Bila sebelumnya modus pencucian uang dikembangkan melalui pemecahan dana kedalam sejumlah rekening bank, kini seiring tumbuhnya berbagai model bisnis baru seperti peer to peer lending, pinjaman online, jual-beli investasi online, polis asuransi online, maka modus penyelundupan dana haram yang berasal dari predicate crime berpotensi besar menyasar sektor financial technology (fintech), khususnya fintech yang tak terdaftar di otoritas negara (fintech ilegal).
Mengantisipasi berbagai modus pencucian uang, Financial Action Task Force (FATF) telah mengeluarkan 40 rekomendasi terkait standar internasional di bidang pencucian uang dan pendanaan terorisme yang diadopsi oleh mayoritas yurisdiksi dunia melalui pengawasan FATF-style Regional Bodies (FSRBs). FSRBs untuk Negara-negara kawasan Asia Pasifik ditangani oleh Asia Pacific Group on Money Laundering (APG).
APG bertugas mengevaluasi kepatuhan pemenuhan 40 rekomendasi FATF para anggota, baik dari segi technical compliance assessment maupun effectiveness assetment melalui mutual evaluation review (MER) terhadap anggota setiap 4 tahun sekali. Indonesia sendiri telah menjadi anggota APG sejak 1999.
Dalam rentang 2017-2018, Indonesia telah menunjukan hasil yang cukup baik dengan meningkatnya rating yang diperoleh untuk 2 (dua) Rekomendasi, yaitu Rekomendasi 4 terkait legal framework penyitaan dan perampasan aset dan Rekomendasi 8 terkait legal framework non-profit organization, serta 2 (dua) Immediate Outcome (IO), yaitu IO2 terkait efektivitas kerja sama internasional dan IO8 terkait efektivitas penyitaan dan perampasan aset. Selengkapnya, berikut rating MER Indonesia yang ditetapkan pada APG plenary di Nepal 2018 lalu:
Untuk diketahui, dasar hukum penerapan pengawasan anti pencucian uang dan pencegahan pendanaan terorisme (PPT) tersebut di Indonesia tertuang dalam beberapa aturan seperti UU No.8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang (TPPU), UU No.9 Tahun 2013 tentang Pencegahan dan Pemberantasan Tindak Pidana Pendanaan Terorisme (TPPT), PP No.43 Tahun 2015 tentang Pihak Pelapor dalam PPTPPU dan POJK No. 12 Tahun 2017 tentang Penerapan Program APU PPT di SJK.
Khusus fintech P2P lending, pengaturan spesifiknya dalam kaitannya dengan regulasi anti pencucian uang merujuk pada POJK No. 12 Tahun 2017. Hanya saja, atas alasan penyesuaian waktu, POJK tersebut baru mulai berlaku pada tahun 2021 mendatang.
Merujuk Pasal 1 POJK a quo, industri fintech yang merupakan penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi dikategorikan sebagai Penyelenggara Jasa Keuangan (PJK) di sektor industri keuangan non bank. Konsekuensinya, fintech (PJK) wajib mengidentifikasi, menilai dan memahami risiko TPPU dan/atau TPPT terkait nasabah, negara atau area geografis, produk, jasa, transaksi atau jaringan distribusi.
(Baca Juga: Persoalan Perlindungan Konsumen di Industri Fintech)
Selain itu, industri fintech juga akan diwajibkan untuk mendokumentasikan penilaian risiko TPPU/TPPT; mempertimbangkan seluruh faktor risiko yang relevan sebelum menetapkan tingkat keseluruhan risiko, serta tingkat dan jenis mitigasi risiko yang memadai untuk diterapkan; mengkinikan penilaian risiko secara berkala; dan memiliki mekanisme yang memadai terkait penyediaan informasi penilaian risiko kepada instansi yang berwenang.
PJK juga diwajibkan memiliki kebijakan dan prosedur internal tertentu untuk mengelola dan memitigasi risiko TPPU/TPPT. Paling kurang, kebijakan dan prosedur penerapannya harus meliputi beberapa tindakan, yakni:
Kewajiban CDD/EDD
Analis Eksekutif Senior pada Fungsional Pengendalian Kualitas dan Monitoring Pengawasan Sektoral-Grup Penanganan APU PPT Otoritas Jasa Keuangan (OJK), Dewi Fadjarsarie Handajani, menjelaskan ada beberapa pembagian kewajiban pelaksanaan uji tuntas customer oleh PJK fintech, yakni CDD (customer due diligence) secara sederhana dan EDD (enhance due diligence). CDD sederhana, wajib dilakukan PJK fintech terhadap kostumer berisiko rendah TPPU/TPPT, sedangkan EDD wajib dilakukan terhadap nasabah/kostumer berisiko tinggi.
Proses CDD dan EDD tersebut masuk dalam skema pelaksanaan APU PPT sebagaimana diatur dalam POJK No. 12 Tahun 2017 tentang Penerapan Program APU PPT di SJK. Penting dicatat, Dewi menyebut implementasi kewajiban APU PPT khusus untuk fintech P2P Lending baru mulai berlaku pada tahun 2021 mendatang. “Tujuannya untuk memberikan keleluasaan dulu untuk industri yang baru tumbuh ini,” ungkap Dewi.
Proses CDD meliputi kegiatan identifikasi, verifikasi dan pemantauan oleh PJK untuk memastikan transaksi sesuai dengan profil, karakteristik dan/atau pola transaksi Calon Nasabah, Nasabah atau WIC. Sedangkan EDD merupakan tindakan CDD lebih mendalam yang dilakukan PJK terhadap calon nasabah/nasabah/WIC berisiko tinggi seperti memiliki latar belakang, identitas dan riwayat yang dianggap berisiko tinggi melakukan TPPU dan/atau PEP, termasuk Political Expose Person (PEP).
Dewi mencontohkan, untuk melakukan EDD maka PJK bisa membuat suatu profil nasabah. Dari profil itu, PJK mesti mengetahui portofolio pendanaan baik lender maupun debtor. Tak sekedar latar belakang/ identitas lender dan debtor, PJK juga perlu membuat range transaksi. Untuk range di bawah Rp 50 juta misalnya, maka digolongkan dalam transaksi low risk sehingga tak perlu mendapatkan pengawasan ekstra.
(Baca Juga: Perkembangan dan Permasalahan Hukum Fintech)
Jika transaksi dalam rentang Rp 50 juta hingga Rp 500 juta dikategorikan sebagai medium risk, sedangkan high risk yang memerlukan pengawasan ekstra ketat dan penting dilakukan EDD berada dalam kisaran transaksi di atas Rp 500 juta.
“Kira-kira begitu. Karena risiko itu juga bergantung pada nominal, setelah itu baru dilakukan monitoring. Disitu dapat dilihat bahwa yang namanya risk base approach itu enggak serta merta semuanya dipukul rata. Bisa dilihat sesuai dengan profilnya,” jelas Dewi.
Selain dilihat dari nominal transaksi, kategori AML high risk dapat juga dilihat dari seberapa besar perusahaan, bentuk perusahaan (yayasan/Koperasi/PT), profil nasabah, lokasi daerah, bidang layanan korporasi hingga Beneficial Owner (pemilik manfaat sebenarnya/BO) dari korporasi tersebut.
Contoh jelasnya, nasabah yayasan dianggap berisiko lebih tinggi terpapar TPPU/TPPT bila terafiliasi dengan LSM yang berkegiatan terkait radikalisme, sebaliknya jika yayasan tersebut bergerak di bidang pendidikan resikonya menjadi sedang. Contoh lain, perusahaan besar dengan jumlah pegawai yang lebih banyak, anak usaha tersebar di beberapa daerah dan memiliki sistem transaksi yang lebih sophisticated maka bisa dikategorikan pula sebagai AML high risk.
Masing-masing pengawas OJK, kata Dewi, akan membuat individual risk assessment terhadap semua PJK dan dilakukan pemetaan terkait tingkat safety risk transaksi disegala lini tersebut. Bilamana kategori transaksi berupa AML high risk, OJK akan melakukan pemeriksaan APU PPTsetiap satu tahun sekali. Untuk AML kategori middle risk maka pemeriksaan dilakukan dalam 2 tahun sekali, sedangkan untuk low risk dalam rentang 3 tahun sekali.
Terhadap PEP asing, selain menerapkan CDD, PJK fintech juga perlu melakukan EDD secara berkala, setidaknya dengan melakukan analisis terhadap informasi mengenai nasabah atau pemilik manfaat (beneficial owner), sumber dana dan sumber kekayaan. Bahkan bila PJK fintech melakukan hubungan usaha atau transaksi yang berasal dari Negara berisiko Tinggi (high risk countries) yang dipublikasikan oleh FATF, maka penting diambil langkah pencegahan (countermeasures). Disitu, PJK tak sekedar diwajibkan melakukan EDD, namun juga harus meminta konfirmasi dan klarifikasi kepada otoritas yang berwenang.
Belum Wajibkan Lapor TKM
Kewajiban melaporkan transaksi keuangan mencurigakan (TKM) oleh fintech P2P Lending kepada Financial Intelligence Unit (FIU) yakni PPATK memang hingga kini belum diatur. Mestinya, kata Dewi, PJK fintech P2P juga diwajibkan melapor ke PPATK, baru selanjutnya PPATK dan aparat penegak hukum yang bekerja dan memastikan apakah dalam suatu TKM betul-betul dilakukan praktek TPPU dan TPPT. Pentingnya pelaporan TKM ke PPATK, disebutnya karena OJK hanya berfungsi sebagai pengawas yang memastikan bahwa PJK fintech telah melaksanakan APU PPT dengan baik.
“Jadi tetap pelaporan TKM harusnya ke PPATK, karena PPATK lah yang merupakan tempat untuk mengkonfirmasi TKM,” ungkapnya.
Bila merujuk definisi PJK pada Pasal 1 ayat (4) Perka PPATK No. PER-09/1.02.2/PPATK/09/12 tentang Tata Cara Penyampaian Laporan Transaksi Keuangan Mencurigakan dan Laporan Transaksi Keuangan Tunai Bagi Nasabah Penyedia Jasa Keuangan, memang P2P Lending tak dimasukkan dalam kategori PJK yang diwajibkan untuk lapor TKM berdasarkan Perka PPATK a quo, baru entitas fintech payment gateway yang diatur. Kendati belum ada kewajiban P2P sebagai pelapor, tetap tak ada halangan bagi masyarakat untuk melapor ke PPATK.
“Kalau nasabah itu bermasalah bisa langsung saja lapor ke PPATK, karena PPATK itu juga punya sistem yang namanya whistle blower. Masyarakat disitu bisa email ke kpk dan ppatk,” jelas Dewi.
Saat dikonfirmasi, Kepala PPATK Ki Agus Ahmad Badaruddin menyebut pihaknya masih dalam proses pengkajian terkait kewajiban pelaporan TKM oleh fintech P2P Lending kepada PPATK. “Belum ada pengaturan soal tkm ke ppatk. Sejauh ini masih dalam proses pengkajian dan pembahasan,” ungkapnya dalam pesan singkat kepada hukumonline, Senin, (25/3).
Fintech Ilegal Sarang TPPU/TPPT?
Untuk diketahui, Indonesia melalui Otoritas Jasa Keuangan (OJK) hingga kini telah memberhentikan operasional sebanyak 803 entitas fintech ilegal. Sejauh ini, Dewi juga menyebut sanksi yang didapatkan fintech ilegal memang terbatas pada penghentian aktifitas perusahaan seperti pemblokiran yang bekerjasama dengan Kementrian Informasi dan Komunikasi (Kominfo).
Sedangkan Amerika Serikat (AS) bahkan tak segan-segan mengambil tindakan hukum terhadap entitas fintech yang tak patuh terhadap ketentuan federal Anti Money Laundering (AML). Tindakan tersebut diambil melalui otoritas pemeriksa keuangan AS, the Financial Crimes Enforcement Network (FinCEN) yang berada dibawah Departemen Keuangan.
Fintech pertama yang disebut harus berhadapan dengan penegakan hukum AML AS berupa denda senilai US$ 700 ribu, yakni Ripple Labs. Ripple Labs kala itu menjalankan kegiatannya tanpa terdaftar secara legal. Begitu tegasnya hukum AS memberikan sanksi terhadap fintech ilegal selaras dengan tingginya kesadaran otoritas AS akan bahayanya peredaran dana hasil pencucian uang di industri fintech. Bila terdaftar, jelas akan mempermudah FinCEN dalam mendeteksi sumber serta aliran dana masuk dan keluar, sehingga mata rantai peredaran uang hasil TPPU dapat diputus dengan mudah.
Pakar TPPU, Yenti Ganarsih menyebut industri apapun yang berbasis teknologi digital memang akan sangat rentan dijadikan sarana pencucian uang bilamana fungsi kontrol pemerintah tak berjalan dengan baik. Dalam politik hukum anti pencucian uang, mestinya semua kegiatan usaha yang bisa menghimpun dana dan memasukkan modal harus diterapkan kewajiban pelaporan. Jika secara teknis transfer dana itu dilakukan melalui bank, mestinya bank secara otomatis berkewajiban untuk melaporkan transaksi tersebut kepada PPATK jika nilai transaksi diatas Rp 500 juta.
Menjadi soal, katanya, bilamana P2P Lending tak bekerjasama dengan Bank dalam melakukan transaksi, sehingga PPATK-pun akan kesulitan mengendus indikasi pelanggaran AML lantaran tak mendapatkan pelaporan dari Bank. Sebaliknya, asal muasal transaksi dalam jumlah besar yang diduga berasal dari hasil kejahatan dapat dengan mudah dilacak oleh sistem formal pemerintahan melalui kewajiban pelaporan. Akhirnya, melalui data yang dimilikinya, otoritas dapat melacak sumber aliran dana dengan lebih cepat dan efisien.
“Industri apapun yang berbasis teknologi digital dan tidak bisa ditembusi oleh kewajiban pelaporan, pastinya peluang untuk dijadikan sarana pencucian uang tinggi. Dia lebih tidak rentan untuk terendus karena kelihatannya tertutup,” tukasnya.
Ketua Satgas Waspada Investasi OJK, Tongam Lumban Tobing, mengingatkan bahwa seluruh fintech P2P Lending sudah diwajibkan untuk mendaftarkan perusahaannya di OJK sesuai POJK No. 77/POJK.01/2016 tentang Layanan Pinjam Meminjam Uang Berbasis Teknologi Informasi. Alasan diwajibkannya pendaftaran ini disebut Tongam tak lepas dari kekhawatiran tersusupnya praktik TPPU/TPPT di Industri fintech. Bila tak terdaftar di OJK, katanya, maka laporan keuangan terkait sumber pendanaan fintech akan sulit ditelusuri.
“Jadi kita juga tak tahu data peminjamnya, berapa total pinjamannya? Dananya dari mana? Ini yang menjadi krusial sebenarnya. Itulah mengapa kegiatan ini harusnya terdaftar di OJK,” jelas Tongam.
Adapun langkah Satgas mengantisipasi hal itu, Satgas mengumumkan ke masyarakat agar masyarakat tak mengikuti kegiatan fintech ilegal di samping juga melakukan pemblokiran terkait situs atau aplikasi fintech ilegal melalui Kemenkominfo. Setelah itu, Tongam menyebut pihaknya akan menyampaikan informasi terkait indikasi TPPU tersebut kepada penegak hukum.
Soal sanksi, memang belum ada ketentuan pidana khusus yang mengatur soal fintech. Sehingga ketika terjadi tindak pidana, ia menjelaskan bahwa sanksinya masih masuk dalam kategori tindak pidana umum yang dijerat menggunakan KUHP, baik itu delik penipuan. Bila penagihannya mengganggu maka bisa dimasukkan dalam jerat perbuatan tak menyenangkan atau bahkan bisa disanksi menggunakan ketentuan UU ITE.