ธปท. คุมเข้มแอปฯ ธนาคาร เปลี่ยนเครื่องต้องยืนยันตัวที่ธนาคาร, ห้ามส่งลิงก์ในเมลและ SMS, ต้องยืนยันตัวตนด้วยใบหน้า
ธนาคารแห่งประเทศไทย (ธปท.) ประกาศมาตรการใหม่ผ่านราชกิจจานุเบกษา ยกระดับความปลอดภัยของแอปพลิเคชันธนาคาร เพื่อป้องกันภัยไซเบอร์และแก๊งคอลเซ็นเตอร์ที่พัฒนากลโกงซับซ้อนขึ้นเรื่อย ๆ มาตรการดังกล่าวจะช่วยลดความเสี่ยงจากการถูกสวมรอยทำธุรกรรมทางการเงินผ่านแอปพลิเคชันธนาคาร
5 มาตรการหลักของกฎใหม่แอปฯ ธนาคาร
- ห้ามส่งลิงก์ผ่าน SMS และอีเมล
ธนาคารต้องงดเว้นการแนบลิงก์ในข้อความ (SMS) และอีเมลเพื่อลดความเสี่ยงจากมิจฉาชีพที่ปลอมแปลง อ้างสิทธิ์เป็นสถาบันการเงิน เนื่องจากลิงก์ที่แนบมาอาจเป็นเครื่องมือให้มิจฉาชีพหลอกขโมยข้อมูลส่วนตัวของผู้ใช้ หากธนาคารจำเป็นต้องส่งลิงก์ไปยังผู้ใช้ ต้องได้รับการร้องขอจากผู้ใช้เองเป็นรายครั้ง ส่วนช่องทางโซเชียลมีเดียของธนาคารอนุญาตให้แนบลิงก์ได้ ยกเว้นลิงก์ที่ขอข้อมูลสำคัญ เช่น OTP หรือรหัสผ่าน - จำกัดการใช้งาน Mobile Banking
บัญชี Mobile Banking จะสามารถใช้ได้เพียง 1 อุปกรณ์ ต่อ 1 บริการของแต่ละธนาคารเท่านั้น ช่วยลดโอกาสที่บัญชีจะถูกเข้าถึงจากอุปกรณ์อื่นโดยไม่ได้รับอนุญาต หากต้องการเปลี่ยนอุปกรณ์ ต้องดำเนินการยืนยันตัวตนกับธนาคารก่อน - ยืนยันตัวตนด้วยใบหน้า
ธนาคารต้องใช้เทคโนโลยีเปรียบเทียบใบหน้า กับ Liveness Detection ใช้เพื่อระบุว่าใบหน้าที่เคลื่อนไหวนั้นเป็นใบหน้าจริงหรือใบหน้าปลอมแปลง โดยใช้ยืนยันตัวตนเมื่อลูกค้าโอนเงินเกิน 50,000 บาทต่อครั้ง หรือเกิน 200,000 บาทต่อวัน รวมถึงการขอปรับเพิ่มวงเงินโอนที่เกิน 50,000 บาทขึ้นไป - กำหนดเพดานวงเงินสูงสุดต่อวัน
ธนาคารต้องกำหนดเพดานวงเงินโอนและถอนสูงสุดต่อวันตามความเสี่ยงของลูกค้า เช่น ผู้ใช้ที่อายุต่ำกว่า 15 ปี จะถูกจำกัดให้ทำธุรกรรมรวมกันไม่เกิน 50,000 บาทต่อวัน - ตรวจจับและรับมือแอปพลิเคชันปลอม
มีระบบติดตามและตอบสนองต่อแอปพลิเคชันปลอมที่เลียนแบบแอปฯ ของธนาคาร หากพบแอปต้องสงสัยใน App Store เช่น Google Play หรือ Apple Store ต้องดำเนินการปิดกั้นทันที และต้องมีระบบแจ้งเตือนลูกค้าเกี่ยวกับแอปฯ อันตรายที่อาจติดตั้งมัลแวร์ขโมยข้อมูล
ซึ่งการเปลี่ยนแปลงนี้เป็นการตอบสนองต่อภัยคุกคามทางไซเบอร์ที่มีความซับซ้อนมากขึ้น ซึ่งมิจฉาชีพมักใช้วิธีสร้างแอปฯ ปลอม หรือหลอกขโมยข้อมูลสำคัญของผู้ใช้ เมื่อจำกัดอุปกรณ์ที่สามารถเข้าถึงบัญชีได้ จะช่วยลดความเสี่ยงจากมัลแวร์และป้องกันการสวมรอยทำธุรกรรม
มาตรการนี้ยังช่วยป้องกันการแฮกบัญชีที่เกิดจากการแชร์รหัสผ่านในหลายอุปกรณ์ ซึ่งเป็นช่องโหว่ที่อาจทำให้ข้อมูลของผู้ใช้ตกไปอยู่ในมือของมิจฉาชีพ
นอกจากนี้ ระบบ Mobile Banking จะมีการตรวจสอบและตอบสนองต่อภัยคุกคามได้ดีขึ้น ลดโอกาสที่บัญชีจะถูกใช้ในธุรกรรมที่ผิดกฎหมาย แม้ว่ามาตรการดังกล่าวอาจสร้างความไม่สะดวกสำหรับบางกลุ่มผู้ใช้ที่ต้องการเข้าถึงจากหลายอุปกรณ์ แต่ก็เป็นการยกระดับความปลอดภัยของระบบการเงินให้มั่นคงและปกป้องผู้ใช้จากความเสียหายทางการเงินได้อย่างมีประสิทธิภาพ
โดยมาตรการใหม่นี้จะมีผลบังคับใช้ภายใน 30 วันหลังประกาศในราชกิจจานุเบกษา อย่างไรก็ตาม ข้อกำหนดบางอย่าง เช่น การจำกัดอุปกรณ์ใช้งานจำกัด 1 บัญชีต่อ 1 อุปกรณ์ จะเริ่มบังคับใช้ภายใน 60 วัน