Alarm Perbankan dari Kasus Pembobolan Kecoh Layanan BI-FAST

tirto.id - Kasus pembobolan terhadap delapan bank yang terhubung dengan layanan BI-FAST milik Bank Indonesia (BI), menunjukkan celah sistemik di jantung sektor keuangan nasional. Sebagai pengawas sekaligus pelaku sistem pembayaran retail nasional, lolosnya transaksi abnormal para peretas patut menjadi bahan evaluasi bagi BI untuk memperkuat infrastruktur digital.

Kasus pembobolan delapan bank ini turut membuka tabir lemahnya sistem pertahanan bank pembangunan daerah dan bank skala kecil yang mudah disusupi komplotan peretas. Sistem internal bank baru menyadari adanya transaksi janggal setelah uang simpanan mereka telah dikeruk oleh para pembobol.

Sayangnya, kasus pembobolan delapan bank yang terhubung dengan BI-FAST ini juga masih minim diungkapkan pihak berwenang kepada khalayak. Padahal, kasus ini ditengarai sudah berlangsung sejak pertengahan tahun 2024. Namun demikian, Bank sentral hingga Otoritas Jasa Keuangan (OJK) baru mulai bicara terbuka akhir-akhir ini setelah ramai pemberitaan.

Aksi komplotan penjahat siber yang menyasar institusi finansial seperti bank, memang kian canggih. Tak pelak, ketahanan sistem serta langkah deteksi dini penipuan (fraud) wajib diperkokoh oleh pelaku sektor perbankan.

Kemungkinan Modus Pembobolan Dana BI-FAST

Kasus pembobolan delapan bank pengguna layanan BI-Fast yang tengah menjadi sorotan saat ini, turut mengungkap modus kejahatan siber teranyar.

Direktur Eksekutif Information and Communication Technology (ICT) Institute Heru Sutadi menilai, pembobolan dana bank-bank berskala kecil, yang masuk dalam kategori Kelompok Bank Berdasarkan Modal Inti (KBMI) I dan II, menunjukkan kelemahan serius sistem keamanan perbankan nasional. KBMI I dan KBM II adalah bank-bank bank bermodal inti di bawah Rp14 triliun. Mayoritas yang masuk kategori ini adalah bank pembangunan daerah (BPD).

Heru menjelaskan, BI-FAST pada dasarnya dirancang dengan mekanisme pembatasan transaksi untuk mencegah penyalahgunaan. Namun, desain tersebut menjadi tidak efektif saat sistem internal bank yang menjadi peserta BI-FAST memiliki celah keamanan.

“BI menyatakan sistemnya aman, tapi kerentanan di sisi bank membuat ‘kunci’. Jadi seperti transaksi ini pintu yang terkunci, tapi jendelanya terbuka lebar. Akibatnya, dana berpindah tanpa ada alarm langsung,” terang Heru kepada wartawan Tirto, Selasa (16/12/2025).

Heru mencoba menganalisis modus yang kemungkinan digunakan para pembobol bank. Menurutnya, dalam kasus ini, peretas tidak membobol atau meretas sistem BI-FAST.

Peretas justru mengeksploitasi kelemahan sistem internal bank serta middleware atau pihak ketiga, yang biasa digunakan bank skala kecil dan menengah agar terhubung ke layanan BI-FAST.

Melalui celah tersebut, pelaku menjalankan banyak transaksi secara berulang tanpa memicu sistem peringatan dini BI-FAST. Artinya, peretas berhasil mengecoh BI-FAST setelah berhasil menjebol sistem keamanan bank-bank yang menjadi sasaran mereka.

Selain itu, peretas tidak membobol rekening nasabah secara langsung, melainkan menjebol rekening dana settlement (RDS) milik bank yang digunakan sebagai transaksi pembayaran BI-FAST. Dana hasil kejahatan ini kemudian dialirkan cepat ke rekening penampung lintas bank. Operasi berujung ke konversi ke dalam aset kripto untuk mengaburkan jejak mereka.

Sederhananya, nasabah tak akan mendapati saldo rekeningnya berkurang. Bank pun ketika peretasan, tidak menyadari ada transaksi janggal sedang berlangsung karena tidak tercatat di sistem internal mereka.

Namun sejatinya, kantong uang milik bank yang berisi dana para nasabah tengah dikuras sebanyak-banyaknya sebelum akhirnya disadari oleh pihak bank. “Dari data, totalnya mencapai Rp800 miliar yang dialihkan ke kripto global,” ujar Heru.

Bank Indonesia Masih Pelajari Perkembangan Kasus

Diberitakan Tirto sebelumnya, Bank Indonesia terus mencermati perkembangan kasus fraud berupa aktivitas transfer ilegal atas dana beberapa bank melalui layanan BI-Fast. BI turut mengonfirmasi kasus pembobolan ini tengah ditangani aparat penegak hukum.

Pernyataan ini disampaikan Direktur Eksekutif Departemen Komunikasi BI, Ramdan Denny Prakoso, usai mencuatnya kabar terkait pembobolan dana pada delapan bank. Dari informasi beredar total kerugian mencapai Rp800 miliar. Transfer ilegal berlangsung diduga memanfaatkan celah keamanan BI-FAST.

“Bank Indonesia (BI) terus mencermati perkembangan penanganan kasus fraud berupa aktivitas transfer ilegal atas dana di beberapa bank, yang kasusnya saat ini tengah ditangani oleh pihak berwajib,” ujarnya, dalam keterangan resmi, dikutip Selasa (9/12/2025).

Sejalan dengan penanganan kasus oleh pihak berwajib, BI juga terus berkoordinasi dengan Otoritas Jasa Keuangan (OJK) dan penegak hukum untuk memastikan langkah pemulihan dan penguatan keamanan terus berjalan secara konsisten.

Tak hanya itu, Bank Sentral meminta delapan bank terkait dalam kasus ini untuk melakukan penguatan prosedur pengamanan transaksi.

"Proses ini penting dalam menjaga agar fraud ini tidak mengganggu stabilitas sistem pembayaran dan pelindungan konsumen terpenuhi,” tambah Denny.

Denny menegaskan bahwa BI dan industri sistem pembayaran terus berupaya memperkuat keamanan dan keandalan sistem pembayaran nasional dan keberlanjutan transformasi digital sektor keuangan.

Layanan BI-FAST, kata dia, dikembangkan dan dioperasikan sesuai standar operasional dan keamanan berlaku. Pengiriman instruksi transaksi dari perbankan menuju bank sentral turut dilengkapi pengamanan lewat jaringan komunikasi yang aman.

Namun demikian, peserta BI-FAST diingatkan memperhatikan pengamanan yang dilakukan di sisi internal termasuk dalam penggunaan penyelenggara penunjang. Sesuai dengan prinsip keamanan teknologi informasi, ungkap Denny, ketahanan sistem dilihat dari titik terlemah komponen-komponen yang membentuk sistem tersebut.

"BI juga telah mengeluarkan ketentuan mengenai ketahanan dan keamanan siber di bulan April 2024 sebagai pedoman bagi Penyelenggara Jasa Sistem Pembayaran di Indonesia untuk menghadapi risiko serangan siber dan fraud,” kata Denny.

Serangan ke Titik Terlemah Ekosistem Perbankan

Sementara itu, pakar keamanan siber Communication and Information System Security Research Center (CISSReC), Pratama Persadha, melibat dari sudut pandang lain. Kasus pembobolan delapan bank yang terhubung dengan BI-FAST menunjukkan, ancaman siber terhadap sistem pembayaran nasional tidak selalu datang lewat serangan langsung ke infrastruktur regulator.

Menurutnya, persoalan justru berakar pada titik terlemah dalam ekosistem perbankan, yakni sistem internal bank dan integrasi aplikasi yang tidak cukup kuat.

Dalam arsitektur BI-FAST, kata Pratama, Bank sentral berperan sebagai penyedia rel kliring dan settlement, sementara tanggung jawab pengelolaan sistem internal, pengaturan limitasi, hingga kontrol transaksi berada sepenuhnya di tangan bank peserta.

Celah pada lapisan itu, cukup membuat seolah-olah sistem nasional membiarkan transaksi janggal bernilai besar terjadi, padahal kegagalan terjadi sebelum transaksi masuk ke domain milik BI-FAST.

“Dari perspektif BI-FAST, setiap transaksi tersebut valid karena telah melewati proses otorisasi bank pengirim. Artinya, sistem penguncian gagal bukan di BI-FAST, melainkan pada mekanisme kontrol limit kumulatif, behavioral monitoring, dan anomaly detection di bank itu sendiri,” kata Pratama kepada wartawan Tirto, Selasa (16/12/2025).

Menurut Pratama, penggunaan layanan sistem pihak ketiga yang sama oleh banyak bank juga menciptakan risiko konsentrasi yang sangat tinggi. Pihak middleware pembayaran yang dipakai bersama-sama menjadi satu titik kelemahan yang menarik bagi penyerang sistem.

Karena satu eksploitasi saja, dapat direplikasi ke banyak instansi bank sekaligus. Artinya, kata Pratama, jika vendor pihak ketiga tak menerapkan segmentasi klien yang ketat, isolasi data dan proses memadai pengelolaan kredensial yang berbeda untuk tiap bank, maka satu kesalahan bisa berkembang menjadi insiden sistemik.

“Dalam konteks bank KBMI I dan II yang umumnya memiliki sumber daya keamanan lebih terbatas, ketergantungan pada vendor tanpa pengawasan keamanan yang agresif memperbesar dampak serangan secara eksponensial,” ujar Pratama.

Gagalnya Early Warning System

Menurut laporan Majalah Tempo edisi 14-20 November 2025, dua dari delapan bank yang berhasil dibobol oleh sindikat peretas ini adalah Bank Jakarta (saat itu Bank DKI) dan Bank Jatim. Kepolisian berhasil menciduk sejumlah pihak dan menetapkan tersangka. Bahkan, di kasus Bank Jatim, empat orang terdakwa sudah mendapatkan vonis dari Pengadilan Negeri Surabaya.

Namun, dalam kasus ini, polisi baru berhasil menciduk para aktor lapangan, yakni pembuat dan penerima rekening penampung. Salah satunya, malah hanya seorang pengemudi ojek online. Polisi belum berhasil memburu otak sindikat atau pembobol utama dalam kasus ini.

Masih dalam laporan Majalah Tempo, periode kejahatan ini berlangsung Juni 2024 hingga Maret 2025, dengan total kerugian diperkirakan Rp800 miliar dari delapan bank.

Nilai yang sudah berhasil dijabarkan, Bank Jakarta mencatat total kerugian terbesar yakni sekitar Rp228,1 miliar. Sementara Bank Jatim dikuras mencapai Rp119,9 miliar. Tempo juga menemukan, sistem BI-FAST tetap memproses transaksi yang melampaui batas nominal dalam kasus pembobolan ini.

Selain itu, jejak dana kripto menunjukkan akses berasal dari Taiwan, Tiongkok, Hong Kong, dan Kamboja, dengan identitas digital yang mengarah pada empat warga negara Taiwan. Polisi disebut sudah mengantongi alamat IP dan profil digital, namun belum ada kejelasan langkah penegakan hukum lintas negara. Muncul pula dugaan keterkaitan jaringan kelompok peretas internasional.

Kepada Tirto, pakar keamanan siber CISSReC, Pratama, menilai keterlambatan sistem bank menyadari pembobolan hingga dana terkuras besar-besaran menandakan kegagalan fungsi peringatan dini atau early warning system. Banyak bank masih menempatkan pemantauan transaksi sebagai proses pascakejadian yang bergantung terhadap rekonsiliasi harian atau laporan berkala.

Alhasil, jika peretas beroperasi menggunakan kredensial sah dan mengikuti alur transaksi normal, sistem hanya memeriksa kepatuhan prosedural dan tak akan menganggap aktivitas tersebut sebagai ancaman.

“Absennya korelasi lintas sistem, seperti hubungan lonjakan transaksi, perubahan perilaku akun, dan aktivitas administratif mencurigakan, membuat serangan baru terdeteksi ketika saldo telah terkuras dan dampaknya tidak lagi bisa dicegah,” ucap Pratama.