ประเด็นการหลอกลวงโอนเงินรูปแบบต่างๆ จนเกินความเสียหายต่อประชาชนเป็นวงกว้างเป็นปัญหาในหลายประเทศ โดยเมื่อเดือนตุลาคมที่ผ่านมาธนาคารกลางสิงคโปร์ (MAS) ออกแนวทางให้ธนาคารและผู้ให้บริการโทรศัพท์มือถือร่วมรับผิดชอบ (Shared Responsibility Framework - SRF) แม้จะเป็นแนวทางที่ดูจะช่วยให้ธนาคารต้องมารับผิดชอบมากขึ้น แต่ในความเป็นจริงประกาศนี้ไม่ได้ทำให้เหยื่อสามารถเรียกร้องจากธนาคารได้ไปหมด รวมถึงกรณีส่วนใหญ่ก็น่าจะไม่สามารถเรียกร้องได้ด้วย
เอกสารของ MAS ยกตัวอย่าง 15 กรณีที่ลูกค้าถูกหลอก และอธิบายถึงความรับผิดชอบเอาไว้
สถานการณ์ | ผู้รับผิดชอบ | เหตุผล |
---|---|---|
ลูกค้าถูกหลอกลงทุน โอนเงินให้บริษัทลงทุนปลอม ได้รับ SMS แจ้งเตือนถูกต้อง | ลูกค้า | อยู่ในขอบเขตการทำธุรกรรมที่ถูกต้อง ลูกค้าตัดสินใจเอง |
ลูกค้าถูกตำรวจปลอมโทรขอรหัสผ่านและ OTP | ลูกค้า | อยู่นอกขอบเขตการคุ้มครองช่องทางดิจิทัล ลูกค้าให้ข้อมูลเอง |
ลูกค้าคลิกลิงก์โฆษณาเฟอร์นิเจอร์ปลอม คนร้ายใช้ OTP ล็อกอินและโอนเงิน | ลูกค้า | คนร้ายปลอมตัวเป็นองค์กรอื่น ลูกค้าให้ OTP เอง |
ลูกค้าติดตั้งแอปดูดเงินและถูกดูดเงิน | ลูกค้า | ไม่มีการล็อกอินใหม่บนแพลตฟอร์มปลอม ลูกค้าติดตั้งแอปเอง |
ลูกค้าล็อกอินเว็บธนาคารปลอม ไม่ได้รับ SMS แจ้งเตือน เนื่องจากเคยตั้งเพดานการส่ง SMS ไว้สูงกว่ายอดที่คนร้ายโอน | ลูกค้า | ธนาคารทำตาม SRF แล้ว |
ลูกค้าล็อกอินเว็บธนาคารปลอมจ่ายค่าปรับตำรวจปลอม ระบบธนาคารล่ม แต่ระบบของธนาคารมีปัญหาจนแจ้งเตือนช้าไปสองวัน เมื่อลูกค้าได้รับแจ้งเตือนก็โทรหาธนาคารแต่ไม่ติดเนื่องจากคู้สายไม่ว่าง | ธนาคาร | ธนาคารไม่สามารถแจ้งเตือนทันทีและรับคำสั่งล็อกบัญชีได้ |
ลูกค้าล็อกอินเว็บธนาคารปลอม คนร้ายใช้รหัส/OTP ลงแอปใหม่ ธนาคารไม่หน่วงเวลาธุรกรรมเสี่ยงสูง | ธนาคาร | ธนาคารไม่ทำตาม SRF เรื่องการหน่วงเวลาธุรกรรมเสี่ยงสูง (เช่น เพิ่มวงเงิน) |
ลูกค้าคลิกลิงก์เว็บธนาคารปลอม ระบบธนาคารมีปัญหาไม่ส่ง SMS แจ้งเตือน คนร้ายแก้ไขข้อมูลให้ส่ง SMS ไปที่คนร้ายแทน | ธนาคาร | ธนาคารไม่ได้แจ้งเตือนลูกค้า |
ลูกค้าคลิกลิงก์เว็บปลอม ล็อกอิน คนร้ายโอนเงิน 10 ครั้ง ธนาคารส่ง SMS 9 ครั้ง (ระบบมีปัญหา) | ธนาคาร (เฉพาะครั้งที่ไม่ได้ส่ง SMS) | ธนาคารรับผิดชอบเฉพาะความเสียหายจากการโอนครั้งที่ไม่ได้ส่ง SMS |
ได้รับ SMS ปลอมชื่อ "DBS Bank" กดลิงก์และล็อกอิน ได้รับ SMS แจ้งโอนเงิน 10,000 ดอลลาร์ | ผู้ให้บริการโทรศัพท์มือถือ | ปล่อยให้คนร้ายปลอมตัวเป็นธนาคาร |
ผู้ให้บริการโทรศัพท์มือถือไม่บล็อค SMS ปลอมตัวเป็นธนาคารหลอกรีเซ็ตรหัสผ่าน | ผู้ให้บริการโทรศัพท์มือถือ | ไม่บล็อค SMS ปลอม |
SMS ปลอมตัวเป็นบริษัทในสิงคโปร์ ระบบแสดง "Likely-SCAM" แต่ลูกค้ายังหลงเชื่อ | ผู้ให้บริการโทรศัพท์มือถือ | แม้จะแสดง "Likely-SCAM" แต่ไม่ได้สแกนและบล็อคข้อความปลอมตัวเป็นธุรกิจในสิงคโปร์ |
ได้รับ SMS ปลอม ล็อกอิน คนร้ายโอนเงิน ธนาคารมีปัญหาไม่ส่ง SMS แจ้งเตือน | ธนาคาร | ธนาคารรับผิดชอบตาม SRF แม้จะมีส่วนผิดพลาดจากผู้ให้บริการโทรศัพท์มือถือ |
ได้รับ SMS ปลอมชื่อ "OCBC Bank" ล็อกอินเว็บปลอม คนร้ายโอน 5 ครั้ง ระบบธนาคารไม่ส่ง SMS แจ้งเตือน 2 ครั้งหลัง | ผู้ให้บริการโทรศัพท์มือถือ (3 ครั้งแรก) และ ธนาคาร (2 ครั้งหลัง) | แม้ SMS ต้นทางผิดพลาดจากผู้ให้บริการโทรศัพท์มือถือ แต่ธนาคารรับผิดชอบก่อนเสมอในส่วนที่ระบบมีปัญหาไม่ส่ง SMS |
ได้รับ SMS ปลอมตัวเป็นบริษัทขนส่ง แสดง "Likely-SCAM" ลูกค้าหลงเชื่อล็อกอิน แต่โทรล็อกบัญชีทันที ธนาคารอายัดบัญชี | ลูกค้า | ผู้ให้บริการโทรศัพท์มือถือและธนาคารทำตามความรับผิดชอบครบถ้วนแล้ว |
แนวทางเช่นนี้แสดงให้เห็นว่าแม้ประกาศจะระบุว่าให้ธนาคารและผู้ให้บริการโทรศัพท์มือถือร่วมรับผิดชอบ แต่ความรับผิดชอบนี้ก็มีขอบเขตชัดเจน เมื่อหน่วยงานเหล่านี้ทำตามเงื่อนไขแล้วก็จะไม่ต้องรับผิดชอบอีก
ที่มา - MAS: Consultation Paper on Proposed Shared Responsibility Framework