3 hours ago
4
Jakarta, CNBC Indonesia — Sebanyak tiga Self Regulatory Organization (SRO) resmi menerbitkan Surat Edaran (SE) Bersama Nomor SE-00005/BEI/09-2025, SE-006/DIR/KPEI/0925, SE-0002/DIR-EKS/KSEI/0925.
Surat edaran tersebut keluar usai dugaan pembobolan rekening dana nasabah (RDN) Panca Global Sekuritas di BCA senilai Rp 70 miliar.
Aturan yang dikeluarkan oleh PT Bursa Efek Indonesia (BEI), PT Kliring Penjaminan Efek Indonesia (KPEI), dan PT Kustodian Sentral Efek Indonesia (KSEI) ini mengatur detail persyaratan dasar keamanan sistem, khususnya bagi pihak yang menggunakan koneksi host to host (API).
Dalam ketentuan itu, Pemegang Rekening KSEI dan bank RDN yang telah memiliki koneksi host to host diwajibkan menghentikan penggunaannya setiap hari, kecuali jika memenuhi persyaratan yang ditetapkan.
Persyaratan mencakup penerapan standar keamanan yang memadai serta pembatasan pemindahbukuan atau penarikan dana dari RDN hanya ke rekening nasabah yang sama atau rekening lain yang telah didaftarkan sebelumnya (whitelist).
Pemegang Rekening KSEI wajib mengadministrasikan daftar rekening tujuan pada setiap pemindahbukuan atau penarikan dana dan menyampaikannya ke bank RDN. Bank RDN selanjutnya berkewajiban melakukan validasi atas setiap transaksi yang dilakukan dari RDN.
Selain itu, bank RDN dan pemegang rekening KSEI harus memiliki mekanisme aman dalam mengelola daftar rekening tujuan whitelist. Mekanisme ini bisa berupa sistem persetujuan berlapis atau multi factor authentication dengan pengendalian credential yang memadai.
Kedua belah pihak diwajibkan melakukan rekonsiliasi data whitelist secara berkala minimal setiap empat bulan. Bank RDN juga harus memberikan notifikasi transaksi kepada pemegang rekening KSEI serta kepada nasabah sesuai mekanisme yang disepakati.
Bank RDN yang mengoperasikan host to host diwajibkan memiliki fraud management system untuk mendeteksi transaksi tidak wajar. Karakteristik transaksi mencurigakan yang dimaksud antara lain penarikan berulang dengan jumlah sama dalam waktu singkat, penarikan yang melampaui batas ketentuan, serta percobaan transfer ke rekening di luar whitelist.
Sistem fraud management harus berjalan otomatis secara real-time atau near real-time. Selain itu, Bank RDN perlu menetapkan kebijakan mengenai batas jumlah transaksi atau nominal tertentu yang dapat dilakukan oleh nasabah dalam periode waktu tertentu.
Apabila ada kebutuhan mendesak untuk membuka koneksi host to host tanpa memenuhi seluruh syarat, pemegang rekening KSEI wajib menyampaikan permohonan tertulis kepada bank RDN.
Mereka juga harus menyertakan bukti penggunaan infrastruktur khusus dengan segmentasi jaringan, firewall, dan perimeter keamanan, serta hasil penetration testing dari pihak ketiga yang masih berlaku dalam tiga bulan terakhir.
Selain itu, pemegang rekening KSEI harus berkomitmen melakukan pemantauan keamanan, update patching, serta membentuk tim khusus untuk memantau aktivitas transaksi. Pihaknya juga harus menyepakati batas maksimal nominal harian untuk pemindahbukuan atau penarikan dana, baik per nasabah maupun secara agregat, bersama Bank RDN.
Surat pernyataan tertulis juga wajib disampaikan ke BEI, KPEI, dan KSEI mengenai pemenuhan persyaratan teknis serta kesanggupan menanggung risiko yang mungkin terjadi. Surat ini harus dilampirkan dengan dokumen pendukung termasuk alasan pengajuan, mekanisme penggantian kerugian, dan periode aktivasi host to host.
Bagi Bank RDN yang tidak menggunakan host to host, aturan mewajibkan mereka tetap memiliki mekanisme pengawasan setara dengan Fraud Management System. Selain itu, Bank RDN diwajibkan mengembangkan fitur whitelist dan validasi paling lama tiga bulan sejak aturan baru ini diberlakukan.
Ketentuan mengenai pembukaan koneksi host to host dalam kondisi mendesak hanya berlaku tiga bulan sejak aturan ini terbit, kecuali ditentukan lain oleh BEI, KPEI, dan KSEI. Dengan terbitnya Surat Edaran Bersama ini, maka aturan sebelumnya bertanggal 15 Agustus 2025 resmi dicabut dan dinyatakan tidak berlaku.
Aturan terbaru ini diharapkan memperkuat perlindungan data dan keamanan transaksi di pasar modal Indonesia. Selain itu, kebijakan ini juga ditujukan untuk mencegah potensi penyalahgunaan rekening nasabah serta meningkatkan kepercayaan investor.
Terpisah, beberapa netizen di Aplikasi X mengaku mendapat email bahwa withdrawal RDN BCA tidak bisa dilakukan secara real time pada Senin, (15/9/2025). Email tersebut didapat melalui aplikasi sekuritas masing-masing.
"Kami informasikan bahwa akses API Host-to-Host (H2H) Bank RDN BCA di non-aktifkan efektif per tanggal 16 September 2025. Kami sampaikan bahwa, Proses withdrawal dana dari RDN BCA untuk sementara akan diproses dalam waktu maksimal 1 hari bursa. Proses withdrawal dengan metode lain tetap berjalan normal seperti biasa," sebagaimana dikutip dalam tangkapan layar.
Terbaru, salah satu sekuritas yaitu Stockbit mengatakan, real-time withdrawal dari RDN BCA sudah dibuka kembali. "Halo Stockbitor, Withdrawal Real Time RDN BCA sudah aktif kembali ya," ungkap akun resmi @stockbit di X, pada Rabu, (17/9/2025)
(mkh/mkh)
[Gambas:Video CNBC]
Next Article BCA (BBCA) Cetak Laba Rp 14,1 Triliun per Kuartal I-2025
