ธปท.งัด 3 มาตรการชุดใหญ่ ยกระดับป้องกันภัยไซเบอร์ “โอนเงินเกิน 5 หมื่นต้องยืนยันตัวตน-ห้ามส่ง SMS แนบลิงก์-กำหนด 1 บัญชีผู้ใช้ต่อ 1 อุปกรณ์” กำชับสถาบันการเงินทำให้เสร็จภายในเดือน มิ.ย.นี้
วันที่ 9 มีนาคม 2566 นายเศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ปัจจุบันภัยทุจริตทางการเงินมีแนวโน้มเพิ่มขึ้นและหลากหลายรูปแบบ เช่น SMS หลอกลวง แก๊งคอลเซ็นเตอร์ แอปพลิเคชั่นให้สินเชื่อปลอม และแอปพลิเคชั่นดูดเงิน ภัยหลอกลวงเหล่านี้ส่งผลกระทบให้ประชาชนต้องสูญเสียทรัพย์สิน หรือรายได้ที่เก็บออม รวมทั้งขาดความมั่นใจในการใช้บริการทางการเงินดิจิทัลของสถาบันการเงิน ซึ่งอาจส่งผลกระทบในวงกว้างต่อการทำธุรกรรมทางการเงินในระยะต่อไป
- ประกาศแล้ว! พระราชกฤษฎีกาเงินช่วยค่าครองชีพผู้รับเบี้ยหวัดบำนาญ รับ 11,000 บาทต่อเดือน
- หุ้นไทยดิ่งหนัก ตลาดหลักทรัพย์ออก Statement ชี้แจง
- พบรอยร้าวบ่อฝังกลบกากแคดเมียมของ เบาด์ แอนด์ บียอนด์
ธปท. ตระหนักถึงปัญหาความเดือดร้อนของประชาชนดังกล่าว และไม่ได้นิ่งนอนใจ ซึ่งที่ผ่านมาได้ร่วมกับหน่วยงานที่เกี่ยวข้องทั้งในและนอกภาคการเงินดำเนินการแก้ไขปัญหาอย่างต่อเนื่อง บนหลักการป้องกัน ตรวจจับ และตอบสนองรับมือ เพื่อลดช่องทางของมิจฉาชีพ และช่วยแก้ไขปัญหาให้ประชาชนที่ตกเป็นเหยื่อภัยการเงิน รวมทั้งกำชับให้สถาบันการเงินต้องเร่งจัดการปัญหาให้ประชาชนโดยเร็ว ซึ่งหลายเรื่องดำเนินการแล้ว
เช่น ร่วมกับสำนักงาน กสทช. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ปิด SMS ที่แอบอ้างชื่อเป็นสถาบันการเงิน เพื่อป้องกันมิจฉาชีพใช้แอบอ้างติดต่อประชาชน ซึ่งทำให้ภัยหลอกลวงทาง SMS เหล่านี้ลดลง
อย่างไรก็ดี การจัดการและแก้ปัญหาภัยการเงินในปัจจุบันยังมีจุดที่ต้องแก้ไขเพิ่มเติม โดยเฉพาะการเข้าถึงประชาชนของมิจฉาชีพที่ทำได้หลายช่องทางและหลายรูปแบบ กระบวนการอายัดบัญชีผิดปกติของ สง. ที่ยังใช้เวลานาน การซื้อขายบัญชีม้าที่ยังมีอยู่มาก ตลอดจนการแก้ไขปัญหาให้ผู้เสียหาย ในครั้งนี้ ธปท. จึงได้ออกแนวนโยบายเป็นชุดมาตรการจัดการภัยทุจริตทางการเงินที่ดูแลตลอดเส้นทางการทำธุรกรรมทางการเงิน
โดยกำหนดเป็นแนวปฏิบัติขั้นต่ำให้สถาบันการเงินทุกแห่งปฏิบัติตามเป็นมาตรฐานเดียวกัน โดยมีการรักษาสมดุลระหว่างการบริหารจัดการความเสี่ยงกับการส่งเสริมบริการทางการเงินดิจิทัล ซึ่ง ธปท. เห็นว่ามาตรการชุดนี้จะช่วยให้สถาบันการเงินป้องกันความเสี่ยงและแก้ไขปัญหาให้ประชาชนได้อย่างมีประสิทธิภาพยิ่งขึ้น
ทั้งนี้ ชุดมาตรการด้านการป้องกัน ตรวจจับ ตอบสนองและรับมือ สรุปสาระสำคัญได้ ดังนี้
1.มาตรการป้องกัน เพื่อปิดช่องทางที่มิจฉาชีพจะเข้าถึงประชาชนได้มากขึ้น ให้ สง. งดการส่งลิงก์ทุกประเภทผ่าน SMS อีเมล และงดส่งลิงก์ขอข้อมูลสำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน และเลขบัตรประชาชนผ่านโซเชียลมีเดีย จำกัดจำนวนบัญชีผู้ใช้งาน mobile banking (username) ของแต่ละสถาบันการเงินให้ใช้ได้ใน 1 อุปกรณ์เท่านั้น
โดยสถาบันการเงินต้องจัดให้มีการแจ้งเตือนผู้ใช้บริการ mobile banking ก่อนทำธุรกรรมทุกครั้ง และพัฒนาระบบความปลอดภัยบน mobile banking ให้เท่าทันภัยการเงินรูปแบบใหม่อยู่ตลอดเวลา ตลอดจนต้องยกระดับความเข้มงวดในกระบวนการยืนยันตัวตนขั้นต่ำด้วยการใช้เทคโนโลยีเปรียบเทียบข้อมูลอัตลักษณ์ทางกายภาพของลูกค้า (biometrics)
เช่น สแกนใบหน้า ในกรณีลูกค้าขอเปิดบัญชีโดยผ่านแอปพลิเคชั่นของสถาบันการเงิน (non-face-to-face) หรือทำธุรกรรมผ่าน mobile banking ในเงื่อนไขที่กำหนดไว้ เช่น โอนเงินมากกว่า 50,000 บาท หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาท ขึ้นไป นอกจากนี้ จะกำหนดเพดานวงเงินถอน/โอนสูงสุดต่อวันให้เหมาะสมตามระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท โดยลูกค้าสามารถขอปรับได้ตามความจำเป็น และต้องยืนยันตัวตนอย่างเข้มงวด
2.มาตรการตรวจจับและติดตามบัญชี หรือธุรกรรมต้องสงสัย เพื่อให้สถาบันการเงินช่วยจำกัดความเสียหายได้เร็วขึ้น และลดการใช้บัญชีม้า ธปท. จะกำหนดเงื่อนไขการตรวจจับและติดตามธุรกรรมเข้าข่ายผิดปกติ หรือกระทำความผิด เพื่อให้สถาบันการเงินรายงานไปสำนักงาน ปปง. รวมทั้งให้สถาบันการเงินต้องมีระบบตรวจจับและติดตามบัญชี หรือธุรกรรมต้องสงสัยแบบ near real-time เพื่อให้สามารถระงับธุรกรรมได้ทันทีเป็นการชั่วคราวเมื่อตรวจพบ
3.มาตรการตอบสนองและรับมือ เพื่อจัดการปัญหาให้ผู้เสียหายได้เร็วขึ้น ให้สถาบันการเงินทุกแห่งต้องมีช่องทางติดต่อเร่งด่วน (hotline) ตลอด 24 ชั่วโมง แยกจากช่องทางให้บริการปกติ เพื่อให้ผู้ใช้บริการแจ้งเหตุได้โดยเร็ว รวมทั้งให้ดูแลรับผิดชอบผู้ใช้บริการ หากพบว่าความเสียหายเกิดจากข้อบกพร่องของ สง.
ทั้งนี้ ธปท.ได้เร่งให้สถาบันการเงินทุกแห่งต้องดำเนินมาตรการทั้งหมดโดยเร็ว โดยได้มีการเริ่มดำเนินการในบางมาตรการแล้ว ขณะที่มาตรการที่เหลือส่วนใหญ่จะกำหนดให้แล้วเสร็จภายในเดือนมีนาคม 2566 และจะเร่งดำเนินการสำหรับบางมาตรการที่มีความซับซ้อนและต้องใช้เวลาในการปรับปรุง ซึ่งจะดำเนินการให้แล้วเสร็จตามเวลาที่กำหนดต่อไป
โดย ธปท. จะประเมินประสิทธิผลของการดำเนินการ และจะทบทวนปรับปรุงมาตรการเป็นระยะ เพื่อให้สามารถป้องกันและแก้ไขภัยทุจริตทางการเงินได้อย่างเหมาะสมกับสถานการณ์
อย่างไรก็ดี การดำเนินงานของ ธปท. เป็นเพียงส่วนหนึ่งเท่านั้น แต่การจัดการและแก้ไขภัยทางการเงินได้อย่างเบ็ดเสร็จขึ้น ต้องอาศัย พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ซึ่งเมื่อมีผลบังคับใช้จะช่วยแก้ไขข้อจำกัดและอุปสรรคได้เพิ่มเติม
ทั้งด้านการแลกเปลี่ยนข้อมูลธุรกรรมต้องสงสัยระหว่างสถาบันการเงินและหน่วยงานที่เกี่ยวข้องได้คล่องตัวขึ้น การระงับการทำธุรกรรมโดยได้ทันที และการกำหนดบทลงโทษผู้กระทำความผิดเกี่ยวกับบัญชีม้าที่ชัดเจนขึ้น รวมทั้งยังต้องบูรณาการความร่วมมือจากหน่วยงานที่เกี่ยวข้องในการดำเนินการให้เห็นผลเป็นรูปธรรมโดยเร็วต่อไป
