کارنامه رمز دوم پویا به روایت آمار - فروشگاه اینترنتی هرپو

به گزارش خبرنگاران به نقل از ایبنا دی و بهمن 98 بانک مرکزی در دو گام استفاده از رمز دوم پویا را برای تمام تراکنش های کارتی اینترنتی (به استثنای 100هزارتومان تراکنش روزانه برای هر کارت) اجباری کرد. از همان زمان بحث های بسکمک بر سر کارایی یا درستی این تصمیم صورت گرفت اما تا به امروز کمتر گزارشی از تاثیر عملی این تصمیم روی عملکرد شبکه پرداخت یا کاهش کلاهبرداری و دزدی اطلاعات کارت ها منتشر شده است. در نوشته حاضر با آنالیز داده های درگاه پرداخت اینترنتی وندار نگاهی موردی به کارنامه رمز دوم پویا و اجباری شدن آن خواهیم انداخت.

از متن بیانیه های بانک مرکزی آشکار است که رمز دوم پویا، برای کاهش مخاطرات امنیتی تراکنش های بدون حضور کارت (CNP) تصویب شد. مخاطراتی در تراکنش های اینترنتی که باعث رونق کلاهبرداری های تله گذاری (Phishing) برای دزدیدن رمز کارت ها شده بودند. بنابراین برای سنجش کارایی رمز پویا باید دید آیا باعث کاهش این سبک کلاهبرداری شده است؟

معیار مناسب برای سنجش این مسئله، تعداد تراکنش های مشکوکی است که پلیس فضای فراوری و تبادل اطلاعات ایران (فتا) از درگاه های بانکی استعلام می نماید. این استعلام بخشی از فرایند رسیدگیِ دادگاه ها به شکایت قربانیان کلاهبرداری تله گذاری است. اگرچه در برخی تراکنش های مشکوکی که استعلام می شوند لزوما جرمی اتفاق نیافته است اما تعداد این تراکنش ها مسلما تخمین مناسبی است از سطح امنیت کلی شبکه پرداخت.

از طرف دیگر مهمترین استدلال مخالفان این بود که بانک مرکزی به جای فراگیر کردن دستوریِ رمز دوم پویا باید مخاطرات و مسائل امنیتی رمزهای ایستا را برای مشترکین کارت ها شرح می داد، و این امکان را در اختیار آنها می گذاشت که بین انجام آسان تر تراکنش های اینترنتی با رمز ایستا و امنیت بالاتر، رمز پویا انتخاب نمایند. از دید بخشی از مخالفان، رمز دوم پویا فرآیند خریدهای اینترنتی را پیچیده تر و در نتیجه برای بسکمک از کاربران دشوارتر نموده و تبدیل به معضل جدیدی برای کسب وکارهای اینترنتی شده است.

برای سنجش سادگی استفاده از درگاه های پرداخت اینترنتی می توان نسبت خطاهای ناشی از اشتباه کاربران به تعداد کل تراکنش ها را محاسبه کرد. خطاهایی مانند ناکافی بودن موجودی کارت، وارد کردن رمز اشتباه یا نامعتبر بودن کارت که ناشی از اختلال در عملکرد نظام پرداخت الکترونیک نبوده اند و نشان دهنده خطای کاربر در استفاده از خدمات هستند.

نسبت خطاهای کاربری به کل تراکنش های درگاه پرداخت اینترنتی وندار از آذر 98 تا خرداد 99 و سهم خطاهای رمز در آن

برای دقیق تر شدن این مقایسه می توان سهم خطاهای مربوط به رمز را هم در دل خطاهای کاربری محاسبه کرد. مقایسه این معیارها در خصوص درگاه پرداخت اینترنتی وندار نشان می دهد که آذر ماه 98 و پیش از شروع طرح اجباری شدن رمز دوم پویا، کمی بیش از 15درصد از کل تراکنش ها به دلیل اشتباه کاربران با خطا روبرو می شده اند و خطاهای مربوط به رمز دلیل ناپیروز بودن نزدیک به نیمی از این تراکنش ها بوده اند.

از دی ماه و با شروع طرح رمز دوم پویا می توان دید که پیچیده تر شدن فرآیند خرید، سهم خطاهای کاربری را تا نزدیک به 20 و سپس در بهمن ماه به اوج خود در حدود 25 درصد کل تراکنش ها می رساند. اما بر خلاف ادعای مخالفان، این افزایش خطاها پایدار نبوده است. با آشناتر شدن مشترکین کارت ها با فرآیند جدید، از اسفند ماه 98 فرایند کاهش سهم خطاهای کاربری از کل تراکنش ها شروع می گردد و تا خرداد 99 روی عددی نزدیک به عدد آذرماه (کمی بیش از 15 درصد سهم خطاهای کاربری و نزدیک 10درصد خطاهای مربوط به رمز) تثبیت می گردد.

سهم خطاهای رمز دوم از خطاهای کاربری از 45 درصد آذرماه 98 که به بیش از 60 درصد در بهمن افزایش یافته بود، خرداد ماه 99 به کمی بیش از 50 درصد برگشت

بدیهی است برای سنجش تاثیر موردی پیچیده تر شدن خرید اینترنتی روی دسترسی پذیری این خدمات برای گروه های سنی مختلف و افراد با سطح دانش متفاوت در جامعه، باید تحقیقات گسترده تری انجام گردد. اما از کاهش خطاهای کاربری پس از افزایش اولیه آن می توان نتیجه گرفت که بخش قابل توجهی از کاربران به خوبی با فرآیند جدید آشنا شده اند و اضافه کردن این ابزار امنیتی، هزینه بلندمدتی برای شبکه پرداخت نخواهد داشت.

آیا رمز دوم پویا شبکه پرداخت را امن تر از پیش نموده است؟

از دی ماه 98 و با شروع طرح رمز دوم پویا کارت هایی که پلیس فتا به دلیل تراکنش های مشکوک از درگاه پرداخت اینترنتی وندار استعلام نموده است، کاهش قابل ملاحظه ای داشته اند. تا جایی که تعداد استعلام کارت های مشکوک به ازای هر ده هزار تراکنش در فروردین ماه 99 به کمتر از نیم کارت می رسد. این کاهش را نمی توان یکی از آثار جانبی همه گیری ویروس کرونا دانست، چرا که با در نظر دریافت شاخص تعداد کارت های مشکوک در هر ده هزار تراکنش، این متغیر تا حد زیادی استاندارد شده است و تعداد کل تراکنش های ماهانه تاثیر چندانی بر آن ندارد.

استعلام پلیس فتا از کارت های مشکوک در هر ده هزار تراکنش در درگاه پرداخت اینترنتی وندار از آذر 98 تا خرداد 99

بنابراین در یک بازه دو تا سه ماهه رمز دوم پویا عملکردی چشمگیر در کاهش مخاطرات خریدهای اینترنتی داشته است. نکته نگران نماینده اما اوج گیری دوباره استعلام کارت های مشکوک از خرداد 99 است. افزایشی که ادامه دار بودن آن تا تیر ماه سال جاری می تواند نشانه ابتکارات تازه ای در اجرای کلاهبرداری تله گذاری باشد و در نتیجه می تواند در ماه های آینده هم ادامه پیدا کند و دستاوردهای این طرح را در خطر قرار دهد.

در تحلیل این آمار باید توجه داشت که رسیدگی قضایی به کلاهبرداری های اینترنتی فرآیندی زمان بر است و ممکن است چند ماه طول بکشد تا تمام تراکنش های مشکوک اتفاق افتاده در یک ماه استعلام شوند. بنابراین ممکن است آمار استعلام کارت های مشکوک واقعی مربوط به اردیبهشت و خرداد 99 از تعداد فعلی هم بالاتر باشد.

از طرف دیگر تا پیش از اجرایی شدن طرح رمز دوم پویا تقریبا هیچ استعلامی درباره تراکنش هایی با مبلغ کمتر از 100 هزار تومان صورت نمی گرفته است. اما تقریبا 7 درصد استعلام های خرداد ماه تراکنش هایی با مبلغ کمتر از 100 هزار تومان بوده اند.

اگر با افزایش احتمالی استعلام ها در ماه های پیش رو این سهم 7 درصدی هم افزایش پیدا کند، می توان باز هم رمز دوم پویا را در کاهش مبلغ تراکنش های مشکوک پیروز دانست.

در نهایت رمز دوم پویا تصمیمی بود برای کاهش مخاطرات خریدهای بدون حضور کارت و محافظت همزمان از دارایی های مردم و کسب وکارهای اینترنتی. می توان درباره چگونگی اجرای آن یا درستی و نادرستی اجباری شدنش در کمتر از یک ماه، بحث کرد. ضروری است اثر آن در کاهش دسترسی برخی از گروه های سنی یا اجتماعی به خدمات خرید اینترنتی مورد آنالیز قرار گیرد. اما به نظر می رسد که اثر بلندمدت چندانی در پیچیده تر شدن فرآیند خرید نداشته باشد و نمی توان بر کارایی آن در کاهش کلاهبرداری های تله گذاری نیز چشم پوشید.

وندار به عنوان پرداخت کمک پیشرو در اجرای شیوه نامه های امنیتی، بخش مهمی از توان پیگیری و پشتیبانی اش را صرف ایجاد ارتباط حرفه ای و جوابگویی سریع بین کسب وکارها و مراجع قضایی می نماید تا هم از مسدود شدن حساب کسب وکارهای طرف قرارداد به دلیل مسائل تراکنش های مشکوک با حکم قضایی جلوگیری کند و هم جوابگوی خواسته ها و دستورالعمل های ساختار قضایی و پلیس فتا باشد. به همین دلیل خود را در دغدغه بانک مرکزی برای کاهش کلاه برداری تله گذاری شریک می داند و باور دارد برای افزایش امنیت شبکه پرداخت، اجرای طرح هایی مانند رمز دوم پویا به تنهایی کافی نیست و این تصمیمات باید در کنار آموزش همگانی برای آشنایی با شیوه های تله گذاری و سرقت اطلاعات کارت ها و روش های خلاقانه ای مانند استفاده از درگاه پرداخت دومرحله ای در کسب وکارهای فروش رمزارز و کالاهای دیجیتال به کار برده شوند تا نتیجه بهتری از آنها به دست آید.