تطبیق نام کاربر و IBAN قبل از انتقال پول: VoP در SEPA چگونه کار می‌کند؟

سرعت انتقال پول با گسترش پرداخت‌های مبتنی بر حساب در اروپا، به‌طور محسوسی، افزایش یافته، اما هم‌زمان ریسک خطا و کلاهبرداری نیز شکل تازه‌ای به خود گرفته است. در بسیاری از انتقال‌های بانکی مبتنی بر IBAN کاربر فقط با واردکردن نام گیرنده و شماره حساب پرداخت را نهایی می‌کند، بدون آنکه پیش از اجرا، صحت این اطلاعات به‌صورت سیستمی بررسی شود. این ساختار سال‌ها در پرداخت‌های کند قابل‌تحمل بود، اما با فراگیرشدن پرداخت‌های آنی و انتقال‌های بی‌وقفه به یکی از نقاط ضعف جدی اکوسیستم بانکی تبدیل شد. 

خطاهای ساده تایپی یا سناریوهای مهندسی اجتماعی در چنین وضعیتی می‌توانند به انتقال‌های غیرقابل‌بازگشت بینجامند. پاسخ اتحادیه اروپا به این مسئله معرفی سازوکاری به‌نام Verification of Payee یا VoP در چارچوب پرداخت‌های SEPA است. این سازوکار تلاش می‌کند قبل از نهایی‌شدن انتقال یک کنترل حداقلی اما مؤثر بر مقصد پرداخت اعمال کند. VoP، نه یک ابزار ضدتقلب پیچیده است و نه جایگزین احراز هویت یا پایش تراکنش؛ یک لایه پیشگیرانه است که نقطه تصمیم را به لحظه‌ای منتقل می‌کند که هنوز امکان اصلاح وجود دارد.

VoP چیست و چرا به بخشی از زیرساخت SEPA تبدیل شد؟

Verification of Payee، به‌طور خلاصه، فرایندی است که طی آن نام واردشده حساب مقصد ازسوی پرداخت‌کننده با نام ثبت‌شده صاحب حساب مقصد تطبیق داده می‌شود. این تطبیق در سطح بانک یا PSP گیرنده انجام می‌شود و نتیجه آن پیش از اجرای انتقال به کاربر نمایش داده می‌شود. نکته کلیدی در VoP این است که تمرکز آن نه بر شناسایی کاربر، بر اعتبارسنجی مقصد پرداخت است. این موضوع در بسیاری از کلاهبرداری‌های پرداخت حلقه مفقوده محسوب می‌شود. 

تجربه سال‌های اخیر نشان داده است که بخش چشمگیری از خسارت‌های ناشی از کلاهبرداری‌های موسوم به Authorized Push Payment، نه به‌دلیل نقص در احراز هویت، به‌دلیل اعتماد اشتباه به اطلاعات مقصد رخ داده است. در مدل‌های سنتی SEPA بانک فرض را بر صحت اطلاعات واردشده می‌گذاشت و پس از انتقال عملاً ابزار مؤثری برای جبران وجود نداشت. VoP این فرض را به چالش می‌کشد و با افزودن یک مرحله تطبیق ساده، اما استانداردشده، تلاش می‌کند این ریسک ساختاری را کاهش دهد؛ از همین رو، قانون‌گذار اروپایی VoP را نه به‌عنوان یک قابلیت اختیاری، به‌عنوان بخشی از اصلاحات بنیادین پرداخت در SEPA، تعریف کرده است.

VoP در SEPA چگونه و از چه زمانی اجباری شد؟

VoP در چارچوب مقررات جدید پرداخت‌های آنی اتحادیه اروپا تعریف شده است. هدف این مقررات ایجاد تعادل میان سرعت، امنیت و اعتماد در پرداخت‌های یورویی است. براساس این مقررات، ارائه‌کنندگان خدمات پرداخت موظف‌اند پیش از اجرای انتقال، امکان تطبیق نام گیرنده با IBAN را فراهم کنند. دامنه اجرای VoP هم انتقال‌های عادی SEPA Credit Transfer و هم انتقال‌های آنی را در بر می‌گیرد، اما اهمیت آن در پرداخت‌های آنی به‌مراتب بیشتر است؛ زیرا پس از اجرا عملاً فرصتی برای مداخله باقی نمی‌ماند. 

اجرای VoP برای کشورهای عضو منطقه یورو در بازه زمانی کوتاه‌تری الزامی شده است و انتظار می‌رود بانک‌ها و PSPها زیرساخت‌های لازم را در سطح عملیاتی و تجربه کاربری پیاده‌سازی کنند. برای کشورهای غیر‌یورویی عضو SEPA نیز زمان‌بندی مرحله‌ای در نظر گرفته شده است تا پیچیدگی‌های فنی و هماهنگی بین‌بانکی قابل مدیریت باشد. این رویکرد تدریجی نشان می‌دهد که قانون‌گذار هم بر ضرورت اجرای VoP تأکید می‌کند و هم به واقعیت‌های فنی اکوسیستم بانکی توجه کرده است.

VoP به‌صورت عملیاتی چگونه کار می‌کند؟

در فرایند VoP پس از آنکه کاربر نام گیرنده و IBAN را وارد می‌کند، بانک یا PSP فرستنده پیش از ارسال پول، یک درخواست تطبیق به بانک یا PSP گیرنده ارسال می‌کند. این درخواست صرفاً اطلاعات لازم برای بررسی تطبیق را شامل است و هیچ داده‌ای درباره مبلغ انتقال یا وضعیت حساب منتقل نمی‌شود. بانک گیرنده، نام ثبت‌شده صاحب حساب مرتبط با IBAN را بررسی می‌کند و نتیجه تطبیق را بازمی‌گرداند. پیش از فهرست‌کردن نتایج باید گفت که هدف VoP تصمیم‌گیری به‌جای کاربر نیست، بلکه فراهم‌کردن اطلاعاتی است که ریسک تصمیم را کاهش دهد:

• تطابق کامل (Match) زمانی اعلام می‌شود که نام واردشده با نام ثبت‌شده حساب مقصد هم‌خوانی کامل داشته باشد و سیستم مانعی برای ادامه انتقال گزارش نکند.
• تطابق نزدیک (Close Match) به حالتی گفته می‌شود که اختلاف‌های جزئی مانند ترتیب نام، حذف پیشوندها یا تفاوت‌های نگارشی وجود داشته باشد.
• عدم تطابق (No Match) زمانی گزارش می‌شود که نام واردشده با اطلاعات حساب مقصد هم‌خوانی نداشته باشد.
• عدم امکان بررسی (Unable to Verify) به شرایطی اشاره می‌کند که تطبیق به‌دلایل فنی یا داده‌ای ممکن نباشد.

پس از دریافت پاسخ، بانک فرستنده نتیجه را به‌صورت شفاف به کاربر نمایش می‌دهد و امکان ادامه یا توقف انتقال را فراهم می‌کند. این نقطه مهم‌ترین محل اثرگذاری VoP در تجربه پرداخت محسوب می‌شود.

اگر VoP هشدار دهد، چه اتفاقی می‌افتد؟

یکی از تصمیم‌های مهم در طراحی VoP این بوده است که هشدار به‌معنای توقف خودکار انتقال نباشد. در اغلب سناریوها کاربر پس از دریافت هشدار همچنان می‌تواند انتقال را ادامه دهد، اما با آگاهی از ریسک موجود این کار را خواهد کرد. این رویکرد تلاش می‌کند تعادل میان امنیت و آزادی عمل کاربر را حفظ و همزمان از ایجاد اصطکاک بیش‌ازحد در تجربه پرداخت جلوگیری کند. 

در سناریوهای Close Match معمولاً نام ثبت‌شده حساب مقصد به کاربر نمایش داده می‌شود تا امکان اصلاح فراهم شود. در حالت No Match، هشدار صریح‌تری ارائه می‌شود و مسئولیت ادامه انتقال به‌طور شفاف به کاربر منتقل می‌شود. از منظر بانک‌ها و PSPها ثبت این هشدار و تصمیم کاربر اهمیت حقوقی دارد؛ زیرا نشان می‌دهد ابزار پیشگیرانه ارائه شده است؛ بااین‌حال چالش اصلی در این بخش طراحی تجربه کاربری است، به‌طوری که هشداری که بیش‌ازحد مبهم باشد نادیده گرفته می‌شود و هشداری که بیش‌ازحد سخت‌گیرانه باشد، تجربه پرداخت را مختل می‌کند؛ به‌همین دلیل، VoP نه‌فقط یک الزام فنی، بلکه یک مسئله جدی طراحی محصول برای بانک‌ها محسوب می‌شود.

VoP چه ریسک‌هایی را کاهش می‌دهد و چه محدودیت‌هایی دارد؟

VoP به‌طور مشخص برای کاهش خطاهای انسانی و بخشی از کلاهبرداری‌های پرداخت طراحی شده است، اما نباید از آن انتظار پوشش همه سناریوهای تقلب را داشت. پیش از فهرست‌کردن این موارد باید تأکید کرد که VoP زمانی بیشترین اثربخشی را دارد که در کنار دیگر کنترل‌ها استفاده شود، نه به‌عنوان تنها خط دفاعی:

• VoP می‌تواند جلوی انتقال‌های اشتباهی ناشی از خطای تایپی یا اطلاعات نادرست صورت‌حساب را پیش از اجرا بگیرد.
• این سازوکار دربرابر برخی سناریوهای مهندسی اجتماعی، مانند تغییر حساب مقصد در مکاتبات مالی، نقش بازدارنده دارد.
• درمقابل، VoP نمی‌تواند کلاهبرداری‌هایی را که از حساب‌های واقعی با نام صحیح استفاده می‌کنند، به‌تنهایی شناسایی کند.

بنابراین VoP یک لایه پیشگیرانه است که باید در کنار ابزارهایی مانند KYC، پایش تراکنش و کنترل‌های رفتاری قرار گیرد. این نگاه لایه‌ای دقیقاً همان مدلی است که در دیگر اجزای پرداخت‌های SEPA، ازجمله دایرکت دبیت و انتقال‌های مبتنی بر مندیت، نیز دیده می‌شود.

VoP در کنار Direct Debit و ACH Debit چه معنایی پیدا می‌کند؟

اگر VoP را در کنار دیگر سازوکارهای پرداخت مبتنی بر حساب در SEPA قرار دهیم، تصویر روشن‌تری از جهت‌گیری رگولاتوری اروپا به‌دست می‌آید. در Direct Debit تمرکز بر رضایت قبلی و مندیت معتبر است و در ACH Debit امریکا نیز کنترل‌های ساختاری برای جلوگیری از برداشت‌های غیرمجاز وجود دارد. VoP همین منطق را به دنیای انتقال‌های اعتباری تعمیم می‌دهد، با این تفاوت که کنترل، به‌جای فرایند، بر مقصد پرداخت متمرکز است. 

این هم‌راستایی نشان می‌دهد که رگولاتور به‌دنبال ساختن یک زنجیره پیشگیرانه در کل چرخه پرداخت است؛ این زنجیره‌ از احراز هویت شروع می‌شود، به اعتبارسنجی مقصد می‌رسد و با پایش پس از انتقال تکمیل می‌شود؛ از این منظر، VoP نه یک قابلیت جداگانه، بخشی از یک تصویر بزرگ‌تر در تحول پرداخت‌های مبتنی بر حساب است.

VoP چه جایگاهی در آینده پرداخت دارد؟

VoP یکی از مهم‌ترین اصلاحات ساختاری پرداخت‌های بانکی اروپا در سال‌های اخیر محسوب می‌شود؛ زیرا بدون افزودن پیچیدگی غیرضروری، یک نقطه تصمیم حیاتی به تجربه پرداخت اضافه می‌کند. برای کاربران VoP به‌معنای دریافت هشدار به‌موقع پیش از یک اشتباه پرهزینه است. برای بانک‌ها و PSPها این سازوکار ابزاری برای کاهش ریسک عملیاتی و حقوقی به‌شمار می‌رود. از نگاه رگولاتورها نیز VoP تلاشی است برای افزایش امنیت پرداخت بدون قربانی‌کردن سرعت و نوآوری. 

VoP نشان می‌دهد آینده پرداخت‌های مبتنی بر حساب، نه‌فقط سریع‌تر، آگاهانه‌تر و پیشگیرانه‌تر خواهد بود. این مسیر با دیگر تحولات SEPA، ازجمله Direct Debit، هم‌راستاست و تعریف جدیدی از اعتماد در پرداخت‌های بانکی ارائه می‌کند.

پرسش‌های متداول

منابع

Verification Of Payee

Verification of Payee becomes mandatory:  New regulatory rules in EU payments