الوقاية من الاحتيال في المدفوعات: ما ينجح وما هو مجرد تمثيل.

تطبيقان للدفع، نفس التهديد، نتائج متناقضة. من جهة، تطبيق كاش آب، الذي أُمرت شركته الأم بدفع 175 مليون دولار في أوائل عام 2025 بسبب طريقة تعاملها مع شكاوى الاحتيال من العملاء. ومن جهة أخرى، باي بال ، الذي تجاوزت معاملاته تريليون دولار في ذلك العام، ومع ذلك حافظ على معدل خسائره عند حوالي 0.08% من حجم المعاملات. يواجه كلا التطبيقين نفس المحتالين، ونفس البطاقات المسروقة، ونفس أساليب الهندسة الاجتماعية. فلماذا انتهى المطاف بأحدهما في بيان صحفي صادر عن جهة تنظيمية، والآخر في هامش مكالمة أرباح؟

لا يكمن الخلل في الميزانية، بل في الضوابط التي اعتمدت عليها كل شركة. معظم ما يُسوَّق على أنه منع للاحتيال في المدفوعات ليس إلا استعراضًا: يبدو مطمئنًا، ويُستخدم لملء شريحة عرض، ولكنه لا يمنع شيئًا يُذكر. عدد قليل من الضوابط هو ما يقوم بالعمل الفعلي. تُعدّ PayPal وCash App مثالًا واضحًا وبسيطًا للتمييز بينهما، لأن جهة تنظيمية قامت بتقييمهما نيابةً عنا. هذا دليل عملي لما يُجدي نفعًا وما يفشل بهدوء.

ما هي تكلفة الاحتيال في المدفوعات على الاقتصاد الآن؟

الأرقام الرئيسية ضخمة لدرجة يصعب معها استيعابها. أفاد الأمريكيون بخسارة 12.5 مليار دولار أمريكي بسبب الاحتيال في عام 2024، بزيادة قدرها 25% في عام واحد، وفقًا لشبكة مراقبة المستهلك التابعة للجنة التجارة الفيدرالية . وبلغت خسائر الاحتيال ببطاقات الائتمان عالميًا 33.41 مليار دولار أمريكي، وتحملت الولايات المتحدة ما يقرب من 42% من هذه الخسائر على ما يقارب ربع حجم معاملات البطاقات الائتمانية العالمية.

الحقيقة الأكثر أهمية تكمن وراء الأرقام الإجمالية: أين تُهدر الأموال فعليًا. كانت التحويلات المصرفية (2.09 مليار دولار) والعملات المشفرة (1.42 مليار دولار) هما الوسيلتان الرئيسيتان للدفع من حيث الخسائر المُبلغ عنها، وليس البطاقات. ليس هذا من قبيل الصدفة. فقد صُممت هذه الأنظمة لنقل الأموال بسرعة وسهولة، دون أي آلية مُدمجة لاستردادها. تمتلك شبكات البطاقات عقودًا من آليات تسوية المنازعات، بينما تفتقر التحويلات بين الحسابات عادةً إلى هذه الآليات. وهكذا، يسلك الاحتيال مسارًا يصعب فيه استرداد الأموال.

أنواع الاحتيال الشائعة في المدفوعات، مصنفة حسب الجهة الدافعة

تقدم جميع أدلة مكافحة الاحتيال قائمةً واحدةً تضم اثني عشر نوعًا من الهجمات. لكن من الأفضل تصنيفها حسب الجهة التي تتحمل الخسارة فعليًا، لأن ذلك هو ما يحدد ما إذا كان ينبغي عليك الاهتمام بالأمر. فأنواع الاحتيال الشائعة في المدفوعات لا توزع الخسائر بالتساوي.

تتصدر عمليات الاحتيال عبر اختراق البريد الإلكتروني للشركات وعمليات الاحتيال المتعلقة بالدفعات الفورية غير المصرح بها قائمة أنواع الاحتيال، لأنها تخدع الضحية وتدفعه إلى إرسال الأموال بنفسه، وعادةً ما يكون من المستحيل استردادها. وقد سجلت مؤسسة UK Finance عمليات احتيال بالدفعات الفورية بقيمة 257.5 مليون جنيه إسترليني في النصف الأول من عام 2025 فقط، بزيادة قدرها 12% عن العام السابق. ويأتي الاستيلاء على الحسابات في المرتبة التالية: حيث يتمكن المحتال من اختراق حساب حقيقي وسحب الأموال منه، مما يعني أن على المالك الشرعي إثبات براءته. أما الاحتيال على البطاقات فهو منتشر على نطاق واسع، ولكن بالنسبة للمستهلكين، يتحمل المُصدر معظم الخسائر من خلال عمليات رد المبالغ المدفوعة. ثم هناك الاحتيال الودي، حيث يعترض عميل حقيقي على عملية شراء حقيقية - وهو ما يُقدر بنسبة 75% إلى 79% من عمليات رد المبالغ المدفوعة في التجارة الإلكترونية، ويتحمل التاجر التكاليف. أما عمليات الاحتيال باستخدام تقنية التزييف العميق واستنساخ الصوت فهي أحدث أنواع الاحتيال، وهي صغيرة نسبيًا اليوم من حيث القيمة، ولكنها تتزايد بسرعة. والنمط بسيط: كلما كانت طريقة الدفع أقل قابلية للاسترداد، كلما زاد تأثير الاحتيال على الشخص الأقل قدرة على تحمله.

تطبيق كاش: دراسة حالة في مجال مكافحة الاحتيال

إذا أردتَ أن ترى كيف يبدو التلاعب بمكافحة الاحتيال على نطاق واسع، فانظر إلى تطبيق كاش آب. عندما تدخلت الجهات التنظيمية، كان لديه حوالي 56 مليون حساب نشط وتطبيق أنيق وسهل الاستخدام. لكن ما كان ينقصه هو الآليات غير الجذابة التي تقف وراء الكواليس: تحقيقات حقيقية، وخط هاتف فعال، وأي شعور بأن أي تحويل غير مصرح به هو مشكلة الشركة التي يجب حلها.

ما توصل إليه المنظمون بالفعل

في يناير 2025، أمر مكتب الحماية المالية للمستهلك شركة بلوك، الشركة الأم لتطبيق كاش آب، بدفع 175 مليون دولار - 120 مليون دولار كتعويض للمستخدمين المتضررين، وغرامة قدرها 55 مليون دولار . يستحق هذا الحكم قراءة متأنية. ذكر المكتب أن الشركة استخدمت "ممارسات تحقيق رديئة عن قصد" لإغلاق بلاغات الاحتيال لصالحها. كان العملاء الذين يتصلون بخط الإبلاغ عن الاحتيال يسمعون رسالة مسجلة مسبقًا؛ ولسنوات، لم يكن هناك أي موظفين متاحين للتحدث معهم. في الشهر نفسه، فرض تحالف يضم 48 جهة تنظيمية حكومية غرامة إضافية قدرها 80 مليون دولار بسبب إخفاقات في مكافحة غسل الأموال. بلغ إجمالي الخسائر حوالي 255 مليون دولار. لم يكن أي من ذلك متعلقًا بقراصنة بارعين، بل بشركة قررت أن الرد على المكالمات الهاتفية أمر اختياري.

لماذا تُعتبر عمليات نقل البيانات غير القابلة للعكس من نظير إلى نظير عيبًا هيكليًا؟

يكمن وراء تبرير تطبيق كاش آب خيار تصميمي. فهو ينقل الأموال بين الحسابات، تمامًا كالنقد. وبمجرد اختفاء الأموال، لا توجد شبكة بطاقات لاستردادها. وهذا مقبول إلى أن يتعرض أحدهم للخداع أو الاختراق، فحينها يتحول نموذج "تمامًا كالنقد" إلى "أنت مسؤول عن نفسك". في الواقع، يُلزم القانون الفيدرالي (اللوائح E) البنوك وتطبيقات الدفع بالتحقيق في التحويلات الإلكترونية غير المصرح بها وتعويض المستخدمين. ما أعود إليه مرارًا هو مدى بساطة هذا الخلل: فهو ليس خرقًا قانونيًا، بل مجرد قرار باعتبار التحويلات غير المصرح بها مشكلة العميل. وقد وصف مكتب الحماية المالية للمستهلك هذا القرار بأنه انتهاك.

كيف يعمل نظام كشف الاحتيال في باي بال فعلياً

يُعدّ باي بال مثالاً طبيعياً لما يُجدي نفعاً، لكنّ النسخة التسويقية منه خاطئة. فباي بال ليس خالياً من الاحتيال، والتظاهر بغير ذلك يُخفي الدرس الحقيقي. تُظهر بياناته الخاصة خسائر في المعاملات والائتمان بقيمة 1.72 مليار دولار في عام 2025، بزيادة قدرها 19% عن العام السابق. الاحتيال متفشٍّ في باي بال. والفرق يكمن فيما سيحدث لاحقاً.

حماية المشتري والبائع كطبقة قابلة للعكس

أضافت باي بال ميزة إمكانية الإلغاء إلى منتجها لحماية طرفي المعاملة. تشمل المشتريات المؤهلة حماية المشتري، ويحصل البائعون على تغطيتهم الخاصة، مع وجود آلية لحل النزاعات والمطالبات. عند حدوث احتيال، يستطيع النظام في كثير من الأحيان ردّ أموال المشتري أو إلغاء المعاملة بدلاً من تركه عالقاً. هذه هي الميزة التي افتقر إليها تطبيق كاش آب. كما أنه مكلف وبطيء ومليء بالحالات الاستثنائية، وتتلقى باي بال الكثير من الشكاوى بشأنه. لكن "عملية حل النزاعات المُحبطة" و"خط الهاتف المعطل" ليسا من نفس نوع الفشل.

تقييم المخاطر باستخدام التعلم الآلي في وقت المعاملة

الطبقة الثانية هي الكشف. يقوم باي بال بتقييم المعاملات في الوقت الفعلي بناءً على مئات المؤشرات - الجهاز، والموقع، وسجل المعاملات، وسرعتها، وسلوك المستخدم - لتحديد المعاملات المشبوهة قبل تحويل الأموال. والنتيجة الرئيسية هي معدل خسائر يقارب 0.08% من إجمالي حجم المدفوعات، وهو مستوى قياسي منخفض، حتى مع تزايد الخسائر المطلقة مع زيادة حجم المعاملات. وبجمع هذين الرقمين، نحصل على الحقيقة: زيادة حجم المعاملات تعني زيادة في الأموال المُتحصل عليها من عمليات الاحتيال، لكن نظام التقييم التكيفي يُبقي المعدل منخفضًا. النظام ليس سحريًا، بل هو نظام مُصان باستمرار.

ما ينجح: أفضل الممارسات التي تحد من الاحتيال

إذن، ما الذي يُحرك هذا الرقم فعلاً؟ إذا تجاهلنا عروض البائعين، فإن الضوابط التي تمنع الاحتيال فعلاً تكون مختصرة وبسيطة. وتشترك هذه الضوابط في سمة واحدة: فهي قابلة للتعديل أو تضيف فحصاً ثانياً مستقلاً، بدلاً من الاعتماد على بوابة ثابتة واحدة.

تُعدّ المصادقة متعددة العوامل أرخص وسيلة تحكم فعّالة. وقد أفادت مايكروسوفت بأنّ المصادقة متعددة العوامل تحظر أكثر من 99.9% من محاولات اختراق الحسابات الآلية، وأنّ جميع الحسابات المخترقة تقريبًا لم تُفعّلها مطلقًا. كما أنّ تقنيات التعلّم الآلي، مثل تقييم المعاملات، وبصمة الجهاز، والبيانات الحيوية السلوكية، تكشف أنماطًا لا ترصدها القواعد الثابتة. وقد أفاد أحد البنوك بخفض خسائر الاحتيال بنحو 35% بعد تطبيق تحليلات السلوك، مع العلم أنّ هذا الرقم مُقدّم من المورّد ويجب اعتباره مؤشرًا وليس حقيقة مطلقة. يُضيف التحقق القوي من هوية العملاء عبر بروتوكول 3D Secure 2 خطوة تحقق إضافية على مدفوعات البطاقات؛ ورغم أنّها تُسبّب بعض التعقيدات (إذ تفشل محاولة مصادقة واحدة من كل خمس محاولات تقريبًا)، إلا أنّها تُحوّل المسؤولية وتُوقف جزءًا كبيرًا من استخدام البطاقات المسروقة. وتُكمّل عمليات التحقق من هوية العملاء عند التسجيل وحدود سرعة المعاملات قائمةَ هذه الإجراءات.

إجراءات أمنية شكلية: حماية من الاحتيال تفشل

أما الآن، فلننتقل إلى مُهدرات الميزانية، تلك الضوابط التي تبدو وكأنها حماية من الاحتيال، لكنها لا تُحقق شيئًا يُذكر. أسئلة الأمان هي أسوأ مثال على ذلك. فالإجابات (اسم عائلة والدتك قبل الزواج، حيوانك الأليف الأول) يُمكن تخمينها أو استخراجها أو اختراقها، وقد حظرت الهيئة الأمريكية للمعايير والتكنولوجيا (NIST) رسميًا المصادقة القائمة على المعرفة كعامل تسجيل دخول صالح. إنها لا تُضيف طبقة أمان، بل طبقة زائفة.

تُعدّ رموز التحقق لمرة واحدة عبر الرسائل النصية القصيرة فخًا جديدًا. تبدو هذه الرموز وكأنها مصادقة متعددة العوامل، لكنها تعتمد على رقم هاتف يمكن للمهاجم سرقته عبر استبدال شريحة SIM ، وهي عملية تُشير أبحاث القطاع إلى أنها تنجح من المحاولة الأولى بنسبة 80% تقريبًا؛ وقد سجّل مكتب التحقيقات الفيدرالي خسائر بقيمة 26 مليون دولار تقريبًا نتيجة استبدال شرائح SIM في عام 2024 وحده. ثمّة أيضًا أنظمة ثابتة تعتمد على قواعد مُحدّدة فقط ولا تتعلّم أبدًا، وقوائم انتظار بطيئة للمراجعة اليدوية تسمح بتمرير عمليات الاحتيال قبل مراجعتها من قِبل أي شخص. أما أغلى هذه الحيل فهي تلك التي علّمنا إياها تطبيق Cash App: جعل التحويلات غير قابلة للإلغاء افتراضيًا وتسميتها سرعة. يميل المهندسون إلى اعتبار إمكانية الإلغاء عائقًا يجب التخلص منه. أما بالنسبة للضحية، فهي جوهر المشكلة.

الاحتيال في الاستيلاء على الحسابات: حيث تنقسم النماذج

يُعدّ الاحتيال عبر الاستيلاء على الحسابات الاختبار الأمثل لهذه الحجة، لأن كلا الشركتين تواجهان الهجوم نفسه: يحصل مجرم على بيانات اعتماد مستخدم حقيقي ويحاول تحويل الأموال. نفس المدخلات، ومخرجات مختلفة تمامًا.

على صعيد الوقاية، فإنّ الحلول المضادة راسخة: تطبيق المصادقة متعددة العوامل القوية (بدلاً من رموز الرسائل النصية القصيرة)، ومراقبة سلوك المستخدمين بحثاً عن أي تسجيل دخول لا يتطابق مع هوية صاحب الحساب، والحدّ من سرعة المعاملات المشبوهة. لكنّ إجراءات الوقاية لا تخلو من الثغرات، والسؤال الثاني هو: ماذا يحدث عند حدوث ذلك؟ تتيح آلية التراجع عن المعاملات في باي بال، بالإضافة إلى آلية الاعتراض، للمستخدم المخترق فرصة استعادة حسابه. أما موقف تطبيق كاش آب التاريخي، الذي اعتبر التحويل غير المصرح به مشكلة المستخدم، فقد تركه في مأزق، وهو ما حوّل حادثة أمنية إلى قضية محاسبة بقيمة 175 مليون دولار. نفس الاحتيال، لكن بنهاية مختلفة، حُسمت بسياسة مُحددة لا ببرمجية.

كيفية التعامل مع الاحتيال بعد وقوعه

الكشف ليس سوى نصف المهمة؛ أما الاستجابة فهي النصف الذي يُقيّمه المنظمون فعليًا. عندما يتم التسلل بتحويل غير مصرح به، فإن الحد الأدنى القانوني لتطبيقات الدفع الأمريكية هو اللائحة (هـ): التحقيق الفوري، وتعويض المستخدم بالكامل إذا لم يكن التحويل مصرحًا به. وهذا يعني تحقيقًا حقيقيًا، وشخصًا يمكن التواصل معه، ووقتًا محددًا. لم تكن فاتورة تطبيق كاش البالغة 175 مليون دولار مرتبطة باختراقه، بل بكيفية تعامل الشركة مع الأمر لاحقًا، أو رفضها ذلك. ابنِ استجابة فعّالة، لا مجرد جدار حماية.

اتجاهات الاحتيال: إلى أين تتجه جهود الوقاية

المرحلة التالية هي سباق تسلح يُخاض بنفس السلاح من كلا الجانبين. يُشغّل الذكاء الاصطناعي التوليدي أسرع أساليب الهجوم نموًا: تتوقع شركة ديلويت ارتفاع خسائر الاحتيال المدعوم بالذكاء الاصطناعي في الولايات المتحدة من 12.3 مليار دولار في عام 2023 إلى حوالي 40 مليار دولار بحلول عام 2027، وقفزت عمليات الاحتيال المدفوعة بتقنية التزييف العميق إلى مليارات الدولارات في عام 2025 وفقًا لتقديرات القطاع. وتُشغّل هذه التقنية نفسها أيضًا أفضل وسائل الدفاع. يُشيد تقرير نيلسون بالذكاء الاصطناعي لإنتاجه أقوى نماذج مكافحة الاحتيال التي شهدها قطاع بطاقات الائتمان. من يُطوّر بشكل أسرع يفوز في هذه الجولة، وهذا تحديدًا سبب فشل وسائل الدفاع الثابتة ونجاح وسائل الدفاع التكيفية.

ما يعنيه هذا بالنسبة لمنع الاحتيال في المدفوعات

الدرس المستفاد من باي بال وكاش آب ليس "إنفاق المزيد على التكنولوجيا". فقد أنفق كلاهما الكثير. الرهان الرابح بسيط وغير جذاب: إمكانية التراجع، والمساءلة، وبعض الضوابط التي تتكيف بدلًا من التظاهر. المظاهر أرخص، إلى أن تُقدّرها جهة تنظيمية بـ 175 مليون دولار. لذا، راجع نظامك الخاص وفقًا للجدول أعلاه، واسأل السؤال الوحيد المهم: إذا لم تتمكن من عكس عملية تحويل احتيالية أو الرد على مكالمة عميل تعرض للسرقة، فأنت لا تملك نظامًا لمنع الاحتيال في المدفوعات، بل مجرد شعار.

Marco Lucchetti

Marco Lucchetti is a senior content strategist and blockchain analyst at Plisio. With over 7 years of experience in cryptocurrency research, DeFi protocols, and payment technologies, Marco specializes in creating clear, data-driven content for a global crypto audience. His work focuses on transaction tracing, crypto compliance, and the future of blockchain infrastructure.