Dompet Identiti Tanpa Kata Laluan Untuk Bank Malaysia

AI dalam Kerajaan & Sektor Awam••By 3L3C

Dompet identiti digital boleh jadi asas ekonomi tanpa kata laluan untuk bank, fintech dan kerajaan Malaysia – dan pasangan ideal untuk inisiatif AI kewangan.

dompet identitipasswordless bankingAI dalam sektor kewangankerajaan digital Malaysiapengesahan identitikeselamatan siber
Share:

Dompet identiti tanpa kata laluan: masa depan log masuk bank di Malaysia

Menurut beberapa kajian global keselamatan siber, lebih 80% kebocoran data bermula daripada kata laluan yang lemah atau dicuri. Dalam konteks bank, insurans dan fintech, setiap insiden bukan sekadar isu IT – ia terus pukul kos pematuhan, reputasi, dan kepercayaan pelanggan.

Ini sebabnya dompet identiti digital – seperti EUDI Wallet di Eropah – sedang dilihat sebagai langkah seterusnya selepas biometrik dan OTP. Bukan sahaja untuk kegunaan rakyat, tetapi juga sebagai lapisan asas untuk AI dalam pengesanan penipuan, pematuhan dan automasi kerajaan digital.

Artikel asal oleh Bo Harald bertanya sama ada EUDI Wallet boleh “membunuh” kata laluan di Eropah. Dalam konteks Malaysia, soalan yang lebih penting ialah: bolehkah konsep dompet identiti ini menjadi asas ekonomi digital tanpa kata laluan untuk sektor kewangan dan kerajaan, selari dengan Wawasan Ekonomi Digital Malaysia dan inisiatif AI nasional?

Di bawah ini saya huraikan kenapa jawapannya cenderung kepada “ya” – dengan beberapa syarat yang sangat praktikal untuk bank, insurans, fintech dan agensi kerajaan.

1. Kenapa kata laluan sudah tidak lagi munasabah untuk bank dan kerajaan

Kata laluan bukan sekadar menyusahkan pengguna. Ia mahal dan berisiko untuk institusi kewangan dan sektor awam.

Dalam operasi harian, kata laluan menambah kos di banyak tempat:

  • Pusat panggilan dibanjiri permintaan “reset password”
  • Kos SMS OTP dan token keselamatan fizikal
  • Serangan phishing dan social engineering yang menyasarkan pelanggan dan kakitangan
  • Pengurusan IAM (Identity & Access Management) yang kompleks dan bertampal-tampal
  • Audit pematuhan yang semakin ketat (BNM, PDPA, anti-penipuan, anti-penggubahan wang haram)

Untuk bank dan kerajaan yang sedang melabur besar dalam AI untuk pengesanan penipuan dan pemantauan transaksi, kata laluan sebenarnya menjadi titik buta:

AI boleh mengesan corak transaksi pelik, tetapi jika proses log masuk sendiri senang dipalsukan, data “siapa yang benar-benar log masuk” sentiasa kabur.

Kita sudah nampak banyak inisiatif ke arah pengesahan berasaskan kriptografi dan biometrik – contohnya log masuk bank dengan cap jari atau pengecaman wajah di aplikasi mudah alih. Namun kebanyakannya masih “lapisan di atas” akaun berasaskan kata laluan.

Realitinya, teknikal untuk membuang kata laluan sudah wujud. Yang belum wujud ialah infrastruktur identiti bersama yang dipercayai di seluruh ekosistem – di sinilah idea dompet identiti datang.

2. Apa itu dompet identiti dan apa yang boleh Malaysia belajar daripada EUDI Wallet

EUDI Wallet di Eropah direka sebagai dompet identiti digital yang disahkan kerajaan. Konsepnya mudah difahamkan dalam bahasa bank:

Bayangkan “akaun identiti” yang dipegang oleh rakyat dan organisasi, yang mengandungi kelayakan (credentials) sah – nama, umur, alamat, lesen perniagaan, kuasa bertindak – semuanya dalam bentuk digital yang boleh disahkan secara kriptografi.

Daripada perspektif teknikal dan operasi, dompet identiti menyediakan empat perkara utama:

  1. Log masuk kriptografi, bukan rahsia dikongsi
    Tiada lagi username + password yang boleh dicuri. Pengesahan berlaku melalui kunci kriptografi dalam dompet pengguna.

  2. Identiti disahkan, bukan dakwaan sendiri
    Bank atau kerajaan boleh menerima data seperti umur, warganegara, alamat, status perniagaan yang sudah disahkan oleh pihak berkuasa (JPN, SSM, LHDN dan lain-lain), bukan diisi sendiri dalam borang.

  3. Pendedahan terpilih dan privasi yang lebih baik
    Pengguna boleh berkongsi hanya apa yang perlu. Contohnya, “umur > 18” tanpa berkongsi tarikh lahir penuh. Ini penting untuk PDPA dan kepercayaan pelanggan.

  4. Sedia untuk automasi & ejen AI
    Ejen AI (contoh: “AI banker” atau chatbot kerajaan) tak boleh menaip kata laluan atau tunggu OTP SMS. Tapi ia boleh guna kunci kriptografi dan mandat digital/power-of-attorney yang tersimpan dalam dompet identiti.

Malaysia tak semestinya menyalin EUDI satu-satu. Tetapi arah tuju sama: dompet identiti nasional yang boleh digunakan rentas bank, fintech dan agensi kerajaan – dan menjadi asas kukuh untuk ekosistem AI kewangan.

3. Dari perspektif AI: kenapa identiti tanpa kata laluan jauh lebih masuk akal

Jika organisasi anda serius dengan AI – sama ada untuk fraud detection, onboarding digital, analitik risiko atau automasi perkhidmatan – identiti adalah lapisan paling kritikal.

3.1 Data pengesahan jadi lebih bersih dan boleh dipercayai

Model AI hanya sebaik data yang ia terima. Dengan dompet identiti:

  • Setiap log masuk datang dengan identiti yang boleh disahkan, bukan akaun e-mel rawak
  • AI boleh membezakan dengan lebih tepat antara tingkah laku pengguna sebenar dan akaun yang diambil alih
  • Korelasi antara akaun individu, syarikat dan wakil (kuasa bertindak) menjadi lebih jelas

Ini memberi impak besar kepada:

  • Model pengesan penipuan transaksi waktu nyata
  • Sistem AML/CFT yang memantau pola pergerakan dana
  • Rangka kerja eKYC yang selari dengan garis panduan BNM

3.2 Ejen AI perlukan identiti dan mandat, bukan kata laluan

Dalam beberapa tahun lagi, ramai bank dan agensi kerajaan akan ada “ejen AI” yang berurusan terus dengan data pelanggan dan rekod rasmi.

Ejen ini perlu:

  • Masuk ke sistem seperti manusia
  • Mengakses rekod kewangan, cukai, subsidi, tuntutan dan sebagainya
  • Melakukan tindakan – hantar permohonan, sahkan dokumen, luluskan transaksi kecil

Cara tradisi (kata laluan, OTP SMS, token fizikal) tidak boleh diskalakan kepada ejen AI. Dompet identiti menawarkan penyelesaian yang lebih kemas:

  • Ejen AI diberi credential dan power-of-attorney digital yang boleh disahkan
  • Segala tindakan ejen boleh dijejak kepada identiti yang jelas dan mandat yang sah

Ini terus membantu audit, pematuhan dan forensik jika berlaku insiden.

4. Di mana kerajaan perlu bermula: guna kuasa mandatori dengan bijak

Bo Harald menegaskan bahawa perubahan besar hanya berlaku bila sektor awam berhenti melayan teknologi baharu sebagai “opsyen tambahan” dan mula jadikan ia keperluan asas.

Untuk konteks Malaysia, beberapa langkah praktikal yang boleh dipertimbangkan:

4.1 Jadikan dompet identiti login utama untuk perkhidmatan kerajaan

Contohnya:

  • Cukai
  • Perlesenan perniagaan
  • Permohonan bantuan/subsidi
  • Kesihatan awam (rekod vaksinasi, rujukan klinik/ hospital kerajaan)

Bila rakyat sudah biasa guna satu dompet identiti untuk urusan kerajaan, bank dan fintech boleh ikut serta dengan friksi yang jauh lebih rendah.

4.2 Keluarkan seberapa banyak “verifiable credentials” yang mungkin

Setiap agensi kerajaan memegang data yang bernilai tinggi untuk sektor kewangan:

  • JPN: identiti asas, warganegara, status kahwin
  • LHDN: status cukai, pendapatan yang diisytihar
  • JKM / agensi bantuan: status bantuan, kategori B40/M40
  • SSM: pendaftaran syarikat, pengarah, pemegang saham

Jika semua ini wujud sebagai credential yang boleh disahkan dalam dompet identiti, bank dan insurans boleh membina proses:

  • Onboarding pelanggan yang jauh lebih laju, kurang dokumen manual
  • Penilaian kredit yang lebih tepat untuk PKS dan individu
  • Penyaluran bantuan kerajaan melalui bank dengan sasaran yang jelas

Ini bukan sahaja mengurangkan penipuan, malah menyokong sasaran Malaysia Digital Economy Blueprint tentang penyasaran bantuan dan kewangan inklusif.

5. Apa maksudnya untuk bank, insurans dan fintech di Malaysia

Bank dan fintech tak boleh tunggu semua piawaian siap sempurna. Seperti pengalaman Nordik dengan BankID, pihak yang bergerak awal biasanya akan menguasai kepercayaan pasaran.

Saya ringkaskan beberapa tindakan praktikal yang boleh dimulakan pada 2025–2026.

5.1 Letakkan strategi “passwordless” dalam pelan transformasi digital

Bukan sekadar tambah log masuk biometrik di atas kata laluan sedia ada. Strateginya perlu jelas:

  • Sasaran tahun tertentu untuk menyah-aktifkan kata laluan bagi majoriti pelanggan
  • Reka bentuk IAM yang berasaskan kunci kriptografi dan dompet identiti
  • Model operasi pusat panggilan dan cawangan tanpa proses reset kata laluan

5.2 Integrasi dompet identiti ke dalam eKYC dan onboarding

Apabila dompet identiti nasional (atau serantau) tersedia:

  • Minta pelanggan sahkan identiti menggunakan dompet identiti semasa buka akaun baharu
  • Serap credential yang relevan terus ke dalam sistem KYC dan risk engine
  • Guna data yang disahkan untuk menyokong AI credit scoring, bukan hanya borang manual

5.3 Selaraskan keselamatan AI dan keselamatan identiti

Pasukan AI dan keselamatan siber bank sering bergerak dalam silo. Dompet identiti memberi peluang untuk menyatukan:

  • Rangka kerja zero-trust yang berasaskan identiti
  • Model AI yang menggabungkan data login, tingkah laku dan transaksi
  • Proses pemantauan berterusan (continuous authentication) yang lebih pintar

Bank yang berjaya nanti bukan sekadar ada “AI untuk fraud detection”, tetapi AI yang berdiri di atas lapisan identiti digital yang kukuh dan tanpa kata laluan.

6. Halangan sebenar: bukannya teknologi, tetapi inertia institusi

Secara teknologi, jawapannya jelas: ya, dompet identiti boleh menggantikan kata laluan.

Halangan utama di Malaysia – seperti di Eropah – ialah:

  • Rasa selesa dengan sistem sedia ada (“kalau tak rosak, jangan usik”)
  • Kebimbangan peraturan yang tidak ditafsir bersama antara bank, telco dan kerajaan
  • Kekurangan model perniagaan yang jelas untuk pembekal IAM dan fintech identiti

Tetapi ada risiko lain yang jarang dibincang: kos melewatkan perubahan.

  • Penipuan semakin canggih dan automatik – termasuk serangan berasaskan AI
  • Pelanggan muda sudah biasa dengan pengalaman “satu tap, tiada kata laluan”
  • Negara lain di rantau ini mula bereksperimen dengan identiti digital yang lebih agresif

Jika Malaysia terus kekal dengan kata laluan, SMS OTP dan token lama, kita bukan sahaja menanggung lebih banyak kos keselamatan – kita juga ketinggalan dari segi pengalaman pengguna dan keupayaan untuk membina ekosistem AI kewangan yang benar-benar selamat.

7. Langkah seterusnya: bina asas identiti untuk ekonomi digital tanpa kata laluan

Dompet identiti bukan projek IT semata-mata. Ia keputusan polisi dan komersial:

  • Kerajaan perlu berani menetapkan dompet identiti sebagai kaedah login utama untuk perkhidmatan awam
  • Bank, insurans dan fintech perlu merancang penghijrahan bertahap ke arah passwordless dan bukannya menambah lagi pilihan log masuk yang bercanggah
  • Komuniti AI kewangan perlu melihat identiti digital sebagai aset data strategik untuk model-model masa hadapan

Bagi Malaysia yang sedang menolak kuat agenda AI dalam kerajaan dan sektor kewangan, dompet identiti adalah pasangan semula jadi – satu menyediakan otak (AI), satu lagi menyediakan rangka dan DNA (identiti yang boleh disahkan).

Persoalannya sekarang bukan lagi “bolehkah dompet identiti menggantikan kata laluan?”, tetapi:

Bila kita mahu berhenti menampal sistem lama dan mula membina ekonomi digital yang benar-benar selamat, tanpa kata laluan, dan mesra AI?

Masa sesuai sebenarnya sudah bermula.