احراز هویت دیجیتال به قانون بالادستی و رگولاتوری متحد نیاز دارد
احراز هویت دیجیتال مهمترین دغدغه مسئولان در حوزههای مختلفی چون بانکداری و بیمه و بورس بوده است، به خصوص در ماههای اخیر که استقبال مردم برای سرمایهگذاری در بورس افزایش یافته و به خاطر شیوع کرونا حضور مردم در شعبههای بانک یا دفاتر پیشخوان برای احراز هویت پرریسکتر از گذشته شده است، اهمیتش دو چندان شده است. حالا حاضران در پنل گفتوگوی سیزدهمین رویداد فیناپ که به بررسی همین موضوع پرداخته است معتقد هستند باید قانونی مدون و کامل در حوزه احراز هویت تهیه و تدوین شود و سپس سامانهای واحد منابع مرجع حوزه احراز هویت را به هم متصل کند تا به این صورت هزینههای مردم هم کاهش یابد.
محمد گرکانی نژاد، کارشناس پرداخت و بانکداری الکترونیکی در این میزگرد با بیان اینکه در بحث مقرراتگذاری باید دو موضوع احراز هویت (Authentication) و شناسایی افراد (IDENTIFICARTION) را از هم جدا کنیم، روند احراز هویت و شناسایی افراد در طول زمان را توضیح داد: «شناسایی افراد، به مقولهای گفته میشود که شخص برای نخستین بار به بانک مراجعه میکند و اطلاعات خود را میدهد و اطلاعات او با دیتابیسهای مختلف سنجیده میشود. پس از شناسایی کاربر، هرزمان که میخواهد از بانک سرویسی دریافت کند باید هویتش احراز شود. البته باید توجه کنیم که پیشتر هم بحث احراز هویت انجام میشد. اینکه فردی با کارت خود از حسابش پولی بردارد، نوعی احراز هویت است. حتی در بورس هم به صورتی احراز هویت انجام میشد.»
او ادامه داد: «بعدها برای دریافت سرویسهایی چون دسترسی به حساب بدون محدودیت strong customer authentication یا SDA به وجود آمد. پس در حوزه احراز هویت مجموعه قوانینی ایجاد شد که با این مجموعه قوانین حتی شرکتهای مالی غیربانکی (non-bank) هم میتوانند مشابه بانکها سرویس عرضه کنند. در مقررات اروپا به این صورت است که یک شرکت مالی غیربانکی میتواند به یک NTT ارائه دهنده سرویس تبدیل شود.»
محمد گرکانینژاد کارشناس حوزه پرداخت و بانکداری الکترونیکی معتقد است که هویت دیجیتال باید توسط یک نهاد بالادستی تعریف شود.
او در صحبتهای خود به قانون eIDAS اشاره کرد و گفت: «در بحث شناسایی افراد یکی از بهترین مقررات که توسط اتحادیه اروپا تصویب شد، eIDASیا electronic Identification ,Authentication and trust service است. یکی از مهمترین بخش این مقررات این است که برای تمام شهروندان اروپا یک هویت دیجیتال تعریف شد. البته در بحث احراز هویت، بحث تجربه کاربری هم پیش میآید.»
گرکانینژاد همچین بیان کرد: «یکی از مشکلات بانکها این بود که میخواستند به کاربران امکانات متفاوت عرضه کنند تا به راحتی از خدمات بانک بهره ببرند؛ اما هردفعه باید احراز هویت شوند. به همین خاطر risk based authentication یا RBA مطرح شد. یعنی سرویسدهندگان میتوانند گاه تحت شرایطی از این SDA عبور کنند و به تجربه کاربری توجه کنند. این مقررات به صورتی به هم متصل هستند و در هم تنیدگیهایی دارند.»
به گفته گرکانینژاد در ایران باید identification،یا هویت دیجیتال توسط قانون مصوب مجلس تعریف شود یا نهادی مانند ثبت احوال که متولی این حوزه است، این هویت را تعریف کند. او همچنین تاکید کرد: «ما مقرراتی چون پروژه eIDASدر کشور نداریم. هویت دیجیتالی نداریم و خلایی است که باید قانونگذاری در این زمینه انجام شود. البته طبیعی است که در این فضا دستگاهها بیکار نمینشینند. چون سرعت تحول تکنولوژی بالاست و آنها همراه با این تغییرات سرویسهایی در حوزه احراز هویت شبیهسازی میکنند؛ مانند آنچه در بورس ایجاد شد.»
او اضافه کرد: «در حوزه بانکداری رگولاتور با احتیاط مقرراتگذاری میکند، البته رگولاتور قرار نیست با سرعتی که فناوری تغییر میکند عمل کند. در عین حال نباید از حدی عقبتر باشد. حتی در سیلیکونولی هم ریسک قانونگذاری وجود دارد.»
ارتباط بین بانک و بازار مالی ایجاد شود
در ادامه این پنل علیرضا ماهیار، معاون فناوری و توسعه نوآوری سمات با تایید صحبتهای گرکانینژاد تاکید کرد که اصل سجام هم براساس قوانین eIDASاست و گفت: «قوانین مبارزه با پولشویی در دنیا روی این قضیه تاکید میکرد که ما باید از کاربر از چند کانال امن دادههای متفاوت بگیریم و بررسی و صحتسنجی کنیم. ما در سجام در بحث احراز هویت هم برای کاربر درگاه یکپارچه ذینعفان بازار سرمایه را راهاندازی کردیم.»
علیرضا ماهیار، معاون فناوری و توسعه نوآوری سمات میگوید: سجام و سامانههای احراز هویت پلی هستند میان توسعهدهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند
ماهیار در ادامه به فعالیت سجام و الزامات قانونی در فعالیت این سامانه اشاره کرد و گفت: «برای راهاندازی سجام، سه سال و نیم مطالعات دقیق تطبیقی و حقوقی منطبق بر قوانین جاری در کشور انجام شد. اگر چند بانک و کارگزاری بانکی به شبکه سجام متصل شدند و بحث احراز هویت را انجام میدهند، به خاطر اصل «به اشتراکگذاری اطلاعات» است و پشتوانه قانونی که در این زمینه وجود دارد. ما با نهادهای مالی تحت نظارت سازمان بورس، بانکها و مراجعی که قانونگذار مشخص کرده، تبادل اطلاعات را انجام میدهیم.»
به گفته ماهیار، سجام و سامانههای احراز هویت پلی هستند میان توسعهدهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند. او همچنین تاکید کرد: «کارگزاریها پس از مدتی در این حوزه سرمایهگذاری کردند و حساب آنلاین افتتاح کردند و مقدمهای شد برای ارائه خدمات مالی نوین. به نظر من بورس در حوزه احراز هویت الکترونیکی پیشروتر بوده و قوانین به این حوزه بسیار کمک کرده است. قطعا میتوان ارتباط مکانیزه به لحاظ فنی و حقوقی بین شبکه بانکی و شبکه بازار سرمایه شکل بگیرد.» براساس گفتههای ماهیار ارتباط مکانیزه کمک میکند تا اگر کاربری در بانک احراز هویت کرد، به مراجعه حضوری نیاز نداشته باشد.
رگولاتور در سیستم بانکی بسیار محتاط است
مرتضی اکبری، مدیرعامل بانک مهر ایران در پنل در پاسخ به سوال مجری که چرا بانکها ریسکپذیر نیستند و محتاط عمل میکنند، گفت: «از لحاظ ریسکپذیری کار بانکها بسیار دشوار است چون با پول سرکار دارند. وجود رگولاتورهای مختلف در کشور و اینکه هرکدام براساس وضعیتی که دارند، تصمیمگیریهایی انجام میدهند یکی دیگر از مشکلات اساسی ما است.»
او ادامه داد: «شاید سازمان بورس راحتتتر با شرایط جدید کنار میآید یا اگر کنار نمیآید، ویروسی به نام کرونا در کشور شیوع پیدا میکند و بازار فعال میشود و مجبور است، در بسیاری از موارد کوتاه بیاید. در بانک چنین اجباری ایجاد نشده است. رگولاتوری تحث تاثیر محیط باید قرار بگیرد و با تکنولوژی خود را منطبق کند.»
مرتضی اکبری، مدیرعامل بانک مهر ایران معتقد است رگولاتور در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست.
به گفته اکبری رگولاتور در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست و از طرفی با احراز هویتهای مختلف هزینههای مردم را هم زیاد کردند. او همچنین بیان کرد: «بانک و بیمه و بورس به صورت جداگانه احراز هویت میکنند. درصورتی که لزومی ندارد اینطور انجام شود. وقتی سیستم بانکی احراز هویت انجام میدهد، نیازی نیست بیمه و بورس احراز هویت انجام دهد. در این حوزه باید قانون بالادستی قوی و رگولاتوری متحد داشته باشیم. نمیتوان یک رگولاتوری برای بانک، یک رگولاتوری برای بیمه و یک رگولاتوری برای بورس تصمیمگیری کند.»
اکبری همچنین عنوان کرد: «میتوان همه منابع مرجع در حوزه احراز هویت را با یک لینک به هم متصل کنیم.در اینصورت بسیاری از مشکلات ما حل میشد. در این زمینه خلا قانونی وجود دارد. رگولاتوری باعث شده تا بانکها دادههای خود را در اختیار نهادهای دیگر قرار ندهند و در بحث احراز هویت توسط بیمه و بورس موازی کاری انجام شود.»
بازار سیستمهای بانکی بازاری بسته است
محمد مظاهری، مدیرعامل شرکت توسن تکنو همچنین در این پنل با تایید صحبتهای حاضران تاکید کرد که چارچوبهای قانونی در حوزه احراز هویت باید مدون و کاملتر شود.
به عقیده محمد مظاهری، مدیرعامل شرکت توسن تکنو همه مشکلات احراز هویت دیجیتال تقصیر رگولاتور نیست برخی از آنها تقصیر لختی بازار است.
البته مظاهری تمام مشکلات حوزه احراز هویت را متوجه رگولاتوری ندانست و گفت: « بخشی از مشکلات به لختی ما در کسبوکار خودمان و بخش دیگر به بازارمان بازمیگردد. بانکهای ایران سرویس بینالمللی ارائه نمیدهند تا مجبور شوند راهحلهای نوین عرضه کنند. بازار ما بازاری بسته است. البته اگر نیازی ایجاد شود و مشتری به سرویسی احتیاج داشته باشد، بالاخره راه حل برای آن پیدا میکنیم.»
او ادامه داد: «باید توجه کنیم اینکه در چه سطحی احراز هویت انجام شود، به سرویسی که شما ارائه میدهید، بستگی دارد به عنوان مثال زراعت بانک در ترکیه در شعبه بحث سرویس موبایل بانک را راهاندازی نمیکند بلکه با مرکز تماس میگیرد و کاربران را راهنمایی میکند. بحث احراز هویت و شناسایی افراد هم دورادور انجام میدهد.»