KLINIK TERKAIT

Mengenal Macam-Macam Kejahatan Siber di Indonesia

05 Jul 2024

Bolehkah Perusahaan Mengakses E-mail Karyawannya?

22 Nov 2022

Tips Agar Anak Aman dari Kejahatan di Internet

27 Apr 2021

Bolehkah Pemerintah Memblokir Twitter di Indonesia?

08 Okt 2014

Terima kasih atas pertanyaan Anda.

Artikel ini adalah pemutakhiran dari artikel dengan judul sama yang dibuat oleh Lia Alizia/Brinanda Lidwina Kaliska dari Indonesia Cyber Law Community (ICLC) dan dipublikasikan pada 15 Oktober 2015.

Seluruh informasi hukum yang ada di Klinik hukumonline.com disiapkan semata – mata untuk tujuan pendidikan dan bersifat umum (lihat Pernyataan Penyangkalan selengkapnya). Untuk mendapatkan nasihat hukum spesifik terhadap kasus Anda, konsultasikan langsung dengan Konsultan Mitra Justika.

Pengertian dan Dasar Hukum Internet Banking

Internet Banking merupakan layanan yang diberikan oleh suatu bank pada nasabahnya. Layanan internet banking termasuk sebagai layanan digital sebagaimana diatur dalam POJK 21/2023. Berdasarkan Pasal 1 angka 4 POJK 21/2023, layanan digital adalah produk bank dalam bentuk layanan yang diberikan oleh bank dengan pemanfaatan teknologi informasi melalui media elektronik untuk memberikan akses bagi nasabah dan/atau calon nasabah terkait produk bank maupun produk dan/atau layanan dari mitra bank, serta dapat dilakukan secara mandiri oleh nasabah dan/atau calon nasabah.

Pihak yang dapat menyelenggarakan layanan digital adalah bank atau bank dengan mitra bank yang didasari dengan perjanjian kerja sama.[1] Bank yang menyelenggarakan layanan digital tersebut juga harus memenuhi infrastruktur teknologi informasi (“TI”) dan manajemen pengelolaan infrastruktur teknologi informasi yang memadai, yaitu mampu mendukung penyelenggaraan layanan digital secara optimal.[2]

Kemudian, menurut POJK 11/2022, bank yang memberikan layanan internet banking wajib memenuhi praktik atau standar yang berlaku baik secara nasional maupun internasional,[3] terutama dengan banyaknya keterlibatan digitalisasi yang mengharuskan bank untuk melaksanakan tata kelola teknologi informasi yang baik. Salah satu cara dalam menerapkan tata kelola teknologi informasi yang baik adalah dengan menerapkan manajemen risiko secara efektif dan menjaga ketahanan siber.[4]

Apabila bank yang tidak menerapkan pengelolaan yang memadai terhadap ketahanan siber, menurut hemat kami, tentu hal tersebut akan berdampak kepada nasabah.

Kemudian, dalam hal adanya pelanggaran oleh bank terhadap peraturan perundang-undangan, misalnya yang mengatur mengenai rahasia bank dan/atau pribadi nasabah, bank wajib melakukan tindakan tertentu.[5] Tindakan tertentu tersebut paling sedikit:[6]

1. melaporkan kepada Otoritas Jasa Keuangan (“OJK”) paling lama 3 hari kerja setelah kondisi sebagaimana dimaksud pada ayat (1) diketahui oleh bank;
2. memutuskan tindak lanjut yang akan diambil untuk mengatasi permasalahan termasuk penghentian penggunaan pihak penyedia jasa TI dalam hal diperlukan; dan
3. melaporkan kepada OJK paling lama 3 hari kerja setelah bank menghentikan penggunaan pihak penyedia jasa TI sebelum berakhirnya jangka waktu perjanjian, dalam hal bank memutuskan untuk menghentikan penggunaan pihak penyedia jasa TI.

Serangan terhadap Layanan Internet Banking

Adapun beberapa jenis serangan terhadap layanan internet banking antara lain phishing, man/malware in the browser (“MIB”), typosite, dan keylogger.[7]

Lebih lanjut, dalam Bab IV angka 4 SE OJK 29/2022, bank harus melakukan antisipasi terhadap seluruh insiden siber yang menggunakan mekanisme deteksi berupa antivirus, anti-malware alerts, log event alerts, dan perangkat pengaman. Oleh karena itu, bank yang melaksanakan deteksi insiden siber harus:

1. memastikan ketersediaan dokumentasi kinerja dasar (baseline performance);
2. memantau aktivitas yang dianggap mencurigakan, serta melaksanakan pengelolaan dan pengujian terhadap pada tahap deteksi;
3. melaksanakan pemantauan atau deteksi yang bertujuan untuk memastikan efektivitas upaya pelindungan;
4. memastikan bahwa adanya proses deteksi insiden siber yang memadai; dan
5. melakukan analisis dari suatu insiden siber untuk memastikan adanya penanganan yang efektif apabila adanya gangguan di kemudian hari.

Pada intinya, bank yang belum menerapkan tata kelola TI yang baik dalam penyelenggaraan TI berpotensi dikenakan sanksi administratif berupa teguran tertulis. Lalu, dalam hal bank telah diberikan teguran tertulis namun belum melakukan perbaikan, maka bank dapat dikenai sanksi administratif lainnya berupa:[8]

1. larangan untuk menerbitkan produk bank baru;
2. pembekuan kegiatan usaha tertentu; dan/atau
3. penurunan nilai faktor tata kelola dalam penilaian tingkat kesehatan bank.

Perlindungan Konsumen

Selanjutnya, berdasarkan Pasal 1 angka 1 UU Perlindungan Konsumen, perlindungan konsumen adalah segala upaya hukum yang menjamin adanya kepastian hukum untuk memberikan perlindungan terhadap konsumen. Seluruh bentuk kewajiban perbankan atas pelindungan konsumen diatur lebih lanjut melalui POJK 22/2023, termasuk kewajiban perbankan dalam menerapkan prinsip pelindungan konsumen pada sistem informasi dan ketahanan siber.[9]

Kemudian, bank sebagai Pelaku Usaha Jasa Keuangan (“PUJK”) dalam menyelenggarakan kegiatan usahanya wajib menerapkan prinsip-prinsip perlindungan konsumen, diantaranya:[10]

a. edukasi yang memadai,

b. keterbukaan dan transparansi informasi produk dan/atau layanan;

c. perlakuan yang adil dan perilaku bisnis yang bertanggung jawab;

d. pelindungan aset, privasi, dan data konsumen;

e. penanganan pengaduan dan penyelesaian sengketa yang efektif dan efisien;

f. penegakan kepatuhan; dan

g. persaingan yang sehat.

Dalam hal bank melakukan pelanggaran atas kewajiban penyediaan informasi produk dan/atau layanan yang diberikan serta kewajiban memastikan keamanan sistem informasi (termasuk pelindungan aset konsumen) yang diselenggarakan, bank berpotensi dikenakan sanksi administratif berupa:[11]

1. peringatan tertulis;
2. pembatasan produk dan/atau layanan dan/atau kegiatan usaha untuk sebagian atau seluruhnya;
3. pembekuan produk dan/atau layanan dan/atau kegiatan usaha untuk sebagian atau seluruhnya;
4. pemberhentian pengurus;
5. denda administratif;
6. pencabutan izin produk dan/atau layanan; dan/atau
7. pencabutan izin usaha.

Adapun sanksi denda dikenakan maksimal Rp15 miliar sebagaimana diatur dalam Pasal 3 ayat (5) POJK 22/2023.

Penyelesaian Pengaduan

Kemudian berkaitan dengan pengaduan, berdasarkan Pasal 69 ayat (2) POJK 22/2023, nasabah dapat mengajukan pengaduan kepada bank, khususnya melalui Layanan Pengaduan yang memiliki ruang lingkup terdiri atas:

1. penerimaan pengaduan;
2. penanganan pengaduan; dan
3. penyelesaian pengaduan.

Kemudian, penerimaan pengaduan diatur dalam Pasal 70 POJK 22/2023 dimana bank wajib untuk menerima dan menindaklanjuti pengaduan yang diajukan oleh nasabah, baik secara tertulis maupun lisan.[12] Pengajuan pengaduan yang dilakukan secara tertulis harus memenuhi dokumen yang dipersyaratkan termasuk:[13]

1. identitas nasabah;
2. jenis dan tanggal pemanfaatan produk dan/atau layanan;
3. permasalahan yang diadukan; dan
4. dokumen lain, jika dibutuhkan.

Terlebih lagi, pengajuan pengaduan yang dilaksanakan secara lisan harus disertai dengan konfirmasi penerimaan pengaduan dari bank, yang paling sedikit harus memberikan informasi mengenai nomor registrasi pengaduan dan tanggal penerimaan pengaduan.[14]

Sebagai informasi, bank memiliki kewajiban untuk menindaklanjuti dan menyelesaikan pengaduan tersebut dalam jangka waktu masing-masing 5 hari sejak pengaduan tersebut diterima oleh bank untuk pengaduan lisan,[15] dan 10 hari kerja sejak dokumen tersebut diterima untuk pengaduan tertulis.[16]

Jika terbukti adanya kesalahan, kelalaian, atau perbuatan yang bertentangan pada peraturan perundang-undangan di sektor jasa keuangan atau menurut perjanjian yang dilaksanakan, baik yang dilakukan oleh direksi, dewan komisaris, pegawai, dan/atau dilakukan oleh pihak ketiga yang bekerja untuk atau mewakili kepentingan bank yang menyebabkan adanya kerugian dan/atau potensi kerugian konsumen, maka bank wajib memberikan tanggapan dalam bentuk penawaran penyelesaian.[17] Contoh dari penawaran penyelesaian adalah penyampaian pernyataan maaf dan penawaran ganti rugi (redress/remedy).[18]

Namun, apabila setelah pelaksanaan penanganan pengaduan tidak menghasilkan sebuah kesepakatan yang dilakukan oleh bank, lebih lanjut konsumen dapat:[19]

1. menyampaikan  pengaduan  kepada  OJK  untuk  penanganan  pengaduan  sesuai dengan kewenangan OJK; atau
2. mengajukan  sengketa  kepada  Lembaga Alternatif Penyelesaian Sengketa (“LAPS”) yang mendapat persetujuan dari OJK atau kepada pengadilan.

Dari pembahasan di atas, dapat kami simpulkan nasabah yang mengalami kerugian uang akibat virus saat menggunakan internet banking dapat mengajukan permintaan ganti rugi kepada bank. Hal ini mengacu pada kewajiban bank untuk melindungi nasabah dari risiko keamanan seperti insiden siber. Jika bank tidak memberitahu nasabah tentang risiko penggunaan internet banking sesuai aturan transparansi informasi, bank dapat dikenai sanksi administratif berupa peringatan tertulis hingga denda. Lebih lanjut, perlindungan konsumen dalam hal ini juga menjadi penting, dimana bank memiliki tanggung jawab untuk menanggapi pengaduan nasabah secara efektif dan memberikan penyelesaian jika terbukti terjadi kesalahan atau kelalaian yang menyebabkan kerugian. Jika penanganan pengaduan oleh bank tidak memuaskan, nasabah dapat mengajukan penyelesaian sengketa kepada LAPS atau pengaduan kepada OJK sesuai dengan kewenangannya.

Perkaya riset hukum Anda dengan analisis hukum terbaru dwibahasa, serta koleksi terjemahan peraturan yang terintegrasi dalam Hukumonline Pro, pelajari lebih lanjut di sini.

Demikian jawaban dari kami, semoga bermanfaat.

Otoritas Jasa Keuangan. Bijak Ber-Electronic Banking. Jakarta: Otoritas Jasa Keuangan, 2015.