بررسی کارنامه رمز دوم پویا به روایت آمار

پنج ماه پس از اجباری شدن رمز دوم پویا برای تمام تراکنش‌های کارتی اینترنتی، اکنون این سوال مهم مطرح است که اقدام بانک مرکزی چه تغییراتی در تراکنش‌ها به وجود آورده است؟ در این گزارش، بر مبنای داده‌های واقعی درگاه پرداخت اینترنتی شرکت «وندار» نزد کسب‌وکارهای گوناگون، کارنامه‌ی این تصمیم را در کاهش کلاهبرداری‌های تله‌گذاری (فیشینگ) و اثر آن را بر پیچیده‌تر شدن فرآیند خرید‌های اینترنتی بررسی کرده‌ایم.

دی و بهمن ۹۸، بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنش‌های کارتی اینترنتی (به استثنای ۱۰۰هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحث‌های بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکه‌ی پرداخت یا کاهش کلاهبرداری‌ و دزدی اطلاعات کارت‌ها منتشر شده است. شرکت وندار،‌ پرداخت‌یاری که اکنون بیشتر از ۱۰۰۰ پذیرنده دارد و راهکارهای مالی خود را در اختیار کسب‌وکارها قرار می‌دهد، داده‌هایی که از وضعیت ماه‌های اخیر تراکنش‌ها استخراج‌ کرده را در اختیار دیجیتال قرار داده است که مبنای گزارش پیش‌رو هستند.

سنجش معیار‌ها برای رسیدن به کارنامه‌ای دقیق

از متن بیانیه‌های مختلف بانک مرکزی مشخص می‌شود که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنش‌های بدون حضور کارت (CNP) تصویب و اجرا شد؛ مخاطراتی در تراکنش‌های اینترنتی که باعث رونق کلاهبرداری‌های تله‌گذاری (Phishing) برای دزدیدن رمز کارت‌ها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری‌‌ شده است؟

معیار مناسبی برای سنجش این مسئله تعداد تراکنش‌های مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاه‌های بانکی استعلام می‌کند. این استعلام بخشی از روند رسیدگی دادگاه‌ها به شکایت قربانیان کلاهبرداری تله‌گذاری است. اگرچه در بعضی تراکنش‌های مشکوکی که استعلام می‌شوند لزوما جرمی اتفاق رخ نداده، اما تعداد این تراکنش‌ها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه‌ی پرداخت.

از طرف دیگر مهم‌ترین استدلال مخالفان رمز دوم پویا، این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارت‌ها توضیح می‌داد، و این امکان را در اختیار آنها می‌گذاشت که بین انجام آسان‌تر تراکنش‌های اینترنتی با رمز ایستا و امنیت بالاتر رمز پویا، یکی را انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خرید‌های اینترنتی را پیچیده‌تر و در نتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسب‌وکارهای اینترنتی شده است.

برای سنجش سادگی استفاده از درگاه‌های پرداخت اینترنتی می‌توان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنش‌ها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیک نبوده‌اند و نشان‌دهنده‌ی خطای کاربر در استفاده از خدمات هستند.

نسبت خطاهای کاربری به کل تراکنش‌های درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹ و سهم خطاهای رمز در آن

برای دقیق‌تر شدن این مقایسه می‌توان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسه‌ی این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان می‌دهد که آذر ماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵درصد از کل تراکنش‌ها به دلیل اشتباه کاربران با خطا مواجه ‌شده‌اند و خطاهای مربوط به رمز، دلیل ناموفق بودن نزدیک به نیمی از این تراکنش‌ها بوده‌اند.

از دی ماه و با آغاز طرح رمز دوم پویا می‌توان دید که پیچیده‌تر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن ماه به اوج خود در حدود ۲۵درصد کل تراکنش‌ها می‌رساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارت‌ها با فرآیند جدید، از اسفند ماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنش‌ها آغاز می‌شود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵درصد سهم خطاهای کاربری و نزدیک ۱۰درصد خطاهای مربوط به رمز) تثبیت می‌شود.

سهم خطاهای رمز دوم از کل خطاهای کاربری از ۴۵درصد آذرماه ۹۸ به کمی بیش از ۵۰درصد در خرداد ماه ۹۹ تغییر کرده است.

بدیهی است که برای سنجش تاثیر موردی پیچیده‌تر شدن خرید اینترنتی روی دسترسی‌پذیری این خدمات برای گروه‌های سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گسترده‌تری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیه‌ی آن می‌توان نتیجه گرفت که بخش قابل توجهی از کاربران با فرآیند جدید آشنا شده‌اند و اضافه کردن این ابزار امنیتی هزینه‌ی بلندمدتی برای شبکه‌ی پرداخت نخواهد داشت.

آیا رمز دوم پویا شبکه‌ی پرداخت را امن‌تر کرد؟

از دی ماه ۹۸ و با شروع طرح رمز دوم پویا کارت‌هایی که پلیس فتا به دلیل تراکنش‌های مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده‌ است، کاهش قابل ملاحظه‌ای داشته‌اند. تا جایی که تعداد استعلام کارت‌های مشکوک به ازای هر ۱۰ هزار تراکنش در فروردین‌ ۹۹، به کمتر از نیم‌ کارت می‌رسد. اما آیا می‌توان این کارش را یکی از آثار جانبی کرونا به حساب آورد؟ پاسخ وندار به این سوال منفی است؛ چرا که با در نظر گرفتن شاخص تعداد کارت‌های مشکوک در هر ۱۰ هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنش‌های ماهیانه تاثیر چندانی بر آن ندارد.

استعلام پلیس فتا از  کارت‌های مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر ۹۸ تا خرداد ۹۹

بنابراین در یک بازه‌ی دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته. البته نکته‌ی نگران‌کننده اما اوج‌گیری دوباره‌ی استعلام کارت‌های مشکوک از خرداد ۹۹ است. افزایشی که ادامه‌دار بودن آن تا تیر ماه امسال می‌تواند نشانه‌ی ابتکارات تازه‌‌ای در اجرای کلاهبرداری تله‌گذاری باشد و در نتیجه می‌تواند در ماه‌های آینده هم ادامه‌ پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.

در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداری‌های اینترنتی فرآیندی زمان‌بر است و ممکن است چند ماه طول بکشد تا تمام تراکنش‌های مشکوک رخ‌داده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارت‌های مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد. از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی درباره‌ی تراکنش‌هایی با مبلغ کمتر از ۱۰۰هزار تومان صورت نگرفته است. اما تقریبا ۷درصد استعلام‌های خرداد ماه تراکنش‌هایی با مبلغ کمتر از ۱۰۰هزار تومان بوده‌اند.

اگر با افزایش احتمالی استعلام‌ها در ما‌ه‌های پیش‌رو این سهم ۷درصدی هم افزایش پیدا کند می‌توان باز هم رمز دوم پویا را در کاهش مبلغ تراکنش‌های مشکوک موفق دانست.

رمز دوم پویا، تصمیمی بود برای کاهش مخاطرات خرید‌های بدون حضور کارت و محافظت همزمان از دارایی‌های مردم و کسب‌وکارهای اینترنتی. می‌توان درباره‌ی چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. اگرچه لازم است اثر آن در کاهش دسترسی بعضی از گروه‌های سنتی یا اجتماعی به خدمات خرید اینترنتی مورد بررسی قرار گیرد. در هر صورت ولی به نظر می‌رسد که اثر بلندمدت چندانی در پیچیده‌تر شدن فرآیند خرید‌ نداشته باشد و نمی‌توان بر کارایی آن در کاهش کلاهبرداری‌های تله‌گذاری نیز چشم‌ پوشید. در صورتی که سایر شرکت‌های فعال در حوزه فین‌تک مانند وندار گزارش‌هایی اینچنینی منتشر کنند، مشخصا می‌توان درباره رمز دوم پویا و عملکردش، قضاوت دقیق‌تری داشت.