Pakar IT Minta OJK dan BI Izinkan Polisi

430

TUGU MUDA-Otoritas Jasa Keuangan (OJK) dan Bank Indonesia (BI) didorong memberikan izin kepada kepolisian dalam penyidikan. Terkait dugaan pembobolan rekening senilai Rp 8 miliar milik nasabah atas nama Sri Rahayu Binti Soemoharmanto di Bank Mandiri (Persero) Tbk Jalan Pemuda No 73 Semarang yang merebak belakangan ini.

Dorongan tersebut disampaikan Pakar Information Technology (IT) Universitas Dian Nuswantoro (Udinus) Semarang, Solichul Huda. “Dalam kasus penyusutan saldo Rp 8 miliar, ada baiknya BI dan OJK proaktif memberikan izin ke pihak kepolisian untuk penyidikan terhadap data nasabah, Tujuannya melindungi dan menyelamatkan nasabah. Pasalnya, kalau melihat dari pemberitaan di media cetak, pihak yang paling dirugikan semestinya pihak bank,” kata Pakar IT yang juga Kandidat Doktor Ilmu Komputer Institut Teknologi Sepuluh November (ITS) Surabaya, Bidang Penelitian Cyber Crime Kejahatan Perbankan, kepada Radar Semarang, Jumat (12/12) kemarin.

Menurutnya, persoalan tersebut bisa selesai jika pihak bank menunjukkan data transaksi dan dokumen pendukung ke ahli waris pemilik rekening. Yang menjadi pertanyaan bagi publik adalah apakah pihak bank telah melakukan Standard Operating Procedure (SOP) pengambilan dan penyimpanan uang di tabungan? “Jika pihak bank berbelit-belit dan tidak sesegera mungkin memberikan penjelasan, publik akan berpendapat bahwa bank tidak mematuhi SOP. Dan ini sangat merugikan bank,” tandasnya.

Dia menengarai, pembobolan rekening dalam kasus ini dapat dilakukan dalam tiga modus. Kemungkinan pertama, terlapor atau pemilik rekening melakukan transfer saldo dari rekening yang disengketakan ke rekening lain sesama Bank Mandiri. “Hal ini dibuktikan dengan cetak transaksi pada periode 2000 – 2004. Dalam masalah ini, bank tidak bisa disalahkan jika yang melakukan penarikan adalah atas nama pemilik rekening atau orang lain yang diberi kuasa, yang kemungkinan terlapor yang merupakan anak kandung,” ungkap Solichul.

Modus kedua, ada operator yang mempunyai user lebih dari satu dengan tingkat otoritas yang lebih tinggi. Misalnya operator tersebut memiliki dua kode user, contoh; KDOPR001 dan KDSPV010. “Ketika staf melakukan input transaksi penarikan, dia menggunakan user dengan kode KDOPR001, dan memvalidasi transkasi tersebut dengan user yang berkode KDSPV010. Maka transaksi yang di atas 500 juta bisa dilakukan oleh 1 orang,” ungkap Solichul.

Dia menyebut, kepemilikan 2 kode bisa terjadi, jika ada kerjasama antara user dengan supervisor atau kerjasama dengan tenaga IT di bank tersebut, bisa programmer atau adminnya. “Ini yang biasanya membuat bank menjadi seperti makan buah simalakama. Jika pelaku ditangkap dan publik tahu, bisa jadi terjadi penarikan besar-besaran karena hilangnya kepercayaan nasabah. Di sisi lain, kalau tidak disampaikan ke publik, nama baik bank juga menjadi taruhannya.” ujar dia.

Modus ketiga, kata dia, ini yang paling ekstrim, ada kerjasama antara penarik rekening dengan admin atau programmer (IT) bank. Mereka yang paling tahu bagaimana membuat transaksi rekening, enkripsi saldo dan data nasabah. “Dan parahnya lagi, jika mereka juga menghapus semua jejak, misalnya tidak dicantumkan kode operator yang melakukan transaksi dan kode supervisor yang memvalidasi,” imbuhnya.

Kalau mereka melakukan dengan modus ini, masih kata Solichul, satu-satunya cara dengan menganalisis event logs tabungan. Event logs adalah file log yang diisi otomatis oleh sistem, yang berisi informasi tentang proses yang dilakukan, user yang aktif, tanggal dan jam transaksi. “Hasil analisis terhadap event logs akan memberikan petunjuk siapa pelaku pembobolan rekening ini,” beber pakar IT ini.

Menurutnya, sebetulnya tidak ada kesulitan apapun pihak bank untuk membuka data 10-14 tahun yang lalu. Memang untuk menjaga performance sistem perbankan, biasanya bank akan menghapus data transaksi yang berumur di atas 10 tahun. “Namun mereka biasanya membackup (cadangan) data dalam 3 macam yaitu backup harian, backup bulanan dan backup tahunan. Dari data transaksi tersebut akan diketahui siapa yang menarik rekening, operator yang melakukan transaksi dan pimpinan bank yang memberi otorisasi,” katanya.

Perlu diketahui, bahwa pengambilan di atas Rp 500 juta biasanya ada validasi berlapis, minimal operator dan pejabat kepala seksi atau kepala bagian. “Tidak mungkin pengambilan ataupun transfer dengan nominal sebesar itu hanya dilakukan oleh operator atau staf biasa. Jika yang melakukan kecurangan ini bukan tenaga IT bank tersebut, maka kemungkinan besar ada keterlibatan orang dalam dan minimal 1 pejabat di bank tersebut, yang memiliki otoritas untuk validasi transaksi,” pungkasnya. (amu/ida)