Dompet Identiti Digital & AI: Masa Depan Tanpa Kata Laluan

AI dalam Kerajaan & Sektor Awam••By 3L3C

Dompet identiti digital dan AI boleh menggantikan kata laluan sambil mengurangkan penipuan dan kos pematuhan. Inilah pelajaran untuk bank dan kerajaan Malaysia.

AI dalam sektor kewanganidentiti digitalpengesahan tanpa kata laluanMalaysia Digital Economy Blueprintsektor awam digitalfraud detection AI
Share:

Dompet identiti digital dan AI: kenapa bank patut bimbang dengan kata laluan pada 2026

Pada 2024, beberapa bank besar di Eropah melaporkan kos penipuan runcit melebihi 0.1% daripada jumlah transaksi kad – angka yang kelihatan kecil, tapi nilainya ratusan juta euro setahun. Sebahagian besar datang daripada kelemahan paling asas: kata laluan dan OTP yang mudah digodam.

Inilah sebabnya Eropah sedang menolak kuat konsep European Digital Identity Wallet (EUDI Wallet) — dompet identiti digital yang menggunakan kriptografi dan bukti kebolehsahan identiti, bukan huruf dan nombor yang pelanggan selalu lupa.

Untuk Malaysia, terutama sektor kewangan dan agensi kerajaan yang sedang melaksanakan inisiatif di bawah Malaysia Digital Economy Blueprint dan pelan AI kebangsaan, isu ini bukan teori. Ia terus menyentuh:

  • kos penipuan dan pematuhan yang meningkat,
  • pengalaman pelanggan yang lemah,
  • keperluan integrasi AI yang lebih selamat.

Artikel asal Finextra bertanya sama ada dompet identiti boleh “membunuh” kata laluan di Eropah. Dalam versi ini, fokusnya beralih: bagaimana dompet identiti digital yang diperkasa AI boleh mengubah cara bank, insurans, fintech dan agensi kerajaan Malaysia menguruskan keselamatan, pematuhan dan automasi?

Kata laluan sudah tepu: dari perspektif bank dan kerajaan

Realitinya, kata laluan sudah tidak ekonomik untuk dipertahankan, walaupun masih digunakan di mana-mana.

Bagi bank, syarikat insurans, e-dompet dan agensi kerajaan, beban kata laluan kelihatan dalam beberapa bentuk:

  • serangan phishing dan social engineering,
  • pengambilalihan akaun (account takeover),
  • credential stuffing daripada kebocoran data pihak ketiga,
  • kos pusat panggilan hanya untuk "saya lupa kata laluan",
  • IAM (identity & access management) yang bercelaru dengan campuran kata laluan, OTP SMS, e-mel dan SSO vendor berbeza.

Di Malaysia, ini menambah satu lagi lapisan tekanan: keperluan mematuhi Garis Panduan RMiT Bank Negara, keperluan keselamatan data PDPA, dan pada masa sama menyokong penggunaan AI untuk penilaian risiko, chatbot dan automasi operasi. Sistem lama yang berasaskan kata laluan tidak serasi dengan dunia yang disokong AI.

Dompet identiti digital – sama ada mengikut model EUDI Eropah, MyDigital ID tempatan, atau dompet identiti sektor kewangan – menawarkan corak berbeza:

  • Log masuk kriptografi berasaskan kunci awam/peribadi, bukan rahsia yang dikongsi.
  • Identiti disahkan (contoh: nama undang-undang, umur, alamat, status pemastautin) disimpan sebagai verifiable credentials dalam dompet.
  • Pendedahan terpilih – pengguna hanya berkongsi data minimum yang diperlukan (contoh: “18+” tanpa tarikh lahir penuh).
  • Mesra automasi dan AI – agen AI boleh memegang kredensial dan kunci, tetapi tidak boleh “ingat” kata laluan seperti manusia.

Teknologi ini sudah wujud. Standard W3C untuk verifiable credentials, protokol dompet identiti, dan sokongan di peringkat pelayar serta peranti pintar semakin matang. Yang belum berlaku? Migrasi besar-besaran dari kata laluan ke dompet identiti sebagai kaedah utama.

Apa yang Eropah cuba buat dengan EUDI Wallet – dan pelajarannya untuk Malaysia

EUDI Wallet di Eropah bukan sekadar aplikasi log masuk. Ia dimaksudkan sebagai lapisan kepercayaan untuk ekonomi digital – dari sektor awam hingga sektor kewangan dan komersial.

Tiga pemacu utama yang digariskan dalam artikel asal sebenarnya sangat relevan untuk Malaysia:

1. Sektor awam sebagai pemula (government as anchor tenant)

Eropah menjadikan dompet identiti wajib untuk akses kepada perkhidmatan seperti:

  • cukai,
  • kesihatan dan insurans sosial,
  • lesen dan permit.

Apabila rakyat wajib guna dompet untuk urusan kerajaan, mereka akan membina tabiat. Vendor IAM di sektor swasta pun terpaksa menyokong. Pada masa sama, kerajaan mengeluarkan pelbagai verifiable credentials rasmi (IC digital, lesen memandu, sijil lahir, rekod lesen perniagaan) yang kemudian boleh digunakan oleh bank dan syarikat lain.

Paralel di Malaysia:

  • Kita sudah ada MyKad dan inisiatif MyDigital ID.
  • Banyak agensi sedang mempercepatkan perkhidmatan tanpa kaunter (lesen perniagaan, cukai, bantuan sosial).
  • Seterusnya, jika MyDigital ID atau dompet identiti kerajaan dibuka untuk digunakan oleh bank dan fintech, ia boleh menjadi “single source of truth” untuk identiti pelanggan.

Bila ini berlaku, AI boleh duduk di atas infrastruktur identiti ini untuk:

  • mengesahkan kredensial pelanggan secara automatik ketika onboarding,
  • mengesan anomali dalam pola permohonan berdasarkan data identiti yang konsisten,
  • memadankan rekod rentas agensi (dengan kawalan privasi yang ketat).

2. Organisasi dan B2B: dompet identiti untuk entiti perniagaan

Artikel tersebut juga menyentuh konsep organisation wallets – dompet untuk entiti undang-undang, bukan individu.

Untuk sektor kewangan dan kerajaan, ini sangat besar impaknya:

  • Syarikat mempunyai dompet dengan kredensial seperti nombor pendaftaran SSM, status cukai, lesen operasi, sijil patuh syariah, dan sebagainya.
  • Pegawai syarikat memegang power-of-attorney credential di dalam dompet identiti peribadi mereka bagi mewakili organisasi.
  • AI boleh mengurus aliran kerja B2B/B2G seperti permohonan pembiayaan korporat, tender kerajaan, pelaporan kawal selia, dengan mengesahkan semua dokumen secara kriptografi – bukan berbentuk PDF yang mudah dimanipulasi.

Hasilnya:

  • KYC dan KYB (Know Your Business) menjadi jauh lebih pantas.
  • Risiko dokumen palsu berkurang dengan ketara.
  • Sistem AI yang melakukan penilaian kredit, pemantauan transaksi, atau pengesanan penipuan mempunyai data sumber yang lebih bersih dan boleh disahkan.

3. Agen AI: pekerja digital yang tak boleh menaip OTP

Inilah bahagian paling menarik. Sistem AI – sama ada chatbot, robo-advisor, agen pematuhan, atau pekerja digital di back-office – tidak boleh secara selamat menghantar dan menghafal kata laluan manusia.

Agen AI berfungsi jauh lebih baik jika:

  • ia mempunyai kunci kriptografi,
  • ia memegang atau diberi akses sementara kepada dompet identiti digital,
  • ia diberi verifiable power-of-attorney (contoh: “agen AI ini dibenarkan memfailkan laporan cukai syarikat X” atau “agen ini boleh mengemas kini alamat pelanggan dengan kebenaran pelanggan”).

Ini mengubah corak keselamatan:

  • Daripada “berikan kata laluan kepada sistem” kepada “beri kuasa bertindak yang boleh diaudit kepada agen AI melalui kredensial.”
  • Setiap tindakan agen AI boleh dijejak kepada bukti kuasa yang jelas, membantu audit dan pematuhan.

Untuk Malaysia yang sedang membina AI dalam sektor awam dan kewangan, ini bermakna:

Tanpa dompet identiti digital yang kukuh, sukar untuk mengembangkan penggunaan agen AI yang benar-benar otonom dan selamat.

Di mana AI masuk: daripada dompet identiti ke pertahanan penipuan berlapis

Dompet identiti digital menyelesaikan asas: siapa anda dan apa yang anda dibenarkan lakukan. AI menambah satu lapisan lagi: adakah tingkah laku ini masuk akal?

Gabungan ini sangat kuat untuk bank, insurans, fintech dan agensi kerajaan.

AI + dompet identiti dalam pengesahan dan pencegahan penipuan

Beberapa kegunaan praktikal:

  1. Analitik tingkah laku log masuk
    Walaupun dompet identiti mengurangkan risiko credential theft, pengguna tetap boleh diperdaya untuk meluluskan transaksi palsu.

    Di sini, AI boleh:

    • belajar corak biasa pelanggan (lokasi, peranti, waktu log masuk, jenis transaksi),
    • menjana skor risiko hampir masa nyata,
    • menuntut bukti tambahan (contoh: biometrik, pengesahan manusia) jika corak lari jauh daripada kebiasaan.

  2. Onboarding pelanggan yang lebih bersih
    Bila bank menerima verifiable credential daripada dompet identiti yang dikeluarkan kerajaan, proses KYC boleh menjadi hampir automatik.

    AI kemudian fokus kepada:

    • pemeriksaan lintas-pangkalan data risiko dan senarai pemantauan,
    • analisis hubungan (contoh: rangkaian syarikat berkaitan, pemilik sebenar) untuk kes korporat,
    • mengesan permohonan yang mencurigakan secara statistik (banyak akaun baharu dengan alamat sama, corak dokumen yang serupa dll.).

  3. Pemantauan transaksi rentas sektor
    Dengan identiti yang konsisten dan boleh disahkan merentas bank, e-dompet dan platform fintech, model AI untuk AML, CTF dan fraud analytics menjadi jauh lebih kuat.

    • Kurang false positive kerana data identiti lebih tepat.
    • Lebih senang membina model jaringan transaksi mencurigakan.

AI juga melindungi privasi, bukan sekadar keselamatan

Ada kebimbangan bahawa dompet identiti + AI akan menghasilkan dunia yang terlalu diawasi. Di sinilah reka bentuk penting.

Dengan selective disclosure dan teknik seperti zero-knowledge proof, dompet identiti boleh:

  • buktikan sesuatu fakta (contoh: “pelanggan ini warganegara Malaysia berumur lebih 21 tahun”) tanpa mendedahkan data penuh,
  • membenarkan AI membuat keputusan berdasarkan attribut, bukan maklumat mentah.

Saya berpendapat masa depan AI dalam sektor awam dan kewangan yang mampan di Malaysia perlu berasaskan prinsip:

  • minimum data yang dikongsi,
  • maksimum ketelusan tentang bagaimana AI membuat keputusan,
  • kawalan berada pada tangan pemilik identiti (rakyat, pelanggan, perniagaan).

Dompet identiti yang direka dengan betul sebenarnya memudahkan model ini.

Apa langkah praktikal untuk bank, fintech dan kerajaan Malaysia pada 2026

Kalau kita terima premis bahawa kata laluan sedang menuju muzium sama seperti faks, persoalan praktikal seterusnya ialah: apa yang patut dibuat 12–24 bulan akan datang?

Berikut rangka tindakan yang saya rasa realistik untuk organisasi kewangan dan agensi awam:

1. Tetapkan hala tuju: “dompet identiti sebagai saluran utama, kata laluan sebagai sandaran sahaja”

Selagi kata laluan kekal pilihan utama, organisasi akan terperangkap dalam mod “dua dunia” yang mahal.

  • Rancang untuk menjadikan dompet identiti (kerajaan atau sektor kewangan) sebagai kaedah log masuk lalai untuk perkhidmatan bernilai tinggi (perbankan, insurans, geran, bantuan sosial, permohonan lesen).
  • Hadkan kata laluan kepada kegunaan risiko rendah atau akhiri secara berperingkat.

2. Bina trust fabric bersama kerajaan

Sektor kewangan tak boleh buat ini bersendirian.

  • Terlibat awal dalam reka bentuk MyDigital ID dan dompet identiti kerajaan agar:

    • kredensial yang dikeluarkan relevan untuk KYC/KYB,
    • standard teknikal serasi dengan keperluan bank dan fintech,
    • ada mekanisme untuk kuasa wakil (power-of-attorney) yang boleh digunakan oleh agen AI.

  • Untuk agensi kerajaan, gunakan pengalaman Eropah:
    pilih beberapa use case unggul (contoh: cukai individu, bantuan tunai, lesen perniagaan) yang wajib menggunakan dompet identiti dan pantau impaknya terhadap penipuan dan kos operasi.

3. Integrasikan AI secara sengaja di sekeliling identiti

Jangan hanya “tampal” AI pada sistem sedia ada.

  • Reka sistem AI fraud detection, credit scoring, public service automation dengan menganggap dompet identiti sebagai sumber identiti dan kebenaran utama.
  • Gunakan AI untuk:
    • skor risiko log masuk dan transaksi,
    • mengesan tingkah laku penggunaan dompet yang pelik (contoh: beberapa kelulusan dari peranti berbeza dalam masa singkat),
    • membantu pengguna memahami apa yang mereka kongsikan melalui asisten pintar dalam aplikasi.

4. Uji guna agen AI dengan kuasa terhad

Sebelum pergi jauh:

  • Cipta pilot agen AI dengan verifiable power-of-attorney yang sangat terhad, contohnya:

    • agen yang hanya boleh menyemak status permohonan,
    • agen yang hanya boleh menyediakan draf borang untuk disemak manusia,
    • agen yang hanya boleh memfailkan laporan pematuhan rutin.

  • Jejak dan audit semua tindakan agen tersebut untuk membina keyakinan dalaman dan regulator.

5. Didik pelanggan dan rakyat, bukan hanya pasang teknologi

Teknologi identiti dan AI hanya berfungsi jika orang faham dan percaya.

  • Jelaskan dalam bahasa biasa apa itu dompet identiti, apa yang ia tidak simpan (contoh: bukan simpan wang, tetapi simpan bukti identiti), dan bagaimana AI digunakan.
  • Bina pengalaman pengguna yang mudah: beberapa langkah log masuk, bukti visual yang jelas tentang apa yang dikongsi, dan butang “batal” yang nyata.

Malaysia mahu ekonomi digital yang selamat – dompet identiti & AI ialah asasnya

Eropah sedang membuktikan satu perkara penting: dompet identiti digital mampu menggantikan kata laluan, tetapi hanya jika kerajaan dan sektor kewangan berani menjadikannya asas, bukan pilihan sampingan.

Untuk Malaysia, di bawah rangka kerja AI dalam sektor awam, fintech, dan perbankan, gabungan:

  • dompet identiti digital yang disahkan kerajaan,
  • standard verifiable credentials dan kuasa wakil,
  • sistem AI untuk analitik tingkah laku, pengesanan penipuan dan automasi perkhidmatan,

boleh mengurangkan:

  • penipuan identiti,
  • kos pematuhan,
  • rintangan pengguna yang letih dengan OTP dan kata laluan.

Dalam masa yang sama, ia membuka laluan untuk agen AI yang benar-benar membantu – daripada chatbot JPJ yang boleh mengurus pembaharuan lesen secara hujung-ke-hujung, sehinggalah “pembantu kewangan digital” yang boleh mengurus bil dan simpanan dengan kawalan yang jelas daripada pengguna.

Soalnya sekarang bukan lagi “bolehkah kita hidup tanpa kata laluan?”, tetapi bila organisasi kewangan dan agensi kerajaan Malaysia bersedia menyusun semula strategi identiti dan AI mereka untuk menganggap kata laluan sebagai langkah sementara, bukan masa depan.

Soalan untuk pembaca profesional sektor kewangan & kerajaan

  • Di mana dalam organisasi anda, kata laluan paling banyak mencipta kos dan risiko?
  • Kalau anda diberi peluang merancang semula identiti digital dari kosong hari ini, adakah anda masih memilih kata laluan?
  • Fungsi AI mana yang paling anda mahu uji jika dompet identiti digital sudah tersedia untuk semua pelanggan dan rakyat?
🇲🇾 Dompet Identiti Digital & AI: Masa Depan Tanpa Kata Laluan - Malaysia | 3L3C