تعطيل "شام كاش" يثير الجدل: خبراء يكشفون الثغرات الأمنية والمخاطر القانونية لتطبيق الرواتب السوري

أثار التوقف المؤقت لتطبيق "شام كاش" الأسبوع الماضي جدلاً واسعاً وتساؤلات في الشارع السوري، خاصة بعد اعتماده من قبل الحكومة السورية كوسيلة رسمية لصرف الرواتب اعتباراً من أيار 2025. وقد عادت خدمات التطبيق للعمل لاحقاً بعد إطلاق تحديث جديد، إثر إعلانه في 8 من آذار الحالي عن توقف مؤقت لخدماته بسبب مشكلة تقنية لدى مزودي خدمة "الدومين".

في سياق متصل، تبنى الناشط التقني أنس عيون السود تعطيل التطبيق، مشيراً إلى أن هدفه كان إثبات عدم أهليته ليكون مصدراً أساسياً للتعاملات المالية في سوريا. من جانبه، أوضح "شام كاش" أن الخلل لم يكن نتيجة أي اختراق أو مشكلة أمنية كما تم تداوله، بل حدث بسبب تبليغ ممنهج ومتكرر على "دومين شام كاش" من قبل مجموعة من الأشخاص، مما دفع مزود خدمة الاستضافة إلى إيقاف "الدومين" مؤقتاً وفقاً لسياساته. وأكد التطبيق أن جميع حسابات المستخدمين آمنة وسليمة بالكامل، ولا يوجد أي اختراق أو تسريب للبيانات، وأن جميع "السيرفرات" وقواعد البيانات تعمل بشكل طبيعي. إلا أن الناشط التقني أنس عيون السود ذكر عبر منصة "فيسبوك" أن التطبيق يتجاهل مشكلات المستخدمين والمتضررين من بعض خدماته وتجميد حساباتهم، وأن الفروع خارج مدينة إدلب لا تعالج المشكلات.

ثغرات في عدة مستويات

بعد تعطيل التطبيق، برزت تساؤلات حول مدى أمانه وتأثير الأعطال وحملات التعطيل والاختراق على حسابات المشتركين. الخبير التقني نضال فاعور، في حديثه لـ عنب بلدي، أشار إلى أن نجاح ناشط تقني أو "مخترق" في تعطيل تطبيق مالي بهذا الحجم يدل على وجود ثغرات في عدة مستويات:

• هندسة النظام: في التطبيقات المالية الاحترافية، يتم فصل "واجهة التطبيق" عن "قواعد البيانات" وعن "خادم الهوية". التعطيل الكامل غالباً ما يعني وجود نقطة فشل واحدة، أي أن المهاجم تمكن من الوصول إلى المركز العصبي للنظام، مما يعكس ضعفاً في تصميم "جدران الحماية" وأنظمة التشفير.
• إذا كان التعطيل ناتجاً عن إغراق "السيرفر" بالطلبات، فهذا يعني أن التطبيق يفتقر لخدمات الحماية السحابية المتقدمة، وهي أدوات أساسية لأي تطبيق يتعامل مع تدفقات مالية.

تطبيق "هش"

ولّد تعطيل التطبيق موجة جدل وانتقادات وصفته بأنه "هش" ولا يرقى لأن يكون جهة معتمدة لصرف الرواتب والتحويلات المالية. وبحسب نضال فاعور، فإن هذه الانتقادات ليست مجرد آراء عاطفية، فتقنياً قد يعني ذلك أن "API" (واجهة برمجة التطبيقات)، المسؤول عادة عن ربط الواجهة الأمامية مع الخلفية الخاصة بالتطبيق، غير محمي بشكل كافٍ ضد "حقن الكود" (Injection)، وهي أسلوب احترافي للاختراق، أو "تجاوز الصلاحيات" (Broken Access Control)، التي يمكن للمخترق الوصول إليها.

انتقال لنطاق جديد.. مخاطر أمنية

بعد التعطيل، انتقل التطبيق للعمل على نطاق (Domain) جديد تحت مسمى "shamcash[.]sy". هذا الانتقال لم يكن مجرد تغيير تقني، بل وصفه خبراء تقنيون بأنه يحمل مخاطر أمنية تتعلق بطريقة إدارة "السيرفرات" الرسمية في سوريا وارتباطات التطبيق بشركات تطوير غامضة.

في هذا السياق، فسر الخبير التقني نضال فاعور أن الانتقال السريع إلى نطاق "shamcash.sy" بعد التعطيل يحمل دلالات تقنية خطيرة، أهمها:

• الارتباط بالبنية التحتية الرسمية: الاعتماد على نطاق ينتهي بـ "sy." يعني أن "السيرفرات" تدار محلياً أو تخضع لسلطة مزود الخدمة الرسمي. هذا الانتقال قد يكون محاولة للهروب من هجمات خارجية، لكنه يضع بيانات المستخدمين في بيئة "مغلقة" قد تفتقر لتحديثات الأمان العالمية.
• غياب الخدمة بشكل كلي: وهذا يذكر الشعب السوري بتطبيق "تكامل"، خلال فترة النظام السابق، والذي كان يتعطل بسبب كثرة الضغط على "السيرفرات".
• التطبيق ليس مبنياً بجهود ذاتية احترافية، بل هو عبارة عن "نسخة معاد تسميتها" (White-label) من برمجيات جاهزة تحتوي على ثغرات معروفة (Zero-day vulnerabilities)، مما يسهل مهمة أي ناشط تقني في استهدافه.
• التخبط في نقل النطاقات يشير إلى غياب بروتوكول "التعافي من الكوارث" (Disaster Recovery)، ففي الشركات الرصينة، لا يتم تغيير الدومين بشكل مفاجئ بل يتم تفعيل "سيرفرات" بديلة (Redundancy) بشكل آلي دون أن يشعر المستخدم.

واختتم فاعور حديثه باقتراح مجموعة من الخطوات لإنقاذ التطبيق من الناحية التقنية، وهي:

• تدقيق أمني خارجي (Third-party Security Audit): التعاقد مع شركات أمن سيبراني مستقلة لإجراء "اختبار اختراق" (Penetration Testing) شامل.
• تشفير البيانات من طرف إلى طرف (End-to-End Encryption): لضمان أنه حتى في حال اختراق "السيرفر" تظل بيانات المستخدمين عبارة عن طلاسم غير قابلة للقراءة.
• الشفافية التقنية: إصدار بيان يوضح طبيعة الثغرة التي تم استغلالها والإجراءات التي اتخذت لسدها بدلاً من سياسة الصمت أو التبريرات غير التقنية.
• تفعيل المصادقة الثنائية (2FA): كخط دفاع أخير للمستخدم لحماية حسابه حتى لو تعرضت المنصة لهجوم.

وخلص فاعور إلى أن حادثة "شام كاش" هي جرس إنذار بأن "التحول الرقمي" لا يعني فقط إطلاق تطبيقات برمجية، بل بناء قلاع رقمية قادرة على الصمود أمام الهجمات، خاصة عندما يتعلق الأمر بأموال ومدخرات الناس.

قانونياً.. كيف يُقرأ تعطيل التطبيق؟

الجدل لم يقتصر على جانب أمان التطبيق وحماية حسابات المودعين وأرصدتهم، بل تطرق أيضاً للموقف القانوني، مما ولد تساؤلات حول حماية القانون لحسابات المستخدمين عبر "شام كاش"، وكيفية الإجراءات القانونية التي تلزمه بحماية حسابات مستخدميه.

يرتبط الجدل القائم حول تطبيق "شام كاش" أساساً بمسألة الصفة القانونية والجهة المشغّلة للتطبيق. فالأصل في أي خدمة مالية رقمية أو محفظة إلكترونية أنها تُعدّ نشاطاً مالياً يخضع لرقابة السلطة النقدية في الدولة، وغالباً ما يكون ذلك تحت إشراف البنك المركزي أو هيئة تنظيم المدفوعات، بحسب الخبير القانوني والمتخصص في مجال حقوق الإنسان والقانون الجنائي الدولي، المعتصم الكيلاني.

وبالتالي، فإن تقديم خدمات تحويل الأموال أو إدارة المحافظ الرقمية يفترض وجود شخص اعتباري محدد ومسجل قانوناً يتحمل المسؤولية المدنية والجزائية عن إدارة هذه الخدمة. وفي حال بقيت ملكية التطبيق أو الجهة المشغلة له غير واضحة بصورة رسمية، بحسب الكيلاني، فإن ذلك يخلق إشكالية قانونية تتعلق بمبدأ تحديد المسؤولية القانونية، لأن المستخدم لا يستطيع تحديد الطرف الذي يمكن الرجوع عليه قانوناً في حال وقوع ضرر مالي أو تقني. واعتبر الكيلاني أن هذا الغموض يضع التطبيق في منطقة قانونية رمادية، خصوصاً إذا كان يُستخدم على نطاق واسع في معاملات مالية تتعلق بالمواطنين.

التزام قانوني على الجهة الحكومية

من زاوية القانون الإداري، يرى الخبير القانوني المعتصم الكيلاني أن اعتماد جهة حكومية أو شبه حكومية لتطبيق مالي محدد في عمليات الدفع أو التحويلات يفرض التزاماً قانونياً على تلك الجهة يتمثل في ضمان الأمن القانوني والمالي للمستخدمين. فمتى أصبحت هذه الوسيلة جزءاً من المنظومة المالية المعتمدة في التعاملات الرسمية، فإن ذلك يفترض وجود إطار قانوني واضح ينظم عملها، ويحدد حقوق المستخدمين وواجبات الجهة المشغلة، وآليات الرقابة والتدقيق المالي والتقني.

وشرح الكيلاني أنه في حال غياب هذه العناصر، يمكن القول إن هناك خللاً في مبدأ الشفافية الإدارية وفي مبدأ حماية المال الخاص للمواطنين، لأن الأفراد قد يجدون أنفسهم مضطرين لاستخدام نظام مالي لا تتوافر فيه الضمانات القانونية الكافية.

صعوبة تحديد الطرف المسؤول

وفيما يخص مسألة تعطيل التطبيق أو استهدافه إلكترونياً، فالأمر، وفقاً للكيلاني، يطرح تساؤلات جدية حول مستوى الأمن السيبراني والبنية التقنية التي يقوم عليها التطبيق. فالتطبيقات التي تدير عمليات مالية يجب أن تخضع لمعايير صارمة في مجال حماية البيانات والأنظمة الرقمية، لأن أي خلل في هذه المنظومة قد يؤدي إلى اختراق البيانات الشخصية أو التلاعب بالأرصدة المالية.

التقارير التقنية التي تناولت التطبيق أشارت إلى مخاوف تتعلق بآليات حماية البيانات وإدارة المعلومات الحساسة، وهو أمر يكتسب أهمية مضاعفة عندما يتعلق التطبيق بعمليات تحويل الأموال أو تخزين بيانات مالية للمستخدمين، قال الكيلاني. وأضاف: "ولو افترضنا من الناحية النظرية حدوث اختراق كامل للتطبيق أو ضياع أموال المستخدمين نتيجة خلل تقني أو هجوم إلكتروني، فإن المسؤولية القانونية في هذه الحالة يجب أن تقع على عاتق الجهة المشغلة للخدمة المالية، باعتبارها المسؤولة عن إدارة النظام وضمان سلامته التقنية". وفسر ذلك بأن في الأنظمة المالية المنظمة تتحمل المؤسسات المالية عادة المسؤولية المدنية عن الأضرار التي تلحق بالعملاء نتيجة الإهمال أو ضعف الحماية التقنية، وقد تكون ملزمة بتعويض المتضررين. غير أن الإشكالية في حالة تطبيق مثل "شام كاش" تكمن في صعوبة تحديد الطرف المسؤول بصورة دقيقة إذا لم تكن الملكية أو البنية القانونية للتطبيق واضحة، وهو ما قد يخلق فراغاً قانونياً يجعل عملية المطالبة بالتعويض أكثر تعقيداً بالنسبة للمستخدمين.

عناصر نجاح أي نظام مالي رقمي

ويخلص الخبير القانوني المعتصم الكيلاني إلى أن القضية لا تتعلق فقط بوجود تطبيق للتحويلات المالية، بل بمدى وضوح الإطار القانوني والتنظيمي الذي يعمل ضمنه، فنجاح أي نظام مالي رقمي يعتمد على توفر ثلاثة عناصر أساسية:

• تحديد الجهة المسؤولة قانوناً.
• خضوع النظام لرقابة مالية وتنظيمية واضحة.
• توفير ضمانات قانونية وتقنية كافية لحماية أموال المستخدمين وبياناتهم.

وفي حال غياب هذه العناصر، فإن المخاوف القانونية حول التطبيق تبقى مبررة من وجهة نظر قانونية بحتة.

شكاوى المستخدمين.. يجب إسنادها لقواعد العلاقة التعاقدية

يعاني بعض مستخدمي التطبيق من تجميد الحسابات فجأة أو تعطيلها، مما يضطرهم لمعاناة الذهاب لأحد الفروع ومعالجة العطل، والتي قد تستمر لأيام. أما فيما يتعلق بشكاوى المستخدمين حول سوء الخدمات أو تجميد الحسابات بشكل مفاجئ، فيرى الكيلاني أن المسألة يجب أن تخضع لقواعد العلاقة التعاقدية بين المستخدم ومقدم الخدمة. فالقانون المالي والتجاري، وفق رأيه، يفرض عادة أن تكون شروط استخدام الخدمة واضحة ومعلنة، وأن يكون أي إجراء مثل تجميد الحساب مبنياً على سبب قانوني مشروع، مثل الاشتباه بعمليات احتيال أو مخالفة لشروط الاستخدام. وفي جميع الأحوال يجب أن يُمنح المستخدم حق التظلم والطعن في القرار، وأن تتوافر آلية قانونية واضحة لاستعادة الأموال أو تسوية النزاعات. وفي حال لم تكن هناك جهة رقابية أو نظام واضح لمعالجة الشكاوى، فإن ذلك يضع المستخدم في حالة ضعف قانوني لأنه لا يملك وسيلة فعالة للدفاع عن حقوقه المالية، حسبما ختم الكيلاني.

يذكر أنه في منتصف نيسان 2025، قررت وزارة المالية السورية إيداع كل رواتب العاملين في القطاع العام عبر تطبيق "شام كاش"، على أن يتم اعتماده كوسيلة رسمية لصرف الرواتب، اعتباراً من مطلع أيار 2025. التعميم الصادر عن وزير المالية، محمد يسر برنية، كان موجهًا إلى جميع محاسبي الإدارة في الجهات العامة ذات الطابع الإداري، والمديرين الماليين في الجهات ذات الطابع الاقتصادي، ويطلب فيه إصدار أوامر الصرف الخاصة برواتب وأجور وتعويضات العاملين، وإيداعها في حساب "شام كاش" المفتوح لدى مصرف سوريا المركزي.