KASUS pembobolan rekening bank milik jurnalis senior Ilham Bintang yang didahului oleh pembajakan nomor ponsel Indosatnya, menimbulkan kekhawatiran para pemakai ponsel di Indonesia yang jumlahnya — secara orang — 170 jutaan. Begitu mudah orang mengaku pemilik nomor ponsel pelanggan, dan langsung mendapat kartu SIM (subscriber identity module) baru dengan hanya mengaku kartu SIM miliknya rusak.
Itu satu kasus, karena kasus kedua lebih parah, dengan kartu SIM baru (nomor lama) tadi, si pembobol kemudian berselancar di rekening bank Ilham Bintang di Bank Commonwealth. Dia lalu mentransfer ratusan juta rupiah ke 98 nomor lain — seolah pembayaran gaji — dan membuat dua rekening baru, selain empat kali menggunakan kartu kredit BNI-nya. Ratusan juta itu pun raib, padahal pada saat kejadian Ilham Bintang sedang bertamasya bersama keluarganya di Australia.
Ada kesan, ini bukan orang iseng meminta ganti kartu SIM atas nama orang lain yang normalnya mustahil dilakukan dan mestinya bukan “kebetulan” petugas gerainya begitu saja meluluskan permintaan tadi. Bukan tidak sengaja si penjahat tadi datang di malam hari karena saat itu dini hari di Australia dan Ilham sedang tidur nyenyak bersama keluarganya.
Tidak kebetulan pula kalau pemilik kartu SIM atas nama Ilham Bintang membobol rekening bank karena lalu melihat catatan-catatan yang membuka rahasia dan membuka pintu masuk ke bank. Niatan berbuat jahat sudah ada sejak sebelum dia masuk gerai Indosat.
Menjadi pertanyaan besar, begitu mudahnya seseorang meminta penggantian nomor kartu SIM di gerai operator tanpa proses verifikasi. Kalaupun terjadi verifikasi, hanya tanya jawab antara pembobol itu yang sekitar tiga menit dari sekitaran pukul 21.02 Jumat 3 Januari 2020 di gerai Indosat Bintaro Jaya Xchange.
Seharusnya, sesuai prosedur yang standar (SOP — standard operational procedure) yang baku, proses yang harus dilewati adalah verifikasi yang meliputi pengkopian KTP asli pemohon, tanya jawab soal nomor-nomor telepon yang terakhir dihubungi. Yang penting dan akan sulit disebutkan dengan tepat oleh orang yang bukan pemilik ponsel kecuali kerabatnya, nama ibu kandung. Lalu mengisi formulir permohonan yang kalau semua beres dan disetujui baru dibuatkan kartu SIM baru.
Proses ini saja memakan waktu sedikitnya 30 menit, termasuk memfoto kopi KTP, mengisi formulir permohonan dan mengisi kartu SIM baru dengan nomor lama. Prosedur ini tidak dijalankan dengan sempurna terbukti dari waktu kunjungan dan dialog dengan petugas yang sangat-sangat singkat.
Tiada Maaf Bagimu
Pihak PT Indosat Ooredoo lewat SVP Head Corporate Communicationnya, Hj Turina Farouk mengakui adanya keteledoran petugas gerai dalam memverifikasi identitas Ilham Bintang yang seharusnya berlaku ketat. Turina berjanji akan memerbaiki sistem (detik.com, Senin 20/1-20).
Namun dalam berita itu tidak ada kata permintaan maaf Turina mewakili Indosat. Dan, permintaan maaf memang akan berefek panjang dengan kemungkinan adanya tuntutan ganti rugi yang tidak sedikit akibat keteledoran itu. Misalnya nasib Ilham Bintang akibat jadi “terkucil” karena tidak bisa menghubungi dan dihubungi oleh relasinya karena kartu SIM asli di ponselnya sudah dihanguskan oleh petugas gerai Indosat.
Apakah Indosat tetap harus bertangung jawab karena petugas gerai bukanlah karyawan tetap Indosat melainkan karyawan alih-daya (out source)? Pada dasarnya gerai, siapa pun yang menjalankan sepanjang mewakili pemilik merek atau nama, tanggung jawab terhadap pihak luar tetap berada di tangan pemilik nama. Dan PT Indosat Ooredoo tidak bisa berkelit menyerahkan tanggung jawab pada perusahaan rekanan alih daya yang akan melimpahkannya ke petugas gerai tadi.
Secara materi, kerugian mungkin hanya berupa mengembalikan nomor kartu SIM ke Ilham Bintang. Namun kerugian lain berupa terputusnya komunikasi sehingga sebagai pengusaha ada potensi hilangnya bisnis yang seharusnya bisa diraih, yang kalau dihitung sendiri oleh Ilham Bintang sebagai kerugian immaterial bisa miliaran rupiah.
Sudah jatuh ketimpa tangga, itulah yang diderita Ilham Bintang. Si penipu yang diberi kemudahan oleh petugas gerai Indosat itu memanfaatkan data pribadi Ilham yang ada dalam nomor ponselnya untuk membobol rekeningnya di Bank Commonwealth, bank Australia yang ada di Jakarta.
Penuturan Ilham, rekening bank yang dibobol itu jarang sekali digunakan. Sebulan sekali untuk mengirim uang saku anaknya yang kuliah dan enam bulan sekali membayar biaya semesterannya.
Aneh bahwa sistem keamanan di Bank Commonwealth itu tidak bisa mendeteksi adanya ketidakwajaran transaksi yang sampai 98 kali ke 98 rekening lain dalam waktu tidak sampai tiga jam malam itu. Juga, pada malam itu bahkan si pemboboil membuka dua rekening baru secara daring (online), suatu layanan yang diakui bank baru saja diluncurkan dan belum digunakan secara luas.
Sesuai Prosedur
Dalam kasus ini publik tentu bertanya-tanya, soal gerai, apakah petugasnya memang bodoh, kecapaian karena sudah malam, atau memang ada suatu konspirasi? Konspirasi yang berlanjut ke Bank Commonwealth, dengan kemudahan-kemudahan yang ajaib dan seolah sudah dipersiapkan, sehingga seperti Sangkuriang dalam legenda Sunda.
Sangkuriang sanggup memenuhi permintaan gadis idamannya — yang ternyata ibu kandungnya yang awet muda — membendung sungai untuk membuat danau hanya dalam semalam. Hanya saja proses ini memindahkan nomor ponsel sekaligus membobol rekening hanya dalam setengah malam.
Saat ini Ilham Bintang sudah membuat laporan ke polisi, walau kami belum tahu apakah dia melaporkan PT Indosat Ooredoo saja atau Indosat dan Bank Commonwealth masing-masing atau bersama-sama. Namun keterangan baik dari Indosat dan Bank Commonwealth nyaris sama, sama-sama hanya menyampaikan rasa prihatin.
SVP Corporate Communication & Financial Inclusion PT Bank Commonwealth, Bayu Irawan selain menyampaikan rasa prihatin, hanya menjelaskan siap membantu menyelesaikan masalah Ilham Bintang. Katanya dalam siaran persnya, “Kami siap membantu proses atau langkah selanjutnya untuk mendapatkan kejelasan atas kejadian ini”.
Transaksi mobile dan internet banking yang disanggah Ilham menurut Bayu Irawan telah dilakukan dengan user id dan password yang benar. Sebelum transaksi dijalankan, bank mengirimkan OTP (one time password) untuk konfirmasi transaksi bank melalui mobile banking maupun internet banking sesuai prosedur bank. Kemudian sesudah transaksi, akan dikirimkan notifikasi melalui SMS dan email.
Bank bisa lepas tangan karena semua prosedur dilalui, dan tentunya tidak peduli, tidak tahu, tidak mau tahu bahwa nomor ponsel Ilham Bintang sudah dikuasai penipu, karenanya OTP pun masuk ke ponsel yang di dalamnya ada nomor yang semula milik Ilham Bintang.
Kejahatan siber semacam ini yang bisa jadi akan dialami oleh makin banyak orang, namun titik awal yang seharusnya steril, di gerai — operator mana pun — karena menjadi garda terdepan dan paling besar perannya. Menyedihkan, Ilham jangan-jangan tidak akan mendapat ganti rugi dari Bank Commonwealth dengan alasan semua prosedur sudah terlaksana dengan benar.
Tetapi bank juga bisa dimintai tanggung jawab soal kelengahan mereka mendapati transaksi yang anomali, yang tidak biasa dilakukan oleh nasabahnya dan dibiarkan saja.
Ketok saja bank dari sisi ini walau tampaknya bank tetap akan bisa berkelit. ***