BAB II : KESIAPAN HUKUM DI INDONESIA MENGATUR

B. Pengaturan kejahatan Hacking terhadap bank

1. Hacking dalam peraturan-peraturan

a. Hacking dalam Undang-Undang Perbankan

Sebagaimana diketahui, tujuan utama perbankan Indonesia adalah sebagai penunjang pelaksanaan pembangunan nasional dalam meningkatkan

73

pemerataan, pertumbuhan ekonomi dan stabilitas pembangunan nasional menuju pada peningkatan kesejahteraan rakyat banyak. Sedangkan fungsi utama perbankan Indonesia masih tetap sebagai intermediary yaitu penghimpun dan penyalur dana masyarakat dari sektor surplus (pemilik dana) ke sektor defisit (pencari dana bagi investasi).74 Bank adalah lembaga keuangan yang merupakan tempat masyarakat menyimpan dananya yang semata-mata dilandasi oleh kepercayaan bahwa uangnya akan dapat diperoleh kembali pada waktunya dan disertai imbalan berupa bunga. Artinya, eksistensi suatu bank sangat tergantung pada kepercayaan masyarakat, semakin tinggi kepercayaan masyarakat, semakin tinggi pula kesadaran masyarakat untuk menyimpan uangnya pada bank dan menggunakan jasa-jasa lain dari bank.

Yang dikategorikan sebagai tindak pidana kejahatan di bidang perbankan menurut Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 adalah sebagaimana ditentukan dalam ketentuan Pasal 51 ayat (1) Undang- Undang Nomor 10 Tahun 1998 sebagai berikut :

Pasal 51 ayat (1) :

74

Marulak Pardede, Likuidasi Bank danPerlindungan Nasabah, (Jakarta : Pustaka Sinar Harapan, 1998), hlm. v.

Tindak pidana sebagaimana dimaksud dalam Pasal 46, Pasal 47, Pasal 48 ayat (1), Pasal 49, Pasal 50 dan Pasal 50 A adalah kejahatan.75 Pasal tersebut di atas, khususnya Pasal 49 ayat (1) dapat diterapkan dalam kejahatan hacking terhadap bank apabila tersangkanya adalah pegawai bank tersebut, baik dia langsung sebagai Hacker perorangan atau orang yang turut serta melakukan dengan cara memberikan akses atau password kepada orang luar (Hacker), sehingga Hacker tersebut dengan sangat mudah dapat masuk ke dalam jaringan bank tersebut.

Dalam Undang-Undang ini tidak mengatur khusus apabila terjadi kejahatan Hacking atau kejahatan lain dengan menggunakan internet yang menghantam sebuah bank dan hanya mengatur serta memberlakukannya kepada jajaran personel bank tersebut, sehingga sang Hacker (apabila Hacker tersebut orang luar bank) Cuma dijerat dengan menggunakan KUHP atau Undang-Undang di luar KUHP yang berkaitan dengan kejahatan Hacker.

Yang dimaksud sebagai “pegawai bank” berkaitan dengan tindak pidana dibidang perbankan menurut Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 ada 3 (tiga) macam pengertian, yaitu:

75

Lihat BAB VIII yang mengatur tentang ketentuan pidana dan sanksi administratif Undang- Undang Nomor 7 Tahun 1992 tentang Perbankan. Ketentuan pidana dan sanksi administratif diberikan kepada pengurus bank yang melanggar peraturan yang telah ditentukan, tidak ada yang bisa digunakan untuk menjerat pelaku kejahatan hacking.

a. Semua pejabat dan karyawan bank Pasal 47, Pasal 49 ayat (1) dan ayat (2) butir a).

b. Pejabat bank yang diberi wewenang dan tanggung jawab untuk melaksanakan tugas operasional bank dan karyawan yang mempunyai akses terhadap informasi mengenai keadaan bank (Pasal 48 ayat (1). c. Pejabat bank yang mempunyai wewenang dan tanggung jawab tentang

hal-hal yang berkaitan dengan usaha bank yang bersangkutan.42

Sesuai dengan bunyi Pasal 6 huruf e, f, g Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang- Undang Nomor 10 Tahun 1998 menyatakan bahwa yang dimaksud Usaha Bank Umum meliputi :

a. Memindahkan uang baik untuk kepentingan sendiri maupun untuk kepentingan nasabah;

b. Menempatkan dana pada, meminjam dana dari, atau meminjamkan dana kepada bank lain, baik dengan menggunakan surat, sarana telekomunikasi maupun dengan wesel unjuk, cek atau sarana lainnya; c. Menerima pembayaran dari tagihan atas surat berharga dan melakukan

perhitungan dengan atau antar pihak ketiga.

Hal tersebut di atas masih diperlukan adanya regulasi tentang transfer dana yang sangat erat kaitannya dengan penggunaan sarana teknologi informasi.

Juga masih diperlukan implementasi regulasi lebih lanjut tentang internet banking sebagai salah satu bentuk layanan perbankan.

Hal perlindungan privasi (privacy rights) dalam kegiatan perbankan, termasuk dalam kegiatan internet banking dan elektronik banking seperti yang tertuang dalam Pasal 40 Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998 juga menjadi kendala apabila sebuah bank terkena korban hacking.76 Apakah pihak bank akan menutup kasus yang menimpa dirinya dengan alasan privacy, atau mengumumkannya bila bank tersebut menjadi korban hacking. Di Indonesia masalah privacy belum menjadi masalah yang besar. Di luar negeri khususnya negara-negara maju, privacy memperoleh perhatian yang cukup serius. Mengingat e-commerce beroperasi secara lintas batas, maka privacy policy dapat menjadi salah satu kendala perdagangan antar negara. Jika pelaku bisnis di Indonesia tidak menerapkan privacy policy, maka mitra bisnis di luar negeri tidak akan bersedia melakukan transaksi bisnis tersebut. Mereka berkewajiban menjaga privacy dari konsumen atau mitra mereka.

Apabila sebuah bank diperkirakan mengalami kesulitan yang membahayakan kelangsungan usahanya, maka Bank Indonesia dengan mengacu kepada Pasal 37 dapat memberikan arahan kepada para pengurus

76

Dalam Pasal 40 disebutkan bahwa bank wajib merahasiakan keterangan nasabah penyimpan dan simpanannya.

bank tersebut untuk melakukan tindakan penyelamatan terhadap bank tersebut, dimana di antaranya adalah melakukan tindakan lain sesuai dengan peraturan Perundang-Undangan yang berlaku.77

b. Hacking dalam Undang-Undang Lembaga Penjamin Simpanan

Undang-Undang ini tidak menyebutkan secara jelas tentang hacking terhadap bank. Dalam Undang-Undang ini mengatur tentang kepastian hukum dalam pengaturan dan pengawasan bank serta penjaminan simpanan nasabah bank untuk meningkatkan kelangsungan usaha bank secara sehat. Kelangsungan usaha bank secara sehat dapat menjamin keamanan simpanan para nasabahnya serta meningkatkan peran bank sebagai penyedia dana pembangunan dan pelayan jasa perbankan.

Di dalam Undang-Undang ini ditetapkan penjaminan simpanan nasabah bank yang diharapkan dapat memelihara kepercayaan masyarakat terhadap industri perbankan dan dapat meminimumkan risiko yang membebani anggaran negara atau risiko yang menimbulkan moral hazard. Penjaminan simpanan nasabah bank tersebut diselenggarakan oleh Lembaga Penjamin Simpanan (LPS). LPS sendiri memiliki dua fungsi yaitu menjamin

77

Perintah-perintah yang diberikan Bank Indonesia tidak dicantumkan secara khusus tentang apabila sebuah bank menjadi korban kejahatan hacking. Di salah satu poin nya hanya disebutkan bahwa Bank Indonesia dapat melakukan tindakan lain sesuai dengan peraturan Perundang-Undangan yang berlaku.

simpanan nasabah bank dan melakukan penyelesaian atau penanganan Bank- Gagal.78

Penjaminan simpanan nasabah bank yang dilakukan LPS bersifat terbatas tetapi dapat mencakup sebanyak-banyaknya nasabah. Setiap bank yang menjalankan usahanya di Indonesia diwajibkan untuk menjadi peserta dan membayar premi penjaminan. Dalam hal bank tidak dapat melanjutkan usahanya dan harus dicabut izin usahanya, LPS akan membayar simpanan setiap nasabah bank tersebut sampai jumlah tertentu. Adapun simpanan yang tidak dijamin akan diselesaikan melalui proses likuidasi bank. Likuidasi ini merupakan tindak lanjut dalam penyelesaian bank yang mengalami kesulitan keuangan.79

LPS melakukan tindakan penyelesaian atau penanganan bank yang mengalami kesulitan keuangan dalam kerangka mekanisme kerja yang terpadu, efisien dan efektif untuk menciptakan ketahanan sektor keuangan Indonesia atau disebut Indonesia Financial Safety Net (IFSN). LPS bersama dengan Menteri Keuangan, Bank Indonesia, dan Lembaga Pengawas Perbankan (LPP) menjadi anggota Komite Koordinasi.80

Tindakan penyelesaian atau penanganan Bank-Gagal oleh LPS didahului berbagai tindakan lain oleh Bank Indonesia dan LPP sesuai

78

Lihat penjelasan Undang-Undang Nomor 24 Tahun 2004 tentang Lembaga Penjamin Simpanan.

79

Ibid.

80

peraturan Perundang-Undangan. Bank Indonesia, melalui mekanisme sistem pembayaran, akan mendeteksi bank yang mengalami kesulitan keuangan dan dapat menjalankan fungsinya sebagai lender of last resort. LPP juga dapat mendeteksi kesulitan tersebut dan berupaya mengatasi dengan menjalankan fungsi pengawasannya, antara lain berupa tindakan agar pemilik bank menambah modal atau menjual bank, atau agar bank melakukan merger atau konsolidasi dengan bank lain.81

Undang-Undang LPS ini menyebutkan adanya bentuk simpanan nasabah yang dijamin oleh pemerintah yaitu simpanan yang berbentuk giro, deposito, sertifikat deposito, tabungan, dan/atau bentuk lainnya yang dipersamakan dengan itu.82 Nilai Simpanan yang dijamin untuk setiap

81

Tugas dan Fungsi Lembaga Penjamin Simpanan (LPS) ditegaskan dalam pasal 4, 5, 6 dan Pasal 7, yakni:

a. Pasal 4 menyebutkan bahwa fungsi LPS adalah : 1. Menjamin Simpanan Nasabah Penyimpan; dan

2. Turut Aktif dalam memelihara stabilitas sistem perbankan sesuai dengan kewenangannya.

b. Pasal 5 menyebutkan bahwa :

1. Dalam menjalankan fungsi sebagaimana dimaksud dalam Pasal 4 huruf a, LPS mempunyai tugas merumuskan dan menetapkan kebijakan pelaksanaan penjaminan simpanan serta melaksanakan penjaminan simpanan.

2. Dalam menjalankan fungsi sebagaimana dimaksud dalam Pasal 4 huruf b, LPS mempunyai tugas merumuskan dan menetapkan kebijakan dalam rangka turut aktif memelihara stabilitas sistem perbankan serta merumuskan, menetapkan dan melaksanakan penyelesaian bank gagal yang berdampak sistemik, selain itu juga melaksanakan penanganan bank gagal yang berdampak sistemik.

82

Lihat Pasal 10 Undang-Undang Nomor 24 Tahun 2004 tentang Lembaga Penjamin Simpanan, disebutkan bahwa Transfer masuk dan transfer keluar serta inkaso tidak termasuk dalam lingkup yang dijamin karena bukan termasuk simpanan. Namun demikian transfer keluar yang berasal dari simpanan nasabah dan belum keluar dari bank masih diperlakukan sebagai simpanan. Demikian pula dengan transfer masuk yang sudah diterima bank untuk kepentingan seorang nasabah diperlakukan sebagai simpanan nasabah dimaksud walaupun bank belum membukukan ke dalam rekening yang bersangkutan. Yang dimaksud dengan bentuk lainnya dalam pasal ini adalah bentuk-bentuk simpanan

nasabah pada satu bank paling banyak Rp100.000.000,- (seratus juta rupiah).83 Selanjutnya pelaksanaan penanganan bank yang menjadi korban kejahatan hacking dapat dilakukan sesuai dengan tahapan-tahapan yang ditetapkan dalam Undang-Undang LPS ini.84

c. Hacking dalam Undang-Undang Bank Indonesia

Secara jelas Undang-Undang Nomor 23 Tahun 1999 tentang Bank Indonesia ini tidak menyebutkan tentang apabila suatu bank menjadi korban kejahatan hacking. Dalam Pasal 8 Undang-Undang ini disebutkan bahwa tugas dari Bank Indonesia adalah sebagai berikut:85

1) Menetapkan dan melaksanakan kebijakan moneter; 2) Mengatur dan Menjaga kelancaran sistem pembayaran; 3) Mengatur dan mengawasi Bank.

Sedangkan dalam sistem pembayaran Undang-Undang Nomor 23 Tahun 1999 ini hanya menyebutkan analogi dari sistem pembayaran tersebut, di dalam bank syariah atau apabila ada bentuk simpanan baru yang dipersamakan dengan simpanan berdasarkan ketentuan LPP

83

Lihat Pasal 11 Undang-Undang Nomor 24 Tahun 2004 tentang Lembaga Penjamin Simpanan. Di dalam penjelasan Pasalnya disebutkan bahwa Nilai yang dijamin diharapkan dapat melindungi seluruh simpanan yang dimiliki oleh nasabah kecil yang merupakan sebagian besar nasabah bank di Indonesia.

84

Lihat Pasal 22 Undang-Undang Nomor 24 Tahun 2004 tentang Lembaga Penjamin Simpanan. Dalam Pasal tersebut dinyatakan bahwa LPS melakukan penyelesaian Bank Gagal dengan menggunakan cara :

a. Penyelesaian Bank Gagal yang tidak berdampak sistemik dilakukan dengan melakukan

penyelamatan atau tidak melakukan penyelamatan terhadap Bank Gagal dimaksud; b. Penanganan Bank Gagal yang berdampak sistemik dilakukan dengan melakukan

penyelamatan yang mengikutsertakan pemegang saham lama atau tanpa mengikutsertakan pemegang saham lama.

85

yaitu suatu sistem yang mencakup seperangkat aturan, lembaga dan mekanisme yang digunakan untuk melaksanakan pemindahan dana guna memenuhi suatu kewajiban yang timbul dari suatu kegiatan ekonomi.86 Hal ini harus diimplementasikan lebih lanjut dalam bentuk peraturan yang lebih teknis tentang sistem pembayaran dan lalu lintas keuangan secara elektronik.

Dalam Pasal 32 UU BI hanya menyebutkan bahwa Bank Indonesia mengatur dan mengembangkan sistem informasi antar bank dan penyelenggaraan sistem informasi dapat diserahkan kepada pihak lain dengan persetujuan Bank Indonesia.87 Dalam UU BI ini juga tidak disebutkan lebih lanjut langkah-langkah yang akan dilakukan oleh Bank Indonesia apabila kerugian sebuah bank tersebut berawal dari sistem pengamanan dari sistem informasi yang dimiliki sebuah bank tersebut.88 Dalam bab ketentuan pidana sama sekali tidak disebutkan tentang sanksi apabila terjadi kesalahan dalam sistem informasi sebuah bank.89

d. Hacking dalam Peraturan-Peraturan Bank Indonesia

Dalam menjalankan tugas-tugas tersebut di atas, Bank Indonesia selaku bank sentral memberikan regulasi-regulasi yang dikuatkan dengan produk peraturan-peraturan yang dikeluarkannya untuk memberikan tatanan

86

Lihat Pasal 1 Angka 6 Undang-Undang Nomor 23 Tahun 1999.

87

Lihat Pasal 32 Undang-Undang Nomor 23 Tahun 1999.

88

Lihat Pasal 33 Undang-Undang Nomor 23 Tahun 1999.

89

kehidupan seluruh perbankan di Indonesia, di antaranya peraturan Bank Indonesia nomor 5/8/PBI/2003 mengenai penerapan Manajemen resiko bagi Bank Umum. Peraturan ini dikeluarkan dalam rangka menciptakan prakondisi dan infrastruktur pengelolaan risiko yang akan terjadi terhadap bank tersebut.90 Apabila bank tersebut menjadi korban kejahatan hacking, maka bank dapat dikategorikan bermasalah dengan alasan resiko operasional, dimana bank tidak dapat melakukan proses internal dan kegagalan sistem di dalam bank tersebut, namun tidak bisa dipakai untuk menjerat pelaku kejahatan hacking.

Bank Indonesia mewajibkan kepada seluruh perbankan Indonesia untuk membentuk Komite Manajemen Resiko dan Satuan Kerja Manajemen Resiko yang di dalamnya diawaki oleh mayoritas direksi dan pejabat eksekutif terkait dengan wewenang dan tanggung jawab yang diembannya, yaitu: memberikan rekomendasi kepada direktur utama tentang penyusunan kebijakan, strategi dan pedoman penerapan Manajemen resiko, serta perbaikan atau penyempurnaan pelaksanaan Manajemen Resiko berdasarkan hasil evaluasi pelaksanaan dan penetapan (justification) hal-hal terkait dengan keputusan bisnis yang menyimpang dari prosedur normal (irregularities).

90

Sesuai dengan Pasal 1 angka 2 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang penerapan Manajemen resiko bagi Bank Umum, menjelaskan bahwa yang dimaksud dengan resiko adalah potensi terjadinya suatu peristiwa (events) yang dapat menimbulkan kerugian Bank. Resiko dimaksud meliputi: resiko kredit, resiko pasar, resiko likuiditas, resiko operasional, resiko hukum, resiko reputasi, resiko strategik dan resiko kepatuhan.

Peraturan ini hanya mengatur tentang bagaimana Bank Indonesia mengingatkan kepada perbankan Indonesia agar aktivitas usaha yang dilakukan oleh bank tidak menimbulkan kerugian yang melebihi kemampuan bank atau yang dapat mengganggu kelangsungan usaha bank saja. Di dalam Bab yang memuat sanksi, dalam peraturan ini sanksi yang dijatuhkan adalah sanksi denda dan dijatuhkan kepada bank itu hanya untuk bank yang terlambat/lalai/salah dalam membuat pelaporan ke Bank Indonesia saja.91

Regulasi lain yang dikeluarkan Bank Indonesia yang memanfaatkan teknologi informasi yaitu Peraturan Bank Indonesia Nomor : 6/2/PBI/2004 tentang Bank Indonesia – Scripless Securities Settlement System yang berfungsi untuk meningkatkan pelaksanaan tugas Bank Indonesia agar lebih efektif, efisien dan aman sehingga ada integrasi dan terhubung langsung antara sistem pelaku pasar dan sistem Bank Indonesia. Dalam peraturan BI ini juga dijelaskan apabila terjadi gangguan BI – SSSS diluar kemampuan peserta dan atau penyelenggara (force majeur), maka penyelenggara dalam hal ini Bank Indonesia akan memberlakukan prosedur dan rencana mengatasi keadaan darurat (contingency plan).92 Surat Edaran ini juga tidak dapat dipakai untuk menjerat pelaku kejahatan hacking, Surat Edaran ini dipakai

91

Lihat Pasal 33-34 Peraturan Bank Indonesia Nomor 5/8/PBI/2003 tentang penerapan Manajemen resiko bagi Bank Umum.

92

Sesuai dengan Surat edaran Bank Indonesia nomor 6/1/DPM, tanggal 16 Pebruari 2004, perihlm. Bank Indonesia-Scripless Securities Settlement System, apabila ada force majeur akan dilakukan prosedur tahapan-tahapan yang harus dilakukan dalam hlm. BI-SSSS tidak dapat berfungsi (contingency plan), yaitu meliputi prosedur-prosedur apabila terjadi gangguan pada Scripless

apabila sebuah bank menjadi korban kejahatan hacking, maka bank tersebut segera melaporkan kepada Bank Indonesia untuk selanjutnya disampaikan kepada Menteri Keuangan dan kemudian menggunakan tahapan-tahapan yang ada dalam Surat Edaran ini.