Logika Pengelompokan Berbasis Kegiatan
PBI 23/2021 mengklasifikasikan PJP berdasarkan jenis kegiatan yang mereka jalankan, bukan berdasarkan produk yang mereka tawarkan. Logika ini dipilih oleh Bank Indonesia karena fleksibilitasnya: satu PJP dapat menjalankan multiple jenis kegiatan (multi-service provider), dan setiap kegiatan mungkin memiliki kewajiban regulasi yang berbeda.
Misalnya, satu platform fintech super app yang menawarkan e-wallet, merchant acquiring, dan transfer dana dapat secara simultan menjadi penerbit instrumen pembayaran (Kelompok 1), acquirer (Kelompok 2), dan penyedia transfer dana (Kelompok 3). Dalam hal ini, PJP harus mematuhi kewajiban semua tiga kelompok secara kumulatif.
Ada empat kelompok kegiatan yang diakui dalam PBI 23/2021: Kelompok 1 (Penerbit Instrumen Pembayaran), Kelompok 2 (Acquiring dan Payment Gateway), Kelompok 3 (Transfer Dana), dan Kelompok 4 (Kegiatan Penunjang). Mari kita eksplorasi masing-masing secara detail.
Kelompok 1: Penerbit Instrumen Pembayaran
Kelompok 1 mencakup kegiatan penerbitan instrumen pembayaran. Instrumen pembayaran yang diakui adalah: uang elektronik (e-money), kartu kredit, kartu debit, kartu prabayar, dan instrumen pembayaran lainnya yang diakui Bank Indonesia.
Contoh PJP Kelompok 1 adalah dompet digital / e-wallet (GoPay, OVO, DANA, LinkAja), fintech yang menerbitkan virtual card atau kartu fisik, atau bahkan bank yang menerbitkan kartu kredit (jika bank juga mengajukan izin khusus sebagai PJP).
Kewajiban utama Kelompok 1 adalah pengelolaan dana float — saldo uang yang dipegang PJP atas nama konsumen sebelum konsumen menggunakan saldo tersebut untuk bertransaksi. Dana float ini harus dipisahkan dari dana operasional PJP dan dikelola dengan aman. Kelompok 1 juga harus memastikan bahwa nilai instrumen pembayaran yang diterbitkan dijamin dengan dana yang cukup.
Modal minimum untuk Kelompok 1 bervariasi: untuk PJP non-bank skala kecil (misalnya startup fintech pertama kali mengajukan izin), modal minimum adalah Rp 3 miliar. Untuk PJP lebih besar atau dengan riwayat operasional, persyaratan dapat lebih tinggi.
Kelompok 2: Acquiring dan Payment Gateway
Kelompok 2 mencakup kegiatan pemrosesan transaksi pembayaran dari sisi merchant atau penerima pembayaran. Mereka tidak menyimpan dana konsumen, tetapi memfasilitasi perpindahan dana dari pembayar (melalui card, e-wallet, atau instrumen lain) ke merchant atau penerima layanan.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Contoh PJP Kelompok 2 adalah payment gateway untuk e-commerce (Xendit, Doku, Midtrans), merchant acquirer kartu kredit, QRIS acquirer (seperti alfacart, Xendit dalam kapasitas QRIS), atau switching service yang memproses transaksi pembayaran.
Persyaratan teknis Kelompok 2 paling ketat. PJP Kelompok 2 harus memenuhi standar keamanan PCI-DSS (Payment Card Industry Data Security Standard) jika menangani kartu pembayaran, dan harus memenuhi standar keamanan khusus yang ditetapkan Bank Indonesia untuk keseluruhan sistem pembayaran. Penetration testing eksternal harus dilakukan tahunan.
Modal minimum untuk Kelompok 2 juga dimulai dari Rp 3 miliar untuk skala kecil, namun dapat lebih tinggi tergantung skala dan kompleksitas operasional.
Kelompok 3: Transfer Dana
Kelompok 3 mencakup kegiatan pemindahan dana antar rekening atas instruksi nasabah. Spektrumnya luas: dari transfer domestik antar bank (termasuk transfer melalui fintech aggregator seperti Fintech XYZ), remittance internasional, PPOB (pembayaran tagihan), hingga pencairan pinjaman P2P.
Contoh PJP Kelompok 3 adalah fintech remittance (Wise, Paysend), fintech PPOB (PJP yang menyediakan layanan pembayaran listrik, air, telepon), atau mega-fintech yang menyediakan fitur transfer dana kepada pengguna mereka.
Kewajiban utama Kelompok 3 adalah anti pencucian uang (APU) dan pencegahan pendanaan terorisme (PPT). Kelompok 3 adalah pihak pelapor kepada PPATK (Pusat Pelaporan dan Analisis Transaksi Keuangan) dan harus melaporkan transaksi mencurigakan, transaksi keuangan tunai, dan menjalankan customer due diligence (KYC) dengan ketat.
Modal minimum untuk Kelompok 3 adalah Rp 1 miliar untuk PJP non-bank skala kecil, atau lebih tinggi untuk skala lebih besar. Kelompok 3 memiliki persyaratan permodalan yang lebih rendah dibanding Kelompok 1 dan 2, namun kewajiban compliance (APU-PPT) yang jauh lebih tinggi.
Kelompok 4: Kegiatan Penunjang
Kelompok 4 mencakup kegiatan yang mendukung penyelenggaraan jasa pembayaran tetapi tidak langsung melibatkan penerimaan, penyimpanan, atau pemindahan dana. Contoh: penyedia teknologi payment processing, agregator merchant untuk payment gateway, switching service, atau audit eksternal untuk sistem pembayaran.
Pertanyaan umum adalah: apakah Kelompok 4 wajib memiliki izin PJP? Jawabannya adalah "mungkin". Bank Indonesia melihat Kelompok 4 sebagai "kegiatan terkait langsung dengan jasa pembayaran". Jika kegiatan tersebut terkait langsung dan material terhadap operasi pembayaran, umumnya wajib memiliki izin. Namun ada pengecualian — misalnya, konsultan yang memberikan saran teknis tentang sistem pembayaran tidak perlu izin khusus.
Praktik terbaik adalah melakukan konsultasi pre-licensing dengan Bank Indonesia untuk memastikan apakah kegiatan tertentu memerlukan izin Kelompok 4 atau tidak.
Matriks Perbandingan Antar Kelompok
Tabel berikut merangkum perbedaan kritis antar kelompok kegiatan:
| Dimensi | Kelompok 1 | Kelompok 2 | Kelompok 3 | Kelompok 4 |
|---|---|---|---|---|
| Kegiatan Inti | Penerbitan instrumen pembayaran (e-money, kartu) | Pemrosesan transaksi merchant / acquiring | Transfer dana antar rekening | Kegiatan penunjang (teknologi, switching, dsb) |
| Modal Disetor Minimum | Rp 3 miliar (kecil) s.d. lebih tinggi | Rp 3 miliar (kecil) s.d. lebih tinggi | Rp 1 miliar (kecil) s.d. lebih tinggi | Bervariasi; umumnya lebih rendah dari Kel. 1-3 |
| Pengelolaan Dana Nasabah | Wajib pemisahan dana float dari dana operasional | Tidak menyimpan dana nasabah langsung (hanya memproses) | Wajib pemisahan dana selama proses transfer (float transit) | Tidak menyimpan dana nasabah |
| Kewajiban APU-PPT | Sedang (menyaring transaksi pelanggan) | Sedang-Tinggi (merchant acquirer harus menyaring merchant) | Sangat Tinggi (adalah pihak pelapor ke PPATK) | Rendah-Sedang (bergantung pada peran spesifik) |
| Persyaratan Keamanan TI | Tinggi (MFA, enkripsi, pentest) | Sangat Tinggi (PCI-DSS + BI standards; pentest tahunan) | Tinggi (keamanan transfer, enkripsi end-to-end) | Sedang (security by design tetapi tidak selevel Kel. 1-3) |
| Laporan Berkala ke BI | Laporan dana float, transaksi penerbitan, outstanding balance | Laporan transaksi, fraud incidents, sistem kesehatan | Laporan transaksi, STR/CTR, KYC data | Laporan operasional (tergantung scope Kel. 4) |
PJP dengan Beberapa Kelompok Kegiatan
Banyak PJP aktif menjalankan lebih dari satu kelompok kegiatan. Super app fintech yang modern sering kali beroperasi sebagai Kelompok 1 (e-wallet), Kelompok 2 (merchant acquiring), dan Kelompok 3 (transfer dana) secara bersamaan. Dampak regulasi dari multi-group operations adalah:
| Kombinasi Kelompok Tipikal | Contoh PJP | Persyaratan Permodalan | Kompleksitas Kepatuhan |
|---|---|---|---|
| Kelompok 1 + 2 | Super app dengan dompet digital dan merchant acquiring (GoPay, OVO dengan fitur merchant) | Modal Kel. 1 + Modal Kel. 2 (penjumlahan, biasanya Rp 6+ miliar) | Sangat tinggi — keduanya memerlukan pengelolaan dana dan keamanan TI tertinggi |
| Kelompok 1 + 3 | E-wallet dengan fitur transfer antar pengguna | Modal Kel. 1 + Modal Kel. 3 (biasanya Rp 4+ miliar) | Tinggi — ditambah APU-PPT untuk fitur transfer, pengelolaan dana kompleks |
| Kelompok 2 + 4 | Payment gateway dengan layanan API/switching untuk fintech lain | Modal Kel. 2 + Kel. 4 (bervariasi) | Sedang-Tinggi — fokus pada keamanan Kel. 2 dan governance teknologi Kel. 4 |
| Kelompok 1 + 2 + 3 | Platform pembayaran super komprehensif (e-wallet + acquiring + transfer) | Modal kumulatif tertinggi (Rp 10+ miliar) | Sangat tinggi — semua kewajiban Kel. 1, 2, 3 berlaku kumulatif; tim compliance dan IT yang besar diperlukan |
Penting untuk diingat bahwa modal minimum bukanlah modal yang disetor satu kali saat permohonan izin. PBI 23/2021 mewajibkan PJP untuk mempertahankan ekuitas minimum selama operasional. PJP yang modalnya jatuh di bawah batas minimum wajib melaporkan kepada Bank Indonesia dalam waktu 30 hari dan harus memiliki rencana pemenuhan modal (capital adequacy plan) yang jelas.
| KONSEP KUNCI | Kelompok kegiatan bukan sekadar label administratif — ia menentukan seluruh profil kewajiban PJP: modal minimum yang harus dipertahankan, jenis laporan yang wajib disampaikan ke BI, standar keamanan yang harus dipenuhi, dan risiko regulasi yang harus dikelola. Menjalankan kegiatan yang termasuk dalam kelompok tertentu tanpa memiliki izin untuk kelompok tersebut adalah pelanggaran aktif terhadap PBI 23/2021. |
| PENTING | Modal minimum bukanlah modal yang disetor satu kali saat pendirian. PBI 23/2021 mewajibkan PJP untuk mempertahankan ekuitas minimum selama operasional. PJP yang modalnya turun di bawah batas minimum wajib melaporkan kepada Bank Indonesia dan memiliki rencana pemenuhan yang jelas. Penurunan modal di bawah minimum yang dibiarkan berlarut-larut dapat berujung pada pembatasan kegiatan usaha. |
| WAWASAN BITLION | Salah satu kesalahan paling umum yang Bitlion GRC temukan dalam audit kepatuhan PJP adalah penambahan fitur produk yang secara implisit masuk dalam kelompok kegiatan baru tanpa proses perluasan izin yang diperlukan. Platform yang awalnya hanya payment gateway (Kelompok 2) menambahkan fitur dompet digital (Kelompok 1) tanpa mengajukan perluasan izin ke Bank Indonesia — sebuah pelanggaran yang sering tidak disadari oleh tim produk yang tidak memiliki latar belakang regulasi. |