Internet banking bukan merupakan istilah
yang asing lagi bagi masyarakat Indonesia khususnya bagi yang tinggal di
wilayah perkotaan. Hal tersebut dikarenakan semakin banyaknya perbankan
nasional yang menyelenggarakan layanan tersebut.
Penyelenggaraan internet banking yang
sangat dipengaruhi oleh perkembangan teknologi informasi, dalam kenyataannya
pada satu sisi membuat jalannya transaksi perbankan menjadi lebih mudah, akan
tetapi di sisi lain membuatnya semakin berisiko. Dengan kenyataan seperti ini,
keamanan menjadi faktor yang paling perlu diperhatikan. Bahkan mungkin faktor
keamanan ini dapat menjadi salah satu fitur unggulan yang dapat ditonjolkan
oleh pihak bank.
Salah satu risiko yang terkait dengan
penyelenggaraan kegiatan internet banking adalah internet fraud atau penipuan
melalui internet. Dalam internet fraud ini menjadikan pihak bank atau nasabah
sebagai korban, yang dapat terjadi karena maksud jahat seseorang yang memiliki kemampuan
dalam bidang teknologi informasi, atau seseorang yang memanfaatkan kelengahan
pihak bank maupun pihak nasabah.
Oleh karena itu perbankan perlu
meningkatkan keamanan internet banking antara lain melalui standarisasi
pembuatan aplikasi internet banking, adanya panduan bila terjadi fraud dalam
internet banking dan pemberian informasi yang jelas kepada user.
Peranan Bank Indonesia dalam
Pencegahan Internet Fraud
Salah satu tugas pokok Bank Indonesia
sebagaimana diamanatkan dalam UU No. 23 Tahun 1999 tentang Bank Indonesia
sebagaimana telah diubah dengan UU No. 3 Tahun 2004 adalah mengatur dan
mengawasi bank. Dalam rangka pelaksanaan tugas tersebut Bank Indonesia
diberikan kewenangan sbb:
Menetapkan peraturan perbankan termasuk
ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
Memberikan dan mencabut izin atas
kelembagaan dan kegiatan usaha tertentu dari bank, memberikan izin pembukaan,
penutupan dan pemindahan kantor bank, memberikan persetujuan atas kepemilikan
dan kepengurusan bank.
Melaksanakan pengawasan bank secara
langsung dan tidak langsung.
Mengenakan sanksi terhadap bank sesuai
dengan ketentuan perundang-undangan.
Pelaksanaan kewenangan tugas-tugas
tersebut di atas ditetapkan secara lebih rinci dalam Peraturan Bank Indonesia
(PBI).
Terkait dengan tugas Bank Indonesia
mengatur dan mengawasi bank, salah satu upaya untuk meminimalisasi internet
fraud yang dilakukan oleh Bank Indonesia adalah melalui pendekatan aspek
regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah mengeluarkan
serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank Indonesia yang harus
dipatuhi oleh dunia perbankan antara lain mengenai penerapan manajemen risiko
dalam penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your
Customer (KYC).
1. Manajemen risiko dalam
penyelenggaraan kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank
Indonesia terkait dengan pengelolaan atau manajemen risiko penyelenggaraan
kegiatan internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003
tentang Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank
Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen
Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking).
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan
internet banking wajib menerapkan manajemen risiko pada aktivitas internet
banking secara efektif.
b. Penerapan manajemen risiko tersebut
wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan
mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa
Bank Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam
Surat Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko
bagi bank yang menyelenggarakan kegiatan internet banking adalah:
2. Adanya pengawasan aktif
komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan
pengawasan yang efektif terhadap risiko yang terkait dengan aktivitas internet
banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian
untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan
melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan
bank.
3. Pengendalian pengamanan
(security control)
a) Bank harus melakukan langkah-langkah
yang memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi
terhadap nasabah yang melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode
pengujian keaslian transaksi untuk menjamin bahwa transaksi tidak dapat
diingkari oleh nasabah (non repudiation) dan menetapkan tanggung jawab dalam
transaksi internet banking.
c) Bank harus memastikan adanya
pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya
pengendalian terhadap otorisasi dan hak akses (privileges) yang tepat terhadap
sistem internet banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya
prosedur yang memadai untuk melindungi integritas data, catatan/arsip dan
informasi pada transaksi internet banking.
f) Bank harus memastikan tersedianya
mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet
banking.
g) Bank harus mengambil langkah-langkah
untuk melindungi kerahasiaan informasi penting pada internet banking. Langkah
tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau
disimpan dalam database.
4. Manajemen Risiko Hukum dan
Risiko Reputasi
a) Bank harus memastikan bahwa website
bank menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh
informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan
transaksi melalui internet banking.
b) Bank harus mengambil langkah-langkah
untuk memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan
yang berlaku di negara tempat kedudukan bank menyediakan produk dan jasa
internet banking.
c) Bank harus memiliki prosedur
perencanaan darurat dan berkesinambungan usaha yang efektif untuk memastikan
tersedianya sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana
penanganan yang memadai untuk mengelola, mengatasi dan meminimalkan
permasalahan yang timbul dari kejadian yang tidak diperkirakan (internal dan
eksternal) yang dapat menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan
internet banking dilakukan oleh pihak ketiga (outsourcing), bank harus
menetapkan dan menerapkan prosedur pengawasan dan due dilligence yang
menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga
tersebut.
5. Penerapan prinsip Know Your
Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank
Indonesia dalam rangka meminimalisir terjadinya tindak kejahatan internet fraud
adalah pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah
atau yang lebih dikenal dengan prinsip Know Your Customer (KYC). Pengaturan
tentang penerapan prinsip KYC terdapat dalam Peraturan Bank Indonesia No.
3/10/PBI/2001 tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer
Principles) sebagaimana telah diubah dengan Peraturan Bank Indonesia No.
3/23/PBI/2001 dan Surat Edaran Bank Indonesia 6/37/DPNP tanggal 10 September
2004 tentang Penilaian dan Pengenaan Sanksi atas Penerapan Prinsip Mengenal
Nasabah dan Kewajiban Lain Terkait dengan Undang-Undang tentang Tindak Pidana
Pencucian Uang.
Pokok-pokok pengaturannya antara lain
sbb:
a. Prinsip Mengenal Nasabah adalah
prinsip yang diterapkan bank untuk mengetahui identitas nasabah, memantau
kegiatan transaksi nasabah termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal
Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan
nasabah.
2) Menetapkan kebijakan dan prosedur
dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan
terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur
manajemen risiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan
dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha
dengan nasabah, bank wajib meminta informasi mengenai identitas calon nasabah,
maksud dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank,
informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon
nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan
atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan
dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen
pendukung tersebut.
2) Bagi bank yang telah menggunakan
media elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan
dengan calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak
sebagai perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka
rekening, bank wajib memperoleh dokumen-dokumen pendukung identitas dan
hubungan hukum, penugasan serta kewenangan bertindak sebagai perantara dan atau
kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas
beneficial owner, bank wajib menolak untuk melakukan hubungan usaha dengan
calon nasabah.e. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah
dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup
rekening pada bank. Bank juga wajib melakukan pengkinian data dalam hal
terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi
yang dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan
secara efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah
bank.
g. Bank wajib memelihara profil nasabah
yang sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang
usaha, jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi
normal dan tujuan pembukaan rekening.
h. Bank wajib memiliki kebijakan dan
prosedur manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank
(management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit
intern.
5) Program pelatihan karyawan mengenai
penerapan Prinsip Mengenal Nasabah.
i. Bank Indonesia melakukan penilaian
terhadap pelaksanaan Prinsip Mengenal Nasabah/KYC dan Undang- Undang Tindak
Pidana Pencucian Uang (UU TPPU) dimana penilaian tersebut dilakukan secara
kualitatif atas faktor-faktor manajemen risiko penerapan KYC.
6. Kegiatan Alat Pembayaran
dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh
Bank Indonesia terkait dengan upaya meminimalisir internet fraud adalah
regulasi mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan
Kartu (APMK), mengingat APMK merupakan alat atau media yang sering digunakan
dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat
dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan
Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank
Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan
Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan
Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara
lain sbb:
a). Alat Pembayaran Dengan Menggunakan
Kartu (APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu
debet, kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank
yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen
risiko.
c). Penerbit APMK wajib meningkatkan
keamanan APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan
sekaligus untuk meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut
dilakukan terhadap seluruh infrastruktur teknologi yang terkait dengan
penyelenggaraan APMK, yang meliputi pengamanan pada kartu dan pengamanan pada
seluruh sistem yang digunakan untuk memproses transaksi APMK termasuk
penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan
regulasi mengenai transparansi informasi produk bank dan penggunaan data
pribadi nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank
dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk internet
fraud. Ketentuan tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005
Jo SE No. 7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan
Data Pribadi Nasabah.
Pokok-pokok pengaturan dalam ketentuan
tersebut antara lain sbb:
a). Bank wajib menerapkan transparansi
informasi mengenai Produk Bank dan penggunan Data Pribadi Nasabah.
b). Bank dilarang memberikan informasi
yang menyesatkan (mislead) dan atau tidak etis (misconduct).
c). Informasi Produk Bank tersebut,
minimal meliputi: nama produk, jenis produk, manfaat dan resiko produk,
persyaratan dan tatacara penggunaan produk, biaya-biaya yang melekat pada
produk, perhitungan bunga atau bagi hasil dan margin keuntungan, jangka waktu
berlakunya Produk Bank, penerbitan (issuer/originator) Produk Bank.
d). Bank wajib memberikan informasi
kepada nasabah mengenai manfaat dan risiko pada setiap produk bank, dimana bank
harus menjelaskan secara terinci setiap manfaat yang diperoleh nasabah dari
suatu produk bank dan potensi risiko yang dihadapi oleh nasabah dalam masa
penggunaan produk bank.
Rahasia Bank
Salah satu hal penting dalam memproses
pelaku internet fraud adalah pembukaan rahasia bank untuk memperoleh keterangan
simpanan milik pelaku internet fraud tersebut, dimana keterangan tersebut dapat
dijadikan salah bukti oleh aparat penegak hukum untuk keperluan persidangan
pidana.
Ketentuan mengenai rahasia bank diatur
dalam UU Perbankan dan kemudian diatur lebih lanjut dalam Peraturan Bank
Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian
Perintah atau Izin Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan
tersebut, pada prinsipnya setiap Bank dan afiliasinya wajib merahasiakan
keterangan mengenai nasabah penyimpan dan simpanannya (Rahasia Bank). Sedangkan
keterangan mengenai nasabah selain sebagai nasabah penyimpan, tidak wajib
dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi
dengan izin terlebih dahulu dari pimpinan Bank Indonesia untuk kepentingan
perpajakan, penyelesaian piutang bank oleh BUPN/PUPLN dan kepentingan peradilan
perkara pidana dimana status nasabah penyimpan yang akan dibuka rahasia bank
harus tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi
tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan
perkara perdata antara bank dengan nasabahnya, tukar menukar informasi antar
bank, atas permintaan/persetujuan dari nasabah dan untuk kepentingan ahli waris
yang sah.
Dalam hal diperlukan pemblokiran dan
atau penyitaan simpanan atas nama seorang nasabah penyimpan yang telah
dinyatakan sebagai tersangka atau terdakwa oleh pihak aparat penegak hukum,
berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia Bank, dapat dilakukan
sesuai dengan ketentuan peraturan perundang-undangan yang berlaku tanpa
memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh
keterangan mengenai nasabah penyimpan dan simpanan nasabah yang diblokir dan
atau disita pada bank, menurut Pasal 12 ayat (2) PBI Rahasia Bank, tetap
berlaku ketentuan mengenai pembukaan Rahasia Bank dimana memerlukan izin
terlebih dahulu dari pimpinan Bank Indonesia.
Urgensi Undang-Undang tentang
Informasi dan Transaksi Elektronik (UU ITE) dan Undang-Undang tentang Transfer
Dana (UU Transfer Dana)
Payung hukum setingkat undang-undang
yang khusus mengatur tentang kegiatan di dunia maya hingga saat ini belum ada
di Indonesia. Dalam hal terjadi tindak pidana kejahatan di dunia maya, untuk
penegakan hukumnya masih menggunakan ketentuan-ketentuan yang ada di KUHP yakni
mengenai pemalsuan surat (Pasal 263), pencurian (Pasal 362), penggelapan (Pasal
372), penipuan (Pasal 378), penadahan (Pasal 480), serta ketentuan yang
terdapat dalam Undang-Undang tentang Tindak Pidana Pencucian Uang dan
Undang-Undang tentang Merek.
Ketentuan-ketentuan tersebut tentu saja
belum bisa mengakomodir kejahatan-kejahatan di dunia maya (cybercrime) yang
modus operandinya terus berkembang. Selain itu dalam penanganan kasusnya
seringkali menghadapi kendala antara lain dalam hal pembuktian dengan
menggunakan alat bukti elektronik dan ancaman sanksi yang terdapat dalam KUHP
tidak sebanding dengan kerugian yang diderita oleh korban, misalnya pada kasus
internet fraud, salah satu pasal yang dapat digunakan adalah Pasal 378 KUHP
(penipuan) yang ancaman hukumannya maksimum 4 (empat) tahun penjara sedangkan
kerugian yang mungkin diderita dapat mencapai miliaran rupiah.
Terkait dengan hal-hal tersebut di atas,
kehadiran Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana) diharapkan dapat menjadi
faktor penting dalam upaya mencegah dan memberantas cybercrimes serta dapat
memberikan deterrent effect kepada para pelaku cybercrimes sehingga akan
berfikir jauh untuk melakukan aksinya. Selain itu hal yang penting lainnya
adalah pemahaman yang sama dalam memandang cybercrimes dari aparat penegak hukum
termasuk di dalamnya law enforcement.
Adapun Rancangan Undang-Undang (RUU) ITE
dan RUU Transfer Dana saat ini telah diajukan oleh pemerintah dan sedang
dilakukan pembahasan di DPR RI, dimana dalam hal ini Bank Indonesia terlibat
sebagai narasumber khususnya untuk materi yang terkait dengan informasi dan
transaksi keuangan.
