انتقال کارت به کارت در گرو احراز هویت اینترنتی

م.ر. بهنام رئوف

انتشار یک بخشنامه در بخش مسائل بانکداری الکترونیکی در چند روز گذشته واکنش‌های بسیاری را در محافل بانکی رقم زده است. هر چند که اصل بخشنامه کاملا درست بوده است، اما تحلیلی که نگارنده خبر در ابتدای آن آورده بود مبنی بر ممنوعیت انتقال وجه از طریق کارت به کارت و از طریق شبکه اینترنت باعث به وجود آمدن سوء تفاهم‌های بسیاری در این بخش شده بود.

بخشنامه چه بود؟

اداره نظام‌های پرداخت بانک مرکزی با صدور نامه‌ای با شماره ۱۶۲۹۷۳/۹۰ طی تاریخ ۱۴/۰۷/۱۳۹۰ خطاب به بانک‌های دولتی و خصوصی اعلام کرد: پیرو بخشنامه شماره ن پ/م/۱۹۵۸ مورخ ۲۱/۱۰/۱۳۸۷ در خصوص تراکنش‌های مجاز کارتی ضمن اصلاح مفاد بخشنامه مزبور به استحضار می‌رساند با عنایت به ریسک عملیاتی قابل توجه مشاهده شده در ارائه خدمات انتقال وجه از طریق اینترنت با توجه به فضای کمتر کنترل شده دسترسی و لزوم حفظ منافع سپرده‌گذاران مقابل دسترسی‌های غیرمجاز:

۱. از تاریخ ۱/۸/۱۳۹۰ ارائه خدمات انتقال وجه اینترنتی کارت به کارت «سحاب» از طریق درگاه‌های پرداخت اینترنتی ممنوع بوده و این خدمات صرفا به عنوان بخشی از خدمات اینترنت بانک و پس از احراز هویت مناسب مشتری در تارنمای ورودی خدمات اینترنت بانک قابل ارائه است.

۲. ارائه خدمات مانده‌گیری اینترنتی در مرکز «شتاب» مسدود می‌شود.

خبرگزاری فارس با انتشار این بخشنامه گزارش داده بود در این بخشنامه که به امضای ناصر حکیمی و فرشید مسجدی رسیده قید شده است که ضمنا این بانک بر انجام مفاد این بخشنامه نظارت دقیقی به عمل آورده و از ارائه خدمات توسط بانک‌هایی که ضوابط فوق را رعایت ننمایند، اکیدا ممانعت به عمل خواهد آورد. بدیهی است از تاریخ اجرای این بخشنامه مسوولیت تمامی مخاطراتی که از ناحیه عدم رعایت مفاد آن متوجه مشتریان آن بانک گردد، به‌عهده آن بانک خواهد بود.

بعد از انتشار این بخشنامه این ذهنیت به وجود آمد که دیگر نقل و انتقال وجوه بین کارت‌های بانکی از طریق اینترنت به شکل کلی ممنوع شده است و در حقیقت از این پس افرادی که از این خدمت بانکداری الکترونیکی استفاده می‌کردند، مجبور هستند برای انجام چنین خدماتی مجددا به حالت فیزیکی و با مراجعه به بانک‌های خود این خدمات را انجام دهند.

به فاصله یک روز بعد از انتشار این خبر برخی از خبرگزاری‌ها این بخشنامه را تکذیب کردند، حال آنکه مدیر اداره نظام‌های پرداخت بانک مرکزی باز هم در گفت‌وگویی این خبر را تایید کرد، اما این بار عنوان داشت که منظور بخشنامه را رسانه‌ها اشتباه برداشت کرده‌اند.

بخشنامه‌ای برای امنیت بیشتر

مدیر اداره نظام‌های پرداخت بانک مرکزی با تاکید بر اینکه از ابتدای آبان کارت به کارت اینترنتی فقط باید از طریق درگاه «اینترنت‌بانک» هر بانک انجام شود، گفت: هدف بانک مرکزی از ابلاغ این بخشنامه افزایش ضریب امنیت انتقال وجوه است.

ناصر حکیمی این بار در گفت‌وگو با توانا و در واکنش به انتشار برخی اخبار در محافل خبری مبنی بر تکذیب بخشنامه کارت به کارت اینترنتی پول (سحاب) به نقل از وی، اظهار داشت: بنده بخشنامه مربوطه را تکذیب نکردم، بلکه تاکید کردم انتقال اینترنتی کارت به کارت از ابتدای آبان‌ماه شرایط خاصی را خواهد داشت.

وی با بیان اینکه کارت به کارت اینترنتی ممنوع نشده، از برنامه‌های بانک مرکزی برای گسترش این خدمات خبر داد و افزود: بانک مرکزی به بانک‌ها تاکید کرده که این خدمت را از صفحات پراکنده به صفحات بانکداری اینترنتی خود منتقل دهند.

مدیر اداره نظام‌های پرداخت بانک مرکزی ضمن تاکید بر اینکه ارائه کارت به کارت از طریق اینترنت ‌بانک جزو خدمات اجباری بانک‌ها شده تصریح کرد: هیچ بانکی نباید بدون این خدمت باشد؛ همانطور که در دستگاه‌های خودپرداز این خدمت وجود دارد باید در اینترنت بانک هم باشد.

حکیمی با بیان اینکه متن بخشنامه‌ای که منتشر شد متن تکنیکی است، گفت: برخی از بانک‌ها با راه‌اندازی صفحات مخصوص اینترنت (web page) انتقال کارت به کارت را انجام می‌دادند در حالی که این (web page) در قسمت بانکداری اینترنتی این بانک‌ها وجود نداشت.

به گفته مدیر اداره نظام‌های پرداخت بانک مرکزی، موضوع بخشنامه مذکور این است که مردم برای دریافت خدمات در فضای اینترنتی باید آدرس‌های متعددی را بلد باشند و عده‌ای سودجو نیز از این موقعیت سوءاستفاده کرده و صفحات تقلبی درست می‌کنند.وی ضمن اشاره به اینکه بخشنامه تاکید دارد که بانک‌ها این صفحات اینترنتی را از حالت اینترنتی به داخل اینترنت بانک خود ببرند، افزود: این بخشنامه به منظور افزایش امنیت فضای ارائه خدمات اینترنتی بانک‌ها ابلاغ شده است؛ به همین دلیل تمام بانک‌ها باید خدمات اینترنت بانک را در صفحات خود داشته باشند.

حکیمی بخشنامه مذکور را به معنای افزایش ضریب امنیتی خدمات بانکی اینترنتی مردم دانست و گفت:‌ زمانی که بانک‌ها اینترنت بانک دارند هیچ دلیلی ندارد که از صفحات جداگانه‌ای برای این خدمات استفاده کنند.

مدیر اداره نظام‌های پرداخت بانک مرکزی در ادامه ضمن ارائه توضیحی در خصوص بند دیگر این بخشنامه با عنوان ممنوعیت مانده‌گیری اینترنتی در مرکز شتاب، تصریح کرد: مانده‌گیری اینترنتی در بانک‌های دیگر بی‌معنی است؛ الان تمام بانک‌ها اینترنت بانک دارند از همین رو دلیلی ندارد مردم با مراجعه به بانک «ب» مانده بانک «الف» را بگیرند.

فقط برای کاربران

حامد قنادپور، کارشناس مسائل امنیتی بانکداری الکترونیکی در گفت‌وگو با بازار دیجیتال این بخشنامه را یک گام به تقویت امنیت بانکداری اینترنتی عنوان کرد. این کارشناس مسائل امنیتی شبکه می‌گوید: تا پیش از این کاربران با مراجعه به صفحه اول بانک و تنها با داشتن رمز دوم به راحتی می‌توانستند به انتقال وجه بین کارت‌های شتاب بپردازند همین امر باعث شده بود تا برخی از کاربران قربانی حملات فیشینگ هکرها شوند.

وی ادامه داد: هکرها با طراحی صفحاتی مشابه با صفحات اینترنتی بانک‌ها قربانی‌های خود را به دام می‌انداختند و کاربران از همه‌جا بی‌خبر نیز به آسانی تمام اطلاعات حساس خود اعم از رمز دوم، کد سی سی وی ۲ خود را به همراه شماره کارت و پست الکترونیک در این صفحات وارد می‌کردند و در نهایت نیز فکر می‌کردند که تراکنش آن‌ها با موفقیت انجام شده است، در حالی که تمام اطلاعات آن‌ها در اختیار هکرها قرار می‌گرفت.

قنادپور تاکید کرد: از آنجایی که در اینترنت به جز در اختیار داشتن چند روش خاص مانند رمز‌های یک بار مصرف یا امضای الکترونیکی راه‌های دیگری برای احراز هویت کاربران وجود ندارد در حقیقت این بخشنامه به نوعی می‌خواهد هویت کاربران احراز شود. بدان معنی که از این پس کاربرانی که می‌خواهند وجه بین کارتی انتقال دهند ابتدا باید وارد اینترنت بانک خود شوند و پس از آنکه اطلاعات آنها از طریق دیتاهای موجود مورد تایید قرار گرفت به انجام کارهای بانکی خود بپردازند.

یک کارشناس مسائل امنیتی دیگر نیز که نخواست نامش فاش شود در این باره گفت: متاسفانه در چند مدت اخیر مسائل جعلی و پولشویی بسیاری اتفاق افتاده است که این امر باعث ضرر و زیان‌های بسیاری برای کاربران بانکداری الکترونیکی شده است. این کارشناس ادامه داد از آنجایی که در اینترنت به خصوص زمانی که از صفحه اول بانک انتقال انجام می‌شد، هویت افراد مشخص نبود، این اقدام بانک مرکزی برای ایجاد امنیت بیشتر برای خود کاربران است.