Fondasi Hukum: UU P2SK sebagai Mandat Kewenangan BI
PBI 10/2025 tidak bermula dari kekosongan hukum. Ia merupakan perwujudan langsung dari Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan (UU P2SK), yang diundangkan pada 5 Januari 2023.
UU P2SK (Pasal 1 ayat 1) mengamanatkan kepada Bank Indonesia untuk "memelihara stabilitas sistem pembayaran dan sistem nilai tukar" sebagai bagian dari komitmen pemerintah terhadap pengembangan dan penguatan sektor keuangan. Mandat ini jauh lebih luas dan eksplisit dibandingkan regulasi sebelumnya.
Artinya, PBI 10/2025 bukan sekadar keputusan internal Bank Indonesia, tetapi implementasi dari mandat legislatif yang jelas. Setiap kewajiban dalam PBI 10/2025 dapat ditelusuri kembali kepada mandat UU P2SK. Implikasi: kepatuhan terhadap PBI 10/2025 adalah kepatuhan terhadap amanat undang-undang — tingkat keformalan dan keharusan paling tinggi dalam hierarki hukum Indonesia.
UU No. 3/2011 tentang Transfer Dana
Selain UU P2SK, UU No. 3/2011 tentang Transfer Dana tetap berlaku dan menjadi dasar hukum bagi Bank Umum dalam menyelenggarakan transfer dana. PBI 10/2025 mengakui dan mengintegrasikan UU Transfer Dana (Pasal 7 ayat 1 huruf b angka 3) dengan menempatkan Bank Umum sebagai kategori PSP ketiga yang tunduk pada PBI 10/2025.
Hubungan antara UU Transfer Dana dan PBI 10/2025: UU Transfer Dana memberikan kewenangan kepada Bank Umum untuk menyelenggarakan transfer dana. PBI 10/2025 menetapkan standar minimum tentang bagaimana Bank Umum harus menjalankan fungsi tersebut (TIKMI, tata kelola, manajemen risiko, permodalan, dll.). Bank Umum wajib mematuhi keduanya secara bersamaan — UU Transfer Dana untuk aspek fundamental aktivitas transfer, dan PBI 10/2025 untuk aspek regulasi industri pembayaran.
UU No. 27/2022 tentang Perlindungan Data Pribadi (UU PDP)
PBI 10/2025 berinteraksi secara signifikan dengan UU Perlindungan Data Pribadi (Pasal 97 ayat 5 dan Pasal 99). UU PDP mengatur perlindungan data pribadi warga negara Indonesia dan penduduk Indonesia dalam segala aspek, termasuk pemrosesan oleh sektor keuangan.
Pasal 97 ayat 5 PBI 10/2025 menetapkan bahwa penyelenggaraan sistem pembayaran harus "memenuhi ketentuan Undang-Undang tentang Perlindungan Data Pribadi". Ini berarti setiap PSP, Penyelenggara Penunjang, Peserta, dan Pihak Terhubung harus:
1. Memahami dan menerapkan prinsip-prinsip perlindungan data pribadi dalam UU PDP: persetujuan data subject, tujuan spesifik, transparansi, keamanan, dan hak-hak data subject.
2. Memiliki dasar hukum yang jelas untuk memproses data pribadi (misalnya, persetujuan eksplisit dari pengguna, keperluan kontrak, kepatuhan hukum, kepentingan publik, dll.). Pasal 99 PBI 10/2025 secara spesifik menetapkan bahwa pemrosesan data untuk keperluan sistem pembayaran harus memiliki dasar hukum yang jelas.
3. Menerapkan prinsip "data minimization" — hanya mengumpulkan dan memproses data yang benar-benar diperlukan untuk fungsi pembayaran.
4. Memastikan keamanan data dengan enkripsi, akses control, dan audit trail yang ketat.
5. Memberikan hak-hak kepada data subject (right of access, right to rectification, right to erasure dalam kondisi tertentu, right to data portability).
6. Melakukan Data Protection Impact Assessment (DPIA) sebelum meluncurkan layanan atau sistem pembayaran baru yang memproses data pribadi dalam skala besar atau dengan risiko tinggi.
Khusus untuk transfer data ke luar negeri (Pasal 99), PSP dan pihak lainnya tidak dapat mentransfer data pembayaran pribadi ke negara lain tanpa memenuhi standar perlindungan data yang setara dengan Indonesia. Ini adalah pembatasan signifikan bagi PSP yang ingin menggunakan infrastruktur atau penyedia layanan cloud internasional — mereka harus memastikan penyedia layanan tersebut memenuhi standar privasi Indonesia.
| WAWASAN BITLION | Interaksi antara PBI 10/2025 dan UU PDP menciptakan "double compliance burden" yang kompleks. PSP harus memahami tidak hanya persyaratan teknis sistem pembayaran (TIKMI, infrastruktur, manajemen risiko) tetapi juga persyaratan perlindungan data pribadi yang ketat. Ini adalah area di mana banyak PSP, khususnya startup kecil, masih memiliki kelemahan — mereka mungkin memenuhi standar TIKMI tetapi tidak memenuhi standar UU PDP dalam hal praktik pemrosesan data. Bitlion Knowledge Hub akan membahas implementasi UU PDP dalam konteks sistem pembayaran dalam artikel terpisah. |
POJK Fintech dan Otoritas Jasa Keuangan (OJK)
Beberapa PSP, khususnya fintech payment dan lending yang juga menawarkan jasa keuangan lainnya, juga tunduk pada pengawasan OJK melalui POJK (Peraturan Otoritas Jasa Keuangan).
Pembagian kewenangan antara BI dan OJK cukup jelas: Bank Indonesia bertanggung jawab atas stabilitas sistem pembayaran dan pengaturan sistem pembayaran (PBI 10/2025). OJK bertanggung jawab atas perlindungan konsumen jasa keuangan dan pengaturan layanan jasa keuangan non-bank (lending, investasi, asuransi, dll.).
Namun, dalam praktik, ada area tumpang tindih ("overlap") yang memerlukan koordinasi:
Fintech yang menawarkan layanan pembayaran sekaligus lending (seperti BNPL) tunduk pada regulasi BI (PBI 10/2025 untuk aspek pembayaran/deferred payment) dan OJK (POJK untuk aspek lending/kredit konsumtif).
E-wallet provider yang juga menawarkan asuransi atau investasi tunduk pada PBI 10/2025 (untuk e-wallet) dan POJK (untuk asuransi/investasi).
Pasal 166-169 PBI 10/2025 secara eksplisit mengatur "Koordinasi dan Kerja Sama" antara BI dengan OJK, BSSN, PPATK, dan otoritas lainnya. Koordinasi ini memastikan bahwa PSP yang tunduk pada regulasi ganda tidak mengalami persyaratan yang saling bertentangan, dan memfasilitasi pertukaran informasi antar-otoritas untuk tujuan pengawasan yang efektif.
Implikasi praktis: PSP yang merupakan "multi-entity" dalam ekosistem jasa keuangan harus membangun fungsi "regulatory intelligence" yang kuat untuk melacak kewajiban dari berbagai otoritas dan memastikan compliance terpadu.
Regulasi BSSN dan Keamanan Siber
Keamanan siber adalah komponen penting dari TIKMI (khususnya dimensi "Infrastruktur TI" dan "Manajemen Risiko"). Pasal 21-27 PBI 10/2025 menyebutkan bahwa aspek infrastruktur TI dalam TIKMI harus mengacu pada standar keamanan yang berlaku, termasuk standar dari Badan Siber dan Sandi Negara (BSSN).
BSSN adalah lembaga pemerintah yang bertanggung jawab atas keamanan informasi nasional dan memiliki kewenangan untuk menetapkan standar keamanan siber untuk infrastruktur kritis nasional. Sistem pembayaran adalah infrastruktur kritis, sehingga BSSN memiliki peran dalam menetapkan standar keamanan.
PSP dan Penyelenggara Penunjang wajib:
1. Menerapkan standar keamanan siber yang ditetapkan BSSN atau standar internasional yang setara (ISO 27001 untuk information security management, NIST Cybersecurity Framework, atau standar regional).
2. Melaporkan insiden keamanan siber kepada BSSN jika terjadi serangan atau pelanggaran keamanan yang mengancam infrastruktur kritis.
3. Melakukan security assessment dan penetration testing secara berkala untuk mengidentifikasi kerentanan sistem.
4. Memiliki incident response plan dan disaster recovery plan yang terintegrasi dengan BSSN dalam konteks respons terhadap serangan siber nasional.
Hubungan antara BI dan BSSN dalam hal keamanan siber diatur melalui Memorandum of Understanding (MOU) yang tidak diuraikan dalam PBI 10/2025 tetapi akan diatur dalam PADG atau perjanjian bilateral BI-BSSN.
Regulasi PPATK dan Anti-Pencucian Uang (APU-PPT)
Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK) adalah lembaga independen yang bertanggung jawab atas pencegahan pencucian uang dan pembiayaan terorisme. PSP, sebagai lembaga yang mengelola transaksi keuangan, adalah "reporting entities" yang wajib melaporkan transaksi mencurigakan ke PPATK.
Kewajiban APU-PPT bagi PSP (Pasal 139-146 tentang data dan informasi pembayaran):
1. Mengidentifikasi transaksi mencurigakan berdasarkan kriteria yang ditetapkan PPATK.
2. Melaporkan transaksi mencurigakan kepada PPATK melalui sistem pelaporan yang ditetapkan.
3. Memiliki KYC (Know Your Customer) yang ketat untuk mengidentifikasi identitas pelanggan dan beneficial owner mereka.
4. Melakukan due diligence yang berkelanjutan untuk memantau profil risiko pelanggan.
5. Menyimpan catatan transaksi dan dokumentasi customer untuk keperluan audit PPATK.
6. Melaporkan data pembayaran kepada BI sebagai bagian dari infrastruktur data pembayaran, yang dapat digunakan PPATK untuk analisis pola transaksi mencurigakan.
PBI 10/2025 secara konsisten mendukung fungsi PPATK dengan mensyaratkan pelaporan data pembayaran yang komprehensif kepada BI. Koordinasi antara BI dan PPATK dalam hal akses dan analisis data pembayaran diatur dalam perjanjian bilateral yang terpisah dari PBI 10/2025 tetapi konsisten dengan prinsip-prinsip yang ditetapkan dalam Pasal 166-173.
| PENTING | PSP yang tidak memiliki compliance function yang kuat dalam aspek APU-PPT berhadapan dengan risiko dua jenis: (1) administrative sanction dari PPATK (denda, teguran tertulis), dan (2) administrative sanction dari BI untuk tidak memenuhi kewajiban pelaporan data pembayaran yang mendukung fungsi PPATK (Pasal 148-156). Kombinasi kedua jenis sanction ini dapat mengakibatkan pencabutan izin. Setiap PSP wajib memiliki unit compliance APU-PPT yang terpisah atau terintegrasi dengan compliance lainnya, tetapi dengan fokus dan akuntabilitas yang jelas. |
Tabel Hierarki dan Interaksi Regulasi
| Regulasi Induk | Otoritas | Aspek yang Diatur | Interaksi dengan PBI 10/2025 |
|---|---|---|---|
| UU No. 4/2023 tentang P2SK | DPR RI (Legislatif) | Mandat BI untuk memelihara stabilitas SP | PBI 10/2025 adalah perwujudan mandat UU P2SK; Pasal 7 ayat 1 merujuk langsung pada UU P2SK |
| UU No. 3/2011 tentang Transfer Dana | DPR RI | Kewenangan Bank Umum menyelenggarakan transfer dana | Pasal 31 PBI 10/2025 mengakui Bank Umum sebagai PSP; kewajiban PBI 10/2025 berlaku seiring dengan UU Transfer Dana |
| UU No. 27/2022 tentang PDP | DPR RI | Perlindungan data pribadi di semua sektor | Pasal 97 ayat 5, Pasal 99 PBI 10/2025 mewajibkan kepatuhan UU PDP; transfer data ke luar negeri dilarang tanpa standar perlindungan setara |
| POJK Fintech dan OJK lainnya | OJK | Perlindungan konsumen jasa keuangan non-bank | Pasal 166-168 mengatur koordinasi BI-OJK; PSP multi-entity tunduk pada PBI 10/2025 (BI) dan POJK (OJK) |
| Regulasi BSSN | BSSN | Keamanan siber infrastruktur kritis nasional | Pasal 21-27 TIKMI (dimensi Infrastruktur TI) mengacu pada standar BSSN; koordinasi BI-BSSN dalam incident response |
| Standar PPATK APU-PPT | PPATK | Pencegahan pencucian uang dan pembiayaan terorisme | Pasal 139-146 data dan informasi SP mendukung fungsi PPATK; koordinasi BI-PPATK dalam akses dan analisis data pembayaran |
| Standar Internasional (CPSS/IOSCO, BIS, dsb.) | Badan internasional | Best practice sistem pembayaran dan infrastruktur keuangan | Pasal 90 (standar internasional untuk PIP sistemik), Pasal 132 (standar internasional untuk praktik pasar); BI dapat mewajibkan PSP mengacu standar internasional |
Koordinasi Antarotoritas: Pasal 166-169 PBI 10/2025
Pasal 166-169 PBI 10/2025 secara eksplisit mengatur "Koordinasi dan Kerja Sama" yang merupakan inovasi penting dalam regulasi sistem pembayaran Indonesia. Sebelumnya, tidak ada pasal serupa yang secara formal mengakui kebutuhan koordinasi antara BI dan otoritas-otoritas lainnya.
Pasal 166: BI melakukan koordinasi dengan OJK dalam rangka pengaturan dan pengawasan PSP yang juga merupakan lembaga jasa keuangan.
Pasal 167: BI melakukan koordinasi dengan BSSN dan otoritas terkait lainnya dalam rangka perlindungan dan keamanan infrastruktur sistem pembayaran.
Pasal 168: BI melakukan koordinasi dengan PPATK dalam rangka pemenuhan kewajiban anti pencucian uang dan pencegahan pembiayaan terorisme yang berkaitan dengan sistem pembayaran.
Pasal 169: BI melakukan koordinasi dengan otoritas lain di tingkat nasional dan internasional untuk pengembangan sistem pembayaran, pembagian informasi, dan penyelarasan standar.
Implikasi praktis: Koordinasi ini berarti bahwa informasi yang dilaporkan PSP kepada BI dapat dibagikan dengan OJK, BSSN, atau PPATK untuk tujuan pengawasan yang sah. PSP tidak dapat mengklaim kerahasiaan informasi mereka jika BI memutuskan untuk membagikannya kepada otoritas lain berdasarkan Pasal 166-169. Transparansi informasi antarotoritas ini meningkatkan efektivitas pengawasan tetapi juga meningkatkan compliance burden bagi PSP karena mereka harus siap untuk auditasi dari berbagai otoritas.