ภายหลังจากกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ดำเนินการแก้ไขเพิ่มเติม พ.ร.ก.มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ.2566 ขณะนี้กระทรวงฯ ได้เสนอต่อคณะรัฐมนตรี (ครม.) แล้ว คาดว่าจะมีการประกาศใช้ภายในปี 68
โดยสาระสำคัญในการเปลี่ยนนั้น ได้มีเพิ่มกฎเกณฑ์ด้านความรับผิดชอบของสถาบันการเงิน และผู้ให้บริการเครือข่ายโทรศัพท์ ผู้ให้บริการโทรคมนาคม หรือสื่อสังคมออนไลน์ ในความเสียหายของผู้เสียหายที่ถูกหลอกลวงออนไลน์ด้วย
วันนี้ (28 พ.ย.67) นางสาวดารณี แซ่จู ผู้ช่วยผู้ว่าการ สายกำกับระบบชำระเงินและคุ้มครองผู้ใช้บริการทางการเงิน ธนาคารแห่งประเทศไทย (ธปท.) เปิดเผยกับทีมข่าวเศรษฐกิจเพจอีจัน ว่า จากการดำเนินงานแก้ไขพ.ร.ก.ฯดังกล่าว มองว่าเป็นเรื่องดี ซึ่งจะมีความชัดเจนมากขึ้นว่าหน่วยงานใดต้องรับผิดชอบด้านใดบ้าง
นางสาวดารณีกล่าวว่า สำหรับการแก้กฎหมายที่ให้หลายหน่วยงานต้องรับผิดชอบ กรณีที่ประชาชนถูกหลอกออนไลน์ ซึ่งไม่ได้มีแค่ส่วนของธนาคารที่ต้องรับผิดชอบเท่านั้น มีส่วนผู้ให้บริการโทรคมนาคม หรือสื่อสังคมออนไลน์ รวมถึงประชาชนผู้ใช้บริการต่างๆ ด้วย
โดยหลักการแล้วหากมีการขีดเส้นว่าแต่ละหน่วยงานมีหน้าที่อะไร และถ้าหน่วยงานนั้นๆ ไม่ทำตามหน้าที่ต้องรับผิดชอบ นี่คือความพยายามในการขีดเส้น
เช่น ผู้ให้บริการโทรคมนาคม ต้องดูแลเรื่อง SMS ว่าผู้ส่งข้อความหาผู้ใช้บริการต่างๆ เป็นของปลอม หรือมิจฉาชีหรือไม่ กรณีที่มีการหลอกหลวงโดยการปลอมแอคเคาน์เป็นหน่วยงานราชการ ฯลฯ
ขณะที่ธนาคารมีการออกกฎสำหรับรักษาความปลอดภัย เช่น ธนาคารมีการลงแอปพลิเคชั่นการเงิน 1 บัญชีธนาคารต่อ 1 สมาร์ทโฟน หากธนาคารปล่อยให้มีการลงข้อมูลมากกว่า 1 เครื่อง ถือเป็นความผิดของธนาคาร เพราะปล่อยให้มิจฉาชีพสามารถใช้บัญชีร่วมกับผู้อื่นได้
ดังนั้น วิธีการในหลายแห่งทั่วโลกพยายามออกกฎหมายเพื่อป้องกันการหลอกลวงทางไซเบอร์ เช่น สิงคโปร์ ขีดเส้นว่าธนาคารมีหน้าที่ต้องแจ้งเตือนลูกค้าทุกครั้งที่มีเงินออกจากบัญชี, หากผู้ใช้บริการเปลี่ยนโทรศัพท์มือถือและมีการลงแอปฯทางการเงินใหม่ บังคับให้ไม่มีการใช้งานไป 12 ชั่วโมง รวมถึงธนาคารต้องตรวจสอบการฉ้อโกงแบบเรียลไทม์ เป็นต้น
“จะเห็นว่ามีการกำหนดชัดๆ 2-3 หน้าที่ หากมีการพิสูจน์ว่าแบงก์ไม่ได้ทำ ก็ถือว่าแบงก์บกพร่อง อย่างไรก็ตาม ไม่ใช่ว่าทุกข้อหาจะเป็นความผิดของแบงก์ เมื่อมีการฟ้องร้องสุดท้ายคำตัดสินขึ้นอยู่กับศาลเป็นผู้พิจารณา”นางสาวดารณีกล่าว
นางสาวดารณีกล่าวว่า แต่สิ่งที่เห็นของประเทศอื่นมีกฎบังคับให้รับผิดชอบก็เป็นสิ่งที่ ธปท.ได้กำหนดเกณฑ์ให้ธนาคารภายใต้การกำกับดำเนินการไปหลายประเด็นแล้ว ส่วนใหญ่ธนาคารต้องช่วยดูแลลูกค้าไม่ให้เกิดการให้อำนาจกับผู้อื่น
ขณะเดียวกัน กรณีที่เกิดการโดนหลอกแบบที่ยินยอมโอนให้เอง ประเด็นนี้เป็นเรื่องยาก แต่ส่วนของธนาคารพยายามช่วยไม่ให้เกิดเหตุการณ์ได้อย่างไร
เช่น กฎของสิงคโปร์ หากธนาคารเห็นการเคลื่อนไหวของบัญชีที่มีเงินอยู่ 50,000 เหรียญสหรัฐฯ แล้วถูกถอนเงินเกิน 50% ภายใน 24 ชั่วโมง ให้หยุดบัญชีนั้นทันทีจนกว่าจะสามารถติดต่อลูกค้าได้ วิธีนี้อาจช่วยหยุดความเสียหายได้ระดับหนึ่ง
อย่างไรก็ตาม ของไทยก็มีการพิจารณาบัญชีต้องสงสัย (บัญชีม้า) แบ่งเป็นม้าดำ หรือม้าเทา โดยธนาคารจะปิดกั้นการโอนเงินไว้ แต่สามารถรับเงินโอนเข้าบัญชีดังกล่าวได้ ดังนั้น ตอนนี้ได้ทำการปิดกั้นไว้แล้ว เมื่อฝ่ายที่โอนเงินเข้าจะมีการแจ้งเตือนว่าการดำเนินงานล้มเหลว
กระบวนการนี้อาจจะช่วยเตือนผู้โอนเงินในขั้นตอนแรก หากมิจฉาชีพเจอปัญหาการบล็อกบัญชีดังกล่าว และมีการให้บัญชีใหม่มาแทน อยากให้สันนิษฐานเบื้องต้นว่าเป็นกับดักของมิจฉาชีพ เพื่อหยุดการโอนเงิน และหยุดความเสียหายได้ระดับหนึ่ง
อย่างไรก็ตาม ยืนยันว่าการดำเนินการป้องกันความปลอดภัยไซเบอร์ของสิงคโปร์ เมื่อเทียบกับของไทย ไม่ได้แตกต่างกันมาก เพราะแต่ละกฎเกณฑ์ธนาคารไทยดำเนินการมาบ้างแล้ว เหลือเพียงข้อที่ปิดกั้นบัญชีโอนเงินเกิน 50% ภายใน 24 ชั่วโมง แม้บางธนาคารได้ทำแล้ว แต่ ธปท.ต้องดูมาตรฐาน เพื่อกำหนดการทำงานเป็นระบบเดียวกัน
“ถ้าเรื่องผู้เสียหายโดยหลอกแล้วโอนเองแล้วบอกเป็นความรับผิดชอบของแบงก์ก็เป็นเรื่องยาก เพราะถ้าเป็นแบบนั้น แบงก์อาจจะยกเลิกให้บริการทางการเงิน ดังนั้น ผู้ใช้บริการต้องปกป้องตนเองด้วย”นางสาวดารณีกล่าว