بخشنامه استفاده ازOTP، دویست میلیارد برای بانک‌ها هزینه دارد

رامین جهان پیما –

رمز‌های پویا یا به عبارت دقیق‌تر رمز‌های یک‌بار مصرف (OTP[1]) گذرواژه‌هایی هستند که در هر بار اتصال کاربر برای انجام یک عملیات تراکنشی، مانند افتتاح حساب کاربری، تراکنش مالی و… تولید و به مدت معلومی دارای اعتبار هستند. رمز یک‌بار مصرف برای ایمن‌سازی دسترسی کاربران به سیستم‌های الکترونیکی ارایه‌شده که در آن از قابلیت‌های رمزنگاری برای تولید رمز تصادفی یک‌بار مصرف استفاده می‌شود. مهم‌ترین مزیت استفاده از  OTP‌یا رمز یک‌بار مصرف این است که سرقت اطلاعات با دانستن رمز عبور غیر‌ممکن می‌شود. آشنایی کاربران ایرانی با رمز‌های یک‌بار مصرف به‌صورت گسترده در نصب اپلیکیشن‌های پیام‌رسان صورت گرفت؛ وقتی که اپلیکیشن برای ورود کاربر از وی شماره تلفن یا آدرس ایمیل درخواست کرده و یک کد عبور چهار یا پنج رقمی برای کاربر ارسال می‌کند تا به این صورت احراز هویت تکمیل شود. یکی از کاربرد‌های مهم این تکنولوژی، ایمن‌سازی تراکنش‌های بانکی، به‌خصوص تراکنش‌های بستر اینترنت و درگاه‌های پرداخت است. آمار‌های منتشر‌شده، از حجم عظیم برداشت‌های غیر‌مجاز و مجرمانه از حساب کاربران شبکه بانکی حکایت دارد، به طوری که رییس پلیس فتا در سال ۹۵ اعلام کرد: بیش از ۳۴ درصد پرونده‌های متشکله از بدو تاسیس پلیس فتا تا‌کنون مربوط به برداشت‌های بانکی است که برخی از این پرونده‌ها تا ۲۵۰۰ نفرمالباخته (‌تنها در یک پرونده‌) داشته‌اند و این آمار بالای تشکیل پرونده، ضرورت حساس شدن بانک‌ها به افزایش سطح استاندارد‌های امنیتی و ارتقای سطح تعامل و همکاری با پلیس فتا را نشان می‌دهد که در این راستا همچنین افزایش ضریب دقت مردم در حفظ اطلاعات بانکی خود نیز مورد تاکید است.

در همین راستا و با توجه به وظایف بانک مرکزی بر تنظیم مقررات حوزه امنیت تراکنش‌های بانکی، این بانک بخشنامه «الزامات رمزهای پویا بر تراکنش‌های مبتنی بر کارت» را منتشر و به بانک‌ها و موسسات مالی کشور ابلاغ کرد. در این بخشنامه که به کمک شرکت کاشف تهیه شده، زمان‌بندی و مراحل مختلف اجرا به بانک‌ها تکلیف شده است. همچنین در پیوست این بخشنامه جزییات و الزامات فنی به بانک‌ها و صادرکنندگان کارت ابلاغ شده است. در این یادداشت زوایای مختلف این ابلاغیه مورد بررسی قرار گرفته است.

حجم و ابعاد تراکنش‌های OTP

ایران کشوری با ۸۵ میلیون جمعیت است که کمی بیش از ۳۰ درصد آن بین ۱۵ تا ۶۰ سال سن دارند. سرویس بانکداری و پرداخت الکترونیکی برای این جامعه به‌گونه‌ای گسترش یافته که شبکه ملی شتاب به یکی از بزرگ‌ترین شبکه‌های ملی بانکداری الکترونیکی در غرب آسیا و شمال آفریقا تبدیل شده است. این شبکه شامل ۳۴ سوییچ بانکی، ۵۰ هزار خودپرداز، بیش از ۵/۶ میلیون دستگاه کارت‌خوان بانکی است. بیش از ۳۵۰ میلیون کارت در کشور صادر شده است و آمار‌ها نشان‌دهنده فعال بودن ۹۰ میلیون کارت در ایران است. حجم تراکنش‌های الکترونیکی در شبکه شتاب بالغ بر ۳۰ میلیارد در سال است که حدود ۱۷ میلیارد تراکنش به پرداخت الکترونیکی اختصاص دارد؛ یعنی هر ایرانی بالغ به طور متوسط سالانه بیش از ۶۵۰ تراکنش پرداخت انجام می‌دهد. این آمار مربوط به سال ۹۵ است و تعداد تراکنش‌ها سالانه بین ۲۵ تا ۳۰ درصد رشد با خود به همراه دارد. حجم تراکنش‌های پرداخت الکترونیکی از لحاظ مبلغ نیز قابل توجه است و به ۱۶۰۰ هزار میلیارد تومان در سال می‌رسد که معادل با حجم نقدینگی کل کشور است. تراکنش‌هایی که بر بستر درگاه‌های امنی مانند کارت‌خوان و خودپرداز انجام می‌شوند دو‌ عاملی هستند، یعنی برای انجام تراکنش داشتن دو فاکتور شماره کارت و رمز اول کافی است. البته غیر از رمز اول، بقیه اطلاعات تراکنش، مانند نام و نام خانوادگی، شماره کارت، CVV2 در قسمت مگنت کارت‌ها ذخیره شده که دستگاه پذیرنده اطلاعات را از آن واکشی می‌کند. در تراکنش‌هایی که اصطلاحا CNP[2] نام دارند، چهار فاکتور برای انجام تراکنش لازم است که شامل شماره کارت، رمز دوم (۴ تا ۸ رقم)، CVV2 و تاریخ انقضای کارت است. از بین این چهار پارامتر، تنها پارامتری که روی کارت حک نشده و تنها در حافظه مشتری ذخیره شده، رمز دوم کارت است. منشا بسیاری از سرقت‌ها و سوءاستفاده‌ها، ناشی از لو رفتن رمز دوم کارت مشتریان است؛ بنابراین چنانچه در تراکنش‌های CNP بتوان رمز دوم را به‌صورت OTP تولید کرد، امنیت این نوع تراکنش‌ها تا حد قابل توجهی افزایش می‌یابد.

دو میلیارد پیامک برای استفاده از OTP

آمار‌های منتشر‌شده در گزارش اقتصادی شرکت شاپرک نشان می‌دهد که در سال ۹۶، حدود ۳ درصد از تراکنش‌ها بر بستر اینترنت و ۸ درصد بر بستر موبایل انجام شده است، بنابراین به صورت بالقوه ۱۱ درصد از تراکنش‌های شبکه پرداخت را که بدون حضور کارت و با چهار فاکتور انجام می‌شوند می‌توان با ابزار OTP ایمن کرد. رمز دوم پویا می‌تواند بر بستر کارت، پیامک، ایمیل یا دستگاه‌های چاپ رمز تولید شود. در این میان فراگیرترین روش استفاده از پیامک و همچنین نمایش رمز به‌صورت دیجیتال روی کارت است. با توجه به سهم ۱۱ درصدی تراکنش‌های CNP، حدود دو میلیارد تراکنش نیاز به ارسال پیامک خواهند داشت که با توجه به هزینه حداقل ۱۰ تومانی برای هر پیامک مبلغی نزدیک به ۲۰۰ میلیارد ریال به بانک‌ها برای اجرای این بخشنامه تحمیل خواهد شد. البته این تعداد پیامک در حال حاضر نیز بازار قابل اعتنایی برای اپراتورهای موبایل است. از طرف دیگر با توجه به جنجال‌های پیش آمده در سال‌های گذشته پیرامون هزینه ارسال پیامک‌ها، باید دید بانک‌ها به چه صورت می‌توانند این هزینه را از مشتری اخذ کنند. در هر صورت، روش ارسال OTP بر بستر پیامک ابعاد کسب‌وکاری مختلفی دارد که از نتایج این بخشنامه است. هرچند چنان‌که پیداست، استفاده از OTP و گره زدن بخشی از تراکنش‌های شبکه بانکی به زیرساخت‌های مخابراتی، زمینه‌ساز منازعات احتمالی میان این دو صنعت خواهد بود.

البته بانک ملی ایران با رونمایی از نرم‌افزار پیام‌رسان بله، سعی در جایگزین کردن پیامک با ارسال پیام در این شبکه اجتماعی دارد که به نظر می‌رسد تا حدود زیادی هم در این امر موفق بوده است. از همین رو چنانچه سایر بانک‌ها نیز بتوانند از بسترهای مشابهی استفاده کنند قطعا در کاهش هزینه پیامک‌های آنها بی‌تاثیر نخواهد بود.

زمان کوتاه تا جراحی بزرگ

در این بخشنامه زمان اجرای این طرح آذر‌ماه ۹۷ در نظر گرفته شده است. از آذر‌ماه به بعد استفاده از رمز ایستا و پویا توامان خواهد بود و تمامی خسارات ناشی از لو رفتن رمزهای دوم مشتریان بر عهده بانک‌ها گذاشته شده است. این زمان‌بندی به نظر بسیار فوری و غیرمنتظره می‌‌آید و شاید بهتر می‌بود بانک مرکزی زمان بیشتری را صرف فرهنگ‌سازی برای مردم از یک‌سو و همچنین آمادگی فنی و اجرایی بانک‌ها از سوی دیگر می‌کرد. به هر حال در خصوص استفاده از کارت‌های نسل جدید برای نمایش رمز پویا نیز باید دید تعویض کارت‌های قدیمی با کارت‌های جدید چه تحلیل هزینه-فایده و برآورد زمانی خواهد داشت. طبق زمان‌بندی ابلاغ‌شده، تا خرداد ۹۸ هیچ رمز دوم ایستایی در شبکه بانکی پذیرفته نیست. آخرین مهلت مهاجرت بانک‌ها به رمز دوم پویا، تنها ۹ ماه دیگر خواهد بود!