ถอดรหัสแก้กฎหมายอาชญากรรมไซเบอร์ บีบ “แบงก์-ค่ายมือถือ” ร่วมรับผิดชอบ เพิ่มโทษปรับ-จ่ายชดเชยเต็มจำนวน โทษปรับกรรมการ-เจ้าหน้าที่องค์กร “ทรู-แบงก์” เผยมีการป้องกันความปลอดภัยให้ลูกค้าอยู่แล้ว เคแบงก์ย้ำต้องพิสูจน์ความผิดพลาดให้ชัดกรณีถูกหลอกลวง

จากนโยบายนายประเสริฐ จันทรรวงทอง รองนายกรัฐมนตรีและรัฐมนตรีว่าการกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม (ดีอี) ประกาศจะเร่งแก้ไขเพิ่มเติม พระราชกำหนดมาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 ได้ผ่านขั้นตอนสำนักงานคณะกรรมการกฤษฎีกา และเตรียมเสนอคณะรัฐมนตรี (ครม.) พิจารณาภายในเดือนมกราคม 2568

ขั้นตอนอีกนาน

นายประเสริฐขยายความขั้นตอนว่า หาก ร่าง พ.ร.ก.ผ่าน ครม.สามารถใช้เป็นกฎกระทรวงได้ชั่วคราวก่อน จากนั้นจะต้องนำไปสู่กระบวนการยกระดับเป็นพระราชบัญญัติ เพื่อให้มีการบังคับใช้เป็นการถาวร โดยจะต้องหารือกับหน่วยที่เกี่ยวข้อง และกระบวนการของฝ่ายนิติบัญญัติ ซึ่งใช้เวลานานพอสมควร

ผู้สื่อข่าว “ประชาชาติธุรกิจ” รายงานว่า ส่วนประเด็นที่ถูกจับตาในขณะนี้คือ การเพิ่มความรับผิดชอบของสถาบันการเงินและค่ายมือถือจะเป็นไปได้มากน้อยแค่ไหน อย่างไร กรณีต้องร่วมกันชดใช้ความเสียหาย ในฐานะผู้เป็น “ต้นทาง” ของกระบวนการอาชญากรรมออนไลน์ เพราะเป็นผู้ให้ใช้สัญญาณอินเทอร์เน็ต และผู้ให้ใช้บัญชีธนาคาร

เนื่องจากกรอบความเสียหายพบว่า ปี 2567 ประชาชนสูญเสียเงินให้โจรไซเบอร์เฉลี่ยวันละ 100 ล้านบาท ก่อนลดลงเหลือวันละ 80 ล้านบาทในครึ่งปีหลัง หากจำแนกประเภทรายคดี การหลอกลงทุน แม้จำนวนคดีจะน้อย แต่ยอดเงินที่สูญเสียกลับมากที่สุด

ขณะที่สถิติรายเดือนคดีความไซเบอร์เสียหายมูลค่าหลายพันล้านบาท หากผลักดันให้ร่วมกันรับผิดชอบและชดใช้ ผู้เสียหายอาจได้เงินคืนบ้าง แต่จะมีผลกระทบต่อการดำเนินธุรกิจของผู้ร่วมชดใช้อย่างมีนัยสำคัญ

ดังนั้น ร่าง พ.ร.ก.อาชญากรรมไซเบอร์ ฉบับรับฟังความเห็น จึงมีส่วนสำคัญตามขั้นตอน

ขยายผู้กระทำผิด

อย่างไรก็ตาม การแก้ไขกฎหมายครั้งนี้ไม่ได้หมายถึงสถาบันการเงินและค่ายมือถือเท่านั้น แต่จะครอบคลุมธุรกรรมอิเล็กทรอนิกส์ทที่เกี่ยวข้องกับอาชญากรรมไซเบอร์ ที่หมายรวมถึงแพลตฟอร์มดิจิทัลด้วย

จากเดิม พ.ร.ก.อาชญากรรมไซเบอร์ ระบุให้สถาบันการเงินระงับธุรกรรมต้องสงสัย 7 วัน โดยไม่ต้องรอให้ตำรวจและหน่วยงานกฎหมายพิจารณา เพื่อให้ทันต่อการแจ้งความของผู้เสียหาย และยื้อเวลาในการติดตามเงิน

ทั้งให้อำนาจฝ่ายกำกับดูแลสถาบันการเงิน และฝ่ายโทรคมนาคม แลกเปลี่ยนข้อมูลธุรกรรมกัน เพื่อป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี ในกรณีที่มีเหตุอันควรสงสัยว่ามีหรืออาจมีการกระทำความผิด (มาตรา 4)

แต่ยังไม่มีบทบังคับ หรือบทลงโทษ หากแบงก์และค่ายมือถือไม่ยอมแลกเปลี่ยนข้อมูล หรือพบว่าปล่อยปละให้มีการเปิดบัญชี ให้มีธุรกรรมต้องสงสัย หรือให้มีการส่งสัญญาณโทรคมนาคมที่ก่อให้เกิดอาชญากรรมแล้ว ไม่ยอมรายงานหรือระงับธุรกรรม จนนำไปสู่ความเสียหายแก่ทรัพย์ ก็ยังไม่มีบทลงโทษ

ดังนั้น สาระสำคัญคือบทลงโทษ ซึ่งถูกเสนอขึ้นเป็นบทแก้ไขเพิ่มเติมใน ร่าง พ.ร.ก.ฉบับดังกล่าว นำโดยกระทรวงดีอี และขยายความรับผิดชอบให้ครอบคลุมมากขึ้น ซึ่งหมายรวมถึง สถาบันการเงิน, ผู้ประกอบธุรกิจ และผู้ให้บริการเครือข่ายคอมพิวเตอร์และโทรศัพท์

“ผู้ประกอบธุรกิจ” ตามนิยามที่เพิ่มเติมในร่าง พ.ร.ก. ระบุว่า 1.ผู้ประกอบธุรกิจตามกฎหมายว่าด้วยการชำระเงิน-ระบบชำระเงิน 2.ผู้ประกอบธุรกิจสินทรัพย์ดิจิทัล 3.ธุรกิจการชำระเงินระหว่างประเทศ และ 4.ธุรกิจบริการแพลตฟอร์มดิจิทัลตามกฎหมาย DPS (พ.ร.ฎ.การประกอบธุรกิจบริการแพลตฟอร์มดิจิทัลที่ต้องแจ้งให้ทราบ พ.ศ. 2565)

“ผู้ให้บริการเครือข่ายคอมพิวเตอร์และโทรศัพท์” หมายรวมถึง บริการออนไลน์หรือแพลตฟอร์มอื่น ๆ ที่อาศัยการเข้าสู่อินเทอร์เน็ตโดยผ่านทางคอมพิวเตอร์ หรือเครือข่ายโทรศัพท์เคลื่อนที่ หรือผู้ให้บริการดาวเทียมสื่อสาร และกิจการโทรคมนาคมอื่นในทำนองเดียวกัน ไม่ว่าจะได้รับอนุญาตตามกฎหมายหรือไม่ก็ตาม

ซึ่งผู้เกี่ยวข้องทั้งหมดนี้ต้องทำการแลกเปลี่ยน และเปิดเผยข้อมูลของธุรกรรมความเสี่ยง หรือต้องสงสัยว่าจะก่ออาชญากรรม ตามประกาศหลักเกณฑ์ที่ดีอีกำหนด ซึ่งข้อมูลเหล่านี้มีบทกำหนดให้เป็น “บัญชีที่ถูกกำหนด”

หากปล่อยปละไม่เชื่อมโยงข้อมูล มีโทษปรับไม่เกิน 1 ล้านบาท ในกฎหมายใหม่

ทั้งเพิ่มเงื่อนไขให้ สถาบันการเงิน, ผู้ประกอบธุรกิจ และผู้ให้บริการเครือข่ายคอมพิวเตอร์และโทรศัพท์ ไม่ให้มีความสัมพันธ์ทางธุรกิจกับบัญชีต้องสงสัยของบุคคลและนิติบุคคล ให้อำนาจระงับและเพิกถอนธุรกรรมต้องสงสัย และกำหนดมาตรการยืนยันตนด้วยใบหน้าของผู้ใช้งานบัญชีที่ถูกระงับใน 30 วัน เพื่อแสดงตนว่า ไม่เกี่ยวข้องกับอาชญากรรมไซเบอร์ หากไม่มาแสดงตนให้ถือว่า บัญชีเหล่านั้นเกี่ยวข้องกับอาชญากรรมและให้โอนกลับคืนไปยังบัญชีต้นทางทุกทอดจนถึงต้นทางของการทำธุรกรรม เป็นต้น

หากไม่ทำตามขั้นตอนให้ระวางโทษปรับ 2 ล้านบาท และวันละ 2 หมื่นบาท จนกว่าจะดำเนินการตามเงื่อนไข และหากฝ่าฝืนจนก่อให้เกิดความเสียหายแก่ทรัพย์จริง ต้องชดใช้เต็มจำนวน

การแก้ไขกฎหมาย ยังรวมถึงโทษของ กรรมการบริษัท ผู้จัดการ เจ้าหน้าที่ของบริษัทที่ฝ่าฝืน หรือเป็นเหตุเอื้อให้เกิดอาชญากรรม อย่างการจงใจทำธุรกรรมกับบัญชีที่ถูกกำหนดว่า อาจเกี่ยวข้องกับอาชญากรรมไซเบอร์ ต้องรับผิดชอบค่าปรับ โทษอาญา จะเพิ่มในส่วนของการซื้อขายข้อมูล หรือจงใจให้อาชญากรใช้บัญชี หรือปกปิด โทษซื้อขายบัญชีเพิ่มจากจำคุก 3 ปี เป็น 5 ปี

อย่างไรก็ตาม โทษและการพิจารณาโทษ ต้องผ่านการพิจารณาในขั้นสุดท้าย จากจุดนี้ ผู้สื่อข่าวรายงานว่า อาจมีการเปลี่ยนแปลงในรายละเอียด การแก้กฎหมายครั้งนี้ส่วนสำคัญจึงอยู่ที่ขั้นตอนและมาตรการในการดำเนินคดี รวมถึงการเฉลี่ยคืนเงินให้เหยื่อผู้เสียหายโดยเร็วที่สุด

นายประเสริฐย้ำว่า ขณะนี้สำนักงานคณะกรรมการป้องกันและปราบปรามการฟอกเงิน (ปปง.) ได้ยึดทรัพย์ทั้งเงินสด บ้าน คอนโดฯ รถหรู จากคดีแก๊งอาชญากรรมออนไลน์มูลค่ากว่าหมื่นล้านบาท แต่ยังไม่มีขั้นตอนในการเฉลี่ยคืนเงินให้ผู้เสียหาย

รัฐจึงพยายามในเรื่องเหล่านี้ รวมถึงตั้งกองทุนป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยีเพื่อเยียวยาด้วย

“ทรู” รอบทสรุป

นายมนัสส์ มานะวุฒิเวช ประธานคณะผู้บริหาร บมจ.ทรู คอร์ปอเรชั่น เปิดเผย “ประชาชาติธุรกิจ” ว่า ทรูกำลังจับตาดูการตัดสินใจขั้นสุดท้าย ก่อนประกาศใช้ พ.ร.ก.อาชญากรรมไซเบอร์ ฉบับแก้ไข เพราะโดยพื้นฐานการปกป้องลูกค้าเป็นหน้าที่ของค่ายมือถืออยู่แล้ว

โดยเฉพาะการปิดกั้นลิงก์ที่น่าสงสัยนั้น ทรูทำการตรวจสอบ พร้อมอัพเดตระบบความปลอดภัย และมีการแจ้งเตือนผู้ใช้เลขหมายโทรศัพท์ที่กำลังใช้งานอยู่นั้น ให้ทำการตรวจสอบว่า อาจเกี่ยวข้องกับอาชญากรรมทางเทคโนโลยีหรือไม่

“ก่อนสิ้นปี 2567 ทรู-ดีแทค ได้สกัดกั้นลิงก์ที่มีความเสี่ยงที่ลูกค้าทรูและดีแทคกดเข้าไปถึง 200 กว่าครั้ง ซึ่งสามารถช่วยให้ลูกค้าได้พิจารณาว่า ควรกดเข้าไปต่อหรือไม่ อย่างไร เพื่อป้องกันการเข้าสู่เว็บอันตรายนั้น ๆ”

ขณะเดียวกัน ทรูได้ทำระบบแจ้งเตือนความเสี่ยง โดยขึ้นเครื่องหมายตกใจในเบอร์ โทร.ที่อยู่ระหว่างการตรวจสอบด้วย ซึ่งระบบเหล่านี้ได้ดำเนินการมาอย่างต่อเนื่อง โดยทรูลงทุนทำระบบเองด้วยงบประมาณกว่า 100 ล้านบาท

ผู้สื่อข่าวถามว่า หากหลักการเรื่องความรับผิดชอบร่วมกันผ่านมติ ครม.แล้ว ทางทรูต้องตั้งงบฯสำรองสำหรับชดใช้ค่าเสียหายจากกรณีอาชญากรรมไซเบอร์ที่อาจเกิดขึ้นได้ในอนาคตหรือไม่

นายมนัสส์กล่าวตอบว่า “ไม่ควรมองไปไกลขนาดนั้น วันนี้สิ่งที่โฟกัสคือ เราต้องป้องกันลูกค้าก่อน ซึ่งเป็นหน้าที่หลัก”

แบงก์เตรียมตั้งรับ

นายกิตติ โฆษะวิสุทธิ์ ผู้จัดการบริหารความมั่นคงปลอดภัยด้านสารสนเทศและความปลอดภัยไซเบอร์ ธนาคารกรุงเทพ กล่าวถึงการลงทุนระบบป้องกันภัยเพิ่มเติมในเรื่องนี้ว่า ธนาคารสามารถบริหารจัดการได้ตามความเหมาะสม จากที่ทำไปแล้ว ซึ่งคงไม่ต้องลงทุนสูงมาก เมื่อเทียบกับช่วงที่มีปัญหาก่อนหน้านี้ เพราะส่วนหนึ่งธนาคารทำครบแล้ว อาจมีเรื่องการส่งข้อความ SMS ที่จะต้องพิจารณายอดเงินโอนให้ต่ำลง

รวมถึงการเชื่อมโยงข้อมูล หรือประสานงานเพื่อจัดการเคส อาจมีการลงทุนเพิ่มเป็นระบบอัตโนมัติ เช่น เวลาเกิดเหตุและต้องการสืบค้น ธนาคารต้องรับส่งข้อมูลกับเทลโก้ เพื่อตรวจสอบว่าเป็นมิจฉาชีพหรือไม่ เพื่อให้มั่นใจว่าเป็นมิจฉาชีพจริง เพื่อจะได้ไม่กระทบคนดี เป็นต้น

นางสาวขัตติยา อินทรวิชัย ประธานเจ้าหน้าที่บริหาร ธนาคารกสิกรไทย กล่าวเทียบกฎหมายของมาเลเซียและสิงคโปร์ว่า จะมีรายละเอียดพิสูจน์ความผิดพลาดที่ถูกหลอกลวงเกิดจากใคร ถ้าพิสูจน์แล้ว ผู้ใช้บริการพลาด ผู้ใช้บริการก็ต้องรับผิดชอบ เพราะหากความรับผิดชอบมีแค่เทลโก้กับแบงก์ จะทำให้ผู้ใช้บริการไม่ระมัดระวังตัว ซึ่งสิงคโปร์ มาเลเซีย จะให้ร่วมกันรับผิดชอบ ซึ่งเรามองว่าโปร่งใส แฟร์กับทุกฝ่าย

“ส่วนการยกระดับความปลอดภัยทางการเงินนั้น ธนาคารทำแล้วอย่างต่อเนื่อง ปัจจุบันระบบ K PLUS เป็นระบบที่มีศักยภาพรองรับธุรกรรม (Transaction) ได้สูงที่สุดในประเทศ และได้ปรับปรุงระบบ Core Banking จนมี Capacity เพิ่มขึ้นอีกเท่าตัว พร้อมรองรับระบบ Mobile Banking และ Digital Banking ได้อีก 3 ปี”

นายฐากร ปิยะพันธ์ ผู้จัดการใหญ่ ธนาคารทหารไทยธนชาต (ทีทีบี) กล่าวว่า ปีนี้จะผลักดันเรื่องความปลอดภัย จากเดิมฟีเจอร์การขายและการทำตลาดเป็นการทำให้แอปพลิเคชั่นดูเซ็กซี่ แต่หลังจากนี้ Security จะเป็นฟีเจอร์ที่ทำให้ลูกค้ารู้สึกอยากเปิดบัญชีกับทีทีบี เพราะความปลอดภัยเข้มข้นกว่า