Transformasi digital telah mengubah cara masyarakat dan dunia usaha bertransaksi. Namun, di balik kemudahan layanan digital, ancaman penipuan berbasis kecerdasan buatan (AI), pencurian identitas, hingga pemalsuan dokumen juga berkembang semakin canggih. Di tengah kondisi tersebut, kebutuhan terhadap sistem yang mampu menjamin keaslian identitas dan integritas dokumen menjadi semakin krusial, bukan lagi sekadar pelengkap dalam proses digitalisasi.
Sebagai salah satu pelopor penyelenggara sertifikasi elektronik (PSRE) di Indonesia, Privy melihat tanda tangan digital tidak hanya berfungsi mempercepat proses administrasi, tetapi juga menjadi fondasi bagi terciptanya digital trust atau kepercayaan digital. Infrastruktur ini dinilai dapat mengurangi biaya verifikasi, meningkatkan efisiensi transaksi, sekaligus memperkuat perlindungan terhadap berbagai bentuk fraud yang kian marak di era AI.
Meski potensi pemanfaatannya sangat besar, adopsi identitas digital dan sertifikat elektronik di Indonesia masih menghadapi sejumlah tantangan. Mulai dari belum meratanya pemahaman pelaku usaha, terbatasnya integrasi antarlembaga, hingga belum rampungnya regulasi turunan yang mendukung implementasi penuh ekosistem kepercayaan digital. Padahal, negara-negara seperti Singapura telah lebih dulu memanfaatkan identitas digital sebagai infrastruktur nasional yang menopang berbagai layanan publik dan sektor keuangan.
Dalam wawancara bersama Katadata, CEO dan Founder Privy Marshall Pribadi memaparkan pandangannya mengenai masa depan identitas digital di Indonesia, strategi menghadapi ancaman fraud berbasis AI, hingga langkah yang diperlukan agar Indonesia mampu membangun ekosistem digital trust yang lebih kuat dan menjadi fondasi bagi pertumbuhan ekonomi digital nasional.
Berikut cuplikan wawancaranya.
Sebagai salah satu pionir di bidang tanda tangan digital, seperti apa pandangan Privy tentang perubahan kebutuhan pasar terhadap layanan tanda tangan digital saat ini, terutama setelah ledakan transaksi digital dan fintech?
Tanda tangan digital itu kan sebenarnya menyelesaikan banyak masalah. Pandangan dunia usaha itu bahwa tanda tangan digital ini hanya menyelesaikan masalah jarak dan waktu.
Tanda tangan lebih cepat, lebih gampang, enggak usah habis tanda tangan dikirim lagi dokumennya pakai kurir, biayanya dan sebagainya atau harus tatap muka. Padahal, identitas digital lebih dari itu, kenapa? Karena tanda tangan digital atau tanda tangan elektronik tersertifikasi yang berinduk di Kementerian Komunikasi dan Digital (Komdigi).
Pertama, setiap perubahan satu titik, satu koma, satu spasi, satu huruf dari dokumen itu ketahuan. Kedua, penandatangannya siapa dari kedua belah pihak itu juga enggak bisa terbantah karena masing-masing pakai sertifikat elektronik dengan kunci enkripsi yang unik.
Bayangkan ketika semua transaksi misalkan purchase order, tagihan, invoice, kontrak vendor bukti penerimaan barang sudah dikirim, shipment order, dan delivery order itu semua ditanda tangan digital.
Ketika data supply chain ini semuanya di tanda tangan pakai tanda tangan digital, misalnya, kita lihat fintech-fintech yang bertumbangan karena katanya ada transaksi fiktif. Mereka itu mendanai proyek atau transaksi fiktif. Nah, dasarnya mengajukan kredit ke fintech ini kan bukti purchase order, kontrak, invoice, dan segala macam kan.
Ketika itu enggak pakai tanda tangan digital atau tidak pakai tanda tangan elektronik yang tersertifikasi, maka purchase order ini asli atau enggak kita enggak bisa bedakan. Secara visual itu sama. Logo perusahaan, gambar, tanda tangan kan semua bisa di-copy paste.
Kalau semuanya pakai tanda tangan digital, baik itu dari sisi buyer maupun seller, dari sisi supplier, vendor maupun dari sisi customer, perusahaan pembiayaan ataupun bank itu enggak perlu lagi berulang kali melakukan due diligence transaksinya ini legit apa enggak.
Misalnya, Anda perusahaan katering. Benar enggak dapat order ini dari PT Telkom, dari PT Astra? Kalau itu purchase order-nya, invoice-nya, kontraknya semua tanda tangan digital oleh Astra. Bisa dicek, diverifikasi di website-nya PSRE. Kalau keluar centang hijau, terjamin, ya sudah enggak usah pusing. Bagi individu juga begitu.
Kalau kita mau mengajukan kredit, kita ini belum punya PT, kita pengusaha kecil. Dasar kita mengajukan kredit misalnya slip gaji dan kontrak kerja. Masalah perusahaan keuangan ketika mau memberikan kredit, ini orang penghasilannya benar enggak sesuai yang di akta kredit? Nah, selama ini kalau disodorkan fotokopi slip gaji, kontrak kerja, asli atau enggak siapa tahu.
Memangnya kalau bank menelepon ke HRD perusahaan yang karyawannya puluhan ribu apakah diangkat teleponnya? Oh. Betul, Pak Marcel kerja di sini. Zaman sekarang kan sudah enggak ada orang mengangkat telepon buat verifikasi begitu.
Jadi, sebenarnya tanda-tanda digital ini menyelesaikan banyak permasalahan mendasar bagi negeri ini. Bukan cuma lebih cepat dan lebih murah. Tetapi, ini belum disadari. Sebenarnya ledakan permintaan tanda tangan digital ini masih jauh dari potensi sebenarnya.
Seberapa besar potensi pasar tanda tangan digital di Indonesia?
Kalau kami bicara sebagai penyedia tanda tangan digital yang pertama, sampai sekarang bisa dibilang kami yang paling besar pangsa pasarnya di Indonesia dengan 71 juta pengguna individu. Industri keuangan misalnya, mulai menggunakan tanda tangan digital untuk kontrak utang.
Tapi dokumen underline yang sehari-hari tadi purchase order, invoice, dan lainnya itu baru bisa dihitung paling 200 perusahaan yang menggunakan tanda tangan digital untuk supply chain-nya. Sedangkan perusahaan Indonesia ada berapa puluh ribu atau berapa ratus ribu. Jadi masih jauh sekali. Jadi bisa dibilang kuenya itu masih besar.
Sekarang ini pembicaraan soal digital signature bukan hanya sebagai layanan untuk verifikasi dokumen, tapi sekarang juga menuju ke infrastruktur digital trust. Nah, itu seperti apa arah di Indonesia ini untuk menuju ke infrastruktur digital trust?
Urusan keuangan, terima data keuangan perusahaan selama ini harus verifikasi satu-satu. Misalnya saya ingin membuka rekening di Bank BCA. Bank BCA ini harus memeriksa identitas kita, melakukan namanya customer due diligence.
BCA mengeluarkan waktu, tenaga, dan biaya. Selesai dia melakukan itu, besok-besok kalau saya ingin membuka layanan keuangan di bank lain, buka deposito atau mengajukan kartu kredit ke BNI, mau buka asuransi di Prudential atau mengajukan kredit mobil di Adira Finance.
Masing-masing perusahaan ini akan mengulang proses customer due diligence tadi, proses memverifikasi identitas calon nasabahnya yang satu makan biaya dan waktu. Bagi kita sebagai konsumen juga capek mengisi formulir panjang-panjang.
Itu kan high cost economy, enggak efisien. Padahal ini Marshal yang sama, ke mana-mana harus diperiksa ulang identitasnya. Nah, itu yang maksud saya tidak ada infrastruktur digital trust.
Kami sebagai PSRE, salah satu layanannya berdasarkan Undang-Undang ITE Nomor 1 tahun 2024 itu adalah layanan identitas digital. Kalau itu dimanfaatkan, kami sebagai PSRE ketika mendaftarkan sertifikat elektronik atas nama individu ataupun badan hukum, kami wajib menyediakan jaminan sertifikat.
Di Privy ini nilai jaminannya Rp 1 miliar per sertifikat. Ketika seorang Marshall sudah punya Privy ID atau sertifikat elektronik Privy kemudian saya mau mengajukan kartu kredit ke Bank Mandiri, kita klik apply now kartu kredit seharusnya ada tombol apply dengan menggunakan sertifikat elektronik.
Jadi, kita enggak usah mengulang mengetik tempat tanggal lahir, riwayat kredit, dan sebagainya. Harusnya Bank Mandiri ini cukup mengandalkan sertrifikat elektronik dari Privy. Jadi ketika bank menerbitkan kartu kredit dengan limit misalnya Rp 100 juta, dia tidak perlu memeriksa lagi data Marshall ini karena sudah dijamin oleh sertifikat elektronik dari Privy.
Ketika ditagih, ternyata pemegang kartu kredit itu bukan Marshall. Artinya, Privy kebobolan karena ada orang yang mendaftar dengan Deepfake atas nama Marshall. Itu yang kami jamin dengan garansi sertifikat kami senilai Rp 1 miliar. Limit kartu kredit yang Rp 100 juta itu masih di bawah jaminan Rp 1 miliar. Kami wajib mengganti itu berdasarkan UU ITE dan aturan turunannya.
Semua PSRE wajib memberikan kebijakan jaminan sertifikat yang kami publish di website kami. PSRE ini menjadi infrastruktur digital trust.
Misalnya saya melamar ingin menjadi kasir di Alfamart atau menjadi kurir barang. HRD enggak perlu lagi mengecek apakah orang ini melamar dengan KTP palsu kalau si pelamar menggunakan Privy ID. Dia tidak perlu lagi verfikasi karena kami jamin ketika dia mendaftar dengan Privy ID itu adalah identitas yang benar.
Kalau ternyata timbul kerugian karena orang ini identitasnya salah, kami ganti hingga Rp 1 miliar per orang per satu sertifikat elektronik. Jadi orang bisa mengandalkan sertifikat elektronik itu sebagai infrastruktur digital trust, seperti kita mengandalkan lampu penerangan jalan.
Perusahaan di Indonesia ada berapa puluh ribu, berapa ratus ribu. Bank ada berapa banyak? Enggak perlu masing-masing mereka kemudian membangun kapabilitas pengidentifikasian. Karena memang keahliannya kan bukan di situ. Bisnis utama bank mengelola uang. HRD tugasnya merekrut orang tapi untuk memastikan identitasnya bisa mengandalkan infrastruktur digital trust yang ada. Akan jauh lebih efisien jalannya perekonomian kita.
Marshall Pribadi (Katadata/Fauza Syahputra)
Tadi Bapak menyinggung soal fraud berbasis AI gitu yang sekarang mungkin semakin marak dan jadi kekhawatiran bagi masyarakat. Dengan adanya infrastruktur digital trust ini memberikan assurance bahwa identitas seseorang itu terverifikasi. Bagaimana perusahaan seperti Privy ini melawan fraud berbasis AI?
Di era AI ini fraudster (penipu) jadi lebih canggih karena dibantu dengan AI. AI makin hari makin canggih makin mulus.
Kalau besok-besok ada pidato presiden, kita tonton enggak bisa bedain nih, asli atau buatan AI? Suaranya sama, mimiknya sama, gesturnya sama. Apalagi dua-tiga tahun lagi makin mulus. Pertama, AI itu harus dilawan dengan AI.
Yang kedua, AI yang melawan ini bisa lebih canggih dari fraudster kalau dia dibekali juga dengan big data yang mumpuni. Karena, AI itu belajar pakai data. Masalahnya, tanpa PSRE, tanpa perusahaan seperti Privy, bayangkan ketika masing-masing masing membangun sendiri sistemnya.
Lembaga keuangan, fintech, bank, dan asuransi masing-masing secara sendiri-sendiri memerangi fraudster dengan deepfake AI yang mulus ini. Mereka yang menjadi target ini tidak saling berbagi data.
Contoh, ada satu satu fraudster pakai HP ini dengan device ID ini. Mencoba buka rekening dengan identitas palsu di bank A atau mengajukan pinjaman di fintech B. Katakanlah gagal karena liveness detection-nya si bank atau fintech ini berhasil mendeteksi ada percobaan deepfake AI pakai HP dengan device ID ini, tipe device-nya ini, IP address-nya sekian.
Kemudian pakai NIK (Nomor Induk Kependudukan) siapa? Ketahuan kalau mau buka rekening di bank pakai NIK, nomor hp pasti diminta, dan alamat email. Tetapi, data itu disimpan di satu tempat. Artinya, walaupun gagal di bank A, si fraudster ini bisa mencoba dengan upaya yang persis sama tanpa ganti HP, tanpa ganti IP address, tanpa ganti NIK ke fintech lain.
Mungkin di fintech B, C, D gagal tetapi fintech ketujuh berhasil tembus. Itulah kenapa PSRE seperti Privy bisa melawan fraud di era AI, karena jaringan customer kami sudah cukup mumpuni. Bank-bank besar sudah pakai, fintech-fintech besar, dan perusahaan yang besar. Satu kali percobaan oleh fraudster dengan device ID ini misalnya ke customer kami yang Fintech A.
Begitu ketahuan, kita tolak dan otomatis kita blokir device ID, NIK, nomor HP, email, dan IP address dari mana dia mengakses internet. Jadi kalau dia mencoba pakai HP yang sama ke Fintech B ke Fintech C, dan Fintech D, enggak usah capek-capek kita mengecek sampai Dukcapil, sudah kita blokir dulu.
Jadi semakin besar big data kami, di situ baru kita bisa melawan fraud AI. Intinya harus bersama-sama melawan fraud. Kalau semua (punya sistem) masing-masing, bagaimana melawan fraud? Fraudster-nya saja mungkin berbagi data. Kalau lembaga keuangan enggak mau berbagi satu sama lain, jebol.
Banyak pelaku industri menilai verifikasi identitas digital sangat penting di era ekonomi digital, tapi apakah Indonesia sudah siap?
Mereka sudah aware bahwa ada risiko dari fraud AI, deepfake. Saya yakin kesadaran departemen risiko lembaga keuangan apalagi bank pasti aware soal ancaman ini. Setiap hari ada saja insiden, ada percobaan. Cuma awarenessnya itu translasinya masih banyak, ya ditangani sendiri atau diperbaiki sendiri sistemnya.
Kalau mereka ini mengandalkan penyelenggara sertifikasi elektronik, enggak usah pusing mengidentifikasi ini. Semua tanggung jawab kami, kami terbitkan sertifikat elektronik itu pernyataan dari kami bahwa nasabah si A ini memang betul si A. Kalau bukan, ya kita tolak. Kalau kami sampaikan ini si A, ternyata bukan. Kamu dijamin oleh sertifikat jaminan.
Nah, cuma belum semua itu punya mindset nyaman untuk mengandalkan pihak ketiga. Jadi ketika dia tahu ancaman fraud ini tinggi, yang dilakukan adalah belanja alat sendiri untuk memperkuat keamanannya. Ini yang sebenarnya kita tahu enggak efektif tanpa ada big data yang tersebar ini.
Anggaplah mereka berhasil dengan tools mereka, 99% menolak fraud yang masuk. Mohon maaf, kalau bank besar atau fintech besar satu hari transaksinya berapa ratus ribu. Kalau dikalikan 1% itu kan besar nilai rupiahnya. Sebenarnya akan lebih efisien mereka mengandalkan kami.
Pasti total cost-nya, total loss-nya akan lebih kecil dibandingkan mereka tangani sendiri dan mereka tanggung kebobolan yang 1% itu. Nah, mindset ini yang memang belum terlalu berubah.
Apa yang dilakukan Privy untuk menghadapi isu ini?
Mungkin salah satu yang perlu dilakukan lebih lagi dari kami adalah advokasi ke regulator lembaga keuangan seperti OJK supaya mendorong lembaga keuangan untuk mengandalkan penyelenggara sertifikasi elektronik. Bank-bank kecil seperti BPR untuk investasi infrastruktur antifraud pasti return on investment-nya enggak mengejar.
Lebih baik mereka pakai jasanya PSRE. Jadi sebenarnya dengan menggunakan jasa PSRE itu institusi keuangan bisa menghemat biaya investasi yang tadi untuk IT atau untuk keamanan mereka sendiri karena sudah ada ekosistem bersama.
Kalau dibandingkan dengan negara-negara tetangga atau negara-negara yang sudah lebih matang adopsi digitalnya, Indonesia seberapa jauh untuk menuju ekosistem digital trust?
Kalau di ASEAN, kita kalah telak paling sama Singapura karena Singapura punya Singpass untuk identitas digitalnya. Di sana hampir semua bank connect ke Singpass.
Bank enggak usah melakukan lagi customer due diligence, know your customer, dalam dalam konteks identitasnya betul enggak si A adalah si A. Mereka mengandalkan layanan Singpass. Kalau Thailand juga ada tetapi belum efektif penerapannya.
Saya rasa kita Cuma tertinggal dari Singapura kalau di Asia Tenggara. Australia itu 1,5 tahun lalu sudah mengesahkan UU Identitas Digital. Kita di UU ITE Tahun 2024 sudah menyebut identitas digital sebagai salah satu layanan PSRE tetapi hingga kini peraturan pemerintah pelaksananya belum keluar.
Saat ini masih ada perusahaan yang mengembangkan verifikasi digital melalui OTP atau scan tanda tangan, Di era fraud yang semakin canggih, bagaimana dari sudut pandang Privy mengenai hal ini?
Ini juga isu yang masih terus-menerus kami berusaha membangun pemahaman masyarakat dan industri mengenai perlunya identitas digital. One Time Password (OTP) dianggap sudah aman. Padahal ada dua isu soal OTP.
Pertama, ini misalnya transaksinya kita mau transfer uang Rp50 juta ke rekening bank A, nomor rekening sekian atas nama ini. Otentifikasinya masukkan PIN atau OTP.
Nah, memasukkan OTP itu tidak serta-merta mengunci database si penyelenggara jasa keuangan ini bahwa transaksi yang kita maksud itu adalah transfer ke rekening sekian dengan jumlah sekian dan seterusnya atau membeli saham perusahaan apa sekian lot. Ada kejadian sekuritas online itu nasabahnya merasa mengotorisasi dari aplikasi sekuritas itu, beli saham cuma sekian juta. Terus tiba-tiba ditagih jadi berapa ratus juta.
Ada lagi kasus di sekuritas lain. Nasabah merasa portofolio saham dia ini saham-saham blue chip. Tiba-tiba ketika login lagi sudah ganti menjadi saham-saham perusahaan enggak jelas.
Platform lembaga keuangan pasti akan mengatakan nasabah benar sudah mengotorisasi ini, Anda login jam sekian, tanggal sekian. Anda input OTP-nya. Anda input PIN-nya untuk verifikasi transaksi ini.
Tapi PIN OTP itu catatannya itu semua di pihak mana? Jadi pihak yang memiliki menguasai dan mengoperasikan aplikasi tersebut, apakah itu mobile banking atau mobile app-nya sekuritas.
Jadi ketika nasabah bilang, "Enggak, waktu saya masukkan OTP itu saya beli sahamnya 5 lot, bukan 500 lot." Ini berarti omongan nasabah diadu dengan catatan internalnya si lembaga keuangan di mana catatan itu dia yang menguasai, mengoperasikan, dan memiliki. Tidak ada lagi alat bukti netral seperti dulu waktu kita tanda tangan di kertas.
Masing-masing pihak pegang satu rangkap. Misalnya, beli 500 lot saham BCA. Kalau di kertas yang ditandatangani kedua belah pihak, ini bisa dibawa ke laboratorium forensik kalau diperdebatkan keasliannya. Kalau kita cuma input OTP, apalagi gambar tanda tangan, jadinya debat kusir.
Kalau tanda tangan digital kan isi transaksinya ini algoritma matematika kemudian dienkripsi dengan private key-nya si penanda tangan sehingga bisa dibuktikan. Dulu waktu dia mengiyakan memang transfer ke rekening mana, jumlahnya berapa atau beli saham apa, jumlahnya berapa itu terkunci jadi alat bukti netral yang secara matematis bisa dibuktikan. Bukan cuma debat kusir sama pemilik aplikasi.
Kalau dari sisi sektornya tadi, Pak, selain perbankan mungkin mana sih sektor yang paling banyak adopsi PSRE ini?
Saat ini perbankan, fintech, dan asuransi. Kemudian, mulai masuk ke kesehatan karena kesehatan ini tetap ada hubungannya dengan keuangan dan klaim asuransi, misalnya BPJS Kesehatan. Banyak berita kebocoran JKN karena klaim fiktif, phantom billing. Pasien enggak ada tetapi diklaim asuransinya atau diagnosisnya sakit flu dibilang sakit yang berat, biayanya lebih besar. Ternyata tanda tangan dokter dipalsukan, Makanya, tadi saya katakan sebenarnya tanda tangan digital ini infrastruktur dasar kepercayaan di semua transaksi..
Kalau itu semua benar, kita enggak banyak permasalahan di Republik Indonesia ini. BPJS Kesehatan enggak perlu takut klaim palsu atau diagnosis salah, bisa ditelusuri dokternya yang bertanggung jawab. Begitu pula BPJS Ketenagakerjaan yang katanya banyak perusahaan melaporkan gaji pegawainya lebih rendah sehingga iuran BPJS-nya turun.
Kalau masing-masing pekerja harus tanda tangan digital ke perusahaan, ketika disampaikan ke BPJS itu total upahnya segala macam kan sudah ada. Berarti bayar iurannya sekian, jaminan hari tuanya sekian. Sudah transparan semua kalau dicek.
Tadi disinggung soal belum ada regulasi turunan dari UU ITE. Kemudian, kebijakan pemerintah terkait perlindungan data pribadi dan sertifikat elektronik ini sepertinya belum terintegrasi. Apa harapan pelaku PSRE untuk regulasi ke depan?
Nomor satu ya, soal regulasi karena memang inti dari bisnis PSRE itu yang mengatur UU ITE. Undang-undang ITE-nya sudah revisi Nomor 1 Tahun 2024. Nah, ini sudah pertengahan 2026. Peraturan pelaksanannya belum menyesuaikan. Itu harapan terbesar kami.
Kalau peraturan pelaksana itu keluar, tentunya semua industri yang mau dan perlu untuk mengandalkan layanan kami akan lebih mantap. Kalau sekarang masih tanggung. Itu harapan utama kami.
Kalau dari sisi literasi, apakah Privy juga melakukan edukasi kepada masyarakat untuk lebih memperkenalkan pentingnya identitas digital ini?
Iya, pasti kami melihat sebenarnya identitas digital atau tanda tangan digital ini satu paket. Ketika kita menandatangani suatu dokumen, yang dijamin kan dua hal.
Pertama, identitas penandatangan yang kami jamin. Kedua, integritas isi dokumen yang ditandatangani tidak ada perubahan baik itu satu titik, satu koma, satu spasi. Pasti kami galakkan terus. Mungkin di sini juga yang butuh dukungan dari Katadata dan teman-teman media untuk mendukung literasi di sisi penerima (recipient).
Intinya, cek dulu baru percaya. Itu kampanye literasi kami. Kalau tidak ada tanda tangan digital di dokumen, hati-hati, jangan percaya dulu.
Kalau masyarakat, pemilik bisnis kecil hingga perusahaan besar teredukasi, mereka akan menjadikan identitas digital sebagai SOP (Standard Operating Procedure). Setiap kali terima dokumen, cek dulu tanda tangan digitalnya tersertifikasi atau tidak. Kalau tidak, minta lawannya tanda tangan pakai sertifikat elektronik.




