Ketika Otoritas Jasa Keuangan menggelar forum bersama Asosiasi Fintech Indonesia pada akhir April 2026, angka yang disajikan bukan sekadar statistik—angka itu adalah notifikasi kegagalan sistem pada skala nasional. Dua ratus tujuh puluh empat ribu tujuh ratus tujuh puluh dua laporan penipuan. Enam koma satu triliun rupiah menguap dari kantong masyarakat dalam kurun waktu kurang dari setahun. Lonjakan dari Rp2,6 triliun di Mei 2025 ke Rp6,1 triliun di Oktober 2025 bukanlah kurva pertumbuhan; itu adalah grafik keruntuhan eksponensial dari satu fondasi yang selama ini dianggap taken for granted: kepercayaan pada apa yang dilihat dan didengar.
Di ruang operasional terbatas bernama Indonesia, di mana penetrasi smartphone melampaui penetrasi literasi digital, setiap antarmuka perbankan digital adalah pintu yang setengah terbuka. Dan pintu itu kini tidak lagi hanya dijebol oleh skema phishing klasik atau social engineering tradisional. Ada vektor baru yang bekerja pada lapis yang lebih dalam: deepfake sebagai protokol eksploitasi identitas.
Autentikasi Visual sebagai Kerentanan Arsitektural
Selama satu dekade terakhir, industri jasa keuangan membangun sistem verifikasi di atas premis bahwa wajah manusia adalah unique identifier yang relatif stabil. Teknologi liveness detection, verifikasi KTP digital, dan video call untuk pembukaan rekening dijalankan dengan asumsi bahwa kamera adalah jendela menuju entitas nyata. Asumsi itu, dalam terminologi keamanan siber, adalah single point of failure yang berbahaya ketika generative AI mencapai titik kedewasaan tertentu.
ChatGPT Images 2.0, yang dirilis pada akhir April 2026, mengonfirmasi bahwa titik kedewasaan itu telah tercapai. Model generasi citra terbaru OpenAI ini mampu memproduksi gambar dengan teks yang utuh, shading yang realistis, dan—yang paling krusial—dokumen administratif yang tampak sah dalam hitungan detik. Resep obat opioid. Slip transfer bank. Kartu identitas. Boarding pass. Kuitansi. Semua dibuat dari prompt sederhana, tanpa jejak digital yang mencolok.
Dalam konteks infrastruktur perbankan Indonesia, implikasinya bersifat sistemik. Ketika seorang operator call center bank menerima panggilan dan dihadapkan pada foto KTP yang dikirim via WhatsApp, dan foto itu tampak meyakinkan, maka protokol keamanan telah gagal sebelum verifikasi dimulai. Lonjakan 135 persen kerugian dalam lima bulan adalah konsekuensi langsung dari celah arsitektural ini: sistem keamanan dibangun di atas lapisan kepercayaan yang kini dapat dipalsukan oleh model AI yang biaya inferensinya kurang dari satu dolar.
Ketika Melihat Tidak Lagi Memadai untuk Percaya
Fakta dari forum OJK-AFTECH yang paling mengkhawatirkan bukanlah angka kerugiannya, melainkan kesenjangan kesiapan. Secara global, 77 persen profesional anti-fraud melaporkan lonjakan serangan deepfake social engineering. Namun hanya 7 persen organisasi yang benar-benar siap menghadapi ancaman tersebut. Rasio 77:7 ini adalah rasio antara keberadaan ancaman dan kapasitas pertahanan—sebuah ketimpangan yang dalam istilah keamanan informasi disebut zero-day pada skala industri.
Indonesia Anti Scam Centre (IASC) sendiri mencatat bahwa institusi keuangan masih mengandalkan autentikasi berlapis tradisional. OJK memang telah mendorong implementasi liveness detection dan deteksi anomali real-time, tetapi pertanyaannya adalah: apakah liveness detection masih relevan ketika video deepfake real-time sudah dapat diproduksi dengan latency mendekati nol? Apakah “kedipkan mata ke kiri ke kanan” masih menjadi protokol keamanan yang layak dipertahankan ketika generative adversarial networks telah mencapai titik di mana setiap gerakan mikros ekspresi wajah dapat direplikasi?
Dalam arsitektur keamanan yang baik, mitigasi tidak boleh bergantung pada keandalan satu sensor. Ketika sensor itu adalah kamera ponsel konsumen dengan resolusi standar, dihadapkan pada output model AI yang telah di-training jutaan dataset wajah manusia, hasil akhirnya dapat diprediksi: keruntuhan protokol.
Analogi Infrastruktur: Firewall di Era Bring Your Own Identity
Bayangkan model keamanan perbankan digital sebagai arsitektur firewall berlapis. Lapis pertama adalah autentikasi kredensial (username-password-OTP). Lapis kedua adalah verifikasi identitas (KTP, selfie, video call). Selama ini lapis kedua dianggap cukup aman karena biaya pemalsuan identitas visual lebih tinggi daripada potensi keuntungan dari rekening yang dibobol.
Teknologi deepfake menggeser keseimbangan biaya-manfaat itu secara fundamental. Biaya produksi identitas palsu turun mendekati nol. Sementara potensi keuntungan dari satu rekening yang berhasil diverifikasi dengan wajah palsu bisa mencapai ratusan juta rupiah. Dalam bahasa ekonomi keamanan, ini adalah insentif sempurna untuk eksploitasi massal.
Di ruang operasional minimalis yang kita huni bersama, setiap individu kini pada dasarnya membawa identity vector yang dapat dieksploitasi di mana saja. Wajah yang diunggah ke media sosial, suara yang terekam dalam percakapan telepon, dan pola bicara yang terekam dalam video—semuanya adalah data training yang memperkuat model deepfake berikutnya. Ironisnya, semakin aktif seseorang di ranah digital, semakin akurat deepfake yang dapat diproduksi atas dirinya.
Protokol Baru: Migrasi dari Visual ke Kontekstual
Kepala Departemen Pengaturan dan Pengembangan Perbankan OJK, Indah Iramadhini, menyebutkan bahwa autentikasi berlapis, liveness detection, dan deteksi anomali real-time kini menjadi kebutuhan utama, bukan pelengkap. Pernyataan ini benar secara arah, tetapi belum cukup dalam hal kecepatan. Dalam arsitektur sistem, ketika satu lapisan keamanan dinyatakan compromised, solusinya bukanlah memperkuat lapisan yang sama, melainkan menambahkan lapisan baru yang bekerja pada prinsip yang berbeda.
Protokol autentikasi generasi berikutnya harus meninggalkan premis bahwa apa yang terlihat adalah apa yang nyata. Verifikasi visual harus digantikan atau setidaknya dilengkapi dengan verifikasi kontekstual: analisis pola transaksi, historis perangkat, data geospasial, dan korelasi kebiasaan pengguna. Bukan “siapa kamu?” tapi “apakah perilaku kamu saat ini konsisten dengan profil kamu?”
The Atlantic, dalam laporan 2 Mei 2026, mendemonstrasikan bagaimana ChatGPT Images 2.0 dapat memproduksi lebih dari 100 citra penipuan hanya dalam beberapa jam eksperimen—termasuk resep dokter palsu dan boarding pass yang dimodifikasi. Kemampuan yang sama, dalam konteks perbankan Indonesia, berarti slip setoran palsu, mutasi rekening yang diedit, dan bukti transfer yang seluruhnya fiktif. Dalam skala operasional, tidak ada petugas verifikasi manusia yang dapat mendeteksi ini secara konsisten tanpa bantuan sistem kontra-AI yang setara.
Kesimpulan: Era Pascakepercayaan Visual
Indonesia sedang memasuki fase di mana identitas digital menjadi medan pertempuran baru, dan deepfake adalah senjata pilihan. Enam koma satu triliun rupiah adalah biaya yang telah dibayar untuk mempelajari satu pelajaran arsitektural: jangan pernah membangun sistem keamanan di atas fondasi yang dapat dipalsukan oleh algoritma.
Di ruang operasional terbatas ini, di mana setiap protokol keamanan pada akhirnya bermuara pada kepercayaan antarmanusia, deepfake tidak hanya mengeksploitasi celah teknis. Deepfake mengeksploitasi kelemahan fundamental kognisi manusia: kecenderungan untuk mempercayai apa yang tampak akrab. Dan ketika teknologi pemalsuan telah melampaui batas deteksi sensorik, satu-satunya respons yang masuk akal adalah merancang ulang protokol dari lapis paling bawah.