ธปท. กำหนดมาตรฐานของภาคธนาคารในการร่วมรับผิดชอบตาม พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี

ข่าว ธปท. ​ฉบับที่ 15/2568 | 28 เมษายน 2568

นางรุ่ง มัลลิกะมาส รองผู้ว่าการ ด้านเสถียรภาพสถาบันการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยว่า ตามที่พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2) พ.ศ. 2568 (พระราชกำหนดฯ) มีผลบังคับใช้ตั้งแต่วันที่ 13 เมษายน 2568 ที่ผ่านมานั้น ธปท. สนับสนุนหลักการของพระราชกำหนดฯ และได้ร่วมมือกับหน่วยงานที่เกี่ยวข้องอย่างต่อเนื่องในการเสนอความเห็นและปรับปรุงเนื้อหาในพระราชกำหนดฯ เพื่อยกระดับมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีให้มีประสิทธิภาพมากขึ้น

ธปท.คาดหวังให้สถาบันการเงินและผู้ประกอบธุรกิจ e-money ปฏิบัติตามบรรทัดฐานที่กำหนด หากไม่สามารถทำได้เป็นเหตุให้ประชาชนได้รับความเสียหาย ก็ต้องมีส่วนรับผิดชอบด้วย

หนึ่งในประเด็นสำคัญของพระราชกำหนดฯ คือ การกำหนดให้สถาบันการเงิน (สง.) ผู้ประกอบธุรกิจบริการการชำระเงิน ผู้ให้บริการโทรคมนาคม ผู้ให้บริการสื่อสังคมออนไลน์ และผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล ยกระดับการดูแลลูกค้า และมีส่วนร่วมรับผิดชอบในความเสียหายหากละเลยการปฏิบัติตามมาตรฐานที่หน่วยงานกำกับดูแลกำหนดจนเป็นเหตุให้ลูกค้าเกิดความเสียหาย

 

ทั้งนี้ ภายในต้นเดือนพฤษภาคม 2568 ธปท. จะออกประกาศเพื่อกำหนดมาตรฐานสำหรับ สง. (ธนาคารพาณิชย์และสถาบันการเงินเฉพาะกิจ) และผู้ประกอบธุรกิจบริการการชำระเงินที่ได้รับใบอนุญาตประเภทการให้บริการเงินอิเล็กทรอนิกส์ ซึ่งหาก สง. และผู้ประกอบธุรกิจฯ ข้างต้นละเลยการปฏิบัติตามมาตรฐานที่กำหนด จะต้องมีส่วนร่วมรับผิดชอบในความเสียหายแก่ลูกค้า สรุปสาระสำคัญของมาตรฐานที่ต้องดำเนินการ ดังนี้
 

1. การป้องกันการสวมรอยเปิดบัญชีและการสวมรอยใช้งาน mobile banking สง. ต้องดำเนินการดังนี้

(1) ไม่แนบลิงก์ที่เป็นเหตุให้เกิดความเสียหายผ่าน SMS และอีเมล

(2) ลูกค้าสามารถใช้บริการ mobile banking ของแต่ละ สง. ได้เพียง 1 ชื่อบัญชีผู้ใช้งาน และใช้ได้กับ 1 อุปกรณ์เคลื่อนที่เท่านั้น

(3) มีกระบวนการยืนยันตัวตนในการทำธุรกรรมที่มีความเสี่ยงผ่าน mobile banking โดยใช้เทคโนโลยีเปรียบเทียบใบหน้าและการตรวจจับการปลอมแปลงชีวมิติ สำหรับการทำธุรกรรมโอนเงินที่มีมูลค่าตั้งแต่ 50,000 บาทขึ้นไป หรือการทำธุรกรรมโอนเงินมูลค่ารวมกันครบทุก 200,000 บาทใน 1 วัน หรือการปรับเพิ่มวงเงินการทำธุรกรรมโอนเงินต่อวัน

(4) ตรวจสอบการเปลี่ยนแปลงแอปพลิเคชันของ สง. ทุกครั้งที่ผู้ใช้บริการเข้าใช้งาน และไม่อนุญาตให้ใช้งานแอปพลิเคชันที่ถูกเปลี่ยนแปลง

(5) ไม่อนุญาตให้แอปพลิเคชันของ สง. ทำงานบนอุปกรณ์เคลื่อนที่ในขณะที่มีแอปพลิเคชันอื่นที่มีพฤติกรรมเสี่ยง เช่น แอปพลิเคชันที่ควบคุมอุปกรณ์เคลื่อนที่จากระยะไกลแอปพลิเคชันที่ปิดบังหรือขโมยข้อมูลบนหน้าจอ

2. การจำกัดความเสียหายและจัดการบัญชีม้า
สง. ต้องดำเนินการดังนี้

(1) แจ้งเตือนการทำธุรกรรมทุกครั้ง เมื่อมีการโอนเงินออกจากบัญชี ผ่านช่องทางใดช่องทางหนึ่ง เช่น mobile banking, LINE, SMS, อีเมล โดยไม่เรียกเก็บค่าใช้จ่าย

(2) ระงับการทำธุรกรรมและนำส่งข้อมูลตามแนวทางที่ศูนย์ปฏิบัติการเพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ศปอท.) กำหนด ภายใต้อำนาจหน้าที่ที่พระราชกำหนดฯ กำหนดไว้

(3) เมื่อได้รับรายชื่อบุคคลที่เป็นเจ้าของบัญชีม้าดำ[1] จากสำนักงานป้องกันและปราบปรามการฟอกเงิน (ปปง.) หรือรายชื่อบุคคลที่เป็นเจ้าของบัญชีม้าเทาเข้ม[2] หรือเทาอ่อน[3] จากระบบ Central Fraud Registry (CFR) ให้ดำเนินการสอดคล้องกับระดับความเสี่ยง เช่น ระงับเงินเข้าและออกทุกบัญชีของบุคคลที่เป็นเจ้าของบัญชีม้า รวมทั้งปฏิเสธการเปิดบัญชีใหม่กับบุคคลที่เป็นเจ้าของบัญชีม้า

 

3. กระบวนการรับแจ้งเหตุภัยทุจริตดิจิทัลที่รวดเร็ว สง. ต้องจัดให้มีช่องทางติดต่อเร่งด่วน (hotline) ทางโทรศัพท์ หรือวิธีการทางอิเล็กทรอนิกส์ที่ผู้เสียหายสามารถติดต่อเจ้าหน้าที่ของ สง. ทั้งในและนอกเวลาทำการ

ธปท. จะออกประกาศ Shared Responsibility สำหรับสถาบันการเงินและผู้ประกอบธุรกิจ e-money เพื่อกำหนดหน้าที่ความรับผิดชอบของผู้ให้บริการตาม พ.ร.ก. มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.2568 ภายในต้นเดือนพฤษภาคม 2568

ทั้งนี้ การแก้ไขปัญหาภัยทุจริตทางการเงินอย่างยั่งยืน ต้องอาศัยความร่วมมือจากทุกฝ่ายที่จะต้องรับผิดชอบในส่วนของตนเอง แม้พระราชกำหนดฯ จะระบุให้ผู้ให้บริการต้องมีส่วนร่วมรับผิดชอบหากไม่ทำตามมาตรฐานที่ผู้กำกับดูแลกำหนด  ธปท. ขอให้ประชาชนใช้ความระมัดระวังในการใช้บริการทางการเงิน เช่น ไม่กดลิงก์ที่ไม่รู้จัก ระวังการรับสายแอบอ้าง และตรวจสอบการทำธุรกรรมให้รอบคอบ เพื่อไม่ให้ตกเป็นผู้เสียหายจากอาชญากรรมทางเทคโนโลยี

 

ธนาคารแห่งประเทศไทย

28 เมษายน 2568

 


(1) บัญชีของบุคคลที่เข้าข่ายการกระทำความผิดตามฐานข้อมูลสำนักงาน ปปง.

(2) บัญชีของบุคคลที่เกี่ยวข้องในเส้นทางการเงินทุจริตและถูกแจ้งความ

(3) บัญชีของบุคคลที่มีส่วนเกี่ยวข้องในเส้นทางการเงินทุจริต

คำถาม-คำตอบ

  • พ.ร.ก. ฉบับที่ 2 ปรับปรุงและเพิ่มเติมประเด็นสำคัญ ได้แก่

(1) กำหนดให้ผู้ให้บริการเครือข่ายโทรศัพท์ (Telco) มีหน้าที่ตรวจสอบและคัดกรองเนื้อหา SMS ที่อาจเกี่ยวข้องกับอาชญากรรมทางเทคโนโลยี และระงับการให้บริการเมื่อได้รับแจ้งจากตำรวจหรือสำนักงาน ปปง. ว่ามีการใช้บริการผิดกฎหมาย

(2) กำหนดให้ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล (Digital Asset - DA) นอกประเทศที่ให้บริการลูกค้าในไทยต้องขออนุญาต และกำหนดให้ผู้ประกอบธุรกิจ DA มีหน้าที่เช่นเดียวกับ สง. เช่น แลกเปลี่ยนข้อมูล ระงับธุรกรรม คืนเงินผู้เสียหาย ร่วมรับผิดชอบความเสียหาย

(3) จัดตั้งศูนย์ปฏิบัติการเพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี (ศปอท.) ยกระดับการทำหน้าที่ของศูนย์ AOC เพื่อรวมศูนย์การจัดการอย่างเบ็ดเสร็จ (เช่น รับแจ้งเหตุ ระงับธุรกรรม แลกเปลี่ยนข้อมูล ประกาศ/ปลดรายชื่อบุคคล)

(4) กำหนดให้สำนักงาน ปปง. สามารถคืนเงินให้ผู้เสียหายได้ โดยไม่ต้องขึ้นศาล หากตรวจสอบได้ว่าเงินที่อายัดไว้เป็นเงินของผู้เสียหายจริง

(5) กำหนดกลไกการมีส่วนร่วมรับผิดชอบ (Shared Responsibility) โดยกำหนดให้สถาบันการเงิน / ผู้ประกอบธุรกิจบริการการชำระเงิน (เช่น e-money) / ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล / Telco / ผู้ให้บริการสื่อสังคมออนไลน์ (Social Media) มีส่วนร่วมรับผิดชอบในความเสียหายที่เกิดขึ้นจากอาชญากรรมทางเทคโนโลยี เว้นแต่จะพิสูจน์ได้ว่าได้ปฏิบัติตามมาตรฐานหรือมาตรการเพื่อป้องกันอาชญากรรมทางเทคโนโลยีที่กำหนดโดยผู้กำกับดูแล

  • พ.ร.ก. ฉบับใหม่ใช้กับเหตุการณ์ความเสียหายที่เกิดขึ้นตั้งแต่วันที่ 13 เมษายน 2568 (วันที่ พ.ร.ก. มีผลบังคับใช้) เป็นต้นไป

 

 

  • พ.ร.ก. กำหนดให้สถาบันการเงิน / ผู้ประกอบธุรกิจบริการการชำระเงิน (เช่น e-money) / ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล / Telco / ผู้ให้บริการสื่อสังคมออนไลน์ (Social Media) มีส่วนร่วมรับผิดชอบในความเสียหายที่เกิดขึ้นจากอาชญากรรมทางเทคโนโลยี เว้นแต่จะพิสูจน์ได้ว่าได้ปฏิบัติตามมาตรฐานหรือมาตรการเพื่อป้องกันอาชญากรรมทางเทคโนโลยีที่กำหนดโดยผู้กำกับดูแล
  • ธปท. ได้กำหนดหน้าที่และความรับผิดชอบเพื่อเป็นมาตรฐานให้สถาบันการเงินและผู้ประกอบธุรกิจบริการการชำระเงินถือปฏิบัติ โดยครอบคลุมทั้งกรณีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (unauthorized payment fraud) และกรณีการหลอกลวงให้ผู้ใช้บริการทำธุรกรรมด้วยตัวเอง (authorized payment fraud) โดยสถาบันการเงินจะมีส่วนรับผิดชอบความเสียหายเฉพาะกรณีที่ความเสียหายนั้นเกิดจากการที่สถาบันการเงินไม่ปฏิบัติตามมาตรฐานที่ ธปท. กำหนด
  • แม้ว่า พ.ร.ก. จะกำหนดให้ผู้ให้บริการต้องมีส่วนร่วมรับผิดชอบในความเสียหายของลูกค้าหากไม่ทำตามมาตรฐานที่ผู้กำกับดูแลกำหนด ประชาชนก็ต้องใช้บริการทางการเงินด้วยความระมัดระวัง รวมทั้งปฏิบัติตามคำแนะนำในการรักษาความปลอดภัย ไม่กดลิงค์ที่ไม่รู้จัก และตรวจสอบข้อมูลการทำธุรกรรมอย่างถี่ถ้วน เพื่อไม่ให้ตกเป็นผู้เสียหายจากอาชญากรรมทางเทคโนโลยี

มาตรฐานที่ ธปท. กำหนดให้สถาบันการเงินและผู้ประกอบธุรกิจบริการการชำระเงินปฏิบัติ มีความสอดคล้องกับมาตรฐานของธนาคารกลางชั้นนำในต่างประเทศ โดยปรับให้เหมาะสมกับบริบทไทย

  • ภายใต้ พ.ร.ก. ฉบับใหม่ ได้กำหนดความรับผิดชอบและกระบวนการชัดเจนมากขึ้น ซึ่งคาดว่าจะช่วยให้ประชาชนได้รับเงินคืนเร็วขึ้น 
  • ในกรณีเกิดความเสียหายขึ้น พ.ร.ก. ได้กำหนดแนวทางการคืนเงินที่ชัดเจนมากขึ้น โดยเงินส่วนที่สามารถกักไว้ได้ทัน จะเข้าสู่กระบวนการพิสูจน์ความเป็นเจ้าของและพิจารณาคืนเงินโดยสำนักงาน ปปง. ขณะที่เงินส่วนที่ไม่สามารถกักไว้ได้ จะเข้าสู่กระบวนการพิจารณาความมีส่วนร่วมรับผิดชอบของศาลต่อไป

ติดต่อ AOC (ศปอท.) หมายเลขโทรศัพท์ 1441 เพื่อแจ้งความกับตำรวจ และให้สถาบันการเงินของบัญชีปลายทางระงับการใช้บัญชีดังกล่าว หากประชาชนรู้ตัวและแจ้งเหตุได้เร็ว จะเพิ่มโอกาสที่จะสามารถกักเงินไว้ได้ทัน เพื่อเข้าสู่กระบวนการคืนเงินของ ปปง. ต่อไป

Tag ที่เกี่ยวข้อง

ภัยทางการเงิน บัญชีม้า