در حال خواندن
در میزگرد آنلاین با حضور مدیران بانک مرکزی، پلیس فتا و بانک ملت عنوان شد: ایجاد سوییچ‌ هم‌پذیرندگی کیف پول توسط بانک‌ها، ممنوعیت قانونی ندارد
0

در میزگرد آنلاین با حضور مدیران بانک مرکزی، پلیس فتا و بانک ملت عنوان شد: ایجاد سوییچ‌ هم‌پذیرندگی کیف پول توسط بانک‌ها، ممنوعیت قانونی ندارد

نویسنده:  علی اصغر افتاده1400-11-17

در چند هفته گذشته، تلاش کردیم با حضور مدیران عامل شرکت‌های پرداخت الکترونیکی کشور به مشکلات و معضلات این حوزه بپردازیم. نکته جذاب نشست‌ها این بود که مدیران این حوزه، موافق بودند که ریشه اصلی مشکلات صنعت پرداخت، نبود نظام کارمزدی مناسب است و همین عامل، باعث شده تا این شرکت‌ها نگران باشند در صورت اصلاح نشدن این مسیر، در آینده‌ای نزدیک، با مشکلات جدی و حتی ورشکستگی روبه‌رو شوند.

در این میان، نکته قابل توجه دیگر، اشاره همه مدیران PSPها به مسیر اشتباه این شرکت‌ها، مبنی بر دادن کارمزد به پذیرنده‌ها بود. متاسفانه شنیده می‌شود اخیرا برخی شرکت‌ها، برای کسب سهم بازار، حتی مبلغی روی درآمد خود می‌گذارند و ۱۲۰ تا ۱۴۰ درصد از درآمد تراکنش را به پذیرنده‌های بزرگ می‌دهند! به نظر می‌رسد با روند موجود، حتی برخی PSPها، بدشان نمی‌آید این موضوع، همانند شرکت‌های هدایت تراکنشی توسط شاپرک به رسمیت شناخته شود. در این بازار که بزرگان آن به راحتی به دامپینگ و به‌هم زدن نظم بازار اقدام می‌کنند، آیا می‌توان تصور کرد هیچ مسوولیتی به گردن رگولاتور بانکی نیست؟ آیا رگولاتور بانکی این موضوع را به رسمیت می‌شناسد؟

ظاهرا در حال حاضر، استفاده از فناوری‌‌های نوین در شبکه پرداخت به فراموشی سپرده شده و کسی برای استفاده از آن اقدامی نمی‌کند؛ نه رگولاتور و نه شرکت‌های پرداخت. البته به قول یکی از مدیران حاضر در برنامه‌های پیشین، جذابیتی که در خرید سخت‌افزار است، قطعا در نرم‌افزار نیست و شاید این موضوع نیز دلیل مهمی برای نپرداختن به این حوزه باشد.

نکته دیگری که احتمالا همه مخاطبان عصر ارتباط، اخیرا با آن درگیر شده‌اند، ارسال نشدن رمز پویای پیامکی است که عملا امور بانکی مشتریان را با اختلال جدی روبه‌رو کرده است. اینکه قرار بود رمز پویای پیامکی به صورت موقت به‌کارگرفته شود و اینکه چرا بانک‌ها به سمت مسیر جایگزین نرفته‌اند و در کنار آن، موضوعاتی همچون اصلاح نظام کارمزد در سه ماهه اول سال ۱۴۰۱، عدم توسعه کیف الکترونیکی پول که قطعا کمک بزرگی به روند اصلاح نظام کارمزد خواهد کرد، نئوبانک‌ها و نقش آنها در نظام بانکی، از جمله موضوعات مهم و اساسی در حوزه بانکداری و شبکه پرداخت الکترونیکی کشور است.

از این‌رو، در هشتاد و هفتمین میزگرد از سلسله نشست‌های تخصصی بانکداری و اقتصاد دیجیتال، با موضوع «بررسی چالش‌ها و راهکارهای رمز پویا، کیف پول، نئوبانک و کارمزد» که با حضور داوود محمدبیگی مدیر اداره نظام‌های پرداخت بانک مرکزی، سرهنگ داوود معظمی گودرزی رییس‌پلیس فتا تهران بزرگ و علیرضا لگزایی عضو هیات‌مدیره و قائم‌مقام مدیرعامل بانک ملت برگزار شد، چالش‌ها و راهکارهای حوزه‌های یادشده، موردبحث و تبادل‌نظر قرار گرفت. آنچه پیش‌روی شماست، مشروح این گفت‌وگوست.

فایل صوتی این گفت‌وگو را از اینجا بشنوید.

نشریه دیجیتال این گفت‌وگو را از اینجا دانلود کنید.

اسپانسر : شرکت به‌­پرداخت ملت

 

  • جناب سرهنگ گودرزی! دو سال پیش که درباره رمز پویا در شبکه بانکی، صحبت و مقرر شد رمز پویا به کار گرفته شود، تعدادی از مدیران بانک مرکزی و بانک‌های کشور اعلام کردند این موضوع، با فشار پلیس فتا تهران، دادستانی کشور و مقامات قضایی اتفاق افتاده است. به همین خاطر در آن مقطع، زمان فورس قرار داده شد که در اولین فرصت، بانک‌ها خودشان را به سیستم ارسال رمز مجهز کنند. بخشی از آن اپلیکیشن‌های رمزساز بود که متاسفانه تعدادی از دوستان، کیسه خوبی برای خودشان دوخته بودند تا با توجه به الزام قانونی بانک مرکزی، بتوانند با فروش اپلیکیشن‌های رمزساز به بانک‌ها، کاسبی کنند. البته با درایت آقای حکیمی، معاون وقت فناوری‌های نوین بانک مرکزی و دستور ایشان مبنی بر اینکه بانک‌ها، حق ندارند بابت رمزساز و امنیت از مردم پول بگیرند، موضوع، منتفی شد. الان با توجه به اپلیکیشن‌‌های رمزساز که تجربه کاربری خوبی برای مردم و نظام بانکی نداشت، عمده تراکنش‌های مالی حوزه بانکی در اعداد خرد و کلان به سمت ارسال رمز توسط پیامک هدایت شده است. اخیرا ارسال پیامک توسط یکی دو اپراتور دچار اختلال شده و چنین اتفاقی که شاهرگ حیاتی نظام بانکی در تبادلات مالی است، مشکل‌ساز شده است. اگر آنچه در سامانه سوخت در کشور اتفاق افتاد، مشابه آن در شبکه اپراتورهای تلفن همراه بیفتد و پیامک ارسال نشود، قطعا برای مشتریان نظام بانکی، آسیب‌زاست. این موضوع، متفاوت است و می‌تواند بحران ایجاد کند و عملا موضوع امنیت ملی است. آیا زمانی که پلیس فتا در این زمینه ورود کرد، الزام داشت که این مسیر حتما از طریق پیامک باشد یا این اجازه را به بانک‌ها داد که از پیامک شروع و در ادامه خودشان را به فناوری‌های جدیدتر تجهیز کنند و از سیستم پیامکی خارج شوند؟

گودرزی: قبل از پرداختن به سوال شما، لازم است مجددا درخصوص اتفاقات سال‌های ۸۹ و ۹۰ تا کنون که منجر به این نتیجه شد، نکاتی را عرض کنم. پلیس فتا از سال ۸۹ در سراسر کشور در رده ستاد شروع به کار کرد و از سال ۹۰ در اکثر استان‌ها راه‌اندازی شد. در سال شروع به کار، تقریبا بخش اعظم جرایم، در حوزه بانکداری الکترونیک بود که این آمار، هر سال به صورت تصاعدی با نسبت بالا رو به افزایش است؛ به‌نحوی که ما در هشت سال ابتدایی عمر پلیس فتا، شاهد بودیم آمار ورودی جرایم ما چند ده برابر شد و بیش از ۷۰ درصد این جرایم، به حوزه بانکداری الکترونیک مربوط است. بخش زیادی از این جرایم، فیشینگ بود. اگر فیشینگ را در زمره حملات سایبری تلقی کنیم و به آمار سایر کشورهای دنیا نیز نگاه بیندازیم، می‌بینیم حمله فیشینگ، به عنوان ۱۰ حمله برتر در دنیا شناخته شد. این امر به آن معناست که فیشینگ، از گذشته، بوده، تمام نشده و تمام نخواهد شد و بخشی از شگردهایی است که ما با آن درگیر هستیم. بنابراین همفکری و کارگروه مشترکی بین پلیس فتا تهران، پلیس فتا ناجا، بانک مرکزی و دادستانی با درنظر گرفتن شرایط موجود و زیرساخت بانکی کشور، ایجاد و راحت‌ترین راه برای پیشگیری، همین رمز پویا شناخته شد. خوشبختانه با راه‌اندازی رمزهای پویا، بیش از ۵۰ درصد جرایم، کاهش پیدا کرد که این آمار از نظر جرم‌شناسی بالاست. ما که روزانه با مراجعه‌کنندگان دست‌وپنجه نرم می‌کردیم، شاهد این بودیم که افرادی شب می‌خوابیدند و صبح می‌دیدند حساب‌شان خالی شده است و نمی‌دانستند چه باید کنند. در مجموع، به‌هم‌ریختگی زیادی وجود داشت که با این اقدام مناسب، فعالیت پیشگیرانه خوبی صورت گرفت. ما باید به عنوان یک اصل قبول کنیم که همواره نیازمند به‌روزرسانی اقدامات خود هستیم، نوآوری داشته باشیم و بدانیم مجرمان سایبری هم بیکار نخواهند نشست و هر لحظه با شگردهای مختلفی تلاش می‌کنند به حریم خصوصی اشخاص و حوزه اقتصادی ورود کرده تا آن را خدشه‌دار کنند. اخیرا شاهد این موضوع هستیم که از طریق بدافزار و ارسال لینک‌های آلوده، بخشی از جرایم دوباره به چرخه خودش برگشته، البته نمی‌توان گفت مانند اول شده اما شیب افزایشی داشته است. بنابراین در آن مقطع، رمز پویا، اقدام خوبی بود و طی دو مرحله، دو فاز آن انجام شد که باید از بانک مرکزی تشکر کنیم. البته یک‌سری مخالف و موافق داشت. مخالفان اعلام می‌کردند. ما ریسک آن را قبول می‌کنیم، مگر چقدر هزینه آن شده است؟ در صورتی که نگاه پلیس، امنیتی است و اولویت ما این است که مردم با خیال آسوده بتوانند در فضای مجازی، فعالیت خود را انجام دهند که این امر، انجام شد. الان نیز برای اپراتورها الزام‌آور شده که رمزهای پویا را به موقع در اختیار مشتریان قرار دهند و قطعا بانک مرکزی باید قرارداد SLA با این‌ها داشته باشد. البته ممکن است پیامک‌هایی نرسد که پلیسی و امنیتی نیست مگر اینکه اختلال ایجاد شده و تعداد آن زیاد شود. با این همه، این امر نافی این نیست که بانک مرکزی بگوید تکلیف خود را انجام داده‌ام بلکه باید به کشورهای توسعه‌یافته و الگوهای بانکداری الکترونیکی که این مسیرها را طی کرده‌اند، توجه کنند تا فضای امن‌تری رقم بزنند. در حوزه پیامک‌ها و مواردی که اشاره کردید، راهکارهایی وجود دارد که در صورت داشتن فرصت مناسب، عرض خواهم کرد. نکته کلیدی این است که ما باید به سمتی برویم که از Multi Factor Authentication (MFA)  یا احراز هویت چندوجهی استفاده کنیم و وابستگی احراز هویت ما صرفا رمز پویا نباشد. رمز پویا مقوله‌ای بود که در آن مقطع، انجام شد و کماکان هم در حال انجام است اما بانک باید این چابکی و پویایی را داشته باشد و از زیرساخت‌های احراز هویت بیشتری استفاده کند تا شاهد فضای امن‌تری برای کاربران باشیم.

  • هرچند رمز پویا کمک زیادی کرد اما همان‌طور که اشاره کردید خلافکاران نیز بیکار ننشسته‌اند و تلاش می‌کنند از طریق افزایش بدافزارها، رمز پویا را به دست بیاورند. نصب بدافزار روی گوشی تلفن همراه می‌تواند اطلاعات خصوصی مردم را دچار مشکل کند. لطفا بفرمایید این فضا، چقدر رشد کرده است؟

گودرزی: درباره بدافزارها باید عرض کنم این موضوع تقریبا در تمام دنیا، جزو جرایم نیمه‌سازمان‌یافته است. شاید در گذشته فردی که بدافزارها را تزریق می‌کرد با کسی که بهره‌برداری می‌کرد و باج اطلاعاتی یا مالی می‌گرفت، یک نفر بودند اما الان طراح، کسی که سرور در اختیارش است، کسی که ارسال و تزریق می‌کند، همگی جداگانه هستند و ممکن است به صورت سری در اختیار دیگران قرار گیرد. بخش اعظم بدافزارها به ناآگاهی کاربران برمی‌گردد و حمله ترکیبی با مهندسی اجتماعی است؛ یعنی اگر کاربر آگاه باشد، حریم خصوصی وی به هیچ عنوان نقض نمی‌شود اما این‌ها به انحای مختلف عمل می‌کنند. ما نمونه‌های زیادی داشتیم که طی چندین مرحله در رسانه‌های مختلف اطلاع‌رسانی شد. سامانه ثنا را داشتیم که صداوسیما هم اطلاع‌رسانی زیادی داشت. بر این اساس، کاربر را تطمیع، تهدید یا ترغیب می‌کنند که فرد روی لینک آلوده کلیک کند تا با دست خودش یک بدافزار را روی گوشی‌اش نصب کند و حریم خصوصی او نقض شود. یک بخش آن به حوزه بانکی و به دست آوردن رمز پویا برمی‌گردد و در بخش دیگر، ممکن است تصاویر خصوصی یا سایر اطلاعات اشخاص را سرقت کند. در این حوزه باید اطلاع‌رسانی بیشتری صورت گیرد. یک تکنولوژی با سرعت زیاد رشد پیدا کرده، ضریب نفوذ اینترنت، شبکه‌های اجتماعی و بانکداری الکترونیک زیاد شده اما متاسفانه سواد سایبری و فرهنگ، متناسب با آن رشد پیدا نکرده و بخشی از این تعارضات به شکل جرم دیده می‌شود که همان جرایم سایبری است که سمت ما می‌آید.

  • ظاهرا این متخلفان در کشور آنقدر پررو هستند که از لینک خود قوه قضاییه برای کلاهبرداری استفاده می‌کردند. یک لینک پیامکی برای مردم می‌فرستادند که برای فلان تخلف، حکم داده شده، روی لینک بزنید تا حکم‌تان را مشاهده کنید، وقتی وارد لینک می‌شدید، باید ۲هزار تومان پرداخت می‌کردید تا حکم را ببینید. سپس بدافزار نصب و مشکلات بعدی ایجاد می‌شد. این امر، نشان می‌دهد در این حوزه ما مشکلات جدی داریم. پلیس فشار آورد که بانک‌ها، رمز پویا را از طریق پیامک راه‌اندازی کنند. الان تایید می‌کنید با مشکلات موجود، رمز پیامکی به تنهایی نمی‌تواند چاره‌ساز باشد. چرا همان فشاری که در آن دوره برای رمز پویا گذاشتید، همین فشار را روی بانک مرکزی نمی‌گذارید؟ البته بنده موافق نیستم پلیس به این حوزه ورود کند. در این زمینه، نه از سوی بانک‌ها و نه از سوی بانک مرکزی، اقدام خاصی صورت نگرفته است. باید روش را عوض کنیم. دو سال از رمز پویا گذشت. نکته دیگر اینکه اگر بانک‌ها روش را عوض کنند، شما به عنوان پلیس مخالف هستید یا خیر؟

گودرزی: رده تصمیم‌گیری در این حوزه، پلیس نیست که ما حتما بگوییم این کار، انجام شود. البته شما از ادبیات خاصی استفاده می‌کنید در حالی که چندان به این شکل نبوده است. ما به همراه بانک مرکزی و دادستانی، کارگروه‌های مشترک داریم، جلسات تخصصی خاصی برگزار کردیم و در نهایت کار گروهی و همفکری صورت گرفته، نه اینکه یک رده، فشار بیاورد که حتما باید این کار انجام شود زیرا این حوزه، تخصصی است و ما خروجی کار را انعکاس می‌دهیم. قبلا هم عرض کرده‌ام پلیس فتا، بسان لابراتوار خروجی امنیت حوزه بانکداری الکترونیک است؛ یعنی این‌ها در حوزه اپلیکیشن، کیف پول، نرم‌افزارهای رمزساز و اقدامات دیگر، فعالیت‌هایی انجام می‌دهند، ما بعد از مدتی با استناد به پرونده‌ها اعلام می‌کنیم که میزان امنیت چقدر بوده است. ما همین کار را در حوزه PSPها انجام دادیم و به شاپرک گفتیم علاوه بر اینکه PSPها را از نظر پرفورمنس رتبه‌بندی کردید، از نظر امنیتی نیز منطبق با اطلاعات ما، بر اساس پرونده‌ها و آسیب‌پذیری‌، اعم از زیرساختی و فرایندی نیز درجه‌بندی کنید. در حوزه بانکداری، بر اساس پرونده‌ها، دغدغه‌ها را به عزیزان انعکاس می‌دهیم و آنها هم پلن‌هایی را ارایه می‌کنند. در آن مقطع، با توجه به زیرساخت بانکی ما، اقدام خیلی خوبی بود و مردم هم بهره آن را بردند و می‌برند و میزان ورودی پرونده‌های فیشینگ، بسیار کم شد اما چون الان از بدافزار استفاده می‌شود، بانک باید چابکی داشته باشد. ما صرفا نوک پیکان را به سمت بانک نمی‌گیریم، بلکه مولفه‌های مختلف باید دست به دست هم دهند. اگر ما از استاندارد بین‌المللی IP investment استفاده کنیم، حتما وزارت ارتباطات و فناوری اطلاعات باید IP Intelligence را راه‌اندازی کند تا از نظر تعداد IP به مشکل برنخوریم. موضوع اصلی زیرساختی که احراز هویت است، اگر به نحو شایسته‌ای استانداردسازی شود و ما از استانداردهای احراز هویت به خوبی استفاده کنیم، هم در حوزه نئوبانک‌ها و هم در حوزه کیف پول می‌توانیم جزو کشورهای توسعه‌یافته باشیم و حرفی برای گفتن داشته باشیم اما تا زمانی که مقوله زیرساختی احراز هویت حل نشود، قطعا به‌هم‌ریختگی‌هایی را شاهد هستیم که برخی از این‌ها می‌تواند به صورت جرایم سایبری، بروز و ظهور پیدا کند.

  • آیا آماری دارید که از مجموع صددرصد مشتریان نظام بانکی، قبل از رمز پویا، چند درصد این مشتریان، دچار فیشینگ می‌شدند؟ ما متوجه مسوولیت بانک هستیم اما بالاخره مشتری بانکی هم یک‌سری مسوولیت‌ها دارد و نمی‌توان تصور کرد کل بار مسوولیت برعهده بانک‌هاست. بخشی از مسوولیت عمده سمت مشتری است. اینکه مشتری وسوسه می‌شود به خاطر پیامک‌هایی حاوی پورنوگرافی، پیدا کردن گنج و نظایر آن، به سمت درگاه‌های فیشینگ هدایت ‌شود، از گذشته نیز بوده است. احساس می‌کنم ۵ درصد متخلف یا ساده‌لوح یا کم‌‌دانش در نظام بانکی، باعث شده‌اند مردم دچار مشکل بزرگی شوند. البته بهتر است نام آن را تجربه کاربری بگذارم. اینکه رمز پویا اضافه شود اما پیامک به مردم نرسد، کار، سخت می‌شود. اگر از این زاویه نگاه کنیم، نظر شما چیست؟

گودرزی: بنده نظر شما را قبول ندارم و دلیل هم دارم. ما هم این اصل را قبول داریم که حملات مهندسی اجتماعی، حملات سمت کاربر است و از ناآگاهی و غفلت کاربر استفاده می‌کند. همین حمله فیشینگ هم به هر شکلی کاربر را ترغیب می‌کند و جزو سهل‌الوصول‌ترین عملیاتی است که اطلاعات کاربری کاربران را به سرقت می‌برد اما نمی‌توان به آن استناد کرد. اگر زیرساخت بانکی ما زیرساخت کاملی مانند IP investment باشد، این استاندارد به IP و کارت فرد ارتباط دارد و اگر در دام فیشر بیفتد، نمی‌تواند اطلاعات آن را خالی کند. همان‌طور که عرض کردم همین رمز پویا، موافق و مخالفان زیادی داشت و برخی از دوستان می‌گفتند به ما چه ربطی دارد، خود کاربر نباید روی فلان لینک کلیک می‌کرد اما ما اعلام کردیم نمی‌توانیم به همه مردم بگوییم مدرک مهندسی فناوری اطلاعات بگیرند تا از خدمات بانکداری الکترونیک استفاده کنند. زیرساخت باید به شکلی باشد که عامه مردم آن را درک کنند و اگر کسی در دام حمله مهندسی اجتماعی یا فیشینگ‌کار افتاد، به راحتی حسابش خالی نشود. در این امر، مولفه‌های زیادی دخیل است. ما موافق نیستیم نوک پیکان به سمت بانک مرکزی برود. بانک مرکزی در سال ۹۸ این ریسک را پذیرفت و با همکاری با پلیس فتا و دادستانی، رمز پویا را راه‌اندازی کرد که تاثیرات آن را هم مشاهده کردیم و کماکان اثربخش است و ما هم از این حوزه استقبال می‌کنیم اما این موضوع با پویایی، چابکی و نوآوری بانک منافات ندارد و باید به این سمت برود که با استانداردهای موجود و سایر موارد، شاهد فضای امن‌تری در حوزه بانکداری الکترونیک باشیم.

  • همان‌طور که عرض کردم بنده نگرانم اتفاقی شبیه سامانه سوخت در نظام بانکی بیفتد و دوستان، آمادگی لازم را نداشته باشند، هرچند رمزسازها هستند. آقای لگزایی نیز می‌توانند از بانک ملت آمار بدهند که چه میزان مشتریان از رمزساز استفاده می‌کنند ولی اگر آن اتفاق بیفتد، می‌تواند فضا را دچار اختلال جدی کند و همه، تقصیر را به گردن پلیس فتا بیندازند که بر اساس نظر پلیس فتا و سایر دستگاه‌های نظارتی، برای حرکت در مسیر رمز پویا فشار آورده شده است. این در حالی است که شما موافقید بانک‌ها، همزمان با رمز پویای پیامکی، مسیرهای راحت‌تری را دنبال کنند که هم هزینه‌شان کاهش پیدا کند و هم دسترسی سمت مردم، تجربه کاربری آنها را راحت‌تر کند. درست است؟

گودرزی: قطعا همین‌طور است. بنده دو بار عرض کردم و برای بار سوم تاکید می‌کنم اگر از استانداردهای تعریف‌شده و مسیرهایی که قبلا کشورهای توسعه‌یافته طی کرده‌اند و می‌تواند به فضای امن‌تر کمک کند مانند IP investment و سایر موارد استفاده شود، مشکلات، قابل حل است. این موارد، در جلسات کارشناسی گفته شده، هرچند عزیزان خودشان استاد این کار هستند اما به هرحال نیاز است این پویایی وجود داشته باشد تا وابستگی زیاد به اپراتورها وجود نداشته باشد. رمز پویا در زمان خودش، اقدام خوبی بود و کماکان مردم بهره آن را می‌برند با این حال این پویایی همچنان نیاز است تا شاهد فضای امن‌تری باشیم.

  • در ادامه، در همین حوزه، سوالات را با آقای محمدبیگی و لگزایی ادامه می‌دهیم. جناب سرهنگ گودرزی، خواهش می‌کنم شما هم حضور داشته باشید تا اگر نکته‌ای داشتید، بفرمایید. آقای دکتر لگزایی! حتما شما هم در بانک ملت، معترض هستید که اختلال سمت اپراتورها برای ارسال پیامک در حوزه رمز پویا طی چند هفته گذشته، زیاد شده است. فارغ از این، گویا نامه‌ای از سمت CPI همراه‌اول در حوزه پیامک‌های انبوه منتشر شده مبنی بر اینکه قرار است هزینه پیامک صددرصد افزایش پیدا کند! بر این اساس، با وجود قانونی که قبلا آقای حکیمی صادر کردند مبنی بر اینکه بانک‌ها در حوزه امنیت نمی‌توانند از مردم پول بگیرند اما الان در حوزه پیامک‌های اطلاع‌رسانی می‌توانند در زمینه واریز و برداشت، پول بگیرند. البته در حوزه رمز نمی‌توانند پول بگیرند. این امر، هزینه چندبرابری را به بانک‌ها تحمیل می‌کند. لطفا بفرمایید چرا در این دو سال گذشته، در بانک‌ها از جمله بانک ملت، روش پیامک را به مسیر دیگری تغییر ندادید؟ برای من سوال است که چرا مشتری بانک باید اپلیکیشن رمزساز، آن هم برای هر بانک، به صورت جداگانه نصب کند؟ بانک ملت، همراه بانک و اینترنت بانک دارد، چرا داخل همین امکانات، گزینه رمزساز نمی‌گذارید؟ الان بلوبانک و بانکینو به عنوان دو نئوبانک، روی اپلیکیشن خودشان، رمزساز گذاشته‌اند. نیاز نیست خارج شوید و جای دیگر رمزتان را بگیرید و برگردانید. چرا شما این کار را نمی‌کنید؟

لگزایی: ریشه اصلی مشکلات ما، عدم تفکیک تراکنش‌های خرد از سایر تراکنش‌هاست. در این شبکه بانکی و یوزرهای سیستم بانکی که بالغ بر ۵۰ میلیون یوزر منفرد است، هم تراکنش خرد داریم و هم تراکنش بالاتر از خرد. چون سهم تراکنش‌های خرد خیلی بالاست، به‌خصوص‌ بعد از رمز پویا، این موضوع، هم در زیرساخت‌های سیستم بانکی و هم زیرساخت‌های بانک مرکزی، شتاب و شاپرک و زیرساخت‌های اپراتورها تاثیر مضاعف می‌گذارد. از یک طرف، از نظر تعداد، در جامعه ما، هر سال، ۲۵ تا ۳۰ درصد تراکنش‌های سیستم، نسبت به سال قبل دچار افزایش می‌شود و ظاهرا این امر، تداوم دارد. مشکل تراکنش‌های خرد، با توجه به آنلاین بودن تراکنش‌های خرد، با کیف الکترونیک پول، تا حد زیادی حل می‌شود. درباره موضوعی که اشاره کردید، ما هم چند ماهی است به شدت از سمت مشتریان‌مان نارضایتی داریم. کال‌سنتر ما به‌طور مرتب اعتراضات مشتریان را مبنی بر اینکه یا پیامک را دریافت نمی‌کنند و یا با تاخیر زیاد دریافت می‌کنند و قابل استفاده نیست، منعکس می‌کنند و شکایت زیاد داریم که متاسفانه به یک تجربه نامطلوب برای مشتریان منجر شده است. مشتریان هم حق دارند چون از ما سرویس می‌گیرند و مشکل را با ما مطرح می‌کنند اما متاسفانه این بخش، مربوط به زیرساخت اپراتورهاست و ظاهرا برخی اپراتورها در حال ارتقای زیرساخت خود هستند و قول داده‌اند ظرفیت‌های خود را از نظر پذیرش ارسال و دریافت پیامک به اندازه کافی بهبود دهند. بنابراین اصل موضوع به تفکیک تراکنش‌ها برمی‌گردد. درباره راه‌حل‌های جایگزین یا استفاده از آخرین فناوری‌های روز برای افزایش امنیت کاربر و مشتری، کاملا درست می‌گویید. فکر می‌کنم سیستم بانکی باید به این سمت حرکت کنند. درباره دو مثالی که ذکر کردید، بنده اطلاع ندارم آیا تمامی مقررات ناظر را از نظر اینکه رمزساز داخل اپلیکیشن قرار داده شود، تامین می‌کند یا خیر. امیدوارم اگر آقای محمدبیگی از آن دو اپلیکیشن اطلاع دارند، بفرمایند اما به هر حال، راه‌حل احراز هویت دیجیتال و استفاده از گواهی امضای دیجیتال، بسیار به‌روز است. ما در بانک ملت، در این زمینه، تلاش می‌کنیم و در آینده نزدیک آن را راه‌اندازی خواهیم کرد. علاوه بر آن، اگر راه‌حل‌هایی وجود داشته باشد، بانک‌ها باید بیش از آنچه تا امروز فعال هستند، فعال بودند. این، هزینه سنگینی است که به کل مملکت وارد می‌شود، هرچند بانک‌ها، هزینه آن را می‌دهند اما از طرف دیگر اپراتورها به ارتقای زیرساخت‌ها اقدام می‌کنند. بانک‌ها به شدت نگران اسفندماه هستند که به‌طور طبیعی و فصلی، تراکنش‌ها افزایش پیدا می‌کند و اگر دچار تاخیر در دریافت و ارسال پیامک شوند، احتمالا با نارضایتی عمومی شدید که ناشی از مقررات روی تراکنش‌ها از نظر رمز پویاست، مواجه خواهند شد، امیدوارم اپراتورها تا قبل از اسفند، مشکلات زیرساختی‌شان را حل کنند. پاسخ بنده به سوال اصلی شما، احراز هویت دیجیتال و امضای دیجیتال است اما اینکه یک رمزساز در خود اپلیکیشن قرار داده شود، مطلع نیستم که آیا از نظر تکنیکال، اصول امنیتی موردنظر ناظر نظام پرداخت را تامین می‌کند یا خیر. اگر تامین کند، یک راه‌حل ساده، کم‌هزینه است و برای مشتری هم تجربه رضایت‌بخش ایجاد خواهد کرد.

  • یک مشتری بانک ملت، برای احراز هویتش، به منظور نصب همراه بانک، قاعدتا یک‌بار به شعبه مراجعه کرده و هویت او احراز شده و اگر دیوایس او پاک شود، دوباره برای گرفتن رمز همراه بانک مراجعه می‌کند. البته فکر کنم روی اینترنت بانک هم فعال کردید. چون مشتری یک‌بار در درگاه‌های مختلف احراز شده، قاعدتا کار سختی نیست. دردسر دیگر اینکه اگر مشتری هم بخواهد رمزسازها را فعال کند، باید یک‌بار دیگر به شعبه یا به خودپرداز مراجعه کند، چون هر بانک متفاوت است. وقتی همراه بانک یا اینترنت بانک مشتری، یک بار احراز هویت شده و الان هم فعال و در حال کار است، باید بتواند مانند سرویس‌های دیگر از جمله کارت به کارت وغیره، آن را آپدیت کند. البته از آقای محمدبیگی، دقیق‌تر می‌پرسم.

لگزایی: بخش عمده مشکل الزام مراجعه به شعبه، فارغ از خدمات پایه که متاسفانه هنوز حل نشده، با همین احراز هویت دیجیتال و امضای دیجیتال که تکنولوژی آن به ایران آمده و بسیاری از افراد هم از آن استفاده می‌کنند، خوشبختانه در حال حل شدن است. البته مشکل در حوزه خدمات پایه مانند افتتاح حساب وجود دارد چون تبصره قانون مبارزه با پولشویی مطرح است و حذف آن به بانک‌ها ابلاغ نشده اما مشکل مراجعه حضوری به زودی کاملا حل می‌شود.

  • البته تعدادی از بانک‌ها مانند مهر و تجارت، حتی به صورت غیرحضوری، افتتاح حساب می‌کنند. با این حال، زمانی که کارت عابر بانک به درب منزل برده می‌شود، پستچی، یک‌بار مساله احراز هویت حضوری را از طریق تطبیق کارت ملی با فرد، انجام می‌دهد اما امیدواریم بانک مرکزی، در حوزه هویت دیجیتال دستور لازم را بگیرد که تبصره ۳ قانون مبارزه با پولشویی حذف شود.

لگزایی: البته این موضوع در دست بانک مرکزی نیست، بلکه قانون باید اصلاح شود.

دقیقا! نکته دیگری هم وجود دارد. زمانی که رمز پویا راه افتاد، قرار شد تا تراکنش‌های ۱۰۰ هزار تومان، رمز پویا اجباری نباشد. بانک‌ها می‌توانستند ریسک آن را بردارند و با همان رمز ایستا، تراکنش انجام شود. یکی از عزیزان امروز می‌گفت سقف تراکنش در روز، ۱۰۰ هزار تومان است نه هر تراکنش ۱۰۰ هزار تومانی. امیدوارم آقای محمدبیگی، اطلاعات را کامل‌تر کنند. اگر بانک‌ها، همین موضوع را هم اعمال کنند، مساله ارسال رمز پویا در درصد بزرگی از تراکنش‌ها حل می‌شود چون تعداد تراکنش‌های زیر ۱۰۰ هزار تومان هم کم نیست. درست است؟

لگزایی: درست است. الان حضور ذهن ندارم. فکر می‌کنم پس از مدتی، از یک مرجع، دستور صادر شد که برای تراکنشِ یک ریالی هم رمز پویا گرفته شود. البته آقای محمدبیگی حضور ذهن بهتری دارند.

  • آقای ارسلان علیزاده در گروه اشاره کرده‌اند سقف، ۱۰۰ هزار تومان در روز است. واقعا این سقف، چه معنایی دارد؟! اگر یک اسنپ یا تپسی در روز بگیریم، سقف ۱۰۰ هزار تومان پر شده است! بنابراین سقف جذابی نیست. در زمینه رمز پویا، آقای پویا پوراعظم به عنوان یک فعال بانکی، مطالعاتی داشته‌اند و راه‌حل‌هایی که بانک‌ها می‌توانند از آن استفاده کنند. خواهش می‌کنم در این زمینه به عنوان کارشناس، توضیحاتی را ارایه کنند.

پوراعظم: همان‌طور که جناب سرهنگ گودرزی و آقای لگزایی اشاره کردند رمز پویا بر بستر پیامک عقبه‌ای داشته و اثرگذاری خود را در بازه زمانی مربوطه داشت و آمار اشاره‌شده، بیانگر همین موضوع است. نکته اینجاست که تکنولوژی‌ها پیشرفت می‌کنند و به همان نسبت، کسانی که قصد حمله امنیتی یا جرمی مانند فیشینگ از طریق روش‌های جدید یا سرقت اطلاعات کارت دارند، از روش‌های جدید استفاده می‌کنند. به‌طور مشخص در حوزه پیامک، مساله فقط زیرساخت‌ها نیست. درباره اینکه مشکل دسترسی‌پذیری در شبکه اپراتورها و مسایل زیرساختی است، باید عرض کنم حتما مطلع هستید که چندان با اپراتورها نمی‌توان مساله SLA را مطرح کرد و اگر SLA هم وجود داشته باشد، زیاد رعایت نمی‌شود و نمی‌توان فشار آورد تا مساله حل شود. مساله اصلی دیگر، امنیت روش پیامک است. مواردی که عرض می‌کنم در زمان خودش، مساله را تا حد زیادی حل کرده، مانند پیامک. ما درباره وضعیت کنونی صحبت می‌کنیم. الان امنیت بر سر پیامک درخصوص دریافت رمز پویا با تهدیدات جدی روبه‌رو است و یکی از تهدیدات این است که احراز هویت دارنده کارت، تک‌عامله شده و جناب سرهنگ گودرزی هم به آن اشاره کردند. در واقع، احراز هویت چندعامله عملا بر بستر پیامک برای دریافت رمز پویا از بین رفته است. در مدل سنتی، یک CVV کد و یک رمز دانستنی وجود داشت که الان در مدل پیامکی به عامل داشتنی یعنی سیم‌کارت و شماره همراه تبدیل شده، در حالی که ممکن است گوشی بسیاری از کاربران، قفل نداشته باشد و امکان آن را نداشته باشند. در این صورت دسترسی به گوشی، برای فرد غیرمجاز، راحت است. در اینجا، تهدیدات دسترسی غیرمجاز مانند سرقت گوشی هم مطرح است مثلا اگر کسی گوشی را سرقت کند و درخواست رمز بدهد، پیامک به راحتی خوانده می‌شود، هرچند باید اطلاعات فیشینگ‌شده از CVV و شماره کارت وجود داشته باشد اما می‌دانیم این موضوع همین الان هم می‌تواند اتفاق بیفتد و برای مجرمان این حوزه، چیز پیچیده‌ای نیست. نکته دیگر اینکه استفاده از زیرساخت اپراتورها برای رمز پویا، با ریسک دسترسی اپراتورها به محتوای پیامک‌ها روبه‌رو است.

  • اگر ممکن است از مشکلات پیامک رها شویم. لطفا راهکارهای جایگزین پیامک را بفرمایید.

پوراعظم: درباره راهکارها، زمانی که در ابتدا سیستم رمزساز رمز پویا استفاده شدند، این کار به دلایلی مانند تغییر کاربری، اطمینان از توسعه امن و مواردی مانند آن انجام شد. درباره راهکارهای این حوزه، آقای محمدبیگی هم اشاره خواهند کرد اما با حمایت دوستان در بانک مرکزی و در قالب جلسات مرتبط با آن، حدود چهار پنج طرح، ارایه و چندین جلسه کارشناسی برگزار شد که امیدواریم به نتیجه برسد. البته پیامک را نمی‌توان کاملا کنار گذاشت زیرا بخشی از جامعه، گوشی هوشمند ندارند. کسی که تراکنش اینترنتی انجام می‌دهد، جامعه هدف آن، افراد دارای گوشی هوشمند هستند ولی بخش کوچکی از افراد همچنان از پیامک استفاده می‌کنند. راهکارها باید به شکلی باشد که یک راهکار مشخص وجود نداشته باشد و امکان استفاده از چندین روش دریافت یا استفاده از رمز پویا به کاربر داده شود. طرح ما با بانک مرکزی نیز در همین زمینه است؛ یعنی به کاربر و دارنده کارت، اجازه استفاده از چندین راهکار و روش مختلف برای استفاده از رمز پویا که مبتنی بر ریسک باشد، داده شده است. در نهایت، راهکار همان رمزسازهاست؛ اما نه اپلیکیشن‌های رمزساز کنونی یا گذشته. در زمینه توسعه اپلیکیشن‌های رمزساز، باید تغییراتی توسط بانک‌ها اتفاق بیفتد. تغییرات، خیلی زیاد نیست اما نیاز است مانند اینکه در همراه بانک یا موبایل بانک ارایه شود یا چندین بانک با همدیگر یک اپلیکیشن مشترک واحد انتقال رمزساز داشته باشند. این‌ها از مواردی است که در طرح ارایه‌شده به بانک مرکزی مطرح است. یکی از مشخص‌ترین، ساده‌ترین و سریع‌ترین راهکارها، استفاده از پوش نوتیفیکیشن بر بستر اینترنت است. فکر می‌کنم بانک ملت، در مقطعی این کار را روی اپلیکیشن رمزساز خود ارایه می‌داد و به جای آنکه از طریق پیامک ارسال شود، از طریق پوش نوتیفیکیشن در اپلیکیشن رمزساز ارسال می‌شد. در اینجا، استفاده از بستر پیامکی حذف و از همان ساختار هریم درخواست رمز برای بانک صادرکننده ارسال می‌شود و بانک به جای استفاده از پیامک، از پوش نوتیفیکیشن و اعلان اینترنتی استفاده می‌کند. این روش، ریسک‌هایی دارد. در بسیاری از زیرساخت‌های پوش نوتیفیکیشن که در اپلیکیشن‌های پرداخت و بانکی در کشور استفاده می‌شود، همگی وابسته به گوگل فایروبیس است و امکان تحریم، عدم دسترسی‌پذیری، قطعی اینترنت وغیره وجود دارد. روش دیگر این است که درگاه‌های پرداخت که درخواست رمز را از طریق زیرساخت هریم ارسال می‌کنند، اطلاعات تراکنش از طریق روش‌هایی مانند اسکن QRکد، وارد کردن کد تراکنش در اپلیکیشن رمزساز، چک کردن خصوصیات تراکنش توسط بانک صادرکننده و صادر کردن رمز در اپلیکیشن، می‌تواند اتفاق بیفتد. طرح‌هایی که می‌توان به نتیجه رساند و بخشی از اقداماتی که باید انجام شود، سمت بانک‌هاست و بخش دیگر سمت شبکه پرداخت و شاپرک است و احتمالا نیاز به تغییراتی برای پشتیبانی از این طرح‌ها و روش‌ها روی سامانه‌های هریم که مرتبط با رمز پویا نزد شبکه پرداخت و شاپرک صورت گیرد، وجود دارد. وقتی صحبت از رمزساز می‌کنیم، قطعا بخشی از موضوع به ارزیابی و رعایت الزامات امنیتی برمی‌گردد که آزمایشگاه امنیت، شرکت کاشف، آزمایشگاه‌هایی که ذیل اعتبار بانک مرکزی و مرکز افتا فعالیت می‌کنند، می‌توانند روی اپلیکیشن‌های رمزساز، ارزیابی را انجام دهند تا الزامات امنیتی مدنظر رعایت شود. در نهایت، در طرح ارایه‌شده به بانک مرکزی، سعی شده بر اساس نگاه به استانداردهای بین‌المللی و نزدیک به مدل ۳D Secure که در دنیا برای احراز هویت دارنده کارت و تراکنش‌های اینترنتی و غیرحضوری استفاده می‌شود، حرکت کنیم. البته نمی‌توانیم دقیقا این مدل را پیاده‌سازی کنیم زیرا این مدل، استانداردی است که احراز هویت را بیرون از تراکنش انجام می‌دهد اما ما رمز پویا را در داخل جریان تراکنش داریم. با این وجود، این طرح‌ها مبتنی بر اهدافی است که با استانداردهای ورژن دوم ۳D Secure که EMV منتشر کرده، پیش رفته و یکی از مهم‌ترین بحث‌ها، ریسک‌محوری است؛ یعنی اجازه بدهیم بانک در محدوده‌ای از ریسک، بتواند برای مشتریان و تراکنش‌ها و حتی با انتخاب کاربر، تصمیم‌گیری کند که از چه روشی برای رمز پویا استفاده کند. این موضوع، شاخص‌های مختلفی دارد و فقط مبلغ نیست، بلکه حتی نوع پذیرنده، نوع کانالی که تراکنش در آن انجام می‌شود، رفتارهای مالی خود مشتری و مدل بانکداری بانک، شاخص‌هایی هستند که ارایه رمز پویا را از روش مشخص خارج می‌کند و بین چندین روش، انتخاب و قابلیت به کاربر ارایه می‌کند تا بتواند بر مبنای ریسک و تخمین ریسک توسط بانک صادرکننده، روش‌هایی که برایش مجاز است، برای تراکنش خاص استفاده کند. ممکن است در یک تراکنش بتواند از پیامک استفاده کند اما در تراکنش دیگر، همان مشتری، مجبور باشد از رمزساز استفاده کند. این مدل، در استانداردهای بین‌المللی نیز وجود دارد. پس رویکرد ریسک‌محور حتما باید اتفاق بیفتد. ما نمی‌توانیم پیامک را صفر کنیم اما همین که بار اپراتورها کاهش پیدا کند، هزینه سمت بانک‌ها کمتر شود و درصدی از پیامک‌ها به طرح‌های جدید سوییچ‌ کند، بسیاری از مسایل را حل خواهد کرد.

  • اگر رمزسازدرون اپلیکیشن بانک یا اینترنت بانک قرار داده شود، از زاویه دید دوستان امنیتی، مساله‌دار است؟

پوراعظم: جواب به‌طور کلی خیر است. اینترفیس مورد استفاده کاربر به منظور دریافت یا تولید رمز پویا، می‌تواند اپلیکیشن همراه بانک یک بانک باشد؛ مشروط بر اینکه یک‌سری الزامات و ملاحظات امنیتی رعایت شود. این ملاحظات امنیتی را رگولاتور و بانک مرکزی مشابه همان مستند رمز پویا با یک‌سری به‌روزرسانی‌، ارایه می‌کنند. البته دو سه بانک، این کار را در همراه بانک‌شان انجام داده‌اند اما متاسفانه مشتری را به سمت استفاده از این روش ترغیب نکردند و عملا استفاده از آن کنار گذاشته شد. درخصوص اینترنت بانک، چون بر بستر وب است، میسر نیست اما درباره همراه بانک، اگر الزامات امنیتی که برای توسعه امن آن همراه بانک و رمزساز است، رعایت شود، فرقی نمی‌کند یک اپلیکیشن رمزساز جداگانه باشد یا یک ماژول و پلاگین از همراه بانک باشد یا چندین بانک دور هم جمع شوند و اپلیکیشن مشترک رمزساز ارایه کنند. مهم، رعایت آن الزامات و پشتیبانی از طرح‌هایی است که عرض کردم.

  • آقای محمدبیگی از اینکه به جمع ما پیوستید، متشکرم. آقای صادقی درباره نکته‌ای که از آقای پوراعظم سوال کردم، معتقدند مساله، امنیتی است و دوعاملی بودن را زیرسوال را می‌برد. لطفا بفرمایید آیا می‌توان حداقل آیکون اپلیکیشن رمزساز را در همراه بانک قرار داد و اینترفیس آن، این طرف باشد و اتفاقات و اکشن آن جای دیگر؟ این موضوع از دید حضرتعالی و بانک مرکزی چگونه است؟

محمدبیگی: بنده فرمایشات تمام دوستان را شنیدم و همه را تایید می‌کنم. زمانی که بحث الزامات رمز پویا را مطرح می‌کردیم، بالاخره مشکلات و مسایلی در حوز پیامکی وجود داشت اما همان‌طور که دوستان اشاره کردند سال ۹۸، واقعا راه دیگری نداشتیم و ضریب نفوذ پیامک بالا بود و اگر سراغ هر ابزار دیگری می‌رفتیم، نمی‌توانستیم به هدفی که به دنبال آن بودیم، دسترسی داشته باشیم. در یکی دو سال اخیر، طبیعتا اتفاقاتی در حوزه تکنولوژی رخ داده که نیازمند بازنگری در این حوزه است. درباره سوال شما باید عرض کنم ما دو اصل کلی داریم و هر روشی که این دو اصل را رعایت کند، شدنی است. اصل اول این است که رمز تراکنش حتما به اقلام اطلاعاتی و فاکتورهای تراکنش وابسته است. بانک مرکزی نام آن را رمز یک‌بار مصرف نگذاشته و همیشه از عنوان رمز پویا استفاده کرده است. دلیلش این بود که از همان موقع ما به این موضوع فکر می‌کردیم که رمزی که برای مشتری ارسال می‌شود، دو فاکتور مهم باید داشته باشد. یکی اینکه مشخص شود با چه مبلغ تراکنشی، این کار انجام می‌شود و دوم اینکه این تراکنش به چه کسی ارسال می‌شود؛ یعنی دریافت‌کننده و مبلغ تراکنش، هردو باید مشخص شود یا به‌گونه‌ای رمز پویا از دل دو فاکتور تراکنش بیرون بیاید. این اصل اول بود. اگر قرار بود از ابتدا این کار را برای همه بانک‌ها سخت بگیریم و آنها را موظف کنیم، این کار را انجام دهند، ممکن بود در شروع قضیه، کار، سخت و پیچیده شود و انجام نشود. از این‌رو، در طول مسیر تلاش کردیم با پیامک‌های اطلاع‌رسانی به مشتریان، به آنها حداقل اطلاع دهیم که فلان رمز را دریافت می‌کنند تا یک تراکنش را انجام دهند و مبلغ مشخصی را به یک شخص پرداخت کنند. این، نکته اول است و هر روشی که به بانک مرکزی ارایه می‌شود، باید این نکته را در نظر داشته باشد. نکته دوم اینکه با کمی اغماض، می‌توان بحث رمزسازها را پذیرفت. در STA کانال مستقل مجزا مطرح می‌شود؛ یعنی اگر تراکنشی را از کانال دیتای موبایل انجام می‌دهیم، رمز را باید روی کانال مستقیم دیگری دریافت کنیم. چون تراکنش‌‌ها ما روی دیتا انجام و رمز از طریق پیامک ارسال می‌شود، می‌توان این دو کانال را مستقل فرض کرد و مستقل هم هستند. در حوزه اینترنت بانک، همان‌طور که آقای پوراعظم گفتند اگر قرار است تراکنش از طریق اینترنت بانک یک بانک ایجاد شود و رمز دوم آن از طریق اینترنت بانک دریافت شود، قاعده دوم ما را نقض می‌کند؛ یعنی ما نتوانسته‌ایم رمزی را از یک درگاه مجزا در اختیار مشتری قرار دهیم. اینکه تاکید می‌کنم، «با اغماض»، همان نکته‌ای است که آقای پوراعظم و آقای صادقی اشاره کردند. در اینجا عامل دوم عملا لحاظ نشده و صرفا با الگوی اول که اشاره کردم، رمز به مشتری داده شده است. بنابراین اگر بانک‌ها بتوانند با همدیگر در زمینه طراحی یک الگوی واحد برای ایجاد یک برنامک‌ موبایلی تولید پیامک، فعالیت کنند که البته نیازمند کار، فرهنگ‌سازی و یکپارچگی است، مانند کاری که احراز هویت گوگل کرده، اقدام موثری انجام شده است. اگر به بسیاری از وب‌سایت‌ها مراجعه کنید با احراز هویت گوگل، رمز را دریافت می‌کنید چون وب‌سایت آن سرویس را از گوگل می‌گیرد، با رمزی که موبایل به فرد می‌دهد، می‌‌تواند وارد شود. البته بنده نمی‌گویم سراغ سرویس‌هایی مانند گوگل برویم. اصلا بانک مرکزی مشکلی با این قضیه ندارد بلکه اگر پیشنهادی از سمت بانک‌ها، داده شود، استقبال می‌کند. هر زمان، یک بانک، پیشنهاد داده، جلسات متعددی برگزار شده تا به یک الگوی اجرایی برسیم تا اگر نیاز است رگولاتور تغییراتی در رگولیشن خودش بدهد یا رگولیشن جدیدی اعلام کند، بتوانیم از آن پشتیبانی کنیم.

  • بانک پاسارگاد مشخصا در حوزه اپلیکیشن همراه بانک و بلوبانک، رمز را در خود اپلیکیشن می‌سازد. اینکه قبلا به بانکینو اشاره کردم، اشتباه بود. آیا این‌ها هماهنگ شده‌اند یا در جریان این دو نبودید؟

محمدبیگی: در جریان بودیم اما اینکه عرض کردم «با اغماض»؛ به همین‌جا برمی‌گردد. درباره نکاتی که شما در ابتدای جلسه درخصوص هزینه‌ها و چالش‌های بانک‌ها مطرح کردید، واقعیت این است روزانه امکان انتقال۱۰۰ هزار تومان بابت هر کارت، نه هر شخص، بدون رمز پویا وجود دارد و اگر چند کارت داشته باشیم (ضریب کارت برای هر مشتری، حدود چهار کارت است) برای هر شهروند، تا میزان ۴۰۰ هزار تومان امکان تراکنش وجود دارد. ما تلاش کردیم این مبلغ را با سقف ۵۰۰ هزار تومانی کیف پول بکسان کنیم. البته بحث افزایش عدد ثابت هم مطرح است که در حال حاضر کار کارشناسی روی آن انجام می‌شود تا عدد ثابت را افزایش دهیم. با این اقدام، کار مردم راحت‌تر انجام می‌شود و چون ۱۰۰ هزار تومان، الان مبلغی محسوب نمی‌شود، می‌توانیم هزینه بانک‌ها را کاهش دهیم. بنابراین افزایش آن در دستورکار ما وجود دارد. کاری که باید در شبکه بانکی انجام شود و بانک مرکزی به صورت جدی روی آن کار می‌کند، بحث اعمال معافیت برای مشتریان است. آقای پوراعظم در صحبت‌های خود به نکاتی اشاره کرده‌اند. الان نمی‌توان تمام مشتریان بانکی را با یک قاعده، رگولیت کرد. بنا به نوع رفتار، اعتبار، ریسک و میزان شناخت بانک از یک مشتری، ممکن است قاعده‌ای که بانک روی آن مشتری اعمال می‌کند، با دیگران متفاوت باشد. بنابراین بحث اعمال معافیت‌ها در انجام تراکنش‌های غیرحضوری از موضوعات جدی است که باید به بانک‌ها، این اختیار را داد که خودشان بتوانند مشروط به پذیرش ریسک کار را پیش ببرند. در این زمینه، اگر اتفاقی برای مشتری افتاد، بانک باید جبران خسارت کند نه مشتری. وقتی اتفاقی برای مشتری می‌افتد، باید به سراغ دادگاه، پلیس و پرونده قضایی برود اما بانک در حوزه اعطای معافیت به مشتریان، با توجه به شناخت از مشتری و ریسکی که برای وی، متصور است، ممکن است برای برخی از تراکنش‌های مشتری، پرداخت بدون اصطکاک انجام دهد؛ یعنی بدون اینکه از وی رمز یا اطلاع خاصی بگیرد، پرداخت را انجام دهد. این کار، هیچ اشکالی ندارد، مشروط بر اینکه قواعدی که ما روی آن کار می‌کنیم، رعایت کند. ما سال ۹۸ هم این موضوع، مدنظرمان بود. اصلا ۱۰۰ هزار تومان از همین مساله بیرون آمد که یکپارچگی را در سیستم بانکی ایجاد کنیم و سپس به بانک‌ها اختیار بدهیم با توجه به شناختی که روی مشتریان دارند، خودشان بتوانند این عدد را بالا پایین کنند و ریسک آن را بردارند تا هم هزینه‌های بانک کمتر شود و هم مشتری، خدمت خود را راحت‌تر و ساده‌تر دریافت کند. امنیت و سهولت، همیشه روی دو کفه ترازو بوده‌اند. اکنون با تکنولوژی‌های جدید، بانک‌ها با جدیت وارد موضوعاتی مانند هوش مصنوعی، شناسایی رفتار، تحلیل رفتار مشتری و ارزیابی اعتبار مشتری می‌شوند و تلاش می‌کنند با شناسایی بیشتر مشتریان، خدماتی را به آنها ارایه دهند که هم ساده‌تر و هم موردقبول و توجه مشتری باشد. بنابراین، این موضوع نیز در کنار پیشنهادهایی که آقای پوراعظم درباره آن صحبت کردند، در دستورکار وجود دارد تا به بانک‌ها اجازه دهیم برای تراکنش‌های خرد مشتریان‌شان از آن استفاده کنند. برای اینکه مباحث مربوط به پلیس فتا را هم بتوان مدیریت کرد، پذیرش ریسک توسط بانک خیلی مهم است. این‌طور نباشد که انجام این الگوهای تشخیص رفتار مشتری، باعث افزایش پرونده‌های قضایی در سیستم قضائی و پلیسی کشور شود. این مورد هم از موضوعات بسیار مهمی است که در کارگروه کارشناسی بانک مرکزی در حال بررسی است.

  • اتفاقا می‌خواستم عرض کنم کاش بانک مرکزی، حوزه امنیت را رها کند. بالاخره به یک‌سری بانک، مجوز داده و خطوط قرمز هم برای آنها مشخص کرده است. اجازه دهد خود بانک تصمیم بگیرد ریسک را بردارد و اینکه روش‌شان چه باشد. فکر کنم نامه اپراتورهای تلفن همراه را مشاهده کردید. شما الزام کردید که از رمز پویای پیامکی در آن مقطع استفاده کنند. الان چون انحصار است و کانال جایگزین دیگری وجود ندارد اپراتورها بابت این موضوع کیسه دوخته‌اند. ۸۰ درصد درآمد اپراتورهای تلفن همراه در حوزه پیامک، از همین پیامک‌های انبوهی است که بانک‌ها ارسال می‌کنند و ناگهان قرار است تعرفه پیامک را صددرصد افزایش دهند! در صورتی که همین CPI که ارسال‌کنندگان پیامک‌های انبوه با آن کار می‌کنند، در گذشته، مدل‌شان برعکس بود و می‌گفت شما جزء مشتریانی هستید که تعداد کمی پیامک ارسال می‌کنید، برای شما، تعرفه پیامک فارسی، ۱۰ تومان است و انگلیسی ۲۲ تومان. با این حال، آنهایی که کمتر می‌فرستند، بابت هر پیامک ۱۵ تومان از آنها دریافت می‌شد اما اگر به عنوان مشتری انبوه، ماهانه مثلا یکی دو میلیون پیامک یا بیشتر ارسال می‌کردید، به جای ۹ تومان، تخفیف می‌داد و ۸ تومان یا ۷ تومان می‌گرفت. الان با توجه به انحصار موجود، به جای تخفیف دادن به مشتری انبوه، قصد گرفتن مبلغ بیشتر را دارد، چون بانک‌ها غیر از اینکه از اپراتور خدمات بگیرند، راه دیگری ندارند. در این حوزه، شما به عنوان رگولاتور و حمایت از صنعت بانکی، قصد ندارید با رگولاتور مخابراتی وارد تعامل شوید که چرا از طریق انحصار، بانک‌ها را تحت‌الشعاع قرار می‌دهد و درآمد آنها را دچار آسیب می‌کند؟

محمدبیگی: بنده در بخشی از صحبت‌ها اشاره کردم پیامک در سال ۹۸، به عنوان تنها راه‌حل، حتی در اسناد مکتوبی که بانک مرکزی به بانک‌ها ارایه کرد، نبود. ما همان زمان به ایمیل، اپلیکیشن و اپلیکیشن‌های رمزساز اشاره کردیم اما چون پیامک، ضریب نفوذ بالاتری نسبت به سایر کانال‌ها داشت، بیشتر روی آن تمرکز شد و بانک مرکزی هم روی آن تاکیداتی داشت. ضریب نفوذ اپلیکیشن‌های رمزساز در بهترین بانک‌های ما، همان زمان، زیر پنج درصد و در برخی بانک‌ها، کمتر از یک درصد بود با اینکه بعضی بانک‌ها، دو سه سال تبلیغات اپلیکیشن‌ها را شروع کرده بودند. آن موقع بانک‌ها معتقد بودند بانک مرکزی باید مشتریان را مجبور کند تا از طریق پیامک اقدام کنند. طبیعتا وقتی با ۴۰ تا ۵۰ میلیون نفر مواجه هستیم، چنین رویکردی، به‌خصوص‌ در کوتاه‌مدت جواب نمی‌دهد و اگر چنین کاری را هم انجام دهید، حداقل شش ماه تا یک سال، اطلاع‌رسانی، فرهنگ‌سازی و آموزش نیاز دارد. پیامک، یکی از کانال‌هایی بود که بانک مرکزی روی آن تاکید داشت و شاید بانک‌ها هم آن را بهترین کانال می‌دانستند اما در یکی دو سال اخیر، بانک مرکزی درباره اینکه تنها کانال ارسال رمز دوم پویا به مشتری، پیامک باشد، اصلا اصراری ندارد و هر ابزاری که بتواند مشتری را متقاعد و ترغیب کنند، قابل استفاده است. البته اینکه بخواهند مشتری را در مقابل بانک مرکزی قرار دهند و به خاطر رگولیشن بانک مرکزی، اقدامی را انجام دهند، یک دیدگاه است و دیدگاه دیگر این است که مشتری، مشتری بانک است و پولش را در بانک گذاشته، ابزار پرداخت را از بانک گرفته، بیشترین ارتباط را با بانک دارد، بنابراین اگر بانک بتواند با مشتری خود تعامل کند و وی را متقاعد نماید که از ابزار دیگری استفاده کند، بنده همین‌جا اعلام می‌کنم بانک مرکزی، نه تنها مخالفتی ندارد بلکه قطعا حمایت می‌کند، مشروط بر اینکه آن دو شرط اصلی را که قبلا عرض کردم، رعایت کند. وقتی صحبت از احراز هویت قوی می‌کنیم، همه بانک‌ها از آن مطلع هستند. اگر دو شرط اصلی رعایت شود، اصرار به اینکه کانال آن پیامک باشد یا ایمیل، پوش نوتیفیکشن یا اپلیکیشن رمزساز یا اینکه همه ۳۰ بانک‌ با همدیگر یک اپلیکیشن رمزساز راه‌اندازی کنند، وجود ندارد. سهولت کاربری بسیار مهم است و اینکه به مدلی برسیم که مشتری، رضایت داشته باشد، مهم است وگرنه اینکه مشتری را ناراضی کنیم و مدلی را به زور به مردم تحمیل کنیم، درست نیست و بانک مرکزی به عنوان یک نهاد رگولاتور که هم باید هوای بانک‌ها و هم هوای مردم و مشتریان را داشته باشد، ملاحظاتی دارد و توازن بین راه‌حل‌ها باید ایجاد شود.

  • مشخصا پاسخ بنده را درخصوص رگولاتور مخابراتی و افزایش تعرفه پیامکی ندادید!

محمدبیگی: ما هیچ اصراری به پیامک نداریم. اگر بانک‌ها محصول یا کانال دیگر مانند اپلیکیشن رمزساز، پوش نوتیفیکیشن، ایمیل یا هر روش دیگری که مشتری را ترغیب کند، استفاده کنند، نه تنها حرفی نداریم، بلکه حمایت هم می‌کنیم.

  • پس اگر بانک‌ها برای کاش هزینه‌های خودشان و فرار از ماجرای رمز پیامکی که هزینه‌بر و هزینه‌ساز است، از روش‌های دیگر استفاده کنند، شما مشکلی ندارید. البته دقیقا نمی‌دانم بانک‌ها چه هزینه‌ای بابت پیامک می‌دهند. امیدوارم اگر آقای لگزایی، آماری دارند، بفرمایند.

محمدبیگی: البته بنده هم رقم تخمینی دارم اما اگر آقای لگزایی بفرمایند، بهتر است. من هم عرض می‌کنم.

  • جزییات آن مهم نیست. فقط صحبت این است هزینه‌ای که بانک‌ها در زمینه رمز پویا ‌ که قرار است قیمت آن، گران‌تر شود‌ نمی‌توانند از مردم بگیرند، در هزینه‌های پیامک‌های اطلاع‌رسانی اضافه نکنند تا مشتریان، مجبور شوند به جای ۲۰ هزار تومان، ناگهان ۵۰ هزار تومان پرداخت کنند! خواهش من این است بانک مرکزی، راهکاری بیندیشد که هر بانک، برای خودش، هر مبلغی نگیرد. راحت‌ترین کار در پیامک‌های اطلاع‌رسانی این است که به جای اینکه مبلغ ثابت از همه مشتریان بگیرند که به نفع عده‌ای و به زیان تعداد دیگری است، به ازای هر تراکنش، پولی که بابت پیامک به اپراتور می‌دهند، همان را از مشتری بگیرند و اگر می‌خواهند درصد کوچکی سود بگیرند، آن را هم دریافت کنند اما این‌طور نباشد که مشتری یک روستا که سالانه مجموع پیامک‌هایش مثلا ۱۰۰ مورد است، در مقایسه با مشتری شهری که سالانه بابت تراکنش‌های زیاد، مثلا ۱۰۰۰ پیامک دریافت می‌کند، هر دو، مبلغ یکسانی پرداخت کنند. الان اپراتور مخابراتی مدعی است بانک‌ها در زمینه دریافت عدد پیامکی از مردم، ۶۰ درصد سود می‌کنند! خب بگذریم… ما موضوعات دیگری هم در زمینه‌های مختلف داریم. جناب سرهنگ گودرزی همچنان روی خط هستند. لطفا اگر نکته‌ پایانی درباره موضوعات مطرح‌شده توسط دوستان مدنظرتان است، بفرمایید، در غیر این‌ صورت، همین‌جا از جنابعالی خداحافظی می‌کنیم و برنامه را با سایر مهمانان ادامه می‌دهیم.

گودرزی: از برنامه خوب، فنی و پرمحتوای شما تشکر می‌کنم. فقط یک نکته را عرض کنم. درباره اینکه اشاره کردید بانک‌ها خودشان اقدام کنند، یکی از کاربران هم در گروه ذکر کرده‌اند این ریسک باید دامنه داشته باشد. در این زمینه عرض کنم همان ابتدا که قرار شد رمز پویا را با همکاری دوستان راه‌اندازی کنیم، یک‌سری از بانک‌های خصوصی اعلام کردند ما نمی‌خواهیم کارهای دست‌وپاگیر انجام دهیم و ریسک آن را می‌پذیریم و در صورت مشکل برای مشتری، تامین خسارت می‌کنیم. موضوع این بود که تامین خسارت به‌گونه‌ای بود که فرد باید تشکیل پرونده می‌داد و برای بانک، محرز می‌شد که این اتفاق، رخ داده و باز هم چندان باری از دوش مردم و پلیس برداشته نمی‌شد. بنابراین، این موضوع، باید مدنظر باشد. با وجود ضریب نفوذ پیامک، اعلام کردند رمزها روی گوشی هوشمند و اپلیکیشن‌های رمزساز باشد. طبق بررسی انجام‌شده، تعداد زیادی از مشتریان، گوشی هوشمند در اختیار نداشتند و خرد جمعی به این نتیجه رسید به صورت پیامک باشد که هنوز هم استفاده می‌شود. امیدوارم با همفکری فعالان بانکی و کسانی در اکوسیستم صنعت پرداخت حضور دارند، دست در دست هم، فضای امن‌تری برای مردم عزیزمان رقم بزنیم. پلیس فتا نیز تمام‌قد در خدمت همه بزرگواران است.

  • امیدوارم حواس پلیس فتا همانند گذشته و بیشتر از همیشه، به همه‌چیز باشد و ما هم حمایت می‌کنیم. پلیس فتا اقدامات ارزشمندی در این حوزه انجام داده و از تلاش شبانه‌روزی شما در کنار مردم تشکر می‌کنیم. امیدوارم به نقطه‌ای برسیم که با اطلاع‌رسانی بیشتر، مردم آگاه‌تر شوند و سواد فناوری‌شان بیشتر شود تا گرفتار مشکلاتی مانند فیشینگ نشوند. با شما خداحافظی می‌‌کنیم. با توجه به اینکه به میان‌برنامه رسیدیم، هنوز هشت سوال جدی دیگر در حوزه کارمزد، کیف پول، نئوبانک و تسهیلات خرد داریم که هرکدام یک برنامه جداگانه را می‌طلبد. می‌توانیم تصمیم بگیریم هفته آینده، برنامه دیگری داشته باشیم و ادامه سوالات را در آن برنامه داشته باشیم یا با پاسخ‌های خلاصه، کل سوالات را در همین برنامه ارایه و تمام کنیم. نظر شما چیست؟

محمدبیگی: بنده ترجیح می‌دهم سوالات را به صورت خلاصه در همین برنامه پاسخ دهم.

  • آقای لگزایی! شما هم با این روال موافقید؟

لگزایی: آیا به بنده توصیه می‌کنید، خلاف نظر رگولاتور محترم حرفی بزنم! هرچه ایشان می‌فرمایند، ما تابع هستیم! (به مزاح)

  • رگولاتور ما ماه است! اگر خشن بودند، باید بیش از ۲۰ بار برای ما کمپوت می‌آوردند!

محمدبیگی: البته رگولاتور، ماهش خوب نیست!

  • به بحث جذاب کیف پول الکترونیک یا کیف الکترونیک پول و مشکلات آن رسیدیم. چون بنده در این حوزه کار کردم، باید عرض کنم سه مشکل اصلی در توسعه کیف پول در نظام بانکی داریم. اولین مشکل این است که تا وقتی که سرویس برای کارت‌هولدر و نظام پرداخت در حوزه تراکنش‌های کارتی، شرکت‌های PSP و پوزها رایگان باشد، با توجه به تجربه سخت کاربری کیف پول، مشکل خواهیم داشت. فرض کنید به فروشگاه رفته‌ایم، خرید کرده‌ایم و قرار است با کیف پول، پرداخت انجام دهیم. باید موبایل را در بیاوریم، اپلیکیشن کیف پول را باز کنیم، دوربین موبایل را روشن کنیم، بخشی از شماره پذیرنده را بزنیم، بعد مبلغ را دستی وارد کنیم، رمز را بزنیم یا شاید رمز نباشد و بدون رمز، پرداخت را بزنیم تا تراکنش اتفاق بیفتد. این در حالی است که پرداخت با کارت، سرویس رایگان است و اینجا هم رایگان است، بنابراین مشتری ترجیح می‌دهد از کارت استفاده کند. دومین مشکل، نبود هم‌پذیرندگی در سرویس کیف پول است. اگر قرار باشد برای هر کارت‌خوان یا فروشگاهی که در سطح شهر کار می‌کند، یک کیف پول نصب شود، فایده‌ای ندارد مانند همین رمزسازها که هر بانک، رمزساز خود را دارد و این امر، یعنی نبود یک اپلیکیشن که مشتری با آن در همه‌جا کارکند، باعث می‌شود قطعا از کیف پول استفاده نکند. سومین دلیل، سقف پایین خرید در کیف پول است که با توجه به مبالغ و تورم موجود، ۵۰۰ هزار تومان، مبلغ پایینی است. همین الان بدون اینکه خرید چندانی از بقالی داشته باشیم، ۳۰۰ تا ۴۰۰ هزار تومان خرید می‌کنیم که این مبلغ، واقعا لاکچری محسوب نمی‌شود. سوال این است که چرا در حوزه کیف پول، ذینفعان، درنظر گرفته نشده‌اند؟ الان کیف پول متعلق به بانک است و یک تعداد راهبر باید با آن کار کنند. راهبر، سهمی از درآمد ندارد و طبق آیین‌نامه بانک مرکزی، از منابع رسوب پشت حساب کیف پول، به آورنده آن مبلغ که می‌توانست راهبر باشد، درصد سود تعلق نمی‌گیرد. نظر جنابعالی در این زمینه چیست؟

محمدبیگی: شما چالش‌ها را کاملا توضیح دادید. در حوزه کیف پول، اگر به روش‌های بهینه دنیا دقت کنید، در هند، شرکت PAYTM یا در آفریقا، شرکت MESA دارای کیف پول‌های نسبتا موفقی بوده‌اند، چون جامعه هدف آنها، بدون بانک بوده و توانسته‌اند در آن حوزه، فعالیت کنند. در کشور ما که بیشتر مردم به‌خصوص‌ بعد از سال‌های ۸۶ و ۸۷ هم حساب بانکی دارند و هم کارت بانکی، نکات شما درباره اینکه چه کنیم تا این بیزینس شکل بگیرد، کاملا درست است. تا مدت زیادی به بانک مرکزی انتقاد می‌شد که چرا مقررات کیف پول را ابلاغ نمی‌کند که از اردیبهشت تا شهریورماه ۹۹، مقرراتی را تصویب کردیم و به تصویب شورای پول و اعتبار نیز رساندیم و خوشبختانه به بانک‌ها ابلاغ شد. واقعیت این است که بر اساس قانون تنظیم بازار غیرمتشکل که در سال ۸۳، مصوب مجلس و به بانک‌ها ابلاغ شد، واسطه‌گری وجوه صرفا باید توسط بانک انجام شود مگر اینکه این قانون، عوض شود. این قانون مجلس است. تا زمانی که این قانون تغییر نکند، هیچ نهادی در کشور نمی‌تواند از مردم پول دریافت کند یا از منبع آن پول، برای اعطای تسهیلات یا … استفاده نماید. با توجه به این قانون در سال ۹۹، سند کیف پول بانک مرکزی به شدت بانک‌محور شد و انتقادات زیادی به بانک مرکزی صورت گرفت. همان موقع، بسیاری از بانک‌ها اصرار داشتند نیاز نبود در این سند، نهاد دیگری، به عنوان اپراتور یا راهبر معرفی شود و معتقد بودند کل آن به بانک‌ها داده شود تا انجام دهند. به گفته آنها، چرا بانک مرکزی به این موضوع ورود می‌کند که نهاد جدیدی به نام راهبر را به رسمیت بشناسد و برای این نهاد جدید، سرمایه، نوع قرارداد و یک‌سری امکانات تعریف می‌کند؟ این قضیه، همان موقع هم مطرج بود. ما در وضعیتی قرار داشتیم که یک طرف بانک بود و طرف دیگر معتقد بود این موضوع را به بخش خصوصی واگذار کنیم و فین‌تک‌ها بیایند. با توجه به آن قانون و شرایط موجود، تلاش کردیم حالت متعادل‌تری را در سند، ایجاد و نهاد جدید تعریف کنیم و برای نهاد جدید، یک‌سری وظایف قائل شویم. با این حال در حوزه کسب‌وکار، شما به درستی اشاره کردید که بانک مرکزی، چندان مستقیم به بحث کسب‌وکار ورود پیدا نکرد؛ یعنی در سند کیف پول، دو حوزه را مشخص کردیم. یکی اینکه دارنده کیف پول که کارمزدی را به صادرکننده کیف پول می‌دهد و دوم اینکه گسترش شبکه پذیرندگی توسط راهبران صورت گیرد و راهبران می‌توانند از طریق قرارداد با پذیرندگان، کارمزد، دریافت کنند. گسترش این شبکه در کنار شبکه پرداخت کارتی و رایگان بودن آن، این قضیه را دچار چالش می‌کند اما تصور بانک مرکزی آن موقع و الان هم این بوده و هست که بخش عمده‌ای از تراکنش‌های شبکه‌ای که بیش از ۹۰ درصد تراکنش‌های بانک‌ها (که بابت آن کارمزد می‌دهند) زیر ۵۰۰ هزار تومان است و بخش کوچکی از آن شاید سالانه حدود ۷۰۰ تا ۸۰۰ میلیارد می‌شود. بانک‌ها از دو جهت انگیزه گسترش و توسعه کیف پول را داشتند. یکی اینکه کارمزدهای پرداختی آنها کمتر می‌شد و دوم اینکه می‌توانستند تراکنش‌های خردشان را به نهادهایی مانند فین‌تک‌ها بدهند. بانک مرکزی این اجازه را به بانک داده بود که این بخش از تراکنش‌های خرد را از کربنکینگ خود خارج و کر خود را آزاد کنند تا حدود ۲۰ تا ۳۰ درصد ظرفیت برای آن ایجاد شود. متاسفانه طی دو سال اخیر این کار انجام نشد که یک دلیل آن، هم‌پذیرندگی بود. البته یکی دو بانک در حوزه هم‌پذیرندگی در حال تست هستند که تست آنها ناموفق بوده و یک‌سری تاثیراتی را در شرکت خدمات انفورماتیک به عنوان راهبری این کار داشته است. بنابراین تست‌ها در حال انجام است. نکته دیگر اینکه بانک‌ها با توجه به انگیزه‌هایی که داشتند، این اتفاق را در شبکه بانکی رقم نزدند و با توجه به اینکه با راه‌اندازی این محصول، بانک‌ها، چیزی حدود ۷۰۰ تا ۸۰۰ میلیارد تومان در سال، کاهش هزینه داشتند، انتظار ما این بود که مشتریان را به سمت کیف پول، تشویق و ترغیب کنند اما چندان شاهد این موضوع نبودیم. البته ترجیح می‌دهم آقای لگزایی در این زمینه بیشتر صحبت کنند.

  • فارغ از این امر، تا موضوع هم‌پذیرندگی اتفاق نیفتد، چند مساله وجود خواهد داشت. حدود ۸۰ درصد تراکنش‌های شبکه پرداخت، زیر ۲۰۰ هزار تومان است که عدد درشتی است و همان‌طور که شما هم اشاره کردید اگر به سمت کیف پول، هدایت شود، ۲۰ درصد ظرفیت کر بانک‌ها، سبک می‌شود. در اینجا همان نگرانی آقای لگزایی مطرح می‌‌شود که ممکن است در پایان اسفندماه کربنکینگ‌ها جواب ندهند. در کنار آن، هزینه‌های سرسام‌آور سخت‌افزارهای بانکی، به‌خصوص‌ با وجود تحریم‌ها و واردات آن و اینکه بانک‌ها به نقطه استهلاک می‌رسند و باید تعدادی از تجهیزات را از رده خارج و تجهیزات جدید را جایگزین کنند، وجود دارد. همچنین اگر توسعه کیف پول صورت گیرد، شرکت‌های PSP دچار خسران می‌شوند چون تراکنش‌های آنها پایین می‌آید و شرکت خدمات انفورماتیک (که به صورت غیرمستقیم درآمدش را از نگهداری سوییچ‌ شاپرک دارد و با توجه به قرارداد شرکت خدمات و شاپرک، ۸۰ درصد درآمد شاپرک را به خود اختصاص می‌دهد که عدد قابل توجهی است) و شتاب نیز به عنوان دو شرکت حاکمیتی، درآمدهای خود را از دست می‌دهند. تصور بنده این است که سپردن سوییچ‌ هم‌پذیرندگی به شرکت خدمات که خودش مستقیما در این ماجرا ذینفع است، شاید کار منطقی‌ای نبود و بهتر بود بانک مرکزی، ایجاد سوییچ‌ هم‌پذیرندگی را برعهده بانک‌ها قرار می‌داد تا آنها کنسرسیوم تشکیل داده و داشبورد نظارتی را در اختیار رگولاتور قرار دهند تا نظارت مستقیم خود را هم در این حوزه داشته باشد. اگر الان بانک‌ها بخواهند این کار را انجام دهند، آیا در قالب کنسرسیوم می‌توانند سمت رگولاتور بیایند و این درخواست را داشته باشند؟ البته نمی‌گویم شرکت خدمات، سنگ‌اندازی می‌کند، بلکه احساس بنده این است که این روش، منطقی نیست. بانک مرکزی می‌تواند برای ایجاد سوییچ‌ هم‌پذیرندگی، مانند چکاوک، صیاد و…، الزام زمانی بگذارد اما چرا این اقدام را انجام نمی‌دهد؟ البته اشاره کردید دو بانک آن را تست کرده‌اند اما ناموفق بوده‌اند و باید موضوع را حل کنند. چرا برای سوییچ‌ هم‌پذیرندگی، الزام زمانی نمی‌گذارید و آیا بانک‌ها مستقل از شرکت خدمات، می‌توانند درخواست ایجاد سوییچ‌ هم‌پذیرندگی بدهند یا خیر؟

محمدبیگی: بانک‌های بزرگ ما آنقدر مشتری دارند که بتوانند بدون وابستگی به سوییچ‌ هم‌پذیرندگی، کیف پول‌های کلوزلوپ یا حلقه بسته خود را راه‌اندازی کنند. هم بانک‌ها این توان را دارند و هم سند این اجازه را به آنها می‌دهد. بانک‌ها بزرگ قطعا می‌توانند با شرکت‌های فین‌تک در این حوزه فعالیت کنند اما واقعیت این است که بسیار کم، شاهد این حوزه هستیم. یکی از دلایل آن، همن بحث اول است که عرض کردم. ما در حوزه کیف پول در دنیا نیز چندان به‌روش یا رویکرد بهینه خاصی مشاهده نمی‌کنیم. گوگل‌پی و اپل‌پی در هر کشور، به شکل متفاوتی کار می‌کنند. در یک کشور، خوب کار می‌کنند و در کشوری که عموما بانک‌محور است، چندان توسعه پیدا نمی‌کنند. این‌ها موضوعاتی است که نمی‌خواهم وارد آن شوم. نکته دیگر اینکه بانک مرکزی، پیگیری و فشار لازم را به شرکت خدمات و شاپرک برای انجام مقررات آن سند و اینکه کار را برای مشتری ساده کنند، انجام داد. موضع بانک مرکزی از ایجاد سوییچ‌ در مستند کیف الکترونیک پول، درآمدزایی برای شرکت‌های تابعه بانک مرکزی نبوده و نیست. بانک مرکزی دو موضع دارد که هر سوییچ‌ و هر واسطی انجام دهد، از نظر ما مناسب است. یکی سهولت کاربری است. شما درست اشاره کردید. اگر کیف پول از واحد یا نهاد خاصی داشته باشیم، نباید نگران باشیم که کیف پول ما در پذیرنده دیگر کار می‌کند یا خیر. اگر این‌طور باشد، این محصول توسعه پیدا نمی‌کند. دوم حصول اطمینان از اینکه توسعه‌دهنده کیف پول، خلق پول نمی‌کند. بانک‌ها مجاز به خلق پول هستند، مشروط بر اینکه تحت مقررات بانک مرکزی باشند. اگر هر نهاد، سوییچ‌ یا واسطی، این دو موضوع را لحاظ کند و در اختیار بانک مرکزی بگذارد و بانک مرکزی، نظارت داشته باشد، قطعا قابل پذیرش است. اینکه از سال ۹۹، خودمان دست به کار شدیم تا این اتفاق بیفتد، تصورمان این بوده و هست که تا زمانی که بانک‌ها به کنسرسیومی برسند که توافق بین آنها حاصل شود، زمان‌بر خواهد بود، بنابراین بانک مرکزی به عنوان یک نهاد در این حوزه، ورود کرده و این سوییچ‌ را ایجاد کرده، اگر دوستان دیگر هم تمایل به انجام این کار داشته باشند، ممنوعیت قانونی و مقرراتی ندارد و این موضوع، توسط بانک مرکزی قابل پذیرش و بررسی خواهد بود.

  • خبر خوب و جذابی دادید. البته شرکت فرادیس البرز با چند بانک برای راه‌اندازی کیف پول تلاش کردند اما چون شرکت خدمات عضو آن کنسرسیوم بود…

محمدبیگی: اجازه بدهید در این زمینه چندان با شما موافق نباشم. شما نظرات خودتان را می‌گویید و بنده هم نظرات خودم را دارم!

  • بالاخره بنده هم اگر به جای مدیران شرکت خدمات انفورماتیک نشسته بودم، قاعدتا تصمیمی را گرفته بودم که الان آنها می‌گیرند. ۸۰ درصد درآمد شرکت، عدد کمی نیست. البته شخصا تلاش می‌کردم این اتفاق نیفتد یا اگر می‌افتد به روشی باشد که بنده هم در آن حضور داشته باشم! همین که اشاره می‌کنید بانک‌ها می‌توانند این پیشنهاد را مطرح و با همدیگر سوییچ‌ هم‌پذیرندگی ایجاد کنند، نکته جذابی است. آقای لگزایی پیشنهاد شما در این زمینه چیست؟

لگزایی: بنده باید قبلا از آقای محمدبیگی و همکاران‌شان تشکر کنم، چون بحث کیف الکترونیک پول، از سال‌ها پیش مطرح بود و با اینکه مقررات‌نویسی و تدوین آن کار سختی است، خوشبختانه انجام شد. همچنین قبل از پاسخ به سوال شما، درباره اینکه چرا بانک‌ها استقبال نکردند و در کامنت‌های گروه هم این موضوع عنوان شده، باید عرض کنم درباره دستورالعمل سال قبل، چند مشکل داریم. اولین مشکل این است که بیزینس‌مدل کیف پول، شفاف نیست. در دستورالعمل ذکر شده، بانک می‌تواند از راهبر کارمزد بگیرد اما اینکه راهبر چگونه می‌تواند این کارمزد را خودش از درآمدهای دیگر یا شاید ارزش افزوده تامین کند، ابهام دارد. مشکل دوم اینکه از لحاظ کسب‌وکار، بررسی‌های کارشناسی ما نشان می‌دهد مادامی که در تراکنش‌های خرد آنلاین، کارت‌هولدر و پذیرنده، هیچ محدودیتی ندارند و هیچ هزینه‌ای را متحمل نمی‌شوند، حتی اگر کیف پول را هم راه‌اندازی کنیم، استقبال چندانی از سمت یوزر صورت نخواهد گرفت. وقتی یوزر حق انتخاب داشته باشد تا تراکنش خرد آنلاین بدون هیچ هزینه و کارمزدی انجام دهد، بعید است در گام‌های بعدی بانک مرکزی به ما کمک کند و برای تراکنش‌های خرد آنلاین، محدودیت‌ها یا کارمزدهایی را بگذارد که مشتری را به این سمت هدایت کند. این‌ها مواردی است که باید از آقای محمدبیگی، جداگانه وقت بگیریم و مباحث کارشناسی را مطرح کنیم. درباره هم‌پذیرندگی، اگر این امکان فراهم باشد، با توجه به شناختی که از دوستان در سیستم بانکی دارم، تعداد قابل توجهی از بانک‌ها می‌توانند با همدیگر همسو شوند و از بانک مرکزی، مجوز بگیرند و سوییچ‌ مرکزی برای هم‌پذیرندگی یا کیف پول تعامل‌پذیر را راه‌اندازی کنند. با این حال، در دستورالعمل، الزامی وجود دارد که تراکنش‌های کیف پول، باید از سوییچ‌ حاکمیتی هم تردد کند. اگر این موضوع وجود داشته باشد و قرار باشد بانک‌ها، تراکنش را از سوییچ‌ موردتوافق خودشان، دوباره برای سوییچ‌ دیگر در شرکت خدمات یا هر جایی که بانک مرکزی تعیین می‌کند، ارسال کنند، به نظرم اگر بانک‌ها به سمت این موضوع نروند، بهتر باشد. البته الان نمی‌دانم آن الزام با این مجوزی که قرار است داده شود، قابل اغماض است یا خیر. اگر قابل اغماض باشد و بانک مرکزی، دسترسی کامل و جامع به جزییات سوییچ‌ موردنظر بانک‌ها داشته باشد، دغدغه‌ها و نگرانی‌های حاکمیت را نیز مرتفع می‌کند. فکر می‌کنم این علاقه‌مندی در بانک‌ها وجود دارد. البته دوستان در کامنت‌ها نکاتی را اشاره می‌کنند که در این رابطه، باید عرض کنم بانک‌ها هم دوست دارند در این زمینه، اتفاقات خوبی بیفتد. برای بانک‌ها هرچه که قابل تحمل باشد، اعم از هزینه‌ها و سرمایه‌گذار‌ی‌ها، تجربه مشتری، خط قرمز است و حتی اگر چند سال بر اساس مقررات و ضوابط ناگزیر باشند هزینه‌های غیرمنصفانه و تحمیلی را به خاطر الزامات و ملاحظات حاکمیت تحمل کنند، این کار را انجام می‌دهند مانند نظام کارمزد که طی سال‌های گذشته، بهبودی در آن ایجاد نشده و بیشتر آن، خارج از بانک مرکزی و ملاحظات بیرون از این نهاد است. در مجموع، هر راهکاری از جمله کیف پول، اگر منجر به تجربه بهتر مشتری شود، بانک‌ها استقبال خواهند کرد.

  • فکر نمی‌کنم ارایه یک داشبورد نظارتی که رگولاتور، تمام و کمال، مشابه آنچه در شرکت خدمات انفورماتیک قرار است راه بیفتد، به آن دسترسی داشته باشد، موضوع سخت و فنی باشد. قاعدتا اگر بانک مرکزی، این داشبورد را داشته باشد، نیاز به عبور تراکنش‌ها از سوییچ‌ حاکمیتی دوم منطقی نباشد. آیا این موضوع، می‌تواند اتفاق بیفتد؟

محمدبیگی: دوستان کامنت‌هایی را در گروه می‌نویسند مبنی بر اینکه رگولاتور تمایلی به این موضوع ندارد. بنده به عنوان کننده رگولاتور عرض می‌کنم این موضوع، شدنی است. دوستان قطعا می‌دانند BEKM یک کنسرسیوم در ترکیه متشکل از چند بانک بزرگ است که اخیرا بانک مرکزی ترکیه، گلدن شیر BEKM را قانونی اخذ کرد و به عنوان نهاد ناظر وارد آن سوییچ‌ شد تا نظارت خود را انجام دهد. در حوزه کیف پول، حجم بازار ما، زیر ۵۰۰ یا ۶۰۰ میلیارد تومان است. زمانی که آن سند را می‌نوشتیم، تصور ما در طول پنج سال، این بود که اگر بتوانیم این بازار را به خوبی توسعه دهیم، حجم آن حدود ۱۰ تا ۱۵ هزار میلیارد تومان خواهد بود. با توجه به این مبلغ، از منظر جذب منابع، چندان مورد توجه بانک‌ها نیست، هرچند از منظر پرداخت کارمزد، موردتوجه است. از نظر رگولاتوری، با توجه به حجم مبالغی که به صورت پرداخت انجام می‌شود، نسبت به ۴۱۰۰ میلیارد تومان نقدینگی ما مبلغ زیادی نیست. فاکتورهایی که بنده روی آن تحلیل می‌کنم، نشان می‌دهد رگولاتور می‌تواند به‌طور فنی، نظارت خود را روی کنسرسیوم داشته باشد.

حس شما نسبت به این خبر چیست؟
دوستش دارم
0%
علاقه‌مندم
0%
نظری ندارم
0%
شگفت زدم
0%
ازش متنفرم
0%
غمگینم
0%
خوشحالم
0%
درباره نویسنده
علی اصغر افتاده

ارسال یک نظر