Pasal 7: Ruang Lingkup Penerapan PBI 10/2025
Pasal 7 ayat 1 PBI 10/2025 menetapkan dengan tegas siapa saja yang tunduk pada regulasi ini. Berbeda dengan regulasi sebelumnya yang cenderung fokus hanya pada izin dan penetapan langsung, Pasal 7 memperluas jangkauan pengaturan ke seluruh ekosistem yang berinteraksi dengan sistem pembayaran.
Pasal 7 ayat 1 mengidentifikasi enam kategori pihak yang tunduk pada PBI 10/2025: (1) Bank Indonesia, (2) Penyelenggara Sistem Pembayaran (PSP), (3) Penyelenggara Penunjang, (4) Peserta, (5) Pihak Terhubung, dan (6) Self-Regulatory Organization (SRO). Selain itu, Pasal 58 dan ketentuan lainnya juga mengakui pihak-pihak yang bekerja sama dengan PSP dan pihak afiliasi PSP sebagai subjek tanggung jawab regulasi, meskipun secara tidak langsung.
Pemahaman tentang enam kategori ini penting karena setiap kategori memiliki kewajiban yang berbeda, level pengawasan yang berbeda, dan implikasi kepatuhan yang unik. Tidak ada satupun entitas dalam ekosistem pembayaran yang benar-benar "di luar" jangkauan PBI 10/2025 — kesemuanya masuk dalam satu kategori atau lainnya.
Enam Kategori Pihak yang Tunduk pada PBI 10/2025
1. Bank Indonesia: Regulator dan Penyelenggara Infrastruktur
Bank Indonesia memiliki peran ganda dalam PBI 10/2025: sebagai regulator yang menetapkan kebijakan dan melakukan pengawasan, dan sekaligus sebagai penyelenggara infrastruktur pembayaran nasional. Dalam kapasitas sebagai regulator, BI menetapkan PADG, mengeluarkan keputusan-keputusan operasional, dan melakukan pengawasan terhadap semua kategori pelaku. Dalam kapasitas sebagai penyelenggara infrastruktur (BI-RTGS, BI-FAST, SKNBI, infrastruktur data BI), BI juga adalah Peserta dalam infrastruktur-infrastruktur tersebut.
Kewajiban khusus BI: menetapkan standar dan prosedur yang konsisten, melindungi stabilitas sistem, menjalankan pengawasan, menyelenggarakan infrastruktur dengan standar internasional, melindungi data pengguna infrastruktur, dan berkoordinasi dengan otoritas lainnya (OJK, BSSN, PPATK).
2. Penyelenggara Sistem Pembayaran (PSP): Subjek Utama Regulasi
PSP adalah kelompok terbesar yang terdampak oleh PBI 10/2025. Mereka terdiri dari tiga subkategori:
PJP (Penyedia Jasa Pembayaran) — Lembaga berizin BI untuk menyelenggarakan jasa pembayaran. Contoh: fintech payment, e-wallet, penyedia gateway pembayaran, penyedia layanan remitansi, merchant acquirer, bill payment, dan layanan pembayaran lainnya. Kewajiban utama: TIKMI, SBP/RBSP, ongoing capital minimum 10% RWA + surcharge, tata kelola, manajemen risiko, market conduct. Setiap PJP dapat memiliki paket bundling (1A/1B/2/3) sesuai TIKMI dan keputusan BI.
PIP (Penyelenggara Infrastruktur Pembayaran) — Lembaga yang mendapat penetapan BI untuk menyelenggarakan kliring dan/atau setelmen. Contoh: Artajasa, ASPI (asosiasi yang juga menjalankan fungsi infrastruktur), dan operator kliring/setelmen nasional lainnya. Kewajiban: TIKMI, SBP/RBSP, ongoing capital, ketahanan infrastruktur, standar internasional (Pasal 90 untuk PIP sistemik), tata kelola enterprise. PIP memiliki persyaratan teknis yang lebih ketat karena sifat kritikalitas infrastruktur mereka.
Bank Umum yang menyelenggarakan transfer dana — Diakui secara eksplisit dalam Pasal 31 PBI 10/2025 sebagai kategori PSP ketiga. Sebelumnya, Bank Umum beroperasi berdasarkan UU Transfer Dana terpisah. Kini, seluruh aktivitas pembayaran Bank Umum (penatausahaan dana, transfer dana, kliring, setelmen) masuk dalam ruang lingkup PBI 10/2025. Kewajiban: TIKMI, SBP/RBSP, ongoing capital mengacu pada ketentuan permodalan bank umum, tata kelola. Bank Umum dapat beroperasi dalam paket bundling lebih dari satu kategori IZP secara bersamaan.
3. Penyelenggara Penunjang: Vendor Teknologi dan Pihak Pendukung
Penyelenggara Penunjang adalah kategori baru yang paling signifikan dalam PBI 10/2025 — mereka belum memiliki pengaturan khusus di PBI sebelumnya. Mereka adalah pihak yang menyediakan layanan pendukung untuk proses inisiasi, otorisasi, kliring, atau setelmen pembayaran, tetapi tidak menyelenggarakan aktivitas pembayaran secara langsung (Pasal 59).
Contoh Penyelenggara Penunjang Kritikal: payment gateway yang kritis untuk operasi PSP, infrastructure-as-a-service (IaaS) atau cloud provider yang menjadi backbone sistem SP suatu PSP, core banking system yang digunakan untuk proses pembayaran, fraud detection engine yang integral untuk keamanan.
Contoh Penyelenggara Penunjang Penting: layanan machine learning untuk risk scoring, layanan tokenization untuk keamanan, penyedia layanan monitoring atau analytics SP.
Contoh Penyelenggara Penunjang Standar: penyedia KYC, lembaga verifikasi identitas, platform marketing, sistem dokumentasi, penyedia reporting tools.
Kewajiban utama: Penyelenggara Penunjang kritikal dan penting wajib mendaftar di Bank Indonesia dalam waktu 3 tahun sejak PBI berlaku (deadline ±Maret 2028). Mereka wajib mempertahankan manajemen risiko, business continuity, dan ketahanan operasional yang ketat. PSP bertanggung jawab penuh atas manajemen risiko Penyelenggara Penunjang yang bermitra dengannya. Pasal 65-71 menguraikan detail persyaratan.
4. Peserta: Pengguna Infrastruktur BI
Peserta (Pasal 37) adalah lembaga yang secara aktif menggunakan infrastruktur sistem pembayaran yang diselenggarakan oleh BI, yaitu BI-RTGS, BI-FAST, atau SKNBI. Contoh: bank umum, lembaga keuangan, PSP tertentu yang terdaftar sebagai peserta di satu atau lebih infrastruktur ini.
Kewajiban Peserta: memenuhi persyaratan TIKMI kepesertaan, mematuhi kewajiban operasional infrastruktur (ketersediaan sistem, audit internal/eksternal, disaster recovery), pemenuhan standar teknis mikro yang ditetapkan oleh SRO (ASPI). Peserta juga wajib memahami bahwa mereka adalah subjek pengawasan langsung BI terkait pemanfaatan infrastruktur.
5. Pihak Terhubung: Pengguna Infrastruktur Data BI
Pihak Terhubung (Pasal 94) adalah lembaga yang menyediakan atau memanfaatkan data sistem pembayaran melalui infrastruktur data pembayaran yang diselenggarakan BI. Ini adalah kategori yang sangat baru, mencerminkan komitmen BI terhadap transparansi data dan open banking.
Contoh Pihak Terhubung: fintech agregator data pembayaran, lembaga riset, lembaga survey, penyedia layanan BI intelligence yang mengakses data SP teranonimisasi. Kewajiban: prinsip kehati-hatian dalam penggunaan data, standar keamanan tinggi, dasar pemrosesan data yang jelas dan transparan, kepatuhan terhadap UU Perlindungan Data Pribadi, pelaporan penggunaan data ke BI.
6. Self-Regulatory Organization (SRO): ASPI dan Institusi Serupa
SRO (Pasal 1 ayat 33) adalah organisasi yang ditugaskan oleh Bank Indonesia untuk mendukung perumusan dan implementasi kebijakan sistem pembayaran. Saat ini, ASPI (Asosiasi Sistem Pembayaran Indonesia) adalah SRO utama yang ditetapkan BI.
Kewajiban SRO: melaksanakan tugas yang diamanatkan BI (perumusan standar teknis mikro, pengembangan inovasi, peningkatan kompetensi industri), menjaga kerahasiaan data, mengembangkan self-regulatory rules yang konsisten dengan PBI 10/2025 dan PADG, melaporkan hasil kegiatan kepada BI.
Pihak Tambahan: Mitra dan Afiliasi PSP
Pasal 58 PBI 10/2025 juga menetapkan bahwa pihak-pihak yang bekerja sama dengan PSP (sebagai subcontractor, outsource partner, atau mitra distribusi) adalah tanggung jawab langsung PSP untuk memastikan kepatuhan mereka terhadap kewajiban market practice dan perlindungan konsumen. Demikian pula, pihak afiliasi PSP (perusahaan di dalam grup yang sama) dapat menjadi subjek pengawasan BI jika mereka terlibat dalam aktivitas pembayaran atau memberikan layanan pendukung kritis.
Implikasi praktis: PSP tidak dapat mengalihkan tanggung jawab kepatuhan kepada mitra atau afiliasi mereka. PSP tetap memiliki tanggung jawab penuh atas market conduct, keamanan, business continuity, dan perlindungan konsumen yang diterapkan oleh seluruh rantai nilai bisnis mereka.
| WAWASAN BITLION | Pasal 7 menciptakan "web of responsibility" yang komprehensif di seluruh ekosistem pembayaran. Tidak ada lagi zona abu-abu tentang siapa yang harus patuh terhadap regulasi. Bahkan vendor teknologi "kecil" yang hanya menyediakan layanan supporting sekaligus dianggap sebagai bagian dari sistem pembayaran regulasi dan masuk dalam jangkauan pengawasan BI — meskipun tidak secara langsung, melalui tanggung jawab PSP yang menggunakan mereka. Ini menciptakan insentif bagi seluruh rantai pasokan untuk meningkatkan standar keamanan, operasional, dan tata kelola mereka. |
Matriks Kewajiban per Kategori Pelaku
| Kategori Pelaku | Contoh Entitas | Kewajiban Utama |
|---|---|---|
| Bank Indonesia | BI sebagai regulator dan penyelenggara infrastruktur | Penetapan kebijakan, standar, pengawasan, penyelenggaraan infrastruktur, koordinasi otoritas |
| PJP | Fintech payment, e-wallet, payment gateway, remitansi | TIKMI, SBP/RBSP, ongoing capital (10%+surcharge), tata kelola, market conduct, perlindungan konsumen |
| PIP | Artajasa, ASPI, operator kliring/setelmen nasional | TIKMI, SBP/RBSP, ongoing capital, standar internasional (jika sistemik), ketahanan infrastruktur |
| Bank Umum sebagai PSP | Bank yang menyelenggarakan transfer dana, kliring, setelmen | TIKMI, SBP/RBSP, ongoing capital (sesuai ketentuan bank umum), tata kelola, market conduct |
| Penyelenggara Penunjang Kritikal/Penting | Payment gateway, cloud provider, fraud detection, core banking SP | Pendaftaran dalam 3 tahun, manajemen risiko, business continuity, ketahanan operasional |
| Penyelenggara Penunjang Standar | KYC provider, lembaga verifikasi, platform marketing, sistem dokumentasi | Manajemen risiko dasar, keamanan data, transparansi layanan (detail diatur PADG) |
| Peserta di infrastruktur BI | Bank, lembaga keuangan, PSP yang terdaftar di BI-RTGS/BI-FAST/SKNBI | TIKMI kepesertaan, kewajiban operasional infrastruktur, standar teknis mikro SRO |
| Pihak Terhubung | Agregator data SP, fintech intelligence, lembaga riset | Prinsip kehati-hatian, standar keamanan, dasar pemrosesan data, kepatuhan UU PDP |
| SRO (ASPI) | Asosiasi Sistem Pembayaran Indonesia | Melaksanakan tugas BI, pengembangan standar, peningkatan kompetensi, kerahasiaan data |
Kewajiban-Kewajiban Baru Dibandingkan PBI 23/6/2021
| Kewajiban Baru / Diperkuat | Penjelasan | Dampak | |
|---|---|---|---|
| TIKMI Universal | Instrumen penilaian terintegrasi menggantikan sistem penilaian fragmented | Semua PSP dinilai dengan kriteria yang sama; klasifikasi berbasis TIKMI menentukan aktivitas | |
| Ongoing Capital Berbasis Risiko | Minimum 10% RWA + surcharge berbasis risiko profil | Beban modal meningkat bagi PSP dengan volume/risiko tinggi | |
| Penyelenggara Penunjang Regulasi | Kategori baru: vendor teknologi kini harus mendaftar | PSP bertanggung jawab penuh atas manajemen risiko vendor; deadline registrasi 3 tahun | |
| SBP/RBSP Wajib | Perencanaan bisnis strategis dan operasional dengan approval BI | Setiap PSP harus menyampaikan rencana konkret; deadline pertama 30 April 2026 | |
| Single Ownership Policy (Pasal 117) | Larangan satu pihak mengendalikan >1 LSB PJP atau >1 PIP aktivitas sama | Grup bisnis dengan multi-entitas pembayaran wajib restructure; M&A pada 5 tahun pertama terbatas (Pasal 116) | |
| Pemrosesan Domestik Ketat | Data center dan DRC harus di Indonesia untuk semua tahap transaksi | Vendor cloud internasional harus memiliki lokalisasi infrastruktur di Indonesia | |
| Infrastruktur Data SP | BI menyelenggarakan infrastruktur data pembayaran; Pihak Terhubung dapat mengakses | Transparansi data meningkat; regulasi data privacy menjadi lebih ketat | |
| PADG Extensif | Lebih dari 25 pasal dirujuk pada PADG pelaksana | Kepatuhan akan terus berkembang seiring penerbitannya; flexibility untuk BI menyesuaikan implementasi | |
| PENTING | Kewajiban-kewajiban baru ini tidak sekaligus berlaku pada 31 Maret 2026. Banyak yang memiliki periode transisi (3-5 tahun) untuk pemenuhan penuh. Namun, beberapa deadline kritis tidak dapat ditunda: penyampaian SBP/RBSP harus dilakukan pada 30 April 2026, self-assessment TIKMI paling lambat 1 tahun sejak berlaku (Maret 2027), dan pendaftaran Penyelenggara Penunjang kritikal dalam 3 tahun (Maret 2028). Pelaku industri wajib membuat rencana implementasi terstruktur untuk memenuhi setiap deadline tersebut. | ||