“แบงก์ชาติ” เปิด 3 มาตรการรับมือ “ภัยการเงินทางไซเบอร์”

นายเศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ปัจจุบันภัยทุจริตทางการเงินมีแนวโน้มเพิ่มขึ้นและหลากหลายรูปแบบ เช่น SMS หลอกลวง แก๊งคอลเซ็นเตอร์ แอปพลิเคชันให้สินเชื่อปลอม และแอปพลิเคชันดูดเงิน ภัยหลอกลวงเหล่านี้ส่งผลกระทบให้ประชาชนต้องสูญเสียทรัพย์สิน หรือรายได้ที่เก็บออม รวมทั้งขาดความมั่นใจในการใช้บริการทางการเงินดิจิทัลของสถาบันการเงิน ซึ่งอาจส่งผลกระทบในวงกว้างต่อการทำธุรกรรมทางการเงินในระยะต่อไป

ทั้งนี้ ที่ผ่านมาได้ร่วมกับหน่วยงานที่เกี่ยวข้องทั้งในและนอกภาคการเงินดำเนินการแก้ไขปัญหาอย่างต่อเนื่อง บนหลักการป้องกัน ตรวจจับ และตอบสนองรับมือ เพื่อลดช่องทางของมิจฉาชีพ และช่วยแก้ไขปัญหาให้ประชาชนที่ตกเป็นเหยื่อภัยการเงิน รวมทั้งกำชับให้สถาบันการเงินต้องเร่งจัดการปัญหาให้ประชาชนโดยเร็ว ซึ่งหลายเรื่องดำเนินการแล้ว เช่น ร่วมกับสำนักงาน กสทช. กระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม และศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร (TB-CERT) ปิด SMS ที่แอบอ้างชื่อเป็นสถาบันการเงิน เพื่อป้องกันมิจฉาชีพใช้แอบอ้างติดต่อประชาชน ซึ่งทำให้ภัยหลอกลวงทาง SMS เหล่านี้ลดลง

ธปท.จึงได้ออกมาตรการชุดจัดการภัยทุจริตทางการเงิน เพื่อกำหนดเป็นมาตรฐานขั้นต่ำที่ทุกสถาบันการเงินต้องปฏิบัติตามใน 3 เรื่อง โดยเฉพาะเรื่องมาตรการป้องกัน เช่น ไม่ส่งลิงก์ผ่านเอสเอ็มเอส อีเมล ให้ใช้โมบายแบงก์กิ้งของแต่ละธนาคารกับ 1 อุปกรณ์เท่านั้น และเพิ่มยืนยันตัวตนด้วยอัตลักษณ์ของลูกค้า หรือไบโอเมทริก เช่น สแกนใบหน้า ในกรณีที่ลูกค้าโอนเงินมากกว่า 50,000 บาทต่อรายการ หรือโอนเงินเกิน 200,000 บาทต่อวัน และกรณีปรับเพิ่มวงเงินทำธุรกรรมตั้งแต่ 50,000 บาทขึ้นไป

“ถ้าถามว่าธปท.คาดหวังอะไรจากชุดมาตรการนี้ สิ่งที่อยากเห็นคือ เรื่องยกระดับมาตรฐานของการบริหารจัดการภัยไซเบอร์จากสถาบันการเงิน , กำหนดเกณฑ์ขั้นต่ำไปปฎิบัติไปสู่การบริหารจัดการที่ดีขึ้น ,คาดหวังเห็นการลดโอกาสประชาชนจะถูกหลอกลวง ลดโอกาสประชาชนเกิดความเสียหายจากภัยไซเบอร์ หวังว่ามาตรการจะสร้างความมั่นใจในการใช้บริการทางการเงินดิจิทัลได้ สร้างความมั่นใจสร้างความสบายใจประชาชน” นายเศรษฐพุฒิ กล่าว

สำหรับชุดมาตรการด้านการป้องกัน ตรวจจับ ตอบสนองและรับมือภัยทางการเงินทางไซเบอร์ ดังนี้

1.มาตรการป้องกัน เพื่อปิดช่องทางที่มิจฉาชีพจะเข้าถึงประชาชนได้มากขึ้น ให้สถาบันการเงินงดการส่งลิงก์ทุกประเภทผ่าน SMS อีเมล และงดส่งลิงก์ขอข้อมูลสำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน และเลขบัตรประชาชนผ่านโซเชียลมีเดีย จำกัดจำนวนบัญชีผู้ใช้งาน mobile banking (username) ของแต่ละสถาบันการเงินให้ใช้ได้ใน 1 อุปกรณ์เท่านั้น โดยสถาบันการเงินต้องจัดให้มีการแจ้งเตือนผู้ใช้บริการ mobile banking ก่อนทำธุรกรรมทุกครั้ง และพัฒนาระบบความปลอดภัยบน mobile banking ให้เท่าทันภัยการเงินรูปแบบใหม่อยู่ตลอดเวลา

ตลอดจนต้องยกระดับความเข้มงวดในกระบวนการยืนยันตัวตนขั้นต่ำด้วยการใช้เทคโนโลยีเปรียบเทียบข้อมูลอัตลักษณ์ทางกายภาพของลูกค้า (biometrics) เช่น สแกนใบหน้า ในกรณีลูกค้าขอเปิดบัญชีโดยผ่านแอปพลิเคชันของสถาบันการเงิน (non-face-to-face) หรือทำธุรกรรมผ่าน mobile banking ในเงื่อนไขที่กำหนดไว้ เช่น โอนเงินมากกว่า 50,000 บาท หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาทขึนไป นอกจากนี้ จะกำหนดเพดานวงเงินถอน/โอนสูงสุดต่อวันให้เหมาะสมตามระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท โดยลูกค้าสามารถขอปรับได้ตามความจำเป็น และต้องยืนยันตัวตนอย่างเข้มงวด

2.มาตรการตรวจจับและติดตามบัญชี หรือธุรกรรมต้องสงสัย เพื่อให้สถาบันการเงินช่วยจำกัดความเสียหายได้เร็วขึ้น และลดการใช้บัญชีม้า ธปท. จะกำหนดเงื่อนไขการตรวจจับและติดตามธุรกรรมเข้าข่ายผิดปกติ หรือกระทำความผิด เพื่อให้สถาบันการเงิน รายงานไปสำนักงาน ปปง. รวมทั้งให้สถาบันการเงินต้องมีระบบตรวจจับและติดตามบัญชี หรือธุรกรรมต้องสงสัยแบบ near real-time เพื่อให้สามารถระงับธุรกรรมได้ทันทีเป็นการชั่วคราวเมื่อตรวจพบ

3.มาตรการตอบสนองและรับมือ เพื่อจัดการปัญหาให้ผู้เสียหายได้เร็วขึ้น ให้สถาบันการเงินทุกแห่งต้องมีช่องทางติดต่อเร่งด่วน (hotline) ตลอด 24 ชั่วโมง แยกจากช่องทางให้บริการปกติ เพื่อให้ผู้ใช้บริการแจ้งเหตุได้โดยเร็ว รวมทั้งให้ดูแลรับผิดชอบผู้ใช้บริการ หากพบว่าความเสียหายเกิดจากข้อบกพร่องของสถาบันการเงิน

“ธปท. ได้เร่งให้สถาบันการเงินทุกแห่งต้องดำเนินมาตรการทั้งหมดโดยเร็ว โดยได้มีการเริ่มดำเนินการในบางมาตรการแล้ว ขณะที่มาตรการที่เหลือส่วนใหญ่จะกำหนดให้แล้วเสร็จภายในเดือนมีนาคม 2566 และจะเร่งดำเนินการสำหรับบางมาตรการที่มีความซับซ้อนและต้องใช้เวลาในการปรับปรุง ซึ่งจะดำเนินการให้แล้วเสร็จตามเวลาที่กำหนดต่อไป โดย ธปท. จะประเมินประสิทธิผลของการดำเนินการ และจะทบทวนปรับปรุงมาตรการเป็นระยะ เพื่อให้สามารถป้องกันและแก้ไขภัยทุจริตทางการเงินได้อย่างเหมาะสมกับสถานการณ์” นายเศรษฐพุฒิ กล่าว

น.ส.สิริธิดา พนมวัน ณ อยุธยา ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธปท. กล่าวว่า มาตรการเป็นเพียงขั้นต่ำ แต่ละธนาคารสามารถไปปรับเพิ่มความเข้มงวดได้ ซึ่งธนาคารจะต้องพิจารณาตามความเสี่ยงลูกค้า เพราะมีความแตกต่างกันของแต่ละกลุ่มลูกค้า โดยสาเหตุที่กำหนดให้สแกนหน้ายืนยันตัวตนตอนโอนเงินวงเงินเกิน 50,000 บาทนั้น เพราะจากข้อมูลพบว่ามิจฉาชีพส่วนใหญ่มักโอนในวงเงินมากๆเกินกว่า 50,000 บาทต่อครั้ง ซึ่งผลกระทบจากครั้งนี้มีเพียง 1% เท่านั้น และลูกค้าที่ไม่เคยเก็บสแกนใบหน้าให้มาเก็บที่สาขาธนาคาร เพื่อให้มีข้อมูลไบโอเมทริก

“แรงจูงใจ คือการที่ธนาคารต้องดูแลประชาชน กำชับธนาคารยกระดับความเสี่ยงขององค์กร แต่ถ้าไม่ปฎิบัติธปท.จะมีวิธีกำชับ และบทลงโทษธนาคาร มีบางธนาคารทยอยดำเนินการตามมาตรการบ้างแล้ว ซึ่งหากใครที่ยังไม่เคยเก็บสแกนใบหน้าจะต้องมาเก็บไม่เช่นนั้นจะยืนยันตัวตนในการโอนเงินเกิน 50,000 บาทไม่ได้ แม้จะมีความลำบากบ้างเล็กน้อย แต่ก็เพื่อความปลอดภัยของลูกค้าเอง” นายเศรษฐพุฒิ กล่าว

นายภิญโญ ตรีเพชราภรณ์ ผู้อำนวยการฝ่ายกำกับและตรวจสอบความเสี่ยงด้านเทคโนโลยีสารสนเทศ ธปท. กล่าวว่า สถิติภัยการเงินช่วงที่ผ่านมา บัตรเดบิตปี 65 เทียบปี 64 รายการลดลง 88% ความเสียหายลดลง 47.62% , บัตรเครดิต รายการลดลง 57.6% ความเสียหายลดลง 66.58%, โมบายแบงก์กิ้ง รายการเพิ่มขึ้น 79% ความเสียหายเพิ่มขึ้น 72% และมีคนถูกหลอกแอปดูดเงิน 5,640 ราย เสียหาย 511 ล้านบาท