| ผู้เขียน | กล้า สมุทวณิช |
|---|
ในแวดวงนักกฎหมายมีผู้แชร์คำพิพากษาศาลฎีกาเรื่องหนึ่ง ซึ่ง “ทันสมัย” ต่อสถานการณ์เพราะเป็นเรื่องเดียวกันกับอาชญากรรมร่วมสมัยที่คุกคามผู้คนมากที่สุดในช่วงเวลานี้ คือ การถูกมิจฉาชีพลักลอบโอนเงินในธนาคารผ่านเครือข่ายอินเตอร์เน็ต
ข้อเท็จจริงตามคำพิพากษานี้เกิดขึ้นในปี พ.ศ.2560 ที่รูปแบบการหลอกลวงในตอนนั้นยังมีลักษณะเป็นการหลอกให้คลิกลิงก์ที่ส่งทาง Phishing Email ไปยังเว็บไซต์ทำที่เลียนแบบธนาคาร เพื่อลวงให้ผู้เสียหายกรอกชื่อผู้ใช้และรหัสผ่าน และคนร้ายจะได้นำชื่อผู้ใช้ (User name) พร้อมรหัสผ่าน (Password) ที่ได้นั้นไปสมัครแอพพลิเคชั่นในสมาร์ทโฟนโดยกรอกหมายเลขโทรศัพท์ของคนร้ายเองเพื่อรับรหัสผ่านแบบใช้ครั้งเดียว (OTP) จากธนาคาร เมื่อสำเร็จก็จะได้โอนเงินจากบัญชีเงินฝากของผู้เสียหายไปยังบัญชีอื่น 3 บัญชี 12 ครั้ง เป็นเงินรวมล้านกว่าบาทในช่วงเวลากลางดึก ผู้เสียหายจึงมาฟ้องให้ธนาคารรับผิด สู้กันจนถึงชั้นฎีกา เป็นคำพิพากษาฎีกาที่ 6233/2564 ที่แชร์กันนั่นเอง
เรื่องนี้ศาลฎีกาได้วินิจฉัยความรับผิดของฝ่ายธนาคารไว้ สรุปได้ว่า ธนาคารจำเลยประกอบกิจการธนาคารพาณิชย์ จึงเป็นผู้มีวิชาชีพเฉพาะกิจการฯ เมื่อมีผู้โอนเงินของผู้เสียหายจำนวนย่อยหลายครั้งติดต่อกันในช่วงเวลาเดียวกันในเวลากลางคืนไปยังบัญชีเงินฝากของบุคคลอื่นที่เป็นบัญชีเดียวกัน หรือชื่อบัญชีเดียวกัน ย่อมเป็นพฤติกรรมในการทำธุรกรรมทางการเงินที่ผิดปกติ ธนาคารซึ่งเป็นผู้มีวิชาชีพเฉพาะต้องทราบและสังเกตได้ว่าอาจเป็นการกระทำของมิจฉาชีพ จึงควรมีมาตรการที่เหมาะสมในการป้องกันการกระทำธุรกรรมทางการเงินโดยไม่ชอบดังกล่าวด้วย แม้ธนาคารจำเลยจะเคยแจ้งเตือน ให้แก่ลูกค้าผู้ใช้บริการต่างๆ ระมัดระวังอีเมล์หลอกลวงจากมิจฉาชีพวิธีนี้มาก่อนแล้วก็ตาม มาตรการดังกล่าวก็เป็นข้อควรระวังในด้านของลูกค้า แต่มาตรฐานของธนาคารจำเลยในการป้องกันการทำธุรกรรมทางการเงินทางอิเล็กทรอนิกส์ที่ไม่ชอบก็ยังมีอยู่ เมื่อธนาคารพิสูจน์ไม่ได้ว่ามีมาตรการในการป้องกันความเสียหายในส่วนนี้อย่างเพียงพอโดยที่โจทก์ก็มิใช่รายแรก ยังมีอีกหลายรายที่ถูกหลอกลวงในลักษณะนี้ซ้ำๆ กับลูกค้าจำนวนมาก ธนาคารจำเลยที่เป็นผู้ควบคุมระบบมีความสามารถในการตรวจสอบ หรือทราบถึงความผิดปกติในการทำรายการต่างๆ ได้แต่เพียงฝ่ายเดียว ยิ่งต้องเพิ่มความระมัดระวังและหามาตรการในการป้องกันไม่ให้เกิดความเสียหายดังเช่นที่เกิดในคดีนี้อีก จึงต้องรับผิดคืนเงินให้ผู้เสียหาย
อย่างไรก็ตาม ศาลฎีกาก็มองว่าสำหรับโจทก์ผู้เสียหายนั้นก็มีส่วนในความผิดด้วยเช่นกัน เพราะเป็นลูกค้าผู้ใช้บริการธุรกรรมทางการเงินอิเล็กทรอนิกส์ผ่านทางอินเตอร์เน็ตมากว่า 10 ปี ย่อมต้องมีความเข้าใจในการทำธุรกรรมทางการเงินผ่านช่องทางดังกล่าวเป็นอย่างดี และย่อมทราบถึงคำเตือนของจำเลยตามที่ปรากฏในเว็บไซต์ของจำเลย ผู้เสียหายจึงควรมีความระมัดระวังในการตรวจสอบก่อนทำธุรกรรมดังกล่าวมากกว่าที่ปรากฏในคดีนี้ ศาลฎีกาเห็นว่าพฤติกรรมของโจทก์และจำเลย จึงถือว่ามีส่วนทำให้เกิดความเสียหายในคดีนี้ไม่ยิ่งหย่อนกว่ากัน จึงให้ธนาคารจำเลยต้องรับผิดชดใช้เงินให้แก่โจทก์เป็นเงิน 550,000 บาท (หรือครึ่งหนึ่งของมูลค่าความเสียหายจากเงินที่ถูกโอนไปนั่นเอง) พร้อมดอกเบี้ยผิดนัดร้อยละ 5 ต่อปี คิดจากวันที่อ่านคำพิพากษาศาลฎีกา
เราอาจแยกแยะรูปแบบของการหลอกลวงลักเงินในบัญชีธนาคารที่เกี่ยวข้องกับระบบคอมพิวเตอร์และอินเตอร์เน็ตตามวิธีการที่คนร้ายใช้ในการได้เงินในบัญชีของเหยื่อไปได้สองรูปแบบ คือ รูปแบบแรกที่ขอเรียกรวมๆ ว่า การ Scam คือการหลอกล่อให้เหยื่อทำธุรกรรมนั้นด้วยตัวเอง โดยรู้ตัวว่ากำลังโอนเงินไปให้บุคคลอื่น แต่เป็นการโอนให้เพราะหลงเชื่อในข้อเท็จจริงที่ไม่ได้มีหรือเป็นอยู่ กับรูปแบบของการ Hacking ซึ่งรวมถึงการ Phishing ที่เหยื่อไม่ได้โอนเงินหรือทำธุรกรรมด้วยตัวเอง แต่ถูกคนร้ายเข้าสู่ระบบคอมพิวเตอร์หรือโทรศัพท์สมาร์ทโฟนที่เชื่อมโยงกับบัญชีธนาคารของตัวเองแล้วทำธุรกรรมหรือโอนเงินไปโดยเจ้าตัวไม่ได้รู้ตัวหรือยินยอม
วิธีการ Scam ก็เช่น การถูกคนร้ายปลอมโปรไฟล์ในโซเชียลเน็ตเวิร์ก เช่น LINE Facebook หรือเข้ามาเป็นเพศตรงข้าม (หรือเพศเดียวกันแล้วแต่กรณี) แล้วพูดคุยหลอกลวงด้วยวิธีการต่างๆ เช่น ทำให้หลงรักแล้วหลอกให้โอนเงินให้โดยอ้างว่าเพื่อเป็นการลงทุน หรือหลอกว่าได้รับเงินก้อนใหญ่หรือของขวัญ แต่ขอให้โอนเงินสำรองจ่ายค่าดำเนินการ ภาษีหรือค่าธรรมเนียมไปให้ก่อน หรือแม้แต่การปลอมตัวสวมรอยเป็นคนที่เหยื่อรู้จักเพื่อขอเงิน ไม่ว่าจะขอเฉยๆ เลยหรือขอยืมก็ตาม รูปแบบนี้รวมถึงกรณีที่แก๊งคอลเซ็นเตอร์อ้างตัวว่าเป็นเจ้าหน้าที่ของรัฐ หลอกว่าเหยื่อจะถูกดำเนินคดีหรือดำเนินการทางกฎหมาย แล้วขอให้โอนเงินไปให้หรือให้มอบรหัสการเข้าสู่ระบบธนาคารออนไลน์เพื่อเจ้าหน้าที่ทำการตรวจสอบด้วย รวมถึงยังมีกรณีที่ใช้การหลอกชวนคุยเรื่องทางเพศเพื่อหลอกล่อให้ฝ่ายเหยื่อเปิดกล้องและกระทำการลามกต่างๆ แล้วอัดคลิปหน้าจอไว้แบล๊กเมล์เหยื่อ
ส่วนรูปแบบที่สองนั้น เป็นกรณีที่ใช้เทคนิคทางคอมพิวเตอร์เพื่อเข้ายึดครองควบคุมคอมพิวเตอร์หรือสมาร์ทโฟนของเหยื่อโดยมิชอบ หรือที่เรียกว่าใช้การ Hacking เพื่อให้โอนเงินให้คนร้าย โดยวิธีการนี้มีตั้งแต่การขโมยชื่อบัญชี รหัสผ่านและข้อมูลที่ใช้ในการโอนเงินให้ ที่เรียกว่าการ Phishing อย่างเช่นในฎีกา หรือล่าสุดใช้วิธีผสมผสาน ด้วยการโทรศัพท์มาหลอกด้วยวิธีต่างๆ เช่น หลอกว่ามีโปรโมชั่นจากร้านค้า หรือมาจากกรมสรรพากรที่จะทำเรื่องคืนภาษี หรือแม้แต่ล่อหลอกว่าเป็นแอพพลิเคชั่นลามก เพื่อให้ผู้ใช้กดโหลดแอพลิเคชั่นที่เปิดช่องให้คนร้ายเข้ามาควบคุมเครื่องโทรศัพท์สมาร์ทโฟนของเหยื่อเพื่อโอนเงินออกไป
ซึ่งแนวฎีกาข้างต้น เป็นกรณีที่ศาลวินิจฉัยความรับผิดของธนาคารจากการขโมยเงินไปด้วยรูปแบบที่สองนี่เอง ซึ่งความแตกต่างของวิธีแรกกับวิธีที่สอง อยู่ที่ความ “รู้ตัว” ของเหยื่อเจ้าของเงิน คือในวิธีที่หนึ่งนั้น เหยื่อนั้นรู้ตัวว่ากำลังทำการโอนเงินของตนให้ผู้อื่นอยู่ แต่เหตุที่โอนให้เช่นนั้นเพราะถูกหลอกลวงด้วยวิธีการต่างๆ ดังนั้นการถูกหลอกลวงด้วยวิธีการ Scam นี้ จึงจะว่าเป็นความผิดของธนาคารหรือธนาคารต้องมีส่วนร่วมด้วยยาก และถ้าจะเทียบเป็นความผิดตามกฎหมายอาญา ก็น่าจะใกล้เคียงกับการฉ้อโกงหรือรีดเอาทรัพย์ที่เจ้าของบัญชีเป็นผู้เสียหายโดยตรงมากกว่า
ต่างจากกรณีการ Hacking ด้วยวิธีการ Phishing Email ที่ผู้เสียหายนั้นไม่ได้ทำธุรกรรมเองเลย แต่เป็นคนร้ายที่เป็นผู้ทำธุรกรรม ดังนั้นเมื่อพิจารณาความรับผิด ไม่ว่าผู้เสียหายจะมีส่วนในความผิดนั้นด้วยหรือไม่แค่ไหนก็ตาม แต่ธนาคารซึ่งโดยแท้จริงเป็นเจ้าของเงินตามสัญญาฝากทรัพย์ (ตามหลักกฎหมายดังกล่าว เมื่อใดที่ผู้ฝากเงินมอบ หรือโอนเงินให้ธนาคารไปแล้ว กรรมสิทธิ์ในตัวเงินนั้นก็เป็นของธนาคาร เจ้าของเงินเพียงมีสิทธิเรียกร้องให้ธนาคารคืนเงินในจำนวนที่ฝากพร้อมดอกเบี้ยให้เท่านั้น) ธนาคารจึงควรมีหน้าที่ที่จะต้องวางกลไกไม่ให้ใครนำเงิน ซึ่งจริงๆ เป็นของธนาคารไปโดยไม่มีสิทธิ
การที่มีผู้มา Hack ระบบจนระบบของธนาคารจ่ายเงินไปให้ผู้ที่ไม่มีสิทธิ โดยเจ้าของบัญชีไม่รู้เห็นด้วย จึงเป็นการกระทำต่อธนาคารโดยตรง ไม่ใช่ต่อเจ้าของเงิน ไม่ต่างจากกรณีการปลอมเช็คของลูกค้ามาเบิกเงินไป ซึ่งมีฎีกาวางแนวไว้ชัดเจนหลายเรื่องแล้วว่าธนาคารถือเป็นผู้เสียหาย เช่นในคำพิพากษาฎีกาที่ 3113/2554
ที่คำพิพากษาฎีกานี้เป็นที่ฮือฮาและแชร์กันไปอย่างไพศาล ส่วนหนึ่งเพราะมันช่วยตอบความรู้สึก “เอ๊ะ” ของผู้คนที่ติดตามข่าวเรื่องการถูกขโมยเงินจากบัญชีธนาคารผ่านสมาร์ทโฟนซึ่งระบาดอย่างหนักและมีผู้เสียหายหลายรายในช่วงเดือนถึงสองเดือนนี้ได้
ความ “เอ๊ะ” ก็เพราะเมื่อไรที่มีข่าวนี้เกิดขึ้นก็จะมีการหาสาเหตุของการถูกโจรกรรม ก็จะออกมาตรงกันว่าเป็นเพราะเจ้าของบัญชีนั้นเองที่พลาดเปิดช่องว่างด้วยการโหลดเอาแอพลิเคชั่นของคนร้ายมาไว้ในเครื่อง ไม่ว่าเพราะถูกหลอกล่อด้วยวิธีใดก็ตามแต่ แล้วเปิดระบบอนุญาตให้คนร้ายเข้ามาควบคุมเครื่องโทรศัพท์สมาร์ทโฟนของผู้เสียหายได้เองเบ็ดเสร็จ และเมื่อสืบสวนทวนความได้เช่นนั้น ก็เหมือนทุกฝ่ายจะลงมติว่าเป็นความโชคร้าย รู้เท่าไม่ถึงการณ์ หรือความประมาทพลาดท่าของฝ่ายผู้เสียหายเอง เป็นเรื่องที่ “ช่วยไม่ได้” ต้องฟาดเคราะห์ และเป็นอุทาหรณ์เตือนใจคนอื่นต่อๆ ไป โดยมองข้ามไปว่า จริงๆ เรื่องนี้ควรจะมีใครต้องร่วมรับผิดชอบด้วยหรือไม่ โดยเฉพาะธนาคารผู้เป็นเจ้าของเงิน จะไม่ต้องรับผิดชอบอะไรเลยจริงหรือ
ทั้งการถูกแอพพลิเคชั่นมิจฉาชีพดูดเงินไปนี้ก็แตกต่างจากกรณีในคำพิพากษาฎีกาด้วย เพราะในกรณีตามฎีกานั้น เหยื่อหรือโจทก์ผู้เสียหายเป็นผู้มีความรู้ในการใช้งานระบบธนาคารออนไลน์อยู่แล้ว แต่กรณีที่เกิดขึ้นจากแอพพลิเคชั่นดูดเงินนี้ ส่วนใหญ่ผู้ที่ตกเป็นเหยื่อนั้นมีความรู้หรือความเท่าทันทางเทคโนโลยีดิจิทัล (Digital literacy) ไม่มากพอ และเรื่องนี้จะเกิดกับสมาร์ทโฟนที่ใช้ระบบปฏิบัติการแอนดรอยด์ (Android) (ข้อมูลจากศูนย์ประสานงานด้านความมั่นคงปลอดภัย เทคโนโลยีสารสนเทศภาคการธนาคาร (TB-CERT)) ซึ่งมีช่องว่างของระบบปฏิบัติการที่อนุญาตให้ผู้ใช้สามารถรับแอพพลิเคชั่นด้วยการดาวน์โหลดเข้ามาติดตั้งในเครื่องได้ผ่านลิงก์ที่ได้รับมาจาก SMS หรือข้อความ LINE ก็ได้ ทำให้มิจฉาชีพสามารถสร้างแอพพลิเคชั่นดูดเงินไว้ใช้ควบคุมเครื่องผู้ใช้จากระยะไกลได้
เพราะต้องไม่ลืมว่าปัจจัยอีกส่วนหนึ่งที่ทำให้มี “เหยื่อ” ของการดูดเงินผ่านแอพพลิเคชั่นในสมาร์ทโฟนนี้มากมายหลายราย เป็นช่องทางใหม่ของมิจฉาชีพแทนการใช้ Phishing Email ที่เป็นกรณีตามฎีกา ส่วนหนึ่งก็อาจจะมาจากการที่ช่วงเวลาสองปีที่ผ่านมานี้ รัฐบาลมีนโยบายที่แจกจะเงินและสิทธิประโยชน์ทั้งหลายผ่านทางระบบอิเล็กทรอนิกส์ผ่านแอพพลิเคชั่นของรัฐที่ร่วมมือกับธนาคารเป็นหลัก ตัวอย่างเช่นโครงการ “คนละครึ่ง” ที่เป็นการบีบกลายๆ ให้ผู้ที่อยากรับความช่วยเหลือหรือสิทธิประโยชน์จากรัฐ จะต้องผูกบัญชีธนาคารตัวเองไว้กับโทรศัพท์สมาร์ทโฟน เพื่อให้ได้รับสิทธิประโยชน์นั้น และเป็นเงินช่วยเหลือที่พึงได้รับจากวิกฤต COVID-19 ด้วย
นโยบายของรัฐบาลที่เป็นไปเพื่อจะส่งเสริมระบบธุรกรรมออนไลน์ของสถาบันการเงิน แต่ก็ได้ทำให้ “กระเป๋าเงิน” ของคนไทยเข้าไปอยู่ในระบบสมาร์ทโฟนกันเป็นจำนวนมาก ซึ่งรวมถึงผู้คนที่ยังขาดทักษะในทางดิจิทัลและไม่รู้จุดอ่อนของระบบปฏิบัติการในสมาร์ทโฟนของตัวเองด้วย แถมบางครั้งเป็นเงินทั้งหมดในชีวิตที่พวกเขามีอีกต่างหาก
ดังนั้น ถ้าหน่วยงานกำกับดูแลของรัฐจะแก้ปัญหานี้ด้วยการที่กำหนดความรับผิดไปเลยว่า กรณีที่ผู้ใช้บริการธนาคารสามารถพิสูจน์ได้ว่า เงินในบัญชีของตัวเองถูกดูดหรือโอนไปด้วยวิธีการที่ตนเองไม่ได้ทำธุรกรรมด้วยตัวเอง แต่ถูกยึดครองควบคุมระบบคอมพิวเตอร์หรือสมาร์ทโฟนแล้ว ธนาคารต้องแก้ไขจำนวนเงินในบัญชีให้กลับมาเท่าเดิม และจากนั้นก็เป็นภาระของธนาคารเองในการติดตามเอาคืน ไม่ว่าจะโดยทางกฎหมายหรือกลไกความร่วมมือระหว่างธนาคารที่จะระงับหรือดึงเงินที่ถูกโอนเงินไปทอดๆ ด้วยวิธีการต่างๆ คืนมา ด้วยว่าธนาคารนั้นมีศักยภาพ ทรัพยากร และอำนาจต่อรองที่จะทำเช่นนั้นได้ง่ายกว่าลูกค้าซึ่งเป็นบุคคลธรรมดาตัวเล็กตัวน้อย
ก็น่าจะเป็นการกติกาเพื่อแก้ปัญหาที่ยุติธรรมอยู่
กล้า สมุทวณิช
