Pinjaman online: 'Bagaimana saya menjadi korban penyalahgunaan data pribadi'

Penyalahgunaan data pribadi untuk pinjaman online atau kredit kian marak dalam beberapa tahun belakangan ini. Kebutuhan akan aturan yang secara komprehensif melindungi data pribadi disebut sudah mendesak. Bagaimana kita bisa melindungi diri?

Arief kaget ketika mendapati ada uang Rp800.000 di rekeningnya, disusul email dari satu perusahaan pinjaman online (pinjol) untuk mengembalikan uang tersebut dengan bunganya dalam waktu tujuh hari. Pasalnya, dia tak pernah mengajukan pinjaman ke perusahaan tersebut.

Pria berusia 36 tahun itu memang pernah meminjam dari beberapa perusahaan pinjol ketika mengalami kesulitan keuangan pada tahun 2019, namun dia mengatakan sudah membereskan semuanya.

"Saya tidak pernah ada masalah dengan pinjol," kata Arief kepada BBC News Indonesia.

Perusahaan yang tiba-tiba mentransfer uang ke rekening Arief, TunaiCPT, hanya mencantumkan alamat email di laman aplikasinya di Play Store. Arief pun menghubungi mereka untuk mengklarifikasi. "Mereka bersikeras itu kewajiban saya," kata Arief.

Akhirnya, Arief membayar 'utang' tersebut ditambah bunganya, total Rp1,2 juta. Tetapi masalahnya tidak berakhir di sana.

Bulan Maret lalu, hal itu terjadi lagi. Arief mendapat tagihan dari alamat email yang sama, namun nama perusahaannya telah diganti menjadi Tunai Gesit.

Perusahaan tersebut tidak terdaftar di Otoritas Jasa Keuangan (OJK) alias ilegal, dan di laman aplikasinya di Play Store, yang sekarang sudah dihapus, Arief menemukan banyak orang yang mengeluh karena mengalami hal sama.

Arief mengatakan kali ini ia ditelepon oleh penagih utang yang mengancam akan menjual data pribadinya jika ia tidak membayar. Ia pun khawatir akan keselamatan dirinya dan keluarganya.

"Saya jadi enggak tenang, pikiran enggak tenang. Pikiran jadi bingung ... Setiap ada telepon saya merasa risau, merasa takut.

"Karena kita kan enggak tahu nih, ilegal ini nanti dia sampai ke mana melakukan langkahnya," kata Arief kepada BBC News Indonesia.

Beruntung, pada awal 2020 ia berkonsultasi dengan Kantor Hukum Nenggala Alugoro (KHNA) di Tangerang Selatan, yang ia temukan lewat YouTube. Tim pengacara di KHNA menyarankan Arief agar tidak membayar tagihan dari Tunai Gesit.

Mereka juga meminta Arief mengirim pesan ke semua kontaknya, mengondisikan mereka kalau-kalau penagih utang juga mengganggu mereka, modus yang umum dilakukan pinjol ilegal.

BBC meminta konfirmasi ke alamat email yang tercantum di laman aplikasi Tunai Gesit, namun belum mendapat jawaban. Beberapa hari setelah BBC mengirim email, laman aplikasi itu dihapus dan perusahaan itu dilaporkan termasuk dalam 86 fintech lending ilegal yang ditutup OJK.

Arief mengatakan selama ini, ia selalu meminjam uang dari perusahaan pinjol yang legal, memastikan bahwa perusahaan tersebut terdaftar di OJK sebelum mengajukan pinjaman.

Namun ia mengakui bahwa ia mungkin pernah mendaftar ke satu perusahaan pinjol, tetapi batal mengajukan pinjaman setelah mengetahui bahwa perusahaan tersebut ilegal.

Dari situlah, ia menduga mereka mendapatkan datanya.

Semakin marak

Penyalahgunaan data oleh perusahaan pinjol atau Peer-to-Peer Lending semakin marak belakangan ini, kata Doddy Darumadi, pengacara dari KHNA yang mendampingi Arief.

Kerugian yang dialami korban pinjol ilegal, imbuhnya, tidak hanya materi. Korban bisa rusak nama baiknya, dimusuhi oleh keluarga, diusir dari rumah, cerai, bahkan bunuh diri.

Tetapi sayangnya, menurut Doddy, tanggapan dari pihak berwenang belum cukup tegas.

"Banyak yang komplain ke OJK, bukannya ditindak tegas, bukannya diberikan satu pencerahan atau jalan keluar yang melindungi si nasabah atau masyarakat kita pada umumnya malah kadang-kadang orang komplain malah disuruh bayar dulu," ujarnya.

Namun di sisi lain dia memahami hal itu karena pinjol ilegal "susah dilacak", dengan alamat kantor yang biasanya fiktif dan nama perusahaan yang bisa berganti-ganti.

Akhirnya, kata Doddy, para pengacara di kantor hukumnya hanya bisa mendampingi dan memberi saran kepada korban, serta mengimbau agar masyarakat bersama-sama membuat para pinjol ilegal ini bangkrut.

Caranya, pinjam uang sebanyak-banyaknya tetapi tidak usah dibayar.

"Mereka seperti rumput telik, rumput ilalang, dicabut satu tumbuh seribu. Jadi caranya gimana, jangan dicabut, karbitin itu tanahnya," kata Doddy. Ancaman tekanan kepada orang-orang terdekat, menurutnya, bisa diantisipasi dengan mengondisikan para kontak.

Bagaimanapun cara ini mungkin akan terlalu berat bagi beberapa orang, mengingat pinjol-pinjol ilegal dilaporkan menggunakan cara-cara yang semakin ekstrem untuk menekan korban, seperti membuat akun media sosial yang mempermalukan korban.

Modus pengajuan kredit

Modus penyalahgunaan data pribadi lain yang marak baru-baru ini adalah penyalahgunaan data pribadi untuk pengajuan kredit via Paylater. Hal itu terjadi pada Ahmad Fauzi Ridwan, alias Ridu, bulan lalu.

Pengalamannya berawal ketika ia hendak mengajukan kartu kredit ke bank langganan perusahaannya. Ridu kaget ketika pengajuannya ditolak dengan alasan KOL5 atau kredit macet.

"Saya kaget karena selama ini saya tidak pernah melewati batas waktu jatuh tempo," kata Ridu kepada BBC News Indonesia.

Pria berusia 32 tahun itu pun mengecek riwayat kreditnya melalui layanan BI Checking, yang sekarang berganti nama menjadi Sistem Layanan Informasi Keuangan (SLIK), dan menemukan ada tiga item yang dinyatakan KOL5 atas nama PT. Caturnusa Sejahtera Finance. Perusahaan tersebut merupakan mitra Traveloka Paylater.

"Sedangkan saya tak pernah mengajukan akun paylater di manapun," kata Ridu.

Dia menceritakan pengalamannya dalam sebuah utas di Twitter, yang menjadi viral. Utas itu mendapat perhatian dari pihak Traveloka, yang memintanya untuk menjabarkan persoalan tersebut lewat direct message (DM).

Tak sampai satu hari, kata Ridu, Traveloka merespons dengan permintaan maaf atas kejadian ini dan mengatakan akan menghapuskan tagihan atas nama dirinya di PT Caturnusa Sejahtera Finance.

"Beberapa hari kemudian, Traveloka mengirimkan surat keterangan penghapusan tagihan itu. Jadi saya tinggal tunggu 30 hari dari tanggal itu untuk mengecek [SLIK] apakah sudah terhapus atau masih tercatat," ujarnya.

Ridu sama sekali tidak tahu dari mana perusahaan tersebut mendapatkan data pribadi berupa nomor KTP-nya. Dia mengaku "selektif" dalam memberikan data pribadi.

"Saya aja pernah ingin mau daftar Paylater ternyata harus ada syarat e-KTP, saya langsung cancel," ujarnya.

Masalah dengan Paylater Traveloka ini sudah terjadi setidaknya sejak tahun 2019. Waktu itu, Rachman Haryanto, 37 tahun, mengirimkan surat pembaca ke situ berita detik.com yang mengeluhkan hal serupa.

Rachman mengatakan kepada BBC News Indonesia bahwa sejak surat pembacanya, yang memuat nomor teleponnya, diterbitkan hampir dua tahun lalu, dia telah dihubungi "ratusan" orang yang mengaku mengalami masalah serupa.

Beberapa dari mereka masih berkomunikasi dengan Rachman, dan bahkan menjadi temannya.

"Ada pengusaha properti di Bali yang sampai menawarkan akomodasi kalau suatu saat saya pergi ke Bali. Saking ingin berterima kasihnya," kata Rachman.

Ia mengatakan dirinya dapat menyelesaikan masalah itu dalam satu hari dengan langsung mendatangi kantor PT Caturnusa, namun banyak korban yang tinggal di luar Jakarta harus mengurusnya lewat email dan menunggu tujuh hari kerja.

Ini sangat mengganggu rencana mereka untuk mengajukan kredit, seperti KPR atau kredit usaha.

"Pinjaman di Traveloka Paylater-nya enggak seberapa padahal, cuma 8 juta, 10 juta, enggak mungkin lebih. Tetapi dia terhambat untuk kredit lebih besar untuk usahanya dia," kata Rachman.

Menanggapi cerita ini, Traveloka mengatakan mereka telah menjalankan investigasi internal. Khusus untuk Traveloka Paylater, mereka berkata:

"Kami telah menerapkan sistem KYC (Know-Your-Customer) berlapis dengan matriks yang komprehensif untuk memastikan keamanan dan kecocokan data yang diajukan oleh pengguna.

"Salah satu prosedur KYC yang kami terapkan yaitu memastikan bahwa pengguna mengunggah foto KTP dan foto diri, serta pengecekan langsung ke dukcapil terkait," kata Traveloka dalam email kepada BBC News Indonesia.

Traveloka menambahkan: "Kami akan terus menjaga dan memperketat prosedur dan sistem sehingga dapat menghindari terjadinya isu serupa di kemudian hari.

"Kami juga memohon kerjasama pengguna untuk segera melaporkan kepada kami bila melihat aktivitas mencurigakan seputar transaksi yang menyimpang, karena keamanan dan kenyamanan pengguna adalah segalanya buat kami.

"Pengguna juga dapat menghubungi customer service kami melalui email di [email protected] atau telepon di 0804-1500-308."

Bagaimana kita melindungi diri?

Pakar forensik digital Ruby Alamsyah menduga kuat bahwa di balik kasus-kasus tersebut ada penyalahgunaan data pribadi berupa foto KTP dan swafoto bersama KTP. Data-data tersebut lumrah disebar atau diperjualbelikan di kalangan fintech ilegal, kata Ruby.

Menurut Ruby, ada "celah keamanan" dalam peraturan OJK yang hanya mensyaratkan foto KTP dan swafoto bersama KTP untuk verifikasi calon nasabah fintech. "Bayangkan, kalau data itu bisa diakses orang dari platform lain, akan dengan mudahnya orang memanfaatkan itu untuk mengajukan pinjaman dengan berpura-pura menjadi orang lain," ujarnya.

Menurut Ruby para kriminal mendapatkan data pribadi masyarakat dengan berbagai cara. Dalam kasus pinjol ilegal, mereka menyisipkan fitur-fitur yang menyerupai spyware ke ponsel pengguna. Ketika pengguna memasang aplikasi pinjol ilegal, aplikasi tersebut biasanya meminta akses ke daftar kontak, kotak masuk, dan data pribadi lainnya.

Selain itu, menurut Ruby, data pribadi juga bisa didapatkan dengan metode phising, yakni memanipulasi seseorang untuk memberikan datanya dengan menggunakan situs web palsu, dan malware atau program jahat.

Ruby mengatakan, untuk melindungi diri dari penyalahgunaan data pribadi, kita perlu meningkatkan kesadaran akan keamanan berinternet.

Caranya, antara lain, hanya menginstal aplikasi dari tempat resmi dan hanya mengunduh aplikasi pinjol atau fintech dari perusahaan yang terdaftar di OJK.

Kiat lainnya, tidak sembarangan mengumbar data pribadi di internet dan berpikir dua kali sebelum mengeklik.

"Apakah yang kita klik itu adalah sesuatu yang valid, resmi, asli, kita verifikasi. Kalau kita kurang paham, kita bisa copy-paste tautan tersebut lalu buka di mesin pencari, apakah ia pernah teridentifikasi adanya phising maupun malware."

Menurut aturan OJK, pinjol yang legal hanya diperbolehkan mengakses data pada ponsel pengguna secara terbatas yakni hanya kamera, mikrofon, dan lokasi. Jika suatu aplikasi meminta akses lebih dari itu, maka besar kemungkinan aplikasi tersebut ilegal.

Ketua Satgas Waspada Investasi OJK, Tongam L. Tobing mengatakan pihaknya aktif memberantas pinjol ilegal. Sejak tahun 2018 sampai dengan Januari 2021 Satgas tersebut, yang beranggotakan 13 kementerian/lembaga, sudah menutup lebih dari 3000 perusahaan pinjol ilegal.

Tongam menegaskan bahwa dalam peraturan OJK mengenai perlindungan konsumen, disebutkan bahwa data pribadi bersifat rahasia dan tidak boleh disebarluaskan. Ia mengimbau masyarakat yang menduga data pribadinya disalahgunakan oleh perusahaan jasa keuangan untuk melapor ke pihak berwenang.

Jalur penyelesaiannya, kata Tongam, dimulai dengan klarifikasi ke jasa keuangan itu. Bila tidak ada solusi, masyarakat bisa melapor ke Lembaga Alternatif Penyelesaian Sengketa (LAPS). Untuk sektor pembiayaan dan pegadaian, nama lembaganya Badan Mediasi Pembiayaan dan Pergadaian Indonesia (BMPPI).

"Kalau masyarakat merasa dirugikan oleh fintech lending yang terdaftar di OJK, silakan mengadu ke OJK atau ke AFPI. Pasti ada solusinya.

"Tapi kalau masyarakat kita yang masuk akses ke pinjaman ilegal yang tidak terdaftar di OJK, silakan mengadu ke Satgas Waspada Investasi dan kepolisian kalau sudah merasa dirugikan, diteror, diintimidasi," kata Tongam.

Regulasi belum maksimal

Ekosistem data pribadi di Indonesia memang belum terjalin dengan baik. Salah satu penyebabnya adalah regulasi yang belum memberikan perlindungan yang maksimal bagi subyek data, menurut Dr. Sinta Dewi, ketua Cyber Law Center Universitas Padjadjaran.

Saat ini, Indonesia belum memiliki undang-undang yang secara khusus mengatur perlindungan data pribadi. Rancangan Undang-Undang Perlindungan Data Pribadi (RUU PDP) sedang digodok di DPR, dan masuk dalam prioritas tahun ini.

Aturan mengenai data pribadi yang berlaku saat ini masih tersebar di beberapa undang-undang. Misalnya, pasal 26 UU ITE yang menyatakan bahwa penggunaan data pribadi seseorang melalui media elektronik harus dilakukan atas persetujuan orang yang bersangkutan.

Sinta menilai pengaturan yang ada masih terlalu umum dan sangat minimal, sementara perlindungan data pribadi membutuhkan regulasi yang komprehensif. Dalam hal ini, Indonesia tertinggal dari negara-negara Asia lainnya seperti Malaysia dan Singapura.

"Di negara lain, regulasinya tidak hanya prinsip, norma, apa yang boleh, apa yang tidak, tetapi ada mekanismenya; nanti bagaimana kalau terjadi kebocoran data pribadi.

"Dan yang terpenting kan harus ada lembaganya yang mengawasi semua ini. Tidak bisa semuanya diserahkan ke pengadilan [karena] nanti akan menumpuk di pengadilan," kata Sinta.

Saat ini pemerintah dan DPR belum sepakat ihwal apakah lembaga tersebut akan di bawah pemerintah atau independen, ia menambahkan.

Dalam RUU PDP, kata Sinta, pemerintah dan perusahaan swasta bertanggung jawab untuk menjaga data pribadi masyarakat sebagai subyek data yang mereka kelola.

Jika terjadi kebocoran data, pihak-pihak tersebut harus membuktikan bahwa mereka sudah melakukan semua tindakan yang diperlukan demi menjaga data-data tersebut.

"Sekarang, kalau terjadi pencurian data, perusahaan-perusahaan digital besar selalu menyalahkan hacker. Atau pemilik [data] tidak berhati-hati. Padahal kalau sistemnya bagus kan enggak akan diterobos. Jadi ada hubungan kuat antara security dan privacy," ia menjelaskan.