یکی از چالش های مهم در حوزه صنایع مالی و ارائه خدمات پولی و ارزی، بحث شناسایی مشتریان و احراز هویت آنان است؛
موضوعی که از زمان دیرین جز دغدغه های سیاستگذاران کشور ها بوده و یکی از گریزگاه های تبهکاران اقتصادی ، فقدان شیوه مناسب برای شناسایی واقعی و وجود مشکلات عدیده در سیستم های احراز هویت سنتی بوده است.
به نحوی که در قوانین و مقررات مرتبط با پولشویی و مبارزه با ترویسم یکی از ارکان جلوگیری از وقوع جرایم مرتبط با پولشویی علاوه بر شناسایی عوامل ریسک ، احراز هویت و شناسایی صحیح مشتریان از دیگر ابزار های جلوگیری از این نوع جرایم شناخته می شود.
با ورود فناورین های نوین در صنایع مالی و رخ داد تحول دیجیتال در این صنعت، موضوع احراز هویت نیز با تغییر شگرفی مواجه شده است لذا در این مقاله به موضوع احراز هویت از منظر قوانین و شیوه های آن در دنیای فناوری پرداخته ایم.
شناسایی مشتریان به چه معناست؟
شناسایی به معنای دریافت اسناد و مدارک هویتی، اقتصادی و اقامتگاه مشتری و انطباق آن با اطلاعات متقاضی و استعلام از مراجع ذی صلاح است . این اطلاعات معمولاً در هنگام دریافت خدمات پایه مانند افتتاح حساب یا عقد قرارداد برای یک بار اخذ می شود اما به صورت متناوب قابل بروز رسانی است .
در یافت هرگونه خدمات مالی برای اولین بار از نهاد های مالی مستلزم شناسایی اولیه است اما ممکن است برای دریافت برخی خدمات مالی دارای ریسک بالا، شناسایی مجدد رخ دهد.
در آیین نامه ماده 14 قانون مبارزه با پولشویی ، شناسایی مشتریان در سه سطح ساده ، معمول و مضاعف تعریف شده است که بسته به ریسک و خطر مالی معاملات نهاد مالی میتواند از هر یک از این رویه های شناسایی استفاده نماید.
احراز هویت چیست؟
احراز هویت به فرایند تطبیق هویت واقعی مشتری ( که متقاضی دریافت خدمات مالی بعدی و مستمر از نهاد مالی است ) با اطلاعات به دست آمده در مرحله شناسایی گفته می شود.
احراز هویت (Authentication) با شناسایی (Identification) چه تفاوتی دارد؟
با یک مثال می توانیم به خوبی تفاوت این دو مفهوم را توضیح دهیم. وقتی در یک بانک که قبلا حساب نداشته اید، اقدام به افتتاح حساب میکنید،
نیاز است با مدارک شناسایی خود به شعبه بانک مربوطه مراجعه کنید و هویت خود را معرفی کرده تا بانک هویت شما را شناسایی کند. به این فرآیند در ارائه خدمات، شناسایی مشتری یا Identification میگویند.
اما بعد از آن، بابت اعمالی که می خواهید انجام دهید لازم است هربار احراز هویت (Authentication) شوید. در مثال انتقال وجه از طریق عابر بانک، زمانی که شما کارت بانکی خود را وارد عابر بانک میکنید،
سیستم بانک با استفاده از اطلاعات کارت شما، هویت شما را شناسایی میکند (شناسایی مشتری) و با وارد کردن رمز توسط شما، می فهمد که کسی که از کارت شما استفاده میکند خود شما هستید.
احراز هویت در فضای دیجیتال
امروزه بسیاری از کسب و کار های آنلاین برای ارائه خدمات خود به مشتریانشان نیازمند شناسایی و احراز هویت هستند اما با توجه به تعریفی که از شناسایی و احراز هویت به عمل آمد،
مشخص است که شناسایی مشتری در فضای دیجیتال تا حدودی با دشواری های زیادی مواجه است.
زیرا برای شناسایی نیاز به اخذ مدارک و مستندات هویتی و اخذ استعلام از مراجع ذیصلاح در خصوص صحت و درستی این اطلاعات و تطبیق آن با هویت واقعی مشتری از طریق رویت است
و با توجه به اینکه کسب و کار های آنلاین در صورتی که خواهند شناسایی پایه خود را بر مبنای رویت حضور و دریافت اصول مدارک و تطبیق آن با تصویر آنها نمایند.
عملا تفاوت چندانی با شیوه ارائه خدمات سنتی نخواهند داشت و این یک مانع برای توسعه و رشد کسب و کار های آنلاین خواهد بود.
بنابراین باید به شیوه شناسایی پایه و احراز هویت دیجیتال روی آورد .
در شناسایی دیجیتال نیاز به منابع اطلاعاتی برای استعلام اطلاعات ارائه شده توسط کاربر از طریق راجع ذیصلاح و همچنین زیرساخت فنی لازم برای تطبیق این اطلاعات با هویت واقعی کاربر است.
در حال حاضر امکان استعلام برخط و آنلاین برای استعلام اطلاعات اوراق شناسایی کاربران از طریق مراجع ذیصلاح مانند ثبت احوال فراهم آمده است و از طرف دیگر وزرات فناوری اطلاعات از طریق سامانه شاهکار حتی امکان تطابق شماره همراه کاربر با اطلاعات هویتی را فراهم نموده است .
لذا دریافت تصویر اوراق هویتی مانند کارت ملی و شناسنامه و استعلام اطلاعات آن از طریق سامانه های برخط تا حدود زیادی مشکل را برطرف نموده است
اما مساله حائز اهمیت آن است یکی از فرایند های شناسایی تطابق اوراق هویتی با هویت واقعی شخص است .
به طور سنتی کارشناسان و ارائه دهندگان خدمات مالی با تطابق ظاهری تصویر کارت شناسایی با ظاهر فرد متقاضی احراز هویت را انجام داده که این شیوه رایج ترین اما در عین حال پرخطا ترین شیوه احراز هویت بوده است.
اما با ظهور فناوری های نوین، دیگر اتکا به این شیوه جایز نبوده و با گردآوری اطلاعات بیومتریک و زیست شناختی میتوان هویت واقعی فرد را با اوراق هویتی براحتی اساس تطبیق قرار داد.
این درحالی است که برخی از کسب و کار های اینترنتی از طریق اخذ تصویر و یا فیلم از کاربر خود شیوه سنتی احراز هویت را به صورت الکترونیکی یا انلاین نموده اند
اما همچنان اساس تطبیق همان بررسی ظاهری است و هیچ اطلاعات بیومتریکی مورد بررسی قرار نمی گیرد.
زیرا بررسی اطلاعات بیومتریک نیازمند جمع آوری این اطلاعات توسط یک مرجع رسمی و امکان دسترسی کسب و کار های اینترنتی به مرکز داده این اطلاعات است تا بتوانند از طریق فناوری های نوین اطلاعات بیومتریک موجود در مراکز داده را با اطلاعات بیومتریک اخذ از کاربر مقایسه نموده و در صورت تایید تطابق، احراز هویت را از این طریق انجام دهند.
هرچند برخی از شرکت های احراز هویت در حال حاضر، از طریق فناوری هوش مصنوعی تصاویر ارسالی از سوی کاربران را با تصویر موجود در مراکز داده ثبت احوال تطبیق داده و در صورت مشابهت احراز هویت برای شناسایی اولیه از این طریق انجام می شود.
اما برای دریافت خدمات پس از شناسایی اولیه بسته به نوع خدمات مورد درخواست می توان سطح احراز هویت و شناسایی را تعریف نمود .
در حال حاضر قوه قضاییه و سازمان بورس به عنوان نهاد هایی که خدمات الکترونیکی ارائه می نمایند با صدور بخشنامه های داخلی امکان احراز هویت دیجیتال را فراهم نموده اند اما در این خصوص هنوز مقرره قانونی مشخصی وجود ندارد.