دکتر اویس رضوانیان
عضو دیوان داوری اتاق بازرگانی ایران

در فضای تجارت بین‌الملل، نکات ساده، اما بسیار خطیری وجود دارد که بی‌توجهی به آنها ممکن است مشکلات بزرگی را به همراه بیاورد. برخی از این نکات را در هیچ کتاب و جزوه‌ای نمی‌توان یافت و تا صابون آن به تن خود آدم نخورد، حواسی را جمع نخواهد کرد. در این چند ماه اخیر، درگیر وکالت پرونده‌ای در مرکز داوری اتاق سوئیس هستم که در آن، یکی از همین اشتباه‌های ساده طرفین را دچار مشکلات جدی‌ای کرده است. به اشتراک گذاشتن این اشتباه و درس گرفتن از آن، به گمانم برای تمام کسانی که درگیر کسب و کار و تجارت در فضای بین‌المللی هستند، می‌تواند مفید باشد.

داستان به‌طور ساده از این قرار است که شرکت ایرانی (خریدار) و شرکت ایتالیایی (فروشنده) از دیرباز مراودات تجاری‌ای با یکدیگر داشتند و اعتماد نسبی‌ای میانشان حاکم بوده است. در یکی از همین خرید و فروش‌ها، بخشی از موضوع معامله با توافق طرفین منتفی می‌شود و شرکت ایرانی که تمام وجه کالا را پیش‌تر پرداخته بود، باید بخشی از مبلغ پرداختی را از شرکت ایتالیایی بازپس ‌گیرد. شرکت ایتالیایی برای بازپرداخت اعلام آمادگی می‌کند، اما شرکت ایرانی که درگیر مراودات تجاری بین‌المللی بود و هست، برای پرهیز از ورود مجدد به مشکلات انتقال وجه به خارج، از شرکت ایتالیایی درخواست می‌کند که مبلغ را به امانت نزد خود نگه داشته و به حسابی که متعاقبا اعلام می‌شود، منتقل کند. شرکت ایتالیایی نیز مشکلی با این موضوع نداشت و وجه به‌طور امانت نزد این شرکت باقی ماند. در تاریخ ۲۳ دسامبر 2015، شرکت ایرانی طی ایمیلی به شرکت ایتالیایی شماره حسابی را در بانکی در هنگ‌کنگ معرفی و درخواست کرد که وجه به این حساب منتقل شود. دقایقی بعد از ارسال این ایمیل، رخنه‌گر (هکر) اینترنتی‌ که احتمالا از مدت‌ها پیش در حال رصد مکاتبات ایمیلی این شرکت‌ها بود، ایمیلی به شرکت ایتالیایی ارسال می‌کند و ضمن پوزش، درخواست می‌کند شماره حساب اصلاح شده و پول به حساب دیگری -این بار در هند- منتقل شود. آدرس ایمیلی که از سوی رخنه‌گر ارسال شد، دقیقا همان آدرس ایمیل شرکت ایرانی بوده و جایی برای تردید شرکت ایتالیایی باقی نمی‌گذاشت. شرکت ایتالیایی وجه را به حساب جدید منتقل کرد و در پاسخی به شرکت ایرانی اعلام کرد که پرداخت به حساب هند انجام گرفته است. اما تنظیمات ایمیل جعلی به گونه‌ای بود که پاسخ شرکت ایتالیایی هرگز به طرف ایرانی واصل نشد. سه روز بعد، یعنی در تاریخ ۲۶ دسامبر، شرکت ایرانی که مطلع شد وجه هنوز به حساب هنگ‌کنگ منتقل نشده است، پیگیر موضوع از شرکت ایتالیایی شد. اما شرکت ایتالیایی به دلیل تعطیلات کریسمس تعطیل بود و هیچ یک از کارکنان آن در محل حضور نداشتند. ایمیل‌هایی هم که برای شرکت ارسال می‌شد، پاسخ خودکاری دریافت می‌کرد که شرکت تا تاریخ ۴ ژانویه در تعطیلات به سر می‌برد و پس از آن پاسخگو خواهد بود. روز ۴ ژانویه، شرکت ایتالیایی که از تعطیلات به محل کار بازگشت، با سیلی از ایمیل‌های شرکت ایرانی مواجه شد که پیگیر وضعیت پول بود. شرکت ایتالیایی بلافاصله موضوع را از بانک پیگیری کرد و تایید بانک را برای شرکت ایرانی ارسال کرد که حکایت از انتقال پول در همان تاریخ ۲۳ دسامبر به حسابی در هند می‌کرد. وقتی شرکت ایرانی صحت این حساب را انکار کرد، شرکت ایتالیایی تصویری از ایمیل شرکت ایرانی را فرستاد که در آن شرکت ایرانی، با پوزش، شماره حساب را اصلاح و به هند تغییر داده بود. آدرس ایمیل فرستنده و گیرنده، همگی درست بود. شرکت ایرانی اعلام کرد که هرگز چنین ایمیلی را ارسال نکرده است و اینکه این یک تقلب اینترنتی است و شرکت ایتالیایی باید وجه را به حساب اولیه منتقل می‌کرد. شرکت ایتالیایی نیز اعلام کرد که دقیقا برابر دستورالعمل شرکت ایرانی عمل کرده و هیچ مسوولیتی متوجه وی نیست و هیچ راهی هم وجود نداشت که متوجه شود ایمیل جعلی است. پیگیری‌های شرکت ایتالیایی از بانک نیز به نتیجه‌ای نرسید و بانک اعلام کرد که نهایتا تا روز بعد از دستور پرداخت امکان توقف عملیات را داشته و اکنون با گذشت دو هفته، چنین امکانی وجود ندارد. مذاکرات متعدد طرفین نیز برای حل مشکل به نتیجه‌ای نرسید و نهایتا به درخواست شرکت ایرانی، دعوایی در مرکز داوری اتاق سوئیس به جریان افتاد.از هر طرف که به این ماجرا بنگریم، می‌توانیم حق را به یکی از طرفین بدهیم. از یک سو شرکت ایرانی درست می‌گوید که هرگز چنین ایمیلی را ارسال نکرده است و از سوی دیگر، شرکت ایتالیایی حق می‌گوید که برابر ایمیل دریافتی عمل کرده است. قضاوت درخصوص این پرونده نیاز به بررسی‌های فنی و کارشناسی دارد تا مشخص شود قصور و ضعف امنیتی از سوی کدام یک از طرفین بوده و کدام‌یک باید مسوولیت این اشتباه را پذیرا شود. اما نگارنده شخصا، تا پیش از این پرونده، هرگز نمی‌دانست که برخی وبسایت‌های -عموما- غیر معتبر این امکان را برای کاربران خود فراهم می‌آورند تا ایمیلی را با شکل و شمایل جعلی و دقیقا با آدرس ایمیل مشابه اصلی ارسال کنند.

به این معنا که ممکن است هیچ چیزی در ظاهر ایمیل شک و شبهه‌ای را برنیانگیزد و همه چیز، حتی نشانی ایمیل دقیقا درست باشد، اما ایمیل از سوی یک رخنه‌گر یا هکر طراحی و ارسال شده باشد. در جریان همین پرونده متوجه شدم که راهکار فنی حل این مشکل، افزایش ایمنی ایمیل‌ها از طریق افزونه‌ای به نام SPF است که اجازه نمی‌دهد ایمیلی خارج از IP مجاز از پیش تعریف شده ارسال و دریافت شود. اما ابعاد فنی ماجرا موضوع این یادداشت نیست.

آنچه از منظر نگارنده می‌تواند در این پرونده درس‌آموز باشد و تمام کسانی هم که درگیر فضای تجاری بین‌المللی -و حتی داخلی- هستند باید بیاموزند، این است که در موضوعات مهم، نظیر انتقال وجه و اطلاعات راجع به حساب یا اتخاذ تصمیمات کلیدی، ایمیل را به تنهایی مبنای کار خود قرار ندهند، بلکه حتما صحت اطلاعات مبادله شده را از طرق دیگری نیز احراز کنند. این طرق دیگر می‌تواند تماس تلفنی یا تماس با هر ابزار دیگری مانند تلگرام باشد. مهم این است که اطلاعات در دو یا چند مسیر مختلف بازگو شده و همخوانی آن با یکدیگر بررسی شود. برای مثال، در همین پرونده، اگر قرار طرفین این می‌بود که پیش از هر انتقال وجهی، در یک تماس ساده تلفنی، جزئیات انتقال بررسی و تایید شود، امروز کار به جایی نمی‌کشید که هر دو طرف خود را در معرض آسیب جدی مالی بیابند و ناگزیر به صرف هزینه‌های قابل توجهی برای اثبات حق خود شوند.