กฎใหม่! คุมโมบายแบงก์กิ้ง ห้ามแนบลิงก์ผ่าน SMS จำกัด 1 แอคเคาท์ 1 เครื่อง

ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน เพื่อป้องกันภัยทุจริตการเงิน และภัยคุกคามทางไซเบอร์ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น

มาตรการการป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ 

  1. งดเว้นการแนบลิงก์ผ่านข้อความสั้น หรือ SMS และช่องทางอีเมล แต่สำหรับกรณีช่องทางโซเชียลมีเดีย ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลยืนยันในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว (OTP) รหัส PIN หมายเลขบัตรประชาชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ หรือการถูกติดตั้ง mobile malware

อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง 3 ช่องทางได้ หากผู้ใช้บริการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก์ได้เป็นรายครั้ง พร้อมทั้งสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์เป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น

  2. มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลงหรือแอบอ้างเป็น Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวโหลดแอปพลิเคชัน (office app strore) เช่น Google Play Store , Apple App Store รวมทั้งมีการะบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอม เพื่อลดความเสี่ยงที่จะถูกหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือติดตั้งแอปพลิเคชันปลอม

  3. จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง 1 บัญชีผู้ใช้งาน หรือ Account ต่อ 1 บริการ Mobile Banking ของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าวโดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น แต่ผู้ใช้บริการยังสามารถมีจำนวนบัญชีได้เท่าที่สามารถเปิดกับธนาคารได้

  4. ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection) ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือปลอมแปลง โดยต้องดำเนินการในกรณีดังต่อไปนี้

• ทำธุรกรรมโอนเงินในแต่ละครั้งมูลค่าตั้งแต่ 50,000 บาทขึ้นไป
• ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก 200,000 บาทใน 1 วัน
• ปรับเพิ่มวงเงินการทำธุรกรรมการโอนให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป

ทั้งนี้ กรณีคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนด โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ เช่น การโอนเงินระหว่างบัญชีตนเอง การโอนเงินประจำอัตโนมัติที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก

  5. กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับการถอนเงินหรือโอนเงินผ่าน Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของผู้ใช้บริการ เพื่อลดความเสี่ยงเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือทุจริต เช่น บุคคลอายุต่ำกว่า 15 ปี กำหนดวงเงินการถอนหรือโอนไม่เกิน 50,000 บาทต่อวัน

กรณีสถาบันการเงินมีเหตุจำเป็นหรือพฤติการณ์พิเศษที่ไม่สามารถปฏิบัติตามหลักเกณฑ์ที่กำหนดในประกาศฉบับนี้ ให้ยื่นขอผ่อนผันเป็นรายกรณีต่อธนาคารแห่งประเทศไทยพร้อมแสดงเหตุผลความจำเป็นและแผนการดำเนินการเพื่อให้สามารถทำตามหลักเกณฑ์ที่กำหนด โดยธนาคารแห่งประเทศไทยจะต้องพิจารณาให้เสร็จภายใน 30 วันทำการ นับแต่วันที่ได้รับคำขอและเอกสารถูกต้องครบถ้วน

นอกจากนี้ยังมีการกำหนด การรักษาความมั่นคงปลอดภัยของการบริการ Mobile Banking โดยให้สถาบันการเงินรักษาความลับและความปลอดภัยของข้อมูลสำคัญของผู้ใช้บริการอย่างรัดกุม (อ่านรายละเอียดที่นี่)

ที่มา : ราชกิจจานุเบกษา

ข่าวที่เกี่ยวข้อง

• คนไทยใช้โมบายแบงก์กิ้ง เยอะสุดในอาเซียน - 97% ผู้บริโภคใช้ 1 ครั้งต่อสัปดาห์
• ชื่อซิม ไม่ตรง โมบายแบงก์กิ้ง มี 4 กลุ่มได้รับข้อยกเว้น แบบไหนบ้าง เช็กเลย!
• โมบายแบงก์กิ้ง-ซิมต้องชื่อเดียวกัน ใน 120 วัน ถือเกิน 6 ซิมรีบยืนยันตัวตน