Communication and Information System Security

01 Mar
100% Kartu Debit Ber-Chip Pada 2021
Bank Indonesia (BI) mewajibkan bank menerapkan teknologi chip pada kartu debit yang mereka
terbitkan. Deadline adalah 1 Januari 2016. Namun, banyak bank belum siap karena waktu terbatas dan
membutuhkan dana besar. Akhirnya BI memberi tenggat baru, 31 Desember 2021.
Bank Indonesia sebenarnya sudah memberitahukan kepada perbankan sejak awal 2014 agar industri
ini menanamkan chip pada kartu debit yang mereka terbitkan. Kebijakan ini tertuang pada Peraturan
Bank Indonesia (PBI) Nomor 16/1/2014 tentang Perlindungan Konsumen Jasa Sistem Pembayaran.
Pemberitahuan BI ini cukup jelas karena diikuti dengan Surat Edaran (SE) BI Nomor 17/51/DKSP
tentang Implementasi Standar Nasional Teknologi Chip dan Penggunaan Personal Identification
Number (PIN) Online 6 digit untuk kartu ATM dan/atau kartu debet yang diterbitkan di Indonesia.
Namun bank punya kendala. Waktu 2 tahun terasa tidak cukup untuk menerapkannya.
Sampai sekarang, 119 bank di seluruh Indonesia sudah menerbitkan 12,1 juta lembar kartu debit bermagnetic stripe. Bank Indonesia sudah membuat perencanaan tahapan pelaksanaan bank mengganti
kartu magnetic menjadi chip. Pada 1 Januari 2019, sebanyak 30% kartu debit sudah berganti dengan
kartu debit ber-chip. Satu tahun berikutnya, 1 Januari 2020, jumlah kartu debit dengan chip sudah
50%. Lalu pada 1 Januari 2021, mencapai 80%, dan akhirnya 100% pada 1 Januari 2022.
Secara teknis, perbankan tidak sulit memilih chip untuk kartu debit mereka. Sebab, Bank Indonesia
telah menetapkan standar untuk memilih chip yang akan dipakai, yaitu National Standards Indonesia
Chip Card Specification (NSICCS). Bank Indonesia juga sudah memberi tugas kepada PT Citra Bakti
Indonesia (CBI) untuk melakukan sertifikasi.
Tentu saja, pekerjaan yang dilakukan bank bukan hanya menanam chip pada kartu debit yang mereka
terbitkan. Lebih jauh mereka harus membangun infrastrukturnya. ?Langkah ini mesti menambahkan
software bagi mesinnya,? kata Presiden Direktur PT Wincor Nixdorf Indonesia Nugraha Santosa.
Sebelumnya, Visa dan Master telah mengenalkan standar global kartu debit chip bernama Europay
MasterCard Visa (EMV). Standar ini akan dipakai Amerika Serikat (AS), India, Cina, Jepang, dan
Thailand pada 2017 yang diawali oleh negara-negara lain pada 2015.
Sebagian bank telah menyiapkan diri untuk pemakaian chip pada kartu debitnya, seperti Bank Mandiri
dan Bank Negara Indonesia (BNI). Bank Mandiri akan memberlakukan ini bagi 16 juta kartu debit
secara bertahap mulai 2016 yang didahului bagi pemegang kartu tingkatan teratas.
Biaya yang digelontorkan Bank Mandiri untuk penerapan chip pada kartu debit sebesar US$32 juta
atau US$2 per kartu. Nilai ini berbeda dengan BNI yakni Rp.9000-Rp.10.000 per kartu untuk 15.000
kartu debitnya.
Sebelum implementasi chip pada kartu debit, proses diawali dengan perubahan PIN dari empat digit
menjadi enam digit paling lambat 31 Desember 2015. Meskipun sebanyak 10.000 kombinasi bisa
dipakai bagi PIN 4 digit, tetapi Bank Mandiri tetap mengubahnya menjadi 6 digit.
?Semakin panjang PIN, semakin sulit orang menebaknya, walaupun tiga kali salah memasukkan PIN,
langsung diblokir,? kata Pengamat Keamanan Siber dari Communication and Information System
Security Research Center (CISSReC), Pratama Persadha.
Sebelum implementasi kartu debit ber-chip, didahului dengan card management. Langkah ini
dilanjutkan terhadap front end seperti terminal ATM, yakni apakah perangkat sudah bisa membaca
teknologi ini dengan peranti lunak yang tepat.
?Sebagian mesin ATM dan mesin EDC tidak perlu diganti card reader, karena merupakan generasi
belakangan yang sudah bisa membaca kartu chip,? ucap Nugraha.
Saat ini terdapat 96,9 ribu unit mesin ATM dan 960,3 ribu unit mesin EDC yang dipakai untuk
transaksi. Dari jumlah itu sebanyak 15.454 unit mesin ATM telah diganti Bank Mandiri dengan
teknologi chip sejak 2013 dan BNI terhadap 4.500 dari 15.000 unit ATM-nya.
Fraud
Penundaan implementasi kartu debit dengan chip menimbulkan risiko fraud (penipuan) saat transaksi
keuangan. Kartu magnetic stripe bisa di-copy dengan cara skimming (penggandaan data) dengan ATM
skimmers yang ditempelkan di ATM card reader.
ATM skimmers mencatat dan mengirimkan informasi kartu debit untuk dikloning ke kartu lain sebagai
kartu debit. Namun, kartu ini tidak bisa digunakan untuk bertransaksi tanpa PIN.
?Yang menjadi masalah kartu ini terafiliasi bersama kartu kredit dalam satu jaringan internasional
seperti Visa atau Master, sehingga tetap bisa digunakan tanpa PIN sebagaimana kartu kredit,? ujar
Pratama.
Sebelumnya, BI juga mewajibkan penggunaan PIN pada transaksi kartu kredit. Namun, sampai
sekarang kebijakan ini juga belum berjalan 100%. Merchant masih memberikan pilihan kepada
pemegang kartu untuk menggunakan PIN atau tandatangan.
Nugraha menambahkan, kemungkinan skimming dilakukan oleh vendor mesin EDC di ritel modern.
Mereka menyalin data dengan suatu alat dari mesin tersebut. ?Mereka pura-pura melakukan upgrade
software,? jelasnya.
ATM skimmer bisa diperoleh secara bebas di internet dengan harga sekitar US$100, dan selembar
kartu kosong seharga US$5. Apabila kartu ini dibeli dalam jumlah besar ditawarkan US$1,5.
Pembelian ATM skimmer dilengkapi kartu kosong, reader, dan writer seharga US$500-US$1.000.
Teknik ATM skimmer terjadi kali pertama di ATM Citibank, Woodland Hills, California pada 2009.
(Tulisan di atas dimuat pada majalah Jasa Keuangan Indonesia edisi 9, Maret 2016)
Communication & Information System Security Research Center
Jl. Moh. Kafi 1 No. 88D Jagakarsa Jakarta Selatan
Email: [email protected]
Telp. +6221 78890340