در هفتمین نشست از سلسله¬نشست¬های تخصصی در حوزه بانکداری و پرداخت الکترونیک که با حضور دکتر روزبه ترابی، مدیرعامل شرکت داده¬کاوان توسن و دکتر نیما امیرشکاری، عضو هیات مدیره شرکت رایانه خدمات امید به عنوان میهمانان میزگرد، دکتر مهرداد خسروی به عنوان کارشناس و با اجرای دکتر هومن رضوی، به صورت لایوکست با حمایت شرکت توسن تکنو برگزار شد¬، بررسی فناوری¬های نظارتی رگ¬تگ، فرصت¬ها و موانع پیش¬رو و جایگاه آن در صنعت بانکداری و پرداخت کشور، مورد نقد و بررسی قرار گرفت. ماحصل این گفت¬وگو، پیش¬روی شماست.
• در ابتدای گفت¬وگو، لطفا بفرمایید اصلا ما چرا به رگ¬تک نیاز داریم و این فناوری¬های نظارتی چه مسائلی را می¬تواند حل کند؟
ترابی: واژه رگ¬تک نسبتا جدید است و به نظر می¬رسد از 2015 این عنوان، مطرح شده اما مفهوم آن تازگی ندارد چراکه استفاده رگولاتورها از تکنولوژی، چیز جدیدی نیست. ترند شدن رگ¬تک به بحران مالی 2008 مرتبط است. بعد از آن تعداد شرکت¬های رگ¬تک، افزایش و این مفهوم کاربرد یافت. همواره بعد از ایجاد نیاز و سپس ترند آن تکنولوژی، موجب می¬¬شود نامی برایش انتخاب شود. فکر می¬کنم در ایران هم این موضوع وجود داشته و استفاده از فناوری¬های نظارتی در گزارش¬های رگولاتوری، مسائل پول¬شویی، فرایند ارتباط رگولاتور با بانک¬ها و.... موید این ادعاست. یکی از ماموریت-های شرکت ما که حدود 10 سال پیش تاسیس شده، عملا چیزی است که در حال حاضر به آن رگ¬تک می¬گوییم. به خاطر تقابل همیشگی بین کنترل¬کننده به عنوان حافظ منافع مردم و برخی صنایع با نوع خاصی از رفتارها، نیازمند رگولاتوری هستیم. این تقابل، یک بحث قدیمی است. بدیهی است با ظهور فناوری، باید از آن در بانکداری و پرداخت استفاده کرد؛ خصوصا در ایران که صنعت بانکداری، پیشقراول استفاده از تکنولوژی است.
• آیا این نیاز در صنعت بانکداری در نزد رگولاتور نیز احساس شده و آنها هم با شما کار می¬کنند؟
ترابی: موضوع مشتریان رگ¬تک¬ها، نکته مهمی است. وقتی درباره شرکت¬های رگ¬تک صحبت می¬کنیم، یکی از شاخص-ها این است که همه فکر می¬کنند چگونه سرویس¬های جدید و حتی B2C بدهند در حالی که رگ¬تگ ماهیتا این تفاوت اساسی را دارد که مشتری¬اش بانک¬ها و حتی دولت یا بانک مرکزی است. ابتدا رگولاتور¬ها نیازمند فناوری¬های نظارتی هستند و بعد بانک¬ها. درست این است که هردو جنبه باید مدنظر باشد؛ یعنی رگ¬تگ هم به بانک¬ها کمک می¬¬کند و هم بانک مرکزی. اما آنچه موتور محرکه است، رگولاتور است.
• آقای امیرشکاری! با توجه به نظرات آقای ترابی مبنی بر اینکه نیاز به رگ¬تک¬ها، سمت رگولاتوری بوده است، شما که در رگولاتوری سابقه فعالیت دارید، آیا این نیاز را در آنجا حس می¬کنید؟
امیرشکاری: رگ¬تک، واژه جدیدی است اما کاربری آن، قدیمی است. عملا از اقتصادهای غربی به سمت ما آمده است. اتفاق اصلی این است که در چند سال اخیر، وقتی بانکداری پیچیده¬تر می¬شود، نیازهای رگولاتور نیز پیجیده¬تر می¬شود، شیوه¬های تخلفات، پول¬شویی و راه¬هایی که ممکن است نهادهای مالی برای کسب منفعت بیشتر به آن روی بیاورند، افزایش می¬یابد. آنجا که ابزارهای مالی پیچیده¬اند، کنترل آن هم پیچیده می¬شود، بنابراین رگولاتورها به نقطه¬ای می¬رسند که روش¬های سنتی و غیرمبتنی بر فناوری در مجموعه آنها، پاسخگو نیستند و ناچارند از رگ¬تک کمک بگیرند. در این رابطه، مشتریان رگ¬تک از دو جنبه قابل بررسی است: جنبه اول رگولاتورها هستند که از شرکت¬های فناوری¬محور کمک می¬گیرند تا از داده¬ها و اطلاعاتی که از نهادهای تحت نظارت آنها به دست می¬آید، تحلیل آنلاین و آفلاین داشته باشند. در همین رابطه، درحال حاضر، بانک مرکزی دارای دو اداره به نام¬های on side و off side، است که به آنلاین و آفلاین تبدیل شده؛ یعنی داده¬هایی که از حساسیت بالایی برخوردارند و باید بلافاصله پایش شوند و در صورت عدم انجام آن، ممکن است تخلفاتی صورت گیرد، از طریق رگ¬تگ¬های آنلاین باید مورد بررسی قرار گیرند. همچنین داده¬هایی که بعد از تجمیع شدن، می¬توان الگوهایی از آن استخراج کرد، به صورت آفلاین پردازش می¬شود و تخلفات خود را نشان می¬دهد و می¬تواند به درد رگولاتور بخورد. معمولا در بانک¬های مرکزی، واژه¬های ریسک و تطبیق، بسیار استفاده می¬شود. ضمن اینکه در بانکداری، لزوما همیشه تخلف صورت نمی¬گیرد بلکه ریسکی را به نظام بانکداری یا مشتری یا نهادهای دیگر تحمیل می¬کند که آن ریسک، باید پایش شود و اگر از حد و مرز خارج شد، پیشگیری لازم اتفاق بیفتد. مشتری دوم، خود بانک¬ها و نهادهای مالی هستند. زیرا باید گزارش¬های ریسک .و تطبیق خود را به بانک مرکزی ارائه کنند. حتی هیات مدیره که مسوولیت برقراری تطبیق و کاهش ریسک را برعهده دارد، باید قبل از اینکه بانک مرکزی جریمه¬اش کند، مجموعه خودش را با این فناوری¬های نظارتی مدیریت کند.
• آقای دکتر! شما که کمپانی رگ¬تگ را هدایت می¬کنید، بفرمایید مدل کسب¬وکار رگ¬تک¬ها چیست؟ به نظر می¬رسد بیشتر مبتنی بر کاهش هزینه است تا افزایش درآمد. رگ¬تگ ¬ها برای بانک¬ها و بانک مرکزی چه کاری انجام می¬دهند تا از آن کسب درآمد کنند؟
ترابی: همان طور که اشاره شد، مشتری رگ¬تک¬، هم بانک مرکزی است و هم خود بانک¬ها. برخی اوقات گزارش¬های رگ¬تک،¬ به این نهادها کمک می¬کند. مثلا اگر یک گروه ذینفع بتوانند تسهیلات بزرگی را از بانک دریافت کنند، اگر بیزینس آنها دجار ریسک شود و نتوانند پرداخت کنند، متوجه یک نفر نیست بلکه زنجیره¬ای از مشکلات ممکن است برای بانک پیش بیاید. برای همین بانک مرکزی بخشنامه¬ای دارد که هیچ بانکی بیش از درصد مشخصی، حق ارائه تسهیلات از سرمایه¬هایش به نفع یک گروه ذینفع خاص ندارد. بنابراین اینکه بانک¬ها و نهادهای مالی برای کنترل ریسک¬شان و نیز ارائه تسهیلات جدید، به گروه ذینفعی وابسته¬اند یا خیر، نیازمند رگ¬تک هستند. اکثر بخشنامه¬های دیگر بانک مرکزی نیز در خود بانک¬ها کاربرد دارند اما اینکه چقدر بانک¬ها رعایت می¬کنند، بحث دیگری است. در حوزه¬های دیگری مانند fraditection که اولین محصولی است که ما 10 سال پیش در داده¬کاوان روی آن کار کردیم، بیش از هرچیز، توجه به امنیت بیزینس بانک حائز اهمیت بوده است. حدود 7-8 سال پیش مسئله فراد کارت مهم بود که البته الان هم مهم است اما چون بانک¬ها خودشان را در مقابل این فرادها مسوول نمی¬دیدند عملا یا رگولاتور باید پیگیری می¬کرد یا مدعی¬العموم. به تدریج موضع مدعی¬العموم توانست علاقه بانک¬ها را به این موضوع جلب کند که به فرادها بیشتر توجه کنند.
همچنین درخصوص نکته¬ای که از منظر بیزینس مدل اشاره کردید، تجربیات سایر کشورها، کمک می¬کند. در کشورهای دیگر، مساله درگیرشدن شرکت¬های بیمه با تقلب است. اگر کارت¬های بانکی توسط شرکتی بیمه شود، بیمه برای کاهش هزینه خود علاقه¬مند است از هر درصدی که ریسک فراد را کاهش می¬دهد، استفاده کند و عملا مشتریِ نرم¬افزار fraditection، بیمه¬گذار خواهد بود اما در ایران هیچ¬وقت درگیر این مسئله نبودیم. ضمن اینکه در مقاطعی بانک می-توانست بگوید به من ربطی ندارد و اگر تقلبی نیز صورت می¬گرفت، بگوید خود فرد رمز را داده و بانک، مسئولیت نمی-پذیرد. در fraditection، خود بانک¬ها و خصوصا بازرسی¬های بانک به این موضوع، بسیار علاقه¬مندند. برخی فرادها خود بانک را تحت¬تاثیر قرار می¬دهند. مثلا اگر فراد روی کارت¬های هدیه یا روی منبعی که کارت¬های هدیه از آن برداشت می¬شود، اتفاق بیفتد، چون از جیب بانک می رود، اتفاقا خود بانک باید روی آن حساس شود. نکته دیگر در این زمینه، پول¬شویی است؛ حوزه¬ای که پولش تمیز نیست یا از منابع نادرست وارد شده است. اگر از منظر بانک نگاه کنیم برای بانکدار نباید چندان مهم باشد، این پول از کجا وارد می¬شود، چون باید منابع جذب کند. هرچند اگر دقیق نگاه کنیم چون ممکن است منابع بعدا به همان روش از بانک خارج شود، این موضوع باید برایش مهم باشد. با همه اینها، در درجه اول، جلوگیری از پول¬شویی چندان مورد علاقه جدی بانکدار نیست. در مجموع نهادهای بالادستی مانند وزارت اقتصاد یا بانک مرکزی علاقه¬مند به موضوع رگ¬تک¬ها یا فناوری¬های نظارتی هستند و بانک¬ها به نیابت از آنها مشتری ما می¬شوند.
• بانک ها با رگولاتورهای مختلفی مانند وزارت اقتصاد، بانک مرکزی، پلیس فتا، سازمان بازرسی و... کار می¬کنند، و حتی سهامداران آنها و نهادهای بین¬المللی نیز به نوعی رگولاتور هستند. از دید بانک¬های ایرانی، آیا هزینه¬ای که به رگولاتوری پرداخت می¬کنند، مابه¬ازای این ریسک¬ها، و یا موارد مربوط به تطبیق، زیاد است... (ادامه سوال، نویز زیاد صدا نامعلوم)
امیرشکاری: بحث، فقط هزینه نیست که به بانک تحمیل شود بلکه در حوزه¬های ریسک و پول¬شویی، ارقام بسیار بالاتر است و حتی لیسانس بانک ممکن است تحت¬تاثیر قرار بگیرد. در بسیاری موارد، بانک¬های مرکزی ابزارهای غیرمالی هم در اختیار دارند که باعث می¬شود بانک از ترس ریسک شهرت به این سمت، حرکت نکند. در ایران، متاسفانه بانک-ها به خاطر دولتی بودن¬شان دچار ریسک شهرت نیستند و پشت¬شان به دولت گرم است اما دلیل نمی¬شود که بانک¬های خصوصی که در سال¬های اخیر در عرصه رقابت حاضر شدند از این قضیه، مانند سابق بتوانند بهره¬مند شوند. متاسفانه حوزه¬ای که رگولاتور جریمه را به خوبی می¬شناسد، حوزه بازار بین¬بانکی است و بسیار کمتر در زمینه پرداخت به جرایم فراد پرداخته می¬شود. در حوزه بین¬بانکی، جریمه برای بانک¬ها 34 درصد و بسیار سنگین است و به محض تخلفات، آن مبالغ با جرایم بالا برای بانک لحاظ می¬شود اما با سیستمی که در 40 - 45 سال اخیر در بانک¬ها رایج بوده، ترسی از این جرایم نداشتند زیرا بانک¬های مرکزی و دولت کمک می¬کردند که آن میزان بدهکاری یا بخشودگی انجام شود یا به واسطه اینکه وام¬های تشریفاتی یا تخلفات اجباری بودند که خود دولت به آنها تحمیل کرده بود، خودش هم می¬بخشید یا پول چاپ می¬کرد. اینها اشتباهاتی است که نظام بانکداری ما خودش هم می¬داند. ما اشتباه، بانکداری می¬کنیم و به این راحتی رگولاتور نباید نسبت به تخلفات نظام بانکی گذشت کند. در خصوص تراکنش و پرداخت که جدیدتر از بانکداری است، طبیعتا کار با مکانیزم¬های بین¬المللی شروع، اما به تدریج انحرافاتی در آن دیده شد. این انحرافات، موجب شد ما نهایتا هم نظام کارمزدی نامناسبی داشته باشیم و هم در حوزه جرایم، چندان دردی را به بانک¬ها تحمیل نکنیم. نتیجه¬اش همین سایت¬های قمار و شرط¬بندی و درگاه¬های فیک است که عملا منافع باز بودن آن برای بانک¬ها و PSPها بسیار بیشتر از جرایم پرداختی است که باید بابت آن هزینه بدهند.
• اتفاقا به همین نکته می¬خواستم برسم که برخی مواقع استفاده از رگ¬تک ممکن است هزینه¬ بیشتری را تحمیل کند تا اینکه بانک¬ها بخواهند تخلفات را داشته باشند و جرایم آن را هم بپردازند. نکته دیگر اینکه براساس گزارش¬های جهانی در سال 2020، رگ¬تک¬های ایجادشده، بیشتر در حوزه تطبیق، مدیریت ریسک و مدیریت هویت کار می¬کنند و فقط حدود 10 درصد آنها در حوزه مانیتورینگ تراکنش کار می¬کنند اما در ایران، بازار برعکس است و رگ¬تک¬ها متمایل به دیتای تراکنش هستند در صورتی که دیتاهای مرتبط با تطبیق مقررات، قراردادها، مالی، فرایندها، SLA و... نیز وجود دارد. آیا علت این امر، نداشتن بازار جذاب در این حوزه هاست.
ترابی: قبل از پاسخ به این سوال، می¬خواستم عرض کنم جایی که دکتر امیرشکاری صحبت¬شان را تمام کردند، بسیار مهم بود. جمع¬بندی شما این بود که هزینه استفاده از رگ¬تک¬ها از جریمه¬ کمتر است اما منظور آقای دکتر بالاتر از این بود. رگ¬تک¬ها خدماتی ارائه می¬کنند که بانک یا موسسه تمایلی به دریافت آن ندارد و حتی برایش مضر است. اصلا بحث هزینه نیست. درآمدی که مولفه¬های درگیر، از تراکنش¬های قمار و... دارند، بیشتر است تا اینکه بخواهند آن را قطع کنند، تنها چیزی که موجب می¬شود به سمت قطع آن بروند، نظارت رگولاتوری است. رگ¬تک عملا محبوب هیچ¬کس نیست! بیشتر خدمات شرکت¬های رگ¬تک، موی دماغ همه است و اگر کسی مجبور نباشد، شاید علاقه چندانی به استفاده از آن نباشد. اینکه ما بتوانیم اینها را با هم همگرا کنیم، هنر مهمی است. اما درباره اینکه چرا در ایران رگ¬تک¬ها بیشتر متمایل به حوزه تراکنش هستند، دلیل اصلی آن یکپارچه نبودن رویه¬ها و عدم وضوح قوانین ست. شاید جایی که تکنولوژی همگام با آن بخش وارد شده، بتوانیم رویه¬های تکنولوژیک را وارد حوزه تطبیق کنیم اما در اشکال سنتی¬تر بانکداری، این موضوع، بسیار پیچیده است و نیاز به ساختارهایی داریم که رویه¬های تطبیق در آنها پیاده¬سازی شود. البته ما در شرکت خودمان، سعی کردیم از طریق برخی محصولات رویه¬های داخلی سازمان¬ها را پوشش دهیم. درباره علت عدم ورود رگ-تک¬ها به حوزه مقررات و...، نمونه¬های ساده¬تری نیز وجود دارد مانند بخشنامه¬های جدید و متعدد که بانک مرکزی ابلاغ می¬کند و بعضا خودش هم نمی¬داند چه می خواهد! نتیجه اینکه هرکس به طور سلیقه¬ای و به فراخور حالش پاسخ می¬دهد.
امیرشکاری: دنیای تراکنش پاکیزه¬تر است، چون لایو، جدید و استاندارد است. بنابراین رگولاتوری این حوزه به راحتی می¬تواند از طریق فناوری روی این ابزارها، سوار شود. ضمنا چون بیزینس مدل آن، بسیار واضح است، محاسبه منفعت و ضرر آن به راحتی قابل فرموله کردن است اما اگر بیزینس¬های سنتی بانک¬ها را ملاحظه کنید، نه داده¬های آنها تمیز است و نه مدل بیزینس شفافی دارد و معلوم نیست حتی اگر تخلفات آن استخراج شود، چه مزیت¬هایی خواهد داشت. نکته دیگر اینکه ما در کشوری با اقوام و آشنایانی در شهر و روستاهای مختلف زندگی می¬کنیم که از قدیم بانک¬ها و شعبه¬های زیادی با ماهیت فامیلی در آنها، تاسیس شده و بدون KYC و بدون احراز هویت درست برای آنها افتتاح حساب صورت گرفته و بعد مشخص شده که اصلا طرف وجود خارجی نداشته و حتی اگر پیدا شود، کاری نمی¬شود کرد. بنابراین این داده¬های کثیف، به مراتب پیچیدگی ابزارهای رگ¬تک را بیشتر می¬کند. حالا فکر می¬کنید اگر پاکسازی هم انجام شود، چقدر این کاهش تخلفات می¬تواند به سود بینجامد؟!
• آقای دکتر خسروی هم به عنوان کارشناس میزگرد، در این گفت¬وگو حضور دارند. لطفا نظرتان را درباره بازار رگ-تک در ایران، شرکت¬های فعال و چالش¬های پیش روی آن بفرمایید.
(توضیح: در پاسخ سوال زیر، قسمت قرمز، آمار مجموع اعلام¬شده با آمار هر آیتم، مطابق نیست. مجموع آمار، 352 اپلیکیشن رگ¬تک ذکر شده اما جمع اعداد به تفکیک، 362 مورد می¬شود. لطفا اصلاح نهایی لحاظ گردد. اعداد ارائه-شده در متن از اظهارات آقای خسروی به درستی پیاده ¬شده است. احتمالا عدد مجموع، باید به 362 تغییر یابد.)
خسروی: اجازه بدهید موضوع را از دو جنبه دیگر هم نگاه کنیم: رگ¬تک خارج از ایران و داخل ایران. بحران سال 2008 آمریکا بیش از 43 تریلیون دلار بدهی داشت که سهم هر آمریکایی حدود 40 هزار دلار بود. از این رو به این باور رسیدند که اگر قوانین رگولاتوری قوی¬تری داشتند، شاید این بحران ایجاد نمی¬شد. قوانین رگولاتوری در سال 2008 در آمریکا، حدود کتابِ 8000 صفحه¬ای بود که در سال 2016 به حدود 16000 صفحه رسید. اگر آمار 2020 را ملاحظه کنید در پنج حوزه رگ¬تک، تقریبا 352 اپلیکیشن یا زیرساخت موفق رگ¬تک داشتیم. در حوزه گزارش رگولاتوری 50 اپلیکیشن موفق، در حوزه مدیریت ریسک 50 مورد، مدیریت هویت 85 مورد، تطبیق 146 مورد و مانیتورینگ تراکنش 31 مورد. این آمار، نشان می¬دهد جامعه بانکداری بین¬المللی در حوزه رگ¬تک به چه موضوعاتی نگاه می¬کنند و ما در ایران به چه موضوعاتی توجه می¬کنیم. در جهان، عمدتا بحث تطبیق و مدیریت ریسک مطرح است؛ یعنی چیزهایی که حدود کسب¬وکار بانک¬ها و صنعت بانکداری را تحت¬تاثیر قرار می¬دهد اما در ایران به دنبال مانیتور کردن تراکنش هستند. علتش این است که بحث رگ¬تک، داده¬محور است و هرقدر داده، سهل¬الوصول¬تر باشد و راحت¬تر با آن داده¬کاوی انجام شود، راحت¬تر هم به سمت آن می¬رود و قوانین آن نیز در دنیا، مشخص و شفاف است. هرجا داده سخت¬تر به دست بیاید، کار کردن با آن سخت¬تر است. به همین دلیل، ایران به سمت مانیتورینگ تراکنش می¬رود. یکی از معضلات اساسی ما در صنعت بانکداری ایران، موضوع KYC یا شناسایی مشتریان است. معضل دیگر اینکه ما دیتاها را به طور منطقی جمع¬آوری نمی¬کنیم و دیتاسورس¬ها متنوع هستند، بنابراین داده¬کاوی و انجام رگولاتوری روی آن سخت است. اما بحث مهم درباره رگ¬تک¬ها، آینده آنهاست و اگر بپذیریم رگ¬تک، مبتنی بر داده است، استفاده از معماری¬های جدید مانند NLP، Machin learning، یا حتی بلاک¬چین در آینده رگ¬تک حائز اهمیت است. نکته دیگر اینکه سبک بانکداری ایران با دنیا متفاوت است. ما دنبال تجهیز منابع هستیم اما دنیا به دنبال صرف منابع است. بنابراین نوع نگاه رگولاتوری ما نیز با دنیا متفاوت است. رگولاتور در پی این است که اگر بانک دچار ریسک نقدینگی شد، چطور اضافه برداشت را پوشش دهد یا در حوزه ریسک اعتباری قوانین سخت¬گیرانه بگذارد اما درباره اینکه چگونه تجهیز را انجام دهیم، عمدتا قوانینی نداریم.
ضمنا من دو سوال نیز دارم. سوال اول را از دکتر ترابی به عنوان فعال رگ¬تگ می پرسم. با توجه به اینکه زیرساخت فعلی بانکداری و جمع¬آوری داده در ایران، بسیار کهنه است و از طرفی، الزامات جدیدی که بانک مرکزی اضافه می¬کند، بسیار داده¬محور و تکنیکال است، راهکار چیست؟ و سوال دوم از آقای امیرشکاری است. می¬خواهم نظر ایشان را درباره تکنولوژی¬های نوین مثل بلاک¬چین و الگوریتم¬های Machine learning در رگ¬تک بدانم. همچنین به عنوان کسی که در واحد R&D بانک مرکزی فعالیت دارید، آیا پیش¬بینی می¬کنید رگ¬تک، در ایران تبدیل به صنعت خواهد شد یا در حد گزارش¬گیری برای رگولاتور باقی می¬ماند؟
(توضیح: پاراگراف بالا، سوالات کارشناس از میهمانان و بخشی از صحبت¬های وی است، به همین دلیل BOLD نشده است.)
ترابی: اول چند نکته را عرض کنم. ما هم در ایران، بحران موسسات مالی را داشته¬ایم اما برخلاف آمریکا، نمی¬دانیم سهم هر ایرانی از آن بحران چقدر است. واقعیت این است که ما حتی در اطلاع¬رسانی و آماده¬سازی افکار عمومی ناموفق هستیم. ما عقب¬تر از این هستیم که به رگولاتور یا نهادهای مالی بگوییم رگ¬تک لازم است یا خیر. حتی افکار عمومی نمی¬داند این موضوع، چه مشکلاتی می¬تواند ایجاد کند. در بحران کرونا، همه بورس¬های دنیا 30 -40 درصد افت می¬کنند اما شاخص بورس ما افزایش می¬یابد. مطمئنا وظیفه رگولاتور این حوزه است که بگوید اگر روزی مساله¬ای رخ داد، توقع نداشته باشید، دولت وارد شود. نکته اصلی این است که گروه¬های مختلف در این قضیه نقش دارند تا نقدینگی را جذب کنند اما اینکه رگولاتور، وظیفه¬اش چیست، موضوع دیگری است. قبلا ما سودهای بالاتر بانکی را داشتیم که رگولاتوری بانک مرکزی وارد شد و سود زیاد را نظارت کرد. ما فرهنگ اینکه که کسی باید این وضعیت را کنترل کند، نداریم و حتی رگولاتور نمی¬داند باید وظیفه¬اش را انجام دهد. نکته دیگر، اتفاقی است که اکنون در نسل جدید رگ¬تک¬ها افتاده و بیش از آنکه تمرکز روی KYC باشد، تاکید بر روی دیتاست. یعنی می¬توانیم از دیتاها استفاده کنیم. حتی در بحث تطبیق، آینده رگ-تک¬ها به همین سمت می¬رود. ما نیز در شرکت داده¬کاوان رویکرد داده¬محور را جلو می¬بریم که البته با مشکلات زیادی از جمله زیرساخت¬های کهنه و داده¬های غیرتمیز سروکار داریم. با این حال ما حتی داشته¬های فعلی را هم درست استفاده نمی¬کنیم. یادم هست حدود پنج شش سال پیش خدمات زیرساختی که در حوزه AML یا همان پول¬شویی در بانک¬ها ایجاد کرده بودیم، به دکتر امیرشکاری و دو نفر از بزرگان پژوهشکده پولی و بانکی، ارائه دادم. دوستان، کاملا هیجان¬زده شده بودند و می¬پرسیدند آیا واقعا می¬شود چنین کاری انجام داد؟ مشکل اینجاست که ما با وجود همه معضلات، اقداماتی انجام داده¬ایم که نمی¬توانیم استفاده کنیم و سازوکار آن را نداریم. اول باید از داشته¬ها استفاده کنیم و سپس گام¬های بعدی را برداریم.
امیرشکاری: به نظر من، حضور فناوری¬های جدید در رگ¬تک اتفاق می¬افتد اما بیش از هر چیز، این صنعت نیازمند اشتراک¬گذاری داده¬ها و قوانین خاص رگ¬تک¬هاست. یعنی باید بدانیم چارچوب¬های رگ¬تک¬ها تا کجا حق دارد در دیتاهای مردم ورود پیدا کند. در حال حاضر، شرکت¬های حاکمیتی مانند سازمان مالیاتی، خدمات انفورماتیک و بانک مرکزی دسترسی عمیقی به دیتاها دارند اما مالکیت دیتاها بعضا از نظر قانونی موردسوال است. معلوم نیست آیا شرکت خدمات، اجازه استفاده یا پیاده¬سازی برخی الگوریتم¬ها را دارد یا خیر و اگر انجام دهد، مسئولیتش با کیست؟ FIU، کالکشن خوبی از داده¬ها را جمع¬آوری کرده بود اما استفاده از آن می¬تواند حقوق شهروندی را تحت¬تاثیر قرار دهد زیرا ما و حتی دولتمردان-مان، خیلی قانون¬مدار رفتار نمی¬کنیم. کافی است چند سوء¬استفاده شخصی از حجم دیتا اتفاق بیفتد، در این صورت عملا آن دپارتمان، تکنولوژی، سازمان و... با یک اشتباه از بین می¬رود. متاسفانه این اتفاقات، رخ داده و اتفاقا به دستور مافوق هم انجام شده است. در مواردی، استفاده شخصی از دیتا صورت گرفته که این امر، حریم شخصی شهروندان و جناح¬های سیاسی را تحت¬تاثیر قرار می¬دهد. به همین دلیل، داشتن این حجم داده¬ها ترس را در سازمان¬ها ایجاد می¬کند و ممکن است حتی برای مصارف درست هم استفاده نشود. بنابراین یکی از بازدارنده¬های صنعت رگ¬تک، نبود قوانین امنیت و استفاده است. در دنیا، برای دسترسی مجاز به دیتا، قانون GDPR (حفاظت از داده¬های شخصی) تصویب می¬شود که امنیت داده شهروندان و مشتریان را به وضوح، تعیین می¬کند.
• آقای دکتر چهارلنگی هم به این گفت¬وگو پیوسته¬اند و نکاتی مدنظر دارند.
چهارلنگی: اجازه بدهید اول وضعیت¬مان را نسبت به جهان بررسی کنیم. امتیاز ایران، در سال 2018، عدد 82 است و در رتبه 75 جهان در کنار افغانستان و قزاقستان قرار داریم و در ردیف سوم مدلینگ رگولاتوری جهان هستیم؛ یعنی هنوز به ردیف دوم نرسیده¬ایم در حالی که پاکستان آن را طی کرده است. با همه اینها، بحث سرمایه¬گذاری و نوآوری در رگولاتوری را هم داریم. از آقای امیرشکاری این سوال را دارم که اگر رگولاتور درست عمل نکند و برای رگ¬تک¬ها برنامه¬ریزی نکند، آیا ما در درآمد GDP به دلیل نداشتن قوانین سلبی، بازدارنده و توسعه¬ای با مشکل مواجه نمی¬شویم؟ همه¬چیز که ریسک و تخلف نیست. آیا در حوزه درآمدزایی این کم¬کاری از طرف رگولاتور نیست و نباید قوانین بهتری را طراحی کند؟ آیا ما شرکت¬ها، در زمینه سرویس¬هایی که به فناوری بانک¬ها مربوط است، جلوتر از رگولاتور نیستیم و با موانع مواجه نبودیم؟ آیا این کم¬کاری موردپذیرش است؟
امیرشکاری: در اینجا باید یک تئوری را در زمینه نظام رگولاتوری بانکداری عرض کنم. در اقتصاد کلان و کشورهای پیشرفته، سه محور را مسوولیت¬های اصلی بانک¬های مرکزی می¬دانند. اول ثبات مالی، دوم ثبات سیاست¬های پولی و سوم توسعه و نظارت بر بازارهای پولی. بانک¬های مرکزی ما بیشتر در دو مورد اول فعالیت می¬کند اما بانک¬های مرکزی پیشرفته در قسمت سوم خیلی فعال هستند. یعنی به توسعه بازارها و ایجاد زمین بازی بیشتر توجه دارند تا اینکه به فکر بگیروببند باشند. حتی قبل از انقلاب نیز مدل سنتی ما، کشف تخلفات و مچ¬گیری بوده تا اینکه مدلی بچینیم که تخلفات، کمتر شود. این امر در نظام پلیس قضایی و فرهنگ کشور نیز دیده می¬شود که همه ما به دنبال تنبیه هستیم تا ایجاد میدان بازی برای افراد و سازمان¬ها، که همه در آن برنده باشیم. بنابراین این نظر، کاملا درست است اما فقط به رگولاتور برنمی¬گردد و تفاوت فرهنگی جهان پیشرفته با فرهنگی که به بلوغ نرسیده، همین¬جاست و انتقاد آقای چهارلنگی کاملا قابل قبول است. ما در تمام حوزه¬های رگولاتوری، نه فقط بانک مرکزی، اصلا بازی¬سازی در فضای رقابتی نمی¬کنیم بلکه موانع جدیدتری هم ایجاد می¬کنیم. این وضعیت، با یک نفر یا یک دولت یا یک رئیس جمهور یا... حل نمی¬شود. این امر، اتفاق فرهنگی است که ریشه در جنس انتصابات، سواد مدیران، تجربیات¬شان و شایسته¬سالاری آنها دارد؛ حتی در سازمان-های نیمه¬خصوصی و خصوصی. این اتفاق را باید بیشتر از جنس فرهنگی و سازمان¬داری ببینیم تا اینکه یک نهاد مانند بانک مرکزی را صرفا مسوول بدانیم که خودش هم استقلال کافی ندارد و انتصاباتش نیز به نوعی دستوری است و نه تخصصی. همه جا به این صورت است.
چهارلنگی: آقای امیرشکاری! لطفا دو چیز را تشریح بفرمایید: رگولاتوری بانک مرکزی و خدمات انفورماتیک؛ من اینها را نمی¬فهمم! و دوم اینکه پپشرفته¬ترین مدل رگولاتوری انحصار همگانی در PSPهاست که آن را نمی¬فهمم. چطور ممکن است انحصار ایجاد شود و فرد ایرانی که می¬تواند در حوزه PSP شروع به کار کند، اجازه ندارد. الان بانک مرکزی با تمام موضوعات از جمله بیزینس و توسعه فعالیت¬ها، انحصارگرایانه برخورد می¬کند.
امیرشکاری: فرمایش شما درباره انحصار، کاملا درست است و در دنیا، آن انحصاری که ما اینجا داریم، وجود ندارد و از لایسنس به چارچوب تبدیل شده است. وقتی لایسنس باشد، باید سازوکار ارائه مجوز برای آن وجود داشته باشد اما وقتی به چارچوب¬ها و قواعدی که تحت آن باید فعالیت شود، تبدیل می¬شود، انحصار همگانی به وجود می¬آید اما این ظرفیت در رگولاتوری ما وجود ندارد. ما متناسب با رشد حوزه¬های مختلف، در رگولاتوری نهادسازی نکردیم اما می¬خواهم نوید بدهم بانک مرکزی روی ظرفیت¬سازی کار می¬کند. در دوره آقای همتی، تلاش بر روی نهادسازی و ایجاد فضاهایی است که لازمه ایجاد زمین بازی است نه فقط بگیرو ببند. با توجه به اینکه آقای همتی از بخش خصوصی آمده و از حوزه بانک¬ها اطلاع کامل دارند، دیدگاه¬های¬شان با قبلی¬ها متفاوت است و پروژه¬هایی که شروع کردند، بیانگر این موضوع است اما اینکه پروژه¬ها با توجه به فرهنگ سازمانی ما چقدر به طول بینجامد، نمی¬دانم. تفکر ایشان مبتنی بر این است که قسمت سوم رگولاتوری یعنی بازی¬سازی، تقویت شود، قواعد تخلفات، به طور شفاف مطرح گردد و بخش خصوصی بتواند بازی بیشتری در این فضاها داشته باشد.
• آقای دکتر ترابی! تا اینجا تمرکز ما روی این موضوع بود که نظارت بر روی فناوری بدون فناوری ممکن نیست و اینکه رگ¬تک می¬تواند در زمینه نظارت بر اجرای قوانین کمک کند اما می¬خواهم بپرسم نقش رگ¬تک در تنظیم مقررات و وضع قوانین جدید خصوصا در حوزه فناوری¬های نوین چیست؟ مثلا اگر بانک مرکزی بخواهد نظام کارمزد، کیف پول، OTP و... را متحول کند، نمی¬تواند آن را با یک مدولاتور یا فضای سندباکس، شبیه¬سازی و اثرات تصمیمات را قبل از اجرا، تست کند؟ روش رگولاتوری ما چگونه است و چقدر از سندباکس و سیمولاتورها استفاده می¬کند و رگ¬تک چه کمکی می¬تواند بکند؟
ترابی: فکر می¬کنم پاسخ، در خود سوال مطرح شد و من جز تایید کردن، پاسخی ندارم. واضح است که می¬توان این کار را انجام داد. اگر به دنیا نگاه کنیم، یکی از مشخصات نسل جدید رگ¬تک، همین سندباکس و شبیه¬سازی است اما واقعیت این است که تا تحقق آن خیلی فاصله داریم و سازوکار اجرایی در این زمینه نمی¬بینم. چون بین اعتماد به رگ¬تک¬ها و این موارد، فاصله است، انحصار وجود دارد، نگاه انحصارگرایانه وجود دارد، عدم ثبات نگاه نظارتی وجود دارد و حتی در یک قدم عقب¬تر باید گفت مشکل یکپارچه¬سازی وجود دارد؛ حتی احساس می شود این اتاق بانک مرکزی از اتاق دیگرش اطلاع ندارد! چه برسد به اینکه انتظار داشتیم متولی¬ای باشد که توانایی¬ها را در جامعه، شناسایی و به آن اعتماد کند. نکته دیگر اینکه ما آن قدر که از رگولاتوری بانک¬ها، توقع داریم از بقیه جامعه یعنی سایر سازمان¬هایی که باید در کلیتِ رگولیشن نقش داشته باشند، انتظار نداریم. مثلا آیین نامه اجرایی ماده 14 الحاقیه قانون مبارزه با پولشویی، 22 مهر 98، از بانک مرکزی خواسته، امکان شناسایی روابط وجود داشته باشد در حالی که ثبت احوال، دیتابیس اطلاعات را روزانه اعلام می کند، وزارت بهداشت و وزارت ارتباطات نیز در حوزه دیتا ورود می¬کنند، اما ما فشار را به بانک¬ها می آوریم. باید دیدگاه را به سمت کلان ببریم. فقط بانک¬ها نیستند و اینکه کسی رگ¬تک¬ها را بازی نمی¬دهد، بحث فرهنگی دارد.
• در جایی از رگ¬تک انتظار داریم روی قوانین نظارت کند و در جای دیگر، تقنین و قانون¬گذاری و مواقعی هم تنقیح قانون مطرح است. مثلا در یک بانک بزرگ، ساختار به گونه¬ای است که کمیته¬ها و معاونت¬های متعدد وجود دارد که مصوبات¬شان، متضاد و نیازمند تنقیح است. در مجلس هم کمیته تنقیح داریم. ظاهرا اینجا هم بازاری است که می تواند به تنقیح بپردازد. آقای امیرشکاری! شما که در پژوهشکده پولی فعالیت کردید، بفرمایید چرا سندباکس ایجاد نشد و چرا از ظرفیت رگ¬تک¬ها برای تقنین و تنقیح قوانین استفاده نشده است؟
امیرشکاری: اجازه بدهید ابتدا جایگاه پژوهشکده را توضیح دهم. جایگاهش این است که R&D بانک مرکزی باشد و مطالعات در آن صورت گیرد و ترندهای روز در آن پایش شود و افرادی آن را به صورت خوراک به تصمیم¬گیران بانک مرکزی تزریق کنند. بنابراین R&D هم هزینه¬های خود را دارد و در دنیای مدرن، سازمان¬هایی که می¬خواهند R&D آنها پیشرفت کند، حتی بین دو تا سه درصد درآمد خود را به آن اختصاص می¬دهند. شما این عدد را با بودجه یک میلیاردی پژوهشکده مقایسه کنید. در وهله اول، ببینید چه افرادی با چه میزان حقوق می¬توانند در آنجا به کار گرفته شوند. در وهله دوم ببینید چقدر درخواست از سوی بانک مرکزی برای دریافت دانش روز از پژوهشکده وجود دارد. بانک مرکزی در دوره¬هایی که اعتقاد به پژوهش داشت، اولویت¬های پژوهشی را تعریف و به افراد ارسال می¬کرد تا تحلیل و مدل¬سازی کنند. سپس به بانک مرکزی اعلام می¬کردند. در وهله سوم، ببینید چه میزان از خروجی این پژوهش¬ها استفاده می¬شود. واقعیت این است که مدیران کشور ما چندان اعتقادی به پژوهش ندارند و در حوزه فناوری حتی یک پروژه برای گروه بانکداری الکترونیک پژوهشکده ارائه نشده. البته پیشنهاد از طرف خود ما کم نبوده، اما بانک مرکزی هرگز احساس نیاز نکرده که از دانش پژوهشی استفاده کند. بخش دیگر به بودجه¬های پژوهشکده برای تشکیل کارگروه¬های قوی برمی¬گردد. خاطرم هست زمانی که آقای دیواندری، مدیریت آنجا را برعهده گرفتند، دوستانی را از همکاران قوی بانک ملت برای کمک وارد کردند، همان تیم¬ها و افراد قدرتمند کارگروهی را تشکیل دادند تا پروژه¬هایی را از جمله در حوزه رگ¬تک انجام دهند. به محض اینکه پژوهش، وارد حوزه¬های عملیاتی و نیازمند پیمانکار بیرونی و بودجه و... ¬شد و دوستان بانک ملت، بودجه¬ها را ملاحظه کردند، زمین بازی را ترک کرده و به بانک ملت برگشتند. آنها متوجه شدند که نمی¬توانند وارد فضای پژوهشی جدی شوند. آدم¬های بزرگ، امکانات بزرگ می¬خواهند. در مجموع، امکانات، افراد، متخصصان و سفارش¬های بانک مرکزی، منجر به عدم بهره¬وری یک نهاد پژوهشی در نظام تصمیم¬گیری می¬شود.
اما درباره رگ¬تک، باید عرض کنم بانک مرکزی، جایگاه دوم مشتریان رگ¬تک است و جایگاه اول را باید به نهادهای مالی، بانک¬ها و فین¬تک¬ها داد. بانک مرکزی به تازگی پروژه سندباکس را کلید زده و به عنوان تعریف پروژ¬ه¬های خود در سال جاری قرار داده است. اما اینکه در چه ابعادی ایجاد شود و فقط نظام پرداخت در سندباکس آورده شود و یا لن¬تک-ها هم در سندباکس می¬آید یا خیر و یا وسعت آن به اینشورتک¬ (فناوری¬های بیمه) نیز می¬رسد یا نه و اینکه کجا این فضا می¬تواند بزرگ شود، مباحثی است که نیازمند گذشت زمان و مشاهده حصول نتیجه آن است.
• خب، اشاره¬ای به استارتاپ¬های فین تک و رگ¬تک شد و اینکه توصیه می شود در مرحله اول، رگولاتور را مشتری قرار ندهند. سوال مهم دیگری در اینجا مطرح است. برای شکل¬گیری استارتاپ رگ¬تک، قاعدتا منابع انسانی مهم¬ترین چیز است. اگر تعدادی متخصص و دانشجوی AI (هوش مصنوعی) وMachin learning، یک فین¬تک در حوزه رگ¬تک شکل دهند، بازار هدف¬شان را باید کجا قرار بدهند؟ مدل کسب¬وکارشان باید چگونه باشد؟ مدل تامین سرمایه و نحوه شتاب¬دهی¬شان را چگونه باید شکل دهند؟ آیا باید با بانک¬ها مشارکت کنند یا سرمایه شخصی باشد؟ اصلا رگ¬تک، بیزینس سوددهی هست که یک استارتاپ با آن پتانسیل¬های انسانی روی آن تمرکز کند یا خیر؟
(قسمتی از پاسخ این سوال، پر از نویز و نامفهوم بود)
ترابی: سوال سختی است. وقتی آقای دکتر مطرح می¬کردند که بانک مرکزی، مشتری اول نباشد به تجربه خودمان فکر می¬کردم. خیلی کار سختی است که ماموریت شرکت خودتان را فقط رگ¬تک بگذارید. مواردی شرکت ما پیشروی داشته که مثلا نرم¬افزار AML فورسِ بانک مرکزی بوده تا بانک¬ها به طور اتوماتیک کفایت سرمایه را محاسبه کنند. این امر، موجب شده ما وارد موضوع شویم در حالی که خود بانک، چنین دغدغه¬ای را در درجه اول ندارد و نهاد دیگری، بانک را مجبور می¬کند. فعالان این حوزه، باید خود را به بیزینس بانک وصل کنند. بیزنیس بانک با آنچه رگ¬تک می¬نامیم، متفاوت است. در بیمه، وضع بهتر است. چون در بیزینس اصلی، با کنترل¬هایی که انجام می¬شود، می¬تواند به آن کمک کند اما بنده بدون نگاه به بانک مرکزی قادر نیستم فعالیت را پیش ببرم، البته شاید سایر استارتاپ¬ها قادر باشند.
امیرشکاری: فکر می¬کنم یک سوءتفاهم رخ داده است. من عرض کردم مشتریانِ لایه اول، بانک¬ها باشند. قطعا یانک مرکزی باید قبلا رگولیشنی ایجاد کرده باشد که بعدا بانک¬ها از ابزارها و فناوری¬ها برای تطبیق با آن استفاده کنند. منظور این بود که بانک مرکزی مشتری اول نیست. قدم اول با رگولاتور است و تا زمانی که نباشد، ابزار رگ¬تک ایجاد نمی-شود.
• بین بانک¬ها و مشتریانش، فراهم کنندگان سرویس¬ها و شرکت¬های اقماری اش، هم رگولیشن است و هم SLA و نظایر آن. به نظر می رسد اگر یک رگ¬تک در بانک کار می¬کند، و دیتا را گرفته، ETL کرده و ساختار دیتا را شناسایی کرده باشد، شاید بتواند در آن فضاها نیز به بانک، سرویس بدهد. من به این قائل نیستم که رگ¬تک فقط بین رگولاتور و بانک هست. نظرتان درباره این بازار چیست؟ و جمع¬بندی¬تان را هم از مباحث بفرمایید.
ترابی: اینکه نام این اقدامات را رگ¬تک بگذاریم، بحث متنوع می¬شود. من فکر می¬کنم وقتی از رگ تک¬ در تعریف وسیع-تر استفاده کنیم، بسیاری پروژه¬های متفاوت را شامل می¬شود و هرکس با نگاه خودش می¬تواند موضوع را تعریف کند. رگ¬تک بودن خودش به تنهایی یک حسن نیست که من با افتخار بگویم رگ¬تک هستم. کاری که رگ¬تک با تکنولوژی¬های جدید انجام می¬دهد، حوزه وسیعی را شامل می¬شود و بهتر است رگ¬تک را به همان موضوعات، محدود کنیم. ضمن اینکه در جمع¬بندی می¬خواهم دوباره روی نقش دیتامحوربودن در رگ¬تک تاکید کنم. در واقع، در بیشتر بحث¬های ما به عنوان رگ¬تک، پیدا کردن الگو از روی داده¬ها، نقش اصلی را دارد. در این زمینه مثال¬های زیادی می¬توان ارائه کرد از کشف تقلب گرفته تا نظایر آن.
امیرشکاری: برای مشاهده تفاوت بانک مرکزی بعد از حضور دکتر همتی با گذشته، می¬توان به مشارکت¬ و تعامل بانک-ها، PSPها و فین¬تک¬ها باکارگروه¬های مصوب هیات عامل بانک مرکزی اشاره کرد که بیانگر رویکرد بازگشایی فضا برای حضور تمام بازیگران صنعت پولی و بانکی و پرداخت است. بانک مرکزی از طریق مذاکرات و مکاتبات، به منظور ایجاد رگولیشنِ بهتر تلاش می¬کند در حالی که در گذشته، کمتر به فعالان صنعت توجه می¬شد. با این اقدامات، امیدواریم در آینده رگولیشن بهتری داشته باشیم و از بخشنامه¬های موردی، یکشبه و تنبیهی که در بانک مرکزی قبلی سراغ داشتیم، جلوگیری کنیم. این اقدامات، برمبنای الگوهای بین¬المللی یک قدم رو به جلو به سمت مدرن¬سازی و شفافیت بانک مرکزی است و اتفاقا جزء پروژه¬های سال جاری است.
خسروی: ما با تعدد قانون¬گذار و تعدد قانون مواجه هستیم که البته فقط مختص ایران نیست. به طور متوسط روزانه 201 هشدار مقرراتی در صنعت بانکداری در خارج از ایران داریم که توسط 750 قانون¬گذار اعم از بخش خصوصی و یا وابسته به نهادهای مالی بین¬المللی منتشر می¬شود و در ایران هم طبیعی است. اگر باورمان این باشد که رگ¬تک یکی از زیرشاخه¬های فین¬تک¬هاست و ابزار پیاده¬سازی رگولاتور نیست؛ یعنی به عنوان صنعت به رگ¬تک نگاه کنیم، مسلما موفق-تر خواهیم بود. مثلا یکی از مهم¬ترین موضوعاتی که بانک¬ها با آن مواجه هستند، بحث حاکمیت شرکتی است که دستورالعملش ارائه شده اما نامفهوم است و با ساختار بانکداری ما مطابقت ندارد و عملا تجربه کمیته بال است. یک نمونه دیگر اینکه عملا نظام بانکداری مبتنی بر شعبه در ایران یک نظام بانکداری زیان¬ده است و باید از بانکداری سنتی خارج شویم. در این رابطه این سوال مطرح می¬شود که آیا در فناوری، ضعف داریم یا اینکه رگولاتوری، قوانین شناسایی مشتریان، بانکداری دیجیتال، بانکداری باز و... دست بانک¬ها را بسته است. در مجموع می¬توان از رگ¬تک به عنوان بازوی کمک به رگولاتور و صنعت بانکی نام برد که با استفاده از فضای دیجیتال و حوزه فناوری، روابط آنها را نزدیک، فرایندها را تسهیل و خلاهای موجود را پر می¬کند.