راهکاری برای نظارت دیجیتال

به گزارش آرمان اقتصادی، مجله تازه‌های اقتصاد برای بررسی موضوع مهم نیاز مقام ناظر به ابزارهای جدید برای اعمال نقش نظارتی گفت‌وگویی با ناصر حکیمی معاون سابق فناوری‌های نوین بانک مرکزی داشته است.

وی در این گفت‌وگو تاکید کرد: به‌نظر من، رگولاتور باید بر این موضوع تمرکز کند که هر بانکی API می‌دهد، باید خودش هم تأییدیهٔ تراکنش را از مشتری بگیرد و آن را پیاده‌سازی کند.

آنچه که در زیر می‌خوانید، متن کامل گفت‌وگوی ناصر حکیمی با مجله تازه‌های اقتصاد است:

با توجه به اینکه فین‌تک‌ها در سال‌های اخیر به دنیای بانکداری وارد شده‌اند و این امر می‌تواند در دیجیتالی‌شدن بانک‌ها تأثیرگذار باشد، به‌نظر شما آیا باید بسترسازی‌های جدیدی ازجمله در مقولهٔ نظارت انجام شود؟

از نظر اجرایی، امکان نظارت بر فین‌تک‌ها وجود ندارد و به‌نظر من هر بانکی به فین‌تک‌ها API می‌دهد، باید تأییدیهٔ تراکنش را از مشتری بگیرد. دادن API به فین‌تک‌ها و نقش رگولاتور در این زمینه برای حفظ محرمانگی اطلاعات است. در دنیا، این موضوع دارای استاندارد PSD2 است؛ ولی وقتی ما استانداردها را رعایت نمی‌کنیم یا به آن‌ها توجه نمی‌کنیم، مشکل درست می‌شود.

هرچند بر استاندارد PSD2 برای احراز هویت قوی تأکید می‌شود، احراز هویت قوی باید توسط بانک و مستقل از فین‌تک انجام شود. فین‌تک شروع‌کننده یا ارسال‌کنندهٔ تراکنش از طریق API باز است، ولی اطلاعات مربوط به تراکنش نباید در اختیار فین‌تک قرار بگیرد.

چرا نباید این اطلاعات در اختیار فین‌تک قرار بگیرد؟

این موضوع دو دلیل عمده دارد؛ نخست اینکه فین‌تک آن‌قدر امین است که ما اطلاعات محرمانه را که برای انجام یک تراکنش لازم است، به او می‌دهیم. برای احراز این امانتداری قوی، باید به فین‌تک مجوز داد و بر آن نظارت کرد تا این امانتداری برای ما اثبات شود، کمااینکه درحال حاضر ۱۲ PSP فعال در کشور که اطلاعات کارت بانکی مردم را در اختیار دارند، تحت نظارت دقیق و شدید شاپرک‌اند.

بااین‌حال، اگر بخواهیم به فین‌تک‌ها مجوز دهیم و بر آن‌ها نظارت کنیم، دیگر نام آن‌ها فین‌تک نخواهد بود، بلکه مؤسسه‌ای مجوزدار هستند که باید ده‌ها الزام و اجبار را رعایت کنند. این در حالی است که ذات فین‌تک‌ها کوچک بوده و فارغ از سخت‌گیری‌های مرسوم فعالیت می‌کنند.

فین‌تک‌ها نوآوری و خلاقیت دارند و کار خود را با امکانات کم شروع می‌کنند و اگر بخواهیم فین‌تک‌ها را وارد بازی نظارت کنیم، نقض غرض کرده‌ایم.

مسئلهٔ دیگر این است که نظارت، توان و پشتوانه‌ای در نهاد رگولاتور می‌خواهد؛ نهاد ناظر باید عقبه و توان نظارت هم داشته باشد، زیرا نمی‌تواند هم‌زمان بر ۲هزار فین‌تک نظارت کند. چنین موضوعی از نظر عقلی و اجرایی امکان‌پذیر نیست.

در دنیا، این مشکل را با بحث احراز هویت قوی حل کرده‌اند و الزامات کلی و کم‌دردسری برای فین‌تک‌ها در نظر گرفته‎اند؛ مانند اینکه در جایی ثبت شده و کسب‌وکار آن معلوم باشد.

فین‌تک‌ها در حقیقت شروع‌کنندهٔ تراکنش‌اند و آن را از مشتری می‌گیرند و برای بانک می‌فرستند؛ این بانک است که باید به‌نحوی با مشتری تماس گرفته و تأییدیهٔ تراکنش را از او بگیرد. به‌نظر من، رگولاتور باید بر این موضوع تمرکز کند که هر بانکی API می‌دهد، باید خودش هم تأییدیهٔ تراکنش را از مشتری بگیرد و آن را پیاده‌سازی کند.

به‌نظر شما، نهاد ناظر دربارهٔ ایجاد سامانه‌های کشف تقلب و تخلف چه نقشی دارد؟

متأسفانه، این موضوع به‌درستی تبیین نشده است و همه انتظار دارند رگولاتور خود سیستم کشف تقلب را راه‌اندازی کند. اما، واقعیت این است که کشف تقلب نیاز به رفتارشناسی مشتری و داشتن اطلاعات تراکنش‌های او از منظر منطقهٔ جغرافیایی و منحنی‌های رفتاری دارد که این موارد در اختیار بانک است.

رگولاتور در این زمینه بیشتر الزاماتی را برای ایجاد پروفایل هر مشتری در بانک‌ها مشخص می‌کند و در این پروفایل مشتری رفتارسنجی شده و رفتارهای مشکوک او از طریق تأیید یا عدم تأیید تراکنش اجرایی می‌شود.