Tanggung Jawab Hukum Bank atas Kerugian Nasabah Akibat Cybercrime

Di era digital, hubungan antara bank dan nasabah tak lagi sekadar soal simpanan dan penarikan uang. Kini, satu klik yang keliru, satu tautan palsu, atau satu kebocoran sistem bisa berujung pada raibnya dana nasabah. Cybercrime—mulai dari phishing, social engineering, hingga pembobolan sistem—telah menjadi ancaman nyata bagi industri perbankan.

Namun pertanyaannya: ketika nasabah dirugikan akibat kejahatan siber, sampai di mana tanggung jawab hukum bank?

Secara hukum, hubungan bank dan nasabah bukan relasi biasa. Bank memegang dana masyarakat berdasarkan kepercayaan (fiduciary duty). Prinsip kehati-hatian (prudential banking principle) bukan sekadar jargon, melainkan kewajiban hukum.

Pasal 2 Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan (sebagaimana diubah dengan UU No. 10 Tahun 1998) menegaskan bahwa perbankan Indonesia menjalankan usahanya berdasarkan prinsip kehati-hatian. Prinsip ini mencakup pula keamanan sistem elektronik dan data nasabah.

Artinya, bank tidak hanya bertanggung jawab menyimpan uang, tetapi juga memastikan sistemnya aman dari risiko kejahatan siber.

Dalam banyak kasus, bank kerap berkilah bahwa kerugian terjadi akibat kelalaian nasabah sendiri—misalnya membagikan OTP, PIN, atau mengklik tautan palsu. Klaim ini tidak sepenuhnya keliru, tetapi juga tidak otomatis membebaskan bank dari tanggung jawab.

Hukum mengenal konsep pembagian tanggung jawab (comparative negligence). Jika kerugian terjadi karena:

1. Kelemahan sistem keamanan bank,

2. Kurangnya edukasi dan peringatan yang memadai, atau

3. Keterlambatan respons bank dalam memblokir transaksi mencurigakan,

maka bank tetap dapat dimintai pertanggungjawaban, meskipun terdapat unsur kelalaian dari nasabah.

Beberapa rezim hukum relevan untuk menilai tanggung jawab bank dalam kasus cybercrime:

Pertama, Undang-Undang Perlindungan Konsumen (UU No. 8 Tahun 1999).

Nasabah adalah konsumen jasa perbankan. Pasal 19 mewajibkan pelaku usaha memberikan ganti rugi atas kerugian konsumen akibat penggunaan jasa yang diperdagangkan.

Kedua, UU Informasi dan Transaksi Elektronik (UU ITE).

Pasal 15 UU ITE mewajibkan Penyelenggara Sistem Elektronik (termasuk bank) untuk menyelenggarakan sistem yang andal, aman, dan bertanggung jawab. Kegagalan sistem yang menimbulkan kerugian dapat berimplikasi pada tanggung jawab hukum.

Ketiga, regulasi OJK dan BI.

POJK tentang perlindungan konsumen sektor jasa keuangan menegaskan kewajiban bank untuk:

1. Menjaga keamanan data dan dana nasabah,

2. Menangani pengaduan secara cepat dan adil,

3. Memberikan ganti rugi jika kerugian timbul akibat kesalahan bank.

Dalam sejumlah putusan pengadilan, bank dinyatakan bertanggung jawab ketika terbukti lalai menjaga sistem atau tidak menjalankan prinsip kehati-hatian. Hakim cenderung melihat substansi perlindungan nasabah, bukan sekadar klausul baku dalam perjanjian elektronik.

Klausul “segala risiko ditanggung nasabah” kerap diuji dan bahkan dikesampingkan jika dianggap bertentangan dengan asas keadilan dan perlindungan konsumen.

Bank memang telah gencar melakukan edukasi: “jangan bagikan OTP”, “waspada penipuan”, dan sejenisnya. Namun edukasi tidak boleh dijadikan tameng untuk menghindari tanggung jawab.

Jika sistem perbankan mampu mendeteksi transaksi mencurigakan secara real time, pertanyaannya sederhana: mengapa transaksi penipuan masih bisa lolos? Di sinilah aspek akuntabilitas diuji.

Nasabah memang wajib berhati-hati. Namun posisi bank sebagai institusi profesional dengan sumber daya, teknologi, dan kewenangan jauh lebih besar membuat beban tanggung jawabnya tidak bisa disamakan dengan nasabah biasa.

Dalam negara hukum, risiko bisnis—termasuk risiko siber—tidak boleh sepenuhnya dialihkan kepada konsumen. Jika kepercayaan publik terhadap sistem perbankan ingin dijaga, maka satu prinsip harus ditegakkan:

keamanan digital bukan sekadar fitur, melainkan kewajiban hukum.