روزهای پایانی سال درست زمانی که بسیاری از فعالان حوزه بانکداری الکترونیکی از ابلاغ دستورالعمل احراز هویت غیرحضوری خدمات پایه بانکی ناامید شده بودند، این دستورالعمل از سوی بانک مرکزی ابلاغ شد. دستورالعملی که هر چند خبر تصویب آن از نگرانی فعالان این حوزه کاسته بود اما ابلاغ نشدن آن در طول یک ماه که وزیر اقتصاد و رئیس کل بانک مرکزی اعلام کرده بودند این دستورالعمل به تصویب رسیده است، موجب نگرانی فعالان این حوزه بود.
به گزارش پیوست، در این دستورالعمل هیچاشارهای به راههای احراز هویت الکترونیکی که بانکها و موسسات اعتباری میتوانند از آن بهره گیرند نشده، بلکه فقط به آنها اجازه داده شده است که کاربران خود را به صورت الکترونیکی احراز هویت کنند. طبق این دستورالعمل موسسات اعتباری که شامل بانکها و موسسه اعتباری غیربانکی که از بانک مرکزی مجوز گرفتهاند میشود، مکلف شدهاند آغاز ارائه غیر حضوری خدمات پایه به مشتری خود را منوط به احراز هویت الکترونیکی وی کنند.
این بند از دستورالعمل دقیقا فرایندی است که تاکنون تمامی موسسات بانکی و اعتباری که فعالیت ارائه خدمات خود را به صورت غیر حضوری آغاز کرده بودند انجام میدادند. هر چند تاکنون دستورالعملی در این خصوص صادر نشده بود اما با توجه به چارچوبهای کلی قوانین پولی و بانکی کشور تمامی موسسات اعتباری که فرایند ارائه خدمات غیرحضوری خود را آغاز کرده بودند پیش از ارائه هرگونه خدمتی کاربران و مشتریان، آنها را به صورت غیرحضوری احراز هویت میکردند. فرایندی که تا پیش از ابلاغ این دستورالعمل از سوی نئوبانکهای فعال در کشور آغاز شده بود، حال با ابلاغ این دستورالعمل شکل قانونی به خود گرفت.
ماده ۴ این دستورالعمل قابل توجهترین ماده آن است که چگونگی ارائه غیر حضوری خدمات پایه را مشخص کرده است. در این ماده قید شده است که کدام اقلام اطلاعاتی برای احراز هویت ضروری هستند. بر این اساس، باید نام، نام خانوادگی، سال تولد، شماره ملی، نامپدر و شناسه یا کد پستی محل اقامات کامل مشتری، شناسایی شود و راستی آزمایی اطلاعات هویتی متقاضی خدمات پایه از طریق سامانهها و پایگاههای اطلاعاتی مربوطه صورت خواهد گرفت. در اصل بانکها با اتصال به پایگاههای اطلاعاتی پایه از قبیل پایگاه اطلاعات ثبت احوال، شاهکار و ثبت شرکتها و سایر سامانههای مادر درکشور میتوانند اطلاعات هویتی کاربران خود را راستی آزمایی کنند.
متن کامل دستورالعمل حدود و چگونگی ارائه غیرحضوری خدمات پایه به ارباب رجوع در بانکها و موسسات اعتباری غیربانکی
در این ماده قانونی اجازه استفاده از ابزارهای بیومتریک یا ابزارهای زیستسنجی داده شده است. از این ابزارها باید به منظور تطابق ویژگیهای هویتی ثبت شده در سامانهها و پایگاههای اطلاعاتی مربوط با اطلاعات کاربر و ارباب رجوع مورد استفاده کرد.
در این بند قانونی تاکید شده است احراز هویت الکترونیکی متقاضی خدمات پایه باید مبتنی بر اقلام هویتی ضروری ارائه شده توسط وی صورت گیرد و در صورت عدم اظهار اطلاعات هویتی یا عدم تطابق اطلاعات هویتی اظهار شده با یکدیگر، موسسه اعتباری یا موسسه پولی غیربانکی مجاز به مبنا قرار دادن یک یا چند قلم اطلاعاتی، تکمیل یا اصلاح اطلاعات و همچنین ارائه خدمات به ارباب رجوع نیست.
همچنین در ماده دیگری از این دستورالعمل قید شده است که اگر کاربران و مشتریان بانکها و موسسات پولی و اعتباری غیربانکی فقط به صورت غیرحضوری شناسایی شده بودند و تاکنون هیچ مراجعهای به بانک برای احراز هویت حضوری نداشتهاند، بانکها و موسسات اعتباری مکلف هستند سطح ریسک هر کدام از این کاربران را با توجه به اطلاعات ارائه شده از سوی آنان شناسایی کنند. برای این منظور باید اطلاعات اقتصادی کاربر را نیز از وی دریافت کنند تا امکان شناسایی سطح ریسک کاربر فراهم شود.
در این دستورالعمل پیشبینی شده است که اگر برای صحتسنجی و اصالت و اعتبار مدارک شناسایی ارباب رجوع و اسناد و مدارکی که سامانهها و پایگاههای اطلاعاتی مربوط به راستی آزمایی آنها راهاندازی نشده یا موسسه اعتباری به اطلاعات آن دسترسی ندارند ارائه خدمات پایه را باید به منوط به مراجعه حضوری ارباب رجوع کند.
در این دستورالعمل سطح فعالیت و سطح ارائه خدمات از سوی موسسات اعتباری و پولی و بانکی و همچنین موسسات غیر بانکی که امکان احراز هویت غیر حضوری را دارند مشخص شده است. طبق این دستورالعمل موسسات اعتباری که شامل بانکها و موسسات دارای مجوز از بانک مرکزی میشوند میتوانند برای افتتاح حساب و اعطای وام و تسهیلات به صورت غیرحضوری اقدام کنند. همچنین صدور ضمانتنامه برای اهداف غیرتجاری به صورت غیرحضوری نیز امکانپذیر است.
شرکتهای تعاونی اعتباری میتوانند فقط برای افتتاح حساب قرضالحسنه و و اعطای وام قرضالحسنه ریالی از احراز هویت غیرحضوری استفاده کنند و شرکتهای لیزینگ نیز فقط میتوانند برای اعطای تسهیلات با موضوعات غیرتجاری به اشخاص حقیقی از این فرایند بهره برند.
در این دستورالعمل پیشبینی شده است که دریافت رمز و تاریخ انقضای کارت برای اشخاصی که قرار است از طریق ابزار پرداخت احراز هویت شوند یکی از راههای احراز هویت به شمار میآید.
یکی از نکات قابل توجه در این دستورالعمل واگذاری اعتبار بخشی امنیتی به محصولات فناورانه برای احرازهویت به مرکز ملی فضای مجازی است. طبق این ماده قانونی، ارزیابی و اعتبار بخشی امنیتی به محصولات فناورانه و انطباق سنجی فضای تولید و تبادل اطلاعات مرتبط با موضوع این دستورالعمل باید از طریق نظام ارزیابی و اعتباربخشی به محصولات و خدمات بانکداری و پرداخت الکترونیکی و با هماهنگی مرکز ملی فضای مجازی کشور صورت گیرد.
الزامات نظام ارزیابی و اعتباربخشی به محصولات و خدمات بانکداری و پرداخت الکترونیکی باید توسط بانک مرکزی تهیه و پس از تایید مرکز اطلاعات مالی و نهادهای امنیتی عضو شورای مقابله و پیشگیری از جرائم پولشویی ابلاغ شود.
همچنین در این دستورالعمل تاکید شده است که موسسات اعتباری نمیتوانند به صورت کامل فرایند احراز هویت را به شخص ثالثی واگذار کنند.