tirto.id - Kasat Reskrim Polres Metro Jakarta Selatan, Kompol Irwandhy menyatakan, pihaknya tengah menelusuri dugaan penipuan bermodus menempelkan kode batang Quick Response Code Indonesian Standard (QRIS) di kotak amal di sejumlah masjid kawasan Jakarta Selatan.
“Untuk saat ini indikasinya lebih dari satu lokasi. Ada di Kebayoran Lama, Pondok Indah, dan Kalibata. Pelaku kami dalami sampai saat ini,” kata dia kepada wartawan, Senin, 10 April 2023.
Irwandhy sebut, ada korban yang melaporkan penipuan itu ke polisi, namun belum diketahui jumlah kerugian. Bahkan polisi menduga ada korban-korban lain tapi belum mengadukan perkara. Merujuk kepada olah tempat kejadian perkara, pelaku merupakan orang yang sama.
“Sementara kami duga masih orang yang sama. Mudah-mudahan dalam waktu dekat bisa kami identifikasi," ucap dia.
Karena itu, Irwandhy mengimbau bagi masyarakat yang ingin beramal menggunakan teknologi QRIS dapat berkoordinasi dengan pihak pengelola masjid maupun pihak yang mengelola kode batang tersebut.
Salah satu yang menjadi target pelaku adalah masjid di Bintaro. Sebuah akun Instagram pun mengunggah kode batang QRIS palsu bertuliskan 'Restorasi Masjid'.
Kasus serupa ternyata juga terjadi di Masjid Istiqlal, Jakarta Pusat. Hal ini dikonfirmasi oleh Wakil Seksi Humas dan Protokol Masjid Istiqlal, Abu Hurairah Abdul Salam. “Benar, ada 50 (QRIS yang ditemukan)” kata dia kepada reporter Tirto, Selasa, 11 April 2023.
Pihak Masjid Istiqlal pun berkoordinasi untuk menelusuri tindak pidana tersebut. “Sudah kami koordinasikan dengan pihak bank yang mengeluarkan QRIS biar mereka yang usut,” kata Abu Hurairah.
Dampak Teknologi Terkini
QRIS adalah penyatuan berbagai macam QR dari berbagai Penyelenggara Jasa Sistem Pembayaran (PJSP) menggunakan QR Code. QRIS dikembangkan oleh industri sistem pembayaran bersama dengan Bank Indonesia agar proses transaksi QR Code dapat lebih mudah, cepat, dan terjaga keamanannya.
Semua PJSP yang akan menggunakan QR Code Pembayaran wajib menerapkan QRIS. Saat ini, dengan QRIS, seluruh aplikasi pembayaran dari penyelenggara manapun, baik bank dan nonbank yang digunakan masyarakat, dapat digunakan di seluruh toko, pedagang, warung, parkir, tiket wisata, donasi (merchant) berlogo QRIS, meskipun penyedia QRIS di merchant berbeda dengan penyedia aplikasi yang digunakan masyarakat.
Merespons dugaan penipuan itu, Direktur Eksekutif Departemen Komunikasi Bank Indonesia, Erwin Haryono memastikan, pihaknya telah memblokir QRIS tersebut, sehingga tidak dapat digunakan lagi oleh Penyedia Jasa Pembayaran (PJP) terkait. Bank Indonesia juga sudah mengomunikasikan kepada seluruh PJP untuk mewaspadai modus serupa.
Dalam melakukan aksinya, pelaku penyalahgunaan QRIS telah melakukan pendaftaran sebagai merchant QRIS dengan nama Restorasi Masjid. Setelah ditelusuri oleh Bank Indonesia, merchant tersebut tidak terdaftar sebagai tempat ibadah, melainkan merchant regular.
Berdasarkan ketentuan Asosiasi Sistem Pembayaran Indonesia (ASPI) terkait pedoman komunikasi merchant QRIS, PJP wajib untuk melakukan edukasi kepada merchant, salah satunya mengenai keamanan kode QRIS yang ditampilkan di tempat umum. Dengan demikian, merchant perlu memastikan secara berkala bahwa kode QRIS yang ditampilkan adalah benar miliknya dan bukan QRIS milik orang lain.
“Kami meminta kepada masyarakat, merchant dan PJP untuk bersama-sama meningkatkan keamanan dalam bertransaksi menggunakan QRIS," kata Erwin, Selasa (11/4/2023).
Dia meminta merchant agar selalu memperhatikan keamanan transaksi dan kebenaran QRIS yang ada di lokasi. Sehingga QRIS yang ditampilkan memang benar QRIS milik merchant yang bersangkutan dan belum mengalami pergantian atau perubahan oleh pihak-pihak yang tidak bertanggung jawab.
Bagi masyarakat saat bertransaksi QRIS, untuk selalu memperhatikan informasi pada QRIS yang dipindai memang menampilkan nama merchant yang sesuai dengan tujuan transaksi dimaksud.
“PJP harus melaksanakan ketentuan ASPI terkait pedoman edukasi untuk merchant dan pengguna QRIS agar dapat meningkatkan keamanan transaksi QRIS,” tegas Erwin.
Ketika pendaftaran, merchant perlu memenuhi persyaratan yang ditetapkan, termasuk data seperti identitas dan profil usaha. Alhasil PJP harus memverifikasi data tersebut sebelum menerbitkan QRIS untuk merchant dimaksud.
Tantangan bagi Penegak Hukum
Peneliti kepolisian dari ISESS, Bambang Rukminto berpendapat, penipuan ini merupakan modus baru dengan memanfaatkan teknologi meskipun motifnya tetap sama. “Kalau dulu pakai kotak amal palsu yang dititipkan di warung-warung, sekarang menggunakan pembayaran elektronik,” kata dia kepada reporter Tirto.
“Artinya ini bukan hanya tantangan bagi Polri, tetapi juga penyelenggara pembayaran elektronik, bagaimana pencegahan modus baru kejahatan penipuan baru,” kata Bambang.
Penyelenggara pembayaran elektronik, kata Bambang, juga harus bertanggung jawab terkait identitas pengguna atau pembuat kode QRIS atau pembayaran elektronik lainnya.
Kalau identitas tersebut jelas, tentu akan mudah bagi penyidik kepolisian untuk mengusut. Bagi publik, tentunya kasus ini juga harus jadi pelajaran untuk selalu waspada, sehingga selalu mengecek penggunaan pembayaran elektronik di lingkungannya.
Jika ini modus baru, kata Bambang, maka benar bila polisi harus beradaptasi dan berhadapan dengan cara-cara anyar dari pelaku kejahatan. Sebab, dalam kasus penipuan ini “mau maling saja harus melek teknologi.”
“Tidak hanya polisi, penyelenggara pembayaran elektronik dan masyarakat juga harus preventif terhadap modus kejahatan di era teknologi digital saat ini. Demikian juga dengan otoritas jasa keuangan, harus membuat upaya preventif untuk mencegah akun-akun penipuan,” kata Bambang.
Bagi kepolisian, kata dia, seharusnya Direktorat Siber bisa mengantisipasi kejahatan seperti ini, bukan hanya mengejar kasus-kasus delik aduan maupun terkait UU ITE terutama pasal-pasal yang masih sumir.
“Bahkan mengejar konsumen judi daring yang sekarang masih marak, alih-alih mengejar bandar judi,” tutur Bambang.
Harus Cek Tujuan Duit
Sementara itu, Ketua Communication & Information System Security Research Center (Cissrec), Pratama Persadha menilai, dalam kasus di Indonesia yang sedang viral, stiker dan pengumuman QR code berisi tautan transfer atau pembayaran diganti dengan tujuan kepada rekening pelaku dan komplotannya.
“Ini bisa diduga dilakukan komplotan bila terjadi dengan masif. Namun juga bisa dilakukan seorang diri karena sekarang membuat kode QR code untuk pembayaran sangatlah mudah. Masyarakat bisa mengetahui dengan mudah sebenarnya, dengan melihat identitas rekening tujuan yang mengatasnamakan pribadi, bukan rekening yayasan masjid," jelas Pratama kepada Tirto, Selasa (11/4/2023).
Ia mengatakan, pencegahan yang bisa dilakukan adalah para tenant atau nasabah pemilik QR Code harus berkala melakukan pengecekan. Minimal dalam kasus pengubahan QR code di beberapa masjid, pelaku terpantau CCTV dan bisa segera diubah kembali ke QR code yang benar.
Para donatur harus jeli melihat apakah rekening tujuan benar sesuai pengumuman, misalnya rekening yayasan masjid. Bila rekening diarahkan ke tujuan mencurigakan, tunda transaksi dan tanyakan kepada pihak penyelenggara donasi atau pihak penjual barang.
Bentuk modus lain adalah QR code diarahkan untuk menginstal malware maupun menuju web phising. Ini biasanya QR code dibuat awalnya ditujukan untuk kegiatan tertentu, seperti pendaftaran acara ataupun mengecek menu restoran.
“Masyarakat perlu waspada bila QR code diarahkan ke halaman website mencurigakan, sebaiknya hentikan proses membuka web tersebut, apalagi jika meminta mengisi data pribadi yang tidak relevan,” kata Pratama.
Dari sisi penegakan hukum, aparat harusnya dengan mudah menangkap pelaku. Selain karena ada rekaman CCTV yang sangat jelas, juga dengan mengikuti aliran uang kepada rekening yang digunakan pelaku.
“Jadi ini bukan kasus sulit untuk pihak kepolisian, seharusnya,” kata Pratama menambahkan.
Penulis: Adi Briantika
Editor: Abdul Aziz