Sebelum ke versi lengkap roadmap pengembangan dan penguatan layanan pendanaan bersama berbasis teknologi informasi 2023 - 2028, berikut ini dikutip hal-hal yang terkait dengan perlindungan nasabah sebagaimana yang disajikan pada halaman 50 - 54.
Perlindungan Konsumen dan Edukasi Publik membuat masyarakat lebih mudah mendapatkan akses ke platform digital, baik yang legal maupun yang ilegal. Dengan adanya akses yang terbuka luas, masyarakat bisa dengan mudah melihat iklan-iklan pinjaman online yang banyak ditemui di ruang maya. Sayangnya, pengetahuan mereka terkait layanan jasa keuangan ini masih relatif terbatas sehingga berdampak masih banyaknya masyarakat yang terjerat pinjaman online ilegal, khususnya masyarakat kelas menengah ke bawah yang memiliki tingkat pendidikan yang terbatas.
Banyak konsumen yang menggunakan jasa pinjaman online ilegal mungkin tidak sepenuhnya menyadari risiko yang terkait dengan praktik semacam itu. Sejumlah LPBBTI yang diduga ilegal ini kerap meneror nasabah untuk melunasi utangnya, dengan mengancam akan menyebarkan data pribadi nasabah tersebut. Selain itu, konsumen perlu memahami risiko terkait dengan privasi data ketika berurusan dengan penyelenggara LPBBTI. Konsumen mungkin harus memberikan akses ke data pribadi mereka, yang dapat disalahgunakan oleh penyelenggara pinjaman online ilegal. Oleh karena itu, edukasi dapat membantu konsumen dalam memahami cara melindungi data pribadi dan memahami risiko finansial, hukum, dan privasi yang dapat muncul ketika berurusan dengan LPBBTI khususnya apabila berurusan dengan pinjaman online ilegal.
OJK dan Satgas Pemberantasan Aktivitas Keuangan Ilegal (Pasti) terus melakukan berbagai upaya untuk memberantas keberadaan pinjaman online ilegal. Terbitnya UU P2SK yang mengatur mengenai sanksi pidana terhadap pihak yang tanpa izin melakukan kegiatan usaha jasa pembiayaan (termasuk LPBBTI) menjadi dasar bagi OJK untuk memberlakukan sanksi pidana yang tegas terhadap penyelenggara pinjaman online ilegal.
Sebagai bentuk perlindungan konsumen, OJK berkomitmen untuk terus meningkatkan kegiatan edukasi masyarakat dalam rangka meningkatkan pemahaman masyarakat mengenai LPBBTI. Survei Nasional Literasi dan Inklusi Keuangan (SNLIK) tahun 2022 menunjukkan tingkat literasi LPBBTI sebesar 10,90% dan tingkat inklusi LPBBTI sebesar 2,56%. Tingkat literasi dan inklusi keuangan LPBBTI tersebut masih sangat rendah dibandingkan dengan tingkat literasi dan tingkat inklusi keuangan nasional yang masing-masing sebesar 49,68% dan 85,10%.
Selain edukasi kepada masyarakat, dalam rangka memberikan perlindungan terhadap konsumen OJK juga telah melakukan langkah sebagai berikut:
- kolaborasi terkait penanganan pengaduan konsumen dan memperkuat fungsi Lembaga Alternatif Penyelesaian Sengketa (LAPS) di sektor jasa keuangan.
- meningkatkan efektivitas laporan penilaian lembaga keuangan sesuai dengan Peraturan OJK tentang Perlindungan Konsumen dan Masyarakat
- pemberantasan pinjaman online ilegal dan investasi ilegal, OJK aktif berkolaborasi dengan asosiasi, Kementerian Komunikasi dan Informatika, kementerian atau lembaga lain.
- menjalin komunikasi dengan asosiasi dan pemangku kepentingan terkait untuk memastikan penerapan peraturan OJK 10/POJK.05/2022 di industri LPBBTI berjalan secara efektif.
Selain itu salah satu langkah OJK dalam mengatasi permasalahan LPBBTI dalam menyikapi perilaku penagihan yang tidak etis adalah dengan diterbitkannya POJK 10/2022 yang mengatur kewajiban bagi penyelenggara LPBBTI untuk memastikan bahwa penagihan dilaksanakan sesuai dengan norma yang berlaku di masyarakat antara lain norma kepatutan, kesopanan, dan kesusilaan. Namun demikian, ketentuan dimaksud belum dapat menjawab tantangan terhadap tidak etisnya tindakan tenaga penagih sehingga diperlukan adanya penguatan regulasi yang mengatur mekanisme penagihan. Selain itu, AFPI dapat turut aktif mendukung perbaikan kualitas penagihan dengan cara berkoordinasi dengan Asosiasi Perusahaan Jasa Penagihan Indonesia.
Tingginya suku bunga yang dibebankan oleh penyelenggara LPBBTI kepada konsumen menjadi salah satu aduan yang diterima oleh AFPI. Karena bisnis pembiayaan dari LPBBTI menyasar segmen unbanked dan underserved maka besaran suku bunga menjadi perhatian bersama. Harapan dari masyarakat luas kehadiran LPBBTI dapat membantu memenuhi kebutuhan keuangan masyarakat dengan bunga yang wajar sehingga tidak menyulitkan konsumen dalam pengembaliannya.
Untuk melindungi konsumen dalam konteks pemberlakuan suku bunga maka perlu adanya pengaturan mengenai batas maksimum suku bunga yang dikenakan oleh penyelenggara LPBBTI. Berdasarkan data empiris yang diperoleh dari World Bank, terdapat 108 negara di dunia yang memberlakukan pengaturan terhadap suku bunga di sektor jasa keuangan. Praktik pengaturan suku bunga yang diberlakukan oleh regulator di negara-negara tersebut bertujuan untuk perlindungan konsumen dan membuat akses terhadap layanan jasa keuangan lebih terjangkau untuk masyarakat.
Upaya lain yang dapat dilakukan untuk melindungi konsumen adalah penegasan untuk melarang iklan yang menyesatkan dan berlebihan mengenai layanan jasa LPBBTI. Oleh karena itu, penting untuk memiliki mekanisme pengawasan dan penegakan yang kuat untuk mendorong penyelenggara LPBBTI menyediakan informasi yang jelas dan akurat tentang produk atau layanan yang diiklankan, termasuk harga, fitur, manfaat, dan batasan. Dalam Undang-Undang tentang Pengembangan dan Penguatan Sektor Keuangan (P2SK) juga telah diatur bahwa pelaku usaha sektor keuangan (PUSK) dilarang memberikan produk/layanan yang tidak sesuai dengan informasi yang dinyatakan dalam keterangan iklan/promosi penjualan produk/layanan tersebut. Kemudian, dilarang memberikan produk yang tidak sesuai perjanjian.
Keamanan Siber
Kegiatan penyelenggara LPBBTI merupakan kegiatan yang berbasis internet/aplikasi dan kerentanan aplikasi tersebut dapat dimanfaatkan oleh pihak-pihak yang tidak bertanggung jawab. Pemeliharaan keamanan aplikasi dan pemindaian kelemahan adalah langkah penting dalam melindungi penyelenggara LPBBTI.
- Hal-hal yang perlu di perhatikan dalam penyelenggaraan LPBBTI antara lain:
- LPBBTI melibatkan berbagai informasi pribadi seperti data keuangan, nomor identifikasi, dan informasi pribadi lainnya sehingga rentan terhadap pencurian data pribadi yang bisa merugikan peminjam dan investor. Untuk mengatasi masalah ini, Penyelenggara LPBBTI harus menerapkan enkripsi yang kuat dan praktik keamanan data yang ketat.
- Adanya peminjam yang menggunakan identitas palsu untuk mendapatkan pinjaman. Penyelenggara LPBBTI perlu mengimplementasikan verifikasi identitas yang kuat, seperti verifikasi dokumen dan teknologi biometrik.
- Ada potensi penipuan yang melibatkan peminjam atau investor yang tidak jujur. Penyelenggara LPBBTI harus memiliki mekanisme untuk mendeteksi dan mencegah penipuan, seperti analisis risiko yang lebih baik dan pemantauan transaksi yang cermat.
- Serangan phishing untuk mendapatkan informasi login atau data pribadi.
- Serangan malware seperti ransomware atau perangkat lunak berbahaya lainnya. Pengguna LPBBTI harus menjaga perangkat mereka tetap aman dengan menggunakan perangkat lunak antivirus dan firewall yang terbaru.
Dalam rangka untuk meningkatkan keamanan siber penyelenggara LPBBTI, pada tahun 2022 OJK telah menerbitkan POJK 10/2022 yang mewajibkan penyelenggara untuk memiliki Sertifikat manajemen keamanan data (ISO 27001), namun demikian berdasarkan hasil pengawasan yang dilakukan OJK, didapatkan bahwa setelah kepemilikan Sertifikat 27001 langkah pemeliharaan yang dilakukan oleh penyelenggara LPBBTI terabaikan dan cenderung belum dilaksanakan.
Saat ini masih banyaknya serangan siber yang berasal dari aktivitas malware. Berdasarkan temuan perusahaan keamanan siber global, Kaspersky semester 1 2023 didapatkan serangan malware sebanyak 44.022 dan ini meningkat sebesar 364% daripada tahun 2022. Dengan masih maraknya aktivitas malware, maka keamanan siber merupakan isu penting yang harus diperhatikan oleh Penyelenggara LPBBTI.
Standar ISO 27001 bertujuan untuk melindungi informasi dari berbagai ancaman dan risiko, termasuk akses tidak sah, perusakan, pencurian, dan gangguan. Ini membantu menjaga kerahasiaan, integritas dan ketersediaan informasi yang penting bagi organisasi. Namun demikian, kepemilikan sertifikasi ISO 27001 tidaklah cukup mengingat bisnis selalu berubah begitu pun dengan variasi serangan siber, peretasan, dan teknik lainnya yang semakin canggih. Oleh karena itu pemenuhan sertifikasi akan keamanan informasi bukanlah hal yang dilakukan hanya sekali saja akan tetapi perlu diperbaharui secara berkelanjutan.
Pemeliharaan waktu berlakunya sertifikasi ISO 27001 adalah komitmen untuk meningkatkan keamanan data dan informasi. Hal ini membantu organisasi untuk menjaga daya saing, memenuhi persyaratan peraturan dan melindungi informasi yang berharga.
UU Perlindungan Data Pribadi
Pemenuhan Undang-undang mengenai Perlindungan Data Pribadi (UU PDP) adalah salah satu tantangan utama yang dihadapi oleh penyelenggara LPBBTI.
Hal-hal yang menjadi perhatian bagi Penyelenggara LPBBTI dalam pemenuhan undang-undang dimaksud antara lain:
- Penyelenggara LPBBTI mungkin harus berurusan dengan berbagai regulasi perlindungan data pribadi yang berbeda di berbagai negara atau wilayah tempat mereka beroperasi. Menyesuaikan operasi dengan peraturan yang berbeda ini bisa menjadi tugas yang sangat rumit dan menuntut.
- Data pribadi yang dikumpulkan oleh penyelenggara LPBBTI sangat sensitif dan memerlukan tingkat keamanan yang sangat tinggi. Data ini perlu diamankan dari akses yang tidak sah dan serangan siber.
- Penyelenggara LPBBTI harus mengelola data pribadi dari ribuan, bahkan jutaan pengguna yang melibatkan informasi yang kompleks dan beragam. Mengorganisir, menyimpan, dan mengelola data ini dengan benar membutuhkan infrastruktur dan kebijakan yang baik.
- Bagi penyelenggara LPBBTI yang baru mulai berkembang, memiliki sumber daya yang terbatas (baik itu keuangan maupun SDM) untuk mematuhi regulasi data pribadi bisa menjadi tantangan besar.
- Pengguna LPBBTI mungkin memiliki berbagai permintaan terkait data pribadi mereka, seperti permintaan akses, perubahan, atau penghapusan data. Menanggapi permintaan ini dengan cepat dan efisien merupakan tantangan, terutama jika jumlah pengguna penyelenggara LBBTI sangat besar.
- Penyelenggara LPBBTI harus memastikan bahwa pengguna memahami kebijakan privasi dan cara data mereka digunakan. Pelatihan dan edukasi secara konsisten diperlukan untuk memastikan bahwa pengguna memahami hak dan kewajiban mereka terkait data pribadi.
Berdasarkan data Kementerian Komunikasi dan Informatika mencatat puluhan kasus kebocoran data di Indonesia. Tercatat sepanjang 2019 hingga Juni 2023 terdapat 94 kasus yang terdiri dari 62 kasus terkait Penyelenggara Sistem Elektronik (PSE) swasta dan 32 PSE pemerintah.
Untuk mengatasi tantangan-tantangan ini, penyelenggara LPBBTI perlu berinvestasi dalam sistem keamanan informasi yang kuat dan secara teratur memperbarui kebijakan privasi dan prosedur operasional mereka sesuai dengan perubahan hukum dan teknologi. Selain itu, mereka harus membangun budaya keamanan yang kuat di seluruh organisasi mereka.
UU PDP dirancang untuk melindungi data pribadi individu dari pengolahan yang tidak sah dan memastikan bahwa organisasi mengelola data tersebut dengan hati-hati dan bertanggung jawab. Hal-hal yang menjadi perhatian bagi penyelenggara LPBBI antara lain:
- Mengidentifikasi dan mengaudit semua data pribadi yang dikumpulkan, disimpan, dan diproses untuk mengetahui jenis data yang dikelola, dari mana data tersebut berasal, bagaimana data tersebut diolah, dan di mana data tersebut disimpan.
- Perlunya menunjuk seorang petugas perlindungan data yang bertanggung jawab untuk memastikan bahwa organisasi mematuhi Undang-undang Perlindungan Data Pribadi.
- Adanya standar operasi dan prosedur perlindungan data yang jelas dan lengkap yang mencakup bagaimana data pribadi dikelola, diproses, dan dilindungi. Kemudian memastikan semua karyawan memahami dan mematuhi kebijakan ini.
- Memastikan bahwa data pribadi hanya dikumpulkan jika ada dasar hukum yang sah dan hanya digunakan untuk tujuan yang sah.
- Transparansi mengenai pemberitahuan kepada individu yang data pribadinya dikumpulkan.
- Memastikan bahwa data pribadi dilindungi dari akses yang tidak sah dan kerusakan. Ini melibatkan implementasi kontrol keamanan teknis dan organisasional yang sesuai.
- Adanya penanganan insiden data.
- Adanya pelatihan kepada karyawan LPBBTI tentang pentingnya perlindungan data pribadi, serta prosedur yang harus diikuti untuk mematuhi Undang-undang Perlindungan Data Pribadi.
- Adanya pengujian dan evaluasi berkelanjutan untuk memastikan bahwa sistem dan praktik perlindungan data penyelenggara LPBBTI efektif dan sesuai dengan Undang-undang Perlindungan Data Pribadi.
- Pengawasan terhadap perubahan dalam risiko terkait data pribadi dan melakukan penilaian risiko secara berkala.