ธปท. ประกาศเกณฑ์ใหม่ ต้น พ.ค.นี้! สถาบันการเงิน-ผู้ให้บริการชำระเงิน ต้อง ‘ร่วมรับผิดชอบ’ หากลูกค้าถูกโจมตีไซเบอร์
กรุงเทพฯ – ธนาคารแห่งประเทศไทย (ธปท.) เตรียมออกประกาศกำหนดมาตรฐานใหม่สำหรับสถาบันการเงินและผู้ให้บริการชำระเงินภายในต้นเดือนพฤษภาคม 2568 นี้ เพื่อยกระดับการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ตามที่พระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 มีผลบังคับใช้ตั้งแต่วันที่ 13 เมษายน 2568
นางรุ่ง มัลลิกะมาส รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน ธปท. เปิดเผยว่า ธปท. สนับสนุนหลักการของ พ.ร.ก. ฉบับนี้ ซึ่งกำหนดให้ผู้ให้บริการในภาคการเงินและโทรคมนาคม รวมถึงผู้ให้บริการอื่น ๆ ที่เกี่ยวข้อง ต้องยกระดับการดูแลลูกค้า และมีส่วนร่วมรับผิดชอบความเสียหาย หากละเลยการปฏิบัติตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนด จนทำให้ลูกค้าได้รับความเสียหาย
สำหรับประกาศที่จะออกมาโดย ธปท. จะมุ่งเน้นไปที่สถาบันการเงิน (ทั้งธนาคารพาณิชย์และสถาบันการเงินเฉพาะกิจ) และผู้ประกอบธุรกิจบริการการชำระเงินที่ได้รับใบอนุญาตประเภทการให้บริการเงินอิเล็กทรอนิกส์ (e-money) โดยสรุปสาระสำคัญของมาตรฐานที่ต้องดำเนินการ มีดังนี้
1. การป้องกันการสวมรอยเปิดบัญชีและการสวมรอยใช้งานโมบาย แบงก์กิ้ง
- มีกระบวนการรู้จักลูกค้า (KYC: Know Your Customer) ที่เข้มข้นขึ้น
- ห้ามแนบลิงก์ที่อาจก่อให้เกิดความเสียหายผ่าน SMS และอีเมล
- ลูกค้าสามารถใช้บริการโมบาย แบงก์กิ้งของแต่ละสถาบันการเงินได้เพียง 1 ชื่อผู้ใช้งานต่อ 1 อุปกรณ์เคลื่อนที่เท่านั้น
- กำหนดให้มีการยืนยันตัวตนด้วยเทคโนโลยีเปรียบเทียบใบหน้าและการตรวจจับการปลอมแปลงชีวมิติ (Biometric) สำหรับธุรกรรมที่มีความเสี่ยงสูง เช่น การโอนเงินตั้งแต่ 50,000 บาทขึ้นไปต่อครั้ง หรือยอดรวมเกิน 200,000 บาทต่อวัน หรือการปรับเพิ่มวงเงินโอน
- ตรวจสอบการเปลี่ยนแปลงแอปพลิเคชันของสถาบันการเงินทุกครั้งที่ลูกค้าเข้าใช้งาน และต้องไม่อนุญาตให้ใช้งานหากแอปฯ ถูกเปลี่ยนแปลง
- ห้ามไม่ให้แอปฯ โมบาย แบงก์กิ้ง ทำงานบนอุปกรณ์ที่กำลังใช้งานแอปฯ อื่นที่มีพฤติกรรมเสี่ยง เช่น แอปฯ ควบคุมระยะไกล หรือแอปฯ ที่ดักจับข้อมูลหน้าจอ
2. การจำกัดความเสียหายและการจัดการบัญชีม้า
- แจ้งเตือนการทำธุรกรรมทุกครั้งที่มีการโอนเงินออกจากบัญชี โดยไม่คิดค่าใช้จ่าย ผ่านช่องทางต่างๆ เช่น โมบาย แบงก์กิ้ง, LINE, SMS, หรืออีเมล
- มีกระบวนการระงับการทำธุรกรรมและนำส่งข้อมูลตามแนวทางของศูนย์ปฏิบัติการเพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ศปอท.)
- ดำเนินการตามข้อมูลบัญชีม้าจากระบบ Central Fraud Registry (CFR) เช่น ระงับเงินเข้า-ออกทุกบัญชีของเจ้าของบัญชีม้าดำ (บัญชีที่เข้าข่ายความผิดตามข้อมูล ปปง.) และปฏิเสธการเปิดบัญชีใหม่สำหรับบุคคลเหล่านี้ รวมถึงดำเนินการตามระดับความเสี่ยงสำหรับบัญชีม้าเทาเข้มและเทาอ่อน
3. กระบวนการรับแจ้งเหตุภัยทุจริตดิจิทัลที่รวดเร็ว
- จัดให้มีช่องทางติดต่อเร่งด่วน (hotline) ผ่านโทรศัพท์ หรือช่องทางอิเล็กทรอนิกส์ ที่ผู้เสียหายสามารถติดต่อเจ้าหน้าที่ได้ตลอด 24 ชั่วโมง ทั้งในและนอกเวลาทำการ
นางรุ่งกล่าวย้ำว่า การแก้ไขปัญหาภัยทุจริตทางการเงินต้องอาศัยความร่วมมือจากทุกฝ่าย แม้ พ.ร.ก. จะกำหนดความรับผิดชอบของผู้ให้บริการ แต่ประชาชนก็ต้องใช้ความระมัดระวังในการใช้บริการทางการเงินเช่นกัน โดยไม่ควรกดลิงก์ที่ไม่รู้จัก ระวังการรับสายจากผู้แอบอ้าง และตรวจสอบการทำธุรกรรมอย่างรอบคอบ เพื่อป้องกันตนเองจากการตกเป็นเหยื่ออาชญากรรมทางเทคโนโลยี