Cegah Pembobolan Berulang, Bahu-Membahu Perkuat Pagar Siber Bursa
Jakarta, FORTUNE - Sejumlah serangan siber di pasar modal dipandang sebagai ancaman serius terhadap integritas dunia investasi. Regulator dan pelaku industri pun bahu-membahu memperkuat pagar keamanan sistem teknologi informasi.
Setelah video siniar dengan Annalia Setiawan mengudara (15/9), Leonard Hartono, Pendiri The Overpost, banyak menerima laporan via fitur direct message akun Instagram tentang kerugian investasi akibat dugaan serangan siber di aplikasi investasi. Dalam siniar itu, Annalia bercerita
ihwal raibnya 90 persen (sekitar Rp160 juta) portofolio investasinya. Investor yang juga ibu dari tiga anak itu berkisah dengan suara bergetar, dana yang telah ia sisihkan selama 7 tahun itu lenyap hanya dalam dua jam. Kira-kira, ada 600 kali transaksi tak dikenal pada riwayat jual-beli akun investasinya pada awal September 2025.
“Buat saya itu angka yang lumayan, bisa untuk membiayai tiga anak saya sekolah sampai dua tahun. Harusnya uang ini bisa jadi masa depan mereka,” katanya.
Sepekan kemudian, Leonard kembali menerima tamu yang membagikan kisah serupa. Kali ini, Natasha, 24, menceritakan pengalaman orang tuanya. Pada November 2024, nilai investasi dalam portofolio sang ibu menyusut 99 persen, dari Rp1,69 miliar menjadi Rp16,4 juta.
Mayoritas dana itu disimpan di rekening dana nasabah (RDN), dengan kisaran Rp1,3 miliar–Rp1,4 miliar. Sisanya berupa saham big banks yang berujung dijual oleh sang peretas. Ribuan transaksi tak dikenal pada akun ibu Natasha terjadi pada 18–19 November 2024. Namun, hingga September 2025, proses penyelesaian kasus itu belum juga usai.
Kesamaan dalam kedua kasus itu terletak pada penggunaan dana untuk membeli saham-saham small caps dan instrumen waran. Mereka juga sama-sama sempat sulit mengakses akun di aplikasi investasinya. Hanya saja, pada kasus Annalia, terduga peretas tak ‘membobol’ RDN, tapi hanya menjual saham-saham big banks-nya.
Kasus yang menimpa Annalia dan Natasha rupanya hanya puncak gunung es. Sepanjang 2025, media melaporkan setidaknya empat kasus insiden keamanan siber yang melanda sekuritas di Indonesia. Kasus terbaru menimpa anak usaha PT Panca Global Kapital Tbk (PEGE), Panca Global Sekuritas. Bahkan turut membawa nama PT Bank Central Asia Tbk (BBCA) selaku bank RDN.
Trisno Limanto, Direktur PEGE, mengonfirmasi adanya penarikan dana pada RDN secara berulang dan dalam waktu relatif singkat. Namun, tujuannya bukan rekening perusahaan yang sebelumnya didaftarkan. Transfer dana itu diduga dilakukan melalui API (Application Programming Interface) host-to-host Bank Central Asia.
Estimasi dugaan kerugiannya mencapai Rp70 miliar. Namun, Trisno membantah nilai nominal tersebut. “Manajemen Panca Global Sekuritas masih melakukan verifikasi dan berkoordinasi dengan pihak bank RDN,” katanya (12/9). “Manajemen telah melakukan tindakan pada 10 September 2025 dengan mengembalikan dana pada RDN yang terdampak.”
Selain itu, Panca Global Sekuritas pun mematikan sistem yang terganggu sehingga berujung berdampak terhadap akses platform perdagangan daring. Investigasi pun dilakukan bersama-sama oleh PEGE, BBCA, dan institusi penerima dana.
Sementara itu, Sekretaris Perusahaan BBCA, I Ketut Alam Wangsawijaya, mengatakan, sistem BCA aman. “BCA senantiasa melakukan pengamanan data dengan menerapkan strategi dan standar keamanan berlapis, serta mitigasi risiko yang diperlukan untuk menjaga keamanan data dan transaksi digital nasabah,” katanya dalam keterbukaan informasi.
Sebelum itu, kasus serupa juga menimpa nasabah RHB Sekuritas, Juli 2025. Dalam keterangan resmi, perusahaan menyebut, terdapat transfer dana ilegal dari beberapa RDN RHB Sekuritas menuju rekening lain bernama PT Beatrix Battery Indonesia. Pengiriman dana diduga dilakukan lewat Permata E-Business. Atas kasus itu, Bank Permata telah memblokir rekening tujuan dan sempat menutup layanan RDN untuk RHB Sekuritas secara temporer.
Begitu pula kejadian serupa melanda NH Korindo Sekuritas dan Trimegah Sekuritas. Itu baru yang terdokumentasi di media, belum termasuk kejadian yang tak dilaporkan.
Otoritas Jasa Keuangan (OJK) sendiri telah berkomunikasi dengan lembaga jasa keuangan terkait.
“Seluruh kerugian yang terjadi akibat insiden ‘pembobolan’ RDN tersebut ditanggung sepenuhnya oleh LJK, sehingga nasabah sama sekali tidak dirugikan,” kata mantan Kepala Eksekutif Pengawas Pasar Modal, Keuangan Derivatif, dan Bursa Karbon, Otoritas Jasa Keuangan, Inarno Djajadi (9/10).
Kasus seperti itu memang dapat dilaporkan ke OJK. Hanya, proses pembuktiannya memang memerlukan waktu, sehingga lebih banyak kasus yang diselesaikan antara nasabah dan sekuritas tanpa melibatkan OJK.
Sebagai lapisan terakhir perlindungan investor, PT Penyelenggara Program Perlindungan Investor Efek Indonesia atau SIPF, belum menerima laporan ihwal pengajuan klaim dari investor ataupun ketidakmampuan perusahaan sekuritas dalam memenuhi kewajiban atas aset nasabah pada 2025.
“Sehingga belum terdapat pelaksanaan pembayaran klaim kepada pihak investor,” kata Direktur SIPF, Dwi Shara Soekarno (17/10).
Kerentanan Koneksi API
Dari perspektif ahli keamanan siber, penyebabnya diduga terletak pada kerentanan pada koneksi API antara bank kustodian dan platform sekuritas. Ibaratnya, itu seperti dua buah rumah dalam satu lahan yang terhubung lewat pintu belakang untuk memudahkan mobilitas.
Di pasar modal, pintu yang menghubungkan keduanya bagaikan koneksi API: Jalan pintas digital untuk mentransfer data dan dana milik nasabah.
Pintu belakang yang menghubungkan kedua ‘rumah’ itu mesti dikunci rapat. Jika tidak begitu, maka ada celah bagi perampok untuk memanfaatkannya ketika pemilik rumah tak menyadari. Pada koneksi API aplikasi investasi dan bank kustodian, celah keamanan itu sama berbahayanya dengan skenario tersebut.
“Kelemahannya, ‘pintu’ [API] itu sering kurang dikunci rapat, jadi hacker bisa menyusup, memalsukan instruksi, dan memindahkan uang tanpa alarm berbunyi,” kata Executive Director Indonesia ICT Institute, Heru Sutadi kepada Fortune Indonesia (15/10). “Sederhananya, seperti pencuri yang pakai kunci duplikat untuk masuk garasi tanpa ketahuan pemilik rumah.”
Perusahaan keamanan siber, Imperva, menyebut API merupakan medan perang utama di ranah siber saat ini. Di antara lebih dari 4.000 titik yang mereka pantau, ada lebih dari 40.000 insiden keamanan terkait API pada semester-I 2025. Volume itu sama dengan rata-rata lebih dari 220 insiden setiap hari. Imperva pun mencatatkan lonjakan serangan application-layer DDoS hingga 15 juta permintaan per detik terhadap API keuangan. Mereka menyebut para peretas itu telah menggabungkan skala serangan dengan “kemampuan siluman”.
Modus pembobolan ini juga jamak dilakukan di luar negeri, bahkan sudah sejak lama terjadi. Di antaranya, MF Global di Amerika Serikat (2011) dan Karvy Stock Broking di India (2019).
“Penyiasatannya? AS memperketat aturan segregasi dana dan audit independen melalui SEC (Securities and Exchange Commission). Sementara, SEBI (Securities and Exchange Board of India) melarang broker itu beroperasi dan wajibkan dua lapis untuk transaksi,” kata Heru.
OJK bersama para Self-Regulatory Organization (SRO) pun memperkuat pengawasan terhadap aspek keamanan teknologi informasi para pelaku industri pasar modal, mendorong penguatan infrastruktur keamanan siber, dan menjalin koordinasi lintas lembaga.
Salah satunya, dengan menerbitkan Surat Edaran Bersama PT Bursa Efek Indonesia (BEI), PT Kliring Penjaminan Efek Indonesia (KPEI), dan PT Kustodian Sentral Efek Indonesia (KSEI) pada 12 September 2025. Lewat edaran itu, pemegang rekening KSEI dan bank RDN, dengan koneksi host-to-host atau API, wajib menghentikan koneksi tersebut setiap hari, kecuali memenuhi persyaratan yang ditetapkan.
Syarat-syaratnya, antara lain: menerapkan standar keamanan yang memadai, transfer dana hanya bisa ke nomor rekening milik nasabah atau yang sudah didaftarkan sebelumnya (whitelist), melakukan rekonsiliasi secara berkala minimal setiap empat bulan antara pemegang rekening KSEI dan bank RDN atas data whitelist, hingga pemberian notifikasi transaksi oleh bank RDN ke pemegang rekening KSEI. Para perusahaan efek dan bank penyedia RDN pun diminta mengikuti ketentuan itu.
Lebih lanjut, sejumlah rencana aksi juga telah disusun sebagai program strategis peningkatan keamanan siber di lingkup pasar modal. Antara lain: pembaruan beberapa pedoman teknis dari BEI—seperti pedoman terkait online trading, brokerage office System (BOFIS)—dan keamanan sistem anggota bursa), serta pembaharuan pedoman di KSEI. Selain itu, akan dilakukan asesmen menyeluruh terhadap status keamanan sistem yang digunakan oleh para anggota bursa (AB).
Direktur Teknologi Informasi dan Manajemen Risiko BEI, Sunandar, mengatakan, proses asesmen atas status keamanan AB sedang berjalan dengan berbagai pendekatan. “Dalam pelaksanaannya digunakan pendekatan berbasis risiko sebagai penentuan prioritas,” katanya (20/10). “Paralel dengan proses tersebut, BEI juga memastikan semua AB telah memastikan ketersediaan dan efektivitas pengendalian melalui himbauan, Control Self Assessment (CSA) dan serangkaian program peningkatan kualitas sumber daya manusia.”
Heru menilai, tindakan OJK dan SRO itu termasuk langkah maju. Tapi, masih diperlukan pengawasan lekat secara terus-menerus. Selain itu, diperlukan sanksi bagi para pihak yang melanggar ketentuan tersebut.
Contoh sanksi bisa berupa penghentian sementara operasional—mirip suspensi sementara pada saham. “Dari segi sistem, perlu menyesuaikan dengan model internasional seperti FINRA di AS yang fokus pada pencegahan unauthorized trading lewat aturan keamanan siber dan berbagi laporan aktivitas mencurigakan,” kata Heru.
