حکیمی در گفت‌وگو با ایبِنا مطرح کرد؛

اخذ تائیدیه تراکنش از مشتری؛ لازمه اعطای API به فین‌تک‌ها

معاون سابق فناوری‌های نوین بانک مرکزی با بیان اینکه از نظر اجرایی امکان نظارت بر فین‌تک‌ها وجود ندارد، گفت: به نظر من هر بانکی به فین‌تک‌ها API می‌دهد، باید تائیدیه تراکنش را از مشتری بگیرد.

کد خبر : ۱۱۱۸۰۸

ناصر حکیمی در گفت‌وگو با خبرنگار ایبِنا درباره دادن API به فین‌تک‌ها و نقش رگولاتور در این زمینه برای حفظ محرمانگی اطلاعات، گفت: در دنیا این موضوع دارای استاندارد PSD2 است ولی وقتی ما استانداردها را رعایت نمی‌کنیم یا به آنها توجه نمی‌کنیم، مشکل درست می‌شود.

وی تاکید استاندارد PSD2 را بر روی احراز هویت قوی عنوان کرد و افزود: احراز هویت قوی باید توسط بانک و مستقل از فین‌تک انجام شود. فین‌تک شروع کننده یا ارسال کننده تراکنش از طریق API باز است ولی اطلاعات مربوط به تراکنش نباید در اختیار فین‌تک قرار بگیرد.

این کارشناس بانکداری الکترونیک درباره اینکه چرا نباید این اطلاعات در اختیار فین‌تک قرار بگیرد، گفت: این موضوع 2 دلیل عمده دارد؛ اول اینکه فین‌تک آن قدر امین است که ما اطلاعات محرمانه که برای انجام یک تراکنش لازم است را به او می‌دهیم. برای احراز این امانتداری قوی باید به فین‌تک مجوز دارد و بر آن نظارت کرد تا این امانتداری برای ما اثبات شود.

معاون سابق فناوری‌های نوین بانک مرکزی ادامه داد: کما اینکه در حال حاضر 12 PSP فعال در کشور که اطلاعات کارت بانکی مردم را در اختیار دارند، تحت نظارت دقیق و شدید شاپرک قرار دارند.

حکیمی توضیح داد: با این حال اگر بخواهیم به فین‌تک‌ها مجوز دهیم و برآنها نظارت کنیم، دیگر نام آنها فین‌تک نخواهد بود بلکه موسسه‌ای مجوزدار هستند که باید ده‌ها الزام و اجبار را رعایت کنند. این در حالی است که ذات فین‌تک‌ها کوچک بوده و فارغ از سخت‌گیری‌های مرسوم فعالیت می‌کنند.

وی با بیان اینکه فین‌تک‌ها نوآوری و خلاقیت دارند و کار خود را با امکانات کم شروع می‌کنند، اظهار داشت: اگر بخواهیم فین‌تک‌ها را وارد بازی نظارت کنیم، نقض غرض کرده‌ایم.

این کارشناس بانکداری الکترونیک ادامه داد: مساله سوم این است که نظارت، توان و پشتوانه‌ای در نهاد رگولاتور می‌خواهد؛ نهاد ناظر باید عقبه و توان نظارت هم داشته باشد زیرا نمی‌تواند بر 2هزار فین‌تک به طور همزمان نظارت کند. چنین موضوعی نه از نظر عقلی و نه از نظر اجرایی امکان‌پذیر نیست.

معاون سابق فناوری‌های نوین بانک مرکزی توضیح داد: در دنیا این مشکل را با بحث احراز هویت قوی حل کرده‌اند و الزامات کلی و کم دردسری را برای فین‌تک‌ها در نظر گرفته‎اند مانند اینکه در جایی ثبت شده و کسب‌وکار آن معلوم باشد.

حکیمی ادامه داد: فین‌تک‌ها در حقیقت شروع کننده تراکنش هستند و آن را از مشتری گرفته و برای بانک می‌فرستند؛ این بانک است که باید به نحوی با مشتری تماس گرفته و تائیدیه تراکنش را از او بگیرد. به نظر من رگولاتور باید بر این موضوع تمرکز کند که هر بانکی API می‌دهد باید خودش هم تائیدیه تراکنش را از مشتری بگیرد و آن را پیاده‌سازی کند.

وی درباره نقش نهاد ناظر درباره ایجاد سامانه‌های کشف تقلب و تخلف نیز اظهار داشت: متاسفانه این موضوع بدرستی تبیین نشده است و همه انتظار دارند رگولاتور خود سیستم کشف تقلب را راه‌اندازی کند اما واقعیت این است که کشف تقلب نیاز به رفتارشناسی مشتری و داشتن اطلاعات تراکنش‌های او از منظر منطقه جغرافیایی و منحنی‌های رفتاری دارد که این موارد در اختیار بانک است.

این کارشناس بانکداری الکترونیک تصریح کرد: رگولاتور در این زمینه بیشتر الزاماتی را برای ایجاد پروفایل هر مشتری در بانک‌ها مشخص می‌کند و در این پروفایل مشتری رفتارسنجی شده و رفتارهای مشکوک او از طریق تائید یا عدم تائید تراکنش اجرایی می‌شود.