In België groeit de kritiek dat politiek en banken te traag en terughoudend optreden tegen phishing. Slachtoffers blijven met hoge kosten zitten, terwijl criminelen steeds slimmere technieken gebruiken. Het probleem speelt nu, zowel online als via telefoon, en raakt ook Nederland. De inzet van kunstmatige intelligentie maakt de fraude geloofwaardiger, terwijl de Europese AI-verordening (AI Act) en nieuwe betaalregels gevolgen voor overheid en sector nog niet direct voelbaar maken.
Politiek ingrijpen blijft achter
Overheden in België en Nederland werken aan bewustwording en meldpunten, maar duidelijke aansprakelijkheidsregels blijven beperkt. Het Centrum voor Cybersecurity België en Safeonweb.be waarschuwen en filteren valse sites, toch stijgt de druk op slachtoffers om zelf alert te zijn. In Nederland spelen het ministerie van Justitie en Veiligheid, de NCSC en de Fraudehelpdesk een vergelijkbare rol. Zonder heldere wettelijk vastgelegde vergoedingsafspraken blijft de schade vooral bij burgers hangen.
Een kernprobleem is het verschil tussen “ongeautoriseerde” en “geautoriseerde” betalingen. Bij een ongeautoriseerde betaling moet de bank onder PSD2 vaak snel terugbetalen, tenzij sprake is van grove nalatigheid. Phishing is vaak een “geautoriseerde pushbetaling”: het slachtoffer geeft zélf opdracht, misleid door een nepbank of valse helpdesk. Juist hier ontstaan discussies over schuld en zorgplicht, en duurt afhandeling lang.
Nieuwe Europese regels zijn onderweg, maar implementatie kost tijd. De Instant Payments Regulation verplicht een naam-nummercontrole (confirmation of payee) bij instant payments, maar die komt stapsgewijs. Ook PSD3 en de nieuwe Payment Services Regulation (PSR) scherpen consumentenbescherming en fraudepreventie aan. Tot die regels gelden, blijft het gat tussen snelle criminelen en trage procedures zichtbaar.
Banken verschuiven verantwoordelijkheid
Banken investeren fors in detectie, maar benadrukken vaak eigen verantwoordelijkheid van klanten. Bij sociale-engineeringfraude wijzen voorwaarden op “zorgvuldig handelen”, wat tot afwijzing van claims kan leiden. In Nederland zorgden Kifid-uitspraken voor meer vergoedingen in specifieke gevallen, maar er is geen eenduidige standaard. In België speelt sectorfederatie Febelfin een coördinerende rol, toch verschillen regelingen per bank.
Achter de schermen gebruiken banken en betaalverwerkers algoritmen om fraude te scoren. Platforms zoals Feedzai en FICO analyseren transacties en gedrag om risico’s te bepalen. Zulke systemen herkennen patronen, maar missen soms eerste-of-eenmalige fraude via nieuwe trucjes. Bij “authorised push payment”-fraude is preventie moeilijker, omdat het signaal op tijd zelden hard genoeg is om te blokkeren.
Een breed toegepaste maatregel in Nederland is de IBAN-Naam Check, ontwikkeld door SurePay en uitgerold door grote banken. Dit helpt vergissingen en eenvoudige spoofing te voorkomen. In de EU wordt een vergelijkbare controle verplicht bij instant payments, wat de lat voor fraudeurs verhoogt. Tot die tijd ontstaan in België en elders situaties waarin slachtoffers nog tussen wal en schip vallen.
Criminelen gebruiken slimme algoritmen
Phishingberichten zijn professioneler door generatieve AI, die foutloze teksten en overtuigende scenario’s oplevert. Voice-cloning maakt neptelefoontjes geloofwaardig, bijvoorbeeld met een “bankmedewerker” die klinkt als het origineel. Aanvallers combineren gelekte gegevens en social media-profielen tot zeer gerichte “spearphishing”. Zo ontstaat een mix van e-mail, sms en telefonie die traditionele filters omzeilt.
Tegelijkertijd hebben bedrijven maatregelen als DMARC en SPF tegen e-mailspoofing ingevoerd. Daardoor verplaatsen criminelen hun aanvallen naar sms en chat-apps, waar minder strenge controles gelden. Ook nummer-spoofing bij telefonie blijft een zwakke plek. Zonder brede ketenaanpak — bank, telecom, platform en overheid — verschuift het probleem slechts.
Phishing is het misleiden van mensen om geld of gegevens af te troggelen via valse berichten, websites of telefoontjes die echt lijken.
AI kan ook defensief helpen, bijvoorbeeld met realtime analyse van taalpatronen, stemkenmerken en klikgedrag. Toch zijn deze modellen niet foutloos, en kunnen ze leiden tot valse alarmen of gemiste signalen. Transparantie over hoe scores tot stand komen is beperkt, mede om misbruik te voorkomen. Daardoor is het voor consumenten lastig te begrijpen waarom een betaling wel of niet wordt tegengehouden.
Europese regels zetten druk
De Europese AI-verordening legt transparantieplichten op voor deepfakes en algemene AI-modellen. Dit helpt tegen misleidende content, maar criminelen opereren vaak buiten EU-jurisdictie. De echte impact zit daarom in ketenmaatregelen: platformmoderatie, telecombeveiliging en bankcontroles. De Digital Services Act verplicht grote platforms bovendien om risico’s, zoals scam-advertenties, actiever aan te pakken.
Op betalingsgebied komen PSR/PSD3 met extra focus op fraude, sterke klantauthenticatie en gegevensdeling waar dat gerechtvaardigd is. De Instant Payments Regulation verplicht de naam-nummercontrole, wat hulp biedt tegen verkeerd overboeken en simpele spoofing. Lidstaten en toezichthouders moeten dit omzetten naar praktische richtlijnen. Op het moment van schrijven lopen consultaties en technische uitwerkingen nog.
De AVG blijft kader voor gegevensbescherming bij fraudebestrijding. Dataminimalisatie en versleuteling zijn verplicht, maar uitwisseling in samenwerkingsverbanden kan met een duidelijke wettelijke grondslag en DPIA. Voor banken, telecom en platforms betekent dit: zorgvuldig delen wat nodig is om fraude te stoppen, niet meer. Heldere juridische kaders versnellen die samenwerking zonder privacy te ondermijnen.
Nederland en België vergeleken
Nederland heeft met de IBAN-Naam Check een voorsprong in de betaalstroom zelf. Belgische banken voeren vergelijkbare controles gefaseerd in, mede gestimuleerd door EU-regels. Beide landen hebben sterke bewustwordingscampagnes en meldpunten, zoals Fraudehelpdesk.nl en Safeonweb.be. Toch blijven telefonische spoofing en hulpdeskfraude hardnekkige problemen aan beide kanten van de grens.
Telecomaanbieders in beide landen introduceren filters en zendernaamregistratie om smishing te beperken. Zulke maatregelen vangen bulkaanvallen af, maar gerichte aanvallen blijven lastig. Integratie van waarschuwingen in bankapps — bijvoorbeeld een pop-up bij risicovolle overschrijvingen — helpt. Dat vraagt wel om eenduidige teksten en minder “waarschuwingsmoeheid” bij klanten.
Toezichthouders spelen een grotere rol in het gelijktrekken van vergoedingsbeleid. Duidelijke minimumnormen voor “zorgplicht” en “grove nalatigheid” kunnen discussies verkorten. Dat verlaagt de drempel voor slachtoffers om melding te doen en versnelt afhandeling. Het vergroot ook de prikkel voor banken en platforms om preventie te verbeteren.
Wat nu wél werkt
Snellere naam-nummercontrole en het standaard blokkeren van verdachte begunstigden reduceren directe risico’s. In-app bevestigingen binnen bankapps zijn veiliger dan sms-codes, die eenvoudig te onderscheppen zijn. Eenduidige contactkanalen — “bel ons nooit terug via een nummer in een sms” — verkleinen het speelveld voor spoofing. Combineer dit met zichtbare waarschuwingen bij ongewone handelingen, zoals het verhogen van limieten.
Voor overheid en sector is snelle informatie-uitwisseling cruciaal. Juridische grondslagen onder de AVG, plus gezamenlijke DPIA’s, maken dat mogelijk zonder privacy te schaden. Centrale meldpunten die signalen direct doorzetten naar banken, telecom en platforms verkorten de doorlooptijd. Dat verhoogt de kans om geldstromen te bevriezen voordat ze verdwijnen.
Tot slot helpt heldere compensatieregeling bij “authorised push payment”-fraude om vertrouwen te herstellen. Leg vast wanneer banken vergoeden en welke preventiestappen van klanten verwacht worden. Koppel dit aan meetbare doelen voor detectiemodellen en ketenfilters, met transparante rapportages. Zo wordt de verantwoordelijkheid gedeeld en gaat de kraan daadwerkelijk dichter.
