Deepfake Memalsukan Proses KYC Bank Belanda, Membuka 46 Rekening. Apa yang Bisa Mencegahnya?

Semuanya berawal dari sebuah iklan sewa.

Di Amsterdam, seseorang mengiklankan sebuah apartemen di Marktplaats, salah satu platform iklan baris paling populer di Belanda. Para calon penyewa merespons dengan melampirkan dokumen-dokumen standar: salinan paspor, slip gaji—sebagai bukti bahwa mereka mampu membayar sewa. Namun, apartemen tersebut ternyata tidak ada, dan dokumen identitas mereka hampir saja disalahgunakan.

Seorang pria berusia 34 tahun menggunakan identitas yang dicuri tersebut – bersama dengan identitas lain yang diperoleh dari media sosial – untuk membuka 46 rekening bank palsu di ABN AMRO, salah satu bank terbesar di Belanda. Ia melakukannya sepenuhnya melalui proses pendaftaran mobile bank tersebut, yang mewajibkan pemohon untuk mengunggah foto identitas dan mengambil foto selfie untuk verifikasi wajah.

Caranya sangat sederhana. Dia menggunakan teknologi deepfake untuk membuat gambar yang menyerupai foto paspor pada KTP curian tersebut. Sistem otomatis membandingkan kedua gambar, menemukan kecocokan, dan menyetujui akun tersebut.

Bukan sekali, melainkan empat puluh enam kali.

Bagaimana Skema Deepfake Terungkap

Skema tersebut berjalan selama berbulan-bulan sebelum akhirnya terungkap akibat satu kesalahan. Salah satu permohonan menggunakan foto identitas seorang wanita, namun foto selfie yang disertakan memperlihatkan wajah seorang pria. Teknologi deepfake telah menggabungkan fitur wajahnya—mata dan mulutnya—ke wajah pria tersebut, namun hasilnya tidak cukup meyakinkan. Tim ABN AMRO mendeteksi ketidaksesuaian tersebut, melakukan penyelidikan, dan mengungkap skala penuh penipuan tersebut.

Ketika polisi perbatasan kemudian menghentikan tersangka di pos pemeriksaan, bukti yang ditemukan sangat memberatkannya. Petugas mendapati dia sedang menghapus aplikasi Telegram dari ponselnya. Di dalam mobilnya: amplop berisi kartu debit dan PIN untuk beberapa rekening ABN AMRO, puluhan identitas palsu, serta riwayat obrolan dengan ChatGPT di mana ia bertanya cara mengelabui sistem keamanan bank. Rekaman CCTV memperlihatkan dirinya menyetorkan sejumlah besar uang tunai ke rekening-rekening palsu tersebut – transaksi yang menurut jaksa penuntut terkait dengan pencucian uang.

Jaksa penuntut umum menuntut hukuman penjara selama 30 bulan dan ganti rugi sebesar €6.240 untuk ABN AMRO. Pada Maret 2026, pengadilan distrik Amsterdam memerintahkan penyelidikan lebih lanjut daripada menjatuhkan putusan.Terdakwa tetap ditahan sementara menunggu persidangan, dan sidang baru dijadwalkan dalam waktu tiga bulan.

Mengapa Proses Verifikasi KYC Gagal?

Kasus ini mencerminkan pola yang lebih luas: alat-alat AI tradisional yang semakin mudah diakses secara sistematis mengalahkan solusi verifikasi identitas .

Begitu identitas palsu berhasil masuk ke dalam Know Your Customer (KYC) , identitas tersebut dapat digunakan untuk pencucian uang, pendanaan terorisme, penghindaran sanksi, dan banyak lagi. Dampaknya terhadap keuangan tidak terbatas pada kerugian langsung; dampak regulasi seringkali jauh lebih besar:

• TD Bank didenda sebesar $3,09 miliar pada tahun 2024 karena kegagalan dalam penerapan AML.
•  Hanya pada paruh pertama tahun 2025, regulator menjatuhkan denda sebesar $1,23 miliar, meningkat 417% dibandingkan tahun sebelumnya.
  

ABN AMRO mendeteksi 46 rekening. Pertanyaannya adalah, berapa banyak lagi yang tidak terdeteksi.

ABN AMRO’s proses pendaftaran mengikuti pola yang umum di perbankan Eropa: unggah foto identitas, ambil foto selfie, biarkan sistem membandingkan keduanya. Hal ini mengasumsikan bahwa jika wajah dalam foto selfie cocok dengan dokumen, orang tersebut adalah siapa yang mereka klaim. Asumsi tersebut runtuh begitu penipu dapat menghasilkan wajah sintetis yang menggabungkan penampilan mereka sendiri dengan foto identitas orang lain.

Dan hal ini semakin mudah dari bulan ke bulan. AI generatif telah menghancurkan hambatan masuk bagi serangan identitas sintetis: apa yang dulu membutuhkan keahlian khusus dan perangkat keras kelas atas kini dapat dilakukan dengan alat yang murah dan tersedia di pasaran. Laporan Intelijen Ancaman 2026 mencatat peningkatan 1.151% dari tahun ke tahun dalam serangan injeksi iOS pada paruh kedua tahun 2025. iOS telah lama dianggap sebagai platform seluler yang lebih aman; asumsi tersebut kini tidak berlaku lagi. Bagi bank yang menjalankan proses onboarding berbasis seluler di sistem operasi apa pun, implikasinya sama: jika sistem verifikasi tidak dapat mendeteksi video yang dimanipulasi pada saat perekaman, sistem tersebut akan menyetujuinya.

Kasus ABN AMRO menjadi contohnya. Sistem tersebut memverifikasi bahwa wajah tersebut sesuai dengan yang tertera di dokumen, tetapi tidak memverifikasi apakah wajah tersebut asli.

Lapisan yang Hilang: Deteksi Keaktifan yang Efektif

Kelemahan utama dalam alur pendaftaran ABN AMRO adalah tidak adanya deteksi keaslian. Tanpa fitur tersebut, sistem tidak memiliki cara untuk membedakan wajah manusia asli dari gambar yang dimanipulasi secara digital.

Sistem yang andal tidak hanya membandingkan wajah. Sistem tersebut juga memeriksa apakah ada orang sungguhan pada saat pengambilan gambar. Sebuah tantangan acak pasif yang hanya dilakukan sekali pada saat otentikasi, serta model pembelajaran mendalam yang secara bertahap belajar dari vektor serangan yang terus berkembang. Jika dilakukan dengan benar, hal ini memastikan tiga hal secara bersamaan: bahwa pengguna adalah orang yang tepat, orang sungguhan, dan sedang melakukan otentikasi secara real-time.

Pendekatan ini mendeteksi tiga vektor serangan utama:

• Serangan presentasi melibatkan tindakan mengangkat foto, video, atau topeng ke arah kamera.
• Serangan injeksi digital menyisipkan deepfake langsung ke dalam alur verifikasi, tanpa melewati kamera sama sekali. Ini adalah jenis serangan yang paling mendesak dan dapat dilakukan dalam skala besar.
• Serangan replay menampilkan kembali data biometrik yang telah direkam sebelumnya, seperti rekaman sesi verifikasi yang sah, untuk menyamar sebagai pengguna asli.

Laporan publik mengenai kasus ABN AMRO tidak menyebutkan secara spesifik metode teknis yang digunakan dalam pengiriman data tersebut. Namun, entah selfie yang dimanipulasi itu diunggah atau disisipkan, hasilnya tetap sama: pemeriksaan pencocokan wajah tidak dapat membedakan wajah sintetis dari yang asli. Itulah yang ingin dicegah oleh deteksi keaslian.

Saat ini terdapat standar independen yang harus dipenuhi oleh vendor sesuai harapan pembeli, antara lain:

• CEN/TS 18099 Tingkat Tinggi dan Ingenium Deteksi Serangan Injeksi Tingkat 4 untuk ketahanan terhadap serangan injeksi
• dan NIST SP 800-63-4, yang pada tahun 2025 menjadikan deteksi serangan injeksi sebagai tujuan pengendalian wajib untuk tingkat jaminan yang lebih tinggi. Klaim vendor tanpa pengujian independen dan terakreditasi terhadap standar-standar ini bukanlah bukti ketahanan. Itu hanyalah strategi pemasaran.

Seandainya proses pendaftaran ABN AMRO mencakup verifikasi semacam ini, foto selfie yang dimanipulasi oleh pelaku penipuan tersebut pasti akan terdeteksi bukan karena wajahnya tidak sesuai dengan identitasnya, melainkan karena wajahnya sendiri tidak asli atau tidak benar-benar ada.

Ini Adalah Bukan Kasus Penipuan Deepfake yang Terisolasi

Kasus ABN AMRO merupakan yang terbaru dalam daftar insiden penipuan keuangan yang memanfaatkan teknologi deepfake yang semakin bertambah.

Pada bulan April 2025, polisi Hong Kong menangkap delapan orang dalam jaringan penipuan berbasis deepfake yang telah menggunakan 21 kartu identitas Hong Kong yang dicuri untuk mengajukan 44 permohonan rekening bank, sekitar 30 di antaranya berhasil. Kelompok tersebut menggabungkan wajah mereka sendiri ke dalam foto-foto identitas yang dicuri untuk mengelabui sistem pengenalan wajah, teknik yang sama yang digunakan dalam serangan terhadap ABN AMRO, dan rekening-rekening tersebut terkait dengan pencucian uang dan penyalahgunaan kredit.

Hal ini menandakan adanya perubahan mendasar dalam cara penipuan akun baru – di mana alat-alatnya murah, keterampilan yang dibutuhkan minimal, dan sistem verifikasi yang diandalkan sebagian besar bank tidak dirancang untuk mengantisipasi ancaman ini.

Hal yang Harus Dipahami oleh Lembaga Keuangan

1. Rekayasa sosial dan media sintetis saling melengkapi. Penipu tersebut tidak hanya menggunakan deepfakes. Ia menggunakan iklan sewa palsu untuk mengumpulkan dokumen identitas asli dari orang-orang sungguhan. Sistem verifikasi perlu memperhitungkan kemungkinan bahwa dokumen yang diserahkan mungkin asli, meskipun orang yang menyerahkannya tidak.
2. Verifikasi statis saja tidak cukup. Pemeriksaan selfie-ke-ID yang masih menggunakan aturan yang sama seperti saat diluncurkan hanyalah sebuah ambang batas yang harus dilewati, bukan penghalang masuk. Lembaga keuangan membutuhkan verifikasi yang beradaptasi terhadap teknik serangan baru, termasuk ancaman berbasis AI yang berkembang paling pesat.

Pertanyaannya kini telah bergeser dari apakah apakah penipuan KYC yang memanfaatkan deepfake akan memengaruhi lembaga Anda, menjadi kapan, dan apakah Anda akan mendeteksinya sebelum 46 – atau ribuan lainnya – akun dibuka secara massal.

Proses onboarding ABN AMRO umum ditemukan di industri perbankan. Demikian pula, kerentanan yang ditimbulkannya pun semakin sering terjadi. Lihat bagaimana fitur Dynamic Liveness dari iProov mendeteksi serangan injeksi, deepfake, dan serangan replay yang tidak dapat dideteksi oleh sistem pencocokan selfie dengan identitas tradisional. Daftarkan diri Anda untuk demo langsung.