Minggu, 12 Desember 2010

Notaris dan Transaksi Elektronik

Perdagangan saat ini tidak lagi bersifat ’tradisional’ tetapi sudah memanfaatkan teknologi informasi seperti internet untuk mempromosikan produk atau jasa dan melaksanakan transaksi secara elektronik. Dikenal pula Kontrak Elektronik yang memungkinkan para pihak terikat dalam suatu kesepakatan.

Perkembangan perdagangan dan sektor lainnya yang memanfaatkan teknologi informasi dibarengi pula dengan perlindungan hukum. Undang-Undang No. 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik memuat pengaturan transaksi elektronik dengan dukungan Sertifikat Elektronik, Tanda Tangan Elektronik, dan Sistem Elektronik yang aman dan handal. Dengan Sertifikat Elektronik dan Tanda Tangan Elektronik maka para pihak yang saling bertransaksi dapat diotentikasi siapa penanda tangan, dan diketahui status keutuhan dokumen/informasi elektronik yang ditanda tangani.

Penggunaan Tanda Tangan Elektronik memiliki kehandalan melebihi dari tanda tangan konvensional dengan tinta basah. Kehandalan yang dimaksud, yakni:
  1. Authenticity (Ensured)
    Dengan menggunakan tanda tangan elektronik pada dokumen/informasi elektronik maka dapat dibuktikan dengan metode tertentu siapa yang menandatangani dokumen/informasi elektronik itu.
  2. Integrity
    Integritas/integrity berhubungan dengan masalah keutuhan dari suatu dokumen/informasi elektronik yang ditanda tangani. Penggunaan tanda tangan elektronik dapat menjamin bahwa informasi elektronik yang ditanda tangani dapat diketahui apakah mengalami suatu perubahan atau modifikasi oleh pihak yang tidak bertanggungjawab.
  3. Non-Repudiation (Tidak dapat disangkal keberadaannya)
    Non repudiation atau tidak dapat disangkalnya keberadaan suatu dokumen/informasi berhubungan dengan orang yang menandatanganinya. Si penanda tangan dokumen/informasi elektronik tidak dapat memungkiri bahwa ia telah menandatangani dan mengirimkan dokumen/informasi itu ke penerima dan tidak dapat memungkiri isi dokumen itu sepanjang tidak ada upaya perubahan oleh pihak yang tidak bertanggungjawab.
  4. Confidentiality
    Dokumen/Informasi elektronik yang telah ditanda tangani dan dikirimkan bersifat rahasia/confidential, sehingga tidak semua orang dapat mengetahui isi informasi elektronik yang telah dirahasiakan dengan metode kriptografi.
  5. Realible
    Bahwa dokumen/informasi elektronik yang disampaikan melalui dunia maya harus mampu dipertanggungjawabkan para pihak yang melakukan transaksi. Dengan penggunaan tanda tangan elektronik disertai kunci publik dan kunci privat dalam proses merahasiakan dan menandatangani dokumen/informasi elektronik maka segala transaksi elektronik yang dilakukan di dunia maya dapat dipertanggung jawabkan secara teknis.

Dengan memahami 5 unsur kehandalan Tanda Tangan Elektronik didukung Sertifikat Elektronik, maka tidak dapat diragukan lagi keamanan transaksi elektronik. Peran Notaris pun sangat diharapkan terlibat dalam transaksi elektronik untuk memberi legitimasi yang kuat terhadap transaksi elektronik yang berlangsung yakni mengindentifikasi tanda tangan elektronik dan penanda tangan, serta memverifikasi dokumen/informasi elektronik yang ditandatangani.

Peran Notaris dalam transaksi elektronik bersama-sama dengan pihak Certificate Authority (CA) sebagai pihak ketiga yang dipercaya (trusted third party) dalam mengamankan dan melegitimasi transaksi elektronik. Certificate Authority merupakan pihak yang menerbitkan Sertifikat Elektronik yang berisikan identitas pemilik sertifikat, kunci publik dan kunci privat yang digunakan dalam transaksi elektronik untuk membuat tanda tangan elektronik, mengotentikasi si penanda tangan dan memverifikasi dokumen yang ditanda tangani.

Notaris bertindak untuk melakukan otentikasi pihak yang melakukan transaksi elektronik atau otentikasi pihak yang menandatangani dokumen/informasi elektronik, memverifikasi dokumen/informasi elektronik yang ditanda tangani para pihak, melakukan pengamanan terhadap penyimpanan informasi berupa tanda tangan dan dokumen yang ditanda tangani, membantu CA dalam penerbitan Sertifikat Elektronik khususnya mengidentifikasi para pihak yang memohon penerbitan Sertifikat Elektronik, dan terakhir menjadi perantara transaksi elektronik dimana dokumen elektronik dan tanda tangannya dikirim oleh Penerima ke Notaris, lalu Notaris melakukan otentikasi dan verifikasi lebih dahulu terhadap penanda tangan dan dokumen/informasi elektronik yang ditanda tangani, selanjutnya diteruskan ke Penerima.

Seorang penanda tangan dokumen/informasi elektronik harus hadir di depan Notaris sehingga memungkinkan Notaris untuk memeriksa identitas pelaku, keinginan pelaku, dan kompetensi/kemampuan pelaku dalam melaksanakan transaksi elektronik. Dengan bertatap muka, Notaris dapat pula mengetahui apakah pelaku yang ingin bertransaksi secara elektronik berada dalam keadaan tanpa paksaan atau ancaman fisik dari pihak lain, sehat rohani dan jasmani. Pemeriksaan pelaku yang akan bertransaksi ini juga membantu dalam penerbitan Sertifikat Elektronik.

Dalam pelaksanaan transaksi elektronik, pihak Pengirim mengirimkan dokumen/informasi elektronik yang ditanda tangani ke Notaris, kemudian Notaris memeriksa tanda tangan yang digunakan, identitas pengirim dan dokumen/informasi elektronik yang ditanda tangani. Jika pemeriksaan ini selesai, Notaris dapat mengirimkan informasi hasil pengecekan kepada Pengirim. Jika tidak ada masalah, lalu Notaris mengirimkan dokumen/informasi elektronik tersebut kepada Penerima. Pihak Penerima menyampaikan informasi kepada Notaris bahwa dokumen/informasi elektronik telah diterimanya. Penyampaian tersebut ditindaklanjuti oleh Notaris dengan mengirimkan informasi/laporan ke Pengirim bahwa Penerima telah menerima dokumen/informasi elektronik yang ditanda tangani.

Dari pembahasan di atas menunjukkan bahwa Certificate Authority tanpa didukung dengan peran Notaris menjadikan transaksi elektronik yang aman tapi legitimasinya lemah. Benar yang diuraikan dalam berbagai artikel di internet bahwa Certificate Authority (CA) dan Notary Authority (NA) merupakan satu kesatuan yang tak terpisahkan sebagai trusted third party dalam Transaksi Elektronik. Certificate Authority (CA) menyediakan Infrastruktur Teknologi yang aman digunakan oleh CA dan NA, sedangkan NA memberi legitimasi yang kuat dalam penyelenggaraan Transaksi Elektronik.

Selasa, 07 Desember 2010

Waspadai Penipuan bermodus E-mail Phising

Dalam era informasi sekarang ini, penyalahgunaan data sering kali terjadi oleh pelaku kejahatan, seperti penyalahgunaan data mengenai rekening perbankan. Untuk itu, kita seharusnya waspada dan mengenali praktek-praktek kejahatan yang terjadi agar terhindar dari kerugian. Salah satunya adalah E-mail Phising.
Di zaman sekarang, orang sudah akrab dengan yang namanya e-mail. Dari usia muda (anak-anak) sampai usia tua pun sudah mengenal e-mail. Banyak fasilitas yang dapat diperoleh dari penggunaannya, misalnya mengirim pesan, foto, atau aplikasi dalam hitungan detik atau menit. Tapi, penggunaan e-mail dapat pula membuat kita mengalami kerugian seperti kehilangan uang dalam kasus E-mail Phising.
Phising adalah tindakan memancing atau mengelabui seseorang untuk memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit secara tidak sah. Informasi ini kemudian dimanfaatkan oleh pelaku kejahatan untuk mengakses rekening seseorang, menarik atau mentransfer sejumlah uang ke rekening pelaku, atau melakukan belanja online dengan menggunakan kartu kredit orang lain. Berbagai cara ditempuh untuk mewujudkan keinginan pelaku, yang paling sering adalah mengiming-imingi seseorang dengan hadiah, membuat email dan website palsu yang menyerupai email dan website bank yang asli.
Phising sendiri berasal dari kata “fishing” berarti memancing. Phising dapat dilakukan dengan berbagai cara, seperti lewat telepon, chating, termasuk e-mail. Pelaku Phising (disebut pula “phiser”) biasanya mengajak atau menggiring seseorang dari e-mail untuk masuk ke website tertentu. Oleh karena itu, biasanya dalam e-mail phising terdapat link ke website tertentu.
Website tersebut akan meminta seseorang untuk memasukkan data pribadi, seperti User ID, password, PIN, nomor kartu kredit, nomor rekening, tanggal lahir, atau nama ibu kandung. Kemudian, data-data yang diperoleh akan digunakan oleh pelaku phising untuk melakukan tindak penipuan pada website bank yang asli.
Aksi Pelaku E-mail Phising :
Para pelaku kejahatan ini (“phiser”) bisa dikatakan sebagai “pencuri” yakni pencuri data pribadi dan uang orang lain, pada umumnya menggunakan e-mail atau website untuk memancing korbannya.
Pelaku mencari korban atau nasabah yang diketahui sering atau pernah melakukan transaksi online melalui website perbankan. Kemudian, si pelaku membuat alamat e-mail palsu atau e-mail jebakan yang mirip dengan alamat e-mail resmi dari perbankan. Biasanya e-mail mereka berupa iming-iming hadiah atau meminta seseorang untuk memasukkan data pribadi pada form yang disediakan dalam suatu website dengan alasan untuk verifikasi ulang. Si pelaku membuat website palsu yang dirancang sedemikian rupa sehingga mirip dengan website aslinya. Pelaku seringkali memanfaatkan logo atau merk milik bank atau penerbit kartu kredit agar lebih meyakinkan si korban.
Nasabah yang tertipu akan login ke dalam website palsu dan mulai mengisi informasi penting mengenai data pribadi, seperti nomor kartu kredit, PIN, nomor rekening, password, tanggal lahir, atau nama ibu kandung. Si korban merasa telah mengunjungi website asli bank yang ia gunakan yang tidak lain website palsu. Data pribadi tadi telah dimiliki oleh pelaku phising dan akan digunakanannya untuk mengakses rekening atau kartu kredit korban. Korban yang tertipu baru akan menyadari penipuan saat ia menerima surat pernyataan dari bank atau penerbit kartu kreditnya.
Berikut ini urutan kejadian dari kejahatan e-mail phising, dan diharapkan pembaca memahami untuk mewaspadai dan menghindari praktek kejahatan seperti ini.
1. Pertama kali
Para pelaku phising ini biasanya mencari informasi awal tentang nasabah bank yang cukup lengkap, termasuk alamat e-mail nasabah tersebut. Si pelaku membuat alamat e-mail dan website yang mirip dengan alamat e-mail dan website asli dari bank.
2. Menyebarluaskan e-mail
Pelaku phising mengirim e-mail ke alamat e-mail nasabah bank. E-mail tersebut berisikan pesan yang meyakinkan korban bahwa pesan tersebut dari bank resmi. Lalu, korban diarahkan ke website jebakan yang mirip dengan website bank yang asli dengan cara mengklik link yang disertakan dalam e-mail. Pesan tersebut dapat berupa informasi bahwa nasabah telah memenangkan undian berhadiah, untuk itu nasabah diminta untuk verifikasi data pribadi lewat website yang ditunjuk. Pesan dapat pula berupa permintaan untuk kembali mengisi data pribadi dengan alasan sistem elektronik bank baru mengalami gangguan atau perbaikan, terkadang disertai ancaman misalnya dalam jangka waktu 48 jam jika nasabah tidak melakukan pengisian ulang data pribadi maka rekening nasabah akan diblokir oleh bank.
3. Login
Korban yang mengklik link yang tertera dalam e-mail dan setelah itu masuk ke website jebakan. Agar lebih meyakinkan, korban diminta untuk melewati prosedur resmi dengan membuat username dan password yang baru agar dapat login ke website jebakan tersebut. Kemudian, muncul form yang meminta korban untuk mengisi ulang beberapa informasi mengenai data pribadi misalnya nomor kartu kredit dan PIN.
4. Penyalahgunaan
Data pribadi korban yang bersifat rahasia, sekarang sudah diketahui oleh pelaku phising. Dengan informasi penting yang didapatnya, ia dapat masuk ke website resmi bank. Kini pelaku bisa mentransfer uang korban ke rekening pelaku. Bahkan, Pelaku dapat menggunakan kartu kredit korban untuk membayar tagihah-tagihan pribadinya, termasuk berbelanja online.
5. Sadar menjadi korban
Si Korban akan sadar kalau rekening atau kartu kreditnya telah dibobol setelah menerima surat pernyataan dari bank, atau menemukan sendiri rekeningnya telah kosong.
Cara menghindari penipuan dengan modus E-mail Phising :
  • Waspada jika menerima e-mail yang meminta informasi pribadi Anda, seperti nomor rekening, nomor kartu kredit, PIN apalagi pelaku mengaku dari Bank. Bank biasanya memiliki kebijakan untuk tidak membolehkan nasabah mengisi data pribadi lewat e-mail. Jika menerima e-mail seperti ini, segera laporkan kepada Bank yang bersangkutan.
  • Waspada jika menerima e-mail yang meminta Anda untuk melakukan transfer uang ke rekening tertentu, dengan tujuan mendapatkan hadiah undian dari Bank tertentu. Sebaiknya cari keterangan lengkap dengan cara menghubungi langsung Bank yang bersangkutan.
  • Sebaiknya secara rutin mengganti password atau PIN agar tidak mudah dicuri.
  • Tiap kali masuk halaman website, perhatikan dengan seksama isi dan alamatnya. Usahakan kenali alamat website asli dari bank yang diajak bertransaksi. Jangan terpancing oleh keberadaan logo bank di website tersebut, karena logo bank mudah dicopy. Cara yang terbaik adalah menghubungi langsung bank yang bersangkutan untuk mengecek kebenaran website tersebut agar Anda tidak tertipu.
  • Waspada jika Anda menerima e-mail yang meminta PIN Anda. Pada umumnya, Bank tidak meminta PIN nasabah dengan alasan apapun. Sebaiknya cari keterangan lengkap dengan cara langsung menghubungi Bank yang bersangkutan.

Penegakan hukum :

Ketentuan hukum yang mengatur tentang phising sampai saat ini belum ada, tetapi tidak berarti perbuatan tersebut dapat dibiarkan begitu saja. Perbuatan penipuan dengan modus Phising tetap dapat dijerat dengan berbagai peraturan yang ada, diantaranya UU Informasi dan Transaksi Elektronik (UU ITE) No. 11 Tahun 2008. Perbuatan penipuan tersebut memenuhi unsur pidana pasal 28 ayat 1, dan pasal 35. Berikut petikan isi pasal-pasal tersebut.

Pasal 28 ayat 1
Setiap Orang dengan sengaja dan tanpa hak menyebarkan berita bohong dan menyesatkan yang mengakibatkan kerugian konsumen dalam Transaksi Elektronik.

Pasal 35
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap seolah-olah data yang otentik.

Tindakan penipuan oleh pelaku phising jelas dilakukan dengan cara menyebarkan berita bohong dan menyesatkan sehingga konsumen (nasabah bank) menderita kerugian dalam transaksi elektronik perbankan. Dalam menjalankan aksinya, pelaku phising menciptakan informasi elektronik seperti mengirim pesan dalam bentuk e-mail ke para nasabah yang seolah-olah asli (otentik) dari bank yang resmi.

Bagi pelaku phising akan dikenai pidana penjara sesuai unsur pidana yang terpenuhi yang tercantum dalam pasal 45 ayat 2 untuk pasal 28 ayat 1, pasal 51 ayat 1 untuk pasal 35. Berikut petikan isi pasal tersebut.

Pasal 45 ayat 2
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 28 ayat (1) atau ayat (2) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp1.000.000.000,00 (satu miliar rupiah).

Pasal 51 ayat 1

Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 dipidana dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling banyak Rp12.000.000.000,00 (dua belas miliar rupiah).