Hati-hati, Kejahatan Siber Hantui Transaksi QRIS Lintas Negara

Selasa, 19 April 2022 | 06:10 WIB   Reporter: Maizal Walfajri
Hati-hati, Kejahatan Siber Hantui Transaksi QRIS Lintas Negara


KONTAN.CO.ID - JAKARTA. Gagasan Bank Indonesia membawa Quick Response Code Indonesia Standard (QRIS) sebagai alat pembayaran global makin nyata. Saat ini, regulator terus melakukan uji coba penerapannya bersama otoritas sistem pembayaran di Malaysia dan Thailand. 

Teknologi QR Code ini menjanjikan segudang keunggulan dari efisiensi, kecepatan, hingga kemudahan dalam penggunaannya. Maklum, nasabah perbankan maupun fintech payment cukup membawa ponsel pintarnya saat melancong ke luar negeri. 

Selama terhubung dengan jaringan internet, nasabah tinggal memindai QR merchant. Dalam hitungan sepersekian detik, transaksi pun sukses. Bahkan transaksi ini tetap mengandalkan mata uang rupiah di bawah payung currency settlement (LCS).

Skema LCS memungkinkan penyelesaian transaksi bilateral antara dua negara yang dilakukan dalam mata uang masing-masing negara. Lantaran setelmen transaksinya dilakukan di dalam yurisdiksi wilayah negara masing-masing.

Kendati demikian, teknologi selalu mengandung ancaman siber dari oknum tak bertanggung jawab. Senior Faculty Lembaga Pengembangan Perbankan Indonesia (LPPI) Amin Nurdin mengatakan saat awal pengenalan kartu kredit kedua negara ini paling banyak mencatatkan laporan penyelewengan. 

Baca Juga: QRIS Lintas Negara Siap Jadi Alat Pembayaran Global Masa Depan

“Mulai dari spam sampai transaksi awal-awal. Bila bekerjasama dengan Malaysia dan Thailand, maka harus benar-benar diperhatikan terkait keamanan transaksi. Jangan sampai menimbulkan hacker dan cyber crime yang bisa merusak tatanan QRIS ini,” ungkapnya. 

Terlebih, Amin melihat kesiapan Indonesia untuk teknologi informatika baik kebijakan, hukum, infrastruktur masih belum optimal. Terkadang penegak hukum, lembaga keuangan, hingga masyarakat ada yang belum siap. 

Pakar keamanan siber sekaligus Kepala lembaga riset siber Communication & Information System Security Research Center (CISSReC), Pratama Persadha menyatakan banyak pelaku kejahatan membuat QR Code palsu untuk mengarahkan ke rekening lain dan juga ke website berisi malware. 

Ia berkaca pada pada kejadian di 2014 silam, otoritas China menghentikan pembayaran dompet digital sementara dalam waktu lama. Saat itu AliPay dan WeChat Pay menjadi alat pembayaran utama bahkan hingga di pasar dan warung-warung. 

“Gara-gara QR Code palsu ini, pemerintah China menghentikan pemakaian WeChat Pay dan Ali Pay sementara waktu saat itu. Hal seperti ini yang seharusnya menjadi perhatian serius pemerintah dan pengampu kebijakan sehingga kemudahan-kemudahan tadi tidak bermuara pada fraud,” jelasnya. 

Ia menyatakan faktor keamanan siber adalah menjadi salah satu hal yang diperhatikan oleh Bank dan Pemerintah dalam membangun ekosistem keuangan digital di tanah air, termasuk rencana Bank Indonesia yang melakukan uji coba transaksi QRIS dengan Malaysia dan Thailand.  

Keamanan siber wajib menjadi perhatian serius. Mengingat selama masa pandemi Covid-19 banyak terjadi serangan berbagai situs dan pencurian data di beberapa institusi pemerintah dan perusahaan besar tanah air.   

Merujuk data Badan Siber dan Sandi negara terdapat 88 juta anomali serangan siber yang tercatat di sepanjang tahun 2021. Termasuk mengancam berbagai layanan dompet digital yang ada saat ini. 

“Bahkan sebelum masa pandemi Covid-19 sudah ada beberapa kejadian seperti saldo hilang dan transaksi fiktif.  Hal semacam ini memerlukan perbaikan dari sisi teknis pengembang pemilik platform dan juga harus didukung oleh regulasi pemerintah yang mengayomi masyarakat juga pihak pemilik platform dompet digital. Minimal dengan mengakomodasi pasal-pasal pengamanan data pribadi dalam RUU Perlindungan Data Pribadi,” tambahnya. 

SVP Transaction Banking Retail Sales Bank Mandiri, Thomas Wahyudi  menyatakan saat ini, Bank Mandiri sedang menyiapkan semua infrastruktur QRIS lintas negara secara menyeluruh. Mulai dari aspek baik dari aspek teknis, operasional, SOP, hingga penanganan nasabah. 

Baca Juga: Transaksi QRIS pada Dompet Digital Semakin Melesat

“Sehingga diharapkan saat diluncurkan dapat langsung memberikan layanan yang terbaik dan maksimal bagi nasabah. Bank Mandiri akan mematuhi dan mengimplementasikan ketentuan yang diterapkan regulator,” tuturnya. 

Adapun Bank Indonesia (BI) sebagai inisiator sekaligus regulator QRIS telah menyiapkan berbagai jurus menangkal serangan siber ini. Asisten Gubernur Kepala Departemen Kebijakan Sistem Pembayaran BI, Filianingsih Hendarta menyatakan BI telah mengatur kewajiban bagi penyedia jasa pembayaran (PJP) mengenai pemenuhan manajemen risiko dan kapabilitas sistem pembayaran. 

“Hal ini guna memastikan keamanan transaksi sejalan dengan semangat reformasi pengaturan SP oleh BI. Dari sisi keamanan aplikasi pengguna, kita mewajibkan penggunaan two factor authentication agar hanya user yang memiliki akses ke accountnya yang dapat bertransaksi,” tambahnya. 

Memang, Two Factor Authentication (2FA) sudah menjadi standar pengamanan akun penting dan transaksi finansial. Kunci pengamanan 2FA adalah One Time Password (OTP) atau password sekali pakai berupa angka acak yang akan dikirimkan berdasarkan waktu, dan akan hangus setiap kali digunakan atau telah melewati batas waktu password yang telah ditentukan (biasanya beberapa menit).

OTP ini sangat efektif menangkal aksi keylogger atau trojan yang berusaha mencuri kredensial yang diketikkan ketika mengakses situs atau layanan penting. Prinsip dasar penggunaan TFA-OTP adalah harus ada 2 faktor pengaman yang terpisah.  

Fili menambahkan, dari sisi infrastruktur, para penyelenggara yang terlibat mengikuti standar operasional dan keamanan QRIS. Sejalan dengan itu, BI akan terus melakukan pengawasan secara rutin diaudit oleh auditor independen. 

Tak sampai di situ, dalam uji coba penerapan QRIS bersama Malaysia dan Thailand, regulator terkait sepakat mengadopsi standar internasional yang sama yaitu EMVco. Fili menilai aspek keamanan relatif terstandar karena merupakan international best practices.

EMVco merupakan organisasi yang terdiri dari Europay, MasterCard, dan Visa yang mengembangkan dan menetapkan EMV sebagai standar pembayaran lintas operasi secara global yang aman. 

Ketika nasabah menggunakan perangkat yang diaktifkan dengan EMV untuk membayar di merchant, maka transaksi secara dinamis akan dikonfirmasi, diverifikasi dan kemudian diotorisasikan. 

Nasabah dapat menggunakan Personal Identification Number (PIN) atau kode OTP untuk memverifikasi bahwa konsumen memang bertransaksi menggunakan perangkat miliknya.

Praktik EMV ini sudah diterapkan untuk transaksi pembayaran menggunakan kartu kredit maupun debit berbasiskan chip. Standar EMV membantu memaksimalkan keamanan dan interoperabilitas global sehingga kartu Visa dapat terus diterima di seluruh dunia.

Cek Berita dan Artikel yang lain di Google News

Editor: Herlina Kartika Dewi

Terbaru