Ir al contenido principal
BiometricsMar 28, 2026

Mandato biometrico SIM de Indonesia: que significa para desarrolladores y servicios digitales

OS
Open Soft Team

Engineering Team

Mandato biometrico SIM de Indonesia: lo esencial

A partir del 1 de julio de 2026, cada nuevo registro de tarjeta SIM en Indonesia debe incluir verificacion biometrica por reconocimiento facial. Esto es obligatorio segun el Reglamento KOMDIGI (Ministerio de Comunicaciones y Asuntos Digitales) No. 7 de 2026, que reemplaza el sistema de verificacion anterior basado unicamente en el NIK (Nomor Induk Kependudukan). El reglamento limita la tenencia de SIM prepago a 3 tarjetas por persona y exige a los operadores de telecomunicaciones la integracion con la plataforma de Identidad Digital de Poblacion (IKD) de Indonesia.

Para los desarrolladores y proveedores de servicios digitales, esto significa un cambio fundamental en como se implementa la verificacion de identidad en el ecosistema digital de Indonesia — afectando desde el onboarding de aplicaciones moviles hasta los flujos de eKYC.

Cronograma e hitos clave

El despliegue sigue un enfoque gradual que los desarrolladores deben planificar:

FechaHito
15 de marzo de 2026Publicacion oficial del Reglamento KOMDIGI No. 7/2026
1 de abril de 2026Documentos de especificaciones tecnicas publicados para operadores
1 de mayo de 2026Apertura del entorno sandbox para socios de integracion
1 de junio de 2026Fecha limite de certificacion obligatoria para proveedores de SDK biometricos
1 de julio de 2026Inicio de la aplicacion — todos los nuevos registros SIM requieren verificacion biometrica
1 de enero de 2027Fecha limite de re-verificacion de SIM existentes para cuentas de alto riesgo
1 de julio de 2027Fecha limite de re-verificacion completa para todas las SIM prepago existentes

Los operadores que no cumplan enfrentan multas de hasta 50 mil millones de rupias (2,9 millones de dolares) por infraccion, con posible revocacion de licencia por incumplimiento repetido.

Requisitos tecnicos

El reglamento especifica estandares tecnicos precisos que los sistemas biometricos deben cumplir:

Precision del reconocimiento facial

  • Tasa de falsa aceptacion (FAR): No debe exceder el 0,001% (1 de 100.000)
  • Tasa de falso rechazo (FRR): No debe exceder el 5%
  • Precision general: 95% o superior en condiciones estandar
  • Tiempo de procesamiento: Maximo 3 segundos desde la captura hasta el resultado de verificacion
  • Deteccion de vida: Obligatoria — los sistemas deben detectar ataques de presentacion incluyendo fotos impresas, reproducciones de pantalla y mascaras 3D

Integracion con la plataforma IKD

La plataforma Identidad Digital de Poblacion (Identitas Kependudukan Digital / IKD), gestionada por la Direccion General de Poblacion y Registro Civil (Dukcapil), sirve como base de datos de identidad autorizada. Toda verificacion biometrica debe cruzarse con los registros IKD.

El flujo de integracion funciona asi:

  1. Captura: El rostro del usuario se captura via la app o kiosco del operador
  2. Verificacion de vida: La deteccion de vida en tiempo real confirma una persona real
  3. Extraccion de caracteristicas: Las caracteristicas faciales se extraen y codifican en una plantilla biometrica
  4. Consulta IKD: La plantilla se envia a la plataforma IKD para verificacion 1:1 contra el registro biometrico vinculado al NIK
  5. Resultado: IKD devuelve una respuesta de coincidencia/no coincidencia con un puntaje de confianza
  6. Registro de auditoria: Toda la transaccion se registra para el cumplimiento regulatorio

Requisitos de proteccion de datos

Todo manejo de datos biometricos debe cumplir con la UU PDP (Ley de Proteccion de Datos Personales), la ley de proteccion de datos personales de Indonesia promulgada en 2022:

  • Las plantillas biometricas deben cifrarse con AES-256 en reposo
  • Todas las transmisiones deben usar TLS 1.3 o superior
  • Los datos biometricos sin procesar (imagenes faciales) no deben almacenarse despues de la extraccion de la plantilla
  • Retencion de datos: los registros de verificacion se conservan durante 5 anos y luego se eliminan de forma segura
  • Los usuarios tienen derecho a solicitar la eliminacion de sus datos biometricos
  • La transferencia transfronteriza de datos biometricos esta prohibida sin aprobacion explicita de KOMDIGI

Impacto en desarrolladores de apps y servicios digitales

Desarrolladores de apps moviles

Si su app involucra autenticacion basada en SIM (verificacion OTP, login por SMS), debe entender que sus usuarios habran pasado por verificacion biometrica a nivel SIM. Esto crea oportunidades:

  • Mayor linea base de confianza: Los usuarios verificados por SIM han confirmado su identidad biometricamente
  • Reduccion del fraude: Las cuentas falsas usando SIM desechables se vuelven significativamente mas dificiles de crear
  • KYC simplificado: Para apps fintech y e-commerce, la verificacion biometrica SIM puede servir como primer factor en su flujo eKYC

Socios de integracion de telecomunicaciones

Las empresas que proporcionan servicios de verificacion de identidad a operadores de telecomunicaciones deben:

  • Obtener la certificacion KOMDIGI para su SDK biometrico antes del 1 de junio de 2026
  • Aprobar las pruebas de Deteccion de Ataques de Presentacion (PAD) ISO/IEC 30107-3 nivel 2 o superior
  • Demostrar interoperabilidad con la plataforma IKD en pruebas sandbox
  • Proporcionar opciones de despliegue on-premise — algunos operadores requieren que el procesamiento biometrico ocurra en centros de datos indonesios

Fintech y banca digital

La OJK (Autoridad de Servicios Financieros) de Indonesia ha indicado que reconocera la verificacion biometrica SIM conforme a KOMDIGI como factor valido de verificacion de identidad para:

  • Apertura de cuentas de ahorro basicas (saldo maximo de 20 millones de rupias)
  • Verificacion de prestatarios de prestamos P2P
  • Registro de billeteras digitales (GoPay, OVO, Dana, ShopeePay)
  • Onboarding de polizas de seguros

Esto reduce la friccion en los esfuerzos de inclusion financiera, particularmente para los 92 millones de adultos no bancarizados de Indonesia.

Lista de cumplimiento para empresas

Use esta lista para evaluar la preparacion de su organizacion:

Preparacion tecnica

  • SDK biometrico seleccionado e integrado (precision minima 95%, deteccion de vida)
  • Acceso sandbox de la plataforma IKD obtenido y probado
  • Cifrado AES-256 implementado para el almacenamiento de plantillas biometricas
  • TLS 1.3 configurado para todas las transmisiones de datos biometricos
  • Sistema de registro de auditoria captura todas las transacciones de verificacion
  • Mecanismo de respaldo disenado para tiempos de inactividad de la plataforma IKD
  • Pruebas de carga completadas para el volumen de verificacion esperado

Cumplimiento regulatorio

  • Evaluacion de Impacto en la Proteccion de Datos (DPIA) UU PDP completada
  • Politica de privacidad actualizada para incluir divulgaciones de procesamiento de datos biometricos
  • Flujo de consentimiento del usuario implementado (opt-in explicito para recopilacion biometrica)
  • Politicas de retencion de datos documentadas (retencion de registros de 5 anos, eliminacion segura)
  • Plan de respuesta a incidentes actualizado para violaciones de datos biometricos
  • Solicitud de certificacion KOMDIGI enviada (fecha limite: 1 de junio de 2026)

Preparacion operativa

  • Personal capacitado en procedimientos de verificacion biometrica
  • Scripts de soporte al cliente actualizados para consultas relacionadas con biometria
  • Acomodaciones de accesibilidad planificadas para usuarios que no pueden completar el reconocimiento facial
  • Paneles de monitoreo configurados para tasas de exito/fallo de verificacion

Vista general de arquitectura para desarrolladores

Una arquitectura de integracion tipica se ve asi:

App movil / Kiosco
       |
       v
[SDK biometrico] -- captura + deteccion de vida
       |
       v
[Backend del operador] -- extraccion de plantilla
       |
       v
[Pasarela IKD] -- verificacion 1:1
       |
       v
[Auditoria y registro] -- registros de cumplimiento

Para desarrolladores Rust, el pipeline biometrico puede estructurarse asi:

// Pipeline de verificacion biometrica simplificado
async fn verify_identity(
    State(state): State<AppState>,
    Json(request): Json<BiometricRequest>,
) -> Result<Json<VerificationResult>, AppError> {
    // 1. Validar resultado de deteccion de vida
    let liveness = state.liveness_service
        .check(&request.capture_data)
        .await?;

    if liveness.score < 0.95 {
        return Err(AppError::LivenessCheckFailed);
    }

    // 2. Extraer plantilla biometrica
    let template = state.biometric_engine
        .extract_template(&request.facial_image)
        .await?;

    // 3. Verificar contra la plataforma IKD
    let ikd_result = state.ikd_client
        .verify_1to1(&request.nik, &template)
        .await?;

    // 4. Registrar pista de auditoria
    state.audit_logger.log_verification(
        &request.nik,
        &ikd_result,
        &liveness,
    ).await?;

    Ok(Json(VerificationResult {
        verified: ikd_result.match_score >= 0.95,
        confidence: ikd_result.match_score,
        transaction_id: ikd_result.transaction_id,
    }))
}

Contexto del mercado: por que Indonesia actua ahora

El impulso de Indonesia hacia la verificacion biometrica SIM esta motivado por varios factores convergentes:

  • Perdidas por ciberdelincuencia: Indonesia perdio aproximadamente 7 billones de rupias (407 millones de dolares) por ciberdelincuencia en 2025, con el fraude por SIM-swap y el robo de identidad como principales vectores
  • SIMs duplicadas: Se estima que 30-40 millones de tarjetas SIM estan registradas bajo identidades falsas o duplicadas
  • Crecimiento de la economia digital: La economia digital de Indonesia alcanzo 82 mil millones de dolares en GMV en 2025 (informe Google-Temasek-Bain), requiriendo una infraestructura de identidad mas robusta
  • Escala poblacional: Con mas de 270 millones de personas y mas de 345 millones de tarjetas SIM activas, Indonesia es uno de los mercados moviles mas grandes del mundo
  • Alineacion ASEAN: El reglamento se alinea con las disposiciones sobre identidad digital del Acuerdo Marco de Economia Digital de ASEAN (DEFA)

Preguntas frecuentes

¿Que sucede si un usuario no puede completar el reconocimiento facial?

El reglamento incluye disposiciones para metodos de verificacion alternativos para usuarios con discapacidades o condiciones medicas que impiden el reconocimiento facial. Los operadores deben proporcionar verificacion asistida en centros de servicio fisicos, donde personal capacitado puede realizar verificaciones de identidad manuales con documentos de respaldo. Esto cubre aproximadamente el 2-3% de la poblacion.

¿Afecta esto a las tarjetas SIM existentes o solo a los nuevos registros?

Inicialmente, solo los nuevos registros SIM a partir del 1 de julio de 2026 requieren verificacion biometrica. Sin embargo, los titulares de SIM prepago existentes deben completar la re-verificacion biometrica antes del 1 de julio de 2027. Los suscriptores pospago estan exentos hasta nuevo aviso, ya que ya se someten a verificaciones de identidad mas rigurosas.

¿Pueden los extranjeros y turistas registrar tarjetas SIM?

Si. Los extranjeros pueden registrarse usando su pasaporte y una captura biometrica facial en el punto de venta. El sistema realiza una verificacion 1:1 contra la foto del pasaporte en lugar de la base de datos IKD. Los registros SIM para turistas estan limitados a 1 SIM por pasaporte con una validez maxima de 90 dias.

¿Que proveedores de SDK biometricos tienen certificacion KOMDIGI?

A principios de 2026, KOMDIGI ha aprobado a varios proveedores para pruebas sandbox, incluyendo proveedores internacionales (conformes con los benchmarks NIST FRVT) y empresas indonesias locales. La lista final de proveedores certificados se publicara el 1 de junio de 2026. Los proveedores deben demostrar conformidad ISO/IEC 30107-3 nivel 2 y aprobar las pruebas de interoperabilidad IKD.

¿Como se relaciona con la Ley de Proteccion de Datos Personales de Indonesia (UU PDP)?

El mandato biometrico SIM opera dentro del marco de la UU PDP (Ley No. 27 de 2022). Los datos biometricos se clasifican como datos personales especificos segun el articulo 4 de la UU PDP, requiriendo consentimiento explicito, limitacion de proposito y medidas de seguridad reforzadas. Los operadores deben designar un Delegado de Proteccion de Datos (DPO) y realizar Evaluaciones de Impacto en la Proteccion de Datos (DPIAs) antes de procesar datos biometricos.

¿Cuales son las sanciones por incumplimiento?

Los operadores de telecomunicaciones enfrentan multas de hasta 50 mil millones de rupias (2,9 millones de dolares) por infraccion. Los proveedores de SDK biometricos que no aprueben la certificacion pueden ser excluidos del mercado indonesio. Los empleados individuales responsables de violaciones de datos que involucren datos biometricos enfrentan posibles sanciones penales bajo la UU PDP, incluyendo hasta 6 anos de prision y multas de hasta 6 mil millones de rupias (350.000 dolares).

¿Se puede realizar la verificacion biometrica completamente en el dispositivo?

El componente de deteccion de vida puede ejecutarse en el dispositivo, pero la verificacion de identidad 1:1 debe realizarse del lado del servidor contra la base de datos IKD. Este es un requisito regulatorio para garantizar que el registro de identidad autorizado sea siempre el punto de referencia. Se alienta el procesamiento en el dispositivo para las etapas de captura y deteccion de vida para reducir la latencia y los requisitos de ancho de banda.

Etiquetas
AIBiometricsSecurity