Tindak pidana siber merupakan tindak pidana yang berbasis pada penggunaan teknologi yang dimanipulasi untuk melakukan kejahatan tertentu[11]. Kamus Bahasa Indonesia memberikan definisi bahwa siber mrupakan suatu aktivitas yang berkaitan dengan komputer, internet, maupun berbagai hal yang berkaitan dengan perkembangan teknologi dan informasi[12]. Definisi dari Kamus Bahasa Indonesia di atas sejatinya merupakan definisi yang meluas atau ekstensif karena menegaskan bahwa aktivitas siber merupakan aktivitas yang secara umum berkaitan dengan perkembangan teknologi dan informasi, khususnya pada aspek komputer dan internet.

Tindak pidana siber atau dalam istilah hukum pidana lazim diperkenalkan dengan istilah cyber law merupakan suatu tindakan dalam hukum pidana yang memiliki dua orientasi, yaitu merupakan tindak pidana yang secara substantif sama dengan tindak pidana pada umumnya hanya tindakannya yang memanfaatkan perkembangan teknologi dan informasi serta tindak pidana yang secara substantif berbeda dengan tindak pidana pada umumnya[13]. Terkait dengan tindak pidana yang secara substantif sama dengan tindak pidana pada umumnya hanya tindakannya yang memanfaatkan perkembangan teknologi dan informasi seperti halnya tindakan pencurian data[14]. Secara substantif, tindakan pencurian data merupakan tindakan yang secara unsur tidak berbeda dengan tindak pidana pencurian pada umumnya. Yang membedakan tindak pidana pencurian data dengan tindak pidana pada umumnya adalah pada teknologi dan informasi yang digunakan dalam tindak pidana serta objek tindak pidana berupa data yang pada umumnya tidak berbentuk fisik tapi berbentuk secara elektronik (berbasis sistem informasi elektronik).

Terkait dengan tindak pidana yang secara substantif berbeda dengan tindak pidana pada umumnya yaitu merupakan suatu tindak pidana berbasis siber yang memiliki unsur serta karakteristik khusus sehingga berbeda dengan unsur-unsur tindak pidana pada umumnya seperti tindakan phishing maupun sniffing. Phishing sendiri menurut University of California Berkeley Information Security Office merupakan bentuk tindak pidana yang berorientasi pada dua aspek, yaitu pemanfaatan teknologi informasi serta upaya untuk mengelabuhi pengguna supaya tindakan yang dilakukan tidak disadari dapat merugikan pengguna[15]. Karakteristik tindak pidana phishing sejatinya memiliki persamaan secara substantif dengan tindak pidana melalui sniffing.

Sniffing sejatinya merupakan bentuk tindak pidana yang terkategorisasi sebagai tindak pidana siber yang berupa penyadapan sekaligus pengambilan informasi atau data yang dilaksanakan secara melawan hukum dengan memanfaatkan jaringan internet[16]. Sniffing selain berimplikasi pada kerugian korban berupa informasi atau data hilang atau dimanfaatkan oleh orang lain, tindak pidana melalui sniffing juga berdampak pada adanya kerugian lain bagi korban seperti kerugian secara finansial. Sniffing berorientasi pada tindakan untuk mengirimkan paket sniffer pada lebih dari satu target atau pengguna. Praktik ini bertujuan untuk meretas sekaligus melakukan ekstraksi data yang sifatnya sensitif. Sniffing dilakukan dengan menggunakan aplikasi khusus yang memang didesain untuk melakukan sniffing[17]. Hal ini dikarenakan tindak pidana ini ditujukan untuk melewati batas keamanan yang terdapat dalam data pribadi korban.

Tindak pidana penipuan melalui sniffing secara umum dapat terjadi apabila ada relevansinya dengan sambungan internet[18]. Secara umum, tindak pidana melalui sniffing secara umum terjadi melalui internet karena internet memiliki karakteristik publik yang mana terdapat transfer data antara server dan client dan begitu juga sebaliknya. Tindak pidana penipuan melalui sniffing ini terjadi karena adanya transfer data antara server dan client secara bolak-balik[19]. Sniffing juga terjadi karena adanya paket data yang memanfaatkan jaringan internet dengan bantuan menu “tools”[20]. Tindakan sniffing dilakukan dengan cara upaya penyusupan pada perangkat korban untuk kemudian pelaku sniffing memasukkan sebuah aplikasi tertentu yang apabila di buka atau di klik oleh korban dapat berimplikasi pada tercurinya data korban.

Tindakan sniffing sendiri terkualifikasi menjadi dua jenis yaitu yang sifatnya aktif dan pasif[21]. Secara substantif, kedua jenis sniffing di atas memiliki orientasi dan tujuan yang sama namun karakteristik dan cara kerjanya yang berbeda. Kedua jenis sniffing di atas sama-sama bertujuan untuk mencuri data pribadi korban sekaligus merugikan korban baik secara finansial maupun non-finansial. Sniffing aktif merupakan suatu tindakan yang orientasinya adalah mengubah substansi data yang ada[22]. Sniffing aktif dijalankan pada switch jaringan, dan bukan pada perangkatnya. Sniffing pasif merupakan tindakan yang berupa penyadapan atas data yang memanfaatkan transfer data antara server dan client secara bolak-balik yang mana akibat dari tindakan ini adalah substansi dari data yang ada adalah tidak berubah[23].

Karakteristik utama dari sniffing pasif adalah tidak memiliki tanda-tanda tertentu sehingga seringkali tidak terdapat kecuriaan atau korban menjadi tidak sadar terkait tindakan sniffing pasif yang dialaminya[24]. Tindakan sniffing pasif memanfaatkan perangkat hub. yang fungsi utama adalah menyebarkan sinyl pada semua client. Dari dua jenis tindakan sniffing di atas, sniffing secara umum terjadi dengan mengakibatkan pada kerugian pada korban. Kerugian tersebut dapat berupa kerugian finansial maupun non-finansial. Salah satu tindakan sniffing yang masif terjadi di masyarakat yaitu melalui file aplikasi tertentu (berformat apk.) yang dibuka melalui WhatsApp yang kemudian secara otomatis tindakan sniffing mencuri data pribadi bahkan hingga melakukan pembobolan hingga mengakibatkan saldo M-Banking menjadi habis[25].

M-Banking sejatinya merupakan bagian dari perkembangan dunia perbankan yang memanfaatkan perkembangan teknologi dan digitalisasi[26]. M-Banking memiliki dua kelemahan utama, yaitu: pertama, M-Banking berbasiskan jaringan internet yang artinya tanpa jaringan internet transaksi melalui M-Banking tidak dapat dijalankan. Hal ini berdampak ketika adanya suatu peristiwa tertentu yang membuat jaringan internet tidak stabil sehingga ketidakstabilan jaringan internet berdampak pada transaksi yang tidak dapat dilakukan.

Kedua, M-Banking sekalipun telah memiliki orientasi keamanan tertentu nyatanya juga masih menimbulkan potensi untuk dapat dibobol sehingga terjadinya suatu tindak pidana berbasis siber. Salah satu tindak pidana yang orientasinya untuk melakukan pembobolan terhadap M-Banking adalah tindakan sniffing. Dengan mengeklik file dengan format apk. dalam aplikasi WhatsApp, maka data pribadi hingga M-Banking korban dapat dibobol bahkan hingga saldo M-Banking korban sering diambil semua secara melawan hukum. Adanya dua kelemahan dalam M-Banking di atas, maka dapat disimpulkan bahwa adanya tindak pidana berupa sniffing sejatinya masih menjadi “musuh utama” pada transaksi M-Banking.

Tindak pidana sniffing dengan melakukan pembobolan M-Banking sejatinya memiliki tiga karakteristik utama, yaitu: pertama, sniffing dengan melakukan pembobolan M-Banking dilakukan secara sengaja dan terencana. Hal ini dapat dibuktikan dengan adanya format aplikasi (.apk) yang digunakan sebagai sarana untuk melakukan pembobolan M-Banking. Dengan adanya persiapan menggunakan format aplikasi (.apk) yang digunakan sebagai sarana untuk melakukan pembobolan M-Banking maka dapat dipastikan bahwa tindakan sniffing dengan melakukan pembobolan M-Banking adalah pasti tindakan yang disengaja dan terencana sehingga tidak mungkin tindakan sniffing dilakukan karena kealpaan atau kekuranghati-hatian.

Kedua, tindak pidana berupa sniffing dengan melakukan pembobolan M-Banking dapat saja tidak secara spesifik menentukan target korbannya namun juga dapat dimungkinkan adanya target pada korban tertentu. Hal ini dimungkinkan karena orientasi utama tindak pidana berupa sniffing adalah pada data pribadi korban yang kemudian digunakan untuk membobol saldo M-Banking. Hal ini berarti, tindak pidana berupa sniffing dapat secara terencana menarget korban tertentu atau dapat juga mengenakan pada korban secara acak. Ketiga, tindak pidana berupa sniffing secara substantif merupakan tindakan yang orientasinya adalah pada “pemanfaatan data pribadi korban” untuk kemudian data pribadi tersebut dilanjutkan dengan pembobolan M-Banking. Hal ini sekaligus menunjukkan bahwa secara esensial, tindak pidana berupa sniffing merupakan tindak pidana terkait data pribadi. Dari ketiga karakteristik tindak pidana berupa sniffing dengan melakukan pembobolan M-Banking di atas, dapat disimpulkan bahwa secara substantif tindak pidana berupa sniffing merupakan tindak pidana dengan fokus utama adalah pemanfaatan data pribadi korban untuk selanjutnya dilakukan pembobolan M-Banking korban yang menghasilkan keuntungan bagi pelakunya.

Secara yuridis, pengaturan mengenai tindak pidana berupa sniffing diatur dalam dua undang-undang, yaitu UU ITE dan UU PDP. Pasal 31 ayat (2) Perubahan UU ITE memberikan pengaturan mengenai larangan bagi setiap orang yang berdasarkan kesengajaan untuk melakukan intersepsi suatu dokumen atau informasi elektronik yang berakibat pada hilang, berubah, serta terhentinya suatu dokumen atau informasi elektronik. Ketentuan lebih lanjut, apabila substansi Pasal 31 ayat (2) Perubahan UU ITE berakibat pada kerugian bagi pihak lain maka hal ini diatur dalam ketentuan Pasal 36 UU ITE juncto Pasal 51 ayat (2) UU ITE dengan sanksi pidana maksimal dua belas tahun penjara dan/atau denda maksimal dua belas miliar rupiah. Ketentuan serupa juga terdapat dalam UU PDP, khususnya pada Pasal 67 ayat (1) menegaskan bahwa larangan bagi setiap orang yang secara melawan hukum memperoleh atau mengumpulkan data pribadi yang dapat merugikan pihak lain dengan sanksi pidana penjara paling lama lima tahun dan/atau denda maksimal lima ratus miliar rupiah. Secara umum, diketahui bahwa UU ITE beserta perubahannya mengatur secara umum tindak pidana siber (lex generalis cyber law)[27]. Hal ini tentu berbeda dengan ketentuan UU PDP yang dimaksudkan secara khusus pada berbagai hal yang berkaitan dengan data pribadi[28]. Dalam perumusan tindak pidana dalam UU PDP, maka dapat disimpulkan bahwa UU PDP berfokus pada tindak pidana khusus yang berkaitan dengan data pribadi[29].

Problematika hukum mengenai tindak pidana berupa sniffing yang diatur dalam UU ITE beserta perubahannya dan UU PDP yaitu adanya perbedaan ketentuan sanksi dalam Pasal 36 UU ITE juncto Pasal 51 ayat (2) UU ITE berbeda dengan ketentuan sanksi dalam Pasal 67 ayat (1) UU PDP. Pasal 36 UU ITE juncto Pasal 51 ayat (2) UU ITE menegaskan sanksi pidana maksimal dua belas tahun penjara dan/atau denda maksimal dua belas miliar rupiah sedangkan pada Pasal 67 ayat (1) UU PDP menegaskan sanksi pidana penjara paling lama lima tahun dan/atau denda maksimal lima ratus miliar rupiah. Problematika hukum mengenai perbedaan sanksi dalam UU ITE beserta perubahannya dan UU PDP secara yuridis dapat diselesaikan melalui dua cara, yaitu melalui asas preferensi dan melalui interpretasi teleologis/sosiologis. Mengacu pada asas preferensi yaitu asas lex specialis derogate legigeneralis yang menekankan bahwa suatu undang-undang yang sifatnya khusus dapat mengesampingkan suatu undang-undang yang sifatnya umum[30]. Dalam hal ini, maka ketentuan Pasal 67 ayat (1) UU PDP berlaku dalam tindak pidana berupa sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp. Hal ini karena UU PDP mengatur mengenai tindak pidana yang berkaitan dengan data pribadi yang secara spesifik dapat mengesampingkan tindak pidana siber secara umum yang diatur dalam UU ITE beserta perubahannya.

Mengacu pada interpretasi teleologis/sosiologis dengan melihat pada tujuan dibentuknya undang-undang, maka dapat dilihat bahwa UU PDP memang disesain untuk melakukan penegakan hukum atas tindak pidana yang berkaitan dengan data pribadi. Hal ini tentu berbeda dengan ketentuan dalam UU ITE beserta perubahannya yang berfokus pada pengaturan tindak pidana siber secara umum. Oleh karena itu, karena mengacu pada asas preferensi yaitu asas lex specialis derogate legigeneralis serta berdasarkan interpretasi teleologis/sosiologis dengan melihat pada tujuan dibentuknya undang-undang maka dapat disimpulkan bahwa dalam kasus tindak pidana berupa sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp, maka yang berlaku adalah ketentuan Pasal 67 ayat (1) UU PDP.

Berdasarkan hasil analisis di atas, pengaturan kejahatan sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp yang telah diatur dalam UU ITE beserta perubahannya dan UU PDP sejatinya memiliki perbedaan dalam aspek sanksi yang mana sanksi dalam UU ITE beserta perubahannya lebih berat dari sanksi yang terdapat dalam UU PDP. Mengacu pada asas preferensi yaitu asas lex specialis derogate legigeneralis serta berdasarkan interpretasi teleologis/sosiologis dengan melihat pada tujuan dibentuknya undang-undang maka dapat disimpulkan bahwa dalam kasus tindak pidana berupa sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp, maka yang berlaku adalah ketentuan Pasal 67 ayat (1) UU PDP.

Pertanggungjawaban hukum merupakan konsepsi dasar dalam ilmu hukum yang bersamaan dengan gagasan perbuatan hukum[31]. Secara sederhana, pertanggungjawaban hukum merupakan suatu implikasi yang wajib dilakukan oleh orang atau badan hukum atas suatu tindak pidana tertentu. Dalam pandangan Van Hamel, tindak pidana merupakan suatu kondisi pada umumnya serta matangnya psikis untuk dapat dilakukannya tiga kemampuan utama, yaitu: memahami bentuk dan akibat tindak pidana yang dilakukan, menyadari akan tindak pidana yang dilakukan merupakan tindakan yang dilarang oleh masyarakat serta hukum positif di suatu negara, sekaligus mampu untuk bertanggungjawab akibat tindak pidana yang dilakukan[32].

Dasar dari pertanggungjawaban pidana dalam pandangan Simons adalah adanya kesalahan (schuld). Hal ini sesuai dengan adagium dalam hukum pidana yang menyatakan bahwa, “Geenstraftzonderschuld” yang secara substantif bermakna bahwa seseorang dapat dipertanggungjawabkan secara pidana apabila telah terbukti bersalah[33]. Untuk menentukan seseorang dapat bertanggung jawab atau tidak maka harus dilihat dari tiga aspek, yaitu: kemampuan bertanggung jawab, hubungan kejiwaan antara orang dan tindak pidananya yang disertai dengan akibat tindak pidana, serta analisis atas dolus dan culpa sebagai unsur subjektif dalam menilai suatu tindak pidana.

Moelyatno dengan mengacu pada Pasal 44 ayat (1) KUHP menegaskan bahwa terdapat dua orientasi dari kemampuan bertanggungjawab yaitu: pertama, kemampuan untuk membedakan perbuatan yang baik dan buruk termasuk apakah suatu perbuatan tersebut melawan hukum atau tidak[34]. Kemampuan ini diperlukan supaya seseorang memiliki pengetahuan dasar atas perbuatan yang telah dilakukan sehingga dapat dikenai pertanggungjawaban. Kedua, yaitu kemampuan berdasarkan keinsyafan atas suatu tindakan yang dirasa baik atau buruk. Kemampuan berdasarkan keinsyafan ini sejatinya berkaitan dengan aspek psikologis maupun kejiwaan sehingga apabila seseorang memiliki kejiwaan dan psikologis yang sehat maka dapat dikenai pertanggungjawaban hukum[34].

Mengacu pada Pasal 67 ayat (1) UU PDP menegaskan bahwa pertanggungjawaban hukum terhadap tindak pidana berupa sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp adalah sanksi pidana penjara paling lama lima tahun dan/atau denda maksimal lima ratus miliar rupiah. Supaya pertanggungjawaban hukum sebagaimana dalam Pasal 67 ayat (1) UU PDP dijalankan, maka harus terpenuhi unsur-unsur tindak pidana dalam Pasal 67 ayat (1) UU PDP yang meliputi: unsur setiap orang, unsur dengan sengaja dan melawan hukum, unsur mengumpulkan atau memperoleh data pribadi yang bukan miliknya, unsur dengan maksud menguntungkan diri sendiri maupun orang lain, serta unsur mengakibatkan kerugian. Unsur setiap orang dalam hal ini dimaknai secara luas sebagaimana ditegaskan dalam Pasal 70 UU PDP bahwa setiap orang dalam hal ini yaitu orang sebagai naturlijke person termasuk juga korporasi[35]. Unsur dengan sengaja menegaskan bahwa tindak pidana berupa sniffing dalam pembobolan M-Banking dilakukan dengan sengaja bahkan dipersiapkan dengan adanya aplikasi tertentu. Unsur mengumpulkan atau memperoleh data pribadi yang bukan miliknya dapat dilihat dari proses tindak pidana berupa sniffing yang membobol data pribadi pihak lain. Unsur dengan maksud menguntungkan diri sendiri maupun orang lain dapat dilihat bahwa tindak pidana berupa sniffing dilakukan dengan tujuan untuk mengurangi atau mengambil saldo M-Banking orang lain yang jelas bertujuan untuk mengambil keuntungan dari pihak lain. Unsur mengakibatkan kerugian dapat dilihat dari adanya korban tindak pidana berupa sniffingyang saldo M-Banking nya berkurang atau habis karena adanya tindak pidana berupa sniffing.

Selain mengacu pada ketentuan Pasal 67 ayat (1) UU PDP, pertanggungjawaban hukum sejatinya juga wajib diberikan oleh pihak bank apabila terdapat kerugian yang diakibatkan oleh tindakan sniffing dalam pembobolan M-Banking yang secara implikatif merugikan korban. Meski begitu, ketentuan dalam UU No. 10 Tahun 1998 Tentang Perubahan Atas UU No. 7 Tahun 1992 Tentang Perbankan (UU Perubahan Perbankan), khususnya dalam Pasal 37B ayat (1) yang menegaskan bahwa kewajiban bank untuk menjamin dan melindungi dana yang telah disimpan oleh masyarakat dirasa belum cukup untuk menjamin adanya pertanggungjawaban hukum yang dilakukan oleh pihak bank apabila terjadi tindak pidana berupa sniffingyang melakukan pembobolan M-Banking. Ketentuan Pasal 37B ayat (1) UU Perubahan Perbankan hanya menegaskan kewajiban bank untuk menjaga dana dari masyarakat tanpa ada konsekuensi hukum bagaimana jika pihak bank justru tidak optimal atau melakukan kesalahan dalam menjaga dana dari masyarakat.

Ketentuan Pasal 37B ayat (1) UU Perubahan Perbankan memiliki relevansi dengan ketentuan Pasal 29 ayat (4) UU Perubahan Perbankan beserta penjelasannya yang secara substantif menjelaskan bahwa apabila terdapat potensi kerugian yang akan dialami oleh nasabah maka pihak bank berkewajiban untuk memberikan informasi mengenai potensi kerugian beserta cara penanggulangannya. Ketika pihak bank telah memberikan informasi mengenai potensi kerugian beserta cara penanggulangannya maka pihak bank telah dianggap sebagai pihak yang berupaya untuk menjaga dana dari masyarakat sebagaimana ketentuan dalam Pasal 37B ayat (1) UU Perubahan Perbankan. Berkaitan dengan tindak pidana berupa sniffingyang melakukan pembobolan M-Banking, maka seyogyanya pihak bank wajib bertanggungjawab secara perdata kepada para korban pembobolan M-Banking karena dengan mengacu pada Pasal 29 ayat (4) UU Perubahan Perbankan mewajibkan pihak bank untuk memberikan informasi mengenai tindak pidana berupa sniffingyang melakukan pembobolan M-Banking beserta cara penanggulangannya. Dalam praktiknya, pihak bank justru tidak mengetahui cara kerja tindak pidana berupa sniffingyang melakukan pembobolan M-Banking sehingga seyogyanya pihak bank dapat bertanggungjawab secara perdata kepada nasabah apakah dengan memberikan ganti kerugian tertentu sejumlah saldo yang diambil akibat tindak pidana berupa sniffing atau pihak bank memberikan fasilitas tertentu bagi pihak yang dirugikan akibat tindak pidana berupa sniffing.

Pertanggungjawaban yang dilakukan oleh pihak bank ini sejatinya juga wajib diberlakukan pada bank syariah. Hal ini ditegaskan dalam Pasal 39 UU No. 21 Tahun 2008 Tentang Perbankan Syariah (UU Perbankan Syariah) yang secara subtantif memiliki persamaan dengan rumusan Pasal 29 ayat (4) UU Perubahan Perbankan yang menyatakan bahwa bank syariah berkewajiban memberikan informasi atas potensi kerugian yang dialami oleh nasabah. Sama dengan praktik di perbankan pada umumnya, di perbankan syariah pihak bank juga sering luput dan tidak memberikan informasi mengenai tindak pidana berupa sniffingyang melakukan pembobolan M-Banking beserta penanggulangannya. Dalam UU Perbankan Syariah, khususnya dalam Pasal 19 ayat (1) huruf c bahwa slah satu akad yang dijalankan oleh UU Perbankan Syariah adalah akad mudharabah yang secara prinsip menegaskan bahwa pihak bank menanggung kerugian hanya dikecualikan apabila terdapat bukti bahwa pihak nasabah yang melakukan kesalahan atau kelalaian. Dalam kasus mengenai tindak pidana berupa sniffingyang melakukan pembobolan M-Banking, maka jelas bahwa kesalahan bukan berada pada nasabah sehingga argumentum a contrarionya maka pihak bank syariah harus bertanggungjawab secara hukum terkait kerugian korban sebagai akibat adanya tindak pidana berupa sniffingyang melakukan pembobolan M-Banking. Oleh karena itu, baik bank konvensional maupun bank syariah sejatinya memiliki kewajiban untuk bertanggungjawab kepada korban sebagai akibat dirugikannya korban atas tindak pidana berupa sniffingyang melakukan pembobolan M-Banking yang bentuk pertanggungjawabannya dapat berupa penggantian seluruh atau sebagian nominal saldo M-Banking atau bentuk pertanggungjawaban lainnya.

Berdasarkan hasil analisis di atas, pertanggungjawaban hukum kejahatan sniffing dalam pembobolan M-Banking melalui aplikasi WhatssApp yaitu pidana penjara paling lama lima tahun dan/atau denda maksimal lima ratus miliar rupiah. Sanksi pidana tersebut dapat diberlakukan apabila unsur-unsurnya telah terpenuhi yang meliputi unsur setiap orang, dengan sengaja dan melawan hukum, mengumpulkan atau memperoleh data pribadi yang bukan miliknya, dengan maksud menguntungkan diri sendiri maupun orang lain, serta mengakibatkan kerugian. Selain sanksi pidana, pihak bank juga wajib bertanggungjawab atas kerugian yang dialami oleh korban sniffing dalam pembobolan M-Banking yang pertanggungjawabannya dapat meliputi penggantian seluruh atau sebagian nominal saldo M-Banking atau bentuk pertanggungjawaban lainnya yang disepakati.