Transformasi digital perbankan di Indonesia berjalan pada dua kutub yang saling tarik-menarik: kemudahan akses yang dituntut nasabah, dan risiko keamanan yang terus meningkat seiring makin banyaknya transaksi berpindah ke kanal digital. Di titik temu inilah autentikasi menjadi elemen paling menentukan, dan di titik itu pula banyak institusi keuangan masih bertumpu pada metode yang sudah tidak lagi memadai.
Ketika Password dan OTP Tidak Lagi Cukup
Data Otoritas Jasa Keuangan (OJK) melalui Indonesia Anti-Scam Center (IASC) mencatat lebih dari 432 ribu laporan penipuan yang melibatkan sekitar 721 ribu rekening sepanjang periode 22 November 2024 hingga 14 Januari 2026, dengan total kerugian mencapai Rp9,1 triliun. Badan Siber dan Sandi Negara (BSSN) mencatat 3,64 miliar anomali serangan siber sepanjang Januari–Juli 2025 saja, di mana 83,68 persen di antaranya berbasis malware yang menyusup lewat aplikasi palsu, tautan phishing, dan lampiran email berbahaya untuk mencuri kredensial finansial korban.
BSSN juga mencatat kerugian ekonomi akibat kejahatan siber pada 2024 mencapai Rp18 triliun, naik 30 persen dari tahun sebelumnya, dengan sektor perbankan, fintech, dan platform digital menanggung kerugian lebih dari Rp1,5 triliun dalam setahun terakhir akibat penipuan transaksi, account takeover, dan pencucian uang digital. Modus yang paling sering ditemukan tetap sederhana namun efektif: pelaku menyamar sebagai bank atau lembaga resmi lewat WhatsApp maupun tautan situs palsu, meminta nasabah memasukkan nomor telepon, password, hingga PIN OTP, lalu menguras dana korban dalam hitungan menit.
Ironinya, metode autentikasi yang selama ini diandalkan — password dan one-time password (OTP) via SMS — justru menjadi celah yang paling mudah dieksploitasi. Keduanya bergantung pada satu prinsip yang rapuh: kredensial dapat dipindahkan dan diketikkan ulang oleh siapa saja yang berhasil menipu penggunanya. Serangan man-in-the-middle, push notification fatigue, dan social engineering memanfaatkan kelemahan struktural ini, bukan celah teknis pada sistem bank itu sendiri.
Beban Ganda: Regulasi Mengetat, Pengalaman Nasabah Terganggu
Regulator sudah merespons. POJK Nomor 21 Tahun 2023 tentang Layanan Digital oleh Bank Umum mewajibkan bank menerapkan paling sedikit *two factor authentication* untuk setiap verifikasi transaksi keuangan, sekaligus menegaskan prinsip kerahasiaan, integritas, dan otentikasi tidak terbantahkan dalam pengelolaan data dan transaksi nasabah. Bank Indonesia memperkuat arah yang sama melalui PBI Nomor 2 Tahun 2024 tentang Keamanan Sistem Informasi dan Ketahanan Siber bagi penyelenggara sistem pembayaran, sementara POJK 4/2025 menambahkan kewajiban tata kelola perlindungan data termasuk penunjukan Data Protection Officer di setiap lembaga jasa keuangan.
Tantangannya, kewajiban ini datang bersamaan dengan ekspektasi nasabah yang menuntut proses login makin cepat dan tanpa gesekan. MFA konvensional yang berlapis-lapis justru sering menjadi sumber *abandoned transaction* di sisi konsumen, sekaligus beban operasional di sisi enterprise — karyawan menghabiskan waktu mengelola kebijakan password, lupa kredensial, bahkan berbagi password, yang berujung pada tingginya volume tiket *help desk* dan *password reset* yang membebani tim IT.
Di sisi lain, kompleksitas ekosistem API perbankan digital turut memperbesar permukaan serangan. Setiap endpoint yang menghubungkan sistem inti bank dengan mitra fintech dan infrastruktur pembayaran berpotensi menjadi titik masuk baru bagi pelaku kejahatan siber, dan BSSN mencatat insiden keamanan API pada institusi keuangan Indonesia meningkat 58 persen pada 2024. Bagi institusi keuangan, ini berarti kepatuhan terhadap regulasi tidak bisa lagi dipenuhi dengan menambah lapisan verifikasi konvensional — dibutuhkan pendekatan autentikasi yang secara fundamental berbeda.
FIDO2: Autentikasi yang Mengikat Identitas, Bukan Sekadar Memverifikasi Kata Sandi
FIDO2 hadir sebagai standar industri global untuk autentikasi *passwordless* yang *phishing-resistant*. Berbeda dari password atau OTP yang dapat dipindahkan dan disalahgunakan, FIDO2 menggunakan pasangan kunci kriptografi yang unik untuk setiap perangkat dan layanan — kunci privat tidak pernah meninggalkan perangkat pengguna, sehingga tidak ada kredensial yang bisa dicuri, di-phishing, atau digunakan ulang oleh pihak ketiga.
Menurut Thales, penyedia solusi keamanan siber global, mekanisme FIDO2 memvalidasi domain situs secara kriptografis sebelum kredensial dilepaskan, sehingga upaya phishing melalui situs tiruan — modus yang paling banyak memakan korban di Indonesia — secara teknis tidak akan berhasil, sekalipun nasabah tertipu dan mengklik tautan palsu. Verifikasi biometrik di perangkat, seperti sidik jari atau pemindaian wajah, menambah lapisan kenyamanan tanpa mengirimkan data biometrik sensitif keluar dari perangkat pengguna.
Bagaimana FIDO2 Diterapkan di Lini Depan Layanan Keuangan
Thales menguraikan sejumlah pola implementasi FIDO2 yang relevan bagi konteks perbankan dan fintech di Indonesia:
– Integrasi portal nasabah. Bank dapat menyederhanakan akses mobile dan internet banking sehingga nasabah cukup memindai sidik jari di ponsel atau menempelkan security key di desktop untuk login dan mengotorisasi transaksi — menghilangkan ketergantungan pada OTP SMS yang rentan terhadap SIM swapping dan intersepsi.
– Akses karyawan lintas perangkat. Staf bank memperoleh akses aman ke sistem inti dari desktop, laptop, maupun perangkat mobile menggunakan kunci FIDO2 yang sama, cocok untuk skema kerja fleksibel maupun operasional cabang.
– Konsistensi multi-kanal. Satu kredensial FIDO2 dapat dipakai secara interoperable di aplikasi mobile, portal web, hingga kios di cabang fisik, memberikan pengalaman autentikasi yang seragam bagi nasabah maupun staf.
Thales turut menekankan bahwa meskipun synced passkeys menawarkan kenyamanan untuk penggantian password di berbagai kanal, kebutuhan keamanan dan kepatuhan tertinggi di sektor jasa keuangan lebih tepat dipenuhi oleh device-bound passkeys — kunci FIDO2 yang terikat secara fisik pada satu perangkat, dirancang khusus untuk mencegah pencurian kredensial dan phishing di lingkungan yang diatur ketat seperti perbankan.
Dari sisi kepatuhan, pendekatan ini juga selaras dengan prinsip yang ditekankan POJK 21/2023 soal otentikasi tidak terbantahkan dan pengendalian otorisasi sistem, sekaligus memperkuat praktik minimal two-factor authentication yang diwajibkan regulator — karena FIDO2 pada dasarnya menggabungkan something you have (perangkat/kunci) dengan something you are (biometrik) dalam satu proses yang jauh lebih tahan phishing dibanding kombinasi password-OTP konvensional.
Thales FIDO2 dengan Manajemen Siklus Hidup Skala Enterprise
Thales mengintegrasikan FIDO2 dengan dukungan biometrik lanjutan untuk memberikan akses yang aman dan nyaman di berbagai perangkat modern. Beberapa kapabilitas kunci yang ditawarkan mencakup pasangan kunci kriptografi yang tidak pernah meninggalkan perangkat, perlindungan phishing-resistant melalui validasi domain kriptografis, autentikasi biometrik on-device yang privacy-aware, serta produk tamper-evident yang diproduksi dalam kondisi tersertifikasi memenuhi standar keamanan global.
Skalabilitas menjadi pertimbangan penting bagi institusi keuangan dengan basis nasabah dan karyawan besar. Melalui Thales Authenticator Lifecycle Manager, organisasi dapat menyederhanakan penyediaan autentikator dalam skala besar tanpa overhead manual, mengelola peristiwa siklus hidup seperti perangkat yang terkunci, penggantian, atau perubahan peran tanpa mengganggu akses, serta menegakkan kebijakan otentikasi yang konsisten di seluruh lingkungan — dari penerbitan hingga pencabutan kredensial.
Dari sisi kepatuhan internasional, perangkat FIDO2 Thales memegang sertifikasi termasuk FIPS 140-2/3, Common Criteria, dan eIDAS, serta dirancang untuk mendukung kerangka regulasi seperti PSD2, PCI DSS, dan GDPR di pasar global — memberikan validasi keamanan independen yang memudahkan institusi keuangan menghadapi audit kepatuhan tanpa proses pelaporan yang berbelit.
Saatnya Institusi Keuangan Indonesia Beralih dari Reaktif ke Preventif
Dengan kerugian akibat penipuan digital yang terus menembus triliunan rupiah setiap tahun dan modus phishing yang kian canggih, menambal celah keamanan dengan lapisan MFA konvensional bukan lagi strategi yang memadai. FIDO2 menawarkan pendekatan yang berbeda secara fundamental: mengeliminasi kredensial yang bisa dicuri, mengikat identitas secara kriptografis pada perangkat, dan pada saat yang sama menyederhanakan pengalaman login bagi nasabah maupun karyawan.
Sebagai Platinum Partner Thales selama lebih dari 35 tahun di Indonesia, Dymar siap membantu institusi keuangan dan fintech di Indonesia mengevaluasi kesiapan autentikasi mereka dan merancang strategi migrasi menuju FIDO2 yang sesuai dengan kebutuhan bisnis serta ketentuan OJK dan Bank Indonesia. Hubungi tim Dymar untuk konsultasi lebih lanjut atau permintaan demo solusi Thales FIDO2.
*Sumber:
Thales Group Blog – “How Financial Institutions Use FIDO2 for Secure Transactions” (Juni 2026);
Otoritas Jasa Keuangan (OJK) & Indonesia Anti-Scam Center (IASC);
Badan Siber dan Sandi Negara (BSSN);
POJK Nomor 21 Tahun 2023; Peraturan Bank Indonesia Nomor 2 Tahun 2024;
POJK Nomor 4 Tahun 2025.