احراز هویت دیجیتال به قانون بالادستی و رگولاتوری متحد نیاز دارد

مجازیستاحراز هویت دیجیتال مهم‌ترین دغدغه مسئولان در حوزه‌های مختلفی چون بانکداری و بیمه و بورس بوده است، به خصوص در ماه‌های اخیر که استقبال مردم برای سرمایه‌گذاری در بورس افزایش یافته و به خاطر شیوع کرونا حضور مردم در شعبه‌های بانک یا دفاتر پیش‌خوان برای احراز هویت پرریسک‌تر از گذشته شده است، اهمیتش دو چندان شده است. حالا حاضران در پنل گفت‌وگوی سیزدهمین رویداد فیناپ که به بررسی همین موضوع پرداخته است معتقد هستند باید قانونی مدون و کامل در حوزه احراز هویت تهیه و تدوین شود و سپس سامانه‌ای واحد منابع مرجع حوزه احراز هویت را به هم متصل کند تا به این صورت هزینه‌های مردم هم کاهش یابد.

محمد گرکانی نژاد، کارشناس پرداخت و بانکداری الکترونیکی در این میزگرد:

  • در بحث مقررات‌گذاری باید دو موضوع احراز هویت (Authentication) و شناسایی افراد (IDENTIFICARTION) را از هم جدا کنیم، روند احراز هویت و شناسایی افراد در طول زمان، شناسایی افراد، به مقوله‌ای گفته می‌شود که شخص برای نخستین بار به بانک مراجعه می‌کند و اطلاعات خود را می‌دهد و اطلاعات او با دیتابیس‌های مختلف سنجیده می‌شود.
  • پس از شناسایی کاربر، هرزمان که می‌خواهد از بانک سرویسی دریافت کند باید هویتش احراز شود. البته باید توجه کنیم که پیشتر هم بحث احراز هویت انجام می‌شد. اینکه فردی با کارت خود از حسابش پولی بردارد، نوعی احراز هویت است. حتی در بورس هم به صورتی احراز هویت انجام می‌شد.
  • بعدها برای دریافت سرویس‌هایی چون دسترسی به حساب بدون محدودیت strong customer authentication یا SDA به وجود آمد. پس در حوزه احراز هویت مجموعه قوانینی ایجاد شد که با این مجموعه قوانین حتی شرکت‌های مالی غیربانکی (non-bank) هم می‌توانند مشابه بانک‌ها سرویس عرضه کنند. در مقررات اروپا به این صورت است که یک شرکت‌ مالی غیربانکی می‌تواند به یک NTT ارائه دهنده سرویس تبدیل شود.
  • هویت دیجیتال باید توسط یک نهاد بالادستی تعریف شود.
  • در بحث شناسایی افراد یکی از بهترین مقررات که توسط اتحادیه اروپا تصویب شد، eIDASیا electronic Identification ,Authentication and trust service است. یکی از مهم‌ترین بخش این مقررات این است که برای تمام شهروندان اروپا یک هویت دیجیتال تعریف شد. البته در بحث احراز هویت، بحث تجربه کاربری هم پیش می‌آید.
  • یکی از مشکلات بانک‌ها این بود که می‌خواستند به کاربران امکانات متفاوت عرضه کنند تا به راحتی از خدمات بانک بهره‌ ببرند؛ اما هردفعه باید احراز هویت شوند. به همین خاطر  risk based authentication یا RBA مطرح شد. یعنی سرویس‌دهندگان می‌توانند گاه تحت شرایطی از این SDA عبور کنند و به تجربه کاربری توجه کنند. این مقررات به صورتی به هم متصل هستند و در هم تنیدگی‌هایی دارند.
  • در ایران باید identification،یا هویت دیجیتال توسط قانون مصوب مجلس تعریف شود یا نهادی مانند ثبت احوال که متولی این حوزه است، این هویت را تعریف کند. او همچنین تاکید کرد: «ما مقرراتی چون پروژه eIDASدر کشور نداریم. هویت دیجیتالی نداریم و خلایی است که باید قانون‌گذاری در این زمینه انجام شود. البته طبیعی است که در این فضا دستگاه‌ها بیکار نمی‌نشینند. چون سرعت تحول تکنولوژی بالاست و آنها همراه با این تغییرات سرویس‌هایی در حوزه احراز هویت شبیه‌سازی می‌کنند؛ مانند آنچه در بورس ایجاد شد.
  • در حوزه بانکداری رگولاتور با احتیاط مقررات‌گذاری می‌کند، البته رگولاتور قرار نیست با سرعتی که فناوری تغییر می‌کند عمل کند. در عین حال نباید از حدی عقب‌تر باشد. حتی در سیلیکون‌ولی هم ریسک قانونگذاری وجود دارد.

ارتباط بین بانک و بازار مالی ایجاد شود

در ادامه این پنل علیرضا ماهیار، معاون فناوری و توسعه نوآوری سمات

  • اصل سجام هم براساس قوانین eIDASاست و قوانین مبارزه با پولشویی در دنیا روی این قضیه تاکید می‌کرد که ما باید از کاربر از چند کانال امن داده‌های متفاوت بگیریم و بررسی و صحت‌سنجی کنیم. ما در سجام در بحث احراز هویت هم برای کاربر درگاه یکپارچه ذینعفان بازار سرمایه را راه‌‌اندازی کردیم.
  • سجام و سامانه‌های احراز هویت پلی هستند میان توسعه‌‌دهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند
  • برای راه‌اندازی سجام، سه سال و نیم مطالعات دقیق تطبیقی و حقوقی منطبق بر قوانین جاری در کشور انجام شد. اگر چند بانک و کارگزاری بانکی به شبکه سجام متصل شدند و بحث احراز هویت را انجام می‌‌دهند، به خاطر اصل به اشتراک‌گذاری اطلاعات» است و پشتوانه قانونی که در این زمینه وجود دارد. ما با نهادهای مالی تحت نظارت سازمان بورس، بانک‌ها و مراجعی که قانونگذار مشخص کرده، تبادل اطلاعات را انجام می‌دهیم.
  • سجام و سامانه‌های احراز هویت پلی هستند میان توسعه‌‌دهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند. کارگزاری‌ها پس از مدتی در این حوزه سرمایه‌گذاری کردند و حساب آنلاین افتتاح کردند و مقدمه‌ای شد برای ارائه خدمات مالی نوین. به نظر من بورس در حوزه احراز هویت الکترونیکی پیشروتر بوده و قوانین به این حوزه بسیار کمک کرده است. قطعا می‌توان ارتباط مکانیزه به لحاظ فنی و حقوقی بین شبکه بانکی و شبکه بازار سرمایه شکل بگیرد.
  • ارتباط مکانیزه کمک می‌کند تا  اگر کاربری در بانک احراز هویت کرد، به مراجعه حضوری نیاز نداشته باشد.

رگولاتور در سیستم بانکی بسیار محتاط است

مرتضی اکبری، مدیرعامل بانک مهر ایران:

  • از لحاظ ریسک‌پذیری کار بانک‌ها بسیار دشوار است چون با پول سرکار دارند. وجود رگولاتورهای مختلف در کشور و اینکه هرکدام براساس وضعیتی که دارند، تصمیم‌گیری‌هایی انجام می‌دهند یکی دیگر از مشکلات اساسی ما است.
  • شاید سازمان بورس راحتت‌تر با شرایط جدید کنار می‌آید یا اگر کنار نمی‌آید، ویروسی به نام کرونا در کشور شیوع پیدا می‌کند و بازار فعال می‌شود و مجبور است، در بسیاری از موارد کوتاه بیاید. در بانک چنین اجباری ایجاد نشده است. رگولاتوری تحث تاثیر محیط باید قرار بگیرد و با تکنولوژی خود را منطبق کند.
  • رگولاتور در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست.
  • در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست و از طرفی با احراز هویت‌های مختلف هزینه‌های مردم را هم زیاد کردند. بانک و بیمه و بورس به صورت جداگانه احراز هویت می‌کنند. درصورتی که لزومی ندارد اینطور انجام شود. وقتی سیستم بانکی احراز هویت انجام می‌دهد، نیازی نیست بیمه و بورس احراز هویت انجام دهد. در این حوزه باید قانون بالادستی قوی و رگولاتوری متحد داشته باشیم. نمی‌توان یک رگولاتوری برای بانک، یک رگولاتوری برای بیمه و یک رگولاتوری برای بورس تصمیم‌گیری کند.
  • می‌توان همه منابع مرجع در حوزه احراز هویت را با یک لینک به هم متصل کنیم.در اینصورت بسیاری از مشکلات ما حل می‌شد. در این زمینه خلا قانونی وجود دارد. رگولاتوری باعث شده تا بانک‌ها داده‌‌های خود را در اختیار نهادهای دیگر قرار ندهند و در بحث احراز هویت توسط بیمه و بورس موازی کاری انجام شود.

بازار سیستم‌های بانکی بازاری بسته است

محمد مظاهری، مدیرعامل شرکت توسن تکنو:

  • چارچوب‌های قانونی در حوزه احراز هویت باید مدون و کامل‌تر شود.همه مشکلات احراز هویت دیجیتال تقصیر رگولاتور نیست برخی از آنها تقصیر لختی بازار است.
  • تمام مشکلات حوزه احراز هویت را متوجه رگولاتوری نیست و بخشی از مشکلات به لختی ما در کسب‌وکار خودمان و بخش دیگر به بازارمان بازمی‌گردد. بانک‌های ایران سرویس بین‌المللی ارائه نمی‌دهند تا مجبور شوند راه‌حل‌های نوین عرضه کنند. بازار ما بازاری بسته است. البته اگر نیازی ایجاد شود و مشتری به سرویسی احتیاج داشته باشد، بالاخره راه حل برای آن پیدا می‌کنیم.
  • باید توجه کنیم اینکه در چه سطحی احراز هویت انجام شود، به سرویسی که شما ارائه می‌دهید، بستگی دارد به عنوان مثال زراعت بانک در ترکیه در شعبه بحث سرویس موبایل بانک را راه‌اندازی نمی‌کند بلکه با مرکز تماس می‌گیرد و کاربران را راهنمایی می‌کند. بحث احراز هویت و شناسایی افراد هم دورادور انجام می‌دهد.

/پیوست/

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

این سایت از اکیسمت برای کاهش هرزنامه استفاده می کند. بیاموزید که چگونه اطلاعات دیدگاه های شما پردازش می‌شوند.

جایزه همراه اول