گفت و گوي تکفا با دکتر ولي فاطمي
منبع: http://iranwsis.org


اشاره: گفت و گو با دكتر ولی فاطمی، پس از آن انجام مي‌شد كه ما يك ميزگرد با مديران بانك‌هاي بزرگ برگزار كرده‌بوديم و پس از آن هم با معاون بانك مركزي مصاحبه‌اي داشتيم. از اين رو اين امكان را داشتيم تا با بهره‌گيري از نكات و مشكلاتي كه از قبل با آنها آشنا شده‌بوديم، گفت و گوي تخصصي‌تري را با دكتر فاطمي انجام دهيم. وي كه دوره‌هاي كارشناسي و كارشناسي ارشد خود را در دانشگاه صنعتي شريف و دوره‌ي دكتري را در دانشگاه صنعتي اميركبير در رشته‌ي مهندسي كامپيوتر گذرانده‌است، سوابق و تجارب كاري بسيار مفيد و ارزنده‌اي در زمينه‌ي نرم افزارهاي مرتبط با بانكداري الكترونيكي دارد. وي با شرکت ملی انفورماتیک در زمینه‌ي سیستم‌های اتوماسیون بانکی، با شرکت لاله کامپیوتر و يكي از صندوق‌هاي قرض الحسنه در زمينه‌ي طراحی سيستم و بالاخره با شرکت کیش ویر در راستای طراحی و پیاده‌سازی سیستم‌های اتوماسیون بانکی همكاري داشته‌است. بانك ملت، بانک سامان، بانک اقتصاد نوین، موسسه‌ي اعتباری توسعه و صندوق انصار جزو مراكزي هستند كه دكتر فاطمي در زمينه‌ي طراحي سيستم بانكداري الكترونيكي با آنها كار مي‌كند. وي همچنين با کمیته‌ي پرداخت خود بانک مرکزی نيز همکاری می‌کند. اطلاعات و تجربيات وسيع و عملي دكتر فاطمي مي‌تواند براي ما و شما جالب و خواندني باشد:

فکر می‌کنید از چه زمانی در ایران خريد اينترنتي قابل اجرا باشد؟
ما در زمینه‌ي پرداخت الکترونیکی یا اینترنتی از چند سال پیش کارمان را با بانک سامان شروع کرده‌ایم. يكي از مهمترین دستاوردهایی که در حال حاضر وجود دارد، مربوط به بحث بانک اینترنتي است، به طوری که شما بتوانید عملیات بانکی به راحتی و بدون نیاز به حضور در شعبه انجام بدهید. یعنی علاوه بر اطلاع رسانی، دريافت صورت حساب و موجودي، بتوانید تبادل‌ الكترونيكي پول را نيز اجرا کنید. به عنوان مثال درخواست وام يا چک را بتوانید در اينترنت انجام دهيد يا عملیات کارت را آنجا ثبت کنید. به طور كلي یک دروازه‌ای برای ورود به دنیای تجارت الکترونیکی( E-Commerce) فراهم شده‌است. در کنار این خدمات، ما بحث پرداخت اینترنتی را باپیاده سازی دو استاندارد مختلف برای پرداخت‌هاي خرد و کلان به انجام رسانده‌ايم. در مورد پرداخت‌هاي خرد قاعدتا سهولت و سادگی استفاده خیلی مهم است و امنیت در اولويت دوم اهميت مي‌با‌شد. البته بیمه در کنار این قضیه لازم است، اما بیمه‌ي مربوط به آن هم خیلی سنگین نیست. بحث ديگر در مورد پرداخت‌های کلان است كه بیشتر در مورد معاملات بين سازمان‌هاي تجاري با يكديگر(B2B) و يا بين سازمان‌هاي تجاري با دولت (B2G) و يا بين دولت‌ها با يكديگر(G2G)براي تبادل مبالغ زياد مي‌باشد، يعني مبالغ بالای چند صدهزار تومان یا چند میلیون تومان. در اين سطوح، دیگر اشخاص، کمتر درگیر هستند و بیشتر شرکت‌ها لازم دارند که ارتباطات مالی خودشان را انجام دهند. در اين پروتكل امنیت اولويت اول است و عدم انکار طرفین در انجام معامله اصل اساسي است. یعنی در دنیای مجازی یا اینترنت، ثبت سوابق و کار بايد به گونه‌اي انجام شود که هیچ کس نتواند درستي آن را انکار کند. پروتکل مشهوری که در اين زمينه در تمام دنیا وجود دارد، «ست» (Set) است که ما شكل ساده شده‌ای از این پروتکل را اجرا کرده‌ایم. این دو نرم افزار در حال حاضر در بانک سامان عملیاتی شده‌است. تا كنون در سطح كشور نزدیک به 60 مورد عقد قرارداد انجام شده و به زودی ارایه‌ي خدمات خرید یا فروش مجازی شروع می‌شود. این خدمات در حال حاضر با كارت بانك سامان در حال اجرا و قابل توسعه به عملیات کارت‌های عضو شتاب نيز مي‌باشد. البته ما اين خدمات را با كارت‌هاي عضو شتاب شروع و به صورت آزمایشی هم چند هفته راه‌اندازی کردیم، اما متاسفانه به خاطر نگرانی از عدم امنیت کافی در زیرساخت کارت‌هاي بانک‌هاي بزرگ و واکنش منفی چند بانک دولتی به توصیه‌ي بانک مرکزی به طور محدود تا زمانی که در یک کمیته‌ی خاص در بانک مرکزی ضرورت‌های بستر امنیتی برای بانک‌ها تدوين و ارایه شود، متوقف شده‌است. در زماني كه بانک‌ها در يك زمان‌بندی منطقی این امنیت را اجرا بکنند، این خدمات را به صورت یک کار فراگیر مي‌توانیم انجام دهیم. من می‌توانم قول بدهم که ظرف 3-2 ماه آینده شرکت‌های بسیار زیادی خواهیم داشت که این سرویس را به مردم ارایه خواهند کرد.

یعنی واقعا می‌توان امیدوار بود که ظرف 3-2 ماه آینده بانکداري اینترنتي در ایران راه‌اندازي شده باشد؟
پرداخت اینترنتی حتما راه خواهد افتاد. خدمات بانك اینترنتي را بعضی بانک‌ها در حال حاضر هم دارند. من بیشتر منظورم موضوع پرداخت اینترنتی بود. همین الان شما می‌توانید با استفاده از اینترنت، یک خرید کارت تلفن یا کارت اینترنت را داشته باشید. اول مهر، زمان افتتاح سايت رجا است. من فکر می‌کنم راه اندازی خريد اينترنتي از سایت رجا به عنوان یک سایت مورد نیاز قشر گسترده‌ای از مردم، یک حرکت مناسبي خواهد بود. کافی است بانک مرکزی هم آن محدودیت را از روی بانک‌ها بردارد که ما بتوانیم به سرعت این خدمات را به صورت گسترده به مردم ارايه بدهیم. شرکت‌ها با جديت تمام علاقمند هستند که این خدمت را ارایه کنند. یعنی برعکس بيشتر بانك‌ها كه آمادگي پذيرش اين ريسك را ندارند. شرکت‌هایی هم داریم که ریسک كامل عمليات را مي‌پذيرند. هر چند كه فروشنده بابت فروش اينترنتي یک درصدی از پرداخت را هزینه مي‌کند،. فروشنده‌هاي بسياري به این قضیه علاقمند هستند و استقبال بیش از حد است. سیستم‌های بانکی دولتي به خاطر ماهیت دولتی بودن خود، عموما نگران مشکلات عمليات باشند، تا اینکه به صورت كلي بحث درآمد و خدمات را ببینند. به اين دليل که هنوز در سیستم‌های دولتی ما مديريت ريسك (Risk Management) و كارايي جایگاهی ندارد. نمی‌توانیم بگوییم که این مدیر بايد در مقابل کاری که انجام داده، این قدر ریسک پذيري داشته‌باشد. به خاطر چند هزار تومان يك مدير دولتي كه چندین میلیون تومان گردش مالي (Turn Over) داشته بازخواست مي‌شود و این يكي از بزرگ‌ترین معضل‌ها در سیستم‌های دولتی ایران است. اگر ما بتوانیم بحث مدیریت ریسک را جا بیاندازیم و از آن طرف بیمه‌ها هم برخورد فعال‌تري داشته‌باشند، طبیعتا نه ضرر مالی متوجه بنگاه‌های مالی می‌شود و نه مديری متهم می‌شود. استفاده کننده از خدمات و فروشنده، هر یک هزینه‌ي محدودی را مي‌پردازند و در مقابل از یک سرویس خیلی خوب و راحت بهره مي‌گيرند.

با توجه به اینکه سیستم خرده‌فروشی در ایران هنوز حالت سنتی دارد و فروشگاه‌های زنجیره‌ای بزرگ و گسترده به اندازه‌ي كافي موجود نيست، فكر مي‌كنيد فروشگاه‌هاي کوچک می‌توانند سرویس اینترنتی مناسبي را ارایه بدهند؟
واقعیت این است که اگر ما بخواهیم سراغ خیل خرده فروش خیابانی برویم، شاید مشكلاتي داشته‌باشد، ولی یک چیز خوبي که در این چند مدت من خودم در تبلیغات دیده‌ام، خیلی از مغازه‌های معمولی، كالاهاي خود را در رادیو یا تلویزیون یا روزنامه آگهی می‌کنند. این نشان می‌دهد که این خرده فروش آنچنان که ما فکر می‌کنیم در حد یک بقالی نیست. وقتی مثلا یک مانتوفروشی در خیابان ولیعصر تهران آگهی تلويزيوني پخش می‌کند و چندین میلیون برای آگهی‌اش هزینه می‌کند، این نشان می‌دهد که فرهنگ فروش، حتی در فروشگاه‌های كوچك نيز مطرح شده‌است. فروش اینترنتي هم یکی از راه‌های خیلی خوب برای عرضه یا ارایه‌ي محصول است. یک بسترسازی که اتفاقا چند شرکت بزرگ و خصوصی دارند آن را انجام می‌دهند، ایجاد فروشگاه‌های مجازی بزرگ و فروش و عرضه یا اجاره‌ي فضاي لازم است. در این فروشگاه دیگر بحث زمین نیست که شما یک ملک را اجاره کنید، مثلا یک یا چند کیلوبایت را رزرو می‌کنید و از اين راه محصولتان را عرضه می‌کنید. یعنی من فکر می‌کنم در مدت کوتاهی این فرهنگ برای اغلب فروشگاه‌های معتبر جا مي‌افتد. جاهایی که محصولات خاصی را عرضه می‌کنند، قطعا برایشان صرف می‌کند كه سالیانه مبلغ صد هزار تومان هزینه کنند و کل اجناسشان را در اینترنت عرضه نمايند. ما در ایران بین 3 تا 4 میلیون کارت در دست مردم داریم. 500 هزارتا از این 4-3 میلیون خیلی راحت می‌توان گفت که به اینترنت دسترسی دارند.
شما می دانید که نزدیک 50 درصد نقل و انتقال پول در شهرهای بزرگ، به ويژه تهران انجام مي‌شود. ما حداقل اگر این قسمت را پوشش بدهیم، به اندازه‌ي کافی تبادل پول را کم می‌کنیم. یکی از بزرگترین مشکلات بانك مركزي بحث گردش پول و از رده خارج کردن پول‌هاي فرسوده است. خوشبختانه بانک مرکزی نزدیک به 2 یا 3 ماه است که بعد از یک دوره رکود چند ساله، در این قضیه خیلی خوب فعال شده. الان کمیته‌هایی هم برای این کار تشکیل شده‌اند. یکی از اين کمیته‌ها، کمیته‌ي پرداخت پول الکترونیکی یا پرداخت خرد است كه بعد از ابلاغیه‌ای که آقای رییس جمهور مبني بر تعيين 3 ماه براي برنامه‌ریزی‌ پول الكترونيك و تبادل الكترونيكي پول، اين كميته ظرف براي عملیاتی‌سازي آن انجام وظيفه مي‌كند.
به ويژه در زمینه‌ي کارت‌های هوشمند نيز در ایران یک مقدار مشکل داریم. کارت‌های مغناطیسی از نظر بحث امنیت جواب‌گو نیستند. کارت‌های هوشمند هم به خاطر انحصاری فناوري‌شان در دست شرکت‌هایی که ما مشکل تحریم را با آنها داریم، امکان استفاده از امكانات موجود دنيا را در اين زمينه به ما نمي‌دهد. در مورد ویزا و مسترکارت، امکان صدور براي بانك‌هاي ايران وجود ندارد و متاسفانه ساير کارهایی که در بانک‌های ما تا به حال انجام شده، بیشتر کارهایی بوده که یک دیدگاه‌های سلیقه‌ای و بومی شده در آن به كار گرفته شده‌‌است. الان مشکلی که داریم 3 یا 4 نوع کارت داریم و این کارت‌ها هیچ کدام نمی‌توانند در بانک‌های دیگر پذیرفته شوند. مثل مشکلی که ما در زمینه‌ي چک‌ها داشتیم که با ابتکار ارايه‌ي ایران چک این مساله حل شد. البته مركز شتاب در حال حاضر توسط بانك مركزي براي پرداخت كارتي بين بانكي راه‌اندازي شده، ولي فعلا فقط کارت‌های مغناطیسی را قبول می‌کند. بانک مرکزی برای تدوين استاندارد صدور کارت هوشمند فعال شده‌است. این وحدت رویه باعث می‌شود که همه‌ي بانک‌ها در آینده از یک الگوی خاص استفاده کنند و بتوانند کارت‌های همدیگر را پرداخت کنند و اميدواريم هم در قضیه‌ي پرداخت و هم در قضیه‌ي خدمات فروشگاهی (ATM و POS) و این طور مسایل هم به این وحدت رویه برسیم. مشکلی که الان در ایران داریم این است که نمی‌توانیم بستر ویزا و مسترکارت را داشته‌باشیم. بانک مرکزی باید وحدت رویه را برای همه‌ي سطوح ایجاد بکند.
بحث دیگر، توسعه‌ي بستر پذیرش کار در فروشگاه‌ها مي‌باشد. در حال حاضر حتي 10 هزار پایانه‌ی فروشگاهی هم نداریم. طبق برآوردی که انجام شده، در ایران حدود 300 هزار تا از این پایانه‌ها لازم مي‌باشد. تا وقتی که به آن نقطه نرسیم، همیشه مجبوریم یک مقدار پول در جیبمان بگذاريم. بانک مرکزی باید انگیزه و زمينه‌ي اين سرمايه‌گذاري را فراهم آورد. بانک‌های دولتی در حال حاضر توانایی و انگیزه‌ي کافی برای این کار را ندارند و طبق دستور ریاست جمهوری قرار است شرکت‌های خصوصی در این قضیه فعال شوند كه حرکت بسیار بسیار زيبا و مثبتی است. چاره‌ی ديگري هم نداریم. اگر بخواهیم منتظر باشیم که سیستم دولتی فعال شود یا بحث‌های تحریم حل بشود، زمان می‌برد. بحث سوم هم بحث شبکه‌ها یا سوییچ‌هایی است که باید برای مبادلات ایجاد شود. بانک مرکزی فعلا مركز شتاب را راه‌اندازي كرده و باید با اصلاح و تکمیل آن به بهترشدن خدمات کمک کند.

در مورد پرداخت‌های خرد فرمودید که این مساله حل شده و ظرف چند ماه آتي به جاهای خوبی می‌رسیم. در مورد پرداخت‌های کلان چه برنامه‌هایی در دست اجرا است؟
در مورد پرداخت کلان، به صورت آزمایشی با چند شرکت این کار اجرا شده‌است. مشکل‌ترین قسمت، نیاز به گواهی‌نامه‌ي ديجيتالي است و اين كه وزارت بازرگانی برای صدور گواهی‌نامه‌های دیجیتالی برای افرادی که می‌خواهند از این پروتکل استفاده کنند آمادگي داشته‌باشد. تا وقتی که وزارت بازرگانی که از طرف دولت برای انجام این کار مامور شده و قراردادي را که برای این کار دارد، نتواند اجرا کند، هر کاری که انجام بشود، یک کار محدود است. شاید یک بانک به تنهایی بخواهد گواهی‌نامه صادر کند، ولی جزو ضوابط گواهی‌نامه‌های دیجیتالی این است که باید این گواهی‌نامه از یک مرکز معتبر بین‌المللی گرفته شده‌باشد و هیچ کدام از این مراکز بین‌المللی به راحتی آن را به ما نمی‌دهند. من هفته‌ي پیش شنیدم كه یک گواهی نامه از کشور سوئد گرفته شد، اگر قضیه‌ي بستر گواهی‌نامه‌ي دیجیتالی حل بشود، فقط مشکل قوانین و مقررات قضایی را داریم که اميدوارم طبق لوایحی که مجلس برای تجارت الکترونیکی تصویب کرده و در رفت و برگشت با شورای نگهبان است، آن مسایل هم حل بشود. باید کار را شروع کنیم و برویم جلو و کم‌کم مشکلات را حل کنیم. اگر مشکلات زمان‌بر بین دولت و مجلس و شورای نگهبان نباشد، قطعا دولت می‌تواند در یک پروسه‌ي اصلاحی آزمایشی ظرف مدت 6 ماه با 5-4 لایحه‌ي مکمل به یک نقطه‌ي مناسبی برسد. اگر این دو نکته را ما حل کنیم، دیگر برای پرداخت کلان هیچ مشکلی نداریم. در پرداخت کلان مبالغ بالا است و بیمه به این راحتی جلو نمی‌آید. من فکر می‌کنم از نظر فنی، آمادگی کامل وجود دارد. ما نمونه‌ي شرکت‌ها و بانک‌هایی را داریم که آمادگی کامل دارند. البته اين كار به صورت محدود همين الان هم راه افتاده، اما با توافق طرفین. الان خود فروشنده امضا می‌کند و وکالت می‌دهد که من همه‌ي مشکلات احتمالي را قبول می‌کنم. خوب در بحث تجارت عمومی نمی‌توان با همه قرارداد امضا کرد، بلكه باید به یک نحوی دلایل محکمه پسند برای هر کاری وجود داشته باشد. اگر این دو مشکل را از نظر فنی حل بکنیم، می‌توانیم در مورد پرداخت کلان اینترنتی فراگیر هم امیدوار باشیم.

در پرداخت‌های اينترنتي یکي از مشکلات، امضای الکترونیکی است. یکی از مدیران بانک‌ها در میزگردی که داشتیم اذعان داشت كه هنوز امضای الکترونیکی از نظر دایره‌ي حقوقی بانک‌ها قابل اعتماد نیست. این مشکل به ويژه در مورد پرداخت‌هاي كلان چگونه حل شده‌است؟
در پروتکل پرداخت کلان نیاز به اداره یا گواهی‌نامه‌های دیجیتالی است. امضای دیجیتالی به کمک گواهی‌نامه‌ي دیجیتالی انجام می‌شود. یعنی وقتی شخصي گواهی‌نامه را دریافت کرد، به کمک آن هر سند اینترنتی یا الکترونیکی را مي‌تواند امضاي دیجیتالی ‌کند. ولی بدون این قضیه، ما تنها راهی که داریم، همان طور كه اشاره کردم، توافق در قرارداد است. نمونه‌اش هم همين كارت‌هاي خودپرداز است كه بانک از دارنده‌ي کارت، تعهد می‌گيرد كه هر گونه عملیات که از طریق دستگاه خودپرداز با کارت وي انجام بشود، با مسوولیت خود دارنده است. ما مجبور هستیم با قرارداد و وکالت‌نامه کار کنیم و در واقع ادارات حقوقی بانک‌ها با این فرم‌ها و تعهدهایی که از از افراد می‌گیرند، مسووليت را از خود سلب مي‌كنند. ادارات حقوقی بانک‌ها طبق قوانین قضایی تا زمانی که قانون پذیرش امضای الکترونیکی در مجلس تصویب و به سیستم قضایی و ادارات حقوقی بانک‌ها و وکلا اعلام نشود، نمي‌توانند كار ديگري بكنند.
می‌دانید که گواهی‌نامه‌ي دیجیتالی را قرار است دفاتر اسناد رسمی به مردم بدهند. همان‌طور که برای درخواست شناسنامه به اداره‌ي ثبت مراجعه می‌کنیم برای گواهی‌نامه‌ي دیجیتالی هم مراجعه می‌کنیم. یعنی یک پروسه‌ای است که در نهایت سیستم قضایی انجام می‌دهد. در سیستم پرداخت کلان هم فروشنده و هم خریدار باید گواهی‌نامه داشته‌باشد تا بتوانند با هم تبادل مالي انجام بدهند.

این گواهی‌نامه‌ها با شماره‌ی ملی افراد ارتباط دارد؟
قطعا باید به نحوی اطلاعات انحصاری هم جزو مشخصات گواهی‌نامه ثبت شود که از تکراری بودن جلوگیری شود. البته یکی از مهم‌ترین روال‌ها احراز هویت کامل براي جلوی از تکرار مي‌باشد. البته داشتن دو گواهي‌نامه مشكلي ايجاد نمي‌كند، اشکال عمده گرفتن گواهي‌نامه با عناوين جعلي مي‌باشد. همين دليل هم بدون احراز هويت این است که كسي به اسم شخص دیگری بتواند گواهی‌نامه بگیرد. به همین دلیل احراز هویت یکی از بخش‌های ضروری است و به همين دليل هم بدون احراز هویت حضوری به هیچ عنوان گواهی‌نامه به کسی داده نمی شود.

گواهی‌نامه‌ي اصلی یا مادر باید در یکی از شرکت‌های بین المللی ثبت مي‌شود؟
در خصوص این بحث فرض کنید در ويندوز (Windows) بخواهيد یک امضاي ديجيتالي یا یک کار اینترنتی انجام شود، یک تعدادی گواهی‌نامه‌ی مادر در داخل خود نرم افزار وجود دارد. اگر گواهي‌نامه‌ي شما از طريق گواهي‌نامه‌هاي مادر قابل شناسايي باشد، به سادگي عمليات امضاي ديجيتالي انجام مي‌گيرد. در غير اين صورت بايد یک گواهی‌نامه‌ي جدید روی آنها درج (Insert) شود. از این نظر یک الزام صددرصد نیست، ولی یک الزام عملیاتی است که اگر نباشد، درد سر ساز است.

این مساله مشکلات امنیتی ایجاد نمی‌کند؟ یعنی آن شرکت بین‌المللی به تمام مبادلات ما دسترسی پيدا نمي‌كند؟
ببینید، اين دیگر برمی‌گردد به فناوري که وجود دارد. الان گواهی‌نامه‌ها را مثلا از نظر الگوریتم رمزنگاری از 1024RSA بيت استفاده می‌کنند. تا الان در دنیا توانايي شكستن تا 512 بیت طول كليد، آن هم با حجم عملیات و هزينه‌ي سنگين فراهم شده‌است.

من از دید شرکت صادرکننده‌ي گواهي‌نامه بحث می‌کنم، نه یک هکر.
پروتکل طوری است که کلید اصلی امنیتی را خود شما دارید. در واقع در این پروتکل، یک کلید مخفی دارد و یک کلید عمومی وجود دارد. کلید عمومی در اختيار همه، از جمله صادركننده‌ي گواهی‌نامه قرار مي‌گيرد، اما کلید مخفی در اختيار خود شخص است. بنابراین امنیت در دست خود شما است. نكته‌ي مهم پروتکل این است كه فقط با كليد خصوصی رمز باز می شود و هیچ کس دیگري نمی‌تواند آن را باز كند. بحث امنیتش اینجاست که به چه احتمالی می‌توان از کلید عمومی به کلید خصوصی رسید. دقیقا این نکته امنیتی اینجاست. این احتمال برای بیت‌های پایین الان کم‌کم دارد راحت می‌شود. اما برای بیت‌های 1024 هنوز امكان پذير نمي‌باشد. البته بايد در طول زمان با پيشرفت فناوري از طول كليد طولاني‌تر نيز استفاده گردد.

سناریوی خرید را اگر ممکن است برای ما تشریح کنید که به چه ترتیب شروع می‌شود و ادامه پیدا می‌کند؟ اين مساله در پروتکل پرداخت خرد و کلان چه تفاوتي دارد؟
در پرداخت خرد خریدار پس از اینکه با فروشنده بر سر خرید توافق کرد، به بانک اعلام می‌کند که می‌خواهم این مبلغ را در وجه آن فروشنده پرداخت کنم. ما در این پروتکل رابطه‌ي بین فروشنده و خریدار را برای دستور خرید حذف کرده‌ایم. رابطه بین خریدار و بانک وجود دارد. یعنی خریدار به بانک می گوید که این مبلغ در وجه فروشنده پرداخت بشود. با این دستور آن مبلغ در وجه فروشنده پرداخت می‌شود و یک رسید دریافت می‌کند. خریدار رسید را به فروشنده تحویل می‌دهد. فروشنده رسید را با بانک چک می‌کند. اگر بانک تایید کرد که این مبلغ به حساب وي واریز شده، جنس را تحویل خریدار می‌دهد یا خدمات را ارایه می‌كند. مثلا رمز و مشخصات یک کارت تلفن را به خریدار می‌دهد یا مثلا بلیط برایش صادر می‌شود. شما چک را در ذهنتان بیاورید. خریدار چکی را به فروشنده می دهد (خریدار به بانک دستور می‌دهد که این مبلغ را به حساب فروشنده واریز کن). بانک هم پول را واریز می‌کند و رسید به او می‌دهد. خریدار خودش رسید را تحویل فروشنده می‌دهد. فروشنده رسید را با بانک چک می‌کند. کل عمليات به صورت الکترونیکی انجام می‌شود. در قضیه‌ي پرداخت کلان، یک مقدار قضیه سناريو سخت‌تر است، چرا كه امنیت باید بیشتر باشد. در پرداخت خرد سناريو با 3 مرحله‌ي ساده، تكميل می‌شود، اما در پرداخت کلان، شاید 9 مورد رفت و آمد وجود دارد. خریدار در واقع از فروشنده تقاضای خرید می‌کند. فروشنده به خریدار فاکتور امضا شده می‌دهد. به عبارت بهتر یک فاکتور امضا می‌کند. خریدار هم فاکتور را امضا می‌کند و به فروشنده برمی‌گرداند. اصل عدم انکار در این پروتکل مهم است. باید مراحل دقيق و كامل باشد که هیچ کس نتواند رد کند. بعد فروشنده فاکتور را برای بانک می‌فرستد. بانك مبلغ را پرداخت و تاييد آن را به فروشنده ارسال و در نهايت فروشنده تاييديه‌ي دريافت پول را به خريدار اعلام مي‌كند.

اگر بعد از طی این مراحل، در نهايت کالا به دست خريدار نرسید، چه مي‌تواند بکند؟
در اینجا به بحث تقدم و تاخر زمانی اشاره نگرديد. برای بعضی از کالاها، بانک به فروشنده می‌گوید تا فاکتور امضاشده‌ي کاغذی یا مثلا تا رسید امضا شده‌ی مشتری تحویل بانك نشود، پول پرداخت نمي‌گردد. یعنی باید شرکت رسيد کالا را تحويل دهد. اگر نياز به ارسال کالا باشد، عموما پرداخت در وجه فروشگاه پس از تایید دريافت كالا توسط خريدار صورت می‌گیرد. بیمه هم اینجا دخالت می‌کند. شرکتی که حمل و نقل کالا را بر عهده دارد، باید تضمين كافي يا بيمه‌نامه‌ي لازم را داشته‌باشد.بنابراين فرض بر این است که جنس حتما می رسد و اگر نرسد، بیمه خسارت خریدار را جبران مي‌كند.

خریدار با فروشنده ارتباط برقرار می‌کند و زیر رسید فروشنده را امضا می‌کند. قاعدتا فروشنده با این اسم رمز یا امضا آشنا می‌شود. چه تضميني هست كه خود فروشنده از اين امضا سو استفاده نكند؟

به نکته‌ي خوبی را اشاره کردید. امضا یک عدد يا رمز نیست. عدد امضا یک تابع ریاضی است که براساس مبلغ فاکتور، شماره‌ي فاکتور و اطلاعات فروشنده و خریدار متغير است. یعنی یک مجموعه‌ي اطلاعات با هم ترکیب و امضای الکترونیکی گرفته می‌شود. این اطلاعات ثابتی نیست که با یک بار، استفاده افشا گردد، درضمن فقط رايانه می‌تواند تایید کند.

اشاره‌ای داشتید به کلیدهای عمومی و خصوصی. لطفا در این مورد توضيح بيشتري ارايه فرمایید.
گواهی‌نامه‌های دیجیتالی بر زير ساخت كليد عمومي(Public Key Infrastructure - PKI)ارايه شده‌اند. در این الگوریتم که اصطلاحا به الگوریتم رمزنگاری نامتقارن هم معروف است، دو کلید وجود دارد. یک کلید مخفی خصوصي (Private) و یک کلید عمومی (Public). اطلاعاتی که به کمک کلید خصوصي رمز بشود، فقط به کمک کلید عمومي قابل بازشدن است و برعکس، اطلاعاتی که با كليد عمومي رمز بشود، فقط با كليد خصوصي قابل باز شدن است. بنابراین اگر من به عنوان یک فرستنده‌ي A بخواهم اطلاعاتی برای گیرنده‌ي B بفرستم، با کلید عمومي B رمز می‌کنم. كليد عمومي آن کلیدی است که در اختیار همه است، مثل نشاني پست الكترونيكي. این اطلاعات رمزشده را فقط و فقط شخص B می‌تواند با کلید خصوصي خود باز کند.

با سرعت بسیار پایین اینترنت در ایران، به نظر شما براي عمومي شدن پرداخت اينترنتي مشکلي ایجاد نمی‌شود؟ پرسش دیگر این که حتی طراحی و پشتيباني سایت‌ها نيز در ایران خیلی ضعیف است. به عنوان مثال وقتی 50 نفر هم زمان بخواهند وارد سایت بسیاری از موسسات بزرگ دولتی شوند، مشکل پیدا می‌کند. به نظر شما چه راه حلی وجود دارد؟
تا جایی که من اطلاع دارم متاسفانه هنوز بستر‌های خیلی پرسرعت خدمات اینترنت نداریم. اتفاقا مشکل خوبی را شما اشاره کردید. شما می‌دانید که اغلب ميزبان‌هاي اينترنتي ما در كشورهاي خارجي مثل کانادا هستند، اگر ميزبان اينترنت در كشور خودمان باشد، سرعت خدمات رساني در ايران خيلي بيشتر مي‌شود. این مساله یک ضرورت بسیار جدی است. من فکر می‌کنم وقتی نیازش کم‌کم ایجاد بشود، برنامه‌ریزی برای آن هم تسریع می‌شود. اخیرا شرکت‌های خصوصی هم در اين زمينه فعال ‌شده‌اند. قوانین و مقررات هم تا اندازه‌ای برای این کار تصویب شده‌است. با کارهای اخیر شرکت مخابرات، مثل راه‌اندازی نقطه‌هاي دسترسي انتهايي شبكه‌ي ديتاي كشور (PAP) در این زمینه به نحوی دارد تسریع می‌شود. متاسفانه مشکل دیگر، سكون سال 96 در دنیا در زمينه‌ي كوچك سازي (Down Sizing)است كه به ایران هم منتقل شد، بدون اينكه تب دومش، يعني استفاده از رايانه‌هاي بزرگ، به عنوان پردازش‌گر اصلي به ايران برسد. البته شاید دلیل عمده‌اش هم تحریم‌هایی است که براي ايران در نظر گرفته شده‌است. صرفا از نظر فناوري، تحت تاثير اين تحريم‌ها بسترهاي اساسي فناوري ما تضعيف و از نيازها عقب افتاده‌ايم. درست است که از نظر بعد سیاسی می‌گوییم تحریم را تحمل می‌کنیم، اما خوب در بعد فناوری برای ما مشکل ایجاد می‌کند. رايانه‌هاي بزرگمان (Main Frame) هم اصلا در اندازه‌ای نیستند که کارهای سنگین و جدید را انجام دهند و البته كه فناوري‌های دست دوم است. اخیرا بعضی از بانک‌ها سرور‌های جديدي خریده‌اند، ولی خوب هیچ کدام به صورت جدي مورد استفاده قرار نگرفته‌اند. واقعیت این است که ما فناوری سرورهای بزرگ می‌خواهیم و آن هم هزینه‌ها و مجوزهاي لازم را می‌خواهد. همین که مدیریت کشور به این باور برسد که باید این کار را انجام بدهد، من فکر می‌کنم در نظامات بين‌المللي مي‌توان بستر لازم را فراهم كرد و با توجه به این که در حال حاضر بيشتر ميزبان‌هاي اينترنتي یا روی رايانه‌ي شخصي (PC) است یا روی رايانه‌هاي بزرگي که راندمان زيادي ندارند، قطعا با عمومی و فراگیرشدن سرویس‌ها دچار مشکل خواهيم شد.

مشکل دیگری که وجود دارد بحث بستر مخابراتی است. به عنوان مثال وقتی که بخواهیم بانکداری الکترونیکی در ایران داشته باشیم، اولین الزامی که برای ما ایجاد می‌کند، این است که به طور هم زمان تمام شعب اتصال برخط داشته‌باشند.
براي ارايه‌ي سرویس‌های خدمات نوین تمام سیستم‌های بانک‌ها به صورت متمركز خواهند بود. خدمات اينترنتي با تجربه‌ي موجود در بانک خصوصی با 20 شعبه، وقتي محور شعبه قرار گيرد، شدیدا دچار مشکل مي‌شود. بنابراين در صورت تمركز همين كه مرکز بانک ارتباط مطمين اينترنتي داشته‌باشد کافی خواهد بود و اتصال برخط شعب برای بانک اینترنتي ضرورتی ندارد.
بحث این است که ما قبل از بانکداري اینترنتي، بايد بانكداري برخط (Online Banking) را داشته باشیم تا بتوانيم خدمات بانكداري اینترنتي ارايه كنيم. شعبه‌هاي بانک‌های ما، بيشتر جزیره‌های مستقل از هم هستند كه لازم است اطلاعات به صورت متمركز فقط در مركز بانك به صورت برخط در اختيار شعبه‌ها قرار گيرد.

ولي مديران بانك‌ها از ضعف بستر مخابراتي به عنوان يك مشكل اساسي ياد مي‌كنند.
بانک‌های ملی، صادرات و کشاورزی تمام شعبشان از سیستم ماهواره استفاده می‌کنند. بستر مخابرات هم هیچ نقشی ندارد. به نظر من اين توجیه مدیران ما است. سیستم سیبا، سیستم سپهر، سیستم مهر و به طور كلي تمام سیستم‌های جاری از ماهواره استفاده می‌کنند و طبق ادعای شرکت خدمات، 7/99 درصد ضریب دسترسی ماهواره‌هایشان است. یعنی 3 دهم درصد در سال قطعی داشته‌اند. ما عموما یاد گرفته‌ايم که بگویيم ديگري مشكل دارد. درست است که مخابرات خوب نداریم، اما این که هر مشکلی را به مخابرات ارتباط بدهیم، این را من قبول ندارم. من از مخالف‌های جدی این بحث هستم. مخابرات ما خوب نیست، ولی هر مشکلی هم که داریم، مربوط به مخابرات نیست.

بحث فرهنگ سازی پرداخت الكترونيكي در ایران هنوز جا نيفتاده‌است. به نظر شما وظیفه‌ي چه کسی است كه روي اين مقولات فرهنگ سازی كند؟ دولت، بانك‌ها يا بخش خصوصي؟
خوشبختانه پس از این کنفرانس پول الکترونیکی که به همت شورای عالی اطلاع‌رسانی برگزار شد، یک محمل خیلی خوبی را برای توسعه در تمام زمینه‌ها ایجاد کرد. بعد از آن کنفرانس جلسه‌ای که با حضور رییس جمهور، مدیرعاملان بانک‌ها و وزارت فناوری اطلاعات و دارایی و همه‌ي اجزاي درگیر برگزار شد، بر طبق آن، کمیته‌ي پیگیری شكل گرفت كه جلسات آن تشکیل می‌شود. همه‌ي این اجزا دارند شناسایی می‌شوند و برای تک‌تک آنها برنامه‌ریزی می‌شود. در بحث فرهنگ‌سازی، روابط عمومی تمام بانک‌ها فعال شده‌اند. حتی بودجه‌اش را هم شورای عالی اطلاع‌رسانی قبول کرده كه یک سری فرهنگ‌سازی عمومی توسط بانک‌ها صورت گیرد. برای بحث بیمه پیشنهاد شده‌است که دولت تضمین بیمه را بر عهده بگيرد. برای تجهیزات خودپرداز بانک‌ها تشویق شده‌اند تا سال آینده 21 هزار دستگاه خودپرداز نصب نمايند. تعداد کارت‌ها قرار است تا سال آینده طبق برنامه‌ریزی 2 برابر بشود. این کمیته، وظیفه‌‌ي برنامه‌ريزي و پيگيري اقدامات اجزاي درگير در اجرای این عملیات را بر عهده دارد. من فکر می‌کنم اولین نتایج این حرکت، ظرف دوسه ماه آینده می‌تواند خودش را نشان بدهد و تا آخر امسال و اوایل سال آینده بتوانیم وضعيت خوبی داشته باشیم.

چنانچه نکته دیگری هست بفرمایید.
ما چون نمی‌توانیم در ایران شرکت‌های معتبر صدور و استانداردسازی کارت داشته‌باشیم، باید یک کسی متولی باشد. دو تا سناریو داریم، یکی این که يك شرکت خصوصی مثل ویزا که متعلق به بانک‌ها باشد این کار را بکند. سناريوي ديگر اين كه بانک مرکزی این کار را انجام بدهد که خوشبختانه بانک مرکزی این مسوولیت را پذیرفته و امیدوار هستیم که این حرکت را بتواند در زمان خیلی خوبی اجرا کند. از جمله وظایف بانك مركزي این است که وحدت رویه را برای بانک‌ها ايجاد نمايد. الان در ایران حرکت‌های گوشه و کناری انجام شده که جواب‌گو نیستند و نمی‌توانند موفق باشند. یکی بحث کارت سوخت است، یکی بحث کارت مترو است، پارکومتر، کارت اتوبوس. ببینید برای همه‌ي اینها تبلیغ شده، اما هیچ کدام از این پروژه ها موفق نیستند، مگر اینکه بانک مرکزی یک بايد کارت هوشمند استانداردی برای پرداخت پول خرد با یک شناسه‌ي كاربري (Application ID) ثابت که همه‌ي بانک‌ها بتوانند این کارت را برای مشتریانشان صادر کنند. اين كارت به عنوان کیف پول الکترونیکی و به جاي حمل پول خرد مورد استفاده قرار مي گيرد. به طوري كه در مترو، در پارکومتر، در پمپ بنزین و... بتوان از آن براي پرداخت استفاده نمود. بانک مرکزی خوشبختانه این نقش را شروع کرده و اگر بتواند ظرف چند ماه آینده این استاندارد را اعلام کند و اجازه‌ي صدور این کارت را به بانک‌ها بدهد، فکر می‌کنم یک حرکت سریع و خوبي انجام خواهد شد. به جای این که یک کارت مترو یک کارت اتوبوس، یک کارت تلفن و ...، به مردم بدهيم، بايد یک کارت به عنوان كارت هوشمند پرداخت پول خرد به مردم داده‌شود. با داشتن این کارت، مشكل پرداخت همه‌ي سازمان‌ها مي‌تواند به راحتي حل ‌شود. پیشنهاد این است که اين كارت رمز نداشته باشد. می‌شود تعریف کرد که قابل شارژ باشد یا نباشد، چون رمز ندارد و اگر کسی کیف شما را بزند، نمی‌توانید شکایت کنید که شماره‌ي سریال این پول مال من بوده. کارت گم شده و هر کس می‌تواند از آن استفاده کند. این کارت كه سقفش مثلا 10 یا 20 هزار تومان است، به جای پول خرد در دست مردم هست. ديگر لازم نیست که هر بانک یک R&D داشته‌باشد. ما خیلی امیدواریم که بانک مرکزی این حرکت را به سرعت به یک نقطه‌ای برساند که به یک محصول تبدیل شود. به جای این که راه رفته‌ي همه‌ي کشورها را طی کنیم، می‌توانیم با یک حرکت شش ماهه یا یک ساله، ببینیم که یک کارت پرداخت داریم و می‌توانیم با امنیت و خیال راحت خدماتمان را دريافت نماييم. ما امیدواریم که به زودي یک کارت اعتباري (Credit Card) ، کارت پول و کارت پول خرد استاندارد ملي داشته‌باشيم. الان رایان کارت، ثمین كارت، کارت هوشمند بانک ملت، بانک کشاورزی و ... هر کدام یک الگوي خاصي دارند. امیدواریم که اراده‌ي عمومی و اراده‌ي ملی براي اين عمليات تقويت شود و بتواند به نقطه‌ي مثبتی برسد. ما خیلی امیدواریم زودتر مردم ما از این خدمات استفاده کنند.