نگاهی به نقش زیرساختها و مسئولیت فراموششده شرکتها؛ چرا مردم هنوز فریب فیشینگ را میخورند؟
با وجود سالها اطلاعرسانی عمومی، هشدارهای امنیتی، آموزشهای پیاپی و حتی تجربههای تلخ، همچنان کاربران…
۳ تیر ۱۴۰۴
دهه ۹۰ فقط دهه تورم و کاهش ارزش ریال نبود؛ اعتماد هم سقوط کرد. هرچه فشار اقتصادی بیشتر شد، وعده نجات هم بیشتر شنیده شد. در تلگرام، اینستاگرام، گروههای واتساپ با وعدههایی از جنس رمزارز؛ تتر، بیتکوین، سود سریع و بازدهیهای رویایی. ترکیب بحران معیشت و دسترسی آسان به ابزار مالی جهانی، بازار جدیدی ساخت به نام بازار کلاهبرداری رمزارزی. اما جنس این کلاهبرداریها متفاوت بود. قربانیان تنها سادهلوح و بیسواد نبودند.
فقط میخواستند زنده بمانند. بخشی از بدنه اقتصادی بودند که جایی در ساختار رسمی نداشت. درست در همین شکاف، پیشنهاد سرمایهگذاری «بدون ریسک» از راه رسید. «تتر بزن، چند روز بعد دو برابرش را بگیر.» بسیاری وقتی قربانی شدند، پیگیری نکردند. نهفقط چون نمیدانستند باید به کجا مراجعه کنند، بلکه انگار باور داشتند فایدهای ندارد. کسی دنبال پولشان نمیرفت. گاهی مبلغ ازدسترفته برای عناوینی مانند جرم یا پیگیری و شکایت ناچیز به نظر میرسید. اما برای قربانی؟ تمام امید باقیمانده بود. حتی کسانی که هشدار گرفتند یا شک کردند، در لحظهای که فشار زمانی برای حل یک مشکل خانوادگی به حداکثر رسید، باز هم قربانی شدند. چون حس بقا آنقدر در جامعه جدی شد که فرصت برای راستیآزمایی و احتیاط از بین رفت.
دهه ۹۰ دههای بود که همزمان دو واژه متضاد را تجربه کردیم: انزوا و جهانیشدن. از یک سو اقتصاد رسمی کشور بستهتر از همیشه شد و از سوی دیگر دسترسی عمومی به ابزارهای مالی جهانی از طریق اینترنت، بیش از هر زمان دیگری، به فراگیری رسید. همین دوگانگی، بستر پیدایش شکل تازهای از آسیب را مهیا کرد: کلاهبرداریهایی که در خلاء قانونی شکل گرفتند، رشد کردند و حالا حتی ساختار رسمی را هم به چالش کشیدهاند.
قوانین سنتی در حوزه مالی، اغلب بر مبنای بانک، چک، اسکناس یا اسناد رسمی طراحی شدهاند. اما رمزارز پدیدهای بود که نهتنها بیرون از این قواعد قرار داشت، بلکه قواعد خودش را هم داشت؛ تراکنش برگشتناپذیر، هویت نیمهناشناس، کیف پول شخصی و صرافیهای بیمرز. ساختار حقوقی کشور، وقتی با اولین موج پروندههای رمزارزی روبهرو شد، ابزار مناسبی برای مواجهه نداشت. نه ماده قانونی صریحی وجود داشت، نه رویه قضایی تثبیتشدهای.
در چنین فضایی، قاضی باید با استناد به مفاهیم کلی و اصول سنتی حکم بدهد. اما آیا این مفاهیم برای پروندههایی که در بستر رمزارز رخ دادهاند کفایت میکند؟ وقتی قراردادی مکتوب وجود ندارد، وقتی طرفین در پلتفرم خارجی گفتوگو کردهاند، وقتی پول نه ریالی است و نه دلاری، بلکه تتری است که ساعتی بعد به یک کیف پول دیگر منتقل شده، نظام حقوقی با چه ابزاری باید ورود کند؟
وضعیت، بهخصوص در ابتدای این دهه، به قدری مبهم بود که کسی نمیدانست آیا «امکان پیگیری» وجود دارد یا نه. این سردرگمی، تنها خلاء قانون نبود، بلکه از چندپارگی نهادی نیز ناشی میشد. هیچ نهاد مشخصی مسئول بررسی جرائم رمزارزی نبود و درنتیجه هیچکدام وارد نمیشدند.
این خلأ، فقط به کاربران آسیب نزد، بلکه خودش به بستر کلاهبرداری تبدیل شد. مجرمان میدانستند که اگر با ابزار رمزارز دست به فریبکاری بزنند، راههای شناسایی و پیگیری محدودتر خواهد بود. همین مساله باعث شد رمزارز، برای بخشی از کلاهبرداران، نه یک ابزار مالی بلکه یک «ابزار جرم» باشد. ابزاری که شفافیت را کم میکرد و شانس موفقیت کلاهبرداری را بالا میبرد.
وقتی قانون روشن نیست، قضاوت هم روشن نیست. در پروندههای رمزارزی، این ابهام دقیقاً در نقطهای خودش را نشان میدهد که پای دادگاه به میان میآید و قربانی، با تمام اضطراب و امیدش، منتظر شنیدن یک جمله ساده است: «حق با توست.»
اما واقعیت چیز دیگری است. چقدر میتوان گفت دادگاههای ایران با واژههایی مثل هش، تراکنش، ولت یا تتر آشنایی دارند؟ قضات، در غیاب قانون مشخص، مجبورند به قوانین عمومی مدنی و کیفری استناد کنند؛ قوانینی که برای معاملات سنتی نوشته شدهاند، نه تراکنشهای رمزنگاریشده روی بلاکچین، و اینجاست که احتمال تفسیر شخصی و احکام ناپایدار افزایش پیدا میکند.
این وضعیت، کار را برای وکلا هم سخت کرده است. بسیاری از آنها از اینکه سیستم قضایی با این حوزه آشنایی کافی ندارند گلایهمندند. به این ترتیب عملاً مشکل تنها نبود قانون نیست؛ نبود رویه قضایی هم هست. در چنین شرایطی، قربانی در واقع وارد یک لاتاری قضایی میشود و بخت و اقبال مشخص میکند افرادی که پرونده را بررسی میکنند چقدر با موضوع آشنا باشند.
مجموعه این فشارهای روانی و حقوقی، بسیاری از شهروندان را از پیگیری منصرف میکند. آنها ترجیح میدهند سکوت کنند تا در دادگاه با اصطلاحاتی مثل «ادعای غیرقابل اثبات»، «مسئولیت شخصی» یا «نبود سند رسمی» مواجه نشوند و نتیجه شکل دادن چرخه سکوت قربانی، جسارت مجرم و تکرار جرم است.
اگرچه در سالهای اخیر تلاشهایی برای آموزش قضات و تولید ادبیات حقوقی در این حوزه صورت گرفته، اما به نظر میرسد هنوز با یک سازوکار رسمی و موثر فاصله داریم. نهتنها قانونگذاری انجام نشده، بلکه حتی «تخصصیسازی شعب رسیدگیکننده» نیز فراگیر نشده است.
ابهام قانونی فقط برای قانونگذار یا قاضی هزینه ندارد؛ برای هزاران شهروندی که قربانی شدهاند یا در آستانه قربانی شدناند نیز بهای آن ممکن است اعتماد، امنیت یا همه پساندازشان باشد.
در بازار رسمی، اگر کسی قربانی یک خطای بانکی یا کلاهبرداری شود، حداقل میداند باید به کجا مراجعه کند. اما در بازار رمزارز، قربانیان معمولاً نهفقط قربانی پولی، بلکه قربانی بیپناهی حقوقی هم هستند.
برای خیلیها، قربانی شدن در یک کلاهبرداری رمزارزی فقط به معنای از دست دادن سرمایه نبود. تجربهای بود که اعتمادشان را سوزاند: اعتماد به قانون، به نهادهای پیگیری و حتی به اطرافیان. اینکه بدون قرارداد، بدون شاهد و فقط با چند پیام تلگرامی، بتوان کسی را مجاب به انتقال دارایی کرد، نتیجه اعتماد بود.
اما آنچه این اعتماد را شکست، علاوه بر عمل کلاهبردار، رفتار سیستم بود. وقتی فردی که داراییاش را از دست داده نتواند حتی شکایت ثبت کند، چون نمیداند رمزارز در دادگاه «دارایی» شمرده میشود یا نه، خودبهخود از پیگیری منصرف میشود.
در چنین فضایی، تجربه شکایت خودش زخمی تازه است. قربانی افزون بر اینکه مالش را باخته، حس میکند که باید خودش را هم در جایگاه متهم دفاع کند. اینکه چرا به یک غریبه اعتماد کرده؟ چرا قرارداد نبست؟ چرا به هشدارها توجه نکرد؟ بیآنکه کسی بپرسد: چرا هیچ سازوکار رسمی، هیچ نهاد هشداردهنده یا هیچ راهنمای حقوقیای در مسیرش نبود؟
این فضا قربانیمحور نیست. به نظر میرسد قانون و نهادهای آن، برای مجازات مجرم طراحی شدهاند تا حمایت از آسیبدیده. از آنجا که در بسیاری از پروندههای رمزارزی، مجرم ناشناس باقی میماند یا خارج از کشور است، عملاً روند رسیدگی نیز میتواند متوقف شود.
اما یکی دیگر از پیامدهای حقوقی این خلأ، شکلگیری یک ترس جمعی است. کاربران باتجربهتر، پس از یکی یا دو بار مواجهه با کلاهبرداری، چه حسی نسبت به پلتفرمهای داخلی پیدا میکنند؟ ترجیح نمیدهند دارایی خود را به کیف پولهای خارجی یا صرافیهای بدون مجوز منتقل کنند؟ چون حس میکنند از دسترس قانون دورتر بودن به معنی در امان بودن است؟ این نتیجهای خطرناک از بیاعتمادی به نهاد رسمی است که شهروندان را به سمت نهادهای غیررسمی سوق میدهد.
از سوی دیگر، سکوت گستردهای هم بین قربانیان رواج مییابد. بسیاری از آنها ماجرای ضرر مالی را حتی با نزدیکترین اطرافیانشان در میان نمیگذارند. حس شرم، ترس از قضاوت و تجربه بینتیجه شکایت، آنها را به سکوت میکشاند. اما این سکوت فقط یک واکنش شخصی نیست، یک فاجعه آماری است. چون باعث میشود میزان واقعی قربانیان، هیچوقت روشن نشود. نهادها، بهجای تحلیل آماری دقیق، فقط به سراغ پروندههای تشکیلشده میروند و در غیاب داده درست، سیاستگذاری هم غلط خواهد بود.
این وضعیت برای کاربران چیزی بیش از ضرر مالی است. قربانیان قابلیت اعتماد خود را از دست میدهند که در معامله بعدی، در ارتباط بعدی یا در مشورت بعدی میتواند خود را بازتولید کند. آنها خود را به خاطر اعتماد اشتباه نمیبخشند و قربانی بودن را عیب میدانند، نه نشانهای از ضعف ساختارهای نظارتی و پیگیری.
در چنین فضایی، قربانی تنها نیست؛ اما احساس تنهایی میکند، چراکه ساختاری برای شنیدن و حمایت از او وجود ندارد. اگر قرار است به سمت شفافیت برویم، باید در ابتدا این وضعیت را بفهمیم و به رسمیت بشناسیم. وقتی قانون عقب ماند، قربانی جلوتر از همه ضربه خورد.
ابهام قانون، نهفقط برای قربانی و قاضی، بلکه برای خود نهادهای رسمی هم میدان را ناهموار کرده است. وقتی قانونی وجود ندارد یا مبهم است، نهادها در «چه کاری باید بکنند؟» و حتی مهمتر، «چه کاری مجازند بکنند؟» سرگردان میمانند.
پلیس فتا، یکی از معدود نهادهایی است که به طور مشخص به جرائم رمزارزی ورود کرده، اما از جمله درخواستهای این نهاد هم مشخص شدن تکلیف خلأهای قانونی است. از سوی دیگر، بانک مرکزی و شاپرک قرار دارند که به سبب نقش تنظیمگر و ناظر در اکوسیستم پرداخت کشور، مستقیماً با این موضوع درگیر و در معرض فشار افکار عمومی و رسانهها هستند. با این حال همچنان مشخص نیست برای مواردی مانند استفادههای غیرمجاز از درگاه ریالی، مسئولیت بر عهده بانک است یا پرداختیار یا PSP؟
یا جمله «در صورت شکایت، اقدام میکنیم» شاید از منظر آییننامهای درست باشد، اما از نظر عمومی، این موارد میتواند به واگذاری مسئولیت تعبیر شوند.
اما شاید مهمترین پیامد این وضعیت برای نهادها، فرسایش مشروعیت باشد. وقتی شهروندان میبینند ساختار رسمی، نه در پیشگیری موفق است و نه در پیگیری، در ناخودآگاه جمعی این پیام شکل میگیرد که «نهاد رسمی فقط برای موارد خاص کاربرد دارد و بقیه ماجرا را باید خودت حل کنی».
دستگاه قضایی هم در این میان فقط از ناحیه فشار و ترافیک پرونده آسیب نمیبیند بلکه آسیب اصلی، تضعیف مرجعیت این نهاد در ذهن شهروندان است. وقتی شکایتهایی که با اسناد دیجیتالی و شواهد فنی مستند شدهاند ماهها و سالها در رفتوآمد قضایی گیر میکنند، کاربران نتیجه میگیرند که مراجعه به دادگاه بیفایده است.
نهادهای رسمی، در مواجهه با بحران رمزارز، اغلب سیاستی ترکیبی از احتیاط، انکار و تاخیر را پیش گرفتند. این سیاست در کوتاهمدت شاید ریسک سیاسی و رسانهای را کاهش داده باشد، اما در بلندمدت نهفقط گرهای از مساله باز نکرده، بلکه میتواند اعتبار خود این نهادها را هم در چشم مردم تضعیف کند.
در برابر این حجم از ابهام، تاخیر و ناکارآمدی، نمیتوان صرفاً منتظر تدوین یک قانون جامع رمزارزی بود. ساختار رسمی باید بپذیرد که در برابر تحولی فناورانه، با سیاستهای کند، شکافهایی ساخته که حالا هر روز قربانی میگیرد. اما برای ترمیم، به یک بازنگری چندلایه نیاز است؛ نهفقط در قانون، بلکه در نگاه.
نخستین گام، شناسایی وضعیت موجود با عدد و سند است. نمیشود در فضایی مهآلود سیاستگذاری کرد. دادهها باید از انحصار خارج شوند تا افکار عمومی و رسانهها، تصویری واقعی از بحران به دست آورند.
گام دوم، تدوین دستورالعملهای موقت است. حتی پیش از قانونگذاری رسمی، نهادهایی مانند بانک مرکزی، شاپرک، یا حتی دادستانی کل، میتوانند با صدور بخشنامههایی مشخص، رویههایی هماهنگ تعیین کنند: نحوه برخورد با تراکنشهای مشکوک، الزامات شفافیت برای درگاههای پرداخت، ضوابط پذیرش رمزارز در دعاوی حقوقی، و حتی شیوه تعامل کاربران با پلیس و دادگاه.
گام سوم، تقویت نقش نهادهای صنفی و خودتنظیمگر است. همانطور که در حوزه وکالت یا پزشکی، نهادهای مستقل نقش نظمبخشی دارند، صنعت رمزارز هم میتواند با تشکیل کانونهای تخصصی، مسئولیت ساماندهی و پاسخگویی را به شکلی رسمیتر به دست بگیرد.
تنظیمگری صرفاً نگارش قانون نیست بلکه توان ساختن پل میان ساختار رسمی و نیازهای واقعی کاربران است. در بازاری که تکنولوژی مرز نمیشناسد، قانون هم باید یاد بگیرد که منعطف، شفاف و در ارتباط دائم با تجربه زیسته شهروندان باشد.