Open in app

Sign in

Write

Sign in

PayStory — QRIS ASPAL Atau BETON?

Sandi Fajariadi
5 min readAug 6, 2023

Mungkin sudah banyak yang tahu dan mendengar kasus QRIS yang ditempel di kotak amal Masjid yang sebenarnya bukan QRIS yang dimiliki oleh Masjid tersebut. Infonya ada sekitar 38 Masjid yang terkena kasus tersebut dimana QRIS yang asli milik Masjid ditimpa dengan QRIS lain oleh oknum yang tidak bertanggung jawab.

Sebenarnya kalau dibilang QRIS palsu, tidak juga sih. Ini tergantung definisi “palsu”-nya ya. Kalau definisi “palsu” disini maksudnya adalah QRIS yang discan oleh user adalah bukan QRIS pemilik asli toko/tempat transaksi, maka jawabannya iya betul, QRIS tersebut bisa dikatakan palsu.

Tapi kalau yang dimaksud definisi palsu disini adalah QRIS nya mainan, gadungan atau rekaan, maka jawabannya tidak, QRIS tersebut bukan palsu. Kalau dibilang QRIS yang discan tidak sesuai dengan image QRIS nya, ini juga tidak, karena data QRIS hasil scan benar sesuai dengan image QRIS nya.

Nyatanya QRIS yang ditempel tersebut adalah QRIS yang memang berfungsi normal dan dikeluarkan oleh lembaga resmi QRIS.

Kalau kita lihat informasi merchant yang terdaftar di QRIS yang dibilang “palsu” tersebut, maka kita akan mendapatkan data berikut :

Merchant Name: RESTORASI MASJID 
Merchant Category: 1111 
City: Medan 
Postal Code: 20153 
Country: Indonesian

Data ini sesuai dengan nama yang ada di gambar QRIS. Artinya ketika orang melakukan scan, nama yang ada di image QRIS akan muncul dengan data yang sama dengan yang muncul di aplikasi yang melakukan scan, yaitu “RESTORASI MASJID”. Dan nama merchant ini memang resmi terdaftar di penyedia layanan QRIS.

Kalau kita lihat proses transaksi lain yang bisa disamakan prosesnya, maka kita bisa contek dari proses transfer ke rekening seseorang. Jika kita ingin melakukan transfer, seperti di proses jual beli, pasti dari penjual akan menginformasikan nomor rekening yang harus ditransfer dan nama pemilik rekening, dengan tambahan informasi bahwa penjual hanya menggunakan nomor rekening tersebut dengan nama yang tercantum sebagai pemilik rekening dan jika ada nomor rekening lain yang mengatasnamakan atau memiliki nama lain, maka rekening itu bukanlah rekening dari penjual yang asli.

Sama seperti kasus penipuan QRIS, jika ada oknum yang mencoba mengirimkan nomor rekening lain, maka rekening tersebut adalah rekening ASPAL. Rekeningnya asli, tapi dikatakan palsu karena bukan rekening yang dimiliki oleh penjual.

QRIS sebenarnya harus diperlakukan hal yang sama seperti transfer, dimana sebagai pemilik QRIS harus bisa memastikan dan menginformasikan bahwa QRIS yang asli adalah QRIS dengan nama dan nomor NMID sesuai dengan data yang didapatkan.

Contoh QRIS di atas, maka pemilik QRIS harus memastikan bahwa user yang akan membayar harus memastikan bahwa nama yang muncul di aplikasi adalah “WARTEG MEKAR JAYA” dan NMID nya adalah “ID1023261355466”.

Pemilik usaha bisa menginformasikan ke pelanggan bahwa jika ada QRIS yang diklaim milik Warteg Mekar Jaya tapi nama yang tampil berbeda dan/atau NMID nya berbeda, maka QRIS tersebut bukan QRIS milik Warteg Mekar Jaya.

Apakah dengan memastikan bahwa Nama yang muncul sama dengan Nama yang tercantum bisa dipastikan aman?

Nah ini masalahnya.

Sebenarnya begini, masalahnya bukan di QRIS nya, tapi memang ada proses yang dijalankan yang tidak sesuai dengan aturan main QRIS yang sudah ditetapkan.

Sesuai Buletin QRIS yang dikeluarkan ASPI No.1 September 2020 tercantum aturan berikut

Jadi sebagai Acquirer QRIS, wajib melakukan validasi atas nama merchant ketika terjadi transaksi. Ketika validasi dilakukan, maka Acquirer bisa memastikan bahwa merchant tempat transaksi dilakukan memang valid dan genuine.

Kenapa harus divalidasi? Karena image QRIS bisa diubah dengan sedikit effort.

Saya bisa bilang, kasus QRIS ASPAL yang terjadi di Masjid tersebut akan cepat terdeteksi karena nama yang digunakan berbeda. Dari pemilik QRIS asli akan bisa langsung membedakan. Tapi apa yang terjadi jika semua tampilan sama persis dengan yang asli? Bahkan pemilik QRIS asli pun akan sulit membedakan.

Saat saya melakukan pengetesan transaksi dari 2 image QRIS yang saya ambil dari Google, saya bisa mengubah nama merchant dan transaksi tetap sukses dilakukan.

Sekali lagi, ini bukan masalah di QRIS nya, tetapi ada logic proses yang tidak dilakukan oleh penyedia layanan QRIS. Analoginya begini, misal kita sudah buat password, tetapi passwordnya tidak divalidasi. Kesalahan bukan di password sehingga kelihatannya tidak aman, tetapi salah di proses yang dilakukan untuk memvalidasi password.

Hal inipun juga bisa terjadi di metode transaksi lain, baik transaksi kartu, Virtual Account atau eMoney. Bisa saja ada oknum memberikan informasi merchant yang salah, sehingga transaksi yang terjadi bukan dilakukan di tempat yang seharusnya. Kita terpedaya dengan tampilan web merchant yang sama atau dikontak melalui whatsapp dengan gambar profile yang sama dengan penjual yang asli sehingga kita mempercayai bahwa kita bertransaksi dengan penjual yang asli.

Biasanya kita mengenal hal ini dengan istilah “SPOOFING”

Untuk proses QRIS sendiri, ada beberapa hal yang bisa jadi perhatian

  1. Bagi penyedia layanan QRIS, segera lakukan validasi data merchant sesuai dengan aturan yang sudah dikeluarkan ASPI.
  2. Bagi pemilik QRIS, informasikan ke pelanggan anda informasi QRIS resmi yang anda miliki, yaitu nama yang terdaftar dan NMID yang dimiliki.
  3. Bagi aplikasi yang melakukan scan QRIS, untuk membantu user, pastikan nama merchant ditampilkan di aplikasi. Dan jika memungkinkan juga menampilkan nomor NMID milik merchant, sehingga user bisa membandingkan datanya.
  4. Kenapa NMID perlu ditampilkan di aplikasi? Karena hanya nomor NMID yang terlihat di image QRIS. Tidak ada informasi Merchant ID atau MPAN di image QRIS yang terlihat.
  5. Perlu diperhatikan dan dikuatkan lagi proses onboarding merchant. Apalagi jika layanan QRIS nya di sub/aggregator lagi yang terkadang proses onboarding di merchant aggregator nya tidak terkontrol.

Dengan adanya berbagai fitur transaksi QRIS yang terus berkembang, termasuk fitur Cross Border, Tuntas, CPM, dan banyak kejutan menarik lainnya, saya yakin bahwa transaksi QRIS akan semakin diminati dan berpotensi menggeser beberapa metode transaksi yang saat ini populer. Oleh karena itu, tugas kita semua, baik sebagai penyedia layanan maupun pengguna, adalah terus bekerja sama untuk meningkatkan kualitas dan inovasi dalam proses QRIS yang telah ada.

Jangan sampai kita terkena QRIS ASPAL (Asli Tapi Palsu) apalagi BETON (Benar Tapi Bohong).

Sandi Fajariadi mempunyai pengalaman di product development terutama terkait payment, emoney dan ewallet. Di waktu senggang membuat aplikasi mobile seperti QRIS wantuno, cek RS dan dengan temannya bersenang senang membuat beberapa lagu di The Vader

Originally published at https://www.linkedin.com.

Sign up to discover human stories that deepen your understanding of the world.

Free

Distraction-free reading. No ads.

Organize your knowledge with lists and highlights.

Tell your story. Find your audience.

Membership

Read member-only stories

Support writers you read most

Earn money for your writing

Listen to audio narrations

Read offline with the Medium app

Qris
Payment
Paymentgateway
Qris Aspal
Paystory

--

--

Sandi Fajariadi
Sandi Fajariadi

Written by Sandi Fajariadi

20 Followers
2 Following

10+ years deep in payment systems, always curious about QRIS. Let's talk!

No responses yet

Write a response

What are your thoughts?

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams