Penny melihat satu iklan perkhidmatan pembersihan di Facebook dan menghantar mesej kepada wakil syarikat melalui WhatsApp untuk mendapatkan maklumat lanjut mengenai perkhidmatan yang ditawarkan. Wakil tersebut membalas dan menghantar pautan kepada Penny untuk membuat bayaran deposit sebanyak RM10. Penny cuba membuat pembayaran, tetapi transaksi tersebut tidak berjaya.

Kemudian, Penny menyedari bahawa terdapat tiga transaksi tanpa kebenaran telah dilakukan dari akaun simpanannya, berjumlah RM20,000 kepada penerima yang sama. Walau bagaimanapun, Penny hanya mengetahui tentang transaksi tersebut selepas menerima beberapa notifikasi transaksi berjaya daripada pihak bank.

Penny juga mendapati bahawa had pemindahan dalam taliannya telah dinaikkan daripada RM20,000 kepada RM50,000 sehari. Penny segera melaporkan perkara tersebut kepada pihak bank. Namun, pihak bank menolak tuntutan Penny kerana aktiviti perbankan dalam talian tersebut dilakukan menggunakan nama pengguna dan kata laluan yang sah serta disahkan melalui Kata Laluan Sekali Guna (OTP) yang dihantar ke telefon Penny.

Pihak bank menjelaskan bahawa OTP dihantar kepada Penny sebagai notifikasi transaksi dan sebagai langkah keselamatan tambahan untuk melindungi akaun perbankan dalam taliannya daripada penipuan. Penny menegaskan bahawa dia tidak melakukan transaksi tersebut kerana dia tidak mengenali individu yang menerima dana tersebut.

Penny berhujah bahawa dia biasanya menggunakan cap jari untuk mengakses akaun banknya melalui aplikasi perbankan mudah alih bank tersebut, dan transaksinya tidak memerlukan OTP untuk pengesahan. Oleh itu, beliau tidak sepatutnya dipertanggungjawabkan atas transaksi tanpa kebenaran itu.

PENEMUAN KAMI

Hasil siasatan mendapati bahawa maklumat perbankan Penny seperti nama pengguna, kata laluan, dan OTP telah terdedah melalui perisian hasad (malware) phishing yang tertanam dalam laman pembayaran palsu bagi perkhidmatan pembersihan tersebut, yang telah membolehkan transaksi yang dipertikaikan itu berlaku.

Sebagai respons terhadap hujah Penny bahawa dia meluluskan transaksinya menggunakan cap jari di telefon bimbit, pihak bank menjelaskan bahawa sistem perbankan dalam talian mereka hanya membenarkan transaksi sehingga RM1,000 sehari menggunakan biometrik.

Bagi transaksi yang melebihi RM1,000, kata laluan diperlukan. Rekod juga menunjukkan bahawa terdapat tiga percubaan gagal untuk memindahkan dana dari akaun Penny, yang termasuk dalam parameter pemantauan penipuan pihak bank.

KEPUTUSAN

Ombudsman berpendapat bahawa walaupun Penny bertanggungjawab untuk melindungi maklumat perbankannya, pihak bank juga seharusnya telah melaksanakan langkah-langkah keselamatan yang lebih baik selaras dengan tren penipuan semasa—terutamanya apabila transaksi dilakukan kepada penerima baru yang sama selepas tiga percubaan gagal.

Memandangkan pihak bank telah mengesan tiga transaksi mencurigakan tersebut, mereka seharusnya menyekat atau menggantung akaun perbankan internet Penny sepenuhnya dan bukannya hanya menyekat transaksi tertentu sahaja. Sekiranya akaun perbankan internet Penny digantung, ia boleh menghalang berlakunya transaksi tidak dibenarkan yang seterusnya. Oleh itu, Ombudsman memutuskan bahawa kerugian perlu ditanggung bersama oleh Penny dan pihak bank.