پیشبینی هجوم نرمافزارهای جدید به بازار پرداخت
گروه بانک وبیمه احسان شمشیری
ارائه خدمات بانکی از اول مهرماه بر بستر فعلی USSD متوقف میشود و شرکتهای خدمات پرداخت الکترونیکی و کاربران ناگزیر خواهند بود به وسیله توکن به این سرویس متصل شوند. گفته میشود که این برنامه، با اینترنت سرعت پایین نیز امکان دسترسی مشتریان را فراهم میکند و هر مشتری از طریق دستگاه رمزیاب بانکها و یکبار رمز میتواند تراکنش مورد نظر را انجام دهد.
به گزارش «تعادل» طبق بخشنامه بانک مرکزی که اوایل اردیبهشت ماه سال جاری توسط شاپرک به شرکتهای خدماتدهنده USSDها، PSP ابلاغ شده است، از تاریخ اول مهر ماه سال ۱۳۹۵ استفاده از بستر فعلی USSD برای انجام تراکنشهای بانکی ممنوع شده و شرکتهای ارائهدهنده خدمات پرداخت صرفا مجاز به پذیرش و پردازش تراکنشهای بانکی از روشهای جایگزین و ایمن خواهند بود.
به عقیده کارشناسان، برخی نگرانیهای امنیتی از وضعیت حساب و سوءاستفاده از تلفنهای همراه مشتریان، باعث شده که روش USSD به روشهای دیگر تغییر یابد و بانک مرکزی تاکید دارد که از روشهای امنتری مثل اینترنت و رمز دوم استفاده شود.
البته در ابلاغیه بانک مرکزی، توضیحی درباره روشهای جایگزین و ایمن داده نشده و صرفا به ذکر این نکته بسنده شده که متعاقبا روش مذکور پس از تایید بانک مرکزی به شرکتها ابلاغ خواهد شد.
DSSU یک امکان داخل سازمانی است
برخی کارشناسان با اشاره به این نکته که در پروتکلهای جهانی، امکان USSD برای مکاتبات و کامنت و ارتباطها و دریافت و پرداختهای درون یک سازمان پیشبینی شده و نباید چنین امکانی برای سطح کشوری و بازار بزرگ مثل بازار ایران مطرح شود، معتقدند: اگرچه 99 درصد تراکنشهای USSDها در ایران مربوط به خرید شارژ است و متوسط رقم آن 2900 تومان است، با این حال به خاطر سادگی این امکان در شبکه تلفنهای همراه، حفره امنیتی و نگرانی بابت سوءاستفاده از اطلاعات کاربران وجود دارد.
براین اساس، کارشناسان میگویند که به جای دریافت کارمزد توسط شرکتهای psp و خدماتدهنده USSDها، بهتر است که بانکها با امنیت بالاتر جایگزین آنها شوند یا نرمافزارهای ایمن مربوط به تلفنهای همراه با حمایت شاپرک و بانک مرکزی و بانکها جایگزین شوند. زیرا هر چند که بانکها کارمزد 500 تا 900 تومانی بابت انتقال وجه دریافت میکنند و ممکن است بابت خرید شارژ نیز مبلغ اندکی دریافت کنند، اما حداقل این درآمد خرج توسعه بانکداری الکترونیک و خدمات امن و ایمن برای مردم میشود. اما درآمد USSDها، لزوما برای بهبود امنیت کاربران و حسابها هزینه نمیشود.
از این رو، بسیاری از کارشناسان از حذف USSDها و جایگزین آنها استقبال کردهاند.
اما از سوی دیگر، برخی فعالان بازار میگویند که بانکها چگونه میتوانند طرحی برای جایگزین شدن 4 میلیون تراکنش USSD در روز ارائه دهند که مردم به سادگی بتوانند، شارژ خریداری کنند؟ لذا باید طرحی ارائه شود که متناسب با سرعت اندک اینترنت در ایران باشد و کم هزینه و ساده و در دسترس همه مردم باشد و با هر نوع گوشی که به اینترنت وصل میشود، امکانپذیر باشد.
دستگاه رمزیاب از اول مهر
پیشبینی میشود از اول مهرماه به بعد کاربران در صورت تمایل به استفاده از کانال USSD باید برای هر حساب خود به بانک مراجعه کرده و پس از اتصال شماره تلفن همراه به حساب و دریافت رمزیاب و دستگاه توکن، رمز دریافتی را به شرکت پی اس پی اعلام کنند. شرکت پی اس پی هم برای انجام هر تراکنش رمزی را با پیامک برای کاربر ارسال میکند و کاربر تنها با استفاده از همان رمز میتواند برای یک کارت بانکی و با یک شماره تلفن همراه از خدمات USSD استفاده کند. به این ترتیب کاربران برای هر یک از کارتهای بانکی خود و هر یک از شمارههای تلفن همراه باید تمام این مراحل را به صورت مجزا انجام دهند تا کاملا مشخص شود که از چه شمارهیی، با چه خدماتی و با کدام رمز در حال ارتباط هستند تا از این طریق از سوءاستفادههای احتمالی از حساب مشتریان جلوگیری شود. اگر این روش همان شیوهیی باشد که در ابلاغیه بانک، شاپرک از آن به عنوان روشهای جایگزین و ایمن یاد شده، در واقع باید اول مهر ماه را عملا پایان تاریخ مصرف بستر USSD برای تراکنشهای بانکی به روش کنونی دانست چرا که پیچیدگی و زمانبر بودن شیوه جدید آنقدر زیاد است که هر کاربری را از انجام تراکنش بانکی با
این شیوه منصرف میکند و شرکتها و USSDها و خدماتدهندگان و کاربران قطعا باید دنبال روشهای جایگزین و امن باشند.
امنیت مساله اصلی است
فرهنگ فروزان کارشناس ارشد صنعت پرداخت و از پیشکسوتان سیستم بانکی، در این زمینه به «تعادل» گفت: از 3سال پیش که بازار USSDها در ایران داغ شد، پیشبینیها و برنامهریزیها بر این پایه بود که USSD دیر یا زود از دور خارج میشود و باید بهدنبال برنامهها و نرمافزارهای جدید بانکی باشند.
وی افزود: مساله امنیت پرداخت موضوعی است که در پرداختهای موبایلی وجود دارد. اما باتوجه به شرایط کشور ما، خود شاپرک هم خیلی تمایلی به تعطیل کردن این بستر ندارد و به اذعان کارشناسان و دستاندرکاران شاپرک این الزام ازسوی بانک مرکزی صورت گرفته است. وی ادامه داد: مساله اصلی بحث امنیت است و چون پن و پین کار از سوی یک نفر ارسال میشود، لذا ممکن است مشکل ایجاد کند و خود اپراتور تلفن همراه نیز به اطلاعات بانکی دسترسی پیدا میکند.
وی گفت: بارها این موضوع به چالش کشیده شده و پیشنهاد شده که از otp - pin استفاده شود که با استقبال شرکتهای خدماتدهنده مواجه نشد، زیرا کار را سختتر میکند. وی تصریح کرد: بیشترین استفادهیی که از USSDها، در کشور ما میشود خرید شارژ تلفن همراه است و این خرید را میتوان بدون نیاز به پلتفرم پیشرفته و با یک گوشی تلفن همراه ساده و ابتدایی انجام داد. اما چون اطلاع بانکی مانند شماره حساب، شماره کارت، رمز دوم و سیویوی2، روی گوشی ذخیره میشود و قابل دسترسی است لذا خطرساز خواهد بود و همین مشکل است که باعث شده دغدغه مسائل امنیتی این روش مطرح شود.
4 میلیون تراکنش روزانه
وی تاکید کرد: ما روزانه شاهد 4میلیون تراکنش در بستر USSD برای خرید شارژ هستیم که به سادگی نمیتوان از آن گذشت و تعطیلش کرد. برای شاپرک هم درآمد قابلتوجهی دارد لذا 70درصد درآمد شاپرک از حوزه تراکنشهای USSD است که در مقایسه با درآمد پوز و کارتخوانها بیشتر است.
وی افزود: هماکنون در این زمینه جلسات متعددی در حال برگزاری است تا پیشنهادهای جایگزین بررسی و نهایی شود. فرهنگ فروزان گفت: مطمئنا در آینده تراکنش بر بستر USSD پایان خواهد یافت و بهترین روش جایگزین هم استفاده از نرمافزارهای موبایل است که امکان امن کردن و عدم دسترسی به رمز دوم، سیویوی2 و شماره حساب و... را فراهم خواهد کرد و کاربران و بانکها و بانک مرکزی با دغدغه کمتری کار خواهند کرد. وی افزود: در صنعت پرداخت، با ظهور رقبای جدید و جوان، قدیمیهای پرتراکنش احساس خطر میکنند و میگویند که USSDها بسته شود، چون سهم آنها را از بازار تراکنش کاهش داده است.
وی افزود: در آخرین جلسه شاپرک، تاکید شد که فضای صنعت پرداخت به سمتی میرود که علاقه به USSD رو به افزایش است.
وی افزود: 99درصد از تعداد تراکنشهای USSD خرید شارژ است و خریدها و پرداختها بسیار اندک است، زیرا شاپرک ماندهگیری و خریدها را بسته و اگر خریدی در این بستر صورت بگیرد غیرقانونی است.
فروزان ادامه داد: پیشبینی میشود نرمافزارهای تلفن همراه جایگزین USSDها شوند زیرا نیازی به سرعت بالای اینترنت ندارند و میتواند بستر امنی برای تراکنشهای بانکی ایجاد کند.
کیف پول الکترونیکی
وی افزود: البته گزینه کیف پول الکترونیکی هم میتواند انتخاب بسیار مناسبی باشد و کاربران میتوانند با واریز مبلغ معینی نزد حساب خود در شرکتهای خدماتدهنده، در زمانهای مختلف برای خرید و شارژ استفاده کنند.
وی ادامه داد: روشهای مناسب بسیاری برای جایگزین کردن به جای USSDها وجود دارد اما به سادگی روش USSDها نیستند. مثلا اسمارت فونها در کشور به بالای 50درصد افزایش یافته و چون تعداد بیشتری از مردم به این نوع گوشی تلفن همراه دسترسی دارند لذا باید از نرمافزارهای ایمن و کارآمد در این نوع گوشیها استفاده کرد.
این کارشناس ارشد صنعت پرداخت تاکید کرد: یکی از دغدغههای بانک مرکزی، نارضایتی شدید بانکها از تعامل با بازار پرداخت است زیرا بانکها برای عملیات واریز وجه، مبلغی بهعنوان کارمزد از 500 تا 900تومان را دریافت میکنند اما USSDها بابت خرید شارژ، رقم کارمزد برای کاربران محاسبه نمیکنند و مشتری اینگونه متوجه میشود که تنها مبلغی بهعنوان مالیات بر ارزش افزوده محاسبه میشود. این موضوع باعث شده که بین خدمات USSDها با خدمات بانکی از نظر مبلغ کارمزد تفاوت ایجاد شود.
هماکنون شرکتهای خدماتدهنده psp و بانکها هزینههای بالایی پرداخت میکنند بابت اجاره و اجازه خدمات یا لیسانس، سرشمارههای USSD که اپراتورها میگیرند و...
این رقمها بسیار بالاست و مثلا جیرینگ 70درصد کارمزد شاپرک را هم میگیرد، بنابراین باتوجه به وضعیت درآمدی بانکداری الکترونیک وضعیت پرداخت که از درآمد و کارمزد مناسبی برخوردار نیست، مشکلساز است. این درحالی است که بانکها و pspها خدمات USSD را بیشتر برای خرید شارژ، همین اپراتورها ارائه میدهند و بهدلیل نبود هماهنگی بانکها این مساله اتفاق افتاده است.
در سال اول راهاندازی USSDها اپراتورها پولی نمیگرفتند اما از سال دوم اقدام به دریافت هزینه کردند. وی افزود: در ابتدا برخی شرکتها مقاومت کردند اما عدهیی از pspها رفتند و قرارداد بستند و شرایط را بههم زدند. این مساله امنیتی در USSD وجود دارد و البته میانگین رقم تراکنش شارژ از طریق یواساسدی نیز در کشور 2900تومان است و درنهایت میتواند شارژ 20هزار تومانی خرید. اما به هر حال مساله امنیتی وجود دارد و هنوز شاپرک راهحل جایگزین را پیدا نکرده که موردتایید همه و pspها باشد و تمرکز یواساسدیها روی خرید شارژ است.