من الواضح أن المواد التوعوية التي تقوم بها البنوك في المملكة تجاه طرق الاحتيال المالي وكيفية الحماية منها غير كافية وغير فعالة لأنها غالبا تعيد وتكرر عبارات وتحذيرات مستهلكة سئم منها المتلقي ومل، ولم تعد تشد انتباهه ولا تفيد في حمايته، لم تعد منشورات تذكير العميل بعدم إفشاء كلمة المرور ذات أهمية، كون الحفاظ على كلمة المرور أصبح أمرا معروفا لدى الجميع قل من لا يعي أهميته.
التوعية الفعالة تتطلب استراتيجية جديدة تأخذ في الحسبان طرق الاحتيال المنتشرة، وتوضح للجميع طرق تنفيذها وكيفية الوقاية منها، كما أن الاعتقاد بأن المسؤولية تقع بشكل كامل على العميل الذي فرط في بياناته الشخصية اعتقاد غير صحيح، كما سنأتي إليه أدناه.
في عام 1998 كنت من ضمن الفريق الذي تولى عملية إدخال خدمة الإنترنت إلى المملكة في مدينة الملك عبدالعزيز للعلوم والتقنية. وقتها كان الهاجس الأكبر كيفية تقديم الإنترنت إلى المجتمع بطريقة سلسلة وسريعة وآمنة ومتماشية مع الأعراف والقيم التي جبل عليها أفراد المجتمع. وبعد انتشار الإنترنت بدأت تظهر عمليات الاحتيال المالي وغير المالي التي كانت في بدايتها تستهدف الاستيلاء على كلمة المرور بعدة طرق، بعضها طرق فنية استغلت ضعف برامج التصفح في ذاك الوقت التي لم تكن مشفرة، وبعضها استغل قيام بعض الجهات بتخزين كلمات المرور بلا تشفير، ما يسهل عملية قراءتها من قبل أشخاص داخل المنشأة وكذلك من قبل "الهاكرز" الذين ينجحون في اقتحام أنظمة بعض المنشآت. تلا ذلك برامج التجسس التي تقرأ النقرات على لوحة المفاتيح وتقوم بإرسال كلمة المرور إلى المحتال، وغيرها من أساليب.
فيما بعد تطورت برامج التصفح بتبني تقنيات التشفير فأصبحت كلمة المرور مشفرة من لحظة خروجها من برنامج العميل، ولم تعد هناك جهات تخزن كلمات المرور بلا تشفير، إلى درجة أنه حاليا لا أحد يستطيع معرفة كلمة المرور داخل الجهة ولا خارجها، سواء كان مختصا فنيا أو غير ذلك. ثم جاءت طريقة التحقق بالمعيار الثنائي التي لا تعتمد على كلمة المرور وحدها، بل تتطلب رقم مرور مؤقتا يرسل غالبا عن طريق الهاتف المحمول. هذه التطورات وغيرها، إضافة إلى الوعي العام بأهمية الحفاظ على كلمات المرور وعدم إفشائها خفف بشكل كبير مشكلات سرقة كلمات المرور والدخول إلى حسابات العملاء في المؤسسات المالية والحكومية.
المشكلة إذن ليست في إفشاء كلمة المرور، بل في استمرار المحتالين في تنفيذ ما يعرف بأسلوب الهندسة الاجتماعية الذي يعتمد على الخداع وجعل العميل يقوم بإجراء عملية الاحتيال بنفسه، فمعظم حالات الاحتيال المالي، وأشهرها وأكثرها فاعلية وخطورة على العميل لا تتم بسبب قيام العميل بإفشاء كلمة المرور للمتصل، بل تتم بقيام العميل بإدخال كلمة المرور في موقع مفبرك تم تصميمه بشكل يوهم العميل أنه يتعامل مع الموقع الصحيح. لذا فالمطلوب من برامج التوعية في البنوك والمؤسسات الأخرى تثقيف العملاء عن طريقة الاحتيال هذه، التي تسمى phishing.
طريقة "فيشينج" تستخدم بكثرة في بث الأخبار المزيفة في وسائل التواصل الاجتماعي، حيث يقرأ الشخص خبرا مهما باسم أحد مصادر الأخبار الموثوقة وعند قيامه بالضغط على العنوان المرفق بالخبر يتم توجيهه إلى موقع مطابق بالشكل والمضمون للجهة التي يثق بها. هنا يأتي دور برامج التوعية الفعالة بتثقيف العميل حول طرق اكتشاف المواقع المزيفة، ومرة أخرى هذه الجزئية تغيب عن معظم برامج التوعية التي تقوم بها البنوك، وهي برامج توعوية تتم حسب توجيهات البنك المركزي الذي أصدر دليلا خاصا لمكافحة الاحتيال المالي في البنوك وألزم البنوك بتأسيس وحدات إدارية لمكافحة الاحتيال المالي، تشمل تثقيف العملاء وتوعيتهم.
جانب آخر لعمليات الاحتيال المالي ومسؤولية البنوك في ذلك يختص بالجانب القانوني ومسؤولية البنوك في ذلك، فهل البنك مسؤول عن عمليات الاحتيال التي تتم بين الحين والآخر؟
أولا كما رأينا فإن البنوك مسؤولة عن التثقيف والتوعية حسب توجيهات البنك المركزي، وأن تمارس ذلك بطريقة صحيحة وفعالة، لكن هناك جانب قانوني أهم من ذلك وهو أن جميع البنوك ومؤسسات أخرى كثيرة لا يعملون حاليا تحت إطار قانوني سليم فيما يخص إتاحة الخدمات الإلكترونية للعملاء. هل معنى ذلك أن البنوك تعمل بلا مرجعية نظامية في هذا الشأن؟ الجواب نعم.
الخدمات الإلكترونية في المملكة تقدم وفقا لنظام التعاملات الإلكترونية الصادر من مجلس الوزراء عام 2007 الذي ينظم التعاملات الإلكترونية في القطاعين العام والخاص، ويشترط لصحة التعامل الإلكتروني وجود توقيع إلكتروني من خلال سجل إلكتروني بمعايير فنية تم تفصيلها في النظام. تم استثناء حالتين فقط غير خاضعتين لهذا النظام، وهما الأحوال الشخصية والعقارات، لذا فإن العمليات المصرفية خاضعة لهذا النظام. أين الخلل إذن؟
الخلل هو أن نظام التعاملات الإلكترونية لا يعتد بكلمات المرور في استيفاء شروط التعامل الإلكتروني، أي: إن البنك لا يستطيع الدفاع عن سلامة إجراءاته طالما أنه لم يلتزم بضوابط النظام ومقتضياته، والسبب أنه لا يوجد لدينا نظام خاص بكلمات المرور، بل لدينا نظام يعتد بالتوقيع الإلكتروني فقط. لذا فإن التعاملات الإلكترونية التي تتم خارج نطاق النظام ليست لها حجية قاطعة، ورغم ذلك فقد سمح النظام بقبولها كقرينة في الإثبات، ما يعني أن البنوك التي تستخدم كلمات المرور في إجراء العمليات المصرفية الحساسة هي في موقف قانوني ضعيف أمام العملاء المتضررين، طالما أنها لم تقدم هذه الخدمات الإلكترونية وفقا لضوابط النظام.
ختاما، حالات الاحتيال المالي موجودة، ومعظم الحالات تتم بسبب ضعف المعرفة لدى العميل، لكن في الوقت نفسه البنوك مسؤولة عن الجانب التوعوي للعميل بحسب تعليمات البنك المركزي. ومن جهة أخرى فإن البنوك وغيرها من الجهات التي لا تعمل وفقا لمقتضيات نظام التعاملات الإلكترونية في موقف ضعيف للدفاع عن سلامة إجراءاتها في حال وقوع عمليات احتيال بحق العميل، حتى إن كان هناك بعض القصور من جانب العميل، وذلك لأن التوقيع الإلكتروني مقنن فنيا وله حجيته النظامية، بينما كلمات المرور لا تتمتع بهذا الغطاء القانوني القوي.
نقلا عن الاقتصادية
مقال تناول جوانب مهمة شكرا للكاتب والشكر موصول لأرقام
الامر اصبح ظاهرة لا تطاق كون جميع فئات المجتمع تتعرض لعمليات الاحتيال بشكل دوري بسبب ضعف الأنظمة البنكية وليس كما يرددون من ضعف المعرفة لدي العميل. لا شك ان مسؤولية إجراءات الحماية البنكية وعمليات المتابعة الأمنية تقع على عاتق من يستلمون رواتب فلكية وبعد الحدث يرمي المسؤولية على العملاء بدم بارد !!.