Pakar IT soal Bahaya Scan Iris Mata seperti Worldcoin: Dampaknya Seumur Hidup

Worldcoin dan WorldID belakangan viral karena menawarkan uang hingga Rp 800 ribu bagi masyarakat yang mau melakukan pemindaian atau scan iris mata. Pakar IT alias informasi dan teknologi mengungkapkan potensi bahayanya.

Worldcoin hadir dengan membawa teknologi verifikasi identitas manusia bernama WorldID. Sistem ini menggunakan perangkat khusus bernama Orb untuk memindai wajah dan mata seseorang, lalu mengubahnya menjadi identitas digital dengan data biometrik.

Data biometrik merupakan informasi unik tentang ciri fisik seseorang yang digunakan untuk mengidentifikasi atau memverifikasi identitas mereka. Data ini dapat berupa sidik jari, pola suara, pemindaian wajah, iris mata, atau bahkan DNA.

Pakar IT dari Communication and Information System Security Research Center atau CISSReC Pratama Persadha memperingatkan masyarakat bahwa data iris mata yang telah diserahkan ke pihak ketiga berpotensi disalahgunakan, terutama jika sistem penyimpanan dan pengelolaannya tidak transparan atau tidak aman.

“Berbeda dengan password atau nomor telepon, data iris mata tidak bisa diubah. Jika bocor, konsekuensinya bisa seumur hidup," kata Pratama kepada Katadata.co.id, Selasa (6/5).

Terlebih lagi Worldcoin dan WorldID beroperasi di Indonesia atas nama PT. Terang Bulan Abadi. Akan tetapi, perusahaan ini belum terdaftar sebagai Penyelenggara Sistem Elektronik alias PSE dan tidak memiliki Tanda Daftar Penyelenggara Sistem Elektronik atau TDPSE.

Layanan Worldcoin justru memiliki TDPSE atas nama PT Sandina Abadi Nusantara. Oleh karena itu, Kementerian Komunikasi dan Digital alias Komdigi menilai perusahaan patut diduga tidak memenuhi syarat dan kepatuhan sesuai diatur dalam regulasi.

Sesuai dengan Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Penyelenggaraan Sistem dan Transaksi Elektronik serta Peraturan Menteri Kominfo Nomor 10 Tahun 2021 tentang PSE Lingkup Privat, setiap penyelenggara layanan digital wajib terdaftar secara sah dan bertanggung jawab atas operasional kepada publik.

Di satu sisi, perusahaan melakukan scan iris mata terhadap masyarakat Indonesia, meski nama badan hukum yang terdaftar untuk operasional dan yang mendapatkan TDPSE berbeda.

Potensi bahaya lainnya yakni data biometrik seperti iris mata bisa dimanfaatkan untuk pencurian identitas, pelacakan digital hingga manipulasi otentikasi sistem yang menggunakan teknologi pengenalan biometrik, termasuk layanan keuangan dan perbankan.

Dalam sistem yang semakin bergantung pada verifikasi biometrik, seperti perbankan digital dan layanan pemerintahan, pihak yang berhasil memperoleh template iris mata seseorang dapat mengakses layanan atas nama korban, tanpa perlu akses lainnya. 

“Risiko meningkat bila data disimpan di luar yurisdiksi hukum Indonesia, sehingga penyelesaian hukum akan menjadi rumit,” kata Pratama.

Di Indonesia, perlindungan data biometrik diatur dalam Undang-Undang Nomor 27 Tahun 2022 tentang Perlindungan Data Pribadi atau UU PDP. Dalam undang-undang ini, data biometrik dikategorikan sebagai data pribadi spesifik yang memerlukan persetujuan eksplisit dan pengelolaan yang ketat. 

Selain itu, Peraturan Pemerintah Nomor 71 Tahun 2019 tentang Sistem dan Transaksi Elektronik mewajibkan penyelenggara sistem menjamin keamanan data pribadi pengguna.

Meski demikian, hingga kini belum ada regulasi teknis yang secara eksplisit mengatur pemrosesan data iris mata oleh perusahaan swasta, khususnya perusahaan asing. Hal ini menimbulkan kekosongan hukum yang bisa dimanfaatkan oleh pihak tertentu tanpa perlindungan memadai bagi masyarakat.

Perusahaan pengembang Worldcoin yakni Tools for Humanity sudah menghentikan sementara layanan verifikasi identitas di Indonesia secara sukarela, sembari menunggu kejelasan lebih lanjut mengenai persyaratan izin dan lisensi yang berlaku.

“Kami berharap dapat terus melanjutkan dialog konstruktif dan suportif yang telah terjalin selama setahun terakhir dengan pihak pemerintah terkait. Jika terdapat kekurangan atau kesalahpahaman terkait perizinan kami, kami tentu akan menindaklanjutinya," tulis Tools for Humanity dalam pernyataan pers, Senin (5/5).

Tools for Humanity juga menegaskan proses verifikasi identitas melalui WorldID tidak menyimpan data pribadi pengguna. Sebaliknya, pengguna memiliki kendali penuh atas informasi mereka, dan data tidak dapat diakses oleh World maupun perusahaan sebagai kontributor teknologi.

Perusahaan mengklaim data tersebut disimpan di aplikasi World App dan tidak disimpan oleh perangkat Orb untuk menjaga privasi pengguna. Teknologi yang dikembangkan ini diklaim sebagai bentuk otentikasi manusia berbasis ‘Proof of Human’ tanpa harus mengumpulkan nama, alamat, atau Nomor Induk Kependudukan (NIK).

Worldcoin dikenalkan oleh CEO OpenAI, Sam Altman pada 2023. Saat ini, layanan Worldcoin telah memasuki Indonesia dan tersedia di sejumlah kota besar di Indonesia, sejak Februari 2025.

Komdigi membekukan sementara izin layanan Worldcoin dan WorldID pada 4 Mei. Kementerian juga akan memanggil PT Terang Bulan Abadi dan PT Sandina Abadi Nusantara untuk memberikan klarifikasi atas dugaan pelanggaran ketentuan penyelenggaraan sistem elektronik.