از هفتم اردیبهشت سرویس زرین پال برای پذیرندگان توسط سامانه جامع شاپرک از دسترس خارج و امروز دوباره متصل شد. این در حالیست که 90 هزار پذیرنده و کسبوکار از درگاه پرداخت زرینپال استفاده میکنند. این روش از قطع دسترسی صرفاً محدود به زرین پال نیست و پیپینگ نیز با مشکل مشابهی روبهرو بوده است. اما این مشکلات از کجا سرچشمه میگیرند و چرا شاپرک ترمینال این پرداختیارها را به شکل دورهای مسدود میکند؟
«مصطفی امیری»، مدیرعامل زرین پال در گفتگو با دیجیاتو اعلام میکند این اولین باری نیست که شاپرک دسترسی تمام ترمینالهای زرینپال را مسدود میکند و همین اتفاق در 22 بهمن سال گذشته، سوم فروردین و نهایتاً در هفتم اردیبهشت تکرار شده است. امیری عقیده دارد که بسته شدن درگاه 90 هزار کسبوکار متصل به زرین پال در سه روز اخیر دستکم باعث زیان 30 تا 40 میلیارد تومانی برای بخش خصوصی بوده است:
«امروز با کسبوکارهای خصوصی درگیر هستیم که یک روز هم برای آنها یک روز است و این مسائل میتواند اعتبار آنها را از بین ببرد. اما برای بعضی نهادها اهمیتی ندارد که امروز زرین پال و پیپینگ وصل باشند یا قطع. کسی اهمیت نمیدهد که 90 هزار کسبوکار متصل به زرین پال و 30 هزار کسبوکاری که از پیپینگ درگاه دارند امروز میتوانند کسبِ درآمد کنند یا خیر. امسال باید از نهادهای حاکمیتی و دولتی بخواهیم که مسئولیت کارهایشان را قبول کنند. تاخیرها، لطمه خودش را به کسبوکارها خواهد زد. حداقل زیانی که کسبوکارهای طرف قرارداد با زرین پال در این چند روز داشتهاند به 30 الی 40 میلیارد تومان میرسد.»
اتهام شرطبندی؛ سرچشمه مسدود شدنها
تاکنون در سه دوره ترمینالهای زرین پال به اتهام تراکنش شرطبندی مسدود شدهاند در حالی که مدیرعامل زرینپال میگوید که در این سه دوره، تنها یک بار واقعا از درگاه زرین پال برای چنین منظوری استفاده شده بود. به گفته او در 22 بهمن گزارشی برای شاپرک ارسال میشود مبنی بر استفاده از درگاه این پرداختیار برای شرطبندی. اما نهایتاً این یک اتهام اشتباه بوده است. امیری میگوید:
«این اطلاعات صرفاً حاوی یک اسکرین شات بود. زمانی که تراکنش را با کمک اسکرین شات پیدا کردیم، متوجه شدیم که یک گزارش کذب بوده و مربوط به افزایش اعتبار کیف پول است. اینجا ردپای رقابت مکارانه رقبا وجود داشت. همانجا به شاپرک اعتراض کردیم که چطور میشود بدون اینکه بررسی قضایی در این باره انجام شود، با یک گزارش، کل ترمینالهای یک شرکت را مسدود میکنید. با توجه به تعطیلیهایی که در بازه 22 بهمن وجود داشت، مسدود بودن ترمینالها تا 5 روز طول کشید.»
امیری همچنین در خصوص مسدود شدن در سوم فروردین میگوید که یک فیلم از یک صفحه اینستاگرام مربوط به شرطبندی تهیه شده بود که در آن لینک زرین پال وجود داشت: «شاپرک مجداً کل ترمینالهای ما را مسدود کرد؛ اتفاقی که صرفاً بر اساس یک گزارش و فیلم افتاد. در واقع یک صفحه اینستاگرامی وجود داشت که مجموع تراکنشهایش، 4 عدد بوده است. ما دوباره اعتراض کردیم و گفتیم نمیشود با یک فیلم، و بدون مدرک مشخص قضایی بتوان یک کسبوکار را تعطیل کرد.»
اما حالا و در سومین دور از مسدود شدن زرینپال، مدیرعامل این استارتآپ عامل را خطای کاشناس شاپرک میداند و میگوید:
«در فیلمی که حالا آن را در اختیار دادستانی قرار داده است، مشخص است که کارشناس شاپرک اطلاعات کارتش را ساعت 4 عصر در یک سامانه تقلبی و فیک وارد میکند و ساعت 7 شب تراکنش از حسابش انجام میشود. عملاً به نظر میرسد که یک نفر کارتش را لو داده، یک پذیرنده هم اطلاعات کارت را روی سرویس زرین پال زده بود و از آن کارت وجه برداشت کرده بود. مجدداً شاپرک مدعی بود که زرین پال به صورت سازمان یافته، به سایتهای قمار و شرطبندی سرویس میدهد. این ادعایی بود که شاپرک در نامه رسمیاش هم بیان کرده بود. در نامه گفته شده بود زرین پال، درگاه شرکت تجارت الکترونیک پارسیان را بالا میآورد ولی تراکنش در پاسارگاد انجام میشود و این به معنای دور زدن قوانین شاپرک بوده است. همین ادعا نشان میدهد که هیچ بررسی کارشناسی در این موضوع صورت نگرفته و کسبوکار ما در کنار 90 هزار کسبوکاری که از ما خدمات میگیرند، ضربه خوردند. در حالی که اگر OTP یا رمز اول و دوم یک بار مصرف تا امروز اجرایی شده بود، اصلاً این مشکلات به وجود نمیآمد، چراکه همین مسئله میتواند امنیت پرداختیارها را یک لایه بالاتر ببرد.»
روند شاپرک در این سه دوره نشان میدهد که این سامانه به جای اینکه به پرداختیار درست یا غلط اخطار دهد که یک پذیرنده، در حال سوءاستفاده از سرویس است، کل سرویس را غیرفعال میکند. امیری با انتقاد به همین روند میگوید: «امروز با پدیدهای در شاپرک روبهرو هستیم که خودش دستور و حکم میدهد و سپس خودش اجرا و مسدود میکند. در حالی که هیچ دستور قضایی وجود نداشته است.» همین مسئله در روزهای اخیر باعث ورود بانک مرکزی و دادستانی کل کشور به ماجرای مسدود شدن فینتکها شده است. مدیرعامل زرینپال خبر میدهد که روز گذشته (9 اردیبهشت 98)، شاپرک در دادستانی صورتجلسهای را امضا کرده است که دیگر به این سامانه جامع اجازه مسدودسازی کلی را نمیدهد:
«آقای جاویدنیا در این چند روز وقت بسیار زیادی گذاشتند تا مشکل حل شود و از این به بعد، در شاپرک، تصمیم قائم به فرد نباشد. به این شکل کسبوکارهای پرداختیار که در این حوزه فعالیت میکنند، دیگر به خاطر تخلف یک پذیرنده، کل کسبوکارشان مورد اتهام قرار نمیگیرد.»
او همچنین در خصوص جزییات بیشتر این صورتجلسه میگوید که حالا بانک مرکزی باید آیین نامه انظباطی تهیه کند که تا زمان اجرایی شدن پرداختیاری، به آن استناد شود: «احتمالاً آیین نامه انضباطی ناظر بر فعالیت پرداختیارها در دو هفته آینده نهایی خواهد شد. اما فعلاً همین صورتجلسه سبب شده تا در این بازهی گذار، شاپرک نتواند به کسبوکارهای حوزه پرداختیار، به واسطه یک تخلف، ضربه بزند. در آیین نامه نهایی هم حدود مشخص خواهد شد و وظایف هم شفافتر خواهد بود. همین کار از ضربه زدن به استارتآپها با اشتباه یک کارشناس جلوگیری میکند.»
از سوی دیگر، یکی از دلایل بروز این مشکلات و مسدود شدنها، اجرایی نشدن مصوبههای پرداختیاری است. به گفته امیری اگرچه در سال گذشته روبانهای زیادی قیچی شد اما شاپرک به بهانههای فنی ماجرای پرداختیاری را اجرایی نکرده است: «تعلل فنی بعد از 8 ماه قابل درک نیست و نتیجهاش این است که شاپرک به خودش اجازهی چکشی برخورد کردن را میدهد. شاپرک حتی دلایل مسدود کردن ترمینالها را بیان نمیکند. احساس کلی ما این است که شاید شاپرک از اینکه پرداختیارها اجرایی شوند خوشحال نیست. چون مسئولیتهای نظارتی جدیدی به نیابت از بانک مرکزی به او داده میشود. به همین دلیل ما حس میکنیم که شاپرک آماده پذیرش 300 الی 400 کسبوکار پرداختیار نیست.»
توپ در زمین بازیگر ضعیف
تجربه زرین پال نشان میدهد که دستکم در این سه دوره مسدود سازی، یک بار تخلف از سوی یک پذیرنده انجام شده است. اما حتی اگر از درگاههای سرویسدهندههای فینتک برای شرطبندی و قمار استفاده شود، آیا شاپرک باید کل خدمات سرویسدهنده را مسدود کند؟ «جعفر محمدی»، نایب رییس کمیسون تجارت الکترونیکی سازمان نظام صنفی رایانهای در پاسخ به این پرسش، اقدام شاپرک را درست نمیداند و به دیجیاتو میگوید:
«در بسیاری از موارد، پرداختیار متوجه نمیشود که درگاه برای قمار استفاده میشود. وظیفه این پلتفرمها، اینجا احراز هویت است تا اگر پلیس فتا یا قوه قضاییه فردی را شناسایی کردند، پلتفرم بتواند اطلاعات دقیقی را در اختیار این مراجع قرار دهد. از سوی دیگر اگر سیستم قضایی شواهدی به دست بیاورد که پرداختیار سازماندهی شده و با اطلاع این کار را کرده، یا به حکم قضایی بیاعتنایی میکند، یا قانونی رعایت نشده است، آن زمان باید کل خدمات کسبوکار را مسدود کند. اینکه ما به پرداختیارها بگوییم خودتان بروید بر شرطبندی نظارت کنید، اشتباه است.»
محمدی اعتقاد دارد که پرداختیار باید خدماتش را بدهد و نظارت بر عهده دیگرانی است که تلاش میکنند توپ بازی را به زمین بازیگر ضعیف بیاندازند: «پلیس فتا، بانک مرکزی و شاپرک هر کدام در حال انداختن توپ در زمین ضعیفترین حلقه هستند که دستش هم به جایی بند نیست. نظارت کار پرداخت یار نیست. پرداختیار باید سرویس بدهد. اگر مشکلی پیش آمد سیستم قضایی پیگیری کند و پرداختیار هم همکاری کند.»
او همچنین به مصوبه پرداختیاری اشاره میکند که یک پایشِ کلی را وظیفه پلتفرمهایی همچون زرینپال و پیپینگ میداند: «در مصوبه پرداختیاری، چنین مسائلی پوشش داده شدهاند. برای مثال پرداختیارها باید روی تراکنشها پایش داشته باشند، چراکه وقتی در یک شب 300 میلیون تومان از طریق یک درگاه پرداخت میشود، مشخص است که با یک درگاه قمار رو به رو هستیم. اما پرداختیار نمیتواند برای پرداختهای ریز متوجه قمار شود. ریشه مشکل اینجاست که مصوبه پرداختیاری اجرا نمیشود.»
شاپرک دستهبندی صحیحی ندارد
در فرایند پرداختیاری به درستی پیشبینی شده بود که هر مشتری زرینپال یا سایر پرداختیارها دارای یک شناسه منحصر به فرد در سامانه جامع شاپرک باشد تا در صورت تخلف، صرفاً همان شناسه بلاک شود. این را «مهدی عبادی»، دبیر انجمن فینتک ایران در گفتگو با دیجیاتو میگوید. اما او نیز عقیده دارد تا زمانی که فرایند پرداختیاری شکل نگرفته، باید همکاری بیشتری بین پرداختیار و شاپرک وجود داشته باشد تا اگر تراکنش قمار از سمت شاپرک کشف شد، به پرداختیار اعلام شود تا پرداختیار دسترسی را مسدود کند.
عبادی ریشه اتفاقات کنونی را در اسفند 1396 جستجو میکند؛ زمانی که عبدالصمد خرمآبادی، معاون وقت دادستان کل کشور در امور فضای مجازی به شاپرک دستور داد تا اگر یک درگاه، در سایت قمار تراکنش داشت، کد ملی فرد بلاک شود. پس از این دستورالعمل، اداره نظامهای پرداخت بانک مرکزی هم دستورالعمل مشابهی را به شاپرک میدهد اما اینجا یک اشکال اساسی وجود دارد. دبیر انجمن فینتک میگوید:
«زمانی که اداره نظامهای پرداخت بانک مرکزی چنین دستوری را صادر کرد، به این موضوع توجه نکرده بود که در سامانه جامع شاپرک دو دسته Merchant وجود دارد. دسته اول کسبوکارهایی هستند که از PSPها یا جاهای دیگر سرویس میگیرند. اما دسته دیگری هم وجود دارد که توزیعکننده سرویس هستند که زرین پال و پیپینگ هم در همین دسته قرار میگیرند. دستور معاون دادستان و اداره نظامهای پرداخت باید تفاوت این دو دسته را در نظر میگرفت که این اتفاق رخ نداده است. حالا شاپرک با یک تراکنش در سایت قمار روبهرو میشود که روی یکی از ترمینالهای یکی از این توزیعکنندگان سرویس مثل زرین پال اتفاق افتاده است. بر اساس همان مصوبه، کد ملی صاحب ترمینال در لیست سیاه قرار میگیرد. صاحب این ترمینالها، مصطفی امیری، مدیرعامل زرین پال یا مدیرعامل پیپینگ یا مدیر هر شرکت دیگری است. پس هر ترمینالی که زیرمجموعه کد ملی ثبت شده، بلاک میشود. اینطور است که کسبوکار کاملاً متوقف و مسدود میشود.»
او البته اعتقاد دارد که برای مبارزه با قمار و شرطبندی، مسدودسازی کدهای ملی و اشخاص باید وجود داشته باشد اما در این میان باید تفاوت بین دو دسته را قائل شد: «این سطحبندی در سامانه جامع شاپرک وجود نداشته و مسدود شدن کلی سرویس دهنده، بارها و بارها برای پرداختیارها تکرار شده است.»
اکنون قرار است اگر در یک توزیعکننده سرویس، یک تراکنش قمار انجام میشود، با تهمیداتی، صرفاً Merchant ID بلاک شود و کل کسبوکار مسدود نشود. به گفته عبادی این روش تا زمانی که فرایند پرداختیاری شکل نگرفته است، تنها راه برای جلوگیری از مسدود شدن این استارتآپها از سوی شاپرک و سپس قطع دسترسی چند ده هزار پذیرنده به درگاه پرداخت است.