Electronic Banking (e-banking) merupakan suatu aktifitas layanan
perbankan yang menggabungkan antara sistem informasi dan teknologi,
e-banking meliputi phone banking, mobile banking, dan internet banking.
Fungsi penggunaannya mirip dengan mesin ATM dimana sarananya saja yang
berbeda, seorang nasabah dapat melakukan aktifitas pengecekan saldo
rekening, transfer dana antar rekening atau antar bank, hingga
pembayaran tagihan-tagihan rutin bulanan seperti: listrik, telepon,
kartu kredit, dll.
Dengan memanfaatkan e-banking banyak keuntungan yang
akan diperoleh nasabah terutama apabila dilihat dari banyaknya waktu dan
tenaga yang dapat dihemat karena e-banking jelas bebas antrian dan
dapat dilakukan dari mana saja sepanjang nasabah memiliki sarana
pendukung untuk melakukan layanan e-banking tersebut.
Seorang nasabah akan dibekali dengan login dan kode akses ke situs web
dimana terdapat fasilitas e-banking milik bank bersangkutan.
Selanjutnya, nasabah dapat melakukan login dan melakukan aktifitas
perbankan melalui situs web bank bersangkutan. Sebenarnya e-banking
bukan barang baru di internet, tapi di Indonesia sendiri baru beberapa
tahun belakangan ini marak diaplikasikan oleh beberapa bank papan atas.
Konon ini berkaitan dengan keamanan nasabah yang tentunya menjadi
perhatian utama dari para pengelola bank disamping masalah infrastruktur
bank bersangkutan.
Keamanan memang merupakan isu utama dalam e-banking karena sebagaimana
kegiatan lainnya di internet, transaksi perbankan di internet juga rawan
terhadap pengintaian dan penyalahgunaan oleh tangan-tangan yang tidak
bertanggung jawab.
Sebuah situs e-banking diwajibkan untuk menggunakan standar keamanan
yang sangat ketat untuk menjamin bahwa setiap layanan yang mereka
sediakan hanya dimanfaatkan oleh mereka yang memang betul-betul berhak.
Salah satu teknik pengamanan yang sering dugunakan dalam e-banking
adalah melalui SSL (Secure Socket Layer) maupun lewat protokol HTTPS
(Secure HTTP).
BCA salah satu bank pelopor e-banking di Indonesia contohnya. BCA
menawarkan produk perbankan elektronik berupa KlikBCA, yang memberikan
kemudahan untuk melakukan transaksi perbankan melalui komputer dan
jaringan internet. KlikBCA dilengkapi dengan security untuk menjamin
keamanan dan kerahasiaan data dan transaksi yang dilakukan oleh nasabah.
Untuk menambah keamanan pihak bank melengkapi juga dengan KeyBCA, yaitu
alat pengaman tambahan untuk lebih mengamankan transaksi finansial di
KlikBCA. Alat ini berfungsi untuk mengeluarkan password yang selalu
berganti setiap kali melakukan transaksi finansial. Dengan demikian,
keamanan nasabah bertransaksi akan makin terjaga.
Dengan hadirnya e-banking tidak hanya nasabah saja yang mendapatkan
manfaat melainkan juga menciptakan efek manfaat yang lain bagi bank,
yakni meningkatkan pendapatan berbasis komisi atau biaya (fee based
income). Sebagian besar fee berasal dari layanan transaksi yang
ditawarkan e-banking, misalnya untuk pembayaran tagihan listrik dikenai
biaya Rp 2.500 per transaksi. Semakin sering nasabah bertransaksi lewat
e-banking, semakin banyak pula fee yang diperoleh bank. Belakangan ini
jenis pendapatan nonbunga tumbuh lebih cepat ketimbang pendapatan bunga.
Selain itu biaya operasional juga menjadi sangat murah dibandingkan
dengan biaya transaksi melalui kantor cabang, biaya di cabang relatif
lebih besar karena untuk membayar karyawan, pengamanan, listrik, dan
biaya sewa gedung. Dengan segala manfaat yang bisa didapat melalui
e-banking beberapa bank rela menanamkan investasi yang mahal untuk
mengembangkan e-banking. Akan tetapi tidak banyak bank yang bisa
mengembangkannya karena terbenturnya masalah biaya.
Keamanan Dalam Menggunakan Fasilitas E-Banking
Bagaimana Virus dan Phising digunakan untuk mengalahkan pengamanan
Token. Bagaimana caranya mengirimkan dokumen digital rahasia dengan
cepat, aman dan praktis ke alamat email rekan atau kolega bisnis, yang
mungkin sedang berada di Yogya dan tidak memiliki komputer dan
terkoneksi ke internet hanya dari warnet ? Kalau filenya di kompres
(zip) dan diberi password atau dokumen MS office di beri password dan
relatif mudah dibuka oleh orang yang tidak berhak dengan tools pembuka
password (password cracker) yang banyak tersedia di internet
(underground seperti www.astalavista.com). Dengan menggunakan dictionary
attack atau brute force hanya masalah waktu saja password tersebut akan
dapat ditemukan. Password Recovery Tools yang sering disalahgunakan
untuk membuka file orang lain yang dipassword
Salah satu cara yang lebih aman adalah mengenkrip file yang dikirim dan
lebih afdol lagi jika file tersebut diberikan time limit, sehingga
seperti film Mission Impossible, selewat dari waktu yang anda tentukan
file tersebut akan rusak (self destruct). Tetapi, diluar itu ada satu
hal krusial yang harus anda perhatikan dan jalankan dengan baik jika
ingin mendapatkan perlindungan sekuriti yang baik, karena meskipun
enkripsi sudah dilakukan, tetapi password ekripsi juga dikirimkan ke
alamat email yang sama. Ibarat kata Gito Rollies itu namanya “Sama Juga
Bohong”. Karena siapapun yang memiliki akses untuk mendapatkan file yang
anda kirim melalui email di tengah jalan sudah pasti memiliki akses
untuk mendapatkan email berikutnya yang berisi password. Lalu bagaimana
cara menghadapi masalah ini ?
Jawabannya “Two Factor Authentication” / T-FA. Seperti kita ketahui, ada
tiga faktor universal (“sesuatu”) yang digunakan untuk autentifikasi
individu. Pertama adalah “Sesuatu yang kamu tahu” seperti password, PIN
atau identitas yang ada didompet anda seperti nomor KTP, SIM dan Kartu
Mahasiswa. Kedua adalah “Sesuatu yang kamu miliki” seperti Handphone,
kartu kredit atau security token. Ketiga “Sesuatu yang ada di diri kamu”
seperti sidik jari, sidik retina atau biometrik lain.
Lalu bagaimana jawaban dari masalah di atas ? Mudah, setelah anda
melakukan “pekerjaan rumah” mengenkripsi file dengan baik dan aman
(gunakan Norman Privacy untuk mengenkripsi file dan membuat self
extracting exe dan memberi password pada dokumen yang ingin anda
enkripsi), kirimkan password dekripsi melalui media lain, seperti
telepon, SMS atau alamat website rahasia berisi password yang hanya anda
ketahui berdua.
Jika anda melakukan praktek ini, tingkat keamanan data anda menjadi
selevel dengan pengamanan yang dilakukan oleh Bank dalam melindungi
nasabahnya yang melakukan Internet Banking. Bahkan dibandingkan beberapa
bank di Indonesia yang hanya mengandalkan password dan tidak
mengandalkan Two Factor Authentication (T-FA), dokumen anda terlindung
jauh lebih aman.
Seberapa mampu teknologi mengamankan transaksi internet Banking anda ?
Bagaimana para kriminal mengeksploitasi hal ini ? Lalu bagaimana
sebaiknya anda bersikap ?
Seperti kita ketahui, sekuriti dengan kenyamanan berbanding terbalik.
Makin aman suatu transaksi, makin sulit di implementasikan.
Makin nyaman
suatu transaksi, makin mudah ditembus. Walaupun dalam beberapa kasus,
analisa dan kreativitas dari penyedia layanan internet banking dapat
memberikan keamanan dan kenyamanan pada tingkat yang dapat diserap
dengan baik oleh segala lapisan masyarakat sehingga dapat di
implementasikan dengan cepat dan baik. Tetapi ada satu “ground rule”
yang harus disadari oleh penyedia jasa internet banking, “Teknologi
selalu berkembang dan tidak ada satupun pengamanan yang kekal”. Dengan
kata lain, kriminal akan selalu mencari cara (dan berhasil) menembus
teknik pengamanan transaksi yang ada dan para penyedia jasa layanan
keamanan harus “selalu” mengikuti perkembangan dan melakukan teknik baru
dalam pengamanan transaksi.
Tools yang paling sering digunakan untuk menembus perlindungan internet
banking adalah malware. Seperti kita ketahui, ada program berbahaya yang
untuk merekam semua ketukan keyboard komputer yang anda (nasabah
internet banking) lakukan pada keyboard, yaitu key logger. Dengan key
logger, semua ketukan keyboard yang anda lakukan akan direkam dan
biasanya dimasukkan pada trojan horse yang menumpang pada game, virus
atau program gratisan yang anda download dari internet. Harga yang anda
bayar untuk program gratisan jika mengandung Trojan Horse yang berhasil
mengeksploitasi data rahasia anda bisa jauh lebih mahal daripada anda
membeli program original.
Lalu ada beberapa bank yang menggunakan papan keyboard virtual yang
muncul di layar komputer dengan susunan huruf dan angka yang
berubah-ubah setiap kali tampil dan nasabah memasukkan data / pin dengan
mengklik huruf atau angka yang terpampang di keyboard virtual
menggunakan mouse. Dengan trojan horse yang sama, kriminal dengan mudah
melakukan screen capture (Print Screen) sehingga dapat mengetahui
susunan keyboard virtual yang muncul setiap kali dan dengan menganalisa
waktu dan koordinat-koordinat dimana mouse di klik oleh user… voila
…..apapun di klik nasabah dengan mouse pada keyboard virtual akan dapat
diketahui.
Karena itu, salah satu perlengkapan yang harus dimiliki oleh nasabah
internet banking (must have) adalah program antivirus dan antispyware
yang handal yang mampu mendeteksi keylogger dan trojan horse yang
berbahaya.
Lalu, bagaimana kriminal menghadapi pengamanan Two Factor Authentication
seperti token pin yang mulai populer digunakan oleh bank ? Apakah sudah
aman dan tidak mungkin ditembus ?
Apakah internet banking anda dengan Token benar-benar aman ?
Pick enemy your own size, carilah musuh yang sepadan dengan anda. Kalau
Chris John yang masih juara dunia tinju sekalipun di “adu” dengan Mike
Tyson yang notabene bukan juara dunia tinju lagi. Tentunya Chris John
akan pikir-pikir melawan Mike Tyson. Mengapa ? Karena kelasnya berbeda.
Kalau Chris John juara dunia kelas bulu, sedangkan Mike merupakan eks
juara dunia kelas berat. Hal tersebut mirip jika kriminal berhadapan
head to head dengan server internet banking. Server tersebut dijaga
dengan berbagai pertahanan, firewall, team pemantau aktivitas etc.
Namun, tergantung tujuannya, apakah ingin membobol server internet
banking atau “mendapatkan uang” dari nasabah internet banking. Kalau
tujuannya membobol server internet banking, hal tersebut tidak dibahas
disini karena hanya komunitas hacker tertentu dengan skill yang diatas
rata-rata yang memiliki kemampuan dan jaringan untuk melakukan hal
tersebut.
Namun jika tujuannya adalah mendapatkan uang dari rekening internet
banking, maka pameo “pick enemy your own size” berlaku. Jadi, kriminal
akan memilih lawan dengan pertahanan yang lebih lemah dari server
internet banking di bank. Siapa itu ? Tidak lain dan tidak bukan adalah
pengguna internet banking.
Seperti kita ketahui, dalam penerapan sekuriti, salah satu hal kunci
dalam keberhasilan penerapan sekuriti adalah partisipasi “user”. Sebagai
gambaran, sekalipun sudah menggunakan program antivirus terkenal, suatu
jaringan komputer dengan mudah akan terinfeksi virus jika usernya
sering mengunjungi website porno atau crack. Sebaliknya, user yang
menggunakan antivirus gratisan sekalipun akan lebih jarang terinfeksi
virus jika menerapkan kebiasaan sekuriti yang baik seperti tidak
sembarangan melakukan full sharing, berhati-hati dalam melakukan
browsing dst.
Sebenarnya hal ini disadari sekali praktisi sekuriti oleh bank
penyelenggara internet bankingpun sudah melakukan pengamanan yang
memadai, salah satunya adalah dengan mengimplementasikan token (T-FA two
factor authentication). Tetapi tetap saja user merupakan titik terlemah
dalam sekuriti karena sudah menjadi hukumnya bahwa manusia itu unik
dengan 1001 kebiasaan dan latar belakang yang berbeda. Selain itu,
sesuai hukum piramida, persentase user internet banking yang tidak paham
/ perduli sekuriti jauh lebih besar dari jumlah user yang paham /
perduli sekuriti.
DNS cache poisoning dan website forging (Phising)
Salah satu teknik yang patut diwaspadai dalam berpotensi menembus
pertahanan internet banking dengan pengamanan Token adalah DNS cache
poisoning dan website forging. Website forging adalah pemalsuan website
yang dibuat sedemikian rupa sehingga pengakses percaya bahwa website
palsu yang diaksesnya adalah benar website bank yang bersangkutan dan
aman untuk melakukan transaksi.
DNS cache poisoning (DNS poisoning) adalah teknik “meracuni” DNS Server
untuk mengelabui pengguna internet untuk percaya bahwa website “palsu”
yang diaksesnya (yang dibuat benar-benar menyerupai website asli) adalah
website asli. Tetapi tentunya anda akan langsung bertanya, lho bukankah
DNS tersebut dimaintain oleh ISP dan tentunya dalam waktu singkat aksi
DNS poisoning ini terdeteksi dan dimentahkan.
Memang betul dan yang dimaksudkan disini bukan DNS poisoning pada DNS
server, tetapi DNS poisoning pada sasaran yang lebih kecil lagi, tetapi
tidak kalah berbahaya ….. DNS pada komputer user. Seperti kita ketahui,
OS komputer (baik XP maupun Vista) memiliki file “Host” yang berfungsi
sebagai “DNS server” bagi komputer yang bersangkutan. Jika file host
tersebut berhasil dimanipulasi, maka dengan mudah setiap akses ke
website internet banking akan diarahkan ke website palsu yang sudah di
program sedemikian rupa sehingga dapat mengelabui pengguna internet
banking ketika melakukan transaksi internet banking.
Tetapi tentunya anda bertanya, bagaimana dengan pengamanan ganda pada
internet banking yang menggunakan Token ? Bukankah angka PIN (Personal
Identification Number) tersebut merupakan one time PIN dan berubah-ubah
setiap kali pengguna komputer melakukan transaksi ?
Jika kita melihat sekilas kelihatannya pengamanan Token ini sangat aman
dan PIN internet banking yang berbeda untuk setiap pengguna, berubah
setiap kali (one time Password) sehingga sangat sulit diketahui kecuali
mendapatkan rumusannya dan memang hanya pemilik Token dan server
internet banking yang mengetahui PIN sehingga “hampir” tidak mungkin
untuk mengetahui PIN tersebut. Jangankan orang lain, pemilik Token saja
kalau lupa PIN Tokennya, sudah tidak ada harapan untuk berinternet
banking lagi
.
Tetapi dengan DNS poisoning dan website forging / phising ini, kriminal
tidak perlu mengetahui PIN dan pengguna internet banking yang akan
memasukkan semua data, baik username, password, account confirmation PIN
dan one time PIN.
Ambil contoh korban DNS poisoning ini melakukan logon ke rekening
internetnya. Karena sudah dialihkan, maka ia akan mengakses situs palsu
internet banking yang dibuat sedemikian rupa agar sama dengan situs
internet banking. Lalu si korban memasukkan Username dan Password yang
secara otomatis akan digunakan oleh server untuk login ke website
internet banking yang sebenarnya.
Disini Tahap Pertama pengaksesan
rekening sudah berhasil dijalankan.
Lalu bagaimana caranya mendapatkan uang dari korban internet banking ini
? Mudah saja, walaupun PIN tersebut merupakan one time PIN, tetapi PIN
tersebut tidak unik untuk setiap transaksi dan berlaku universal untuk
semua transaksi internet banking, baik pembayaran rekening telepon,
pembayaran asuransi, internet, listrik sampai dengan pengisian pulsa isi
ulang.
Ketika user melakukan transaksi, website palsu akan meminta one time PIN
yang harus dimasukkan dan one time PIN yang dimasukkan itu sekarang
dapat dipergunakan untuk kriminal untuk melakukan transaksi non transfer
(EG. pembelian pulsa isi ulang) karena transaksi transfer akan meminta
account confirmation PIN.
Bagaimana memanipulasi Host file ?
Pertanyaan lain yang tentunya timbul adalah, bagaimana caranya
memanipulasi host file dan seberapa besar kemungkinan terjadinya
manipulasi Host file tersebut ?
Secara teknis, manipulasi Host file Windows sangat mudah dan banyak
dilakukan oleh virus-virus lokal yang beredar di Indonesia. Ambil contoh
virus Wayang memanipulasi host file komputer korbannya dan
mengarahkannya setiap akses ke situs sekuriti seperti www.vaksin.com,
www.ansav.com, www.jasakom.com, www.vbbego.com ke localhost (127.0.0.1)
sehingga website-website sekuriti tersebut praktis tidak bisa diakses
komputer korban virus Wayang (lihat gambar). Bahayanya, kalau website
sekuriti ini dirubah menjadi website internet banking dan diarahkan
bukan ke localhost, tetapi IP website palsu (forging) di internet yang
telah dipersiapkan sebelumnya, tentunya akan banyak sekali korban
internet banking yang tidak menyadari kalau website internet bankingnya
sudah diarahkan ke alamat lain dan menjadi korban.
Peranan Bank Indonesia Dalam Pencegahan Kejahatan Penipuan Internet di Perbankan
Salah satu tugas pokok Bank Indonesia sebagaimana diamanatkan dalam UU
No. 23 Tahun 1999 tentang Bank Indonesia sebagaimana telah diubah dengan
UU No. 3 Tahun 2004 adalah mengatur dan mengawasi bank. Dalam rangka
pelaksanaan tugas tersebut Bank Indonesia diberikan kewenangan sbb:
1. Menetapkan peraturan perbankan termasuk ketentuan-ketentuan perbankan yang memuat prinsip-prinsip kehati-hatian.
2. Memberikan dan mencabut izin atas kelembagaan dan kegiatan usaha
tertentu dari bank, memberikan izin pembukaan, penutupan dan pemindahan
kantor bank, memberikan persetujuan atas kepemilikan dan kepengurusan
bank.
3. Melaksanakan pengawasan bank secara langsung dan tidak langsung.
4. Mengenakan sanksi terhadap bank sesuai dengan ketentuan perundang-undangan.
Pelaksanaan kewenangan tugas-tugas tersebut di atas ditetapkan secara
lebih rinci dalam Peraturan Bank Indonesia (PBI). Terkait dengan tugas
Bank Indonesia mengatur dan mengawasi bank, salah satu upaya untuk
meminimalisasi internet fraud yang dilakukan oleh Bank Indonesia adalah
melalui pendekatan aspek regulasi. Sehubungan dengan hal tersebut, Bank
Indonesia telah mengeluarkan serangkaian Peraturan Bank Indonesia dan
Surat Edaran Bank Indonesia yang harus dipatuhi oleh dunia perbankan
antara lain mengenai penerapan manajemen risiko dalam penyelenggaraan
kegiatan internet banking dan penerapan prinsip Know Your Customer
(KYC).
Penerapan prinsip Know Your Customer (KYC)
Upaya lainnya yang dilakukan oleh Bank Indonesia dalam rangka
meminimalisir terjadinya tindak kejahatan internet fraud adalah
pengaturan kewajiban bagi bank untuk menerapkan prinsip mengenal nasabah
atau yang lebih dikenal dengan prinsip Know Your Customer (KYC).
Pengaturan tentang penerapan prinsip KYC terdapat dalam Peraturan Bank
Indonesia No. 3/10/PBI/2001 tentang Penerapan Prinsip Mengenal Nasabah
(Know Your Customer Principles) sebagaimana telah diubah dengan
Peraturan Bank Indonesia No. 3/23/PBI/2001 dan Surat Edaran Bank
Indonesia 6/37/DPNP tanggal 10 September 2004 tentang Penilaian dan
Pengenaan Sanksi atas Penerapan Prinsip Mengenal Nasabah dan Kewajiban
Lain Terkait dengan Undang-Undang tentang Tindak Pidana Pencucian Uang.
Manajemen Penyelenggaraan Kegiatan E-Banking
1. Manajemen resiko dalam penyelenggaraan kegiatan internet banking
Peraturan yang dikeluarkan oleh Bank Indonesia terkait dengan
pengelolaan atau manajemen risiko penyelenggaraan kegiatan internet
banking adalah Peraturan Bank Indonesia No. 5/8/PBI/2003 tentang
Penerapan Manajemen Risiko Bagi Bank Umum dan Surat Edaran Bank
Indonesia No. 6/18/DPNP, tanggal 20 April 2004 tentang Penerapan
Manajemen Risiko Pada Aktivitas Pelayanan Jasa Bank Melalui Internet
(Internet Banking)
Pokok-pokok pengaturannya antara lain sbb:
a. Bank yang menyelenggarakan kegiatan internet banking wajib menerapkan
manajemen risiko pada aktivitas internet banking secara efektif.
b. Penerapan manajemen risiko tersebut wajib dituangkan dalam suatu
kebijakan, prosedur dan pedoman tertulis dengan mengacu pada Pedoman
Penerapan Manajemen Risiko pada Aktivitas Pelayanan Jasa Bank Melalui
Internet (Internet Banking), yang ditetapkan dalam lampiran dalam Surat
Edaran Bank Indonesia tersebut.
c. Pokok-pokok penerapan manajemen risiko bagi bank yang menyelenggarakan kegiatan internet banking adalah:
1) Adanya pengawasan aktif komisaris dan direksi bank, yang meliputi:
a) Komisaris dan direksi harus melakukan pengawasan yang efektif
terhadap risiko yang terkait dengan aktivitas internet banking,
termasuk penetapan akuntabilitas, kebijakan dan proses pengendalian
untuk mengelola risiko tersebut.
b) Direksi harus menyetujui dan melakukan kaji ulang terhadap aspek utama dari prosedur pengendalian pengamanan bank.
2) Pengendalian pengamanan (security control)
a) Bank harus melakukan langkah-langkah yang memadai untuk menguji
keaslian (otentikasi) identitas dan otorisasi terhadap nasabah yang
melakukan transaksi melalui internet banking.
b) Bank harus menggunakan metode pengujian keaslian transaksi untuk
menjamin bahwa transaksi tidak dapat diingkari oleh nasabah (non
repudiation) dan menetapkan tanggung jawab dalam transaksi internet
banking.
c) Bank harus memastikan adanya pemisahan tugas dalam sistem internet banking, database dan aplikasi lainnya.
d) Bank harus memastikan adanya pengendalian terhadap otorisasi dan hak
akses (privileges) yang tepat terhadap sistem internet banking, database
dan aplikasi lainnya.
e) Bank harus memastikan tersedianya prosedur yang memadai untuk
melindungi integritas data, catatan/arsip dan informasi pada transaksi
internet banking.
f) Bank harus memastikan tersedianya mekanisme penelusuran (audit trail) yang jelas untuk seluruh transaksi internet banking.
g) Bank harus mengambil langkah-langkah untuk melindungi kerahasiaan
informasi penting pada internet banking. Langkah tersebut harus sesuai
dengan sensitivitas informasi yang dikeluarkan dan/atau disimpan dalam
database.
3) Manajemen Resiko Hukum dan Risiko Reputasi
a) Bank harus memastikan bahwa website bank menyediakan informasi yang
memungkinkan calon nasabah untuk memperoleh informasi yang tepat
mengenai identitas dan status hukum bank sebelum melakukan transaksi
melalui internet banking.
b) Bank harus mengambil langkah-langkah untuk memastikan bahwa ketentuan
kerahasiaan nasabah diterapkan sesuai dengan yang berlaku di negara
tempat kedudukan bank menyediakan produk dan jasa internet banking.
c) Bank harus memiliki prosedur perencanaan darurat dan berkesinambungan
usaha yang efektif untuk memastikan tersedianya sistem dan jasa
internet banking.
d) Bank harus mengembangkan rencana penanganan yang memadai untuk
mengelola, mengatasi dan meminimalkan permasalahan yang timbul dari
kejadian yang tidak diperkirakan (internal dan eksternal) yang dapat
menghambat penyediaan sistem dan jasa internet banking.
e) Dalam hal sistem penyelenggaraan internet banking dilakukan oleh
pihak ketiga (outsourcing), bank harus menetapkan dan menerapkan
prosedur pengawasan dan due dilligence yang menyeluruh dan berkelanjutan
untuk mengelola hubungan bank dengan pihak ketiga tersebut.
2. Pokok-pokok pengaturannya antara lain sbb:
a. Prinsip Mengenal Nasabah adalah prinsip yang diterapkan bank untuk
mengetahui identitas nasabah, memantau kegiatan transaksi nasabah
termasuk pelaporan transaksi yang mencurigakan.
b. Dalam menerapkan Prinsip Mengenal Nasabah, bank wajib:
1) Menetapkan kebijakan penerimaan nasabah.
2) Menetapkan kebijakan dan prosedur dalam mengidentifikasi nasabah.
3) Menetapkan kebijakan dan prosedur pemantauan terhadap rekening dan transaksi nasabah.
4) Menetapkan kebijakan dan prosedur manajemen resiko yang berkaitan dengan penerapan Prinsip Mengenal Nasabah.
c. Terkait dengan kebijakan penerimaan dan identifikasi nasabah, maka:
1) Sebelum melakukan hubungan usaha dengan nasabah, bank wajib meminta
informasi mengenai identitas calon nasabah, maksud dan tujuan hubungan
usaha yang akan dilakukan calon nasabah dengan bank, informasi lain yang
memungkinkan bank untuk dapat mengetahui profil calon nasabah dan
identitas pihak lain dalam hal calon nasabah bertindak untuk dan atas
nama pihak lain. Identitas calon nasabah tersebut harus dibuktikan
dengan dokumen-dokumen pendukung dan bank wajib meneliti kebenaran
dokumen-dokumen pendukung tersebut.
2) Bagi bank yang telah menggunakan media elektronis dalam pelayanan
jasa perbankan wajib melakukan pertemuan dengan calon nasabah
sekurang-kurangnya pada saat pembukaan rekening.
d. Dalam hal calon nasabah bertindak sebagai perantara dan atau kuasa
pihak lain (beneficial owner) untuk membuka rekening, bank wajib
memperoleh dokumen-dokumen pendukung identitas dan hubungan hukum,
penugasan serta kewenangan bertindak sebagai perantara dan atau kuasa
pihak lain. Dalam hal bank meragukan atau tidak dapat meyakini identitas
beneficial owner, bank wajib menolak untuk melakukan hubungan usaha
dengan calon nasabah e-banking. Bank wajib menatausahakan
dokumen-dokumen pendukung nasabah dalam jangka waktu sekurang-kurangnya 5
(lima) tahun sejak nasabah menutup rekening pada bank. Bank juga wajib
melakukan pengkinian data dalam hal terdapat perubahan terhadap
dokumen-dokumen pendukung tersebut.
f. Bank wajib memiliki sistem informasi yang dapat mengidentifikasi,
menganalisa, memantau dan menyediakan laporan secara efektif mengenai
karakteristik transaksi yang dilakukan oleh nasabah bank.
g. Bank wajib memelihara profil nasabah yang sekurang-kurangnya meliputi
informasi mengenai pekerjaan atau bidang usaha, jumlah penghasilan,
rekening lain yang dimiliki, aktivasi transaksi normal dan tujuan
pembukaan rekening.
h.Bank wajib memiliki kebijakan dan prosedur manajemen risiko yang sekurang-kurangnya mencakup:
1) Pengawasan oleh pengurus bank (management oversight).
2) Pendelegasian wewenang.
3) Pemisahan tugas.
4) Sistem pengawasan intern termasuk audit intern.
5) Program pelatihan karyawan mengenai penerapan Prinsip Mengenal Nasabah.
3. Kegiatan Alat Pembayaran dengan Menggunakan Kartu dan Transparansi Produk Bank
Regulasi lainnya yang dikeluarkan oleh Bank Indonesia terkait dengan
upaya meminimalisir internet fraud adalah regulasi mengenai
penyelenggaraan kegiatan Alat Pembayaran dengan Menggunakan Kartu
(APMK), mengingat APMK merupakan alat atau media yang sering digunakan
dalam kejahatan internet fraud. Ketentuan mengenai penyelenggaraan APMK
terdapat dalam Peraturan Bank Indonesia No. 6/30/PBI/2004 tentang
Penyelenggaraan Kegiatan Alat Pembayaran Dengan Menggunakan Kartu dan
Surat Edaran Bank Indonesia No. 7/60/DASP, tanggal 30 Desember 2005
tentang Prinsip Perlindungan Nasabah dan Kehati-hatian, serta
Peningkatan Keamanan Dalam Penyelenggaraan Kegiatan Alat Pembayaran
Dengan Menggunakan Kartu.
Adapun pokok-pokok pengaturannya antara lain sbb:
a). Alat Pembayaran Dengan Menggunakan Kartu (APMK) adalah alat
pembayaran yang berupa kartu kredit, kartu ATM, kartu debet, kartu
prabayar dan atau yang dipersamakan dengan hal tersebut.
b). Bagi bank dan lembaga bukan bank yang merupakan penyelenggara APMK harus menyerahkan bukti penerapan manajemen risiko.
c). Penerbit APMK wajib meningkatkan keamanan APMK untuk meminimalkan
tingkat kejahatan terkait dengan APMK dan sekaligus untuk meningkatkan
kepercayaan masyarakat terhadap APMK.
d). Peningkatan keamanan tersebut dilakukan terhadap seluruh
infrastruktur teknologi yang terkait dengan penyelenggaraan APMK, yang
meliputi pengamanan pada kartu dan pengamanan pada seluruh sistem yang
digunakan untuk memproses transaksi APMK termasuk penggunaan chip pada
kartu kredit. Selain itu, Bank Indonesia juga mengeluarkan regulasi
mengenai transparansi informasi produk bank dan penggunaan data pribadi
nasabah, sebagai upaya untuk mengedukasi nasabah terhadap produk bank
dan meningkatkan kewaspadaan nasabah terhadap berbagai risiko termasuk
internet fraud. Ketentuan tersebut terdapat dalam Peraturan Bank
Indonesia No. 7/6/PBI/2005 Jo SE No. 7/25/DPNP tentang Transparansi
Informasi Produk Bank Dan Penggunaan Data Pribadi Nasabah.
Peraturan-peraturan
Ketentuan mengenai rahasia bank diatur dalam UU Perbankan dan kemudian
diatur lebih lanjut dalam Peraturan Bank Indonesia No. 2/19/PBI/2000
tentang Persyaratan dan Tata Cara Pemberian Perintah atau Izin Tertulis
Membuka Rahasia Bank. Berdasarkan ketentuan tersebut, pada prinsipnya
setiap Bank dan afiliasinya wajib merahasiakan keterangan mengenai
nasabah penyimpan dan simpanannya (Rahasia Bank). Sedangkan keterangan
mengenai nasabah selain sebagai nasabah penyimpan, tidak wajib
dirahasiakan.
Terhadap Rahasia Bank dapat disimpangi dengan izin terlebih dahulu dari
pimpinan Bank Indonesia untuk kepentingan perpajakan, penyelesaian
piutang bank oleh BUPN/PUPLN dan kepentingan peradilan perkara pidana
dimana status nasabah penyimpan yang akan dibuka rahasia bank harus
tersangka atau terdakwa. Terhadap Rahasia Bank dapat juga disimpangi
tanpa izin terlebih dahulu dari pimpinan Bank Indonesia yakni untuk
kepentingan perkara perdata antara bank dengan nasabahnya, tukar menukar
informasi antar bank, atas permintaan/persetujuan dari nasabah dan
untuk kepentingan ahli waris yang sah.
Dalam hal diperlukan pemblokiran dan atau penyitaan simpanan atas nama
seorang nasabah penyimpan yang telah dinyatakan sebagai tersangka atau
terdakwa oleh pihak aparat penegak hukum, berdasarkan ketentuan Pasal 12
ayat (1) PBI Rahasia Bank, dapat dilakukan sesuai dengan ketentuan
peraturan perundang-undangan yang berlaku tanpa memerlukan izin terlebih
dahulu dari pimpinan Bank Indonesia.
Namun demikian untuk memperoleh keterangan mengenai nasabah penyimpan
dan simpanan nasabah yang diblokir dan atau disita pada bank, menurut
Pasal 12 ayat (2) PBI Rahasia Bank, tetap berlaku ketentuan mengenai
pembukaan Rahasia Bank dimana memerlukan izin terlebih dahulu dari
pimpinan Bank Indonesia.
G. Urgensi Undang-Undang tentang Informasi dan Transaksi
Elektronik (UU ITE) dan Undang-Undang tentang Transfer Dana (UU Transfer
Dana)
Payung hukum setingkat undang-undang yang khusus mengatur tentang
kegiatan di dunia maya hingga saat ini belum ada di Indonesia. Dalam hal
terjadi tindak pidana kejahatan di dunia maya, untuk penegakan hukumnya
masih menggunakan ketentuan-ketentuan yang ada di KUHP yakni mengenai
pemalsuan surat (Pasal 263), pencurian (Pasal 362), penggelapan (Pasal
372), penipuan (Pasal 378), penadahan (Pasal 480), serta ketentuan yang
terdapat dalam Undang-Undang tentang Tindak Pidana Pencucian Uang dan
Undang-Undang tentang Merek.
Ketentuan-ketentuan tersebut tentu saja belum bisa mengakomodir
kejahatan-kejahatan di dunia maya (cybercrime) yang modus operandinya
terus berkembang. Selain itu dalam penanganan kasusnya seringkali
menghadapi kendala antara lain dalam hal pembuktian dengan menggunakan
alat bukti elektronik dan ancaman sanksi yang terdapat dalam KUHP tidak
sebanding dengan kerugian yang diderita oleh korban, misalnya pada kasus
internet fraud, salah satu pasal yang dapat digunakan adalah Pasal 378
KUHP (penipuan) yang ancaman hukumannya maksimum 4 (empat) tahun penjara
sedangkan kerugian yang mungkin diderita dapat mencapai miliaran
rupiah.
Terkait dengan hal-hal tersebut di atas, kehadiran Undang-Undang tentang
Informasi dan Transaksi Elektronik (UU ITE) dan Undang-Undang tentang
Transfer Dana (UU Transfer Dana) diharapkan dapat menjadi faktor penting
dalam upaya mencegah dan memberantas cybercrimes serta dapat memberikan
deterrent effect kepada para pelaku cybercrimes sehingga akan berfikir
jauh untuk melakukan aksinya. Selain itu hal yang penting lainnya adalah
pemahaman yang sama dalam memandang cybercrimes dari aparat penegak
hukum termasuk di dalamnya law enforcement.
Adapun Rancangan Undang-Undang (RUU) ITE dan RUU Transfer Dana saat ini
telah diajukan oleh pemerintah dan sedang dilakukan pembahasan di DPR
RI, dimana dalam hal ini Bank Indonesia terlibat sebagai narasumber
khususnya untuk materi yang terkait dengan informasi dan transaksi
keuangan.
Electronic Fund Transfer (EFT). Perpindahan “uang” atau “pinjaman” dari
satu rekening ke rekening lainnya melalui media elektronik.
Postingan
0 comments