RUU tentang informasi dan transaksi elektronik
(ITE) peraturan lain yg terkait (peraturan bank indonesia ttg internet banking
)
Internet banking bukan merupakan istilah yang
asing lagi bagi masyarakat Indonesia khususnya bagi yang tinggal di wilayah
perkotaan. Hal tersebut dikarenakan semakin banyaknya perbankan nasional yang
menyelenggarakan layanan tersebut.
Penyelenggaraan internet banking yang sangat
dipengaruhi oleh perkembangan teknologi informasi, dalam kenyataannya pada satu
sisi membuat jalannya transaksi perbankan menjadi lebih mudah, akan tetapi di
sisi lain membuatnya semakin berisiko. Dengan kenyataan seperti ini, keamanan
menjadi faktor yang paling perlu diperhatikan. Bahkan mungkin faktor keamanan
ini dapat menjadi salah satu fitur unggulan yang dapat ditonjolkan oleh pihak
bank.
Salah satu risiko yang terkait dengan
penyelenggaraan kegiatan internet banking adalah internet fraud atau penipuan
melalui internet. Dalam internet fraud ini menjadikan pihak bank atau nasabah
sebagai korban, yang dapat terjadi karena maksud jahat seseorang yang memiliki
kemampuan dalam bidang teknologi informasi, atau seseorang yang memanfaatkan
kelengahan pihak bank maupun pihak nasabah.
Oleh karena itu perbankan perlu meningkatkan
keamanan internet banking antara lain melalui standarisasi pembuatan aplikasi
internet banking, adanya panduan bila terjadi fraud dalam internet banking dan
pemberian informasi yang jelas kepada user.
Peranan Bank Indonesia dalam Pencegahan Internet
Fraud
Salah satu tugas pokok Bank Indonesia sebagaimana
diamanatkan dalam UU No. 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah
diubah dengan UU No. 3 Tahun 2004 adalah mengatur dan mengawasi bank. Dalam
rangka pelaksanaan tugas tersebut Bank Indonesia diberikan kewenangan sbb:
Menetapkan peraturan perbankan termasuk
ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
Memberikan dan mencabut izin atas kelembagaan dan
kegiatan usaha tertentu dari bank, memberikan izin pembukaan, penutupan dan
pemindahan kantor bank, memberikan persetujuan atas kepemilikan dan
kepengurusan bank.
Melaksanakan pengawasan bank secara langsung dan
tidak langsung.
Mengenakan sanksi terhadap bank sesuai dengan
ketentuan perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di
atas ditetapkan secara lebih rinci dalam Peraturan Bank Indonesia (PBI).
Terkait dengan tugas Bank Indonesia mengatur dan
mengawasi bank, salah satu upaya untuk meminimalisasi internet fraud yang
dilakukan oleh Bank Indonesia adalah melalui pendekatan aspek regulasi.
Sehubungan dengan hal tersebut, Bank Indonesia telah mengeluarkan serangkaian
Peraturan Bank Indonesia dan Surat Edaran Bank Indonesia yang harus dipatuhi
oleh dunia perbankan antara lain mengenai penerapan manajemen risiko dalam
penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your
Customer (KYC).
1. Manajemen risiko dalam penyelenggaraan
kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank Indonesia
terkait dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan
internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang
Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No.
6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen Risiko Pada
Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking). Pokok-pokok
pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet
banking wajib menerapkan manajemen risiko pada aktivitas internet banking
secara efektif.
b. Penerapan manajemen risiko tersebut wajib
dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu
pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank
Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat
Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi
bank yang menyelenggarakan kegiatan internet banking adalah:
2. Adanya pengawasan aktif komisaris dan direksi
bank, yang meliputi:
a) Komisaris dan direksi harus melakukan
pengawasan yang efektif terhadap risiko yang terkait dengan aktivitas internet
banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian
untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji
ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
3. Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang
memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi terhadap
nasabah yang melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian
keaslian transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh
nasabah (non repudiation) dan menetapkan tanggung jawab dalam transaksi
internet banking.
c) Bank harus memastikan adanya pemisahan tugas
dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian
terhadap otorisasi dan hak akses (privileges) yang tepat terhadap sistem
internet banking, database dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur
yang memadai untuk melindungi integritas data, catatan/arsip dan informasi pada
transaksi internet banking.
f) Bank harus memastikan tersedianya mekanisme
penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk
melindungi kerahasiaan informasi penting pada internet banking. Langkah
tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau
disimpan dalam database.
4. Manajemen Risiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank
menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh
informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan
transaksi melalui internet banking.
b) Bank harus mengambil langkah-langkah untuk
memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang
berlaku di negara tempat kedudukan bank menyediakan produk dan jasa internet
banking.
c) Bank harus memiliki prosedur perencanaan
darurat dan berkesinambungan usaha yang efektif untuk memastikan tersedianya
sistem dan jasa internet banking.
d) Bank harus mengembangkan rencana penanganan
yang memadai untuk mengelola, mengatasi dan meminimalkan permasalahan yang
timbul dari kejadian yang tidak diperkirakan (internal dan eksternal) yang
dapat menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet
banking dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan
menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan
berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga tersebut.
5. Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia
dalam rangka meminimalisir terjadinya tindak kejahatan internet fraud adalah
pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah atau
yang lebih dikenal dengan prinsip Know Your Customer (KYC). Pengaturan tentang
penerapan prinsip KYC terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001
tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer Principles)
sebagaimana telah diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan
Surat Edaran Bank Indonesia 6/37/DPNP tanggal 10 September 2004 tentang
Penilaian dan Pengenaan Sanksi atas Penerapan Prinsip Mengenal Nasabah dan
Kewajiban Lain Terkait dengan Undang-Undang tentang Tindak Pidana Pencucian
Uang.
Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip Mengenal Nasabah adalah prinsip yang
diterapkan bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi
nasabah termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah,
bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam
mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan
terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen
risiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan
identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan
nasabah, bank wajib meminta informasi mengenai identitas calon nasabah, maksud
dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank,
informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon
nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan
atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan
dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen
pendukung tersebut.
2) Bagi bank yang telah menggunakan media
elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan dengan
calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai
perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka rekening,
bank wajib memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum,
penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa pihak
lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas beneficial
owner, bank wajib menolak untuk melakukan hubungan usaha dengan calon
nasabah.e. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka
waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada
bank. Bank juga wajib melakukan pengkinian data dalam hal terdapat perubahan
terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang
dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara
efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang
sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha,
jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan
tujuan pembukaan rekening.
h. Bank wajib memiliki kebijakan dan prosedur
manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management
oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit
intern.
5) Program pelatihan karyawan mengenai penerapan
Prinsip Mengenal Nasabah.
i. Bank Indonesia melakukan penilaian terhadap
pelaksanaan Prinsip Mengenal Nasabah/KYC dan Undang- Undang Tindak Pidana
Pencucian Uang (UU TPPU) dimana penilaian tersebut dilakukan secara kualitatif
atas faktor-faktor manajemen risiko penerapan KYC.
6. Kegiatan Alat Pembayaran dengan Menggunakan
Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank
Indonesia terkait dengan upaya meminimalisir internet fraud adalah regulasi
mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu
(APMK), mengingat APMK merupakan alat atau media yang sering digunakan dalam
kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat
dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan
Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank
Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan
Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan
Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu
(APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet,
kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang
merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen
risiko.
c). Penerbit APMK wajib meningkatkan keamanan
APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus
untuk meningkatkan kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan
terhadap seluruh infrastruktur teknologi yang terkait dengan penyelenggaraan
APMK, yang meliputi pengamanan pada kartu dan pengamanan pada seluruh sistem
yang digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada
kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi mengenai
transparansi informasi produk bank dan penggunaan data pribadi nasabah, sebagai
upaya untuk mengedukasi nasabah terhadap produk bank dan meningkatkan
kewaspadaan nasabah terhadap berbagai risiko termasuk internet fraud. Ketentuan
tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No.
7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan Data
Pribadi Nasabah.
Pokok-pokok pengaturan dalam ketentuan tersebut
antara lain sbb:
a). Bank wajib menerapkan transparansi informasi
mengenai Produk Bank dan penggunan Data Pribadi Nasabah.
b). Bank dilarang memberikan informasi yang
menyesatkan (mislead) dan atau tidak etis (misconduct).
c). Informasi Produk Bank tersebut, minimal
meliputi: nama produk, jenis produk, manfaat dan resiko produk, persyaratan dan
tatacara penggunaan produk, biaya-biaya yang melekat pada produk, perhitungan
bunga atau bagi hasil dan margin keuntungan, jangka waktu berlakunya Produk
Bank, penerbitan (issuer/originator) Produk Bank.
d). Bank wajib memberikan informasi kepada
nasabah mengenai manfaat dan risiko pada setiap produk bank, dimana bank harus
menjelaskan secara terinci setiap manfaat yang diperoleh nasabah dari suatu
produk bank dan potensi risiko yang dihadapi oleh nasabah dalam masa penggunaan
produk bank.
Rahasia Bank
Salah satu hal penting dalam memproses pelaku
internet fraud adalah pembukaan rahasia bank untuk memperoleh keterangan
simpanan milik pelaku internet fraud tersebut, dimana keterangan tersebut dapat
dijadikan salah bukti oleh aparat penegak hukum untuk keperluan persidangan
pidana.
Ketentuan mengenai rahasia bank diatur dalam UU
Perbankan dan kemudian diatur lebih lanjut dalam Peraturan Bank Indonesia No.
2/19/PBI/2000 tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin
Tertulis Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya
setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai nasabah
penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan mengenai nasabah
selain sebagai nasabah penyimpan, tidak wajib dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan
izin terlebih dahulu dari pimpinan Bank Indonesia untuk kepentingan perpajakan,
penyelesaian piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara
pidana dimana status nasabah penyimpan yang akan dibuka rahasia bank harus
tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi tanpa izin
terlebih dahulu dari pimpinan Bank Indonesia yakni untuk kepentingan perkara
perdata antara bank dengan nasabahnya, tukar menukar informasi antar bank, atas
permintaan/persetujuan dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau
penyitaan simpanan atas nama seorang nasabah penyimpan yang telah dinyatakan
sebagai tersangka atau terdakwa oleh pihak aparat penegak hukum, berdasarkan
ketentuan Pasal 12 ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan
ketentuan peraturan perundang-undangan yang berlaku tanpa memerlukan izin
terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan
mengenai nasabah penyimpan dan simpanan nasabah yang diblokir dan atau disita
pada bank, menurut Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan
mengenai pembukaan Rahasia Bank dimana memerlukan izin terlebih dahulu dari
pimpinan Bank Indonesia.
Urgensi Undang-Undang tentang Informasi dan
Transaksi Elektronik (UU ITE) dan Undang-Undang tentang Transfer Dana (UU
Transfer Dana)
Payung hukum setingkat undang-undang yang khusus
mengatur tentang kegiatan di dunia maya hingga saat ini belum ada di Indonesia.
Dalam hal terjadi tindak pidana kejahatan di dunia maya, untuk penegakan
hukumnya masih menggunakan ketentuan-ketentuan yang ada di KUHP yakni mengenai
pemalsuan surat (Pasal 263), pencurian (Pasal 362), penggelapan (Pasal 372),
penipuan (Pasal 378), penadahan (Pasal 480), serta ketentuan yang terdapat
dalam Undang-Undang tentang Tindak Pidana Pencucian Uang dan Undang-Undang
tentang Merek.
Ketentuan-ketentuan tersebut tentu saja belum
bisa mengakomodir kejahatan-kejahatan di dunia maya (cybercrime) yang modus
operandinya terus berkembang. Selain itu dalam penanganan kasusnya seringkali
menghadapi kendala antara lain dalam hal pembuktian dengan menggunakan alat
bukti elektronik dan ancaman sanksi yang terdapat dalam KUHP tidak sebanding dengan
kerugian yang diderita oleh korban, misalnya pada kasus internet fraud, salah
satu pasal yang dapat digunakan adalah Pasal 378 KUHP (penipuan) yang ancaman
hukumannya maksimum 4 (empat) tahun penjara sedangkan kerugian yang mungkin
diderita dapat mencapai miliaran rupiah.
Terkait dengan hal-hal tersebut di atas,
kehadiran Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana) diharapkan dapat menjadi
faktor penting dalam upaya mencegah dan memberantas cybercrimes serta dapat
memberikan deterrent effect kepada para pelaku cybercrimes sehingga akan
berfikir jauh untuk melakukan aksinya. Selain itu hal yang penting lainnya
adalah pemahaman yang sama dalam memandang cybercrimes dari aparat penegak
hukum termasuk di dalamnya law enforcement.
Adapun Rancangan Undang-Undang (RUU) ITE dan RUU
Transfer Dana saat ini telah diajukan oleh pemerintah dan sedang dilakukan
pembahasan di DPR RI, dimana dalam hal ini Bank Indonesia terlibat sebagai narasumber
khususnya untuk materi yang terkait dengan informasi dan transaksi keuangan.