iفین تک (ای فین تک - آی فین تک)

شرکت شبکه الکترونیکی پرداخت کارتی (شاپرک)، نهاد حاکمیتی حوزه پرداخت‌های الکترونیکی در ایران، اخیراً مجموعه‌ای از سیاست‌های جدید امنیتی را به PSPها (شرکت‌های پرداخت)، درگاه‌های واسط و فین‌تک‌های ارائه‌دهنده خدمات پرداخت ابلاغ کرده است. این سیاست‌ها در راستای ارتقای امنیت تراکنش‌های مالی معرفی شده‌اند، اما به گزارش تحلیل آی‌فین‌تک، در عمل با واکنش‌های منفی فعالان بازار مواجه شده‌اند.

جزئیات سیاست‌های جدید امنیتی

از جمله مهم‌ترین تغییرات جدید می‌توان به موارد زیر اشاره کرد:

• الزام استفاده از توکن‌های سخت‌افزاری برای دسترسی به پنل مدیریتی سامانه‌ها.

• اجباری شدن احراز هویت چندعاملی (MFA) برای کاربران نهایی.

• اتصال مستقیم تمامی ارائه‌دهندگان خدمات پرداخت به «هاب نظارتی» با ساختار جدید رمزگذاری.

• ممنوعیت استفاده از برخی APIهای رایج بدون احراز هویت دیجیتال.

این الزامات باید در بازه‌ای کمتر از سه ماه توسط تمامی سرویس‌دهندگان اجرایی شوند، موضوعی که نگرانی زیادی در بین شرکت‌های کوچک و متوسط ایجاد کرده است.

واکنش فعالان صنعت پرداخت

به گزارش تحلیل آی‌فین‌تک، برخی شرکت‌های پرداخت و توسعه‌دهندگان فین‌تک در ایران اعلام کرده‌اند که با این سرعت تغییر، فرصت کافی برای به‌روزرسانی زیرساخت‌های خود ندارند. در برخی موارد حتی اعلام شده که برخی سیاست‌ها فاقد مستندات فنی و پیوست‌های راهنما بوده‌اند، موضوعی که باعث سردرگمی فعالان شده است.

همچنین برخی کسب‌وکارهای کوچک، به ویژه فروشگاه‌های آنلاین و استارتاپ‌های حوزه پرداخت خرد، نگران هستند که این الزامات باعث خروج آنها از چرخه رقابت شود.

نگرانی‌های امنیتی کاربران نهایی

هرچند سیاست‌های جدید با هدف امنیت تدوین شده‌اند، اما برخی اقدامات، مانند اجبار به نصب اپلیکیشن‌های خاص برای احراز هویت یا ارسال رمزهای پویا از طریق مسیرهای خاص، نگرانی‌هایی درباره حریم خصوصی، ردیابی کاربران و نشت اطلاعات شخصی ایجاد کرده‌اند.

کارشناسان امنیت دیجیتال هشدار داده‌اند که اعمال اجباری برخی ابزارها بدون بررسی حفره‌های امنیتی یا انجام تست‌های آسیب‌پذیری ممکن است نتیجه معکوس داشته باشد.

مقایسه با نمونه‌های بین‌المللی

کشورهایی مانند هند، سنگاپور و کره جنوبی نیز ساختارهای سخت‌گیرانه‌ای در حوزه پرداخت دارند، اما آنچه در آن کشورها رعایت شده، آموزش مرحله‌ای کاربران و پشتیبانی مستمر توسعه‌دهندگان است. در ایران اما به نظر می‌رسد فاصله میان بخش مقررات‌گذار و بخش عملیاتی هنوز زیاد است و مسیر ارتباطی مناسبی برقرار نشده.

دیدگاه حقوقی و قانونی

یکی دیگر از چالش‌ها، عدم ارائه دستورالعمل‌های رسمی حقوقی است. بسیاری از سیاست‌های جدید به صورت بخش‌نامه داخلی به شرکت‌ها ارسال شده‌اند و پشتوانه قانونی مشخصی ندارند. این موضوع می‌تواند در آینده به ایجاد تعارض میان بازیگران بازار و نهادهای نظارتی منجر شود.

آینده فین‌تک‌ها در سایه این سیاست‌ها

در حالی که فین‌تک‌ها در سال‌های اخیر نقش مهمی در افزایش شمول مالی، تسهیل پرداخت‌ها و دیجیتالی شدن خدمات مالی داشته‌اند، این سیاست‌های جدید اگر بدون هم‌فکری با آن‌ها اعمال شوند، ممکن است منجر به کاهش نوآوری، خروج سرمایه انسانی و کاهش اعتماد کاربران شود.

برخی کارشناسان پیشنهاد کرده‌اند تا شاپرک یک «sandbox نظارتی» برای آزمون تدریجی این سیاست‌ها راه‌اندازی کند و از تجربه فین‌تک‌ها به عنوان بخشی از مسیر تنظیم‌گری استفاده کند.

 فرصتی برای بازنگری رویکردها

به گزارش نهایی iفین‌تک، سیاست‌گذاری در حوزه حساس پرداخت الکترونیکی باید مبتنی بر شفافیت، زمان‌بندی منطقی، مشارکت ذینفعان و آموزش عمومی باشد. تجربه جهانی نشان می‌دهد امنیت بدون شفافیت، به جای ایجاد اعتماد، منجر به مقاومت و حتی مهاجرت کسب‌وکارها می‌شود. شاپرک در نقطه‌ای کلیدی از مسیر تحول دیجیتال ایران قرار دارد و می‌تواند با اصلاح شیوه اجرا، به بازیگر مثبت‌تری در آینده فین‌تک کشور تبدیل شود.