ngopidw.com – Pemerintah Indonesia mengumumkan sebuah gebrakan dalam memerangi kejahatan digital. Mulai 1 Januari 2026, registrasi kartu SIM baru akan menggunakan verifikasi biometrik wajah (face recognition) sebagai bagian dari proses identifikasi pelanggan.
Kebijakan yang dikeluarkan oleh Kementerian Komunikasi dan Digital (Komdigi) ini bertujuan untuk membendung gelombang penipuan online yang menyebabkan kerugian triliunan rupiah setiap tahunnya.
Namun, di balik janji peningkatan keamanan, para pakar keamanan siber memperingatkan adanya sejumlah celah kritis yang justru dapat menciptakan ancaman baru bagi privasi dan keamanan data warga Indonesia.
Motivasinya Perang Melawan Kejahatan Digital yang Merajalela
Latar belakang kebijakan ini didasari oleh statistik kejahatan digital yang mengkhawatirkan. Menurut data yang dipaparkan Dirjen Ekosistem Digital Komdigi, kerugian akibat penipuan digital telah melampaui angka Rp7 triliun. Setiap bulannya, tercatat lebih dari 30 juta panggilan penipuan dialirkan ke masyarakat.
“Hampir semua modus kejahatan siber, mulai dari scam call, smishing, hingga social engineering, berawal dari penyalahgunaan identitas nomor telepon,” jelas Edwin Hidayat Abdullah dalam sebuah diskusi publik.
Kebijakan ini akan dijalankan secara bertahap. Periode Juni 2026 menjadi batas akhir bagi skema registrasi hybrid (pilihan antara NIK atau biometrik). Setelah tanggal itu, atau tepatnya mulai 1 Juli 2026, verifikasi wajah menjadi satu-satunya metode untuk registrasi pelanggan baru.
Celah Keamanan Di Balik Janji Teknologi Canggih
Meski didukung oleh operator telekomunikasi yang tergabung dalam ATSI, implementasi sistem biometrik skala nasional ini menyisakan sejumlah pertanyaan krusial dari perspektif keamanan siber.
1. Data Biometrik Aset Paling Berharga yang Tak Bisa Diubah
Titik kerentanan terbesar terletak pada sifat data biometrik itu sendiri. Berbeda dengan kata sandi yang bisa diganti jika bocor, wajah adalah identitas permanen. Jika database yang menyimpan template wajah jutaan warga Indonesia diretas, dampaknya akan bersifat permanen dan masif.
“Jika data bocor, konsumen tidak hanya berhadapan dengan satu pelaku usaha, tetapi bisa terdampak oleh banyak pihak—mulai dari perbankan, asuransi, hingga platform digital,” tegas David M. L. Tobing, seorang praktisi hukum dan perlindungan konsumen, menggarisbawahi skala risiko yang dihadapi.
2. Perang Teknologi Liveness Detection vs. Deepfake
Operator mengklaim telah menyiapkan teknologi liveness detection untuk mencegah pemalsuan menggunakan foto atau rekaman video. Namun, teknologi ofensif seperti deepfake dan artificial intelligence (AI) untuk pemalsuan wajah juga terus berkembang pesat.
“Kami telah menerapkan standar keamanan internasional dan teknologi liveness detection,” ujar Marwan O. Baasir, Direktur Eksekutif ATSI. Klaim ini perlu diuji secara independen untuk memastikan sistem dapat bertahan dari serangan canggih yang mungkin belum ada hari ini, tetapi akan muncul di masa depan.
3. Rantai Pasok Keamanan yang Panjang dan Rumit
Proses registrasi ini tidak berjalan dalam sistem tertutup. Ia melibatkan rantai yang panjang: mulai dari perangkat front-end di gerai atau aplikasi, server operator seluler, hingga integrasi dengan database kependudukan milik Direktorat Jenderal Dukcapil. Setiap titik dalam rantai panjang ini adalah potensi titik lemah yang dapat dieksploitasi peretas. Keamanan sistem secara keseluruhan hanya akan sekuat mata rantai terlemah di dalamnya.
Apa yang Harus Diperkuat?
Agar kebijakan ambisius ini tidak berbalik menjadi bumerang, beberapa langkah kritis perlu dijalankan secara paralel dengan implementasi teknologinya.
- Penerapan Privacy by Design dan Enkripsi Ketat: Sistem harus dirancang dengan prinsip keamanan dan privasi sejak awal. Data wajah harus diubah menjadi template biometrik terenkripsi (bukan gambar asli) dan disimpan dengan enkripsi tingkat tinggi, baik saat diam (at-rest) maupun sedang dikirim (in-transit).
- Audit Keamanan Independen yang Transparan: Diperlukan mekanisme audit keamanan siber berkala oleh pihak ketiga yang independen terhadap infrastruktur semua operator dan mitra pemerintah. Hasil temuan audit harus diumumkan kepada publik (dengan redaksi sesuai kebutuhan keamanan) untuk membangun akuntabilitas.
- Payung Hukum yang Kuat dan Sanksi Tegas: Perlu diperkuatnya kerangka regulasi khusus yang mengatur perlindungan data biometrik, yang secara jelas mendefinisikan hak kepemilikan data, masa penyimpanan, tujuan penggunaan, dan menerapkan sanksi hukum yang sangat berat bagi pelaku kebocoran data.
- Edukasi Publik yang Masif: Masyarakat harus diedukasi tentang apa itu data biometrik, nilai dan risikonya, serta hak-hak mereka. Kesadaran pengguna merupakan lapisan pertahanan pertama yang penting.
Menuju 2026 Antara Harapan dan Kekhawatiran
Dukungan terhadap kebijakan ini datang dari berbagai sektor, termasuk Otoritas Jasa Keuangan (OJK) yang melihatnya sebagai cara untuk menekan penipuan perbankan. Namun, dukungan harus disertai dengan pengawasan ketat.
Alfons Tanujaya, pengamat keamanan siber dari Vaksincom, menyimpulkan dengan pesan berimbang: “Niatnya bagus dan metodenya bagus, tapi datanya, alurnya harus dibuat dengan baik.”
Pada akhirnya, kebijakan registrasi SIM biometrik 2026 akan menjadi ujian nyata bagi ketahanan siber Indonesia. Keberhasilannya tidak hanya diukur dari turunnya angka penipuan, tetapi lebih penting lagi, dari kemampuan negara dalam menjaga aset data paling sensitif warganya dari ancaman yang justru mungkin lahir dari sistem yang dimaksudkan untuk melindungi.
