KYC di telekomunikasi Brasil: cara menghentikan penipuan (SIM swap dan lainnya)

Key takeaways
 

SIM swap dan “Mão Fantasma” kini menjadi vektor utama penipuan seluler di Brasil; operator sebagai mata rantai pertama akan menanggung kerugian, sanksi, dan hilangnya kepercayaan bila nomor serta alur kritis tidak terlindungi.

Verifikasi tradisional gagal karena bergantung pada data statis yang terekspos, OTP via SMS di kanal yang rawan, dan proses manual yang rentan; portabilitas nomor dan penggantian/duplikasi SIM adalah titik paling kritis dan memerlukan identitas kuat, sinyal dari nomor/linha, konfirmasi via kanal alternatif, serta periode “cooling-off”.

Regulasi: Anatel mewajibkan konfirmasi portabilitas via SMS (dengan jendela waktu respons); RGST dan RGC yang diperbarui menegaskan transparansi dan keterlacakan. SMS bersifat wajib, namun tidak memadai sebagai autentikasi kuat pada skenario berisiko tinggi.

Strategi efektif dan peran Didit: KYC real-time (dokumen, swafoto, dan liveness), biometrik dan MFA pada alur berdampak tinggi, keputusan berbasis sinyal nomor; platform yang otomatis dan fleksibel mengurangi ketergantungan pada review manual, meningkatkan deteksi, serta memudahkan integrasi dengan harga yang transparan.

Brasil sedang mengalami puncak kejahatan digital dengan jalur seluler menjadi titik lemah: SIM swap memungkinkan penyerang mengambil alih nomor dan mencegat OTP (one-time password) via SMS untuk masuk ke rekening bank dan aplikasi finansial sensitif. Hasilnya? Kerugian perbankan R$ 10,1 miliar pada 2024, menurut FEBRABAN (Federação Brasileira de Bancos).

Bukan hanya lembaga keuangan yang terdampak. Operator telekomunikasi—sering kali mata rantai pertama—juga mengalami kerugian langsung, sanksi regulasi, dan erosi kepercayaan pelanggan akibat penipuan identitas.

Modus operandi pelaku cukup jelas. Melalui rekayasa sosial, mereka mengeksploitasi kelemahan proses operator dan lolos verifikasi menggunakan data yang bocor (atau dicuri) di dark web. Bukan satu-satunya ancaman: Mão Fantasma juga mengemuka—pelaku membujuk korban memasang aplikasi akses jarak jauh; sejak itu, pelaku mengendalikan ponsel tanpa disadari dan mengarahkan transaksi perbankan palsu. Perbankan dan FEBRABAN menyarankan agar tidak memasang aplikasi atas instruksi via telepon maupun memberikan akses jarak jauh kepada pihak ketiga.

Apa itu SIM swap dan mengapa meningkat di Brasil

SIM swap adalah salah satu ancaman terbesar bagi sektor telko di Brasil. Skema ini terjadi ketika kriminal meyakinkan operator untuk menerbitkan SIM baru dengan nomor korban, memadukan rekayasa sosial dan data yang bocor di dark web.

Setelah menguasai nomor, penyerang menangkap OTP SMS yang ditujukan kepada pelanggan sah (untuk login atau pemulihan akun), memicu pengambilalihan akun (account takeover).

SIM swap terus meningkat dengan tingkat keberhasilan yang signifikan menurut laporan industri, sehingga tetap menjadi prioritas tim fraud dan keamanan.

Mengapa verifikasi identitas tradisional gagal di telko?

Brasil menghadapi salah satu lanskap kejahatan siber paling agresif di dunia. Setiap dua detik terjadi percobaan penipuan identitas dan, dalam banyak kasus, perusahaan gagal mendeteksi, menahan, dan mencegahnya tepat waktu.

Walau tak ada angka resmi jumlah insiden SIM swap, diperkirakan puluhan ribu pengguna terdampak setiap tahun.

Fokusnya harus pada kelemahan alat dan proses saat ini. Solusi yang jamak dipakai di Brasil terbukti tidak memadai karena bergantung pada validasi statis, tinjauan manual, dan proses yang kaku. Bukan hanya alatnya—pendekatannya pun keliru.

Data terekspos dan kerentanan operator

Banjir data di dark web berarti dengan data statis (seperti CPF atau tanggal lahir), penyerang dapat melewati kontrol awal yang dasar. Saat data tersebut sudah publik, verifikasi berbasis “apa yang kamu tahu” tidak lagi membuktikan identitas.

Selain itu, banyak proses internal telko masih bertumpu pada validasi manusia (di gerai fisik atau call center) dan jauh dari analisis sinyal risiko real-time.

Akibatnya terbentuk ekosistem di mana:

• Pelanggan sah mengalami friksi yang tidak selalu menghentikan penyerang.
• Kriminal memanfaatkan informasi bocor untuk menduplikasi SIM, memulihkan akun, atau memaksa portabilitas.
• Keputusan dibuat dengan bukti lemah (data statis) alih-alih bukti kuat (biometrik dengan liveness, sinyal dari nomor/linha, reputasi perangkat).

Kebocoran dan portabilitas: titik buta

Portabilitas antaroperator dan penggantian/duplikasi SIM memusatkan risiko operasional tertinggi. Ini peristiwa berimpak besar: jika penyerang lolos, ia menguasai nomor dan, karenanya, autentikasi lain yang bergantung padanya.

Untuk mengatasinya, operator perlu menerapkan standar bukti tinggi:

• Identitas kuat saat permohonan (dokumen + swafoto + liveness) di app/web, call center, maupun gerai.
• Sinyal dari nomor sebelum memilih kanal autentikasi (jenis lini, usia SIM, indikasi swap baru-baru ini).
• Konfirmasi via kanal alternatif (push atau email terverifikasi) dan periode cooling-off untuk perubahan sensitif.

Apa kata regulasi di Brasil (ringkas & praktis)

Anatel (Agência Nacional de Telecomunicações) mewajibkan konfirmasi portabilitas nomor seluler via SMS ke lini/nomor aktif pengguna. Pemilik punya waktu hingga 6 jam untuk merespons; jika tidak merespons atau menjawab “tidak”, permohonan dibatalkan otomatis. Langkah ini tidak menggantikan autentikasi kuat pada skenario berisiko tinggi, namun merupakan ambang regulasi minimum yang wajib dipatuhi seluruh telko.

Selain itu, Agensi mengesahkan Regulamento Geral dos Serviços de Telecomunicações (RGST), yang mengonsolidasikan dan memperbarui aturan sektor telekomunikasi.

Di sisi lain, Regulamento Geral de Direitos do Consumidor (RGC) baru-baru ini diperbarui dan dikonsolidasikan (September 2025), memperkuat kewajiban transparansi, kualitas, dan reversibilitas dalam relasi dengan pengguna. Ini memengaruhi cara portabilitas, penggantian SIM, dan perubahan data diinformasikan serta dieksekusi, termasuk keterlacakan saat sengketa.

Strategi KYC untuk operator di Brasil (2025)

Dengan alat dan proses yang tepat, operator dapat secara signifikan menurunkan penipuan identitas.

• KYC real-time saat onboarding. Verifikasi dokumen, Face Match 1:1, dan liveness detection untuk mencegah pembukaan dengan identitas sintetis atau hasil impersonasi.
• Biometrik wajah dan MFA pada penggantian SIM dan portabilitas. Menjadikan biometrik bagian dari MFA pada proses kritis meningkatkan hambatan terhadap rekayasa sosial.
• Keputusan berbasis indikator risiko. Sebelum mengirim OTP SMS, nilai risikonya: jenis lini, usia SIM, indikasi swap baru-baru ini. Jika tinggi, alihkan ke jalur alternatif (biometrik, push/email terverifikasi); jika rendah, lanjutkan alur normal.
• AI dan analitik perilaku. Waktu, lokasi, dan ritme permintaan membantu mendeteksi anomali dan memblokir operasi di luar pola secara proaktif.

Bagaimana Didit membantu operator mengurangi penipuan identitas

Brasil menghadapi volume penipuan yang luar biasa; bagi operator, prioritas #1 adalah mengurangi kerugian akibat SIM swap, portabilitas curang, dan perubahan data sensitif. Didit adalah platform verifikasi identitas yang dirancang dengan tujuan itu sebagai poros utama.

Apa artinya secara operasional?

• Lebih sedikit ketergantungan pada pengawasan manual. Didit menurunkan kebutuhan review manual dan meningkatkan deteksi pada skenario ber-volume tinggi, tetap menjaga kontrol dan keterlacakan untuk audit.
• Intelijen penipuan global. Beroperasi dengan basis ribuan kasus di seluruh dunia: mengenali pola dan bertindak sesuai konteks.
• Koneksi ke sumber pemerintah. Integrasi dengan basis data pemerintah untuk pemeriksaan anti-fraud yang diperlukan.
• Automasi ujung ke ujung. Menghilangkan bottleneck akibat review manual dan mempercepat onboarding/servicing tanpa mengorbankan kontrol.
• Workflow fleksibel dan dapat dikustomisasi. Ubah aturan tanpa tiket; tambahkan langkah berbasis risiko saat diperlukan.
• Transparansi dan kemudahan integrasi. API dan modul no-code untuk meluncurkan alur dengan cepat, harga yang jelas.

Mengapa Didit melampaui keterbatasan umum pasar

Di lingkungan di mana penyedia tradisional bertumpu pada validasi statis, review manual, dan proses yang kaku, Didit menambahkan lapisan otomatis dan dapat diorkestrasi, terhubung ke sumber pemerintah, yang mengurangi ketergantungan pada review manual, meningkatkan deteksi, dan menjaga pengalaman tetap terkendali. Didit menggabungkan verifikasi identitas menyeluruh dengan basis pola penipuan global untuk memutuskan secara real-time bagaimana menangani pembukaan baru, portabilitas, dan penggantian SIM.