Adakalanya kalau kita berbelanja dan membayar di kasir, menggunakan kartu kredit atau kartu debit, kasir menggesek kartu kita, selain di EDC (electronic data capture) milik bank, juga digesek di mesin kasir (cash register) milik perusahaan tempat kita belanja tersebut (merchant bank), itulah yang disebut double swipe, yang saat ini sedang ramai dibicarakan.
Ternyata, double swipe itu merupakan perbuatan yang dilarang oleh Bank Indonesia (BI), karena dengan cara begitu data kartu kita (nasabah kartu) tersimpan di database perusahaan tersebut, termasuk nomor Card Verification Value (CVV), yang terdapat di belakang kartu (terdiri dari tiga angka terakhir). Padahal kode CVV tersebut sangat penting untuk mengverivikasi data pengguna kartu tersebut. Padahal hanya bank penerbit kartu yang berhak mempunyai data nasabahnya itu.
Pada transaksi daring (online) dengan kartu kredit, nomor CCV itu selalu diminta sebagai syarat mutlak agar transaksi pembayaran dapat disetujui. Oleh karena itu sangat berbahaya jika sampai data kartu kredit kita dengan kode CCV tersebut sampai bocor dan disalahgunakan orang untuk melakukan transaksi pembelian barang daring.
Bank-bank telah melakukan pengamanan ganda untuk mencegah terjadinya pencurian data dengan kode CCV tersebut dengan cara mewajibkan pengguna kartu saat melakukan transaksi pembelian di toko daring untuk mengisi kode otentifikasi, yang dikirim via SMS ke nomor ponsel pemilik kartu terdaftar.
Meskipun demikian bocornya data pemilik kartu ke pihak yang tidak berhak itu, tetap saja berisiko tinggi, misalnya, jika ada skimmer yang terdapat pada mesin kasir itu, sehingga bisa dibuat kloning dari kartu debit, maupun kartu kredit untuk disalahgunakan.
Selain itu risiko lain yang berdampak sama adalah data pemilik kartu itu diperjualbelikan kepada pihak ketiga.
Dari situlah, sebenarnya, yang membuat kita heran ketika sering mendapat telepon dari orang-orang yang tidak dikenal, yang menawarkan berbagai macam produk dan jasa yang tidak kita butuhkan (yang bisa jadi penipuan juga), seperti sok akrab mengajak kita bertemu tatap muka untuk berbicara tentang peluang dan kerja sama bisnis, ditawarkan menjadi member hotel tertentu, ditawarkan kredit tanpa agunan (KTA), asuransi, perdagangan saham dan valas, dan lain-lain.
Biasanya, sembari menolak, kita bertanya-tanya dalam hati: dari mana orang-orang itu bisa mengetahui data pribadi kita, nama, dan nomor ponsel kita. Jawabannya: antara lain, bersumber dari double swipe di merchant yang nakal.
Berbicara tentang pengamanan penggunaan kartu yang berkaitan dengan kode CCV, maka kita juga harus berhati-hati dengan kode CCV pada kartu kredit kita, saat melakukan pembayaran di kasir (offline), karena bisa saja, diam-diam kasir yang nakal mencatat nama kita, nomor kartu dan kode CCV yang terdapat pada kartu kredit, lalu digunakan untuk melakukan transaksi pembelian di situs-situs belanja daring.
Ia cukup mengisi nama dan nomor dan kartu kredit kita berikut kode CCV yang diminta, maka transaksi pembayaran pun dapat terjadi, tanpa sepengetahuan kita, kita baru kaget luar biasa saat menerima billing tagihan dengan transaksi-transkasi yang tidak kita kenal. Transkasi seperti ini bisa terjadi lancar jika tidak ada pengamanan lebih lanjut yang mewajibkan pengisian kode otorisasi yang dikirim secara otomatis via sms ke nomor ponsel terdaftar.
Untuk mencegah terjadi hal tersebut, sebaiknya kode CCV yang terdapat di belakang kartu kredit kita, sebaiknya kita tutup dengan selotip sedemikian rupa sehingga tidak bisa dibaca. Sebelumnya, kita catat kode CCV itu untuk keperluan ketika kita sendiri nerbelanja toko daring.Saat ini, ramai-ramai orang bicara tentang larangan double swipe itu dimulai dari pernyataan dari Gubernur Bank Indonesia Agus Martowardjojo, di Gedung DPR, Selasa, 5 September 2017, yang memulai melakukan sosialisasi tentang larangan double swipe tersebut.
Demi melindungi kepentingan pemilik kartu sendiri, demi ketertiban, demi kepastian hukum, pencegahan terjadinya kejahatan pencurian data pemilik kartu yang bersumber dari double swipe itu, Gubernur BI itu menegaskan bahwa BI telah memerintahkan bank dan penerbit kartu kredit dan kartu debit untuk menindak tegas pedagang (merchant) yang melanggar larangan double swipe itu. Sedangkan bagi pemilik kartu, diharapkan menggunakan haknya untuk menolak jika kartunya hendak digesek lagi di mesin kasir.Larangan double swipe tersebut ternyata sudah berlaku sejak 2016, yaitu dengan Peraturan Bank Indonesia (PBI) Nomor 18/40/PBI/2016. Namun, selama ini, karena kurangnya sosialisasi, masyarakat pada umumnya belum mengetahuinya.
Sedangkan, bank dan penerbit kartu (acquirer), tidak tegas terhadap merchant yang melakukan pelanggaran double swipetersebut, yang ada cuma teguran yang sifatnya formalitas, yang segera diabaikan oleh merchant, sedangkan bank dan penerbit kartu pun selanjutnya pura-pura tidak tahu, karena jika bank/penerbit kartu melakukan pemutusan hubungan kerjasama bisnis dengan merchant, apalagi dengan merchantbesar, maka mereka akan kehilangan sumber pendapatan non-bunga berupa komisi dari setiap pembayaran dengan menggunakan kartu itu (fee based income).Adapun ketentuan Pasal 34 huruf b PBI tersebut adalah sebagai berikut:
Pasal 34
Penyelenggara Jasa Sistem Pembayaran dilarang:
b. menyalahgunakan data dan informasi nasabah maupun data dan informasi transaksi pembayaran
Sedangkan yang dimaksud dengan "menyalahgunakan data dan informasi" itu dijelaskan di bagian Penjelasannya, yaitu:
Penjelasan
Pasal 34
Huruf b
Yang dimaksud dengan “menyalahgunakan data dan informasi” adalah pengambilan atau penggunaan data selain untuk tujuan pemrosesan transaksi pembayaran misalnya pengambilan nomor kartu, card verification value, expiry date, dan/atau service code pada kartu debet/kredit melalui cash register di pedagang (double swipe).
Gubernur Bank Indonesia Agus Martowardjojo menyatakan bahwa mulai sekarang jika masih ada merchant yang membandel dengan tetap melakukan double swipe itu maka kepada bank dan penerbit kartu sebagai acquirer diwajibkan untuk menjatuhkan sanksi berupa pemutusan kerja sama bisnis dengan merchant yang bersangkutan, dan/atau Bank Indonesia dapat menjatuhkan sanksi kepadanya berupa di-black-listdan dicabut kewenangannya untuk menjalankan semua pembayaran dengan menggunakan kartu di semua EDC.
Untuk lebih efektifnya larangan tersebut, Bank Indonesia juga mengharapkan kerja sama nasabah pengguna kartu dengan ikut mengawasinya. Nasabah kartu diharapkan menggunakan haknya untuk menolak jika ada kasir yang hendak menggesek lagi kartunya ke mesin kasir.Pengguna kartu juga diharapkan mau melaporkan kepada Bank Indonesia, apabila mengetahui masih ada merchant yang melakukan double swipe, karena bagaimanapun juga peraturan ini dimaksud juga untuk melindungi kepentingan pengguna kartu dari kemungkinan menjadi korban kejahatan kartu kredit/debit.
Menurut Kabareskrim Komjen Ari Dono Sukmanto, Peraturan Bank Indonesia tersebut di atas, diterbitkan ga setelah terjadi beberapa kejahatan penggunaan kartu kredit/debit yang setelah disidik polisi ternyata bersumber dari double swipe itu(Jawa Pos), dengan demikian larangan double swipemerupakan sesuatu yang harus direspon dengan sangat serius oleh semua pihak. Divisi/departemen di Bank Indonesia yang siap menangani setiap pengaduan dan laporan yang berkaitan dengan transaksi non-tunai (dengan transfer internet Banking, dan menggunakan kartu kredit/debit) adalah divisi yang telah dibentuk Bank Indonesia sejak 1 Agustus 2013, namanya: Departemen Perlindungan Konsumen Sistem Pembayaran.
Pembentukan departemen ini dilatarbelakangi oleh makin meningkatnya transaksi dalam sistem pembayaran serta sebagai bentuk kepedulian terhadap seluruh konsumen sistem pembayaran. Fungsi divisi ini adalah edukasi, konsultasi dan fasilitasi. Kegiatan ini pada akhirnya diharapkan dapat membantu konsumen yang ingin meminta informasi dan/atau penanganan permasalahan sistem pembayaran.
Untuk menghubungi departemen ini, dapat ditempuh dua cara, yaitu dengan menelepon langsung ke nomor Bicara: 131, atau mengirim e-mail ke: bicara@bi.go.id.
- Konsumen telah menyampaikan pengaduan kepada penyelenggara dan telah ditindaklanjuti
- Tidak terdapat kesepakatan antara konsumen dengan penyelenggara
- Merupakan masalah perdata yang tidak sedang dalam proses atau belum diputus oleh lembaga mediasi, arbitrase atau peradilan
- Konsumen mengalami kerugian finansial.
Dengan memakainya saja di kasir, tanpa perlu menunggu bukti apakah terjadi double swipe atau tidak, setiap perusahaan yang terbukti menggunakan mesin kasir seperti itu dapat dijatuhi sanksi oleh Bank Indonesia, seperti dicabut kewenangan menggunakan mesin EDC dari seluruh bank/penerbit kartu.
Selain itu, saya juga mengusulkan, untuk lebih mesosialisasi larangan double swipe tersebut, sebaiknya Bank Indonesia mewajibkan bagi setiap merchant untuk menempel/meletakkan pemberitahuan tentang larangan tersebut di setiap kasir yang menerima sistem pembayaran dengan EDC. *****
