Santernya pemberitaan mengenai penyalahgunaan Quick Response Code Indonesian Standard (QRIS) membuat hati ini tergelitik ingin mencoba seperti apa aspek keamanannya. Tentu dari perspektif perlindungan konsumen. Inilah pihak yang paling dirugikan dalam kasus penyalahgunaan QRIS seperti yang terjadi di sejumlah mesjid di Jakarta baru-baru ini.
Pelaku mengganti kode batang QRIS pada kotak amal mesjid dengan barcode QRIS berisi rekening miliknya. Praktis dana sumbangan para dermawan masuk ke kantong pelaku. Lebih mengejutkan lagi, pelaku telah menjalankan aksinya itu di 38 lokasi. Beruntung aksi ini cepat terungkap dan pelakunya sudah berhasil ditangkap dan sedang menjalani proses hukum untuk mempertanggung jawabkan perbuatannya.
Pertanyaan pertama yang muncul di benak saya adalah bagaimana prosedur untuk membuat barcode QRIS ?
Ternyata tidak terlalu sulit. Calon pelanggan hanya perlu membuka rekening pada salah satu penyelenggara QRIS yang sudah berijin dari Bank Indonesia. Kemudian Melengkapi syarat administrasi termasuk mengunggah berbagai file dokumen sesuai dengan kategori pembuatan QRIS. Untuk kelompok perorangan, badan usaha, pendidikan, SPBU, yayasan atau untuk keperluan penggalangan dana.
Kelengkapan administrasi yang diminta antara lain foto atau scan KTP, nomor Kartu Keluarga, foto NPWP, foto akte pendirian untuk badan usaha, dan lain sebagainya. Setelah seluruh persyaratan dan dokumen sudah dinyatakan lengkap, pelanggan dapat langsung mencetak QRIS secara mandiri dan siap digunakan.
Saya pikir bagian ini sudah cukup memenuhi standar keamanan. Penyelenggara QRIS sudah menjalankan proses verifikasi data dan dokumen pelanggan. Kelengkapan administrasi yang dijadikan syarat sudah cukup menjadi semacam warning agar pelanggan tidak menyalahgunakan QRIS miliknya. Dengan dokumen yang ada pada penyelenggara QRIS, cepat atau lambat dia akan tertangkap dan menerima konsekuensi hukumnya.
Pertanyaan selanjutnya adalah bagaimana dengan sistem keamanan dari Penyelenggara Jasa Sistem Pembayaran (PJSP) ?
Uji coba kembali dilakukan. Saya mencari QRIS secara acak melalui mesin pencari untuk di pindai. Dalam uji coba ini saya menggunakan tiga aplikasi PJSP untuk melihat bagaimana sistem keamanan masing-masing bekerja. Dari hasil pemindaian, sistem keamanan ketiga aplikasi PJSP itu bekerja dengan baik. Pada saat dilakukan pemindaian ketiganya menampilkan nama merchant yang sama dengan yang tercantum pada bagian atas barcode QRIS. Artinya, QRIS itu memang merupakan milik dari merchant bersangkutan.
Kesimpulan saya, dari sisi Penyelenggara QRIS dan PJSP sistem keamanannya  sudah bekerja dengan baik. Lalu bagaimana caranya agar pengguna aplikasi dompet digital terhindar dari ulah nakal dari orang-orang tidak tertanggung jawab yang memanfaatkan kecanggihan teknologi ini untuk keuntungan pribadi ?
Jawabannya adalah ketelitian. Ketika melakukan pembayaran menggunakan aplikasi dompet digital selalu periksa informasi nama merchant penerima pembayaran. Pastikan namanya sama dengan dengan yang tercantum pada bagian atas QRIS yang di pindai. Kalau berbeda, jangan teruskan pembayaran dan laporkan temuan itu kepada pihak yang berwenang.