Key Takeways
Telephone Consumer Protection Act (TCPA) adalah risiko hukum terbesar yang dihadapi bisnis AS yang mengirim SMS. Penyelesaian gugatan class action secara teratur mencapai delapan dan sembilan digit, dan bahkan lalu lintas OTP murni, yang sering dianggap dikecualikan, telah memicu tindakan penegakan hukum. SMS OTP yang patuh di AS membutuhkan lebih dari sekadar API yang berfungsi: ini membutuhkan persetujuan yang dapat diverifikasi, disiplin konten, otomatisasi berhenti berlangganan, dan jejak audit yang dapat dipertahankan di pengadilan.
Panduan ini menjelaskan kerangka kerja TCPA sebagaimana berlaku untuk lalu lintas OTP pada tahun 2026, pengecualian transaksional yang sempit, aturan persetujuan yang mengatur pendaftaran, mekanisme berhenti berlangganan yang disyaratkan oleh CTIA, dan kontrol operasional yang digunakan Message Central VerifyNow untuk menjaga lalu lintas pelanggan agar dapat dipertahankan dari gugatan class action. Untuk gambaran umum pengiriman SMS OTP AS dan 10DLC, lihat Layanan SMS OTP AS hub. Untuk integrasi teknis, lihat halaman API Verifikasi Nomor Telepon.
Apa itu TCPA dan mengapa berlaku untuk OTP?
Telephone Consumer Protection Act diberlakukan pada tahun 1991, jauh sebelum SMS, tetapi FCC dan pengadilan federal telah menerapkannya pada pesan teks sejak awal pemasaran SMS. TCPA membatasi penggunaan sistem panggilan telepon otomatis, panggilan suara pra-rekam, dan SMS ke ponsel tanpa persetujuan tersurat dari penerima.
Tiga fitur undang-undang yang penting bagi pengirim OTP:
- Hak gugat pribadi: Penerima dapat menuntut. Mereka tidak perlu menunjukkan kerugian aktual. Ganti rugi menurut undang-undang adalah $500 untuk setiap pelanggaran karena kelalaian dan $1.500 untuk setiap pelanggaran yang disengaja, sebelum pengganda dan biaya pengacara.
- Ramah gugatan kelompok: Nomor telepon dapat diprediksi dan ditemukan, membuat sertifikasi gugatan kelompok menjadi mudah ketika satu templat pesan dikirim ke banyak pengguna. Penyelesaian dapat berkembang pesat.
- Persetujuan adalah beban pengirim Jika pengirim tidak dapat menunjukkan persetujuan yang didokumentasikan untuk nomor telepon tertentu, pengadilan menganggap persetujuan tidak ada.
Pengirim OTP terkadang berasumsi bahwa lalu lintas transaksional mereka dikecualikan. Asumsi itu sebagian benar dan sebagian salah, dan perbedaannya penting.
Pengecualian transaksional, dijelaskan
FCC telah membuat pengecualian sempit untuk SMS transaksional yang secara efektif diminta oleh pengguna: konfirmasi akun, peringatan penipuan, pengiriman paket, Kode OTP dan 2FA. Ini diperlakukan sebagai pesan yang diharapkan dan disambut baik oleh pengguna, dikirim berdasarkan persetujuan tegas sebelumnya yang disimpulkan dari hubungan yang mendasari.
Pengecualian itu nyata, tetapi bersyarat. Kondisi-kondisi yang secara konsisten muncul dalam litigasi:
- Nomor telepon harus telah diberikan oleh pengguna untuk tujuan pesan tersebut. Pengguna yang memberikan nomornya untuk notifikasi pengiriman belum menyetujui untuk menerima OTP 2FA dari lini produk yang tidak terkait. Penggunaan lintas tujuan membatalkan pengecualian.
- Pesan harus murni transaksional. Menambahkan konten promosi apa pun, bahkan logo atau CTA yang halus, dapat dianggap sebagai pemasaran. Pemasaran memerlukan persetujuan tertulis tegas sebelumnya, bukan hanya persetujuan tegas sebelumnya.
- Nomor tersebut harus tetap valid. Nomor yang dialihkan (di mana pengguna asli yang menyetujui telah melepaskan nomor tersebut dan pelanggan baru telah mengambilnya) adalah sumber utama risiko TCPA. Database Nomor yang Dialihkan (RND) milik FCC membantu mengurangi risiko ini.
- Frekuensi harus tetap wajar. Bahkan pengirim transaksional pun telah digugat karena volume yang berlebihan.
Untuk interpretasi hukum yang ketat, Pengirim OTP seharusnya memperlakukan pengecualian tersebut sebagai perlindungan hukum, bukan izin. Pendekatan kepatuhan harus sama dengan program pemasaran yang sepenuhnya disetujui, dengan catatan opt-in yang terdokumentasi, penanganan opt-out, dan kontrol konten.
Persetujuan: apa yang sah dan apa yang tidak
TCPA mengenali dua tingkat persetujuan: persetujuan tersurat sebelumnya (standar yang lebih rendah, cukup untuk pesan transaksional dan informasional) dan persetujuan tertulis tersurat sebelumnya (standar yang lebih tinggi, diperlukan untuk pemasaran).
Persetujuan tersurat sebelumnya (cukup untuk OTP)
Ini terpenuhi ketika pengguna memberikan nomor telepon mereka secara sadar dalam konteks di mana SMS adalah saluran yang wajar. Jalur umum:
- Pengguna memasukkan nomor telepon mereka saat pendaftaran akun dengan pemberitahuan seperti "Kami akan mengirimkan kode verifikasi ke nomor ini."
- Pengguna memilih SMS sebagai metode 2FA pilihan mereka di pengaturan akun.
- Pengguna memulai alur pengaturan ulang kata sandi atau pemulihan akun.
Praktik terbaik adalah menampilkan pemberitahuan SMS dengan jelas di atas kolom nomor telepon, tidak tersembunyi dalam tautan Ketentuan Layanan. Beberapa operator dan pemeriksaan TCR juga mengharapkan pemberitahuan ini dapat ditemukan di situs web publik Anda.
Persetujuan tertulis tersurat sebelumnya (diperlukan untuk pemasaran)
Ini adalah standar yang lebih tinggi yang berlaku untuk setiap SMS promosi atau pemasaran. Ini memerlukan: pengungkapan yang jelas bahwa pengguna akan menerima SMS pemasaran, identifikasi pengirim, pengungkapan frekuensi, pernyataan bahwa persetujuan bukanlah syarat pembelian, dan pernyataan biaya ("Tarif pesan dan data mungkin berlaku"). Metode pengambilan harus menghasilkan perjanjian yang ditandatangani (tanda tangan elektronik sah berdasarkan Undang-Undang E-SIGN).
Untuk pengirim OTP, aturan praktisnya: jangan pernah mencampur konten pemasaran ke dalam pesan OTP. Begitu Anda melakukannya, seluruh alur memerlukan persetujuan tertulis tersurat sebelumnya daripada persetujuan tersurat sebelumnya, yang sebagian besar formulir pendaftaran sebenarnya tidak menangkapnya dengan benar.
Persyaratan pencatatan persetujuan
Jika Anda digugat berdasarkan TCPA, permintaan penemuan pertama adalah catatan persetujuan Anda untuk nomor telepon penggugat. Catatan harus menunjukkan:
- Nomor telepon persis yang memberikan persetujuan.
- Stempel waktu persetujuan.
- Alamat IP perangkat yang memberikan persetujuan.
- Teks persetujuan spesifik yang dilihat pengguna (cuplikan, bukan kebijakan umum).
- Versi pemberitahuan privasi atau Ketentuan yang berlaku saat itu.
- Pengidentifikasi sesi dan pengguna yang mengaitkan persetujuan dengan lalu lintas OTP yang dihasilkan.
Tanpa catatan ini, bahkan lalu lintas OTP yang sah bisa menjadi tidak dapat dipertahankan. Message Central VerifyNow USA secara otomatis menangkap dan menyimpan bidang-bidang ini untuk setiap permintaan verifikasi, dengan log audit yang dapat diekspor untuk tim hukum.
Penanganan kata kunci opt-out
Prinsip Pesan CTIA mewajibkan semua pengirim SMS untuk mendukung serangkaian kata kunci opt-out universal: STOP, END, CANCEL, UNSUBSCRIBE, QUIT. Menerima salah satu dari ini dari pengguna harus segera menekan SMS lebih lanjut ke nomor tersebut pada kampanye dan memicu pesan konfirmasi satu kali.
Untuk lalu lintas OTP, opt-out secara struktural jarang terjadi (pengguna menginginkan kode mereka), tetapi dukungan untuk kata kunci tetap diperlukan di tingkat platform. Tiga aturan operasional:
- Terapkan STOP seketika. SMS berikutnya ke nomor tersebut harus diblokir. Penundaan bahkan satu pesan setelah STOP telah menghasilkan klaim TCPA.
- Kirim satu konfirmasi, lalu berhenti. Konfirmasi diwajibkan oleh CTIA; pesan selanjutnya tidak.
- Pertahankan opt-out di semua kampanye dari pengirim yang sama. Pengguna yang berhenti berlangganan dari kampanye pemasaran seharusnya tidak terus menerima konten promosi dari kampanye terpisah yang dimiliki oleh merek yang sama, meskipun kampanye tersebut secara teknis berbeda. OTP transaksional murni dapat dilanjutkan jika pengguna kembali berinteraksi.
HELP adalah kata kunci pendamping: setiap respons HELP harus menghasilkan pesan identifikasi pengirim dengan detail kontak dukungan. Sebagian besar operator dan kampanye TCR mewajibkan fungsionalitas ini untuk aktif.
Aturan waktu harian
TCPA secara eksplisit membatasi panggilan telepon non-darurat antara pukul 21.00 dan 08.00 waktu setempat pihak yang dipanggil. FCC telah mengisyaratkan bahwa aturan yang sama berlaku untuk SMS komersial. Untuk lalu lintas OTP murni, yang diprakarsai oleh pengguna secara real-time (percobaan login, reset kata sandi), aturan waktu harian biasanya tidak terpicu karena pengguna baru saja bertindak. Untuk SMS siaran atau terjadwal (peringatan akun, notifikasi saldo, pemasaran), penegakan aturan waktu harian diperlukan.
Secara operasional, pendekatan terbaik adalah menentukan zona waktu lokal penerima dari kode NPA/area nomor telepon atau profil yang tersimpan, dan membatasi pengiriman SMS non-segera sesuai dengan itu. Memverifikasi batas zona waktu US Eastern, Central, Mountain, dan Pacific saat ini secara otomatis adalah fitur dari platform A2P yang dirancang dengan baik.
Aturan tingkat negara bagian yang ditambahkan pada TCPA
Beberapa negara bagian telah memberlakukan undang-undang perlindungan konsumen khusus SMS yang melampaui TCPA. Yang perlu diperhatikan:
- Undang-Undang Permintaan Telepon Florida (FTSA). Memberikan hak gugatan pribadi untuk permintaan SMS kepada penduduk Florida dan mengurangi ambang batas persetujuan berdasarkan interpretasi tertentu. Telah memicu gelombang gugatan class action SMS terhadap pengirim di AS.
- Undang-Undang Surat Elektronik Komersial Washington. Mencakup pesan komersial berbasis teks dan memberlakukan persyaratan konten.
- Pembaruan Undang-Undang Perlindungan Konsumen Oklahoma (2024-2025). Peningkatan sanksi khusus SMS.
- Undang-Undang Privasi Konsumen California (CCPA / CPRA). Bukan murni TCPA, tetapi mengatur pengungkapan dan penghapusan catatan telepon konsumen yang terkait dengan program SMS.
Bagi pengirim yang beroperasi secara nasional, solusi praktisnya adalah mematuhi aturan paling ketat yang berlaku dan memperlakukan semua SMS di AS sebagai risiko yang diperparah oleh peraturan negara bagian.
Kasus khusus: KYC, fintech, dan layanan kesehatan
Fintech dan perbankan
Lalu lintas OTP dalam layanan keuangan diatur oleh TCPA dan panduan autentikasi FFIEC. FFIEC secara eksplisit mengakui OTP SMS sebagai faktor autentikasi yang diizinkan (dengan peringatan tentang risiko penukaran SIM). Dalam konteks TCPA, langkah pertahanan terbaik adalah menggabungkan pengambilan persetujuan ke dalam alur pembukaan akun, di mana pengguna memberikan nomor telepon khusus untuk tujuan keamanan.
Lihat panduan kami Panduan OTP SMS untuk Fintech di AS untuk pembahasan lebih lanjut.
Layanan kesehatan
OTP layanan kesehatan bersinggungan dengan HIPAA. Konten OTP itu sendiri jarang mengandung PHI, tetapi tindakan mengaitkan nomor telepon dengan hubungan penyedia layanan kesehatan membutuhkan desain persetujuan yang cermat. Aturan otorisasi terpisah HIPAA berlaku untuk setiap SMS yang mengandung informasi kesehatan yang dilindungi. Sebagian besar implementasi layanan kesehatan membatasi konten SMS hanya pada kode autentikasi dan mengarahkan PHI melalui portal aman.
Lihat panduan kami SMS OTP untuk Layanan Kesehatan di AS.
Perjudian dan kripto
Legalitas perjudian daring, taruhan olahraga, dan perdagangan kripto sangat bervariasi di setiap negara bagian. Alur KYC yang mencakup SMS OTP harus selaras dengan lisensi operator khusus negara bagian dan TCPA. Pembatasan geografis (geo-fencing) lalu lintas OTP seringkali diperlukan.
Jejak audit yang Anda butuhkan untuk pembelaan
Jika Anda menerima surat tuntutan TCPA, tim hukum Anda memiliki dua pertanyaan: (1) dapatkah Anda menunjukkan persetujuan terdokumentasi untuk nomor telepon ini, dan (2) dapatkah Anda menunjukkan bahwa pesan tersebut bersifat transaksional dan bukan pemasaran? VerifyNow USA menyimpan data berikut untuk setiap verifikasi:
- Nomor telepon, negara, operator.
- IP asal, sidik jari perangkat, dan agen pengguna saat persetujuan diambil.
- Teks persetujuan dan versi kebijakan yang persis ditampilkan kepada pengguna.
- ID sesi yang menghubungkan persetujuan dengan pengiriman dan verifikasi OTP.
- Konten pesan yang dikirim (render templat lengkap dengan nilai OTP).
- Tanda terima pengiriman dari operator (stempel waktu, status).
- Interaksi opt-out berikutnya.
Catatan disimpan selama 5 hingga 7 tahun (dapat dikonfigurasi), selaras dengan batas waktu gugatan TCPA 4 tahun ditambah cadangan.
Kesalahan umum TCPA dalam program OTP
- Menggabungkan persetujuan SMS dengan Ketentuan Layanan. Satu kotak centang yang mencakup Ketentuan, kebijakan privasi, dan persetujuan SMS bukanlah persetujuan tertulis eksplisit sebelumnya untuk pemasaran dan rapuh bahkan untuk transaksional. Gunakan baris persetujuan terpisah dan tidak digabungkan untuk SMS.
- Mengirim konten promosi dalam pesan OTP. "Kode Anda adalah 482910. Dapatkan diskon 20 persen untuk pesanan berikutnya!" mengubah seluruh pesan menjadi pemasaran. Jangan lakukan itu.
- Menggunakan kembali nomor telepon lintas produk tanpa persetujuan ulang. Jika pengguna memberikan nomor mereka untuk pendaftaran produk A, jangan kirim OTP untuk produk B tanpa persetujuan terpisah. Ini adalah salah satu penyebab klaim yang paling umum.
- Gagal membersihkan data terhadap Basis Data Nomor yang Dialihkan. Basis Data Nomor yang Dialihkan milik FCC memungkinkan pengirim memeriksa apakah suatu nomor telah dialihkan sejak persetujuan diberikan. Melewatkan pemeriksaan ini adalah sumber potensi masalah hukum yang sudah diketahui.
- Mengabaikan respons STOP. Bahkan satu pesan setelah STOP dapat mengakibatkan klaim TCPA. Otomatisasi sangat penting.
- Mencatat persetujuan dengan cara yang tidak terstruktur. Catatan yang tersimpan dalam log aplikasi tidak dapat dipertahankan secara hukum. Gunakan penyimpanan persetujuan khusus dengan stempel waktu yang tidak dapat diubah.
Bagaimana Message Central VerifyNow menjaga OTP agar dapat dipertahankan secara hukum sesuai TCPA
VerifyNow USA dirancang berdasarkan tiga prinsip yang secara langsung berkaitan dengan risiko TCPA:
- Pengambilan persetujuan sebagai API kelas satu. Alur verifikasi mencakup titik akhir pengambilan persetujuan yang menyimpan IP pengguna, stempel waktu, teks persetujuan, dan ID sesi bersama dengan nomor telepon. Catatan yang sama tetap ada di seluruh peristiwa pengiriman dan verifikasi.
- Otomatisasi berhenti berlangganan. STOP, END, CANCEL, UNSUBSCRIBE, dan QUIT diproses secara instan di seluruh kampanye VerifyNow untuk suatu merek. HELP merespons dengan identifikasi merek dan kontak dukungan.
- Pemisahan konten. Templat OTP diisolasi dari templat pemasaran pada tingkat platform. Konten gabungan tidak dapat dikirim melalui API verifikasi.
- Integrasi Basis Data Nomor yang Dialihkan. Pemeriksaan RND otomatis opsional sebelum pengiriman, dengan hasilnya dicatat dalam catatan persetujuan.
- Rute 10DLC dan ID pengirim yang disetujui sebelumnya. Mulai kirim OTP yang patuh dalam waktu kurang dari 5 menit tanpa menunggu pendaftaran merek dan kampanye baru. Lihat Panduan 10DLC OTP SMS USA.
Ringkasan TCPA untuk pengirim OTP
PersyaratanOTP transaksional murniSMS pemasaran atau campuranTingkat persetujuan yang diperlukanPersetujuan tersurat sebelumnyaPersetujuan tertulis tersurat sebelumnyaNomor telepon harus disediakan penggunaYaYaPersetujuan gabungan diizinkan?Sangat tidak disarankanTidakPembatasan waktuUmumnya tidak berlaku (dimulai oleh pengguna)Pukul 9 malam-8 pagi waktu setempat dilarangKata kunci STOP/HELPDisarankanWajibOpt-out di seluruh produkDisarankanWajibPembersihan Nomor yang DialihkanDisarankanSangat disarankanPenyimpanan persetujuan5-7 tahun5-7 tahun
Pertanyaan yang sering diajukan
Apakah TCPA berlaku jika OTP saya pendek dan hanya berisi kode?
Ya. TCPA berlaku untuk tindakan pengiriman SMS melalui sistem otomatis ke nomor ponsel, terlepas dari panjang atau isi pesan. OTP pendek mendapatkan manfaat dari pengecualian transaksional hanya jika nomor telepon diberikan untuk tujuan autentikasi.
Bagaimana jika pengguna memasukkan nomor telepon mereka sendiri di halaman login saya?
Itu umumnya memenuhi persetujuan tersurat sebelumnya untuk OTP transaksional. Tindakan mengirimkan nomor di kolom yang jelas terkait autentikasi itu sendiri adalah persetujuan. Pasangkan dengan pemberitahuan yang terlihat ("Kami akan mengirimkan kode verifikasi ke nomor ini") dan Anda memiliki posisi yang paling bersih dan dapat dipertahankan.
Berapa lama saya harus menyimpan catatan persetujuan TCPA?
Minimal 4 tahun (periode pembatasan TCPA). Minimal praktis 5 hingga 7 tahun untuk mencakup kasus-kasus batas undang-undang pembatasan. VerifyNow secara default menjadi 7 tahun.
Bisakah saya mengandalkan penyedia A2P saya untuk menangani TCPA bagi saya?
Sebagian. Penyedia Anda menangani bagian teknis dan operasional (otomatisasi opt-out, pencatatan audit, waktu, pembersihan RND). Kewajiban hukum untuk mendapatkan persetujuan yang sah tetap ada pada Anda, sebagai merek. Momen pengambilan persetujuan, pemberitahuan yang menghadap pengguna, dan kebijakan penyimpanan data masih menjadi tanggung jawab Anda.
Bagaimana jika saya mengirim OTP ke nomor internasional dari USA?
TCPA mencakup panggilan ke nomor AS dan ke nomor yang terdaftar pada operator AS. SMS internasional dari infrastruktur AS ke nomor non-AS berada di bawah aturan negara tujuan (GDPR di Eropa, LGPD di Brasil, dll). Untuk OTP multi-negara, gunakan platform seperti Phone Number Verification API yang menyesuaikan kebijakan per tujuan.
Mulai dengan OTP yang dapat dipertahankan TCPA hari ini
Message Central VerifyNow USA menggabungkan rute 10DLC yang telah disetujui sebelumnya dengan pencatatan persetujuan bawaan, otomatisasi opt-out, pemisahan konten, dan integrasi Database Nomor yang Dialihkan. Kirim OTP patuh pertama Anda dalam waktu kurang dari 5 menit dengan jejak audit yang dapat dipertahankan sejak pesan pertama.
Untuk konteks lebih mendalam, lihat hub Layanan SMS OTP USA, panduan SMS OTP 10DLC, dan perbandingan penyedia SMS OTP terbaik. Kredit uji coba gratis, tidak perlu kartu kredit.

.svg%20(1).png)




