من وكيف تُسرق البطاقات المصرفية؟ أموال المواطنين تضيع والمصارف تتنصل والاختراق “يتمدد”

موصل تايم

في كل شهر تقريبًا تتكرر القصة بتفاصيل مختلفة لكنها تنتهي بالخسارة نفسها. مواطن يتوجه إلى الصرّاف الآلي لسحب جزء من راتبه أو مدخراته، فيفاجأ بأن الرصيد تقلّص أو اختفى بعد سلسلة حركات سحب وتحويل لم يقم بها، ثم يتجه إلى المصرف بحثًا عن تفسير أو تعويض، ليصطدم بجواب جاهز: المصرف غير مسؤول، والخطأ يقع على صاحب البطاقة. هكذا تتحول حادثة فردية إلى جزء من ظاهرة أكبر، في بلد يتوسّع فيه استخدام البطاقات المصرفية بسرعة كبيرة، بينما تبقى التشريعات وآليات الحماية وأعراف التعويض أبطأ بكثير من وتيرة الاحتيال والاختراق.

انفجار في عدد البطاقات وضعف في الحماية

تظهر بيانات القطاع المصرفي أنّ عدد البطاقات الإلكترونية العاملة في العراق تجاوز عتبة عشرات الملايين خلال السنوات الأخيرة، مع توسّع برامج توطين رواتب الموظفين والمتقاعدين، وربط شرائح واسعة من المواطنين ببطاقات دفع وراتب وتسوّق وسحب نقدي. نسبة الزيادة السنوية في عدد البطاقات وحجم المدفوعات الإلكترونية تجاوزت في بعض التقارير حاجز الـ 20 بالمئة، ما يعني أنّ المجتمع ينتقل بالفعل من التعامل الورقي إلى التعامل الرقمي في الحياة اليومية، من الراتب إلى الفاتورة والشراء من المتاجر.

هذا التوسّع لم يواكبه مستوى مماثل من التطوّر في البنية التقنية والرقابية. فشبكات الاتصالات، وأنظمة الصرّافات، وتطبيقات الهاتف، وأجهزة نقاط البيع، والبيئات التي تعمل فيها شركات الدفع الخاصة، ما زالت تعاني من ثغرات متعددة، بعضها تقني مباشر، وبعضها مرتبط بضعف الضوابط الداخلية والرقابة على الموظفين وسير العمليات. ومع كل ثغرة تبقى القاعدة شبه الثابتة أنّ الخسارة تقع على المواطن أولًا، ثم على ثقة الجمهور بالنظام المصرفي ككل.

كيف تُسرق البطاقات؟ من الرسالة المزيّفة إلى الشبكات المنظّمة

أنماط الاحتيال التي تستهدف أصحاب البطاقات المصرفية في العراق لم تعد تقتصر على اتصال بدائي من رقم مجهول. فالمختصّون والأجهزة الأمنية يتحدثون عن سلسلة متدرّجة من الأساليب. في المستوى الأول، هناك رسائل نصية وروابط تصل إلى هواتف المواطنين تحمل شعارات مصارف وشركات دفع، تطلب تحديث البيانات أو تفعيل البطاقة أو تثبيت تطبيق جديد، وبمجرّد الضغط أو إدخال المعلومات تنتقل البيانات إلى جهة مجهولة تنفّذ عمليات السحب والتحويل خلال دقائق.

في مستوى آخر، تظهر تطبيقات مزيّفة على متاجر الهواتف تحمل أسماء مصارف محلية أو شركات عالمية، يستخدمها المواطن ظنًّا منه أنّه يتعامل مع جهة رسمية، فيُدخل بياناته البنكية كاملة داخل واجهة تخدم المحتالين. يضاف إلى ذلك استخدام مواقع تسوّق غير مؤمّنة، أو أجهزة نقاط بيع تفتقر إلى معايير الحماية، ويمكن إعادة برمجتها أو إضافة أجهزة صغيرة عليها تحفظ بيانات البطاقات عند تمريرها.

الأجهزة الأمنية في العراق سبق أن أعلنت عن تفكيك شبكات متخصّصة بسرقة رواتب المتقاعدين والموظفين بعد اختراق بطاقاتهم بشكل ممنهج، وأحيانًا عبر عمليات صغيرة متكرّرة لا يكتشفها صاحب الحساب إلا بعد تراكمها. في حالات أخرى، ظهرت شكاوى من أصحاب محطات وقود وتجار تعرّضوا لاختراق بطاقات ماستر كارد وبطاقات خاصة بنشاطهم التجاري، مع خسائر بمبالغ كبيرة في بعض المحافظات. الصورة التي ترسمها هذه الوقائع أنّ الاختراق لم يعد حدثًا عابرًا، بل نشاطًا مستمرًا يتطوّر من جريمة فردية إلى عمل منظّم.

من سرقة راتب فرد إلى ثغرات بمليارات الدولارات

خلف هذه القصص اليومية، هناك مستوى آخر أخطر، يتعلّق باستخدام بطاقات عراقية لاستغلال ثغرات في منظومة التحويل بالدولار. تقارير دولية وصحفية تحدّثت خلال العامين الماضيين عن قفزة كبيرة في حجم المعاملات العابرة للحدود عبر بطاقات فيزا وماستر كارد صادرة من العراق، وعن استخدام واسع لبطاقات مسبقة الدفع تُشترى داخل البلاد، ثم تُهرّب إلى دول أخرى لسحب الدولار من الصرّافات هناك، قبل إعادة تدوير الأموال في السوق العراقية للاستفادة من فرق السعر بين السعر الرسمي والسوق الموازي.

هذه العمليات دفعت البنك المركزي العراقي إلى فرض حدود صارمة على التحويل بالبطاقات خارج العراق، وتخفيض سقوف الاستخدام، وتقليص عدد مصدّري البطاقات، والتعاقد مع جهات متخصّصة لمراقبة الحركات المشبوهة. لكنّ الرسالة الواضحة من هذه الوقائع هي أنّ ضعف منظومة الحماية لا يضرّ الأفراد فقط، بل يفتح الباب أيضًا أمام استغلال مالي كبير يضغط على استقرار النظام النقدي والسياسة المالية.

المواطن يدفع ثمن الثغرات والمصارف تتفرّج

في وسط هذا المشهد، يضع المختص في الشؤون المصرفية ناصر الكناني إصبعه على نقطة يعتبرها الأخطر. يقول في حديثه إنّ “اللافت في أغلب حالات الاختراق هو سحب الأموال من حسابات المواطنين دون علمهم، ليفاجأ الضحية لاحقًا برفض المصرف تعويضه أو حتى تحمّل جزء من المسؤولية، بحجة أنّ الخطأ يقع على المستخدم، وهذا الكلام لا ينسجم مع المعايير المصرفية المعتمدة عالميًّا”.

ويشرح الكناني أنّ عمليات اختراق البطاقات المصرفية تتمّ اليوم عبر أكثر من مسار، “من رسائل الاحتيال الإلكتروني التي تصل للمواطنين على شكل روابط مزيّفة، إلى تطبيقات تنتحل صفة مصارف وشركات دفع، مرورًا باستخدام مواقع تسوّق غير آمنة أو أجهزة نقاط بيع لا تستوفي معايير الحماية”. ثم يضيف أنّ المشكلة لا تتوقف عند سلوك المواطن، بل تمتدّ إلى البنية التي يُفترض أن تحميه، موضحًا أنّ “ضعف البنية التحتية للأمن السيبراني، وغياب أنظمة الإنذار المبكر ومراقبة العمليات المشبوهة، فضلًا عن محدودية إجراءات التحقّق، كلّها عوامل تسهم في تفشّي هذه الجرائم المالية”.

الرسالة المباشرة التي يريد الكناني إيصالها أنّ 

تحميل المواطن وحده مسؤولية ما يجري، والاختباء وراء عبارة “لا تشارك بياناتك”، لا يعفي المصارف من واجبها القانوني والمهني في حماية الأنظمة والأموال، ولا ينسجم مع ما تطبّقه الأنظمة المصرفية الرصينة حين تقع عمليات احتيال مشابهة.

المصارف بين التحذيرات الورقية والمسؤولية الفعلية

أغلب المصارف وشركات الدفع في العراق تنشر بشكل متكرّر تحذيرات إلى زبائنها عبر الرسائل القصيرة ومواقع التواصل، تطلب منهم عدم مشاركة الرقم السري، أو رمز التحقّق، أو بيانات البطاقة مع أيّ جهة، وتؤكّد أنّها لا تطلب هذه المعلومات هاتفيًّا أو عبر صفحات التواصل الاجتماعي. لكن هذه التحذيرات غالبًا ما تُرفق بعبارات قانونية صريحة تُحمّل الزبون كامل المسؤولية عن أيّ ضرر ناتج عن “سوء استخدام البطاقة” أو “مشاركة البيانات مع الغير”.

من جهة المصرف، يُعدّ هذا النص حماية من الدعاوى المحتملة. أمّا من جهة الزبون، فهو يعني ببساطة أنّ طريق التعويض مغلق تقريبًا حتى قبل وقوع الجريمة. المشكلة الأكبر أنّ هذه الصيغة تتجاهل أسئلة جوهرية: هل المصرف يطبّق فعليًّا أقصى ما يمكن من معايير الحماية التقنية؟ هل توجد أنظمة حقيقية لرصد العمليات غير الاعتيادية ووقفها قبل إكمالها؟ هل يتمّ تبليغ الزبون فورًا عند ظهور نمط غريب في حركات بطاقته؟

ما يطرحه خبراء القانون والمصارف أنّ مسؤولية المصرف لا تسقط بالكامل لمجرّد أنّ الزبون وقّع على شروط الاستخدام. فالمصرف ملزم تعاقديًّا بأن يوفّر بيئة آمنة قدر الإمكان، وملزم تقصيريًّا بعدم الإهمال في حماية أنظمته وبيانات عملائه. وعندما تكون هناك ثغرات فنية أو قصور في الإنذار أو تراخٍ في التعامل مع الأنشطة المشبوهة، تتحوّل الحماية من “مسؤولية مشتركة” إلى عبء يُلقى بالكامل على الطرف الأضعف.

ثغرات في التشريع ورقابة لا تلاحق التفاصيل

القوانين المصرفية النافذة في العراق وأدوات مكافحة غسل الأموال وتمويل الإرهاب تعطي إطارًا عامًا لالتزامات المصارف في مراقبة العمليات والتحقّق من مصادر الأموال والإبلاغ عن الأنشطة غير الاعتيادية، لكنها لا تقدّم حتى الآن صورة واضحة ومفصّلة عن كيفية التعامل مع قضايا الاحتيال الإلكتروني التي تستهدف الأفراد، ولا عن آليات التعويض، ولا عن حدود مسؤولية كل طرف في سلسلة الدفع الإلكتروني، من المصرف إلى شركة الدفع إلى التاجر إلى صاحب البطاقة.

في التطبيق العملي، يعني ذلك أنّ شكاوى الضحايا تتداخل بين البنك المركزي والمصارف والقضاء والأجهزة الأمنية، من دون وجود مسار موحّد وسريع يحسم ما إذا كانت الخسارة ناتجة عن خطأ من الزبون، أم تقصير من المصرف، أم ثغرة في نظام الحماية يجب إصلاحها وتعويض المتضرّرين عنها.

لا تحوّل رقمي حقيقي إذا بقي المواطن وحده في مواجهة الاحتيال

في الخلاصة، يحذّر ناصر الكناني من أنّ استمرار هذه المشكلة دون حلول جذرية لن يبقى مجرّد قضية شكاوى فردية، بل سيتحوّل إلى عائق حقيقي أمام مشاريع الشمول المالي والتحوّل الرقمي التي تتحدّث عنها الحكومة والبنك المركزي. ويقول في تصريح صحفي انّ “استمرار اختراق الحسابات والبطاقات، مع غياب آلية واضحة للتعويض، سيدفع شريحة واسعة من المواطنين إلى العزوف عن التعامل الإلكتروني والعودة إلى الكاش، وهذا يعني تعطيل هدف ربط الاقتصاد بالنظام المصرفي بشكل أوسع”.

ويشدّد على حزمة خطوات يعتبرها عاجلة وضرورية، تبدأ من “إلزام المصارف بتحمّل مسؤولياتها القانونية وتعويض المتضرّرين بعد التحقيق والتدقيق الفني في كل حالة”، مرورًا بـ”تشديد رقابة البنك المركزي على شركات الدفع الخاصة وأنظمة الحماية المعتمدة، وتحديث البُنى التحتية للأمن السيبراني، وبناء أنظمة إنذار مبكر لرصد العمليات المشبوهة”، ولا تنتهي عند “إطلاق حملات توعوية مستمرة، واضحة وبسيطة، تشرح للمواطنين أساليب الاحتيال الحديثة وكيفية حماية بياناتهم، مع التركيز على الشرائح الأكثر استهدافًا مثل المتقاعدين وأصحاب الرواتب الموطّنة”.

ويختم المختص في الشؤون المصرفية حديثه بعبارة يعتبرها جوهر الملف: “حماية أموال المواطنين ليست خيارًا، بل واجبًا قانونيًّا ومهنيًّا. لا يمكن بناء نظام مصرفي موثوق في بلد يُحمَّل فيه المواطن وحده نتائج الثغرات التقنية والإدارية. إذا أرادت المصارف أن تطلب ثقة الناس، فعليها أوّلًا أن تثبت أنّها قادرة على حمايتهم عندما يتعرّضون للضرر”.