กฏหมายใหม่มีผลแล้ว ปราบภัยการเงิน ภาคธนาคาร ต้องร่วมรับผิดชอบ

ปัญหาภัยทุจริตทางการเงินยังคงอยู่ในระดับสูงแม้ว่าจะลดลงมาบ้างแล้วจากความพยายามของหน่วยงานที่ดูแลรับผิดชอบจะร่วมกันช่วยหาทางแก้ไขป้องกัน โดยเฉพาะธนาคารแห่งประเทศไทย ที่รายงานความคืบหน้าและปรับมาตรการใหม่ๆ เพื่อให้คนไทยปลอดจากมิจฉาชีพหรือภัยการเงินต้องเหลือศูนย์ให้ได้ 

และความคืบหน้าล่าสุดคือ การประกาศใช้  พระราชกำหนดป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 เมื่อ 13 เม.ย.2568 ที่ผ่านมา เป็นอีกหนึ่งเครื่องมือที่จะทำให้หน่วยงานที่เกี่ยวข้อง ลุกขึ้นมาเข้มงวดในการดูแลภัยการเงิน โดยหากพบว่าหน่วยงานใดย่อหย่อนจะต้องมีส่วนในการร่วมรับผิดชอบความเสียหายที่เกิดขึ้นด้วย  

นางรุ่ง มัลลิกะมาส รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยถึง ประเด็นสำคัญของพระราชกำหนดฯ คือ การกำหนดให้สถาบันการเงิน (สง.) ผู้ประกอบธุรกิจบริการการชำระเงิน ผู้ให้บริการโทรคมนาคม ผู้ให้บริการสื่อสังคมออนไลน์ และผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ยกระดับการดูแลลูกค้า และมีส่วนร่วมรับผิดชอบในความเสียหายหากละเลยการปฏิบัติตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนดจนเป็นเหตุให้ลูกค้าเกิดความเสียหาย

โดยภายในต้นเดือนพฤษภาคม 2568 ธปท. จะออกประกาศเพื่อกำหนดมาตรฐานสำหรับ สง. (ธนาคารพาณิชย์และสถาบันการเงินเฉพาะกิจ) และผู้ประกอบธุรกิจบริการการชำระเงินที่ได้รับใบอนุญาตประเภทการให้บริการเงินอิเล็กทรอนิกส์ ซึ่งหาก สง. และผู้ประกอบธุรกิจฯ ข้างต้นละเลยการปฏิบัติตามมาตรฐานที่กำหนด จะต้องมีส่วนร่วมรับผิดชอบในความเสียหายแก่ลูกค้า 

สรุปสาระสำคัญของมาตรฐานที่ต้องดำเนินการ ดังนี้

1. การป้องกันการสวมรอยเปิดบัญชีและการสวมรอยใช้งาน mobile banking สง. ต้องดำเนินการดังนี้

(1) มีกระบวนการรู้จักลูกค้า (KYC: Know Your Customer) ที่เข้มข้น

(2) ไม่แนบลิงก์ที่เป็นเหตุให้เกิดความเสียหายผ่าน SMS และอีเมล

(3) ลูกค้าสามารถใช้บริการ mobile banking ของแต่ละ สง. ได้เพียง 1 ชื่อบัญชีผู้ใช้งาน และใช้ได้กับ 1 อุปกรณ์เคลื่อนที่เท่านั้น

(4) มีกระบวนการยืนยันตัวตนในการทำธุรกรรมที่มีความเสี่ยงผ่าน mobile banking โดยใช้เทคโนโลยีเปรียบเทียบใบหน้าและการตรวจจับการปลอมแปลงชีวมิติ สำหรับการทำธุรกรรมโอนเงินที่มีมูลค่าตั้งแต่ 50,000 บาทขึ้นไป หรือการทำธุรกรรมโอนเงินมูลค่ารวมกันครบทุก 200,000 บาทใน 1 วัน หรือการปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน

(5) ตรวจสอบการเปลี่ยนแปลงแอปพลิเคชันของ สง. ทุกครั้งที่ผู้ใช้บริการเข้าใช้งาน และไม่อนุญาตให้ใช้งานแอปพลิเคชันที่ถูกเปลี่ยนแปลง

(6) ไม่อนุญาตให้แอปพลิเคชันของ สง. ทำงานบนอุปกรณ์เคลื่อนที่ในขณะที่มีแอปพลิเคชันอื่นที่มีพฤติกรรมเสี่ยง เช่น แอปพลิเคชันที่ควบคุมอุปกรณ์เคลื่อนที่จากระยะไกลแอปพลิเคชันที่ปิดบังหรือขโมยข้อมูลบนหน้าจอ

2. การจำกัดความเสียหายและจัดการบัญชีม้า สง. ต้องดำเนินการดังนี้

(1) แจ้งเตือนการทำธุรกรรมทุกครั้ง เมื่อมีการโอนเงินออกจากบัญชี ผ่านช่องทางใดช่องทางหนึ่ง เช่น mobile banking, LINE, SMS, อีเมล โดยไม่เรียกเก็บค่าใช้จ่าย

(2) ระงับการทำธุรกรรมและนำส่งข้อมูลตามแนวทางที่ศูนย์ปฏิบัติการเพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ศปอท.) กำหนด ภายใต้อำนาจหน้าที่ที่พระราชกำหนดฯ กำหนดไว้

(3) เมื่อได้รับรายชื่อบุคคลที่เป็นเจ้าของบัญชีม้าดำ (บัญชีของบุคคลที่เข้าข่ายการกระทำความผิดตามฐานข้อมูลสำนักงาน ปปง.) จากปปง. หรือรายชื่อบุคคลที่เป็นเจ้าของบัญชีม้าเทาเข้ม (บัญชีของบุคคลที่เกี่ยวข้องในเส้นทางการเงินทุจริตและถูกแจ้งความ)  หรือเทาอ่อน (บัญชีของบุคคลที่มีส่วนเกี่ยวข้องในเส้นทางการเงินทุจริต)  จากระบบ Central Fraud Registry (CFR) ให้ดำเนินการสอดคล้องกับระดับความเสี่ยง เช่น ระงับเงินเข้าและออกทุกบัญชีของบุคคลที่เป็นเจ้าของบัญชีม้า รวมทั้งปฏิเสธการเปิดบัญชีใหม่กับบุคคลที่เป็นเจ้าของบัญชีม้า 

3. กระบวนการรับแจ้งเหตุภัยทุจริตดิจิทัลที่รวดเร็ว สง. ต้องจัดให้มีช่องทางติดต่อเร่งด่วน (hotline) ทางโทรศัพท์ หรือวิธีการทางอิเล็กทรอนิกส์ที่ผู้เสียหายสามารถติดต่อเจ้าหน้าที่ของ สง. ทั้งในและนอกเวลาทำการ

ทั้งนี้ การแก้ไขปัญหาภัยทุจริตทางการเงินอย่างยั่งยืน ต้องอาศัยความร่วมมือจากทุกฝ่ายที่จะต้องรับผิดชอบในส่วนของตนเอง แม้พระราชกำหนดฯ จะระบุให้ผู้ให้บริการต้องมีส่วนร่วมรับผิดชอบหากไม่ทำตามมาตรฐานที่ผู้กำกับดูแลกำหนด 

แต่ ธปท.ก็ขอให้ประชาชนใช้ความระมัดระวังในการใช้บริการทางการเงิน เช่น ไม่กดลิงก์ที่ไม่รู้จัก ระวังการรับสายแอบอ้าง และตรวจสอบการทำธุรกรรมให้รอบคอบ เพื่อไม่ให้ตกเป็นผู้เสียหายจากอาชญากรรมทางเทคโนโลยี

เปรียบเทียบมาตรการจัดการภัยการเงินกับ 4 ประเทศ

อย่างไรก็ตามหากเปรียบเทียบมาตรการจัดการภัยการเงินของไทยกับ 4 ประเทศ ได้แก่ สิงคโปร์ มาเลเซีย ออสเตรเลีย และสหราชอาณาจักร พบว่า  มาตรการของไทยมีมาตรการครบถ้วนที่สุด ทั้งในแง่กฎหมาย, การป้องกัน, การจำกัดความเสียหาย และการดูแลประชาชน

ส่วนสิงคโปร์ แม้มีระบบป้องกัน แต่ยังไม่สมบูรณ์ในบางจุด เช่น Mobile Banking และการป้องกันบัญชีลูกค้าที่ไม่รู้ตัว มาเลเซีย, ออสเตรเลีย, อังกฤษ มีมาตรการใกล้เคียงกันกับไทยในเกือบทุกมิติ แต่รายละเอียดกฎเกณฑ์และการรับผิดชอบแตกต่างตามสัดส่วนในแต่ละประเทศ ตัวอย่างมาตรการ เช่น 

กรอบกฎหมาย

• ไทย, ออสเตรเลีย, อังกฤษ: กฎหมายครอบคลุมทั้ง การหลอกลวง ผ่านการสวมรอยเป็นลูกค้า และ การโอนเงินเอง (ถ้ามีเจตนากดตกลงเอง)
• สิงคโปร์, มาเลเซีย: ครอบคลุมเฉพาะ การสวมรอยเป็นลูกค้า (ยังไม่รวมโอนเอง)

รูปแบบความรับผิดชอบ

• ไทย: ตามสัดส่วนระหว่าง Telco / Platform / ธนาคาร / e-money / DA
• สิงคโปร์: waterfall model (ธนาคาร >> ผู้ให้บริการเครือข่าย >> ลูกค้า)
• มาเลเซีย: ธนาคารเป็นผู้รับผิดชอบ
• ออสเตรเลีย: ตามสัดส่วน ของธนาคาร / telco / platform / ลูกค้า
• สหราชอาณาจักร : ธนาคารรับผิด 50% - ลูกค้ารับผิด 50%

มาตรการจัดการภัยทุจริตทางการเงิน ตั้งแต่อดีตจนถึงปัจจุบัน

ทั้งนี้หากย้อนดูในช่วงปี 2566 ถึง 2568 ธนาคารแห่งประเทศไทย (ธปท.) ได้ดำเนินมาตรการอย่างต่อเนื่องเพื่อป้องกันและจัดการปัญหาภัยทุจริตทางการเงิน โดยมีการปรับนโยบายให้เหมาะสมกับสถานการณ์ในแต่ละช่วงเวลา ดังนี้

1. มีนาคม 2566  เริ่มออกกฎหมายสำคัญ

• ออก พระราชกำหนด (พ.ร.ก.) การป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี - เพื่อกำหนดหน้าที่ของธนาคาร สถาบันการเงิน และผู้ให้บริการ e-money และกำหนดโทษบัญชีม้า (บัญชีที่ใช้ในการทุจริต)

2. พฤษภาคม 2566: มาตรฐานการรักษาความปลอดภัย Mobile Banking

• ออก มาตรฐาน Mobile Banking Security เช่น -ห้ามส่ง SMS แบบมีลิงก์แนบ -จำกัดการใช้ 1 บัญชีผู้ใช้งานต่อ 1 อุปกรณ์ -มีการแสดงหน้าต่างยืนยันก่อนโอนเงิน
• นอกจากนี้ ยังมีการเริ่มดำเนินการ มาตรการจัดการบัญชีม้า โดย -จัดการระดับบุคคล -แชร์และใช้ข้อมูลจาก CFR (ข้อมูลกลางเกี่ยวกับบัญชีที่มีพฤติกรรมผิดปกติ) -กำหนดมาตรฐานการจัดการบัญชีต้องสงสัย

3. มกราคม 2568 ยกระดับมาตรฐานจัดการบัญชีม้า

• ประกาศ มาตรฐาน Mobile Banking Security ฉบับปรับปรุง
• เริ่ม ยกระดับมาตรการจัดการบัญชีม้า เช่น -ปรับเงื่อนไขให้ควบคุมการเปิดบัญชีให้เข้มงวดขึ้น -ดำเนินการกับบัญชีม้าที่ไม่ใช้งานจริง -แชร์ข้อมูลให้ครบถ้วนในวงกว้างมากขึ้น

4. มีนาคม 2568 - ออกมาตรการจัดการบัญชีม้าแบบ เน้นระดับบุคคล เพิ่มเติม
5. เมษายน 2568 ออกกฎหมายเพิ่มเติม

• ประกาศ พระราชกำหนดป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 -เพื่อเพิ่มหน้าที่ให้กับผู้เกี่ยวข้องในระบบ และสร้างแรงจูงใจให้มีมาตรการป้องกันระดับสูงขึ้น (สร้าง ecosystem การป้องกัน)
• ประกาศเรื่อง shared responsibility (การรับผิดชอบร่วมกันระหว่างธนาคารและผู้ใช้บริการ) และ Digital Fraud Management (การบริหารจัดการการทุจริตทางการเงินในระบบดิจิทัล)

สำหรับแนวโน้มผลลัพธ์จากการดำเนินมาตรการทั้งหมดนี้ จำนวนเคสแอปดูดเงิน มีแนวโน้มลดลงอย่างต่อเนื่อง โดยมูลค่าความเสียหาย จากการหลอกให้โอนเงินเอง ลดลงจากประมาณ 5,443 ล้านบาทในไตรมาส 1/66 เหลือประมาณ 5,142 ล้านบาทในไตรมาส 1/68 ส่วนระยะยาว คือ ทำให้จำนวนเคสเป็นศูนย์ให้ได้ในอนาคต นั่นหมายถึง คนไทยจะปลอดภัยจากแกงค์มิจฉาชีพที่มาหลอกทางการเงิน

ที่มา: ธนาคารแห่งประเทศไทย