JAKARTA–Sering belanja dengan kartu kredit ataupun kartu debit? Waspada jika kartu Anda digesek dua kali oleh kasir di merchant. Bank Indonesia menegaskan bahwa kartu hanya boleh diproses di electronic data capture (EDC) milik bank atau agen pembayaran. Gerai dilarang menggesek di komputer kasir.
Larangan mengenai praktik double swipe kartu tercantum dalam Peraturan Bank Indonesia (PBI) No 18/40/PBI/2016 tentang Penyelenggaraan Pemrosesan Transaksi Pembayaran. Pada pasal 34 huruf b, BI melarang penyelenggara jasa sistem pembayaran menyalahgunakan data nasabah selain untuk tujuan pemrosesan transaksi pembayaran.
Kartu kredit dan debit, misalnya, hanya boleh diproses pada mesin EDC milik bank saja. Selanjutnya, kartu tersebut tidak boleh diproses lagi pada mesin kasir (cash register) milik toko dan merchant lain yang bekerja sama dengan bank. Pelarangan gesek ganda tersebut bertujuan untuk melindungi masyarakat dari risiko pencurian data dan informasi kartu.
Peraturan tersebut sebenarnya sudah sejak tahun lalu dikeluarkan oleh BI. “Kami memang dapat banyak masukan di lapangan dan kami kembali mengingatkan masyarakat dalam rilis yang dikeluarkan BI baru-baru ini. Kalangan perbankan juga sudah mengingatkan BI mengenai hal ini pada beberapa kesempatan,” kata Direktur Eksekutif Departemen Komunikasi BI Agusman.
Pihak merchant seharusnya mematuhi perjanjian dengan bank untuk tidak memproses kartu milik nasabah di mesin kasir. Namun, bank sendiri selama ini hanya menegur merchant kurang tegas dalam menjatuhkan sanksi kepada merchant. Jika bank memutus kerja samanya dengan merchant, bank sebenarnya rugi karena berpotensi kehilangan sumber pendapatan non-bunga atau fee based income.
Gubernur Bank Indonesia (BI) Agus D. W. Martowardojo mengungkapkan, pihaknya akan melakukan tindakan tegas pada merchant yang masih melakukan gesek ganda. “Tentu sanksinya adalah bisa di-blacklist atau dicabut kewenangannya untuk menjalankan pembayaran melalui EDC,” tuturnya.
Dia pun mengimbau agar nasabah memperhatikan cara kerja kasir ketika memproses transaksi dengan kartu, baik kartu debit maupun kredit. Masyarakat berhak menolak jika kartunya digesek atau dicolokkan di mesin lain selain EDC. Masyarakat juga bisa melaporkan praktik gesek ganda yang diketahui atau dialaminya ke contact center BI di nomor 131.
General Manager Asosiasi Kartu Kredit Indonesia (AKKI) Steve Marta mengatakan, jika merchant melakukan gesek ganda, kemudian merekam data transaksi beserta Card Verification Value (CVV) kartu, data tersebut berpotensi disalahgunakan. Misalnya, untuk dikloning pada kartu palsu. “Bisa saja untuk kartu palsu jika ada oknum merchant yang nakal,” katanya.
Pemalsuan kartu kredit itu biasanya dilakukan pada kartu yang masih menggunakan pita magnetik (magnetic stripe) atau tidak menerapkan teknologi chip. Namun jika kartu tersebut sudah pakai chip, maka data pada kartu lebih sulit untuk dikloning pada kartu palsu. Sebagian besar kartu kredit saat ini sudah menggunakan chip, karena BI sudah mengimbau bank untuk bermigrasi, dari teknologi magnetic stripe ke chip.
Senior Executive Vice President Jaringan dan Layanan PT Bank Rakyat Indonesia Tbk (BRI) Agus Noorsanto mengungkapkan, BRI telah menerapkan teknologi chip pada kartu kreditnya. Hal itu membuat data dalam kartu lebih aman dan sehingga penggandaan kartu sulit dilakukan. “Kalaupun kartu kredit yang pakai chip itu dipalsukan lalu ditransaksikan di luar negeri, misalnya, pihak bank di Indonesia pasti tidak bisa memprosesnya. Kalau soal sosialisasi ke nasabah, kami terus mengedukasi lewat e-mail, media sosial, dan SMS,” urainya.
Direktur Utama PT Bank Negara Indonesia Tbk (BNI) Ahmad Baiquni mengungkapkan, BNI telah menyediakan integrated cash register (IRC). Dengan IRC, merchant tidak perlu melakukan perekaman data dua kali. “Itu sudah terintegrasi antara mesin EDC dan mesin kasirnya. Jadi ya, intinya kartu itu tetap dicolokkan di mesin EDC saja, tidak perlu lagi digesek di mesin kasir milik merchant,” katanya.
Di lain pihak, pengusaha retail yang biasa menggunakan mesin EDC sebagai media pembayaran transaksi membantah jika tindakan swipe pada kartu kredit mengarah pada penyalahgunaan data konsumen. Himpunan Penyewa Pusat Perbelanjaan Indonesia (Hippindo) Budihardjo Iduansjah menyebutkan jika zaman sekarang umumnya retail besar hanya menerapkan sekali gesek saat melayani pembayaran konsumen. ”Memang ada yang pakai metode seperti itu (double swipe, red) tapi sedikit sekali.
Dan itu pun hanya sebatas me-record nomor kartu kredit, nama pelanggan, bank pelanggan, dan list belanjanya. Atau istilahnya untuk mempermudah kerja kasir saja, daripada harus input manual ada potensi salah dan membutuhkan waktu lebih lama,” ujar Budihardjo, saat dihubungi kemarin (6/9).
Pada metode double swipe, lanjut Budihardjo, data akan langsung di-submit ke sistem di mana kasir tidak punya akses untuk membaca apalagi mengambil. ”Data tersebut tentu sangat dijaga privasinya dan data tersebut sangat minim, rasanya tidak mungkin disalahgunakan. Kalau data lengkap pelanggan tentu ada di bank masing-masing. Namun, sekali lagi yang seperti itu jumlahnya sangat kecil, saya sudah menanyakan ke rekan-rekan termasuk gerai kecil seperti Alfamart juga tidak ada metode double swipe,” tambah Budihardjo.
Diwawancarai terpisah, Corporate Secretary PT Matahari Putra Prima Tbk Danny Kojongian juga kurang setuju jika double swipe yang dilakukan retailer mengarah pada kecurangan. ”Itu sifatnya lebih pada approval transaksi. Ada juga yang geseknya di mesin TOS itu hanya untuk merekam data pembelian. Saya akan komunikasi lagi dengan internal untuk memastikan SOP yang berlaku. Setahu saya, sejauh ini kami hanya menggunakan metode single swipe,” ujar Danny.
PT Matahari Putra Prima sebagai operator department store ritel Hypermart, menyebutkan bahwa umumnya retail besar hanya melakukan single swipe dan tidak ada upaya meng-collect data personal pelanggan melalui mesin transaksi. ”Rata-rata sekarang retail menerapkan sistem membership seperti kartu loyalitas.
Dari situ retail mendapatkan identitas lengkap pelanggan beserta kontak dan e-mail. Tujuannya tentu adalah strategi marketing, misal, kita bisa berkirim info promosi,” tambah Danny. Mengenai masalah ini, Danny menambahkan bahwa pelaku retail siap menjalankan apa pun yang nantinya akan menjadi instruksi pemerintah.
Larangan BI menggesek kartu kredit dua kali di mesin kasir berawal dari temuan Bareskrim berupa pencurian data dengan modus tersebut. Kabareskrim Komjen Ari Dono Sukmanto mengatakan, budaya kejahatan itu seakan-akan melangkah satu langkah di depan regulasi atau kebijakan hukum. ”Penjahat berpikir bagaimana mengatasi aturan-aturan tersebut,” jelasnya.
Dengan itu, penjahat akhirnya menemukan double swipe atau dua kali gesek kartu kredit di mesin kasir yang kasusnya ditangani Bareskrim. ”Setelah double swipe ini baru dipikir langkah regulasinya apa. Maka, sebenarnya kita harus sudah berpikir dua hingga tiga langkah ke depan untuk mengantisipasi,” paparnya.
Ada banyak kejahatan perbankan yang dilakukan selama ini, modus terbaru memang double swipe kartu kredit. Namun, modus tersebut tetap masuk dalam modus skimming atau pencurian data kartu kredit atau debit dengan menyalin data pada strip magnetik. ”Modusnya yang baru,” jelasnya.
Selama ini baru satu kasus tersebut yang ditemukan di Indonesia. Dia mengatakan bahwa kasus tersebut awal mula dari kejahatan skimming modus double swipe. ”Saat ini kasusnya masih proses ya, belum semua bisa diungkap,” terangnya.(rin/agf/idr/tau)
