دی و بهمن ۹۸ بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنشهای کارتی اینترنتی (به استثنای ۱۰۰هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحثهای بسیاری بر سر کارایی یا درستی این تصمیم صورت گرفت اما تاکنون کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکهی پرداخت یا کاهش کلاهبرداری و دزدی اطلاعات کارتها منتشر شده است. در نوشتهی حاضر با بررسی دادههای درگاه پرداخت اینترنتی وندار نگاهی موردی به کارنامهی رمز دوم پویا و اجباری شدن آن خواهیم انداخت.
اما سنجش کدام معیارها کارنامهی دقیقتری در اختیار ما میگذارد؟
از متن بیانیههای بانک مرکزی آشکار است که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنشهای بدون حضور کارت (CNP) تصویب شد. مخاطراتی در تراکنشهای اینترنتی که باعث رونق کلاهبرداریهای تلهگذاری (Phishing) برای دزدیدن رمز کارتها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری شده است؟
معیار مناسبی برای سنجش این مسئله تعداد تراکنشهای مشکوکی است که پلیس فضای تولید و تبادل اطلاعات ایران (فتا) از درگاههای بانکی استعلام میکند. این استعلام بخشی از روند رسیدگیِ دادگاهها به شکایت قربانیان کلاهبرداری تلهگذاری است. اگرچه در بعضی تراکنشهای مشکوکی که استعلام میشوند لزوما جرمی اتفاق نیافته است اما تعداد این تراکنشها مسلما تخمین مناسبی است از سطح امنیت کلی شبکهی پرداخت.
از طرف دیگر مهمترین استدلال مخالفان این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مشکلات امنیتی رمزهای ایستا را برای مشترکین کارتها توضیح میداد، و این امکان را در اختیار آنها میگذاشت که بین انجام آسانتر تراکنشهای اینترنتی با رمز ایستا و امنیت بالاتر رمز پویا انتخاب کنند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خریدهای اینترنتی را پیچیدهتر و در نتیجه برای بسیاری از کاربران دشوارتر کرده و تبدیل به معضل جدیدی برای کسبوکارهای اینترنتی شده است.
برای سنجش سادگی استفاده از درگاههای پرداخت اینترنتی میتوان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنشها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلالی در عملکرد نظام پرداخت الکترونیک نبودهاند و نشاندهندهی خطای کاربر در استفاده از خدمات هستند.
برای دقیقتر شدن این مقایسه میتوان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسهی این معیارها در مورد درگاه پرداخت اینترنتی وندار نشان میدهد که آذر ماه ۹۸ و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از ۱۵درصد از کل تراکنشها به دلیل اشتباه کاربران با خطا مواجه میشدهاند و خطاهای مربوط به رمز دلیل ناموفق بودن نزدیک به نیمی از این تراکنشها بودهاند.
از دی ماه و با آغاز طرح رمز دوم پویا میتوان دید که پیچیدهتر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به ۲۰ و سپس در بهمن ماه به اوج خود در حدود ۲۵درصد کل تراکنشها میرساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارتها با فرآیند جدید، از اسفند ماه ۹۸ روند کاهش سهم خطاهای کاربری از کل تراکنشها آغاز میشود و تا خرداد ۹۹ روی عددی نزدیک به عدد آذرماه (کمی بیش از ۱۵درصد سهم خطاهای کاربری و نزدیک ۱۰درصد خطاهای مربوط به رمز) تثبیت میشود.
بدیهی است که برای سنجش تاثیر موردی پیچیدهتر شدن خرید اینترنتی روی دسترسیپذیری این خدمات برای گروههای سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گستردهتری انجام شود. اما از کاهش خطاهای کاربری پس از افزایش اولیهی آن میتوان نتیجه گرفت که بخش قابل توجهی از کاربران به خوبی با فرآیند جدید آشنا شدهاند و اضافه کردن این ابزار امنیتی هزینهی بلندمدتی برای شبکهی پرداخت نخواهد داشت.
اما آیا رمز دوم پویا شبکهی پرداخت را امنتر از پیش کرده است؟
از دی ماه ۹۸ و با شروع طرح رمز دوم پویا کارتهایی که پلیس فتا به دلیل تراکنشهای مشکوک از درگاه پرداخت اینترنتی وندار استعلام کرده است، کاهش قابل ملاحظهای داشتهاند. تا جایی که تعداد استعلام کارتهای مشکوک به ازای هر ده هزار تراکنش در فروردین ماه ۹۹ به کمتر از نیم کارت میرسد. این کاهش را نمیتوان یکی از آثار جانبی همهگیری ویروس کرونا دانست، چرا که با در نظر گرفتن شاخص تعداد کارتهای مشکوک در هر ده هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنشهای ماهیانه تاثیر چندانی بر آن ندارد.
بنابراین در یک بازهی دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته است. نکتهی نگرانکننده اما اوجگیری دوبارهی استعلام کارتهای مشکوک از خرداد ۹۹ است. افزایشی که ادامهدار بودن آن تا تیر ماه امسال میتواند نشانهی ابتکارات تازهای در اجرای کلاهبرداری تلهگذاری باشد و در نتیجه میتواند در ماههای آینده هم ادامه پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.
در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداریهای اینترنتی فرآیندی زمانبر است و ممکن است چند ماه طول بکشد تا تمام تراکنشهای مشکوک رخداده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارتهای مشکوک واقعی مربوط به اردیبهشت و خرداد ۹۹ از تعداد فعلی هم بالاتر باشد.
از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی دربارهی تراکنشهایی با مبلغ کمتر از ۱۰۰هزار تومان صورت نمیگرفته است. اما تقریبا ۷درصد استعلامهای خرداد ماه تراکنشهایی با مبلغ کمتر از ۱۰۰هزار تومان بودهاند.
اگر با افزایش احتمالی استعلامها در ماههای پیشرو این سهم ۷درصدی هم افزایش پیدا کند میتوان باز هم رمز دوم پویا را در کاهش مبلغ تراکنشهای مشکوک موفق دانست.
در نهایت رمز دوم پویا تصمیمی بود برای کاهش مخاطرات خریدهای بدون حضور کارت و محافظت همزمان از داراییهای مردم و کسبوکارهای اینترنتی. میتوان دربارهی چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. لازم است اثر آن در کاهش دسترسی بعضی از گروههای سنی یا اجتماعی به خدمات خرید اینترنتی مورد بررسی قرار گیرد. اما به نظر میرسد که اثر بلندمدت چندانی در پیچیدهتر شدن فرآیند خرید نداشته باشد و نمیتوان بر کارایی آن در کاهش کلاهبرداریهای تلهگذاری نیز چشم پوشید.
وندار به عنوان پرداختیاری پیشرو در اجرای شیوهنامههای امنیتی، بخش مهمی از توان پیگیری و پشتیبانیاش را صرف ایجاد ارتباط حرفهای و پاسخگویی سریع بین کسبوکارها و مراجع قضایی میکند تا هم از مسدود شدن حساب کسبوکارهای طرف قرارداد به دلیل مشکلات تراکنشهای مشکوک با حکم قضایی جلوگیری کند و هم پاسخگوی خواستهها و دستورالعملهای ساختار قضایی و پلیس فتا باشد. به همین دلیل خود را در دغدغهی بانک مرکزی برای کاهش کلاهبرداری تلهگذاری شریک میداند و باور دارد برای افزایش امنیت شبکهی پرداخت، اجرای طرحهایی مانند رمز دوم پویا به تنهایی کافی نیست، و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوههای تلهگذاری و سرقت اطلاعات کارتها و روشهای خلاقانهای مانند استفاده از درگاه پرداخت دومرحلهای در کسبوکارهای فروش رمزارز و کالاهای دیجیتال به کار برده شوند تا نتیجهی بهتری از آنها بدست آید.