Penanganan bukti digital menjadi isu penting dalam era ekonomi digital. Selain menjadi tantangan bagi penegakan hukum, upaya merekam bukti digital oleh setiap penyelenggara sistem elektronik menjadi tantangan di depan mata yang harus dihadapi, terlebih di sektor jasa keuangan.
Pakar IT Universitas Gunadarma, I Made Wiryana, mengatakan bahwa bukti digital jauh lebih ringkih ketimbang bukti fisik atau otentik lainnya karena memerlukan standar khusus ketika menanganinya. Selama ini, penanganan bukti digital oleh penegak hukum atau perusahaan penyedia jasa masih belum seragam sehingga dikhawatirkan mengurangi nilai pembuktian itu sendiri. Padahal, pemerintah telah menyusun Standar Nasional Indonesia (SNI) untuk penanganan bukti digital (ISO 27037) yang semestinya dijadikan petunjuk teknis bagi pihak terkait.
“Pemerintah sudah mulai maju menangani digital forensik. Di Indonesia sudah ada standar nasional Indonesia (SNI) untuk penangangan bukti digital. [Nanti] akan ada lagi standar penyidikan digital yang sedang diolah dan sedang disepakati para Penegak Hukum untuk menjadi juknis,” kata Made kepada Hukumonline di Jakarta, Selasa (19/12).
Hanya saja, tidak semua penyelenggara sistem khususnya di sektor jasa keuangan punya sistem yang ‘ramah’ ketka dilakukan forensik digital atau tidak siap diaudit sehingga sistem tersebut tidak mampu memberikan rekam (logs) yang dapat dipakai penegak hukum sebagai salah satu alat bukti ke persidangan. Sistem yang tidak ‘forensic sound’, istilah bagi sistem yang tidak dibangun untuk forensik, kata Made, akan sangat sulit untuk mengambil bukti-bukti untuk kemudian disimpan selama proses berjalan.
Kelemahan lain dari sistem yang ‘tidak ramah forensik’, lanjut Made, sistem tersebut harus terlebih dulu dimatikan sebelum dilakukan audit sehingga bagi industri jasa keuangan hal tersebut sangat merugikan penyelenggara dan nasabah. Seharusnya, sistem yang wajib dimiliki bagi penyelenggara jasa keuangan termasuk penyelenggara financial technology atau fintech adalah sistem yang tergolong dependability.
“Menurut saya, kalau dia berikan layanan ke publik, ada yang namanya fungtionality, itu hanya berfungsi. Kedua, secure terdiri dari tiga, confidence, integrity, dan avaibility. Dan keempat sovereignity (kedaulatan) atau beberapa bergantung pada pihak lain. Dan yang terpenting dependability, yakni seberapa cepat untuk maintain, safety yang baik. Perbankan [atau jasa keuangan lain] harusnya di level dependability,” kata Made.
Selain itu, Made juga menyoroti penggunaan teknologi cloud oleh penyelenggara fintech dikhawatirkan akan berdampak terhadap aspek keamanan data. Meskipun penyedia cloud telah bersertifikat, namun Made menilai sertifikat ISO yang dikantongi terbatas semisal ISO 27000 series. Menurut Made, penyelenggara fintech semestinya membangun sistem dan database sendiri karena akses terhadap rekaman atau log dapat lebih mudah dibanding ketika menggunakan cloud.
“Apakah sistem yang dibangun teman-teman fintech sudah forensic sound? Kalau ada apa-apa bagaimana menelusurinya. Kalau tidak forensic sound, log tidak ada, tidak disimpan di dua tempat, log tidak di digital signature, baru timbul masalah. Tapi kalau dari awal sistem sudah forensic aware, log tidak pernah bisa diubah, log yang berubah bisa terjejaki, itu dalam sistemnya,” kata Made.
Direktur Kebijakan Publik Asosiasi Fintech Indonesia, M Ajisatria Suleiman, mengatakan soal standarisasi menjadi isu terkini di kalangan penyelenggara fintech terutama pasca OJK menerbitkan POJK No.77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi. Asosasi Fintech Indonesia sendiri berada di posisi mendukung penuh kebijakan pemerintah lantaran anggota asosiasi secara umum sadar pentingnya keamanan data bagi perusahaan digital.
“Posisi kita bukan untuk menurunkan standarisasi,” kata Aji kepada Hukumonline.
Hanya saja, kata Aji, Asosiasi Fintech Indonesia dalam beberapa diskusi punya pandangan kenapa standarisasi keamanan data oleh penyelenggara fintech diperbolehkan menerapkan sharing infrastructure, salah satunya dengan cloud. Penggunaan cloud sama sekali tidak akan mengurangi aspek keamanan data lantaran fintech dapat memilih penyedia cloud yang sudah bersertifikat. Sehingga, penyelenggara fintech cukup melampirkan bukti sertifikat tersebut kepada regulator sebagai bentuk kepatuhan pada regulasi.
“Cara yang paling baik untuk bisa jaga keamanan data tanpa menambah beban adalah memperbolehkan infrastruktur cloud. Kominfo minta ISO 27001 diterapkan di fintech, itu sama saja minta perusahaan fintech beli ‘Mercy’, ini kan boros. Daripada itu, lebih baik perbolehkan mereka (fintech) menyewa. Itukan konsep cloud, kita tidak buat infrastruktur tapi sewa infrastruktur,” kata Aji.
Patut dicatat, informasi atau dokumen elektronik sebagaimana Pasal 5 UU Nomor 11 Tahun 2008 ke dalam UU Nomor 19 Tahun 2016 tentang Perubahan Atas UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik (UU ITE) biasanya tidak berdiri sendiri. Lazimnya, informasi atau dokumen elektronik hanya akan mendokumentasikan sebagian peristiwa hukum tertentu dalam sebuah perikatan antara para pihak. Namun, hal itu sangat bergantung juga dari jenis sengketanya.
Dalam beberapa kasus, bukti elektronik tidak menjadi satu-satunya alat bukti dalam perkara yang berkaitan dengan transaksi keuangan. Tentunya, akan ada bukti transaksi lainnya yang bisa dipakai seperti misalnya transaksi yang melibatkan pihak lain atau setidaknya pihak lainnya itu mengetahui secara langsung bahwa ada perpindahan barang yang menjadi objek transaksi.
(Baca Juga: Bukti Elektronik Sering Kandas Akibat Frasa ‘nya’)
Dari transaksi yang melibatkan pihak lainnya itu, maka alat bukti lainnya bisa didapatkan. Ambil contoh misalnya, perbuatan hukum yang terdokumentasi itu biasanya disertai dengan alat bukti fisik dan melibatkan orang-orang yang melihat secara langsung atau bisa sebagai keterangan saksi.
Dalam praktiknya, juga masih sering terjadi kekeliruan sewaktu menghadirkan suatu bukti elektronik. Dalam persidangan, biasanya para pihak hanya membawa bukti elektronik berupa hasil capture (gambar) misalnya dari sebuah laman seperti Facebook atau E-mail yang berisikan informasi yang diduga melanggar tindak pidana. Sementara, Facebook atau E-mail yang dimaksud biasanya sudah tidak bisa diakses lantaran telah tidak aktif kembali (deactive).
Padahal, kunci utama dari sebuah bukti elektronik terdapat pada frasa ‘hasil cetakannya’. Pasal 6 UU Nomor 11 Tahun 2008 tegas menyebutkan bahwa setiap informasi/dokumen elektronik baru dianggap sah sebagai alat bukti sepanjang dapat diakes, ditampilkan, dijamin keutuhannya, dan dapat dipertanggungjawabkan sehingga menerangkan suatu keadaan.
Kekeliruan kedua, baik pengacara maupun penuntut umum biasanya menghadirkan bukti elektronik dengan membuka informasi atau dokumen elektronik yang asli secara langsung dengan membawa perangkat elektronik ke muka pengadilan. Padahal, kaidah ilmu forensik digital tegas melarang bukti asli elektronik dibuka dalam suatu persidangan.
Menurut SOP ilmu forensik, bukti elektronik baru bisa ditampilkan di muka pengadilan setelah data asli tersebut dilakukan kloning. Hasil kloning data yang telah dianalisa itulah yang disampaikan oleh ahli digital forensik di muka pengadilan. Data asli tidak dapat ditampilkan lantaran ketika perangkat elektronik itu dinyalakan, maka Log (catatan akses ke perangkat) akan berubah dimana hal itu berpengaruh terhadap nilai pembutian yang menjadi rendah. Namun, tidak ada kewajiban menghadirkan ahli digital forensik dalam setiap kasus yang berkaitan dengan informasi atau dokumen elektronik.
Untuk bisa memastikan bahwa suatu informasi atau dokumen elektronik dapat diakses, ditampilkan, dijamin keutuhannya, dan dapat dipertanggungjawabkan sehingga menerangkan suatu keadaan sebagaimana Pasal 6 UU Nomor 11 Tahun 2008, dapat dilakukan dengan menguji secara ilmiah bukti elektronik tersebut. Keberadaan ahli digital forensik dalam pembuktian suatu kasus yang berkaitan dengan bukti elektronik, mestinya dinilai sebagai sesuatu yang meningkatkan nilai pembuktian dari suatu alat bukti mengingat kompetensi dan kewenangan serta dukungan perangkat yang memadai dari ahli digital forensik.
Rawan Jadi Sarana Pencucian Uang dan Pendanaan Terorisme
Era ekonomi digital pun menjadi perhatian Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) karena berpotensi menjadi sarana penyalahgunaan untuk Tindak Pidana Pencucian Uang (TPPU) maupun pendanaan pidana terorisme.Wakil Kepala PPATK, Dian Ediana Rae mengatakan bahwa sejak tahun 2017 pihaknya telah membentuk divisi (desk) fintech dan cybercrime yang fungsinya melakukan pendalaman dan pengayaan pengetahuan sekaligus berkoordinasi dengan aparat penegak hukum lainnya.
“Pertumbuhan fintech yang begitu cepat perlu diantisipasi dengan tujuan untuk melindungi kepentingan konsumen terkait keamanan dana dan data serta kepentingan nasional terkait pencegahan pencucian uang, pendanaan terorisme, dan stabilitas sistem keuangan,” kata Dian.
Dian melanjutkan, pihaknya intens berkoordinasi dengan kementerian/lembaga teknis seperti Bank Indonesia dan OJK untuk memitigasi risiko-risiko yang mungkin muncul. Dari pertemuan yang dijalin, PPATK mengapresiasi lantaran OJK misalnya, telah memperbaharui beleid terkait APU-PPT melalui POJK Nomor 12/POJK.01/2017 tentang Penerapan Program Anti Pencucian Uang dan Pencegahan Pendanaan Terorisme di Sektor Jasa Keuangan.
PPATK berharap potensi besar perdagangan elektronik (e-commerce), peer to peer lending, dan model bisnis lain tidak dimanfaatkan pelaku pencucian uang lantaran ada celah hukum yang terbuka. Ekonomi digital begitu dinamis terlebih dengan tumbuhnya komoditas baru bernama Bitcoin, yang merupakan salah satu mata uang digital (cryptocurrency). Dian mengatakan, PPATK sejak awal 2017 telah mengamati perkembangan Bitcoin untuk melihat titik-titik rawan yang mungkin disalahgunakan.
Sepanjang pengamatan yang dilakukan PPATK, Dian menyebutkan memang ada sejumlah titik rawan yang dapat dipakai pelaku untuk melakukan pencucian uang bahkan pendanaan terorisme. Baik Bitcoin maupun fintech peer to peer lending, keduanya berpotensi dijadikan sarana TPPU dan pendanaan terorisme. Diang mengungkapkan, dari hasil identifikasi mengharuskan adanya pengaturan lebih lanjut untuk menjaga dua model bisnis tersebut dipakai untuk TPPU dan pendanaan terorisme. Sayangnya, Dian belum bisa menjelaskan lebih detil pengaturan seperti apa yang akan dilakukan.
“Kita sedang merumuskan, kami belum bisa publish. Titik-titik rawan sudah kita identifikasi, nanti tinggal regulasi di bagian ini. Kita kalau seandainya perlu, kita akan keluarkan Peraturan Kepala PPATK. Tapi seandainya cukup, oleh lembaga yang membawahi. Kalau dalam konteks integritas sistem keuangan, kita tidak bisa menunggu. Terkait integritas sektor keuangan, kita itu leading sektor, kita bisa lebih dulu. Kita tidak mungkin menunggu sampai sistem itu dimanfaatkan, kita harus preventif justru,” kata Dian.