راهکارهای جدید جلوگیری از کلاهبرداری در کسب‌وکارهای دیجیتال

با رشد کسب و کار‌های دیجیتال در کشور و مراجعه گسترده مردم به آنها، دسترسی امن و بدون ریسک به اطلاعات عمومی شهروندان، یکی از نیاز‌های مهم کسب و کارهاست و برخی بدون این اطلاعات نمی‌توانند خدمات قابل اطمینانی در اختیار مردم قرار دهند.

با وجود پیشرفت‌های وسیع، همچنان در زمینه تجارت الکترونیک شاهد چالش‌هایی در زمینه قانون‌گذاری، حفظ حریم خصوصی، امنیت و... هستیم که بیشتر آن‌ها ناشی از قوانین غیرشفاف، ناقص یا ناکارآمد در حوزه تجارت الکترونیک است و برخی سعی می‌کنند از نقص قانون و خلاء اطلاعاتی استفاده کنند و تخلفاتی انجام دهند؛ موضوعی که هم اعتماد به کسب وکار‌های اینترنتی را کاهش می‌دهد و هم به مردم و دولت ضربه می‌زند.

دفتر پژوهش و بررسی‌های خبری ایرنا در میزگردی با حضور «رضا باقری‌اصل» معاون امور مجلس وزارت ارتباطات و رئیس کارگروه تعامل پذیری دولت الکترونیک، «اشکان آرمندهی» مدیر عامل سایت دیوار، «حمیدرضا نائینی» مدیرعامل هلدینگ خدمات انفورماتیک راهبر و «شهرام رضایی» قائم مقام شرکت تپسی، فضایی برای طرح این مشکلات، گفتگو درباره آن‌ها و راهکار‌های رفع این معضلات ایجاد کرده که بخش اول آن پیش روی شماست:

این روز‌ها با افزایش استفاده از تجارت الکترونیک و منافع زیاد آن، گاه گرفتاری‌هایی نیز برای مردم ایجاد می‌شود؛ کسب و کار شما با چه چالش‌هایی در ارائه خدمات به کاربران مواجه است؟

آرمندهی مدیرعامل سایت دیوار: همانطور که می‌دانید شیوع بیماری کرونا بیش از هر زمان دیگری این را به ما اثبات کرد که باید جدی‌تر و سریع‌تر در مسیر توسعه زیرساخت‌های تجارت الکترونیک گام برداریم. البته کشور ما تا پیش از شیوع بیماری کووید ۱۹ دستاورد‌هایی در این زمینه داشت، اما لزوم همراهی و کمک به توسعه اقتصاد دیجیتال و شرکت‌هایی که در فضای مجازی فعالیت می‌کنند، در دوران کرونا بیش از هر زمان دیگری احساس شد. این بخش‌ها در برهه سختی به یاری مردم آمدند و به رفع نیاز‌های آنان و بهبود کیفیت رفع این نیاز‌ها کمک کردند.

کسب وکار‌های فضای مجازی نیز مشابه هر کسب وکاری که در فضای حقیقی انجام می‌شود، به طور قطع با چالش‌هایی همراه هستند. متاسفانه بخش عمده‌ای از این مشکلات، ناشی از این است که ما مدل‌های کسب و کاری متعددی در فضای مجازی و تجارت الکترونیک داریم. مدل‌های کسب و کار الکترونیک هنوز موضوع جدید و تازه‌ای محسوب می‌شود که از نگاه قانون و قانون‌گذار به طور کامل شفاف نشده است. به عنوان مثال قوانینی در حوزه تولید محتوا در فضای مجازی وجود دارد که متعلق به بخش‌های مختلف کسب وکار‌های اینترنتی است و هر کدام از آن‌ها دغدغه‌های خودشان را دارند. بزرگترین چالش و دغدغه کسب و کاری که در این حوزه شروع به فعالیت می‌کند، گرفتن مجوز از نهاد‌های ذی‌صلاح است.

بزرگترین دغدغه روز‌های نخست ما، تعدد مجوز‌ها بود

به عنوان مثال، بزرگترین دغدغه ما در سایت دیوار از همان روز‌های نخست فعالیت، تعدد مجوز‌ها بود که باعث شد تعداد زیادی از افراد ما در تیم حقوقی دیوار درگیر دریافت مجوز باشند. همان طور که اشاره کردید، نبود شفافیت قوانین در حوزه‌های مختلف یکی از بزرگترین مشکلات است. این شفاف نبودن باعث شده قوانین در حوزه‌های مختلف تفسیرپذیر باشد و این تفسیرپذیری در عمل شرایط را برای فعالیت کسب وکار‌ها دشوار می‌کند.

ایجاد شفافیت یکی از مسائل مهم در این عرصه است که باید در اولویت قرار گیرد. در این زمینه باید حوزه‌های کسب وکار‌های مختلف مشخص و از هم تفکیک شوند. همچنین ضروری است که بخش خصوصی، حاکمیت و دولت با همکاری یکدیگر قوانین این بخش را متناسب با نیاز هر کسب و کار به روز کند. باید از افراد حوزه‌های مختلف دعوت کرد و نظرات آنان را در زمینه تخصصی خودشان دریافت تا بتوان مشکلات را رفع کرد و در مسیر توسعه کسب وکار‌ها گام برداریم. به عنوان مثال بنده به مشکلات کسب وکار‌های الکترونیک در زمینه آگهی و تبلیغات آنلاین اشراف دارم و فقط می‌توانم مشکلات و نیاز‌های این عرصه را اعلام کرده و در صورت لزوم راهکار‌هایی برای مرتفع‌سازی آن‌ها ارائه دهم. این اقدام باید برای همه کسب وکار‌های دیگر نیز صورت گیرد.

برای اعتماد کاربران، نیاز به ابزار‌هایی داریم که در اختیار ما نیست

در مورد بحث کلاهبرداری باید گفت در سال ۱۴۰۰ و سال جاری، اولویت اصلی کسب وکار خود را بالا بردن اعتماد کاربران قرار داده‌ایم و به نوعی هدف ما این بود که بتوانیم رفتار‌های مخرب را در پلتفرم دیوار کاهش دهیم. رفتار مخرب شامل ایجاد مزاحمت و انواع کلاهبرداری است. با این وجود، کسب وکار‌ها و بخش خصوصی توان محدودی برای پیاده‌سازی این اهداف دارند. ما امروز برای بالا بردن اعتماد کاربران در سایت دیوار به عنوان کسب وکاری که در بخش خصوصی فعال است، نیاز به ابزار‌هایی داریم که متاسفانه در اختیار ما نیست. بنابراین، دولت و حاکمیت باید با در اختیار قرار دادن این اطلاعات به ما در بالا بردن امنیت معاملات کمک کنند.

موضوعی که امروز بیش از هر چیز دیگری در دیوار با آن مواجه هستیم، اصالت آگهی‌هاستبه عنوان مثال، «صحت‌سنجی آگهی‌های املاک» مساله‌ای بود که در آخرین جلسه کارگروه تعامل‌پذیری به آن پرداخته شد و درباره آن شفاف‌سازی صورت گرفت. موضوعی که امروز بیش از هر چیز دیگری در دیوار با آن مواجه هستیم، اصالت آگهی‌هاست. ما نیاز به ابزار‌هایی داریم که بتوان اصالت آگهی‌ها را با آن سنجید. در بخش مسکن از طریق کدپستی و ارتباط با شماره تلفن همراه مالک این اتفاق رخ می‌دهد. در زمینه آگهی‌های مربوط به خودرو از طریق VIN این صحت‌سنجی انجام و اصالت خودرو و مالکیت آن روشن می‌شود. با وجود تعامل‌ها و گفتگو‌هایی که از سال ۱۴۰۰ صورت گرفته، باید گفت در این عرصه چندان موفق نبوده‌ایم. دلیل این ناکامی این است که ما نیاز به ابزار‌هایی برای صحت‌سنجی آگهی‌ها داشتیم. ما یک پله جلو رفته‌ایم و اینک در زمینه احراز هویت مشکلی وجود ندارد.

شیوه احراز هویت در عرصه جهانی

در عرصه جهانی، احراز هویت تمام کسب و کار‌هایی که مشابه دیوار در حوزه آگهی آنلاین فعالیت می‌کنند، از طریق سیم‌کارت انجام می‌شود. دیوار همین اقدام را از سال ۱۳۹۴ یا ۱۳۹۵ صورت داد. البته این اقدام هزینه سنگینی نیز برای دیوار به همراه دارد، زیرا هزینه پیامک را به همراه دارد.

البته مشکلات دیگری نیز در این زمینه وجود دارد که مربوط به گذشته است. به عنوان مثال، برخی سیم‌کارت‌ها هویت جعلی دارند یا برخی از آن‌ها مربوط به اتباع خارجی بوده که از ایران رفته‌اند، اما سیم‌کارت آن‌ها همچنان فعال است. ما هنوز نتوانسته‌ایم ساز وکار مشخصی برای حل این مشکل پیدا کنیم و مشکلات این‌چنینی در زمینه احراز هویت، نیاز ما را به یک ابزار بهتر تشدید می‌کند.

در عرصه جهانی، احراز هویت تمام کسب و کار‌هایی که مشابه دیوار در حوزه آگهی آنلاین فعالیت می‌کنند، از طریق سیم‌کارت انجام می‌شودسامانه‌های مختلفی در این زمینه وجود دارد؛ سامانه «شاهکار» یکی از این ابزار‌ها است. ما اولین کسب و کار اینترنتی بودیم که در اواخر پاییز سال ۱۳۹۷ به سامانه شاهکار یا شبکه احراز هویت کاربران ایرانی وصل شدیم. ما از این سامانه برای تطبیق کد ملی با شماره تماس آگهی دهنده استفاده کردیم، اما در ادامه نیاز به ابزار‌ها و خدمات دیگری داریم که بتواند این فرآیند را تکمیل کند.

روزانه هزار سیم کارت مخرب در دیوار مسدود می‌شود

ما به طور میانگین روزانه بیش از هزار سیم کارت را در دیوار مسدود می‌کنیم. البته این اقدامی است که خودمان انجام می‌دهیم و یک دستور قضایی نیست. همان طور که می‌دانید، بر اساس قانون ما موظفیم خدمات‌دهی را تنها برای سیم کارت‌هایی که دستور قضایی برای آن‌ها صادر می‌شود، مسدود کنیم، اما این هزار سیم‌کارتی که اشاره شد، مواردی هستند که خود ما تصمیم به مسدود کردن آن‌ها گرفتیم. این سیم‌کارت‌ها متعلق به افرادی است که برای معامله و خرید و فروش وارد دیوار نشده و صرفا برای رفتار مخرب در این سامانه حضور یافته‌اند. رفتار مخرب یعنی کلاهبرداری، مزاحمت و...

طی سه سال گذشته بانک عظیمی از شماره‌های مسدود شده ایجاد کرده‌ایم که بعضی از آن‌ها الگو‌های رفتاری مشابهی دارند. برخی از این افراد با شماره‌های مختلف به دیوار آمده و متاسفانه ما بازی منفعلی را با آن‌ها انجام می‌دهیم. یکی از نیاز‌های امروز ما این است که اگر در پلتفرم دیوار به شماره‌ای رسیدیم که مشخص شد آن کاربر با هدف معامله وارد سایت نشده، بتوانیم به سایر شماره‌های فعال این کاربر و همچنین کارت‌های او در شبکه‌های بانکی دسترسی داشته‌باشیم تا هزینه وقوع جرم کاهش یابد. ما کاربرانی را دیده‌ایم که حدود ۳۰ سیم‌کارت فعال داشته و هر بار با یکی از آن‌ها در دیوار ثبت نام کرده‌اند. بنابراین، تلاش ما بی‌نتیجه است، زیرا کلاهبردار می‌تواند از این طریق کاربر و مردم را متضرر کند.

اگر ابزار مناسب در اختیار ما باشد، می‌توانیم از وقوع جرم پیشگیری کنیم

به نظر من در اختیار گذاشتن ابزار‌های مناسب در این زمینه باعث می‌شود کمی در این زمینه پویاتر عمل کنیم. اگر این ابزار‌ها در اختیار ما قرار گیرد قطعا می‌توانیم از وقوع جرم پیشگیری کنیم. البته برخی نسبت به این موضوع اعتراض داشتند که ارائه اطلاعات به کسب وکار‌ها تجاوز به حریم خصوصی است، اما در پاسخ باید بگویم که نیازی به دریافت اطلاعات همه کاربران نیست بلکه نیاز داریم فقط شماره‌های فعال لیستی از کاربران که از نظر ما برای داد و ستد وارد دیوار نشده‌اند، دریافت کنیم.

درباره احراز اصالت نیز همان طور که گفته شد، در مبحث خودرو چندان موفق نبوده‌ایم و ابزاری که بتوان اصالت خودرو را با آن بسنجیم وجود ندارد. این اطلاعات می‌تواند پلاک و کد ملی یا VIN خودرو باشد که همه این‌ها در اختیار پلیس راهور است. راهور می‌تواند از طریق یک وب‌سرویس این اطلاعات را در اختیار کسب و کار‌ها قرار دهد تا بتوان اصالت خودرو را نیز احراز کرد.

به طور کلی در یک جمع‌بندی می‌توان گفت، امکانات ما ابزار افزایش اعتماد محدود است و نیاز داریم که حاکمیت و دولت در کنار کسب و کار‌ها قرار گیرد. هدف همه ما یکسان است و کاهش کلاهبرداری و ضرر و زیان مردم و کاربران در زمان استفاده از این پلتفرم‌ها برای دولت، حاکمیت و کسب وکار اولویت دارد.

یکی از مهمترین چالش‌ها این است که در همه بخش‌‎ها با مانع حریم خصوصی و حفاظت از و اطلاعات کاربران مواجه می‌شویم. البته این یکی از خط قرمز‌ها و اولویت‌های اصلی مجموعه ما نیز هست، اما می‌توان فرایندی تعریف کرد که این اطلاعات را با حفظ محرمانه بودن اطلاعات کاربران در اختیار کسب وکار قرار دهد و در عمل از طریق وب سرویس‌ها یا ای‌پی‌آی (API) بتواند دسترسی ما را ایجاد کند.

در مجموعه تپسی با چه دغدغه‌هایی مواجه هستید؟ یکی از مشکلات تاکسی‌های آنلاین سوءاستفاده از اطلاعات مشتریان و رانندگان است؛ کمی در این زمینه توضیح دهید؟

رضایی قائم مقام شرکت تپسی: بخش زیادی از دغدغه‌هایی که آقای آرمندهی گفتند، با دغدغه‌های دیگر شرکت‌های مشابه و داده‌بنیان همپوشانی دارد. صرف نظر از آنها، برخی دیگر از مشکلات نیز در مجموعه تپسی وجود دارد که آن‌ها را نیز اضافه می‌کنم.

همیشه فناوری دو لبه دارد: لبه بد آن همان حریم خصوصی مردم است. ما در کسب و کار خودمان تلاش می‌کنیم به اطلاعاتی که ربطی به امنیت شرکت و کاربران آن دارد، حتی نزدیک هم نشویم. این اطلاعات را نگه نداریم و جایی نیز افشا نکنیم، چون این اقدام مسئولیت دارددر مورد برخی کسب و کار‌های شبیه تپسی لازم است، استفاده کننده از این خدمات، شناسایی یا احراز هویت شود. احراز این فرد اگر راننده باشد، از طریق سایت رانندگان صورت می‌گیرد. این شناسایی باید دقیق باشد، زیرا خدماتی را در اختیار مردم قرار می‌دهد که حساس بوده و امنیت مردم در گرو آن است. یعنی اگر راننده دچار تخلف شود، باید بتوان آن راننده را شناسایی کرد تا اتفاق امنیتی رخ ندهد.

دسترسی به اطلاعات مورد نیاز، حق همه است

حداقل شناسایی فرد استفاده‌کننده از این خدمات، از طریق شماره تلفن صورت می‌گیرد. این نوع زیرساخت در سال‌های قبل کم بوده و اینک قرار است اتفاقات بهتری بیفتد. دولت برای اینکه بتواند یک رابط ایجاد کند که اطلاعات همه کشور به آن وصل شود و بتوان از آن استفاده کرد، سال‌ها پیش GSB را در سازمان فناوری و اطلاعات اندازی کرد.

مزیت آن این بود که شهروندان می‌توانستند به سامانه دولت همراه وصل شوند و با ارائه کد ملی خود، از آخرین وضعیت بیمه، وضعیت پلاک‌های ماشینی که کاربر دارد و مسائلی از این دست پی ببرند. این حق همه است که بتوانند بدون اینکه از خانه خود خارج شوند، به آخرین اطلاعاتی که در سامانه‌های مختلف دولتی وجود دارد، دسترسی داشته‌باشد تا بررسی کنند که به طور اشتباه چیزی به نام آنان ثبت نشده باشد.

پیشتر اشاره شد در سایت دیوار به فردی که بیش از ۳۰ سیم کارت داشت مواجه شده‌اند، اما احتمالا وجود این تعداد سیم‌کارت مربوط به قبل از ایجاد محدودیت است، زیرا اینک هر نفر فقط می‌تواند ۱۰ سیم‌کارت داشته باشد.

البته بعضی افراد بعد از بررسی کردن متوجه می‌شوند سیم‌کارت‌هایی اشتبا‌ها به نام آن‌ها سند خورده و به عبارتی از کارت ملی آن‌ها سوءاستفاده شده‌است؛ بنابراین هم در لاین شهروند و هم در بخش کسب وکار نیاز است به یک سری اطلاعات دسترسی داشته باشیم. حال این اطلاعات می‌تواند یا در قبال پرداخت هزینه یا به صورت رایگان در اختیار مردم قرار گیرد.

راه‌اندازی GSB یا دولت همراه، کسب و کار‌ها را امیدوار کرد

GSB یا دولت همراه که راه‌اندازی شد، امید برای کسب وکار‌ها در زمینه دسترسی به این اطلاعات و به روز رسانی آن توسط واحد‌های متولی افزایش یافت. یعنی ممکن است ما به سامانه‌ای دسترسی پیدا کنیم که اطلاعات شناسنامه‌ای مردم را دارد. با این وجود، آن سامانه ممکن است اطلاعات به‌روزشده شناسنامه‌ای مردم را نداشته‌باشد و حتی اطلاعات مربوط به افراد فوت شده نیز در آن باشد. پس این اطلاعات به درد کسب وکار‌ها نمی‌خورد، اما با ایجاد مفهوم دولت همراه قرار شد اطلاعات شناسنامه‌ای افراد به صورت مستقیم از طرف ثبت احوال به مدیریت سرویس (servis boss) داده‌شود. تنها به‌روز رسانی این سیستم و حصول اطمینان از برقراری این زیرساخت‌ها برعهده ثبت احوال بود.

اکنون در حال تفکر در مورد این هستیم که چطور می‌توان زیرساختی ایجاد کرد که بتواند این مزیت را در اختیار کسب وکار‌ها نیز قرار دهد. در حال حاضر اگر سایت دیوار و تپسی بخواهند اطلاعات شناسنامه‌ای و خودرو کاربران را دریافت کنند، باید جداگانه با ثبت‌احوال و پلیس +۱۰ یا راهور قرارداد ببندند تا فقط اطلاعاتی محدود در حد اینکه اطلاعات شناسنامه‌ای یا VIN خودرو در سامانه آنان وجود دارد یا خیر دریافت کنند. به عبارتی ما اطلاعاتی را به این مراکز ارائه می‌کنیم و آن‌ها تطبیق می‌دهند که آیا اطلاعات درست است یا خیر؟

من با رعایت حریم خصوصی موافقم و قرار نیست کسب وکار‌ها بتوانند اطلاعات شخصی مردم را جستجو کرده و در اختیار داشته باشند. مردم عادی که نیاز دارند به اطلاعات شخصی خود دسترسی داشته باشند و کسب وکار‌ها نیز به دلایل مختلف نیاز دارند امنیت و حریم خصوصی داشته باشند، اما لزوم دسترسی به اطلاعات بر کسی پوشیده نیست. البته به‌روز رسانی آن، مجتمع بودن اطلاعات به صورت یکجا و حصول اطمینان از اینکه آخرین اطلاعات فردی در سیستم وجود دارد، خیلی مهم است. اگر این امکان برای ما فراهم باشد که اطلاعات به روز راننده‌ها را در اختیار داشته باشیم، در شرایطی مانند شیوع ویروس کرونا، آخرین اطلاعات در مورد وضعیت سلامت رانندگان در اختیار ما قرار می‌گیرد و به این ترتیب در صورت مثبت بودن آزمایش، از ادامه فعالیت رانندگان تا زمان بهبود آنان جلوگیری می‌شود.

باید نوعی PGSB ایجاد شود که تمام اطلاعات مردم از اطلاعات شناسنامه‌ای، کارت بانکی و خودرو آنان وجود داشته باشد؛ ابزاری که با یک پروتکل امن این اطلاعات را در اختیار کسب و کار‌های خصوصی قرار دهد. اطلاعاتی که بتوان از طریق آن فهمید راننده مورد نظر فرد امنی هست یا خیر، از لحاظ کوید ۱۹ سلامت هست یا نه؟ راه حل مشکل، PGSB است

باید نوعی PGSB ایجاد شود که تمام اطلاعات مردم از اطلاعات شناسنامه‌ای، کارت بانکی و خودرو آنان وجود داشته باشد؛ ابزاری که با یک پروتکل امن این اطلاعات را در اختیار کسب و کار‌های خصوصی قرار دهد. اطلاعاتی که بتوان از طریق آن فهمید راننده مورد نظر فرد امنی هست یا خیر، از لحاظ کوید ۱۹ سلامت هست یا نه؟ این اطلاعات باید هر روز توسط شرکت مورد بررسی قرار گرفته و تایید سلامت و امنیت راننده بررسی شود. این امنیت جامعه را به دنبال دارد. از این نیاز ساده که گاه می‌تواند تبدیل به یک معضل اجتماعی شود تا نیاز‌های امنیتی، همه و همه بسته به وجود همین سیستم‌ها هستند.

وزارت کشور مجهز به یک سامانه به نام «سما» است که شرکت تپسی نیز به آن دسترسی دارد، از این طریق می‌توانیم متوجه شویم که ماشین دزدی هست یا خیر تا در صورت نیاز از مجوز دادن به آن جلوگیری کنیم. این اطلاعات در اختیار ما قرار دارد، اما مجتمع نیست.

راهکار‌های جدید جلوگیری از کلاهبرداری در کسب‌وکار‌های دیجیتال

اقدامی که سازمان فناوری اطلاعات به تازگی انجام داد این بود که مناقصه‌ای برگزار کرد و در آن دو شرکت بزرگ برنده شدند. این شرکت‌ها اپراتور PGSP هستند. آن‌ها موظفند همه اطلاعات را جمع‌آوری کرده و در سیستم بگذارند، آن هم فقط در سازمان فناوری اطلاعات و نه بر روی سرور‌های خودشان. به عنوان مثال وزارت راه اطلاعاتی دارد که مردم در حوزه عمومی یا خصوصی به آن نیاز دارند و این اطلاعات را در اختیار فرد قرار می‌دهد. در اینجا اقتصاد API شکل گرفته‌ا که هم برای برخی افراد کسب و کار ایجاد کرده و هم کسب وکار‌ها را راحت‌تر کرده است و دیگر نیازی نیست بخش حقوقی هر شرکت خصوصی مجبور باشد رایزنی کرده و قرارداد‌های متعدد با نهاد‌های مختلف در زمینه امنیت ببندد. به ن ظر من باید یک API شامل همه اطلاعات وجود داشته باشد.

حریم خصوصی مردم حفظ خواهد شد

نکته آخر اینکه همیشه فناوری دو لبه دارد: لبه بد آن همان حریم خصوصی مردم است. ما در کسب و کار خودمان تلاش می‌کنیم به اطلاعاتی که ربطی به امنیت شرکت و کاربران آن دارد، حتی نزدیک هم نشویم. این اطلاعات را نگه نداریم و جایی نیز افشا نکنیم، چون این اقدام مسئولیت دارد. اگر بتوانیم اجازه دسترسی به اطلاعات شخصی را در زمان انجام معاملات از خود فرد بگیریم، می‌توان اطمینان یافت که به حریم خصوصی فرد احترام گذاشته‌ایم. به عنوان مثال، در زمان خرید و فروش ملک در دیوار این سایت بتواند از خود فرد اجازه دسترسی به برخی اطلاعات شخصی او را بگیرد و در صورت قبول و تایید فرد، به این اطلاعات دسترسی پیدا کند. با چنین راهکار‌هایی که این فناوری می‌تواند ارائه دهد، هم خیال شرکت‌ها راحت می‌شود و هم حریم خصوصی مردم حفظ خواهد شد.