Industri jasa keuangan dan pasar modal Indonesia tengah menghadapi lonjakan kasus kejahatan siber. Berbagai modus serangan, mulai dari phishing, social engineering, hingga situs palsu, semakin marak menargetkan nasabah perbankan dan investor ritel. Pelaku kejahatan dilaporkan berhasil meraup authentication credentials seperti nama pengguna, kata sandi, PIN, hingga kode OTP, seringkali tanpa disadari oleh korban. Kerugian akibat peretasan dan aksi phishing dilaporkan mencapai puluhan miliar rupiah.
Situasi ini menimbulkan kekhawatiran publik mengenai standar keamanan digital yang diterapkan oleh industri jasa keuangan. Salah satu celah yang sering terabaikan adalah penggunaan Email-OTP sebagai metode autentikasi. Email, yang bisa diakses dari berbagai perangkat dan rentan diretas, menjadi sasaran empuk pelaku kejahatan.
IPOT Dorong Literasi Keamanan Digital
Menyadari pentingnya literasi keamanan digital di tengah ancaman yang terus berkembang, PT Indo Premier Sekuritas (IPOT) mengajak para investor untuk memahami perbedaan krusial antara Email-OTP dan SIM-OTP. Hal ini penting mengingat masih ada perusahaan sekuritas di Indonesia yang menggunakan Email-OTP sebagai lapisan autentikasi.
Email-OTP dinilai lebih rentan terhadap phishing, penggunaan kata sandi yang sama di berbagai platform (password reuse), pembajakan akun email, serta akses lintas perangkat yang tidak disadari pemilik. Selain itu, minimnya jejak audit dari operator seluler membuat aktivitas peretasan menjadi sulit dilacak.
Sebaliknya, SIM-OTP memiliki karakteristik yang lebih aman. Metode ini hanya dapat diakses melalui kartu SIM pengguna, memiliki jejak audit dari operator telekomunikasi, tidak bisa diteruskan (forward), serta tidak muncul di kotak masuk email atau layanan cloud.
CEO PT Indo Premier Sekuritas, Moleonoto, menekankan bahwa keamanan digital kini menjadi elemen kunci stabilitas pasar modal. “Dalam kondisi penetrasi digital yang semakin tinggi, keamanan harus bergerak dari autentikasi berbasis email menuju autentikasi fisik dan device-based. Sistem IPOT dirancang untuk tetap aman bahkan ketika kredensial pengguna bocor. Kami siap mendukung regulator dalam menetapkan standar keamanan baru bagi seluruh pelaku industri,” ujarnya dalam siaran pers, Senin (8/12/2025).
Tiga Lapis Keamanan IPOT
Sebagai respons terhadap eskalasi ancaman siber, IPOT menerapkan arsitektur keamanan tiga lapis yang dirancang untuk menjaga akun tetap aman, bahkan jika kredensial pengguna seperti kata sandi atau PIN tercuri melalui phishing.
1. SIM-OTP sebagai Autentikasi Dua Faktor
IPOT menggunakan SIM-OTP sebagai standar autentikasi utama, mengikuti praktik perbankan nasional yang telah lama meninggalkan Email-OTP. SIM-OTP dianggap sebagai standar emas karena mengandalkan kepemilikan fisik kartu SIM, berjalan pada jaringan operator seluler yang teregulasi, memiliki jejak audit telekomunikasi, dan tidak dapat diteruskan atau diakses ulang melalui email.
Dengan basis kepemilikan fisik perangkat, proses otorisasi menjadi lebih sulit ditembus.
2. ASDI: Identitas Unik untuk Setiap Perangkat
IPOT juga menerapkan ASDI (App-Scoped Device Identifier), sebuah identitas perangkat unik untuk setiap kombinasi aplikasi dan gawai. Mekanisme ini memastikan akun hanya bisa diakses dari perangkat yang terdaftar, menolak otomatis login dari perangkat lain, dan identitas perangkat tidak dapat digandakan.
Seluruh nasabah IPOT telah melalui proses registrasi perangkat dengan validasi SIM-OTP sebagai langkah verifikasi terakhir. Sistem ini secara signifikan mempersulit upaya pembajakan akun melalui perangkat asing.
3. Add Device Approval: Persetujuan Eksplisit Pengguna
Sebagai lapisan pengaman tambahan untuk menutup celah pencurian kredensial akibat phishing dan social engineering, IPOT memperkenalkan fitur Add Device Approval. Fitur ini berupa tombol saklar (On/Off) yang mengatur izin penambahan perangkat baru. Secara default, fitur ini berada pada posisi ‘Off’, sehingga penambahan perangkat baru hanya dapat dilakukan jika pengguna secara sadar mengaktifkannya melalui perangkat yang sudah terdaftar. Setelah perangkat baru berhasil ditambahkan, status akan kembali otomatis ke ‘Off’.
Dengan demikian, penambahan perangkat baru memerlukan niat eksplisit dari pemilik akun dan tidak dapat dilakukan secara diam-diam.
Arsitektur Kombinasi Keamanan Tiga Lapis
Dengan menggabungkan ketiga mekanisme ini, IPOT menciptakan sistem keamanan yang tangguh. Kebocoran kata sandi tidak cukup untuk membobol akun, OTP yang diketahui pihak lain tetap tidak memberikan akses otomatis, dan penambahan perangkat baru memerlukan persetujuan sadar pemilik akun. Pendekatan berbasis kepemilikan fisik, pengikatan perangkat (device binding), dan niat eksplisit pengguna ini masih jarang diterapkan oleh industri sekuritas nasional.
Selain itu, IPOT melengkapi sistem keamanannya dengan deteksi penipuan berlapis, pemantauan login anomali, jejak audit menyeluruh, enkripsi tingkat tinggi, serta mekanisme pembekuan akun otomatis ketika terdeteksi aktivitas mencurigakan. Seluruh upaya ini sejalan dengan prinsip perlindungan konsumen pasar modal dan kebutuhan keamanan investor ritel di era digital yang semakin kompleks.
