Kecewa Perlindungan BSI, Sistem Keamanan Hasanah Card Kebobolan, Nasabah Dibiarkan Menanggung Transaksi Fiktif Rp 10,5 Juta

Ikuti di Google Berita Sumber Pilihan di Google

Kepada Yth. Redaksi Media Konsumen,

Melalui surat pembaca ini, saya ingin menyampaikan kekecewaan mendalam terhadap buruknya sistem mitigasi fraud (kejahatan siber) pada layanan kartu Hasanah Card PT Bank Syariah Indonesia Tbk (BSI) dan lemahnya perlindungan konsumen dari Otoritas Jasa Keuangan (OJK) melalui LAPS SJK.

Saya adalah pemegang BSI Hasanah Card. Pada 23 Mei 2025, antara pukul 17.37–18.05 WIB, terjadi serangan transaksi anomali bertubi-tubi di kartu saya hingga 10 kali percobaan oleh pihak tidak bertanggung jawab.

Sistem keamanan Early Warning System (EWS) BSI terbukti cacat. Di satu sisi, sistem mereka memblokir 8 transaksi puluhan juta, namun secara acak justru “kebobolan” dan meloloskan 2 transaksi di merchant Tokopedia senilai total Rp10.500.000 pada menit yang sama. Saya tidak pernah melakukan transaksi tersebut, tidak pernah merasa menerima OTP, apalagi membagikan data rahasia kepada pihak mana pun.

Saya juga langsung dihubungi oleh pihak bank BSI setelah kejadian serangan transaksi untuk mengonfirmasi apakah saya sedang melakukan transaksi Hasanah Card di Tokopedia, karena pihak BSI mendeteksi adanya transaksi yang anomali. Pada saat itu saya sampaikan bahwa saya sedang tidak melakukan transaksi apa pun menggunakan Hasanah Card. Pihak yang menghubungi saya saat itu menginformasikan sudah melakukan pembatalan seluruh transaksi pada rentang waktu serangan transaksi, akan menonaktifkan kartu Hasanah Card saya, dan akan mengirimkan kartu pengganti. Namun pada bulan berikutnya ada 2 (dua) transaksi yang tetap masuk tagihan di Hasanah Card saya.

Setelah menempuh jalur sanggahan resmi, BSI melalui Surat Tanggapan No. 06/119-3/CCG secara sepihak menolak menghapus tagihan tersebut. BSI berlindung di balik status “OTP berhasil dikirim” dari server mereka dan mencoba melakukan victim blaming (menyalahkan nasabah) dengan asumsi adanya phishing/social engineering, tanpa memberikan bukti investigasi digital forensik (IP Address/Device ID) yang membuktikan saya yang melakukan transaksi tersebut.

Karena kebuntuan ini, saya mengeskalasi sengketa ke Aplikasi Portal Perlindungan Konsumen (APPK) OJK dengan Nomor Tiket P260403636. Harapan saya, LAPS SJK dapat memediasi pelanggaran POJK No. 22 Tahun 2023 Pasal 20, yang menyatakan bahwa kerugian akibat kelemahan sistem PUJK dilarang dibebankan kepada konsumen.

Namun yang sangat mengecewakan, LAPS SJK justru menolak pengaduan saya dengan dalih administratif bahwa kasus ini adalah “Tindak Fraud Eksternal/Cyber Crime oleh Pihak Ketiga”, sehingga dianggap bukan sengketa keperdataan.

Keputusan LAPS SJK ini menjadi preseden buruk. Jika kegagalan sistem IT perbankan dalam memitigasi fraud langsung dicuci tangankan sebagai “Tindak Pidana Pihak Ketiga”, maka selamanya bank akan berlindung di balik celah ini. Konsumen ritel yang sistem pengamanannya dibobol dipaksa membayar tagihan fiktif, sementara regulator yang seharusnya mengawasi kepatuhan bank justru “buang badan”.

Melalui surat ini, saya mengimbau masyarakat luas untuk ekstra waspada terhadap sistem 3D Secure BSI. Kepada jajaran Direksi BSI, saya menuntut itikad baik dan profesionalisme Anda untuk segera membatalkan dan menghapus tagihan fiktif sebesar Rp10.500.000 tersebut beserta seluruh dendanya, karena itu murni akibat kegagalan mitigasi sistem bank Anda.

Terima kasih kepada redaksi Media Konsumen yang telah memuat keluhan ini.

Hormat saya,

Mhd Arham Ginting
Palembang, Sumatera Selatan