Dompet Identiti Digital & AI: Masa Depan Tanpa Kata Laluan

Dompet identiti digital sedang mengetuk pintu bank anda

Lebih 80% insiden kebocoran data global berpunca daripada kata laluan yang lemah atau dicuri. Dalam sektor kewangan, setiap kata laluan yang bocor bukan sekadar isu IT – ia risiko kawal selia, reputasi dan kerugian kewangan yang nyata.

Inilah sebab kenapa bank, syarikat insurans, fintech dan agensi kerajaan di Eropah begitu serius dengan European Digital Identity (EUDI) Wallet. Ia bukan hanya projek identiti digital, tetapi asas kepada dunia tanpa kata laluan yang mesra AI.

Untuk Malaysia, di tengah pelaksanaan Rangka Tindakan Ekonomi Digital dan pelaburan besar dalam AI dalam sektor awam, persoalannya mudah:

Bukan sama ada kita akan pergi ke arah dompet identiti dan pengesahan tanpa kata laluan, tetapi seberapa cepat dan bagaimana kita melaksanakannya dengan betul.

Artikel ini mengupas bagaimana konsep EUDI Wallet di Eropah boleh diterjemah ke konteks Malaysia, dan kenapa ia sangat penting untuk masa depan AI dalam perkhidmatan kewangan dan kerajaan.

---

Mengapa kata laluan sudah tidak relevan untuk bank dan kerajaan

Kata laluan kelihatan murah, tetapi kos sebenar kepada bank dan agensi kerajaan sangat tinggi.

Kos tersembunyi kata laluan

Dalam operasi harian, organisasi kewangan dan kerajaan menanggung:

• Serangan phishing & pengambilalihan akaun – pelanggan tertipu, akaun kosong, penghijrahan pelanggan ke pesaing.
• Credential stuffing – kata laluan bocor di satu laman, diuji secara automatik di laman bank dan portal kerajaan lain.
• Kos sokongan – panggilan "lupa kata laluan" dan reset akaun yang memakan masa dan bajet.
• IAM yang kompleks – sistem Single Sign-On, integrasi pelbagai faktor keselamatan, pengurusan polisi akses yang bercelaru.

Di atas semua itu, kata laluan tidak mesra AI. Bot dan ejen AI yang menguruskan transaksi bagi pihak pelanggan tidak boleh menghafal dan menaip kata laluan, atau menunggu SMS OTP.

Apa yang dompet identiti digital ubah

Dompet identiti seperti EUDI Wallet menggantikan kata laluan dengan tiga perkara utama:

1. Login kriptografi, bukan rahsia berkongsi
   Pengesahan berlaku menggunakan kunci kriptografi yang disimpan selamat dalam dompet identiti pada peranti pengguna. Tiada lagi kata laluan yang boleh diteka atau digodam melalui phishing.

2. Identiti disahkan, bukan maklumat sendiri tulis
   Dompet menyimpan verifiable credentials seperti nama, umur, alamat, status perniagaan, kuasa bertindak – yang dikeluarkan oleh pihak berkuasa seperti JPN, LHDN, SSM, bank dan sebagainya.

3. Pendedahan terpilih dan privasi lebih baik
   Pengguna hanya berkongsi data yang perlu (contoh: hanya "18+" tanpa tarikh lahir penuh). Ini jauh lebih baik berbanding login sosial yang penuh penjejakan.

Dalam konteks AI dalam kerajaan & sektor awam, asas ini mempercepatkan banyak inisiatif: bandar pintar, automasi perkhidmatan, analitik risiko dan keselamatan nasional – kerana data identiti lebih boleh dipercayai dan lebih mudah diproses oleh sistem AI.

---

Apa sebenarnya EUDI Wallet – dan apa versi Malaysia yang realistik

Jawapan ringkas: ya, EUDI Wallet mampu membunuh kata laluan di Eropah. Tetapi hanya jika ia diangkat sebagai asas kepercayaan digital, bukan sekadar satu lagi pilihan login.

Untuk Malaysia, konsepnya sangat serupa walaupun nama dan rangka kerja berbeza.

Komponen utama dompet identiti moden

Dompet identiti digital yang serius untuk sektor kewangan dan kerajaan biasanya mempunyai ciri-ciri ini:

• Aplikasi mudah alih / modul dalam super-app sebagai wallet identiti.
• Kunci kriptografi yang dijana dan disimpan dalam peranti, dilindungi biometrik.
• Verifiable credentials yang dikeluarkan oleh:
  • kerajaan (Nombor MyKad, alamat, status warganegara),
  • institusi kewangan (status KYC/AML, akaun aktif),
  • majikan (status pekerjaan, gaji, kuasa menandatangani),
  • pihak berkuasa lain (lesen, sijil profesional, hak milik).
• Protokol standard terbuka untuk pengesahan dan perkongsian data antara bank, fintech dan agensi kerajaan.

Eropah sudah bergerak ke arah ini melalui EUDI Wallet. Di Malaysia, kita sudah nampak batu asas: MyKad, MyDigital ID, ID perbankan Internet, dan inisiatif identiti digital yang lain.

Persoalan strategik untuk bank dan kerajaan ialah:

Adakah kita akan menyatukan semua ini menjadi dompet identiti yang konsisten, atau kekal dengan pelbagai silo login dan kata laluan?

---

Pengajaran dari Nordik: bila mahu bunuh kata laluan, jangan separuh jalan

Negara Nordik memberi isyarat jelas: identiti digital hanya berjaya apabila ia menggantikan cara lama, bukan ditampal di tepi.

BankID di Sweden dan Norway tidak diposisikan sebagai "pilihan tambahan". Mereka menggantikan:

• login lama perbankan Internet,
• kod keselamatan fizikal,
• malah mula menggantikan login ke perkhidmatan kerajaan dan sektor swasta yang lain.

Di Eropah, penulis asal artikel menegaskan: kegagalan hari ini datang daripada inersia institusi. Organisasi mengekalkan kata laluan, SMS OTP dan email link, lalu menambah dompet identiti sebagai satu lagi pilihan.

Hasilnya:

• kos operasi tidak turun,
• pengguna keliru dengan terlalu banyak cara login,
• ancaman keselamatan masih sama.

Untuk Malaysia, ini mesej yang sangat relevan. Kalau bank atau agensi kerajaan hanya "uji cuba kecil" dompet identiti tanpa pelan penggantian kata laluan, projek itu hampir pasti tidak memberi impak yang diharapkan.

---

Di mana transformasi akan bermula: kerajaan, perusahaan dan AI

Perubahan kepada pengesahan tanpa kata laluan biasanya tidak bermula di bank terlebih dahulu. Dalam model Eropah, tiga pemangkin besar tampil – dan logiknya sama untuk Malaysia.

1. Sektor awam sebagai pemacu utama

Bila kerajaan menjadikan dompet identiti sebagai kaedah utama untuk:

• e-Tax,
• permohonan lesen,
• akses rekod kesihatan,
• bantuan dan subsidi,

rakyat akan membina tabiat. Penyedia IAM akan menyokong standard tersebut. Bank dan fintech pula akan mengikut, kerana pelanggan sudah biasa.

Dalam konteks AI dalam sektor awam, dompet identiti membolehkan:

• automasi proses kelulusan yang lebih tepat (AI menyemak credential yang disahkan, bukan dokumen muat naik yang meragukan),
• pengurangan penipuan bantuan sosial melalui pengesahan identiti dan kelayakan secara masa nyata,
• analitik dasar awam yang lebih teliti kerana data identiti lebih bersih.

2. Perusahaan ikut jejak – B2B & B2G tanpa kata laluan

Seterusnya, organisasi besar mula menggunakan wallet organisasi:

• Syarikat mendaftar sebagai entiti dengan credential yang dikeluarkan oleh SSM atau pihak berkuasa lain.
• Individu dalam syarikat memiliki credential kuasa bertindak (contoh: CFO boleh menandatangani kontrak sehingga jumlah tertentu).
• Semua ini disimpan dalam dompet identiti dan digunakan untuk:
  • e-procurement dengan kerajaan,
  • menandatangani kontrak B2B,
  • mengemukakan laporan kawal selia kepada Bank Negara atau LHDN.

Bila aliran B2B dan B2G bertukar kepada credential boleh sah (verifiable), kata laluan hilang peranan. Sistem AI pula lebih mudah mengesahkan siapa yang menghantar data, siapa yang berhak menandatangani, dan siapa yang perlu dipantau dari sudut risiko.

3. Kemunculan ejen AI dan pekerja digital

Ini faktor yang jarang dibincang dalam perbualan awam, tetapi sangat kritikal untuk masa depan bank dan agensi kerajaan.

Ejen AI akan:

• membuat permohonan pinjaman secara automatik bagi pihak pelanggan,
• menyemak dan memperbaharui lesen perniagaan,
• memohon geran kerajaan dan bantuan,
• menjalankan straight-through-processing di back-office.

Ejen sebegini:

• tidak boleh menaip kata laluan,
• tidak boleh menunggu OTP SMS,
• tidak patut memegang kata laluan pelanggan (risiko keselamatan yang besar).

Apa yang mereka perlukan ialah:

• wallet-based keys yang dibenarkan oleh pelanggan,
• credential power of attorney yang menerangkan dengan tepat apa yang AI boleh dan tak boleh buat,
• log audit yang jelas untuk semakan kawal selia.

Di sinilah dompet identiti dan AI bersatu. Tanpa infrastruktur identiti jenis ini, banyak visi AI dalam perkhidmatan kewangan dan sektor awam akan kekal di peringkat konsep sahaja.

---

Apa maksudnya untuk bank, insurans, fintech dan agensi kerajaan di Malaysia

Untuk organisasi di Malaysia yang serius tentang transformasi digital berasaskan AI, dompet identiti bukan lagi topik "nice to have". Ia infrastruktur asas.

Berikut pendekatan praktikal yang saya nampak masuk akal.

1. Putuskan: bila kata laluan akan jadi warisan

Tiada organisasi boleh mematikan kata laluan esok. Tetapi semua boleh menetapkan tarikh sasaran dalaman:

• Tahun 1–2: dompet identiti sebagai saluran premium berisiko tinggi (contoh: transaksi bernilai besar, akses portal korporat).
• Tahun 3–4: kata laluan hanya wujud sebagai pilihan sandaran untuk segmen tertentu.
• Tahun 5: majoriti interaksi pelanggan & rakan kongsi menggunakan dompet identiti / pengesahan kriptografi.

Tanpa garis masa, projek identiti digital akan kekal sebagai pilot tanpa kesan bisnes.

2. Guna dompet identiti untuk menyokong AI anti-penipuan

Pengesahan tanpa kata laluan menyelesaikan separuh masalah. Separuh lagi datang daripada data yang lebih kaya untuk model AI keselamatan:

• AI boleh gabungkan credential identiti yang disahkan dengan corak transaksi dan tingkah laku.
• Ini mengurangkan false positive dalam pengesanan penipuan dan mempercepatkan case investigation.
• Untuk kerajaan, gabungan identiti yang kukuh dan AI boleh mengurangkan penipuan dalam bantuan sosial, subsidi dan tender.

3. Bangunkan ekosistem – bukan sistem tertutup

Dompet identiti hanya berkesan kalau ia diterima meluas:

• Bank, insurans dan fintech perlu sepakat atas standard teknikal terbuka.
• Agensi kerajaan perlu bertindak sebagai penerbit credential inti (identiti, status perniagaan, lesen) yang boleh digunakan semula oleh sektor kewangan.
• Universiti, majikan dan pihak berkuasa profesional boleh mengeluarkan credential tambahan (ijazah, lesen amalan, status pekerjaan).

Lebih banyak verifiable data wujud, lebih kuat model AI untuk penilaian risiko, pemarkahan kredit dan due diligence.

4. Reka pengalaman pengguna yang benar-benar lebih mudah

Teknologi yang selamat tetapi menyusahkan pengguna jarang berjaya.

Dompet identiti mesti:

• integrasi rapat dengan biometrik peranti (cap jari, pengecaman wajah),
• beri pelanggan kawalan jelas terhadap data apa yang dikongsi,
• tunjukkan secara ringkas siapa menerbitkan sesuatu credential dan kepada siapa ia dihantar,
• menyokong pengguna bukan mahir teknologi, termasuk warga emas.

Jika pelanggan rasa login dengan dompet identiti lebih pantas dan lebih jelas berbanding kata laluan, migrasi akan berlaku secara semula jadi.

---

Di persimpangan: kekal dengan status quo, atau serius tentang ekonomi digital tanpa kata laluan

Teknologi dompet identiti sudah ada. Standard terbuka sudah masak. AI sudah menjadi keutamaan kebangsaan di banyak negara, termasuk Malaysia.

Halangan terbesar sekarang bukan teknologi, tetapi keberanian polisi dan keputusan komersial:

• Adakah kerajaan sedia memposisikan dompet identiti sebagai saluran utama untuk perkhidmatan awam digital?
• Adakah bank dan insurans berani menyatakan dengan jelas bahawa kata laluan ialah teknologi peralihan yang akan dikurangkan secara berperingkat?
• Adakah fintech sanggup membina produk yang menganggap ejen AI dan dompet identiti sebagai pengguna utama, bukan sekadar tambahan?

Bagi saya, arah haluan jelas:

Ekonomi digital yang benar-benar selamat, mesra AI dan cekap hanya boleh wujud apabila identiti digital dan dompet identiti menggantikan kata laluan sebagai asas kepercayaan.

Untuk organisasi yang bergerak awal, kelebihan mereka bukan sekadar keselamatan yang lebih baik, tetapi kemampuan membina produk AI generasi baharu yang pelanggan memang sanggup guna setiap hari.

Ini masa sesuai untuk bank, syarikat insurans, fintech dan agensi kerajaan di Malaysia menyusun peta jalan dompet identiti masing-masing – sebelum pelanggan sendiri yang memaksa perubahan itu.