حدد بنك الكويت المركزي 5 ضوابط بشأن تعديل وتحديث أرقام هواتف عملاء البنوك لتلافي أوجه قصور وثغرات لدى بعض البنوك تتيح لغير المخولين تغيير رقم الهاتف وتسلُّم الشفرات السرية الخاصة بالعملاء.
وقال «المركزي» في تعميم للبنوك حصلت القبس على نسخة منه: «إنه في ضوء تطور وسائل الدفع التي أصبحت تعتمد بشكل أساسي على جهاز الهاتف الذكي، وقيام البنوك على أثر ذلك بتطوير أنظمتها الآلية لقبول وتنفيذ عمليات الدفع المختلفة المرتبطة باستخدامات عملائها، التي أصبح تنفيذها يعتمد بشكل رئيسي على رقم هاتف العميل المسجل لديها للتحقق من هويته، وذلك عن طريق إرسال شفرة سرية متغيرة OTP على رقم الهاتف النقال المسجل لديها من أجل قبول أو رفض تنفيذ العملية بعد إدخال ذلك الرقم في عمليات الدفع التي تتم عن طريق شبكة الإنترنت، وكذلك إبلاغهم عن عمليات السحب والإيداع التي تتم على حساباتهم وفقاً لتوجيهات بنك الكويت المركزي في هذا الخصوص.
وبالرغم من أن التعامل مع الشفرة السرية المتغيرة OTP المرسلة من البنوك إلى أرقام هواتف عملائها المسجلين لديها، قد أثبتت فعاليتها وقللت المخاطر المرتبطة بالعمليات التي يتم تنفيذها من قبل عملاء البنوك على شبكة الإنترنت، فإنه لا تزال هناك مخاطر مرتبطة بآلية تحديث وتعديل أرقام الهاتف الشخصي المسجل لديها لهؤلاء العملاء.
وفي هذا الصدد، وبناء على التنسيق الذي تم مع ممثلي البنوك في هذا الشأن من خلال اتحاد مصارف الكويت، وتبادل الرسائل عبر البريد الإلكتروني بتاريخي 18 و2018/10/23، التي تضمنت قائمة بردود البنوك حول آلية تحديث وتعديل رقم الهاتف الشخصي الخاص بعملاء كل بنك، وفي ضوء ما تبين لنا من قصور وثغرات لدى بعض البنوك قد تتيح لغير المخولين تغيير رقم الهاتف وتسلُّم الشفرات السرية الخاصة بالعملاء، للتعامل على حساباتهم، لذا فإن الأمر يتطلب ضرورة الالتزام بمجموعة من الضوابط بشأن تعديل وتحديث رقم الهاتف الشخصي لعملاء البنوك. وتتمثل هذه الضوابط كحد أدنى فيما يلي:
1 – أن يتم قبول تعديل وتحديث الهاتف الشخصي للعميل لدى زيارته الفرع بشرط ان يتم التعديل من قبل موظفين اثنين وبما يحقق الفصل في المهام (الرقابة الثنائية) لاتمام تلك العملية.
2 – عدم قبول التحديث عن طريق الخدمة الهاتفية لديكم باستثناء خدمة التفاعل الصوتي IVR، وذلك بعد التأكد من ادخال الرقم السري المعرَّف لدى مصرفكم الذي يتعين الحصول عليه بطريقة آمنة وقت إنشائه، إضافة إلى إدخال شفرة سرية متغيرة OTP تصل إلى رقم هاتف العميل المسجل لديكم مسبقاً، ومن ثم قبوله لتنفيذ التعديل وإضافة الرقم الجديد.
3 – بالنسبة للتحديث عن طريق تطبيق الهاتف النقال المعرف مسبقاً في الأنظمة الآلية الخاصة بمصرفكم، فإن تحديث أو تعديل الهاتف الشخصي للعميل يجب ان يتم من خلال قيام العميل بتسلُّم شفرة سرية متغيرة OTP على رقم هاتفه المسجل لديكم.
4 – بالنسبة للتحديث عن طريق تطبيق الهاتف النقال غير المعرف مسبقاً في الأنظمة الآلية لديكم أو عن طريق الموقع الإلكتروني للبنك باستخدام الحاسب الشخصي، فإن تحديث أو تعديل الهاتف الشخصي للعميل يجب ان يتم من خلال تطبيق معايير الدخول المزدوج وقيام العميل بتسلم شفرة سرية متغيرة OTP على رقم هاتفه المسجل لديكم.
5 – كذلك في الحال عند اتاحة تعديل الهاتف من خلال أجهزة الصرف الآلية الخاصة بالبنك، الذي يتطلب ان يتم ارسال شفرة سرية متغيرة OTP إلى رقم هاتف العميل المسجل لدى مصرفكم مسبقاً، ومن ثم يقوم العميل بإدخال الشفرة، ليتم تعديل الهاتف الشخصي بعد ذلك
