Reconix LogoReconix
ประกาศ ธปท. ที่ 4/2568

ประกาศ 4/2568 บังคับใช้แล้ว — แอป Mobile Banking ของคุณพร้อมหรือยัง?

ธปท. ออกเกณฑ์ความปลอดภัย Mobile Banking ที่เข้มงวดที่สุดเท่าที่เคยมีมา ตั้งแต่การผูก 1 คน 1 เครื่อง ไปจนถึง Biometric สำหรับธุรกรรมมูลค่าสูง ห้ามแนบลิงก์ในข้อความทุกรูปแบบ และต้องมีระบบตอบสนองทุจริตตลอด 24 ชั่วโมง เรารวบรวมทุกข้อกำหนดพร้อมบอกวิธีเตรียมพร้อมก่อนรอบตรวจครั้งถัดไป

4/2568
ประกาศที่
1:1
อุปกรณ์ต่อบัญชี
฿50K
Biometric เกิน
24/7
สายด่วนทุจริต
ขอรับการประเมิน Mobile Banking
ทำความเข้าใจเกณฑ์

ประกาศ ธปท. ที่ 4/2568 คืออะไร?

ประกาศฉบับนี้ออกต้นปี 2568 เป็นเกณฑ์ด้าน Cybersecurity สำหรับ Mobile Banking ที่เข้มข้นที่สุดของไทย เกิดจากปัญหามิจฉาชีพทางการเงินที่ระบาดหนัก ทั้งมัลแวร์ดูดเงิน แก๊งคอลเซ็นเตอร์ และลิงก์ Phishing ที่หลอกผู้ใช้ได้ผลมากขึ้นเรื่อย ๆ เมื่อนำมาอ่านร่วมกับแนวปฏิบัติด้านการบริหารความเสี่ยง IT (ฉบับปรับปรุง พ.ย. 2566) จะได้มาตรฐานความปลอดภัยครบวงจรที่ทุกธนาคาร ผู้ออก E-Money และผู้ให้บริการชำระเงินต้องทำตาม

บังคับใช้นโยบาย 1 คน 1 อุปกรณ์ — ผู้ใช้ผูกได้เพียง 1 เครื่องต่อบัญชี Mobile Banking
ธุรกรรมครั้งเดียวเกิน ฿50,000 หรือยอดรวมต่อวันเกิน ฿200,000 ต้องยืนยันด้วย Biometric (Face Recognition + Liveness Detection)
ห้ามธนาคารแนบลิงก์ใน SMS และอีเมลที่ส่งถึงลูกค้าโดยเด็ดขาด
ต้องมี Hotline รับแจ้งทุจริตตลอด 24 ชั่วโมง พร้อมระบบตรวจจับและอายัดธุรกรรมต้องสงสัยแบบ Real-time

อ้างอิง: ประกาศ ธปท. ที่ 4/2568 (มีผลบังคับใช้ปี 2568)

ประกาศ 4/2568 บังคับใครบ้าง?

ทุกหน่วยงานภายใต้การกำกับของ ธปท. ที่มีแอป Mobile Banking ให้ลูกค้าใช้งาน อยู่ในข่ายทั้งหมด ไม่มีข้อยกเว้น

ธนาคารพาณิชย์ที่เปิดให้บริการ Mobile Banking
ผู้ให้บริการชำระเงินภายใต้การกำกับของ ธปท.
ผู้ให้บริการ E-Wallet ที่ได้รับใบอนุญาตจาก ธปท.
ผู้ออก E-Money ที่อยู่ภายใต้เกณฑ์ ธปท.
สถาบันการเงินทุกแห่งที่มีแอปให้บริการลูกค้า
มาตรการหลัก 6 ด้าน

6 เสาหลักของประกาศ 4/2568

ประกาศ 4/2568 ร่วมกับแนวปฏิบัติด้านการบริหารความเสี่ยง IT วางมาตรการความปลอดภัยไว้ 6 ด้านหลัก ๆ แต่ละด้านมีรายละเอียดดังนี้

1 คน 1 อุปกรณ์

ผู้ใช้ผูกได้แค่ 1 เครื่องต่อบัญชี Mobile Banking ต่อสถาบัน แอปต้องตรวจจับและปฏิเสธการทำงานบนเครื่องที่ Jailbreak/Root หรือใช้ OS เก่าจนเสี่ยง เพื่อตัดช่องทางหลักของ Remote Access Trojan (RAT)

Biometric และวงเงินธุรกรรม

โอนครั้งเดียวเกิน ฿50,000 หรือยอดรวมต่อวันเกิน ฿200,000 ต้องยืนยันด้วย Face Recognition + Liveness Detection กลุ่มเปราะบาง (เด็กอายุต่ำกว่า 15 ปีและผู้สูงอายุ) ถูกจำกัดวงเงินรายวันไว้ที่ ฿50,000

กฎ Anti-Phishing

ห้ามแนบลิงก์ใน SMS และอีเมลเด็ดขาด ลิงก์ผ่าน Social Media ส่งได้เฉพาะกรณีลูกค้าร้องขอเท่านั้น ห้ามขอข้อมูลสำคัญ (Username, Password, OTP, PIN, เลขบัตรประชาชน) ผ่านทุกช่องทาง

Anti-Malware และป้องกัน Overlay Attack

แอปต้องตรวจจับมัลแวร์แบบ Real-time และสกัด Overlay Attack (หน้าจอปลอมที่ซ้อนทับแอปจริง) สถาบันต้องเฝ้าระวังแอปปลอมทั้งบน App Store ทางการและ Third-party

ตอบสนองทุจริต 24/7 และ Real-Time Alert

ต้องเปิดสายด่วนรับแจ้งทุจริตตลอด 24 ชั่วโมง ระบบต้องตรวจจับธุรกรรมผิดปกติแบบ Real-time อายัดเงินไว้ก่อน และรองรับการสกัดบัญชีม้า

การเข้ารหัสและ Access Management

ต้องเข้ารหัสด้วย AES 256-bit ทั้งข้อมูลที่จัดเก็บและที่รับ-ส่ง แนวปฏิบัติด้านการบริหารความเสี่ยง IT ยังกำหนด Identity and Access Management (IAM) ที่เข้มงวดสำหรับพนักงานธนาคารเพื่อป้องกัน Insider Threat

ขอบเขตการทดสอบ

เราทดสอบอะไรบ้างในแอป Mobile Banking

การประเมินของเราครอบคลุมทุกมาตรการที่ประกาศ 4/2568 และแนวปฏิบัติด้านการบริหารความเสี่ยง IT กำหนดไว้ ไม่มีจุดไหนถูกข้าม

ทดสอบความปลอดภัยแอป iOS และ Android ตามมาตรฐาน OWASP MASTG
ตรวจสอบกลไกการผูก 1 อุปกรณ์ต่อบัญชี และทดสอบ Jailbreak/Root Detection
ทดสอบ Bypass Biometric Authentication และ Liveness Detection
ตรวจสอบว่าแอปบังคับใช้วงเงินธุรกรรมและ Risk-Based Controls ถูกต้อง
ประเมินระบบ Anti-Malware และความทนทานต่อ Overlay Attack
ตรวจสอบ TLS/SSL, Certificate Pinning และการเข้ารหัสข้อมูลที่จัดเก็บ
ทดสอบ Session Management, Timeout Controls และการป้องกัน Concurrent Session

ไม่ทำตามเกณฑ์ — เสี่ยงอะไรบ้าง?

การไม่ปฏิบัติตามประกาศ 4/2568 มีผลกระทบตั้งแต่ต้องร่วมรับผิดทางการเงิน ถูกระงับบริการ ไปจนถึงถูก ธปท. กำกับดูแลเข้มข้นขึ้น

ร่วมรับผิดชดเชยผู้เสียหาย

พ.ร.ก.ป้องกันอาชญากรรมทางเทคโนโลยี (2568) กำหนดโมเดลความรับผิดร่วม — หากสถาบันไม่ดำเนินการ เช่น ไม่อายัดบัญชีม้าที่ถูกแจ้งแล้ว ต้องรับผิดชอบค่าเสียหายแก่ผู้เสียหายตามสัดส่วนความประมาทเลินเล่อ

ถูกจำกัดหรือระงับบริการ

ธปท. สามารถสั่งจำกัดหรือระงับบริการ Mobile Banking ได้ทันที จนกว่าจะแก้ไขช่องโหว่ทั้งหมดและผ่านการตรวจสอบซ้ำ

ต้องแก้ไขเร่งด่วน

หาก ธปท. ตรวจพบช่องโหว่ร้ายแรง อาจถูกสั่งให้อัปเดตแอปหรือหยุดให้บริการทันที โดยไม่มีระยะเวลาผ่อนผัน

ถูกกำกับดูแลเข้มข้นขึ้น

ถูกเรียกตรวจสอบถี่ขึ้น ต้องส่งรายงานความคืบหน้าบ่อยขึ้น และได้รับกรอบเวลาปฏิบัติตามที่เข้มงวดกว่าเดิม

กรอบกฎหมาย

กฎหมายที่เกี่ยวข้อง

ประกาศ 4/2568 ไม่ได้อยู่โดดเดี่ยว แต่ทำงานร่วมกับกฎหมายอื่น ๆ ที่หนุนเสริมอำนาจบังคับใช้

พ.ร.ก.ป้องกันอาชญากรรมทางเทคโนโลยี (ฉบับที่ 2 พ.ศ. 2568)

มีผลบังคับใช้ 13 เมษายน 2568 เปิดทางให้อายัดธุรกรรมต้องสงสัยได้ทันที แชร์ข้อมูลข้ามสถาบันเพื่อสกัดการฉ้อโกง และวางโมเดลความรับผิดร่วมที่ให้สถาบันที่ประมาทเลินเล่อต้องชดเชยผู้เสียหาย

แนวปฏิบัติด้านการบริหารความเสี่ยง IT (ปรับปรุง พ.ย. 2566)

กำหนดมาตรฐานฝั่ง Backend เช่น เข้ารหัส AES 256-bit ทั้งข้อมูลที่จัดเก็บและที่รับ-ส่ง รวมถึง IAM ที่เข้มงวดสำหรับพนักงานธนาคารเพื่อป้องกันภัยจากภายใน

พ.ร.บ.ธุรกิจสถาบันการเงิน พ.ศ. 2551

กฎหมายแม่บทที่ให้อำนาจ ธปท. ออกและบังคับใช้ระเบียบต่าง ๆ กับธนาคารพาณิชย์และกลุ่มธุรกิจการเงินทุกแห่งในประเทศไทย

แนวทางของเรา

เราตรวจสอบ Compliance ตามประกาศ 4/2568 อย่างไร

เรา Map ทุกข้อกำหนดในประกาศ 4/2568 เข้ากับการทดสอบจริง เพื่อให้คุณรู้สถานะก่อนที่ ธปท. จะมาตรวจ

1
ทดสอบกลไกผูกอุปกรณ์ และลอง Bypass Jailbreak/Root Detection
2
ทดสอบ Bypass Biometric Authentication ทั้ง Facial Recognition และ Liveness Detection
3
ตรวจสอบว่าวงเงินธุรกรรมและ Risk-Based Controls ทำงานถูกต้อง
4
ทดสอบระบบ Anti-Malware และความทนทานต่อ Overlay Attack ในแอป
5
ตรวจสอบ Certificate Pinning และการสื่อสารที่เข้ารหัส
6
ตรวจสอบ Session Management, Timeout Controls และการป้องกัน Concurrent Session

Checklist ความพร้อมตามประกาศ 4/2568

ใช้ Checklist นี้ประเมินว่าองค์กรของคุณพร้อมแค่ไหนกับแต่ละข้อกำหนดของประกาศ 4/2568

นโยบาย 1 คน 1 อุปกรณ์ ใช้งานจริงกับบัญชี Mobile Banking ทุกบัญชีแล้ว
ระบบตรวจจับ Jailbreak/Root และ OS ที่ล้าสมัยเปิดใช้งานแล้ว
Biometric Verification บังคับใช้กับธุรกรรมเกิน ฿50,000 แล้ว
วงเงินโอนรายวันตั้งค่าตาม Risk-Based แล้ว (รวมถึงกลุ่มเปราะบาง)
ตรวจสอบแล้วว่า SMS และอีเมลไม่มีลิงก์ ตามกฎ Anti-Phishing
ระบบ Anti-Malware และตรวจจับ Overlay Attack ฝังในแอปแล้ว
มีระบบเฝ้าระวังแอปปลอมบน App Store ทั้งทางการและ Third-party
สายด่วนรับแจ้งทุจริต 24/7 เปิดให้บริการแล้ว
ระบบตรวจจับธุรกรรมต้องสงสัยแบบ Real-time และอายัดบัญชีม้าพร้อมใช้งาน
ยืนยันการเข้ารหัส AES 256-bit ทั้งข้อมูลที่จัดเก็บและที่รับ-ส่งแล้ว

เอกสารอ้างอิงอย่างเป็นทางการ

ศึกษาเอกสารกฎระเบียบฉบับเต็มจากแหล่งข้อมูลอย่างเป็นทางการ

ประกาศ ธปท. ที่ 4/2568 — ความปลอดภัย Mobile Banking (TH PDF)
นโยบายความปลอดภัย IT และการบริหารความเสี่ยง (EN PDF)
พ.ร.ก.ป้องกันอาชญากรรมทางเทคโนโลยี ฉบับที่ 2 (ธปท.)
ค้นหาประกาศ ธปท. ทั้งหมด (FIPCS)

บริการที่เกี่ยวข้อง

เสริมความแข็งแกร่งด้าน Compliance ด้วยบริการประเมินความปลอดภัยเฉพาะทาง

Mobile App Penetration Testing

การประเมินความปลอดภัย iOS และ Android แบบครบวงจรตามมาตรฐาน OWASP MASTG

ดูรายละเอียด

Web Application Penetration Testing

ปกป้องระบบ Internet Banking Portal และ Web-based Payment Interface

ดูรายละเอียด

Network Penetration Testing

ตรวจสอบความปลอดภัยของโครงสร้างพื้นฐานธนาคารและ Network Segmentation

ดูรายละเอียด
กลับไปหน้า Compliance

คำถามที่พบบ่อย

สิ่งที่คุณควรรู้เกี่ยวกับประกาศ ธปท. 4/2568 และการ Comply ด้านความปลอดภัย Mobile Banking

ปิดช่องว่าง Compliance ตามประกาศ 4/2568

รับการประเมินความปลอดภัยที่ Map กับทุกข้อกำหนดของประกาศ 4/2568 ก่อนที่ ธปท. จะมาตรวจรอบถัดไป

Reconix เป็นบริษัทชั้นนำด้านความปลอดภัยไซเบอร์ในประเทศไทย ที่ให้บริการระดับโลกแก่ธุรกิจทุกขนาด