سامانه شاهکار این روزها تبدیل به شوالیهای شمشیر به دست شده که میتواند ریسک فعالیت کسبوکارهای اینترنتی را به حداقل برساند یا به کلامی سادهتر، از آنها در برابر تهدید به فیلترینگ دفاع کند. به همین دلیل است که کسبوکارهای بزرگ برای داشتن امنیت بیشتر خودشان و البته کاربرانشان، میخواهند از سامانه شاهکار استفاده کنند. اما آیا کسبوکارهای اینترنتی واقعا برای احراز هویت کاربران خودشان به شاهکار نیاز دارند؟ این همان پرسشی است که در همین مقاله تلاش میکنیم به آن پاسخ دهیم.
سامانه شاهکار (سامانه شبکه احراز هویت کاربران ارتباطی) در سال 1394 توسط سازمان تنظیم مقررات و ارتباطات رادیویی توسعه پیدا کرد و اکنون 3 سرویس اصلی میدهد. سرویسهای فرعی شاهکار، اعلام تعداد خطوط با استفاده از کد ملی به مشترکین موبایل است، اما آنچه این روزها هیاهوی بسیاری به پا کرده، قابلیت اصلی این سرویس یعنی «احراز هویت و بررسی تطبیق شماره تلفن همراه با کد ملی صاحب خط تلفن» است.
چرا به سامانه شاهکار نیاز داریم؟
تصور کنید یک صاحب یک پلتفرم اینترنتی کاربر محور هستید. کاربران یا محتوای غیرقانونی در پلتفرم شما منتشر میکنند یا حتی شاید دلالها بخواهند با استفاده از سایتی که شما ساختهاید یک بازار خاص را کنترل کنند. حالا شما روزانه 500 هزار آگهی دارید. آیا میتوانید محتوای تکتک این آگهیها را بررسی کنید یا بخواهید جرائم را کشف کنید؟ پاسخ خیلی ساده، منفی است.
اما در این میان شما به عنوان گرداننده یک پلتفرم اینترنتی یک وظیفه دیگر دارید. باید کاربرانی که از سرویس شما استفاده میکنند را احراز هویت کنید. به همین شکل، زمانی که یک تخلف از سوی پلیس فتا یا مراجع قضایی کشف شد، بتوانید دادههای مربوط به همان کاربر را در اختیار مراجع مرتبط قرار دهید.
اما این دادهها که شما باید به مراجع قضایی بدهید چه هستند؟ اینجاست که بحث احراز هویت یا KYC اهمیت پیدا میکند تا بتوانید به کارتان ادامه بدهید و متخلفان درخواستی را هم به مراجع قضایی معرفی کنید. سادهترین روش احراز هویت، استفادهی پلتفرمهای اینترنتی از شماره موبایل کاربران است. در واقع کاربر شماره موبایلش را وارد میکند، یک کد برای او ارسال میشود، و وقتی کد صحیح در پلتفرم وارد شد، در واقع سامانهای که شما دارید، اصالتسنجی شماره موبایل را انجام داده است.
در واقع اینجاست که صاحب پلتفرم اینترنتی، شماره موبایل کاربران خود را دارد. اما همه چیز به این سادگی نیست. اینجا یک قطعه پازل به نام «سیمکارتهای بی نام و نشان» باعث میشوند تا نیاز به سامانه شاهکار وجود داشته باشد. اینجاست که باید این سوال را مطرح کنیم که آیا در سال 1398 هنوز سیمکارت بینام و نشان وجود دارد؟ پاسخ «جواد جاویدنیا»، معاون دادستان کل کشور در امور فضای مجازی به همین پرسش، مثبت است. جاویدنیا اخیراً در مصاحبهای با باشگاه خبرنگاران جوان گفته بود:
«باید امکان احراز هویت را برای افرادی که در سایت آگهی ثبت میکنند، فراهم کنیم که سایتها تا حدودی این کار را انجام میدهند و در ابتدای نصب این اپلیکیشنها کاربر باید شماره موبایل خود را ثبت کند، اما وجود سیم کارتها با هویت مجهول و سیم کارتهای اتباع خارجی باعث شده است روند شناسایی هویت افراد را در سایتها با مشکل روبه رو کند.»
جاویدنیا همچنین در ششم فروردین 98، در گفتگو با ایرنا هم همین مسئله را یک مشکل بزرگ عنوان کرده و گفته بود: «وجود سیم کارتهای بدون هویت باعث شده تا هویتهای مجعول در فضای مجازی گسترش یابد که در این رابطه تذکرهای متعددی به اپراتورها داده شده است و بر اساس مقررات مختلف باید همه سیم کارتها احراز هویت واقعی شده یا سوزانده شوند اما این کار انجام نشده است.»
با توجه به همین مسئله، به این نتیجه میرسیم که استفاده از شماره موبایل کاربران در پلتفرمهای اینترنتی، جهت احزار هویت آنها کافی نیست چون تعداد نامشخصی سیمکارت بدون هویت وجود دارد. اینجاست که سامانه شاهکار وارد بازی میشود.
سازمان نظام صنفی رایانهای: نیازی به شاهکار نیست
کارکرد سامانه شاهکار اکنون این است که اجازه ندهد از سیمکارتها بی نام و نشان در پلتفرمهای اینترنتی استفاده شود. اما مسئله اینجاست که خدمات همین سامانه، رایگان نیست و از طرفی همه کسبوکارها هم فعلاً نمیتوانند از آن بهره بگیرند.
مسئله اکنون اینجاست که اگر سیمکارت بدون هویت وجود نداشت، لازم نبود تا احراز هویت از طریق سامانه شاهکار انجام شود و شاید احراز هویت با اصالت سنجی شماره موبایل کفایت میکرد. اما آیا این یک نظریه درست است؟ «جعفر محمدی»، نایب رییس کمیسیون تجارت الکترونیکی سازمان نظام صنفی رایانهای هم با این نظریه موافق است و در گفتگو با دیجیاتو میگوید: «شیوه احراز هویت فعلی با استفاده از سامانه شاهکار، کسانی که با سیمکارتهای جعلی کار میکنند را از رده خارج میکند. پس کسبوکارهای تجارت الکترونیکی بابت وظیفهای که بر عهده رگولاتوری و اپراتورهای موبایل است، این هزینههای سنگین را میپردازند.»
او توضیح میدهد که اگر در شبکه، شماره موبایلهای فیک و بدون کد ملی نباشد، یک کسبوکار میتواند صرفاً شماره موبایل فرد را اعتبارسنجی کند و همین کار جهت احراز هویت از سمت کسبوکار کفایت میکند: «اگر تخلفی انجام شد، اطلاعات شماره موبایل به نهاد نظارتی یا قضایی تحویل داده شود. اینجاست که این نهاد میتواند به سادگی با یک استعلام از اپراتور یا رگولاتوری، مشخصات کامل صاحب شماره موبایل را پیدا کند. پس وظیفه یک کسبوکار است احراز شماره موبایل است و نه بیشتر.»
محمدی اعتقاد دارد که نه تنها قیمتی که برای استعلام تطابق شماره موبایل و کدملی از سامانه شاهکار در نظر گرفته شده، منطقی نیست؛ بلکه امروز کسبوکارهای خصوصی در حال پرداخت هزینهی ناکارآمد بودن سیستم هستند. او در همین رابطه به دیجیاتو میگوید:
«سازمان تنظیم مقررات و ارتباطات رادیویی و اپراتورهای موبایل به جای اینکه سیمکارتهای بدون هویت را مسدود کرده و اطلاعات صاحبان سیمکارت را بروز کنند تا کسی با هویت جعلی نتواند از پلتفرمهای آنلاین استفاده کند، کار را راحتتر کردهاند و میگویند با شاهکار بسنجید و افراد را به این شکل احراز هویت کنید. در صورتی که این وظیفه رگولاتوری و اپراتورهاست. از طرفی به جای اینکه بابت انداختن بار هویتسنجی شمارهها از طریق شاهکار به دوش کسبوکارها و با مشکل مواجه ساختن تجربه کاربری مشتریان آنها، پولی به آنها پرداخت کنند، میخواهند از آنها پول هم بگیرند. هزینهای که طبق برآوردهای انجام شده، مبلغی بالغ بر چند ده میلیون تومان در ماه برای برخی از کسبوکارها خواهد بود. این موضوع منطقی نبوده و به صورت جدی باید از لحاظ حقوقی مورد بررسی قرار گیرد.»
سازمان فناوری: کسبوکارها به سطوح مختلفی از احراز هویت نیاز دارند
«محمدجعفر نعناکار»، مدیرکل حقوقی سازمان فناوری اطلاعات ایران در گفتگو با دیجیاتو خبر میدهد که کسبوکارها بر اساس کار خودشان نیاز به سطوح مختلفی از احراز هویت دارند. برای مثال کسبوکارهایی که یا کارشان از اهمیت ویژهای برخوردار است یا حجم قابل توجهی کاربر یا دیتا دارند، مانند تاکسیهای اینترنتی یا سایتهایی که آگهی تجاری در آنها قرار داده میشود، باید احراز هویت را رعایت کنند تا هم محتوای وارد شده کنترل شود و اگر احیاناً جرمی اتفاق افتاد، قابلیت پیگیری نیز وجود داشته باشد.
اما اکنون سوال اینجاست که آیا یک کسبوکار اینترنتی نمیتواند با اصالت سنجی شماره موبایل احراز هویت را انجام دهد؟ و در نهایت اگر ما در شبکه موبایلمان، سیمکارت های مجهول الهویه نداشتیم، آیا باز هم نیازی بود تا کسبوکار به سراغ شاهکار بیاید و برایش پول بدهد؟ نعناکار در پاسخ به همین پرسش به دیجیاتو میگوید:
«بحث KYC یا شناسایی و احراز هویت کاربر، یک بحث پیچیده است. نمیتوان گفت با کد ملی، شماره تلفن یا چند المان دیگر، احراز هویت انجام شده و همهچیز تمام شده است. گام اولی که در کشور برداشته شده، استفاده از سامانه شاهکار برای مسائل بخصوص است. سطوح امنیتی در مسائل مختلف، با هم متفاوت است. تصور کنید یک کسبوکار مالی مانند بانک، با شماره موبایل و کد ملی احراز هویت نمیکند، بلکه برای خدمتی مانند صدور دسته چک، حتی کد پستی مشترک را احراز هویت میکنند. پس سطوح مختلفی وجود دارد و بستگی به این مسئله دارد که کسبوکار در حال انجام چه کاری است.»
او توضیح میدهد که تا امروز ساز و کار مشخصی برای احراز هویت وجود نداشته است که بتوان در دادگاه به آن استناد کرد و حالا سامانه شاهکار یک گام اولیه در همین راستا است: «سامانه شاهکار یک گام اولیه است تا کسبوکارها بتوانند توسط کد ملی و شماره موبایل، هویت شخص را احراز کنند. اگر کسبوکار بخواهد از طریق اصالتسنجی شماره موبایل عمل کند، شاید برای بعضی کسبوکارها جواب بدهد چون الزامی وجود ندارد تا همه کسبوکارها از شاهکار استفاده کنند. برای مثال کسبوکارهای کوچکی که زیر 5 هزار کاربر دارند اصلاً صلاحیت دریافت شاهکار را ندارند و میتوانند از طریق شماره موبایل که اولیهترین مرحله احراز هویت است، این کار را انجام دهند. اما وقتی کسبوکارها یک گام جلوتر میروند و مسائل پولی و مالی پیش میآید، احزار هویت از طریق شماره موبایل کفایت نمیکند. باید دید شماره موبایل آیا واقعاً به نام شخصی است که با آن کار میکند یا خیر. حتی در گام بعدی ممکن است موقعیت جغرافیایی کاربر هم مهم شود یا باز هم در مراحل بعدی، شاید نیاز باشد تا کسبوکار تعهدات بیشتری بدهد.»
نعناکار همچنین تاکید میکند که در حال حاضر، صرفاً کسبوکارهای اثرگذار در فضای سایبری کشور صلاحیت دریافت این سامانه را دارند که در مرحله اول این صلاحیت در سازمان فناوری بررسی میشود و سپس در کمیته دیگری خارج از سازمان فناوری در مورد صلاحیت کسبوکار برای دریافت شاهکار نظرسنجی میشود.
او همچنین در پاسخ به این پرسش که تعرفه 382 تومانی برای هر استعلام از کجا سرچشمه میگیرد، میگوید: «مسئلهای که وجود دارد این است که سیستم باید بقا داشته باشد. زیرساختها هزینه دارند که باید به شکلی تامین شوند. حتی اگر از نگاه سودآوری به مسئله نگاه نکنیم، حداقل باید کف هزینهها در این سیستم دیده شود. تا آنجایی که من اطلاع دارم، سازمان فناوری ایران طرح توجیهی را نوشته و آن را به کمیسیون تنظیم مقررات فرستاده است. پیروی همین مسئله تعرفه 382 تومانی تصویب شده است. اما تصویب این تعرفه در بازه کنونی، ملاک عمل نیست. این تعرفه باید به تنظیم بازار برود و نظر تنظیم بازار را هم بگیرد، و در نهایت هم نظر انجمنهای حمایت از تولیدکنندگان و مصرفکنندگان نیز در این مسئله مهم است. اما در حال حاضر، این تعرفه به صورت مقدماتی تصویب شده اما این عدد نهایی نشده است.»
مدیرکل حقوقی سازمان فناوری اطلاعات همچنین اشاره میکند که قیمت این سرویس به صورت پلکانی هم در نظر گرفته شده تا هرچقدر تعداد کاربران یک پلتفرم بالاتر برود، عدد این تعرفه کاهش پیدا کند: «در نهایت هنوز تعرفه تصویب قطعی و قانونی نشده است. حتی اگر امروز قراردادی منعقد شده باشد، به صورت علیالحساب است تا زمان تصویب قطعی تعرفه.»
دیوار: اگر سیمکارت بدون هویت وجود نداشت شاهکار را نمیخواستیم
پلتفرم دیوار از شنبه (21 اردیبهشت 98) استفاده از سامانه شاهکار برای احراز هویت آگهیدهندگان در بخش خودرو و املاک را آغاز کرده است. در واقع این پلتفرم، به همین صورت توانسته قیمتها را دوباره به سایت خود برگرداند.
«ایمان مشعلچیان»، مدیر روابط عمومی دیوار در گفتگو با دیجیاتو اعلام میکند که این پلتفرم اکنون به ازای هر استعلام از سامانه شاهکار، باید 382 تومان پرداخت کند، هرچند فعلاً پرداختی در این زمینه نداشته است.
نکته مهم اینجاست که او نیز تعداد بالای سیمکارتهای بدون هویت را دلیل اصلی استفاده از سامانه شاهکار اعلام میکند و میگوید: «حالا با استفاده از سامانه شاهکار، زمانی که کاربر میخواهد در دیوار یک آگهی ثبت کند، شماره موبایل را با کد ملی فرد تطبیق داده میشود. در واقع اینجا مشخص میشود که آیا شمارهای که با آن آگهی ثبت میشود، به اسم آن کد ملی است که سیمکارت را دارد یا خیر. فعلاً در دسته بندی خودرو و املاک در حال استفاده از این سرویس هستیم.»
مدیر روابط عمومی دیوار در پاسخ به این سوال که اگر مشکل سیمکارتهای بدون هویت وجود نداشت، آیا اصالت سنجی با استفاده از شماره موبایل میتوانست راهکار نهایی برای احراز هویت باشد یا خیر، میگوید: «در همه جای دنیا همینطور است چون سیمکارت بدون هویت وجود ندارد. حتی اگر مسافر باشید و وارد کشوری شوید، سیمکارت را بر اساس پاسپورت به شما میدهند. هزینهای که بابت سامانه شاهکار، کد ملی و این مسائل میشود کاملاً بدون دلیل است. اگر مشکل از سرمنشاء حل شود و سیمکارت بدون هویت وجود نداشته باشد، نیازی به پرداخت این هزینه نیست.»
او همچنین خبر میدهد که دیوار به شکل روزانه پذیرای 500 هزار آگهی است و سامانه شاهکار هم در گذشته توانایی پاسخ دادن به حجم بالای درخواستها را نداشته است، هرچند که اخیراً، اصلاحاتی روی این سرویس انجام شده است: «به دلیل همین مسائل، فعلا فقط این سرویس را در دسته بندی خودرو و املاک فعال کردهایم. از سوی دیگر این ویژگی فعلاً به صورت انتخابی در اختیار کاربران قرار دارد. در واقع کاربران میتوانند به این شکل احراز هویت شوند تا اعتبار آگهیشان افزایش پیدا کند. ما به این شکل اعلام میکنیم که این فرد را میشناسیم و هویتش احراز شده است.»
زرین پال: قاضی شاهکار را نمیشناسد
«مصطفی امیری»، مدیرعامل زرین پال نیز در گفتگو با دیجیاتو اعلام میکند که شاهکار نمیتواند مشکل بزرگی را حل کند در حالی که ثبت احوال قادر است تا با سرویسهای خود مشکل احراز هویت را به شکل تخصصیتری به پایان برساند. از سوی دیگر مدیرعامل زرین پال نیز هزینههای تحمیل شده به کسبوکارش را حاصل کمکاری اپراتورهای موبایل و رگولاتوری میداند و میگوید که احراز هویت با شماره موبایل، اگر سیمکارت بدون هویت وجود نداشت، یک راه کامل بود:
«اگر امروز قاضی میتوانست با یک شماره موبایل به شخص خاطی برسد، اساساً نیازی نبود تا ما از شاهکار استفاده کنیم؛ در استعلام قضایی جواب میدادیم که شخص با یک شماره موبایل احراز هویت شده و ما وظیفهای پیرامون این مسئله نداریم. اما دیتای کافی وجود ندارد و قاضی نمیتواند شخص خاطی را پیدا کند. در نتیجه اتفاقی که میافتد این است که پای پلتفرم گیر است. پلتفرم هم برای اینکه بتواند ریسک فعالیتش را مدیریت کند، به شاهکار تن داده و هزینه پرداخت میکند.»
اما به نظر میرسد که حتی سامانه شاهکار هم نتوانسته مشکل را از ریشه حل کند و ریسک فعالیت پلتفرمها را کمتر کند چراکه هنوز قاضیها با این سامانه آشنایی لازم را ندارند. امیری در همین رابطه میگوید: «امروز حتی در پروندههایی که استعلام شاهکار دارند، وقتی همین مسئله را به قاضی میگوییم، جواب میشنویم که «شاهکار چیست؟». پس قاضی هم قبول نمیکند که ما بررسی کردهایم و کد ملی را تطبیق دادهایم و از کل پروسههایی که وجود داشته و در اختیار ما بوده استفاده کردهایم.»
او همچنین در پاسخ به این سوال که چه مبلغی برای شاهکار پرداخت میکند، میگوید که رقم 382 تومان به ازای هر تراکنش در قرارداد با سامانه شاهکار ذکر شده است. با این حال مدیرعامل زرین پال به نکته کلیدیتری اشاره میکند که مربوط به اعتبار خود سامانه شاهکار است: «ما آمادهایم که این رقم را برای استعلامهای خود پرداخت کنیم، به شرط آنکه اگر دادگاهی خواست ما را محکوم به انجام یک KYC ناقص کند، سازمان فناوری اطلاعات، متولیان سامانه شاهکار و رگولاتوری بیایند و دفاع کنند. خود سازمان فناوری اطلاعات هم باید این مسئله را درک کند که حیات این سرویس مشروط به این است که قضات آن را قبول داشته باشند.»
امیری از سوی دیگر خبر میدهد که بیش از 50 درصد از استعلامهای شاهکار، پاسخ مثبت نمیگیرند چراکه سیمکارت بسیاری از افراد به نام خودشان نیست. او در همین رابطه توضیح داد:
«سامانه شاهکار صرفاً یک سرویس کمکی است و وقتی از آن به شکل عملیاتی استفاده کردیم، فارغ از خوب یا بد بودن آن، متوجه شدیم که حدود 50 درصد از خطوط پذیرندگان ما به نام خود اشخاص نیست. نزدیک به 3500 درخواست به سامانه شاهکار فرستادهایم که بالای 50 درصد آن مَچ نشده است. زمانی که بررسی کردیم، احساس کردیم که شاید یک مشکل فنی وجود دارد یا ما داریم چیزی را اشتباه پیاده سازی میکنیم، اما در نهایت متوجه شدیم که جواب استعلام شاهکار منفی بوده است. شک کردیم به اینکه شاید پذیرندگان دارند کار خلاف واقع انجام میدهند. زمانی که با برخی از آنها تماس گرفتیم متوجه شدیم که خط موبایلشان به نام آشنایانشان است. در جامعه آماری خودمان و با توجه به بیشتر از 40 نفر کارمندی که داریم، باز هم حدود 50 درصد اعلام کردند که خط موبایلشان به نام خودشان نیست.»
او میگوید که اگرچه سامانه شاهکار در حوزه خود یک سرویس مناسب است اما کسبوکارها نمیتوانند به آن اتکای 100 درصدی داشته باشند چون نمیشود گفت که اگر شماره موبایل درخواست دهنده با کد ملی ثبت شده برای همان خط همخوانی نداشت، یک نفر در حال انجام کار خلاف است. امیری همچنین میگوید که حتی اگر همخوانی بین کد ملی و خط مشترک وجود داشته باشد، باز هم دیتای به کسبوکار برنگشته است که بتواند مبنای درستی برای تصمیمگیری باشد.
سامانه شاهکار؛ یک قانون نانوشته
سامانه شاهکار اگرچه یک گام اولیه و درست به سمت احراز هویت در فضای مجازی است اما باید دید در این میان هزینههای این سرویس در نهایت به چه شکل تصویب خواهد شد. اما از سوی دیگر بعضی از مدیران کسبوکارهای اینترنتی که نمیخواهند نامی از آنها برده شود، به دیجیاتو میگویند که شاهکار را انتخاب میکنند چون تنها ابزاری است که برای احزار هویت وجود دارد و همین مسئله میتواند تضمینی برای صدمهندیدن کسبوکارشان باشد.
همه این مسائل درکنار هم، دریافت سامانه شاهکار را برای کسبوکارهای بزرگ اینترنتی تبدیل به یک قانون نانوشته میکند؛ قانونی که اگرچه وجود ندارد اما اگر کسبوکارها بخواهند به کارشان ادامه دهند بدون اینکه شمشیر فیلترینگ را پشت سر خود احساس کنند، باید به آن تن بدهند.