ลุยถล่มมิจฯ “แบงก์ชาติ” จ่อออกมาตรการป้องภัยไซเบอร์ “เฟส 2”
ต้นกุมภาฯ อีจัน
22 กุมภาพันธ์ 2568
จากปัญหา “อาชญากรรมไซเบอร์” ที่สร้างความเสียหายให้กับประชาชนมากขึ้น และถือเป็นภัยใกล้ตัว เพราะเพียงแค่มี “สมาร์ทโฟน” มิจฉาชีพก็พร้อมจะขโมย “ข้อมูล” หนักสุดก็ “ทรัพย์สิน” ออกไปได้อย่างง่ายดาย
เมื่อเร็วๆ นี้ ผู้สื่อข่าวมีโอกาสร่วมพูดคุยกับผู้บริหารระดับสูงของ ธนาคารแห่งประเทศไทย (ธปท.) นำโดย “รุ่ง มัลลิกะมาส” รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน “ดารณี แซ่จู” ผู้ช่วยผู้ว่าการ สายกำกับระบบการชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน และ “พีรจิต ปัทมสูต” ผู้อำนวยการอาวุโส ฝ่ายคุ้มครองและตรวจสอบบริการทางการเงิน
โดยบอกเล่าถึงแนวทางแก้ปัญหา “ภัยทางการเงิน” ในฐานะผู้รักษา “ขุมทรัพย์” หรือเรียกว่าเป็นปราการด่านสุดท้ายที่ “ประชาชน” ให้ความไว้วางใจ และคาดหวังถึง “ความปลอดภัย” มากที่สุด
หลังจาก “แบงก์ชาติ” ทยอยออกมาตรการป้องกันภัยการเงินมาอย่างต่อเนื่อง รวมถึงทำงานร่วมกับสถาบันการเงินภายใต้การกำกับของ ธปท.ในทุกมิติ ทำให้ความเสียหายจากภัยอาชญากรรมทางออนไลน์ลดลงอย่างมีนัยสำคัญ
จากการตรวจสอบความเสียหาย “แอปฯ ดูดเงิน” ข้อมูล ณ เดือน ม.ค.68 ความเสียหายเป็นศูนย์ หรือ ไม่มีความเสียหายเกิดขึ้น หลังจากปลายปี 2567 มีความเสียหายอยู่ที่ 3,000 ราย เฉลี่ยใน 1 เดือน เกิดความเสียหายอยู่ที่ 300 ราย จนถึงเดือน ธ.ค.68 ลดลงเหลือตัวเลขหลักเดียว
โดยเป็นผลมาจาก ธปท.กำหนดมาตรฐานความปลอดภัยโมบายแบงก์กิ้ง อาทิ ห้ามมีการส่งข้อความ (SMS) แบบแนบลิงก์ ให้ใช้ 1 โมบายแบงก์กิ้งต่อ 1 อุปกรณ์โทรศัพท์มือถือ การปรับเพดานวงเงินไว้ที่ 50,000 บาท และให้สแกนใบหน้าเพื่อพิสูจน์ตัวตนก่อนโอน เป็นต้น
ล่าสุด ธปท.เตรียมออกมาตรการป้องกันภัยการเงินเพิ่มเติม หรือความปลอดภัยโมบายแบงก์กิ้งเฟส 2 ภายหลังจากหารือร่วมกับสมาคมธนาคารไทย และสถาบันการเงินภายใต้การกำกับของ ธปท. คาดว่ามาตรการเพิ่มเติมนี้ จะดำเนินการภายในเดือน มิ.ย.68
สำหรับเกณฑ์ที่นำมากำหนดในมาตรการอาจเทียบกับมาตรการจากประเทศสิงคโปร์ ดังนี้
- เพิ่มฟังก์ชั่นบนแอปฯ ธนาคารให้มีปุ่ม self report หรือการรีพอร์ทบัญชีต้องสงสัย
- การเพิ่มปุ่ม kill switch กรณีที่ผู้ใช้บริการรู้ตัวว่าโดนหลอกให้กดปุ่มนี้ เพื่อระงับโมบายแบงก์กิ้งด้วยตัวเอง
- การทำ cooling off period หรือการหน่วงธุรกรรมก่อนโอนเงินภายใน 12 ชั่วโมง (กรณีธุรกรรมมีความเสี่ยงสูง)
“ธปท.ถือว่าสิ่งที่สิงคโปร์ดำเนินการเป็นมาตรฐานของอุตสาหกรรม ซึ่งจะนำเอาข้อมูลไปคุยกันว่าจะผลักดันอย่างไร และจากตัวอย่างที่ยกขึ้นมาถือเป็นสิ่งที่เราอยากทำ หรืออาจออกเป็นมาตรการเฟส 2 ที่ต้องดูแล้วเหมาะสมกับบริบทของไทย”
ขณะเดียวกัน สืบเนื่องจากวันที่ 31 ม.ค.68 ธปท.ออกมาตรการ “ปิดปากม้า” เพื่อยกระดับการจัดการ “บัญชีม้า” หรือบัญชีที่ทำธุรกรรมทางการเงินแบบผิดกฎหมาย จากเดิมที่จัดการเป็นรายบัญชีที่กระทำความผิด ขณะนี้ได้ยกระดับมาตรการให้ตรวจสอบ “บัญชีม้ารายบุคคล” โดยที่สถาบันการเงินสามารถปิดทุกบัญชีธนาคารจาก “รายชื่อ” ผู้กระทำความผิด
วิธีการตรวจสอบบัญชีม้าของสถาบันการเงินจะแบ่งออกเป็น 3 สีที่สะท้อนความเสี่ยง ดังนี้
- ม้าดำ คือ ผู้ที่อยู่ในรายชื่อผู้ที่กระทำความผิดตามพระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ของสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.)
- ม้าเทา แบ่งเป็น 2 ระดับ ได้แก่ ม้าเทาเข้ม คือ บัญชีที่ผู้เสียหายแจ้งความแล้ว และ ม้าเทาอ่อน คือ ผู้เสียหายยังไม่แจ้งความ
- ม้าน้ำตาล แบ่งเป็น 2 ระดับ ได้แก่ ม้าน้ำตาลเข้ม คือ บัญชีที่ธนาคารเห็นว่าบัญชีธนาคารมีพฤติกรรมผิดปกติและมีข้อมูลแจ้งเจ้าหน้าที่ตำรวจ และ ม้าน้ำตาลอ่อน คือ บัญชีต้องสงสัยที่ต้องเฝ้าระวัง
นอกจากนี้ ธปท.กำหนดให้สถาบันการเงินแชร์ข้อมูลบัญชีม้าร่วมกัน หากพบว่าเป็นบัญชีม้าดำและบัญชีม้าเทาเข้ม จะไม่สามารถรับเงินเข้าบัญชีได้ และไม่สามารถโอนเงินออกจากบัญชี รวมถึงชื่อบุคคลเจ้าของบัญชีม้าไม่สามารถเปิดบัญชีใหม่ได้ ซึ่งมาตรการนี้ได้ดำเนินการไปแล้ว
เบื้องต้น สำหรับบัญชีม้าน้ำตาล สถาบันการเงินทุกแห่งจะทำความตกลงร่วมกันและส่งไกด์ไลน์ที่จะดำเนินการในมาตรการดังกล่าวให้กับ ธปท.พิจารณาเกณฑ์ต่างๆ ให้เหมาะสมกับความเสี่ยง จากนั้นจะมีผลบังคับใช้เช่นเดียวกับบัญชีม้าดำและบัญชีม้าเทาได้ภายในเดือน มี.ค.นี้
“หากประชาชนโอนเงินเข้าบัญชีม้าจะไม่สามารถทำธุรกรรมได้ จากนั้นจะมีการแจ้งเตือนไปถึงผู้ใช้บริการผ่านแอปฯ ธนาคารถึงสาเหตุที่ไม่สามารถทำรายการได้ เพราะบัญชีนั้นเป็นบัญชีต้องสงสัย”
อย่างไรก็ตาม จากการเริ่มสกัดบัญชีม้ามากขึ้น ทำให้เมื่อสิ้นปี 2567 มีบัญชีธนาคารถูกระงับไปแล้วถึง 1.75 ล้านบัญชี ซึ่งเป็นของคนไทย 1.34 แสนรายชื่อ จากจำนวนบัญชีม้าถูกปิดมากขึ้น ทำให้มิจฉาชีพเริ่มเปลี่ยนการโอนเงินจากที่จะโอนผ่านบัญชีม้าถึง 5 ทอดติดต่อกัน เปลี่ยนเป็นโอนผ่านบัญชีม้าครั้งเดียว จากนั้นจะโอนเงินออกไปสู่ “คริปโตเคอร์เรนซี”
ซึ่งความสำเร็จ หรือ ความเสียหาย จากการโอนต่อไปคริปโตฯ ข้อมูล ณ เดือนต.ค.-ธ.ค.67 มีผลสูงถึง 75%
ดังนั้น ธปท. สถาบันการเงิน สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (ก.ล.ต.) ธุรกิจสินทรัพย์ดิจิทัล (DA) รวมถึงหน่วยงานอื่นที่เกี่ยวข้องหารือร่วมกัน เพื่อแก้ปัญหาม้าคริปโตฯ โดยจะเปิดให้มีการแชร์ข้อมูลรายชื่อบัญชีม้าจากสถาบันการเงินไปที่คริปโตฯ
โดยกฎเกณฑ์การแชร์ข้อมูลร่วมกันจะอาศัยอำนาจตาม พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 (พ.ร.ก.ไซเบอร์) ขณะนี้อยู่ในขั้นตอนการตรวจสอบของสำนักงานกฤษฎีกา จากนั้นจะมีการนำเข้าที่ประชุมคณะรัฐมนตรี (ครม.) เพื่อประกาศใช้ต่อไป
สำหรับวิธีการแก้ปัญหาม้าคริปโตฯ เบื้องต้นหากสถาบันการเงินตรวจพบรายชื่อเป็นบัญชีม้า แล้วมีรายชื่อเปิดบัญชีคริปโตฯ จะให้มีการปิดกั้นบัญชีดังกล่าว อย่างไรก็ตาม การแชร์ข้อมูลจากสถาบันการเงินไปที่คริปโตฯ ต้องอาศัยระบบต่างๆ โดยเฉพาะระบบฐานข้อมูล
เช่น คริปโตฯ อาจสร้างระบบใหม่ขึ้นมาตรวจสอบบัญชีต้องสงสัย กรณีรายชื่ออาจไม่ซ้ำกับสถาบันการเงิน ทำให้ทั้ง 2 ระบบสามารถแชร์ข้อมูลร่วมกันได้ดียิ่งขึ้น และไล่ปิดบัญชีม้าได้มากขึ้นเช่นกัน
นอกจากนี้ การแก้ พ.ร.ก.ไซเบอร์ ในส่วนของสถาบันการเงินต้องรับผิดชอบ กรณีที่ตรวจสอบแล้วพบความผิดจากสถาบันการเงิน โดย ธปท.ได้แสดงความคิดเห็นไปแล้ว แต่ขณะนี้อยู่ระหว่างการเจรจาเรื่องหลักการและเกณฑ์ที่กำหนดว่าจะออกมาในรูปแบบใด รวมถึงต้องมีใครร่วมรับผิดชอบบ้าง
“ธปท.ยืนยันว่าภายหลังจาก พ.ร.ก.ไซเบอร์ ประกาศผ่านราชกิจจานุเบกษา โดยจะมีผลบังคับใช้ในระยะเวลาไม่นาน ดังนั้น เกณฑ์ของ ธปท.จะออกตามภายใน 60 วัน เพื่อพร้อมที่จะอยู่บนหลักเกณฑ์ที่กำหนด”
อย่างไรก็ตาม สิ่งที่ ธปท.ตั้งเกณฑ์ไว้ คือความปลอดภัย ถือเป็นหน้าที่ของสถาบันการเงิน หากธนาคารไม่ทำตามหน้าที่ หรือเกณฑ์ที่ตั้งไว้ และปล่อยให้มีความเสียหายเกิดขึ้น ถือว่า “บกพร่องต่อหน้าที่” และมีส่วนต้อง “ร่วมรับผิดชอบ” ทั้งนี้ เรื่องการตัดสินขึ้นอยู่กับการพิจารณาของ “ศาล” เป็นผู้ตัดสิน
ในส่วนของ ธปท.ย้ำว่าถ้าให้ภาคใดภาคหนึ่งรับผิดชอบมากเกินภาระอาจทำให้เกิดพฤติกรรมบางอย่าง เช่น ในต่างประเทศธนาคารจะมีการหน่วงธุรกรรม หรือไม่ปล่อยเงินออกจากบัญชีผู้ใช้บริการในทันที
ซึ่ง ธปท.ไม่อยากให้เกิดขึ้น เพราะถ้าให้ธนาคารรับ 100% การทำธุรกรรมจะมีปัญหาได้ หากระบุว่าทุกคนเป็นบัญชีม้าจะทำให้การทำธุรกรรมหน่วงมากขึ้น เช่น ก่อนจะโอนเงินจะมีการแจ้งเตือน หรือจะโอนเงินไม่ได้ในทันที แต่จะโอนสำเร็จภายใน 3-4 ชั่วโมงแทน
ขณะเดียวกัน มิจฉาชีพก็มีรูปแบบการหลอกลวงใหม่ๆ สิ่งที่ ธปท.กังวลคือเทคโนโลยีใหม่ หรือ “เอไอ” ที่สามารถปลอมเสียง และปลอมใบหน้าของประชาชนได้ ปัญหาจากเทคโนโลยีที่ทันสมัยก็เป็นช่องโหว่หนึ่งที่ทำให้มิจฉาชีพใช้ประโยชน์ เพื่อนำมาหลอกลวงประชาชน
ดังนั้น เรื่องการเพิ่มความรู้ให้กับประชาชนในเรื่องภัยไซเบอร์ในรูปแบบต่างๆ ถือเป็นเรื่องสำคัญที่ทุกหน่วยงานต้องช่วยกันผลักดันเรื่องการให้ความรู้ และใช้บริการเทคโนโลยีต่างๆ บนความสะดวกสบาย แต่ควรเพิ่มความระมัดระวังมากขึ้น เพื่อไม่ตกเป็นเหยื่อของมิจฉาชีพ
ยืนยัน “ธปท.” ไม่เคยพูดว่า “แบงก์” ไม่ต้องรับผิดชอบเลย แต่หลักๆ หากให้แบงก์รับผิดชอบฝ่ายเดียว สังคมอาจจะไปไม่ได้ เพราะมันจะไปบั่นทอนในเรื่องความสะดวกสบายในการใช้บริการของประชาชน
ดังนั้น “ประชาชน” ต้องปกป้องตัวเองด้วย เพราะถือเป็น “จุดสมดุล” ที่ทุกฝ่ายต้องมีร่วมกัน…