Bayangkan kalau setiap hari ada orang asing yang bisa masuk ke rumah Anda, menaruh selebaran promosi judi online, pinjaman ilegal, atau penipuan berhadiah di meja makan, lalu pergi begitu saja tanpa bisa dilacak. Hal semacam itulah yang terjadi pada kotak pesan ponsel jutaan orang Indonesia setiap hari. Bedanya, "rumah" itu adalah ponsel pribadi kita, dan "selebarannya" berbunyi seperti ini:
Ini bukan kejadian yang Cuma sekali. Dari pengalaman pribadi, pesan semacam ini bisa muncul 2-5 kali sehari, dari nomor-nomor yang berbeda, mengatasnamakan bank, e-commerce, sampai lembaga pemerintah. Anehnya, meski sudah berkali-kali diblokir, pesan serupa tetap saja masuk, seolah memang ada celah yang dibiarkan terbuka.
Padahal, masalah ini sudah lama coba diatasi. Sembilan tahun lalu, tepatnya Oktober 2017, pemerintah melalui Kementerian Komunikasi dan Informatika mewajibkan registrasi kartu SIM prabayar, baik untuk nomor lama maupun baru. Prosesnya juga tidak sederhana karena harus menggunakan Nomor Induk Kependudukan (NIK) dan Nomor Kartu Keluarga (KK) yang valid, baik lewat situs resmi maupun SMS ke 4444. Bahkan, sanksinya cukup tegas: kartu yang tidak diregistrasi akan diblokir dan tidak bisa digunakan untuk telepon atau kirim SMS.
Saat itu, kebijakan registrasi kartu SIM sebenarnya dibuat dengan tujuan yang baik, untuk melindungi pelanggan dari kejahatan seperti penipuan dan penyalahgunaan nomor, meningkatkan keamanan data, sekaligus mendukung program pemerintah menuju single identity number. Namun, kalau melihat kondisi sekarang, rasanya program itu belum berhasil karena Spam call, phishing, penyalahgunaan one-time password (OTP), hingga penggunaan kartu SIM anonim untuk aktivitas ilegal masih terus terjadi.
Padahal secara logika, kalau kebijakan ini berjalan efektif, setiap SMS penipuan seharusnya bisa dengan mudah dilacak pengirimnya. Tapi kenyataannya jauh dari harapan. Berdasarkan data Komdigi, dari total kerugian akibat online scam yang mencapai Rp7 triliun, hanya Rp367 miliar yang berhasil dikembalikan. Artinya, sekitar 94–95% kasus penipuan, termasuk SMS scam, tidak berhasil memulihkan uang korban. Dan seperti yang sering terjadi, masyarakat lagi-lagi jadi pihak yang paling dirugikan.
Aturan Baru: Registrasi Biometrik
Mulai 1 Juli 2026, pemerintah akan memberlakukan aturan baru: registrasi biometrik untuk setiap aktivasi nomor seluler. Tujuannya jelas untuk memperkuat kepercayaan publik sekaligus melindungi masyarakat dari penipuan digital, spam call, phishing, hingga penyalahgunaan nomor dengan identitas palsu. Prosesnya sendiri menggunakan teknologi pengenalan wajah (face recognition), yang akan mencocokkan identitas pengguna dengan data kependudukan dari Dukcapil.
Sekilas, kebijakan ini memang terdengar masuk akal. Pemerintah ingin membangun sistem identitas digital yang lebih kuat, menekan penipuan berbasis nomor telepon, dan menutup celah penggunaan identitas palsu yang selama ini sering terjadi. Tapi kalau melihat pengalaman dari kebijakan-kebijakan sebelumnya, ditambah rekam jejak pengelolaan data di Indonesia, rasanya sulit untuk tidak merasa khawatir.
Dilema di Balik "Wajah" Kita
Operator seluler dan Komdigi memang menegaskan bahwa verifikasi wajah hanya dipakai untuk mencocokkan identitas dengan data Dukcapil. Mereka juga bilang operator hanya menjadi perantara verifikasi, bukan penyimpan data biometrik pelanggan. Bahkan, sistemnya diklaim sudah memenuhi standar keamanan internasional seperti ISO 27001 dan dilengkapi teknologi liveness detection sesuai ISO/IEC 30107-3.
Tapi, jujur saja, pernyataan seperti ini bukan hal baru. Kita sudah terlalu sering mendengar janji soal keamanan data, sebelum akhirnya muncul kabar kebocoran di sana-sini. Masalahnya, risiko dari sistem ini bukan cuma soal apakah data wajah benar-benar disimpan atau tidak. Ada hal-hal lain yang juga perlu dipikirkan.
Pertama, proses verifikasi ini melibatkan banyak pihak—mulai dari operator, vendor teknologi, hingga integrasi dengan Dukcapil. Semakin banyak pihak yang terlibat, semakin besar pula celah yang bisa dimanfaatkan oleh pihak yang tidak bertanggung jawab.
Kedua, data biometrik itu berbeda dengan password. Kalau password bocor, kita bisa menggantinya. Tapi kalau data wajah bocor, risikonya akan melekat seumur hidup.
Ketiga, ada kemungkinan data tersebut disalahgunakan, misalnya untuk deepfake atau pemalsuan identitas digital, jika sampai jatuh ke tangan yang salah.
Keempat, tidak semua orang punya akses internet yang memadai. Bagi masyarakat di daerah dengan jaringan terbatas, proses verifikasi wajah secara online ini justru bisa menjadi hambatan baru.
Rapor Merah Perlindungan Data
Pemerintah Indonesia punya rapor merah dalam urusan perlindungan data pribadi selama bertahun-tahun. Publik masih ingat kebocoran data 279 juta peserta BPJS Kesehatan pada 2021 yang dijual bebas di forum hacker, kebocoran 91 juta data pengguna Tokopedia, sampai insiden aplikasi eHAC milik Kementerian Kesehatan yang membuka data kesehatan jutaan pelaku perjalanan. Belum lagi rangkaian kebocoran yang diungkap peretas Bjorka pada 2022, yang menyasar data registrasi SIM card Kominfo, PLN, IndiHome, hingga data pemilih KPU, dengan total ratusan juta entri.
Pola yang terus berulang ini sebenarnya menunjukkan satu hal: tata kelola keamanan data di berbagai instansi, baik pemerintah maupun korporasi, masih lemah. Ditambah lagi, transparansi soal proses investigasi dan sanksi bagi pihak yang bertanggung jawab juga nyaris tidak terdengar.
Ketika kasus-kasus kebocoran itu terjadi, apa yang benar-benar kita lihat? Apakah ada perbaikan yang serius? Pertanggungjawaban yang jelas? Sering kali tidak. Yang muncul biasanya hanya permintaan maaf, tanpa perubahan yang terasa. Pada akhirnya, masyarakat lagi-lagi diminta untuk memaklumi dan perlahan melupakan apa yang sebenarnya tidak seharusnya terjadi, seolah olah itu adalah resiko yang harus ditanggung bersama.
Memindahkan Risiko, Bukan Menghilangkannya
Dengan track record seperti itu, wajar kalau publik bertanya: apakah data biometrik kita akan aman di tangan Komdigi? Kebijakan ini seperti memindahkan risiko dari operator seluler ke pemerintah. Kalau dulu data kita tersebar di masing-masing operator, sekarang akan terkonsentrasi dalam satu database nasional.
Dalam dunia keamanan siber, konsentrasi data yang sangat besar di satu titik (single point of failure) adalah surga bagi peretas. Tentunya kita semua masih ingat tata Kelola database nasional dalam kasus Pusat Data Nasional yang diretas tahun 2024 dan melumpuhkan sistem data pemerintah Indonesia. Kalau server pusat registrasi biometrik ini sampai dibobol, konsekuensinya bisa jauh lebih masif dibandingkan sekadar bocornya data 105 juta penduduk seperti kasus Bjorka.
Belum lagi, implementasi Undang-Undang Perlindungan Data Pribadi (UU PDP) yang baru digulirkan masih menyisakan banyak pertanyaan. Siapa yang akan bertanggung jawab kalau data wajah kita bocor? Apakah ada sanksi tegas bagi pejabat yang lalai menjaga server? Atau ujung-ujungnya hanya permintaan maaf yang tidak menyelesaikan apa-apa, seperti yang sering terjadi?
Kebijakan registrasi biometrik 2026 memang langkah modernisasi yang dibutuhkan untuk menutup celah penipuan berbasis identitas palsu. Tapi teknologi hanyalah alat, keamanannya tetap bergantung pada manusia dan sistem yang mengelolanya.
Sebelum meminta masyarakat menyerahkan "wajah" dan "sidik jari" mereka, pemerintah, dalam hal ini Komdigi, perlu lebih dulu membuktikan bahwa mereka mampu menjaga amanah ini. Edukasi dan pengetatan sistem internal harus sudah berjalan jauh sebelum Juli 2026 tiba. Kalau pemerintah tidak memperbaiki tata kelola keamanan siber dan terus membiarkan "kran" kebocoran data mengucur, kebijakan biometrik ini tidak akan menjadi tameng dari penipuan. Justru sebaliknya, ia bisa menjadi bom waktu yang siap meledakkan privasi lebih dari 270 juta rakyat Indonesia. Kita tentu tidak ingin "biometrik" hanya menjadi versi yang lebih mahal dan lebih berbahaya dari kegagalan SMS 4444. (*)