ธปท.เข้มสกัดอาชญากรรมไซเบอร์ คาดโทษเพิกเฉยต้องรับผิดชอบความเสียหาย
ในยุคที่เทคโนโลยีทางการเงินเติบโตอย่างก้าวกระโดด ความสะดวกสบายของผู้บริโภคเดินคู่มากับความเสี่ยงรูปแบบใหม่ที่ซับซ้อนกว่าเดิม อาชญากรรมไซเบอร์ได้ก้าวล้ำจากการหลอกลวงผ่านโทรศัพท์และข้อความสั้น
มาสู่การโจมตีโดยใช้เทคนิคขั้นสูง ทั้งการปลอมแปลงข้อมูล การสวมรอยทำธุรกรรม หรือการเจาะระบบของแอปพลิเคชันธนาคาร ส่งผลให้เกิดความเสียหายทางเศรษฐกิจและบั่นทอนความเชื่อมั่นในระบบการเงินอย่างต่อเนื่อง
ธนาคารแห่งประเทศไทย(ธปท.)จึงได้ยกระดับมาตรการเชิงรุกออกประกาศ “มาตรฐานและมาตรการเพื่อป้องกันอาชญากรรมทางเทคโนโลยีสำหรับสถาบันการเงิน” ลงวันที่ 25 กรกฎาคม 2568 และประกาศในราชกิจจานุเบกษาเมื่อ 7 สิงหาคม 2568 มีผลบังคับใช้ทันทีตั้งแต่ 8 สิงหาคม 2568
นับเป็นหมุดหมายสำคัญของการกำหนดกรอบบังคับใช้ที่ชัดเจน ครอบคลุมทั้งธนาคารพาณิชย์ สถาบันการเงินเฉพาะกิจ ผู้ให้บริการทางการเงินรูปแบบอื่น (Non-bank) ตลอดจนผู้ให้บริการโทรคมนาคมและแพลตฟอร์มสื่อสังคมออนไลน์ที่เกี่ยวข้อง
ทั้งนี้สถาบันการเงินต้องปฏิบัติตามหลักเกณฑ์ในประกาศนี้ เพื่อป้องกันอาชญากรรมทางเทคโนโลยี ซึ่งจะช่วยลดความเสียหายที่จะเกิดขึ้นกับประชาชนและรักษาความเชื่อมั่นในระบบสถาบันการเงินและระบบการชำระเงินของประเทศ
ในกรณีที่ความเสียหายดังกล่าวเกี่ยวข้องโดยตรงกับการที่สถาบันการเงินไม่ปฏิบัติตามหลักเกณฑ์ สถาบันการเงิน ต้องมีส่วนรับผิดชอบในความเสียหายที่เกิดจากอาชญากรรมทางเทคโนโลยีตามสัดส่วนแห่งพฤติการณ์ของสถาบันการเงินลูกค้า ผู้ประกอบธุรกิจรวมทั้งบุคคลอื่นตามที่แต่ละบุคคลจะมีส่วนเกี่ยวข้องที่ทำให้เกิดความเสียหาย
ประกาศธปท. ได้กำหนดมาตรการไว้ 5 หมวดใหญ่ ครอบคลุมตั้งแต่การป้องกันการสวมรอยทำธุรกรรม การรู้จักและตรวจสอบลูกค้า การจัดการความเสียหายจากบัญชีม้า ไปจนถึงการเปิดช่องทางรับแจ้งเหตุเร่งด่วน สาระสำคัญประกอบด้วย
1.ป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ(Unauthorized Payment Fraud) โดยสถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการและรักษาความมั่นคงปลอดภัยแอพพลิเคชั่นที่ใช้บริการ Mobile Banking ที่มีการให้บริการแก่ลูกค้า ที่เป็นบุคคลธรรมดา เพื่อป้องกันความเสี่ยงจากอาชญากรรมทางเทคโนโลยี ดังนี้
- ห้ามส่งลิงก์ที่เสี่ยงต่อความเสียหายผ่าน SMS อีเมล หรือโซเชียลมีเดีย
- จำกัด 1 บัญชี Mobile Banking ต่อ 1 อุปกรณ์
- ใช้การยืนยันตัวตนด้วยเทคโนโลยีเปรียบเทียบใบหน้า ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (Liveness Detection) สำหรับธุรกรรมโอนเงินตั้งแต่ 50,000 บาท หรือรวม 200,000 บาทต่อวัน และกรณีปรับเพิ่มวงเงินเกิน 50,000 บาท
- ตรวจสอบทุกครั้งเมื่อเข้าใช้งานแอปฯ ว่ามีการแก้ไขดัดแปลงหรือไม่ หากพบต้องไม่อนุญาตให้ใช้งาน
- ไม่ให้แอปฯ ทำงานพร้อมแอปเสี่ยง เช่น แอปควบคุมเครื่องระยะไกล หรือแอปที่สามารถขโมยข้อมูลหน้าจอ
2.รู้จักลูกค้า(KYC) เพื่อป้องกันบัญชีม้า สถาบันการเงินต้องมีกระบวนการรู้จักลูกค้าหรือ KYC โดยทุกการเปิดบัญชีเงินฝากต้องมีขั้นตอนแสดงตน (Identification) และพิสูจน์ตัวตน (Verification) อย่างรัดกุม เพื่อป้องกันการใช้ข้อมูลปลอมเปิดบัญชีม้า ซึ่งเป็นช่องทางหลักของการฟอกเงินและหลอกลวงทางการเงิน
3.ตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า สถาบันการเงินต้องประเมินความเสี่ยงลูกค้าและตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าตามหลักเกณฑ์ของกฎหมายว่า ด้วยการป้องกันและปราบปรามการฟอกเงิน โดย สถาบันการเงินต้องจัดระดับความเสี่ยงของลูกค้า โดยบัญชีม้าดำ ม้าเทาเข้ม และม้าเทาอ่อน จะถูกจัดให้อยู่ในกลุ่มความเสี่ยงสูงด้านการฟอกเงิน
สถาบันการเงินต้องตรวจสอบอย่างเข้มข้นตามกฎหมายฟอกเงิน รวมถึงขอข้อมูลแหล่งที่มาของเงินหรือทรัพย์สิน อาชีพ และวัตถุประสงค์การทำธุรกรรม หากไม่สามารถยืนยันได้ ต้องปฏิเสธการทำธุรกรรมหรือยุติความสัมพันธ์ทางธุรกิจ
4.จำกัดความเสียหายและการจัดการบัญชีม้า สถาบันการเงินต้องดำเนินการจำกัดความเสียหายและจัดการบัญชีม้า โดยจัดให้มีการแจ้งเตือนลูกค้าที่เป็นบุคคลธรรมดาผ่านช่องทางใดช่องทางหนึ่งทันทีเมื่อมีเงินออกจากบัญชีเงินฝากจากการทำธุรกรรมผ่านช่องทางดิจิทัล โดยไม่เรียกเก็บค่าใช้จ่ายเช่นการแจ้งเตือนผ่านบริการ Mobile Banking บัญชีทางการ บน platform ส่งข้อความ LINE Official Account หรือ SMS และอีเมล
สถาบันการเงินต้องระงับการทำธุรกรรมยกเลิกการระงับการทำธุรกรรมแจ้งสถาบันการเงินหรือผู้ประกอบธุรกิจที่รับโอนถัดไปรวมทั้งนำข้อมูลเข้าสู่ระบบหรือกระบวนการเปิดเผยหรือแลกเปลี่ยนข้อมูลตามข้อปฏิบัติที่ศูนย์ปฏิบัติการเพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี(ศปอท).
5.กระบวนการรับแจ้งเหตุที่เกี่ยวข้องกับอาชญากรรมทางเทคโนโลยี สถาบันการเงินต้องจัดให้มีช่องทางติดต่อเร่งด่วนหรือฮอตไลน์ทางโทรศัพท์หรือวิธีการทางอิเล็กทรอนิกส์ที่ลูกค้าสามารถติดต่อเจ้าหน้าที่ของสถาบันการเงินเพื่อแจ้งเหตุที่เกี่ยวข้องกับอาชญากรรมทางเทคโนโลยีได้ทั้งในและนอกเวลาทำการ
หน้า 13 หนังสือพิมพ์ ฐานเศรษฐกิจ ฉบับที่ 4,122 วันที่ 14 - 16 สิงหาคม พ.ศ. 2568