در این طرح قرار بود سقف 500 هزار تومانی تراکنش برای ماندگاری رمزهای ایستا در نظر گرفته شود که مواردی مانند همین سقف تراکنش، همه گیر نبودن گوشیهای هوشمند و آماده نبودن زیرساختهای بانکی سبب شد با انتشار توییتهای معاون فناوری اطلاعات جدید بانک مرکزی، طرح تا دی ماه امسال به تعویق افتد. البته پیرو توییت و اطلاعیهها، الزام استفاده از رمزهای پویا از اول دی ماه ملغی و قرار شد طرح به صورت پایلوت در بانکها اجرایی شود. این در حالی است که با فعالسازی رمز دوم پویا توسط کاربران، رمز ایستای آنها غیرفعال شده و راهی برای انجام تراکنشها به جز دریافت رمز دوم پویا به شیوههای مختلف قابل ارائه آن وجود ندارد.
علل تعویق طرح
اما چرا طرح رمز دوم پویا به تعویق افتاد؟ اولین فرض شاید آماده نبودن زیرساختهای مرتبط با طرح در بانکها بود. زیرساخت پیامکی (هریم و سرشماره)، کدهای دستوری و اپهای رمزساز زیرساختهایی بودند که باید در کلیه بانکها پیادهسازی میشدند تا کاربران بسته به انتخاب خود از یکی از این روشها برای دریافت رمز استفاده کنند.
دغدغه همهگیر نبودن گوشیهای هوشمند از سمت بانک مرکزی از یک سو و انتشار محتوا در رسانهها مبنی بر ارائه رمز دوم توسط پیامک (هریم) از سوی دیگر، وجود زیرساخت سرویس پیامکی هریم در بانکها را ضروری کرد. اما هزینهبر بودن این سرویس برای بانکها سبب شد زیرساخت آن در کلیه بانکها پیادهسازی نشود. از سوی دیگر بستر کدهای دستوری، یکی دیگر از شیوههای دریافت رمز دوم پویا برای تمامی کاربران تلفن همراه نیز به علت درآمدزا نبودن برای اپراتورها و با احتمال کمتر ناامن بودن سرویس، با عدم همکاری اپراتورها به طور کامل و صحیح پیادهسازی نشد. ارسال چهار رقم شماره کارت به سرشماره، بستر دیگری بود که به نظر هم بانکها و هم اپراتورها در پیادهسازی آن به اتفاق نظر رسیده بودند اما کسر هزینه از کاربر توسط اپراتور در ارسال پیامک که ضلع مقابل اطلاعیههای عمومی بانک مرکزی مبنی بر دریافت رمز دوم پویا به صورت رایگان بود، نارضایتی کاربران را به دنبال داشت.! به نظر میرسد به توافق نرسیدن بازیگران طرح پیامکی تاکنون طرح را به تعویق انداخته و استارت تغییر در مدل را هم زده است.
بررسی تصمیمات جدید در مدل اجرایی
با الزام بانک مرکزی به ارائه رمز پیامکی هریم از سوی بانکها، نارضایتی بانکها بالا گرفت تا جایی که بر اساس شنیدهها، دو بانک دولتی بزرگ از اتصال به سامانه هریم امتناع کردند و سبب اتخاذ تصمیات جدیدی در مدل اجرای طرح در جلسه دوشنبه شب بانک مرکزی شدند.
شنیدهها حاکی از آن است که برای استفاده از رمز پویا مجدداً سقف تراکنشی تعیین داده شده است که از رقم تعیین شده سال گذشته یعنی 500 هزار تومان کمتر است. همچنین محدودیت تعداد تراکنش تا سقف مقرر نیز از سوی برخی بانکها برای کاربران اعمال خواهد شد. با این شیوه، هزینه پیامکی رمز دوم پویا برای تراکنشهای بالاتر از 500 هزار تومان از دوش بانکها برداشته خواهد شد. اما هزینه نگهداری رمز دوم پویا و ایستا به طور همزمان چه طور؟؟؟!!
در مدل جدید سقف 100 هزار تومانی برای فعال ماندن رمز ایستا به میان آمده اما چرا محدودیت سقف تراکنش از ابتدای اجرایی شدن طرح تدوین نشد؟!!
از آنجا که بر اساس گفتههای بانک مرکزی، رگولاتور بانکی به دنبال از بین بردن بحث فیشینگ بوده است، قرار دادن سقف تراکنشی این مهم را محقق نخواهد کرد؛ چرا که با تعیین سقف تنها هزینه فیشینگ کاهش میباید اما از بین نمیرود و در رقمهای تراکنشی پایینتر از 100 هزار تومان همچنان امکان فیشینگ وجود دارد. شاید حضور سامانههای تشخیص تقلب میتوانست یکی از توجیه کنندگان سقف تراکنش در استفاده از رمز پویا باشد و هزینه فیشینگ را یک لایه دیگر کاهش دهد. اما چندسالی است که با وجود صحبتها هنوز اثری از این سامانهها در صنعت دیده نمیشود.
علت دیگر لحاظ نشدن محدودیت رقم تراکنشی از ابتدای طرح، به نظر پیچیدگی زیرساختی و هزینه نگهداری رمز دوم پویا و ایستا به صورت همزمان از سوی بانکها بوده است که سبب شده بانک مرکزی سقف تراکنشی را ملغی و انجام کلیه تراکنشهای نیازمند رمز دوم را منوط به رمز دوم پویا بداند.
چه کسی پاسخگوی هدر رفت منابع خواهد بود؟
در اجرای طرح رمز دوم پویا در مدل پیشین اگرچه میزان اطلاعات جامعه عمومی نشان از ضعف اطلاعرسانی در شیوههای دریافت رمز دارد، اما هزینه تبلیغاتی هنگفتی از سوی بانک مرکزی و بانکها جهت گسترش طرح و فرهنگسازی عمومی صورت گرفت. در حال حاضر پیامک هریم برای بانکها و ارسال چهار رقم پایانی کارت به سرشماره برای کاربران هزینهبر است و خبری از ussd و اپهای رمزساز که بانکها تبلیغات وسیعی را روی آنها انجام دادند، در میان کاربران نیست. به نظر میرسد درباره مکانیسم دریافت رمز توسط هر یک از شیوهها باید اطلاعرسانی صحیحی به جامعه صورت گیرد تا کاربران با دانش کامل یکی از روشها را انتخاب کنند. از سوی دیگر باید مدل جدید برای کاربران به درستی تشریح شود و اینها همه به معنی صرف هزینههای جدید در حوزه اطلاعرسانی و تبلیغات در خصوص رمز دوم پویاست.
در همین حال، مقوله زیرساخت برای مدیریت همزمان رمز ایستا و پویا وجود دارد که در این خصوص چندین سؤال مطرح است. آیا اساساً این مدیریت قابل انجام است؟ اگر این امکان وجود دارد، هزینه آن به چه میزان است و چه تفاوتی با مدل پیشین و نبود سقف تراکنشی دارد؟ تکلیف زمان و بودجه اختصاص داده شده برای زیرساختهای فعلی رمز دوم پویا چه خواهد شد؟ هزینه تغییر زیرساخت احتمالی چه میزان خواهد بود؟
در حقیقت چه کسی پاسخگوی این سؤالات و هدررفت منابع در مدل جدید رمز دوم پویا خواهد بود.
نظر شما