ในปีที่ผ่านมา ปัญหาภัยไซเบอร์และการหลอกลวงทางการเงินคือหนึ่งในปัญหาใหญ่ที่ส่งผลกระทบต่อระบบการเงินไทยอย่างรุนแรง สร้างความเสียหายสูงถึง 70,000 ล้านบาท มีผู้ใช้บริการจำนวนมากตกเป็นเหยื่อการหลอกลวง ส่งผลต่อความเชื่อมั่นในระบบสถาบันการเงินและการชำระเงินอย่างกว้างขวาง
เพื่อแก้ปัญหานี้ ธนาคารแห่งประเทศไทย (ธปท.) ได้ออกร่างประกาศ เพื่อกำหนดมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของบริการโมบายแบงก์กิงโดยเปิดรับฟังความคิดเห็นระหว่างวันที่ 2-31 ธันวาคม 2567 และมีแผนบังคับใช้ทันทีหลังประกาศในราชกิจจานุเบกษา
โดยมีหัวข้อสำคัญในร่างประกาศ เพื่อกำหนดมาตรการป้องกันและรักษาความมั่นคงปลอดภัยของบริการโมบายแบงก์กิง ไว้ดังนี้
การกำหนดวงเงินธุรกรรม
ยืนยันตัวตนด้วยการสแกนใบหน้า สำหรับการโอนเงินผ่านโมบายแบงก์กิงที่มีมูลค่าเกิน 50,000 บาทต่อรายการ หรือมูลค่ารวมเกิน 200,000 บาทต่อวัน ผู้ใช้บริการจะต้องยืนยันตัวตนเพิ่มเติมด้วยการสแกนใบหน้า (Face Recognition) ที่เข้มงวดขึ้น เพื่อป้องกันการทุจริต อย่างไรก็ตาม ถ้าเป็นธุรกรรมความเสี่ยงต่ำ เช่น โอนระหว่างบัญชีตัวเอง อาจยกเว้นการยืนยันตัวตน และสำหรับผู้ใช้อายุต่ำกว่า 15 ปี วงเงินสูงสุดต่อวันไม่เกิน 50,000 บาท
รวมทั้ง ธปท. ได้แนะนำให้สถาบันการเงินกำหนดเพดานวงเงินถอน/โอนสูงสุดต่อวันให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการแต่ละประเภท เช่น สำหรับผู้ใช้อายุต่ำกว่า 15 ปี ควรกำหนดวงเงินไม่เกิน 50,000 บาทต่อวัน
มาตรการความปลอดภัย
การจำกัดการใช้งานบนอุปกรณ์ สำหรับผู้ใช้บริการโมบายแบงก์กิงจะถูกจำกัดให้ใช้งานได้เพียง 1 บัญชีผู้ใช้งานต่อ 1 อุปกรณ์เท่านั้น เพื่อป้องกันการสวมรอยและการเข้าถึงโดยไม่ได้รับอนุญาต
และมีกำหนดการป้องกันอุปกรณ์ที่ไม่ปลอดภัย เพราะแอปพลิเคชันโมบายแบงก์กิงจะไม่อนุญาตให้ใช้งานบนอุปกรณ์ที่มีการปลดล็อกระบบปฏิบัติการ (Rooted/Jailbroken) หรือใช้งานระบบปฏิบัติการที่ล้าสมัย ซึ่งอาจมีความเสี่ยงต่อความปลอดภัย ในขณะเดียวกัน ควรใช้เทคโนโลยี Face Recognition และ Liveness Detection ในการยืนยันตัวตน
การติดตามและปรับปรุง
การติดตามและปรับปรุงเป็นส่วนสำคัญของมาตรการที่ธนาคารแห่งประเทศไทย (ธปท.) กำหนดไว้ เพื่อให้บริการโมบายแบงก์กิง สามารถรักษาความปลอดภัยและป้องกันภัยไซเบอร์ได้อย่างมีประสิทธิภาพ ดังนี้
- การเฝ้าระวังแอปพลิเคชันปลอม ผู้ให้บริการโมบายแบงก์กิงต้องตรวจสอบและติดตามแอปพลิเคชันปลอมที่อาจใช้ชื่อหรือโลโกของธนาคารในการหลอกลวงผู้ใช้งาน ในช่องทางต่าง ๆ เช่น เว็บไซต์, สื่อสังคมออนไลน์ และแพลตฟอร์มที่ให้บริการดาวน์โหลดแอปฯ (Official App Store) หากพบแอปพลิเคชันปลอม ต้องมีกระบวนการจัดการเพื่อลดความเสี่ยงทันที เช่น การแจ้งเตือนผู้ใช้งานและดำเนินการทางกฎหมาย
- การปรับปรุงระบบให้เท่าทันภัยคุกคามใหม่ โดย ธปท. กำหนดให้ผู้ให้บริการต้องอัปเดตระบบอย่างต่อเนื่องเพื่อป้องกันภัยไซเบอร์และการทุจริตที่มีรูปแบบซับซ้อนมากขึ้น หากตรวจพบช่องโหว่ในระบบ ผู้ให้บริการต้องรีบดำเนินการแก้ไขภายในเวลาที่เหมาะสม โดยต้องเป็นไปตามมาตรฐานที่กำหนด
- การรายงานและการดำเนินการปิดช่องโหว่ หากพบช่องโหว่ใหม่ ๆ ผู้ให้บริการต้องแจ้ง ธปท. พร้อมแนวทางการแก้ไข และการปิดช่องโหว่ต้องดำเนินการภายในกรอบเวลาที่กำหนด เพื่อป้องกันการนำช่องโหว่ไปใช้ในกิจกรรมที่ผิดกฎหมาย
- การตรวจสอบและปรับปรุงตามมาตรฐานสากล ผู้ให้บริการต้องยกระดับมาตรการความปลอดภัยให้สอดคล้องกับมาตรฐานสากล เช่น ISO 27001 หรือแนวปฏิบัติของ Payment Card Industry Data Security Standard (PCI DSS) รวมถึงการตรวจสอบภายในและภายนอกต้องเป็นประจำ เพื่อประเมินและปรับปรุงให้ระบบยังคงมีประสิทธิภาพ
- การอบรมและสร้างความตระหนักรู้ ผู้ให้บริการต้องมีการอบรมพนักงานเกี่ยวกับภัยคุกคามไซเบอร์และวิธีป้องกันส่งเสริมให้ผู้ใช้บริการมีความรู้เกี่ยวกับการใช้งานโมบายแบงก์กิงอย่างปลอดภัย เช่น การหลีกเลี่ยงการเปิดเผยข้อมูลส่วนตัว
ในกรณีที่ผู้ให้บริการโมบายแบงก์กิงไม่สามารถปฏิบัติตามหลักเกณฑ์ที่กำหนดในร่างประกาศของธนาคารแห่งประเทศไทย (ธปท.) ได้ เนื่องจากเหตุจำเป็นหรือสถานการณ์พิเศษ ธปท. ได้กำหนดแนวทางให้สามารถยื่นขอผ่อนผันเป็นรายกรณี ผู้ให้บริการสามารถยื่นขอผ่อนผันเป็นรายกรณี หากมีเหตุจำเป็น โดย ธปท.จะพิจารณาภายใน 30 วัน
อีกทั้งยังเล็งออกกฎหมายเพิ่มเติม มีการศึกษามาตรฐานความปลอดภัยจากสิงคโปร์เพื่อปรับปรุงกฎหมาย ให้สถาบันการเงินรับผิดชอบความเสียหายในกรณีหลอกโอนเงิน
มาตรการที่ ธปท. เสนอครั้งนี้ เป็นก้าวสำคัญในการยกระดับความปลอดภัยของบริการโมบายแบงก์กิง ลดความเสี่ยงจากภัยไซเบอร์ และฟื้นฟูความเชื่อมั่นในระบบการเงินไทยให้แข็งแกร่งยิ่งขึ้น