ราชกิจจาฯ สั่งแบงก์ยกระดับบริการโมบายแบงก์กิ้ง สกัด “แก็งคอลเซ็นเตอร์”

ธนาคารแห่งประเทศไทย (ธปท.) ลงนามโดย นาย เศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการธนาคารแห่งประเทศไทย (ธปท.) เผยแพร่ประกาศธนาคารแห่งประเทศไทย เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน ลงในราชกิจจานุเบกษา เมื่อวันที่ 31 ม.ค.2568

โดยเหตุผลในการออกประกาศดังกล่าว มาจากปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน โดยเฉพาะการให้บริการทางการเงินและการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking) ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง 

ขณะเดียวกัน การให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน (faud) ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ชับช้อนมากขึ้น อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศ

ธนาคารแห่งประเทศไทย ตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออก ประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปฟลิเคชันของสถาบันการเงินให้เป็นไปอย่างปลอดภัยเท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

ทั้งนี้ อาศัยอำนาจตามความในมาตรา ๓๙ และมาตรา ๔๓ แห่งพระราชบัญญัติธุรกิจสถาบันการเงิน พ.ศ. ๒๕๕๓ ธนาคารแห่งประเทศไทยออกหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงินถือปฏิบัติตามที่กำหนดในประกาศฉบับนี้

โดยระบุว่า สถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลอดภัยตามมาตรฐานสากลเท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับช้อนขึ้น ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

สำหรับหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ ประกอบด้วยมาตรการ ๒ ส่วน ได้แก่

(๑) การป้องกันการสวมรอยทำธุรกรรม แทนผู้ใช้บริการ (Unauthorized Payment Fraud) และ

(๒) การรักษาความมั่นคงปลอดภัยของบริการ Mobile Banking คือการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ สถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกธุรกรรมแทนผู้ใช้บริการโดยอย่างน้อยต้องดำเนินการ ดังต่อไปนี้

การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ

สถาบันการเงินต้องมีการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ โดยอย่างน้อยต้องดำเนินการ ดังต่อไปนี้

(๑) งดเว้นการแนบลิงก์ผ่านช่องทางข้อความสั้น (SMS) และช่องทางอีเมล แต่สำหรับกรณีช่องทางสือสังคมออนไลน์ (social media) ให้สถาบันการเงินงดแบลิงก์เฉพาะที่มี การขอข้อมูลในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว(one time password - OTP) รหัส PIN หมายเลขบัตรประชาชนชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ (sodal engineering) หรือการถูกติดตั้งmobile malware

อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง ๓ ช่องทางดังกล่าวได้หากผู้ใช้บริการดำเนินการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก็ได้เป็นรายครั้ง พร้อมทั้ง ต้องมีการสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งสิ่งก์ดังกล่าวเป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น

(๒) มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลง หรือแอบอ้างเป็นแอปพลิเคชันของสถาบันการเงินที่ให้บริการ Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวน์โหลดแอปพลิเคชัน (official app store)

เช่น Google Play Store Apple App Storeรวมทั้งมีกระบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอมแปลงที่อยู่นอกแพลตฟอร์มดังกล่าว เพื่อลดความเสี่ยงที่ผู้ใช้บริการจะหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือถูกติดตั้งแอปพลิเคลิเคชันปลอบ

(๓) จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง ๑ บัญชีผู้ใช้งานต่อ ๑ บริการ Mobile Banking ของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าว โดยให้ใช้งานบน ๑ อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น

(๔) ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอน การทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า(face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection)ที่สามารถป้องกันการใช้รูปภาพ วิตีโอ หรือการปลอมแปลงชีวมิติในรูปแบบต่าง ๆ ได้ 

เช่น การใช้ เทคโนโลยี liveness detection เพื่อให้มั่นใจว่าผู้ใช้บริการเป็นผู้ทำธุรกรรมด้วยตนเอง ซึ่งต้องจัดให้มี กระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมดังกล่าวอย่างน้อยในกรณี ดังต่อไปนี้

(๔.๑) การทำธุรกรรมโอนเงินในแต่ละครั้งมีมูลค่าตั้งแต่ ๕๐,๐๐๐ บาท ขึ้นไป หรือ (๔.๒) การทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก ๒๐๐,๐๐๐ บาท ในรอบระยะเวลา ๑ วัน หรือ (๔.๓) การปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน ให้สามารถได้ ตั้งแต่ ๕๐,๐๐๐ บาทขึ้นไป

ทั้งนี้ กรณีที่ผู้ใช้บริการมีข้อจำกัดในการใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) เช่น เป็นคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้ โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ 

เช่น การทำธุรกรรมโอนเงินระหว่างบัญชีตนเอง การทำธุรกรรมโอนเงินประจำ อัตโนมัติ (automatic recurring transfer) ที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนดข้างต้นได้

(๕) กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับธุรกรรมถอนเงินหรือโอนเงิน ผ่านบริการ Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของกลุ่มผู้ใช้บริการ เพื่อลดความเสียหายเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือในการทุจริต

เช่น กรณีกลุ่มผู้ใช้บริการที่อายุต่ำกว่า ๑๕ ปี ให้กำหนดวงเงินสูงสุดของการทำธุรกรรมถอนหรือโอนเงินรวมกันไม่เกิน ๕๐,๐๐๐ บาทต่อวันเป็นต้น

ทั้งนี้ สถาบันการเงินสามารถใช้แนวทางหรือกำหนดที่ใต้จัดทำร่วมกัน (industry standard) มาใช้ประกอบการจัดระดับความเสี่ยง หรือกำหนดเพดานวงเงินสูงสุดของกลุ่ม ผู้ใช้บริการได้ และในกรณีที่ผู้ใช้บริการขอยกเว้นการกำหนดวงเงินตามกลุ่มความเสี่ยงที่กำหนดไว้สถาบันการเงินต้องมีกระบวนการพิจารณาการขอยกเว้นที่ชัดเจนและรัดกุมด้วย 

การรักษาความมั่นคงปลอดภัยของบริการ Mobile Banking

สถาบันการเงินต้องกำหนดให้มีการรักษาความมั่นคงปลอดภัยแอปพลิเคชัน ที่ให้บริการ Mobile Banking ภายใต้กรอบหลักการที่สำคัญ คือ (๑) การรักษาความมั่นคงปลอดภัย ของข้อมูล (๒) การรักษาความมั่นคงปลอดภัยของแอปพลิเคชัน และ (๓) การรักษาความมั่นคง ปลอดภัยของอุปกรณ์เคลื่อนที่ เพื่อป้องกันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริต ทางการเงินที่ส่งผลกระทบต่อผู้ใช้บริการและความเชื่อมั่นต่อระบบสถาบันการเงิน ดังนี้

(๑) การรักษาความมั่นคงปลอดภัยของข้อมูล

สถาบันการเงินต้องรักษาความลับและความปลอดภัยของข้อมูลสำคัญ ของผู้ใช้บริการอย่างรัดกุม เพื่อป้องกันข้อมูลสำคัญของผู้ใช้บริการรั่วไหล หรือถูกเปลี่ยนแปลงแก้ไข ทั้งขณะจัดเก็บ แสดงผล และรับ - ส่งข้อมูลระหว่างอุปกรณ์เคลื่อนที่ของผู้ใช้บริการและระบบงาน ของสถาบันการเงิน โดยต้องดำเนินการอย่างน้อย ดังนี้

(๑.๑) หลีกเลี่ยงการจัดเก็บข้อมูลสำคัญไว้ในอุปกรณ์เคลื่อนที่ เช่น ข้อมูลที่ใช้ยืนยันตัวตน ข้อมูลส่วนบุคคล โดยหากจำเป็นต้องจัดเก็บข้อมูลดังกล่าว ต้องมีกระบวนการ รักษาความปลอดภัยที่รัดกุม โดยอย่างน้อยสถาบันการเงินต้องเข้ารหัสข้อมูล (data encryption) ด้วยวิธีการที่ปลอดภัยตามมาตรฐานสากล และทำลายข้อมูลเมื่อสิ้นสุดการใช้งานข้อมูล

(๑.๒) แอปพลิเคชันของสถาบันการเงินต้องแสดงผลข้อมูลสำคัญ (sensitive information) ของผู้ใช้บริการเท่าที่จำเป็นและเป็นไปอย่างรัดกุม โดยอย่างน้อยต้องปิดบัง การแสดงข้อมูลรหัสผ่าน และปิดบังหน้าจอเมื่อย่อแอปพลิเคชัน (application blurring)

(๑.๓) ใช้ช่องทางสื่อสารที่ปลอดภัย (secure protocol) และยืนยันตัวตน ด้วยเทคนิค certificate pinning หรือวิธีอื่นที่เทียบเท่า รวมทั้งต้องดำเนินการเข้ารหัสข้อมูลสำคัญ ในระดับแอปพลิเคชัน (application layer) ในการรับ - ส่งข้อมูล เพื่อป้องกันการถูกดักจับหรือแก้ไข เปลี่ยนแปลงข้อมูลระหว่างการรับส่ง (man in the middle attack)

(๒) การรักษาความมั่นคงปลอดภัยของแอปพลิเคชัน

สถาบันการเงินต้องติดตามดูแลและปรับปรุงแอปพลิเคชันให้มีความมั่นคง ปลอดภัยตามมาตรฐานสากลและเท่าทันภัยคุกคามรูปแบบใหม่อยู่เสมอ โดยต้องดำเนินการอย่างน้อย ดังนี้

(๒.๑) แอปพลิเคชันของสถาบันการเงินต้องขอสิทธิเข้าถึงทรัพยากร หรือบริการบนอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ (application permission) เท่าที่จำเป็น และมีการ ทบทวนการขอสิทธิดังกล่าวทุกครั้งที่มีการเปลี่ยนแปลงแอปพลิเคชันอย่างมีนัยสำคัญ เพื่อป้องกัน การละเมิดสิทธิความเป็นส่วนตัวของผู้ใช้บริการ รวมถึงเป็นช่องโหว่ที่อาจถูกใช้โดยผู้อื่นที่กระทำการ โดยทุจริต

(๒.๒) ไม่ให้บริการบนแอปพลิเคชันเวอร์ชันเก่าที่อาจมีช่องโหว่ และอาจทำให้เกิดความเสี่ยงในการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ

(๒.๓) ตรวจสอบการเปลี่ยนแปลงแก้ไขแอปพลิเคชันทุกครั้งในทันที ที่ผู้ใช้บริการเข้าใช้งาน (anti-tampering) และไม่อนุญาตให้ผู้ใช้บริการใช้งานแอปพลิเคชัน ที่ถูกเปลี่ยนแปลงแก้ไข เพื่อป้องกันไม่ให้ข้อมูลผู้ใช้บริการรั่วไหลหรือเกิดความเสียหายจากแอปพลิเคชัน ที่มีการดัดแปลงแก้ไข เช่น การฝัง malicious code

(๒.๔) จัดการการเชื่อมต่อระหว่างคอมพิวเตอร์ (session) ให้ปลอดภัย เพื่อป้องกันการสวมรอยเข้าใช้งานโดยไม่ได้รับอนุญาต (session hijacking)

(๒.๕) ป้องกัน source code ของแอปพลิเคชันไม่ให้อยู่ในรูปแบบ ที่อ่านเข้าใจโดยง่าย เช่น การทำ source code obfuscation เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดี สามารถเข้าถึงและทำการเปลี่ยนแปลงแก้ไข source code ได้

(๓) การรักษาความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่

สถาบันการเงินต้องให้บริการ Mobile Banking ในสภาพแวดล้อม ของอุปกรณ์เคลื่อนที่ที่ปลอดภัย เพื่อลดความเสี่ยงที่ผู้ไม่ประสงค์ดีกระทำการทุจริตโดยอาศัยช่องโหว่ ของระบบปฏิบัติการเข้าถึง Mobile Banking และบัญชีของผู้ใช้บริการ โดยต้องดำเนินการอย่างน้อย ดังนี้

(๓.๑) ไม่อนุญาตให้แอปพลิเคชันของสถาบันการเงินใช้งานบนอุปกรณ์ เคลื่อนที่ที่ตรวจพบว่ามีการเปิดสิทธิให้เข้าถึงระบบปฏิบัติการ (rooted/jailbroken)

(๓.๒) ไม่อนุญาตให้แอปพลิเคชันของสถาบันการเงินทำงานบนอุปกรณ์ เคลื่อนที่ในขณะที่มีแอปพลิเคชันอื่นกำลังทำงานและมีพฤติกรรมการทำงานที่เสี่ยงจะก่อให้เกิดการสวมรอย ทำธุรกรรมแทนผู้ใช้บริการ เช่น แอปพลิเคชันที่ขอสิทธิช่วยเหลือคนพิการ (accessibility services) โดยไม่จำเป็น แอปพลิเคชันที่สามารถควบคุมอุปกรณ์เคลื่อนที่จากระยะไกลได้ (remote control) แอปพลิเคชันที่มีการปิดบังหรือขโมยข้อมูลที่แสดงบนหน้าจอของผู้ใช้งาน เพื่อลดความเสี่ยงที่แอปพลิเคชัน ของสถาบันการเงินจะถูกควบคุมหรือเข้าถึงโดย malware ที่มีการติดตั้งบนอุปกรณ์เคลื่อนที่

(๓.๓) หลีกเลี่ยงการให้บริการ Mobile Banking ของสถาบันการเงิน บนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการที่หน่วยงานด้านความมั่นคงปลอดภัยที่เป็นที่ยอมรับ เช่น Thailand Banking Sector Computer Emergency Response Team (TB-CERT) กำหนดว่า มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ หรือการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ

กรณีสถาบันการเงินมีการให้บริการบนอุปกรณ์เคลื่อนที่ที่ใช้ ระบบปฏิบัติการที่มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ หรือการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ สถาบันการเงินต้องจัดให้มีแนวทางการควบคุมความเสี่ยงเพิ่มเติม โดยการแจ้งเตือนถึงความเสี่ยง จากกรณีดังกล่าว รวมทั้งจำกัดวงเงินการทำธุรกรรมของกลุ่มผู้ใช้บริการดังกล่าวให้ทำธุรกรรมโอนเงินได้ ไม่เกินวันละ ๕,๐๐๐ บาท

ทั้งนี้ สถาบันการเงินต้องติดตามและปรับปรุงการรักษาความมั่นคงปลอดภัย ของการให้บริการ Mobile Banking ให้เท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ เป็นไปตามมาตรฐานสากลอย่างต่อเนื่อง โดยกรณีที่พบช่องโหวใหม่ สถาบันการเงินต้องเร่งดำเนินการ ให้มีแนวทางป้องกัน เพื่อปิดช่องโหว่ภายในกรอบเวลาที่เหมาะสม หรือดำเนินการให้แล้วเสร็จ ภายในระยะเวลาที่ธนาคารแห่งประเทศไทยกำหนด

การขอผ่อนผันการปฏิบัติตามหลักเกณฑ์

กรณีที่สถาบันการเงินมีเหตุจำเป็นหรือพฤติการณ์พิเศษที่ไม่สามารถปฏิบัติตามหลักเกณฑ์ ที่กำหนดในประกาศฉบับนี้ได้ ให้ยื่นขอผ่อนผันเป็นรายกรณีต่อธนาคารแห่งประเทศไทยพร้อมแสดง เหตุผลความจำเป็นและแผนการดำเนินการเพื่อให้สามารถปฏิบัติตามหลักเกณฑ์ที่กำหนดได้ต่อไป ทั้งนี้ ธนาคารแห่งประเทศไทยจะพิจารณาให้แล้วเสร็จภายใน ๓๐ วันทำการ นับแต่วันที่ได้รับคำขอ และเอกสารถูกต้องครบถ้วน โดยธนาคารแห่งประเทศไทยอาจกำหนดเงื่อนไขใดๆ ให้ถือปฏิบัติเพิ่มเติมด้วยก็ได้

ทั้งนี้ วันเริ่มต้นบังคับใช้ประกาศนี้ ให้ใช้บังคับเมื่อพ้นกำหนดสามสิบวัน นับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป เว้นแต่กรณีตามข้อ ๕.๓.๒ (๓.๓) ให้ใช้บังคับเมื่อพ้นกำหนดหกสิบวันนับแต่วันถัดจากประกาศในราชกิจจานุเบกษาเป็นต้นไป

โดยประกาศ ณ วันที่ ๓๑ มกราคม พ.ศ. ๒๕๖๘

ลงนามโดย นายเศรษฐพุฒิ สุทธิวาทนฤพุฒิ ผู้ว่าการ ธนาคารแห่งประเทศไทย

ที่มา:

ประกาศธนาคารแห่งประเทศไทย เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน