Refleksi Manipulasi QRIS di Rumah Ibadah: Bukti Konkret Ancaman Keamanan dalam Transaksi Elektronik bagi Masyarakat
A. Kontroversi Manipulasi QRIS di Tempat Rumah Ibadah
Baru-baru ini, hangat diperbincangkan di tengah masyarakat mengenai pemalsuan QRIS yang dilakukan oleh oknum pelaku penipuan di kotak amal sejumlah masjid di DKI Jakarta. Pelaku menempelkan QRIS palsu miliknya sendiri bertuliskan “restorasi masjid” dan hasil pemalsuan QRIS tersebut masuk ke rekening pribadi miliknya. Setidaknya, sampai kasus ini terungkap pelaku telah menempelkan QRIS palsu tersebut di 38 lokasi berbeda. Alhasil, pelaku pun meraup keuntungan sebanyak Rp13.000.000 dalam sepekan. Salah satu masjid yang menjadi sasaran penipu QRIS palsu tersebut adalah Masjid Nurul Iman Blok M Square, Jakarta Selatan. QRIS sendiri merupakan singkatan dari Quick Response Code Indonesian Standard, yaitu standarisasi pembayaran QR Code dari Bank Indonesia agar proses transaksi QR Code menjadi lebih mudah, cepat, dan terjaga keamanannya. Pembentukan QRIS sendiri pada dasarnya adalah untuk memberikan kemudahan dalam sistem pembayaran digital karena pengguna hanya cukup memindai QR Code menggunakan gawai dan transaksi dapat dilakukan dalam hitungan detik.
Pada dasarnya, merchant atau pemohon pembuat QRIS dalam mengajukan permohonannya harus memenuhi ketentuan-ketentuan yang telah ditetapkan oleh Bank Indonesia, tetapi ketentuan tersebut lebih khusus diatur di setiap Penyelenggara Jasa Sistem Pembayaran (PJP). Hal ini dilakukan untuk menjamin keamanan transaksi dan perlindungan terhadap konsumen. Mengenai perlindungan konsumen sendiri, hal ini perlu dilakukan sebagai upaya memberikan kepastian hukum yang akan memberi perlindungan kepada konsumen. Berdasarkan Pasal 2 Undang-Undang Nomor 8 Tahun 1999 Tentang Perlindungan Konsumen dijelaskan bahwa perlindungan konsumen ini dilakukan dengan berasaskan manfaat, keadilan, keseimbangan, keamanan dan keselamatan konsumen, serta kepastian hukum. Dalam proses pendaftaran QRIS sendiri, merchant perlu memenuhi persyaratan berupa data identitas dan profil usaha. Seperti misalnya pada ketentuan yang termuat di Open API Platform (QRIS.id), syarat yang perlu dipenuhi merchant diantaranya berbadan hukum, kelengkapan SIUP, NIB, dan lain sebagainya. Terlebih khusus, ada penambahan syarat ketentuan yang perlu dipenuhi oleh merchant rumah ibadah atau donasi sosial, yaitu memastikan merchant tersebut benar merupakan tempat ibadah atau donasi sosial. Hal ini dilakukan karena bila terbukti benar nantinya dapat ditetapkan tarif Merchant Discount Rate (MDR) sebesar 0%.
Lantas, jika memang syarat untuk mengajukan permohonan menjadi merchant sudah cukup ketat terlebih merchant rumah ibadah atau dana sosial, mengapa kasus penipuan ini tetap terjadi?
B. Tinjauan Yuridis Manipulasi QRIS
Berdasarkan Pasal 1 angka 1 Undang-Undang Nomor 19 Tahun 2016 Tentang Perubahan Atas Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE) menyatakan bahwa informasi elektronik adalah satu atau sekumpulan data elektronik, termasuk tetapi tidak terbatas pada tulisan, suara, gambar, peta, rancangan, foto, electronic data interchange, surat elektronik, telegram, teleks, telecopy atau sejenisnya, huruf, tanda, angka, kode akses, simbol, atau perforasi yang telah diolah yang memiliki arti atau dapat dipahami oleh orang yang mampu memahaminya. Dari pendefinisian tersebut, maka dapat disimpulkan bahwa QRIS termasuk dalam data elektronik. Kemudian, mengenai pemalsuan atau manipulasi QRIS ini secara eksplisit diatur dalam Pasal 35 Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE) yang menjelaskan bahwa setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap seolah-olah data yang otentik. Sanksi pidana pada perbuatan yang dimaksud dalam Pasal 35 UU ITE tersebut diatur di dalam Pasal 55 ayat (1) pada Undang-Undang yang sama, di mana di dalamnya dinyatakan secara tegas bahwa setiap orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).
Sebenarnya, mengenai manipulasi QRIS itu sendiri telah secara tegas sanksinya diatur dalam sistem peraturan perundang-undangan nasional Indonesia. Namun, yang kemudian menjadi sebuah polemik adalah mengenai pengajuan pendaftaran QRIS tersebut. Seperti yang telah disebutkan sebelumnya, syarat-syarat agar seseorang atau sebuah badan hukum dapat mendaftarkan dirinya sebagai merchant reguler maupun merchant tempat ibadah atau dana sosial terbilang cukup ketat. Sebenarnya, dapat dimungkinkan juga terjadinya masalah pada proses pendaftaran QRIS, dalam hal ini screening syarat-syarat pendaftaran tersebut, sehingga proses screening ini sedikit banyak mempengaruhi implementasi keketatan syarat-syarat pengajuan QRIS oleh merchant. Konsekuensinya, banyak masjid atau rumah ibadah menggalang dana menggunakan QRIS reguler dan atas nama pengurus DKM (dalam hal ini masjid). Hal ini berujung pada tidak adanya pembeda signifikan antara QRIS rumah ibadah yang asli dan QRIS palsu milik individu lain.
Pada dasarnya, masjid atau tempat ibadah bukanlah badan hukum, sehingga apabila DKM (Dewan Kemakmuran Masjid) ingin membuka donasi terkait restorasi masjid berbentuk QRIS, kebanyakan masjid atau tempat rumah ibadah mengajukan pendaftaran QRIS sebagai merchant reguler dan atas nama pengurus DKM. Tentu hal ini meninggalkan dampak negatif bagi konsumen atau penyumbang dana masjid, di mana mereka akan kesulitan membedakan QRIS asli milik masjid dengan QRIS milik perseorangan. Maka, untuk menjamin kepastian hukum bagi konsumen, masjid perlu diakui sebagai suatu yayasan agar memiliki legitimasi sebagai badan hukum, sehingga nantinya setiap masjid yang telah berbadan hukum dapat mengajukan pendaftaran QRIS merchant tempat rumah ibadah atau dana sosial yang lebih tepat peruntukannya dibandingkan melakukan pengajuan QRIS merchant reguler atas nama pengurus DKM.
C. Celah Keamanan QR Code
Sistem pembayaran menggunakan QR Code mulai diluncurkan dan digunakan pada saat masa pandemi Covid-19. Peluncuran sistem pembayaran ini bertujuan untuk mempermudah pembayaran dengan sistem pembayaran tanpa kontak langsung. Di Indonesia, Quick Respons Code Indonesian Standar yang akrab disebut QRIS ini pertama kali diluncurkan oleh Bank Indonesia (BI) pada 17 Agustus 2019. Implementasi QRIS secara nasional efektif berlaku mulai pada 1 Januari 2020. Bank Indonesia mencatat, sampai Februari 2023, jumlah pedagang atau merchant QRIS telah mencapai angka 24,9 juta dengan total jumlah pengguna QRIS sebanyak 30,87 juta. Nominal transaksi QRIS hingga Februari 2023 tercatat RP12.280.000.000.000 dengan volume transaksi sebesar 121,8 juta.
Sayangnya, seiring dengan semakin maraknya penggunaan sistem pembayaran menggunakan QR Code, modus-modus kejahatan baru menggunakan QR Code ini pun semakin meningkat. Salah satu contoh kasusnya adalah penipuan menggunakan QRIS palsu di rumah ibadah yang terjadi baru-baru ini. Namun, kejahatan dengan menggunakan QR Code ini tidak hanya terjadi di Indonesia, negara-negara lain pun mengalami hal yang serupa. Pada awal tahun 2022 lalu, penipuan menggunakan QR Code terjadi di Austin, Texas, dimana terdapat dua lusin stiker QR Code yang ditempelkan di meteran parkir, padahal opsi pembayaran menggunakan QR Code tidak ditawarkan oleh Austin Transportation. FBI telah memperingatkan bahwa penjahat dunia maya menggunakan QR Code untuk mencuri data keuangan. Para penjahat penipuan membuat QR Code palsu yang dapat dipindai oleh gawai yang kemudian diarahkan ke situs web palsu atau situs berbahaya yang memuat informasi sensitif. Sudah terdapat beberapa contoh kasus dimana penjahat dunia maya menanamkan ‘malware untuk mendapatkan akses ke perangkat korban’. FBI lalu menghimbau untuk berhati-hati saat memasukkan informasi pribadi seperti informasi keuangan serta melakukan pembayaran melalui situs yang dinavigasi melalui QR Code.
Salah satu penyebab banyaknya modus kejahatan baru menggunakan QR Code ini adalah karena QR Code mudah dimanipulasi. Selebaran QR Code yang sudah ditempel sangat mudah digantikan atau ditutupi oleh QR Code buatan para pelaku penipuan. QR Code yang ditempel oleh pelaku penipuan ini nantinya dapat mengarahkan pembayaran ke tujuan lain atau ke situs berbahaya. Secara mata fisik, manusia tidak bisa membaca QR Code, sehingga pada saat melakukan pemindaian seringkali tidak timbul kecurigaan. Hal ini yang dimanfaatkan oleh para penjahat penipuan menggunakan QR Code. Dengan sekali pemindaian saja, informasi pribadi pemindai bisa berpindah ke tangan pelaku penipuan. Tidak hanya itu, informasi keuangan pemindai juga dapat ditangkap oleh pelaku penipuan. Mereka dapat sedemikian rupa memanipulasi QR Code untuk menghasut pemindai melakukan pembayaran ke tujuan milik pelaku penipuan tersebut.
D. Evaluasi Keamanan QRIS
Sampai saat ini QRIS merupakan metode pembayaran yang populer di masyarakat. Dari restoran ternama sampai warung kecil di pinggiran jalan sudah menerapkan QRIS sebagai salah satu metode pembayaran yang mereka terima. Dengan ini, QRIS berhasil mencapai tujuannya sebagai metode pembayaran yang mudah dan cepat. QRIS berperan penting dalam mempermudah manusia bertransaksi tanpa kontak langsung. Namun, dengan maraknya praktik penipuan menggunakan QR Code, timbul banyak pertanyaan dan keraguan mengenai keamanan QRIS itu sendiri. Konsumen berhak untuk mendapatkan rasa aman ketika bertransaksi. Hak konsumen atas kenyamanan, keamanan, dan keselamatan dalam mengkonsumsi barang dan/atau jasa sudah dijamin di dalam Undang-Undang Nomor 8 Tahun 1999 tentang Perlindungan Konsumen. Dengan adanya keraguan konsumen mengenai keamanan QRIS maka hak konsumen tidak terpenuhi.
Peraturan mengenai manipulasi QRIS sudah jelas diatur dalam peraturan perundang-undangan Indonesia, tepatnya pada Pasal 35 dan Pasal 55 ayat (1) Undang-Undang Nomor 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (UU ITE). Sayangnya, walau peraturan perundang-undangan sudah jelas, kejahatan menggunakan QRIS ini masih kerap kali terjadi. Salah satu alasannya adalah QR Code sangat mudah untuk dimanipulasi. Para pelaku penipuan dapat dengan mudah mengganti selebaran QR Code yang sudah ditempel dengan selebaran QR Code milik mereka. Sejatinya tidak ada yang dinamakan ‘QR Code palsu’, yang ada hanya QR Code asli yang diletakkan di suatu tempat yang bukan miliknya dengan tujuan untuk menipu orang dari uang atau data pribadi mereka.
Sampai saat ini tidak ada tanda khusus untuk dijadikan pembeda antara selebaran QRIS resmi dan yang bukan merupakan QRIS resmi. Hal ini menjadi masalah karena pemindai tidak dapat memverifikasi sebelum melakukan pemindaian terhadap QR Code yang tertera. Padahal, jika QR Code yang tertera adalah QR Code yang sudah diganti menjadi QR Code milik penjahat penipuan, dengan sekali pemindaian saja hal ini dapat berakibat fatal bagi si pemindai. Pemerintah sebagai penanggung jawab penyelenggaraan perlindungan konsumen dan diperolehnya hak konsumen harus menciptakan kebijakan untuk memperketat keamanan QRIS. Diharapkan ada pertimbangan untuk memberikan tanda khusus di selebaran QRIS yang sulit untuk ditiru, khususnya untuk badan atau lembaga yang menggunakan metode QRIS sebagai sarana untuk mengutip dana sosial. Seperti halnya tanda khusus berupa watermark dan benang pengaman yang tertanam pada uang kertas rupiah. Terdapat electrotype berupa logo BI dan ornamen tertentu di setiap pecahan uang kertas rupiah yang akan terlihat jika diterawang ke arah cahaya. Dengan adanya tanda khusus pada uang kertas rupiah kita sebagai manusia dapat membedakan uang asli dengan mata fisik. Hal serupa diharapkan dapat diterapkan juga pada selebaran QRIS sehingga nantinya tanda khusus yang tertera akan menjadi ciri khas dalam selebaran QRIS milik suatu badan atau lembaga sehingga penipuan dapat diminimalisir.
Standar keamanan QRIS harus lebih ditingkatkan dan harus lebih diawasi lalu lintas transaksinya mengingat Bank Indonesia baru saja menerapkan QRIS Antarnegara yang saat ini mulai diterapkan di Thailand dan Singapura. Bank Sentral dari beberapa negara ASEAN, yaitu Bank Indonesia (BI), Bank Negara Malaysia (BNM), Bangko Sentral ng Pilipinas (BSP), Monetary Authority of Singapore (MAS), dan Bank of Thailand (BOT), sudah sepakat bekerjasama dalam mewujudkan dan mendukung pembayaran yang lebih cepat, murah, transparan, dan inklusif menggunakan QRIS. Dengan cakupan QRIS yang lebih luas hingga ke skala internasional, kebijakan mengenai keamanan QRIS harus lebih ditingkatkan karena jika terjadi kesalahan, dampak kerugian tidak hanya dirasakan oleh Indonesia melainkan juga dirasakan oleh negara lain yang terlibat.
Dalam mencegah kejahatan-kejahatan lain yang menggunakan QRIS sebagai sarana kejahatannya, dibutuhkan keterlibatan dari dua pihak, yaitu nasabah dan perbankan. Pihak perbankan dapat memberikan informasi secara berkala kepada nasabah agar nasabah dapat lebih berhati-hati dalam bertransaksi. Selain itu, perbankan juga harus memperketat pengawasan transaksi. Perbankan dapat mempertimbangkan untuk membuat sistem AI (Artificial Intelligence) yang dapat membaca transaksi yang sekiranya mencurigakan. Dengan ini, diharapkan tindak kejahatan menggunakan QR Code atau QRIS dapat diminimalisir dan mudah teratasi.
Ditulis Oleh:
Muhammad Iqbal Fauzan*
Nadira Khalilah Wanda Hapsari*
*Penulis adalah Staf Biro Kajian PLEADS FH Unpad ke-12, pandangan dalam tulisan ini mewakili pandangan pribadi, setiap kesalahan kembali pada penulis
Daftar Pustaka dapat diakses melalui link berikut ini :
https://docs.google.com/document/d/1vW5EBJUUgRTWjVAeYen23xQ0ebPyMW9mN_iShWxbnSY/edit