BAB III
CYBER CRIME DAN PERMASALAHANNYA DI SEKTOR PERBANKAN
A. Tindakan yang Termasuk Cyber crime di Sektor Perbankan
Berkaitan dengan Cyber crime dihubungkan dengan Hukum Perbankan adalah suatu peraturan atau perundang-undangan perbakan yang mengatur bank-bank komersil, Bank pemerintah, Bank Swasta dan Bank swasta Asing, dengan melakukan Izin pendirian. Sedangkan izin Pendirian adalah ketentuan bagi setiap perusahaan yang akan menjalankan usahanya disuatu negara atau dari wilayah hukum Negara lain, haruslah terlebih dahulu memperoleh izin dari pihak yang berwenang atau Pemerintah dan kewajiban memperoleh izin usaha bank tersebut, harus memenuhi persyaratan yang wajib dipenuhi menurut UU No.10 Tahun 1998 adalah sebagai berikut:39
1. Susunan Organisasi dan kepengurusan, 2. Permodalan,
3. Kepemilikan,
4. dibidang Perbankan dan 5. Kelayakan Rencana Kerja.
Sedangkan pengertian bank itu sendiri adalah badan usaha yang menghimpun dana dari masyarakat dalam bentuk simpanan dan menyalurkannya kepada masyarakat dalam bentuk kredit dan atau bentuk-bentuk lainnya dalam rangka meningkatkan taraf hidup rakyat banyak. Dengan demikian pengertian
39
http/google.com, “Perspektif Hukum tentang Cyber Crime dalam Berbagai Transaksi
hukum perbankan adalah suatu ketentuan/norma atau kidah-kaidah hukum yang mengatur segala kegiatan perekonomian yang berhubungan langsung mupun tidak langsung, berupa badan usaha milik Negara yaitu bank yang mengelola dan menghimpun dana dari masyarakat dalam bentuk simpanan serta menyalurkan kepada masyarakat dalam bentuk kredit/pinjaman. Akan tetapi pada kenyataannya di dalam melakukan kegiatan perekonomian di dalam mengelola keuangan Negara tersebut, pihak perbankan dalam hal ini Bank Indonesia sebagai bank sentral Indonesia dengan melalui bank-bank umum maupun bank swasta sering terjadi suatu upaya-upaya terjadinya tindak pidana pencucian uang (money laundering) dan sering terjadi dan yang sering menimbulkan masalah adalah bank-bank swasta yang diberi kepercayaan untuk mengelolaan keuangan Negara tersebut. Bentuk Cyber crime terdapat beberapa potensi cyber crime dalam kejahatan perbankan adalah sebagai berikut:40
1. Typo Site adalah pelaku membuat nama situs palsu yang sama persis dengan situs asli dan membuat alamat yang mirip dengan situs asli (pelaku tinggal menunggul sikorban salah mengetik data), dari kesalahan inilah pelaku akan mendapat informasi/user dan password korban, yang nantinya akan dimanfaatkan untuk merugikan korban.
2. Keylogger/Keystroke Logger :
Modus lainnya adalah keylogger. Hal ini sering terjadi pada tempat mengakses Internet umum seperti di warnet.Program ini akan merekam karakter-karakter yang diketikkan oleh user dan berharap akan
40 Ibid
mendapatkan data penting seperti user ID maupun password. Semakin sering mengakses Internet di tempat umum, semakin rentan pula terkena modus operandi yang dikenal dengan istilah keylogger atau keystroke recorder ini. Sebab, komputerkomputer yang berada di warnet digunakan berganti-ganti oleh banyak orang. Cara kerja dari modus ini sebenarnya sangat sederhana, tetapi banyak para pengguna komputer di tempat umum yang lengah dan tidak sadar bahwa semua aktivitasnya dicatat oleh orang lain. Pelaku memasang program keylogger di komputer-komputer umum. Program keylogger ini akan merekam semua tombol keyboard yang ditekan oleh pengguna komputer berikutnya. Di lain waktu, pemasang keylogger akan mengambil hasil "jebakannya" di komputer yang sama, dan dia berharap akan memperoleh informasi penting dari para korbannya, semisal user ID dan password.
3. Sniffing
Yaitu usaha untuk mendapatkan user ID dan password dengan jalan mengamati paket data yang lewat pada jaringan komputer.
4. Brute Force Attacking
Yaitu usaha untuk mendapatkan password atau key dengan mencoba semua kombinasi yang mungkin.
5. Web Deface
Yaitu Sistem Exploitation dengan tujuan mengganti tampilan halaman muka suatu situs.
6. Email Spamming
Yaitu mengirimkan junk email berupa iklan produk dan sejenisnya pada alamat email seseorang.
7. Denial of Service
Yaitu membanjiri data dalam jumlah sangat besar dengan maksud untuk melumpuhkan sistem sasaran.
8. Virus, Worm, Trojan
Yaitu menyebarkan virus, worm maupun trojan dengan tujuan untuk melumpuhkan sistem komputer, memperoleh data-data dari sistem korban dan untuk mencemarkan nama baik pembuat perangkat lunak tertentu. Menurut perusahaan Security Clear Commerce di Texas USA, di Indonesia menduduki peringkat kedua setelah Ukrania dalam hal kejahatan Carding (kartu Kredit) dengan menggunakan teknologi informasi (Internet) yaitu menggunakan kartu kredit orang untuk melakukan pemasaran barang secara online. Dimana komunikasi awal dibangun melalui e-mail untuk menanyakan kondisi barang dan melakukan transaksi, setelah terjadi kesepakatan pelaku memberikan nomor kartu kreditnya dan penjual mengirimkan barang, cara ini relatif aman bagi pelaku, karena penjual biasanya mengirim barannya dalam tempo 3-5 hari untuk melakukan kliring atau pencairan dana, sehingga pada saat penjula mengetahui bahwa nomor kartu kredit tersebut bukan milik pelaku dan barang sudah terlanjur dikirim.41
41 Ibid
Macam dan bentuk lain adalah dimana seorang laki-laki asal bandung telah membuat situs asli akan tetapi palsu layanan internet banking BCA,Steven5 membeli domain mirip dengan www.klikbca.com (situs asli Internet banking BCA yaitu wwwklik-bca.com, kilkbca.com, clikbca.com, klickca.com dan klikbac.com). Jika nasabah salah mengetik, maka dana nasabah tersebut akan masuk perangkap situs Steven tersebut. Kegiatan-kegiatan tersebut dilakukan, apabila setiap pelaku membuat situs-situs samaran atau palsu yang dapat mengakibatkan menimbulkan kerugian bagi pihak perbankan maupun bagi yang memegang dana kartu kredit tersebut, dimana sistem jaringan perbankan akan terganggu yang disebakan oleh para pelaku kejahatan Cyber crime di Indonesia yang terdiri dari berbagai bentuk kejahatan seperti: Typo Site, Keylogger/ Keystroke Logger, Sniffing, Brute Force Attacking, Web Deface, Email Spamming, Denial of Service, Virus, Worm, Trojan dan kejahatan kartu kredit yang melalui jaringan internet dengan menggunakan situs-situs palsu yang lagi marak di era perekonomian global di Indonesia.
B. Permasalahan yang Timbul dari Tindak Pidana Cyber Crime di Sektor Perbankan
Beberapa permasalahan yang dapat ditimbulkan oleh tindak pidana cyber crime di sektor perbankan adalah:42
42
Brian Ami Prastyo, “Ringkasan Eksekutif Diskusi Permasalahan Hukum Terkait
Internet Banking dan Solusi Penyelesaiannya”, http//google.com. Diakses pada tanggal 3 Maret
1. Keamanan Sistem Informasi
Bisnis perbankan pada dasarnya merupakan bisnis yang berisiko tinggi. Terdapat sedikitnya 8 macam risiko utama yang berkaitan dengan aktivitas perbankan, yaitu strategi, reputasi, operasional (termasuk yang disebut risiko transaksi dan legal), kredit, harga, kurs, tingkat bunga, dan likuiditas. Penyelenggaraan Internet Banking yang sangat dipengaruhi oleh perkembangan teknologi informasi, dalam kenyataannya pada satu sisi membuat jalannya transaksi perbankan semakin mudah, akan tetapi di sisi yang lain membuatnya juga semakin berisiko. Dengan kenyataan seperti ini, faktor keamanan harus menjadi faktor yang paling perlu diperhatikan. Bahkan mungkin faktor keamanan ini dapat menjadi salah satu fitur unggulan yang dapat ditonjolkan oleh pihak bank.
Aktivitas Internet Banking meningkatkan dan memodifikasi risiko-risiko seperti strategi, operasional dan reputasi. Hal ini disebabkan risiko tersebut terkait langsung dengan ancaman terhadap aliran data yang reliable dan semakin kompleksnya teknologi yang menjadi dasar Internet Banking. Ancaman tersebut dapat dikelompokkan sedikitnya menjadi Accidental Ancamans, Intentional Ancamans, Passive Ancamans, dan Active Ancamans. Seiring dengan meningkatnya pemanfaatan Internet Banking, akan semakin banyak pihakpihak yang mencari kelemahan sistem Internet Banking yang ada. Serangan-serangan tersebut akan semakin beragam jenisnya dan tingkat kecanggihannya. Bila dahulu serangan tersebut umumnya bersifat pasif, misalnya eavesdropping dan offline
password guessing, kini serangan tersebut menjadi bersifat aktif, dalam arti penyerang tidak lagi sekedar menunggu hingga user beraksi, akan tetapi mereka beraksi sendiri tanpa perlu menunggu user. Beberapa jenis serangan yang dapat dikategorikan ke dalam serangan aktif adalah man in the middle attack dan trojan horses.
Berbagai upaya preventif memang telah diterapkan oleh kalangan perbankan di Indonesia yang menyelenggarakan layanan Internet Banking. Misalnya, dengan diberlakukannya fitur two factor authentication, dengan menggunakan token. Penggunaan token ini akan memberikan keamanan yang lebih tinggi dibandingkan bila hanya menggunakan username, PIN, dan password saja. Akan tetapi dengan adanya penggunaan token ini, tidak berarti transaksi Internet Banking bebas dari risiko. Serangan yang bersifat aktif seperti man in the middle attack dan trojan horses dapat mengganggu keamanan layanan. Gambaran umum dari aktifitas yang sering disebut man in the middle attack adalah sebagai berikut: penyerang membuat sebuah website dan membuat user masuk ke website tersebut. Agar berhasil mengelabui user, website tersebut harus dibuat semirip mungkin dengan website bank yang sebenarnya. Kemudian user memasukkan password-nya, dan penyerang kemudian menggunakan informasi ini untuk mengakses website bank yang sebenarnya. Untuk mengecoh token, penyerang dapat mengirimkan challenge-response kepada user sebelum melakukan transaksi illegal. Sedangkan, trojan horses adalah program palsu dengan tujuan jahat, yang disusupkan kepada sebuah program yang umum dipakai. Di sini para penyerang meng-install trojan kepada komputer user. Ketika user login ke website banknya,
penyerang. menumpangi sesi tersebut melalui trojan untuk melakukan transaksi yang diinginkannya.
2. Penyalahgunaan Kartu Kredit
Ada dua kegiatan perbankan di Internet yang potensial menjadi target cyber crime. Kegiatan yang pertama, yaitu layanan pembayaran menggunakan kartu kredit pada tokotoko online. Sistem layanan ini rentan terhadap tindak kejahatan yang dikenal dengan istilah carding. Sampai saat ini, sedikitnya terdapat 4 modus carding yang telah dikenali, yaitu:43
a. Modus I (1996 s/d 1998), para carder mengirimkan barang hasil carding mereka langsung ke suatu alamat di Indonesia.
b. Modus II (1998 s/d 2000), para carder tidak lagi secara langsung menuliskan “Indonesia” pada alamat pengiriman, tetapi menuliskan nama negara lain. Kantor pos negara lain tersebut akan meneruskan kiriman yang “salah tujuan” tersebut ke Indonesia. Hal ini dilakukan oleh para carder karena semakin banyak merchant atau perusahaan penyedia e-commerce di Internet yang menolak mengirim produknya ke Indonesia. c. Modus III (2000 s/d 2002), para carder mengirimkan paket pesanan
mereka ke rekan mereka yang berada di luar negeri. Kemudian rekan mereka tersebut akan mengirimkan kembali paket pesanan tersebut ke Indonesia secara normal dan legal. Hal ini dilakukan oleh carder selain karena modus operandi mereka mulai tercium oleh aparat oleh aparat
43 Ibid
penegak hukum, juga disebabkan semakin sulit mencari merchant yang biasa mengirim produknya ke Indonesia.
d. Modus IV (2002 s/d sekarang), para carder lebih megutamakan untuk mendapatkan uang tunai. Caranya adalah dengan mentransfer sejumlah dana dari kartu kredit bajakan ke sebuah rekening di www.PayPal.com. Kemudian dari PayPal, dana yang telah terkumpul tersebut dikirimkan oleh pelaku ke rekening bank yang dinginkan. Cara lainnya adalah dengan melakukan penipuan, seolah-olah carder menjual barang hasil carding, dan menjebak korban dengan meminta mengirimkan uang muka dalam jumlah tertentu. Namun, masih terdapat pula para carder yang tetap melakukan modus I, II, dan III, terutama bagi pemula.
Secara non-materiil akibat yang ditimbulkan dari tindakan penyalahgunaan kartu kredit adalah sebagai berikut:44
a. Penilaian dunia terhadap Indonesia menjadi negatif, karena dari hasil riset tahun 2001 dan 2003, Indonesia menempati peringkat ke-2 dunia dalam credit card fraud world cyber
b. Dengan peringkat ke-2 tersebut, banyak transaksi dari Indonesia (termasuk yang legal) ditolak oleh perusahaan-perusahaan(merchant), sehingga secara tidak langsung akan memengaruhi perekonomian negara serta image bangsa di pergaulan antar bangsa.
44
c. Kepercayaan masyarakat dan dunia usaha akan turun serta berusaha mencari cara lain dalam bertransaksi atau mencari bank penerbit kartu kredit lain yang terjamin keamanannya.
d. Langsung maupun tidak langsung konsumen atau pelanggan kartu kredit akan was-was setiap akan bertransaksi serta buang-buang waktu karena setiap saat selalu mengecek dana yang masih tersimpan di kartu kreditnya. Sedangkan secara materiil, kerugian yang mungkin timbul adalah:
a. Terambilnya dana yang jumlahnya sangat bervariasi serta tidak dapat diduga/terpikirkan sebelumnya, baik oleh pemilik kartu kredit maupun oleh issuing bank.
b. Bila hal itu menimpa banyak pemilik kartu kredit dapat dibayangkan betapa besar nilai uang yang diambil para carder tersebut.
c. Issuing bank harus sering mengeluarkan kartu kredit baru sebagai pengganti kartu kredit milik korban credit card fraud.
Kegiatan yang kedua yaitu perbankan online (online banking), juga relatif rentan terhadap cyber crime. Modus yang pernah muncul di Indonesia dikenal dengan istilah typosite. Modus ini memanfaatkan nasabah yang salah mengetikkan alamat bank online yang ingin diaksesnya. Pelakunya sudah menyiapkan situs palsu yang mirip dengan situs asli bank online (forgery). Jika ada nasabah yang salah ketik dan kesasar di situs bank palsu tersebut, pelaku akan merekam user id dan password nasabah tersebut untuk digunakan mengakses ke situs yang sebenarnya (illegal access) dengan maksud untuk merugikan nasabah.
Kasus-kasus di atas yang berhubungan dengan kejahatan konvensional, jika bisa dibuktikan, jelas perbuatan tersebut dapat dikualifikasikan sebagai penipuan karena dengan serangkaian perbuatan mengaku seolah-olah pemilik kartu kredit. Selain itu dapat juga dijerat dengan menggunakan pasal pencurian sebab pelaku yang berbelanja dengan menggunakan kartu kredit orang lain, mengambil secara tanpa hak sebagian atau seluruh milik orang lain dengan maksud memiliki secara melawan hukum. Akan tetapi, semua kasus tersebut memiliki kendala dalam hal pembuktian. Akibat dari transaksi melalui Internet antara lain hilangnya sebagian atau seluruh dana yang dimiliki pemilik kartu kredit, sehingga muncul perdebatan antara pemilik kartu kredit dengan sebuah perusahaan atau sebuah lembaga bank yang akhirnya mereka baru menyadari bahwa telah terjadi suatu transaksi illegal yang dilakukan oleh seseorang yang mempunyai data kartu kredit milik seseorang atau korban.45
3. Kendala Dalam Proses Penyidikan
Dalam penanganan masalah terkait dengan Internet Banking, khususnya yang menyangkut penyalahgunaan kartu kredit, tampaknya ada hal yang harus diluruskan. Pada umumnya pihak issuing bank seringkali memiliki prasangka bahwa apabila Polri menangani kasus credit card fraud, maka tingkat kepercayaan konsumen, masyarakat dan pelaku usaha terhadap issuing bank tersebut akan turun drastis, sehingga issuing bank “terkesan” hanya sedikit kooperatif. Perspektif demikian membawa implikasi pada proses penyidikan, yaitu Polri seolah-olah bekerja sendiri. Sementara pihak korban (pemilik kartu kredit dan
45 Ibid
issuing bank) tidak begitu diperhatikan. Akhirnya proses penyidikan menjadi tersendat dan tidak jelas penyelesaiannya.
Apabila berbagai kendala tersebut dikelompokkan, sedikitnya dapat dibedakan menjadi 2 aspek. Pertama, kendala non teknis, yang antara lain meliputi:46
a. Korban yang dirugikan kebanyakan berada di luar negeri dan bila diminta untuk memberikan kesaksian prosesnya sangat lama (padahal sesuai ketentuan KUHAP keterangan saksi korban adalah mutlak diperlukan). b. Alat bukti elektronik atau digital electronic evidence, secara fisik mudah
hilang atau dihilangkan serta masih banyak masyarakat yang belum paham tentang bagaimana cara yang efektif dan efisien dalam “mengamankan” barang bukti jenis ini.
Sedangkan hambatan teknisnya, antara lain:
a. Diperlukan biaya yang cukup besar untuk membeli dan menyiapkan peralatan yang diperlukan dalam penyidikan kasus-kasus yang terjadi. b. Perlu biaya penyidikan yang tidak sedikit. Bahkan terkadang nilai
kejahatan tidak sebanding dengan biaya yang dikeluarkan untuk pergi ke daerah-daerah untuk menangkap tersangka.
c. Setelah didapatkan ISP dan IP address warnet atau café net yang digunakan tersangka/pelaku, sulit untuk “menduga” siapa saja yang pernah dan sedang menggunakan Internet tersebut untuk memesan barang yang diinginkan pelaku/ tersangka, kecuali apabila pelaku dalam bertransaksi
46
Buletin Hukum Perbankan dan Kebanksentralan, Volume 2, Nomor 3, Agustus 2005, hal. 64-65.
menggunakan fasilitas Internet dan telepon rumah atau e-mail account berlangganan (tapi untuk yang jenis ini termasuk pelaku pemula/bodoh). d. Belum adanya prosedur yang tetap dan jelas dari pihak issuing bank yang
mengeluarkan kartu kredit bila terjadi credit card fraud. Misalnya: bagaimana prosedur baku dan langkah-langkah yang harus dilakukan, baik oleh pemilik, otoritas issuing bank dan penyidik Polri bila menerima laporan awal credit card fraud.
Di sisi lain, sampai saat ini pemerintah bersama DPR (periode manapun) terkesan sangat terlambat dalam melakukan antisipasi terhadap maraknya kejahatan yang terjadi melalui kegiatan Internet Banking. Bahkan dalam perkembangan terakhir, RUU Informasi dan Transaksi Elektronik yang telah “stagnan” selama 4 (empat) tahun dan seharusnya menjadi salah satu prioritas Prolegnas tahun 2005, telah dikembalikan oleh DPR kepada pmerintah dengan alasan untuk disempurnakan pada beberapa bidang. Akibatnya belum ada kepastian tentang payung hukum yang dapat secara tegas dan akurat dapat dipakai untuk melakukan penindakan terhadap pelaku tindak pidana cyber crime. Tidak hanya itu, saat ini juga terdapat kesan bahwa para pelaku usaha (perbankan) dan masyarakat pada umumnya kurang peduli terhadap proses penanganan kasus-kasus tindak pidana Internet Banking. Dan baru pada tahun 2008 disahkan menjadi undang-undang. Oleh karena itu, perlu dilakukan upaya-upaya menyeluruh dari semua pihak untuk menuju kearah yang lebih baik.
C. Perlindungan Hukum bagi Tindak Pidana Cyber Crime di Perbankan Internet banking merupakan salah satu pelayanan perbankan tanpa cabang, yaitu berupa fasilitas yang akan memudahkan nasabah untuk melakukan transaksi perbankan tanpa perlu datang ke kantor cabang. Layanan yang diberikan internet banking kepada nasabah berupa transaksi pembayaran tagihan, informasi rekening, pemindahbukuan antar rekening, infomasi terbaru mengenai suku bunga dan nilai tukar valuta asing, administrasi mengenai perubahan Personal Identification Number (PIN), alamat rekening atau kartu, data pribadi dan lain-lain, terkecuali pengambilan uang atau penyetoran uang. Karena untuk pengambilan uang masih memerlukan layanan ATM dan penyetoran uang masih memerlukan bantuan bank cabang.47
Praktek internet banking ini jelas akan mengubah strategi bank dalam berusaha. Setidaknya ada faktor baru yang bisa mempengaruhi pengkajian suatu bank untuk membuka cabang baru atau menambah ATM. Internet banking memungkinkan nasabah untuk melakukan pembayaran-pembayaran secara online. Internet banking juga memberikan akomodasi kegiatan perbankan melalui jaringan komputer kapan saja dan dimana saja dengan cepat, mudah dan aman karena didukung oleh sistem pengamanan yang kuat. Hal ini berguna untuk menjamin keamanan dan kerahasian data serta transaksi yang dilakukan oleh nasabah. Selain itu, dengan internet banking, bank bisa meningkatkan kecepatan layanan dan jangkauan dalam aktivitas perbankan. Dalam perkembangan teknologi perbankan seperti internet banking, pihak bank harus memperhatikan
47
www.lawskripsi.com publised. “Perlindungan Nasabah Bank dalam Penggunaan Fasilitas Internet Banking atas Terjadinya Cyber crime”. Diakses pada tanggal 3 Maret 2010.
aspek perlindungan nasabah khususnya keamanan yang berhubungan dengan privasi nasabah. Keamanan layanan online ada empat, yaitu keamanan koneksi nasabah, keamanan data transaksi, keamanan koneksi server, dan keamanan jaringan sistem informasi dari server. Selain itu, aspek penyampaian informasi produk perbankan sebaiknya disampaikan secara proporsional, artinya bank tidak hanya menginformasikan keunggulan atau kekhasan produknya saja, tapi juga sistem keamanan penggunaan produk yang ditawarkan.48
Pengamanan internet banking berupa pemakaian sistem firewall untuk pembatasan akses. Pengamanan berlapis ini, tentu saja ditambah dengan keamanan yang dipunyai oleh setiap nasabah berupa identitas pengguna (user ID) dan PIN. Ditambah lagi dengan program Secure Sockets Layer (SSL) 3.0 dengan sistem pengacakan 128 bit. Pengaman tersebut oleh bank disesuaikan dengan standar internasional.49
Meskipun demikian, masih banyak nasabah yang ragu menggunakan internet banking dengan berbagai alasan, beberapa diantaranya yaitu pertama mengenai kapasitas jaringan internet-nya, jika berjuta-juta orang mengakses bank yang sama dan dalam waktu yang bersamaan. Ada dua kemungkinan, nasabah akan kecewa mengira komputernya rusak atau sistem yang dibangun tidakmampu menampung serbuan transaksi tersebut. Alasan kedua adalah kenyamanan nasabah tidak maksimal dalam melakukan transaksi di internet.
48 Ibid 49
Nasabah bank biasanya tidak berani melakukan usaha terhadap uangnya yang tersimpan di kas bank. Kekhawatiran nasabah adalah takut salah tekan tombol sehingga uangnya melayang dari rekening. Terakhir mengenai sistem keamanan yang dibangun perbankan itu sendiri. Keamanan sistem informasi bisnis perbankan pada dasarnya merupakan bisnis yang berisiko tinggi. Terdapat sedikitnya 8 macam resiko utama yang berkaitan dengan aktivitas perbankan, yaitu strategi, reputasi, operasional (termasuk yang disebut resiko transaksi dan legal), kredit, harga, kurs, tingkat bunga, dan likuiditas. Di samping itu, penggunaan Teknologi Sistem Informasi (TSI) terdapat resiko yang bersifat teknis dan khusus, yang berbeda dengan penggunaan sistem manual. Resiko yang dimaksud antara lain resiko kekeliruan pada tahap pengoperasian, resiko akses oleh pihak yang tidak berwenang, resiko kehilangan atau kerusakan data.50
Berbagai upaya preventif memang telah diterapkan oleh kalangan perbankan di Indonesia yang menyelenggarakan layanan internet banking. Misalnya, dengan diberlakukannya fitur faktor bukti otentik kedua (two factor authentication) yang menggunakan token. Penggunaan token ini akan memberikan keamanan yang lebih tinggi dibandingkan bila hanya menggunakan nama nasabah pengguna layanan internet banking (username), PIN, dan password saja. Akan tetapi dengan adanya penggunaan token ini, tidak berarti transaksi internet banking bebas dari resiko.
Dalam praktek internet banking terdapat berbagai macam serangan atau ancaman bagi pihak pengguna dan penyedia layanan internet banking. Contohnya
50 Ibid
serangan seperti man in the middle attack dan trojan horses dapat mengganggu keamanan layanan. Gambaran umum dari aktifitas yang sering disebut man in the middle attack yaitu penyerang membuat sebuah website dan membuat nasabah pengguna layanan internet banking atau user masuk ke website tersebut. Agar berhasil mengelabui user, website tersebut harus dibuat semirip mungkin dengan website bank yang sebenarnya. Kemudian user memasukkan password-nya, dan penyerang kemudian menggunakan informasi ini untuk mengakses website bank yang sebenarnya. Untuk mengecoh token, penyerang dapat mengirimkan challenge-response kepada user sebelum melakukan transaksi illegal. Sedangkan, trojan horses adalah program palsu dengan tujuan jahat, yang disusupkan kepada sebuah program yang umum dipakai. Di sini para penyerang meng-install trojan kepada komputer user. Ketika user mulai login ke website banknya, penyerang menumpangi sesi tersebut melalui trojan untuk melakukan transaksi yang diinginkannya. Untuk mencegah serangan-serangan tersebut, bank penyedia layanan internet banking perlu melakukan sosialisasi aktif dan intensif kepada para nasabahnya mengenai penggunaan layanan jasa internet banking yang baik dan aman. Selain itu, diperlukan suatu ketentuan yang mengatur perbankan nasional yang memiliki pusat penyimpanan, melakukan proses data atau informasi dan transaksi perbankan. Serta perlu dibentuk sebuah unit kerja khusus atau divisi pengamanan dan pencegahan kejahatan perbankan di dalam struktur bank tersebut dan Bank Indonesia yang fungsinya untuk melakukan penerapan kebijakan pengamanan sistem, melakukan penelitian untuk pencegahan terhadap ancaman atau kejahatan yang sudah ada maupun yang mungkin terjadi dan melakukan
tindakan pemulihan (recovery) serta pemantauan transaksi perbankan selama 24 jam.51
Dalam rangka melakukan pengawasan terhadap perbankan, Bank Indonesia perlu melakukan audit terhadap sistem teknologi informasi dan komunikasi yang digunakan oleh perbankan untuk setiap kurun waktu tertentu. Serta melakukan training mengenai pemahaman dan pengendalian akses nasabah maupun pegawai perbankan tentang jaringan sistem internet banking, agar seluruh pegawai perbankan mengetahui bahwa merekapun juga dipantau. Juga diperlukan ketentuan (Peraturan atau UU) agar perbankan bertanggung jawab dengan mengganti uang nasabah yang hilang akibat kelemahan sistem pengamanan internet banking, misalnya perbankan lalai meningkatkan sistem pengamanan internet banking. Terakhir, perlu digunakan perangkat lunak seperti komputer deteksi untuk aktifitas rekening nasabah, agar apabila terjadi kejanggalan transaksi, seperti pengambilan uang nasabah yang melampaui jumlah tertentu, sehingga dapat ditangani dengan cepat. Perlunya sosialisasi aktif dari perbankan kepada masyarakat atau nasabah dan pegawai perbankan mengenai bentuk-bentuk kejahatan yang dapat terjadi dengan produk atau layanan yang disediakannya. Menambah persyaratan formulir identitas pada waktu pembukaan rekening baru untuk pemeriksaan pada data base yang menghimpun daftar orang bermasalah dengan institusi keuangan. Saat ini sudah terdapat teknologi dan peraturan hukum yang dapat membuat internet banking menjadi aman, akan tetapi pihak perbankan
51 Ibid
dan pemerintah perlu terus mengupayakan agar penyelenggaraan internet banking lebih aman dan terjamin.52
Terdapat beberapa hal yang dapat dilakukan pihak perbankan untuk meningkatkan keamanan internet banking misalnya melakukan standardisasi dalam pembuatan aplikasi internet banking. Contohnya, formulir internet banking yang mudah dipahami, sehingga user dapat mengambil tindakan yang sesuai, dan membuat buku panduan bila terjadi masalah dalam internet banking serta memberi informasi yang jelas kepada user.
Informasi merupakan hal yang sangat berharga bagi bank, mengingat bahwa bank merupakan lembaga kepercayaan. Oleh karena itu, pengamanan terhadap informasi tersebut baik dari penyalahgunaan yang disengaja ataupun pengungkapan informasi yang tidak bertanggung jawab serta bentuk-bentuk kecurangan lainnya sangat diperlukan. Sampai saat ini, pemerintah bersama Dewan Perwakilan Rakyat (DPR) terkesan sangat terlambat dalam melakukan antisipasi terhadap maraknya kejahatan yang terjadi melalui kegiatan internet banking. Bahkan dalam perkembangan terakhir, Rancangan Undang-undang (RUU) tentang Informasi dan Transaksi Elektronik yang telah stagnan selama 7 (tujuh) tahun dan seharusnya menjadi salah satu prioritas Program Legislasi Nasional (Prolegnas) tahun 2007, telah dikembalikan oleh DPR kepada pemerintah dengan alasan untuk disempurnakan pada beberapa bidang. Tetapi pada akhirnya RUU ITE tersebut disahkan dan dapat digunakan sebagai payung hukum yang dapat secara tegas dan akurat dapat dipakai untuk melakukan
52 Ibid
penindakan terhadap pelaku tindak pidana cyber crime. Tidak hanya itu, saat ini juga terdapat kesan bahwa para pelaku usaha perbankan dan masyarakat pada umumnya kurang peduli terhadap proses penanganan kasus-kasus tindak pidana internet banking. Maka perlu dilakukan upaya-upaya menyeluruh dari semua pihak untuk menuju ke arah yang lebih baik.
Dalam rangka perkembangan internet banking, pihak Bank Indonesia mengeluarkan regulasinya pada tahun 1995. Regulasi itu dituangkan dalam Surat Keputusan Direksi Bank Indonesia No. 27/164/KEP/DIR dan Surat Edaran Bank Indonesia No. 27/9/UPPB tentang Penggunaan Teknologi Sistem Informasi Perbankan keduanya tanggal 31 Maret 1995. Bersamaan dengan itu, Bank Indonesia juga mengeluarkan buku panduan Pengamanan Penggunaan Teknologi Sistem Informasi Oleh Bank sebagai lampiran dari SKDBI dan SEBI tersebut, juga dikeluarkannya PBI No. 9/15/PBI/2007 tentang Penerapan Manajemen risiko Dalam Penggunaan Teknologi Informasi oleh Bank Umum, Pedoman Penyelesaian Pengaduan Nasabah.
BAB IV
PENANGANAN CYBER CRIME DI SEKTOR PERBANKAN DI INDONESIA
A. Penyidikan Cyber crime di Sektor Perbankan
Penyidikan merupakan serangkaian tindakan penyidik dalam hal dan menurut cara yang diatur dalam Undang-Undang untuk mencari serta mengumpulkan bukti yang dengan bukti itu membuat terang tentang tindak pidana yang terjadi dan guna menemukan tersangkanya. Dalam memulai penyidikan tindak pidana Polri menggunakan parameter alat bukti yang sah sesuai dengan Pasal 184 KUHAP yang dikaitkan dengan segi tiga pembuktian/evidence triangle untuk memenuhi aspek legalitas dan aspek legitimasi untuk membuktikan tindak pidana yang terjadi. Adapun rangkaian kegiatan penyidik dalam melakukan penyidikan adalah Penyelidikan, Penindakan, pemeriksaan dan penyelesaian berkas perkara.53
1. Penyelidikan
Tahap penyelidikan merupakan tahap pertama yang dilakukan oleh penyidik dalam melakukan penyelidikan tindak pidana serta tahap tersulit dalam proses penyidikan mengapa demikian? Karena dalam tahap ini penyidik harus dapat membuktikan tindak pidana yang terjadi serta bagaimana dan sebab-sebab tindak pidana tersebut untuk dapat menentukan bentuk laporan polisi yang akan dibuat. Informasi biasanya didapat dari NCB/Interpol yang menerima surat pemberitahuan atau laporan dari negara lain yang kemudian diteruskan ke Unit
53
cyber crime/ satuan yang ditunjuk. Dalam penyelidikan kasus-kasus cyber crime yang modusnya seperti kasus carding metode yang digunakan hampir sama dengan penyelidikan dalam menangani kejahatan narkotika terutama dalam undercover dan control delivery. Petugas setelah menerima informasi atau laporan dari Interpol atau merchant yang dirugikan melakukan koordinasi dengan pihak shipping untuk melakukan pengiriman barang. Permasalahan yang ada dalam kasus seperti ini adalah laporan yang masuk terjadi setelah pembayaran barang ternyata ditolak oleh bank dan barang sudah diterima oleh pelaku, disamping adanya kerjasama antara carder dengan karyawan shipping sehingga apabila polisi melakukan koordinasi informasi tersebut akan bocor dan pelaku tidak dapat ditangkap sebab identitas yang biasanya dicantumkan adalah palsu.
Untuk kasus hacking atau memasuki jaringan komputer orang lain secara ilegal dan melakukan modifikasi (deface), penyidikannya dihadapkan problematika yang rumit, terutama dalam hal pembuktian. Banyak saksi maupun tersangka yang berada di luar yurisdiksi hukum Indonesia, sehingga untuk melakukan pemeriksaan maupun penindakan amatlah sulit, belum lagi kendala masalah bukti-bukti yang amat rumit terkait dengan teknologi informasi dan kode-kode digital yang membutuhkan SDM serta peralatan komputer forensik yang baik. Dalam hal kasus-kasus lain seperti situs porno maupun perjudian para pelaku melakukan hosting/ pendaftaran diluar negeri yang memiliki yuridiksi yang berbeda dengan negara kita sebab pornografi secara umum dan perjudian bukanlah suatu kejahatan di Amerika dan Eropa walaupun alamat yang digunakan berbahasa Indonesia dan operator daripada website ada di Indonesia sehingga kita
tidak dapat melakukan tindakan apapun terhadap mereka sebab website tersebut bersifat universal dan dapat di akses dimana saja. Banyak rumor beredar yang menginformasikan adanya penjebolan bank-bank swasta secara online oleh hacker tetapi korban menutup-nutupi permasalahan tersebut. Hal ini berkaitan dengan kredibilitas bank bersangkutan yang takut apabila kasus ini tersebar akan merusak kepercayaan terhadap bank tersebut oleh masyarakat. Dalam hal ini penyidik tidak dapat bertindak lebih jauh sebab untuk mengetahui arah serangan harus memeriksa server dari bank yang bersangkutan, bagaimana kita akan melakukan pemeriksaan jika kejadian tersebut disangkal oleh bank.
2. Penindakan
Penindakan kasus cyber crime sering mengalami hambatan terutama dalam penangkapan tersangka dan penyitaan barang bukti. Dalam penangkapan tersangka sering kali kita tidak dapat menentukan secara pasti siapa pelakunya karena mereka melakukannya cukup melalui komputer yang dapat dilakukan dimana saja tanpa ada yang mengetahuinya sehingga tidak ada saksi yang mengetahui secara langsung. Hasil pelacakan paling jauh hanya dapat menemukan IP Address dari pelaku dan komputer yang digunakan. Hal itu akan semakin sulit apabila menggunakan warnet sebab saat ini masih jarang sekali warnet yang melakukan registrasi terhadap pengguna jasa mereka sehingga kita tidak dapat mengetahui siapa yang menggunakan komputer tersebut pada saat terjadi tindak pidana. Penyitaan barang bukti banyak menemui permasalahan karena biasanya pelapor sangat lambat dalam melakukan pelaporan, hal tersebut membuat data serangan di log server sudah dihapus biasanya terjadi pada kasus deface, sehingga
penyidik menemui kesulitan dalam mencari log statistik yang terdapat di dalam server sebab biasanya secara otomatis server menghapus log yang ada untuk mengurangi beban server. Hal ini membuat penyidik tidak menemukan data yang dibutuhkan untuk dijadikan barang bukti sedangkan data log statistik merupakan salah satu bukti vital dalam kasus hacking untuk menentukan arah datangnya serangan.
3. Pemeriksaan
Penerapan pasal-pasal yang dikenakan dalam kasus cyber crime merupakan suatu permasalahan besar yang sangat merisaukan, misalnya apabila ada hacker yang melakukan pencurian data apakah dapat ia dikenakan Pasal 362 KUHP? Pasal tersebut mengharuskan ada sebagian atau seluruhnya milik orang lain yang hilang, sedangkan data yang dicuri oleh hacker tersebut sama sekali tidak berubah. Hal tersebut baru diketahui biasanya setelah selang waktu yang cukup lama karena ada orang yang mengetahui rahasia perusahaan atau menggunakan data tersebut untuk kepentingan pribadi. Pemeriksaan terhadap saksi dan korban banyak mengalami hambatan, hal ini disebabkan karena pada saat kejahatan berlangsung atau dilakukan tidak ada satupun saksi yang melihat (testimonium de auditu). Mereka hanya mengetahui setelah kejadian berlangsung karena menerima dampak dari serangan yang dilancarkan tersebut seperti tampilan yang berubah maupun tidak berfungsinya program yang ada, hal ini terjadi untuk kasus-kasus hacking. Untuk kasus carding, permasalahan yang ada adalah saksi korban kebanyakan berada di luar negeri sehingga sangat menyulitkan dalam melakukan pelaporan dan pemeriksaan untuk dimintai
keterangan dalam berita acara pemeriksaan saksi korban. Apakah mungkin nantinya hasil BAP dari luar negri yang dibuat oleh kepolisian setempat dapat dijadikan kelengkapan isi berkas perkara? Mungkin apabila tanda tangan digital (digital signature) sudah disahkan maka pemeriksaan dapat dilakukan dari jarak jauh dengan melalui e-mail atau messanger. Internet sebagai sarana untuk melakukan penghinaan dan pelecehan sangatlah efektif sekali untuk “pembunuhan karakter”. Penyebaran gambar porno atau email yang mendiskreditkan seseorang sangatlah sering sekali terjadi. Permasalahan yang ada adalah, mereka yang menjadi korban jarang sekali mau menjadi saksi karena berbagai alasan. Apabila hanya berupa tulisan atau foto-foto yang tidak terlalu vulgar penyidik tidak dapat bersikap aktif dengan langsung menangani kasus tersebut melainkan harus menunggu laporan dari mereka yang merasa dirugikan karena kasus tersebut merupakan delik aduan (pencemaran nama baik dan perbuatan tidak menyenangkan).
Peranan saksi ahli sangatlah besar sekali dalam memberikan keterangan pada kasus cyber crime, sebab apa yang terjadi didunia maya membutuhkan ketrampilan dan keahlian yang spesifik. Saksi ahli dalam kasus cyber crime dapat melibatkan lebih dari satu orang saksi ahli sesuai dengan permasalahan yang dihadapi, misalnya dalam kasus deface, disamping saksi ahli yang menguasai desain grafis juga dibutuhkan saksi ahli yang memahami masalah jaringan serta saksi ahli yang menguasai program.
4. Penyelesaian berkas perkara
Setelah penyidikan lengkap dan dituangkan dalam bentuk berkas perkara maka permasalahan yang ada adalah masalah barang bukti karena belum samanya persepsi diantara aparat penegak hukum, barang bukti digital adalah barang bukti dalam kasus cyber crime yang belum memiliki rumusan yang jelas dalam penentuannya sebab digital evidence tidak selalu dalam bentuk fisik yang nyata. Misalnya untuk kasus pembunuhan sebuah pisau merupakan barang bukti utama dalam melakukan pembunuhan sedangkan dalam kasus cyber crime barang bukti utamanya adalah komputer tetapi komputer tersebut hanya merupakan fisiknya saja sedangkan yang utama adalah data di dalam hard disk komputer tersebut yang berbentuk file, yang apabila dibuat nyata dengan print membutuhkan banyak kertas untuk menuangkannya, apakah dapat nantinya barang bukti tersebut dalam bentuk compact disc saja, hingga saat ini belum ada Undang-undang yang mengatur mengenai bentuk dari pada barang bukti digital (digital evidence) apabila dihadirkan sebagai barang bukti di persidangan.
B. Upaya Antisipasi Cyber crime di Sektor Perbankan Indonesia
Salah satu tugas pokok Bank Indonesia sebagaimana diamanatkan dalam UU No. 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah dengan UU No. 3 Tahun 2004 adalah mengatur dan mengawasi bank. Dalam rangka pelaksanaan tugas tersebut Bank Indonesia diberikan kewenangan sbb:
1. Menetapkan peraturan perbankan termasuk ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
2. Memberikan dan mencabut izin atas kelembagaan dan kegiatan usaha tertentu dari bank, memberikan izin pembukaan, penutupan dan pemindahan kantor bank, memberikan persetujuan atas kepemilikan dan kepengurusan bank.
3. Melaksanakan pengawasan bank secara langsung dan tidak langsung. 4. Mengenakan sanksi terhadap bank sesuai dengan ketentuan
perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di atas ditetapkan secara lebih rinci dalam Peraturan Bank Indonesia (PBI).
Terkait dengan tugas Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah melalui pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank Indonesia telah mengeluarkan serangkaian Peraturan Bank Indonesia dan Surat Edaran Bank Indonesia yang harus dipatuhi oleh dunia perbankan antara lain mengenai penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your Customer (KYC).54
a. Manajemen risiko dalam penyelenggaraan kegiatan internet banking Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang Penerapan
54
http://www.RYKERS.org, “Peranan Bank Indonesia dalam Pencegahan Kejahatan
Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
1. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan manajemen risiko pada aktivitas internet banking secara efektif.
2. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu kebijakan, prosedur dan pedoman tertulis dengan mengacu pada Pedoman Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat Edaran Bank Indonesia tersebut.
3. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet banking adalah:
b. Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi: 1. Komisaris dan direksi harus melakukan pengawasan yang efektif
terhadap risiko yang terkait dengan aktivitas internet banking, termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian untuk mengelola risiko tersebut.
2. Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
1. Bank harus melakukan langkah-langkah yang memadai untuk menguji keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang melakukan transaksi melalui internet banking.
2. Bank harus menggunakan metode pengujian keaslian transaksi untuk menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non repudiation) dan menetapkan tanggung jawab dalam transaksi internet banking.
3. Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
4. Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak akses (privileges) yang tepat terhadap sistem internet banking, database dan aplikasi lainnya.
5. Bank harus memastikan tersedianya prosedur yang memadai untuk melindungi integritas data, catatan/arsip dan informasi pada transaksi internet banking.
6. Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
7. Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan informasi penting pada internet banking. Langkah tersebut harus sesuai dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam database.
1. Bank harus memastikan bahwa website bank menyediakan informasi yang memungkinkan calon nasabah untuk memperoleh informasi yang tepat mengenai identitas dan status hukum bank sebelum melakukan transaksi melalui internet banking.
2. Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara tempat kedudukan bank menyediakan produk dan jasa internet banking.
3. Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan usaha yang efektif untuk memastikan tersedianya sistem dan jasa internet banking.
4. Bank harus mengembangkan rencana penanganan yang memadai untuk mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat menghambat penyediaan sistem dan jasa internet banking.
5. Dalam hal sistem penyelenggaraan internet banking dilakukan oleh pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan untuk mengelola hubungan bank dengan pihak ketiga tersebut.
b. Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia dalam rangka meminimalisir terjadinya tindak kejahatan internet fraud adalah pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah atau yang lebih dikenal dengan prinsip Know Your Customer (KYC). Pengaturan tentang penerapan prinsip KYC terdapat dalam Peraturan Bank Indonesia No. 3/10/PBI/2001 tentang Penerapan Prinsip Mengenal Nasabah (Know Your Customer Principles) sebagaimana telah diubah dengan Peraturan Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank Indonesia 6/37/DPNP tanggal 10 September 2004 tentang Penilaian dan Pengenaan Sanksi atas Penerapan Prinsip Mengenal Nasabah dan Kewajiban Lain Terkait dengan Undang-Undang tentang Tindak Pidana Pencucian Uang.
Pokok-pokok pengaturannya antara lain sbb:
1. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk mengetahui identitas nasabah, memantau kegiatan transaksi nasabah termasuk pelaporan transaksi yang mencurigakan.
2. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib: c. Menetapkan kebijakan penerimaan nasabah.
d. Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah. e. Menetapkan kebijakan dan prosedur pemantauan terhadap rekening
dan transaksi nasabah.
f. Menetapkan kebijakan dan prosedur manajemen risiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
3. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka: a. Sebelum melakukan hubungan usaha dengan nasabah, bank wajib
meminta informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan usaha yang akan dilakukan calon nasabah dengan bank, informasi lain yang memungkinkan bank untuk dapat mengetahui profil calon nasabah dan identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan dengan dokumen-dokumen pendukung dan bank wajib meneliti kebenaran dokumen-dokumen pendukung tersebut.
b. Bagi bank yang telah menggunakan media elektronis dalam pelayanan jasa perbankan wajib melakukan pertemuan dengan calon nasabah sekurang-kurangnya pada saat pembukaan rekening.
4. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa pihak lain (beneficial owner) untuk membuka rekening, bank wajib memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum, penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas beneficial owner, bank wajib menolak untuk melakukan hubungan usaha dengan calon nasabah.
5. Bank wajib menatausahakan dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5 (lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib melakukan pengkinian data
dalam hal terdapat perubahan terhadap dokumen-dokumen pendukung tersebut.
6. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi, menganalisa, memantau dan menyediakan laporan secara efektif mengenai karakteristik transaksi yang dilakukan oleh nasabah bank.
7. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan, rekening lain yang dimiliki, aktivasi transaksi normal dan tujuan pembukaan rekening.
8. Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya mencakup:
a. Pengawasan oleh pengurus bank (management oversight). b. Pendelegasian wewenang.
c. Pemisahan tugas.
d. Sistem pengawasan intern termasuk audit intern.
e. Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
9. Bank Indonesia melakukan penilaian terhadap pelaksanaan Prinsip Mengenal Nasabah/KYC dan Undang- Undang Tindak Pidana Pencucian Uang (UU TPPU) dimana penilaian tersebut dilakukan secara kualitatif atas faktor-faktor manajemen risiko penerapan KYC.
c. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan upaya meminimalisir internet fraud adalah regulasi mengenai penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu (APMK), mengingat APMK merupakan alat atau media yang sering digunakan dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005 tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
1. Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu prabayar dan atau yang dipersamakan dengan hal tersebut.
2. Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
3. Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan tingkat kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan kepercayaan masyarakat terhadap APMK.
4. Peningkatan keamanan tersebut dilakukan terhadap seluruh infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang meliputi
pengamanan pada kartu dan pengamanan pada seluruh sistem yang digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi mengenai transparansi informasi produk bank dan penggunaan data pribadi nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk internet fraud. Ketentuan tersebut terdapat dalam Peraturan Bank Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Pokok-pokok pengaturan dalam ketentuan tersebut antara lain sbb:
1. Bank wajib menerapkan transparansi informasi mengenai Produk Bank dan penggunan Data Pribadi Nasabah.
2. Bank dilarang memberikan informasi yang menyesatkan (mislead) dan atau tidak etis (misconduct).
3. Informasi Produk Bank tersebut, minimal meliputi: nama produk, jenis produk, manfaat dan resiko produk, persyaratan dan tatacara penggunaan produk, biaya-biaya yang melekat pada produk, perhitungan bunga atau bagi hasil dan margin keuntungan, jangka waktu berlakunya Produk Bank, penerbitan (issuer/originator) Produk Bank.
4. Bank wajib memberikan informasi kepada nasabah mengenai manfaat dan risiko pada setiap produk bank, dimana bank harus menjelaskan secara rinci manfaat dan risiko yang diperoleh nasabah dari suatu produk bank.
BAB V
KESIMPULAN DAN SARAN
A. Kesimpulan
1. Pengaturan tentang cyber crime di Indonesia tersebar dalam peraturan undangan yang ada, baik di dalam KUHP, maupun perundang-undangan lainnya, yakni Undang-undang Hak Cipta, Undang-undang Telekomunikasi, Undang-undang Dokumen Perusahaan, Undang-undang Pencucian uang, Undang-undang Pemberantasan Tindak Pidana Terorisme, dan yang terbaru adalah Undang-undang tentang Informasi dan transaksi elektronik.
a. Di dalam KUHP
1) Pasal 362 tentang pencurian 2) Pasal 378 tentang penipuan 3) Pasal 335 tentang pemerasan 4) Pasal 303 tentang perjudian 5) Pasal 282 tentang kesusilaan
b. Di dalam Undang-undang Hak Cipta terdapat dalam pasal 72 ayat (3) yaitu “Barang siapa dengan sengaja dan tanpa hak memperbanyak penggunaan untuk kepentingan komersial suatu program komputer dipidana dengan pidana penjara paling lama 5 (lima) tahun dan/ atau denda paling banyak Rp 500.000.000,00 (lima ratus juta rupiah) “.
c. Undang-undang Telekomunikasi, yakni di dalam Pasal 22, yaitu Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah, atau
memanipulasi:
1) Akses ke jaringan telekomunikasi 2) Akses ke jasa telekomunikasi
3) Akses ke jaringan telekomunikasi khusus
Apabila melakukan hal tersebut maka dapat dikenakan Pasal 50 yang berbunyi “Barang siapa yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 22, dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp600.000.000,00 (enam ratus juta rupiah)”
d. Undang-undang Dokumen Perusahaan,
Melalui Undang-undang ini, pemerintah berusaha untuk mengatur pengakuan atas mikrofilm dan media lainnya (alat penyimpan informasi yang bukan kertas dan mempunyai tingkat pengamanan yang dapat menjamin keaslian dokumen yang dialihkan atau ditransformasi-kan, misalnya Compact Disk - Read Only Memory (CD - ROM), dan Write - Once - Read - Many (WORM), yang diatur dalam Pasal 12 Undang-Undang tersebut sebagai alat bukti yang sah.
e. Undang-undang Pencucian uang,
Undang-Undang ini mengatur mengenai alat bukti elektronik atau digital evidence sesuai dengan Pasal 38 huruf b yaitu alat bukti lain
berupa informasi yang diucapkan, dikirimkan, diterima, atau disimpan secara elektronik dengan alat optic atau yang serupa dengan itu.
f. Undang-undang Pemberantasan Tindak Pidana Terorisme,
Undang-Undang ini mengatur mengenai alat bukti elektronik sesuai dengan Pasal 27 huruf b yaitu alat bukti lain berupa informasi yang diucapkan, dikirimkan, diterima, atau disimpan secara elektronik dengan alat optik atau yang serupa dengan itu.
g. Undang-undang tentang Informasi dan transaksi elektronik.
Muatan undang-undang ini jika dirangkumkan adalah sebagai berikut: 1) Tanda tangan elektronik memiliki kekuatan hukum yang sama
dengan tanda tangan konvensional (tinta basah dan bermaterai). Sesuai dengan e-ASEAN Framework Guidelines (pengakuan tanda tangan digital lintas batas)
2) Alat bukti elektronik diakui seperti alat bukti lainnya yang diatur dalam KUHP
3) UU ITE berlaku untuk setiap orang yang melakukan perbuatan hukum, baik yang berada di wilayah Indonesia maupun di luar Indonesia yang memiliki akibat hukum di Indonesia
4) Pengaturan Nama domain dan Hak Kekayaan Intelektual
5) Perbuatan yang dilarang (cybercrime) dijelaskan pada Bab VII (pasal 27-37)
2. Penanganan cyber crime di sektor perbankan bertumpu pada peranan penegak hukum dan sektor perbankan itu sendiri, khususnya bank sentral yang dalam hal ini adalah Bank Indonesia. Dari sisi penegakan hukumnya, kasus-kasus cyber crime harus dijerat melalui pasal-pasal pidana yang ada dalam peraturan perundang-undangan di Indonesia. Dalam hal ini dibutuhkan kemampuan dan keprofesionalan anggota penegak hukum yakni pihak kepolisian untuk dapat mengidentifikasi dan menangkap serta memproses para pelaku tindak pidana cyber crime perbankan ini. Sedangkan di sisi Bank Indonesia sendiri, upaya penanganan cyber crime dilakukan melalui penerapan peraturan-peraturan perbankan yang berfungsi untuk itu, yakni melalui penerapan manajemen risiko dalam penyelenggaraan kegiatan internet banking dan penerapan prinsip Know Your Customer (KYC)
D. Saran
1. Pengaturan tentang cyber crime seharusnya dapat dibuat secara lebih terkodifikasi, yakni dengan membuat suatu peraturan perundang-undangan yang mengatur secara jelas dan tegas mengenai cyber crime, khususnya di dalam sektor perbankan.
2. Dalam upaya penanganan cyber crime di sektor perbankan, sebaiknya tidak hanya dilakukan melalui upaya penerbitan dan pelaksanaan peraturan-peraturan semata, namun juga harus dibarengi dengan
peningkatan kualitas sumber daya manusia yang mampu mengantisipasi secara dini munculnya cyber crime di sektor perbankan ini
