VIII. PERATURAN
DAN REGULASI (II)
·
RUU
tentang informasi dan transaksi elektronik (ITE) peraturan lain yg terkait
(peraturan bank indonesia ttg internet banking )
Internet banking
bukan merupakan istilah yang asing lagi bagi masyarakat Indonesia khususnya
bagi yang tinggal di wilayah perkotaan. Hal tersebut dikarenakan semakin
banyaknya perbankan nasional yang menyelenggarakan layanan tersebut.
Penyelenggaraan
internet banking yang sangat dipengaruhi oleh perkembangan teknologi informasi,
dalam kenyataannya pada satu sisi membuat jalannya transaksi perbankan menjadi
lebih mudah, akan tetapi di sisi lain membuatnya semakin berisiko. Dengan
kenyataan seperti ini, keamanan menjadi faktor yang paling perlu diperhatikan.
Bahkan mungkin faktor keamanan ini dapat menjadi salah satu fitur unggulan yang
dapat ditonjolkan oleh pihak bank.
Salah satu risiko
yang terkait dengan penyelenggaraan kegiatan internet banking adalah internet
fraud atau penipuan melalui internet. Dalam internet fraud ini menjadikan pihak
bank atau nasabah sebagai korban, yang dapat terjadi karena maksud jahat
seseorang yang memiliki kemampuan dalam bidang teknologi informasi, atau
seseorang yang memanfaatkan kelengahan pihak bank maupun pihak nasabah.
Oleh karena itu
perbankan perlu meningkatkan keamanan internet banking antara lain melalui
standarisasi pembuatan aplikasi internet banking, adanya panduan bila terjadi
fraud dalam internet banking dan pemberian informasi yang jelas kepada user.
1.
Peranan Bank Indonesia dalam Pencegahan Internet
Fraud
Salah satu tugas
pokok Bank Indonesia sebagaimana diamanatkan dalam UU No. 23 Tahun 1999 tentang
Bank Indonesia sebagaimana telah diubah dengan UU No. 3 Tahun 2004 adalah
mengatur dan mengawasi bank. Dalam rangka pelaksanaan tugas tersebut Bank
Indonesia diberikan kewenangan sbb:
·
Menetapkan
peraturan perbankan termasuk ketentuan-ketentuan perbankan yang memuat
prinsip-prinsip kehati-hatian.
·
Memberikan
dan mencabut izin atas kelembagaan dan kegiatan usaha tertentu dari bank,
memberikan izin pembukaan, penutupan dan pemindahan kantor bank, memberikan
persetujuan atas kepemilikan dan kepengurusan bank.
·
Melaksanakan
pengawasan bank secara langsung dan tidak langsung.
·
Mengenakan
sanksi terhadap bank sesuai dengan ketentuan perundang-undangan.
Pelaksanaan
kewenangan tugas-tugas tersebut di atas ditetapkan secara lebih rinci dalam
Peraturan Bank Indonesia (PBI).
Terkait dengan
tugas Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk
meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah melalui
pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah
mengeluarkan serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank
Indonesia yang harus dipatuhi oleh dunia perbankan antara lain mengenai
penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan
penerapan prinsip Know Your Customer (KYC).
A. Manajemen risiko dalam penyelenggaraan kegiatan
internet banking
Peraturan
yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen
risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank
Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum
dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang
Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet
(Internet Banking). Pokok-pokok pengaturannya antara lain sbb:
·
Bank
yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen
risiko pada aktivitas internet banking secara efektif.
·
Penerapan
manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan, prosedur dan
pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada
Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang
ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
·
Pokok-pokok
penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet
banking adalah:
B. Adanya pengawasan aktif komisaris dan direksi bank,
yang meliputi:
a) Komisaris dan
direksi harus melakukan pengawasan yang efektif terhadap risiko yang terkait
dengan aktivitas internet banking, termasuk penetapan akuntabilitas, kebijakan
dan proses pengendalian untuk mengelola risiko tersebut.
b) Direksi harus
menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur
pengendalian pengamanan bank.
C. Pengendalian pengamanan (security control)
a) Bank harus
melakukan langkah-langkah yang memadai untuk menguji keaslian (otentikasi)
identitas dan otorisasi terhadap nasabah yang melakukan transaksi melalui
internet banking.
b) Bank harus
menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa transaksi
tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan tanggung
jawab dalam transaksi internet banking.
c) Bank harus
memastikan adanya pemisahan tugas dalam sistem internet banking, database dan
aplikasi lainnya.
d) Bank harus
memastikan adanya pengendalian terhadap otorisasi dan hak akses (privileges)
yang tepat terhadap sistem internet banking, database dan aplikasi lainnya.
e) Bank harus
memastikan tersedianya prosedur yang memadai untuk melindungi integritas data,
catatan/arsip dan informasi pada transaksi internet banking.
f) Bank harus
memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk
seluruh transaksi internet banking.
g) Bank harus
mengambil langkah-langkah untuk melindungi kerahasiaan informasi penting pada
internet banking. Langkah tersebut harus sesuai dengan sensitivitas informasi
yang dikeluarkan dan/atau disimpan dalam database.
D. Manajemen Risiko Hukum dan Risiko Reputasi
a) Bank harus
memastikan bahwa website bank menyediakan informasi yang memungkinkan calon
nasabah untuk memperoleh informasi yang tepat mengenai identitas dan status
hukum bank sebelum melakukan transaksi melalui internet banking.
b) Bank harus
mengambil langkah-langkah untuk memastikan bahwa ketentuan kerahasiaan nasabah
diterapkan sesuai dengan yang berlaku di negara tempat kedudukan bank
menyediakan produk dan jasa internet banking.
c) Bank harus
memiliki prosedur perencanaan darurat dan berkesinambungan usaha yang efektif
untuk memastikan tersedianya sistem dan jasa internet banking.
d) Bank harus
mengembangkan rencana penanganan yang memadai untuk mengelola, mengatasi dan
meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan
(internal dan eksternal) yang dapat menghambat penyediaan sistem dan jasa
internet banking.
e) Dalam hal sistem
penyelenggaraan internet banking dilakukan oleh pihak ketiga (outsourcing),
bank harus menetapkan dan menerapkan prosedur pengawasan dan due dilligence
yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak
ketiga tersebut.
E. Penerapan
prinsip Know Your Customer (KYC)
Upaya lainnya yang
dilakukan oleh Bank Indonesia dalam rangka meminimalisir terjadinya tindak
kejahatan internet fraud adalah pengaturan kewajiban bagi bank untuk menerapkan
prinsip mengenal nasabah atau yang lebih dikenal dengan prinsip Know Your
Customer (KYC). Pengaturan tentang penerapan prinsip KYC terdapat dalam
Peraturan Bank Indonesia No. 3/10/PBI/2001 tentang Penerapan Prinsip Mengenal
Nasabah (Know Your Customer Principles) sebagaimana telah diubah dengan Peraturan
Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank Indonesia 6/37/DPNP
tanggal 10 September 2004 tentang Penilaian dan Pengenaan Sanksi atas Penerapan
Prinsip Mengenal Nasabah dan Kewajiban Lain Terkait dengan Undang-Undang
tentang Tindak Pidana Pencucian Uang.
Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip
Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui identitas
nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan transaksi yang
mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank
wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam
mengidentifikasi nasabah.
3) Menetapkan
kebijakan dan prosedur pemantauan terhadap rekening dan transaksi nasabah.
4) Menetapkan
kebijakan dan prosedur manajemen risiko yang berkaitan dengan penerapan Prinsip
Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan
identifikasi nasabah, maka:
1) Sebelum
melakukan hubungan usaha dengan nasabah, bank wajib meminta informasi mengenai
identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan dilakukan
calon nasabah dengan bank, informasi lain yang memungkinkan bank untuk dapat
mengetahui profil calon nasabah dan identitas pihak lain dalam hal calon
nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah
tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib
meneliti kebenaran dokumen-dokumen pendukung tersebut.
2) Bagi bank yang
telah menggunakan media elektronis dalam pelayanan jasa perbankan wajib
melakukan pertemuan dengan calon nasabah sekurang-kurangnya pada saat pembukaan
rekening.
d. Dalam hal calon
nasabah bertindak sebagai perantara dan atau kuasa pihak lain (beneficial
owner) untuk membuka rekening, bank wajib memperoleh dokumen-dokumen pendukung
identitas dan hubungan hukum, penugasan serta kewenangan bertindak sebagai
perantara dan atau kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat
meyakini identitas beneficial owner, bank wajib menolak untuk melakukan hubungan
usaha dengan calon nasabah.e. Bank wajib menatausahakan dokumen-dokumen
pendukung nasabah dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak
nasabah menutup rekening pada bank. Bank juga wajib melakukan pengkinian data
dalam hal terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
f. Bank wajib
memiliki sistem informasi yang dapat mengidentifikasi, menganalisa, memantau
dan menyediakan laporan secara efektif mengenai karakteristik transaksi yang
dilakukan oleh nasabah bank.
g. Bank wajib
memelihara profil nasabah yang sekurang-kurangnya meliputi informasi mengenai
pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang dimiliki,
aktivasi transaksi normal dan tujuan pembukaan rekening.
h. Bank wajib
memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya
mencakup:
1) Pengawasan oleh pengurus bank (management
oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan
Prinsip Mengenal Nasabah.
i. Bank Indonesia
melakukan penilaian terhadap pelaksanaan Prinsip Mengenal Nasabah/KYC dan
Undang- Undang Tindak Pidana Pencucian Uang (UU TPPU) dimana penilaian tersebut
dilakukan secara kualitatif atas faktor-faktor manajemen risiko penerapan KYC.
F. Kegiatan Alat Pembayaran dengan Menggunakan Kartu
dan Transparansi Produk Bank
Regulasi lainnya
yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir
internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat
Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau
media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai
penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004
tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan
Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang
Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan
Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok
pengaturannya antara lain sbb:
a). Alat
Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang berupa
kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang dipersamakan
dengan hal tersebut.
b). Bagi bank dan
lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti
penerapan manajemen risiko.
c). Penerbit APMK
wajib meningkatkan keamanan APMK untuk meminimalkan tingkat kejahatan terkait
dengan APMK dan sekaligus untuk meningkatkan kepercayaan masyarakat terhadap
APMK.
d). Peningkatan
keamanan tersebut dilakukan terhadap seluruh infrastruktur teknologi yang
terkait dengan penyelenggaraan APMK, yang meliputi pengamanan pada kartu dan
pengamanan pada seluruh sistem yang digunakan untuk memproses transaksi APMK
termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga
mengeluarkan regulasi mengenai transparansi informasi produk bank dan
penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah
terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai
risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan
Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi
Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Pokok-pokok
pengaturan dalam ketentuan tersebut antara lain sbb:
a). Bank wajib
menerapkan transparansi informasi mengenai Produk Bank dan penggunan Data
Pribadi Nasabah.
b). Bank dilarang
memberikan informasi yang menyesatkan (mislead) dan atau tidak etis
(misconduct).
c). Informasi
Produk Bank tersebut, minimal meliputi: nama produk, jenis produk, manfaat dan
resiko produk, persyaratan dan tatacara penggunaan produk, biaya-biaya yang
melekat pada produk, perhitungan bunga atau bagi hasil dan margin keuntungan,
jangka waktu berlakunya Produk Bank, penerbitan (issuer/originator) Produk
Bank.
d). Bank wajib
memberikan informasi kepada nasabah mengenai manfaat dan risiko pada setiap
produk bank, dimana bank harus menjelaskan secara terinci setiap manfaat yang
diperoleh nasabah dari suatu produk bank dan potensi risiko yang dihadapi oleh
nasabah dalam masa penggunaan produk bank.
·
Rahasia
Bank
Salah satu hal
penting dalam memproses pelaku internet fraud adalah pembukaan rahasia bank
untuk memperoleh keterangan simpanan milik pelaku internet fraud tersebut,
dimana keterangan tersebut dapat dijadikan salah bukti oleh aparat penegak
hukum untuk keperluan persidangan pidana.
Ketentuan mengenai
rahasia bank diatur dalam UU Perbankan dan kemudian diatur lebih lanjut dalam
Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan Tata Cara
Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank. Berdasarkan
ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya wajib
merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya (Rahasia
Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah penyimpan,
tidak wajib dirahasiakan.
Terhadap Rahasia
Bank dapat disimpangi dengan izin terlebih dahulu dari pimpinan Bank Indonesia
untuk kepentingan perpajakan, penyelesaian piutang bank oleh BUPN/PUPLN dan
kepentingan peradilan perkara pidana dimana status nasabah penyimpan yang akan
dibuka rahasia bank harus tersangka atau terdakwa. Terhadap Rahasia Bank dapat
juga disimpangi tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni
untuk kepentingan perkara perdata antara bank dengan nasabahnya, tukar menukar
informasi antar bank, atas permintaan/persetujuan dari nasabah dan untuk
kepentingan ahli waris yang sah.
Dalam hal
diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang nasabah
penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh pihak
aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia Bank,
dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun demikian
untuk memperoleh keterangan mengenai nasabah penyimpan dan simpanan nasabah
yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat (2) PBI Rahasia
Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank dimana memerlukan
izin terlebih dahulu dari pimpinan Bank Indonesia.
Urgensi
Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana)
Payung hukum
setingkat undang-undang yang khusus mengatur tentang kegiatan di dunia maya
hingga saat ini belum ada di Indonesia. Dalam hal terjadi tindak pidana
kejahatan di dunia maya, untuk penegakan hukumnya masih menggunakan
ketentuan-ketentuan yang ada di KUHP yakni mengenai pemalsuan surat (Pasal
263), pencurian (Pasal 362), penggelapan (Pasal 372), penipuan (Pasal 378),
penadahan (Pasal 480), serta ketentuan yang terdapat dalam Undang-Undang
tentang Tindak Pidana Pencucian Uang dan Undang-Undang tentang Merek.
Ketentuan-ketentuan
tersebut tentu saja belum bisa mengakomodir kejahatan-kejahatan di dunia maya
(cybercrime) yang modus operandinya terus berkembang. Selain itu dalam
penanganan kasusnya seringkali menghadapi kendala antara lain dalam hal
pembuktian dengan menggunakan alat bukti elektronik dan ancaman sanksi yang
terdapat dalam KUHP tidak sebanding dengan kerugian yang diderita oleh korban,
misalnya pada kasus internet fraud, salah satu pasal yang dapat digunakan
adalah Pasal 378 KUHP (penipuan) yang ancaman hukumannya maksimum 4 (empat)
tahun penjara sedangkan kerugian yang mungkin diderita dapat mencapai miliaran
rupiah.
Terkait dengan
hal-hal tersebut di atas, kehadiran Undang-Undang tentang Informasi dan
Transaksi Elektronik (UU ITE) dan Undang-Undang tentang Transfer Dana (UU
Transfer Dana) diharapkan dapat menjadi faktor penting dalam upaya mencegah dan
memberantas cybercrimes serta dapat memberikan deterrent effect kepada para
pelaku cybercrimes sehingga akan berfikir jauh untuk melakukan aksinya. Selain
itu hal yang penting lainnya adalah pemahaman yang sama dalam memandang
cybercrimes dari aparat penegak hukum termasuk di dalamnya law enforcement. Adapun Rancangan
Undang-Undang (RUU) ITE dan RUU Transfer Dana saat ini telah diajukan oleh
pemerintah dan sedang dilakukan pembahasan di DPR RI, dimana dalam hal ini Bank
Indonesia terlibat sebagai narasumber khususnya untuk materi yang terkait
dengan informasi dan transaksi keuangan.
REFERENSI :
http://mafiaindonesia.blogspot.com/2008/12/peranan-bank-indonesia-dalam-internet.html
