شاهین نورصالحی پژوهشگر بین الملی آسمان آبی : تجمیع کارت های بانکی در کارت ملی ، هزینه زا و جرم خیز است

۰۴ مهر ۱۴۰۲ تیتر یک ، فناوری اطلاعات

یک طرح، یک پیشنهاد و یک خبر. شاید در ابتدا عده ای آن را ندید می گرفتند و عملیاتی شدن آن را هم غیر ممکن تلقی می کردند اما به مرور که زمان گذشت این مسئله با جدیت  مطرح و ادعا شد که می تواند اجرایی هم بشود. ماجرا، ماجرای جایگزین کردن کارت های ملی به جای کارت های بانکی است.

دلیل این اقدام را نیز دو مسئله مطرح می کنند ، نخست تعدد کارت های بانکی که امروز هرفرد دارد و تجمیع این کارت ها، دوم جلوگیری از سوء‌استفاده از کارت‌ها و حساب‌های بانکی اضافه افراد از طریق اجاره حساب و بروز تخلفات مالی.

 خبری که درابتدا دست به دست می شد این بود که قرار است با کارت ملی امکان پرداخت پول و همینطوردریافت آن از طریق پرداخت الکترونیکی فراهم و بساط  کارت های بانکی فعلی هم برچیده شود. می گفتند که قراراست به عنوان نخستین پایلوت، بانک ملی دست به این کار بزند. موضوع ، زمانی جدی تر شد که چنین مطلبی در برنامه هفتم توسعه هم آمد .

اواخر امرداد امسال بود که رئیس سازمان ثبت احوال کشور گفت:« در برنامه هفتم توسعه، تجمیع کارت‌های خدماتی و بانکی از مجلس شورای اسلامی درخواست شده که در کمیسیون تلفیق برنامه نیز با آن موافقت شده است.»

هاشم کارگر معاون وزیر کشور تصریح کرد: «تفاهم‌نامه‌ای با بانک ملی به عنوان اولین بانک در این زمینه امضا شده است؛ مراحل اجرایی آن پس از تدوین برنامه مورد نیاز سازمان ثبت احوال با بانک ملی، آغاز خواهد شد.»

وی گفت:« با این اقدام بسیاری از هزینه‌های جاری کشور و مردم را برای دریافت خدمات کم می کنیم.»

از سویی دیگر اما عده ای معتقدند آنچه که عموم دراینباره و با این توضیحات متصور هستند اساسا امکانپذیر نیست و انجام تراکنش‌های مالی صرفا با کارت هوشمند ملی فاقد موضوعیت و غیرقابل انجام است، در نتیجه  نچه که در تفاهم‌نامه مذکور و موارد مشابه قابلیت بهره‌برداری دارد، استفاده بانک عامل از اطلاعات و ویژگی‌های هویتی زیست‌سنجی (بایومتریک) ذخیره‌شده در تراشه کارت هوشمند ملی نظیر اثر انگشت دارنده کارت به منظور انجام احراز هویت و شناسایی مشتری است. بدیهی است بانک عامل قادر خواهد بود پس از انجام فرآیندهای شناسایی مشتری به صورت الکترونیکی، طیف متنوعی از خدمات بانکی را به ایشان ارائه کند، اما در مورد جایگزینی کامل به جای کارت بانکی چه طور؟

در همین راستا محمدرضا مانی یکتا مدیر اداره نظارت بر نظام‌های پرداخت بانک مرکزی اعلام کرده: «عملیاتی‌کردن چنین طرحی عملاً پیچیدگی‌ها و مشکلات متعدد فنی و اجرایی در پی دارد و قابل‌انجام به نظر نمی‌رسد.»

 اظهاراتی که شاید بدین معنا باشد که فعلا تجمیع کارت‌های بانکی با کارت‌های هوشمند مورد تایید بانک مرکزی نیست و چه بسا چنین طرحی برخلاف استانداردهای بین‌المللی تلقی شود.

مانی یکتا در گفتگویی هم که با همشهری داشته، اعلام  کرده «کارت‌های هوشمند ملی تنها از یک تراشه الکترونیکی برخوردار است؛ اما این تراشه‌ها اولاً به‌هیچ‌وجه از استانداردهای ضروری برای حوزه پرداخت و بانکی برخوردار نیستند و ضمناً الزامات و پروتکل‌های ارتباطی و فنی این تراشه‌ها به‌هیچ‌وجه سازگاری لازم با سخت‌افزارها و شبکه پذیرندگی کارت‌های بانکی در کشوررا ندارند.»

برخی هم می گویند با درنظرگرفتن این تفاوت ماهوی که کارت‌های بانکی دارای الزامات و استانداردهای PCI و EMV هستند درحالی‌که کارت‌های هوشمند ملی تنها تراشه‌هایی دارند که شاید به لحاظ ظاهری شباهت‌هایی به کارت بانکی دارد، این دو نوع کارت از نظر تکنولوژی و مشخصات فنی کاملاً متفاوت و غیرقابل‌تجمیع هستند.

از سویی استفاده از کارت ملی به جای کارت بانکی می تواند امکان هرگونه همکاری مشترک و توسعه فناوری‌های بانکداری و پرداخت بین‌المللی را با چالش‌های متعددی همراه کند.

با این اوصاف سرنوشت این طرح چه خواهد شد و به کدام سمت و سو می رود ؟


600

استانداردهای متفاوت هر صنعت
شاهین نورصالحی، پژوهشگربین المللی آسمان آبی دراینباره به "پرداخت سبز" نشریه شرکت کارت اعتباری ایران کیش می گوید:« تجمیع کارتهای بانکی به بهانه جلوگیری از سوء استفاده های احتمالی از کارتهای بانکی یا هر دلیل دیگری که آن را منطقی جلوه دهد، نه تنها اشتباه است بلکه غیر ممکن بوده و در مقام برآورد ایده، میتوان بی درنگ لیست بلند بالایی از مغایرت ها و تهدید هایی که این ایده در خود دارد را ارائه داد که صرفا به جهت روشن شدن موضوع، چند مورد را بیان می کنم .در اولین قدم از اجرای فرضی ایده تجمیع کارتهای بانکی، شما با پدیده ای به نام استانداردهای متفاوت تعریف شده برای هر صنعت مواجه خواهید شد. هر چند کارتهای تراشه دار از مرجع ISO/IEC 7816 استفاده میکنند ولی با انواع استاندارد ها و حجم حافظه و قابلیت های امنیتی و رمزنگاری متفاوت طراحی میشوند که در هر صنعتی برای منظور خاصی مورد استفاده قرار میگیرند. استفاده از کارت تراشه دار در ذخیره داده های پزشکی و امور مربوط به سلامت شهروندان، با کارت های تراشه داری که به منظور کاربردهای عمومی احراز هویت استفاده میشوند قابل جایگزینی و تجمیع نیستند. این امر وقتی به شبکه بانکی و پرداخت میرسد، آنچنان تفاوت های بنیادینی در استاندارد ها ایجاد میکند که هر نوع استفاده مشترک در این زمینه را غیر ممکن میکند.»

 

قابلیت downward

وی اضافه می کند:« جدا از غیر ممکن بودن استفاده های مشترک از کارتهای تراشه دار در صنایع متفاوت، از زاویه دید اصول طراحی سیستم ها در فناوری اطلاعات، وقتی صحبت از کاربردهای یک فناوری در یک سیستم می شود، در صورتی که آن سیستم در حال حاضر از نمونه های دیگری از فناوری بهره میبرد، شما با پدیده مدیریت downward یا backward compatibility روشها مواجه خواهید شد، به این معنی که در هر اقدامی برای مهاجرت به سیستمهای تازه تر، فناوری شما میبایستی همچنان قابلیت پشتیبانی از نسخه های قدیمی تر همان سرویس را نیز داشته باشد.به طور مثال جایگزینی کارت های پایان خدمت قدیمی با مدل های تراشه دار شامل حفظ شرایط backward compatibility نبودند ولی هر نوع مهاجرت به سمت یک فناوری تازه در شبکه بانکی نیازمند حفظ خدمت برای کارتهای مغناطیسی قدیمی خواهد بود.»

 

خطر point of failure

نورصالحی ادامه می دهد: «کارتهای بانکی مثل هر شئ دیگری همه روزه مفقود شده یا آسیب میبینند ولی به دلیل استفاده روزمره و دائمی از آنها، بیشتر از سایر کارتهای تراشه دار همچون کارت ملی یا گواهی نامه رانندگی در معرض خرابی هستند، در نتیجه فرآیند تعویض و نگهداری آنها شامل جریان داده کاملا متفاوت بوده و کارت تراشه دار ملی در این زمینه و به هیچ عنوان کیفیت و سرعت عمل مراجعه به یک شعبه و دریافت کارت بانکی جدید را ندارد.»

 

سازگاری با تجهیزات پذیرنده

وی می گوید:« شاید این ایده در نگاه اول شکل درستی داشته باشد که بگوییم هدف ما از انجام یک تراکنش بانکی صرفا در احراز هویت یک شهروند باشد و از آنجایی که همه حساب های بانکی متصل به او را میشناسیم و قادر به انجام عملیات بانکی هستیم، در نتیجه میتوانیم هر روشی را برای احراز هویت ابداع کنیم. با این دیدگاه حتی میتوانیم از نمونه اولیه نخستین کارت تراشه دار که به منظور ثبت اختراع در سال 1975 میلادی استفاده شده را نیز به کار بگیریم، ولی این رویکرد در جایی با مشکل مواجه میشود که صاحب این کارت برای خرید به یک فروشگاه یا دریافت وجه نقد به دستگاه خودپرداز مراجعه میکند و پذیرنده مربوطه قادر به برقراری ارتباط با آن نمیباشد»


جنبه های حقوقی و امنیت سایبری
نورصالحی گفت:« در نهایت به یکی از جدی ترین و آسیب زا ترین جنبه های ایده تجمیع کارتهای بانکی در کارت تراشه دار ملی میپردازیم. مطابق اعلام سازمان ثبت احوال کشور، کارت ملی تراشه دار غیر از کاربردهایی که در قانون برای شناسایی و احراز هویت شهروندان برای آن تعریف شده است، دارای قابلیت امضای دیجیتال نیز میباشد و این به معنی وجود آثار حقوقی متعدد در صورت بروز هر نوع سوء استفاده احتمالی از کارت ملی است. انواع حملات سایبری که خصوصا در Pocket Attack های کارت های NFC شاهد هستیم، میتواند امکان سوء استفاده از کارت ملی یک شهروند در حین انجام عملیات پرداخت برای طور مثال خرید مواد شوینده و بهداشتی در یک فروشگاه محلی، به منظور امضای یک سند تجاری یا ورود به یک سامانه دولت الکترونیکی را به دنبال داشته باشد.
این پژوهشگر ادامه داد :« در نتیجه اشاره به تنها برخی از جنبه های فاحش ایده استفاده از کارت ملی به عنوان یک زمینه تجمیع کننده برای انواع کارتهای بانکی، به سرعت مشخص میگردد که این امر یک رویکرد اشتباه و هزینه زا، جرم خیز و توام با انواع تهدید های سایبری است، که لازم است هر چه سریعتر از دستور کار همه اجزای شبکه بانکی و رگولاتوری محترم خارج گردد.