PenjuruNegeri.Com – Jambi — Lebih dari dua bulan sejak insiden siber yang mengguncang Bank 9 Jambi terjadi pada 22 Februari 2026, hingga kini belum ada penjelasan resmi yang benar-benar menjawab pertanyaan publik. Di tengah minimnya transparansi tersebut, tim investigasi independen justru menilai semakin banyak kejanggalan yang muncul dari pola transaksi, respons insiden, hingga efektivitas pengawasan sistem keamanan bank.
Salah satu sorotan utama adalah tidak ditemukannya indikasi percobaan serangan yang terdeteksi sebelum transaksi berlangsung. Menurut tim investigasi, pola ini tidak lazim untuk serangan eksternal konvensional.
“Kalau ini benar-benar serangan dari luar, biasanya ada jejak awal seperti scanning, brute force, percobaan login, atau anomali jaringan. Tapi sampai sekarang justru yang muncul adalah penggunaan jalur transaksi yang sah dan akun valid. Itu sebabnya dugaan penyalahgunaan akses terpercaya menjadi sangat relevan untuk diuji,” ujar seorang analis siber yang terlibat dalam kajian independen kasus tersebut.
Tim investigasi menyebut seluruh transaksi diduga dilakukan melalui transfer dari rekening korban menggunakan mekanisme yang secara sistem terlihat normal. Kondisi ini memperkuat dugaan bahwa pelaku tidak merusak sistem dari luar, melainkan memanfaatkan akses yang sudah dipercaya oleh sistem.
Kejanggalan lain yang dipersoalkan adalah lambatnya respons insiden. Berdasarkan keterangan yang beredar dari pihak bank, kejadian diketahui sekitar pukul 05.00 WIB dan tindakan awal dilakukan sekitar pukul 08.00 WIB. Selama 2 hingga 3 jam pelaku dengan leluasa melancarkan aksinya hingga berhasil melarikan dana sebesar Rp 143 miliar.
“Dalam sistem perbankan modern, dua sampai tiga jam itu sangat lama. Kalau transaksi mencurigakan tetap berjalan selama rentang waktu tersebut, maka ada dua kemungkinan: sistem deteksi tidak bekerja, atau ada kegagalan containment yang serius,” kata analis tersebut.
Ia juga menyoroti bahwa hingga kini belum ada penjelasan rinci mengenai audit trail, authentication log, ataupun kronologi teknis resmi yang dibuka ke publik.
“Kalau log autentikasi lengkap tersedia, seharusnya arah investigasi sudah jauh lebih terang. Persoalannya, justru keterbatasan log menjadi salah satu masalah terbesar dalam kasus ini,” tambahnya.
Dari sisi tata kelola, kritik juga diarahkan pada klaim bahwa sistem teknologi informasi Bank 9 Jambi disebut sudah sesuai regulasi. Menurut pengamat tata kelola digital dan manajemen risiko, kepatuhan administratif tidak selalu mencerminkan kesiapan nyata menghadapi insiden.
“Banyak institusi merasa aman karena sudah compliant secara dokumen. Tetapi ketika insiden nyata terjadi, yang diuji bukan sertifikat atau laporan tahunan, melainkan kemampuan deteksi, respons, dan pemulihan secara real-time,” ujarnya.
Ia mempertanyakan efektivitas pengujian keamanan siber yang hanya dilakukan setahun sekali, meskipun secara formal dapat dianggap memenuhi ketentuan regulator.
“Pertanyaannya bukan sekadar apakah penetration testing dilakukan, tetapi apakah pengujiannya benar-benar menyeluruh. Apakah ada simulasi insider threat? Apakah akses vendor diuji? Apakah SOC dan fraud monitoring pernah diuji dalam skenario transaksi simultan? Itu yang seharusnya dijawab,” tegasnya.
Sorotan juga mengarah pada Otoritas Jasa Keuangan. Menurut pakar hukum sektor keuangan, publik berhak mempertanyakan efektivitas pengawasan apabila sebuah bank daerah yang berkaitan langsung dengan aset publik tetap mengalami kegagalan deteksi dan keterlambatan respons.
Berdasarkan Laporan Hasil Pemeriksaan atas Laporan Keuangan Pemerintah Provinsi Jambi Tahun 2024, Pemerintah Provinsi Jambi tercatat memiliki penyertaan modal sebesar Rp703,67 miliar dengan kepemilikan 24,34 persen pada Bank Jambi. Dokumen tersebut juga mencatat tambahan modal berupa setoran tunai Rp30 miliar dan penyertaan aset/BMD Rp18,23 miliar, serta kerja sama core banking system dengan pihak ketiga hingga 2029.
“Karena ada keterkaitan langsung dengan aset publik daerah, maka persoalannya tidak lagi murni hubungan privat antara bank dan nasabah. Di sini ada dimensi kepentingan publik dan pengawasan regulator,” kata pakar hukum tersebut.
Ia menambahkan bahwa bila benar terdapat kegagalan deteksi, keterlambatan tindakan, dan lemahnya pengawasan vendor, maka OJK juga perlu menjelaskan sejauh mana fungsi pengawasannya berjalan.
“Regulasi ketahanan siber perbankan dibuat bukan hanya untuk dipenuhi secara administratif. Tujuannya agar sistem benar-benar mampu mencegah dan menghentikan insiden. Kalau kejadian tetap berlangsung berjam-jam, maka publik wajar bertanya apakah pengawasannya efektif,” ujarnya.
Hingga berita ini diturunkan, belum ada penjelasan resmi yang secara rinci menjawab sejumlah pertanyaan utama: bagaimana akses dilakukan, mengapa transaksi tetap lolos, siapa yang pertama kali mendeteksi kejadian, dan mengapa tindakan efektif baru dilakukan beberapa jam kemudian.
Bagi tim investigasi independen, jawaban atas pertanyaan itu tidak bisa lagi ditunda.
“Kasus ini sudah melampaui isu serangan siber biasa. Ini menyangkut tata kelola, pengawasan akses, kesiapan respons insiden, perlindungan dana publik, dan akuntabilitas institusi,” tegas mereka.
Hingga berita ini diterbitkan, belum ada tanggapan dari pihak Bank 9 Jambi.
