ธปท. ย้ำเดินหน้ามาตรการสแกนหน้า ทำธุรกรรมการเงินตามไทม์ไลน์
ผู้ว่าการ ธปท. แจงการดำเนินการตามมาตรการป้องกันภัยทุจริตทางการเงินเดินหน้าตามไทม์ไลน์ ชี้แต่ละแบงก์มีความพร้อมไม่เหมือนกัน เปิดแนวปฏิบัติแบงก์ชาติตีกรอบสถาบันการเงิน-แบงก์รัฐ-ผู้ประกอบการ e-Money ต้องปฏิบัติ
วันที่ 24 เมษายน 2566 นายเศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) กล่าวถึงนโยบายการให้สถาบันการเงินเพิ่มมาตรการป้องกันภัยทุจริตทางการเงิน ด้วยการให้ผู้ใช้บริการต้องมีการสแกนใบหน้า เมื่อทำธุรกรรมเข้าข่ายเงื่อนไข ว่า ขณะนี้ การดำเนินการเป็นไปตามกรอบเวลาที่วางไว้ ซึ่งแต่ละแบงก์จะมีความพร้อมไม่เหมือนกัน
เข้ม “แบงก์-ธุรกิจ e-Money” ต้องปฏิบัติ
ผู้สื่อข่าวรายงานว่า ก่อนหน้านี้ ธปท. ได้ส่งหนังสือเวียนถึงผู้ให้บริการทางการเงิน ทั้งสถาบันการเงิน สถาบันการเงินเฉพาะกิจ และผู้ให้บริการชำระเงินภายใต้การกำกับทุกราย โดยกำหนดให้ผู้ให้บริการทางการเงินที่ให้บริการเกี่ยวข้องกับบัญชีเงินฝาก หรือบัญชีเงินอิเล็กทรอนิกส์เฉพาะที่ให้บริการโอนเงินไปยังบัญชีเงินฝาก หรือบัญชีเงินอิเล็กทรอนิกส์ที่ให้บริการโดยผู้ให้บริการทางการเงินอื่นได้ (บัญชี e-Money ที่โอนเงินได้) สำหรับผู้ใช้บริการรายย่อย ต้องปฏิบัติเพิ่มเติมจากแนวนโยบายการบริหารจัดการภัยทุจริตจากการทำธุรกรรมทางการเงิน ดังนี้
1. การป้องกันภัย (Protection)
(1.1) การเปิดบัญชีเงินฝากหรือบัญชี e-Money ที่โอนเงินได้ ให้ถือปฏิบัติตามหลักเกณฑ์การรู้จักลูกค้า (Know Your Customer : KYC) สำหรับการเปิดบัญชีเงินฝากหรือบัญชี e-Money เพื่อให้มั่นใจได้ว่าข้อมูลและเอกสารหลักฐานการแสดงตนของผู้ใช้บริการมีความถูกต้อง แท้จริงและเป็นปัจจุบัน รวมถึงสามารถพิสูจน์ได้ว่าผู้ใช้บริการที่ประสงค์จะเปิดบัญชีหรือเปิดใช้บริการ เป็นผู้ใช้บริการรายนั้นจริง รวมถึงให้ถือปฏิบัติตามกฎหมายและหลักเกณฑ์อื่นที่เกี่ยวข้องอย่างเคร่งครัด
สำหรับการเปิดบัญชีเงินฝากหรือบัญชี e-Money ที่โอนเงินได้ แบบไม่พบเห็นผู้ใช้บริการต่อหน้า (non-face-to-face) ทุกครั้ง ต้องมีวิธีการยืนยันตัวตนผู้ใช้บริการ (authenticate) ที่รัดกุมโดยใช้เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติของผู้ใช้บริการ (biometic comparison) และเทคโนโลยี liveness detection เป็นขั้นต่ำ
หรือใช้วิธีการอื่นที่เทียบเท่า เพื่อยืนยันตัวตนของผู้ทำธุรกรรมเปิดบัญชีและลดโอกาสการสวมรอยจากผู้ทำทุจริต
(1.2) จัดให้มีการยืนยันตัวฒนผู้ใช้บริการในขั้นตอนการทำธุรกรรมผ่านช่องทางให้บริการ mobile banking และช่องทางให้บริการ e-Money ที่โอนเงินได้ โดยใช้เทคโนโลยีเปรียบเทียบข้อมูลชีวมิติของผู้ใช้บริการ (biometric comparison) ซึ่งอาจพิจารณาเพิ่มเติมเทคโนโลยี liveness detection ร่วมด้วย ตามความเหมาะสมหรือใช้วิธีการอื่นใดที่มีความรัดกุมเทียบเท่า เมื่อธุรกรรมดังกล่าวเป็นธุรกรรมที่เข้าเงื่อนไขอย่างใดอย่างหนึ่ง ดังนี้
- ทำธุรกรรมโอนเงินในแต่ละครั้งมีมูลค่า ตั้งแต่ 50,000 บาทขึ้นไป หรือ
- ทำธุรกรรมโอนเงิน มูลค่ารวมกัน ครบทุก ๆ 200,000 บาท ในรอบระยะเวลา 1 วัน หรือ
- ปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน ให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป
ทั้งนี้ หากการทำธุรกรรมข้างต้นเป็นธุรกรรมที่มีความเสี่ยงต่ำ เช่น การทำธุรกรรมโอนเงินระหว่างบัญชีตนเอง หรือการทำธุรกรรมโอนเงินประจำอัตโนมัติ (automatic recurring transfer) และได้ยืนยันตัวตนไปแล้วในครั้งแรก เป็นต้น อาจพิจารณางดเว้นการยืนยันตัวตนผู้ใช้บริการได้
ทั้งนี้ เงื่อนไขการทำธุรกรรมที่ต้องจัดให้มีการยืนยันตัวตนอาจเปลี่ยนแปลงได้ตามที่ ธปท. กำหนด เพื่อป้องกันการใช้บัญชีของบุคคลอื่นมาเป็นช่องทางในการกระทำความผิด ให้เท่าทันภัยทุจริตใหม่ ๆ และเพียงพอเหมาะสมกับรูปแบบการให้บริการทางการเงินในอนาคต
(1.3) จัดให้มีกระบวนการพิสูจน์ความเป็นเจ้าของเลขหมายโทรศัพท์เคลื่อนที่ในขั้นตอนการเปิดบัญชีเงินฝาก การเปิดใช้บริการ mobile banking การเปิดบัญชี e-Money ที่โอนเงินได้ รวมทั้งเมื่อมีการเปลี่ยนแปลงหมายเลขโทศัพท์ โดยตรวจสอบให้ชื่อเจ้าของบัญชีเงินฝากหรือบัญชี e-Money ที่โอนเงินได้ตรงกันกับชื่อเจ้าของเลขหมายโทรศัพท์เคลื่อนที่
ทั้งนี้ กรณีที่ผู้ให้บริการทางการเงินไม่สามารถปฏิบัติได้จะต้องมีกระบวนการบริหารจัดการความเสี่ยงที่เพียงพอ เช่น พิสูจน์ได้ว่าเป็นการเปิดบัญชีเพื่อให้บุคคลในครอบครัวใช้งานหรือเปิดเพื่อใช้ในธุรกิจส่วนตัว เป็นต้น เพื่อป้องกันการนำหมายเลขโทรศัพท์เคลื่อนที่ของบุคคลอื่นมาใช้ในการเปิดใช้บริการ mobile banking หรือเปิดบัญชี e-Money ที่โอนเงินได้
(1.4) กำหนดให้ผู้ใช้บริการสามารถเปิดใช้บริการ mobile banking หรือเปิดใช้บริการ e-Money ที่โอนเงินได้ ได้เพียง 1 บัญชีผู้ใช้งาน และจำกัดให้ใช้งานบน 1 อุปกรณ์เท่านั้น ทั้งนี้ หากผู้ให้บริการทางการเงินมีบริการ mobile banking หรือบริการ e-Money ที่โอนเงินได้มากกว่า 1 แอปพลิเคชั่น สามรถเปิดบัญชีผู้ใช้งานได้
ตามจำนวนแอปพลิเคชั่น
ทั้งนี้ ในกรณีที่ผู้ให้บริการทางการเงินอนุญาตให้ผู้ใช้บริการสามารถใช้ได้มากกว่า 1 อุปกรณ์ ผู้ให้บริการทางการเงินต้องสามารถติดตามและตรวจจับได้ว่าอุปกรณ์ถูกใช้งานจากผู้ใช้บริการจริง เช่น การติดตามจากอุปกรณ์ สถานที่ และพฤติกรรมในการทำธุรกรรม ของผู้ใช้บริการที่อาจผิดปกติไปจากเดิม เป็นต้น
เพื่อป้องกันการสวมรอยทำธุรกรรมจากมิจฉาชีพ
(1.5) กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงินในช่องทางการทำธุรกรรมต่าง ๆ ให้เหมาะสมตามความระดับเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท เพื่อลดความเสียหายเมื่อกลุ่มผู้ใช้บริการเหล่านี้ตกเป็นเหยื่อหรือถูกใช้เป็นเครื่องมือในการทำทุจริต
ทั้งนี้ กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า 15 ปี ให้กำหนดวงเงินของช่องทางให้บริการทางอุปกรณ์เคลื่อนที่ (mobile banking) ช่องทางให้บริการทางอินเทอร์เน็ต (internet banking) ช่องทางสาขาอิเล็กทรอนิกส์ และช่องทางให้บริการe-Money สูงสุดช่องทางละไม่เกิน 50,000 บาทต่อวัน
(1.6) งดเว้นแนบลิงก์ทุกประเภทผ่านช่องทางข้อความสั้น (SMS) และช่องทางอีเมล์ สำหรับกรณีช่องทางโซเชียลมีเดียงดเว้นแนบลิงก์เฉพาะที่เป็นการขอข้อมูลในการยืนยันตัวตนและข้อมูลสำคัญส่วนบุคคลที่สำคัญ เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัส OTP รหัส PIN หมายเลขบัตรประชาชนชน วันเดือนปีเกิด เป็นต้น ทั้งนี้ ยกเว้นกรณี
ผู้ใช้บริการดำเนินการร้องขอเองเป็นรายครั้งสามารถแนบลิงก์ได้ทั้ง 3 ช่องทาง เพื่อป้องกันการแอบอ้างจากมิจฉาชีพสวมรอยเป็นผู้ให้บริการทางการเงินและหลอกขอข้อมูล (social engineering หรือหลอกลวงให้ทำธุรกรรมทางการเงิน รวมทั้งสื่อสารเน้นย้ำกับผู้ใช้บริการทราบว่าผู้ให้บริการทางการเงินไม่มีนโยบายส่งลิงก์หรือให้ผู้ใช้บริการทำธุรกรรมทางการเงินใด ๆ ผ่านช่องทางดังกล่าว
(1.7) ปรับปรุงระบบการรักษาความมั่นคงปลอดภัยการให้บริการ mobile banking และการให้บริการ e-Money ที่โอนเงินได้ ให้เป็นไปตามมาตรฐานสากลและหลักเกณฑ์ของ ธปท. รวมถึงเท่าทันภัยคุกคามรูปแบบใหม่อยู่เสมอ โดยผู้ให้บริการทางการเงินต้องเร่งดำเนินการปิดช่องโหว่โดยเร็วตามระดับความเสี่ยงหรือดำเนินการให้แล้วเสร็จภายในระยะเวลาที่ ธปท. กำหนด เพื่อให้มั่นใจว่าสามารถป้องกันภัยคุกคามรูปแบบใหม่ ๆได้อย่างทันกาล
(1.8) จัดให้มีการประเมินความตระหนักรู้ต่อภัยทุจริต (awareness test) เมื่อผู้ใช้บริการเริ่มต้นใช้บริการ mobile banking และบริการ e-Money ที่โอนเงินได้ ครั้งแรก และประเมินอย่างต่อเนื่องทุก ๆ 6 เดือน เป็นขั้นต่ำ เพื่อสร้างความตระหนักรู้ต่อภัยทุจริต และเพิ่มภูมิคุ้มกันต่อรูปแบบการหลอกลวงใหม่ ๆ โดยอาจพิจารณานำผลการประเมินไปใช้ประกอบมาตรการป้องกันภัยทุจริตอื่นให้มีประสิทธิภาพยิ่งขึ้น เช่น ใช้เป็นปัจจัยเพิ่มเติมในการกำหนดระดับความเสี่ยงของผู้ใช้บริการ การกำหนดความเข้มข้นในการสร้างความตระหนักรู้ หรือกำหนดค่าเริ่มต้นของวงเงินทำธุรกรรมต่อวัน เป็นต้น
2. การตรวจจับ (Detection)
(2.1) จัดให้มีระบบตรวจจับและติดตามธุรกรรมที่เข้าข่ายผิดปกติ ที่สามารถตรวจจับได้อย่างทันท่วงที (near real-time) และต่อเนื่อง ทั้งในและนอกเวลาทำการ และดำเนินการระงับธุรกรรมทันทีเป็นการชั่วคราวเมื่อตรวจพบ
(2.2) กำหนดเงื่อนไขการตรวจจับและติดตามธุรกรรมที่เข้าข่ายผิดปกติ และจัดให้มีการทบทวนและปรับปรุงเงื่อนไขอย่างสม่ำสมอ ครอบคลุม การใช้บัญชีเงินฝาก หรือบัญชี e-Money ที่โอนเงินได้ ของบุคคลอื่นมาเป็นช่องทางในการรับเงินและถ่ายโอนเงินที่ได้มาจากการกระทำความผิด (บัญชีม้า) โดยมีเงื่อนไขอย่างน้อย
ดังนี้
- ธุรกรรมโอนเงินที่มีลักษณะการใช้งานที่ผิดปกติ เช่น ธุรกรรมที่มีความถี่สูง
- ธุรกรรมที่มีการโอนเงินไปยังบัญชีเงินฝาก หรือบัญชี e-Money ต้องสงสัย
- บัญชีที่ปกติไม่มีการเคลื่อนไหว แต่เกิดการโอนเงินออกผิดปกติ
- บัญชีที่มีการโอนเงินเข้ามาจำนวนมากโดยโอนเข้ามาจากหลายบัญชีแต่โอนออกไปยังบัญชีปลายทางเพียงไม่กี่บัญชี
- บัญชีที่มีปริมาณเงินโอนเข้าและออกจำนวนมากแต่ใช้ระยะเวลาสั้น ๆ รวมถึงไม่มีเงินคงค้างในบัญชี (clear out)
- บัญชีที่มีปริมาณเงินโอนเข้าและออกผิดปกติ เช่น ไม่สอดคล้องกับวัตถุประสงค์การเปิดบัญชี รายได้ และอาชีพ เป็นต้น
- บัญชีที่มีการโอนเงินเข้าและออกมูลค่าน้อยในระยะเวลาสั้น ๆ หลายครั้ง ก่อนมีการโอนเงินยอดสูงและโอนออกไปทันที
นอกจากนี้ ผู้ให้บริการทางการเงินที่ตรวจพบบัญชีม้าหรือการหลอกลวงจำนวนมาก อาจพิจารณากำหนดเงื่อนไขเพิ่มเติม เช่น
- บัญชีที่ถูกยืนยันตัวตนอย่างกระจุกตัวเพื่อเปิดบัญชีในสถานที่ใดสถานที่หนึ่ง เช่น ตู้ ATM ที่ใช้ยืนยันตัวตนจำนวนมากในช่วงเวลาหนึ่ง เป็นต้น
- บัญชีหลายบัญชี (ต่างบุคคล) ที่ใช้หมายเลขโทรศัพท์เดียวกัน ในการเปิดบัญชีหรือทำธุรกรรม
- บัญชีที่มีการทำธุรกรรมจากต่างสถานที่ในระยะเวลาใกล้เคียงกัน หรือจากสถานที่ต้องสงสัยว่าเป็นแหล่งอาชญากรรม
- บัญชีกลุ่มเปราะบางที่อาจถูกหลอกลวง เช่น ผู้ใช้บริการที่อายุต่ำกว่า 15 ปี หรือผู้สูงวัย
3. การตอบสนองและรับมือ (Response)
(3.1) จัดให้มีช่องทางติดต่อเร่งด่วน (hotline) ทางโทรศัพท์ หรือวิธีการทางอิเล็กทรอนิกส์ ที่ผู้ใช้บริการสามารถติดต่อได้โดยตรงแยกออกจากช่องทางให้บริการปกติ อย่างเพียงพอและต่อเนื่องทั้งในและนอกเวลาทำการ เพื่อให้ผู้ใช้บริการสามารถแจ้งเหตุภัยทุจริตจากการทำธุรกรรมทางการเงินได้โดยเร็ว
ทั้งนี้ หลังได้รับแจ้งเหตุ ผู้ให้บริการทางการเงินต้องเร่งดำเนินการตามกฎหมายและหลักเกณฑ์อื่นที่เกี่ยวข้องอย่างเคร่งครัด เพื่อลดความเสียหายที่อาจเกิดขึ้น
(3.2) เมื่อผู้ให้บริการทางการเงินตรวจสอบพบบัญชีที่มีลักษณะเข้าข่ายกรณีบัญชีม้าให้รายงานเป็นธุรกรรมที่มีเหตุอันควรสงสัยไปยังสำนักงานป้องกันและปราบปรามการฟอกเงิน (สำนักงาน ปปง.) หรือกรณีได้รับแจ้งจากสำนักงาน ปปง. ให้ดำเนินการจำกัดช่องทางการทำธุรกรรมทางอิเล็กทรอนิกส์ โดยกำหนดให้ทำธุรกรรมแบบพบหน้าเท่านั้น พิจารณาปรับระดับความเสี่ยงของผู้ใช้บริการเป็นผู้ใช้บริการที่มีความเสี่ยงสูง ตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้าในระดับเข้มข้น (enhanced CDD) โดยให้เพิ่มความระมัดระวังในการสร้างความสัมพันธ์ เฝ้าระวังการทำธุรกรรมอย่างใกล้ชิด
ทั้งนี้ หากผู้ให้บริการทางการเงินไม่สามารถดำเนินการ enhanced CDD ได้ ให้กำหนดมาตรการในการปฏิเสธความสัมพันธ์ทางธุรกิจ ไม่ทำธุรกรรมหรือยุติความสัมพันธ์ และหากพบว่ามีการทำธุรกรรมมีเหตุอันควรสงสัย ให้ผู้ให้บริการทางการเงินพิจารณารายงานธุรกรรมที่มีเหตุอันควรสงสัยไปยังสำนักงาน ปปง. เพื่อลดการนำบัญชีไปใช้เป็นเครื่องมือทำทุจริตและจำกัดความเสียหายจากการหลอกลวง
ทั้งนี้ มาตรการดังกล่าวเป็นเพียงแนวทางในการดำเนินการ ให้ผู้ให้บริการถือปฏิบัติตามกฎกระทรวงว่าด้วยการตรวจสอบเพื่อทราบข้อเท็จจริงเกี่ยวกับลูกค้า รวมถึงประกาศ หลักเกณฑ์ และแนวปฏิบัติอื่น ๆ ที่เกี่ยวข้องตามที่สำนักงาน ปปง. และกฎหมายอื่นที่เกี่ยวข้องกำหนด
(3.3) ดำเนินการ ระงับ อายัด จำกัดวงเงิน โดยทันที ตามที่ระบุในหนังสือคำสั่งจากพนักงานสอบสวน เพื่อสกัดกั้นการนำเงินออกจากระบบของมิจฉาชีพและจำกัดความเสียหายในกรณีผู้ใช้บริการถูกหลอกลวงหรือแอบอ้างทำธุรกรรมทางการเงิน รวมทั้งดำเนินการตามที่กฎหมายอื่นที่เกี่ยวข้องกำหนด
(3.4) จัดให้มีกลไกการสื่อสารทั้งกับหน่วยงานภายในที่เกี่ยวข้อง เช่น call center และหน่วยงานภายนอก โดยกำหนดระยะเวลาในการสื่อสารให้ชัดเจนตามระดับความสำคัญ เพื่อให้สามารถตอบสนองได้อย่างทันกาล และสร้างความเชื่อมั่นต่อสาธารณะ
(3.5) กรณีที่มีความเสียหายเกิดขึ้นจากภัยทุจริตจากการทำธุรกรรมทางการเงิน ให้ผู้ให้บริการทางการเงินช่วยเหลือและดูแลผู้ใช้บริการตามสมควร และหากมีเหตุอันควรเชื่อได้ว่าความเสียหายดังกล่าวเกิดจากความผิดพลาดหรือบกพร่องของผู้ให้บริการทางการเงิน ผู้ให้บริการทางการเงินต้องเยียวยาความเสียหายอย่างเป็นธรรมและเหมาะสมให้กับผู้ใช้บริการโดยเร็ว
ซึ่งจะต้องไม่เกิน 5 วันนับแต่วันที่ผู้ให้บริการทางการเงินพิสูจน์ทราบความผิดพลาดหรือบกพร่องดังกล่าว
4. ความร่วมมือ (Collaboration)
(4.1) ให้การสนับสนุนข้อมูลให้แก่พนักงานสอบสวนที่ได้รับมอบหมายจากระบบแจ้งความออนไลน์ของสำนักงานตำรวจแห่งชาติโดยเร็ว หรือแก่พนักงานสอบสวนที่เกี่ยวข้องเมื่อถูกร้องขออย่างทันกาล เพื่อใช้ในการสืบสวนสอบสวนและติดตามหาผู้กระทำผิด โดยจัดให้มีผู้รับผิดชอบในการดูแลและประสานงานกับหน่วยงานต่าง ๆ อย่างชัดเจน และให้จัดเตรียมข้อมูลอย่างน้อยครอบคลุมในเรื่องดังต่อไปนี้
- หมายเลข IP address ที่ใช้ในการทำธุรกรรม
- ข้อมูลการทำธุรกรรม เช่น เลขบัญชีปลายทาง ชื่อผู้รับหรือชื่อบัญชีปลายทาง เป็นต้น
- ข้อมูลเชิงเทคนิคของอุปกรณ์ที่ใช้ทำธุรกรรม เช่น OS version, MAC address, device ID, mobile application version, browser version, IMEI number และหมายเลขโทรศัพท์ของอุปกรณ์ที่ใช้ทำธุรกรรม (MSISDN) เป็นต้น
(4.2) สนับสนุนหน่วยงานของรัฐที่เกี่ยวข้องในการสื่อสารแก่ประชาชนผ่านช่องทางที่เข้าถึงได้ง่าย เพื่อสร้างความตระหนักรู้ในวงกว้าง และป้องกันไม่ให้ประชาชนตกเป็นเหยื่อของการหลอกลวงรูปแบบใหม่ ๆ โดยมีข้อความแจ้งเตือนภัยทุจริตและหลอกลวงออนไลน์ต่าง ๆ ที่เด่นชัดและสังเกตเห็นได้ง่าย ก่อนการทำ
ธุรกรรมทุกครั้งผ่านช่องทางให้บริการ mobile banking หรือช่องทางให้บริการ e-Money ที่โอนเงินได้