ธปท. จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง งดแนบลิงก์ SMS

 

 

ธปท. ออกประกาศใหม่ จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง สั่งธนาคาร งดแนบลิงก์ SMS ส่งอีเมล ป้องกันการสวมรอย ขอให้เปิดเผยข้อมูลสำคัญ ถูกติดตั้ง mobile malware

 

แก๊งคอลเซ็นเตอร์ มิจฉาชีพ โจรออนไลน์ระบาดหนัก! ธนาคารแห่งประเทศไทย หรือ ธปท. ออกประกาศใหม่! จำกัดใช้งาน Mobile Banking 1 บัญชีต่อ 1 เครื่อง สั่งธนาคาร งดแนบลิงก์ SMS ส่ง อีเมล

 

เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ ถูกติดตั้ง mobile malware ออกกฎใหม่ ควบคุมเด็กอายุต่ำกว่า 15 ปี ถอน-โอนเงินได้ ไม่เกิน 50,000 บาทต่อวัน

 

 

 

• • ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน

 

เหตุผลในการออกประกาศฉบับดังกล่าว ระบุว่า ปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน

 

โดยเฉพาะการให้บริการทางการเงินและการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking) ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง

 

 

ขณะเดียวกันการให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน (fraud) ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง

 

 

ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศธนาคารแห่งประเทศไทย

 

ตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออกประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่

 

เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปพลิเคชั่นของสถาบันการเงินให้เป็นไปอย่างปลอดภัย

 

เท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

 

โดยสถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับซ้อนขึ้น

 

 

ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

 

 

โดยสถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับซ้อนขึ้น

 

 

ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

 

• • การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ

สถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ โดยอย่างน้อยต้องดำเนินการ ดังนี้

 

 

1. งดเว้นการแนบลิงก์ผ่านข้อความสั้น SMS และช่องทางอีเมล

 

แต่สำหรับกรณีช่องทางโลกออนไลน์ ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลยืนยันในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น

• • ชื่อผู้ใช้งาน
• • รหัสผ่าน
•  
  • รหัสใช้ครั้งเดียว (OTP)
• • รหัส PIN
• • หมายเลขบัตรประชาชน
• • วันเดือนปีเกิด

เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ หรือการถูกติดตั้ง mobile malware

 

อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง 3 ช่องทางได้ หากผู้ใช้บริการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก์ได้เป็นรายครั้ง พร้อมทั้งสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์เป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น

2. มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลง

หรือแอบอ้างเป็น Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวโหลดแอปพลิเคชัน (office app strore) เช่น

• • • Google Play Store

• • • Apple App Store

รวมทั้งมีการะบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอม เพื่อลดความเสี่ยงที่จะถูกหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือติดตั้งแอปพลิเคชันปลอม

 

 

3. จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง 1 บัญชีผู้ใช้งาน หรือ Account ต่อ 1 บริการ Mobile Banking ของแต่ละสถาบันการเงิน

และจำกัดการใช้บริการดังกล่าวโดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น แต่ผู้ใช้บริการยังสามารถมีจำนวนบัญชีได้เท่าที่สามารถเปิดกับธนาคารได้ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่

โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection) ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือปลอมแปลง โดยต้องดำเนินการในกรณีดังต่อไปนี้

• • ทำธุรกรรมโอนเงินในแต่ละครั้งมูลค่าตั้งแต่ 50,000 บาทขึ้นไป

• • ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก 200,000 บาทใน 1 วัน

• • ปรับเพิ่มวงเงินการทำธุรกรรมการโอนให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป

 

ทั้งนี้ กรณีที่ผู้ใช้บริการมีข้อจำกัดในการใช้เทคโนโลยีเปรียบเทียบใบหน้า เช่น เป็นคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนด

 

 

โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ เช่น การโอนเงินระหว่างบัญชีตนเอง การโอนเงินประจำอัตโนมัติ ที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนตามที่กำหนดข้างต้นได้

 

• กำหนดเพดานวงเงินสูงสุดต่อวัน ถอนเงิน- โอนเงิน Mobile Banking

 

กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงิน ผ่านบริการ Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการ เพื่อลดความเสียหาย

 

เมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทุจริต เช่น กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า 15 ปี ให้กำหนดวงเงินสูงสุดของการทำธุรกรรมถอนหรือโอนเงินรวมกันไม่เกิน 50,000 บาทต่อวัน เป็นต้น

 

วันเริ่มต้นบังคับใช้

 

ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 30 วันนับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป

 

อ่านประกาศฉบับเต็มอย่างละเอียด ธปท. ประกาศ การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน (คลิก)

 

อ้างอิง-ภาพ : ราชกิจจานุเบกษา , ธนาคารแห่งประเทศไทย – Bank of Thailand

 

————————————————————————————————————

ที่มา :   กรุงเทพธุรกิจ                           / วันที่เผยแพร่ 13 กุมภาพันธ์ 2568
Link :https://www.bangkokbiznews.com/news/news-update/1166462