'แบงก์ชาติ' จ่อออกประกาศปิดช่องภัยไซเบอร์หลอกโอนเงิน

ความเสี่ยงจากภัยคุกคามไซเบอร์ (cyber threat)และภัยทุจริตทางการเงิน (fraud) หรือเรียกง่ายๆว่า “ภัยมิจฉาชีพทางออนไลน์” ที่สร้างความเสียหายมูลค่ามหาศาล กว่า  7 หมื่นล้านบาท ทำให้หลายหน่วยงานภาครัฐที่เกี่ยวข้องพยายามหาทางแก้ไข ปิดจุดอ่อนที่เป็นช่องทางการหลอกลวง  ซึ่งไม่ว่าทั้งกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(กระทรวงดีอี)สำนักงานตำรวจแห่งชาติ สภาผู้บริโภค  สำนักงานคุ้มครองผู้บริโภค (สคบ) รวมทั้งธนาคารแห่งประเทศไทย(ธปท.) หรือแบงก์ชาติ ได้พยายามพิจารณาหาทางแก้ปัญหาในการปิดความเสี่ยงจากภัยคุกคามทางไซเบอร์  และหนึ่งในมาตรการ นั้นก็พุ่งเป้ามาที่ “การรัษาความมั่นคงปลอดภัยการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ หรือโทรศัพท์มือถือ

” โดยล่าสุดทางธปท. ได้ออกแบบ  (ร่าง) ประกาศธนาคารแห่งประเทศไทยที่ สกช. /2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ พร้อมกับสำรวจความคิดเห็นเกี่ยวกับร่างประกาศดังกล่าว ผ่านทางเว็บไซต์ของธปท. พร้อมทั้งกำหนดให้แสดงความคิดเห็นระหว่างวันที่  2 -31 ธันวาคม 2567 ที่ผ่านมา

สาระสำคัญของร่างประกาศนี้ ก็คือ ธปท.เห็นว่า นับจากปี 2566  ภัยคุกคามไซเบอร์และภัยทุจริตทางการเงิน unauthorized payment fraud มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น สร้างความเสียหายต่อผู้ใช้บริการในวงกว้างส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศธปท. จึงเห็นควรออกหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ เพื่อให้บริการ mobile banking มีมาตรฐานขั้นต่ำที่จำเป็น

ส่วนหลักเกณฑ์การควบคุมการทำธุรกรรมผ่าน Mobile Banking  นั้นก็คือ  ทำธุรกรรมโอนเงินในแต่ละครั้งมีมูลค่า ตั้งแต่ 50,000 บาทขึ้นไป หรือ ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก ๆ 200,000 บาท ในรอบ ระยะเวลา 1 วัน หรือ  ปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน ให้สามารถโอนได้ตั้งแต่50,000 บาท ขึ้นไป

ทั้งนี้ หากการทำธุรกรรมข้างต้นเป็นธุรกรรมที่มีความเสี่ยงต่ำ เช่น การทำธุรกรรมโอนเงินระหว่างบัญชีตนเอง การทำธุรกรรมโอนเงินประจำอัตโนมัติ (automatic recurring transfer) และได้ยืนยันตัวตนไปแล้วในครั้งแรก เป็นต้น อาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติม ตามที่กำหนดข้างต้น

การกำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงินผ่านบริการ mobile banking ให้เหมาะสมตามระดับเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท เพื่อลดความเสียหายเมื่อ ผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทำทุจริต เช่น กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า 15 ปี  ให้กำหนดวงเงินสูงสุดไม่เกิน 50,000 บาทต่อวัน เป็นต้น ทั้งนี้ ผู้ให้บริการโมบาย แบงก์กิ้ง จะต้องนำแนวทางหรือข้อกำหนดที่ได้ จัดทำร่วมกัน เช่น การจัดระดับความเสี่ยงบุคคลตามแนวปฏิบัติในการบริหารจัดการบัญชีเงินฝากที่ถูกใช้ หรืออาจถูกใช้ทำธุรกรรมที่เกี่ยวข้องกับอาชญากรรมทาง เทคโนโลยี(industry standard) เป็นต้น มาใช้ประกอบการจัดระดับความเสี่ยงของกลุ่มผู้ใช้บริการด้วย

ร่างควบคุมนี้  ธปท.ยังกำหนดผู้ให้บริการที่ให้บริการ  mobile banking ทำระบบให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคซับซ้อนขึ้น ประกอบด้วยมาตรการ 2 ส่วน ได้แก่  1.การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ และ  การรักษาความมั่นคงปลอดภัยของแอปพลิเคชัน mobile banking ดังนี้
การป้องกันการสวมรอยทำธุรกรรมแทน หมายถึง  งดเว้นแนบลิงก์ผ่านช่องทางข้อความสั้น (SMS) และช่องทางอีเมล สำหรับ กรณีช่องทางสื่อสังคมออนไลน์ (social media) งดเว้นแนบลิงก์เฉพาะที่เป็นการขอข้อมูลในการยืนยันตัวตนและข้อมูลส่วนบุคคลที่สำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว (one time password : OTP) รหัส PIN หมายเลขบัตรประชาชนชน วันเดือนปีเกิด เป็นต้น เพื่อป้องกันการสวมรอยเป็นผู้ ให้บริการ การขอให้เปิดเผยข้อมูลสำคัญ (social engineering) หรือการถูกติดตั้ง mobile malware หรือในกรณีผู้ใช้บริการดำเนินการร้องขอเอง ผู้ให้บริการสามารถแนบลิงก์ได้เป็นรายครั้ง

ผู้ให้บริการโมบาย แบงก์กิ้ง ยังจะต้องมีกระบวนการติดตามแอปพลิเคชันที่ปลอมแปลงและแอบอ้างเป็นผู้ให้ บริการผ่านช่องทางต่าง ๆ เช่น เว็บไซต์ สื่อสังคมออนไลน์ แพลตฟอร์มที่เป็นทางการ (official app store) เป็นต้น และหากพบปัญหาจะต้องมีกระบวนการรับมือ อย่างทันการณ์ เพื่อลดความเสี่ยงที่ผู้ใช้บริการหลงเชื่อเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือแอปพลิเคชันปลอม

ผู้ให้บริการจะต้องจำกัดการใช้บริการ mobile bankingของผู้ใช้บริการเพียง 1 บัญชีผู้ใช้งาน และจำกัดให้ใช้งานบน 1 อุปกรณ์ของผู้ใช้บริการเท่านั้น

ต้องจัดให้มีการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่าน อุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face recognition) ร่วมกับการตรวจจับการ ปลอมแปลงชีวมิติ(presentation attack detection) เช่น การใช้เทคโนโลยี liveness detection เป็นต้น เพื่อให้เทคโนโลยีเปรียบเทียบใบหน้าสามารถป้องกันการใช้รูปภาพ วิดีโอ หรือการปลอมแปลง ชีวมิติในรูปแบบต่าง ๆ ได้เมื่อธุรกรรมดังกล่าวเป็นธุรกรรมที่เข้าเงื่อนไขอย่างใดอย่างหนึ่ง ดังนี้

นอกจากนี้  ผู้ให้บริการต้องให้บริการ mobile banking ในสภาพแวดล้อมของอุปกรณ์เคลื่อนที่ที่ปลอดภัย เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีอาศัยช่องโหว่ของระบบปฏิบัติการ เข้าถึงmobile banking และบัญชีของผู้ใช้บริการ โดยต้องดำเนินการอย่างน้อยดังนี้  1. ไม่อนุญาตให้แอปพลิเคชันของผู้ให้บริการใช้งานบนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการล้าสมัย (obsolete Operating System : OS) และมีช่องโหว่ที่อาจทำให้เกิดunauthorized payment fraud 2 ไม่อนุญาตให้แอปพลิเคชันของผู้ให้บริการใช้งานบนอุปกรณ์เคลื่อนที่ที่เปิดสิทธิ์ให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken)

ร่างประกาศ ยังไม่อนุญาตให้แอปพลิเคชันของผู้ให้บริการใช้งานบนอุปกรณ์เคลื่อนที่ที่ติดตั้งแอปพลิเคชันอื่นที่มีพฤติกรรมการทำงานที่ต้องสงสัย เช่น แอปพลิเคชันที่ขอสิทธิ์ช่วยเหลือคนพิการ (accessibility services) โดยไม่จำเป็น แอปพลิเคชันที่สามารถควบคุมอุปกรณ์เคลื่อนที่จากระยะไกลได้(remote control) แอปพลิเคชันที่มีการปิดบังหรือขโมยข้อมูลที่แสดงบนหน้าจอของผู้ใช้งาน เป็นต้น เพื่อลดความเสี่ยงที่แอปพลิเคชันของผู้ให้บริการถูกควบคุมหรือเข้าถึงโดย malware ที่มีการติดตั้งบนอุปกรณ์เคลื่อนที่

ทั้งนี้ผู้ให้บริการต้องติดตาม และปรับปรุงการรักษาความมั่นคงปลอดภัยของการให้บริการ mobile banking ให้เท่าทันภัยคุกคามไซเบอร์และภัยทุจริตรูปแบบใหม่ เป็นไปตามมาตรฐานสากลอย่างต่อเนื่อง โดยกรณีที่พบช่องโหว่ใหม่ ผู้ให้บริการต้องเร่งดำเนินการให้มีแนวทางป้องกัน เพื่อปิดช่องโหว่ภายในกรอบเวลาที่เหมาะสม หรือดำเนินการให้แล้วเสร็จภายในระยะเวลาที่ ธปท. กำหนด

ส่วนการขอผ่อนผันการปฏิบัติตามหลักเกณฑ์กรณีที่ผู้ให้บริการมีเหตุจำเป็นหรือพฤติการณ์พิเศษที่ไม่สามารถปฏิบัติตามหลักเกณฑ์ที่กำหนดในประกาศนี้ได้ให้ยื่นขอผ่อนผันเป็นรายกรณีต่อ ธปท. พร้อมแสดงเหตุผลและความจำเป็นรวมถึงแผนการดำเนินการเพื่อให้สามารถปฏิบัติตามหลักเกณฑ์ที่กำหนดได้ต่อไป ทั้งนี้ ธปท. จะพิจารณาให้แล้วเสร็จภายใน 30 วันทำการ นับแต่วันที่ได้รับคำขอและเอกสารถูกต้องครบถ้วน โดย ธปท. อาจจะพิจารณาอนุญาตหรือไม่ก็ได้ หรือกำหนดเงื่อนไขใดๆ ให้ถือปฏิบัติเพิ่มเติมด้วยก็ได้

อย่างไรก็ตาม มีรายงานข่าวว่า การแก้ไขกฎหมายเพื่อให้สถาบันการเงินรับผิดชอบกรณีเกิดความเสียหายจากการถูกหลอกโอนเงินนั้น หน่วยงานที่เกี่ยวข้องอยู่ระหว่างการศึกษาจากประกาศมาตรฐานความปลอดภัยของสิงคโปร์

นอกจากนี้ ร่างประกาศฉบับดังกล่าว หากผ่านการพิจารณาเห็นขอบ การมีผลบังคับใช้  นับตั้งแต่วันถัดจากวันประกาศในราชกิจจานุเบกษาเป็นต้นไป