Pinjol laknat! Siapapun pasti akan memaki layanan pinjol (pinjaman online) bila bernasib seperti Ugi. Tak pernah mengajukan utang, tiba-tiba dipaksa untuk melunasi.

Tiada angin tiada hujan, sebuah pesan WhatsApp dari nomor tak dikenal menyambangi ponsel Ugi. Dia diberi tahu bahwa pinjamannya di sebuah aplikasi pinjol sudah jatuh tempo.

Pesan itu disertai instruksi untuk mengklik sebuah tautan bila ingin mengetahui total nilai uang yang harus dibayarkan.

Ugi tak habis pikir. Data yang terekam dalam aplikasi pinjol itu akurat. Si pengutang atau pengelola pinjol laknat sudah pasti punya salinan KTP miliknya. Tapi dari mana?

Memang tak semua layanan pinjol layak dilaknat. Ada juga pinjol “beriman”. Menjalankan bisnisnya sesuai aturan. Namun, kasus-kasus seperti yang dialami Ugi tak bisa dibiarkan.

Baru-baru ini, Kementerian Kominfo memblokir empat platform investasi dan 151 pinjol ilegal berkat informasi dari Satgas Waspada Investasi. Sejak 2018 sebanyak 4.873 konten fintech online yang tersebar di berbagai platform, telah diblokir karena melanggar peraturan perundang-undangan.

Masalah belum akan berakhir di sini. Dari sekian banyak isu, data pribadi hanya sebagian kecilnya. Pertama, soal pencurian identitas. KTP (sekarang jadi e-KTP) digunakan secara ilegal untuk mendapatkan utang. Oknum tak bertanggung jawab mencuri identitas orang lain, untuk ngutang di pinjol (ilegal).

Soal kedua, data pribadi disalahgunakan oleh pihak pinjol (laknat). Pemilik identitas tidak pernah mendaftar, tapi pengelola pinjol “mendaftarkannya” sebagai pengutang. Baik pinjol legal maupun ilegal, bisa jadi tersangka pelaku modus ini. Pasalnya, data pribadi seperti salinan KTP diumbar di internet.

e-KTP kelakuan analog

Kementerian Komunikasi dan Informatika (Kemkominfo) sedang melakukan penelusuran terkait dugaan penjualan foto selfie KTP secara tidak sah yang beredar di internet. Mereka mengimbau masyarakat berhati-hati dalam menjaga keamanan data pribadi.

Selfie KTP, foto diri bersama KTP yang sah, biasanya digunakan sebagai bukti bahwa dokumen KTP yang dilampirkan memang milik yang bersangkutan. Niatnya sebagai verifikasi atas kepemilikan identitas pribadi. Pendaftar ke situs atau aplikasi pinjol, industri e-commerce, dan perbankan biasanya wajib mengirim foto seperti ini.

Kenapa perlu memverifikasi salinan KTP? Karena salinan digital KTP bertebaran dimana-mana, dan siapa saja bisa menggunakan KTP milik siapapun untuk mengajukan utang. Pun, validasi perlu dilakukan untuk meyakinkan bahwa KTP-nya bukan dokumen palsu atau aspal.

Kenapa data KTP bisa tersebar? Jangan heran, bahkan salinan KTP Presiden Jokowi pun beredar sejak Pemilu 2014. Jadi, tidak perlu lagi dijelaskan kenapa bencana digital ini bisa terjadi. Beruntung belum ada kabar KTP Jokowi dipakai untuk ngutang ke pinjol.

Penyebaran ilegal KTP warga Indonesia di internet, tak lepas dari perilaku analog saat KTP harus difotokopi (sekarang pun masih). Pihak yang meminta dokumen salinan KTP untuk kebutuhan administratif, tidak (tahu) menyimpan dokumen secara aman. Alhasil, mudah tersebar di dunia maya.

Andaipun bukan karena kelalaian mereka, ada pihak laknat yang lain, para pengepul data pribadi. Golongan ini memang profesinya mengepul KTP, lalu dijual di “pasar gelap”. Terkadang bahkan dijual terang-terangan di media sosial atau lapak-lapak daring. Pinjol ilegal pun turut memanfaatkannya.

Mekanisme digital yang belum populer

Sebentar, sebentar. Kenapa memverifikasi KTP yang depannya pakai singkatan e sebagai kependekan dari “elektronik”, dilakukan dengan cara analog? Seharusnya memang tidak perlu sebegitunya. Tapi, ah sudahlah.

Di sektor jasa keuangan, aturan mengenai identitas calon nasabah memang terbilang rumit. Peraturan Bank Indonesia No. 3/10/PBI/2001 Tahun 2001, menjelaskan bagaimana penerapan Prinsip Mengenal Nasabah (Know-Your-Customer – KYC).

Peraturan tersebut mewajibkan bank umum untuk bertatap muka dengan calon nasabah secara langsung untuk memverifikasi data. Sempat mengalami perkembangan, aturan untuk menggunakan media elektronik dalam mengakses data masih terbatas, hingga OJK menerbitkan POJK12/2017 dan POJK No 12/2018.

Beleid tersebut mengatur lebih lanjut tentang penyelenggaraan layanan digital oleh bank umum. Di antaranya, identifikasi dan verifikasi calon nasabah, yang harus dilakukan secara tatap muka langsung atau lewat saluran elektronik (menggunakan telepon video/video call).

Dalam metode e-KYC, verifikasi dapat dilakukan secara daring dan realtime dengan otorisasi langsung dari pelanggannya. Metode inipun dapat mengurangi waktu verifikasi dokumen dan memangkas biaya dari banyaknya penggunaan kertas untuk mencetak atau biaya pengiriman dokumen keluar kota.

Pada prinsipnya, verifikasi wajib memerhatikan dua faktor otentikasi (keaslian). Artinya, tingkat keaslian harus dibuktikan melalui sedikitnya dua metode (two factor authentication). Misalnya dalam verifikasi secara daring, bank atau layanan jasa keuangan wajib menerapkan faktor “ciri khas anda” (what you are) sebagai salah satu metodenya.

Faktor what you know yang dimaksud OJK, seperti nomor kartu identitas (KTP), PIN, kata sandi (password) atau data pribadi lainnya. Selain itu ada What you have (apa yang sudah dimiliki nasabah), contohnya kartu magnetis/chip, token, atau tanda tangan digital. Lalu What you are (ciri khas identitas), misalnya informasi biometrik seperti sidik jari, suara, dan iris mata.

Setiap layanan bisa menerapkan beragam kombinasi, mulai dari panggilan video, mengirimkan foto wajah, memanfaatkan data unik seperti sidik jari dan retina yang sudah terintegrasi dengan data kependudukan lewat KTP elektronik, hingga menggunakan tanda tangan digital.

Artinya, metode yang mengarah pada pemanfaatan data digital sebenarnya sudah ada. Sayangnya, belum tentu semua metode aman. Mengirim foto KTP, misalnya, masih rentan penyalahgunaan. Cara paling aman adalah saat data pribadi tersebut ditransaksikan antar-mesin, meminimalkan intervensi langsung manusia.

Aman bertransaksi data pribadi

Inti dari sekian banyak metode ini adalah identifikasi terhadap nasabah. Proses ini diperlukan sebagai salah satu penerapan prinsip KYC, yang dilakukan terhadap dua objek, yaitu kepada nasabah secara perorangan dan terhadap dokumen-dokumen yang berhubungan dengan nasabah.

Terhadap diri nasabah, perlu verifikasi identitas kependudukan. Dengan data KTP yang sudah berbentuk elektronik, seharusnya bisa mempermudah proses. Demikian pula bila memverifikasi dokumen yang melibatkan tanda tangan, metode tanda tangan digital sudah bisa dimanfaatkan.

Misalnya untuk memverifikasi identitas calon nasabah yang ingin mendaftar ke layanan pinjol, bisa mengurangi penggunaan dokumen yang bisa diakses tanpa enkripsi. Contoh mekanisme verifikasi lewat e-KYC pada gambar di atas, bisa sedikit menjelaskan bagaimana data “ditransaksikan”.

Untuk Tanda Tangan Elektronik (TTE), sudah ada Penyelenggara Sertifikat Elektronik (PSrE) yang mengeluarkan tanda tangan elektronik. Akurasinya dijamin sesuai UU ITE Pasal 11, serta PP Nomor 71 Tahun 2019. Beleid tersebut mencantumkan syarat-syarat agar suatu tanda tangan elektronik terjamin keabsahannya.

UU ITE? Iya. UU ITE bukan cuma alat penindas netizen. UU ITE mengatur bagaimana tanda tangan elektronik bisa digunakan sebagai validator dokumen, seperti e-KTP. Ada enam butir syarat dalam Pasal 11 UU ITE, salah satunya adalah terdapat “cara tertentu untuk mengidentifikasi siapa penandatangannya”.

Jangan membayangkan “tanda tangan elektronik” terverifikasi sekadar tanda tangan di atas kertas yang difoto atau dipindai dengan kamera, lalu menjadi “tanda tangan digital”. Itu hanya salah satu bentuk TTE, namun dikategorikan “Tidak Tersertifikasi“.

Bila benar-benar merujuk pada enam butir syarat berlakunya TTE, maka pilihannya adalah tanda tangan tersertifikasi secara elektronik. Adapun tanda tangan elektronik tidak tersertifikasi, mudah dipalsukan, sulit mengetahui perubahan terhadap informasi elektronik, dan tak bisa melacak waktu penandatanganan.

Silakan jalan-jalan ke situs penyedia layanan sertifikat elektronik, seperti yang satu ini (bukan iklan). Layanan sertifikat elektronik untuk identitas sudah tersedia, bahkan di antaranya sudah menjalin kerja sama dengan penyelenggara layanan tekfin khususnya pinjaman online.

Paling tidak ada 3 jenis Tanda Tangan Elektronik menurut Balai Sertifikasi Elektronik BSSN: (1) Tanda Tangan Elektronik Pada File PDF; (2) Tanda Tangan Elektronik untuk Semua Format File; dan (3) Tanda Tangan Elektronik Pada File XML. Detailnya, silakan baca.

Jadi, mau gimana?

Keruwetan soal identitas ini dipicu oleh penerapan sistem keamanan yang payah. Andai tak ada pihak yang meminta salinan digital KTP, mungkin tak ada yang menyebarkan KTP secara ilegal di ruang publik. Bila tak ada KTP asli bertebaran tanpa pengamanan, mungkin tak ada pencurian identitas. Mungkin, Ugi tak perlu pusing.

Semua itu hanya bisa terwujud kalau pemanfaatan teknologi digital untuk memverifikasi identitas, bisa sepenuhnya diterapkan. Inilah siasat paling lengkap melawan pinjol laknat. Tidak sekadar mencegah pencurian data pribadi, juga memberi kesempatan pinjol yang taat menjalankan bisnisnya.

Proses validasi analog yang berisiko itu harus dihapuskan. Sementara penerapan TTE atau metode e-KYC lainnya masih di angan-angan, ada juga cara praktis yang disarankan. Pasanglah markah air (watermark) untuk salinan elektronik semua dokumen penting, khususnya yang mengandung data pribadi di dalamnya.

Dengan adanya markah, dokumen bisa dilacak dari mana asalnya, sehingga tidak bisa dijuelbelikan secara terbuka. Markah biasanya berisi informasi tentang tujuan penggunaan dan kapan dokumen tersebut dilampirkan. Ini memang bukan solusi permanen, tapi setidaknya menghindarkan penyalahgunaan semakin meluas.

Banyak pilihan aplikasi yang bisa digunakan untuk membuat markah air, baik yang gratis maupun berbayar. Belum ditemukan yang paling praktis untuk membuatnya pada foto KTP, tapi banyak rekomendasi aplikasi markah air untuk foto, misalnya di sini atau di situ.

Kemkominfo juga pernah menerbitkan panduan ringkas bagaimana membuat markah air pada KTP, yang disebarluaskan di media sosial. Mungkin bisa membantu.

*Ilustrasi oleh Photo by Tima Miroshnichenko from Pexels.