اگر اشتباه نکنم، صحبت پیرامون رمز پویا از چیزی حدود یکسال قبل راه افتاده و مهمترین دلیل بانک مرکزی برای اصرار به راهاندازی اون، مسائل امنیتی و جلوگیری از فیشینگ و غیرهست.
کاری به این ندارم که چرا از شیوههای متداول جهانی برای امنیتبخشی به پرداختهای آنلاین استفاده نمیکنند و مهمتر، چرا زیرساختهای مالی رو برای مواجهه با فساد مالی آنلاین مستحکم نمیکنند. از طرفی، اجازه میخوام وقتی دهها سایت فروش وی-پی-ان و شرطبندی، بعد از این همه بزن و ببند هنوز فعالاند و عموما هم از یکی-دو PSP بدنام و شرکت واسط خدمت میگیرند، باور نکنم که مسالهی اصلی و دلیل تاکیداتِ موکد، همینیه که میگن. اما به هرحال، تصمیمیه که گرفته شده و بعد از یک بار اجرای نافرجام،به نظر میرسه که از چند روز دیگه باید باهاش سر کنیم.
این نوشته اولا قصد داره توضیح بده که چرا رمز پویا کانسپت مزخرفیه، و دوما میخواد روشهایی رو پیشنهاد بده که این ماجرای احمقانه -حداقل- با درد و خونریزی کمتری اجرا بشه.
چرا رمز پویا مضره؟
آمار و ارقام نشون میده که تجارت الکترونیک با سرعت مطلوبی در کشور ما در حال توسعهست. این در حالی داره اتفاق میافته که امکانات خیلی پایه در نظامهای پرداخت آنلاین روی سیستم بانکی کشور ما فعال نیست. مثل ذخیرهی امن اطلاعات پرداخت در سایت تامین کننده که در هر بار پرداخت نیازمند ورود مجدد اطلاعات نباشه. یا مثلا سرویس پرداخت خودکار برای سرویسهایی که نیازمند تمدید دورهای هستند.
حالا ما داریم چیکار میکنیم؟ بجای رفع مشکلات موجود و تسهیل فرایند پرداخت، گامی ویرانگر به اون اضافه میکنیم: به زودی، در هر بار ورود به درگاه پرداخت آنلاین، لازمه که از اون صفحه خارج بشید و اپلیکیشن مربوط به بانکتون رو باز کنید تا کد جدیدی دریافت کنید. دوباره به صفحهی پرداخت برگردید و کد رو وارد کنید تا پرداخت تکمیل بشه 🙂
۱) آمادگی و زیرساخت فنی
من به عنوان کسی که بیش از ۸۰ درصد خرید خونه و شرکتم رو آنلاین انجام میدم، هنوز «نتونستم» رمزسازم رو فعال کنم! واقعا IQ پایینی ندارم و روند رو بلدم. مشکل، باگهای بیپایان اپلیکیشنهای مربوطهست: یکی پیامک نمیفرسته، یکی رمزش کار نمیکنه و الخ. یه سر و گوشی روی توییتر جنباندم و دیدم که تنها نیست. خب، وقتی زیرساخت رو نتونستیم درست محیا کنیم، آیا واقعا درسته که امت رو ملزم به کاری میکنیم؟
۲) کاهش حجم تراکنشهای آنلاین
از یه طرف، مکرر و مستمر دربارهی لزوم توسعهی فناوری حرف میزنیم و از یه طرف، هر کاری برای از بین بردنش لازمه میکنیم. با سازوکاری که تعریف شده و مبتنی بر اصول اولیهی تجارت الکترونیک، یک گام بیمنطق به فرایند خرید اضافه شده و این یعنی، ریزش بخشی از کاربران که تا مرحلهی مهمی از خرید رو طی کردند.
۳) کاهش اعتماد
من معتقدم که رمز پویا، به فراخور دلیل اول، اعتماد عمومی رو به تجارت الکترونیکی کاهش میده. در شرایط فعلی، فقط سرور PSP از دسترس خارج میشه و یا تراکنشی برگشت میخوره و یا به هر دلیل دیگری، اختلالی از سمت بانک پیش میاد، مشتری منِ فروشندهی آنلاین رو مقصد و مسبب و مسئول میدونه، طبعا با مشکلاتی که پیشبینیشون اصلا سخت نیست مواجه خواهیم شد، اعتماد به برندهای آنلاین رفته رفته کاهش پیدا میکنه.
چند پیشنهاد واقعا ساده برای اصلاح سازوکار رمز پویا
۱) پیامک
هرچند شنیدهها خبر از این میده که بناست تا مدتی، رمز پویا از طریق پیامک هم قابل دریافت باشه، اما به نظرم و به طور کلی خوبه که این گزینه رو دائمی و همعرض با اپلیکیشنهای مربوطه برای این کار در نظر بگیرند.
۲) ادغام در اپلیکیشن بانکها
به شکلی احمقانه، هربانک اپلیکیشینی اختصاصی برای تولید رمز پویا توسعه داده. این مترادف با اینه که من باید علاوه بر اپلیکیشن پرداخت بانک X، اپلیکیشن رمزساز همون بانک رو هم نصب کنم. حالا اگر من دو تا کارت داشته باشم، باید ۴ تا اپلیکیشن نصب کنم که بتونم کارهای بانکیمو هندل کنم 🙂 بهتر نبود که این سرویس به اپلیکیشن اصلی بانکها اضافه میشد؟
۳) ایجاد اپلیکیشن واحد
بانک مرکزی، به اطلاعات تمامی بانکها دسترسی داره و به عنوانی نهادی بالادستی، به سهولت میتونه اپلیکیشنی مرجع رو برای همهی کارتها/بانکها ایجاد کنه. نه به لحاظ فنی و نه اجرایی، کار غیرممکنی نیست.
۴) استفاده از اپلیکشنها پرداخت
من شخصا از خدمات ۴ بانک استفاده میکنم، ولی اپلیکیشن هیچکدوم رو ندارم و عمده نیازهای بانکیای که باید با موبایل هندل کنم رو با آپ مدیریت میکنم. با نگاهی به آمار نصب اپهای بانکی، به نظر من تنها نیستم و خیلیهای دیگه هم رفتاری مشابه دارند. آیا بهتر نبود که اپهای برتر حوزهی پرداخت رو با شرایطی به این امکان مجهز میکردند؟
۵) رمز پویا، مبتی بر فرد و نه بانک
یکی دیگه از مشکلات موجود اینه که هر بانک/کارت نیازمند یک رمزساز مستقله. آیا بهتر نبود که این امکان فراهم میشد که هر «فرد» بتونه رمزی مشکل برای استفاده از تمام کارتهاش داشته باشه؟
۶) بیخیال شید!
اما بهترین پیشنهاد اینه که این بازی اشتباه رو متوقف کنید. لازم نیست حتما متخصص فینتک بود که پیشبینی کرد این «اشتباه»، دیر یا زود از دور خارج میشه. پس، چرا باید کاری کرد که میشه فهمید عاقبت خوشی نداره؟
برای جلوگیری از دزدی آنلاین، فیشینگ، پولشویی و هرچیز دیگری که ناراحتش هستید، راههای بهتر و کارآمدتری وجود داره. چرا باید عجیبترین راه رو پیمود؟
یادداشت خردورزانهای بود. البته کاربردش برای اقلیمی است که تصمیماتش بر اساس خردی جمعی و بهرهگیری از تجربیات جهانی انجام میشود.
ارادتمند. بله گویا همینطوره 🙂