الأمن من خلال التصميم: المفتاح لحل أكبر تحديات تحديث أنظمة الدفع

يستمر قطاع المدفوعات في الابتكار، مع أنظمة تفاعلية جديدة مثل Pix في البرازيل وUPI في الهند التي توفر نماذج لكيفية تمكن الدول من كسر الحواجز التي كانت تقف في طريق المدفوعات تقليديًا. أضافت المدفوعات القائمة على تقنية البلوكشين وارتفاع قيمة العملات المستقرة وسيلة أخرى لنقل الأموال عبر الحدود. كل هذا يعني أننا نتجه نحو عالم يتم فيه تحويل الأموال بشكل فوري بدلاً من الانتظار أيامًا للتحويل والتسوية.

تركز كل من هذه الابتكارات في المدفوعات بشكل كبير على السرعة وتوفير تجربة سلسة، لكن حماية الاحتيال لم تواكب التطور. كما هو الحال مع معظم الابتكارات، يركز فرق المنتجات أولاً على الوظائف — هل يمكن للتقنية أن تؤدي ما يُفترض أن تفعله؟ تأتي الأمان والخصوصية لاحقًا، بعد أن يتم بناء التقنية، مما يخلق بيئة تبني فيها الشركات بسرعة وتصلح المشاكل بعد ذلك. هذا ينطبق بشكل خاص على الأسواق التي تحفزها السوق مثل الولايات المتحدة، حيث يُكافأ الابتكار.

لكن في المدفوعات، لهذا الترتيب عواقب، ولا يتعين أن يكون الابتكار والأمان متعارضين. يمكن استخدام مبادئ الأمان من التصميم، المدعومة بأطر الهوية الرقمية والتحقق السلوكي، لإيصال المنتجات إلى السوق بسرعة مع ضمان أن يتم بناء الخصوصية من البداية بدلاً من إضافتها لاحقًا.

بناء الأمان في أساس المدفوعات.

تصمم فرق المنتجات تجربة مستخدم مثالية، لكن العمل لا يتوقف عند هذا الحد. تصل فرق الأمان بعد ذلك وتقول: “نحتاج إلى إضافة وقاية من الاحتيال، وفحوصات الامتثال، وضوابط الخصوصية.” هذا يعني أن الأمان يُركب بشكل رجعي حول وظيفة المدفوعات السريعة الحالية، مما يجعله أكثر تفكيرًا بعد التنفيذ منه كدفاع أساسي. النهج الأفضل يقلب هذا الترتيب تمامًا من خلال وضع أساس الأمان أولاً، ثم بناء كيفية نقل البيانات، وتمكين المعاملات، وتقديم الوظائف التجارية فوقه. يضمن ذلك أن كل عملية دفع تعتمد على إطار آمن من البداية.

عندما يكون الأمان أساسياً، يساعد ذلك على تسريع الابتكارات في المدفوعات. على سبيل المثال، يكون الحصول على الموافقة التنظيمية أسرع، ويزداد ثقة العملاء بسرعة لأن المنتج صُمم مع حماية المستخدمين في الاعتبار، وتظل تكاليف الاحتيال منخفضة من خلال منع المشاكل. كما يمكن لفرق الهندسة قضاء وقت أقل في إصلاح الثغرات الأمنية والمزيد في بناء وظائف المدفوعات التي تساعد على تحريك الأموال بشكل أسرع.

يتفق المنظمون عالميًا أيضًا على أن هذا هو النهج الأفضل. تمتلك أوروبا الإطار الأكثر تقدمًا مع محافظ الهوية الرقمية التي تعدل مستويات الأمان بناءً على مخاطر المعاملة، مع تقليل العوائق للتفاعلات منخفضة المخاطر والتحقق الأقوى عند الحاجة. تتبع الولايات المتحدة مسارًا مشابهًا، حيث تطبق متطلبات الامتثال المصرفي التقليدية مثل معرفة عميلك (KYC) ومكافحة غسيل الأموال (AML) على مزودي خدمات الدفع.

الهوية تخص الفرد، وليس المزود.

عندما يحتاج شخص ما إلى الوصول إلى حسابه البنكي أو تطبيق دفع نظير لنظير، يقدم بيانات تسجيل الدخول، وإذا كانت متاحة، يتم التحقق من الهوية عبر عاملين من خلال رمز يُرسل إلى بريده الإلكتروني أو هاتفه. لكل منصة متطلباتها الخاصة، مثل عنوان البريد الإلكتروني، واسم المستخدم، وكلمة المرور. هذا يعني أنه لكل نظام يستخدمه الشخص، يتم التحقق من هويته على أساس الحساب وليس تمثيله الحقيقي للشخص نفسه.

كان ذلك فعالًا عندما كانت الأموال تظل داخل مؤسسة واحدة، لكنه يتعطل عندما تحتاج الأموال إلى التحرك بحرية. بدلاً من إنشاء هوية على أساس مؤسسة بمفردها، تقدم الهوية الرقمية نهجًا جديدًا، حيث تعمل كمحفظة رقمية يحتفظ بها المستخدم النهائي يمكنها منح الوصول إلى كل مؤسسة. في هذا النموذج، يحتفظ المستخدم بهويته الخاصة، وليس الشركة أو المؤسسة.

تقدم محفظة الهوية الرقمية الأوروبية نظرة مبكرة على كيفية تطبيق ذلك عمليًا، حيث يحتفظ المستخدم بالهوية ثم يعرضها بشكل انتقائي للبنوك والشركات المالية عند الحاجة. من غير المحتمل أن تكرر الولايات المتحدة ذلك مباشرة، لكن المبادئ الأساسية تشكل بالفعل جزءًا من الحوار حول بيانات الاعتماد التي يحتفظ بها المستخدمون وKYC القابلة لإعادة الاستخدام. مع هذه الأطر، يمكن للمستخدم إثبات “أنا فوق 21 سنة” أو “أنا مقيم في الولايات المتحدة” دون تقديم وثيقة هوية كاملة.

عندما يحمل شخص ما محفظة مادية، فمن المحتمل أن يحمل كل شيء من رخصة القيادة إلى بطاقة الخصم وبطاقة التأمين، وكل منها يخدم غرضًا مختلفًا حسب الحالة — تعمل الهوية الرقمية بنفس الطريقة. في سيناريو رقمي، يعرض المستخدم النهائي البيانات الاعتمادية المناسبة للسياق، مثل التحقق الأساسي للمعاملات ذات القيمة المنخفضة، والتحقق متعدد الطبقات للمعاملات ذات القيمة العالية، وهوية قائمة على الولاية القضائية للمعاملات عبر الحدود.

لكن لتحقيق ذلك على نطاق واسع، سيتعين أن يعمل عبر طرق تعريف رقمية مختلفة تمامًا حول العالم. ستحتاج البنية التحتية الناتجة إلى القيام بكل ذلك مع الحفاظ على الخصوصية في المركز ومعاملة KYC كبيانات اعتماد قابلة لإعادة الاستخدام بدلاً من أن تقوم كل مؤسسة بإنشائها من الصفر.

الانتقال نحو التحقق الديناميكي من الهوية باستخدام السلوكيات.

تقليديًا، اعتمدت الوقاية من الاحتيال على معلومات ثابتة تشمل الأسماء، وأرقام الحسابات، والوثائق. لكن المحتالين تعلموا كيفية تزوير هذه.

بالإضافة إلى ذلك، تقدم المدفوعات الرقمية ثغرة جديدة مع انقطاع الاتصال اللاحق. من المحتمل أن يقوم مزود الدفع بإجراء فحص KYC على الفرد عند التسجيل، ثم تظل بيانات تسجيل الدخول الخاصة به تؤكد أن المستخدم هو من يقول إنه. المشكلة أن، بمجرد بدء حركة الأموال — يختفي هذا التحقق. أرسل مزود الدفع الأموال، لكنه لا يملك رؤية إلى الطرف المستقبل.

لهذا السبب، عندما يحدث احتيال، يصبح من شبه المستحيل التحقيق بشكل فعال أو تحديد المسؤولية. بالإضافة إلى ذلك، عندما لا يستطيع العملاء الوصول إلى أموالهم ولا توجد وسيلة لاسترداد الأموال، تتدهور الثقة ويقل الاعتماد.

هنا يمكن للهوية أن تتجاوز المستندات الثابتة لتتعلم ما إذا كان الشخص شرعيًا. يفحص التحقق السلوكي كيف يتفاعل الشخص مع جهازه والمدفوعات، مثل أنماط الضغط على المفاتيح، وتحركات الماوس، وسلوك المعاملات. الطريقة التي يستخدم بها كل شخص جهازه فريدة ويمكن أن تعمل كبصمة رقمية.

باستخدام التعريف السلوكي، يمكن لمزودي الدفع اكتشاف الاحتيال دون جمع أو تخزين معلومات شخصية حساسة. بالإضافة إلى ذلك، عندما تظهر مطالبات بالاحتيال، يمكن للمحققين تتبع كامل مسار الدفع من البداية إلى النهاية، وتحديد أين وكيف حدث الاحتيال.

الغالبية العظمى مما هو مطلوب موجود بالفعل اليوم في أنظمة الوقاية من الاحتيال التقليدية. التحدي الآن هو تكييف هذه الأطر مع المدفوعات الفورية وعابرة الحدود. بالنسبة للشركات التي تبني الأساس بشكل صحيح، يتبع السرعة بشكل طبيعي.