Biometrik Registrasi Sim Card: Perlindungan atau Kerawanan Baru?

tirto.id - Dalam beberapa tahun terakhir, kejahatan siber yang paling dominan di ruang publik bertumpu pada penyalahgunaan nomor seluler. Modusnya beragam, mulai dari penipuan daring, phishing, dan social engineering, hingga pengambilalihan akun melalui penyalahgunaan one time password (OTP). Nomor seluler dengan identitas tidak jelas kerap menjadi pintu masuk utama berbagai tindak kejahatan tersebut.

Data Kementerian Komunikasi dan Digital (Komdigi) menunjukkan hingga pertengahan 2025 tercatat sekitar 1,2 juta laporan penipuan digital yang masuk ke sistem pengaduan publik. Sementara itu, pada periode November 2024 hingga Januari 2025, total kerugian finansial akibat kejahatan siber mencapai Rp 476 miliar.

Melihat permasalahan ini, pemerintah mulai menerapkan registrasi nomor seluler berbasis biometrik untuk menekan penipuan daring yang makin meresahkan masyarakat. Kebijakan ini diatur dalam Peraturan Menteri Komunikasi dan Digital Nomor 7 Tahun 2026.

“Registrasi biometrik memastikan setiap nomor terhubung dengan identitas yang valid,” ujar Menteri Komdigi, Meutya Hafid, saat peluncuran program Senyum Nyaman dengan Biometrik (SEMANTIK) di Jakarta Pusat, Selasa (27/01/2026).

Kebijakan registrasi nomor seluler berbasis biometrik ini diatur dalam Peraturan Menteri Komunikasi dan Digital Nomor 7 Tahun 2026. Melalui sistem tersebut, pendaftaran kartu SIM dilakukan menggunakan verifikasi wajah yang terhubung dengan Nomor Induk Kependudukan (NIK). Skema ini dirancang untuk menutup celah penggunaan nomor sekali pakai yang selama ini kerap dimanfaatkan untuk penipuan, phishing, dan penyalahgunaan OTP.

Selain itu, pemerintah juga membatasi jumlah nomor seluler yang dapat dimiliki oleh satu identitas serta mewajibkan seluruh penyelenggara layanan seluler untuk melindungi data pribadi pelanggan sesuai ketentuan hukum yang berlaku. Langkah ini menjadi bagian dari upaya memperkuat tata kelola data dan akuntabilitas industri telekomunikasi.

Kebijakan registrasi biometrik merupakan kelanjutan dari penataan registrasi kartu SIM yang telah dimulai sejak 2014. Namun, dinamika dan kompleksitas kejahatan digital yang terus berkembang menuntut sistem validasi identitas yang lebih kuat dan adaptif.

Dengan menekan potensi penipuan dari hulu, pemerintah berharap masyarakat memperoleh perlindungan yang lebih baik di tengah ruang digital yang semakin padat dan berisiko.

“Registrasi biometrik tidak membatasi warga. Justru kebijakan ini hadir untuk melindungi masyarakat sejak awal,” tegas Meutya.

Tata Kelola Kebijakan Harus Ketat

Upaya pemerintah menerapkan registrasi nomor seluler berbasis biometrik sebagai langkah menekan maraknya penipuan daring patut diapresiasi sebagai bentuk keseriusan negara dalam melindungi masyarakat di ruang digital. Kebijakan ini dipandang sebagai respons atas meningkatnya kejahatan siber yang memanfaatkan anonimitas nomor seluler.

Meski demikian, para pakar mengingatkan bahwa implementasi kebijakan tersebut harus tetap selaras dengan Undang-Undang Perlindungan Data Pribadi (UU PDP), khususnya terkait risiko kebocoran data serta mekanisme pemrosesan dan pertukaran data antaroperator seluler.

Pakar keamanan siber dari Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC), Pratama Persadha, menilai bahwa penyalahgunaan nomor seluler memang menjadi pola dominan kejahatan siber dalam beberapa tahun terakhir. Menurutnya, kemudahan pendaftaran nomor prabayar secara massal dengan identitas yang lemah telah menciptakan ekosistem anonimitas yang murah dan mudah dieksploitasi oleh pelaku kejahatan.

“Dalam konteks tersebut, kebijakan verifikasi biometrik dapat dipahami sebagai upaya meningkatkan tingkat kepastian identitas dan mempersempit ruang gerak pelaku,” ujar Pratama kepada Tirto, Jumat (6/2/2026).

Dari sudut pandang keamanan siber, gagasan mengaitkan kartu SIM dengan identitas biometrik dinilai memiliki rasionalitas teknis yang cukup kuat. Biometrik wajah bersifat unik dan relatif sulit dipalsukan dibandingkan data tekstual. Selain itu, teknologi ini dapat dipadukan dengan sistem pencocokan berbasis kecerdasan buatan untuk memastikan bahwa pendaftar benar-benar pemilik Nomor Induk Kependudukan (NIK) yang sah.

“Biometrik wajah bersifat unik, sulit dipalsukan dibandingkan data tekstual, dan dapat dipadukan dengan sistem pencocokan berbasis kecerdasan buatan untuk memvalidasi bahwa pendaftar benar-benar pemilik NIK yang sah,” ujar Pratama.

Menurut Pratama, apabila dirancang dengan arsitektur sistem yang tepat, kebijakan ini berpotensi menekan praktik penggunaan nomor sekali pakai yang selama ini menjadi instrumen utama dalam kejahatan berbasis komunikasi. Efek jera pun dapat muncul karena setiap nomor memiliki jejak identitas yang lebih kuat dan dapat ditelusuri secara forensik.

Meskipun demikian, dia mengingatkan bahwa kelebihan kebijakan ini—yakni meningkatnya kepercayaan (trust) dan keterlacakan (traceability) dalam ekosistem telekomunikasi—harus diimbangi dengan tata kelola data yang ketat.

Identitas yang tervalidasi secara biometrik memang memberi pijakan lebih kuat bagi operator dan aparat penegak hukum, sekaligus mendukung agenda transformasi digital nasional yang menuntut identitas digital yang kredibel.

“Akan tetapi, kekurangannya terletak pada potensi pengumpulan data berlebihan (overcollection) dan sentralisasi informasi sensitif yang membuka peluang penyalahgunaan, baik oleh aktor eksternal melalui peretasan maupun oleh aktor internal melalui akses yang tidak sah,” ujarnya.

Jika Data Biometrik Bocor, Dampaknya Lebih Serius

Pratama menekankan bahwa efektivitas kebijakan ini tidak semata ditentukan oleh penggunaan biometrik, melainkan oleh tata kelola sistem secara menyeluruh. Biometrik, menurutnya, bukanlah solusi absolut. Justru risiko dapat meningkat pada sisi konsentrasi data.

“Data biometrik berbeda dengan kata sandi. Jika bocor, data tersebut tidak dapat diganti. Kebocoran basis data yang memuat kombinasi NIK dan template wajah akan menciptakan risiko jangka panjang yang jauh lebih serius dibandingkan kebocoran nomor telepon biasa,” jelasnya.

Dia mengingatkan bahwa Indonesia telah beberapa kali mengalami insiden kebocoran data berskala besar, baik di sektor publik maupun swasta. Karena itu, penerapan registrasi biometrik harus mempertimbangkan kesiapan infrastruktur keamanan, mulai dari enkripsi end-to-end, penyimpanan berbasis template hashing biometrik, segmentasi basis data, hingga audit keamanan berkala oleh pihak independen.

Senada dengan itu, pakar keamanan siber Alfons Tanujaya menilai bahwa biometrik sejatinya dapat aman sepanjang disimpan dalam kondisi terenkripsi dan dikelola sesuai standar keamanan internasional, seperti ISO, PCI DSS, dan standar pengelolaan kunci enkripsi yang ketat.

“Dengan sistem seperti itu, apabila terjadi kebocoran, data memang bisa disalin, tetapi tidak dapat dibaca atau dimanfaatkan karena masih dalam bentuk terenkripsi. Sebaliknya, jika data tidak dienkripsi atau sistem serta kunci enkripsinya berhasil ditembus, maka data berpotensi dieksploitasi dan disalahgunakan,” ujar Alfons kepada Tirto, Jumat (2/6/2026).

Niat Baik, Tantangan Ada di Implementasi

Alfons menegaskan bahwa persoalan utama dalam kebijakan ini bukan terletak pada konsepnya, melainkan pada penerapannya di lapangan. Dia menilai kondisi pengelolaan data di Indonesia masih sangat bermasalah. Kebocoran data kependudukan yang telah terjadi berulang kali bahkan telah dimanfaatkan dalam praktik penyalahgunaan kartu prabayar.

Situasi tersebut, menurutnya, diperparah oleh lemahnya pengawasan dari regulator serta penyedia layanan seluler yang dinilai cenderung menutup mata.

“Semakin banyak kartu prabayar yang terjual tetap memberikan keuntungan ekonomi bagi mereka, meskipun sebagian pembelinya adalah pelaku penipuan. Hal inilah yang mendorong tingginya angka penipuan,” ujarnya.

Dalam konteks ini, Alfons menilai kebijakan registrasi berbasis biometrik secara konseptual dapat efektif menekan penyalahgunaan, terutama karena data kependudukan yang sudah terlanjur bocor tidak lagi bisa digunakan tanpa verifikasi biometrik. Namun, dia kembali menekankan bahwa efektivitas kebijakan sepenuhnya bergantung pada konsistensi penerapan di lapangan.

Dia juga menyoroti potensi celah apabila sistem antaroperator tidak terintegrasi. Registrasi biometrik, kata Alfons, akan kehilangan makna jika hanya diterapkan oleh sebagian operator.

“Kebijakan boleh, tapi kalau di provider A pakai biometrik, sementara di provider B dan C masih bisa lolos, ya sama saja bohong,” ujarnya.

Karena itu, Alfons menilai seluruh operator seluler harus berada dalam satu sistem terpadu. Jika sebuah identitas atau nomor diblokir di satu operator, pemblokiran tersebut harus otomatis berlaku di seluruh operator.

“Harus ada kontrol, monitoring, dan pengamanan yang baik. Jangan juga karena takut risiko, lalu tidak melakukan perbaikan. Kasihan masyarakat Indonesia yang sudah terlalu sering menjadi korban,” pungkasnya.

Tantangan Implementasi

Secara teknis, pakar keamanan siber Alfons Tanujaya menjelaskan bahwa tingkat keamanan verifikasi wajah sangat bergantung pada perangkat dan sistem yang digunakan. Pada level paling sederhana, verifikasi wajah dapat dipalsukan dengan menampilkan foto ke arah kamera.

Namun, celah tersebut sebenarnya dapat ditekan apabila penyedia layanan menerapkan mekanisme liveness detection, seperti meminta pengguna menoleh ke kiri dan kanan, berkedip, atau membuka mulut, untuk memastikan objek yang terdeteksi bukan sekadar gambar cetak atau tampilan layar.

Alfons mengingatkan bahwa tantangan lain yang tak kalah penting adalah kemampuan sistem dalam mendeteksi penggunaan perangkat digital, seperti layar televisi atau monitor komputer, yang dijadikan media untuk memanipulasi proses verifikasi. Jika aspek ini diabaikan, sistem biometrik berpotensi menjadi formalitas tanpa daya cegah yang nyata.

Meski demikian, Alfons menilai langkah penerapan verifikasi biometrik secara umum sudah berada di jalur yang tepat. Namun, dia menegaskan bahwa pemerintah perlu bersikap jujur dalam melihat akar persoalan kebijakan ini. Menurutnya, kebutuhan akan biometrik tidak dapat dilepaskan dari kebocoran data kependudukan yang terjadi berulang kali dan merupakan bentuk keteledoran negara.

Dampak kebocoran tersebut, kata Alfons, sepenuhnya ditanggung oleh masyarakat sebagai pemilik sah data.

“Dalam hukum internet, sekali data berada di internet, dia akan ada di sana selamanya. Data yang sudah bocor tidak bisa dibatalkan atau ditarik kembali. Karena itulah, sekarang dibutuhkan biometrik,” ujarnya.

Lalu, apa yang bisa dilakukan pemerintah?

Ke depan, Alfons menekankan bahwa pemerintah harus memastikan pengelolaan data biometrik dilakukan dengan enkripsi yang kuat. Dengan demikian, sekalipun terjadi kebocoran, data tersebut tidak dapat dibaca atau dimanfaatkan oleh pihak yang tidak berwenang. Namun, persoalan tidak berhenti pada aspek teknis semata.

Tantangan terbesar lainnya, menurut Alfons, terletak pada koordinasi implementasi di lapangan. Dia mengingatkan agar pemerintah tidak sekadar mengeluarkan regulasi tanpa menutup celah yang sudah terlihat jelas, salah satunya lemahnya integrasi antaroperator seluler.

Alfons mendorong agar seluruh operator terhubung dalam satu basis data terpadu. Dengan sistem tersebut, apabila sebuah identitas diblokir di satu operator, pemblokiran itu secara otomatis berlaku di seluruh operator lain. Metode penerapannya dapat beragam—baik melalui verifikasi di satu institusi tertentu maupun mekanisme lain—selama prinsip utamanya terpenuhi: pemblokiran harus bersifat menyeluruh dan konsisten.

“Intinya, kalau di satu operator sudah diblokir, maka di semua operator juga harus diblokir,” tegasnya.

Sementara itu, Pratama dari CISSREC , menegaskan bahwa implementasi kebijakan registrasi nomor seluler berbasis biometrik harus sepenuhnya sejalan dengan UU PDP.

Dalam kerangka UU PDP, data biometrik diklasifikasikan sebagai Data Pribadi Spesifik yang wajib dilindungi secara ketat karena sifatnya yang unik, permanen, dan mampu mengidentifikasi individu secara langsung, seperti wajah, sidik jari, dan iris mata. Data ini mencakup karakteristik fisik, fisiologis, maupun perilaku sehingga kebocorannya membawa risiko yang jauh lebih besar dibandingkan data pribadi umum.

Agar penerapan registrasi biometrik tetap berada dalam koridor hukum, Pratama menekankan bahwa sejumlah prinsip fundamental UU PDP harus dijadikan rujukan utama. Prinsip pertama adalah minimisasi data, yakni hanya data yang benar-benar diperlukan yang boleh diproses dan disimpan.

“Dalam konteks ini, yang seharusnya disimpan bukanlah foto mentah, melainkan template biometrik yang telah terenkripsi dan tidak dapat direkonstruksi kembali menjadi citra asli,” ujarnya.

Prinsip kedua adalah pembatasan tujuan (purpose limitation), di mana data biometrik tidak boleh digunakan untuk kepentingan di luar registrasi dan verifikasi identitas pelanggan.

Sementara itu, prinsip ketiga adalah kewajiban penerapan standar keamanan teknis dan organisasi yang ketat, termasuk pencatatan dan pembatasan akses, mekanisme notifikasi insiden dalam tenggat waktu yang ditentukan, serta kewajiban melakukan data protection impact assessment sebelum sistem dijalankan secara nasional.

Pratama juga menegaskan bahwa pertukaran data antaroperator harus dirancang menggunakan pendekatan federated verification, bukan melalui pertukaran basis data mentah.

“Artinya, proses verifikasi dilakukan melalui mekanisme tokenisasi atau API yang terproteksi, yang hanya mengonfirmasi validitas data tanpa memindahkan atau menyalin data biometrik secara langsung. Setiap proses pertukaran harus menggunakan enkripsi yang kuat dan memiliki jejak audit yang dapat diperiksa oleh regulator,” jelasnya.

Pada akhirnya, Pratama menekankan peran Kementerian Komunikasi dan Digital (Komdigi) sebagai otoritas sektoral untuk memastikan adanya pengawasan berlapis. Pengawasan tersebut, menurutnya, harus disertai dengan penerapan sanksi administratif yang tegas apabila terjadi kelalaian dalam pengamanan data, sebagaimana diatur dalam kerangka UU PDP.