ปัญหามิจฉาชีพหลอกลวงคนไทยขยายวงกว้างขึ้นเรื่อยๆ ส่งผลให้ธนาคารแห่งประเทศไทย (ธปท.) ที่ต้องจัดการบัญชีม้าให้รวดเร็วและรัดกุมขึ้นไปอีก ผ่านการประกาศยกระดับมาตรการจัดการบัญชีม้าเมื่อ 30 ม.ค. 68 ที่ผ่านมา แต่อีกเรื่องสำคัญคือ เมื่อเกิดความเสียหายแล้ว ผู้ให้บริการทั้งธนาคาร ผู้ให้บริการโทรคมนาคม (Telco) และส่วนที่เกี่ยวข้องจะต้องรับผิดชอบอย่างไร
เร่งเครื่อง พ.ร.ก. ภัยไซเบอร์ เพิ่มแนวทางรับผิด
นางสาวดารณี แซ่จู ผู้ช่วยผู้ว่าการ สายกํากับระบบการชําระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) กล่าวว่า ที่ผ่านมาธปท. สกัดเครื่องมือที่มิจฉาชีพใช้หลอกลวง แต่ยังมีช่องทางที่เข้าถึงตัวเหยื่อเพื่อหลอกลวงทั้ง โทรศัพท์ LINE Facebook ฯลฯ จุดนี้ทุกภาคส่วนต้องช่วยกันไม่ให้เข้าถึงเหยื่อได้โดยง่าย เช่น วิธีไม่ให้มีเพจปลอม วิธีไม่ให้มี SMS ที่แนบลิงที่มีมัลแวร์ฝังมา ฯลฯ
ในโมเดลของสิงคโปร์ หาก Telco เห็น Link ที่มิจฉาชีพแทรกมาหรือโอกาสที่จะมีตัวอะไรแฝงมา หรือ SMS ที่มาจากคนอ้างว่าเป็นกรมบัญชีกลาง แต่จริงๆ แล้วไม่ใช่ Telco ต้องป้องกันไม่ให้เข้าถึงเหยื่อได้ แต่ทุกฝ่ายต้องช่วยกัน รวมถึงประชาชนที่ต้องตระหนักและใช้ช่องทางเหล่านี้อย่างระมัดระวัง
จากปัญหาใหญ่ที่เกิดขึ้นคือ เมื่อประชาชนเกิดความเสียหายจากมิจฉาชีพหลอกลวง หากถามว่าธนาคาร (และ Telco) ควรร่วมรับผิดชอบหรือไม่ โดยหลักการแล้วแบงค์ชาติเห็นด้วย ซึ่งได้ให้ความเห็นไปในพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีที่เพิ่งผ่านคณะรัฐมนตรี (ครม.) เมื่อ 30 ม.ค. 68 ที่แก้ไขใหม่ ว่า การร่วมรับผิดชอบจะต้องมีการร่วมรับผิดชอบทุกภาคส่วน หากฝ่ายไหนละเลยการปฏิบัติตามเกณฑ์ที่กําหนด ควรที่จะต้องแสดงความรับผิดชอบและ ชดเชยความเสียหายที่เกิดขึ้น (Shared responsibility)
ชูโมเดลสิงคโปร์ ‘แบงก์-Telco’ ร่วมรับผิดชอบ
ดารณี เล่าว่า จุดสำคัญของการออกแบบความรับผิดชอบคือ การวางแนวทางขอบเขตความรับผิดชอบ หากธนาคาร Telco และผู้เกี่ยวข้องไม่ทำหน้าที่ที่กำหนดไว้ก็ต้องรับผิดชอบ ซึ่งเป็นแนวทางเดียวกับหลักการของสิงคโปร์ที่ออกมาปลายปี 2567 ซึ่งจะให้รับผิดชอบในกรณีที่ผู้เสียหายโอนเงินไปโดยไม่ได้ยินยอม ไม่รู้ตัว เช่น Unauthorized, Phishing, โดน Link ปลอมเข้ามา โดยของสิงคโปร์จะให้ร่วมรับผิดชอบเป็นลำดับขั้น ได้แก่ สถาบันการเงิน, Telco และ ผู้ใช้งาน
รูปแบบที่สิงคโปร์ทำคือ กำหนดหน้าที่ของสถาบันการเงิน 4 ข้อ เช่น ให้ส่งแจ้งเตือนว่ามีเงินออก, การบล็อกธุรกรรมตามเงื่อนไขและแจ้งเตือน ฯลฯ ตามหากไม่ทำหน้าที่กำหนดไว้สถาบันการเงินจะต้องรับผิดชอบ แต่ถ้าสถาบันการเงินทำหน้าที่แล้ว ถัดไปจะไปดูที่ Telco ที่กำหนดไว้ 3 เรื่อง เช่น ไม่สามารถบล็อก SMS ได้ที่มาจาก Unauthorized Aggregators หรือว่าไม่สามารถบล็อก SMS ที่เป็น Malicious URLs (URL ที่อันตราย) ก็จะต้องรับผิดชอบ แต่ถ้าทั้งสถาบันการเงิน ทั้ง telco ทำหน้าที่ที่กำหนดไว้ก็จะตกที่ User (ผู้ใช้งาน) ต้องรับผิดชอบ
ทั้งนี้ สิงคโปร์กำหนด 4 หน้าที่ของธนาคาร ได้แก่
1) ให้ส่งแจ้งเตือนว่ามีเงินออก
2) Cooling-off period 12 ชม. เช่น หากมีการเปลี่ยนมีการเปลี่ยนเบอร์โทรศัพท์มีการเปลี่ยน Digital Token เหมือนเปลี่ยน PIN ก็จะให้ใช้งานไม่ได้ในธุรกรรมเสี่ยงสูงไป 12 ชั่วโมง
3) กรณี Rapidly- drained คือ เงินออกจำนวนมากโดยเร็ว ซึ่งธนาคารมีหน้าที่ต้องบล็อกธุรกรรมนั้นไม่ให้โอนออกต่อ ซึ่งหากกำหนดระยะเวลาใน 24 ชั่วโมง ทางธนาคารยังต้องติดต่อลูกค้าภายใน 24 ชั่วโมง อีกด้วย ข้อนี้ธปท. มองว่าเป็นหนึ่งในแผนที่จะทำเช่นกัน
4) Self-report + kill switch ซึ่งยังต้องพิจารณาว่าเหมาะสมกับประเทศไทยไหน โดยถือเป็นมาตรการด้าน Mobile Banking
“4-5 เรื่องเหล่านี้เป็นสิ่งที่เรา (แบงก์ชาติ) เห็นด้วย แล้วแบงค์ก็จะทำให้มีกลไก ซึ่งเราจะทำให้เกิดขึ้นโดยดูระดับที่เหมาะสม อย่างสมมุติกรณี Rapidly - drained ของสิงคโปร์ซึ่งดูเฉพาะ account ที่มี balance เกิน 50,000 เหรียญสิงคโปร์คือ 1.2 ล้านบาท ประเทศเราถ้าใช้อันนี้ อาจจะต้องดึงลงมาต่ำกว่านั้นเพื่อไม่ให้ความเสียหายเยอะเกิน” ดารณีกล่าว
ในส่วนของไทย หลักการความรับผิดชอบที่จะเกิดขึ้นคือ ธปท.อยากเห็นทุกภาคส่วนมีส่วนร่วมรับผิดชอบ คือต้องมีการกำหนดหน้าที่ทั้งผู้ให้บริการและผู้ใช้บริการ หากธนาคารพาณิชย์ ผิดพลาดไม่ได้ทำหน้าที่เหล่านั้น จะต้องมีส่วนที่จะร่วมรับผิดชอบ โดยคนที่จะกำหนดหน้าที่ควรจะเป็นผู้กำกับดูแลของแต่ละภาคส่วน ที่ต้องขีดหน้าที่นั้นให้ชัดเจน (Telco ต้องเป็น กสทช.)
ในอนาคต เคสมิจฉาชีพจะชี้ผู้รับผิดชอบไม่ต้องไปถึงศาล
ดารณี กล่าวว่า ความเสียหายจากมิจฉาชีพที่เกิดขึ้นในปัจจุบัน เรื่องความรับผิดจะมีศาลเป็นคนตัดสินเป็นหลัก แต่วิธีการที่ธปท. อยากทำ และเสนอความเห็นไปใน พ.ร.ก. ภัยไซเบอร์ล่าสุด คือ อยากให้มีกลไกที่เป็นคณะกรรมการร่วมกันที่เป็นผู้กำกับดูแลของทุกๆ ส่วนที่เกี่ยวข้องมี ธปท., กสทช., ก.ล.ต. กระทรวงดีอี, ปปง. ,ตำรวจ ที่ต้องเข้ามาทำข้อกำหนดด้วยกันที่จะต้องชัดเจนและไม่เกิดการตีควม เช่น ธปท. จะกำหนดฝั่งสถาบันการเงิน, Telco ฝั่งกสทช. กำหนด และจะมารวมกันในภาพใหญ่
“แนวทางที่เราอยากทำคือ ต้องร่วมพูดคุยกับทุกภาคส่วนที่เกี่ยวข้อง ทั้งเส้นที่เกิดขึ้น เช่น ธนาคาร Telco DA (Digital Asset) Digital exchange ฯลฯ ว่าใครมีหน้าที่รับผิดชอบอะไร หากไม่ทำตามหน้าที่ต้องรับผิดชอบความเสียหายเท่าไหร่ เราก็อยากให้เสร็จเร็ว โดย พ.ร.ก.ฯ ตอนนี้อยู่ในขั้นตอนของกฤษฎีกา” ดารณีกล่าว
สุดท้ายนี้ ด้าน นางรุ่ง มัลลิกะมาส รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เล่าว่าที่ผ่านมา ธปท. และหน่วยงานที่เกี่ยวข้องได้ดําเนินการแก้ไขปัญหาภัยทุจริตทางการเงินมาอย่างต่อเนื่อง ทั้งการกํากับดูแลให้สถาบันการเงินมีมาตรฐานการให้บริการ Mobile Banking ที่ปลอดภัยมากขึ้น การยกระดับการจัดการบัญชีม้า แต่เมื่อรูปแบบและพฤติกรรมของ มิจฉาชีพที่เปลี่ยนไปต่อเนื่อง ทําให้ความเสียหายจากภัยทุจริตทางการเงินไม่ได้ลดลง ธปท. จึงต้องเร่งปรับการทำงานให้เข้มข้น และขยายผลผ่านความร่วมมือในทุกภาคส่วน
ภาพ: ธนาคารแห่งประเทศไทย
เรื่องราวอื่นๆ ที่น่าสนใจ : ธปท. เร่งเครื่องคุมเข้ม ‘บัญชีม้านิติบุคคล’ ขยายผลสู่ ‘ม้าคริปโต’ พร้อมผลักดันแนวทางร่วมรับผิด
ไม่พลาดบทความและเรื่องราวน่าสนใจอื่นๆ ติดตามเราได้ที่เฟซบุ๊ก Forbes Thailand Magazine