Prudential Banking : Belajar Dari Sebuah Musibah

Lesson Learned Kasus Pembobolan ATM
Himawan Kusprianto http://himawankusprianto.wordpress.com/

Ada semacam anekdot yang menyebut bahwa nyaman belum tentu aman. Ini ada kaitannya dengan kasus fraud yang terjadi pada Kartu ATM baru-baru ini. Disaat ATM sudah menjadi suatu kebutuhan pokok karena kenyamanannya, tiba-tiba publik dihenyakkan oleh kasus pembobolan mesin ATM di Bali. Dana masyarakat di beberapa bank yang tergabung dalam jaringan ATM telah dibobol melalui modus pencurian identitas dan data yang terdapat di kartu ATM yang dikenal dengan skimming.
Sejak kasus tersebut merebak, banyak masyarakat yang mengaku uang direkeningnya tiba-tiba berkurang. Setelah ditelusuri, ada dana yang diambil di luar negeri padahal negara tersebut tidak pernah dikunjungi. Ada juga yang mengambil pada waktu hampir bersamaan di tempat yang berbeda. Bank-bankpun cukup disibukkan dengan pengaduan dan penyelesaian permasalahan nasabanya.
Lantas apakah hal ini dapat mengganggu aktivitas ekonomi sebagian besar masyarakat yang sudah nyaman dengan ATM dalam kehidupan sehari-harinya.
Sudah barang tentu masyarakat akan khawatir terhadap nilai tabungan yang dimilikinya. Reaksipun muncul bahkan terkadang emosional. Ada yang langsung mengganti nomor PIN ATM-nya. Ada juga yang menutup rekening kemudian memindahkan ke bank lain dan tidak mau lagi menggunakan ATM. Dan yang paling konvensional adalah kembali ke cara klasik yakni dengan menyimpan uang mereka di rumah.
Reaksi yang muncul di kalangan masyarakat adalah hal yang wajar. Ini sebagai respon terhadap turunnya ekspektasi keamanan dan akhirnya rela meninggalkan kenyamanan yang selama ini telah diperoleh.
Bank Indonesia pun menyadari bahwa hal ini tidak bisa dibiarkan menjadi kasus besar yang merebak dimana-mana. Selain membuat resah seluruh pengguna ATM, hal ini pun dapat mengurangi kepercayaan masyarakat terhadap ATM sebagai alat bayar dimana hal ini bertentangan dengan kebijakan umum di bidang sistem pembayaran.
Solusi jangka pendek
Menyikapi kasus tersebut, Bank Indonesia sebagai regulator perbankan maupun sistem pembayaran telah mengambil enam langkah antisipasi jangka pendek. Pertama, berkoordinasi dengan instansi terkait yang berwenang menangani tindak pidana pencurian uang melalui pembobolan ATM. Diharapkan dalam waktu cepat seluruh aliran dana dapat dideteksi sehingga pelakunya dapat ditangkap.
Kedua, membentuk tim kerja yang melibatkan perbankan dan Bank Indonesia untuk mengambil langkah-langkah efektif guna bertindak cepat dalam melokalisir terjadinya pencurian data ATM masyarakatnya. Hal ini dilakukan melalui tukar-menukar data identitas masyarakat yang diindikasi terkena kasus skimming ini. Ini penting untuk memantau atau memblokir perpindahan dana yang mencurigakan. Selain itu bank saling memberikan informasi mekanisme penanganan masalah yang dihadapi agar diperoleh model penyelesaian yang paling optimal.
Ketiga, meminta perbankan untuk meningkatkan keamanan seluruh infrastruktur ATM-nya dengan menambahkan fitur-fitur seperti PIN cover, alat anti skimmer dan CCTV bagi ATM yang belum dilengkapi perangkat tersebut. Paling tidak hal ini akan meminimalisir kemungkinan terjadinya kasus skimming di masa mendatang.
Keempat, meminta seluruh bank untuk melakukan peninjauan ulang terhadap kebijakan internalnya terutama terkait dengan kerjasama dengan pihak ketiga dalam rangka memberikan jasa pendukung penyelenggaraan Kartu ATM. Ini penting karena bisa saja pihak-pihak terafiliasi tersebut mengetahui kelemahan sistem internal sehingga menjadi celah yang memudahkan fraudster mendapatkan data-data yang dibutuhkan.
Kelima, meminta penyedia jaringan yang ditengarai digunakan oleh fraudster untuk menyediakan data transaksi mencurigakan. Hal ini dimaksudkan untuk mengetahui kemungkinan penyadapan data ATM masyarakat lain namun dananya belum sempat diambil. Sehingga dapat dilakukan tindakan cepet untuk menghindari pembobolan dana masyarakat tersebut.
Terakhir adalah mewajibkan seluruh bank untuk mengganti seluruh dana masyarakat yang hilang apabila terbukti karena kasus skimming. Hal ini selain pengejawantahan prinsip perlidungan nasabah juga dalam rangka tetap menjaga kepercayaan masyarakat terhadap alat pembayaran dan tentunya menjaga reputasi industri perbankan di Indonesia.
Kebijakan kedepan
Kebijakan mitigasi risiko fraud tersebut telah menjadi concern Bank Sentral selama ini karena memiliki kepentingan menciptakan industri pembayaran yang sound, aman, handal. Hal ini utamanya untuk mendukung efisiensi aktivitas perekonomian dengan tetap menjaga kepercayaan masyarakat terhadap alat bayar yang berkembang.
Merujuk pada ketentuan dan kebijakan Sistem Pembayaran Bank Indonesia tersebut, dalam setiap proses perizinan Bank Indonesia telah melakukan beberapa hal khususya terkait dengan upaya memitigasi risiko fraud Mewajibkan calon penyelenggara menggunakan sistem yang aman dan handal yang dibuktikan dengan adanya pemenuhan terhadap security audit yang dilakukan oleh lembaga independen.
Mewajibkan calon penyelenggara untuk senantiasa memelihara dan meningkatkan teknologi APMK dengan selalu mengikuti perkembangan teknologi terutama teknologi keamanan sistem. Hal ini dimaksudkan untuk mengurangi fraud APMK sehingga menjaga kepercayaan masyarakat terhadap instrumen pembayaran.
Mewajibkan calon penyelenggara untuk memiliki kebijakan dan prosedur internal tertulis dalam penyelenggaraan kegiatan APMK seperti alur proses yang jelas dan pemisahan kewenangan (segregation of duties) yang tegas untuk meminimalisir risiko fraud internal.
Mereview secara detail terhadap konsep pokok-pokok hubungan bisnis antara calon penyelenggara dengan pihak-pihak lain yang terlibat untuk memastikan bahwa area-area yang berpotensi menjadi loophole bagi fraud dapat termitigasi dengan baik.
Khusus untuk kartu kredit, penyelenggara wajib menggunakan teknologi chip yang saat ini dipandang paling aman dari risiko pencurian data melalui skimming. Dalam PBI APMK seluruh penyelenggara wajib mengganti intrumen kartu kredit dan seluruh infrastruktur pendukungnya (EDC).
Mewajibkan calon penyelenggara menggunakan teknlogi dual faktor autentification dalam setiap sistem yang dikembangkan termasuk penggunaan instrument oleh nasabahnya.
Prosedur menjaga keamanan dan kerahasiaan data keamaan data center baik dari sisi akses fisik dan maupun akses ke jaringan, pemantauan dan review ketat terhadap penggunaan outsourcing baik di sisi infrastruktur maupun pegawai.Dampak biaya bukan alasan lgi bagi bank
Pengendalian Risiko Oleh Masyarakat
Upaya-upaya yang telah dilakukan Bank Indonesia bersama perbankan belum tentu dapat mencegah seluruh kasus fraud yang mungkin akan terjadi lagi. Peran masyarakat dalam hal ini menjadi sangat penting. Karena secanggih-canggihnya sistem dan infrastruktur dibuat masih dimungkinkan terdapat celah yang bisa digunakan oleh pelaku kejahatan kartu.
Satu-satunya cara yang paling aman saat ini adalah penjagaan dan pengelolaan PIN secara bijak. Setidaknya ada empat hal yang perlu dilakukan. Pertama, agar masyarakat merahasiakan nomor PIN yang dimiliki. Jangan pernah memberikan kepada orang lain bahkan orang yang sangat dipercaya sekalipun. Kedua jangan menggunakan PIN yang mudah ditebak seperti tanggal lahir. Ketiga, selalu mengganti PIN secara rutin. Sulit memang, karena ada potensi lupa. Tapi ini merupakan cara efektif untuk menghindari pengintaian nomor PIN kita. Kelima adalah aware terhadap lingkungan sekitar terutama pada saat memencet nomor PIN.
Upaya lainnya adalah menggunakan kartu pembayaran benar-benar murni sebagai alat bayar. Artinya apa? Kita perlu memilah-milah dengan bijak dalam menggunakan rekening tabungan. Adakalanya perlu dipisahkan antara tabungan yang digunakan untuk motif pembayaran dan tabungan untuk motif berjaga-jaga. Untuk tabungan, sebisa mungkin hanya diambil apabila ada keperluan penting sehingga diupayakan seminimal mungkin menggunakan kartu. Sementara itu tabungan untuk motif transaksi penempatan dananya diupayakan hanya sebesar nilai untuk kepentingan transaksi rutin saja. Pun risiko kehilangan uang apabila terjadi kasus seperti diatas, jumlahnya dapat diminimalisir.