JAKARTA, Mediakarya – Pembobolan rekening dormant BNI sebesar Rp204 miliar dalam waktu 17 menit dinilai bukan sekadar kasus kejahatan perbankan biasa, namun demikian sejumlah kalangan menyebut peristiwa itu sebagai cermin kegagalan empat lembaga negara yang seharusnya menjadi penjaga sistem keuangan, yakni Otoritas Jasa Keuangan (OJK), Bank Indonesia (BI), Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK), dan kepolisian, yang dinilai lalai secara bersamaan.\
Sekretaris Pendiri Indonesia Audit Watch (IAW) Iskandar Sitorus, mengungungkapkan bahwa kasus pembobolan rekening dormant BNI yang berjumlah ratusan miliar itu merupakan pakta riel bahwa sistem pengawasan yang terjadi secara serentak di empat institusi yang seharusnya melindungi uang rakyat atau nasabah namun tidak bertaji.
Dia menggambarkan kasus ini seperti sebuah rumah besar dengan brankas berisi Rp204 miliar milik seorang pengusaha yang sudah lama tidak membukanya. “Brankas itu masih utuh, kuncinya masih ada, tetapi tidak ada yang pernah mengecek,” kata Iskandar dalam keterangan tertulisnya kepada Mediakarya, Selasa (28/4/2026)
Suatu malam, lanjutnya, sekelompok pencuri masuk tanpa perlu merusak pintu atau menebak sandi. “Mereka cukup meminta kunci kepada satu orang yang bertugas menjaganya, dan orang itu memberikannya. Dalam 17 menit, Rp204 miliar berpindah tangan melalui 42 kali transfer ke lima rekening penampung,” kata Iskandar.
“Siapa yang salah? Apakah pencurinya yang terlalu pintar? Atau penjaga rumah yang tidak pernah berjaga?” tambah Iskandar.
Dia pun menyusun peringkat tanggung jawab atas kasus ini berdasarkan amanat undang-undang dan fakta di lapangan. “Kami tidak sedang menyusun peringkat prestasi, melainkan tingkat tanggung jawab,” katanya.
Menurut Iskandar, peringkat pertama yang paling bertanggung jawab adalah bank itu sendiri. Sebagai penerbit rekening, pengelola sistem, dan pemungut biaya administrasi, bank dinilai memiliki kewajiban utama menjaga dana nasabah.
Berdasarkan UU Perbankan Nomor 10 Tahun 1998, bank wajib menjaga kerahasiaan dan keamanan data nasabah, menerapkan prinsip kehati-hatian, serta melindungi dana nasabah.
“Apa yang terjadi di BNI? User ID teller dan kepala cabang diserahkan ke sindikat. 42 transaksi tidak memicu alarm satupun. Sistem core banking bisa diakses tanpa autentikasi berlapis. Ini bukan kelemahan teknis. Ini kelalaian sistemik,” jelasnya.
Peringkat kedua, menurut Iskandar, adalah OJK selaku pengawas perbankan. Berdasarkan UU Nomor 21 Tahun 2011, OJK memiliki kewenangan memberi dan mencabut izin bank, menetapkan aturan perbankan, melakukan pemeriksaan langsung ke bank, menganalisis laporan bank, menjatuhkan sanksi administratif, hingga melakukan penyidikan.
Namun Iskandar mempertanyakan kapan terakhir OJK melakukan pemeriksaan mendadak ke cabang BNI yang bermasalah, apakah OJK membaca LHP BPK yang selama 10 tahun memperingatkan kelemahan sistem pengendalian internal bank, serta apakah setelah kasus ini OJK memeriksa ulang fit and proper test direksi BNI.
“Jawabannya, sepertinya tidak ada. Semua diam. Kesimpulannya, OJK adalah polisi yang tidak pernah patroli. Pintu bank bisa terbuka lebar, mereka tidak tahu. Alarm mati, mereka tidak peduli,” kata Iskandar.
Peringkat ketiga adalah PPATK selaku pendeteksi uang panas sekaligus mata dan telinga sistem keuangan Indonesia. Berdasarkan UU Nomor 8 Tahun 2010, PPATK bertugas menerima dan menganalisis laporan transaksi mencurigakan, memblokir transaksi yang diduga terkait tindak pidana, serta berkoordinasi dengan penegak hukum.
Iskandar mengakui PPATK sebenarnya sudah bergerak lebih awal. Pada Mei 2025, PPATK telah memblokir sekitar 122 juta rekening dormant sebagai langkah pencegahan. Namun langkah itu justru memicu penolakan publik karena rekening nasabah kecil ikut terblokir. Pemerintah dan DPR pun keberatan, hingga akhirnya PPATK menghentikan pemblokiran massal tersebut. “Beberapa minggu kemudian, kasus BNI terjadi. Rekening dormant dibobol Rp204 miliar. Ironis,” kata Iskandar.
Menurut dia, kelalaian PPATK bukan karena tidak mau bekerja, melainkan karena kewenangannya terbatas. PPATK tidak memiliki akses real-time ke sistem perbankan, bank baru melapor ke PPATK setelah transaksi selesai, dan kewenangan pemblokirannya kerap berbenturan dengan hak nasabah.
“Kesimpulannya, PPATK adalah pendetektif yang tangannya dikurung. Mereka tahu ada pencuri, tapi tidak bisa berbuat banyak,” ungkap Iskandar.
Peringkat keempat adalah Bank Indonesia selaku penjaga sistem pembayaran. Berdasarkan UU Nomor 23 Tahun 1999, BI bertugas menjaga stabilitas nilai rupiah, stabilitas sistem pembayaran, serta turut menjaga stabilitas sistem keuangan.
Iskandar menilai 42 transaksi senilai Rp204 miliar dalam 17 menit seharusnya terdeteksi oleh sistem BI, baik melalui BI-FAST, BI-RTGS, maupun SKNBI. Namun ia mempertanyakan apakah sistem BI mendeteksi keanehan pola transaksi beruntun tersebut, serta apakah ada mekanisme pembekuan otomatis untuk transaksi yang tidak wajar. “Kami curiga jawabannya, tidak ada deteksi,” ujar Iskandar.
“Mengapa BI lalai? BI terlalu fokus pada hal-hal besar, inflasi, nilai tukar, suku bunga. Mereka lupa bahwa keamanan transaksi perorangan adalah pondasi stabilitas sistem pembayaran. Kesimpulan untuk BI adalah penjaga lalu lintas yang buta. Alarm tidak berbunyi atau bunyinya telat, karena pencuri sudah kabur,” sambungnya.
Peringkat kelima adalah kepolisian selaku penegak hukum. Berdasarkan UU Nomor 2 Tahun 2002, Polisi bertugas melindungi masyarakat dan melakukan penyidikan.
Iskandar mengakui Polisi bergerak cepat dalam kasus ini. Hanya dalam hitungan minggu, sembilan tersangka ditetapkan dan sejumlah barang bukti disita, mulai dari uang tunai, telepon genggam, harddisk, komputer, hingga rekaman CCTV.
Namun dia menilai langkah itu belum cukup. Menurut Iskandar, Polisi baru datang setelah uang raib, tidak memiliki akses real-time ke sistem perbankan, dan masih berpikir konvensional dalam menghadapi kejahatan yang sudah sepenuhnya digital.
“Kesimpulannya, polisi adalah pemadam api yang datang terlambat. Rumah sudah kebakaran, baru mereka tiba,” kata Iskandar.
Apa kata BPK karena 10 tahun peringatan Diabaikan?
Di luar kelalaian keempat lembaga tersebut, Iskandar menyoroti satu hal yang menurutnya paling membuatnya geram, yaitu peringatan Badan Pemeriksa Keuangan (BPK) yang diabaikan selama 10 tahun dan lembaga ini juga hanya terdiam.
Dia mengungkapkan beberapa fakta terkait BPK. Fakta pertama, BPK bekerja berdasarkan UU Nomor 15 Tahun 2006 tentang BPK dan UU Nomor 15 Tahun 2004 tentang Pemeriksaan Keuangan Negara. Tugas BPK mencakup memeriksa pengelolaan keuangan negara, menilai sistem pengendalian intern, menilai kepatuhan terhadap peraturan, serta memberi rekomendasi.
Menurut Iskandar, meski BPK tidak memiliki kewenangan menyidik, lembaga itu telah bertahun-tahun menemukan kelemahan sistem yang berpotensi menjadi pintu masuk tindak pidana.
Fakta kedua, IAW mengupas pola temuan BPK dari 2015 hingga 2024 dan menemukan lima kelemahan yang terus berulang.
Pertama, kelemahan sistem pengendalian intern bank yang muncul di 70 persen LHP bank BUMN, mencakup pengendalian akses sistem core banking yang lemah, user ID yang tidak dikelola ketat, serta pemisahan fungsi yang tidak berjalan. Dalam kasus BNI, user ID teller dan kepala cabang terbukti dipinjamkan ke sindikat, persis seperti yang selama ini diperingatkan BPK.
Kedua, kelemahan monitoring transaksi mencurigakan yang muncul di 60 persen LHP audit kepatuhan. Sistem anti-fraud dinilai belum efektif, parameter deteksi transaksi tidak memadai, dan transaksi besar tidak terdeteksi secara real-time. Dalam kasus BNI, 42 transaksi dalam 17 menit seharusnya menjadi tanda bahaya, namun sistem tidak bereaksi sama sekali.
Ketiga, data nasabah yang tidak terbarui atau KYC yang lemah, muncul di 50 persen LHP. Data nasabah tidak diperbarui secara berkala, rekening lama tidak diverifikasi ulang, dan proses KYC serta customer due diligence tidak berjalan optimal. Rekening dormant dengan data lama inilah yang menjadi pintu masuk sindikat.
Keempat, rekening tidak aktif yang tidak dikelola dengan baik, muncul di 40 persen LHP audit dana pihak ketiga. Saldo mengendap lama tidak diawasi dan rekening tidak bergerak tanpa rekonsiliasi. BPK sudah lama memperingatkan bahwa rekening pasif bukan sekadar saldo diam, melainkan potensi risiko nyata.
Kelima, kelemahan tata kelola atau good corporate governance yang muncul di 80 persen LHP bank BUMN. Direksi dinilai tidak optimal mengawasi sistem, komisaris tidak menjalankan fungsi kontrol, dan manajemen risiko tidak efektif. “Ini yang paling penting. Kasus dormant ini bukan masalah teknis. Ini kegagalan governance,” kata Iskandar.
Fakta ketiga, Iskandar menyimpulkan bahwa seluruh temuan BPK selama 10 tahun itu bermuara pada empat hal, yaitu sistem internal bank yang lemah, pengawasan transaksi yang tidak efektif, data nasabah yang tidak valid, dan tata kelola yang tidak berjalan. “Keempat hal ini adalah DNA dari kasus rekening dormant yang dibobol,” kata Iskandar.
“Jadi jangan ada yang bilang BPK tidak pernah memperingatkan. Mereka sudah 10 tahun berteriak. Yang tidak mendengar bukan BPK. Tapi regulator dan bank yang memilih tuli. Kemudian BPK juga akhirnya diam,” lanjutnya.
Kenapa Bisa Serentak Lalai?
Iskandar menyebut ada tiga penyebab sistemik yang membuat keempat lembaga bisa lalai secara bersamaan. Penyebab pertama adalah ego sektoral yang kronis. Menurut dia, hal ini adalah penyakit tertua birokrasi Indonesia. Sehingga, setiap lembaga merasa paling benar dan takut diganggu lembaga lain.
Menurut Iskandar, OJK merasa sebagai satu-satunya pengawas bank, BI merasa sebagai satu-satunya penjaga sistem pembayaran, PPATK merasa sebagai satu-satunya pusat intelijen keuangan, dan Polisi merasa sebagai satu-satunya penegak hukum.
“Akibatnya tidak ada kolaborasi. Mereka buat perjanjian kerja sama. Tanda tangan dan foto bareng, tapi di lapangan masing-masing jalan sendiri. Padahal, sindikat kriminal tidak punya ego sektoral. Mereka kerja sama lintas lembaga. Internal bank kolaborasi dengan sindikat luar. Eksekutor kolaborasi dengan pencuci uang. Sindikat bekerja terpadu. Penjaga bekerja terpecah. Ini sebabnya sindikat selalu selangkah lebih maju,” ungkapnya.
Penyebab kedua adalah budaya takut salah yang melumpuhkan. Iskandar menilai para birokrat lebih memilih tidak bertindak daripada bertindak dan dipersalahkan. OJK dinilai takut mengganggu bank besar, BI takut sistemnya dianggap mengganggu nasabah, PPATK takut diblokir pemerintah dan DPR, sementara Polisi takut dibilang melampaui wewenang.
“Ini paralisis birokrasi. Itu artinya ada kondisi di mana sistem pemerintahan atau organisasi tidak mampu mengambil keputusan atau melakukan tindakan karena prosedur yang berbelit-belit, ketakutan akan kesalahan, atau konflik kepentingan. Sementara sindikat kriminal tidak takut apa pun. Mereka berani, cepat dan inovatif. Lalu siapa yang menang? Jelas sindikat mengalahkan negara,” paparnya.
Penyebab ketiga adalah tidak adanya sanksi untuk kelalaian sistemik. Iskandar mencatat, setelah kasus BNI mencuat, tidak ada satu pun sanksi yang dijatuhkan kepada OJK, BI, PPATK, maupun kepolisian.
“Pimpinan keempat lembaga itu tetap aman di kursi mereka. Gaji tetap cair, tunjangan tetap masuk. Lalu mengapa mereka akan berubah? Untuk apa berubah? Toh tidak ada insentif untuk berubah, tidak ada hukuman untuk kelalaian,” kata Iskandar.
Dia menegaskan, akar masalah sesungguhnya bukan pada kebijakan, anggaran, maupun teknologi, melainkan pada tanggung jawab yang tidak pernah ditegakkan.
Model Tata Kelola yang Benar
Iskandar kemudian memaparkan model tata kelola yang seharusnya diterapkan. Prinsip pertama, bank harus dipahami sebagai penitip, bukan pemilik uang nasabah. Uang di rekening nasabah, baik aktif maupun dormant, adalah hak milik nasabah sepenuhnya. Maka kewajiban bank menjaganya sama besarnya, baik rekening aktif maupun tidak.
“Konsekuensinya adalah sistem keamanan untuk rekening dormant harus sama ketatnya dan monitoring harus sama intensifnya. Yang terjadi di BNI adalah rekening dormant justru jadi target karena pengawasannya kendur. Ini pelanggaran prinsip dasar,” tegasnya.
Prinsip kedua, pencegahan lebih baik daripada penindakan. Iskandar menilai negara maju selalu fokus pada pencegahan, sementara Indonesia masih terjebak pada penindakan setelah kejadian.
Dia mencontohkan Hong Kong dan Inggris yang menerapkan enhanced monitoring untuk rekening dormant, verifikasi identitas untuk setiap perubahan, serta multi-signatory untuk pembayaran besar.
Sementara Indonesia, kata Iskandar, masih berkutat pada pola mengejar pelaku setelah uang raib, pemblokiran massal yang tidak terukur, dan sidang media dengan tumpukan uang. “Mengejar pelaku itu penting. Tapi kalau hanya itu, siklusnya tidak akan pernah berhenti,” tegasnya.
Prinsip ketiga, tanggung jawab harus sampai ke puncak. Iskandar menilai prinsip ini adalah yang paling sering dilanggar di Indonesia. Setiap kali ada kasus, yang menjadi tersangka hanya oknum di level bawah, sementara pimpinan puncak tidak pernah tersentuh.
Dia membandingkan dengan praktik di Hong Kong dan Inggris, di mana pejabat yang bertanggung jawab dapat dipersoalkan fit and proper test-nya, dan senior responsible officer bertanggung jawab penuh atas kepatuhan lembaganya.
Sementara dalam kasus BNI, Iskandar mencatat direksi dan komisaris BNI tetap aman, begitu pula OJK sebagai pengawas yang tidak ada satu pun pejabatnya dimintai pertanggungjawaban.
“Kalau pimpinan tidak pernah bertanggung jawab, apakah mereka akan memperbaiki sistemnya? Tentu tidak,” kata Iskandar.
Jangan Jadi Negara yang Menerima Kegagalan
Iskandar menegaskan, raibnya Rp204 miliar dalam 17 menit bukan karena sindikat yang terlalu cerdas, melainkan karena empat lembaga penjaga sistem keuangan gagal menjalankan fungsinya secara bersamaan.
Dia mengingatkan, BPK sudah 10 tahun memperingatkan kelemahan sistem perbankan. Namun OJK tidak pernah turun melakukan pemeriksaan mendadak, BI tidak pernah mengupgrade sistem deteksinya, PPATK terikat keterbatasan kewenangan, dan Polisi baru datang setelah uang raib.
“Dan ketika uang rakyat raib, mereka semua bilang ini ulah oknum. Sesungguhnya, bukan. Ini kegagalan sistem. Sistem yang membiarkan temuan BPK diabaikan. Sistem yang membuat para pengawas takut bertindak. Sistem yang tidak pernah menghukum kelalaian di puncak,” paparnya.
Dia pun memperingatkan bahwa pola ini akan terus berulang selama pengawas tidak diawasi, regulator tidak diregulasi, dan penegak hukum tidak ditegakkan. “Jangan tidur lagi. Karena rakyat sudah lelah membangunkan kalian,” tutup Iskandar.
