کارگروه راهکارهای دیجیتال
مقدمه
دنیای پرداخت الکترونیک در دهه اخیر دستخوش تحولات بنیادینی شده است که قلب تپنده این تحولات، مقررات خدمات پرداخت نسخه دوم یا همان PSD2 است. اگرچه هدف اصلی این مقررات، شکست انحصار بانکها و ایجاد بستری رقابتی برای ارائهدهندگان خدمات پرداخت شخص ثالث بود. اما موتور محرک و امنیتی آن، الزامات سختگیرانه احراز هویت مشتریان یا همان SCA (احراز هویت قوی) است.
در این مقاله، فراتر از تعاریف حقوقی و ساختار کلی PSD2، به لایههای اجرایی و عملیاتی احراز هویت و چالشها و فرصتهای PSD2 در سیستمهای پرداخت میپردازیم. تمرکز ما بر این است که در فرآیند پیادهسازی SCA و مکانیزمهای احراز هویت، بازیگران نظام پرداخت با چه موانع واقعی روبهرو هستند و چگونه میتوانند از دل همین چالشها، فرصتهایی برای نوآوری و رشد استخراج کنند.
چالشهای اجرایی در احراز هویت
اجرای دقیق الزامات احراز هویت قوی در نظام پرداخت، با وجود شفافیت قوانین، در عمل با موانع متعددی روبهرو است که از زیرساختهای فنی گرفته تا رفتار انسانی را در بر میگیرد.
تعادل شکننده بین امنیت و تجربه کاربری (UX)
یکی از بزرگترین چالشهای اجرایی، تضاد ذاتی بین امنیت بیشتر و سهولت استفاده است. روش SCA مستلزم آن است که احراز هویت بر پایه دو عنصر مستقل از سه دسته (دانشی، دارایی و بیومتریک) انجام شود. در عمل، این یعنی کاربر برای هر تراکنش ساده، ممکن است نیاز به وارد کردن رمز پویا، اسکن اثر انگشت یا تایید یک پیامک داشته باشد.
چالش اجرایی در اینجاست که افزایش مراحل احراز هویت، منجر به تراکنشهای ناتمام میشود. آمارها نشان میدهد که هرگونه اصطکاک در فرآیند پرداخت، باعث ریزش مشتری در سبد خرید (Checkout abandonment) میشود. بانکها و فروشندگان در تلاشند تا این فرآیند را تا حد ممکن نامحسوس کنند، اما حفظ استانداردهای امنیتی PSD2 اجازه کاهش سطح امنیت را نمیدهد. طراحی جریانهای کاری (Workflows) که هم امن باشند و هم سریع، یک معمای پیچیده مهندسی و طراحی است.
ناهماهنگی زیرساختهای فنی و میراث بانکی (Legacy Systems)
بسیاری از بانکهای سنتی با سیستمهای اصلی قدیمی (Core Banking Systems) فعالیت میکنند که دههها پیش نوشته شدهاند. اتصال این سیستمهای قدیمی به دروازههای API مدرن که برای PSD2 و SCA لازم هستند، چالشی فنی و پرهزینه است. اجرای احراز هویت قوی نیازمند ارتباطات بلادرنگ (Real-time) بین بانک، سرور احراز هویت و دستگاه کاربر است.
سیستمهای قدیمی ممکن است پاسخگوی حجم بالای درخواستهای احراز هویت با تأخیر کم نباشند. این تأخیرها نهتنها تجربه کاربر را تخریب میکنند، بلکه ممکن است منجر به مشکلدار شدن تراکنشها (به دلیل TimeOut شدن) شوند. بازنویسی یا اصلاح این زیرساختها نیازمند سرمایهگذاری کلان و تخصص فنی است که بسیاری از موسسات مالی کوچک را با محدودیت جدی روبهرو میکند.
مسائل مربوط به قابلیت همکاری
قوانین PSD2 اجازه میدهد مشتریان از ارائهدهندگان خدمات شخص ثالث برای مدیریت حسابهای بانکی خود استفاده کنند. این امر مستلزم آن است که سیستمهای احراز هویت بانکها با سیستمهای فینتکها و برنامههای کاربردی تلفن همراه مدیریت حساب به درستی با هم ارتباط برقرار کنند.
چالش اجرایی در اینجا، تفاوت در استانداردها و پروتکلهای پیادهسازی شده توسط بانکهای مختلف است. یک فینتک باید بتواند با دهها بانک مختلف که هر کدام روش خاصی برای ارسال کد تایید یا بیومتریک دارند، ارتباط برقرار کند. عدم وجود یک استاندارد یکسان در رابط کاربری احراز هویت، باعث سردرگمی کاربران و خطاهای سیستم میشود.
برای مثال، نحوه نمایش کد تایید یا روش ورود به بانک در برنامههای کاربردی شخص ثالث ممکن است با برنامههای کاربردی اصلی بانک متفاوت باشد و این امر اعتماد کاربر را خدشهدار میکند. در واقع این مسئله ممکن است در ذهن کاربر ایجاد دوگانگی کند.
خطرات جدید امنیتی و مهندسی اجتماعی
با وجود اینکه SCA برای افزایش امنیت طراحی شده، اما روشهای اجرایی آن میتوانند حفرههای جدیدی ایجاد کنند. یکی از چالشهای بزرگ، تکیه بر روشهایی مانند SMS برای احراز هویت است. حملات تبادل سیمکارت (SIM Swapping) و بدافزارهایی که پیامکهای تایید را رهگیری میکنند، تهدیدهای واقعی هستند.
چالش اجرایی برای بانکها این است که چگونه بدون ایجاد مزاحمت برای کاربر، لایههای امنیتی بیشتری را برای تشخیص حملات مهندسی اجتماعی اضافه کنند. تشخیص اینکه یک درخواست احراز هویت از طرف مالک واقعی دستگاه است یا یک مهاجم که از طریق تروجان کنترل دستگاه را به دست گرفته، نیازمند سیستمهای هوش مصنوعی پیشرفته و تحلیل رفتاری است که پیادهسازی و نگهداری آنها دشوار است.
مدیریت استثناها و تراکنشهای با ریسک پایین
مقررات PSD2 استثناهایی برای SCA قائل شده است. (مانند تراکنشهای با ارزش کم یا پرداختهای قابل اعتماد) اما پیادهسازی اجرایی این استثناها پیچیده است. بانکها باید سیستمهای خود را به شکلی تنظیم کنند که بتوانند به صورت پویا ریسک تراکنش را ارزیابی کنند.
چالش در اینجاست که خطا در ارزیابی ریسک میتواند منجر به نقض مقررات شود. اگر بانکی بیش از حد از SCA چشمپوشی کند، با جریمههای سنگین روبهرو خواهد شد و اگر بیش از حد سختگیر باشد، خدمات خود را غیرقابل استفاده میکند. تنظیم دقیق موتورهای ریسک (Risk Engines) برای تشخیص تراکنشهای امن بدون نیاز به احراز هویت مجدد، یک فرآیند پیوسته و پرچالش است
فرصتهای اجرایی در احراز هویت
در کنار این چالشها، اجرای الزامات احراز هویت در PSD2 بستری برای ایجاد ارزش و نوآوری فراهم کرده است که میتواند آینده نظام پرداخت را دگرگون کند.
ظهور احراز هویت بیومتریک و بدون اصطکاک
الزام به احراز هویت قوی، بانکها را وادار کرده تا از روشهای سنتی (رمزهای ثابت و SMS) فاصله بگیرند و به سمت بیومتریک پیشرفته حرکت کنند. این امر فرصتی است تا احراز هویت مبتنی بر اثر انگشت، تشخیص چهره و حتی اسکن عنبیه (Iris scanning) که در گوشیهای هوشمند مدرن موجود است، بهعنوان استاندارد درآید.
فرصت اجرایی در اینجا، پیادهسازی احراز هویت «غیرفعال (Passive)» است. با استفاده از سنسورهای پیشرفته، کاربر میتواند بدون انجام هیچ کار اضافی (مثل وارد کردن رمز)، صرفاً با نگاهکردن به گوشی یا لمس آن، احراز هویت شود. این موضوع نهتنها امنیت را به شدت بالا میبرد (چون بیومتریک جعلپذیری کمتری نسبت به رمزها دارد)، بلکه تجربه کاربری را روانتر از گذشته میکند. فینتکهایی که بتوانند سریعترین و دقیقترین روشهای بیومتریک را پیادهسازی کنند، بر بازار مسلط خواهند شد.
استفاده از هوش مصنوعی و تحلیل رفتار برای احراز هویت مداوم
مقررات PSD2 نیازمند احراز هویت در لحظه پرداخت است، اما فرصتی ایجاد کرده تا از هوش مصنوعی برای «احراز هویت مداوم» استفاده شود. بهجای تمرکز صرف بر یک لحظه، سیستمها میتوانند رفتار کاربر را در طول زمان تحلیل کنند.
فرصت اجرایی اینجاست که بانکها میتوانند با استفاده از الگوریتمهای یادگیری ماشین، نحوه تایپکردن، سرعت اسکرول، مکان جغرافیایی و حتی الگوی حرکتی کاربر را یاد بگیرند. اگر رفتار کاربر در لحظه پرداخت با الگوی عادی او مطابقت داشته باشد، سیستم میتواند SCA را سادهتر یا حذف کند (در چارچوب استثناهای ریسک پایین). این رویکرد، احراز هویت را از یک مانع به یک فرآیند نامحسوس تبدیل میکند و اعتماد به سیستمهای بانکی را افزایش میدهد.
استانداردسازی و نوآوری در پروتکلهای ارتباطی (Open Banking)
اجرای PSD2 و نیاز به ارتباط امن بین بانکها و TPPs، منجر به بلوغ پروتکلهای استانداردی مانند OAuth 2.0 و OpenID Connect شده است. این فرصت به توسعهدهندگان اجازه میدهد تا روی ساختارهای امن و تکرارپذیر تمرکز کنند.
فرصت اجرایی برای شرکتهای فنی، ساخت دروازههای احراز هویت تخصصی (Authentication Gateways) است که میتوانند بهعنوان واسطه بین بانکهای مختلف عمل کنند. این شرکتها میتوانند با ارائه APIهای یکسان برای احراز هویت، هزینه ورود فینتکها به بازار را کاهش دهند. همچنین، این اکوسیستم باز باعث میشود که روشهای نوین احراز هویت (مانند احراز هویت مبتنی بر بلاکچین یا دیجیتال آیدی) سریعتر مورد پذیرش قرار گیرند.
افزایش اعتماد و کاهش تقلب در بلندمدت
اگرچه در کوتاهمدت اجرای SCA چالشبرانگیز است، اما در بلندمدت فرصتی برای پاکسازی اکوسیستم پرداخت از عوامل متقلب فراهم میکند. با حذف روشهای ناامن احراز هویت، هزینه انجام تقلب برای مجرمان سایبری به شدت افزایش مییابد.
این امر فرصتی است برای بانکها تا با کاهش هزینههای ناشی از بازپرداخت تراکنشهای جعلی (Chargebacks) و تحقیقات امنیتی، منابع خود را صرف توسعه خدمات نوین کنند. همچنین، مشتریان که اطمینان پیدا میکنند سیستمهای پرداخت بسیار امن هستند، تمایل بیشتری به استفاده از خدمات بانکداری دیجیتال و خریدهای آنلاین با مبالغ بالا خواهند داشت که به رشد کل اقتصاد دیجیتال کمک میکند.
شخصیسازی خدمات مالی از طریق دادههای احراز هویت
دادههای حاصل از فرآیندهای احراز هویت میتواند منبع ارزشمندی برای درک مشتریان باشد. تحلیل نحوه تعامل کاربران با سیستمهای امنیتی میتواند به بانکها کمک کند تا خدمات خود را شخصیسازی کنند.
فرصت اجرایی در این است که بانکها میتوانند بر اساس سطح ریسک و رفتار احراز هویتی کاربر، سطوح مختلفی از خدمات و محصولات را ارائه دهند. برای مثال، به کاربرانی که همیشه از روشهای امن پیشرفته استفاده میکنند، میتوان وامهای با بهره کمتر یا سقف تراکنش بالاتر تعلق گرفت. این رویکرد، انگیزهای برای مشتریان ایجاد میکند تا خودشان نیز در تقویت امنیت سیستم مشارکت کنند.
جمعبندی
اجرای احراز هویت در چارچوب مقررات PSD2، مسیری پرپیچ و خم و پرفراز و نشیب است که نیازمند هماهنگی دقیق بین سیاستگذاران، بانکها و فناوران است. چالشهای پیشرو، از زیرساختهای فرسوده گرفته تا تهدیدات امنیتی نوظهور، واقعیترین و جدیترین موانع هستند که نمیتوان آنها را نادیده گرفت. با این حال، نگاه به این مقررات بهعنوان یک مانع صرف، دیدگاهی محدود است.
فرصتهای ایجاد شده توسط الزامات SCA، از جمله تحول دیجیتال در روشهای بیومتریک، استفاده از هوش مصنوعی برای تحلیل رفتار و ایجاد اکوسیستم استاندارد Open Banking، پتانسیل بالایی برای ارتقای سطح خدمات مالی دارد. موسساتی که بتوانند این چالشها را به فرصت تبدیل کنند، نهتنها از جریمهها و ریسکها در امان میمانند، بلکه به رهبران بازار جدیدی تبدیل خواهند شد که در آن امنیت و تجربه کاربری، دو بال پرواز برای رشد پایدار هستند. آینده نظام پرداخت، متعلق به کسانی است که میتوانند در این لبه تیز امنیت و راحتی، تعادلی پایدار و هوشمندانه ایجاد کنند.