การเงิน-การลงทุน

คลอดแล้ว! ราชกิจจาฯ สั่งแบงก์ ยกระดับบริการการเงิน สกัด ‘แก๊งคอลเซนเตอร์’

09 ก.พ. 2025 เวลา 21:27 น.
คลอดแล้ว! ราชกิจจาฯ สั่งแบงก์ ยกระดับบริการการเงิน สกัด ‘แก๊งคอลเซนเตอร์’

เริ่มแล้ว แนวทางสกัดแก๊งมิจฉาชีพ ล่าสุด ธปท.เผยแพร่ ราชกิจจาฯ สั่งแบงก์ยกระดับมาตรฐานขั้นต่ำในการให้บริการทางการเงิน เพื่อป้องกันมิจฉาชีพ สั่งจำกัดการโอนเงิน ให้ใช้ใบหน้ายืนยันตัวตน

ล่าสุด ธนาคารแห่งประเทศไทย (ธปท.) ลงนามโดย นาย เศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) เผยแพร่ประกาศ ราชกิจจานุเบกษา ประกาศของธนาคารแห่งประเทศไทย เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน

โดยการออกประกาศดังกล่าวมาจาก ปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน

โดยเฉพาะการให้บริการทางการเงิน และการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking)ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง 

ขณะเดียวกันการให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน(faud) ที่มีการปรับเปลี่ยนรูปแบบ และใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น

อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงิน และระบบการชำระเงินของประเทศ

เนื้อหาที่เกี่ยวข้อง

ธนาคารแห่งประเทศไทย ตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออก ประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็น

สำหรับการให้บริการทางการเงิน และการชำระเงินบนแอปพลิเคชันของสถาบันการเงินให้เป็นไปอย่างปลอดภัยเท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์ และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

อำนาจตามกฎหมายอาศัยอำนาจตามความในมาตรา ๓๙ และมาตรา ๔๓ แห่งพระราชบัญญัติธุรกิจสถาบันการเงินพ.ศ.๒๕๕๓ ธนาคารแห่งประเทศไทยออกหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงินถือปฏิบัติตามที่กำหนดในประกาศฉบับนี้

โดยระบุว่า สถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงาน และบริการ Mobile Banking ให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามทางไซเบอร์ และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคซับซ้อนขึ้น ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

โดย หลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงิน และการชำระเงินบนอุปกรณ์เคลื่อนที่ ประกอบด้วยมาตรการ ๒ ส่วน ได้แก่

(๑) การป้องกันการสวมรอยทำธุรกรรม แทนผู้ใช้บริการ (Unauthorized Payment Fraud) และ

(๒) การรักษาความมั่นคงปลอดภัยของบริการ Mobile Banking คือ การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ สถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการโดยอย่างน้อยต้องดำเนินการ ดังต่อไปนี้

(๑) งดเว้นการแนบลิงก์ผ่านช่องทางข้อความสั้น (SMS) และช่องทางอีเมล แต่สำหรับกรณีช่องทางสื่อสังคมออนไลน์ (social media) ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มี การขอข้อมูลในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว(one time password - OTP) รหัส PIN หมายเลขบัตรประชาชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ (sodal engineering) หรือการถูกติดตั้งmobile malware

อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง ๓ ช่องทางดังกล่าวได้หากผู้ใช้บริการดำเนินการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก็ได้เป็นรายครั้ง พร้อมทั้ง ต้องมีการสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์ดังกล่าวเป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น

(๒) มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลง หรือแอบอ้างเป็นแอปพลิเคชันของสถาบันการเงินที่ให้บริการ Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวน์โหลดแอปพลิเคชัน (official app store)

เช่น Google Play Store Apple App Store รวมทั้งมีกระบวนการรับมือ และตอบสนองอย่างเหมาะสม และทันการณ์สำหรับแอปพลิเคชันปลอมแปลงที่อยู่นอกแพลตฟอร์มดังกล่าว เพื่อลดความเสี่ยงที่ผู้ใช้บริการจะหลงเชื่อ และเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือถูกติดตั้งแอปพลิเคชันปลอม

(๓) จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง ๑ บัญชีผู้ใช้งานต่อ ๑ บริการ Mobile Banking ของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าว โดยให้ใช้งานบน ๑ อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น

(๔) ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอน การทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า(face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection)ที่สามารถป้องกันการใช้รูปภาพ วิตีโอ หรือการปลอมแปลงชีวมิติในรูปแบบต่างๆ ได้ 

เช่น การใช้ เทคโนโลยี liveness detection เพื่อให้มั่นใจว่าผู้ใช้บริการเป็นผู้ทำธุรกรรมด้วยตนเอง ซึ่งต้องจัดให้มี กระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมดังกล่าวอย่างน้อยในกรณี ดังต่อไปนี้

(๔.๑) การทำธุรกรรมโอนเงินในแต่ละครั้งมีมูลค่าตั้งแต่ ๕๐,๐๐๐ บาท ขึ้นไป หรือ (๔.๒) การทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก ๒๐๐,๐๐๐ บาท ในรอบระยะเวลา ๑ วัน หรือ (๔.๓) การปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน ให้สามารถได้ ตั้งแต่ ๕๐,๐๐๐ บาทขึ้นไป

ทั้งนี้ กรณีที่ผู้ใช้บริการมีข้อจำกัดในการใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) เช่น เป็นคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้ โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ 

เช่น การทำธุรกรรมโอนเงินระหว่างบัญชีตนเอง การทำธุรกรรมโอนเงินประจำ อัตโนมัติ (automatic recurring transfer) ที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้

(๕) กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงิน ผ่านบริการ Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการ เพื่อลดความเสียหายเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทุจริต

เช่น กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า ๑๕ ปี ให้กำหนดวงเงินสูงสุดของการทำธุรกรรมถอนหรือโอนเงินรวมกันไม่เกิน ๕๐,๐๐๐ บาทต่อวันเป็นต้น

ทั้งนี้ สถาบันการเงินสามารถใช้แนวทางหรือกำหนดที่ได้จัดทำร่วมกัน (industry standard) มาใช้ประกอบการจัดระดับความเสี่ยง หรือกำหนดเพดานวงเงินสูงสุดของกลุ่ม ผู้ใช้บริการได้ และในกรณีที่ผู้ใช้บริการขอยกเว้นการกำหนดวงเงินตามกลุ่มความเสี่ยงที่กำหนดไว้สถาบันการเงินต้องมีกระบวนการพิจารณาการขอยกเว้นที่ชัดเจน และรัดกุมด้วย เป็นต้น 

ทั้งนี้ วันเริ่มต้นบังคับใช้ประกาศนี้ ให้ใช้บังคับเมื่อพ้นกำหนดสามสิบวัน นับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป เว้นแต่กรณีตามข้อ ๕.๓๗๒ (๓.๓) ให้ใช้บังคับเมื่อพ้นกำหนดหกสิบวันนับแต่วันถัดจากประกาศในราชกิจจานุเบกษาเป็นต้นไป

โดยประกาศ ณ วันที่ ๓๑ มกราคม พ.ศ.๒๕๖๘

ลงนามโดย นายเศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการ ธนาคารแห่งประเทศไทย

 

 


พิสูจน์อักษร....สุรีย์   ศิลาวงษ์