ธปท.ถอดโมเดลสิงคโปร์ สะกัดอาชญากรรมไซเบอร์

คณะรัฐมนตรี(ครม.) มีมติอนุมัติในหลักการร่างพระราชกำหนด(พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี(ฉบับที่ ..) พ.ศ. ….หรือ พ.ร.ก.ไซเบอร์ ตามข้อเสนอของกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม(ดีอี)

โดยมีวัตถุประสงค์เพื่อให้สถาบันการเงิน ผู้ให้บริการสัญญาณโทรศัพท์มือถือ(Telco) แพลต์ฟอร์ม P2P/ ผู้ให้บริการอื่นที่เกี่ยวข้องสื่อออนไลน์มีส่วนร่วมรับผิดชอบในความเสียหายที่เกิดขึ้นจากการถูกหลอกลวงผ่านออนไลน์ 

รวมถึงเพิ่มอำนาจให้ “คณะกรรมการธุรกรรมตามกฎหมายว่าด้วยการป้องกันและปราบปรามการฟอกเงิน (ปปง.) เป็นผู้พิจารณาคืนเงินให้แก่ผู้เสียหาย โดยไม่ต้องรอให้มีการยื่นฟ้องคดีต่อศาลเพื่อพิจารณามีคำสั่งถึงที่สุดก่อน เพื่อลดขั้นตอนทำให้กระบวนการคืนเงินเร็วขึ้นนั้น

ดร.รุ่ง มัลลิกะมาส รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน ธนาคารแห่งประเทศไทย(ธปท.)กล่าวในงาน "Media Briefing เรื่อง ธปท. ยกระดับมาตรการจัดการบัญชีม้าและผลักดันแนวทางการร่วมรับผิดชอบ" เมื่อวันที่ 30ม.ค.68ว่า ธปท.เห็นด้วยกับหลักการ  Shared responsibility ของไทย

เพราะต้องการเห็นแต่ละฝ่าย ทั้งผู้เสียหาย ธนาคารพาณิชย์ ผู้ให้บริการโทรคมนาคม(Telco) รวมถึงหน่วยงานอื่นๆ มีขอบเขตความรับผิดชอบในหน้าที่ของตนเอง และหากทำไม่ได้ก็ควรที่จะต้องแสดงความรับผิดชอบ โดยใช้มาตรฐานที่ผู้กำกับดูแลขีดไว้อย่างชัดเจน 

โดยใช้มาตรฐานที่ผู้กำกับดูแลขีดไว้อย่างชัดเจน พร้อมยกตัวอย่างแนวทางร่วมรับผิดชอบในสิงคโปร์ ซึ่ง ทุกภาคส่วนต้องร่วมรับผิดชอบ กรณีไม่ได้ทำเอง แต่โดนฟิชชิ่ง หรือเฉพาะ Unauthorized  Payment Fraud โดยกำหนดหน้าที่ความรับผิดชอบ 3ภาคส่วนคือ สถาบันการเงิน , Telco และลูกค้า 

วิธีรับผิดชอบจะเป็นลำดับชั้น เริ่มจากสถาบันการเงิน คือ สถาบันการเงินต้องรับความเสียหาย ถ้าไม่ทำหน้าที่ที่กำหนด4 อย่างคือ ส่งข้อความ-แจ้งว่ามีเงินออก,ถ้ามีการเปลี่ยนโทรศัพท์หรือเปลี่ยน PIN (ดิจิทัลโทเคน) จะใช้งานไม่ได้ 12ชม.ในธุรกรรมเสี่ยงสูง, ถ้ามีจำนวนเงินออกมากและมีเงินออกอย่างรวดเร็ว ธนาคารต้องมีหน้าที่บล๊อคธุรกรรมเพื่อมิให้โอนเงินออกและแจ้งเตือนลูกค้าภายใน 24ชม.      

ถัดไป Telco ต้องรับผิดชอบความเสียหาย  หากไม่ทำหน้าที่ที่กำหนด 3 อย่างคือ ไม่บล็อค SMS ไม่บล็อคทั้ง 2กรณีคือ Block SMS จาก unauthorized  Aggregators และกรณี Block SMS ที่มีmalicious URLs และไม่แจ้งลูกค้า 

ส่วนลูกค้ามีหน้าที่ระมัดระวังขั้นพื้นฐาน,ใช้ข้อมูลทางการ ไม่กดลิ้งค์ที่มากับ SMS /e-mail ทั้งนี้ลูกค้าต้องรับความเสียหายถ้าหากธนาคารและ Telcoทำตามหน้าที่ที่กำหนดแล้ว

“หลักการของไทยที่อยากเห็น ทุกภาคส่วนต้องมีหน้าที่ทั้งผู้ให้บริการและผู้ใช้บริการทั้งธนาคาร Telco และผู้กำกับดูแลทุกภาคส่วนต้องขีดเส้น"

อย่างสิงคโปร์กำหนดหน้าที่ให้แบงก์ทำ 4 เรื่องนั้น เราเห็นว่า ดีและจะเป็นหนึ่งในแผนงานที่อยากจะทำคือ ถ้ามีจำนวนเงินออกมาก แบงก์มีหน้าที่ต้องบล็อกทรานเซ็กชั่นนั้นไม่ให้โอนออกและต้องแจ้งเตือนลูกค้าภายใน 24ชม.ซึ่งสิงคโปร์กำหนดวงเงิน 50,000 ดอลลาร์สิงคโปร์เท่ากับ 1.2ล้านบาท

ส่วนไทยจะทำ ก็ต้องดึงวงเงินต่ำกว่านั้น เพื่อไม่ให้เกิดความเสียหายเยอะเกิน และโมบายแบงก์กิ้งระยะที่สองที่เราจะพิจารณาดูความเหมาะสมกับเมืองไทยในเรื่อง Self report” 

ทั้งนี้ สถิติความเสียหายสะสมตั้งแต่วันที่ 1ม.ค.-10 ก.พ.2568 ประกอบด้วยคดีออนไลน์ 41,799 เรื่อง มูลค่าความเสียหาย 3,261,230,174 บาท แจ้งความออนไลน์ 6,191 เรื่อง เรื่อง แจ้งความที่หน่วยงาน 4,243เรื่อง เฉลี่ยคดี 981เรื่องต่อวัน

ดร.กิตติ โฆษะวิสุทธิ์ ผู้จัดการบริหารความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยไซเบอร์ ธนาคารกรุงเทพ ในฐานะประธานศูนย์ประสานงานด้านความมั่นคงปลอดภัยเทคโนโลยีสารสนเทศภาคธนาคาร(TB-CERT)เปิดเผย “ฐานเศรษฐกิจ”ว่า ส่วนตัวไม่ได้เกี่ยวข้องโดยตรงในประเด็นนี้ เพราะช่วงหลังเกิดเหตุทั้งหมดเป็นลักษณะของการหลอกลวงในรูปแบบต่างๆ ซึ่งจะไม่เกี่ยวกับทางเทคนิค  

เข้าใจว่าร่าง แก้ไขเพิ่มเติมของพ.ร.ก.ปราบปรามอาชญากรรมทางไซเบอร์ที่จะมีผลในทางปฎิบัติเดือนก.พ.68นั้น เพื่อกันบัญชีม้า เหมือนตัดกลไกของการเอาเงินออกนอกระบบ ซึ่งธปท.ประสานสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์(กลต.) เพื่อจัดการกลไกเรื่องเอาเงินออก เรื่อง คริปโทเคอร์เรนซีด้วย 

สำหรับแนวทางร่วมรับผิดชอบนั้น ธปท.เลือกสิงคโปร์เป็นแม่แบบ ซึ่งน่าจะมีการหารือกันในรายละเอียดของหลักการ เช่น หน้าที่ของแต่ละภาคส่วน นอกเหนือจากที่ทางสิงคโปร์กำหนด หรือสัดส่วนความรับผิดจะแชร์กันอย่างไร รวมถึงกรณีที่จำนวนเงินที่ออกจำนวนการ/กรณีเอาเงินออกอย่างรวดเร็ว และกรณีต้องสงสัยมีนิยามน่าสงสัยกี่รูปแบบเพิ่มเติม

“แบงก์ชาติและทุกภาคส่วนทำงาน Proactive ในการปิดช่องทางอาชญากรรม โดยเฉพาะบัญชีม้า ซึ่งภาพรวมจะเห็นภัยพวกนี้ทุเลาเบาบางจากก่อนหน้าค่อนข้างมาก คือสามารถหยุดความเสียหาย เพราะก่อนหน้าจะเห็นว่า เราสูญเสียเยอะมากสำหรับอาชญากรรมทางไซเบอร์”

ส่วนในหลักการแนวทางร่วมรับผิดชอบแบงก์ชาติเลือกของสิงคโปร์เป็นแม่แบบ ซึ่งก็ต้องเวิร์กกัน เพื่อลงในรายละเอียดว่า แนวทางจะทำได้มากน้อยแค่ไหน เพื่อไม่ให้กระทบลูกค้าที่ดีสุจริต ส่วนรูปแบบอาชญากรรมทางเทคโนโลยีระยะหลังจะหลุดจากพวกแอปดูดเงินไม่ใช่โจรกรรมทางเทคนิก ดังนั้นทางทีมFraudของแต่ละแบงก์จะทำหน้าที่ศึกษาอยู่ในวงด้วย 

แหล่งข่าวจากสถาบันการเงินกล่าวว่า ร่างแก้ไขเพิ่มเติมพรก.ปราบปรามอาชญากรรมทาไซเบอร์ มุ่งโฟกัสเรื่องโอนเงินไม่ได้/ไม่ให้โอนเงิน เป็นการดำเนินการเชิงรุกขึ้นแทนที่จะอายัด แล้วติดตาม เพื่อนำเงินคืนลูกค้า ซึ่งมีความยุ่งยากและใช้เวลา

ในแง่การเชื่อมบัญชีระหว่างหน่วยงานที่เกี่ยวข้องนั้น เป็นกลไกที่แชร์ข้อมูลตามพ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีปี 2566 ซึ่งข้อมูลที่แชร์กันได้มีความผิดพลาดของข้อมูลน้อยลง ข้อมูลมีความชัดเจนขึ้นสามารถบล็อคบัญชีได้

ส่วนที่ข้อมูลยังไม่ชัดหรือต้องสงสัยก็สามารถใช้มาตรการเสริมและในที่สุดนำไปสู่การบล็อคบัญชีเช่นกัน แต่กระบวนการจะเป็นขั้นตอน เพื่อไม่ให้กระทบลูกค้าดีที่สุจริต

ทั้งนี้แนวโน้ม น่าจะมีภาคส่วนต่างๆเข้ามาร่วมด้วยช่วยกันเพิ่มไม่ว่า Line Facebook รวมถึงผู้ให้บริการเงินอิเล็คทรอนิกส์ นอกจาก กระทรวงดีอี สำนักงานตำรวจแห่งชาติ(ตร.) สำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) ธปท. สมาคมธนาคารไทย และหน่วยงานที่เกี่ยวข้อง สำหรับบุคคลหรือองค์กรนั้น หากจำเป็นต้องใช้ซิมเกินความจำเป็น ก็จะมีเงื่อนไขให้แจ้งค่าย Telco ทั้ง 3ค่าย : AIS DTAC และT RUE

 

หน้า 13 หนังสือพิมพ์ ฐานเศรษฐกิจฉบับที่ 4,071 วันที่ 16 - 19 กุมภาพันธ์ พ.ศ. 2568