Boom Leverage
บทความทั้งหมด

เกมไล่จับโกงยุค AI: เมื่อ GenAI ติดอาวุธให้ทั้งมิจฉาชีพและแบงก์

Deloitte คาดความสูญเสียจากโกงที่ GenAI เอื้อให้แตะ 4 หมื่นล้านดอลลาร์ในสหรัฐปี 2027 ขณะแบงก์ใช้ AI agent เฝ้า 80 ล้านสัญญาณ/วัน ตัด loss กว่า 20% — มุมคนทำ risk

Varanchai Yingkhamnueng·
สรุปข่าว AI × การเงินBoom Leverage

เกมไล่จับโกงยุค AI — AI โกง ปะทะ AI จับโกง

ด้านรุก
Deloitte คาด fraud จาก GenAI แตะ $40bn สหรัฐปี 2027 (โต 32%/ปี)
ของปลอม
deepfake ในด่านชีวมิติ +58% · ตัวตนสังเคราะห์เสียหาย $20–40bn/ปี
ด้านรับ
แบงก์ใช้ agent เฝ้า 80 ล้านสัญญาณ/วัน ตัด loss กว่า 20%
คอขวด
คนรีวิวไม่ทัน → 48% เปิดตำแหน่งคุม agent (ใช้จริงสเกล 10%)

มีคำถามหนึ่งที่ผมในฐานะคนทำ risk สายธนาคารถามตัวเองบ่อยขึ้นเรื่อย ๆ ปีนี้ คือ "เครื่องมือ AI ตัวเดียวกันที่เราเอามาจับโกง มันคือเครื่องมือที่อีกฝั่งเอาไปโกงด้วยหรือเปล่า" คำตอบคือใช่ — และปี 2026 มันกลายเป็นเกมไล่จับกันแบบ AI ปะทะ AI เต็มตัว ฝั่งมิจฉาชีพใช้ generative AI ปั้นตัวตนปลอมและสแกมได้ถูกลงและเนียนขึ้น ส่วนแบงก์ก็เอา AI agent มาเฝ้าสัญญาณนับสิบล้านต่อวันเพื่อสู้กลับ เนื้อหานี้เป็นการวิเคราะห์เชิงความเสี่ยงเพื่อการศึกษา ไม่ใช่คำแนะนำการลงทุน แต่เป็นเรื่องที่คนทำ data และ risk การเงินเลี่ยงไม่ได้แล้ว

1. ด้านรุก: AI ทำให้ "ต้นทุนการโกง" ถูกลงและเนียนขึ้น

ตัวเลขที่ผมคิดว่าทุกคนในสายนี้ควรจำคือประมาณการของ Deloitte ที่ว่า "gen AI could enable fraud losses to reach US$40 billion in the United States by 2027, from US$12.3 billion in 2023, a compound annual growth rate of 32%" — แปลว่าความสูญเสียจากการฉ้อโกงที่ generative AI เอื้อให้ในสหรัฐอาจโตจาก 12.3 พันล้านดอลลาร์ในปี 2023 ไปแตะ 4 หมื่นล้านดอลลาร์ในปี 2027 คิดเป็นอัตราโตทบต้น 32% ต่อปี ตัวเลขนี้ไม่ได้มาจากแหล่งเดียว ฝั่ง FinTech Global ก็รายงานตรงกันว่า "Fraud losses facilitated by generative AI are predicted to reach $40bn in the United States by 2027."

สิ่งที่ทำให้กราฟมันชันขนาดนี้คือ "ต้นทุนต่อการโกงหนึ่งครั้ง" ที่ถูกลง เมื่อปั้นของปลอมได้เร็วและถูก ปริมาณก็พุ่ง รายงานเดียวกันระบุว่า "Deepfake usage in biometric fraud attempts surged 58%, while injection attacks rose 40% year-on-year." คือการใช้ deepfake ในการโจมตีระบบยืนยันตัวตนเชิงชีวมิติเพิ่มขึ้น 58% และการโจมตีแบบฉีดสัญญาณปลอม (injection) เพิ่มขึ้น 40% เทียบปีต่อปี ส่วนปริมาณ deepfake โดยรวมก็สะท้อนภาพเดียวกัน — "The UK government has predicted 8 million deepfakes will be shared in 2025, up from just 500,000 in 2023."

ของยอดฮิตอีกตัวคือตัวตนสังเคราะห์ (synthetic identity) ที่ไม่ได้ขโมยตัวตนจริงของใคร แต่ปั้นคนที่ไม่มีอยู่จริงขึ้นมาทั้งคน FinTech Global ระบุว่า "Synthetic identity fraud continues to dominate, with businesses losing an estimated $20bn–$40bn globally each year." คือธุรกิจทั่วโลกเสียหายจากตัวตนสังเคราะห์ราว 2-4 หมื่นล้านดอลลาร์ต่อปี และเมื่อรวมความเสียหายจากการโกงตัวตนทุกแบบ "Global losses from identity fraud exceeded $50bn in 2025, and early indicators suggest 2026 will surpass that figure." ฝั่ง Thomson Reuters สรุปภาพปีนี้ไว้สั้นและตรงว่า "AI is now the biggest threat facing financial institutions in 2026"

ทำไมมันสำคัญกับเรา: สำหรับคนทำ model risk ตัวเลข 32% ต่อปีไม่ใช่แค่ข่าวน่าตกใจ แต่มันคือการบอกว่า "ฐานความเสี่ยง" ที่โมเดล fraud ของเราต้องรับมือกำลังเปลี่ยนเร็วกว่ารอบ revalidation ปกติ โมเดลที่ validate เมื่อปีที่แล้วบนข้อมูลโกงแบบเดิม อาจตาบอดกับ pattern ที่ generative AI เพิ่งสร้างขึ้นเมื่อเดือนที่แล้ว นี่คือเหตุผลว่าทำไม model risk ในยุคนี้ถึงต้องคิดเรื่อง drift ของ "ฝั่งตรงข้าม" ไม่ใช่แค่ drift ของข้อมูลลูกค้า (ผมเขียนเรื่องนี้ไว้ละเอียดในModel Risk ในยุค AI Agent)

2. จุดที่ระบบยืนยันตัวตนแบบเดิมเริ่มเอาไม่อยู่

สิ่งที่อันตรายกว่าตัวเลขความเสียหายคือ "วิธีที่มันผ่านด่าน" Thomson Reuters ชี้จุดที่ผมคิดว่าคนทำ control ต้องสะดุด — "Successful authentication can no longer serve as a definitive indicator of safety" คือการยืนยันตัวตนสำเร็จไม่ใช่หลักประกันความปลอดภัยอีกต่อไป เพราะมิจฉาชีพยุค AI ไม่ได้พยายามเจาะรหัสผ่าน แต่ปั้นตัวตนที่ "ผ่าน" ทุกการตรวจตั้งแต่ต้น

นี่คือสิ่งที่ผมเรียกว่าปัญหา "ทุกอย่างเขียว" — ด่าน KYC เขียว เอกสารเขียว ใบหน้าตรงกับบัตรเขียว แต่คนทั้งคนนั้นไม่มีอยู่จริง หรือเป็นเหยื่อที่ถูกหลอกให้โอนเอง ระบบ rule-based ที่ตั้งมาจับ "ความผิดปกติ" จึงเริ่มเอาไม่อยู่ เพราะธุรกรรมโกงยุคใหม่ดูปกติทุกฟิลด์ และเมื่อต้นทุนการปั้นตัวตนปลอมถูกลงตามที่เห็นในหัวข้อแรก ปริมาณ "ของปลอมที่ดูจริง" ก็ท่วมเข้ามาในอัตราที่ทีมตรวจสอบแบบเดิมรับไม่ไหว

ทำไมมันสำคัญกับเรา: control ที่อิง "การยืนยันตัวตนผ่าน = ปลอดภัย" คือสมมติฐานที่กำลังหมดอายุ คนทำ risk ต้องเริ่มออกแบบการตรวจจับที่ดูพฤติกรรมตลอด session ไม่ใช่ดูแค่จุด login จุดเดียว — ซึ่งพอดีกับเหตุผลว่าทำไมงานนี้ถึงต้องพึ่งระบบที่ดูสัญญาณจำนวนมหาศาลแบบต่อเนื่อง ไม่ใช่กฎตายตัวไม่กี่ข้อ

3. ด้านรับ: แบงก์เอา AI agent มาสู้กลับ

ข่าวดีคือฝั่งรับก็ไม่ได้อยู่เฉย กรณีที่เป็นรูปธรรมที่สุดที่ผมเจอปีนี้คือแบงก์ขนาดใหญ่ที่วางระบบ agentic fraud detection ทับโครงสร้างเดิม The Asian Banker รายงานว่าระบบนี้ทำงานโดย "monitoring more than 80 million signals each day across transactions, card and online payments and digital banking channels." คือเฝ้าสัญญาณมากกว่า 80 ล้านรายการต่อวันทั้งจากธุรกรรม บัตร การจ่ายเงินออนไลน์ และช่องทางดิจิทัล แบงกิ้ง — ปริมาณระดับนี้ไม่มีทางใช้คนนั่งดูได้

ผลลัพธ์ที่รายงานไว้คือระบบนี้ "helped cut fraud losses by over 20% in the first half of the 2026 financial year against the same period in 2025." คือช่วยลดความสูญเสียจากการโกงได้กว่า 20% ในครึ่งปีแรกของปีการเงิน 2026 เทียบกับช่วงเดียวกันของปี 2025 และเรื่องนี้ไม่ใช่เคสโดด ๆ — ผลสำรวจของ Capgemini ระบุว่างานตรวจจับการฉ้อโกงเป็นหนึ่งในกระบวนการอันดับต้นที่แบงก์เลือกเอา AI agent ไปใช้ในสเกลจริง โดยขึ้นเป็น "fraud detection (64%)" ในรายการ use case ยอดนิยม

ทำไมมันสำคัญกับเรา: ตัวเลขลด loss 20% น่าสนใจ แต่ในฐานะคนทำ validation ผมจะถามต่อทันทีว่า "แล้ว false positive ขึ้นเท่าไร ลูกค้าดีถูกบล็อกเพิ่มแค่ไหน" เพราะระบบที่ดู 80 ล้านสัญญาณต่อวันถ้าตั้ง threshold ผิดนิดเดียว จำนวนเคสที่ต้องรีวิวจะระเบิด การเอา agent มาใช้จึงไม่ใช่แค่เรื่อง "จับโกงเก่งขึ้น" แต่เป็นเรื่องสมดุลระหว่าง recall กับภาระงานรีวิว ซึ่งเป็นโจทย์ model risk คลาสสิกที่ย้ายมาอยู่บนเทคโนโลยีใหม่ (ผมเล่าฝั่ง agent ที่ลงมือทำธุรกรรมแทนคนไว้ในเมื่อ AI agent เริ่มขยับเงินจริง)

4. คอขวดใหม่: คนรีวิวไม่ทัน จึงต้องเอา AI เฝ้า AI

จุดที่ผมว่าเป็นแก่นของเรื่องทั้งหมดคือคำยอมรับตรง ๆ ในรายงานของ The Asian Banker ว่า "the impracticality of real-time human monitoring grows as agent use spreads" — ยิ่งใช้ agent มากเท่าไร การให้คนนั่งเฝ้าแบบเรียลไทม์ก็ยิ่งเป็นไปไม่ได้ และเมื่อคนเดียวรีวิวการตัดสินใจของ agent ที่เดินหลายร้อยสเตปไม่ไหว ทางออกที่ภาคการเงินกำลังเดินไปคือใช้ AI อีกชั้นมาเฝ้า AI ชั้นแรก — ซึ่งเป็นทิศทางเดียวกับที่ Financial Stability Board เพิ่งวางเป็นแนวปฏิบัติ (ผมสรุปไว้ในFSB กับแนวคิดใช้ AI คุม AI)

บทบาทของคนจึงไม่ได้หายไป แต่ขยับขึ้นไปเป็นผู้คุมระบบแทนผู้ตรวจทีละเคส Capgemini พบว่า "48% of financial institutions are creating new roles for employees to supervise agents." คือเกือบครึ่งของสถาบันการเงินกำลังสร้างตำแหน่งใหม่ขึ้นมาเพื่อกำกับดูแล agent โดยเฉพาะ แต่ความจริงอีกด้านคือการ deploy ยังอยู่ช่วงต้นมาก — "only 10% of firms surveyed have implemented AI agents at scale." มีเพียง 10% ที่ใช้จริงในสเกลใหญ่ ขณะที่ "80% of financial services firms are in the ideation or pilot stage of deployment." คือ 80% ยังอยู่ขั้นคิดหรือนำร่อง

ทำไมมันสำคัญกับเรา: ช่องว่างระหว่าง 10% ที่ใช้จริงกับ 80% ที่ยังนำร่อง คือหน้าต่างเวลาที่คนทำ risk จะเข้าไปวางกรอบกำกับก่อนที่ระบบจะถูกเร่งขึ้น production ตำแหน่ง "ผู้คุม agent" ที่ 48% ขององค์กรกำลังเปิดรับ คือสายอาชีพที่ต้องเข้าใจทั้งงาน control เดิมและธรรมชาติของ AI agent — ซึ่งเป็นจุดที่คนสาย finance ที่ลงมือใช้เครื่องมือ AI เป็นจะได้เปรียบ

5. คนทำ data/risk ควรเตรียมอะไร

จากที่ติดตามมา ผมสรุปสิ่งที่ทำได้จริงเป็นไม่กี่เรื่อง หนึ่ง — เปลี่ยน mindset จาก "ตรวจที่จุด login" เป็น "ตรวจพฤติกรรมตลอดเส้นทาง" เพราะของปลอมยุคนี้ผ่านด่านยืนยันตัวตนได้ สอง — ทำให้ทุกการตัดสินใจของระบบตรวจจับมี audit trail ที่ย้อนได้ว่าทำไมถึงบล็อกหรือปล่อย เพราะเมื่อ agent ตัดสินใจแทน คำถามแรกของผู้ตรวจคือ "อธิบายได้ไหม" สาม — อย่าทิ้งคนออกจากลูปทั้งหมด แต่ย้ายคนไปอยู่จุดที่ตัดสินใจสำคัญและจุดที่ต้องรับผิดชอบ

และข้อที่ผมเน้นที่สุดสำหรับคนสายการเงินที่อ่านมาถึงตรงนี้ คือทักษะการ "ใช้เครื่องมือ AI ลงมือทำงานจริง" ไม่ใช่แค่รู้ว่ามันคืออะไร เพราะคนที่จะวางกรอบกำกับ agent ได้ดีที่สุดคือคนที่เคยสร้างและสั่ง agent ด้วยตัวเองมาก่อน

ทำไมมันสำคัญกับเรา: เกมนี้ไม่ได้ตัดสินที่ใครมีโมเดลใหญ่กว่า แต่ตัดสินที่ใครเข้าใจทั้งฝั่งรุกและฝั่งรับเร็วกว่า คนทำ risk ที่ลงมือใช้ AI เป็น จะอ่านเกมของอีกฝั่งได้ขาดกว่าคนที่มองมันเป็นกล่องดำ

ภาพรวม

ปี 2026 คือปีที่การฉ้อโกงทางการเงินกลายเป็นเกม AI ปะทะ AI เต็มตัว ฝั่งมิจฉาชีพได้ต้นทุนที่ถูกลงจาก generative AI จนความสูญเสียถูกคาดว่าจะโตทบต้น 32% ต่อปีไปแตะ 4 หมื่นล้านดอลลาร์ในสหรัฐภายในปี 2027 ฝั่งแบงก์ตอบโต้ด้วย agent ที่เฝ้าสัญญาณ 80 ล้านรายการต่อวันและลด loss ได้กว่า 20% แต่ของจริงคือคอขวดด้านคน — เมื่อคนรีวิวทีละเคสไม่ไหว บทบาทมนุษย์ต้องขยับขึ้นไปเป็นผู้คุมระบบ และนั่นคือสายอาชีพใหม่ที่ต้องเข้าใจทั้ง control เดิมและ AI agent พร้อมกัน ใครอยากลงมือใช้ Claude Code สร้างและสั่ง agent ทำงาน data/finance เป็นกับมือ ผมรวบรวมวิธีไว้ในคอร์ส Claude Code

ที่มา

อ่านต่อ