Juliana Braz: “Kamu tidak bisa memverifikasi apa yang tidak bisa kamu identifikasi secara unik”

Juliana Braz memimpin Divisi Pengembangan Bisnis Internasional dan bertindak sebagai juru bicara Serpro, tulang punggung teknologi pemerintah federal Brasil. Dari posisi ini, ia menjembatani hukum, administrasi publik, dan rekayasa untuk menangani salah satu tantangan tersulit negara: membuktikan dengan andal “siapa itu siapa” dalam skala nasional. Ia mengasah pengalamannya dengan membantu mengubah surat izin mengemudi kertas menjadi CNH Digital yang memenangkan berbagai penghargaan, dan sejak itu menjadi suara yang jernih dan pragmatis dalam identitas digital, pencegahan penipuan, dan hak warga negara. Bagi Juliana, identitas adalah barang publik, dan “security by design” bukan sesuatu yang bisa ditawar: biometrik dan tokenisasi hanya di tempat yang benar-benar menambah kepercayaan; kepatuhan ketat terhadap LGPD dan kontrol akses berbasis peran untuk melindungi privasi; serta jalur yang inklusif agar teknologi tidak pernah meninggalkan siapa pun.

Ia mendorong model tingkat jaminan Gov.br (Perunggu, Perak, Emas) sebagai cetak biru untuk membangun kepercayaan yang dapat diskalakan—sekaligus menuntut interoperabilitas lintas silo data untuk menghentikan identitas sintetis dan sindikat rekayasa sosial. Dengan pandangan realistis tentang risiko deepfake dan serangan SIM swap, ia menegaskan bahwa budaya dan pelatihan harus berkembang secepat alatnya. Ke depan, ia membayangkan ekosistem yang berlabuh pada CPF dan bergerak menuju SSI (Self-Sovereign Identity), dengan Serpro sebagai lapisan kepercayaan berdaulat Brasil dan pusat intelijen antifraud real-time.

T: Juliana, karier Anda menggabungkan hukum, administrasi publik, dan teknologi. Apa yang memotivasi Anda untuk berspesialisasi di identitas dan fraud dalam peran Anda di Serpro?

Motivasi saya untuk berspesialisasi di identitas dan fraud di Serpro berasal langsung dari pengalaman praktis saya mengembangkan sistem nasional yang krusial. Saya memulai karier di Serpro dengan bekerja pada basis data CNH (surat izin mengemudi nasional) yang sudah menjadi salah satu sumber identifikasi utama di Brasil.

Melalui keterlibatan aktif saya dalam proyek pembuatan CNH Digital—sebuah inisiatif yang mengubah dokumen fisik menjadi kredensial keamanan tinggi dan meraih pengakuan nasional dengan penghargaan penting seperti iBest—saya mulai sangat tertarik dengan bidang ini. Saya menyadari bahwa identitas adalah aset paling fundamental bagi Administrasi Publik dan bahwa teknologi adalah solusi utama untuk masalah kepercayaan dan fraud berskala besar.

Karena itu, spesialisasi saya di Serpro adalah kelanjutan logis dari pekerjaan tersebut. Saya menggunakan latar belakang Administrasi Publik dan pengetahuan teknis saya untuk memahami di mana letak kerentanan dalam proses (tempat fraud terjadi), lalu menerapkan teknologi paling maju—seperti biometrik dan tokenisasi—untuk merancang solusi keamanan yang tangguh, melindungi warga dan memastikan integritas digitalisasi pemerintah.

T: Sebagai manajer di lembaga kunci untuk digitalisasi pemerintah, apa yang Anda pelajari tentang nilai identitas digital bagi warga dan negara?

Pengalaman saya mengelola inisiatif digitalisasi pemerintah mengajarkan bahwa nilai Identitas Digital benar-benar bersifat mendasar—ia adalah penggerak utama negara yang modern, efisien, dan inklusif. Ini bukan sekadar upgrade teknologi; ia mendefinisikan ulang hubungan antara warga dan pemerintah, mengubah ketidakefisienan historis menjadi layanan yang gesit dan tepercaya.

Bagi warga, nilai utamanya adalah inklusi universal dan akses yang dipermudah. Identitas Digital menghilangkan kebutuhan untuk hadir secara fisik, mengantre, dan mengurus berkas kertas, memungkinkan jutaan orang mengakses layanan penting dari mana saja, kapan saja, dan memastikan bahwa hak benar-benar sampai kepada orang yang membutuhkannya. Selain itu, identitas digital yang kuat, sering kali didukung biometrik, jauh lebih aman terhadap penipuan dibanding dokumen fisik; ini bukan hanya melindungi individu dari pencurian identitas tetapi juga memberi mereka kontrol lebih besar atas data pribadi mereka sendiri.

Bagi pemerintah, Identitas Digital adalah pilar tata kelola yang baik dan integritas fiskal. Ia menciptakan efisiensi dan penghematan biaya dengan menstandarkan dan mengotomatiskan proses autentikasi di seluruh instansi. Lebih penting lagi, ini adalah alat antifraud yang paling kuat. Dengan memastikan bahwa setiap warga adalah individu unik dan dapat diverifikasi, negara menjamin bahwa dana publik—seperti bantuan sosial dan bantuan darurat—hanya disalurkan kepada penerima yang tepat, mencegah penyelewengan dan pembayaran ganda.

Terakhir, identitas digital memungkinkan konsolidasi dan pencocokan data secara aman di antara silo-silo data pemerintah, sehingga memberikan pandangan tunggal dan akurat tentang warga untuk merancang kebijakan publik yang lebih efektif dan tepat sasaran.

T: Fraud identitas di Brasil adalah tantangan yang konstan. Dari sudut pandang Anda, kerentanan utama apa yang saat ini dieksploitasi para pelaku kejahatan?

Fraud identitas di Brasil adalah tantangan yang terus-menerus, dan pelaku kejahatan mengeksploitasinya secara strategis dengan menyerang titik temu antara sistem legacy, melimpahnya data curian, dan kelemahan manusia. Dari perspektif digitalisasi dan keamanan, kerentanan dimulai dari kebocoran data pribadi. Bahan bakar utama fraud adalah jumlah data pribadi yang dicuri dan bocor—termasuk CPF, nama ibu, dan tanggal lahir—yang tersedia di dark web, menjadi dasar pembukaan rekening palsu dan kampanye rekayasa sosial massal.

Selain itu, pelaku kejahatan memanfaatkan fragmentasi data kependudukan dengan membuat identitas sintetis, menggabungkan CPF curian yang sah dengan data fiktif untuk lolos pemeriksaan onboarding awal di sektor yang tidak memiliki pandangan terpadu atas warga.

Kedua, pelaku kejahatan mahir menyerang proses dan mata rantai terlemah dalam sistem mana pun: manusia. Rekayasa sosial dan phishing tetap menjadi taktik yang sangat efektif; penipu menggunakan data yang bocor untuk membangun narasi yang meyakinkan, lalu memanipulasi korban agar mereka sendiri yang menyerahkan kode keamanan. Demikian juga, serangan SIM swap mengeksploitasi kerentanan prosedural di operator seluler: dengan memindahkan nomor korban ke kartu SIM baru, pelaku mulai menerima kode autentikasi multi-faktor (MFA) via SMS, sehingga melewati keamanan aplikasi.

Terakhir, sistem legacy mempertahankan kerentanan karena banyaknya jenis dokumen identitas historis dan ketergantungan pada proses manual mempermudah pemalsuan dan penggunaan dokumen curian. Di atas itu, ancaman teknologi baru menantang pertahanan yang muncul. Seiring biometrik wajah menjadi standar, pelaku kejahatan berinvestasi dalam video deepfake dan “topeng” digital berkualitas tinggi untuk menipu mekanisme liveness detection saat pembukaan rekening. Serangan rantai pasokan (supply chain) juga semakin canggih, menargetkan vendor pihak ketiga yang lebih kecil dan kurang terlindungi untuk mencuri data sensitif atau menyuntikkan kode berbahaya ke dalam sistem yang banyak digunakan.

T: Brasil telah berinvestasi pada biometrik dan solusi digital untuk mengautentikasi jutaan orang. Menurut Anda, apa yang berjalan baik dan apa keterbatasan yang masih tersisa?

Komitmen Brasil menggunakan biometrik dan solusi digital untuk autentikasi massal tergolong pionir. Kami melihat keberhasilan signifikan, terutama dalam konsolidasi data kunci, tetapi masih ada tantangan berkelanjutan yang harus diatasi untuk mencapai keamanan digital yang benar-benar universal.

Platform Gov.br, yang menggunakan autentikasi dengan mencocokkan data dengan basis pemerintah resmi (seperti CNH/Denatran dan Otoritas Pajak Federal), merupakan pencapaian besar. Platform ini menerapkan tingkat autentikasi bertingkat (Perunggu, Perak, Emas), mendorong warga untuk meningkatkan keamanan melalui biometrik, sekaligus menyediakan lapisan identitas digital terverifikasi yang kuat bagi negara untuk mengakses ribuan layanan.

Namun, kami masih bergulat dengan kurangnya interoperabilitas yang benar-benar mulus antar basis data pemerintah berskala besar. Kami memiliki beberapa “silo” biometrik berkualitas tinggi yang belum sepenuhnya atau mudah saling terhubung. Fragmentasi ini memaksa berbagai lembaga melakukan pemeriksaan verifikasi yang redundan dan mempersulit pembentukan riwayat identitas yang benar-benar terpadu.

T: Saat berbicara tentang teknologi antifraud, banyak orang hanya memikirkan alat. Dari pengalaman Anda, seberapa penting budaya organisasi dan pelatihan tim dalam pencegahan fraud?

Itu poin yang sangat tepat. Sementara publik sering kali fokus pada alat berteknologi tinggi—biometrik, AI, enkripsi—pengalaman saya menunjukkan bahwa budaya organisasi dan pelatihan tim sama pentingnya dengan teknologi itu sendiri, bahkan dalam banyak kasus lebih penting.

Keberhasilan antifraud dibangun di atas segitiga: Teknologi, Proses, dan Manusia. Jika sisi Manusia dan Budaya lemah, teknologi paling canggih sekali pun akan gagal.

Budaya antifraud yang kuat harus dimulai dari puncak dan meresap ke setiap lapisan institusi. Budaya ini mengubah pencegahan fraud dari daftar centang kepatuhan menjadi nilai inti bisnis. Teknologi menyajikan peringatan, tetapi orang yang terlatih baiklah yang memberikan konteks, analisis, dan respons cepat.

T: Di Serpro, Anda bekerja dengan data berskala sangat besar. Bagaimana Anda menyeimbangkan kebutuhan keamanan dan ketepatan identifikasi dengan penghormatan terhadap privasi dan hak warga?

Bekerja dengan data pemerintah berskala masif di lembaga seperti Serpro menuntut pendekatan yang sangat ketat untuk menyeimbangkan tiga kebutuhan yang sama penting: keamanan (mencegah fraud), ketepatan (identifikasi yang benar), dan privasi (hak warga).

Keseimbangan ini tidak dicapai dengan satu alat tunggal, melainkan dengan kerangka tata kelola, teknologi, dan kepatuhan hukum yang tertanam dalam.

Titik awalnya adalah ketaatan ketat terhadap hukum, khususnya Lei Geral de Proteção de Dados (LGPD) Brasil. Ini memberikan landasan hukum yang tidak dapat dinegosiasikan. Kami menerapkan prinsip “need-to-know”. Pengumpulan dan penggunaan data dibatasi secara ketat hanya pada apa yang benar-benar diperlukan untuk layanan. Misalnya, untuk memverifikasi usia pengguna, kami hanya mengakses tanggal lahir, bukan alamat atau nama orang tuanya. Prinsip ini dibangun ke dalam arsitektur sejak awal. Selain itu, setiap permintaan atau transfer data harus memiliki tujuan yang sah, jelas, dan spesifik. Kami memastikan bahwa data yang dikumpulkan untuk keperluan pajak, misalnya, tidak digunakan sembarangan untuk layanan kesehatan kecuali diizinkan oleh undang-undang atau persetujuan eksplisit. Kami juga memastikan warga diberi tahu tentang data apa yang digunakan dan untuk tujuan apa, dan kami menghormati hak mereka berdasarkan LGPD, termasuk hak untuk mengakses, mengoreksi, atau meminta anonimisasi data ketika diizinkan secara hukum.

Teknologi digunakan untuk mengamankan data dan memastikan penggunaannya yang tepat, bukan sekadar memaksimalkan akses. Akses ke data identifikasi yang sensitif tersegmentasi, dimonitor, dan sangat dibatasi. Kami menggunakan kontrol akses berbasis peran (RBAC) yang kuat untuk memastikan hanya personel berwenang yang dapat mengakses data tersebut, dan setiap akses dicatat dan dapat diaudit. Untuk tugas seperti analisis pola fraud, pengujian kualitas, atau machine learning, kami memprioritaskan penggunaan data yang dianonimkan (tanpa pengenal pribadi) atau dipseudonimkan (pengenal diganti dengan token). Ini memungkinkan kami memperoleh wawasan tentang tren tanpa mengekspos identitas individu. Data juga dienkripsi baik saat transit (saat berpindah antar sistem) maupun saat disimpan (at rest) di dalam basis data. Selain itu, kami menggunakan tokenisasi untuk identitas digital, mengganti data sensitif—seperti CPF penuh—dengan token digital yang tidak bermakna dalam transaksi, sehingga meminimalkan paparan informasi.

T: Dalam beberapa tahun terakhir, muncul fraud yang lebih canggih, seperti deepfake atau penggunaan identitas sintetis. Bagaimana Anda melihat kapasitas Brasil untuk mengantisipasi ancaman baru ini?

Ancaman canggih seperti deepfake dan fraud identitas sintetis berada di garis depan kejahatan siber, dan menuntut pergeseran dari pertahanan reaktif ke antisipasi proaktif.

Kapasitas Brasil dalam menghadapi ancaman ini bisa dibilang “campuran”: kami memiliki keunggulan kuat dalam data berskala besar dan fondasi regulasi, tetapi masih menghadapi celah dalam intelijen terpadu dan kesiapan teknologi.

Aset terbesar Brasil adalah data yang luas dan berkualitas tinggi. Lembaga milik negara seperti Serpro mengelola data biometrik dan data kependudukan dalam skala nasional. Dataset masif dan terverifikasi ini adalah pertahanan terbaik terhadap identitas sintetis, karena membuat jauh lebih sulit untuk menciptakan persona fiktif yang bisa lolos dari verifikasi silang yang ketat. Keberadaan LGPD memaksa organisasi untuk mengadopsi prinsip “security by design” dan memperkuat akuntabilitas. Tekanan regulasi ini mendorong investasi berkelanjutan dalam keamanan tingkat lanjut, termasuk alat untuk mendeteksi manipulasi data yang canggih.

Sektor perbankan dan fintech Brasil yang sangat kompetitif dan terdigitalisasi tinggi berfungsi sebagai “laboratorium uji coba” yang terus-menerus. Lembaga-lembaga ini dengan cepat menerapkan teknik antifraud tingkat lanjut, seperti biometrik perilaku real-time dan liveness detection yang diperkuat dalam pengenalan wajah, yang secara konsisten meningkatkan standar pasar dalam menghadapi deepfake dan serangan presentasi.

Meski demikian, kesenjangan struktural dan teknologi memperlambat kemampuan kami untuk benar-benar mengantisipasi ancaman ini. Data memang ada, tetapi intelijen sering kali tetap terperangkap dalam silo. Pelaku kejahatan, sebaliknya, berbagi metode mereka secara global dan instan. Untuk bisa mengantisipasi, sektor publik (polisi, otoritas pajak, pengadilan pemilu) dan sektor swasta (bank, operator telekomunikasi) harus membangun hub intelijen ancaman real-time yang sah secara hukum. Tanpa ini, deteksi identitas sintetis yang digunakan di bank dapat terjadi jauh setelah identitas yang sama dipakai di lembaga pemerintah, atau sebaliknya.

Teknologi untuk menghasilkan deepfake juga menjadi lebih murah dan mudah diakses jauh lebih cepat dibanding teknologi untuk mendeteksinya. Brasil perlu investasi yang lebih terkoordinasi dalam teknik anti-spoofing berbasis AI yang melampaui pemeriksaan liveness sederhana dan menganalisis sinyal fisiologis halus atau artefak dalam video. Ini memerlukan R&D jangka panjang dan tingkat keahlian tinggi yang saat ini masih terkonsentrasi di beberapa laboratorium keamanan swasta.

Dari sisi kebijakan, respons sering kali bersifat reaktif—menutup pintu setelah “kuda fraud” keluar kandang. Antisipasi membutuhkan lembaga regulasi mengeluarkan panduan bukan hanya untuk kerentanan saat ini, tetapi juga potensi vektor serangan di masa depan, dengan secara aktif memodelkan bagaimana teknologi seperti AI generatif dan komputasi kuantum dapat menggoyahkan protokol keamanan yang ada.

Singkatnya, Brasil memiliki kekuatan data untuk melawan identitas sintetis dan dinamika pasar untuk bereaksi terhadap deepfake. Namun, untuk benar-benar mengantisipasi ancaman yang muncul, kami harus memprioritaskan berbagi intelijen lintas sektor dan mengalokasikan sumber daya pada R&D defensif berbasis AI yang proaktif, sehingga pertahanan sama lincahnya dengan serangan.

T: Dari pengalaman langsung Anda, apa faktor keberhasilan kritis dalam proyek verifikasi identitas publik: teknologi, tata kelola data, kolaborasi antar lembaga… atau hal lain?

Pengalaman langsung saya menunjukkan bahwa keberhasilan proyek verifikasi identitas publik bergantung pada tiga fondasi non-teknis, sementara teknologi hanya menjadi enabler.

Faktor paling kritis adalah Tata Kelola Data dan Keunikan. Tanpa menetapkan Standar Nasional Tunggal dan memastikan bahwa data inti bersih, akurat, dan terus diperbarui, solusi biometrik atau digital secanggih apa pun yang dibangun di atasnya pada akhirnya akan gagal; sederhana saja, kamu tidak bisa memverifikasi apa yang tidak bisa kamu identifikasi secara unik.

Kedua, Kolaborasi Antar Lembaga benar-benar krusial. Keberhasilan tidak dicapai dengan membangun silo yang lebih baik, melainkan dengan mengubah lembaga pemerintah yang terisolasi menjadi jaringan verifikasi terpadu dan tepercaya yang mampu berbagi intelijen dan mencocokkan informasi secara real-time.

Terakhir, proyek harus dipandu oleh Kegunaan (Usability) dan Inklusi. Sistem harus cukup aman untuk melawan fraud, tetapi juga cukup sederhana untuk mencapai adopsi mendekati 100% oleh warga. Ini berarti memastikan jalur verifikasi yang beragam dan mudah diakses, agar langkah keamanan tidak justru mengeksklusi populasi yang paling rentan.

T: Jika kita berbicara tentang inklusi keuangan dan akses layanan, bagaimana cara mencegah sistem antifraud menjadi penghalang bagi warga rentan yang mungkin tidak memiliki semua dokumen atau teknologi yang diperlukan?

Paradoksnya adalah keamanan tidak boleh menjadi tembok penghalang. Untuk mencegah sistem antifraud mengecualikan warga yang rentan, kita harus bergeser dari kepatuhan kaku ke “inklusi by design”.

Kami menggunakan autentikasi bertingkat, seperti level di Gov.br. Layanan sederhana hanya memerlukan akses dengan tingkat keamanan rendah, sementara layanan berisiko tinggi (seperti pembayaran manfaat sosial) membutuhkan verifikasi biometrik penuh. Ini memastikan sebagian besar orang mendapatkan akses mudah, sementara bukti identitas yang paling kuat hanya diminta untuk layanan berdampak besar.

Kita juga harus mempertahankan titik verifikasi dengan bantuan manusia (seperti pusat layanan pemerintah). Bagi mereka yang tidak memiliki smartphone atau internet stabil, petugas yang terlatih harus dapat membantu memverifikasi identitas, menjembatani kesenjangan digital.

Sistem juga harus menerima bukti identitas alternatif dan pencocokan data historis (seperti catatan pajak atau kesehatan), alih-alih selalu menuntut satu dokumen “sempurna”. Singkatnya, keamanan harus dirancang untuk mencari cara mengatakan “Ya, ini benar-benar Anda” melalui berbagai jalur yang dapat diakses, bukan menjadi tembok yang hanya dapat dilompati oleh mereka yang paling cakap secara teknologi.

T: Juliana, jika Anda dapat memberi saran kepada profesional muda yang baru mulai di bidang compliance dan pencegahan fraud, pengalaman atau pembelajaran apa yang Anda sarankan untuk diprioritaskan?

Di luar pengetahuan teknis, saya sangat menyarankan untuk mencari pengalaman operasional dan “cerita dari garis depan”. Teori saja tidak cukup. Anda perlu memahami siklus hidup fraud secara utuh—baik dengan mengikuti tim respons insiden maupun memetakan proses bisnis dari ujung ke ujung.

Pelaku kejahatan selalu menargetkan celah proses yang paling lemah, jadi belajar berpikir seperti penyerang—dan memahami bagaimana mengumpulkan bukti serta mengoordinasikan respons di bawah tekanan—adalah bentuk pembelajaran yang paling berharga. Keahlian lintas disiplin inilah yang mengubah seorang spesialis compliance menjadi pemimpin yang tak tergantikan.

T: Terakhir, ke depan, bagaimana Anda membayangkan ekosistem identitas digital Brasil dalam 10 tahun, dan peran apa yang seharusnya dimainkan Serpro dalam skenario itu?

Dalam sepuluh tahun, saya membayangkan ekosistem identitas digital Brasil telah sepenuhnya terkonsolidasi, dengan CPF sebagai pengenal tunggal dan otoritatif, dan negara bergerak menuju sistem Self-Sovereign Identity (SSI). Ini berarti identitas digital akan menjadi kredensial pribadi yang terenkripsi, dikelola warga di perangkat seluler mereka, memungkinkan mereka membagikan hanya data yang diperlukan (misalnya membuktikan bahwa mereka sudah dewasa tanpa menunjukkan tanggal lahir). Fondasi ini akan menghilangkan fragmentasi basis data saat ini dan memungkinkan verifikasi real-time yang berintegritas tinggi di semua layanan publik dan swasta.

Yang tak kalah penting, sistem ini akan terintegrasi mulus dengan model ekonomi masa depan, menyediakan kepercayaan digital yang diperlukan untuk adopsi luas teknologi baru.

Peran Serpro dalam masa depan ini harus berevolusi: dari penyedia aplikasi spesifik menjadi “Sovereign Trust Enabler” dan “Intelligence Hub” bagi Pemerintah Federal. Ini berarti Serpro harus menjaga infrastruktur kritis dan aman tempat data fundamental berada, dan memanfaatkan skala data yang masif untuk menyediakan Inteligensi Antifraud canggih secara real-time sebagai layanan. Serpro harus menjadi lapisan kepercayaan utama yang memverifikasi data biometrik dan data kependudukan seseorang terhadap sumber otoritatif untuk semua layanan publik.

Dengan berfokus pada keamanan dan integritas data, Serpro memungkinkan lembaga pemerintah lain dan perusahaan untuk berinovasi tanpa harus mengkhawatirkan verifikasi identitas inti dari nol.