ราชกิจจาฯ ประกาศ ธปท. ยกระดับความปลอดภัย การใช้โมบายแบงกิ้ง

ราชกิจจานุเบกษา เผยแพร่ประกาศแบงก์ชาติ ยกระดับความปลอดภัย การใช้งานโมบายแบงกิ้ง ออกมาตรการสำคัญ จำกัดการใช้ 1 คน 1 เครื่อง-กำหนดวงเงินโอน ต้องยืนยันตัวตนเพิ่มเติม พร้อมกำหนดหน้าที่ธนาคารในการรักษาความปลอดภัยระบบแอปธนาคาร มีผลภายใน 30 วันหลังประกาศ

ผู้สื่อข่าวรายงานว่า ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน

โดยเหตุผลในการออกประกาศฉบับดังกล่าว ระบุว่า ปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน โดยเฉพาะการให้บริการทางการเงินและการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking) ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง

ขณะเดียวกันการให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน (fraud) ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศ

ธนาคารแห่งประเทศไทยตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออกประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปพลิเคชั่นของสถาบันการเงินให้เป็นไปอย่างปลอดภัย เท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

โดยสถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลดภัยตามมาตรฐานสากล เท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับซ้อนขึ้น ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

ขณะที่ หลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงิน
บนอุปกรณ์เคลื่อนที่ ประกอบด้วยมาตรการ 2 ส่วน ได้แก่

(1) การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)
(2) การรักษาความมั่นคงปลอดภัยของบริการ Mobile Banking

สำหรับมาตรการสำคัญที่ธนาคารแห่งประเทศไทยระบุไว้ในประกาศฉบับดังกล่าว เช่น

• จำกัดการใช้งานโมบายแบงกิ้ง 1 คน 1 เครื่อง
• เพิ่มการยืนยันตัวตนในธุรกรรมที่กำหนด เช่น โอนเงินครั้งละ 50,000 บาทขึ้นไป หรือโอนเงินวันละ 200,000 บาทขึ้นไป
• กำหนดวงเงินสูงสุดต่อวัน ให้เหมาะสมกับระดับความเสี่ยงของผู้ใช้บริการ เช่น ผู้ใช้งานอายุต่ำกว่า 15 ปี กำหนดวงเงินสูงสุดที่ 50,000 บาทต่อวัน
• การรักษาความปลอดภัยของระบบโมบายแบงกิ้ง

ทั้งนี้ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 30 วันนับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป

ยกเว้นกรณีตามข้อ 5.3.2 (3.3) ที่ระบุว่า “หลีกเลี่ยงการให้บริการ Mobile Banking ของสถาบันการเงินบนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการที่หน่วยงานด้านความมั่นคงปลอดภัยที่เป็นที่ยอมรับ เช่น Thailand Banking Sector Computer Emergency Response Team (TB-CERT) กำหนดว่า มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ หรือการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ…” ให้บังคับเมื่อพ้นกำหนด 60 วันนับแต่วันถัดจากประกาศในราชกิจจานุเบกษาเป็นต้นไป

อ่านประกาศฉบับเต็ม ที่นี่