القضية ليست الرخصة.
بل حماية النظام الماليردّا على بيان «العسجد»: لماذا لا تكفي الطمأنة العامة حين يتعلق الأمر ببنية مالية سياديةحين تصدر شركة بياناً رسمياً بعد أسابيع من الصمت، تختار فيه أن تشكر «كل من دعم الفكرة وأسهم في إنجاحها» قبل أن تُجيب عن سؤال واحد محدد، فهي لا تخاطب الرأي العام، بل تخاطب انطباعه فقط.
هذا بالضبط ما فعلته «شركة العسجد للحلول الرقمية والذكية» في بيانها الأخير: بيان ينطلق من افتراض أن الرأي العام لا يميز بين منح رخصة تجارية عادية ومنح ترخيص لتشغيل إحدى أكثر البنى التحتية حساسية في الدولة.
فانصرف إلى الدفاع عن قضية لم تكن أصلاً محل نزاع – أن «الرخصة ليست حصرية» – بينما تجاهل تماماً الأسئلة الجوهرية التي يطرحها المختصون في الاقتصاد والمصارف وأمن المعلومات.
لا أحد يعترض على حصول شركة خاصة على رخصة؛ الاعتراض على أن تشغيل محوّل مالي وطني، وهو نقطة الارتكاز التي تمر عبرها البيانات والتعليمات المالية بين المؤسسات المصرفية كافة، يختلف جذرياً عن تشغيل تطبيق دفع إلكتروني أو بوابة تجارية عادية.
في المنطق، هذا اسمه مغالطة رجل القش (Straw Man Fallacy): أن تختار خصماً أضعف مما طُرح فعلاً، ثم تهزمه بسهولة أمام الجمهور.
فالمنتقدون لم يقولوا «لماذا أخذت العسجد الرخصة؟ » – وهذا السؤال الذي ردّ عليه البيان بإسهاب.
بل قالوا: «هل يملك السودان أصلاً قانوناً ينظّم تشغيل مشغّل خاص للبنية التحتية الوطنية للمدفوعات؟ » وهذا السؤال تحديداً، الأهم من بينها جميعاً، لم يُجب عليه البيان بكلمة واحدة.
يبدو أن من صاغ البيان ظنّ أنه يخاطب جمهوراً يكفيه أن يسمع عبارة «أفضل الممارسات الدولية» و«البنك الدولي» ليصفّق ويهدأ.
لكن هذا زمن الإنترنت، لا زمن العزلة عن العالم؛ فالمواطن السوداني اليوم، رغم الحرب والانهيار، يملك من الوعي الرقمي ما يكفي لطرح سؤال بسيط: إن كانت هذه فعلاً «ممارسة دولية معتمدة»، فلماذا لا تُنشر تفاصيلها كاملة، بالإحالة إلى وثيقة محددة يمكن لأي مختص أن يراجعها، بدل الاكتفاء بذكر اسم مؤسسة دولية كغطاء عام؟ الاستشهاد بمرجعية غامضة دون تفصيل ليس توضيحاً؛ إنه استخفاف بذكاء من يقرأ.
نصف الحقيقة: ماذا تقول الممارسات الدولية فعلاً؟العبارة المتكررة في البيان أن «هذا هو النهج العالمي» نصف حقيقة لا أكثر.
فالبنك الدولي لا يقول ببساطة «دعوا القطاع الخاص يشغّل أنظمة المدفوعات»؛ بل يقول، قبل ذلك بسنوات: ضعوا قانون المدفوعات، وقانون حماية البيانات، وقواعد الأمن السيبراني، ونظام إدارة المخاطر، وقواعد الحوكمة – ثم، بعد كل ذلك، يمكن الترخيص.
أي أن الترخيص هو آخر حلقة في السلسلة، لا أولها.
والبيان حذف هذه السلسلة كاملة، واكتفى بحلقتها الأخيرة.
فأفضل الممارسات الدولية لا تقتصر على إسناد التشغيل للقطاع الخاص، بل تبدأ أولاً بإقامة منظومة تشريعية ورقابية صارمة: قوانين واضحة لأنظمة المدفوعات، وقواعد لحماية البيانات، وإدارة المخاطر، والأمن السيبراني، واستمرارية الأعمال، والتدقيق المستقل، وآليات مساءلة قانونية فعلية.
ولا يكفي القول إن البنك المركزي «يشرف» على النظام إذا كانت البيئة القانونية نفسها تعاني من فجوات لم تُختبر بعد في ظروف التشغيل الفعلي.
فمبادئ البنى التحتية للأسواق المالية (PFMI)، الصادرة عن لجنة المدفوعات والبنى التحتية للأسواق (CPMI) والمنظمة الدولية لهيئات الأوراق المالية (IOSCO)، تؤكد أن تشغيل أي بنية تحتية مالية يتطلب أعلى مستويات الحوكمة وإدارة المخاطر والشفافية، لأن أي خلل فيها قد يمتد أثره إلى النظام المالي بأكمله، لا إلى شركة واحدة فقط.
كما أن أدبيات البنك الدولي وبنك التسويات الدولية نفسها لا تتحدث عن نموذج واحد ملزم، بل تصنّف ثلاثة نماذج ملكية معترف بها لمحوّلات المدفوعات: ملكية مركزية كاملة، وملكية خاصة كاملة، ونموذج هجين يجمع بين البنك المركزي والقطاع الخاص – وتفرّق بوضوح بين مستوى «الأنظمة الجملية» ذات الأهمية النظامية، حيث تُطبَّق أعلى معايير الحذر، ومستوى «التجزئة» حيث يتّسع مجال القطاع الخاص في واجهة الخدمة للمستهلك لا في جوهر المقاصة والتسوية.
والمفارقة أن السودان لم يكن بحاجة لاستيراد أي نموذج هجين من الخارج، لأنه كان يملكه فعلياً: (EBS) كانت مملوكة بنسبة 49% لبنك السودان المركزي، و21% لمجموعة المصارف، و30% لسوداتل – وهو عين النموذج الذي توصي به الأدبيات الدولية.
فالانتقال منه إلى شركة خاصة صرفة ليس «تطبيقاً للممارسات الدولية» كما يزعم البيان، بل تراجعٌ عنها.
والتجارب الدولية تؤكد ذلك: كثير من الدول أبقت أنظمة التسوية الإجمالية الفورية (RTGS) والبنية الأساسية للمدفوعات تحت إدارة أو رقابة مباشرة من البنك المركزي، وحتى حين تستعين بمشغلين من القطاع الخاص، فإن ذلك يتم ضمن منظومات قانونية ورقابية ناضجة، لا بمجرد إصدار ترخيص.
والبنك الدولي تحديداً – الذي استند إليه البيان كسند لسلامة التجربة – لم يدعُ في أيٍّ من أدبياته إلى خصخصة البنية التحتية للمدفوعات في غياب الأطر القانونية والرقابية اللازمة، بل يشدد دائماً على أن نجاح أي إصلاح يبدأ بالحوكمة الرشيدة، واستقلال الجهة المنظمة، وإدارة المخاطر، وحماية المستهلك – قبل الحديث عن نموذج التشغيل أصلاً.
الاستشهاد باسم مؤسسة دولية لا يعني تلقائياً أنها تؤيد هذا التطبيق بالذات؛ فمن يذكر النصف الذي يخدمه من الصورة ويتجاهل نصفها الآخر لا يشرح، بل ينتقي.
الأسئلة التي تجاهلها البيانتجنّب البيان الإجابة عن أسئلة أكثر أهمية بكثير من الحديث عن «عدم الاحتكار»:ما هو القانون الذي ينظّم تشغيل مشغّلي المحوّلات المالية الخاصة في السودان؟هل توجد منظومة مستقلة لحماية البيانات المالية الشخصية؟ما هي معايير الأمن السيبراني الملزمة للمشغّل؟هل خضع النظام لاختبارات مستقلة لاختراق الأنظمة (Penetration Testing) وللتدقيق الأمني؟من يتحمّل المسؤولية القانونية إذا وقع اختراق أو تسريب أو تعطّل واسع للخدمة؟هل توجد قواعد واضحة لفصل البيانات، وإدارة مفاتيح التشفير، وسجلات التدقيق، واستمرارية الأعمال والتعافي من الكوارث؟هذه هي الأسئلة التي ينتظر الرأي العام إجاباتها، لا مجرد التأكيد أن الرخصة «ليست حكراً» على شركة بعينها.
فالقول بأن الباب مفتوح لأي شركة مؤهلة أخرى لا يُجيب عن السؤال الذي طُرح أصلاً: لماذا كانت «العسجد» تحديداً – شركة لم تكمل عامها الأول – أول من يعبر هذا الباب؟ وهل عبرته عبر منافسة معلنة شفافة، أم عبر تواصل مباشر لم يطّلع عليه أحد؟ الانفتاح المستقبلي المفترض لا يُبرّئ شفافية القرار الأول بأثر رجعي.
في جميع الأدبيات الدولية، تُصنَّف هذه المنصات تحت مسمى «بنية تحتية للسوق المالي» (Financial Market Infrastructure – FMI)، لا «شركة برمجيات» (Software Company)، ولا «منصة تقنية مالية» (FinTech Platform).
والفرق بين المسميين هائل: فالمحوّل يرى كل أوامر الدفع، وكل التحويلات، وكل الحسابات المرتبطة بها، والعلاقات بين البنوك، وأنماط حركة الأموال – أي أنه يملك ما يُعرف بـ«البيانات الوصفية المالية» (Financial Metadata)، وهي اليوم مورد استراتيجي لا تقل قيمته عن النفط.
تعامُل بيان «العسجد» مع هذا المرفق وكأنه مجرد تطبيق تقني ناجح، لا بنية تحتية مالية حرجة، هو في حد ذاته تصغير متعمَّد لحجم ما يجري.
أين قانون حماية البيانات؟ربما هذه أخطر نقطة في الملف كله.
ففي أوروبا توجد اللائحة العامة لحماية البيانات (GDPR)، وفي أكثر من دولة خليجية توجد قوانين وطنية صريحة لحماية البيانات.
أما في السودان، فأين هذا القانون؟ إن لم يوجد، فبأي أساس قانوني تُعاقَب الشركة إن سرّبت بيانات؟ ومن يراجع صلاحيات موظفيها في الاطلاع على حسابات الناس؟ ومن يحدّد مدة الاحتفاظ بالبيانات قبل إتلافها؟ ومن يراقب النسخ الاحتياطية ومواقع تخزينها؟ هذه أسئلة إجرائية بسيطة في ظاهرها، لكن غياب إجابة واحدة عنها يعني عملياً أن حماية بيانات الملايين متروكة لحسن نية شركة واحدة، لا لنص قانوني ملزم.
الأمن السيبراني: قائمة لم يُجب عنها أحدكل مشغّل عالمي لبنية تحتية بهذا الحجم يخضع، كحد أدنى، لمنظومة متكاملة من الضوابط الفنية:اختبارات اختراق مستقلة (Penetration Testing) ومراجعات أمنية دورية.
مركز عمليات أمنية (SOC) ونظام لإدارة معلومات وأحداث الأمن (SIEM).
إدارة مفاتيح تشفير عبر وحدات أمان مخصصة (HSM).
بنية «الثقة الصفرية» (Zero Trust Architecture) بدل الثقة الافتراضية بين مكونات النظام.
خطط تعافٍ من الكوارث (Disaster Recovery) وأنظمة تكرار احتياطي (Redundancy).
والسؤال البسيط الذي يفرض نفسه: هل أعلن بنك السودان المركزي أن هذه المتطلبات، كلها أو بعضها، خضعت للمراجعة والتحقق قبل منح الترخيص؟ الإجابة، حتى اللحظة: لا.
كُتب البيان وكأن السودان يعيش ظروفاً طبيعية.
لكن الواقع حرب، وهجمات سيبرانية متصاعدة، وانقسام مؤسسي، وانهيار في مرافق كاملة، ومخاطر موثّقة لتهريب الأموال وغسلها وتمويل أطراف النزاع.
في مثل هذه البيئة تحديداً تتحول البنية التحتية للمدفوعات إلى هدف أمني من الدرجة الأولى، لا إلى مشروع تحديث تقني عادي يمكن التعامل معه بإجراءات زمن السلم.
من يراجع الكود؟ ومن يشغّل النظام إن توقفت الشركة؟إذا كان المحوّل مملوكاً بالكامل لشركة خاصة، فمن يراجع الشيفرة المصدرية (Source Code) للتأكد من خلوّها من ثغرات أو أبواب خلفية؟ هل يملك بنك السودان المركزي نسخة منها؟ هل توجد نسخة مودَعة لدى طرف ثالث محايد (Escrow) يمكن الرجوع إليها عند الحاجة؟ والأهم: هل يستطيع البنك المركزي تشغيل النظام واستمرار الخدمة لو توقفت الشركة فجأة، لأي سبب؟ هذه ليست أسئلة نظرية أو تشكيكاً بلا أساس؛ إنها أسئلة يفرضها معيار PFMI نفسه على أي بنية تحتية مالية حرجة، بصرف النظر عمّن يملكها.
تقول الشركة إنها «مشغّل» لا أكثر.
لكن المشغّل، بحكم موقعه، يرى كل بيانات السوق ومنافسيه.
فهل سيُسمح لها لاحقاً بتقديم خدمات مالية خاصة بها فوق المنصة ذاتها التي تديرها؟ إن حدث ذلك، فستصبح لاعباً في السوق وحكماً عليه في الوقت نفسه – وهو بالضبط تضارب المصالح الذي تحذّر منه كل أدبيات حوكمة البنى التحتية المالية، ولم يتطرق إليه البيان بكلمة.
لم يفوّضكم أحد للاطلاع على حياتنا الماليةهنا يكمن جوهر المشكلة، بعيداً عن كل الجدل الفني: لم يُستفتَ مواطن سوداني واحد قبل أن يُقرَّر أن تمرّ تفاصيل تحويلاته وأرصدته وسلوكه المالي عبر خوادم شركة خاصة عمرها أشهر.
حين يفتح المواطن حساباً في بنك، فهو يمنح ثقته لتلك المؤسسة تحديداً.
أما أن تُنقل تلك الثقة، بقرار إداري فوقي، إلى طرف ثالث لم يختره أحد، فهذا مساس مباشر بحق كل مودع في أن يعرف من يطّلع على معاملاته، ولماذا، وبأي ضمانة قانونية.
ولا يكفي أن تُطمئننا الشركة شفهياً بأنها «ملتزمة بأعلى المعايير»؛ فالسودان، حتى تاريخه، بلا قانون وطني ملزم لحماية البيانات يمنح المواطن حقاً فعلياً للمساءلة إن انتُهكت خصوصيته – وهذا الفراغ التشريعي، لا حسن نية أي شركة، هو المقياس الوحيد الذي ينبغي أن نحتكم إليه.
وفي الحالة السودانية تحديداً تزداد الحساسية بسبب ظروف الحرب، والانقسام المؤسسي، وارتفاع مخاطر الأمن السيبراني، وضعف البنية التشريعية أصلاً – مما يجعل أي انتقال إلى نموذج جديد يحتاج إلى أعلى درجات الشفافية والحوار المهني، لا إلى بيانات علاقات عامة.
تحويل النقاش: من حماية النظام إلى «حرية الاستثمار»أخطر ما في بيان «العسجد» ليس ما قاله، بل الاتجاه الذي حاول دفع النقاش إليه: من سؤال «هل النظام المالي محميّ؟ » إلى سؤال «هل نحن ضد الاستثمار؟ ».
وهذا تضليل بيّن؛ فلا أحد يعترض على الاستثمار الخاص بوصفه مبدأً.
الاعتراض على غياب الضمانات المؤسسية التي يجب أن تسبق أي استثمار في بنية تحتية بهذه الحساسية، لا أن تلحقه أو تُترك دونها بالكامل.
توضيح ضروري: لسنا ضد الاستثمار الخاصولا ينبغي أن يُفهم هذا النقاش على أنه اعتراض على الاستثمار الخاص أو الابتكار التقني؛ العكس هو الصحيح.
فالقطاع الخاص عنصر أساسي في تطوير الخدمات المالية، ولا خلاف على ذلك.
لكن الابتكار لا يمكن أن يكون بديلاً عن الحوكمة، ولا يجوز أن يسبق بناء المؤسسات والقوانين.
القضية، في نهاية المطاف، ليست شركة بعينها، وليست رخصة بعينها، وإنما حماية النظام المالي السوداني، وصون سرية البيانات المالية، والحفاظ على ثقة المودعين والعملاء.
فالثقة هي رأس المال الحقيقي لأي نظام مدفوعات، وهذه الثقة لا تُبنى بالبيانات الإعلامية المصقولة، وإنما بالقوانين الواضحة، والرقابة المستقلة، والشفافية الكاملة.
لو كانت الشركة واثقة فعلاً مما تقول، فالطريق مفتوح أمامها لإنهاء الجدل من جذوره: أن تنشر للرأي العام، لا أن تكتفي بالتصريح عنها:معايير الترخيص كاملة كما وردت من بنك السودان المركزي.
نتائج اختبارات الاختراق الأخيرة.
شهادات الأيزو المعتمدة (ISO/IEC 27001 وما يعادلها).
تقرير التدقيق الأمني المستقل، إن وُجد.
خطة التعافي من الكوارث واستمرارية الأعمال.
سياسة حماية البيانات المعتمدة داخلياً.
هيكل الملكية الفعلي والإفصاح عن المستفيد الحقيقي (Ultimate Beneficial Owner).
عندها فقط يبدأ النقاش المهني الجاد؛ أما قبل ذلك، فكل ما لدينا تصريحات طمأنة عامة لا تُغني ولا تُسمن من جوع معلوماتي حقيقي.
والسؤال موجَّه أيضاً إلى بنك السودان المركزي، لا إلى «العسجد» وحدهامن السهل أن يتحول النقاش كله إلى مساءلة شركة واحدة، بينما الجهة الأصل في القرار – الجهة التي منحت الترخيص، ووضعت شروطه، وتتحمل قانوناً مسؤولية الإشراف عليه – هي بنك السودان المركزي، لا «العسجد».
فالشركة، مهما بلغت جرأة بيانها، لا تملك سلطة الترخيص ولا سلطة التنظيم؛ هي فقط الجهة التي استفادت من قرار اتخذه البنك المركزي.
ولذلك فإن إبقاء الضغط على الشركة وحدها، دون توجيهه بالقدر نفسه إلى الجهة الرقابية التي سمحت بما جرى، هو إعفاء غير مقصود للمسؤول الأول عن المساءلة.
المطلوب من بنك السودان المركزي تحديداً، وبالتفصيل، لا العموميات:أن ينشر النص القانوني أو التنظيمي الذي استند إليه في منح رخصة مشغّل المحوّل، لا أن يكتفي ببيانات صحفية عامة عن «الرقابة الكاملة».
أن يوضح، بالتاريخ والمستندات، هل جرت منافسة علنية قبل منح الرخصة، أم كان القرار مباشراً، ولماذا اختير هذا التوقيت تحديداً وسط الحرب.
أن يُفصح عن نتائج أي تقييم فني أجراه، أو كلّف به جهة مستقلة، للتحقق من الجاهزية الأمنية والتشغيلية لأنظمة «العسجد» قبل الترخيص، لا بعده.
أن يحدد بوضوح مصير (EBS) واستثمارات الدولة والمصارف فيها، وهل سيستمر دورها أم يتقلّص، وبأي جدول زمني.
أن يُعلن خطته أو جدوله الزمني لإصدار قانون وطني لحماية البيانات المالية، بدل الاكتفاء باشتراطات داخلية غير منشورة يفرضها على المرخَّص لهم.
أن يوضح آلية الرقابة اليومية الفعلية على «العسجد» بعد الترخيص – من يراجع نظامها؟ وبأي وتيرة؟ وما هي صلاحيات التدخل الفوري عند حدوث خلل؟فالمساءلة هنا مزدوجة بالضرورة: على الشركة أن تُجيب عن أسئلة الحوكمة والشفافية والأمن الخاصة بها، وعلى البنك المركزي أن يُجيب عن الأساس القانوني والرقابي الذي بنى عليه قراره من الأصل.
وأحدهما لا يُغني عن الآخر؛ فبيان علاقات عامة من شركة خاصة لا يمكن أن يكون بديلاً عن مساءلة مؤسسية للجهة التي تملك، فعلياً، سلطة القرار.
إيقاف هذا العبث لم يعد خياراًالمطلوب اليوم ليس مزيداً من البيانات الصحفية المصقولة، بل تعليق العمل بهذا الترخيص إلى حين نشر كامل تفاصيله: القانون الناظم، هيكل الملكية الحقيقي، وثيقة المنافسة إن وُجدت، مصير (EBS) ومساهميها، ومعايير حماية البيانات والأمن السيبراني مكتوبة في قانون لا في تصريح صحفي.
والمشكلة، في جوهرها، ليست في شركة «العسجد» بذاتها، بل في إنشاء سابقة تنظيمية تتعلق ببنية تحتية مالية حرجة، في بيئة قانونية ومؤسسية تعاني أصلاً من تحديات كبيرة.
فإذا لم تُحَط هذه الخطوة بضمانات تشريعية ورقابية وتقنية واضحة، فإن المخاطر لا تقتصر على شركة واحدة، بل قد تمتد إلى الثقة في النظام المصرفي بأكمله.
ومن هنا، فإن العبء لا يقع على الشركة وحدها، بل على بنك السودان المركزي أيضاً، بوصفه الجهة المسؤولة عن إقناع الرأي العام بأن الترخيص يستند إلى إطار قانوني متين، وأن معايير الحوكمة والأمن السيبراني وإدارة المخاطر المطبَّقة تتوافق فعلاً مع أفضل الممارسات الدولية – لا إلى بيان علاقات عامة يكتفي بالقول إن «الرخصة ليست حصرية».
هذا العبث، مهما طال أمده، لا بد أن يتوقف: إما بمساءلة تُفرَض اليوم، أو بفاتورة أثقل تُدفع غداً حين يكتشف السودانيون، متأخرين، أنهم لم يكونوا يوماً طرفاً في القرار الذي تحكّم بأدق تفاصيل حياتهم المالية.
والله من وراء القصد وعليه السبيلCPMI-IOSCO, Principles for Financial Market Infrastructures (PFMI), 2012.
Bank for International Settlements (BIS), تقارير لجنة المدفوعات والبنى التحتية للأسواق (CPMI).
World Bank, Payment Systems Development Group, الأدلة الإرشادية لتطوير أنظمة المدفوعات الوطنية.
Committee on Payments and Market Infrastructures (CPMI), مبادئ الحوكمة وإدارة المخاطر للبنى التحتية المالية.
Financial Stability Board (FSB), تقارير المرونة التشغيلية والأمن السيبراني للبنية التحتية المالية.
ISO/IEC 27001, المعيار الدولي لإدارة أمن المعلومات.
ISO 22301, المعيار الدولي لاستمرارية الأعمال والتعافي من الكوارث.
* باحث في الاقتصاد السياسي السوداني |خبير مصرفي ومالي مستقل.

التعليقات (0)
لا توجد تعليقات حتى الآن. كن أول من يعلق!
أضف تعليقك