چالش‌ها و فرصت‌های اجرایی PSD2 در سیستم پرداخت دیجیتال

چالش‌ها و فرصت‌های PSD2 در سیستم‌های پرداخت

فهرست مطالب

کارگروه راهکارهای دیجیتال

مقدمه

دنیای پرداخت الکترونیک در دهه اخیر دست‌خوش تحولات بنیادینی شده است که قلب تپنده این تحولات، مقررات خدمات پرداخت نسخه دوم یا همان PSD2 است. اگرچه هدف اصلی این مقررات، شکست انحصار بانک‌ها و ایجاد بستری رقابتی برای ارائه‌دهندگان خدمات پرداخت شخص ثالث بود. اما موتور محرک و امنیتی آن، الزامات سخت‌گیرانه احراز هویت مشتریان یا همان SCA (احراز هویت قوی) است.

در این مقاله، فراتر از تعاریف حقوقی و ساختار کلی PSD2، به لایه‌های اجرایی و عملیاتی احراز هویت و چالش‌ها و فرصت‌های PSD2 در سیستم‌های پرداخت می‌پردازیم. تمرکز ما بر این است که در فرآیند پیاده‌سازی SCA و مکانیزم‌های احراز هویت، بازیگران نظام پرداخت با چه موانع واقعی روبه‌رو هستند و چگونه می‌توانند از دل همین چالش‌ها، فرصت‌هایی برای نوآوری و رشد استخراج کنند.

چالش‌های اجرایی در احراز هویت

اجرای دقیق الزامات احراز هویت قوی در نظام پرداخت، با وجود شفافیت قوانین، در عمل با موانع متعددی روبه‌رو است که از زیرساخت‌های فنی گرفته تا رفتار انسانی را در بر می‌گیرد.

تعادل شکننده بین امنیت و تجربه کاربری (UX)

یکی از بزرگترین چالش‌های اجرایی، تضاد ذاتی بین امنیت بیشتر و سهولت استفاده است. روش SCA مستلزم آن است که احراز هویت بر پایه دو عنصر مستقل از سه دسته (دانشی، دارایی و بیومتریک) انجام شود. در عمل، این یعنی کاربر برای هر تراکنش ساده، ممکن است نیاز به وارد کردن رمز پویا، اسکن اثر انگشت یا تایید یک پیامک داشته باشد.

چالش اجرایی در این‌جاست که افزایش مراحل احراز هویت، منجر به تراکنش‌های ناتمام می‌شود. آمارها نشان می‌دهد که هرگونه اصطکاک در فرآیند پرداخت، باعث ریزش مشتری در سبد خرید  (Checkout abandonment) می‌شود. بانک‌ها و فروشندگان در تلاشند تا این فرآیند را تا حد ممکن نامحسوس کنند، اما حفظ استانداردهای امنیتی PSD2 اجازه کاهش سطح امنیت را نمی‌دهد. طراحی جریان‌های کاری (Workflows) که هم امن باشند و هم سریع، یک معمای پیچیده مهندسی و طراحی است.

ناهماهنگی زیرساخت‌های فنی و میراث بانکی (Legacy Systems)

بسیاری از بانک‌های سنتی با سیستم‌های اصلی قدیمی (Core Banking Systems) فعالیت می‌کنند که دهه‌ها پیش نوشته شده‌اند. اتصال این سیستم‌های قدیمی به دروازه‌های API مدرن که برای PSD2 و SCA لازم هستند، چالشی فنی و پرهزینه است. اجرای احراز هویت قوی نیازمند ارتباطات بلادرنگ (Real-time) بین بانک، سرور احراز هویت و دستگاه کاربر است.

سیستم‌های قدیمی ممکن است پاسخ‌گوی حجم بالای درخواست‌های احراز هویت با تأخیر کم نباشند. این تأخیرها نه‌تنها تجربه کاربر را تخریب می‌کنند، بلکه ممکن است منجر به مشکل‌دار شدن تراکنش‌ها (به دلیل TimeOut شدن) شوند. بازنویسی یا اصلاح این زیرساخت‌ها نیازمند سرمایه‌گذاری کلان و تخصص فنی است که بسیاری از موسسات مالی کوچک را با محدودیت جدی روبه‌رو می‌کند.

مسائل مربوط به قابلیت همکاری

قوانین PSD2 اجازه می‌دهد مشتریان از ارائه‌دهندگان خدمات شخص ثالث برای مدیریت حساب‌های بانکی خود استفاده کنند. این امر مستلزم آن است که سیستم‌های احراز هویت بانک‌ها با سیستم‌های فین‌تک‌ها و برنامه‌های کاربردی تلفن همراه مدیریت حساب به درستی با هم ارتباط برقرار کنند.

چالش اجرایی در این‌جا، تفاوت در استانداردها و پروتکل‌های پیاده‌سازی شده توسط بانک‌های مختلف است. یک فین‌تک باید بتواند با ده‌ها بانک مختلف که هر کدام روش خاصی برای ارسال کد تایید یا بیومتریک دارند، ارتباط برقرار کند. عدم وجود یک استاندارد یکسان در رابط کاربری احراز هویت، باعث سردرگمی کاربران و خطاهای سیستم می‌شود.

برای مثال، نحوه نمایش کد تایید یا روش ورود به بانک در برنامه‌های کاربردی شخص ثالث ممکن است با برنامه‌های کاربردی اصلی بانک متفاوت باشد و این امر اعتماد کاربر را خدشه‌دار می‌کند. در واقع این مسئله ممکن است در ذهن کاربر ایجاد دوگانگی کند.

خطرات جدید امنیتی و مهندسی اجتماعی

با وجود این‌که SCA برای افزایش امنیت طراحی شده، اما روش‌های اجرایی آن می‌توانند حفره‌های جدیدی ایجاد کنند. یکی از چالش‌های بزرگ، تکیه بر روش‌هایی مانند SMS برای احراز هویت است. حملات تبادل سیم‌کارت (SIM Swapping) و بدافزارهایی که پیامک‌های تایید را رهگیری می‌کنند، تهدیدهای واقعی هستند.

چالش اجرایی برای بانک‌ها این است که چگونه بدون ایجاد مزاحمت برای کاربر، لایه‌های امنیتی بیشتری را برای تشخیص حملات مهندسی اجتماعی اضافه کنند. تشخیص این‌که یک درخواست احراز هویت از طرف مالک واقعی دستگاه است یا یک مهاجم که از طریق تروجان کنترل دستگاه را به دست گرفته، نیازمند سیستم‌های هوش مصنوعی پیشرفته و تحلیل رفتاری است که پیاده‌سازی و نگهداری آن‌ها دشوار است.

مدیریت استثناها و تراکنش‌های با ریسک پایین

مقررات PSD2 استثناهایی برای SCA قائل شده است. (مانند تراکنش‌های با ارزش کم یا پرداخت‌های قابل اعتماد) اما پیاده‌سازی اجرایی این استثناها پیچیده است. بانک‌ها باید سیستم‌های خود را به شکلی تنظیم کنند که بتوانند به صورت پویا ریسک تراکنش را ارزیابی کنند.

 چالش در این‌جاست که خطا در ارزیابی ریسک می‌تواند منجر به نقض مقررات شود. اگر بانکی بیش از حد از SCA چشم‌پوشی کند، با جریمه‌های سنگین روبه‌رو خواهد شد و اگر بیش از حد سخت‌گیر باشد، خدمات خود را غیرقابل استفاده می‌کند. تنظیم دقیق موتورهای ریسک (Risk Engines) برای تشخیص تراکنش‌های امن بدون نیاز به احراز هویت مجدد، یک فرآیند پیوسته و پرچالش است

فرصت‌های اجرایی در احراز هویت

در کنار این چالش‌ها، اجرای الزامات احراز هویت در PSD2 بستری برای ایجاد ارزش و نوآوری فراهم کرده است که می‌تواند آینده نظام پرداخت را دگرگون کند.

ظهور احراز هویت بیومتریک و بدون اصطکاک

الزام به احراز هویت قوی، بانک‌ها را وادار کرده تا از روش‌های سنتی (رمزهای ثابت و SMS) فاصله بگیرند و به سمت بیومتریک پیشرفته حرکت کنند. این امر فرصتی است تا احراز هویت مبتنی بر اثر انگشت، تشخیص چهره و حتی اسکن عنبیه (Iris scanning)  که در گوشی‌های هوشمند مدرن موجود است، به‌عنوان استاندارد درآید.

فرصت اجرایی در این‌جا، پیاده‌سازی احراز هویت «غیرفعال (Passive)» است. با استفاده از سنسورهای پیشرفته، کاربر می‌تواند بدون انجام هیچ کار اضافی (مثل وارد کردن رمز)، صرفاً با نگاه‌کردن به گوشی یا لمس آن، احراز هویت شود. این موضوع نه‌تنها امنیت را به شدت بالا می‌برد (چون بیومتریک جعل‌پذیری کمتری نسبت به رمزها دارد)، بلکه تجربه کاربری را روان‌تر از گذشته می‌کند. فین‌تک‌هایی که بتوانند سریع‌ترین و دقیق‌ترین روش‌های بیومتریک را پیاده‌سازی کنند، بر بازار مسلط خواهند شد.

استفاده از هوش مصنوعی و تحلیل رفتار برای احراز هویت مداوم

مقررات PSD2 نیازمند احراز هویت در لحظه پرداخت است، اما فرصتی ایجاد کرده تا از هوش مصنوعی برای «احراز هویت مداوم» استفاده شود. به‌جای تمرکز صرف بر یک لحظه، سیستم‌ها می‌توانند رفتار کاربر را در طول زمان تحلیل کنند.

فرصت اجرایی این‌جاست که بانک‌ها می‌توانند با استفاده از الگوریتم‌های یادگیری ماشین، نحوه تایپ‌کردن، سرعت اسکرول، مکان جغرافیایی و حتی الگوی حرکتی کاربر را یاد بگیرند. اگر رفتار کاربر در لحظه پرداخت با الگوی عادی او مطابقت داشته باشد، سیستم می‌تواند SCA را ساده‌تر یا حذف کند (در چارچوب استثناهای ریسک پایین). این رویکرد، احراز هویت را از یک مانع به یک فرآیند نامحسوس تبدیل می‌کند و اعتماد به سیستم‌های بانکی را افزایش می‌دهد.

استانداردسازی و نوآوری در پروتکل‌های ارتباطی (Open Banking)

اجرای PSD2 و نیاز به ارتباط امن بین بانک‌ها و TPPs، منجر به بلوغ پروتکل‌های استانداردی مانند  OAuth 2.0 و OpenID Connect  شده است. این فرصت به توسعه‌دهندگان اجازه می‌دهد تا روی ساختارهای امن و تکرارپذیر تمرکز کنند.

فرصت اجرایی برای شرکت‌های فنی، ساخت دروازه‌های احراز هویت تخصصی (Authentication Gateways) است که می‌توانند به‌عنوان واسطه بین بانک‌های مختلف عمل کنند. این شرکت‌ها می‌توانند با ارائه APIهای یکسان برای احراز هویت، هزینه ورود فین‌تک‌ها به بازار را کاهش دهند. همچنین، این اکوسیستم باز باعث می‌شود که روش‌های نوین احراز هویت (مانند احراز هویت مبتنی بر بلاکچین یا دیجیتال آیدی) سریع‌تر مورد پذیرش قرار گیرند.

افزایش اعتماد و کاهش تقلب در بلندمدت

اگرچه در کوتاه‌مدت اجرای SCA چالش‌برانگیز است، اما در بلندمدت فرصتی برای پاک‌سازی اکوسیستم پرداخت از عوامل متقلب فراهم می‌کند. با حذف روش‌های ناامن احراز هویت، هزینه انجام تقلب برای مجرمان سایبری به شدت افزایش می‌یابد.

این امر فرصتی است برای بانک‌ها تا با کاهش هزینه‌های ناشی از بازپرداخت تراکنش‌های جعلی (Chargebacks) و تحقیقات امنیتی، منابع خود را صرف توسعه خدمات نوین کنند. همچنین، مشتریان که اطمینان پیدا می‌کنند سیستم‌های پرداخت بسیار امن هستند، تمایل بیشتری به استفاده از خدمات بانکداری دیجیتال و خریدهای آنلاین با مبالغ بالا خواهند داشت که به رشد کل اقتصاد دیجیتال کمک می‌کند.

شخصی‌سازی خدمات مالی از طریق داده‌های احراز هویت

داده‌های حاصل از فرآیندهای احراز هویت می‌تواند منبع ارزشمندی برای درک مشتریان باشد. تحلیل نحوه تعامل کاربران با سیستم‌های امنیتی می‌تواند به بانک‌ها کمک کند تا خدمات خود را شخصی‌سازی کنند.

فرصت اجرایی در این است که بانک‌ها می‌توانند بر اساس سطح ریسک و رفتار احراز هویتی کاربر، سطوح مختلفی از خدمات و محصولات را ارائه دهند. برای مثال، به کاربرانی که همیشه از روش‌های امن پیشرفته استفاده می‌کنند، می‌توان وام‌های با بهره کمتر یا سقف تراکنش بالاتر تعلق گرفت. این رویکرد، انگیزه‌ای برای مشتریان ایجاد می‌کند تا خودشان نیز در تقویت امنیت سیستم مشارکت کنند.

جمع‌بندی

اجرای احراز هویت در چارچوب مقررات PSD2، مسیری پرپیچ‌ و خم و پرفراز و نشیب است که نیازمند هماهنگی دقیق بین سیاست‌گذاران، بانک‌ها و فناوران است. چالش‌های پیش‌رو، از زیرساخت‌های فرسوده گرفته تا تهدیدات امنیتی نوظهور، واقعی‌ترین و جدی‌ترین موانع هستند که نمی‌توان آن‌ها را نادیده گرفت. با این حال، نگاه به این مقررات به‌عنوان یک مانع صرف، دیدگاهی محدود است.

فرصت‌های ایجاد شده توسط الزامات SCA، از جمله تحول دیجیتال در روش‌های بیومتریک، استفاده از هوش مصنوعی برای تحلیل رفتار و ایجاد اکوسیستم استاندارد Open Banking، پتانسیل بالایی برای ارتقای سطح خدمات مالی دارد. موسساتی که بتوانند این چالش‌ها را به فرصت تبدیل کنند، نه‌تنها از جریمه‌ها و ریسک‌ها در امان می‌مانند، بلکه به رهبران بازار جدیدی تبدیل خواهند شد که در آن امنیت و تجربه کاربری، دو بال پرواز برای رشد پایدار هستند. آینده نظام پرداخت، متعلق به کسانی است که می‌توانند در این لبه تیز امنیت و راحتی، تعادلی پایدار و هوشمندانه ایجاد کنند.