استاندارد EMV کارت های هوشمند در مقابل تراکنش‌های مغناطیسی

در 15 مرداد , 1395

بعضی وقت‌ها سوالات و پرسش‌هائی در زمینه کارت‌های هوشمند مالی و نیز استاندارد EMV در ذهن مدیران بانکی وموسسات مالی که قصد استفاده از اینگونه کارت‌ها را دارند ایجاد می‌شود و نگرانی و دودلی در آنها بوجود می آید. اندکی از آنها در این مقاله پاسخ داده شده می‌شوند.

عصر بانک؛با ظهور کارت‌های هوشمند در دنیا، انتظار می‌رفت کاربرد آنها در سیستم‌های بانکی بیش از سایر حوزه‌ها باشد اما به دلیل مزایای پیشینیان آنها یعنی کارت‌های مغناطیسی، روند گذار به کارت‌های هوشمند در همه کشور‌ها به سرعت محقق نشد. از جمله این مزایا می‌توان به سهولت و گستردگی استفاده از آن اشاره کرد، در حالی که کارت‌های هوشمند به سادگی قابل گسترش نیستند چرا که هزینه تهیه سیستم‌های پرداخت مبتنی بر این نوع کارت‌ها بالاست.

اما با وجود این قبیل معایب، نرم‌افزارهای مخابراتی بسیاری روی این تراشه‌های هوشمند قرار گرفت و همچنین بانک‌ها نیز در بسیاری از کشورها به دلیل ناتوانی کارت‌های مغناطیسی در برخی حوزه‌ها همچون پرداخت‌های آفلاین، خرد و بدون رمز به سمت کارت‌های هوشمند رفتند.

در همین راستا برای گسترش و شناساندن مزایای کارت‌های هوشمند در موسسات مالی و بانک‌ها، سه شرکت پیشرو Visa و Master card و Euro pay اقدام به تدوین مجموعه مشخصاتی برای سهولت و یکسان‌سازی نحوه استفاده از کارت‌های هوشمند کردند که این مجموعه مشخصات تحت عنوان EMV برگرفته از حروف اول نام این سه شرکت شناخته شد. بعدها برای حمایت و گسترش این مجموعه مشخصات توسط این سه شرکت، موسسه‌ای به نام EMV Co ایجاد شد که به طور مرتب مجموعه مشخصات را بازنگری و اصلاح می‌کند و قابلیت‌های جدیدی به آن می‌افزاید.

یکی از مهم‌ترین تاثیراتی که این موسسه بر صنعت پرداخت گذاشت، متمایل ساختن آن به سوی کارت هوشمند بود. پیش از آن هر موسسه مالی یا بانک و شرکت صادرکننده کارت به سلیقه خود عمل می‌کرد و سیستم مورد نظر خود را طراحی می‌کرد که متضمن موفقیت آن نبود. همچنین از بابت پذیرش آن در سایر موسسات و بانک‌ها چه در داخل و چه در سایر کشورهای دنیا اطمینانی وجود نداشت. علاوه بر این، جایگزین‌سازی کارت‌های هوشمند به جای مغناطیسی عملاً امکان‌پذیر نبود ولی با شناساندن مزایای کارت‌های هوشمند و پیدایش مجموعه مشخصات EMV برای این کارت‌ها، استفاده از آنها فراگیر و تبدیل به یک الزام شد.

پیشینه کارت‌های هوشمند در ایران

پروژه کارت‌های هوشمند از اواخر دهه 70 به شبکه بانکی ایران معرفی شد؛ هنگامی‌ که بانک مسکن کارت هوشمند خود را به عنوان جایگزینی برای دفترچه حساب و دفترچه پرداخت اقساط وام‌های مسکن صادر کرد. پس از آن در سال‌های 80-79 بود که شرکت ایز‌ایران کارت هوشمند جدیدی به نام «ثمین» معرفی کرد که پروسه تحقق آن در سال 80 به دلیل مخالفت بانک مرکزی متوقف شد. شرکت خدمات انفورماتیک نیز برای سوئیچ بانک توسعه صادرات و بانک کشاورزی سیستم هایبرید (مغناطیسی و هوشمند) را ایجاد کرده بود. اما با وجود چنین تلاش‌هایی، پروژه کارت‌های هوشمند به صورت جدی در دستور کار قرار نگرفته بود. علاوه بر این، هنوز استاندارد EMV جنبه صنعتی پیدا نکرده و در کشور مطرح نبود. تا اینکه در سال 83 این بار خود بانک مرکزی موضوع کارت‌های هوشمند را در دستور ‌کار خود قرار داد و آیین‌نامه‌ای در خصوص استاندارد EMV برای این کارت‌ها تصویب و ابلاغ کرد.

به موجب آیین‌نامه مذکور کلیه کارت‌های هوشمندی که مورد استفاده قرار خواهند گرفت باید منحصراً دارای استاندارد EMV 4 (2000) باشند و در همین راستا یک مرجع ذی‌صلاح بین‌المللی استاندارد آنها را تایید کند.

البته مفاد آیین‌نامه به تایید مرجع بین‌المللی محدود نمی‌شد، بحث صدور گواهینامه کلید عمومی برای بانک‌های متقاضی نیز در این آیین‌نامه مطرح شد که در این خصوص قرار بود «مرکز صدور گواهی» اداره نظام‌های پرداخت در بانک مرکزی دست‌به‌کار شود. در این میان وظیفه مرکز شتاب نیز انجام تمهیدات لازم برای امکان پردازش تراکنش‌های کارت‌های هوشمند بود.

نکته مهم دیگر آیین‌نامه این بود که قرار بود تا پایان سال 2005 کارت‌های هوشمند در سطح بین‌المللی جایگزین کارت‌های مغناطیسی شوند، به همین دلیل بانک‌ها می‌بایست برنامه عملیاتی خود را در این خصوص به بانک ‌مرکزی اعلام می‌کردند.

از آن زمان زمزمه صدور کارت EMV آغاز شد و به دنبال آن، بانک صادرات کارت‌های اعتباری خود را هوشمند ساخت.

سال 1387 باز هم خود بانک مرکزی دست‌به‌کار شد اما صرفاً قوانینی کلی در حوزه کیف پول الکترونیکی تدوین کرد که توجه چندانی به آن نشد و عملاً با آمدن شتاب و گسترش آن، استفاده از کارت هوشمند به تعویق افتاد.

اگرچه از آن زمان تاکنون بانک مرکزی موضع خود مبنی بر الزام گذار به کارت‌های هوشمند EMV را حفظ کرده اما هنوز برنامه دقیقی برای اجرایی کردن آن پیش‌بینی نشده است. ضمن اینکه موضوع تازه‌ای تحت عنوان استفاده از گوشی‌های هوشمند به جای ابزار پرداخت مطرح شده؛ موضوعی که در اظهارات ناصر حکیمی مدیر کل فناوری اطلاعات بانک مرکزی نیز مطرح شد. به گفته حکیمی، با آمدن گوشی‌های هوشمند در کنار تاخیر در مهاجرت به EMV شاید فرصتی به وجود آمده که از این فاصله تکنولوژیک با دنیا استفاده و مستقیماً کارت‌های موجود را روی گوشی هوشمند منتقل کنیم؛ به ‌طوری‌ که از این گوشی‌ها هم به عنوان کارت و هم به عنوان ابزار پذیرش استفاده کنیم و در هزینه‌های سرمایه‌گذاری برای مهاجرت هم صرفه‌جویی کنیم.

تجربه EMV در کشورهای مختلف و رشد تعداد کارت‌های آن در دنیا

سابقه EMV در سرتاسر دنیا به بیش از 14 سال می‌رسد. کشورهای متعددی همچون انگلستان، کانادا، کشورهای خاورمیانه، آفریقا و اتحادیه اروپا به سمت EMV رفته‌اند و تاکنون بیش از 200 گواهینامه EMVco مورد تایید قرار گرفته ‌است.

بر اساس آماری که خود EMVco در آخرین گزارش خود در ماه مه 2015 منتشر کرده، 32 درصد کل تراکنش‌هایی که با کارت تراشه‌دار (چه با‌تماس چه بدون تماس) در سال 2014 انجام شده، از تکنولوژی تراشه EMV استفاده کرده‌اند که این تعداد به نسبت سال 2013 بیش از 29 درصد افزایش داشته است. در حال حاضر بیش از 4/3 میلیارد کارت EMV در گردش است که نسبت به سال 2013 افزایش 43 درصدی داشته.

تا پایان سال 2014، در کشور آمریکا 101 میلیون فقره از کارت‌های بانکی، EMV بوده که 12/0 درصد از تراکنش‌های این کشور را به خود اختصاص داده بودند. نخستین مهاجرت کارت‌های بانکی این کشور به EMV با پیشگامی Creditcall در آوریل سال 2013 محقق شد. Creditcall پیشتر با تولیدکنندگان سخت‌افزار در آمریکا همکاری کرد تا از آمادگی پایانه‌های پرداخت این کشور برای پذیرش کارت‌های تراشه‌دار EMV اطمینان حاصل کند. به دنبال آن American Express، Discovery، Visa و MasterCard در این کشور به سمت EMV رفتند.

در حال حاضر استفاده از کارت‌های EMV در این کشور به قدری گسترش یافته که در قوانین مربوط به پرداخت‌ها نیز لحاظ شده است به طوری که اگر طی قراردادی میان دو موسسه مالی یکی از طرفین EMV نداشته باشد، در صورت وقوع هر گونه مشکلی، موسسه‌ای که EMV ندارد مقصر شناخته می‌شود.
در خاورمیانه و آفریقا نیز از سال 2013 تا 2014 رشد 12 درصدی در استفاده از سیستم EMV به وقوع پیوست به طوری که تعداد کارت‌های EMV به 116 میلیون افزایش یافت. در همین بازه زمانی در اروپای غربی و شرقی نیز به ترتیب 833 و 153 میلیون کارت EMV وجود داشت. این بدان معنی است که در این مناطق به ترتیب 83 و 40 درصد مردم به استفاده از این سیستم روی آوردند.

مزایای EMV

EMV یک استاندارد جهانی برای کارت‌های پرداخت مبتنی بر فناوری تراشه است که به پردازش پرداخت‌های اعتباری کارت‌های دارای تراشه ریزپردازشگر نیز می‌پردازد. علت نامگذاری Chip and Pin برای تراکنش‌هایی که با این کارت‌ها صورت می‌گیرد این بوده که برای تایید هویت صاحب حقیقی کارت به پین نیاز است. این در واقع یک روش برای ساده‌سازی است چراکه ویژگی‌های EMV روش‌های تایید دارندگان کارت را نیز دربر می‌گیرد.

EMV در مقابل تراکنش‌های مغناطیسی

برخلاف آنچه در تراکنش‌های کارت‌های مغناطیسی صورت می‌گیرد و تنها دو نوع اطلاعات یعنی شماره کارت و تاریخ انقضا را پردازش می‌کند، در کارت‌های تراشه‌دار EMV اطلاعات بسیار زیادی میان کارت، پایانه و بانک پذیرنده یا میزبان پردازشگرها تبادل می‌شود.

تحقق این روند و انجام یک تراکنش موفق، نیازمند اجرای مراحل پیچیده‌ای از پردازش توسط پایانه است. این بدان معنی است که افزودن استاندارد EMV به اپلیکیشن‌های پرداخت می‌تواند کار سخت و اضطراب‌آوری باشد. با این حال استفاده از این نوع کارت‌ها مزیت‌های بسیاری نیز دارد که شاید بتوان مهم‌ترین آنها را در امنیت بالا و کاهش ریسک، کاهش هزینه‌های مخابراتی، داشتن حافظه و پردازشگر خلاصه کرد.

امنیت بالا و کاهش ریسک

اگرچه استفاده از کارت‌های مغناطیسی در سال‌های اخیر باعث تسهیل پرداخت‌ها در کشور شد اما بحث فراد و پوز‌های تقلبی نیز از چند سال پیش خبرساز بوده‌اند. با وجود اینکه حجم این فرادها زیاد نبود اما در صورت گستردگی می‌تواند منجر به سلب اعتماد مردم در استفاده از این سیستم پرداخت شود.

بر اساس تجربیات به‌دست‌آمده در سرتاسر دنیا، استفاده از کارت‌های مبتنی بر استاندارد EMV امکان کلاهبرداری و تخلف (فراد) را به شدت کاهش می‌دهد؛ چنانچه طبق برآورد موسسه Visa دست‌کم تا 70 درصد تخلفات کاهش یافته و 90 درصد سوءاستفاده از کارت‌های مفقودی و دزدی قابل پیشگیری خواهد بود. دلیل این امر هم مشکل‌تر بودن جعل کارت‌های هوشمند نسبت به کارت‌های مغناطیسی است. فراد علاوه بر امکان سوء‌استفاده از کارت‌های مفقودی یا دزدیده‌شده، شامل هک اطلاعات کارت تعویضی، جعل کردن کارت، کلاهبرداری بدون حضور کارت فیزیکی و سرقت شناسه کارت نیز می‌شود.

یکی از نمونه‌های موفق EMV در زمینه کاهش فراد در کشور فرانسه تحقق یافت به طوری ‌که از سال 1992بیش از 80 درصد کاهش فراد داشت. در انگلستان نیز از سال 2008، فراد در کارت‌ها 75 درصد کاهش یافت.

کاهش هزینه‌های مخابراتی

برخلاف تراکنش‌های کارت‌های مغناطیسی که اکثر آنها مستلزم اخذ مجوز با اتصال پیوسته (Online Authorization) است، امنیت بالای کارت‌های هوشمند باعث شده انجام تراکنش‌های ناپیوسته (آفلاین) نیز ممکن شود. به همین دلیل هزینه‌های مخابراتی نیز کاهش می‌یابد.

وجود حافظه و CPU

اهمیت وجود حافظه و پردازشگر روی کارت‌ها از این جهت است که به کمک آنها می‌توان برنامه‌های متنوعی چون E-PURSE و LOYALTY را نیز روی کارت هوشمند قرار داد؛ برنامه‌هایی که سبب جذب مشتری می‌شوند.

الزامات گذار به EMV

تطبیق نظام پرداخت با مشخصات EMV و به تبع آن برخورداری از مزایای برشمرده‌شده ممکن نخواهد بود مگر با ایجاد تغییراتی عمده شامل جایگزینی همه کارت‌های مغناطیسی و کارت‌های هوشمند Non-EMV با کارت‌های EMV، ارتقای پایانه‌های P.O.S و ATM جهت پذیرش کارت هوشمند و کارتخوان مورد تایید EMV و افزایش قابلیت پردازش در ابزارهای Front Office و Back Office. البته تمرکز EMV بیشتر بر حوزه پذیرندگی است تا امنیت کسب‌ و ‌کار را بالا ببرد.

در این راستا وظایف مختلفی برای فعالان این حوزه متصور است. به عنوان مثال بانک‌ها باید در حوزه تجهیزات خود همچون ATM، کیوسک، سوئیچ و دستگاه‌های شخصی‌سازی کارت به سمت EMV بروند.

در حوزه پذیرندگی نیز شتاب، شاپرک و PSPها باید در بخش سوئیچ‌های خود تغییراتی را مبتنی بر EMV اجرا کنند. در دهه 80 تمرکزها بر موضوع خرید پوزهایی بود که قابلیت پشتیبانی از سطوح مختلف EMV را داشته باشند اما پس از مدتی فشار بانک مرکزی کمتر شد و چنین تمرکزی از بین رفت. به طوری ‌که در حال حاضر کمتر از 50 درصد پوزهای موجود دارای قابلیت خوانش کارت‌های EMV را دارند.

گرانی؛ مشکل اصلی کارت‌های هوشمند

در سال 1383 مجموع کارت‌های صادره بانکی در کشور هفت میلیون و 823 هزار فقره کارت بود اما بر اساس آخرین گزارش بانک مرکزی این ارقام تا پایان نیمه اول سال 94 به بیش از 360 میلیون فقره افزایش یافته است. از این تعداد، 243 میلیون کارت برداشت، 116میلیون کارت هدیه، 6/1 میلیون کارت اعتباری و دو میلیون کارت پول الکترونیکی است. در صورت گذار به EMV باید تمامی این کارت‌ها به صورت تدریجی تغییر کنند.

علاوه بر این بحث بالا بودن قیمت کارت‌های هوشمند هم وجود دارد. طبق آمارهای موجود در آمریکا قیمت هر کارت هوشمند معمولی بیش از دو تا پنج دلار است، در حالی که قیمت کارت مغناطیسی در خریدهای انبوه پنج تا 15 سنت است. با مقایسه قیمت کارت‌های هوشمند با کارت‌های مغناطیسی به راحتی می‌توان دریافت چرا بسیاری از کشورها تاکنون به سمت استفاده از کارت‌های هوشمند در شبکه پرداخت خود نرفته‌اند. اما در ایران قیمت به نسبت پایین‌تر است؛ حدود دو هزار تومان برای خرید یک کارت مغناطیسی و حدود پنج تا شش هزار تومان برای خرید کارت هوشمند EMV برآورد می‌شود.

به عقیده بسیاری از صاحب‌نظران قیمت کارت هوشمند در مقابل کارایی و عملکرد آن بهای اندکی است، ضمن اینکه برخلاف کارت‌های مغناطیسی هزینه عملیات، ریسک و هزینه‌های اضافی نیز ندارد. علاوه بر این انتظار می‌رود با استفاده از برنامه‌های متنوع آن امکان جذب سپرده و مشتری، بیشتر و راحت‌تر شود.

همچنین به دلیل اینکه بانک‌ها و پذیرندگان به استفاده از پایانه‌های EMV-POS نیاز دارند و EMV باعث راهیابی انواع برنامه‌ها روی یک کارت هوشمند می‌شود، پایانه‌ها هم ملزم به ارائه قدرت پردازش بالا، تفکیک برنامه‌ها و سایر جنبه‌های مورد نیاز برای یک محیط قابل اطمینان چند‌برنامه‌ای می‌شوند. از سوی دیگر با لزوم پردازش داده‌هایی که توسط کارت EMV حاصل می‌شود، بانک‌ها به پردازشگرهای بیشتری نیاز خواهند داشت چرا که به خاطر امنیت بالاتر، حجم روزانه داده‌های تولیدشده با هر کارت هوشمند دو تا چهار برابر داده‌هایی است که یک کارت مغناطیسی تولید می‌کند. بنابراین علاوه بر حوزه صدور کارت و هزینه‌های آن، در بخش پایانه‌های پذیرش نیز هزینه‌های بسیاری نیاز است. در این خصوص بسیاری از 300 تا 500 میلیون دلار سرمایه‌گذاری در کل کشور برای انجام تغییرات نرم‌افزاری در پایانه‌ها صحبت می‌کنند.

امنیت پایین در خرید آنلاین

با وجود اینکه مهم‌ترین مزیت کارت‌های EMV بحث امنیت عنوان می‌شود، اما به باور بسیاری این به معنی وجود امنیت کامل نیست و بحث فراد، فقط از حالت ساده به فرآیندی پیچیده‌ مبدل خواهد شد که به ابزارهای بیشتری نیاز دارد.

موضوع امنیت EMV در شورای استانداردهای امنیتی PCI یا صنعت کارت پرداخت نیز مطرح شده است. به عقیده اعضای این شورا به عنوان تنظیم‌کننده قوانین خرده‌فروشان در پذیرش کارت‌های پرداخت، استفاده از کارت‌های EMV استانداردهای امنیتی موجود را تغییر نخواهد داد.

علاوه بر اینها، متخصصان بسیاری در حوزه کارت‌های پرداخت به این نتیجه رسیده‌اند که اگرچه حرکت به سمت کارت‌های chip and pin ممکن است تقلب در فروشگاه را کاهش دهد اما از کلاهبرداری در خریدهای آنلاین جلوگیری نمی‌کند. با وجود اینکه برای تکمیل تراکنش خرید آنلاین نیاز به وارد کردن پین است اما هکرها به راحتی می‌توانند از طریق شماره کارت، پین را هم هک کنند. چنانچه در بریتانیا از زمانی که فناوری EMV را در کارت‌ها پیش گرفتند -یعنی از سال 2004 تا سال 2014- اگرچه آمار فراد در فروشگاه‌ها 63 درصد کاهش یافت اما فرادهای خرید آنلاین 120 درصد افزایش پیدا کردند.

برای جلوگیری از چنین سوءاستفاده‌هایی بسیاری از متخصصان معتقدند با استفاده از NFC که یا به صورت یک یواس‌بی است یا روی پی‌سی نصب شده، می‌توان کارت EMV را تایید و بدین ترتیب تراکنش آنلاین را تکمیل کرد. تراشه نصب‌شده روی این کارت‌ها در پرداخت با موبایل‌هایی که از NFC پشتیبانی می‌کنند نیز قابل استفاده است. به همین دلیل است که پیش‌بینی می‌شود در سال 2016 برخی روش‌های تایید هویت با NFC بسیار رایج شود.
با وجود تمام معایب و مزایایی که استاندارد EMV دارد، نمی‌توان منکر گستردگی روزافزون آن در سرتاسر دنیا بود.

تحقق EMV در کشور با توجه به جمعیت 80 میلیونی ایران، تعداد شعب، پوزها و ATMها نیازمند یک برنامه دو تا پنج ساله خواهد بود؛ ضمن اینکه تمامی بانک‌ها و اعضای شبکه بانکی باید بر سر پیاده‌سازی این استاندارد هم‌صدا شوند. همچنین تاکنون برنامه آموزشی فراگیری برای کارشناسان فنی در خصوص EMV وجود نداشته و بسیاری از آنها از جزییات دقیق این استاندارد اطلاعی ندارند؛ بنابراین پروژه EMV علاوه بر سرمایه‌گذاری در بخش نرم‌افزاری، سخت‌افزاری و به طور کلی در زیرساخت‌های لازم، نیازمند رفع اختلاف‌نظرها، آموزش و به‌کارگیری نیروی انسانی خبره در حوزه EMV و از همه مهم‌تر سرعت عمل است؛ موضوعی که با آغاز روزشمار برای سفر نمایندگان بانک‌های مهم بین‌المللی به ایران بیش از همیشه اهمیت یافته است.

/ماهنامه پیوست

EMV