หุ้น-การเงิน

ธปท.งัดมาตรการชุดใหญ่ จี้แบงก์เร่งอัพเกรดระบบสกัด “ภัยการเงิน”

ธปท.แอปดูดเงิน

ภัยทุจริตทางการเงิน นับว่าเป็นภัยร้ายที่บั่นทอนสังคมและเศรษฐกิจไทย ซึ่งส่งผลกระทบอย่างมากในแง่ความเชื่อมั่นของประชาชนต่อระบบสถาบันการเงิน ทำให้ธนาคารแห่งประเทศไทย (ธปท.) สมาคมธนาคารไทย และหน่วยงานที่เกี่ยวข้อง ต้องเร่งมีชุดมาตรการออกมาจัดการปัญหานี้โดยด่วน

3 ชุดมาตรการล้อมคอก

“ดร.เศรษฐพุฒิ สุทธิวาทนฤพุฒิ” ผู้ว่าการ ธปท. ยืนยันว่า ธปท.ไม่ได้นิ่งนอนใจกับภัยการเงินที่เกิดขึ้น โดยร่วมมือกับหน่วยงานที่เกี่ยวข้อง เช่น สำนักงานคณะกรรมการกิจการกระจายเสียง กิจการโทรทัศน์ และกิจการโทรคมนาคมแห่งชาติ (กสทช.) กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (DES) และศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) เพื่อป้องกันอย่างต่อเนื่อง

ล่าสุดได้กำหนด “มาตรการที่ธนาคารต้องปฏิบัติ” ออกมา มี 3 ส่วนด้วยกัน เพื่อให้สอดรับกับพระราชกำหนด (พ.ร.ก.) ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ที่จะออกมา คือ 1.มาตรการป้องกันมิจฉาชีพเข้าถึงประชาชน 2.มาตรการตรวจจับและติดตามบัญชีต้องสงสัย และ 3.มาตรการตอบสนองและรับมือให้เร็วขึ้น

“มาตรการเหล่านี้จะมาปิดช่องโหว่ต่าง ๆ โดยจะมีการกำหนดมาตรฐานขั้นต่ำที่เข้มงวดขึ้นให้ทุกสถาบันต้องปฏิบัติตาม เพื่อยกระดับความปลอดภัยให้เป็นมาตรการเดียวกัน โดยรักษาสมดุลความเสี่ยงกับคนใช้บริการดิจิทัลที่ต้องไม่ลำบากและเข้าถึงได้ ซึ่งความคาดหวัง สิ่งที่อยากเห็น 3 อย่างจากมาตรการ ก็คือ ยกระดับมาตรการบริหารจัดการภัยไซเบอร์ให้มีประสิทธิภาพ การลดโอกาสที่ประชาชนถูกหลอกลวงและความเสียหายที่เกิดขึ้น และสร้างความมั่นใจการใช้บริการดิจิทัล”

มาตรการส่วนใหญ่เสร็จกลางปี

“สิริธิดา พนมวัน ณ อยุธยา” ผู้ช่วยผู้ว่าการ สายนโยบายระบบการชำระเงินและเทคโนโลยีทางการเงิน ธปท. กล่าวว่า ชุดมาตรการจัดการภัยทางการเงิน จะใช้กับธนาคารพาณิชย์ ธนาคารเฉพาะกิจของรัฐ (SFIs) และผู้ประกอบการ e-Money

โดยมีทั้ง “มาตรการป้องกัน” ประกอบด้วย 1.ห้ามแนบลิงก์ ผ่าน SMS และ e-Mail และห้ามส่งลิงก์ขอข้อมูลส่วนบุคคล หรือ OTP ผ่านโซเชียลมีเดีย เริ่มทำตั้งแต่เดือน ก.พ. กำหนดทุกแห่งแล้วเสร็จเดือน มิ.ย. 2566 ล่าสุดพบว่าแบงก์ทำแล้ว 11 แห่ง จาก 18 แห่ง

2.ปรับปรุงระบบรักษาความปลอดภัยบนโมบายแบงกิ้งให้อัพเดตล่าสุด และจำกัด 1 บัญชีผู้ใช้งานโมบายแบงกิ้ง (username) ของแต่ละธนาคารให้ใช้ได้ 1 อุปกรณ์เท่านั้น โดยกำหนดเสร็จทุกแห่งภายในเดือน มี.ค. 2566 รวมถึงให้มีการแจ้งเตือนบนโมบายแบงกิ้งก่อนทำธุรกรรมทุกครั้ง กำหนดทุกแห่งแล้วเสร็จเดือน มิ.ย. 2566

ขณะที่ “มาตรการตรวจจับและติดตามบัญชีและธุรกรรมต้องสงสัย” โดยแบงก์ต้องกำหนดเงื่อนไขรายการผิดปกติ มีระบบตรวจจับและติดตามธุรกรรมที่เข้าข่ายผิดปกติตลอด 24 ชั่วโมง เพื่อระงับธุรกรรมได้ทันทีที่ตรวจพบ เริ่มทำตั้งแต่เดือน มี.ค. 2566 กำหนดเสร็จทุกแห่งภายในเดือน ธ.ค. 2566

และ “มาตรการตอบสนองและรับมือ” ทุกแบงก์ต้องมีช่องทางติดต่อเร่งด่วน 24 ชั่วโมง และแยกจากช่องทางปกติ เพื่อแจ้งเหตุโดยเร็ว กำหนดเสร็จเดือน มี.ค. 2566 ดูแลรับผิดชอบผู้ใช้บริการ หากพบความเสียหายเกิดจากข้อบกพร่องของธนาคาร

“การออก พ.ร.ก.ป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี จะเข้ามาช่วยแก้ 3 ด้าน คือ การแลกเปลี่ยนข้อมูล อายัดบัญชีทำได้รวดเร็ว และการนำบัญชีมาขายเป็นบัญชีม้า”

สแกนใบหน้าก่อนทำธุรกรรม 3 กรณี

“สิริธิดา” กล่าวด้วยว่า สำหรับการเปิดบัญชีแบบ face-to-face แบงก์ต้องมีการยืนยันตัวตนด้วย biometrics เป็นอย่างน้อย โดยต้องสแกนหน้า (face recognition) ใน 3 กรณี ได้แก่ โอนเงินเกิน 50,000 บาทต่อรายการ, โอนเงินเกิน 200,000 บาทต่อวัน และปรับเพิ่มวงเงินเกิน 50,000 บาทต่อครั้ง รวมถึงกลุ่มลูกค้าอายุ 15 ปี จะต้องมีการตรวจสอบ (verify) ตัวตนด้วย

บัญชีม้าสร้างความเสียหาย 5,500 ล้าน

“ภิญโญ ตรีเพชราภรณ์” ผู้อำนวยการฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ ธปท. กล่าวว่า ภัยทางการเงินมีการปรับเปลี่ยนรูปแบบอย่างต่อเนื่อง โดยช่วงปลายปี 2564 เกิดความเสียหายจาก Bin Attack (มิจฉาชีพใช้โปรแกรมสุ่มเลขบัตร) บัตรเครดิตและเดบิต ซึ่งหลัง ธปท.มีมาตรการดูแล ความเสียหายก็ปรับลดลง โดยกรณีบัตรเดบิตจำนวนรายการที่เสียหายลดลง 88% ในปี 2565 เมื่อเทียบปี 2564 หรือจาก 5.4 แสนรายการ ลดลงเหลือ 6 หมื่นรายการ ขณะที่มูลค่าความเสียหายลดลงจาก 116.90 ล้านบาท เหลือ 61.23 ล้านบาท

ส่วนกรณีบัตรเครดิต ความเสียหายจำนวนรายการปรับลดลง 57% จาก 2.6 แสนรายการ เหลือ 1.1 แสนรายการ มูลค่าความเสียหายลดลง 66.58% จาก 1,089 ล้านบาท เหลือ 363.88 ล้านบาท

ต่อมาก็มีการ “ส่ง SMS” หลอกลวง โดยแก๊ง “คอลเซ็นเตอร์” จนนำมาสู่ “แอปดูดเงิน” ตั้งแต่ปลายปี 2565 จนถึงต้นปี 2566 โดยความเสียหายเกิดจากโมบายแบงกิ้ง ซึ่งมีรายการความเสียหายเพิ่มขึ้น 79% ในปี 2565 หรือเพิ่มขึ้นเป็น 6,114 รายการ จาก 1,257 รายการ ในปี 2564 ส่วนมูลค่าความเสียหายเพิ่มขึ้นจาก 75 ล้านบาท เป็น 274.39 ล้านบาท เพิ่มขึ้น 72%

ทั้งนี้ เฉพาะความเสียหายจาก “แอปดูดเงิน” อยู่ที่ 5,640 ราย มูลค่า 511 ล้านบาท

“ภิญโญ” กล่าวด้วยว่า นอกจากนี้ สถิติการแจ้งความออนไลน์ผ่าน ธปท. สถาบันการเงิน และตำรวจ ตั้งแต่วันที่ 1 มี.ค. 2565 ถึงสิ้นปี 2565 พบว่า มีการแจ้งความกรณีเกิดจากภัยทางอิเล็กทรอนิกส์สูงสุด ซึ่งเกี่ยวกับสินค้าออนไลน์ 50,000 เคส โอนเงิน 20,000 เคส หลอกกู้เงิน 18,000 เคส แก๊งคอลเซ็นเตอร์ 13,000 คดี มูลค่าความเสียหาย 2,600 ล้านบาท และบัญชีม้า ที่มีการอายัดบัญชีราว 58,000 บัญชี มูลค่า 5,500 ล้านบาท

แบงก์ขานรับเร่งอัพเกรดระบบ

“ชาติศิริ โสภณพนิช” กรรมการผู้จัดการใหญ่ธนาคารกรุงเทพ กล่าวว่า ธนาคารได้ให้ความสำคัญกับเรื่องนี้ โดยใช้งบฯหลักพันล้านบาทพัฒนาระบบเทคโนโลยีและไอทีต่อเนื่อง เพื่อความปลอดภัย สำหรับในส่วนของมาตรการสแกนใบหน้า ธนาคารได้มีการเก็บข้อมูลลูกค้ามาแล้วระดับหนึ่ง ซึ่งธนาคารสามารถทำได้ทันตามที่ ธปท.กำหนด

“ฐากร ปิยะพันธ์” ผู้จัดการใหญ่ ธนาคารทีเอ็มบีธนชาต (ทีทีบี) กล่าวว่า ธนาคารพร้อมยกระดับความปลอดภัยของ mobile banking โดยให้งบฯลงทุนปกติ ซึ่งเร่งทำให้ทันตามกรอบเวลาที่ ธปท.กำหนด โดยเฉพาะการใช้ใบหน้ายืนยันตัวตน ซึ่งปัจจุบันมีการเก็บข้อมูลใบหน้าไว้แล้ว 80%

“ขัตติยา อินทรวิชัย” ประธานเจ้าหน้าที่บริหาร ธนาคารกสิกรไทย กล่าวว่า ธนาคารใช้งบประมาณในการลงทุนพัฒนาระบบไอทีเฉลี่ยปีละ 10% ของรายได้หรือกำไร หรือราวกว่าหมื่นล้านบาทต่อปี โดยพัฒนาระบบมาตรการภัยทางการเงินอย่างต่อเนื่อง และตามแนวทาง ธปท. สิ่งที่ได้ดำเนินการไปแล้ว เช่น การยกเลิกส่ง SMS แนบลิงก์, การจัดตั้ง call center สายด่วน, การป้องกันการติดตั้งแอปปลอม เป็นต้น

ส่วนที่อยู่ระหว่างดำเนินการ เช่น การยกระดับการยืนยันตัวตนผ่าน biometric comparison บนโมบายแบงกิ้ง ปัจจุบันมีลูกค้าที่ยืนยันตัวตนแล้ว 70-80% ของฐานลูกค้าบัญชีเงินฝากทั้งหมด และมีฐานลูกค้า K PLUS อยู่ที่ 21 ล้านคน ตั้งเป้าเพิ่มเป็น 26 ล้านคน

จากการดำเนินการทั้งหมดนี้ หากสามารถลดความเสียหาย ทั้งในแง่ปริมาณและมูลค่าลงได้ ก็น่าจะช่วยเรียกความเชื่อมั่นจากผู้ใช้บริการกลับมาได้มากขึ้น