چالش‌های هویت دیجیتال در بانکداری

چالش‌های هویت دیجیتال در بانکداری از جمله موضوعاتی است که بانک‌ها و مؤسسات مالی به دلیل الزامات مربوط به فاصله‌گذاری اجتماعی با آن روبه‌رو هستند. بانک‌ها همواره در تلاش هستند تا سرعت رشد مشتریان خود را سریع‌تر، راحت‌تر و با هزینه کمتر از طریق کانال‌های آنلاین افزایش دهند؛ اما به دلیل مسائل امنیتی و الزامات قانونی فرآیند جذب مشتری برای بانک و کسب‌وکارهای حوزه فین‌تک با مشکلات متعددی همراه است و این امر موجب می‌گردد تجربه کاربری با وضعیت نامطلوبی مواجه گردد.

مشتریان خواهان استفاده از کانال‌های آنلاین برای استفاده راحت از خدمات بانکی هستند، در حالی که بانک‌ها موظف هستند تا الزامات قانونی نظیر مبارزه با پول‌شویی (AML) و شناسایی مشتری (KYC) را انجام دهند. این تضاد بین مطابقت قانونی بانک‌ها و خواسته مشتریان باعث شده است تا در دنیا بانک‌ها برای رفع این مشکل به کسب‌وکارهایی روی آورند که راه‌حل احراز هویت دیجیتال غیرحضوری را ارائه می‌دهند.

امنیت هویت دیجیتال در بانکداری

احراز هویت دیجیتال غیرحضوری

خدمات احراز هویت دیجیتال غیرحضوری در واقع شناسایی هویت مشتری اما به‌صورت الکترونیکی (e-KYC) است. در واقع e-KYC باعث خواهد شد تا کاربران بدون مراجعه حضوری به شعب بانک، خدماتی نظیر اقدام به باز کردن حساب، درخواست وام، انجام تراکنش‌ها با مبالغ بالا را دریافت کنند. پیاده‌سازی این نوع خدمات باعث خواهد شد تمامی خدمات بانک به‌صورت یکپارچه و بدون وقفه توسط کاربران صورت پذیرد.

در حال حاضر احراز هویت غیرحضوری، یکی از بزرگ‌ترین چالش‌های شبکه بانکی در کشور است. از آنجا که مکانیسم احراز هویت غیرحضوری در دو بخش صحت‌سنجی و احراز تراکنش‌ها باید در بسترهای غیرحضوری انجام شود؛ بهره‌گیری از ابزارهای جایگزین ابزارهای حضوری یکی از چالش‌های این بخش است که باید برای آن راهکاری اندیشیده شود.

فرآیند احراز هویت در تمامی کانال‌های تعامل ضروری است و روش‌های متنوعی برای دستیابی به آن وجود دارد. به‌عنوان مثال، بانک‌ها برای شناسایی کاربران می‌توانند از عوامل علمی مانند رمزهای عبور، عوامل مالکیت مانند کارت‌های شناسایی یا توکن‌های احراز هویت و عوامل وراثتی مانند روش‌های بیومتریک استفاده کنند.

با این حال، هر یک از این عوامل چالش‌های خاص خود را به همراه دارد که شامل دشواری در حفظ گذرواژه‌ها، وجود شکاف‌های امنیتی مختلفی مانند اعتبارنامه‌های ضعیف یا ریسک گم‌شدن توکن‌های فیزیکی و هزینه‌بر بودن استفاده از روش‌های بیومتریک می‌شوند. امروزه پویایی و امنیت یک سیستم را با احراز هویت سنجش می‌کنند و در حقیقت سیستمی که احراز هویت در آن مناسب نیست، سیستم ناامنی به شمار می‌رود.

بیشتر بخوانید: زیست‌بوم هویت دیجیتال در نظام بانکداری

مشکلات احراز هویت در اینترنت بانک

یکی از مشکلات احراز هویت در اینترنت بانک به چشم می‌خورد. امروزه سیستم بانکی با احراز هویت کاربران اینترنتی خود مشکل دارد و اطمینان از اینکه خود کاربر از اینترنت بانک استفاده کرده است، کار دشواری به شمار می‌رود. حتی رمز‌های یک‌بار مصرف (OTP) هم نتوانستند این مشکل را حل کنند؛ چرا که با دسترسی به دستگاه دریافت‌کننده رمز، می‌توان بدون حضور مالک دستگاه هم از آن استفاده نمود.

احراز هویت غیرحضوری با بهره‌گیری از کارت ملی هوشمند یا مؤلفه‌های بیومتریک، تأییدکننده قوانین مبارزه با پول‌شویی است. این امر وابسته به احراز هویت حضوری در شعبه است و اگر این احراز هویت درست انجام نشود قوانین مبارزه با پول‌شویی خدشه‌دار می‌شود؛ اما اگر فرآیند احراز هویت غیرحضوری با مؤلفه‌های بیومتریک و به‌صورت ماشینی انجام شود خطای ماشین به نسبت انسان کمتر و امکان سوءاستفاده از آن بسیار پایین است؛ اما استفاده از این فناوری در کنار مزایای چشمگیر آن، چالش‌هایی را نیز به همراه خواهد داشت.

امنیت هویت دیجیتال در بانکداری

هنگامی که حجم اطلاعات بیومتریک افزایش یابد، با توجه به پهنای باند اینترنت کشور که اکنون در دسترس است، سرعت انتقال داده‌ها بین شعبات بانک‌ها و سرور (دستگاه مرکزی ذخیره اطلاعات) اصلی کاهش خواهد یافت و این موضوع، می‌تواند استفاده سریع و آسان از این بانک اطلاعاتی را دچار اختلال نماید. با توجه به اینکه این بانک اطلاعاتی در تمامی شبکه بانکی و مالی کشور مورد استفاده قرار خواهد گرفت، اطلاعات بیومتریک ده‌ها میلیون نفر باید وارد آن شود که با این حجم داده‌ها، به‌طور قطع مشکلاتی در استفاده برخط از اطلاعات این بانک بروز خواهد نمود.

حتی با فرض اینکه داده‌های بانک اطلاعاتی بیومتریک اشخاص در هر شعبه‌ای نگهداری شود، باز هم تطبیق بین اطلاعات ورودی با اطلاعات قبلی زمان‌بر خواهد بود (تطبیق اثرانگشت یک مشتری با میلیون‌ها اثرانگشتی که در بانک مزبور وجود دارد، وقت‌گیر خواهد بود).

یک چالش دیگر، مشکلات سخت‌افزاری رمزنگاری در KYC است. یکی از روندهای جدید دنیا این است که به سمت استفاده از گوشی‌های موبایل برای چنین فعالیت‌هایی می‌روند که در کشور ایران نیز با توجه تجربیاتی که در فضای کارت هوشمند و سیم‌کارت وجود دارد می‌توان در این شرایط از ظرفیت‌های تکنولوژیک و استفاده از سیم‌کارت‌های هوشمند روی موبایل، راه‌حل‌هایی را ارائه کرد تا بانک‌ها و کسب‌وکارها با اطمینان بیشتری بتوانند مشتریان خود را از راه دور شناسایی کنند.

با اینکه می‌توان از طریق اینترنت، اپلت را روی سیم‌کارت‌ها نشاند، اما نکته‌ای که در این میان وجود دارد این است که این کار نیاز به رمز پردازنده‌های قوی دارد و ماژول‌های سیم‌کارت‌هایی که پردازنده‌هایشان این الگوریتم‌ها را کنترل کند، گران هستند و تقریباً در ایران وجود ندارد و تنها برخی از اپراتورها به‌صورت محدود در اختیار دارند. البته فارغ از اپراتورها خود بانک‌ها هم می‌توانند ماژولی را به کاربر بدهند تا در سیم‌کارت قرار بدهد.

از دیگر چالش‌هایی که در این حوزه وجود دارد، زیرساخت‌های قانونی و مقرراتی است؛ زیرا در قوانین کشور، هنوز در ارتباط با احراز هویت دیجیتال ابهام و مشکلات قابل توجهی وجود دارد و در این زمینه کشور از عدم وجود اسناد بالادستی رنج می‌برد.

بنابراین، در حال حاضر، شناسایی و احراز هویت متمرکز در شبکه بانکی و مالی کشور وجود ندارد و از دلایل آن، علاوه بر فقدان فناوری‌ها و زیرساخت‌های لازم که ایجاد آن‌ها هزینه‌بر هم هستند، می‌توان به این موضوع اشاره نمود که نظام بانکی کشور به‌صورت جدی روی این مفهوم متمرکز نشده است. از آنجا که نظام بانکی ایران در تحریم به سر می‌برد، به همین دلیل بعضا با روندهای حاکم بر بانکداری روز دنیا فاصله گرفته و از طرف دیگر به دلیل عدم ارتباط بین‌المللی، نیاز و ضرورت همگام‌شدن با به‌روش‌های جهانی را در حد مطلوب حس نکرده است.

توصیه‎هایی برای شناسایی هویت مشتریان بر مبنای اطلاعات بیومتریک

توصیه می‌شود شناسایی هویت مشتریان بر مبنای اطلاعات بیومتریک آنان طی مراحل ذیل در کشور صورت گیرد:

۱. مناسب است بانک مرکزی به دلیل نقش حاکمیتی و نظارتی که بر بازار پول کشور دارد، متولی ایجاد بانک اطلاعات بیومتریک مشتریان بازار پولی کشور شود و سازوکاری تعیین نماید که تمامی بانک‌ها و مؤسسات مالی قادر شوند از اطلاعات بانک مزبور استفاده نمایند. هر چند هر یک از بانک‌های فعلی کشور نیز به‌صورت جداگانه و مستقل می‌توانند چنین شیوه‌ای را برای شناسایی هویت مشتریان خود به کار گیرند، اما به دلایل حقوقی، اقتصادی و فنی ارجح آن است که تولیت این امر با بانک مرکزی باشد.

۲. بانک مرکزی می‌تواند تجهیزات سخت‌افزاری و نرم‌افزاری لازم را به‌وسیله سازمان‌های تخصصی تامین کرده و در اختیار شبکه بانکی و مالی کشور قرار دهد.

۳. دستورالعمل نحوه اخذ اطلاعات بیومتریک مشتریان توسط بانک مرکزی تهیه و جهت اجرا به شبکه بانکی و مالی کشور ابلاغ شود. توصیه می‌شود به مشتریان بانکی خاطر نشان شود که استفاده از خدمات شناسایی مشتریان بر مبنای اطلاعات بیومتریک، اختیاری بوده و الزامی به ارائه این اطلاعات نیست، هر چند درج اطلاعات بیومتریک آنان در بانک اطلاعاتی مربوطه به نفع آنان خواهد بود.

۴. لازم است مشتریان بانکی متقاضی این نوع خدمات برای یک بار با در دست داشتن اصل مدارک هویتی خود به یکی از شعب بانک‏های کشور و یا شعب بانک‌های مورد تأیید بانک مرکزی مراجعه نموده و اطلاعات بیومتریک خود را وارد شبکه مزبور نمایند.

دست‌یابی به چنین روندی مستلزم یک طرح‌ریزی جامع و علمی توسط متخصصین امر است و عدم توجه به رویه‌های علمی و به‌روش‌های مورد تایید جهانی و پذیرفته شده می‌تواند مشکلاتی را برای سیستم بانکی کشور ایجاد نماید که بسیاری از آن‌ها چالش‌های هویت دیجیتال در بانکداری نشأت می‌گیرند.

بیشتر بخوانید: احراز هویت مبتنی بر ریسک در بانکداری دیجیتال

ضرورت توجه به هویت دیجیتال در صنعت بانکداری و پرداخت

در عصر دیجیتال چالش‌های هویتی، مشکلات فراوانی را برای نوآورانِ صنعت خدمات مالی همچون بانکداری و پرداخت ایجاد کرده است. بسیاری از نوآوران در تلاش هستند خدماتی ارائه‌ دهند که کاملا دیجیتالی باشند، اما واقعیت این است که هنوز فرایندهای قابل توجهی از مدیریت هویت و دسترسی بالاخص آن بخش‌هایی که مقید به شناسایی کاربران است، در بستر کانال‌های فیزیکی انجام می‌شوند. سازوکارهای مدیریت هویت و دسترسی مبتنی بر ریسک می‌توانند یکی از راهکارهای عملیاتی باشند.

به‌عنوان مثال انجام عملیات پرداخت نیازمند اثبات و احراز هویت است؛ یعنی چنانچه یک نوآور بخواهد در حوزه پرداخت دیجیتال دست به نوآوری بزند، به ناچار باید از کانال‌های فیزیکی و یا شبه دیجیتال (عکس‌برداری از کارت ملی) استفاده کند.

استفاده از کانال‌های فیزیکی و یا شبه‌دیجیتال برای ارائه خدمات به‌صورت دیجیتالی در گذر زمان مخاطرات فراوانی را هم برای بانک و هم برای مشتریان بانک به همراه خواهد داشت.

در حقیقت هویت دیجیتال این امکان را برای بانک‌ها و موسسات مالی فراهم می‌کند تا فعالیت‌های مهم خود را با اطمینان بیشتری انجام دهند. در بسیاری از مواقع استفاده از هویت دیجیتال منجر به ساده‌سازی فرایند‌های بانکی و ارائه خدمات ایمن‌تر می‌شود. هویت دیجیتال این امکان را برای صنعت بانکداری فراهم می‌کند تا تمام یا بخشی از فرایندها را خودکار نمایند.

در مجموع 5 عامل اصلی در ضرورت توجه به هویت دیجیتال و سیستم‌های هویت دیجیتال نقش دارد.

(1) افزایش حجم تراکنش که ناشی از استفاده بیشتر کانال‌های دیجیتال و افزایش ارتباطات میان نهادهای مختلف است. این امر منجر به افزایش شمار تراکنش‌های متکی به هویت شده است.

(2) افزایش پیچیدگی تراکنش‌ها در راستای ارتباط نهادهای متفاوت و مجزا از هم؛ افزایش ارتباطات بدون وجود رابطه از قبل همچون استفاده از رویکردهای متحدسازی، محرکی برای افزایش پیچیدگی روز افزون در حوزه هویت است.

(3) افزایش توقعات مشتری برای دریافت خدمات راحت، بدون نقص و دسترس‌پذیر در تمامی کانال‌ها، بانک‌ها را مجاب به بهره‌گیری از سیستم‌های یکپارچه هویت دیجیتال کرده است.

(4) الزامات موشکافه‌تر در تنظیم مقررات؛ سازمان‌های تنظیم مقررات خواستار افزایش شفافیت پیرامون تراکنش‌ها هستند؛ یعنی موسسات مالی و بانکی نیازمند دقت و صحت بیشتری در مدیریت هویت مشتریان و تراکنش‌های آن‌ها هستند؛ زیرا مسئولیت بیشتری برای اطلاعات هویتی مفقودی یا نادرست متوجه آن‌ها است.

(5) افزایش سرعت صدمات مالی؛ استفاده از فناوری‌های نوظهور و عدم شناخت کافی از همه جوانب آن‌ها منجر شده است تا فعالیت نامشروع افراد سودجو و خرابکار در سیستم‌های مالی روز به روز پیچیده‌تر شود. نداشتن راهبرد، قانون، مقررات و دستورالعمل‌های مناسب و به‌روز برای مدیریت هویت و دسترسی و یا استفاده از سیستم‌های هویتی ضعیف، صدمات موسسات مالی و بانکی را بیشتر خواهد کرد.

توجه لازم و کافی به نظام مدیریت‌ هویت و دسترسی، می‌تواند صنعت بانکی و پرداخت کشور را دچار تحولات اساسی نماید که تاثیر آن نه تنها در برهه‌ای از زمان بلکه به‌طور ماندگار در تاریخ کشور خواهد ماند. این نظام دارای ارکانی است که توجه یکپارچه و همه‌جانبه به آن می‌تواند هویت دیجیتال را به راهکاری برای پاسخگویی به چالش‌های صنعت بانکی و پرداخت مبدل کند.

با وجود آن‌که تلاش‌هایی متعددی در این زمینه در کشور شده است، اما غالبا راهکارها ماهیت فناورانه و جزیره‌ای دارند. این مسئله منجر به تحمیل هزینه‌های اضافی بر صنعت بانکی و پرداخت کشور شده است.

بیشتر بخوانید: مدیریت هویت در صنعت بانکداری

مدیریت هویت و دسترسی در صنعت بانکی

نیاز به مدیریت هویت و دسترسی در صنعت بانکی یک مسئله ذاتی است، اما این نیاز از حدود یک‌ سال گذشته پیرو مصوبه وزارت اقتصاد و الزام بانک‌ها برای ارائه طرح‌های تحول دیجیتال و بانکداری دیجیتال، بازار تغییر و تحول در نگرش بانکی را با چالش‌های جدی به ویژه چالش‌های هویت دیجیتال در بانکداری مواجه کرده است. نبود ساختار مناسب برای مدیریت هویت و دسترسی در فضای دیجیتال، سیستم‌ها و سامانه‌های متعدد احراز هویت، راهکارهای متنوع و جزیره‌ای در زمینه مدیریت اعتبارنامه و مجوزهای دسترسی، درگاه‌های متعدد و متکثر دسترسی، جمع‌آوری ناکافی و غیردقیق خصیصه‌های هویتی از جمله چالش‌هایی هستند که راهکارهای هویت دیجیتال می‌توانند پاسخ مناسبی برای آن‌ها باشند.

این در حالی است که در حال حاضر بسیاری از اقداماتی که در صنعت بانکی کشور برای حل چالش‌های هویت در حال انجام است بر «احراز هویت» متمرکز هستند. این نگاه تک‌بعدی به مقوله هویت دیجیتال نه تنها موجب حل مشکلات بانکداری و حوزه پرداخت نمی‌گردد بلکه مشکلات جدید و پیچیده‌ای را بر سر راه مدیریت این حوزه قرار می‌دهد.

مشکلاتی که با نگاه همه جانبه به چالش‌های این حوزه و در بستر نگاه جامع به مقوله هویت دیجیتال و مدیریت هویت و دسترسی قابل حل‌وفصل است. به‌طور کلی می‌توان اذعان نمود فقدان راهکارهای هویت دیجیتال منجر به چالش‌های هویت دیجیتال در بانکداری می‌شود که فرآیند توسعه و ارائه خدمات کارآمد، امن و دیجیتال در حوزه بانکداری را محدود می‌نماید.

مدیریت هویت و دسترسی در صنعت بانکی