Menghadapi Kejahatan Transaksi Keuangan Digital

Ada gula ada semut. Maraknya transaksi keuangan digital juga mengundang penjahat untuk mengekploitasi kelemahan sistem dan kelengahan pengguna. Pada dasarnya, modus operandi mereka ada dua, yaitu technical hacking dan social engineering.

Techincal hacking dilakukan dengan cara meretas sistem untuk bisa mengendalikan dan mengatur responsnya sehingga bisa disalahgunakan untuk keuntungan mereka.

Hampir semua bank dan jasa teknologi finansial (fintech), terutama yang besar, sudah pernah mengalami serangan technical hacking. Kerugiannya bisa mencapai miliaran rupiah untuk satu insiden. Jika ada manajemen bank atau fintech yang mengatakan belum pernah menjadi korban, kemungkinannya mereka belum sadar, mereka berbohong, atau perusahaannya terlalu kecil untuk diserang.

Jika ada manajemen bank atau fintech yang mengatakan belum pernah menjadi korban, kemungkinannya mereka belum sadar, mereka berbohong, atau perusahaannya terlalu kecil untuk diserang.

Rata-rata pemain besar sudah melakukan mitigasi terhadap serangan technical hacking. Namun, seberapa siap para pemain yang relatif lebih kecil? Berapa banyak yang sudah menerapkan best practices keamanan teknologi informasi seperti memiliki firewall mumpuni, server yang diproteksi dengan baik, dan kebijakan keamanan teknologi informasi yang diterapkan secara disiplin.

Berapa di antara mereka yang memiliki Chief Information Security Officer (CISO) dan Security Operations Center yang memantau 7x24 jam. Rasanya hal ini masih merupakan pekerjaan rumah bagi regulator dan industri untuk segera menaikkan standar keamanan teknis teknologi informasi pelaku industri keuangan.

Sementara itu, social engineering adalah serangan yang dilakukan dengan mengeksploitasi pengguna dengan pendekatan sosial. Salah satu modus yang sering dipakai adalah phising di mana penjahat mengirim e-mail berisi link ke situs tertentu dan penerimanya dijebak untuk memasukkan user ID dan password.

Modus lain adalah meminta nasabah untuk memberitahukan kata kunci sekali pakai (OTP) dengan iming-iming hadiah. Ada juga yang menawarkan lelang mobil murah dan calon korban diminta untuk mentransfer sejumlah uang.

Social engineering sangat berkorelasi dengan literasi keuangan. Berdasarkan survei Otoritas Jasa Keuangan, literasi keuangan dari masyarakat Indonesia masih berkisar 49,68 persen. Sementara itu, inklusi keuangan kita ada di level 85.10 persen. Artinya, cukup banyak yang terpapar dengan produk dan layanan keuangan tanpa pemahaman yang memadai, termasuk pemahaman atas risiko. Untuk itu, sangatlah penting bagi para pelaku industri keuangan bersama regulator untuk melakukan edukasi kepada masyarakat.

Cukup banyak yang terpapar dengan produk dan layanan keuangan tanpa pemahaman yang memadai, termasuk pemahaman atas risiko.

Beberapa pelaku industri pembayaran, khususnya penerbit uang elektronik, menawarkan jaminan uang kembali jika terjadi kehilangan saldo. Dalam jangka pendek, hal ini membantu adopsi. Namun, dalam jangka panjang tidak mendidik karena memberikan rasa aman yang semu.

Baru-baru ini, salah satu bank besar justru bersikukuh untuk tidak mengganti uang nasabah karena nasabah tersebut lalai menjaga buku tabungan dan PIN. Ini merupakan langkah yang tidak populer, tetapi perlu dilakukan agar nasabah belajar. Regulator seyogianya mendukung hal semacam ini.

Perlindungan kepada nasabah harus diartikan dengan benar. Bukan dengan selalu memenuhi tuntutan nasabah padahal mereka yang salah. Namun, dengan mendidik mereka lebih berhati-hati dan ikut bertanggung jawab terhadap keamanan rekening mereka.

Berbagi pelajaran terkait kejahatan finansial merupakan hal yang sulit. Secara alami, institusi yang menjadi korban enggan untuk berbagi karena kejadian tersebut dianggap sebagai insiden yang memalukan.

Di sini peran regulator dan asosiasi industri menjadi penting sebagai pihak yang mengoordinasikan pelajaran yang diperoleh di antara pelaku industri keuangan digital, misalnya dengan workshop dan seminar berkala untuk menghadapi kejahatan transaksi digital.

Dari sisi transaksi pembayaran, Bank Indonesia sudah mendorong transaksi keuangan digital yang real time, seperti QRIS dan BI-Fast. Infrastruktur transaksi pembayaran yang semakin mudah dan cepat juga memudahkan penjahat untuk memindahkan uang hasil kejahatannya.

Oleh karena itu, BI bersama Asosiasi Sistem Pembayaran Indonesia (ASPI) hendaknya mendorong pembangunan infrastuktur bagi para penyedia sistem pembayaran untuk melakukan instruksi blokir dana hasil kejahatan secara real time. Agar hal itu bisa dilakukan, perlu dibuatkan payung hukum karena jika pemblokiran harus menungggu surat dari polisi, tentu akan terlambat.

Infrastruktur transaksi pembayaran yang semakin mudah dan cepat juga memudahkan penjahat untuk memindahkan uang hasil kejahatannya.

Baca juga: Kasus Robo Trading Ponzi: Jangan Membunuh Tikus dengan Membakar Lumbung

Secara teknis, institusi pengirim harus bisa melakukan blokir secara real time. Untuk itu, perlu dibangun infrastruktur dan prosedur yang melibatkan lembaga switching dan semua pihak penerima dana. Situasi saat ini, ibarat mobil, kecepatannya semakin tinggi tetapi rem mobil itu tidak pernah di-upgrade.

Secara umum, proses pengenalan nasabah (know your customer/KYC) uang elektronik server-based dan layanan virtual account lebih rileks dibandingkan dengan proses KYC pembukaan rekening tabungan di bank. Hal ini memudahkan penjahat untuk membuka uang elektronik atau virtual account untuk menampung hasil kejahatan mereka.

Oleh karena itu, regulator perlu menaikkan standar proses KYC bagi uang elektronik dan penyedia layanan virtual account, misalnya dengan mewajibkan adanya validasi data nasabah ke Dukcapil dan penerapan standar liveness detection yang baik.

Selain itu, karena hampir semua transaksi digital dilakukan menggunakan telepon seluler dan e-mail sebagai dasar pembukaan rekening, sebaiknya industri keuangan digital memiliki juga databaseblacklist nomor telepon seluler dan e-mail.

Pencucian uang hasil kejahatan transaksi keuangan digital dilakukan dengan berbagai cara. Pencucian dengan tarik tunai dari ATM tidak memenuhi skalabilitas (scalable) bagi para penjahat. Alternatif lain yang lebih mudah dan scalable adalah dengan pembelian pulsa handphone atau voucher game.

Saat ini belum ada standarisasi seberapa besar pulsa prabayar bisa dimiliki oleh satu kartu (SIM card) prabayar untuk periode tertentu. Pernah ada kejadian di mana satu kartu prabayar digunakan untuk menampung hasil kejahatan sampai beberapa ratus juta rupiah.

Selain itu, untuk melakukan blokir pulsa, mobile operator mensyaratkan adanya laporan polisi. Itu pun hanya untuk blokir sementara. Untuk mengembalikan pulsa hasil kejahatan diperlukan putusan pengadilan walaupun sudah jelas dana yang digunakan adalah hasil penipuan.

Baca juga: Web3 sebagai Platform Koperasi Digital

Untuk mencegah hal ini, OJK dan BI bersama dengan asosiasi industri harus menggandeng operator selular untuk mengatur hal itu. Idealnya, pengaturan juga mencakup aturan recovery (pengembalian) hasil kejahatan tanpa harus melalui proses pengadilan yang rumit dan lama.

Penggunaan teknologi digital itu seperti pedang bermata dua. Jika pelaku industri keuangan menggunakan teknologi digital dengan baik, mereka bisa jadi hebat. Sebaliknya, jika setengah-setengah dalam berinvestasi atau bahkan cenderung menganggap enteng, justru diintai berbahaya.

Peran regulator dan asosiasi industri dalam mitigasi kejahatan transaksi digital pun sangat penting. Strategi dan implementasinya janganlah bersifat reaktif dan tidak komprehensif.

*Rico Usthavia Frans, Anggota Steering Committee Indonesia Fintech Society