با عضویت در خبرنامه مطالب را در ایمیل خود دنبال کنید

مشتری خود را بشناس (KYC) و تراکنش خود را بشناس (KYT)

دکتر طاهر حبیب زاده

  • دکتری حقوق فناوری اطلاعات- انگلستان
  • عضو هیات علمی دانشکده معارف اسلامی و حقوق دانشگاه امام صادق (ع)
  • آی. دی. تلگرام و اینستاگرام: @drtaherhabibzadeh

در تبادلات الکترونیکی، احراز هویت یکی از کلیدی ترین موضوعاتی است که ذهن سیاست گذاران، مدیران و مقررات گذاران فضای مجازی را درگیر کرده است. آخرین تحولی که در سطح جهانی در حال رخداد است حرکت به سمت «هویت دیجیتال» است. بدیهی است که هر کاربر فضای مجازی می خواهد هویت طرف مقابل را بداند و مطمئن باشد که او همان کسی است که اظهار می شود. اگر بتوان در فضای تبادلات الکترونیکی به دقت هویت شناسی کرد، قطعا عرصه بر فعالان جعلی یا گمنام که بخشی از آنها کلاهبرداران و مجرمان سایبری هستند، تنگ خواهد شد. در فضای کسب و کار الکترونیکی نیز، به دلیل بار مالی مبادله که گاهی ارزش بسیار بالایی دارد، ارائه دهنده خدمات یا عرضه کننده کالا به دنبال شناخت دقیق مشتری یا کاربر است و از اهداف مهم در این راستا، شناخت دقیق وی برای اقامه دعوی احتمالی علیه او و پیگیری حقوق قانونی است. از اینجاست که اصطلاحی به نام KYC، مخفف «Know Your Customer» به معنی «مشتری خود را بشناس»، جعل و رایج شده است.
موضوع هویت شناسی در سمت ارائه دهندگان خدمات مالی فناورانه، «فین تک»ها، و بانک ها و نهادهای مالی بسیار حائز اهمیت است؛ چرا که ممکن است کاربر برای اهداف پولشویی، تروریستی، کلاهبرداری یا سرقت رایانه ای دارایی های با ارزش مالی، از هویت جعلی یا متعلق به دیگری استفاده کند و قابل شناسایی نباشد. حتی ممکن است این اتفاق در یک سطح پایین تر رخ داد. شخص الف پول ناشی از پولشویی را به شخص ب منتقل کند و وی آن را وارد چرخه اقتصادی از طریق سیستم بانکداری الکترونیکی نماید. به همین دلیل، در کنار KYC از KYCC مخفف «Know Your Customer’s Customer» به معنی «مشتری مشتری خود را بشناس» نیز نام برده شده است. لکن دسترسی به اطلاعات هویتی همه کاربران در عمل ممکن نیست. این اطلاعات در قالب یک داده بزرگ (کلان داده) فقط در اختیاره اداره ثبت احوال است و فقط امکان دسترسی و استفاده را به نهادهای خاصی مانند بانک ها و برخی شرکت های دولتی می دهد. به عنوان نمونه، وقتی مشتری برای تهیه بلیط قطار از وب سایت رجا، اطلاعات هویتی خود را وارد می کند، جهت راست آزمایی داده های وارده، وب سایت رجا با اداره ثبت و احوال ارتباط برقرار کرده و از صحت آنها مطمئن می شود. آیا چنین خدمتی در اختیار همه ارائه دهندگان خدمات الکترونیکی و اینترنتی وجود دارد؟ قطعا خیر. پس سایرین چگونه می توانند مشتری خود را بشناسند؟ این چالش و مانع بسیار مهمی بر سر راه آن دسته از کسب و کاری اینترنتی مانند فین تک هاست که احراز هویت در آنها نقش کلیدی دارد. از راه کارهای موجود استفاده از تجارب دیگران است. به عنوان مثال، صرافی آنلاین «بایننس»، بزرگترین صرافی ارزهای رمزنگاری شده در سطح جهان که میلیون‌ ها کاربر از سراسر جهان دارد و بیش از ۱۰۰ ارز دیجیتال در آن خرید و فروش می‌شود، برای احراز هویت کاربران، ضمن اینکه آنها را در دسته ۱ و ۲ قرار می دهد، پس از پر کردن اطلاعات لازم و بارگزاری مدرک شناسایی مانند کارت ملی، گواهینانه رانندگی یا گذرنامه، سیستم از کاربر می‌خواهد که یک عکس سلفی از خود بگیرد در حالی که گذرنامه خود را به صورت خوانا بازکرده و در دست گرفته است و دلالت می کند که گذرنامه متعلق به اوست. همین فرآیند در خیلی از صرافی های ارزهای رمزنگاری شده در سراسر دنیا اجرا می شود.
در ایران مقررات و الزامات قانونی خاصی در این باره وجود ندارد. از جمله تبعات آن ورود ضررهای مالی سنگین به اشخاص است. در یکی از دعاوی که در سال ۱۳۹۷ به داوری ارجاع شد و نگارنده داور منتخب یکی از طرفین بود، یک هکر با استفاده از اسناد هویتی شخص دیگری، حسابی را در یکی از وب سایت های خرید و فروش ارزهای رمزنگاری شده ایجاد کرده و با استفاده از باگ های وب سایت عرضه کننده و وب سایت ارائه کننده خدمات پرداخت (PSP) متصل به آن، در حدود ۲۲ بیت کوین از سامانه خارج می کند! در تعقیب حقوقی موضوعی، هکر یافت نشد و زیان میلیاردی به کسب و کار وارد شد. در این راستا، اداره ثبت احوال می تواند اطلاعات هویتی افراد را با وضع مقررات خاص و استاندارهای فنی در اختیار فین تک های خاص قرار دهد؛ البته لازم است ملاحظات امنیتی ویژه ای اتخاذ شود و الا ممکن است اطلاعات هویتی افراد ایرانی از طریق فین تک ها در اختیار اشخاص غیرمجاز داخلی و خارجی قرار گیرد.
نکته مهمی که لازم است توجه شود امکان هک سامانه ثبت احوال برای دست بردن به داده های افراد است. از راه کارهای فنی برای جلوگیری از این اتفاقات، توسل به فناوری بلاک چین است. ساختار محاسباتی بلاک چین این امکان را می‌دهد تا اطلاعات در یک پایگاه داده امن، مطمئن و رمزنگاری شده قرار گیرد و در زمان استفاده از داده ها جهت احراز هویت، فرآیند احراز نسبت به روش سنتی سریع‌، ساده‌، امن‌ و موثر صورت گیرد.
کمیته نظارت بانکی بال (بازل) در سال ۲۰۰۱ میلادی سندی با عنوان «شناسایی کافی مشتری از سوی بانک ها» تدوین کرده است که با سند دیگر با عنوان «مدیریت یکپارچه ریسک شناسایی مشتری» ارتباط محتوایی زیادی دارد. در این اسناد به اخذ سیاست های روشن و صریح در خصوص پذیرش مشتری، تعیین دقیق هویت وی، نظارت مستمر بر حساب های پر ریسک و مدیریت موثر ریسک های موجود تاکید شده است. همچنین در این سند تاکید شده است که موضوع شناسایی مشتری دارای بیشترین ارتباط با مقوله مبارزه با پولشویی است که زمینه اصلی فعالیت «گروه ویژه اقدام مالی» می باشد و کمیته بال نیز به به پذیرش توصیه های گروه مذکور به شدت تاکید می کند. سند «شناسایی کافی مشتری از سوی بانک ها» رعایت استانداردهایی را برای احراز دقیق و کافی هویت مشتری به ویژه در برخی از موارد خاص بیان می دارد و قبل از آن به ضرورت این موضوع اشاره می کند؛ از جمله:

فایل پیوست به همراه ارجاعات در پاورقی در فایل ضمیمه زیر:

دریافت فایل‌های پیوست شده

شما برای دریافت فایل باید وارد شوید و یا نام نویسی کنید. (دریافت فایل رایگان است)

حتما پوشه Spam یا Junk ایمیل خود را چک کنید، چرا که ممکن است ایمیل حاوی رمز شما به اسپم وارد شود.

  • تاریخ انتشار: 14 مهر 1399
  • تعداد بازدید: 61
  • بدون دیدگاه