پيشرفت روزافزون فناوري باعث شده است تا بشر به راحتترين شكل ممكن از خدماتي استفاده كند كه تا پيش از ورود فناوري بايد زمان و هزينه براي آن صرف ميكرد. توسعه و ارائه خدمات مختلف بر بستر اين فناوري تا حدودي كارها را راحتتر كرده اما در اين بين ممكن است برخي سوءاستفادهها از خدماتي كه بر بستر الكترونيك صورت ميگيرد نيز انجام شود، چرا كه وجود حفرههاي امنيتي و خلأهاي قانوني در برخي خدمات باعث ميشود تا اينگونه خدمات محلي شود براي كسب درآمد هكرها و افرادي كه ميتوانند اين حفرههاي امنيتي را شناسايي كنند.
كدهاي USSD يا همان كدهاي دستوري از جمله خدماتي است كه اپراتورها و بانكها و pspها به كاربران و مشتريان و مشتركان خود ارائه ميكنند و به راحتي و بدون كوچكترين هزينه ميتوان تراكنشهاي مالي انجام داد.
بد نيست، بدانيد USSD يا همان (Unstructured Supplementary Service Data ارسال پيام از طريق كد دستوري) يك روش ارسال پيام در شبكهGSM است. البته اين قابليت جزو قابليتهاي ذاتي اين شبكه محسوب نميشود و به همين دليل اين سرويس جزو خدمات ارزش افزوده شبكه GSM است كه بدون هزينه خاصي قابل افزودن به تمام شبكههاي GSM صورت ميگيرد. از طرف ديگر تقريبا تمام گوشيهاي موجود از ارسال و دريافت اينگونه پيامها پشتيباني ميكنند. اين در حالي است كه در USSD جهت ارسال پيام از كانال سيگنالينگ كنترلي SDCCH در شبكه GSM استفاده ميشود.
ارتباط پيام از طريق USSD شباهت بسيار زيادي به انتقال پيام از طريق پيامك (SMS) دارد اما با وجود كليه اين شباهتها يك اختلاف بزرگ بين اين دو موجود است و آن در نحوه انتقال اطلاعات است. پيامك از مكانيسم ذخيره و فرستادن مجدد Forward) استفاده ميكند در حالي كه USSD اينگونه نيست بدين معني كه SMS پس از دريافت شدن در شبكه ذخيره ميشود و در زماني ديگر براي مقصد فرستاده ميشود اما در USSD پيغام در همان زمان ارسال دريافت خواهد شد تفاوت عمده ديگر اين است كه USSD يك روش برقراري ارتباط بين گوشي با شبكه و برعكس است اما پيامك براي ارتباط گوشي با گوشي به كار ميرود.
اما به نظر ميرسد برقراري تراكنشهاي مالي با اين كدهاي دستوري نه تنها در ايران بلكه در هيچ جاي دنيا از امنيت بالايي برخوردار نيست و به راحتي ميتوان از اين تراكنشها سوءاستفاده كرد، مسالهيي كه باعث شد تا سرانجام و با وجود مخالفتهاي بسيار بانك مركزي به مسدود شدن آن واكنش نشان دهد و با بخشنامهيي از مسدود شدن دريافت موجودي روي موبايل خبر بدهد در بخشنامه بانك مركزي آمده است «همانطور كه پيش از اين شركت شبكه پرداخت كارتي (شاپرك) در پي توصيه بانك مركزي محدوديتهايي را در مورد خدمات پرداخت روي موبايل به شركتهاي PSP ابلاغ كرده بود، ديگر امكان گرفتن موجودي از درگاه اين شركتها ميسر نيست.»
بر اساس اين گزارش قرار بود از نيمه ماه جاري دريافت موجودي حساب از طريق موبايل با كدهاي USSD شركتهاي ارائهدهنده خدمات پرداخت مسدود شود كه همينطور هم شد و اكنون اگر به درگاههاي USSD شركتهاي PSP مراجعه كنيد يا عنوان گرفتن موجودي حذف شده يا امكان دريافت خدمات را نخواهيد داشت.
برخي PSPها هم در هنگام تقاضاي موجودي اين پيام را روي گوشي مخاطب منتشر ميكنند: «به دستور بانك مركزي سرويس موجودي ارائه نميگردد.»
علاوه بر اين، مبلغ پرداخت قبوض و خريد شارژ نيز از اين درگاهها با محدوديت مواجه شده است بهگونهيي كه طبق اعلام شاپرك، اين محدوديتها بهشرح زير است: از تاريخ 15 مهر سال جاري هرگونه تراكنش خريد از درگاه موبايل ممنوع خواهد بود. همچنين سقف تراكنشهاي پرداخت قبض و خريد شارژ در بستر USSD از تاريخ فوق روزانه 200هزار تومان است و تراكنش ماندهگيري از طريق كليه درگاههايي كه نياز به استفاده از كارت ندارند، خصوصا تراكنشهاي موبايلي بهطور كامل ممنوع است.
اين در حالي است كه دريافت موجودي از طريق كدهاي USSD هر بانك براي دارنده حساب همان بانك همچنان برقرار است.
اما چرا بانك مركزي با تاخير چندين ساله اقدام به صدور چنين بخشنامهيي كرد يا اينكه اگر كدهاي دستوري ناامن هستند چرا به اپراتورها و شركتهاي پرداخت الكترونيك اجازه داده ميشود از اين كدهاي دستوري استفاده كنند.
در اين خصوص سيدسامان ميرنبوي كارشناس ارشد سيستمهاي بانكداري و پرداخت الكترونيك به «تعادل» گفت: وجود مشكلات امنيتي در اينگونه كدهاي دستوري بديهي است، بهطوري كه با روي كار آمدن اين كدهاي دستوري و امكان تراكنشهاي مالي در ابتدا خيلي غير قابل باور و نامطمئن از سوي كاربران و مشتريان بود، اما به تدريج اين خدمت براي افراد جا افتاد.
وي افزود: در حال حاضر نيز به نظر ميرسد بخشنامه بانك مركزي براي تكميل ابعاد امنيتي است و تا چندي ديگر دوباره گرفتن موجودي و تراكنشهاي مالي از سر گرفته شود.
وي با اشاره به اينكه ussdها بسترهاي خيلي امني نيستند، گفت: تا زماني كه اين تراكنشها روي بسترهاي مخابراتي قرار ميگيرند، امكان شنود و دريافت اطلاعات وجود دارد از اين رو بستر امني براي تراكنشهاي مالي نيست.
ميرنبوي خاطرنشان كرد: با پيشرفت تكنولوژي و فراگير شدن خدمات بر بستر فناوري ايجاد اينگونه حفرههاي امنيتي دور از ذهن نيست، اما استفاده از ابزارها و راهكارهاي امنيتي ميتواند ضريب نفوذ سوءاستفادهكنندگان را تا حدود زيادي كاهش دهد.
وي در پاسخ به اين سوال كه آيا اينگونه مشكلات در ديگر كشورهاي پيشرفته نيز اتفاق ميافتد يا خير؟ اظهار داشت: در مجموع نميتوان در اين خصوص ايران را با ديگر كشورهاي پيشرفته دنيا مقايسه كرد، چرا كه در اين بخش ما كاملا جزيرهيي عمل كردهايم، در ايران 15سال است كه تلاش براي جا انداختن و راهاندازي كيف پول مبتني بر موبايل و كارت در حال انجام است، ولي رگولاتوري بانك مركزي در اين خصوص دستورالعمل مشخصي را ارائه نكرده است.
وي افزود: تغييرهاي سياستي و مديريتي نيز مزيد برعلت شده است تا در اين خدمت به سرانجام نرسد. از اين رو بايد گفت ما با دنيا تفاوت داريم، اما در مديريت تراكنشها و پرداخت الكترونيك در خاورميانه بينظير هستيم.كارشناس ارشد سيستمهاي بانكداري و پرداخت الكترونيك خاطرنشان كرد: در ديگر كشورهاي دنيا اپراتورها اين كدها را در اختيار شركتهاي پرداخت الكترونيك قرار ميدهند ولي در ايران خود اپراتورها با در اختيار گرفتن اين كدها اقدام به درآمدزايي ميكنند، مسالهيي كه از آن ميتوان به عنوان خلأ قانوني نام برد.
وي گفت: اپراتورها به جاي برونسپاري كدهاي دستوري با شركتهاي پرداخت الكترونيك رقابت ميكنند در صورتي كه ماموريت اپراتورها اين نيست، بلكه بايد زيرساخت و بستر خدمات را براي شركتهاي پرداخت الكترونيك فراهم كنند و اينگونه رفتارها نشان از جزيرهيي عمل كردن است.
وي در خاتمه گفت: رگولاتوري بانك مركزي و شاپرك بايد خلأ قانوني در اين مورد را برطرف و مرزها را مشخص كند تا از اين مرزها عبور نشود و با دستورالعمل قانوني اينگونه ابهامات و جزيرهيي عمل كردن از بين برود.
در هرصورت گمانهزني و زمزمههاي زيادي در خصوص اجرايي نشدن ديگر تراكنشهاي مالي با كدهاي دستوري نيز به گوش ميرسد كه به نظر ميرسد در صورت رفع برخي ابهامهاي موجود ديگر تراكنشهاي مالي نيز بر اين بستر حذف شود.