الثقة الصفرية وحقوق العملاء: إعادة تعريف مسؤولية البنوك في العصر الرقمي

 د. حمزة العكاليك

 في خضم التوسع الهائل لمنظومة الاحتيال كخدمة (Fraud-as-a-Service) التي تتغذى على الفجوات في أنظمة الحماية التقليدية، بات من الضروري إعادة تعريف العلاقة بين المؤسسات المالية وعملائها. فلم تعد القضية مجرد تحدٍ تقني يمكن حله بجدار حماية أقوى، بل تحولت إلى ضرورة تتطلب تحولاً جذرياً في المنهجيات الأمنية والقانونية. والمفتاح لمواجهة هذه المنظومة الإجرامية العابرة للحدود يكمن في تطبيق منهجية الثقة الصفرية (Zero Trust)، ليس فقط كإجراء أمني داخلي، بل كإطار لتوزيع المسؤولية وتعظيم حماية المستهلك، مستلهمين التجارب العالمية كالتجربة الكندية.

منهجية الثقة الصفرية تقوم على مبدأ أساسي لا تثق أبداً، وتحقق دائماً. ففي سياق الأمن السيبراني المصرفي، هذا يعني أن أي محاولة وصول أو عملية تحويل، سواء كانت من موظف داخلي، أو نظام متصل، أو حتى من العميل نفسه، يجب أن تخضع لتحقق شامل ومستمر ومصادقة متعددة المستويات. فهذه المنهجية المتقدمة تتجاوز فكرة الأمان المعتمد على محيط الشبكة، لتركز بدلاً من ذلك على حماية الموارد والبيانات القيمة مباشرة. والفكرة الأساسية هي اعتبار جميع المستخدمين، بغض النظر عن موقعهم أو دورهم، بمثابة تهديد محتمل حتى يتم إثبات عكس ذلك عند كل خطوة من خطوات الوصول أو تنفيذ المعاملة.

فتطبيق هذه المنهجية يتطلب من البنوك في الأردن تحديث أنظمتها بالكامل، لتشمل المصادقة المتعددة المستويات القسرية من خلال التحقق من هوية المستخدم ليس فقط عند الدخول، بل قبل كل عملية حساسة تتضمن تحويل الأموال أو تغيير الإعدادات. وهذا يتجاوز مجرد رمز التحقق لمرة واحدة (OTP) ليطالب بتحقق سلوكي أو بيومتري إضافي. وكذلك التحليل السلوكي في الوقت الحقيقي بحيث يتم من خلال استخدام الذكاء الاصطناعي لرصد الأنماط غير المعتادة في عمليات العميل (مثل تحويل مبلغ ضخم وغير مألوف إلى وجهة جديدة)، وإيقافها تلقائياً للمراجعة والتحقق المزدوج قبل إتمام العملية. فهذا التحليل يمثل خط دفاع استباقي ضد الاحتيال الذي ينشأ عن الهندسة الاجتماعية. وكذلك تجزئة الشبكة الدقيقة (Micro-segmentation) وذلك بعزل أنظمة البيانات الحساسة بحيث لا يمكن لأي اختراق جزئي أن يؤدي إلى وصول كامل للنظام، مما يحد من انتشار أي هجوم إلكتروني محتمل ويحمي البيانات المالية للعملاء.

إن تبني الثقة الصفرية بهذا العمق لا يقتصر أثره على تحسين الأمان فحسب، بل يقلل بشكل كبير من نقطة ضعف الهندسة الاجتماعية؛ فإذا كانت الأنظمة التقنية تتطلب تحكماً ومصادقة إضافية في كل خطوة، يصبح سحب رمز تحقق وحيد من العميل غير كافٍ لتنفيذ عملية الاحتيال. فهذا التحول يرفع مستوى مسؤولية البنك عن حماية أصول العميل إلى أقصى حد ممكن تقنياً، ويحول التركيز من لوم العميل إلى تحصين الأنظمة.

ففي العديد من الولايات القضائية حول العالم، بما في ذلك الأردن، غالباً ما يتم تحميل العميل جزءاً من المسؤولية عند الوقوع ضحية للاحتيال (خصوصاً في حالات الهندسة الاجتماعية)، بحجة الإهمال في حماية بياناته. لكن التجربة المتقدمة في كندا، تقدم نموذجاً يرجح حماية المستهلك حيث يتمتع المستهلكون بقانون حماية يتطلب من البنوك والمؤسسات المالية تحمل مسؤولية أكبر بكثير تجاه الخسائر الناجمة عن الاحتيال، خاصة عندما لا يكون هناك دليل قاطع على الخطأ الجسيم أو الإهمال من جانب العميل. ويضمن هذا الإطار القانوني أن تتحمل المؤسسة المالية، التي تملك الموارد والخبرة اللازمة لتطبيق أحدث إجراءات الحماية، الجزء الأكبر من المخاطر المرتبطة بالتحول الرقمي.

هذا الإطار التشريعي لا يكتفي بحماية المستهلك، بل يخلق حافزاً هائلاً للبنوك للاستثمار في أنظمة الثقة الصفرية والتحقق المتقدم، بدلاً من الاعتماد على إلقاء اللوم على العميل. فعندما تكون التكلفة المالية للخطأ تقع على عاتق البنك، يصبح الاستثمار في التكنولوجيا الاستباقية أمراً لا مفر منه. فهذا النموذج الكندي يعزز مبدأين رئيسيين يجب على السوق الأردني تبنيهما لرفع مستوى حماية المستهلك الرقمي: العبء الأكبر على المؤسسة: فيجب أن تتحمل المؤسسة المالية العبء الأكبر لإثبات أن أنظمتها كانت في أعلى مستويات الأمان الممكنة وأن الإهمال الوحيد والكبير الذي أدى إلى الخسارة كان من جانب العميل. هذا يعني أن البنك يجب أن يثبت فشل أنظمة الثقة الصفرية رغم تطبيقها الأمثل. ثانيا التعويض الفوري وضمان الاسترداد: فيجب وضع بروتوكولات تعويض سريعة وواضحة تضمن استرداد أموال العميل المتضرر خلال إطار زمني ضيق (على سبيل المثال، اسبوع من الإبلاغ)، مما يعزز الثقة الفورية بالنظام المالي ويشجع العملاء على الإبلاغ السريع.

إن الاستجابة لا يجب أن تكون مجرد رد فعل، بل يجب أن تكون استباقية وشمولية ترتكز على حوكمة رقمية فعالة. وهذا يوجب إنشاء آلية تعويض وطنية تضمن استرداد أموال العملاء من الاحتيال المالي الإلكتروني بسرعة، مما يقلل المخاطر الفردية ويعزز الثقة العامة في التعاملات الإلكترونية. وايضاً فرض تطبيق مبادئ الثقة الصفرية على جميع البنوك كمتطلب تنظيمي إلزامي، وتضمين اختبارات الاختراق المستمرة للتأكد من فاعليته، مع ربط الامتثال بمسؤولية التعويض. وتعزيز التعاون الفعال والمستمر مع وحدة مكافحة الجرائم الإلكترونية لتبادل معلومات التهديد في الوقت الحقيقي.

إن مكافحة الاحتيال الرقمي هي مسؤولية مشتركة، لكن المساءلة يجب أن تكون غير قابلة للتفاوض. فلا يمكن للمؤسسات المالية أن تظل بمأمن خلف إهمال العميل بينما الأنظمة الإجرامية تستغل الثغرات التي كان يمكن لأنظمة الثقة الصفرية كشفها وتجاوزها. حان الوقت لكي يتحول الأمان الرقمي إلى حق رقمي للمستهلك، تلتزم المؤسسات بتأمينه، حتى لا ينهار جسر الثقة الذي يربط المواطن بالخدمات المالية الرقمية المتقدمة في الأردن. فالاستثمار في الثقة الصفرية والتشريعات الممكنة هو استثمار في مستقبل الاقتصاد الوطني ودرع لحماية المدخرات من المخاطر المتزايدة للجريمة المنظمة.

عمون