แบงก์ชาติจัดหนัก! คลอดชุดมาตรการจัดการภัยไซเบอร์ทางการเงิน เตรียมกำหนดให้ผู้ใช้งาน Mobile Banking ต้องสแกนใบหน้ายืนยันตัวตนกรณีโอนเงินมากกว่า 50,000 บาทต่อรายการ เดือนมิถุนายนนี้ พร้อมสั่งทุกแบงก์งดส่งลิงก์ทุกประเภทผ่าน SMS และอีเมล ลดเสี่ยงแอปดูดเงิน
เศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ปัจจุบันภัยทุจริตทางการเงินมีแนวโน้มเพิ่มขึ้นและหลากหลายรูปแบบ เช่น SMS หลอกลวง แก๊งคอลเซ็นเตอร์ แอปพลิเคชันให้สินเชื่อปลอม และแอปพลิเคชันดูดเงิน ภัยหลอกลวงเหล่านี้ส่งผลกระทบให้ประชาชนต้องสูญเสียทรัพย์สินหรือรายได้ที่เก็บออม รวมทั้งขาดความมั่นใจในการใช้บริการทางการเงินดิจิทัลของสถาบันการเงิน ซึ่งอาจส่งผลกระทบในวงกว้างต่อการทำธุรกรรมทางการเงินในระยะต่อไป
ข่าวที่เกี่ยวข้อง
- ธนาคารออมสิน เปิดตัวเงินฝากดอกเบี้ยขั้นบันได จ่ายสูงสุด 4.5% และ 10% หวังส่งเสริมการออมระยะยาว
- ส่องแบงก์รัฐ-พาณิชย์ ขึ้นดอกเบี้ยเงินกู้ เท่าไรกันบ้าง? หลัง กนง. ประชุมนัดแรกของปี 2566
- คลอดแล้ว! เกณฑ์ ‘Virtual Bank’ ธปท. จำกัดไลเซนส์แค่ 3 ราย เผยมีผู้สนใจแล้ว 10 ราย เล็งประกาศผลกลางปีหน้าก่อนเริ่มให้บริการจริงปี 68
ทั้งนี้ จากการจัดเก็บสถิติของ ธปท. พบว่า ในปี 2565 ที่ผ่านมาจำนวนภัยทุจริตทางการเงินผ่าน Mobile Banking ได้ปรับเพิ่มสูงขึ้นจากปี 2564 ถึง 79% จาก 1,257 รายการ เป็น 6,114 รายการ สอดคล้องกับมูลค่าความเสียหายที่เพิ่มสูงขึ้น 72% จาก 75 ล้านบาท เป็น 274.39 ล้านบาท
ขณะที่ข้อมูลจากสมาคมธนาคารไทย ระบุว่า การหลอกลวงของมิจฉาชีพด้วยการใช้แอปดูดเงินได้สร้างความเสียหายมากกว่า 500 ล้านบาท และมีแนวโน้มเพิ่มสูงขึ้น ซึ่งทั้งหมดเกือบ 100% เป็นสมาร์ทโฟนที่ใช้ระบบแอนดรอยด์
นอกจากนี้ยังมีข้อมูลจากสำนักงานตำรวจแห่งชาติซึ่งจัดเก็บระหว่างวันที่ 1 มีนาคม – 31 ธันวาคม 2565 ที่พบว่ามีการแจ้งความเกี่ยวกับการถูกหลอกซื้อสินค้าออนไลน์ 5 หมื่นครั้ง ถูกหลอกให้โอนเงิน 2 หมื่นครั้ง ถูกหลอกให้กู้เงิน 1.8 หมื่นครั้ง ตกเป็นเหยื่อของแก๊งคอลเซ็นเตอร์ 1.3 หมื่นครั้ง คิดเป็นความเสียหาย 2.6 พันล้านบาท และมีการขออายัดบัญชีม้าจำนวน 5.8 หมื่นบัญชี คิดเป็นมูลค่า 5.5 พันล้านบาท
ด้วยความตระหนักถึงปัญหาความเดือดร้อนของประชาชนดังกล่าวและไม่ได้นิ่งนอนใจ ที่ผ่านมา ธปท. ได้ร่วมกับหน่วยงานที่เกี่ยวข้องทั้งในและนอกภาคการเงินดำเนินการแก้ไขปัญหาอย่างต่อเนื่อง บนหลักการป้องกัน ตรวจจับ และตอบสนองรับมือ เพื่อลดช่องทางของมิจฉาชีพ และช่วยแก้ไขปัญหาให้ประชาชนที่ตกเป็นเหยื่อภัยการเงิน รวมทั้งกำชับให้สถาบันการเงินต้องเร่งจัดการปัญหาให้ประชาชนโดยเร็ว ซึ่งหลายเรื่องดำเนินการแล้ว เช่น ร่วมกับสำนักงาน กสทช. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ปิด SMS ที่แอบอ้างชื่อเป็นสถาบันการเงิน เพื่อป้องกันมิจฉาชีพใช้แอบอ้างติดต่อประชาชน ซึ่งทำให้ภัยหลอกลวงทาง SMS เหล่านี้ลดลง
อย่างไรก็ดี การจัดการและแก้ปัญหาภัยการเงินในปัจจุบันยังมีจุดที่ต้องแก้ไขเพิ่มเติม โดยเฉพาะการเข้าถึงประชาชนของมิจฉาชีพที่ทำได้หลายช่องทางและหลายรูปแบบ กระบวนการอายัดบัญชีผิดปกติของสถาบันการเงินที่ยังใช้เวลานาน การซื้อขายบัญชีม้าที่ยังมีอยู่มาก ตลอดจนการแก้ไขปัญหาให้ผู้เสียหาย ในครั้งนี้ ธปท. จึงได้ออกแนวนโยบายเป็นชุดมาตรการจัดการภัยทุจริตทางการเงินที่ดูแลตลอดเส้นทางการทำธุรกรรมทางการเงิน โดยกำหนดเป็นแนวปฏิบัติขั้นต่ำให้สถาบันการเงินทุกแห่งปฏิบัติตามเป็นมาตรฐานเดียวกัน สรุปสาระสำคัญได้ดังนี้
- มาตรการป้องกันเพื่อปิดช่องทางที่มิจฉาชีพจะเข้าถึงประชาชนได้มากขึ้น เช่น
- กำหนดให้สถาบันการเงินงดการส่งลิงก์ทุกประเภทผ่าน SMS และอีเมล งดส่งลิงก์ขอข้อมูลสำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน และเลขบัตรประชาชนผ่านโซเชียลมีเดีย
- จำกัดจำนวนบัญชีผู้ใช้งาน Mobile Banking (Username) ของแต่ละสถาบันการเงินให้ใช้ได้ใน 1 อุปกรณ์เท่านั้น โดยสถาบันการเงินต้องจัดให้มีการแจ้งเตือนผู้ใช้บริการ Mobile Banking ก่อนทำธุรกรรมทุกครั้ง
- พัฒนาระบบความปลอดภัยบน Mobile Banking ให้เท่าทันภัยการเงินรูปแบบใหม่อยู่ตลอดเวลา
- ต้องยกระดับความเข้มงวดในกระบวนการยืนยันตัวตนขั้นต่ำด้วยการใช้เทคโนโลยีเปรียบเทียบข้อมูลอัตลักษณ์ทางกายภาพของลูกค้า (Biometrics) เช่น สแกนใบหน้า ในกรณีลูกค้าขอเปิดบัญชีโดยผ่านแอปพลิเคชันของสถาบันการเงิน (Non-Face-to-Face) หรือทำธุรกรรมผ่าน Mobile Banking ในเงื่อนไขที่กำหนดไว้ เช่น โอนเงินมากกว่า 50,000 บาทต่อรายการ โอนเงินมากกว่า 200,000 บาทต่อวัน หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาทขึ้นไป
“การยืนยันตัวตนด้วยข้อมูล Biometrics ในกรณีที่ลูกค้าขอเปิดบัญชีทุกสถาบันการเงินได้ดำเนินการไปแล้ว ส่วนกรณีการโอนเงินมากกว่า 50,000 บาท หรือขอปรับเพิ่มวงเงินธุรกรรมก็ได้เริ่มไปแล้วบางส่วนและคาดว่าแล้วเสร็จครบทุกสถาบันการเงินในเดือนมิถุนายนนี้ ส่วนกรณีที่กำหนดวงเงินไว้ที่ 50,000 บาท เนื่องจากมองว่าตัวเลขดังกล่าวมีความเหมาะสม เพราะปริมาณธุรกรรมต่อวันของไทยในปัจจุบันมีเพียง 1% ที่มีมูลค่าสูงกว่า 50,000 บาท” ผู้ว่า ธปท. ระบุ
- กำหนดเพดานวงเงินถอนและโอนสูงสุดต่อวันให้เหมาะสมตามระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท โดยลูกค้าสามารถขอปรับได้ตามความจำเป็นและต้องยืนยันตัวตนอย่างเข้มงวด
- มาตรการตรวจจับและติดตามบัญชีหรือธุรกรรมต้องสงสัย เพื่อให้สถาบันการเงินช่วยจำกัดความเสียหายได้เร็วขึ้น และลดการใช้บัญชีม้า ธปท. จะกำหนดเงื่อนไขการตรวจจับและติดตามธุรกรรมเข้าข่ายผิดปกติ หรือกระทำความผิด เพื่อให้สถาบันการเงินรายงานไปสำนักงาน ปปง. รวมทั้งให้สถาบันการเงินต้องมีระบบตรวจจับและติดตามบัญชีหรือธุรกรรมต้องสงสัยแบบ Near Realtime เพื่อให้สามารถระงับธุรกรรมได้ทันทีเป็นการชั่วคราวเมื่อตรวจพบ
- มาตรการตอบสนองและรับมือ เพื่อจัดการปัญหาให้ผู้เสียหายได้เร็วขึ้น ให้สถาบันการเงินทุกแห่งต้องมีช่องทางติดต่อเร่งด่วน (Hotline) ตลอด 24 ชั่วโมง แยกจากช่องทางให้บริการปกติ เพื่อให้ผู้ใช้บริการแจ้งเหตุได้โดยเร็ว รวมทั้งให้ดูแลรับผิดชอบผู้ใช้บริการ หากพบว่าความเสียหายเกิดจากข้อบกพร่องของสถาบันการเงิน
ทั้งนี้ ธปท. ได้เร่งให้สถาบันการเงินทุกแห่งต้องดำเนินมาตรการทั้งหมดโดยเร็ว โดยได้มีการเริ่มดำเนินการในบางมาตรการแล้ว ขณะที่มาตรการที่เหลือส่วนใหญ่จะกำหนดให้แล้วเสร็จภายในเดือนมีนาคม 2566 และจะเร่งดำเนินการสำหรับบางมาตรการที่มีความซับซ้อนและต้องใช้เวลาในการปรับปรุง ซึ่งจะดำเนินการให้แล้วเสร็จตามเวลาที่กำหนดต่อไป โดย ธปท. จะประเมินประสิทธิผลของการดำเนินการ และจะทบทวนปรับปรุงมาตรการเป็นระยะ เพื่อให้สามารถป้องกันและแก้ไขภัยทุจริตทางการเงินได้อย่างเหมาะสมกับสถานการณ์
อย่างไรก็ดี การดำเนินงานของ ธปท. เป็นเพียงส่วนหนึ่งเท่านั้น แต่การจัดการและแก้ไขภัยทางการเงินได้อย่างเบ็ดเสร็จขึ้น ต้องอาศัย พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ซึ่งเมื่อมีผลบังคับใช้จะช่วยแก้ไขข้อจำกัดและอุปสรรคได้เพิ่มเติม ทั้งด้านการแลกเปลี่ยนข้อมูลธุรกรรมต้องสงสัยระหว่าง สง. และหน่วยงานที่เกี่ยวข้องได้คล่องตัวขึ้น การระงับการทำธุรกรรมโดยสถาบันการเงินได้ทันที และการกำหนดบทลงโทษผู้กระทำความผิดเกี่ยวกับบัญชีม้าที่ชัดเจนขึ้น รวมทั้งยังต้องบูรณาการความร่วมมือจากหน่วยงานที่เกี่ยวข้องในการดำเนินการให้เห็นผลเป็นรูปธรรมโดยเร็วต่อไป
“3 สิ่งที่ ธปท. อยากเห็นจากการออกมาตรการในครั้งนี้คือการยกระดับมาตรฐานการบริหารจัดการภัยไซเบอร์ของสถาบันการเงิน การลดโอกาสที่ประชาชนจะถูกหลอกลวงและการสร้างความมั่นใจให้ประชาชนในการใช้บริการการเงินดิจิทัล” ผู้ว่า ธปท. กล่าว
ขัตติยา อินทรวิชัย ประธานเจ้าหน้าที่บริหาร ธนาคารกสิกรไทย เปิดเผยว่า ธนาคารมีความพร้อมที่จะดำเนินการตามมาตรการของ ธปท. โดยปัจจุบันธนาคารมีฐานข้อมูล Biometrics ของลูกค้าเงินฝากอยู่แล้ว 70-80% และยังใช้เทคโนโลยีการยืนยันตัวตนด้วย Biometrics กับลูกค้า Mobile Banking อยู่แล้ว เช่น การเข้าแอป ในขั้นต่อไปจึงเป็นการอัปเกรดขั้นตอนดังกล่าวเข้าไปในฟีเจอร์อื่นๆ เท่านั้น นอกจากนี้ธนาคารยังมีแผนจะใช้เม็ดเงินราว 10% ของรายได้เป็นงบลงทุนเพื่ออัปเกรดระบบไอทีในภาพรวม
ชาติศิริ โสภณพนิช กรรมการผู้จัดการใหญ่ ธนาคารกรุงเทพ กล่าวว่า การออกมาตรการในครั้งนี้ของ ธปท. ถือเป็นเรื่องที่ดี เพราะจะช่วยเพิ่มความปลอดภัยทางการเงินให้กับประชาชน โดยเชื่อว่าธนาคารกรุงเทพจะสามารถปรับปรุงระบบให้สอดคล้องกับเกณฑ์ของ ธปท. ได้อย่างไม่มีปัญหา เพราะเทคโนโลยีการยืนยันตัวตนด้วย Biometrics เป็นส่วนหนึ่งของการวางโครงสร้างพื้นฐานด้านไอทีของธนาคารอยู่แล้ว แต่อาจต้องเพิ่มจำนวนคนที่จะเข้ามาดูแลด้านนี้เท่านั้น
