظر بانک مرکزی هستند که این کار را انجام دهد به تعبیری خود بازیگران هستند که بانک مرکزی را وادار میکنند وارد این بازی شود.
در مورد مسئله رمز دوم هم همین بود. در ابتدا بانک مرکزی کار را به بانکها واگذار کرد اما عملکرد آنها طوری بود که بانک مرکزی مجبور به ورود به این موضوع شد. باید بپذیریم که فضای فرهنگی جامعه ما رگولاتورها را وادار میکند که وارد مجموعهای از تعاملات و تضمینها برای تنظیم بازی بین بازیگران شود، بدون اینکه بخواهیم بگوییم این موضوع خوب است یا بد، واقعیت شرایط کشور ماست که مجبور میشویم برخی ضوابط و قواعد که در دنیا جاری است را بومیسازی کنیم اما شکوفایی صنعت بانکداری و پرداخت که موتور محرک آن بانکها و شرکتهای پرداخت هستند، نشان میدهد که مسیر تاکنون به خوبی پیش رفته است و این اعتقاد را ندارم که یک تمرکزگرایی بیش از حد داشتهایم و از سوی دیگر اعتقاد دارم که بانکها نیز بر اساس ضرورتهایی برخی از کارها را انجام میدهند.
اجرای طرح رمز دوم پویا چه تاثیری بر تعداد تراکنشها داشته و درآمدهای شرکتهای پرداخت را چه میزان تحت تاثیر قرار داده است؟
طبری: باید تاکید کنم که اجرای طرح رمز دوم پویا با توجه به نگرانیهایی که در جامعه در حوزه فیشینگ وجود داشت، کار بسیار خوبی بود. این طرح طبق آماری که داریم بیشتر از ۱۵ تا ۲۰ درصد کاهش تراکنش برای مصرفکنندگان و دارندگان کارت ایجاد نکرده و حتی رصدها نشان میدهد که کسانی که عادت نداشتند نیز آرام آرام به این سمت روی آوردهاند و مجدداً میزان تراکنشها در حال بازگشت است. ضمن اینکه این طرح در زمان خوبی اتفاق افتاد و بهمن و اسفند موقع استفاده و خریدهای زیاد است و مردم به دلیل اینکه نیاز به خرید در این ماهها دارند به سمت فعال کردن رمز پویا رفتهاند.
طبیعی است که این موضوع بر درآمدهای شرکتهای PSP اثر گذاشته است. چراکه یکی از مهمترین محلهای درآمد PSPها به ویژه در بخش تراکنشهای بدون حضور کارت، کارمزد شاپرکی است که هر چقدر تعداد تراکنشها کاهش یابد، به تبع بر روی درآمد شرکتها تاثیر میگذارد. اما معافیت ۱۰۰ هزار تومان که توسط بانک مرکزی قرار داده شد، تصمیم خوبی بود، چرا که اغلب تراکنشها کمتر از این مبلغ است. به ویژه اینکه اغلب تراکنشها خرید شارژ و بستههای اینترنتی است. معتقدم حال که بانک مرکزی سیاستگذاری خوبی کرده است، اقدامی میتوان در کنار سامانه هریم انجام داد این است که معافیتها را به نوع تراکنش وابسته کنیم، این اتفاق در بانک مرکزی به وسیله سیستم شاپرک ۲ افتاده که برای پیمنتها و خرید شارژها تراکنشهای خاص انجام میدهد که میتوانیم برای این مدل تراکنشها رمز پویا استفاده نکنیم. بنابراین میتوان معافیت را به نوع تراکنش تسری داد که اکنون این کار انجام نشده اما میتوانستیم الزام کنیم که برای همه تراکنشهای خرید از رمز پویا استفاده شود، اما در قالب غیر خرید که در صنعت psp به آن پیمنت میگویند نیاز به رمز یکبار مصرف نباشد.
همچنین یکی از مسائلی که بانکها شکایت دارند مبالغ خردی مانند خرید شارژ است که بانک برای آن کارمزد پرداخت میکند و سیستم را به هم ریخته است، اگر این تفکیک صورت بگیرد (که کارهای آن انجام شده و برای اجرا به زمان نیاز دارد) فرآیند رمز پویا بسیار کاملتر خواهد شد.