Kasus Bank 9 Jambi bukan lagi sekadar cerita tentang hilangnya saldo nasabah. Ini adalah kisah tentang bagaimana sebuah sistem keuangan publik bisa goyah, bagaimana akuntabilitas diuji, dan bagaimana transparansi justru sering datang terlambat setelah publik telanjur resah. Berdasarkan laporan publik, dugaan pembobolan terjadi pada 22 Februari 2026 dan berdampak pada sekitar 6.000 nasabah dengan kerugian yang oleh penyidik disebut mencapai Rp143 miliar. Bank kemudian melapor ke Polda Jambi, mengaitkan perkara ini dengan UU ITE, sementara kepolisian menyebut masih melakukan penyelidikan dan audit forensik belum selesai.
Di titik inilah kita perlu bertanya: mengapa sistem sebesar core banking bisa bocor sedemikian jauh? Mengapa publik baru mengetahui skala persoalan setelah saldo hilang, pemberitaan ramai, dan aparat turun tangan? Mengapa bank harus bergerak dalam mode reaktif, bukan pencegahan? Dan mengapa sampai hari ini masih ada ruang besar untuk ketidakjelasan tentang jalur masuk, titik lemah, dan siapa yang sebenarnya gagal menjaga sistem? Pertanyaan-pertanyaan itu menjadi semakin relevan ketika publik mengetahui bahwa ada pihak ketiga yang mengelola infrastruktur tertentu dan bahwa proses audit forensik dilakukan melalui vendor.
Dari sisi teknis, halaman publik Fortress Data Services atau FDS memberi petunjuk penting tentang jenis layanan yang mereka klaim. Pada halaman Cyber Security & Fraud, FDS menyatakan menyediakan solusi terintegrasi yang mencakup asset discovery, vulnerability assessment, intrusion detection, serta SIEM & log management, dengan sensor di dalam jaringan untuk mendeteksi aktivitas mencurigakan dan sebuah Security Operation Center di Rempoa yang memantau beberapa institusi keuangan. Mereka juga menonjolkan kemampuan deteksi ancaman, anti-fraud, AML, KYC, dan kemitraan dengan AlienVault. Pada halaman Core Banking Solution, FDS menjelaskan layanan core banking berbasis Temenos T24, termasuk lebih dari 700 open API untuk integrasi. Sementara halaman Regulatory Reporting & IFRS9 menekankan automasi pelaporan, efisiensi, dan “robust governance features” untuk kepatuhan. Semua itu adalah klaim publik yang relevan untuk ditelisik, bukan bukti bahwa sistem mereka sudah tentu gagal; tetapi justru karena klaim itu besar, pertanyaannya menjadi lebih tajam ketika insiden tetap terjadi.
Dari kacamata cybersecurity, setidaknya ada empat dugaan jalur masalah yang layak diuji. Pertama, rantai pasok vendor: jika core banking dan pengamanan digital berada dalam ekosistem pihak ketiga, maka titik masuk bisa saja muncul dari integrasi, otorisasi, atau pengelolaan akses yang tidak cukup ketat. Kedua, eksposur API: ketika sebuah sistem memiliki ratusan open API, pengamanan autentikasi, pembatasan hak akses, dan pemantauan lalu lintas menjadi sangat krusial. Ketiga, monitoring dan logging: jika SOC, SIEM, dan sensor bekerja sebagaimana diklaim, maka harus ada jejak yang jelas tentang kapan anomali pertama kali muncul dan siapa yang meresponsnya. Keempat, kontrol identitas internal: dalam banyak insiden perbankan, masalah tidak selalu datang dari “peretasan besar” semata, tetapi dari kredensial bocor, hak akses terlalu luas, atau change management yang lemah. Ini adalah inferensi teknis dari struktur layanan yang mereka publikasikan, bukan kesimpulan final atas penyebab insiden Bank 9 Jambi.
Yang menjadi masalah utama bukan hanya kemungkinan serangannya, melainkan respons dan keterbukaan setelah serangan terjadi. Jika memang ada SOC, SIEM, sensor jaringan, dan tata kelola yang matang, maka publik berhak bertanya: alarm apa yang muncul pada hari kejadian? siapa yang menerima notifikasi? apakah ada isolasi jaringan? apakah backup dan pemulihan diuji? apakah akses admin dicabut segera? apakah vendor diminta membuka log lengkap? Tanpa jawaban yang terang, publik hanya melihat hasil akhir: saldo hilang, sistem terganggu, dan bank meminta tenang. Padahal dalam krisis keuangan, ketenangan publik justru lahir dari transparansi, bukan dari pernyataan yang serba umum.
Dari sisi hukum, kasus ini bergerak di beberapa lapis sekaligus. Pertama, UU ITE menjadi dasar yang paling dekat karena laporan Bank Jambi sendiri merujuk ke undang-undang tersebut, dan rezim hukum ITE memang memuat larangan terhadap akses tanpa hak ke komputer atau sistem elektronik. Kedua, UU Perlindungan Data Pribadi menempatkan data nasabah sebagai objek yang wajib dilindungi, termasuk kewajiban pengendali dan prosesor data. Ketiga, POJK 11/POJK.03/2022 dan SEOJK 29/SEOJK.03/2022 menegaskan kewajiban bank umum dalam penyelenggaraan TI dan ketahanan siber, termasuk penyampaian notifikasi awal serta laporan insiden siber kepada OJK dalam jangka waktu yang ditentukan. OJK sendiri secara resmi menyatakan bahwa POJK PTI dimaksudkan untuk memperkuat pengamanan informasi, tata kelola, manajemen risiko, dan ketahanan siber industri perbankan.
Di titik hukum ini, tanggung jawab tidak bisa hanya diarahkan ke “hacker” sebagai pelaku eksternal. Jika investigasi menemukan bahwa titik lemah ada pada pengawasan vendor, konfigurasi sistem, kebijakan akses, atau kelalaian tata kelola, maka tanggung jawab dapat bergeser ke ranah kelalaian korporasi. Itulah sebabnya peran Bank 9 Jambi tidak cukup dijelaskan sebagai korban semata tanpa pemeriksaan lanjutan. Sebab bank adalah pihak yang memegang amanah keamanan dana nasabah, sedangkan vendor adalah pihak yang memegang amanah teknis atas sistem yang sangat sensitif. Dalam kasus seperti ini, pertanyaan yang tepat bukan hanya “siapa yang meretas?” melainkan juga “siapa yang membuka pintu, siapa yang terlambat menutupnya, dan siapa yang seharusnya memantau tetapi tidak melihat?”
Peran masing-masing pihak harus dibaca dengan tegas. Bank 9 Jambi wajib menjelaskan kronologi, memastikan pemulihan dana, dan membuka hasil investigasi secara proporsional kepada regulator dan publik. Vendor wajib menyerahkan log, konfigurasi, audit trail, dan bukti pengamanan yang dipakai pada sistem yang mereka kelola. OJK harus memastikan kepatuhan terhadap aturan tata kelola dan pelaporan insiden. Bank Indonesia berkepentingan menjaga stabilitas sistem pembayaran dan kepercayaan publik. Kepolisian harus mengunci bukti digital sedini mungkin agar perkara tidak berubah menjadi saling lempar tanggung jawab. Tanpa pembagian peran yang jelas, publik hanya akan disuguhi narasi yang membingungkan, sementara nasabah menanggung beban ketidakpastian.
Dari sisi pengamatan finansial, dampaknya juga lebih luas dari sekadar nominal kerugian. Kasus ini menyentuh inti dari kepercayaan terhadap bank daerah: apakah dana masyarakat benar-benar aman, apakah transformasi digital dijalankan dengan kontrol yang memadai, dan apakah kerja sama dengan pihak ketiga dilakukan dengan pengawasan yang cukup. FDS sendiri di halaman publiknya menampilkan diri sebagai one-stop service provider untuk kebutuhan TI bank, termasuk cybersecurity, core banking, dan pelaporan regulasi. Namun justru karena posisinya sedemikian strategis, publik berhak mengharapkan standar transparansi yang lebih tinggi ketika terjadi gangguan. Kredibilitas vendor teknologi keuangan tidak diukur dari seberapa indah halaman promosinya, melainkan dari seberapa kuat ia membantu bank bertahan saat sistem diuji oleh krisis.
Pada akhirnya sampai pada satu kesimpulan yang sulit dihindari: masalah terbesar dalam kasus Bank 9 Jambi bukan hanya serangan sibernya, melainkan bagaimana serangan itu membuka kelemahan tata kelola, pengawasan vendor, dan akuntabilitas publik. Jika benar ada celah pada sistem pihak ketiga, maka itu bukan sekadar urusan teknis, melainkan urusan tata kelola dan hukum. Jika benar bank telah menjalankan seluruh prosedur dengan benar, maka hasil forensik harus dibuka secara cukup agar publik mengerti. Tetapi jika ada kelalaian yang disembunyikan di balik narasi “sedang ditangani”, maka yang dipertaruhkan bukan hanya dana nasabah, melainkan juga legitimasi kepercayaan terhadap institusi keuangan daerah.
