ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่สำหรับสถาบันการเงิน เพื่อป้องกันภัยทุจริตการเงินและภัยคุกคามทางไซเบอร์ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น ยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปพลิเคชันของสถาบันการเงินให้เป็นไปอย่างปลอดภัย
การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ
กำหนดให้สถาบันการเงินต้องมีการป้องกันแทนผู้ใช้บริการโดยอย่างน้อยต้องดำเนินการดังต่อไปนี้
งดเว้นการแนบลิงก์ผ่านข้อความสั้น หรือ SMS และช่องทางอีเมล แต่สำหรับกรณีช่องทางโซเชียลมีเดีย ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลยืนยันในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว (OTP) รหัส PIN หมายเลขบัตรประชาชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ หรือการถูกติดตั้ง mobile malware
อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง 3 ช่องทางได้ หากผู้ใช้บริการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก์ได้เป็นรายครั้ง พร้อมทั้งสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์เป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น
มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลงหรือแอบอ้างเป็น Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวโหลดแอปพลิเคชัน (office app strore) เช่น Google Play Store , Apple App Store รวมทั้งมีการะบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอม เพื่อลดความเสี่ยงที่จะถูกหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือติดตั้งแอปพลิเคชันปลอม
จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง 1 บัญชีผู้ใช้งาน หรือ Account ต่อ 1 บริการ Mobile Banking ของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าวโดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น แต่ผู้ใช้บริการยังสามารถมีจำนวนบัญชีได้เท่าที่สามารถเปิดกับธนาคารได้ ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection) ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือปลอมแปลง โดยต้องดำเนินการในกรณีดังต่อไปนี้
-ทำธุรกรรมโอนเงินในแต่ละครั้งมูลค่าตั้งแต่ 50,000 บาทขึ้นไป
-ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก 200,000 บาทใน 1 วัน
-ปรับเพิ่มวงเงินการทำธุรกรรมการโอนให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป
ทั้งนี้ กรณีคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนด โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ เช่น การโอนเงินระหว่างบัญชีตนเอง การโอนเงินประจำอัตโนมัติที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก
กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับการถอนเงินหรือโอนเงินผ่าน Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของผู้ใช้บริการ เพื่อลดความเสี่ยงเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือทุจริต เช่น บุคคลอายุต่ำกว่า 15 ปี กำหนดวงเงินการถอนหรือโอนไม่เกิน 50,000 บาทต่อวัน
อ่านต่อได้ที่
https://www.pptvhd36.com/wealth/economic/242620
กฎใหม่! Mobile Banking จำกัด 1Account/1เครื่อง ยังใช้ได้ทุกบัญชี
การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ
กำหนดให้สถาบันการเงินต้องมีการป้องกันแทนผู้ใช้บริการโดยอย่างน้อยต้องดำเนินการดังต่อไปนี้
งดเว้นการแนบลิงก์ผ่านข้อความสั้น หรือ SMS และช่องทางอีเมล แต่สำหรับกรณีช่องทางโซเชียลมีเดีย ให้สถาบันการเงินงดแนบลิงก์เฉพาะที่มีการขอข้อมูลยืนยันในการยืนยันตัวตน หรือข้อมูลส่วนบุคคล เช่น ชื่อผู้ใช้งาน รหัสผ่าน รหัสใช้ครั้งเดียว (OTP) รหัส PIN หมายเลขบัตรประชาชน วันเดือนปีเกิด เพื่อป้องกันการสวมรอยเป็นสถาบันการเงิน การขอให้เปิดเผยข้อมูลสำคัญ หรือการถูกติดตั้ง mobile malware
อย่างไรก็ดี สถาบันการเงินสามารถแนบลิงก์ผ่านทั้ง 3 ช่องทางได้ หากผู้ใช้บริการร้องขอเอง โดยสถาบันการเงินสามารถแนบลิงก์ได้เป็นรายครั้ง พร้อมทั้งสื่อสารย้ำให้ผู้ใช้บริการทราบว่าการส่งลิงก์เป็นกรณีเฉพาะตามคำร้องขอของผู้ใช้บริการเป็นรายครั้งเท่านั้น
มีกระบวนการติดตามและรับมืออย่างทันการณ์ต่อแอปพลิเคชันที่ปลอมแปลงหรือแอบอ้างเป็น Mobile Banking ในแพลตฟอร์มที่เป็นทางการของผู้ให้บริการดาวโหลดแอปพลิเคชัน (office app strore) เช่น Google Play Store , Apple App Store รวมทั้งมีการะบวนการรับมือและตอบสนองอย่างเหมาะสมและทันการณ์สำหรับแอปพลิเคชันปลอม เพื่อลดความเสี่ยงที่จะถูกหลงเชื่อและเปิดเผยข้อมูลสำคัญ ถูกติดตั้ง malware หรือติดตั้งแอปพลิเคชันปลอม
จำกัดการใช้บริการ Mobile Banking ของผู้ใช้บริการไว้เพียง 1 บัญชีผู้ใช้งาน หรือ Account ต่อ 1 บริการ Mobile Banking ของแต่ละสถาบันการเงิน และจำกัดการใช้บริการดังกล่าวโดยให้ใช้งานบน 1 อุปกรณ์เคลื่อนที่ของผู้ใช้บริการเท่านั้น แต่ผู้ใช้บริการยังสามารถมีจำนวนบัญชีได้เท่าที่สามารถเปิดกับธนาคารได้ ต้องจัดให้มีกระบวนการยืนยันตัวตนผู้ใช้บริการเพิ่มเติมในขั้นตอนการทำธุรกรรมผ่านบริการ Mobile Banking บนอุปกรณ์เคลื่อนที่ โดยใช้เทคโนโลยีเปรียบเทียบใบหน้า (face comparison) ร่วมกับการตรวจจับการปลอมแปลงชีวมิติ (presentation attack detection) ที่สามารถป้องกันการใช้รูปภาพ วิดีโอ หรือปลอมแปลง โดยต้องดำเนินการในกรณีดังต่อไปนี้
-ทำธุรกรรมโอนเงินในแต่ละครั้งมูลค่าตั้งแต่ 50,000 บาทขึ้นไป
-ทำธุรกรรมโอนเงินมูลค่ารวมกัน ครบทุก 200,000 บาทใน 1 วัน
-ปรับเพิ่มวงเงินการทำธุรกรรมการโอนให้สามารถโอนได้ตั้งแต่ 50,000 บาทขึ้นไป
ทั้งนี้ กรณีคนพิการทางสายตา สถาบันการเงินอาจพิจารณางดเว้นการยืนยันตัวตนเพิ่มเติมตามที่กำหนด โดยต้องมีแนวทางลดความเสี่ยงทดแทน หรือกรณีการทำธุรกรรมที่มีความเสี่ยงต่ำ เช่น การโอนเงินระหว่างบัญชีตนเอง การโอนเงินประจำอัตโนมัติที่ได้ยืนยันตัวตนไปแล้วในครั้งแรก
กำหนดเพดานวงเงินสูงสุดต่อวันสำหรับการถอนเงินหรือโอนเงินผ่าน Mobile Banking ให้เหมาะสมกับระดับความเสี่ยงของผู้ใช้บริการ เพื่อลดความเสี่ยงเมื่อผู้ใช้บริการตกเป็นเหยื่อ หรือถูกใช้เป็นเครื่องมือทุจริต เช่น บุคคลอายุต่ำกว่า 15 ปี กำหนดวงเงินการถอนหรือโอนไม่เกิน 50,000 บาทต่อวัน
อ่านต่อได้ที่ https://www.pptvhd36.com/wealth/economic/242620