پنج ماه پس از اجباری شدن رمز دوم پویا برای تمام تراکنشهای کارتی اینترنتی، اکنون این سوال مهم مطرح است که اقدام بانک مرکزی چه تغییراتی در تراکنشها به وجود آورده است؟ در این گزارش، بر مبنای دادههای واقعی درگاه پرداخت اینترنتی شرکت «وندار» نزد کسبوکارهای گوناگون، کارنامهی این تصمیم را در کاهش کلاهبرداریهای تلهگذاری (فیشینگ) و اثر آن را بر پیچیدهتر شدن فرآیند خریدهای اینترنتی بررسی کردهایم.
دی و بهمن ۹۸، بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنشهای کارتی اینترنتی (به استثنای ۱۰۰هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحثهای بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکهی پرداخت یا کاهش کلاهبرداری و دزدی اطلاعات کارتها منتشر شده است. شرکت وندار، پرداختیاری که اکنون بیشتر از ۱۰۰۰ پذیرنده دارد و راهکارهای مالی خود را در اختیار کسبوکارها قرار میدهد، دادههایی که از وضعیت ماههای اخیر تراکنشها استخراج کرده را در اختیار دیجیتال قرار داده است که مبنای گزارش پیشرو هستند.
از متن بیانیههای مختلف بانک مرکزی مشخص میشود که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنشهای بدون حضور کارت (CNP) تصویب و اجرا شد؛ مخاطراتی در تراکنشهای اینترنتی که باعث رونق کلاهبرداریهای تلهگذاری (Phishing) برای دزدیدن رمز کارتها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری شده است؟
معیار مناسبی برای سنجش این مسئله تعداد تراکنشهای مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاههای بانکی استعلام میکند. این استعلام بخشی از روند رسیدگی دادگاهها به شکایت قربانیان کلاهبرداری تلهگذاری است. اگرچه در بعضی تراکنشهای مشکوکی که استعلام میشوند لزوما جرمی اتفاق رخ نداده، اما تعداد این تراکنشها مسلما تخمین مناسبی است از سطح امنیت کلی شبکهی پرداخت.
از طرف دیگر مهمترین استدلال مخالفان رمز دوم پویا، این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارتها توضیح میداد، و این امکان را در اختیار آنها میگذاشت که بین انجام آسانتر تراکنشهای اینترنتی با رمز ایستا و امنیت بالاتر رمز پویا، یکی را انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خریدهای اینترنتی را پیچیدهتر و در نتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسبوکارهای اینترنتی شده است.
برای سنجش سادگی استفاده از درگاههای پرداخت اینترنتی میتوان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنشها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیک نبودهاند و نشاندهندهی خطای کاربر در استفاده از خدمات هستند.
نسبت خطاهای کاربری به کل تراکنشهای درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن
برای دقیقتر شدن این مقایسه میتوان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسهی این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان میدهد که آذر ماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵درصد از کل تراکنشها به دلیل اشتباه کاربران با خطا مواجه شدهاند و خطاهای مربوط به رمز، دلیل ناموفق بودن نزدیک به نیمی از این تراکنشها بودهاند.
از دی ماه و با آغاز طرح رمز دوم پویا میتوان دید که پیچیدهتر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن ماه به اوج خود در حدود ۲۵درصد کل تراکنشها میرساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارتها با فرآیند جدید، از اسفند ماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنشها آغاز میشود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵درصد سهم خطاهای کاربری و نزدیک ۱۰درصد خطاهای مربوط به رمز) تثبیت میشود.
سهم خطاهای رمز دوم از کل خطاهای کاربری از ۴۵درصد آذرماه ۹۸ به کمی بیش از ۵۰درصد در خرداد ماه ۹۹ تغییر کرده است.
بدیهی است که برای سنجش تاثیر موردی پیچیدهتر شدن خرید اینترنتی روی دسترسیپذیری این خدمات برای گروههای سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گستردهتری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیهی آن میتوان نتیجه گرفت که بخش قابل توجهی از کاربران با فرآیند جدید آشنا شدهاند و اضافه کردن این ابزار امنیتی هزینهی بلندمدتی برای شبکهی پرداخت نخواهد داشت.
از دی ماه ۹۸ و با شروع طرح رمز دوم پویا کارتهایی که پلیس فتا به دلیل تراکنشهای مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده است، کاهش قابل ملاحظهای داشتهاند. تا جایی که تعداد استعلام کارتهای مشکوک به ازای هر ۱۰ هزار تراکنش در فروردین ۹۹، به کمتر از نیم کارت میرسد. اما آیا میتوان این کارش را یکی از آثار جانبی کرونا به حساب آورد؟ پاسخ وندار به این سوال منفی است؛ چرا که با در نظر گرفتن شاخص تعداد کارتهای مشکوک در هر ۱۰ هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنشهای ماهیانه تاثیر چندانی بر آن ندارد.
استعلام پلیس فتا از کارتهای مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹
بنابراین در یک بازهی دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته. البته نکتهی نگرانکننده اما اوجگیری دوبارهی استعلام کارتهای مشکوک از خرداد ۹۹ است. افزایشی که ادامهدار بودن آن تا تیر ماه امسال میتواند نشانهی ابتکارات تازهای در اجرای کلاهبرداری تلهگذاری باشد و در نتیجه میتواند در ماههای آینده هم ادامه پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.
در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداریهای اینترنتی فرآیندی زمانبر است و ممکن است چند ماه طول بکشد تا تمام تراکنشهای مشکوک رخداده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارتهای مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد. از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی دربارهی تراکنشهایی با مبلغ کمتر از ۱۰۰هزار تومان صورت نگرفته است. اما تقریبا ۷درصد استعلامهای خرداد ماه تراکنشهایی با مبلغ کمتر از ۱۰۰هزار تومان بودهاند.
اگر با افزایش احتمالی استعلامها در ماههای پیشرو این سهم ۷درصدی هم افزایش پیدا کند میتوان باز هم رمز دوم پویا را در کاهش مبلغ تراکنشهای مشکوک موفق دانست.
رمز دوم پویا، تصمیمی بود برای کاهش مخاطرات خریدهای بدون حضور کارت و محافظت همزمان از داراییهای مردم و کسبوکارهای اینترنتی. میتوان دربارهی چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. اگرچه لازم است اثر آن در کاهش دسترسی بعضی از گروههای سنتی یا اجتماعی به خدمات خرید اینترنتی مورد بررسی قرار گیرد. در هر صورت ولی به نظر میرسد که اثر بلندمدت چندانی در پیچیدهتر شدن فرآیند خرید نداشته باشد و نمیتوان بر کارایی آن در کاهش کلاهبرداریهای تلهگذاری نیز چشم پوشید. در صورتی که سایر شرکتهای فعال در حوزه فینتک مانند وندار گزارشهایی اینچنینی منتشر کنند، مشخصا میتوان درباره رمز دوم پویا و عملکردش، قضاوت دقیقتری داشت.
پاسخ ها