Mungkin judulnya keliatan terlalu bombastis kali yah, tapi entah mengapa perbincangan saya dengan Mas Barata Sekjen IndoWLI (masih Sekjen gak yah?) beberapa bulan lalu menggelitik saya untuk menuliskan ini. BTW, tulisan ini hanya sekedar wacana dan keheranan saya dengan metode pembayaran di internet yang ada selama ini aja.

Seperti kita tahu, Indonesia termasuk kategori negara yang sering sekali melakukan carding fraud. Bahkan karena tingginya pemalsuan kartu kredit mengakibatkan beberapa situs tidak melakukan penghantaran barang ke negara Indonesia, tapi tokh nyatanya tetap saja carding terus berlanjut.

Saat ini pemalsuan kartu kredit jumlahnya semakin berkurang. Selain karena minimnya toko-toko online yang melakukan penghantaran barang ke Indonesia. Hal lain yang menghambat adalah prosedur konfirmasi transaksi juga semakin sulit. Salah satu metode yang saya ingat adalah menggunakan CVV1 (Card Verification Value Versi 1) atau biasa juga disebut dengan CVC1 (Card Validation Code Versi 1). CVV1 berada pada lembar magnetik di halaman belakang kartu kredit dan tidak dapat dilihat dengan mata terbuka. Kode ini hanya akan dikenali pada saat terjadi transaksi offline, yaitu ketika kartu kredit digesekkan pada mesin pembayaran. Sementara ada kode lainnya yaitu CVV2 atau sering juga disebut CVC2. CVV2 lebih sering digunakan untuk transaksi yang tidak menunjukkan keberadaan kartu secara fisik, misalnya transaksi di internet, email atau bahkan telepon.

Nah, saya berpikiran lain. Kita asumsi saja, bahwa setiap pemilik kartu kredit pasti memiliki telepon genggam (lucu juga ada orang memiliki kartu kredit tapi tidak memiliki telepon genggam). Hehehe, kalo kita sepakat dengan asumsi ini, maka kita bisa berlanjut ke tahap selanjut. Saya asumsikan anda setuju dengan asumsi ini :). Pertanyaannya akan berlanjut seperti ini: mungkinkah carding dieliminir dengan menggunakan SMS?

Jawabannya tentu saja BISA!

Dengan SMS maka semua transaksi kartu kredit yang terjadi di internet bisa dilakukan konfirmasi via SMS. Konfirmasi via SMS ini belum tentu akan menghilangkan 100% carding fraud, namun dapat mengeliminir karena hacking/cracking pada jaringan telepon selular masih jauh lebih sedikit pelakunya daripada hacking/cracking pada jaringan internet. Selain itu untuk lebih meyakinkan bahwa konfirmasi transaksi via SMS cukup aman, maka bisa dilakukan beberapa cara sebagai berikut :

1. Setiap transaksi online melalui browser biasanya memiliki Login Session/HTTP Cookies. Nah, ini bisa dikirimkan melalui SMS ke pemilik kartu
2. IOD Command untuk SMS bisa disesuaikan dengan jenis kartu kreditnya, misalnya American Express menggunakan AE, Visa menggunakan VS, dll
3. PIN, PIN ini merupakan identifikasi dari si pemilik telepon genggam.
4. Jawaban konfirmasi transaksi yang bisa berupa YES/NO

Misalnya, format SMS konfirmasi transaksi bisa aja seperti ini :

VS PIN SESSION KONFIRMASI

Selain yang disebutkan diatas, batas konfirmasi juga perlu dibatasi. Misalnya, jika selama 6 jam tidak ada konfirmasi persetujuan transaksi dari pemilik kartu artinya transaksi dibatalkan dengan sendirinya.

Apa yang tertulis diatas hanyalah ide global dan menurut saya sangat mungkin untuk di implementasikan. Dari hasil pencarian di google, ternyata MasterCard dan Mblox sudah menerapkan hal ini sejak Februari 2005. Untuk kartu kredit lainnya saya kurang mengerti 🙂

Atau bisa saja semua bank berkumpul dalam satu forum dan kemudian sepakat untuk membuat satu buah Payment Gateway yang menyimpan seluruh database pemilik kartu kredit di dunia dan nantinya juga berfungsi sebagai SMS Gateway. Rasanya hal ini secara teknis tidak terlalu sulit kok. Yang sulit adalah mempertemukan kepentingan bisnis dari masing-masing bank itu 🙂

Pertanyaannya sekarang, kenapa masih banyak bank atau toko online banyak yang tidak mau menerapkan hal ini? Jangan-jangan mereka sebenarnya juga berharap transaksi dari carding fraud :))

Eh lupa, ini kan 17 Agustus yah? MERDEKA !