तौलिहवा — नेपाल इन्भेस्टमेन्ट मेगा बैंक लिमिटेड, तौलिहवा शाखामा भएको करिब १ करोड ६५ लाख रुपैयाँ हिनामिनाको घटनाले नेपालको बैंकिङ क्षेत्रमा डिजिटल सुरक्षा र आन्तरिक नियन्त्रण प्रणालीमाथि गम्भीर प्रश्न खडा गरेको छ। बैंकका कर्मचारी रिशभ कार्कीले १६ जना ग्राहकको बचत अनधिकृत रूपमा आफ्नो खातामा ट्रान्सफर गरेको आरोपमा पक्राउ परेपछि यसले "विश्वासको संकट" र "प्राविधिक जोखिम" दुवैलाई उजागर गरेको छ।

घटनाको विश्लेषण: कसरी भयो बदमासी?

प्रहरी नायब उपरीक्षक रिपेन्द्रकुमार सिंहका अनुसार, वर्षौँदेखि बैंकमा 'मेसेन्जर' का रूपमा कार्यरत कार्कीले अन्य कर्मचारीहरूको विश्वास जितेर उनीहरूको पासपोर्ट र आइडी (ID) जानकारीको दुरुपयोग गरेका थिए। उनले मोबाइल बैंकिङ र कनेक्ट आइपीएस (ConnectIPS) मार्फत रकम ट्रान्सफर गरेका थिए। बैंकको केन्द्रीय कार्यालयले एउटै मोबाइल नम्बरबाट १६ जना फरक-फरक ग्राहकको कारोबार भएको 'अलर्ट' पाएपछि मात्र यो ठगी सार्वजनिक भएको हो।

यस घटनाले के देखाउँछ भने, नेपालका बैंकहरूमा प्राविधिक सुरक्षाभन्दा पनि 'मानवीय आचरण' (Human Factor) र 'आन्तरिक पहुँच नियन्त्रण' (Internal Access Control) मा ठूलो प्वाल छ।

नेपालको अनलाइन बैंकिङ प्रणालीका मुख्य चुनौतीहरू

नेपालमा डिजिटल बैंकिङको प्रयोग तीव्र गतिमा बढे पनि यससँगै जोडिएका चुनौतीहरू चुनौतीपूर्ण बन्दै गएका छन्:

१. आन्तरिक सुरक्षा र कर्मचारीको पहुँच (Insider Threat)

यस प्रकरणमा एक मेसेन्जर तहको कर्मचारीले उच्च अधिकारीको आइडी दुरुपयोग गर्नुले बैंकभित्रको 'युजर म्यानेजमेन्ट' फितलो रहेको पुष्टि गर्छ। कर्मचारीहरूले आफ्नो गोप्य पासवर्ड र ओटीपी (OTP) सेयर गर्ने वा असुरक्षित रूपमा राख्ने प्रवृत्तिले आन्तरिक ठगी (Internal Fraud) लाई प्रश्रय दिएको छ।

२. डिजिटल साक्षरताको अभाव (Low Digital Literacy)

धेरै नेपाली ग्राहकहरू अझै पनि मोबाइल बैंकिङ कसरी सुरक्षित राख्ने भन्नेमा अनभिज्ञ छन्। पासवर्ड अरूलाई भनिदिने, अपरिचित लिंकमा क्लिक गर्ने वा मोबाइल हराउँदा तत्काल बैंकलाई खबर नगर्ने जस्ता कारणले गर्दा ठगहरूलाई सजिलो भएको छ।

३. फितलो साइबर सुरक्षा पूर्वाधार (Cyber Security Infrastructure)

बैंकहरूले सफ्टवेयरमा लगानी गरे पनि 'रियल टाइम फ्रड मनिटरिङ' (Real-time Fraud Monitoring) प्रणाली अझै पूर्ण रूपमा प्रभावकारी हुन सकेको छैन। तौलिहवा प्रकरणमा पनि रकम ट्रान्सफर भइसकेपछि मात्र विवरण देखिनुले 'Pre-emptive' (हुनुभन्दा अघि नै रोक्ने) प्रणालीको कमी देखाउँछ।

४. कानुनी र नियमनकारी चुनौती

नेपालको 'विद्युतीय कारोबार ऐन, २०६३' पुरानो भइसकेको छ। डिजिटल बैंकिङमा हुने नयाँ प्रकृतिका ठगीहरूलाई सम्बोधन गर्न कडा साइबर सुरक्षा कानुन र राष्ट्र बैंकको नियमन अझै सशक्त हुन आवश्यक छ।

निष्कर्ष र सुझाव

तौलिहवाको यो घटनापछि बैंकको केन्द्रीय कार्यालयले दुई कर्मचारीलाई निलम्बन र शाखा प्रमुखलाई स्पष्टीकरण सोधेको छ। तर, कारबाही मात्र समाधान होइन। अबका दिनमा यस्ता घटना दोहोरिन नदिन निम्न कदम चाल्न जरुरी छ:

  • बहु-तह प्रमाणीकरण (MFA): कर्मचारी र ग्राहक दुवैका लागि अनिवार्य बायोमेट्रिक वा 'टु-फ्याक्टर अथेन्टिकेसन' लागू गर्ने।

  • कर्मचारी तालिम: कर्मचारीलाई 'सोसियल इन्जिनियरिङ' र पासवर्ड सुरक्षाबारे कडा प्रशिक्षण दिने।

  • ग्राहक सचेतना: बैंक खाता र मोबाइल बैंकिङको सुरक्षित प्रयोगबारे ग्रामीण स्तरसम्म सचेतना फैलाउने।

  • कडा नियमन: राष्ट्र बैंकले बैंकहरूको 'आइटी अडिट' (IT Audit) लाई अनिवार्य र अझ सूक्ष्म बनाउनुपर्ने।

प्रहरीले आग्रह गरेझैँ, नागरिकले पनि आफ्नो मोबाइल बैंकिङ विवरण कसैलाई नबाँड्न र शंकास्पद कारोबार देखिएमा तत्काल बैंक वा प्रहरीलाई खबर गर्न सचेत रहनुपर्छ।