สิงคโปร์ให้สถาบันการเงิน ธุรกิจโทรคมนาคมรับผิดชอบร่วมกันในกรณีลูกค้าถูกหลอกลวงผ่านช่องทางการใช้งานอินเทอร์เน็ต โดยหลักเกณฑ์ใหม่จะมีผลในวันที่ 16 ธันวาคม 2567
หน่วยงานกำกับดูแลภาคการเงินของสิงคโปร์ (Monetary Authority of Singapore-MAS) และ Infocomm Media Development Authority of Singapore (IMDA) ได้ประกาศในวัน 24 ตุลาคม 2567 ว่า จะนำกรอบความรับผิดชอบร่วมกันหรือ Shared Responsibility Framework (SRF) สำหรับการหลอกลวงผ่านช่องทางการใช้งานอินเทอร์เน็ตของผู้ใช้ทั่วไป (phishing scams) มาใช้ในวันที่ 16 ธันวาคม 2567
MAS และ IMDA ได้ประกาศ SRF ซึ่งกำหนดหน้าที่ที่เกี่ยวข้องกับสถาบันการเงิน (FIs) และบริษัทโทรคมนาคม (Telcos) เพื่อลดการหลอกลวงแบบฟิชชิง และกำหนดแนวทางที่สถาบันการเงินและบริษัทโทรคมนาคม อาจต้องร่วมกันในการจ่ายเงินให้กับเหยื่อที่สูญเสียจากการหลอกลวงแบบฟิชชิง หากองค์กรเหล่านี้ล้มเหลวในการปฏิบัติหน้าที่
โดยธนาคารจะต้องบล็อกหรือระงับธุรกรรมที่น่าสงสัยซึ่งมีมูลค่ามากกว่า 25,000 ดอลลาร์เป็นเวลา 24 ชั่วโมง
การกำหนดให้ระงับธุรกรรมนี้ เป็นส่วนหนึ่งของการเฝ้าระวังการหลอกลวงแบบเรียลไทม์ของธนาคาร เพื่อลดกรณีที่เงินจำนวนมากของลูกค้าถูกดูดออกจากบัญชีอย่างรวดเร็วโดยที่ไม่รู้ตัว โดยบัญชีใดบัญชีหนึ่งจะถือว่าเงินหมดอย่างรวดเร็ว หากมีการโอนยอดคงเหลือที่มีจำนวนอย่างน้อย 50,000 ดอลลาร์ออกไปโดยรวมมากกว่าครึ่งหนึ่งภายในหนึ่งวัน
ข้อกำหนดนี้เป็นหนึ่งในมาตรการที่เพิ่งประกาศ เพื่อรับมือกับการหลอกลวงแบบฟิชชิง ที่อาจกระทบความเชื่อมั่นในระบบธนาคารและการชำระเงินดิจิทัลของสิงคโปร์
กรอบความรับผิดชอบร่วมกันเป็นมาตรการเพิ่มเติมจากแนวปฏิบัติเดิมที่มีอยู่แล้ว ซึ่งรับมือกับการหลอกลวง ตัวอย่างเช่น ธนาคารที่ให้บริการรายย่อยส่วนใหญ่ได้จำกัดการเข้าถึงแอป หากลูกค้าดาวน์โหลดแอปจากผู้ติดตั้งที่ไม่น่าเชื่อถือ หรือแอปที่มีการตั้งค่าการอนุญาตที่มีความเสี่ยง เพื่อรับมือการหลอกลวงที่เกี่ยวข้องกับมัลแวร์
โดยมีจุดมุ่งหมายเพื่อลดความยุ่งยากของผู้บริโภคเมื่อต้องการการเงินคืน ในปัจจุบัน ความรับผิดชอบอยู่ที่ผู้บริโภคที่จะต้องพิสูจน์ว่าการสูญเสียที่เกิดขึ้นไม่ได้เกิดจากความประมาทเลินเล่อของผู้บริโภค
โดยรวมแล้ว ธนาคารจะต้องปฏิบัติตามหน้าที่หลัก 5 ข้อ และบริษัทโทรคมนาคมมีหน้าที่หลัก 3 ข้อภายใต้ SRF หากทั้งสถาบันการเงินและบริษัทโทรคมนาคมได้ดำเนินการสิ่งที่ต้องทำภายใต้กรอบนี้แล้ว ผู้บริโภคจะต้องรับความสูญเสียทั้งหมด
“ด้วยการเพิ่มหน้าที่เฝ้าระวังการหลอกลวงใหม่ ลูกค้ารายย่อยบางรายอาจมีความไม่สะดวกมากขึ้นเมื่อทำธุรกรรมที่มีมูลค่ามากขึ้น” โฮ เฮิร์นชิน รองกรรมการผู้จัดการฝ่ายกำกับดูแลทางการเงินของ MAS กล่าว “รายละเอียดปลีกย่อยเพิ่มเติมนี้มีความจำเป็นเพื่อปกป้องลูกค้าจากธุรกรรมขนาดใหญ่ที่ไม่ได้รับอนุญาต”
การสรุปกรอบความร่วมมือมีขึ้นในช่วงสิ้นปี 2566 หลังจากเปิดรับฟังความเห็นไปได้สองเดือนนับตั้งแต่วันที่ 25 ตุลาคม 2566 และหลังจาดกที่ MAS และ IMDA ผลักดันมาเกือบหนึ่งปี
อย่างไรก็ตาม กรอบนี้ไม่ได้เป็นกรอบการคืนเงินครอบคลุมการหลอกลวงที่จับได้ทั้งหมด ตัวอย่างเช่น ไม่ได้ให้ความคุ้มครองในกรณีการโอนเงินที่เกิดจากหลอกให้ลงทุนหรือการหลอกให้รัก หรือการทำธุรกรรมทุจริตเนื่องจากการเจาะระบบ (hack) การขโมยข้อมูลประจำตัว หรือการดาวน์โหลดมัลแวร์
ขอบเขตของ SRF นั้นจำกัดอยู่ที่การหลอกลวงแบบฟิชชิงบนแพลตฟอร์มดิจิทัล เช่น เว็บไซต์ปลอมที่เข้าถึงผ่านลิงก์ ซึ่งเหยื่อจะถูกหลอกให้ป้อนรายละเอียดบัญชีของตนเอง องค์กรที่ถูกแอบอ้างจะต้องอยู่ในสิงคโปร์ หรือได้ให้บริการแก่ผู้อยู่อาศัยในสิงคโปร์แล้ว
ตัวอย่างเช่น กรณีที่มิจฉาชีพแอบอ้างว่ามาจากหน่วยงานที่ถูกต้องตามกฎหมาย เช่น Singapore Post หรือ DHL และส่งอีเมลหรือ SMS ที่อ้างว่ามีปัญหาเกี่ยวกับบัญชี เพื่อหลอกให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์ปลอมเพื่อเข้าถึงรายละเอียดบัญชีของพวกเขา รวมถึงกรณีที่มิจฉาชีพอ้างว่ามาจากสถาบันการเงินเพื่อนำเสนอผลิตภัณฑ์ เช่น อัตราดอกเบี้ยสูงสำหรับเงินฝากประจำและโทรศัพท์มือถือฟรี เพื่อหลอกให้เหยื่อคลิกลิงก์ไปยังเว็บไซต์ปลอมเพื่อป้อนข้อมูลบัญชีที่ถูกต้อง
SRF กำหนดกระบวนการในการพิจารณาการจ่ายเงินที่สูญเสียจากการหลอกลวง โดยการตรวจสอบในขั้นแรกว่า ผู้ให้บริการทางการเงินและโทรคมนาคมได้ปฏิบัติตามหน้าที่ของตนแล้วหรือไม่ สิงคโปร์อาจเป็นประเทศแรกที่รวมบริษัทโทรคมนาคมไว้ในกรอบการชำระเงินคืนจากการหลอกลวง
MAS และ IMDA กล่าวว่า ธนาคารและผู้ให้บริการชำระเงินเป็นผู้ดูแลเงินของผู้บริโภค และมีบทบาทสำคัญในฐานะผู้ดูแลเงินที่ถูกยักยอกโดยมิจฉาชีพ ขณะที่บริษัทโทรคมนาคมเป็นผู้ให้บริการโครงสร้างพื้นฐานสำหรับข้อความ SMS ที่ธนาคารมักใช้เพื่อสื่อสารกับผู้บริโภค
กลุ่มแรกที่ต้องรับผิดชอบในการตรวจสอบคือธนาคาร เช่น DBS Bank, UOB, OCBC Bank และ Citibank และผู้ให้บริการการชำระเงินที่ให้บริการกระเป๋าเงินอิเล็กทรอนิกส์ เช่น Grab, YouTrip และ Revolut หากการทำหน้าที่ด้านใดๆล้มเหลว ก็จะต้องรับผิดต่อความสูญเสียอย่างเต็มที่
หน้าที่อื่นๆ ของธนาคาร ได้แก่ การกำหนดระยะเวลาตรวจสอบ 12 ชั่วโมง เพื่อป้องกันไม่ให้เงินจำนวนมากถูกโอนจากบัญชีไปยังบุคคลที่สาม หากมิจฉาชีพได้หลอกเอาข้อมูลประจำตัวของลูกค้าไป และเปิดใช้งานโทเคนความปลอดภัยดิจิทัล ระยะเวลาตรวจสอบ 12 ชั่วโมงจะมีผลกับการเข้าสู่ระบบ e-wallet เช่น Grab บนอุปกรณ์ใหม่
ธนาคารและผู้ให้บริการชำระเงิน ต้องส่งการแจ้งเตือนแบบเรียลไทม์ไปยังผู้บริโภคสำหรับกิจกรรมที่มีความเสี่ยงสูง รวมถึงการเปลี่ยนแปลงรายละเอียดการติดต่อบัญชี การเพิ่มเพดานวงเงินการทำธุรกรรม และการเพิ่มผู้รับเงินใหม่ หรือเมื่อมีการเข้าสู่ระบบกระเป๋าเงินอิเล็กทรอนิกส์บนอุปกรณ์ใหม่
กลุ่มต่อมาที่ต้องตรวจสอบคือบริษัทโทรคมนาคมในประเทศ 4 แห่ง ได้แก่ Singtel, StarHub, M1 และ Simba Telecom หากธนาคารได้ปฏิบัติหน้าที่ครบถ้วนแล้ว บริษัทโทรคมนาคมจะต้องรับผิดชอบค่าเสียหายทั้งหมดหากไม่ปฏิบัติตามหน้าที่เลย
บริษัทโทรคมนาคม ควรลดความเสี่ยงที่ SMS หลอกลวงจะถูกส่งไปยังผู้บริโภค โดยการใช้ตัวกรองป้องกันการหลอกลวงบนเครือข่ายของพวกเขา และบล็อกผู้ที่รู้ว่าเป็นลิงก์ฟิชชิงภายใต้ SRF นอกจากนี้ ผู้ให้บริการโทรคมนาคมสามารถส่ง SMS ดังกล่าวไปยังสมาชิกได้ก็ต่อเมื่อ SMS นั้นมาจากผู้รวบรวม SMS ที่ได้รับอนุญาต ซึ่งทำเพื่อธุรกิจที่ต้องการส่ง SMS จำนวนมาก การไม่ปฏิบัติตามมาตรการเหล่านี้อาจทำให้ต้องรับผิดชอบต่อความสูญเสีย
แต่หากบริษัทโทรคมนาคมปฏิบัติหน้าที่อย่างถูกต้อง ก็ไม่จำเป็นต้องชดใช้เหยื่อฟิชชิง ในกรณีนี้ผู้บริโภคจะต้องแบกรับความสูญเสียทั้งหมด และสามารถยื่นเรื่องร้องเรียนที่ศูนย์ระงับข้อพิพาทในอุตสาหกรรมการเงิน (Financial Industry Disputes Resolution Centre)
เหยื่อที่ถูกหลอกสูญเสียสูงสุดเป็นประวัติการณ์มากกว่า 385.6 ล้านดอลลาร์ในช่วงหกเดือนแรกของปี 2567 สาเหตุหลักมาจากการหลอกลวงผ่านอีคอมเมิร์ซ การหลอกเรื่องงาน และการหลอกแบบฟิชชิง หากแนวโน้มหารหลอกลวงยังมีต่อเนื่อง ความสูญเสียจากการหลอกลวงอาจเกิน 770 ล้านดอลลาร์ภายในสิ้นปี 2567 จาก 660.7 ล้านดอลลาร์ในปี 2565
ไอลีน เจีย รองผู้บริหารระดับสูงของ IMDA (การพัฒนาการเชื่อมต่อและการกำกับดูแล) กล่าวว่า หน่วยงานได้ทำงานอย่างใกล้ชิดกับบริษัทโทรคมนาคมเพื่อรักษาความปลอดภัยช่องทาง SMS ซึ่งเป็นช่องทางอย่างเป็นทางการที่ธนาคารนำมาใช้สำหรับธนาคารดิจิทัล
การลงทะเบียนรหัสผู้ส่ง (SMS Sender ID Registry-SSIR) และตัวกรองป้องกันการหลอกลวงส่งผลให้มีการบล็อก SMS มากกว่า 20 ล้านครั้งตั้งแต่ปี 2566
การลงทะเบียนมีวัตถุประสงค์เพื่อรับมือกับการปลอม SMS โดยมิจฉาชีพที่หลอกลวงด้วยการใช้ชื่อผู้ส่ง SMS ปลอมในข้อความของพวกเขา
บริษัทโทรคมนาคมทั้ง 4 แห่งระบุในแถลงการณ์ร่วมเมื่อวันที่ 24 ตุลาคมว่า บริษัทได้ปฏิบัติตามหน้าที่ที่กำหนดไว้ใน SRF แล้ว และยังปฏิบัติตามมาตรการป้องกันการหลอกลวงอื่นๆ เช่น มาตรการที่ควบคุมการลงทะเบียนซิมการ์ด และการอนุญาตให้สมาชิกบล็อกการโทรระหว่างประเทศและ SMS
“นอกเหนือจาก SRF แล้ว ธนาคารยังมีกรอบพิจารณาการดำเนินการ เพื่อช่วยเหลือเหยื่อที่ถูกหลอกลวง” ออง-อัง ไอ บูน ผู้อำนวยการสมาคมธนาคารในสิงคโปร์กล่าว
“การชดใช้ดังกล่าวจะได้รับการพิจารณาเป็นรายกรณี โดยคำนึงถึงสถานการณ์โดยรวมของแต่ละกรณี” ออง-อัง ไอ บูน กล่าวโดยชี้ว่า ปัจจัยที่พิจารณานั้นรวมถึงความซับซ้อนของการหลอกลวงและสถานการณ์ทางการเงินของเหยื่อ “ในกรณีที่การหลอกลวงอยู่นอกเหนือการควบคุมหรือความรับผิดชอบของลูกค้าโดยสิ้นเชิง ธนาคารจะพิจารณาจ่ายเงินให้เต็มจำนวนที่สูญเสียไป”
เพื่อกระชับการควบคุมการหลอกลวงแบบฟิชชิง MAS ยังศึกษาโซลูชันการตรวจสอบผู้ใช้งานที่เข้มงวดขึ้น เช่น การใช้โทเคนที่สอดคล้องกับ Fast IDentity Online สำหรับการยืนยันตัวตนของผู้ใช้ออนไลน์ ซึ่งจะใช้งานได้เฉพาะเมื่ออยู่ใกล้กับอุปกรณ์ที่ใช้ในการทำธุรกรรม
ประเทศอย่างออสเตรเลียก็พิจารณาแผนการร่วมรับผิดชอบการสูญเสีย ซึ่งเป็นผลจากการหลอกลวงที่ใกล้เคียงกัน คณะกรรมาธิการยุโรปได้เสนอการคืนเงินให้กับผู้ที่ตกเป็นเหยื่อของการหลอกลวงบางประเภท ในขณะที่สหราชอาณาจักรกำลังวางแผนที่จะบังคับใช้การชำระเงินคืนภาคบังคับโดยธนาคาร ให้กับเหยื่อที่ถูกหลอกในมูลค่าสูงถึง 1 ล้านปอนด์ (1.7 ล้านดอลลาร์สิงคโปร์) โดยธนาคารผู้ส่งและรับเงินจะต้องร่วมกันจ่ายเงิน
ข่าวหรือบทความที่เกี่ยวข้อง
