RUU
tentang informasi dan transaksi elektronik (ITE) peraturan lain yg terkait
(peraturan bank indonesia ttg internet banking )
Internet
banking bukan merupakan istilah yang asing lagi bagi masyarakat Indonesia
khususnya bagi yang tinggal di wilayah perkotaan. Hal tersebut dikarenakan
semakin banyaknya perbankan nasional yang menyelenggarakan layanan tersebut.
Penyelenggaraan
internet banking yang sangat dipengaruhi oleh perkembangan teknologi informasi,
dalam kenyataannya pada satu sisi membuat jalannya transaksi perbankan menjadi
lebih mudah, akan tetapi di sisi lain membuatnya semakin berisiko. Dengan
kenyataan seperti ini, keamanan menjadi faktor yang paling perlu diperhatikan.
Bahkan mungkin faktor keamanan ini dapat menjadi salah satu fitur unggulan yang
dapat ditonjolkan oleh pihak bank.
Salah
satu risiko yang terkait dengan penyelenggaraan kegiatan internet banking
adalah internet fraud atau penipuan melalui internet. Dalam internet fraud ini
menjadikan pihak bank atau nasabah sebagai korban, yang dapat terjadi karena
maksud jahat seseorang yang memiliki kemampuan dalam bidang teknologi
informasi, atau seseorang yang memanfaatkan kelengahan pihak bank maupun pihak
nasabah.
Oleh
karena itu perbankan perlu meningkatkan keamanan internet banking antara lain
melalui standarisasi pembuatan aplikasi internet banking, adanya panduan bila
terjadi fraud dalam internet banking dan pemberian informasi yang jelas kepada
user.
Peranan
Bank Indonesia dalam Pencegahan Internet Fraud
Salah
satu tugas pokok Bank Indonesia sebagaimana diamanatkan dalam UU No. 23 Tahun
1999 tentang Bank Indonesia sebagaimana telah diubah dengan UU No. 3 Tahun 2004
adalah mengatur dan mengawasi bank. Dalam rangka pelaksanaan tugas tersebut
Bank Indonesia diberikan kewenangan sbb:
Menetapkan
peraturan perbankan termasuk ketentuan-ketentuan perbankan yang memuat
prinsip-prinsip kehati-hatian.
Memberikan
dan mencabut izin atas kelembagaan dan kegiatan usaha tertentu dari bank,
memberikan izin pembukaan, penutupan dan pemindahan kantor bank, memberikan
persetujuan atas kepemilikan dan kepengurusan bank.
Melaksanakan
pengawasan bank secara langsung dan tidak langsung.
Mengenakan
sanksi terhadap bank sesuai dengan ketentuan perundang-undangan.
Pelaksanaan
kewenangan tugas-tugas tersebut di atas ditetapkan secara lebih rinci dalam
Peraturan Bank Indonesia (PBI).
Terkait
dengan tugas Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk
meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah melalui
pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah
mengeluarkan serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank
Indonesia yang harus dipatuhi oleh dunia perbankan antara lain mengenai
penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan
penerapan prinsip Know Your Customer (KYC).
1.
Manajemen risiko dalam penyelenggaraan kegiatan internet banking
Peraturan
yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen
risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank
Indonesia No. 5/8/PBI/2003 tentang Penerapan Manajemen Risiko Bagi Bank Umum
dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang
Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet
(Internet Banking). Pokok-pokok pengaturannya antara lain sbb:
a.
Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen
risiko pada aktivitas internet banking secara efektif.
b.
Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan,
prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen
Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking),
yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
c.
Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan
internet banking adalah:
2.
Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a)
Komisaris dan direksi harus melakukan pengawasan yang efektif terhadap risiko
yang terkait dengan aktivitas internet banking, termasuk penetapan akuntabilitas,
kebijakan dan proses pengendalian untuk mengelola risiko tersebut.
b)
Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari
prosedur pengendalian pengamanan bank.
3.
Pengendalian pengamanan (security control)
a)
Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian
(otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi
melalui internet banking.
b)
Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa
transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan
tanggung jawab dalam transaksi internet banking.
c)
Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking,
database dan aplikasi lainnya.
d)
Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses
(privileges) yang tepat terhadap sistem internet banking, database dan aplikasi
lainnya.
e)
Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi
integritas data, catatan/arsip dan informasi pada transaksi internet banking.
f)
Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang
jelas untuk seluruh transaksi internet banking.
g)
Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi
penting pada internet banking. Langkah tersebut harus sesuai dengan
sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
4.
Manajemen Risiko Hukum dan Risiko Reputasi
a)
Bank harus memastikan bahwa website bank menyediakan informasi yang
memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai
identitas dan status hukum bank sebelum melakukan transaksi melalui internet
banking.
b)
Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan
kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat
kedudukan bank menyediakan produk dan jasa internet banking.
c)
Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha
yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
d)
Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola,
mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak
diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem
dan jasa internet banking.
e)
Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak ketiga
(outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan dan due
dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank
dengan pihak ketiga tersebut.
5.
Penerapan prinsip Know Your Customer (KYC)
Upaya
lainnya yang dilakukan oleh Bank Indonesia dalam rangka meminimalisir
terjadinya tindak kejahatan internet fraud adalah pengaturan kewajiban bagi
bank untuk menerapkan prinsip mengenal nasabah atau yang lebih dikenal dengan
prinsip Know Your Customer (KYC). Pengaturan tentang penerapan prinsip KYC
terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001 tentang Penerapan
Prinsip Mengenal Nasabah (Know Your Customer Principles) sebagaimana telah
diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank
Indonesia 6/37/DPNP tanggal 10 September 2004 tentang Penilaian dan Pengenaan
Sanksi atas Penerapan Prinsip Mengenal Nasabah dan Kewajiban Lain Terkait
dengan Undang-Undang tentang Tindak Pidana Pencucian Uang.
Pokok-pokok
pengaturannya antara lain sbb:
a.
Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui
identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan
transaksi yang mencurigakan.
b.
Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1)
Menetapkan kebijakan penerimaan nasabah.
2)
Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3)
Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi
nasabah.
4)
Menetapkan kebijakan dan prosedur manajemen risiko yang berkaitan dengan
penerapan Prinsip Mengenal Nasabah.
c.
Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1)
Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta informasi
mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan
dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan bank
untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam hal
calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah
tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib
meneliti kebenaran dokumen-dokumen pendukung tersebut.
2)
Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa
perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya
pada saat pembukaan rekening.
d.
Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak lain
(beneficial owner) untuk membuka rekening, bank wajib memperoleh
dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta
kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal
bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib
menolak untuk melakukan hubungan usaha dengan calon nasabah.e. Bank wajib menatausahakan
dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5
(lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib
melakukan pengkinian data dalam hal terdapat perubahan terhadap dokumen-dokumen
pendukung tersebut.
f.
Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa,
memantau dan menyediakan laporan secara efektif mengenai karakteristik
transaksi yang dilakukan oleh nasabah bank.
g.
Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi informasi
mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang
dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
h.
Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang
sekurang-kurangnya mencakup:
1)
Pengawasan oleh pengurus bank (management oversight).
2)
Pendelegasian wewenang.
3)
Pemisahan tugas.
4)
Sistem pengawasan intern termasuk audit intern.
5)
Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
i.
Bank Indonesia melakukan penilaian terhadap pelaksanaan Prinsip Mengenal
Nasabah/KYC dan Undang- Undang Tindak Pidana Pencucian Uang (UU TPPU) dimana
penilaian tersebut dilakukan secara kualitatif atas faktor-faktor manajemen
risiko penerapan KYC.
6.
Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi
lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir
internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat
Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau
media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai
penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004
tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan
Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang
Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan
Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun
pokok-pokok pengaturannya antara lain sbb:
a).
Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang
berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang
dipersamakan dengan hal tersebut.
b).
Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus
menyerahkan bukti penerapan manajemen risiko.
c).
Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat
kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan
masyarakat terhadap APMK.
d).
Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur
teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi pengamanan
pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses
transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank
Indonesia juga mengeluarkan regulasi mengenai transparansi informasi produk
bank dan penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi
nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap
berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam
Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang
Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Pokok-pokok
pengaturan dalam ketentuan tersebut antara lain sbb:
a).
Bank wajib menerapkan transparansi informasi mengenai Produk Bank dan penggunan
Data Pribadi Nasabah.
b).
Bank dilarang memberikan informasi yang menyesatkan (mislead) dan atau tidak
etis (misconduct).
c).
Informasi Produk Bank tersebut, minimal meliputi: nama produk, jenis produk,
manfaat dan resiko produk, persyaratan dan tatacara penggunaan produk,
biaya-biaya yang melekat pada produk, perhitungan bunga atau bagi hasil dan
margin keuntungan, jangka waktu berlakunya Produk Bank, penerbitan
(issuer/originator) Produk Bank.
d).
Bank wajib memberikan informasi kepada nasabah mengenai manfaat dan risiko pada
setiap produk bank, dimana bank harus menjelaskan secara terinci setiap manfaat
yang diperoleh nasabah dari suatu produk bank dan potensi risiko yang dihadapi
oleh nasabah dalam masa penggunaan produk bank.
Rahasia
Bank
Salah
satu hal penting dalam memproses pelaku internet fraud adalah pembukaan rahasia
bank untuk memperoleh keterangan simpanan milik pelaku internet fraud tersebut,
dimana keterangan tersebut dapat dijadikan salah bukti oleh aparat penegak
hukum untuk keperluan persidangan pidana.
Ketentuan
mengenai rahasia bank diatur dalam UU Perbankan dan kemudian diatur lebih
lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000 tentang Persyaratan dan
Tata Cara Pemberian Perintah atau Izin Tertulis Membuka Rahasia Bank.
Berdasarkan ketentuan tersebut, pada prinsipnya setiap Bank dan afiliasinya
wajib merahasiakan keterangan mengenai nasabah penyimpan dan simpanannya
(Rahasia Bank). Sedangkan keterangan mengenai nasabah selain sebagai nasabah
penyimpan, tidak wajib dirahasiakan.
Terhadap
Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari pimpinan Bank
Indonesia untuk kepentingan perpajakan, penyelesaian piutang bank oleh
BUPN/PUPLN dan kepentingan peradilan perkara pidana dimana status nasabah
penyimpan yang akan dibuka rahasia bank harus tersangka atau terdakwa. Terhadap
Rahasia Bank dapat juga disimpangi tanpa izin terlebih dahulu dari pimpinan
Bank Indonesia yakni untuk kepentingan perkara perdata antara bank dengan
nasabahnya, tukar menukar informasi antar bank, atas permintaan/persetujuan
dari nasabah dan untuk kepentingan ahli waris yang sah.
Dalam
hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama seorang
nasabah penyimpan yang telah dinyatakan sebagai tersangka atau terdakwa oleh
pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12 ayat (1) PBI Rahasia
Bank, dapat dilakukan sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku tanpa memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Namun
demikian untuk memperoleh keterangan mengenai nasabah penyimpan dan simpanan
nasabah yang diblokir dan atau disita pada bank, menurut Pasal 12 ayat (2) PBI
Rahasia Bank, tetap berlaku ketentuan mengenai pembukaan Rahasia Bank dimana
memerlukan izin terlebih dahulu dari pimpinan Bank Indonesia.
Urgensi
Undang-Undang tentang Informasi dan Transaksi Elektronik (UU ITE) dan
Undang-Undang tentang Transfer Dana (UU Transfer Dana)
Payung
hukum setingkat undang-undang yang khusus mengatur tentang kegiatan di dunia
maya hingga saat ini belum ada di Indonesia. Dalam hal terjadi tindak pidana
kejahatan di dunia maya, untuk penegakan hukumnya masih menggunakan ketentuan-ketentuan
yang ada di KUHP yakni mengenai pemalsuan surat (Pasal 263), pencurian (Pasal
362), penggelapan (Pasal 372), penipuan (Pasal 378), penadahan (Pasal 480),
serta ketentuan yang terdapat dalam Undang-Undang tentang Tindak Pidana
Pencucian Uang dan Undang-Undang tentang Merek.
Ketentuan-ketentuan
tersebut tentu saja belum bisa mengakomodir kejahatan-kejahatan di dunia maya
(cybercrime) yang modus operandinya terus berkembang. Selain itu dalam
penanganan kasusnya seringkali menghadapi kendala antara lain dalam hal
pembuktian dengan menggunakan alat bukti elektronik dan ancaman sanksi yang
terdapat dalam KUHP tidak sebanding dengan kerugian yang diderita oleh korban,
misalnya pada kasus internet fraud, salah satu pasal yang dapat digunakan adalah
Pasal 378 KUHP (penipuan) yang ancaman hukumannya maksimum 4 (empat) tahun
penjara sedangkan kerugian yang mungkin diderita dapat mencapai miliaran
rupiah.
Terkait
dengan hal-hal tersebut di atas, kehadiran Undang-Undang tentang Informasi dan
Transaksi Elektronik (UU ITE) dan Undang-Undang tentang Transfer Dana (UU
Transfer Dana) diharapkan dapat menjadi faktor penting dalam upaya mencegah dan
memberantas cybercrimes serta dapat memberikan deterrent effect kepada para
pelaku cybercrimes sehingga akan berfikir jauh untuk melakukan aksinya. Selain
itu hal yang penting lainnya adalah pemahaman yang sama dalam memandang
cybercrimes dari aparat penegak hukum termasuk di dalamnya law enforcement.
Sumber:
0 komentar:
Posting Komentar