- RHA| Makassar
VIVA.co.id - Maraknya pembobolan yang menyasar bank-bank kelas besar di Indonesia, patut menjadi perhatian sendiri. Publik pun mempertanyakan, bagaimana sebenarnya tingkat keamanan perbankan yang demikian kuat bisa terjadi kebobolan.
Menurut Pakar IT (Information Technology) Universitas Dian Nuswantoro (Udinus) Semarang, Jawa Tengah, Solichul Huda, sedikitnya ada tiga modus pembobolan rekening nasabah bank. Tiga modus tersebut, merupakan skandal kejahatan tingkat elite di dunia perbankan yang melibatkan orang dalam di bank.
Hal itu diungkapkan, menanggapi adanya pemberitaan dugaan pembobolan rekening senilai Rp8 miliar milik nasabah atas nama Sri Rahayu Binti Soemoharmanto di PT Bank Mandiri Tbk, Jalan Pemuda No 73 Semarang, yang menyeruak belakangan.
Pakar IT yang juga kandidat Doktor Ilmu Komputer Institut Teknologi Sepuluh November (ITS) Surabaya, Bidang Penelitian Cyber Crime Kejahatan Perbankan itu beranggapan, baik kepolisian, Otoritas Jasa Keuangan, dan Bank Indonesia sebaiknya bekerja sama untuk menyelamatkan nasabah dan nama baik bank dengan memberi informasi yang jelas kepada nasabah yang dirugikan dan publik.
"Sebaiknya, BI proaktif memberikan izin ke pihak kepolisian untuk penyidikan terhadap data nasabah, dengan tujuan melindungi dan menyelamatkan nasabah," tuturnya.
Dalam kasus itu, katanya, pihak bank tidak salah dari segi transaksi. Sebab, kejadian penarikan rekening terjadi dalam kurun waktu 2000-2004, di mana pemilik rekening masih hidup. Kemungkinan besar yang melakukan penarikan adalah pemilik rekening sendiri.
"Dan bank, saya kira sudah mematuhi peraturan, di mana pengambilan di atas Rp500 juta mesti ada keterangan dari nasabah, yang menjadi alasan nasabah menarik uangnya," tuturnya.
Sebaiknya, pihak bank tinggal menunjukkan data transaksi dan dokumen pendukung ke ahli waris pemilik rekening, urusan selesai. Yang menjadi pertanyaan terbesar, lanjutnya, bagi publik sekarang adalah, apakah pihak bank melakukan Standard Operating Procedure (SOP) pengambilan dan penyimpanan uang di tabungan?
"Jika pihak bank berbelit-belit dan tidak sesegera mungkin memberikan penjelasan, publik biasanya akan berpendapat bahwa bank tidak mematuhi SOP. Dan, ini sangat merugikan bank," tegasnya.
Selain itu, lanjutnya, pembobolan rekening dalam kasus ini dapat dilakukan dalam tiga modus. Kemungkinan pertama, terlapor, atau pemilik rekening melakukan transfer saldo dari rekening yang disengketakan ke rekening lain sesama Bank Mandiri.
"Hal ini, dibuktikan dengan cetak transaksi pada periode 2000-2004. Dalam masalah ini, bank tidak bisa disalahkan jika yang melakukan penarikan adalah atas nama pemilik rekening, atau orang lain yang diberi kuasa, yang kemungkinan terlapor merupakan anak kandung," ungkapnya.
Namun, bank juga mewajibkan nasabah tersebut mengisi formulir, yang menjelaskan tujuan pengambilan uang yang nominalnya di atas Rp500 juta. "Kalau kejadiannya seperti ini, bank tidak salah. Walaupun yang mengambil adalah anak, atau orang lain yang diberi kuasa, karena SOP-nya tidak ada larangan pengambilan dilakukan oleh orang yang diberi kuasa yang sah menurut hukum. Sehingga, kalau modusnya seperti ini, pelapor tinggal melaporkan terlapor ke polisi," katanya.
Modus kedua, ada operator yang mempunyai user lebih dari satu dengan tingkat otoritas yang lebih tinggi. Misalnya, operator tersebut memiliki dua kode user, contohnya KDOPR001 dan KDSPV010.
"Ketika staf melakukan input transaksi penarikan, dia menggunakan user dengan kode KDOPR001 dan memvalidasi transkasi tersebut, dengan user yang berkode KDSPV010. Maka transaksi yang di atas Rp500 juta bisa dilakukan oleh satu orang," jelasnya.
Dia pun menyebut, kepemilikan dua kode bisa terjadi jika ada kerja sama antara user dengan supervisor, atau kerja sama dengan tenaga IT di bank tersebut, bisa programmer, atau adminnya.
"Ini yang biasanya membuat bank menjadi seperti makan buah simalakama. Jika pelaku ditangkap dan publik tahu, bisa jadi terjadi penarikan besar-besaran, karena hilangnya kepercayaan nasabah. Di sisi lain, kalau tidak disampaikan ke publik, nama baik bank juga menjadi taruhannya." ujarnya.
Modus ketiga, kata dia, ini yang paling ekstrem. Ada kerja sama antara penarik rekening dengan admin, atau programmer (IT) bank. Mereka yang paling tahu bagaimana membuat transaksi rekening, enkripsi saldo, dan data nasabah.
"Dan parahnya lagi, jika mereka juga menghapus semua jejak, misalnya tidak dicantumkan kode operator yang melakukan transaksi dan kode supervisor yang memvalidasi," tuturnya.
Kalau mereka melakukan dengan modus ini, masih kata Solichul, satu-satunya cara dengan menganalisis event logs tabungan. Event logs adalah file log yang diisi otomatis oleh sistem, yang berisi informasi tentang proses yang dilakukan, user yang aktif, tanggal, dan jam transaksi.
"Hasil analisis terhadap event logs akan memberikan petunjuk siapa pelaku pembobolan rekening ini," jelas pakar IT tersebut.
Menurutnya, sebetulnya tidak ada kesulitan apa pun buat pihak bank untuk membuka data 10-14 tahun yang lalu. Memang untuk menjaga performa sistem perbankan, biasanya bank akan menghapus data transaksi yang berumur di atas 10 tahun.
"Namun, mereka biasanya mem-backup (cadangan) data dalam tiga macam, yaitu backup harian, backup bulanan, dan backup tahunan. Kalau ada keinginan yang kuat untuk menjaga kredibilitas mereka, bank semestinya merestorisasi data mereka pada backup data tahun 2005 dan menampilkan data yang dapat menjelaskan kepada pelapor, penyidik maupun BI, atau OJK. Dari data transaksi tersebut akan diketahui siapa yang menarik rekening, operator yang melakukan transaksi dan pimpinan bank yang memberi otorisasi," tambahnya.
Perlu diketahui bahwa pengambilan di atas Rp500 juta biasanya ada validasi berlapis, minimal operator dan pejabat kepala seksi, atau kepala bagian. Sehingga, tidak mungkin pengambilan maupun transfer dengan nominal sebesar itu hanya dilakukan oleh operator, atau staf biasa.
Jika yang melakukan kecurangan ini bukan tenaga IT bank tersebut, kemungkinan besar ada keterlibatan orang dalam dan minimal satu pejabat di bank tersebut, yang memiliki otoritas untuk validasi transaksi. (asp)
Baca juga:
Bank Mandiri Jadi Penyalur Investasi Asing ke Daerah
Bank Mandiri ingin menjadi gateway penampung modal asing.
