ธปท. กำหนดหน้าที่แบงก์ รับ พ.ร.ก.ป้องกันภัยไซเบอร์
คอลัมน์ Banking : วารสารการเงินธนาคารฉบับเดือนมีนาคม (ฉบับที่ 515)
ธปท. กำหนดหน้าที่-เกณฑ์ขั้นต่ำที่แบงก์ต้องทำ เพื่อยกระดับการจัดการภัยทุจริตทางการเงิน รองรับ พ.ร.ก.ป้องกันภัยไซเบอร์เมื่อมีผลบังคับใช้ ชี้ทุกหน่วยงานควรกำหนดหน้าที่ให้ชัดเจน เพื่อร่วมรับผิดชอบเมื่อเกิดความเสียหาย
จากสถานการณ์ภัยการเงินหรืออาชญากรรมออนไลน์ที่มีจำนวนเพิ่มขึ้นอย่างต่อเนื่อง มิจฉาชีพต่างใช้กลลวงใหม่ๆ และใช้บัญชีม้าเป็นเครื่องมือในการหลอกลวงเหยื่อ สร้างความเสียหายเป็นจำนวนมาก ซึ่งธนาคารแห่งประเทศไทย (ธปท.) ได้ดำเนินมาตรการเพื่อป้องกันอย่างเข้มข้น ไม่ว่าจะเป็นการออกหลักเกณฑ์ให้สถาบันการเงินยกระดับการป้องกันบัญชีม้า เพิ่มความปลอดภัย Mobile Banking ซึ่งจะเป็นการรองรับ พ.ร.ก.ป้องกันภัยไซเบอร์ฉบับใหม่
พร้อมรับ พ.ร.ก.ภัยไซเบอร์ ทุกฝ่ายต้องช่วยรับผิดชอบ
นางสาวดารณี แซ่จู ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า จากสถานการณ์ภัยทุจริตทางการเงินที่เพิ่มสูงขึ้นในช่วงที่ผ่านมา ธปท. และหน่วยงานที่เกี่ยวข้องได้ดำเนินการแก้ไขปัญหาภัยทุจริตทางการเงินมาอย่างต่อเนื่อง
โดยเมื่อวันที่ 28 มกราคม 2568 คณะรัฐมนตรี (ครม.) ได้มีมติอนุมัติแก้ไข พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี เนื่องจาก พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.2566 (ฉบับปัจจุบัน) ยังมีมาตรการบังคับทางกฎหมายที่ยังไม่เพียงพอกับรูปแบบอาชญากรรมทางเทคโนโลยี
การแก้ไข พ.ร.ก.ดังกล่าว มีสาระสำคัญคือ กำหนดให้กระบวนการแจ้งความ อายัดบัญชี คืนเงินผู้เสียหาย จากอาชญากรรมออนไลน์ ต้องมีความยืดหยุ่นและมีประสิทธิภาพ ขณะที่การเชื่อมโยงข้อมูลระหว่างหน่วยงานที่เกี่ยวข้องต้องทำได้กว้างขวางมากขึ้น รวมถึงการกำหนดกลไกที่ผู้ให้บริการที่เกี่ยวข้องต้องร่วมรับผิดชอบและชดเชยความเสียหายที่เกิดขึ้น หากละเลยการปฏิบัติตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนด
ทั้งนี้ ธปท.ได้เสนอความเห็นเกี่ยวกับร่าง พ.ร.ก.ฉบับนี้ ในส่วนของการรับผิดชอบความเสียหายจากอาชญากรรมทางเทคโนโลยี ว่าไม่ควรจำกัดแค่เฉพาะสถาบันการเงินเท่านั้น แต่ควรให้ทุกภาคส่วนที่เกี่ยวข้องต้องมีส่วนในการรับผิดชอบความเสียหาย โดยหน่วยงานกำกับดูแลต้องกำหนดหน้าที่ที่ต้องปฏิบัติสำหรับหน่วยงานภายใต้การกำกับให้ชัดเจน และหากหน่วยงานภายใต้การกำกับไม่ปฏิบัติตามเกณฑ์ที่กำหนดแล้วทำให้เกิดความเสียหายกับประชาชน หน่วยงานนั้นต้องร่วมรับผิดชอบด้วย
“เราให้ความเห็นไปว่า ทุกภาคส่วนต้องมีหน้าที่รับผิดชอบ ดังนั้น ต้องมีการกำหนดหน้าที่ของแต่ละภาคส่วนที่ชัดเจนเพื่อขีดเส้นเป็นบรรทัดฐาน เช่น ธปท. ได้กำหนดหน้าที่ของแบงก์ในการดูแลเรื่องมาตรฐาน Mobile Banking หรือ มาตรฐานการจัดการบัญชีม้า ถ้าแบงก์ไม่ทำตามก็ถือว่าแบงก์บกพร่อง ซึ่งหากความบกพร่องนั้นทำให้เกิดความเสียหายก็ต้องร่วมรับผิดชอบ”
นางสาวดารณีกล่าวว่า ธปท.ยังได้ให้ความเห็นว่า หน่วยงานที่ควรเข้ามาร่วมรับผิดชอบด้วย ได้แก่ สถาบันการเงิน บริษัทโทรคมนาคม (Telco) หน่วยงานที่เกี่ยวข้อกับสินทรัพย์ดิจิทัล และผู้ใช้งาน ขณะที่ยังมองว่าแพลตฟอร์มโซเชียลมีเดียต่างๆ ก็ควรเข้ามาร่วมรับผิดชอบความเสียหายด้วยเช่นกัน เนื่องจากเป็นช่องทางเริ่มต้นที่มิจฉาชีพใช้หลอกเหยื่อ
“นอกจากกระบวนการต่างๆ เหล่านี้แล้ว ยังต้องให้ความสำคัญกับการเยียวยาเหยื่อที่โดนหลอกด้วย เช่น ไม่ให้เหยื่อต้องติดตามคดีเอง กระบวนการคืนเงินที่ยึดไว้ต้องรวดเร็ว นอกจากนี้ เรื่องภัยไซเบอร์จะเป็นเรื่องที่อยู่กับเราไปอีกนาน ดังนั้น เพื่อจัดการให้เด็ดขาดจึงต้องมีการลงโทษผู้ทำผิดอย่างชัดเจนเพื่อให้มิจฉาชีพมีความกลัวที่จะถูกจับได้บ้าง”
โดย ธปท.จะประกาศกำหนดหน้าที่ความรับผิดชอบที่สถาบันการเงินพึงปฏิบัติให้ชัดเจน เพื่อใช้ประกอบการพิจารณาความรับผิดชอบในความเสียหายที่เกิดจากอาชญากรรมทางเทคโนโลยี ร่วมกับผู้ให้บริการด้านอื่นๆ ที่เกี่ยวข้องภายใต้ พ.ร.ก.ฉบับนี้ต่อไป
ธปท.เล็งออกแนวทาง จัดการม้าคริปโทฯ - ม้านิติบุคคล
นางสาวดารณีเปิดเผยว่า ที่ผ่านมา ธปท.ได้เริ่มออกเกณฑ์สำหรับสถาบันการเงินเพื่อจัดการกับภัยทุจริตทางการเงิน โดยได้กำหนดแนวทางยกระดับการจัดการบัญชีม้า โดยแบ่งบัญชีม้าเป็นระดับสี คือ
- บัญชีม้าดำ คือบัญชีในฐานข้อมูลของสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.)
- บัญชีม้าเทา (มีผู้เสียหาย) แบ่งเป็นม้าเทาเข้ม คือผู้เสียหายแจ้งความ และ ม้าเทาอ่อน คือ ผู้เสียหายยังไม่แจ้งความ
- บัญชีม้าน้ำตาล (ยังไม่มีผู้เสียหาย) ม้าน้ำตาลเข้ม ธนาคารมั่นใจพอที่จะแจ้งตำรวจ และ ม้าน้ำตาลอ่อน ธนาคารสงสัย
นอกจากนี้ ยังได้ยกระดับมาตรการการจัดการบัญชีม้าเพิ่มเติม ประกอบด้วย
1. การกวาดล้างบัญชีม้าให้ได้มากขึ้น โดยปรับเงื่อนไขการเข้าข่ายเป็นบัญชีม้าให้เข้มขึ้น โดยคำนึงถึงปัจจัยอื่นๆ เพิ่มเติม เช่น พฤติกรรมการโอนของบัญชีม้า มูลค่าของธุรกรรม เพื่อให้ครอบคลุมพฤติกรรมของมิจฉาชีพที่เปลี่ยนไป รวมทั้งสามารถดำเนินการกับบัญชีม้าได้แม้ยังไม่ได้รับแจ้งจากผู้เสียหาย เพื่อยกระดับการจัดการบัญชีม้าแต่ละระดับให้เหมาะสมและมีประสิทธิภาพ
2. การจัดการบัญชีม้าระดับบุคคลที่เข้มข้นขึ้น โดยธนาคารต้องขยายให้การระงับการโอนเงินออกจากบัญชีม้าและการปฏิเสธการเปิดบัญชีใหม่ ครอบคลุมไปถึงกรณีของบัญชีที่มีความเสี่ยงสูงว่าจะเป็นบัญชีม้า (แต่ยังไม่ถูกแจ้งว่าทำให้เกิดความเสียหาย) เพิ่มเติมด้วย รวมทั้งต้องกันเงินไม่ให้เข้าไปยังบัญชีของม้าทุกประเภทที่ระบุได้ชัดเจนว่า มีความเสี่ยงสูง นอกจากนี้ ธนาคารต้องแจ้งเตือนให้ผู้โอนรู้ตัวว่าอาจกำลังโอนเงินไปยังบัญชีม้า เพื่อป้องกันความเสียหายตั้งแต่ต้น และผู้ถูกหลอกไม่ต้องเสียเวลาในการดำเนินการทางกฎหมายเพื่อรับเงินคืน
3. การขยายการจัดการในวงที่กว้างขึ้น โดยกำหนดให้ธนาคารต้องแลกเปลี่ยนรายชื่อบุคคลที่ธนาคารตรวจสอบว่ามีพฤติกรรมต้องสงสัยระหว่างกันเพิ่มเติม แม้ยังไม่ได้รับแจ้งจากผู้เสียหาย จากเดิมที่แลกเปลี่ยนกันเฉพาะรายชื่อบุคคลที่เข้าข่ายการกระทำความผิด ตามฐานข้อมูลสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) และรายชื่อบุคคลที่ถูกแจ้งความหรือมีส่วนเกี่ยวข้องในเส้นทางการเงินทุจริตเท่านั้น เพื่อให้ธนาคารดำเนินการป้องกันภัยทุจริตได้ครอบคลุม รวดเร็ว เป็นมาตรฐานเดียวกันมากขึ้น
นางสาวดารณีเปิดเผยต่อว่า การยกระดับการจัดการบัญชีม้าระดับบุคคลอย่างเข้มข้น ทำให้การเปิดบัญชีบุคคลเพื่อใช้เป็นบัญชีม้าได้ทำได้ยากขึ้น มิจฉาชีพจึงเปลี่ยนรูปแบบไปเปิดบัญชีม้าในรูปแบบนิติบุคคล โดยใช้วิธีการนำหลักฐานการจดทะเบียนนิติบุคคลไปเปิดบัญชีธนาคารแล้วนำมาใช้เป็นบัญชีม้า
“ตอนนี้ม้าบุคคลอายุสั้น เพราะเมื่อโดนแจ้งความ บัญชีนั้นก็ไม่สามารถใช้ได้ พอเขาเปิดบัญชีบุคคลไม่ได้ก็ไปเปิดเป็นนิติบุคคล ซึ่งการจดทะเบียนนิติบุคคลในประเทศไทยทำได้ง่าย เมื่อผู้มาขอจดทะเบียนจัดตั้ง มีเอกสารครบถ้วน เข้าใจว่ากรมพัฒนาธุรกิจการค้ายังไม่มีสิทธิปฏิเสธการจดทะเบียน”
อย่างไรก็ตาม ที่ผ่านมา กรมพัฒนาธุรกิจการค้าได้เดินหน้าแก้ไขปัญหาบัญชีม้านิติบุคคลอย่างต่อเนื่อง เช่น การตรวจสอบที่ตั้งของบริษัทก่อนให้จดทะเบียน เป็นต้น ขณะที่ในฝั่งธนาคาร ได้เตรียมเชื่อมโยงข้อมูลรายชื่อบัญชีม้าบุคคลไปให้กรมพัฒนาธุรกิจการค้า เพื่อกรมพัฒนาธุรกิจการค้านำไปใช้เทียบกับรายชื่อผู้มาขอจดทะเบียนจัดตั้งนิติบุคคลได้ เพื่อติดธงว่าอาจเป็นนิติบุคคลม้า โดยจะสามารถทำได้เต็มรูปแบบเมื่อ พ.ร.ก.ป้องกันภัยไซเบอร์มีผลบังคับใช้
“ตอนนี้แบงก์มีรายชื่อของคนที่เป็นบัญชีม้าบุคคล หากสามารถนำไปแลกเปลี่ยนข้อมูลกับกรมพัฒนาธุรกิจการค้า เขาจะสามารถนำไปเปรียบเทียบและคัดกรองได้ เช่น หากพบว่ามีรายชื่อคนที่เป็นม้าบุคคลอยู่ในรายชื่อกรรมการของบริษัท หรือหากเขาเห็นพฤติกรรมแปลกๆ เช่น กรรมการที่มีชื่อซ้ำในหลายบริษัท หรือบริษัทที่มีกรรมการเป็นต่างชาติทั้งหมดก็ให้สงสัยไว้ก่อนว่าอาจเป็นบัญชีม้า”
นางสาวดารณี เปิดเผยต่อว่า จากการที่ ธปท. ยกระดับมาตรการเชิงป้องกันอย่างเข้มข้น พบพฤติกรรมว่า ประมาณ 75% ของมูลค่าความเสียหายในช่วง ต.ค. - ธ.ค. ปี 67 ถูกโอนออกทางคริปโทเคอร์เรนซี่ ดังนั้น ธปท. จึงได้หารือกับกับผู้กำกับดูแลและภาคเอกชนที่เกี่ยวข้อง เช่น สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี (บช.สอท.) กองบัญชาการตำรวจสอบสวนกลาง (บช.ก.) สมาคมธนาคารไทย และสมาคมการค้าผู้ประกอบธุรกิจสินทรัพย์ดิจิทัลไทย เพื่อจัดการบัญชีม้าคริปโทเคอร์เรนซี่
โดยหลักการคือ ต้องดำเนินการในรูปแบบเดียวกับการจัดการบัญชีม้าของสถาบันการเงิน คือ แบ่งระดับสีบัญชีคริปโทฯที่เป็นบัญชีม้า เช่นเดียวกับการแบ่งระดับสีของบัญชีม้าบุคคลของ ธปท. และจัดการบัญชีดังกล่าวในรูปแบบเดียวกันตามเฉดสี
“มาตรการนี้จะเกิดเรื่องนี้จะเริ่มได้เมื่อมีการแลกข้อมูลระหว่างกัน ตอนนี้ ก.ล.ต.มีข้อมูลของคริปโทฯอยู่แล้ว แต่เขาไม่มีฐานบัญชีม้า ดังนั้น ถ้าแชร์ข้อมูลกันได้ก็สามารถนำมาเทียบกันได้และถ้าเป็นบัญชีม้าฝั่งแบงก์แล้วไปมีชื่อทางฝั่งคริปโทฯ ก็จะดำเนินการเหมือนกันตามเฉดสี แต่เวลาเราทำเรื่องประเภทนี้ต้องระวังไม่ให้ไปกระทบธุรกิจหรือกระทบกับคนที่สุจริต ซึ่งเขาก็เสนอแนวทางว่าอาจจะยังให้มีการเทรดคริปโทฯได้เพราะถ้าเทรดใน Exchange เงินก็จะอยู่ในนั้น แต่จะไม่ให้ถอนออกจาก Exchange เป็นเงินสด”
ออกเกณฑ์ขั้นต่ำที่แบงก์ต้องทำ เพื่อยกระดับ Mobile Banking
นางสาวดารณีเปิดเผยว่า นอกจากการจัดการบัญชีม้าเพื่อไม่ให้มิจฉาชีพมีเครื่องมือสำหรับหลอกเหยื่อแล้ว อีกด้านยังต้องมีแนวทางดูแลผู้ใช้บริการ (User) ด้วย โดยเฉพาะการใช้ Mobile Banking ซึ่งปัจจุบันสถาบันการเงินทุกแห่งมีมาตรฐานการรักษาความปลอดภัยของ Mobile Banking ในระดับเดียวกัน
โดย ธปท.ได้กำหนดหลักเกณฑ์ขั้นต่ำให้แบงก์ยกระดับการรักษาความมั่นคงปลอดภัย Mobile Banking ป้องกันความเสี่ยงจากภัยการเงิน โดยได้ประกาศในราชกิจจานุเบกษาเมื่อวันที่ 7 กุมภาพันธ์ 2568 และจะมีผลบังคับใช้ใน 30 วัน นับแต่วันถัดจากประกาศในราชกิจจานุเบกษาเป็นต้นไป ยกเว้นเรื่องการให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการที่มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ ที่จะมีผลบังคับใช้ใน 60 วันนับแต่วันถัดจากประกาศในราชกิจจานุเบกษา
“เรื่องความปลอดภัย Mobile Banking ทั้งแบงก์ใหญ่และแบงก์เล็กอยู่ในมาตรฐานเดียวกัน เพราะว่าหากมีแบงก์ไหนที่ทำน้อยกว่ามิจฉาชีพก็อาจจะไปทางฝั่งแบงก์นั้น และตอนนี้บางแบงก์ยังได้ทำเครื่องมือจำกัดความเสี่ยงสำหรับลูกค้าให้ลูกค้าเลือกใช้ได้ เช่น ฟังก์ชั่น Money Lock ที่จะทำให้ไม่สามารถโอนเงินจากบัญชีเงินฝากของตัวเองที่ล็อกไว้ไปยังบัญชีของคนอื่นได้”
ขณะที่ ธปท. ยังได้หารือกับสถาบันการเงินถึงการนำแนวทางของต่างประเทศมาใช้ เช่น สิงคโปร์ที่กำหนดให้หากเงินในบัญชีโอนออกไป 50% ใน 24 ชั่วโมงจะบล็อกการทำธุรกรรมเอาไว้ ขณะที่สิงคโปร์ยังได้กำหนดเกณฑ์ให้สถาบันการเงินมีสิทธิระงับการโอนเงินหากตรวจพบว่า เจ้าของบัญชีอาจกำลังถูกมิจฉาชีพหลอกให้โอนเงิน นอกจากนี้ ยังอยู่ระหว่างศึกษาแนวทางการจำกัดวงเงินหรือปริมาณการทำธุรกรรมของบัญชีที่เข้าข่ายเป็นบัญชีม้าด้วย
“เรากำลังดูว่าสำหรับบัญชีเปิดใหม่ที่ต้องสงสัยจะจำกัดแค่วงเงิน เช่น โอนได้ไม่เกิน 5,000 บาท หรือ จำกัดปริมาณการโอน เช่น โอนได้วันละไม่เกินกี่ครั้ง หรือจำกัดทั้งสองอย่างซึ่งจะมีพลังมาก แต่ก็จะไปกระทบกับคนที่ไม่เป็นบัญชีม้า ตอนนี้มีหลายแนวทางที่คุยกันไว้ เช่น กลุ่มที่น่าสงสัยมากอาจจะจำกัดวงเงินที่ 5,000 บาท น่าสังสัยในระดับกลางจำกัดที่ 100,000-200,000 บาท หรืออาจจะไปถึงขั้นที่ปฏิเสธการเปิดบัญชีก็ได้”
ขณะที่ยังมีแนวคิดที่จะชะลอการทำธุรกรรมที่มีความเสี่ยงสูง โดยอาจมีฟังก์ชั่นให้ผู้บริการตั้งค่าความเสี่ยงใน Mobile Banking ได้เอง เช่น หากโอนเกิน 50,000 บาท หรือการขอเพิ่มวงเงินการโอน จะต้องชะลอไว้ 12 ชั่วโมง ทั้งนี้ หากสามารถดำเนินการได้ ต้องกำหนดให้การปิดฟังก์ชั่นนี้ต้องทำได้ยาก เช่น ต้องไปสาขาเพื่อยืนยันการปิดฟังก์ชั่น เป็นต้น
“ทั้งหมดนี้ คือเรื่องที่เราอยากทำเพราะคิดว่าจะช่วยคนได้มาก แต่ก็ต้องพิจารณาให้สมเหตุสมผล ดูว่าอะไรทำแล้วจะได้ผลอย่างที่เราอยากได้ จึงเป็นเรื่องที่ต้องใช้เวลาเพราะต้องวิเคราะห์ข้อมูลจำนวนมากแต่ก็ต้องทำ เพราะการป้องกันภัยและการจัดการบัญชีม้าเป็นเรื่องที่เราต้องจัดเต็ม”
ติดตามอ่านคอลัมน์อื่น ๆ ได้ในวารสารการเงินธนาคารฉบับเดือนมีนาคม 2568 ฉบับที่ 515 ในรูปแบบดิจิทัล : https://goo.gl/U6OnIi
รวมช่องทางการสั่งซื้อวารสารการเงินธนาคาร ทั้งฉบับปัจจุบันและฉบับย้อนหลัง ครบจบที่นี่ที่เดียว : https://moneyandbanking.co.th/2023/18250/