توقف شام كاش: خبراء يكشفون المخاطر الأمنية والقانونية

دمشق – سوكة نيوز

توقّف تطبيق “شام كاش” الأسبوع الماضي عمل ضجة كبيرة وعلامات استفهام عند الناس بسوريا، خصوصاً إنه الحكومة السورية اعتمدته كطريقة رسمية لدفع الرواتب من أيار 2025.

بعد فترة، رجعت خدمات التطبيق تشتغل بعد ما نزلوا تحديث جديد، وهالشي صار بعد ما أعلنوا بـ 8 آذار إنه الخدمات وقفت مؤقتاً بسبب مشكلة تقنية عند مزودي خدمة “الدومين”.

الناشط التقني أنس عيون السود تبنى تعطيل التطبيق بهداك الوقت، وقال إنه عمل هيك ليثبت للحكومة السورية إنه التطبيق مو مؤهل يكون مصدر أساسي للتعاملات المالية بسوريا.

“شام كاش” وضّح إنه العطل اللي صار ما كان نتيجة اختراق أو مشكلة أمنية متل ما انتشر، بس صار بسبب بلاغات كتير ممنهجة على “دومين شام كاش” من مجموعة أشخاص، وهالشي خلى مزود خدمة الاستضافة يوقف “الدومين” بشكل مؤقت حسب سياستهم. وأكدوا إنه كل حسابات المستخدمين آمنة وما صار أي اختراق أو تسريب بيانات، وكمان كل “السيرفرات” وقواعد البيانات شغالة عادي.

بس الناشط التقني قال على “فيسبوك” إنه التطبيق بيتجاهل مشاكل المستخدمين والمتضررين من بعض خدماته وتجميد حساباتهم، وإنو كل الفروع برا إدلب ما بتعالج المشاكل.

بعد ما تعطل التطبيق، انطرحت أسئلة كتير عن مدى أمانه، وشو تأثير الأعطال ومحاولات التعطيل والاختراق على حسابات المشتركين.

الخبير التقني نضال فاعور قال لعنب بلدي إنه نجاح ناشط تقني أو “مخترق” بتعطيل تطبيق مالي بهالحجم بيدل على وجود ثغرات على كذا مستوى:

• هندسة النظام: بالتطبيقات المالية الاحترافية، بيتم فصل “واجهة التطبيق” عن “قواعد البيانات” وعن “خادم الهوية”. التعطيل الكامل بيعني غالباً وجود نقطة فشل وحدة، يعني المهاجم قدر يوصل للمركز العصبي للنظام، وهالشي بيعكس ضعف بتصميم “جدران الحماية”، وأنظمة التشفير.
• أما إذا كان التعطيل سببه إغراق “السيرفر” بالطلبات، فهالشي بيعني إنو التطبيق ما فيه خدمات الحماية السحابية المتقدمة، وهي أدوات أساسية لأي تطبيق بيتعامل مع تدفقات مالية.

تعطيل التطبيق عمل موجة جدل وانتقادات، ووصفوا التطبيق بإنو “هش” وما بيرتقي ليكون جهة معتمدة لدفع الرواتب والتحويلات المالية.

وحسب الخبير التقني، هالانتقادات مو بس آراء عاطفية، فمن الناحية التقنية ممكن هالشي يعني إنو “API” (واجهة برمجة التطبيقات)، واللي عادة بيكون مسؤول عن ربط الواجهة الأمامية مع الخلفية الخاصة بالتطبيق، مو محمي كفاية ضد “حقن الكود” (Injection)، وهي طريقة احترافية للاختراق أو تجاوز الصلاحيات (Broken Access Control)، واللي ممكن المخترق يوصلها.

بعد العطل اللي صار للتطبيق، انتقل ليشتغل على نطاق (Domain) جديد اسمو “shamcash[.]sy”. هالتحول ما كان مجرد تغيير تقني، بس خبراء تقنيين وصفوه بإنو بيحمل مخاطر أمنية بتتعلق بطريقة إدارة “السيرفرات” الرسمية بسوريا، وارتباطات التطبيق بشركات تطوير مو معروفة.

بهاد السياق، الخبير التقني نضال فاعور فسّر إنو الانتقال السريع لنطاق “shamcash.sy” بعد التعطيل، بيحمل دلالات تقنية خطيرة، أهمها:

• الارتباط بالبنية التحتية الرسمية: الاعتماد على نطاق بينتهي بـ “sy.” بيعني إنو “السيرفرات” بتنعدل محلياً، أو تحت سلطة مزود الخدمة الرسمي، وهالانتقال ممكن يكون محاولة للهروب من هجمات خارجية، بس بيحط بيانات المستخدمين ببيئة “مغلقة” ممكن ما يكون فيها تحديثات الأمان العالمية.
• غياب الخدمة بشكل كامل: وهالشي بيذكر السوريين بتطبيق “تكامل”، بفترة النظام السابق، واللي كان بيتعطل بسبب كتر الضغط على “السيرفرات”.
• التطبيق مو مبني بجهود ذاتية احترافية، بل هو عبارة عن “نسخة معاد تسميتها” (White-label) من برمجيات جاهزة فيها ثغرات معروفة (Zero-day vulnerabilities)، وهالشي بيسهل مهمة أي ناشط تقني باستهدافه.
• التخبط بنقل النطاقات بيدل على غياب بروتوكول “التعافي من الكوارث” (Disaster Recovery)، بالشركات الكبيرة، ما بيتغير الدومين فجأة، بل بيتم تفعيل “سيرفرات” بديلة (Redundancy) بشكل آلي بدون ما يحس المستخدم.

فاعور ختم كلامه باقتراحات لمجموعة خطوات، ممكن تنقذ التطبيق من الناحية التقنية، وهي:

1. تدقيق أمني خارجي (Third-party Security Audit): يتعاقدوا مع شركات أمن سيبراني مستقلة لتعمل “اختبار اختراق” (Penetration Testing) شامل.
2. تشفير البيانات من طرف لطرف (End-to-End Encryption): ليضمنوا إنو حتى لو اخترقوا “السيرفر”، بتضل بيانات المستخدمين عبارة عن طلاسم ما ممكن تنقرا.
3. الشفافية التقنية: يصدروا بيان بيوضح طبيعة الثغرة اللي استغلوها والإجراءات اللي اتخذوها لسدها بدال سياسة الصمت أو التبريرات اللي مالها علاقة بالتقنية.
4. تفعيل المصادقة الثنائية (2FA): كخط دفاع أخير للمستخدم ليحمي حسابه حتى لو تعرضت المنصة لهجوم.

فاعور لخص حديثه بإنو حادثة “شام كاش” هي جرس إنذار بإنو “التحول الرقمي” مو بس يعني إطلاق تطبيقات برمجية، بل بناء قلاع رقمية قادرة تصمد قدام الهجمات خصوصاً لما يكون الموضوع بيتعلق بمصاري ومدخرات الناس.

الجدل ما صار بس على أمان التطبيق وحماية حسابات المودعين وأرصدتهم، بل كمان تطرق للموقف القانوني، وهالشي ولّد أسئلة كتير عن حماية القانون لحسابات المستخدمين بـ “شام كاش”، وكيف الإجراءات القانونية اللي بتلزمه بحماية حسابات مستخدميه.

الخبير القانوني والمتخصص بحقوق الإنسان والقانون الجنائي الدولي، المعتصم الكيلاني، قال إنو الجدل القائم حوالين تطبيق “شام كاش” بيرتبط بشكل أساسي بمسألة الصفة القانونية والجهة اللي بتشغل التطبيق، فالأصل بأي خدمة مالية رقمية أو محفظة إلكترونية إنها بتعتبر نشاط مالي خاضع لرقابة السلطة النقدية بالدولة، وغالباً بيكون هالشي تحت إشراف المصرف المركزي أو هيئة تنظيم المدفوعات.

وبالتالي فإنو تقديم خدمات تحويل المصاري أو إدارة المحافظ الرقمية بيفترض وجود شخص اعتباري محدد ومسجل قانونياً بيتحمل المسؤولية المدنية والجزائية عن إدارة هالخدمة.

الكيلاني قال إنو بحال ظلت ملكية التطبيق أو الجهة اللي بتشغله مو واضحة بشكل رسمي، هالشي بيخلق مشكلة قانونية بتتعلق بمبدأ تحديد المسؤولية القانونية، لأنو المستخدم ما بيقدر يحدد الطرف اللي ممكن يرجع عليه قانونياً بحال صار ضرر مالي أو تقني. واعتبر الكيلاني إنو هالغموض بيحط التطبيق بمنطقة قانونية رمادية، خصوصاً إذا كان عم يُستخدم على نطاق واسع بالتعاملات المالية اللي بتتعلق بالمواطنين.

من زاوية القانون الإداري، الخبير القانوني بيشوف إنو اعتماد جهة حكومية أو شبه حكومية لتطبيق مالي محدد بعمليات الدفع أو التحويلات بيفرض التزام قانوني على هالجهة بضمان الأمان القانوني والمالي للمستخدمين.

فبمجرد ما صارت هالوسيلة جزء من المنظومة المالية المعتمدة بالتعاملات الرسمية، هالشي بيفترض وجود إطار قانوني واضح بينظم عملها، وبيحدد حقوق المستخدمين وواجبات الجهة اللي بتشغلها، وآليات الرقابة والتدقيق المالي والتقني.

وشرح إنو بحال غابت هالعناصر، ممكن نقول إنو في خلل بمبدأ الشفافية الإدارية وبمبدأ حماية المال الخاص للمواطنين، لأنو الأفراد ممكن يلاقوا حالهم مضطرين يستخدموا نظام مالي ما فيه الضمانات القانونية الكافية.

وبخصوص مسألة تعطيل التطبيق أو استهدافه إلكترونياً، الأمر، حسب الكيلاني، بيطرح أسئلة جدية عن مستوى الأمن السيبراني والبنية التقنية اللي بيقوم عليها التطبيق.

فالتطبيقات اللي بتدير عمليات مالية لازم تخضع لمعايير صارمة بمجال حماية البيانات والأنظمة الرقمية، لأنو أي خلل بهالمنظومة ممكن يؤدي لاختراق البيانات الشخصية أو التلاعب بالأرصدة المالية.

التقارير التقنية اللي حكت عن التطبيق أشارت لمخاوف بتتعلق بآليات حماية البيانات وإدارة المعلومات الحساسة، وهالشي بيكتسب أهمية مضاعفة لما يكون التطبيق بيتعلق بعمليات تحويل المصاري أو تخزين بيانات مالية للمستخدمين، هيك قال الكيلاني.

“ولو افترضنا نظرياً صار اختراق كامل للتطبيق أو ضاعت مصاري المستخدمين نتيجة خلل تقني أو هجوم إلكتروني، فالمسؤولية القانونية بهالحالة لازم تقع على الجهة اللي بتشغل الخدمة المالية، باعتبارها المسؤولة عن إدارة النظام وضمان سلامته التقنية”، حسب تعبيره.

وفسّر هالشي بإنو بالأنظمة المالية المنظمة، المؤسسات المالية عادة بتتحمل المسؤولية المدنية عن الأضرار اللي بتصير للعملاء نتيجة الإهمال أو ضعف الحماية التقنية، وممكن تكون ملزمة بتعويض المتضررين.

بس المشكلة بحالة تطبيق متل “شام كاش” بتكمن بصعوبة تحديد الطرف المسؤول بشكل دقيق إذا ما كانت الملكية أو البنية القانونية للتطبيق واضحة، وهالشي ممكن يخلق فراغ قانوني بيخلي عملية المطالبة بالتعويض أصعب بكتير للمستخدمين.

الخبير القانوني لخص كلامه بإنو القضية مو بس بتتعلق بوجود تطبيق للتحويلات المالية، بل بمدى وضوح الإطار القانوني والتنظيمي اللي بيشتغل ضمنه، فنجاح أي نظام مالي رقمي بيعتمد على توفر تلات عناصر أساسية:

• تحديد الجهة المسؤولة قانونياً.
• خضوع النظام لرقابة مالية وتنظيمية واضحة.
• توفير ضمانات قانونية وتقنية كافية لحماية مصاري المستخدمين وبياناتهم.

وبحال غابت هالعناصر، فالمخاوف القانونية حوالين التطبيق بتضل مبررة من وجهة نظر قانونية بحتة.

بعض مستخدمي التطبيق بيعانوا من تجميد الحسابات فجأة أو تعطيلها، وهالشي بيضطرهم ليعانوا ويروحوا على أحد الفروع ليعالجوا العطل، واللي ممكن يستمر لأيام.

أما بخصوص شكاوى المستخدمين حوالين سوء الخدمات أو تجميد الحسابات فجأة، الكيلاني بيشوف إنو المسألة لازم تخضع لقواعد العلاقة التعاقدية بين المستخدم ومقدم الخدمة.

فالقانون المالي والتجاري، حسب رأيه، بيفرض عادة إنو شروط استخدام الخدمة تكون واضحة ومعلنة، وإنو أي إجراء متل تجميد الحساب يكون مبني على سبب قانوني مشروع، متل الشك بعمليات احتيال أو مخالفة لشروط الاستخدام.

وبكل الأحوال لازم يُمنح المستخدم حق الاعتراض على القرار، وإنو يكون فيه آلية قانونية واضحة لاسترجاع المصاري أو تسوية النزاعات.

وبحال ما كان فيه جهة رقابية أو نظام واضح لمعالجة الشكاوى، هالشي بيحط المستخدم بحالة ضعف قانوني لأنو ما عنده وسيلة فعالة ليدافع عن حقوقه المالية، هيك ختم الكيلاني.

بمنتصف نيسان 2025، وزارة المالية السورية قررت تودع كل رواتب العاملين بالقطاع العام عن طريق تطبيق “شام كاش”، على أساس إنو يتم اعتماده كوسيلة رسمية لدفع الرواتب، من بداية أيار 2025.

التعميم اللي صدر عن وزير المالية، محمد يسر برنية، كان موجه لكل محاسبي الإدارة بالجهات العامة اللي طبيعتها إدارية، والمديرين الماليين بالجهات اللي طبيعتها اقتصادية، وبيطلب فيه يصدروا أوامر الصرف الخاصة برواتب وأجور وتعويضات العاملين، ويودعوها بحساب “شام كاش” المفتوح عند مصرف سوريا المركزي.