ธปท. จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง งดแนบลิงก์ SMS
ธปท. ออกประกาศใหม่ จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง สั่งธนาคาร งดแนบลิงก์ SMS ส่งอีเมล ป้องกันการสวมรอย ขอให้เปิดเผยข้อมูลสำคัญ ถูกติดตั้ง mobile malware
แก๊งคอลเซ็นเตอร์ มิจฉาชีพ โจรออนไลน์ระบาดหนัก! ธนาคารแห่งประเทศไทย หรือ ธปท. ออกประกาศใหม่! จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง สั่งธนาคาร งดแนบลิงก์ SMS ส่ง อีเมล
เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ ถูกติดตั้ง mobile malware ออกกฎใหม่ ควบคุมเด็กอายุต่ำกว่า 15 ปี ถอน-โอนเงินได้ ไม่เกิน 50,000 บาทต่อวัน
ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน
เหตุผลในการออกประกาศฉบับดังกล่าว ระบุว่า ปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน
โดยเฉพาะการให้บริการทางการเงินและการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking) ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง
ขณะเดียวกันการให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน (fraud) ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง
ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศธนาคารแห่งประเทศไทย
ตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออกประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่
เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปพลิเคชั่นของสถาบันการเงินให้เป็นไปอย่างปลอดภัย
เท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)
โดยสถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับซ้อนขึ้น
ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ
การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ
สถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ โดยอย่างน้อยต้องดำเนินการ ดังนี้
1. งดเว้นการแนบลิงก์ผ่านข้อความสั้น SMS และช่องทางอีเมล
แต่สำหรับกรณีช่องทางโลกออนไลน์ ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลยืนยันในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น
- ชื่อผู้ใช้งาน
- รหัสผ่าน
- รหัสใช้ครั้งเดียว (OTP)
- รหัส PIN
- หมายเลขบัตรประชาชน
- วันเดือนปีเกิด
เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ หรือการถูกติดตั้ง mobile malware
อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง 3 ช่องทางได้ หากผู้ใช้บริการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก์ได้เป็นรายครั้ง พร้อมทั้งสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์เป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น
2. มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลง
หรือแอบอ้างเป็น Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวโหลดแอปพลิเคชัน (office app strore) เช่น
- Google Play Store
- Apple App Store
รวมทั้งมีการะบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอม เพื่อลดความเสี่ยงที่จะถูกหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือติดตั้งแอปพลิเคชันปลอม
3. จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง 1 บัญชีผู้ใช้งาน หรือ Account ต่อ 1 บริการ Mobile Banking ของแต่ละสถาบันการเงิน
และจำกัดการใช้บริการดังกล่าวโดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น แต่ผู้ใช้บริการยังสามารถมีจำนวนบัญชีได้เท่าที่สามารถเปิดกับธนาคารได้ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่
โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection) ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือปลอมแปลง โดยต้องดำเนินการในกรณีดังต่อไปนี้
- ทำธุรกรรมโอนเงินในแต่ละครั้งมูลค่าตั้งแต่ 50,000 บาทขึ้นไป
- ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก 200,000 บาทใน 1 วัน
- ปรับเพิ่มวงเงินการทำธุรกรรมการโอนให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป
ทั้งนี้ กรณีที่ผู้ใช้บริการมีข้อจำกัดในการใช้เทคโนโลยีเปรียบเทียบใบหน้า เช่น เป็นคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนด
โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ เช่น การโอนเงินระหว่างบัญชีตนเอง การโอนเงินประจำอัตโนมัติ ที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนตามที่กำหนดข้างต้นได้
กำหนดเพดานวงเงินสูงสุดต่อวัน ถอนเงิน- โอนเงิน Mobile Banking
กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงิน ผ่านบริการ Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการ เพื่อลดความเสียหาย
เมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทุจริต เช่น กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า 15 ปี ให้กำหนดวงเงินสูงสุดของการทำธุรกรรมถอนหรือโอนเงินรวมกันไม่เกิน 50,000 บาทต่อวัน เป็นต้น
วันเริ่มต้นบังคับใช้
- ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 30 วันนับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป
อ่านประกาศฉบับเต็มอย่างละเอียด ธปท. ประกาศ การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน (คลิก)
อ้างอิง-ภาพ : ราชกิจจานุเบกษา , ธนาคารแห่งประเทศไทย - Bank of Thailand
