به زودی و تا آغاز مهر ماه آینده با ابلاغ دستوری از سوی بانک مرکزی جمهوری اسلامی ایران پرداختهای بانکی از طریق «کدهای دستوری» (USSD) ممنوع میشود. «کدهای دستوری» بستری برای ارسال کدهایی مانند *، # و چند عدد هستند که هر کاربر میتواند با ارسال آنها به اپراتورهایی که عضو شبکه آنها است فعالیتهایی مثل انتقال وجه، اعلام موجودی، خرید شارژ و پرداخت قبوض را انجام دهد. اگرچه با ظهور تکنولوژیهای جدید در این عرصه استفاده از این بستر تقریبا منسوخ شده است اما کار با این محیط به دلیل نیاز نداشتن کاربران به اینترنت و پیچیدگیهای خاص فضای مجازی، رسیدگی به کارهای بانکی را به وسیله تلفن همراه آسان میکند.اغلب شبکههای پرداخت الکترونیک که به بانکها و اپراتورهای همراه با استفاده از این بستر به ارائه خدمات میپردازند در صورت ممنوعیت استفاده از این بستر دچار تغییر و تحولاتی در ارائه این دست از خدمات میشوند. در همین زمینه با مهرداد خطیبی مدیرعامل پرداخت اول کیش (جیرینگ) گفتوگویی را انجام دادهایم که شرکتش به ۲۵ میلیون مشترک روی این بستر خدمات ارائه میکند.
با توجه به ابلاغیه بانک مرکزی در زمینه مسدود کردن خدمات بانکی بر بستر USSD چه تصمیمی برای ادامه فعالیت از طریق این سرویس دارید؟
تاکنون هیچ ابلاغیهای نه از سوی بانک مرکزی و نه از سوی شاپرک و نه هیچ نهاد قانونگذاری دیگری به ما ابلاغ نشده است و ما جسته و گریخته از بین اخبار در شبکهها و گروههای مجازی از این مساله مطلع شدیم. حتی مذاکره شفاهی هم در این موضوع صورت نگرفته است. در حال حاضر روزانه چند میلیون تراکنش بر بستر USSD داریم که تاکنون هیچ تراکنش ناامنی در این فضا رخ نداده است یا اطلاعات محرمانه بانکی که لو رفته و به سرقت رفته باشد، نداشتهایم. در صورتی که در سایر بسترهایی که در حال حاضر در حال خدمت به کاربران هستند، زیاد شنیده میشود که سوءاستفاده صورت میگیرد و اطلاعات مشتریان به سرقت رفته است.
یکی از دلایلی که برای کنار گذاشتن این شیوه پرداخت عنوان میشود امن نبودن آن برای پرداخت است. این عدم امنیت چقدر واقعیت دارد؟
اولا شبکه اپراتوری یک شبکه بسته و تحت کنترل است و بر عکس آن، شبکه اینترنت یک شبکه باز و غیر قابل کنترل است، بنابراین هر سرویسی که بر شبکه اپراتوری ارائه میشود، ماهیت به مراتب امنتری به نسبت سرویسهای اینترنتی دارد. بیایید فکر کنیم امنیت USSD، صفر مطلق است، وقتی تراکنش پرداخت روی این بستر انجام میشود برای بار اول، اطلاعات شماره کارت بانکی باید ثبت شود و مشترک برای نخستین بار شماره کارت ۱۶ رقمی را وارد میکند و پس از آن، رمز دوم درخواست میشود و درصورت مطابقت و صحت اطلاعات کاربر از سوی پیاسپیها این اطلاعات ثبت میشود. در تراکنشهایی که بعد از تراکنش ثبت نام اولیه انجام میشود صرفا رمز دوم است که بر بستر USSD منتقل میشود و به جای شماره کارت، یک کد مستعار ارسال میشود. بنابراین در صورت شنود، چیزی که نصیب فرد شنودکننده متخصص میشود صرفا رمز دوم کارت بانکی است. آیا میتوان با رمز دوم کارت بانکی که مشخص نیست متعلق به چه کارت بانکی است، برداشت پول انجام داد؟ بنابراین راحتترین کار این است که پس از اولین تراکنش که شماره کارت و رمز دوم کارت در یک تراکنش USSD اخذ میشود، در تراکنش بعدی از کاربر بخواهیم رمز دوم کارت را تغییر دهد و در سیستمهای پیاسپی هم این موضوع پیادهسازی شود که تا زمانی که رمز دوم تغییر نکرده، به هیچ وجه اجازه تراکنش جدید روی این بستر به مشترک داده نشود. در این وضعیت، اگر حتی شنودی هم صورت بگیرد اطلاعاتی که به دست میآید چیزی نیست که به درد شنودکننده بخورد.
با وجود این، اگر اصرار بر ارتقای امنیت داشته باشیم، این کار میسر است. همه میدانند که مقوله امنیت، یک امر نسبی است بنابراین بین ریسک امنیتی و هزینه تامین امنیت باید تناسبی وجود داشته باشد. اگر دوستان درخواستی برای ارتقای سطح امنیتی به ما بدهند ما میتوانیم با انتقال اپلت روی سیم کارت مشترکان، سطح امنیتی USSD را بالاتر ببریم. اما موضوع این است که در شرایطی که با اجرای پیشنهادهای فوق، امنیت تقریبا صد درصدی برای تراکنشها محقق میشود، آیا توجیه اقتصادی برای صرف این هزینه سنگین وجود دارد؟ در حال حاضر ۲۵ میلیون مشترک منحصر به فرد همراه اول از سرویس USSD استفاده میکنند و برای اجرای مدل امنیت مبتنی بر اپلت، باید سیم کارت جدید برای همه مشترکین ارسال کنیم که فقط برای تعویض سیم کارت، به جز هزینههایی که روی شبکه USSD و شبکه پیاسپی اتفاق میافتد، میزان قابل توجهی اعتبار مالی نیاز است. اینجا است که باید بحث شود درحالی که با یک روش ساده مثل تغییر رمز، ارتقای امنیتی تراکنشهای USSD شدنی است، چرا باید چنین هزینهای صرف شود.
در حال حاضر مردم از کدهای دستوری بیشتر برای چه نوع پرداختی استفاده میکنند؟
در حال حاضر ۸۰ درصد پرداختها بر بستر USSD مربوط به فروش شارژ است؛ یعنی مردم به جای استفاده از پین چاپ شده میتوانند از گوشی خود، شارژ خریداری کنند و این یعنی در همین مدت کوتاه ما از نابود شدن ۵ هزار اصله درخت و هدر رفتن ۱۱۰ میلیون لیتر آب جلوگیری کردهایم.
بنابراین با وجود این همه تدابیر امنیتی به نظر میرسد این ترس از سوی بانک مرکزی وجود دارد که اطلاعات از سوی خود اپراتور مورد سوءاستفاده قرار گیرد.
خیلی از اطلاعات محرمانه مشتریان در اختیار اپراتورهااست و ایشان امانتدارند و نهادهای نظارتی هم بر شبکه اپراتوری نظارت دارند. ممکن است بانک مرکزی این دغدغه را داشته باشد اما چیزی که بهصورت غیررسمی شنیدهایم دغدغهشان این است که ممکن است در لایهای که بین گوشی و BTS وجود دارد شنود اتفاق بیفتد، باید عرض کنم که این اینترفیس با پروتکلهای امن، محافظت شده ولی حتی در صورت شنود با تجهیزات پیشرفته، این طور نیست که این قابلیت در دسترس عموم باشد و همانگونه که قبلا هم گفتم، در صورت تغییر رمز از تراکنش دوم، اطلاعات قابل استفادهای نصیب شنودکننده نمیشود. درحالی که اگر موضوع، صرفا دغدغه امنیت باشد آن را میتوان به راحتی حل کرد و در صورت رفع این دغدغه قاعدتا محدودیتهای سال گذشته شامل بر خرید و ماندهگیری بر بستر USSD نیز قابل برگشت خواهد بود.
شما از امنیت صحبت میکنید؛ اما همین الان شاهد بالا گرفتن موضوع سرقت اطلاعات مشترکان ایرانسل و انتشار آن در تلگرام هستیم.
اول اینکه در این خصوص مدیران ایرانسل باید پاسخگو باشند و من نمیتوانم به جای ایشان اظهار نظر کنم. تاآنجاکه مطلع هستم، دیتابیس برخی از مشترکان ایرانسل بهصورت آفلاین در شبکه مجازی منتشر شده و این به معنای نفوذ در شبکه اپراتوری نیست. احتمالا در این اتفاق، همانند نمونه مشابهی که چند سال پیش در شبکه بانکی کشور اتفاق افتاد، دسترسی به اطلاعات از داخل شرکت و از طریق پرسنل یا پیمانکاران صورت گرفته، نه به واسطه نفوذ در شبکه، بنابراین همان طور که عرض کردم، شبکه اپراتوری بسته است و امنیت در این شبکه بالاست. در موضوع USSD باید عرض کنم، اطلاعات تبادل شده بر این بستر در شبکه همراه اول ذخیره نمیشود که نگران نشر اطلاعات از این طریق باشیم.
به نظر میرسد مشکل پیچیدهای برای رفع دغدغه دو طرف وجود ندارد، چرا این اتفاق نمیافتد؟
نظر ما هم همین است که اگر این تعامل ارتقا یابد و فاصلهها کمتر شود میتوان راهکارهایی پیدا کرد که دغدغههای دو طرف رفع شود. اگر نیت ارائه سرویس راحت در جهت آسایش مردم باشد بالاخره راهکاری میتوان پیدا کرد. ممکن است بحث این باشد که USSD قدیمی است اما فعلا با شرایطی که کیفیت و ضریب نفوذ اینترنت اپراتورها دارند، بهترین روش برای خرید شارژ و پرداخت قبوض همین USSD است. در حال حاضر بحث تامین پول خرد در کشور ما به یک معضل تبدیل شده است درحالی که ما آمادگی لازم را در این زمینه داریم که مثلا تکنولوژی NFC را ارائه کنیم تا موبایل را تبدیل به کارت و کیف پول همراه کنیم و مشترکان میتوانند پرداختهای الکترونیک خود را با آن انجام دهند. ولی از آنجا که در کشور ما قوانین شفاف و با ثبات نیستند و هزینه سرمایهگذاری در این بخش قابل توجه است، فعلا دست نگه داشتهایم. قوانین در این زمینه در کشور ما همیشه عقبتر از تکنولوژی هستند.
آیا فکر میکنید این فشار از سوی بانکها اعمال میشود تا محدوده خدمات بانکی خود را برای مشتریانشان حفظ کنند؟
وقتی بحث «سپاس» (کیف الکترونیکی) مطرح شد و تستهای اولیه نیز انجام شد، قرار بود تا پایان سال ۹۳ طرح سپاس رونمایی شود اما بعد از آن چرخشی به وجود آمد که به بهانه ورود تکنولوژیهای جدید از آن جلوگیری شد، هرچند که به نظر من سپاس تکنولوژی نبود بلکه یک پلتفرم بود تا اکوسیستم ارائه خدمات کیف پول محور را فراهم کند اما پرونده سپاس به یکباره بسته شد. احساس میکنم دلیل این امر همزمانی با خبر فعال شدن MVNOها (اپراتور مجازی) بود. به محض اینکه امکان حضور شبکه بانکی در شبکه اپراتوری به وجود آمد، پروژه سپاس متوقف شد. یعنی یک خدمت را از مردم گرفتیم، به صرف اینکه خودمان میخواهیم این خدمت را ارائه کنیم. الان بسیاری از شرکتهای شبکه پرداخت و شرکتهای وابسته به بانک ها، خواهان تبدیل شدن به اپراتور مجازی هستند یعنی از یک طرف، سیاستگذار بانک مرکزی از فعالیت شبکههای پرداخت جدید بانکی ممانعت به عمل میآورد و از یک طرف سیاستگذار مخابراتی کاملا فضا را باز گذاشته و حق فعالیت در فضای اپراتوری را به شرکتهای بانکی میدهد.
این نشان میدهد که سیاستگذاران بانک مرکزی و مخابرات بر سر این موضوع با هم اختلاف دارند؟
بله کاملا دیدگاههای متفاوت و متضاد با یکدیگر دارند. از یک طرف، نگاه بسته رگولاتور بانکی است و از این سمت، نگاه باز رگولاتور مخابراتی است.
به هر حال در این وضعیت رگولاتور مخابراتی قصد دارد خدمتی که در محدوده فعالیت شما بود را به سیستم بانکداری هم تحویل بدهد این طور نیست؟
موضوع این است که در این شرایط آیا ماهم باید از ورود پی اس پیها به شبکه اپراتوری نگران و مضطرب باشیم. عملا شبکه بانکی و خصوصا پی اس پیها در طول مدتی که با اپراتورها سرویس مشترک ارائه میدادند اطلاعات محرمانه اپراتورها مانند شماره موبایل، رفتار مصرف و خیلی از اطلاعاتی که منجر به شناسایی مشتریان پر مصرف اپراتورها میشود را جمعآوری کردهاند. بنابراین با داشتن این اطلاعات و فعال شدن MVNOها، به نوعی میتوانند مشتریان پرمصرف اپراتورها را بگیرند؛ در حالی که جذب این مشترکان برای اپراتور هزینه بالایی داشته است. اما آیا رگولاتور مخابراتی باید همانند رگولاتور بانکی در این زمینه نگاه بستهای داشته باشد و از ورود شبکه بانکی به فضای اپراتور مجازی ممانعت کند؟ یا بهتر است که رگولاتور بانکی این رفتار را بیاموزد. از سویی دیگر برخی ادعا میکنند نحوه تقسیم درآمد بین پیاسپیها و اپراتورها عادلانه نیست در صورتی که خیلی از PSPها باید توجه داشته باشند که از طریق همین بستر توانستهاند چنین رشدی را تجربه کنند. شبکه پرداخت باید به این موضوع توجه داشته باشد که بدون نیاز به سرمایهگذاری برای خرید دستگاه پوز که در کشور ما تعدادشان هم کم نیست و بدون سرمایهگذاری روی نگهداری آنکه عملا هزینه آن بر عهده اپراتور و مشترک قرار گرفته است میتوانند در این فضا فعالیت کنند. بنابراین بدون نیاز به سرمایهگذاری انبوه به دلیل تبدیل شدن گوشیهای موبایل به دستگاه پوز، به نسبت سرمایهگذاری انجام شده توسط اپراتور و شرکتهای پرداخت الکترونیک، کفه ترازوی سهم درآمد به سمت شبکه پرداخت است. با این وجود اگر واقعا یک مدل کسب و کار مناسب و شفافی ارائه شود ما از آن استقبال میکنیم و آماده رایزنی هستیم.
در نهایت، تصمیم نهایی شما در قبال این دست از محدودیتها بر بستر USSD چیست، آیا ممکن است روشی را برای دور زدن این محدودیت به کار بگیرید؟
اگرچه که باز هم تاکید میکنم این محدودیت بهصورت رسمی به ما ابلاغ نشده است ولی باز هم پیشنهاد مذاکره برای رسیدن به راه حل نهایی را برای رفع دغدغهها داریم. ما معتقدیم محدود کردن، بدون ارائه راهکار جایگزین تصمیم خوبی نیست. حداقل باید به آن ۲۵ میلیون مشترکی که از سوی ما از این سرویس استفاده میکنند، احترام گذاشت. در غیر این صورت با شدیدترین تدابیر امنیتی بر این بستر یا هر بستر دیگری و با صرف بیشترین هزینهها هم اگر هدف، رسیدن به تعامل و خدمت مشترک نباشد، به نتیجه نخواهیم رسید.USSD بستری است که مشترک برای استفاده از آن نیازی به مراجعه حضوری ندارد، اگرچه این تکنولوژی قدیمی است اما قدیمی و ساده بودن به معنی ضعیف بودن و بد بودن یک سرویس نیست. جایگزین کردن آن در صورت داشتن اینترنت پرسرعت، ارزان و قابل اعتماد به وسیله اپلیکیشنهایی میسر است که میتوانند مبتنی بر دیتا فعالیت کنند. بنابراین در صورت توسعه اپلیکیشنها و ارائه اینترنت پرسرعت ارزان، کم کم USSD از چرخه ارائه خدمت، خارج میشود. در وضعیت فعلی، USSD بهترین بستر ممکن برای ارائه خدمات اپراتوری است. سرویس دیگر که مبتنی بر راه نزدیک است، NFC است که درحال بررسی آن هستیم. برای ورود به این فناوری نیاز به سرمایهگذاری قابل توجهی داریم، اما این سرویس جزو خدماتی است که اگر قوانین شفاف باشد و بعدا با موانعی مثل USSD مواجه نشود، قابل سرمایهگذاری است، با این سرویس امکان پرداخت آنلاین و آفلاین همراه، مبتنی بر سیم کارت که بالاترین امنیت را دارد، به وجود خواهد آمد.
نویسنده: لیدا ایاز
منبع: دنیای اقتصاد