เชื่อว่าช่วงเดือนที่แล้ว หลายคนน่าจะเห็นข่าวผ่านๆ ตากันมาบ้าง เรื่องที่ธนาคารกลางสิงคโปร์ (MAS) ได้มีกฎข้อบังคับว่า ถ้าประชาชนโดยหลอกทำธุรกรรมออนไลน์ ทางธนาคารและผู้ให้บริการเครือข่าย ต้องร่วมรับผิดชอบความเสียหายที่เกิดขึ้นด้วย จนเมื่อวันที่ 16 ธันวาคมที่ผ่านมา มีการประกาศบังคับใช้เรียบร้อย เราไปดูรายละเอียดกัน ว่ามีกฎเกณ์อะไรที่น่าสนใจบ้าง
Shared Responsibility Framework – SRF คืออะไร
ธนาคารกลางสิงคโปร์ (MAS) ได้เผยแพร่เอกสาร Shared Responsibility Framework – SRF หรือกรอบความรับผิดชอบร่วมกัน ระหว่างลูกค้า ธนาคาร และผู้ให้บริการเครือข่าย ในกรณีที่เกิดการฉ้อโกงธุรกรรมทางการเงินออนไลน์ เพื่อลดความขัดแย้งระหว่างผู้ที่ได้รับผลกระทบและผู้ให้บริการ ซึ่งในที่นี้ หากมีการโกงเงินและมีความเสียหายเกิดขึ้น แล้วสืบสวนว่าธนาคารและเครือข่าย หละหลวมจนทำให้เกิดช่องโหว่ให้กับมิจฉาชีพ ก็จะต้องร่วมกันรับผิดชอบผู้เสียหายด้วย ไม่ใช่ให้ผู้เสียหายรับกรรมตามลำพังอีกต่อไป
แล้วแบบนี้ โดนโกงก็ไม่เสียเงินฟรีแล้วใช่ไหม?
ก็ไม่ถูกต้องเสียทีเดียว เพราะอย่างที่บอกว่าประกาศฉบับนี้ เป็นเหมือนกรอบความรับผิดชอบแบบเป็นลายลักษณ์อักษร ที่จะใช้เป็นเกณฑ์ตัดสินการรับผิดชอบร่วมกันทั้ง 3 ฝ่าย หากใครหละหลวม หรือประมาท จนเกิดเหตุการณ์ความเสียหายขึ้น ก็จะต้องเป็นคนรับผิดชอบ ไม่ใช่ว่าโดนโกงแล้วจะได้เงินคืนทั้งหมด
เปิดกรณีศึกษา ก็ไม่ใช่เรื่องง่ายที่จะได้เงินคืน
โดยในเอกสารเผยแพร่ได้ยกตัวอย่างสถานการณ์ถูกโกงเงินไว้หลายแบบ ว่าหากเกิดสถานการณ์ไหน ใครต้องรับผิดชอบความเสียหายที่เกิดขึ้น เพื่อให้ยุติธรรมต่อทุกฝ่าย
| ตัวอย่างสถานการณ์ | ผู้รับผิดชอบ | เหตุผล |
|---|---|---|
| นาย A ถูกหลอกลงทุนผ่านโฆษณาทาง Facebook มีการคลิกลิงก์ใน โฆษณา Facebook แล้วโอนเงินไปให้มิจฉาชีพ ซึ่งทางธนาคารก็แจ้งเตือน SMS เงินออกแบบเรียลไทม์ทุกครั้ง จนหลายเดือนต่อมารู้ว่าโดนโกง | ลูกค้า 100% | เนื่องจากเป็นการทำธุรกรรมที่ลูกค้าตัดสินใจดำเนินการเอง |
| นาย B ได้รับโทรศัพท์จากมิจฉาชีพแอบอ้างเป็นตำรวจท้องที่ จำเป็นต้องเข้าถึง บัญชีของเขา เพื่อตรวจสอบเงินเนื่องจากอาจจะมีการฟอกเงิน นาย B จึงให้ข้อมูลบัญชีและ OTP กับมิจฉาชีพ | ลูกค้า 100% | กรณีนี้ เป็นการฟิชชิ่ง อยู่นอกขอบเขตการคุ้มครองช่องทางดิจิทัล ลูกค้าให้ข้อมูลเอง |
| นาง C ได้รับข้อความผ่าน WhatsApp มีลิงก์ที่คลิกได้ อ้างว่าเป็นเฟอร์นิเจอร์ ขายราคาที่ถูกมาก นาง C จึงตัดสินใจซื้อ คลิกลิงก์ที่ส่งมาใน WhatsApp เหมือนเป็นการกรอกข้อมูลส่วนตัวเพื่อสั่งซื้อ แต่เว็บนั้นเป็นเว็บปลอม หลอกให้ใส่ข้อมูลบัญชี และ OTP มิจฉาชีพจึงเข้าบัญชีได้ และโอนเงินออกไป 10,000 ดอลลาร์ | ลูกค้า 100% | ลูกค้าให้ข้อมูลและ OTP เอง |
| นาย D คลิกโฆษณาออนไลน์ขายสินค้า/บริการ และได้รับการติดต่อซื้อขายจากของมิจฉาชีพผ่านทางแชท โดยมิจฉาชีพบอกให้ นาย D โหลดแอปนอกสโตร์ในการสั่งซื้อสินค้า และให้เปิดอนุญาตการเข้าถึงไว้ ต่อมานาย D ได้ลงชื่อเข้าใช้แอปธนาคารซึ่งมีมิจฉาชีพคอยดูเครื่องจากระยะไกล พอถึงเวลากลางคืน ก็เข้าควบคุมเครื่องและโอนเงินออกไป | ลูกค้า 100% | ลูกค้าติดตั้งแอปนอกสโตร์และถูกดูดเงินออกไปเอง |
| ลูกค้าล็อกอินเว็บธนาคารปลอม ไม่ได้รับ SMS แจ้งเตือน เนื่องจากเคยตั้งเพดานการส่ง SMS ไว้สูงกว่ายอดที่คนร้ายโอน มิจฉาชีพปลอมเป็นธนาคาร ส่งอีเมลฟิชชิ่งไปหานาย E แจ้งเกี่ยวกับผลิตภัณฑ์ที่น่าสนใจ นาย E คลิกลิงก์ในอีเมลซึ่งเป็นเว็บไซต์ปลอม กรอกข้อมูลบัญชีและ OTP มิจฉาชีพจึงได้ข้อมุล แล้วโอนเงินออก 3 รายการ 1,000 ดอลลาร์ 2,000 ดอลลาร์และ 3,000 ดอลลาร์ ตามลำดับ แต่นาย E ได้ตั้งค่าเพดานการแจ้งเตือน SMS เมื่อมีเงินออกไว้ที่ 1,500 ดอลลาร์ จึงทำให้ได้รับการแจ้งเตือนเฉพาะยอด ธุรกรรม 2,000 ดอลลาร์ และ 3,000 ดอลลาร์ เท่านั้น | ลูกค้า 100% | ธนาคารทำตาม SRF แล้ว คือมีการแจ้งเตือนเงินเข้าออก ส่วนยอด 1,000 ดอลลาร์ ที่ไม่มี SMS แจ้งบอก เพราะลูกค้าตั้งค่ากำหนดเอง |
| มิจฉาชีพปลอมเป็นตำรวจ ติดต่อนาย F ผ่านแชท WhatsApp นาย F หลงเชื่อ จึงกดลิงก์ไปยังเว็บไซต์ปลอมเพื่อชำระเงิน ‘ค่าปรับที่ค้างชำระ’ นาย F กรอกข้อมูลบัญชีธนาคารพร้อม OTP ลงบนเว็บไซต์ธนาคารปลอม มิจฉาชีพจึงล็อกอินเข้าบัญชีพร้อมกับโอนเงินออกไป 10 ครั้ง ครั้งละ 500 ดอลลาร์ แต่ขณะนั้นระบบธนาคารล่ม จึงไม่ได้ส่งแจ้งเตือนเงินออกให้นาย F ทราบทันที แต่ส่งไปหลังจากนั้น 2 วัน เมื่อนาย F รู้ก็พยายามติดต่อธนาคาร แต่คู่สายเต็ม จากนั้นเขาพยายามปิดการใช้งานแต่ทำไม่ได้ แล้วก็มีเงินโอนออกอีก 4,000 ดอลลาร์ ซึ่งมี SMS ขึ้นแจ้งเตือน | ธนาคาร เฉพาะการโอน 10 ครั้งแรก | ธนาคารล้มเหลวในการแจ้งเตือนแบบทันที และไม่สามารถให้บริการตลอดเวลาการบล็อกบัญชีได้ |
| มิจฉาชีพแอบอ้างเป็นธนาคาร ติดต่อ นาย G ผ่านฟิชชิ่งอีเมล หลอกว่าบัญชีเขากำลังถูกระงับ นาย G คลิกลิงก์เว็บไซต์ธนาคารปลอม และกรอกข้อมูลบัญชี ต่อมาสแกมเมอร์ก็ใช้บัญชีดังกล่าวคนร้ายใช้ข้อมูล รหัส/OTP ลงแอปใหม่ ทำ digital token ใหม่บนมือถือของคนร้าย โดยที่นาย G ไม่รู้ แล้วก็มีการปรับวงเงินโอนออก ตั้งแต่ 5,000 ดอลลาร์ ถึง 10,000 ดอลลาร์ ซึ่งถือว่าเป็นพฤติกรรมเสี่ยงสูง ธนาคารควรหน่วงการทำธุรกรรมความเสี่ยงสูง 12 ชั่วโมงหลังลงทะเบียนใหม่ | ธนาคาร | ธนาคารไม่ทำตาม SRF เรื่องการหน่วงเวลาธุรกรรมเสี่ยงสูง อย่างน้อย 12 ชั่วโมง ในการเพิ่มวงเงิน |
| นาย J ได้รับ SMS ปลอมชื่อเป็น “DBS Bank” ให้รีเซ็ตรหัสผ่าน โดยผู้ให้บริการเครือข่ายปล่อยให้คนร้ายใช้ชื่อ “DBS Bank” ในการส่ง SMS ไปที่นาย J นาย J หลงเชื่อว่าเป็นธนาคารจริง จริงได้กดลิงก์ธนาคารปลอมและไปกรอกข้อมูลบัญชี พร้อม OTP เพื่อหวังจะรีเซ็ตข้อมูล จากนั้น คนร้ายโอนเงินออก 5 รายการ เป็นเงิน $10,000 มี SMS แจ้งเตือนการโอนเงินออกทั้งหมดมาจากธนาคารจริง | ผู้ให้บริการเครือข่าย 100% | แม้ว่านาย J จะกดลิงก์เอง แต่ว่าเครือข่ายต้องรับผิดชอบ เพราะปล่อยให้คนร้ายปลอมตัวเป็นธนาคาร ส่ง SMS หาลูกค้าได้ |
| นาย L ได้รับ SMS หลอกลวง แอบอ้างว่าเป็นร้านขายทุเรียนชื่อดัง เครือข่ายไม่ได้ใช้ตัวกรองบล็อก SMS หลอกลวง แม้จะติดแท็กว่า “Likely-SCAM” ใน SMS มีลิงก์ให้ลูกค้าซื้อทุเรียนราคาถูก แล้วเขากรอกข้อมูลบัญชี รวมถึง OTO จนคนร้ายสวมรอยโอนเงินออกไป 5 ครั้ง รวมเป็นเงิน 10,000 ดอลลาร์ และมี SMS แจ้งเตือนการทำธุรกรรมจากธนาคารทั้งหมด | ผู้ให้บริการเครือข่าย 100% | ไม่บล็อค SMS ปลอมออก แม้ว่านาย L จะกดลิงก์จาก SMS ที่ติดแท็กว่า “Likely-SCAM” ก็ตาม |
| นาย N ได้รับ SMS ปลอมชื่อ “OCBC Bank” แจ้งให้รีเซ็ตรหัสผ่าน digibank โดยการคลิกลิงก์ นาย N กดลิงก์แล้วกรอกข้อมูลบัญชีรวมถึง OTP คยร้ายโอนเงินออก 5 ครั้ง รวม 10,000 ดอลลาร์ ธนาคารที่รับผิดชอบส่ง SMS แจ้งเตือนการโอนเงินออก 3 ครั้งแรกเท่านั้น เพราะก่อนการทำธุรกรรมครั้งที่ 4 และ 5 ระบบการแจ้งเตือนของธนาคารมีปัญหา | ธนาคาร รับผิดชอบการทำธุรกรรม 2 ครั้งหลัง ที่ไม่ได้ส่ง SMS แจ้ง ผู้ให้บริการเครือข่าย รับผิดชอบความสูญเสีย 3 ครั้งแรก | แม้ SMS ต้นทางผิดพลาดจากผู้ให้บริการเครือข่าย แต่ธนาคารรับผิดชอบก่อนเสมอในส่วนที่ระบบมีปัญหาไม่ส่ง SMS ดังนั้น ธนาคารจึงต้องรับส่วนที่ไม่ได้แจ้ง SMS ถึงแม้ นาย N จะกดลิงก์เอง แต่เครือข่ายผิดที่ไม่บล็อก SMS ของมิจฉาชีพ |
แล้วประเทศไทยมีมาตรการแบบสิงคโปร์ไหม?
ของไทยยังไม่มีการทำข้อตกลงร่วมกันของแต่ละฝ่ายอย่างชัดเจน เรื่องการรับผิดชอบความเสียหายที่เกิดขึ้น แบบของทางสิงคโปร์ ตอนนี้ ยังอยู่ระหว่างการพิจารณาของคณะกรรมการกฤษฎีกา แต่ว่าก็มีข้อกำหนดที่ธนาคารแห่งประเทศไทย บังคับให้ธนาคารต่างๆ ทำเพื่อป้องกันก่อนเกิดความเสียหาย รวมถึง กสทช.ก็ออกมาตรการให้เครือข่ายเข้มงวดด้านต่างๆ เช่น
ที่มีผลบังคับใช้ ทำไปแล้ว
ฝั่งธนาคาร
- ธนาคารแห่งประเทศไทย ออกประกาศ ยกระดับมาตรการจัดการภัยทุจริตทางการเงิน
- เข้มงวดการเปิดบัญชีใหม่
- มีระบบข้อมูล Central Fraud Registry (CFR) ระบบแลกเปลี่ยนข้อมูลเส้นทางการเงินของภาคธนาคาร ทุกธนาคารสามารถดูข้อมูลบัญชีต้องสงสัยร่วมกันได้
- พัฒนาระบบ mobile banking ในการป้องกันแอปดูดเงินรูปแบบใหม่ ๆ
- ต้องมีระบบสแกนหน้ายืนยันตัวตน
- โอนเงินยอดสูงต้องสแกนหน้า
- ตรวจจับแจ้งเตือนการอัดหน้าจอ
- ไม่แนบลิงก์ผ่าน SMS
- เปิดศูนย์ AOC 1441 โทรแจ้งอายัติบัญชีม้า
- ร่วมมือกับ Google แจ้งเตือนเมื่อผู้ใช้จะลงแอปนอก store
ฝั่งเครือข่าย
- เรียกผู้ใช้งานมือถือมาลงทะเบียนซิม หากครอบครองเกิน 6 ซิม/เครือข่ายขึ้นไป
- ระงับเบอร์ต้องสงสัย
- โทรออกเกิน 100 ครั้ง/วัน
- มี SMS แจ้งเตือนมิจฉาชีพ
- ทำลายเสาสัญญาณเถื่อน
- ตรวจจับมิจฉาชีพ ที่ใช้เครื่องจำลองสถานีฐาน ส่ง SMS หลอกลวงลูกค้า
- เบอร์ที่ผูก Mobile Banking กับชื่อเจ้าของบัญชีต้องตรงกัน
- 1 มกราคม 2025 นี้ จะมีบังคับลงทะเบียนผู้ส่ง SMS ไปยังโทรศัพท์ต่าง ๆ หากไม่พบข้อมูลผู้ส่ง โอเปอเรเตอร์จะมีการระงับการส่งดังกล่าว
ที่กำลังศึกษาแนวทาง
- กำลังเสนอร่างเข้าสู่ที่ประชุมคณะรัฐมนตรี (ครม.) ปรับแก้ไขเพิ่มโทษใน พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.2566
- เพิ่มบทลงโทษกรณีการซื้อขายข้อมูลส่วนบุคคล จากโทษจำคุก 1 ปี เป็น 5 ปี
- เพิ่มความรับผิดชอบของสถาบันการเงิน ผู้ให้บริการเครือข่าย และผู้ให้บริการสื่อสังคมออนไลน์ หากละเลย ไม่ดูแลระบบ ปล่อยให้มีการหลอกลวง เกิดเป็นผลกระทบสร้างความเสียหายต่อผู้ใช้บริการ
- อยู่ระหว่างการศึกษาไกด์ไลน์ ขอบเขตข้อตกลงกรอบความรับผิดชอบร่วมกัน เหมือนของสิงคโปร์
จริงๆ เรียกว่าบ้านเรา ก็มีการออกมาตรการรับมือกับมิจฉาชีพเยอะเหมือนกันนะ แล้วยังมีช่องข่าว เพจ เว็บไซต์ออกมาเตือนกันทุกวัน แต่มีรายงานผลสำรวจ ASIA Scam Report 2023 พบว่าคนไทย มีผู้เสียหายที่ถูกหลอกทางโทรศัพท์มากที่สุดในเอเชีย ซึ่งก็มีทั้งจับคนร้ายได้และยังจับไม่ได้อีกมาก
สถิติคนไทยโดนหลอกทางออนไลน์ เฉพาะเดือนพฤศจิกายน 2024
โดยสถิติด้านล่างนี้ จะเฉพาะที่นับจากมีคนมาแจ้งความ ยังมีอีกมากที่ไม่ได้ไปแจ้งความ คิดดูว่าความเสียหายจะเยอะขนาดไหน
ที่มา : ธนาคารแห่งประเทศไทย, 2, mas.gov.sg
Comment