Pembaruan MFA pada Manajemen Risiko Bank Sentral Malaysia

1. Pendahuluan#

Bank Negara Malaysia (BNM) menerbitkan kebijakan Manajemen Risiko dalam Teknologi (Risk Management in Technology/RMiT) yang diperbarui pada bulan November 2025, menggantikan versi Juni 2023. Meskipun pembaruan tersebut mencakup berbagai area risiko teknologi, perubahan paling konsekuensial berada pada autentikasi, pengikatan perangkat, autentikasi multi-faktor (MFA), dan pencegahan penipuan. Regulasi perbankan Malaysia untuk institusi keuangan ini tidak lagi sekadar praktik terbaik atau panduan, melainkan kini telah menjadi standar yang wajib dipenuhi.

BNM secara perlahan telah mendorong institusi untuk menjauhi SMS OTP sejak 2023. Alasannya jelas: penipu telah membuat alat untuk mencegat kode autentikasi SMS sebelum pelanggan dapat melihatnya, dan serangan pertukaran SIM (SIM-swap) memungkinkan penjahat mengalihkan kode ke perangkat yang mereka kendalikan. Pada tahun 2024, bank-bank Malaysia secara kolektif memblokir lebih dari 383 juta Ringgit Malaysia (lebih dari 100 juta dolar AS) dalam transaksi penipuan (menurut laporan tahunan mereka). Pembaruan November 2025 mengambil kemajuan tersebut dan mengkodifikasinya menjadi regulasi yang mengikat.

Artikel ini menguraikan perubahan penting pada autentikasi dan MFA dalam RMiT yang diperbarui, menjelaskan konteks regulasinya, dan menunjukkan di mana kunci sandi dan autentikasi yang tahan phishing cocok dalam gambaran kepatuhan ini. Kami menjawab pertanyaan-pertanyaan berikut:

1. Apa itu kebijakan RMiT dan kepada siapa kebijakan ini berlaku?

2. Seperti apa lanskap autentikasi sebelum November 2025?

3. Apa perubahan paling penting terhadap persyaratan autentikasi dan MFA?

4. Bagaimana kunci sandi membantu institusi keuangan mematuhi RMiT yang diperbarui?

2. Apa itu Kebijakan Manajemen Risiko dalam Teknologi (RMiT) Bank Negara Malaysia (BNM)?#

Kebijakan RMiT adalah kerangka regulasi pusat dari BNM yang mengatur bagaimana institusi keuangan yang diatur mengelola risiko teknologi. Kepatuhan BNM RMiT menetapkan persyaratan untuk tata kelola TI, keamanan siber, layanan digital, penggunaan cloud, dan kontrol autentikasi, dengan tujuan menjaga layanan keuangan agar tetap tersedia, tangguh, dan tepercaya seiring dengan berkembangnya saluran digital dan tingkat ancaman.

Kebijakan ini juga memperlakukan penggunaan cloud sebagai bentuk alih daya (outsourcing), yang mengharuskan institusi untuk mempertahankan kepemilikan dan kontrol yang tepat atas data pelanggan dan kunci kriptografi. Dalam praktiknya, RMiT adalah garis dasar kepatuhan di mana setiap institusi keuangan yang diatur di Malaysia harus membangun postur risiko teknologinya.

3. Siapa yang harus mematuhi Kebijakan RMiT?#

Persyaratan RMiT berlaku untuk semua institusi keuangan yang diatur oleh BNM. Cakupannya luas, tidak hanya mencakup bank tradisional tetapi juga asuransi, penerbit e-money, operator sistem pembayaran, dan institusi remitansi. Tabel berikut merangkum kategori utamanya:

Secara praktis: jika organisasi Anda memegang lisensi, pendaftaran, atau persetujuan BNM untuk beroperasi di sektor keuangan Malaysia, RMiT berlaku bagi Anda.

4. Seperti apa Persyaratan Autentikasi dari BNM sebelum November 2025?#

Sebelum pembaruan November 2025, RMiT telah memuat persyaratan autentikasi yang bermakna, namun sebagian besar masih berupa panduan dan bukan standar wajib. Memahami garis dasar ini membantu memperjelas seberapa banyak hal yang telah berubah.

4.1 Kontrol MFA#

• MFA diwajibkan untuk transaksi berisiko tinggi, terutama transfer dana pihak ketiga yang terbuka dan transaksi pembayaran.

• Fokus spesifik terdapat pada transaksi di atas 10.000 RM, meskipun versi 2023 mulai mendorong MFA untuk semua transaksi digital.

• Versi 2023 secara eksplisit mendorong peralihan menuju autentikasi yang "tahan terhadap intersepsi atau manipulasi," yang menandakan awal dari akhir bagi OTP berbasis SMS.

• MFA ditingkatkan dari “Panduan” (praktik terbaik) menjadi “Standar” (wajib) pada tahun 2023.

4.2 Kontrol Autentikasi dan Manajemen Akses#

• Institusi harus menerapkan prinsip hak istimewa terkecil (least privilege) dan meninjau matriks akses setidaknya setiap tahun.

• Akun istimewa (privileged accounts) membutuhkan kontrol yang lebih ketat, termasuk MFA wajib terlepas dari apakah akses tersebut bersifat internal atau eksternal.

• Akses jarak jauh ke jaringan internal (misalnya melalui VPN) mewajibkan MFA sebagai standar yang tidak dapat dinegosiasikan.

4.3 Kontrol Layanan Digital#

Lampiran 11 dari RMiT 2023 adalah referensi utama untuk keamanan perbankan digital. Hal ini mewajibkan penandatanganan transaksi (mengaitkan MFA ke detail transaksi seperti penerima dan jumlah), pengikatan perangkat (mengaitkan identitas digital pengguna ke perangkat tepercaya), dan penanggulangan penipuan secara umum.

5. Apa saja Perubahan paling penting terhadap Kebijakan RMiT BNM?#

Pembaruan November 2025 mengkonsolidasikan dan memperkuat beberapa surat edaran dan spesifikasi sebelumnya, termasuk spesifikasi penanggulangan penipuan 2022 dan 2024. Hasilnya adalah kebijakan tunggal dan komprehensif dengan persyaratan wajib yang lebih tajam mengenai bagaimana institusi mengautentikasi pengguna dan melindungi layanan digital. Terdapat lima area yang paling penting.

5.1 Secara Default, Satu Perangkat per Pengguna#

"memastikan proses pengikatan dan pelepasan yang aman untuk membatasi autentikasi transaksi layanan digital secara default pada satu perangkat seluler atau perangkat aman per pemegang akun"

— RMiT Lampiran 3, paragraf 3(a)

Ini merupakan respons langsung terhadap penipuan pertukaran SIM (SIM-swap) dan serangan pengambilalihan akun (account takeover), di mana penipu mendaftarkan perangkat baru pada akun yang sudah ada dan mengurasnya sementara perangkat yang sah tetap aktif. Pembingkaian "default" sangat penting: pelanggan dapat memilih untuk menggunakan beberapa perangkat, tetapi mereka harus secara eksplisit memintanya dan menerima risiko yang terkait. Institusi tidak dapat menjadikan multi-perangkat sebagai default.

Secara praktis, hal ini berarti alur orientasi (onboarding) dan autentikasi perlu melacak pendaftaran perangkat, menerapkan pengikatan tunggal secara default, dan mempertahankan proses pengecualian yang jelas dan dapat diaudit sesuai permintaan pelanggan.

5.2 Verifikasi yang Kuat untuk Perubahan Nomor Telepon#

"pendaftaran nomor telepon seluler baru atau penggantian nomor telepon seluler yang ada hanya diproses setelah menerapkan metode verifikasi yang kuat untuk mengonfirmasi keaslian pelanggan"

— RMiT Lampiran 3, paragraf 3(c)

Banyak institusi yang masih memproses perubahan nomor telepon dengan tidak lebih dari sekadar mengirimkan OTP ke nomor saat ini. Pendekatan tersebut gagal jika nomor tersebut sudah disusupi atau SIM-nya telah ditukar. “Verifikasi yang kuat” dalam kerangka BNM berarti metode yang melampaui saluran yang sedang diubah: verifikasi ulang identitas, autentikasi step-up menggunakan biometrik, atau konfirmasi di kantor cabang untuk perubahan berisiko tinggi.

5.3 Masa Tenggang dan Batas Transaksi untuk Perangkat Baru#

"menerapkan verifikasi dan masa tenggang (cooling-off period) yang sesuai untuk pendaftaran layanan digital pertama kali atau perangkat aman dan beberapa transaksi bervolume tinggi yang berturut-turut atau pola transaksi tidak normal lainnya"

— RMiT Lampiran 3, paragraf 3(e)

Perangkat yang baru didaftarkan tidak boleh serta merta memiliki kemampuan transaksi penuh. Institusi perlu menerapkan batasan berbasis waktu dan kontrol kecepatan (velocity controls) yang secara bertahap terbuka seiring dengan terbangunnya riwayat kepercayaan antara perangkat dan perilaku pengguna. Jika peretas mendapatkan akses, mereka biasanya mencoba untuk menaikkan batas transfer harian dan segera memindahkan uang. Masa tenggang memberi pemilik yang sah dan tim penipuan bank jendela waktu untuk mendeteksi dan menghentikan sesi tersebut.

Dikombinasikan dengan standar deteksi penipuan, yang mewajibkan profil perilaku real-time dan penilaian risiko, hal ini menciptakan ekspektasi yang jelas: lapisan autentikasi perlu menyadari konteksnya, bukan hanya kredensialnya.

5.4 MFA yang lebih aman daripada SMS yang tidak dienkripsi#

Ini adalah persyaratan autentikasi paling signifikan dalam pembaruan tersebut. Ini dibangun di atas panduan BNM selama bertahun-tahun dan mengubahnya menjadi standar yang mengikat:

"pengerahan teknologi dan saluran MFA yang lebih aman dari SMS yang tidak dienkripsi … solusi MFA tahan terhadap intersepsi atau manipulasi oleh pihak ketiga mana pun selama proses autentikasi"

— RMiT Lampiran 3, paragraf 5 dan 6

Kebijakan ini melangkah lebih jauh dengan memperkenalkan pengikatan transaksi (transaction binding):

"kode autentikasi harus diinisiasi dan dihasilkan secara lokal oleh pembayar/pengirim menggunakan MFA … kode autentikasi yang dihasilkan oleh pembayar/pengirim harus spesifik dengan penerima dan jumlah yang dikonfirmasi"

— RMiT Lampiran 3, paragraf 6(c) dan 6(d)

Pengikatan transaksi berarti kode autentikasi harus terikat ke detail transaksi tertentu (penerima dan jumlah), bukan sekadar sesi atau proses masuk. Hal ini secara langsung mengatasi serangan "pengalihan OTP", di mana penipu memanipulasi transaksi setelah pengguna melakukan autentikasi. Sebuah OTP yang dihasilkan untuk pembayaran sebesar 500 RM ke Akun A tidak dapat digunakan kembali untuk pembayaran sebesar 50.000 RM ke Akun B.

Bagi institusi yang masih mengandalkan SMS OTP sebagai faktor kedua utama mereka, ini adalah sinyal paling jelas: jalur migrasi bukan lagi sebuah pilihan. Tabel di bawah ini merangkum metode MFA apa saja yang sejalan dengan persyaratan baru tersebut:

5.5 Kunci sandi dan Autentikasi berbasis Kunci kriptografi untuk BNM RMiT#

BNM juga secara eksplisit mengharuskan institusi untuk menawarkan alternatif tanpa kata sandi:

"menawarkan kepada pelanggannya autentikasi berbasis kunci kriptografi yang tangguh seperti sertifikat digital atau tanpa kata sandi sebagai alternatif dari metode autentikasi berbasis kata sandi yang ada"

— RMiT Lampiran 3, paragraf 9

Ini adalah arahan yang jelas untuk beralih ke kunci sandi, autentikasi yang didukung perangkat keras, atau metode berbasis sertifikat. Tidak seperti pembaruan MFA yang berfokus pada penggantian SMS OTP, persyaratan ini menargetkan kata sandi itu sendiri. Kedua persyaratan tersebut bekerja secara bersamaan: institusi perlu beranjak dari SMS untuk faktor kedua dan menawarkan alternatif bagi kata sandi untuk faktor pertama.

Kunci sandi adalah opsi yang paling sesuai di sini. Sebuah kredensial kunci sandi tunggal memenuhi kedua persyaratan secara bersamaan. Ia merupakan metode autentikasi berbasis kunci kriptografi (paragraf 9), yang lebih aman dari SMS yang tidak dienkripsi (paragraf 5–6), dan karena kunci sandi mengikat autentikasi ke sumber asal spesifik (situs web atau aplikasi), mereka juga mendukung tujuan di balik pengikatan transaksi.

6. Ringkasan: Sebelum dan sesudah Pembaruan November 2025#

7. Konteks Regional: Malaysia tidak sendirian#

RMiT Malaysia yang diperbarui berada dalam tren regional yang lebih luas. Di seluruh kawasan Asia-Pasifik, regulator keuangan menyatu pada serangkaian persyaratan yang sama: kredensial yang terikat perangkat, MFA yang tahan phishing, dan langkah menjauhi kata sandi dan SMS OTP.

• Singapura (MAS): Otoritas Moneter Singapura (Monetary Authority of Singapore) telah lama mewajibkan pengikatan perangkat dan penandatanganan transaksi untuk perbankan digital dan secara progresif memperketat pedoman Manajemen Risiko Teknologi (TRM)-nya ke arah yang sangat mencerminkan pendekatan BNM.

• India (RBI): Bank Sentral India (Reserve Bank of India) telah mendorong faktor autentikasi tambahan dan otorisasi spesifik transaksi, khususnya untuk transaksi tanpa kartu hadir (card-not-present) dan UPI.

• Hong Kong (HKMA): Panduan e-banking Otoritas Moneter Hong Kong mewajibkan autentikasi nasabah yang kuat serta kontrol pendaftaran perangkat untuk operasi-operasi yang berisiko tinggi.

• Vietnam (State Bank of Vietnam): Surat Edaran 45/2025 mewajibkan bank untuk memverifikasi biometrik pelanggan berdasarkan KTP Warga berbasis chip atau basis data nasional untuk transaksi bernilai tinggi tertentu, memperkenalkan langkah verifikasi yang terpusat.

Arsitektur yang diperlukan untuk kepatuhan RMiT, termasuk pengikatan perangkat secara kriptografi, kunci sandi, dan autentikasi di tingkat transaksi, adalah tempat tujuan ke mana seluruh kawasan bergerak. Institusi yang berinvestasi pada arsitektur ini sekarang sedang membangun untuk konvergensi regulasi, dan bukan sekadar kebijakan nasional tunggal.

8. Bagaimana Corbado membantu Institusi Keuangan memenuhi RMiT yang diperbarui#

Platform Corbado dibangun untuk mengatasi tantangan autentikasi yang dirancang oleh RMiT terbaru. Berikut ini bagaimana persyaratan-persyaratan utama tersebut dipetakan ke dalam kapabilitas Corbado:

• MFA yang tahan phishing dan autentikasi tanpa kata sandi: Implementasi kunci sandi dari Corbado menyediakan jalur langsung menuju kepatuhan terhadap persyaratan BNM untuk MFA yang lebih aman daripada SMS yang tidak dienkripsi (paragraf 5–6) dan untuk autentikasi berbasis kunci kriptografi sebagai alternatif dari kata sandi (paragraf 9). Sebuah kredensial kunci sandi tunggal mengatasi kedua persyaratan secara bersamaan.

• Pengikatan perangkat: Corbado mendukung kunci sandi yang terikat dengan perangkat (device-bound passkeys) dan kredensial kriptografi yang diikat dengan sebuah perangkat tertentu. Alur pendaftaran dapat menegakkan pengaturan default satu-perangkat-per-pengguna dengan mekanisme yang jelas untuk pengecualian yang diminta pelanggan, yang kesemuanya dilengkapi dengan jejak audit secara penuh.

• Kesiapan audit dan kepatuhan: Kapabilitas telemetri, logging peristiwa (event logging), dan pelaporan Corbado memudahkan untuk menunjukkan bahwa kontrol autentikasi tidak hanya dirancang, tetapi juga beroperasi secara efektif. Corbado beroperasi di bawah Sistem Manajemen Keamanan Informasi (ISMS) bersertifikasi ISO 27001 dan memegang pengesahan SOC 2 Tipe II, yang menyelaraskan postur keamanannya dengan ekspektasi yang ditempatkan pada institusi keuangan Malaysia.

9. Kesimpulan#

Pembaruan RMiT November 2025 mengubah panduan BNM mengenai keamanan autentikasi selama bertahun-tahun menjadi regulasi yang mengikat. SMS OTP tidak lagi memenuhi syarat sebagai faktor kedua yang berdiri sendiri. Pengikatan perangkat kini wajib diterapkan secara default. Autentikasi transaksi harus terkait ke detail pembayaran tertentu. Dan institusi harus menawarkan alternatif berbasis kunci kriptografi dari kata sandi.

Bagi institusi yang sudah mulai bermigrasi menjauhi SMS dan beralih ke metode yang tahan phishing, pembaruan ini mengkodifikasikan apa yang telah mereka lakukan. Bagi yang belum, kesenjangan antara praktik saat ini dan standar baru ini cukup signifikan, dan jadwal kepatuhannya kini telah ditetapkan.

Kunci sandi adalah jalur paling langsung untuk memenuhi persyaratan yang diperbarui tersebut. Sebuah kredensial kunci sandi tunggal memenuhi persyaratan pembaruan MFA, alternatif tanpa kata sandi, dan persyaratan pengikatan perangkat dalam satu kali implementasi. Dikombinasikan dengan autentikasi step-up untuk operasi sensitif dan logika masa tenggang (cooling-off) untuk pendaftaran baru, hal ini memberikan institusi sebuah arsitektur yang koheren daripada sekadar tambal sulam solusi secara parsial.

Kami juga bisa menjawab pertanyaan-pertanyaan terpenting mengenai topik ini:

• Apa itu kebijakan RMiT dan kepada siapa kebijakan ini berlaku? RMiT adalah kerangka risiko teknologi pusat dari BNM, yang berlaku untuk seluruh institusi keuangan yang diregulasi di Malaysia, termasuk bank, asuransi, penerbit e-money, operator sistem pembayaran, dan penyedia remitansi.

• Seperti apa lanskap autentikasi sebelum November 2025? MFA telah diwajibkan untuk transaksi berisiko tinggi dan akses dengan hak istimewa, namun SMS OTP masih dapat ditoleransi, pengaturan multi-perangkat dikelola secara longgar, dan alternatif tanpa kata sandi belum diwajibkan.

• Apa saja perubahan paling penting terhadap autentikasi dan MFA? Terdapat lima perubahan yang menonjol: satu perangkat per pengguna secara default, verifikasi yang kuat untuk perubahan nomor telepon, masa tenggang (cooling-off periods) yang wajib untuk perangkat baru, MFA yang lebih aman dari SMS dengan pengikatan transaksi, serta kewajiban untuk menawarkan kunci sandi atau autentikasi berbasis kunci kriptografi.

• Bagaimana kunci sandi membantu institusi keuangan mematuhi ketentuan? Kunci sandi memenuhi pembaruan MFA, alternatif tanpa kata sandi, dan persyaratan pengikatan perangkat dalam sebuah implementasi tunggal, sembari juga tahan terhadap serangan phishing, pertukaran SIM (SIM-swap), dan intersepsi OTP.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

Pertanyaan yang Sering Diajukan (FAQ)#

Apa yang dimaksud dengan 'pengikatan transaksi' dalam konteks kepatuhan RMiT BNM?#

Pengikatan transaksi (transaction binding) mengharuskan setiap kode autentikasi dihasilkan secara lokal oleh pembayar dan terikat secara matematis dengan akun penerima (beneficiary) tertentu dan jumlah pembayaran yang diotorisasi. Hal ini mencegah serangan pengalihan OTP (OTP redirect), di mana penipu memanipulasi detail transaksi setelah pengguna melakukan autentikasi. Kode yang dihasilkan untuk pembayaran ke satu akun tidak dapat digunakan kembali untuk mengotorisasi pembayaran atau jumlah yang berbeda.

Mengapa pembaruan RMiT 2025 mewajibkan masa tenggang (cooling-off period) setelah pelanggan mendaftarkan perangkat baru?#

Masa tenggang mencegah penipu yang mendapatkan akses ke sebuah akun untuk segera mentransfer dana melalui perangkat yang baru terdaftar. BNM mewajibkan institusi untuk menerapkan batas transaksi dan batasan berbasis waktu selama fase awal pembangunan kepercayaan untuk perangkat yang baru didaftarkan. Hal ini memberikan jendela deteksi bagi pemegang akun yang sah dan tim penipuan institusi sebelum kapabilitas transaksi penuh dibuka.

Bagaimana perbandingan RMiT Malaysia yang diperbarui dengan regulasi autentikasi di negara-negara Asia lainnya?#

RMiT 2025 Malaysia sejalan dengan tren regional Asia-Pasifik di mana MAS Singapura, RBI India, HKMA Hong Kong, dan Bank Negara Vietnam semuanya beralih ke kredensial yang terikat dengan perangkat, MFA yang tahan phishing, dan penghapusan SMS OTP. Surat Edaran 45/2025 Vietnam secara khusus mewajibkan verifikasi biometrik terhadap dokumen ID nasional berbasis chip untuk transaksi bernilai tinggi. Oleh karena itu, institusi yang berinvestasi dalam arsitektur yang patuh terhadap RMiT memposisikan diri untuk konvergensi regulasi regional, bukan hanya sekadar persyaratan nasional tunggal.

Verifikasi apa yang sekarang diwajibkan oleh BNM RMiT ketika pelanggan mengubah nomor telepon seluler yang terdaftar?#

RMiT yang diperbarui mewajibkan verifikasi yang kuat sebelum memproses perubahan nomor telepon apa pun, tidak sekadar mengirimkan OTP ke nomor saat ini. Pendekatan yang dapat diterima mencakup verifikasi ulang identitas, autentikasi biometrik step-up, atau konfirmasi di kantor cabang, yang memastikan saluran verifikasi independen dari saluran yang diganti. Hal ini secara langsung mengatasi serangan pertukaran SIM (SIM-swap), di mana penipu yang telah mengendalikan nomor telepon tersebut dapat mengotorisasi sendiri perubahan tersebut.