KELAS A

TEKNOLOGI FINANCIAL (FINTECH)

STUDI KASUS:
BANK BSI
KELOMPOK 2
 ANGGOTA KELOMPOK

ARTANTI ZAHRA ADISA 2010611085

TATIANNA DANIELLA 2010611071
RACHEL FAYZA RABBANI 2010611111
TARIA HASNA SETYAWULANDARI 2010611079
RAHULA FAJAR 2010611095
KRONOLOGI
Layanan bank syariah terbesar di Indonesia dilaporkan sempat lumpuh selama
kurang-lebih lima hari, membuat kesal para nasabahnya. BSI mengatakan
seluruh layanan perbankan sudah berangsur normal dan pulih sejak Kamis 11
Mei 2023
ada indikasi gangguan di BSI adalah akibat serangan peretas alias hacker
karena sistem mengalami mati total selama beberapa hari.
Grup peretas asal Rusia, Lockbit, mengklaim bertanggung jawab atas
serangan siber yang melumpuhkan semua layanan BSI.
Dalam pengumuman yang diunggah ke dark web, mereka juga mengklaim
telah mencuri data sebanyak 1,5 terabyte, termasuk 15 juta data pribadi
nasabah dan pegawai — meliputi nama, nomor telepon, alamat, informasi
dokumen, isi rekening, nomor kartu, transaksi, dan masih banyak lagi.
KRONOLOGI
Mereka memberi tenggat 15 Mei pukul 21:09 UTC (16 Mei, 04:09 WIB) untuk
pihak BSI mengontak mereka. Bila tidak, mereka mengancam akan
membocorkan semua data tersebut.
Ini adalah jenis serangan siber yang biasa disebut ransomware. Peretas
mengenkripsi data-data berharga milik target kemudian meminta
sejumlah uang untuk membukanya kembali.
Serangan seperti ini biasanya dapat dimitigasi bila pihak yang diretas
memiliki cadangan data yang baik, namun beberapa geng hacker seperti
LockBit dan Conti mencuri data-data target sebelum mengenkripsi dan
meminta uang tebusan.
 Jika kasus yang dicurigai benar terjadi, maka Bank
BSI telah tidak memenuhi ketentuan "rahasia bank"
ANALISIS yang ada pada UU No. 10 Tahun 1998 tentang

BERDASARKAN
Perbankan (selanjutnya disebut UU PERBANKAN).
Pengertian terkait rahasia bank tercantum dalam
Pasal 1 Angka 28 UU Perbankan yang berbunyi
UU PERBANKAN sebagai berikut,

"Rahasia Bank adalah segala sesuatu yang

berhubungan dengan keterangan mengenai
nasabah penyimpan dan simpanannya."

Kemudian, pengaturan terkait rahasia bank itu

sendiri diatur pada Pasal 40 s/d Pasal 45 UU
Perbankan. Pada Pasal 40 UU Perbankan,
ditegaskan jika pihak bank WAJIB merahasiakan
segala keterangan nasabah penyimpan dan
simpanannya (kecuali dalam pada Pasal 41, Pasal
41A, Pasal 42, Pasal 43, Pasal 44, dan Pasal 44A),
serta berlaku juga bagi pihak terafiliasi.
Pada prinsipnya bank wajib memegang teguh atau menjaga kerahasiaan
mengenai keadaan keuangan nasabah penyimpan dan simpanannya,
namun dalam “keadaan tertentu” sebagaimana disebutkan dalam
ketentuan Pasal 41, Pasal 41A, Pasal 42, Pasal 43, Pasal 44 dan Pasal
44A UU Perbankan, bahwa bank dimungkinkan untuk memberikan data
dan informasi terkait nasabah tersebut.

Keadaan tertentu ataut pengecualian terhadap rahasia bank tersebut

dapat terjadi dalam hal-hal yang menyangkut kepentingan perpajakan,
penyelesaian piutang bank yang sudah diserahkan kepala BUPLN/PUPN,
peradilan perkara pidana, perkara perdata antara bank dengan nasabah
bank yang bersangkutan, tukar-menukar informasi antar bank,
penyelesaian kewarisan, dan bila atas permintaan maupun persetujuan
atau kuasa dari nasabah penyimpan.

Pada kasus ini jika terbukti telah terjadi kebocoran data pribadi, maka
Bank BSI telah lalai sebagai pihak Bank dalam menjalankan tugasnya,
yaitu menjaga "rahasia bank" itu sendiri. Dan membutuhkan adanya
peningkatan keamanan terhadap sistem banknya.
 Jika kasus yang dicurigai benar terjadi, maka Bank
BSI dalam hal ini juga dapat terjerat pasal yang
terdapat UU ITE, seperti pada Pasal 42 Ayat (1)
menyatakan kewajiban penyelenggara jasa
ANALISIS
telekomunikasi untuk merahasiakan informasi dan
BERDASARKAN apabila melanggar diancam pidana penjara
maksimal 2 (dua) tahun dan/atau denda maksimal

UU ITE Rp 200.000.000 (dua ratus juta rupiah).

Berdasarkan bunyi Pasal 42 Ayat (1) tersebut, Bank

BSI berperan sebagai penyelenggara pihak
komunikasi, sehingga mereka WAJIB merahasiakan
informasi-informasi nasabah.

Kemudian pada Pasal 3 UU ITE juga menjelaskan

harus ada prinsip kehati-hatian dan memberikan
tanggung jawab pihak korporasi maupuan
pemerintah yang dinyatakan sebagai Penyelenggara
Sistem Elektonik (PSE), yakni setidaktidaknya harus
andal, aman dan bertanggung jawab.
Jika kasus yang dicurigai benar terjadi, maka pelaku dapat terjerat
pasal-pasal yang terdapat pada UU ITE. Seperti berikut:

Pada Pasal 40 menyatakan setiap orang dilarang melakukan

penyadapan informasi yang diunggah lewat jaringan telekomunikasi
dalam bentuk apapun. Apabila melanggar ketentuan tersebut, akan
diancam pidana penjara maksimal 15 (lima belas) tahun.

Pasal 30 yang menjelaskan bahwa setiap orang dengan sengaja

dan melawan hukum mengakses komputer dan/atau sistem
elektronik orang lain untuk tujuan memperoleh informasi elektronik
dan/atau dokumen elektronik dengan melakukan pelanggaran,
penyusupan, penimpaan, atau pembobolan keamanan sistem dapat
dipidana. Pidana yang diberikan kepada pelaku adalah dengan
mendapatkan pidana penjara paling lama 6 (enam) sampai dengan
8 (delapan) tahun dan/atau denda paling banyak Rp 600.000.000,00
(enam ratus juta rupiah) sampai dengan Rp 800.000.000,00
(delapan ratus juta rupiah).
Kemudian jika pelaku pencurian data Bank BSI juga
memperjualbelikan hasil data retasan yang telah mereka
dapatkan maka pelaku dapat dikenakan Pasal 34 Ayat (1) UU
ITE yang menegaskan sebagai berikut:

Setiap Orang dengan sengaja dan tanpa hak atau melawan

hukum memproduksi, menjual, mengadakan untuk digunakan,
mengimpor, mendistribusikan, menyediakan, atau memiliki:
a. perangkat keras atau perangkat lunak Komputer yang
dirancang atau secara khusus dikembangkan untuk
memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal
27 sampai dengan Pasal 33;
b. sandi lewat Komputer, Kode Akses, atau hal yang sejenis
dengan itu yang ditujukan agar Sistem Elektronik menjadi dapat
diakses dengan tujuan memfasilitasi perbuatan sebagaimana
dimaksud dalam Pasal 27 sampai dengan Pasal 33.
 Indonesia mempunyai Undang-Undang (UU)
Perlindungan Dara Pribadi (PDP) yang telah disahkan
secara resmi pada September tahun lalu.
ANALISIS

BERDASARKAN Ditinjau melalui UU Perlindungan Data Pribadi,

apabila BSI terbukti bersalah, BSI bisa mendapatkan

UU PDP
sanksi administratif sesuai dengan Pasal 57 UU PDP
ayat 2 yang menyatakan:
(2) Sanksi administratif sebagaimana dimaksud
pada ayat (l) berupa:
a. peringatan tertulis;
b. penghentian sementara kegiatan pemrosesan
Data Pribadi;
c. penghapusan atau pemusnahan Data Pribadi;
dan/atau
d. denda administratif.
Selain itu, Pasal 70 UU PDP terdapat ketentuan pidana. Dalam
ketentuan itu, apabila tindak pidana dilakukan oleh korporasi,
maka pidana dapat dijatuhkan kepada pengurus, pemegang
kendali, pemberi perintah, pemilik manfaat, dan/atau korporasi.
Sementara, pidana yang dapat dijatuhkan terhadap korporasi
hanya pidana denda. Kemudian, pidana denda yang dijatuhkan
kepada korporasi paling banyak 10 kali dari maksimal pidana
denda yang diancamkan.

Namun sangat disayangkan sanksi tersebut belum bisa

dilakukan pada saat ini karena UU PDP baru akan berlaku penuh
setelah 2 tahun disahkan atau tepatnya pada Oktober 2024.
Selain itu, lembaga atau otoritas yang bertugas
menyelenggarakan pelindungan data pribadi belum dibentuk.
Lembaga ini nantinya berada di bawah Presiden dan
bertanggung jawab kepada Presiden.
 Meskipun KUHP tidak secara khusus mengatur
kasus kebocoran data seperti yang terjadi pada BSI,
namun masih ada pasal-pasal yang dapat relevan
dan dapat digunakan dalam kasus ini.
ANALISIS

BERDASARKAN Jika dilihat dalam KUHP maka kita tidak dapat

menemukan hal yang dapat menjerat BSI secara

KUHP langsung. Tetapi kita dapat menggunakan Pasal 114

KUHP untuk menjerat pihak yang bertanggung jawab,
yaitu BSI, dalam menjaga kerahasiaan data.

Pasal 114 KUHP mengatur tentang kesalahan atau

kelalaian seseorang yang menyebabkan surat-surat
atau benda-benda rahasia yang seharusnya menjadi
tugasnya untuk menyimpan atau menaruhnya,
diketahui oleh umum atau orang lain yang tidak
berwenang. Dalam kasus kebocoran data BSI, data
nasabah yang dianggap sebagai benda-benda
rahasia dapat menjadi objek yang dilindungi oleh
Pasal 114 KUHP.
Pasal 362 KUHP Mengatur tentang pencurian, yang dapat
diterapkan terhadap pelaku yang secara ilegal mengakses dan
mencuri data BSI. Dalam kasus kebocoran data, tindakan
memperoleh dan mengakses data nasabah tanpa izin yang sah
dapat dianggap sebagai tindakan pencurian, di mana data
tersebut merupakan "barang" yang dicuri. BSI yang secara tidak
sah memperoleh dan menggunakan data nasabah dapat dikenai
sanksi pidana berdasarkan Pasal 362 KUHP.

Pasal 372 KUHP mengatur tentang penggelapan, di mana setiap

orang yang dengan sengaja menggunakan atau memanfaatkan
barang yang diketahuinya atau patut diduga berasal dari tindak
pidana dapat dijerat dengan pidana penjara. Dalam konteks
kasus ini, data nasabah yang dicuri oleh hacker dapat dianggap
sebagai barang yang digelapkan.
 Regulasi

PENDAPAT KAMI UU No. 27/2022 tentang Pelindungan Data Pribadi

Latar belakang dibentuknya UU ini adalah dalam alinea-4

Pembukaan UUD 1945 disebutkan Pemerintah Indonesia
mempunyai kewajiban konstitusional ... melindungi segenap
bangsa Indonesia dan seluruh tumpah darah Indonesia ... dalam
konteks perkembangan teknologi, tujuan bernegara tersebut
diwujudkan dalam bentuk perlindungan data pribadi dari setiap
warga negara Indonesia.

Pengaturan data pribadi juga sudah diatur dalam beberapa

peraturan-peraturan lain diantaranya:
UU 10/1998 tentang Perbankan yang menentukan bahwa
bank sebagai pihak yang menawarkan jasanya sebagai
penyimpanan keuangan dan kegiatan keuangan lainnya
 harus merahasiakan keterangan terkait nasabahnya,
PENDAPAT KAMI penyimpanannya, dan simpanannya.
UU No.43/2009 tentang Kearsipan yang mengatur mengenai
arsip data-data nasabah dan pelanggan yang merupakan
WNI yang memiliki hak untuk dilindungi
UU No.8/1997 tentang Dokumen Perusahaan yang mengatur
mengenai dokumen berkaitan dengan data pribadi para
pengguna
UU No.36/2009 tentang Kesehatan yang dalam perannya
memiliki kedudukan hukum atas keamanan data pribadi
pasien
UU No.36/1999 tentang Telekomunikasi yang mengatur
berbagai macam tindakan yang kemungkinan berpeluang
membahayakan penggunaan data pribadi pelanggan dan
nasabah di sistem elektronik
PENDAPAT KAMI UU 24/2013 tentang Administrasi Kependudukan
UU 19/2016 tentang Perubahan atas UU No.11/2008 tentang
ITE
PP 82/2012 tentang Penyelanggaraan Sistem dan Transaksi
Elektronik
Peraturan Menteri Komunikasi dan Informasi No.20/2016
tentang Perlindungan Data Pribadi Dalam Sistem Elektronik
PP 71/2019 tentang Penyelenggaraan Sistem dan Transaksi
Elektronik
 RANSOMWARE
PENDAPAT KAMI
Ransomware adalah bentuk dari malware yang
mengenskripsi file korban.

Malware (malicious software) adalah perangkat

lunak (software) yang dirancang untuk
menyebabkan kerusakan pada satu komputer,
server, atau jaringan.
 RANSOMWARE
PENDAPAT KAMI Tujuan dari Ransomware untuk menyerang suatu
komputer, server, dan jaringan yang kemudian
penyerang meminta uang tebusan untuk
memulihkan akses ke data (enksripsi) setelah
pembayaran.

Pengguna akan diperlihatkan instruksi tentang

cara membayar biaya untuk mendapatkan kunci
dekripsi. Jika tidak dibayar biasanya penyerang
akan mengancam dengan menyebarkan data,
menjual data, atau memusnahkan data.

Enkripsi data adalah proses teknis yang

mengonversikan informasi menjadi kode rahasia,
sehingga mengaburkan data yang dikirim,
diterima, atau disimpan.
 SOLUSI DAN SARAN
PENDAPAT KAMI Dari pihak konsumen, konsumen dapat melakukan pengaduan ke BPKN (Badan
Perlindungan Konsumen Nasional). Bentuk tindak lanjut pengaduan sengketa
konsumen ke BPKN berupa saran untuk menyelesaikan sengketa, maupun saran dan
rekomendasi kepada pemerintah dalam menyusun kebijakan perlindungan
konsumen.

Dari pihak konsumen, konsumen dapat mengajukan gugatan perdata ke pengadilan

negeri sebagai Perbuatan Melawan Hukum (PMH) atas dasar kesalahan berdasarkan
ketentuan UU (1365 KUHPerdata), maupun atas dasar ketidakpatutan atau
ketidakhati-hatian (1366 KUHPerdata), atau berdasarkan UU ITE, atau UU PDP
 SOLUSI DAN SARAN
PENDAPAT KAMI Melalui Peraturan Presiden (Perpres) Nomor 53 Tahun 2017 tentang Badan Siber
dan Sandi Negara akhirnya Pemerintah membentuk lembaga yang
mengkoordinasikan semua kegiatan yang berkaitan dengan ancaman keamanan
siber.

BSSN mempunyai tugas melaksanakan keamanan siber secara efektif dengan

mengkoordinir semua unsur yang terkait dengan keamanan siber. Baik itu untuk
deteksi, pemantauan, penanggulangan, pemulihan, evaluasi, atas insiden atau
serangan siber.

BSSN harus meningkatkan kualitas SDMnya karena belum sepenuhnya mampu

menanggulangi serangan siber dari luar negeri. Contoh kasus selain BSI yaitu Bjorka.
THANK YOU