احراز هویت دیجیتال به قانون بالادستی و رگولاتوری متحد نیاز دارد
مجازیست–احراز هویت دیجیتال مهمترین دغدغه مسئولان در حوزههای مختلفی چون بانکداری و بیمه و بورس بوده است، به خصوص در ماههای اخیر که استقبال مردم برای سرمایهگذاری در بورس افزایش یافته و به خاطر شیوع کرونا حضور مردم در شعبههای بانک یا دفاتر پیشخوان برای احراز هویت پرریسکتر از گذشته شده است، اهمیتش دو چندان شده است. حالا حاضران در پنل گفتوگوی سیزدهمین رویداد فیناپ که به بررسی همین موضوع پرداخته است معتقد هستند باید قانونی مدون و کامل در حوزه احراز هویت تهیه و تدوین شود و سپس سامانهای واحد منابع مرجع حوزه احراز هویت را به هم متصل کند تا به این صورت هزینههای مردم هم کاهش یابد.
محمد گرکانی نژاد، کارشناس پرداخت و بانکداری الکترونیکی در این میزگرد:
- در بحث مقرراتگذاری باید دو موضوع احراز هویت (Authentication) و شناسایی افراد (IDENTIFICARTION) را از هم جدا کنیم، روند احراز هویت و شناسایی افراد در طول زمان، شناسایی افراد، به مقولهای گفته میشود که شخص برای نخستین بار به بانک مراجعه میکند و اطلاعات خود را میدهد و اطلاعات او با دیتابیسهای مختلف سنجیده میشود.
- پس از شناسایی کاربر، هرزمان که میخواهد از بانک سرویسی دریافت کند باید هویتش احراز شود. البته باید توجه کنیم که پیشتر هم بحث احراز هویت انجام میشد. اینکه فردی با کارت خود از حسابش پولی بردارد، نوعی احراز هویت است. حتی در بورس هم به صورتی احراز هویت انجام میشد.
- بعدها برای دریافت سرویسهایی چون دسترسی به حساب بدون محدودیت strong customer authentication یا SDA به وجود آمد. پس در حوزه احراز هویت مجموعه قوانینی ایجاد شد که با این مجموعه قوانین حتی شرکتهای مالی غیربانکی (non-bank) هم میتوانند مشابه بانکها سرویس عرضه کنند. در مقررات اروپا به این صورت است که یک شرکت مالی غیربانکی میتواند به یک NTT ارائه دهنده سرویس تبدیل شود.
- هویت دیجیتال باید توسط یک نهاد بالادستی تعریف شود.
- در بحث شناسایی افراد یکی از بهترین مقررات که توسط اتحادیه اروپا تصویب شد، eIDASیا electronic Identification ,Authentication and trust service است. یکی از مهمترین بخش این مقررات این است که برای تمام شهروندان اروپا یک هویت دیجیتال تعریف شد. البته در بحث احراز هویت، بحث تجربه کاربری هم پیش میآید.
- یکی از مشکلات بانکها این بود که میخواستند به کاربران امکانات متفاوت عرضه کنند تا به راحتی از خدمات بانک بهره ببرند؛ اما هردفعه باید احراز هویت شوند. به همین خاطر risk based authentication یا RBA مطرح شد. یعنی سرویسدهندگان میتوانند گاه تحت شرایطی از این SDA عبور کنند و به تجربه کاربری توجه کنند. این مقررات به صورتی به هم متصل هستند و در هم تنیدگیهایی دارند.
- در ایران باید identification،یا هویت دیجیتال توسط قانون مصوب مجلس تعریف شود یا نهادی مانند ثبت احوال که متولی این حوزه است، این هویت را تعریف کند. او همچنین تاکید کرد: «ما مقرراتی چون پروژه eIDASدر کشور نداریم. هویت دیجیتالی نداریم و خلایی است که باید قانونگذاری در این زمینه انجام شود. البته طبیعی است که در این فضا دستگاهها بیکار نمینشینند. چون سرعت تحول تکنولوژی بالاست و آنها همراه با این تغییرات سرویسهایی در حوزه احراز هویت شبیهسازی میکنند؛ مانند آنچه در بورس ایجاد شد.
- در حوزه بانکداری رگولاتور با احتیاط مقرراتگذاری میکند، البته رگولاتور قرار نیست با سرعتی که فناوری تغییر میکند عمل کند. در عین حال نباید از حدی عقبتر باشد. حتی در سیلیکونولی هم ریسک قانونگذاری وجود دارد.
ارتباط بین بانک و بازار مالی ایجاد شود
در ادامه این پنل علیرضا ماهیار، معاون فناوری و توسعه نوآوری سمات
- اصل سجام هم براساس قوانین eIDASاست و قوانین مبارزه با پولشویی در دنیا روی این قضیه تاکید میکرد که ما باید از کاربر از چند کانال امن دادههای متفاوت بگیریم و بررسی و صحتسنجی کنیم. ما در سجام در بحث احراز هویت هم برای کاربر درگاه یکپارچه ذینعفان بازار سرمایه را راهاندازی کردیم.
- سجام و سامانههای احراز هویت پلی هستند میان توسعهدهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند
- برای راهاندازی سجام، سه سال و نیم مطالعات دقیق تطبیقی و حقوقی منطبق بر قوانین جاری در کشور انجام شد. اگر چند بانک و کارگزاری بانکی به شبکه سجام متصل شدند و بحث احراز هویت را انجام میدهند، به خاطر اصل به اشتراکگذاری اطلاعات» است و پشتوانه قانونی که در این زمینه وجود دارد. ما با نهادهای مالی تحت نظارت سازمان بورس، بانکها و مراجعی که قانونگذار مشخص کرده، تبادل اطلاعات را انجام میدهیم.
- سجام و سامانههای احراز هویت پلی هستند میان توسعهدهندگان تکنولوژی و کارگزاران که تکنولوژی گریز بودند. کارگزاریها پس از مدتی در این حوزه سرمایهگذاری کردند و حساب آنلاین افتتاح کردند و مقدمهای شد برای ارائه خدمات مالی نوین. به نظر من بورس در حوزه احراز هویت الکترونیکی پیشروتر بوده و قوانین به این حوزه بسیار کمک کرده است. قطعا میتوان ارتباط مکانیزه به لحاظ فنی و حقوقی بین شبکه بانکی و شبکه بازار سرمایه شکل بگیرد.
- ارتباط مکانیزه کمک میکند تا اگر کاربری در بانک احراز هویت کرد، به مراجعه حضوری نیاز نداشته باشد.
رگولاتور در سیستم بانکی بسیار محتاط است
مرتضی اکبری، مدیرعامل بانک مهر ایران:
- از لحاظ ریسکپذیری کار بانکها بسیار دشوار است چون با پول سرکار دارند. وجود رگولاتورهای مختلف در کشور و اینکه هرکدام براساس وضعیتی که دارند، تصمیمگیریهایی انجام میدهند یکی دیگر از مشکلات اساسی ما است.
- شاید سازمان بورس راحتتتر با شرایط جدید کنار میآید یا اگر کنار نمیآید، ویروسی به نام کرونا در کشور شیوع پیدا میکند و بازار فعال میشود و مجبور است، در بسیاری از موارد کوتاه بیاید. در بانک چنین اجباری ایجاد نشده است. رگولاتوری تحث تاثیر محیط باید قرار بگیرد و با تکنولوژی خود را منطبق کند.
- رگولاتور در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست.
- در سیستم بانکی بسیار محتاط است، در حالیکه سرعت تغییرات تکنولوژی به شدت بالاست و از طرفی با احراز هویتهای مختلف هزینههای مردم را هم زیاد کردند. بانک و بیمه و بورس به صورت جداگانه احراز هویت میکنند. درصورتی که لزومی ندارد اینطور انجام شود. وقتی سیستم بانکی احراز هویت انجام میدهد، نیازی نیست بیمه و بورس احراز هویت انجام دهد. در این حوزه باید قانون بالادستی قوی و رگولاتوری متحد داشته باشیم. نمیتوان یک رگولاتوری برای بانک، یک رگولاتوری برای بیمه و یک رگولاتوری برای بورس تصمیمگیری کند.
- میتوان همه منابع مرجع در حوزه احراز هویت را با یک لینک به هم متصل کنیم.در اینصورت بسیاری از مشکلات ما حل میشد. در این زمینه خلا قانونی وجود دارد. رگولاتوری باعث شده تا بانکها دادههای خود را در اختیار نهادهای دیگر قرار ندهند و در بحث احراز هویت توسط بیمه و بورس موازی کاری انجام شود.
بازار سیستمهای بانکی بازاری بسته است
محمد مظاهری، مدیرعامل شرکت توسن تکنو:
- چارچوبهای قانونی در حوزه احراز هویت باید مدون و کاملتر شود.همه مشکلات احراز هویت دیجیتال تقصیر رگولاتور نیست برخی از آنها تقصیر لختی بازار است.
- تمام مشکلات حوزه احراز هویت را متوجه رگولاتوری نیست و بخشی از مشکلات به لختی ما در کسبوکار خودمان و بخش دیگر به بازارمان بازمیگردد. بانکهای ایران سرویس بینالمللی ارائه نمیدهند تا مجبور شوند راهحلهای نوین عرضه کنند. بازار ما بازاری بسته است. البته اگر نیازی ایجاد شود و مشتری به سرویسی احتیاج داشته باشد، بالاخره راه حل برای آن پیدا میکنیم.
- باید توجه کنیم اینکه در چه سطحی احراز هویت انجام شود، به سرویسی که شما ارائه میدهید، بستگی دارد به عنوان مثال زراعت بانک در ترکیه در شعبه بحث سرویس موبایل بانک را راهاندازی نمیکند بلکه با مرکز تماس میگیرد و کاربران را راهنمایی میکند. بحث احراز هویت و شناسایی افراد هم دورادور انجام میدهد.
/پیوست/