TEMPO IMPACT - Industri perbankan nasional sempat menghadapi ujian serius pada 2025, ketika terjadi insiden gangguan keamanan digital yang menargetkan salah satu jalur pengolahan transaksi. Peristiwa tersebut tidak menyasar langsung rekening nasabah, melainkan menyusup ke lapisan perantara (middleware) yang menjadi bagian dari proses pengiriman dana antarbank.
Dari titik itu, dana dialihkan ke sejumlah rekening khusus dan sebagian kemudian dipindahkan ke aset kripto. Skema ini membuat pelacakan menjadi lebih kompleks karena dana berpindah dengan cepat ke berbagai kanal.
Scroll ke bawah untuk melanjutkan membaca
Memang, adanya transformasi digital membuat transaksi keuangan menjadi semakin cepat, mudah, dan terhubung. Namun dibalik kemudahan itu, keamanan menjadi fondasi utama yang tidak bisa ditawar.
Sebagai Regulator dan Pengawas Sistem Pembayaran, Bank Indonesia (BI) telah melakukan evaluasi terhadap insiden tahun lalu. “Hasil evaluasi terdapat celah di dalam infrastruktur Teknologi Informatika (TI) bank yang rentan dan berpotensi dieksploitasi oleh fraudster,” kata Kepala Departemen Surveillance Sistem Pembayaran dan Pelindungan Konsumen BI, Anton Daryono.
Kerentanan tersebut, kata Anton, telah diminta untuk diperbaiki sesuai dengan standar dan best practices yang berlaku dan digunakan oleh Penyelenggara Jasa Sistem Pembayaran (PSP). Menurut dia, dalam kerangka Principles for Financial Market Infrastructures (PFMI), BI mengelola risiko yang timbul dari peserta (participant-generated risk). “Karena itu, perhatian kami tidak hanya pada keamanan sistem inti, tetapi juga pada penguatan kontrol dan standar keamanan yang wajib dipenuhi oleh seluruh peserta.”
BI telah meminta bank yang mengalami insiden peretasan untuk melakukan sejumlah perbaikan terutama berkaitan dengan keandalan infrastruktur teknik informatika sistem pembayaran (TI SP) dan operasional layanan sistem pembayaran (SP). “Bank telah diminta untuk memperkuat aspek keamanan sistem informasi dan ketahanan siber mencakup penguatan tata kelola, pencegahan, pendeteksian, respons, dan pemulihan terkait insiden siber,” ujarnya.
Bank, lanjut dia, juga diminta untuk memperkuat pengelolaan terhadap pihak yang bekerja sama untuk penyelenggaraan SP. Perbaikan tersebut terus dimonitor oleh Bank Indonesia. Selain itu, BI juga terus melakukan penguatan ketentuan yang mengatur kepesertaan BI-FAST khususnya dari sisi keamanan.
Ketua Umum Perhimpunan Bank Nasional (PERBANAS) Periode 2024-2028, Hery Gunardi mengatakan, langkah-langkah yang dilakukan pihak bank adalah melakukan perbaikan dan pengembangan selaras dengan arahan regulator untuk meningkatkan tingkat keamanan secara efektif.
Berdasarkan Surat Edaran Otoritas Jasa Keuangan (SEOJK) Nomor 29/SEOJK.03/2022 tentang Ketahanan dan Keamanan Siber bagi Bank Umum, regulator telah menetapkan beberapa Matriks penilaian termasuk di antaranya: Matriks Penetapan Risiko Inheren terkait Keamanan Siber, Matriks Penetapan Kualitas Manajemen Risiko terkait keamanan Siber, Matriks Penetapan Kualitas Penerapan Proses Ketahanan Siber, Matriks Penetapan Tingkat Maturitas Keamanan Siber.
“Seluruh Matriks penilaian tersebut diatas merupakan proses yang berkesinambungan, terukur, diawasi, dan dilaporkan kepada pihak OJK sesuai dengan jadwal pelaporan yang telah ditetapkan. Langkah ini juga menjadi komitmen kami bersama dengan regulator untuk menciptakan kualitas dari layanan perbankan yang aman dan nyaman,” kata Hery.
Sementara itu, Ketua Asosiasi Sistem Pembayaran Indonesia (ASPI), Santoso Liem mengatakan, lembaga perantara transaksi keuangan sebagai Penyelenggara Infrastruktur Sistem Pembayaran (PIP) wajib menerapkan standar keamanan ketat sesuai perannya dalam menjembatani transaksi antarbank, termasuk dengan memenuhi sertifikasi standar keamanan internasional.
Menurut dia, keamanan pada lapisan middleware, baik antara lembaga perantara dengan Penyedia Jasa Pembayaran (PJP) maupun antara PJP dengan infrastruktur BI-FAST, harus mengacu pada standar yang sama agar tidak menimbulkan celah risiko dalam proses integrasi.
Lembaga perantara wajib memenuhi prinsip pengamanan serta peraturan yang dikeluarkan oleh BI. Auditor TI dan menjalani penetration test oleh auditor TI yang terdaftar di ASPI. “Lembaga perantara transaksi keuangan juga harus menerapkan fraud detection system untuk mendeteksi anomali transaksi dan segera menginformasikan kepada bank anggota yang terhubung, sehingga dapat dilakukan pencegahan atau penundaan transaksi bahkan hingga penutupan channel pembayaran,” ujarnya.
Sebagai mitra BI, kata Santoso, ASPI mendorong seluruh pemangku kepentingan untuk berpijak pada Peraturan Bank Indonesia (PBI) Nomor 2 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi Penyelenggara Sistem Pembayaran, Pelaku Pasar Uang dan Pasar Valuta Asing, serta Pihak Lain yang Diatur dan Diawasi Bank Indonesia; Peraturan Bank Indonesia Nomor 10 Tahun 2025 tentang Pengaturan Industri Sistem Pembayaran (PBI PISP); serta Peraturan Anggota Dewan Gubernur Nomor 32 Tahun 2025 tentang Pengaturan Industri Sistem Pembayaran. “Peraturan tersebut wajib diterapkan oleh seluruh pemangku kepentingan demi keamanan bersama di ruang transaksi digital kita. Jadi peraturan tersebut sudah cukup lengkap,” kata Santoso.
Ketua Dewan Komisioner OJK, Friderica Widyasari Dewi mengatakan, inovasi digital termasuk dalam sistem pembayaran dan layanan perbankan, memang mendorong efisiensi dan inklusi keuangan, namun pada saat yang sama juga menghadirkan risiko baru, termasuk kejahatan siber dan penipuan digital. Menurutnya, penguatan literasi digital, tata kelola teknologi informasi, serta sinergi antarotoritas menjadi kunci dalam mengantisipasi risiko tersebut.
“Kita ini bersinergi untuk membangun generasi muda yang bisa menjadi penerus untuk mempunyai inovasi-inovasi digital. Tapi tentu saja harus ada aspek perlindungan konsumennya juga. Terutama bagaimana mengantisipasi berbagai risiko yang muncul dari digitalisasi tersebut,” ujar dia.
OJK telah membentuk forum koordinasi kolaboratif yakni Indonesia Anti-Scam Center (IASC). Forum ini merupakan bagian dari upaya kolektif dalam mempercepat respons terhadap laporan penipuan digital serta memperkuat perlindungan konsumen di era transaksi berbasis teknologi.
Sementara itu, praktik baik untuk menjaga ruang transaksi digital yang aman juga diterapkan di berbagai negara, salah satunya Amerika Serikat. Di sana, bank dan lembaga keuangan menerapkan layered security controls dengan mengkombinasikan berbagai lapisan pencegahan, deteksi, dan mitigasi risiko dalam layanan perbankan digital. Analisis berbasis machine learning dan kecerdasan buatan (AI) digunakan untuk memantau pola transaksi secara real-time, sehingga aktivitas mencurigakan dapat terdeteksi lebih cepat.
Penguatan keamanan juga dilakukan melalui penerapan Multi-Factor Authentication (MFA) yang secara luas di sektor perbankan Amerika Serikat dan kini dipandang sebagai standar keamanan esensial. Dari sisi regulasi, perlindungan konsumen diperkuat melalui aturan seperti Electronic Fund Transfer Act (EFTA), yang memberikan perlindungan terhadap transaksi tidak sah selama pelaporan dilakukan tepat waktu.
Praktik global tersebut dapat menjadi cermin bagi Indonesia dalam memperkuat keamanan sistem pembayaran digital. Namun efektivitasnya tetap bergantung pada kesiapan infrastruktur, regulasi, serta kolaborasi antarpelaku di dalam negeri.
Lebih jauh, Kepala Badan Siber dan Sandi Negara (BSSN), Nugroho Sulistyo Budi menyatakan bahwa dalam konteks ekonomi dan transaksi digital, kemajuan teknologi harus diiringi aspek keamanan yang kuat, agar potensi ancaman dapat diantisipasi dan dimitigasi secara efektif.
“Ancaman terhadap penggunaan teknologi di dalam sistem perekonomian kita itu juga harus kita waspadai. Artinya, pengembangan sistem teknologi harus diiringi dengan pengembangan keamanan teknologinya,” ujarnya.
Pengamat Perbankan dan Praktisi Transaksi Pembayaran, Arianto Muditomo, mengatakan, prinsipnya praktik untuk meningkatkan keamanan transaksi digital yang diterapkan di negara lain dapat diadopsi di Indonesia. “Syaratnya, harus mendapatkan komitmen yang kuat dari pelaku industri,” ucapnya.
Selain itu, faktor sumber daya manusia menjadi aspek penting dalam pengamanan transaksi digital nasional. Konsumen harus meningkatkan kewaspadaan terhadap upaya penipuan dengan melindungi data pribadinya agar tidak disalahgunakan.
Arianto berharap kerja sama antarlembaga dapat diperkuat melalui IASC serta penegakan hukum yang bersandar pada Undang-Undang Informasi dan Transaksi Elektronik (UU ITE) dan Undang-Undang Pelindungan Data Pribadi (UU PDP) untuk mendorong efek jera bagi pelaku kejahatan siber. Inisiatif mewujudkan standar keamanan transaksi nasional juga tidak kalah penting guna mencegah kebocoran data pada pihak-pihak yang terlibat dalam alur transaksi.
Inisiatif menghadirkan fraud detection system berskala nasional dan bersifat interoperable juga menjadi langkah strategis, mengingat ekosistem transaksi digital kini terhubung secara nasional bahkan lintas negara, seiring penggunaan QRIS cross border di sejumlah negara.
Pertanyaannya kini bukan lagi ada atau tidaknya standar, melainkan kesiapan mengeksekusinya secara merata. Seberapa cepat anomali terbaca sebelum dana berpindah? Seberapa sigap respons di tiap simpul dari bank hingga lembaga perantara, terutama ketika serangan terjadi di lapisan yang tak terlihat? Di tengah konektivitas yang kian luas, termasuk lintas negara, apakah infrastruktur kita cukup matang untuk menjadikan standar global sebagai praktik, bukan sekadar kepatuhan? (*)
