Materi yang dimuat dalam Surat Edaran Bank Indonesia ini antara lain mencakup: (a) Penggunaan teknologi chip dan PIN; (b) Kewajiban Penerbit Kartu ATM dan/atau Kartu Debet dalam rangka implementasi teknologi chip dan PIN; (c) Batas waktu implementasi teknologi chip dan PIN Kartu ATM dan/atau Kartu Debet; dan (d) Pelaporan rencana dan progress implementasi standar teknologi chip dan PIN Kartu ATM dan/atau Kartu Debet. Intinya adalah implementasi teknologi chip dan PIN sebagai alat otentifikasi transaksi pada APMK. Pihak perbankan pun harus bebenah dan menyiapkan diri untuk implementasinya, termasuk menarik dan menggantikan kartu yang masih menggunakan magnetic strip dengan chip.
Standar teknologi chip yang wajib digunakan oleh Penyelenggara Kartu ATM dan/atau Kartu Debet adalah standar teknologi chip yang telah disepakati oleh industri dan telah disetujui oleh Bank Indonesia. Sedangkan jumlah digit PIN yang wajib diimplementasikan untuk seluruh Kartu ATM dan/atau Kartu Debet yang diterbitkan di Indonesia paling kurang 6 (enam) digit. Penggunaan PIN sebagai sarana autentikasi merupakan pengganti tanda tangan Pemegang Kartu. Batas waktu implementasi standar teknologi chip dan PIN paling kurang 6 (enam) digit pada Kartu ATM dan/atau Kartu Debet yang diterbitkan di Indonesia paling lama tanggal 31 Desember 2015. Regulasi tersebut berdampak besar terhadap transaksi keuangan di Indonesia. Menurut data dari BI, selama tahun 2010, dengan jumlah kartu yang beredar sebesar 51,6 juta kartu, volume penggunaan Kartu ATM/Debet yang mencapai 1,81 milyar transaksi atau 4,95 juta transaksi per hari, menjadi yang paling tinggi diantara alat pembayaran lainnya.
*****
”Chip and PIN is Broken”
Implikasi regulasi dai BI memang sangat signifikan terhadap penulusuran dan pembuktian keabsahan sebuah transaksi. Dengan penggunaan PIN sebagai pengganti tanda tangan, faktor kritisnya adalah otentifikasi pelaku transaksi yang hanya diwakili dengan sederet simbol niminal 6 digit. Salah satu konsekuensinya adalah PIN menjadi sangat penting jangan sampai disalahgunakan oleh pihak yang tidak berhak. Namun, seberapa kemampuan dan kesiapan ketika untuk mencegah penyalahgunaan tersebut menjadi pertanyaan krusial dan kritis untuk diantisipasi oleh BI dan pemangku kepentingan lain dari sistem transaksi keuangan di Indonesia.
Di era transaksi keuangan konvesional- maksudnya dengan cara manual- kita sering mendengar istilah bukti fiktif, atau tanda tangan palsu. Modus penyeleweangan tersebut tentu ada padanannya, misalnya bagaimana kalo PIN kita diketahui dan disalahgunakan oleh orang lain. Jika para penyidik cyber crime tidak bisa membuktikan, atau kita sebagai pemilik PIN tidak punya alibi kuat, maka bisa jadi kita sebagai pemilik PIN yang syah terseret atau minimal direpotkan dengan masalah penyidikan cyber crime.
Ketika saya mendiskusikan masalah Chip dan PIN ini dengan teman, yang menurut ukuran saya boleh disebut pakar IT Security, teman tersebut malah menunjukkan hasil penelitian dari Cambridge University tentang keamaan Chip dan PIN yang masih bisa dijebol. Peneliti tersebut nyaris menjadi penguji luar ketika teman saya menyelesaikan disertasinya di Jerman. Kami pun membahas regulasi BI bersama-sama, termasuk dari aspek standarisasi teknologi kartu chipnya, yang dalam regulasi BI disebut dengan National Specification for Indonesia Chip Card Standard (NSICCS). Namun, sehebat apapun teknologinya, selalu ada vulnerability yang bisa dieksploitasi para pembobol dunia digital, seperti dipublikasi oleh Ross Anderson dari Cambridge.
Silahkan disimak berita tentang modus pembobolan Chip dan PIN di link berikut: “Chip and pin card readers fundamentally flawed”, The Telegraph, By Richard Alleyne “Chip and PIN is Broken”, by Ross Anderson
Semoga BI sudah bisa mengantisipasi resiko pembobolan Chip dan PIN tersebut demi kenyamanan dan keamanan bertransaksi di era digital. Saya meyakini para pakar di BI pun sudah mengetahui berbagai resiko terkait dengan implementasi Chip dan PIN sebagai alat verifikasi dan otentikasi transaksi keuangan di Indonesia. Apalagi waktu pemberlakuan regulasi ini masih lima tahun lagi. Masih ada waktu untuk bersiap-siap untuk meningkatkan kewaspadaan.
