วันที่ 11 กุมภาพันธ์ 2568 เว็บไซต์ราชกิจจานุเบกษา เผยแพร่ ประกาศธนาคารแห่งประเทศไทย ที่ 4/2568 เรื่อง การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงิน บนอุปกรณ์เคลื่อนที่ สำหรับสถาบันการเงิน

โดยเหตุผลในการออกประกาศฉบับดังกล่าว ระบุว่า ปัจจุบันเทคโนโลยีสารสนเทศ (Information Technology : IT) มีบทบาทสำคัญสำหรับการดำเนินธุรกิจของสถาบันการเงิน โดยเฉพาะการให้บริการทางการเงินและการชำระเงินผ่านแอปพลิเคชันของสถาบันการเงินแก่ผู้ใช้บริการที่เป็นบุคคลธรรมดาบนอุปกรณ์เคลื่อนที่ (บริการ Mobile Banking) ที่มีการใช้งานเพิ่มขึ้นอย่างรวดเร็ว และยังคงขยายตัวอย่างต่อเนื่อง

ขณะเดียวกันการให้บริการ Mobile Banking ก็นำมาซึ่งความเสี่ยงจากภัยคุกคามทางไซเบอร์ (cyber threat) และภัยทุจริตทางการเงิน (fraud) ที่มีการปรับเปลี่ยนรูปแบบและใช้เทคนิควิธีการที่ซับซ้อนมากขึ้น อันอาจสร้างความเสียหายต่อผู้ใช้บริการในวงกว้าง ส่งผลกระทบต่อความน่าเชื่อถือของระบบสถาบันการเงินและระบบการชำระเงินของประเทศ

ธนาคารแห่งประเทศไทย ตระหนักถึงความสำคัญในการป้องกันภัยทุจริตดังกล่าว จึงได้ออกประกาศหลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงินบนอุปกรณ์เคลื่อนที่ เพื่อยกระดับการให้บริการ Mobile Banking ให้มีมาตรฐานขั้นต่ำที่จำเป็นสำหรับการให้บริการทางการเงินและการชำระเงินบนแอปพลิเคชั่นของสถาบันการเงินให้เป็นไปอย่างปลอดภัย เท่าทันความเสี่ยงจากภัยคุกคามทางไซเบอร์และภัยทุจริตทางการเงินที่มีการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

โดยสถาบันการเงินที่ให้บริการ Mobile Banking บนอุปกรณ์เคลื่อนที่มีหน้าที่ต้องติดตามดูแลและปรับปรุงระบบงานและบริการ Mobile Banking ให้มีความมั่นคงปลดภัยตามมาตรฐานสากล เท่าทันภัยคุกคามทางไซเบอร์และภัยทุจริตรูปแบบใหม่ที่มีเทคนิคขับซ้อนขึ้น ครอบคลุมทั้งในส่วนของระบบการให้บริการของสถาบันการเงิน และความมั่นคงปลอดภัยของอุปกรณ์เคลื่อนที่ของผู้ใช้บริการ

ขณะที่ หลักเกณฑ์การรักษาความมั่นคงปลอดภัยของการให้บริการทางการเงินและการชำระเงิน บนอุปกรณ์เคลื่อนที่ ประกอบด้วยมาตรการ 2 ส่วน ได้แก่

(1) การป้องกันการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ (Unauthorized Payment Fraud)

(2) การรักษาความมั่นคงปลอดภัยของบริการ Mobile Banking

สำหรับมาตรการสำคัญที่ธนาคารแห่งประเทศไทยระบุไว้ในประกาศฉบับดังกล่าว เช่น...

*จำกัดการใช้งานโมบายแบงกิ้ง 1 คน 1 เครื่อง

*เพิ่มการยืนยันตัวตนในธุรกรรมที่กำหนด เช่น โอนเงินครั้งละ 50,000 บาทขึ้นไป หรือโอนเงินวันละ 200,000 บาทขึ้นไป

*กำหนดวงเงินสูงสุดต่อวัน ให้เหมาะสมกับระดับความเสี่ยงของผู้ใช้บริการ เช่น ผู้ใช้งานอายุต่ำกว่า 15 ปี กำหนดวงเงินสูงสุดที่ 50,000 บาทต่อวัน

*การรักษาความปลอดภัยของระบบโมบายแบงกิ้ง

ทั้งนี้ ประกาศนี้ให้ใช้บังคับเมื่อพ้นกำหนด 30 วันนับแต่วันถัดจากวันประกาศในราชกิจจานุเบกษา เป็นต้นไป
ยกเว้นกรณีตามข้อ 5.3.2 (3.3) ที่ระบุว่า...

“หลีกเลี่ยงการให้บริการ Mobile Banking ของสถาบันการเงินบนอุปกรณ์เคลื่อนที่ที่ใช้ระบบปฏิบัติการที่หน่วยงานด้านความมั่นคงปลอดภัยที่เป็นที่ยอมรับ เช่น Thailand Banking Sector Computer Emergency Response Team (TB-CERT) กำหนดว่า มีความเสี่ยงต่อการถูกโจมตีทางไซเบอร์ หรือการสวมรอยทำธุรกรรมแทนผู้ใช้บริการ…” ให้บังคับเมื่อพ้นกำหนด 60 วันนับแต่วันถัดจากประกาศในราชกิจจานุเบกษาเป็นต้นไป