Wilayah Asia-Pasifik Berlomba-lomba Mengatur Identitas Digital dan Kecerdasan Buatan di Tengah Maraknya Deepfake

Mari kita fokus pada salah satu ekonomi digital dengan pertumbuhan tercepat di dunia: Asia-Pasifik .

Dalam 18 bulan terakhir, setidaknya enam kerangka kerja identitas digital dan AI utama telah diberlakukan di berbagai negara APAC, dan masih banyak lagi yang sedang disusun secara aktif. Secara bersama-sama, kerangka kerja tersebut mengubah satu hal: cara organisasi diperbolehkan untuk memverifikasi identitas.

Memahami apa yang mendasari perubahan-perubahan ini – serta apa yang dibutuhkan untuk menghadapinya – adalah langkah pertama untuk mengantisipasinya.

Penipuan Deepfake Memicu Tindakan Regulasi di Kawasan Asia-Pasifik

Peraturan ini merupakan respons langsung terhadap lonjakan kasus penipuan identitas yang didukung oleh kecerdasan buatan.

A Survei Gartner tahun 2025 menemukan bahwa 62% organisasi mengalami serangan deepfake pada tahun sebelumnya. 37% organisasi pernah menemui deepfake dalam panggilan video. Jadi, ini bukan risiko teoretis. Bukan sekadar uji konsep di laboratorium. Ini adalah serangan nyata, terhadap organisasi nyata, dengan uang sungguhan yang dipertaruhkan.

Insiden di dunia nyata:

• Di Korea Selatan, kerugian akibat penipuan suara melampaui ₩1 triliun (~$718 juta) hanya dalam 10 bulan pertama tahun 2025 – untuk pertama kalinya dalam sejarah – dengan Presiden KFCPA, Wook Kang, memperingatkan bahwa teknologi kecerdasan buatan generatif dan deepfake menjadi pendorong lonjakan tersebut.
• Sebuah panggilan video deepfake menipu perusahaan teknik Arup sebesar $25 juta.
• Laporan Intelijen Ancaman iProov mencatat lonjakan sebesar 720% serangan di seluruh Asia Tenggara pada kuartal ketiga tahun 2025, bersamaan dengan peningkatan sebesar 1.151% dalam serangan injeksi iOS pada paruh kedua tahun 2025, sebuah platform yang dulunya dianggap tahan terhadap serangan.

Inilah industrialisasi penipuan identitas. Jaringan kriminal kini menggunakan alat deepfake yang mudah diakses secara massal, dan otoritas pengawas di kawasan Asia-Pasifik telah menyadarinya.

Intinya: perluasan infrastruktur biometrik dan pengetatan regulasi di seluruh kawasan Asia-Pasifik menuntut verifikasi identitas dengan tingkat jaminan tinggi. Organisasi yang memilih solusi yang hanya melindungi dari serangan presentasi dasar berisiko terkena sanksi regulasi seiring dengan semakin matangnya kerangka kerja untuk menangani serangan injeksi dan media sintetis.

Regulasi Biometrik & AI di Kawasan Asia-Pasifik Semakin Cepat: Contoh-contoh

Kerangka kerja ini mencakup tiga bidang regulasi yang berbeda – tata kelola AI, perlindungan data, dan identitas digital – namun semuanya memiliki persyaratan yang sama: organisasi yang memverifikasi identitas menggunakan AI biometrik kini harus memenuhi standar yang lebih tinggi dalam hal jaminan, privasi, dan akuntabilitas di ketiga bidang tersebut.

Undang-undang khusus AI:

• Undang-Undang AI Undang-Undang AI yang komprehensif berlaku efektif pada 1 Maret 2026, undang-undang AI mandiri pertama di Asia Tenggara. Undang-undang ini mewajibkan pengawasan manusia terhadap sistem AI, mensyaratkan pelabelan konten yang dihasilkan AI seperti deepfakes, dan berlaku bagi entitas asing yang menangani data pribadi warga Vietnam. Jika teknologi biometrik Anda memproses data pribadi warga Vietnam, bahkan melalui integrasi mitra, Anda sudah memiliki kewajiban regulasi yang harus dipenuhi. Meskipun undang-undang tersebut telah disahkan, pedoman implementasinya masih dalam tahap perincian, yang membuat penentuan lingkup sejak dini menjadi semakin penting.
• Korea Selatan’s Undang-Undang Dasar AI berlaku pada Januari 2026, dengan pengawasan berbasis risiko untuk sistem AI di bidang keuangan, kesehatan, dan layanan publik.
  

Perlindungan data & persetujuan:

• India sedang meluncurkan Undang-Undang Perlindungan Data Pribadi Digital secara bertahap dalam tiga fase, yang memperkenalkan persyaratan persetujuan baru dan klasifikasi pemegang kepercayaan data yang mengubah cara pengumpulan dan pemrosesan data biometrik.
• Indonesia dan Malaysia keduanya sedang mendorong undang-undang perlindungan data yang diperbarui untuk diterapkan, dengan amandemen amandemen PDPA yang memperkenalkan kewajiban pelaporan pelanggaran, persyaratan petugas perlindungan data, dan – yang sangat penting bagi penyedia layanan biometrik – mengklasifikasikan ulang data biometrik sebagai data pribadi sensitif yang memerlukan persetujuan eksplisit.
• Thailand telah bertindak cepat dan tegas dalam menangani persimpangan antara AI dan privasi: pada Februari 2026, Komite Perlindungan Data Pribadi merilis draf Pedoman Perlindungan Data Pribadi dalam Pengembangan dan Penggunaan AI, yang mewajibkan penilaian dampak untuk AI berisiko tinggi dan kewajiban keamanan. Draf Undang-Undang AI terpisah, yang mencerminkan arsitektur berbasis risiko Undang-Undang AI Uni Eropa, diperkirakan akan terus berlanjut menuju pengesahan pada tahun 2026.

Kerangka kerja identitas digital:

• Australia sedang memperketat verifikasi identitas dari dua sisi: Undang-Undang Identitas Digitalnya menetapkan kerangka kerja kepercayaan terpadu dengan tingkatan akreditasi bagi penyedia layanan identitas. Undang-Undang Privasi juga sedang direformasi, memperluas definisi informasi pribadi untuk secara eksplisit mencakup data biometrik dan teknis.

Pasar-pasar yang lebih mapan menunjukkan betapa beragamnya pendekatan yang dapat diambil oleh regulator dalam menangani masalah yang sama. Singapura terus mengoperasikan salah satu sistem identitas digital nasional paling canggih di dunia melalui Singpass, yang mengintegrasikan verifikasi wajah sebagai metode otentikasi inti dan metode verifikasi identitas (IDV) yang matang untuk lebih dari 2.700 layanan di sektor publik dan swasta. Undang-Undang Promosi AI 2025 Jepang mengambil pendekatan yang lebih longgar: mengutamakan inovasi, dan terutama tanpa sanksi denda – sebuah kontras dengan pendekatan preskriptif yang muncul di tempat lain di kawasan ini.

Momentum ini juga meluas ke luar negara-negara dengan perekonomian utama: Kamboja telah menyusun undang-undang perlindungan data yang komprehensif, Laos telah mulai penerbitan identitas digital nasional, dan Myanmar telah mengadopsi MOSIP untuk uji coba identitas digital.

Seiring dengan dorongan regulasi ini, penerapan teknologi biometrik di seluruh kawasan ini semakin pesat. Analis industri Alan Goode telah mencatat bahwa pasar Asia-Pasifik bergerak menuju biometrik wajah sebagai kredensial akses utama di lingkungan fisik, dengan model tanpa token yang sepenuhnya menggantikan kartu. Ia memperkirakan wajah akan menjadi metode dominan dalam sistem kontrol akses fisik berbasis biometrik dalam dua hingga tiga tahun ke depan.

Negara-negara yang berbeda, tingkat kematangan yang berbeda pula. Namun, benang merahnya sangat jelas: otoritas pengatur di seluruh kawasan Asia-Pasifik menuntut agar organisasi membuktikan bahwa mereka mampu memverifikasi identitas dengan tingkat keyakinan yang tinggi, menangani data biometrik secara bertanggung jawab, serta menjelaskan bagaimana sistem kecerdasan buatan (AI) mereka mengambil keputusan.

Undang-Undang Biometrik Baru di Kawasan Asia-Pasifik Meningkatkan Standar Kepatuhan

Bagi organisasi yang mengandalkan pemeriksaan keaslian dasar atau verifikasi identitas model lama, implikasinya sangat jelas: kerangka kerja APAC yang baru tidak hanya menanyakan apakah Anda melakukan verifikasi identitas. Mereka juga menanyakan caranya.

• Pertahanan terhadap serangan deepfake dan injeksi. Undang-undang Vietnam mewajibkan konten yang dihasilkan AI dapat diidentifikasi. Kerangka kerja Korea Selatan mensyaratkan penilaian risiko untuk AI berdampak tinggi. Anda tidak dapat memenuhi kewajiban ini dengan solusi yang hanya melindungi dari foto cetak yang ditunjukkan ke kamera. Anda memerlukan deteksi yang mencakup serangan presentasi, serangan injeksi digital, dan media sintetis yang kini mudah diakses oleh siapa pun yang memiliki laptop.
• Privasi melalui arsitektur, bukan melalui kebijakan. DPDP India dan Undang-Undang Perlindungan Data Pribadi Vietnam memberlakukan persyaratan persetujuan dan pemrosesan yang ketat. Organisasi memerlukan solusi yang mengubah data wajah menjadi templat biometrik, dengan data pribadi dan data biometrik dipisahkan secara struktural – di mana tidak ada satu entitas pun yang dapat mengaitkan wajah dengan nama. Itu adalah keputusan desain, bukan dokumen kebijakan.
• Pemantauan ancaman secara berkelanjutan, bukan sertifikasi pada titik waktu tertentu. Regulator semakin ingin memastikan bahwa sistem AI dikelola secara aktif. Uji keaktifan yang disertifikasi dua belas bulan lalu dan tidak berkembang sejak saat itu dapat menjadi beban daripada aset. Yang penting adalah apakah solusi Anda beradaptasi dengan serangan yang terjadi saat ini – yang persis seperti yang dilakukan oleh Pusat Operasi Keamanan .
• Kesesuaian dengan standar global yang sedang berkembang. Aliansi FIDO Alliance akan menyelenggarakan konferensi Authenticate APAC pertamanya di Singapura pada bulan Juni 2026. NIST SP 800-63-4, Verifikasi Wajah FIDO, dan CEN/TS 18099 menjadi tolok ukur yang dijadikan acuan oleh regulator di kawasan Asia Pasifik. Jika penyedia layanan biometrik Anda tidak dapat menunjukkan sertifikasi independen dan terakreditasi yang sesuai dengan standar-standar ini, itu menjadi masalah.

Catatan: banyak kerangka kerja di kawasan Asia-Pasifik mungkin hanya merujuk pada standar seperti ISO 30107-3, tanpa secara eksplisit mewajibkan deteksi serangan injeksi digital . DIA adalah bentuk serangan yang paling berbahaya, namun standar-standar masih berusaha mengejar ketertinggalan. NIST SP 800-63-4 mensyaratkan ketahanan yang telah dibuktikan terhadap serangan injeksi, dan CEN/TS 18099 menyediakan metodologi pengujian independen. Regulator di kawasan Asia-Pasifik kemungkinan akan mengikuti jejak ini seiring dengan perkembangan dan evolusi regulasi yang dibahas.

Apa Langkah Selanjutnya? Cara Mempersiapkan Kepatuhan Identitas Digital di Kawasan Asia-Pasifik

Peraturan ini berlaku bagi semua organisasi yang melakukan verifikasi identitas di kawasan APAC – baik saat Anda melakukan proses onboarding pelanggan, mengautentikasi karyawan, maupun memfasilitasi transaksi lintas batas. Berikut langkah awalnya:

Evaluasi cakupan regulasi Anda: Jika Anda memproses data pribadi di Vietnam, India, Indonesia, atau pasar APAC lainnya – bahkan melalui integrasi pihak ketiga – identifikasi kerangka kerja mana yang berlaku untuk operasi Anda dan tingkat jaminan identitas apa yang mereka harapkan.

Lakukan audit terhadap sistem verifikasi identitas Anda: Apakah solusi Anda saat ini mampu melindungi dari serangan injeksi dan deepfake, atau hanya dari spoofing dasar? Kesenjangan antara keduanya adalah celah yang dimanfaatkan penyerang dan di situlah risiko kepatuhan regulasi berada.

Prioritaskan arsitektur privasi daripada sekadar pencitraan privasi: Carilah solusi yang mencakup pemisahan data secara struktural, pseudonimisasi, dan pemrosesan berbasis cloud yang mencegah pihak mana pun untuk mengidentifikasi kembali individu tersebut. Jika penyedia layanan Anda tidak dapat menjelaskan arsitektur mereka dalam hal-hal tersebut, teruslah mencari.

Minta sertifikasi independen: Tanyakan kepada penyedia layanan biometrik Anda standar apa saja yang telah mereka penuhi – NIST, FIDO, ISO, CEN – dan oleh laboratorium terakreditasi mana. Klaim yang dibuat sendiri bukanlah bukti.

• Lihat bagaimana solusi biometrik iProov yang sesuai dengan standar APAC membantu organisasi memenuhi tingkat jaminan identitas tertinggi → Daftar untuk Demo
• Untuk gambaran lengkap tentang bagaimana serangan-serangan ini terus berkembang → Laporan Intelijen Ancaman 2026 dari iProov.

iProov menyediakan layanan verifikasi wajah biometrik dengan tingkat keandalan tinggi bagi pemerintah dan organisasi terkemuka, termasuk GovTech Singapura, Departemen Keamanan Dalam Negeri AS, dan Kantor Dalam Negeri Inggris. iProov telah melampaui satu juta verifikasi biometrik harian pada tahun 2025 dan merupakan penyedia layanan biometrik pertama yang secara independen disertifikasi memenuhi standar NIST 800-63-4.