Pencegahan Penipuan Pembayaran: Apa yang Efektif dan Apa yang Hanya Sandiwara
Dua aplikasi pembayaran, ancaman yang sama, hasil yang berlawanan. Di satu sisi, Cash App, yang perusahaan induknya diperintahkan untuk membayar $175 juta pada awal tahun 2025 atas cara mereka menangani klaim penipuan pelanggan. Di sisi lain, PayPal , yang memproses lebih dari satu triliun dolar pada tahun itu dan masih mempertahankan tingkat kerugiannya mendekati 0,08% dari volume transaksi. Keduanya menghadapi penipu yang sama, kartu curian yang sama, dan skrip rekayasa sosial yang sama. Jadi mengapa yang satu berakhir dalam siaran pers regulator dan yang lainnya dalam catatan kaki laporan keuangan?
Perbedaannya bukan soal anggaran. Perbedaannya terletak pada kontrol apa yang diandalkan masing-masing perusahaan. Sebagian besar upaya pencegahan penipuan pembayaran hanyalah sandiwara: terlihat meyakinkan, mengisi slide presentasi, dan hampir tidak menghentikan apa pun. Hanya segelintir kontrol yang benar-benar efektif. PayPal dan Cash App menjadi contoh nyata untuk membedakan keduanya, karena dalam kasus mereka, regulator telah melakukan penilaian untuk kita. Ini adalah panduan praktis tentang apa yang berhasil dan apa yang diam-diam gagal.
Berapa kerugian yang ditimbulkan oleh penipuan pembayaran bagi perekonomian saat ini?
Angka-angka utama tersebut cukup besar untuk membuat kita mati rasa. Warga Amerika melaporkan kerugian sebesar $12,5 miliar akibat penipuan pada tahun 2024, peningkatan 25% dalam satu tahun, menurut Jaringan Pengawasan Konsumen FTC . Penipuan kartu kredit di seluruh dunia mencapai $33,41 miliar, dan Amerika Serikat menanggung sekitar 42% dari kerugian tersebut, yang mencakup sekitar seperempat dari volume kartu kredit global.
Fakta yang lebih bermanfaat tersembunyi di balik angka total: ke mana uang itu sebenarnya bocor. Dua metode pembayaran teratas berdasarkan kerugian yang dilaporkan adalah transfer bank ($2,09 miliar) dan mata uang kripto ($1,42 miliar) — bukan kartu. Itu bukan kebetulan. Sistem tersebut dibangun untuk memindahkan uang dengan cepat dan lancar, tanpa cara bawaan untuk menariknya kembali. Jaringan kartu memiliki mekanisme penyelesaian sengketa selama puluhan tahun. Transfer antar rekening biasanya tidak memiliki mekanisme tersebut. Penipuan mengikuti jalur yang paling sulit untuk dibatalkan.
| Metrik (terbaru) | Angka | Sumber |
|---|---|---|
| Kerugian akibat penipuan yang dilaporkan di AS, 2024 | $12,5 miliar (+25% YoY) | Pengawas Konsumen FTC |
| Metode kerugian tertinggi: transfer bank | $2,09 miliar | FTC, 2024 |
| Kerugian mata uang kripto | $1,42 miliar | FTC, 2024 |
| Kerugian global akibat penipuan kartu, 2024 | $33,41 miliar | Laporan Nilson |
| Pangsa AS dalam penipuan kartu global | ~42% (dari ~26% volume) | Laporan Nilson |
Jenis-jenis penipuan pembayaran yang umum, diurutkan berdasarkan siapa yang membayar.
Setiap panduan pencegahan penipuan memberikan daftar yang sama berisi selusin jenis serangan. Yang lebih bermanfaat adalah mengurutkannya berdasarkan siapa yang sebenarnya menanggung kerugian, karena itulah yang menentukan apakah Anda harus peduli. Jenis-jenis penipuan pembayaran yang umum tidak membagi kerugian secara merata.
Penipuan email bisnis dan penipuan pembayaran dorong resmi berada di urutan teratas, karena mereka menipu korban untuk mengirim uang sendiri, dan korban biasanya tidak dapat mendapatkannya kembali. UK Finance mencatat £257,5 juta dalam penipuan pembayaran dorong hanya pada paruh pertama tahun 2025, naik 12% dari tahun sebelumnya. Pengambilalihan akun berada di urutan berikutnya: penipu masuk ke akun asli dan mengurasnya, yang berarti pemilik sah harus membuktikan bahwa bukan mereka yang melakukannya. Penipuan kartu tersebar luas tetapi, bagi konsumen, sebagian besar ditanggung oleh penerbit melalui pengembalian dana (chargeback). Kemudian ada penipuan "teman", di mana pelanggan sungguhan mempersoalkan pembelian sungguhan — ini mendorong sekitar 75% hingga 79% dari pengembalian dana e-commerce, dan pedagang yang membayar. Penipuan deepfake dan kloning suara adalah pendatang baru, kecil dalam nilai dolar saat ini tetapi meningkat dengan cepat. Polanya sederhana: semakin sulit metode pembayaran untuk dibatalkan, semakin besar penipuan yang menimpa orang yang paling tidak mampu menanggungnya.
Cash App: sebuah studi kasus dalam teater pencegahan penipuan
Jika Anda ingin melihat seperti apa sandiwara pencegahan penipuan dalam skala besar, lihatlah Cash App. Pada saat regulator tiba, aplikasi ini memiliki sekitar 56 juta akun aktif dan aplikasi yang apik dan ramah pengguna. Namun, yang tidak dimilikinya adalah mekanisme di balik layar yang tidak glamor: investigasi nyata, saluran telepon yang berfungsi, dan kesadaran bahwa transfer yang tidak sah adalah masalah perusahaan yang harus diperbaiki.
Apa yang sebenarnya ditemukan oleh regulator?
Pada Januari 2025, Biro Perlindungan Keuangan Konsumen (CFPB) memerintahkan Block, perusahaan induk Cash App, untuk membayar $175 juta — $120 juta dikembalikan kepada pengguna yang dirugikan dan denda $55 juta . Bahasa yang digunakan perlu dibaca perlahan. CFPB mengatakan perusahaan tersebut menggunakan "praktik investigasi yang sengaja ceroboh" untuk menutup laporan penipuan demi keuntungan mereka sendiri. Pelanggan yang menghubungi saluran pengaduan penipuan hanya mendapatkan pesan rekaman otomatis; selama bertahun-tahun tidak ada agen yang dapat dihubungi sama sekali. Pada bulan yang sama, koalisi 48 regulator negara bagian menambahkan denda terpisah sebesar $80 juta untuk kegagalan anti pencucian uang. Total kerugian: sekitar $255 juta. Semua itu bukan tentang peretas yang cerdas. Itu tentang sebuah perusahaan yang memutuskan bahwa menjawab telepon adalah pilihan.
Mengapa transfer P2P ireversibel merupakan kelemahan struktural?
Di balik cerita penegakan hukum terdapat pilihan desain. Cash App memindahkan uang dari satu rekening ke rekening lain, seperti uang tunai. Setelah uang itu berpindah, tidak ada jaringan kartu yang dapat membalikkan transaksi tersebut. Itu tidak masalah sampai seseorang tertipu atau diretas, dan kemudian model "seperti uang tunai" berubah menjadi "Anda bertanggung jawab sendiri." Hukum federal (Peraturan E) sebenarnya mewajibkan bank dan aplikasi pembayaran untuk menyelidiki transfer elektronik yang tidak sah dan mengganti kerugian pengguna. Yang terus saya pikirkan adalah betapa biasa kegagalan itu: bukan pelanggaran, hanya keputusan untuk memperlakukan transfer yang tidak sah sebagai masalah pelanggan. CFPB menyebut keputusan itu sebagai pelanggaran.
Bagaimana sebenarnya sistem deteksi penipuan PayPal bekerja
PayPal adalah contoh "apa yang berhasil" yang paling alami, tetapi versi pemasarannya salah. PayPal tidak bebas dari penipuan, dan berpura-pura sebaliknya menyembunyikan pelajaran sebenarnya. Laporan keuangannya sendiri menunjukkan kerugian transaksi dan kredit sebesar $1,72 miliar pada tahun 2025, naik 19% dari tahun sebelumnya. Penipuan masih marak terjadi di dalam PayPal. Perbedaannya terletak pada apa yang terjadi selanjutnya.
Perlindungan Pembeli dan Penjual sebagai lapisan reversibilitas.
PayPal membangun fitur pembatalan transaksi ke dalam produknya untuk melindungi kedua belah pihak dalam transaksi. Pembelian yang memenuhi syarat dilengkapi dengan Perlindungan Pembeli, dan penjual mendapatkan perlindungan mereka sendiri, dengan proses sengketa dan klaim sebagai tambahan. Ketika terjadi penipuan, sistem sering kali dapat mengembalikan uang pembeli atau membatalkan transaksi daripada membiarkan mereka terlantar. Itulah lapisan yang sama yang tidak dimiliki Cash App. Sistem ini juga mahal, lambat, dan penuh dengan kasus-kasus khusus, dan PayPal menerima banyak keluhan tentangnya. Tetapi "proses sengketa yang membuat frustrasi" dan "saluran telepon yang mati" bukanlah kategori kegagalan yang sama.
Penilaian risiko berbasis pembelajaran mesin pada saat transaksi
Lapisan kedua adalah deteksi. PayPal menilai transaksi secara real-time berdasarkan ratusan sinyal — perangkat, lokasi, riwayat, kecepatan, perilaku — untuk menandai transaksi yang mencurigakan sebelum uang berpindah. Hasil utamanya adalah tingkat kerugian yang tetap berada di sekitar 0,08% dari total volume pembayaran, mendekati rekor terendah, meskipun kerugian absolut meningkat seiring dengan skala transaksi. Gabungkan kedua angka tersebut dan Anda akan mendapatkan versi yang jujur: volume yang lebih besar berarti lebih banyak uang hasil penipuan, tetapi penilaian adaptif menjaga tingkat kerugian tetap rendah. Sistem ini bukanlah sihir. Sistem ini hanya perlu dipelihara.
Yang berhasil: praktik terbaik yang mengurangi penipuan
Jadi, apa sebenarnya yang memengaruhi angka tersebut? Singkirkan komponen dari vendor dan kontrol yang benar-benar mencegah kecurangan, dan kontrol tersebut sebenarnya singkat dan membosankan. Mereka memiliki satu kesamaan: mereka beradaptasi atau menambahkan pemeriksaan independen kedua, daripada hanya mengandalkan satu gerbang statis.
Autentikasi multi-faktor adalah kontrol berdaya ungkit tinggi yang paling murah yang ada. Microsoft melaporkan bahwa MFA memblokir lebih dari 99,9% upaya peretasan akun otomatis, dan hampir semua akun yang diretas tidak pernah mengaktifkannya. Penilaian transaksi berbasis pembelajaran mesin, pengenalan sidik jari perangkat, dan biometrik perilaku menangkap pola yang terlewatkan oleh aturan tetap; sebuah bank melaporkan pengurangan kerugian akibat penipuan sekitar 35% setelah menerapkan analitik perilaku, meskipun angka tersebut dilaporkan oleh vendor dan harus dibaca sebagai indikatif, bukan kebenaran mutlak. Autentikasi pelanggan yang kuat melalui 3-D Secure 2 menambahkan langkah verifikasi pada pembayaran kartu; hal ini menimbulkan biaya gesekan (kira-kira satu dari lima upaya autentikasi gagal diselesaikan), tetapi mengalihkan tanggung jawab dan menghentikan sebagian besar penggunaan kartu curian. Pemeriksaan kenali pelanggan Anda (KYC) pada saat pendaftaran dan batasan kecepatan transaksi melengkapi daftar tersebut.
| Kontrol | Apa yang dihentikannya | Bukti | Dakwaan |
|---|---|---|---|
| Autentikasi multi-faktor | Pengambilalihan akun | Memblokir >99,9% serangan otomatis (Microsoft) | Karya |
| ML / penilaian perilaku | Transaksi anomali | Tingkat kerugian ala PayPal mendekati 0,08% | Karya |
| 3-D Secure 2 / SCA | Penggunaan kartu curian | Pergeseran tanggung jawab; ~1 dari 5 meninggalkan proyek. | Berfungsi, dengan gesekan. |
| Sidik jari perangkat | Penipu kambuh | Sinyal standar industri | Karya |
| KYC saat onboarding | Identitas sintetis | Dasar peraturan | Karya |
Teater keamanan: perlindungan terhadap penipuan yang gagal
Sekarang kita bahas pemborosan anggaran, kontrol yang terasa seperti perlindungan terhadap penipuan tetapi hampir tidak memberikan perlindungan sama sekali. Pertanyaan keamanan adalah pelanggar terburuk. Jawabannya (nama gadis ibu Anda, hewan peliharaan pertama Anda) mudah ditebak, diambil datanya, atau dibobol, dan badan standar AS NIST sekarang secara resmi melarang otentikasi berbasis pengetahuan sebagai faktor login yang valid. Ini bukan "menambahkan lapisan," melainkan menambahkan lapisan palsu.
Kode satu kali SMS adalah jebakan berikutnya. Kode ini terasa seperti MFA (Multi-Factor Authentication), tetapi bergantung pada nomor telepon yang dapat dicuri penyerang melalui penukaran SIM , yang menurut riset industri berhasil pada percobaan pertama sekitar 80% dari waktu; FBI mencatat kerugian sekitar $26 juta akibat penukaran SIM pada tahun 2024 saja. Kemudian ada mesin statis yang hanya berdasarkan aturan dan tidak pernah belajar, serta antrian peninjauan manual yang lambat yang memungkinkan penipuan lolos sebelum diperiksa oleh manusia. Trik paling mahal dari semuanya adalah yang diajarkan Cash App kepada kita: membuat transfer tidak dapat dibatalkan secara default dan menyebutnya kecepatan. Para insinyur cenderung menganggap kemampuan untuk membatalkan sebagai hambatan yang harus dihilangkan melalui desain. Bagi korban, justru itulah intinya.
Penipuan pengambilalihan akun: di mana model-model tersebut berbeda
Penipuan pengambilalihan akun adalah ujian paling jelas dari keseluruhan argumen, karena kedua perusahaan menghadapi serangan yang identik: seorang penjahat mendapatkan kredensial pengguna asli dan mencoba memindahkan uang. Masukan yang sama, hasil yang sangat berbeda.
Dari sisi pencegahan, penanggulangannya sudah mapan: terapkan MFA yang kuat (bukan kode SMS), pantau sinyal perilaku untuk login yang tidak sesuai dengan pemiliknya, dan batasi kecepatan transaksi yang mencurigakan. Tetapi pencegahan selalu memiliki sedikit celah, dan pertanyaan kedua adalah apa yang terjadi ketika hal itu terjadi. Proses pembatalan dan sengketa PayPal memberi pengguna yang diretas jalan kembali. Sikap historis Cash App, bahwa transfer yang tidak sah adalah masalah pengguna, membuat mereka terlantar, yang justru mengubah insiden keamanan menjadi kasus pertanggungjawaban senilai $175 juta. Penipuan yang sama, hasil yang berlawanan, diputuskan oleh pilihan kebijakan daripada sepotong kode.
| Depan | PayPal | Cash App (sebelum 2025) |
|---|---|---|
| Model uang | Berbahan karton, dapat dibalik | Antar rekening, tidak dapat dibatalkan |
| Ketika penipuan terjadi | Perlindungan Pembeli/Penjual, jalur penyelesaian sengketa | Dianggap sebagai masalah pengguna. |
| Deteksi | Penilaian risiko ML secara real-time | Terbatas, mengutamakan pertumbuhan |
| Dukungan penipuan | Proses klaim (lambat tapi nyata) | Saluran telepon mati selama bertahun-tahun |
| Catatan peraturan | Tingkat kerugian ~0,08% diungkapkan dalam pengajuan | Perintah CFPB senilai $175 juta, denda negara bagian $80 juta |
Bagaimana cara menanggapi penipuan setelah terjadi?
Deteksi hanyalah setengah dari pekerjaan; respons adalah setengah yang sebenarnya dinilai oleh regulator. Ketika transfer yang tidak sah lolos, standar hukum minimum di bawah aplikasi pembayaran AS adalah Peraturan E: selidiki dengan segera, dan berikan kompensasi kepada pengguna jika transfer tersebut tidak sah. Itu berarti penyelidikan yang nyata, orang yang dapat dihubungi, dan tenggat waktu. Tagihan Cash App sebesar $175 juta tidak ada hubungannya dengan peretasan. Itu tentang bagaimana perusahaan menanggapi setelahnya, atau menolak untuk menanggapi. Bangun respons, bukan hanya tembok.
Tren penipuan: ke mana arah pencegahannya?
Fase selanjutnya adalah perlombaan senjata yang diperjuangkan dengan senjata yang sama di kedua sisi. AI generatif mendorong vektor serangan yang paling cepat berkembang: Deloitte memproyeksikan kerugian akibat penipuan yang didukung AI di AS meningkat dari $12,3 miliar pada tahun 2023 menjadi sekitar $40 miliar pada tahun 2027, dan penipuan yang didorong oleh deepfake melonjak hingga miliaran dolar pada tahun 2025 menurut perkiraan industri. Teknologi yang sama juga mendorong pertahanan terbaik. Laporan Nilson menyebutkan AI telah menghasilkan model penanggulangan penipuan terkuat yang pernah dimiliki industri kartu. Siapa pun yang berinovasi lebih cepat akan memenangkan putaran, dan itulah sebabnya pertahanan statis akan gagal dan pertahanan adaptif tidak.
Apa artinya ini bagi pencegahan penipuan pembayaran?
Pelajaran dari PayPal dan Cash App bukanlah "habiskan lebih banyak uang untuk teknologi." Keduanya sudah banyak berinvestasi. Taruhan yang menang itu sempit dan tidak glamor: kemampuan untuk membatalkan transaksi, akuntabilitas, dan beberapa kontrol yang beradaptasi alih-alih berpura-pura. Pertunjukan memang lebih murah, sampai regulator menetapkan harga $175 juta untuk itu. Jadi, audit sistem Anda sendiri berdasarkan tabel di atas dan ajukan satu-satunya pertanyaan yang penting. Jika Anda tidak dapat membatalkan transfer yang curang atau mengangkat telepon ketika pelanggan dirampok, Anda tidak memiliki pencegahan penipuan pembayaran. Anda hanya memiliki logo.
