Julie, seorang pesara berusia 70 tahun, menerima SMS daripada pihak bank yang menyatakan bahawa sejumlah RM3,000 telah dipindahkan daripada akaunnya, dan sekiranya beliau tidak membuat transaksi tersebut, beliau perlu menghubungi nombor yang tertera.

Julie menghubungi nombor tersebut dan bercakap dengan individu yang menyamar sebagai pegawai daripada Bank Negara Malaysia. Individu itu meminta maklumat kad beliau kononnya untuk “melindungi akaun-akaun sedia ada” milik Julie.

Tidak lama selepas itu, Julie mula curiga dan menghubungi pihak bank sebenar.

Pihak bank memaklumkan bahawa terdapat beberapa transaksi melibatkan dua kad kredit dan satu kad debit dengan jumlah keseluruhan sebanyak RM50,000. Julie menafikan melakukan transaksi tersebut dan segera membuat aduan rasmi kepada bank.

Namun begitu, pihak bank menolak tuntutan Julie kerana transaksi tersebut telah disahkan menggunakan kata Laluan Sekali (OTP) yang dihantar melalui SMS ke nombor telefon bimbit berdaftar miliknya. Julie juga menegaskan bahawa beliau tidak mendedahkan sebarang OTP bagi transaksi berkenaan.

PENEMUAN KAMI

Berdasarkan rekod bank, transaksi yang dipertikaikan telah dilakukan melalui platform selamat pedagang yang menggunakan sistem Three Domain Secure (3-D Secure) yang memerlukan maklumat lengkap kad kredit seperti nombor kad, tarikh luput, dan kod CVV/CVC.

Transaksi tersebut telah disahkan selepas pengesahan OTP dilakukan, yang berfungsi sebagai lapisan tambahan keselamatan untuk mengelakkan aktiviti penipuan. Rekod bank menunjukkan bahawa SMS OTP dan makluman transaksi telah dihantar melalui nombor telefon bimbit Julie yang berdaftar dengan bank.

Oleh itu, transaksi tidak dapat dilengkapkan jika tiada maklumat kad kredit dan kad debit yang lengkap dan OTP yang sah.

Kami percaya bahawa Julie telah menjadi mangsa penipuan SMS, dan butiran kad serta OTP beliau telah terdedah kepada pihak ketiga. Penyata kad Julie menunjukkan bahawa beliau tidak pernah melakukan sebarang transaksi dalam talian sebelum insiden ini. Tambahan pula, jumlah transaksi yang dipertikaikan tidak selari dengan corak perbelanjaan beliau yang secara purata jumlah bulanannya dibawah RM200.

KEPUTUSAN

Walaupun Pengurus Kes mengakui bahawa Julie bertanggungjawab dalam melindungi maklumat perbankannya, beliau berpendapat bahawa pihak bank juga harus memantau transaksi dalam talian yang luar biasa — terutamanya melibatkan pengguna yang berisiko tinggi seperti warga emas.

Kerugian yang dialami oleh Julie boleh dielakkan sekiranya pihak bank melaksanakan langkah keselamatan tambahan. Oleh itu, Pengurus Kes mengesyorkan agar kerugian tersebut ditanggung bersama oleh pihak bank dan Julie. Namun, pihak bank menolak syor tersebut dan merujuk kes ini kepada Ombudsman untuk pertimbangan selanjutnya.

Setelah meneliti kes ini, Ombudsman bersetuju dengan syor Pengurus Kes bahawa tanggungjawab perlu dikongsi antara kedua-dua pihak.