De topman van KBC verdedigt het beleid rond phishingvergoedingen. In Brussel zei CEO Johan Thijs deze week dat slachtoffers niet automatisch hun geld terugkrijgen. Volgens hem dragen klanten ook eigen verantwoordelijkheid bij digitale veiligheid. De discussie speelt terwijl AI-gestuurde fraude groeit en EU-regels, zoals de Europese AI-verordening (AI Act), worden aangescherpt.
Bank verdedigt beperkte vergoeding
KBC stelt dat terugbetaling afhangt van de omstandigheden en de zorgplicht van de klant. Banken beoordelen of er sterke klantauthenticatie is gebruikt en of er sprake is van “grove nalatigheid”. Dat is juridisch vastgelegd via PSD2 en Belgische consumentenregels.
Volgens de bank vergoedt ze wanneer het systeem faalt, maar niet bij bewuste bevestiging van frauduleuze transacties. Criminelen zetten klanten onder druk via telefoontjes of sms, waarna klanten codes delen. Dat maakt het voor banken moeilijk om alle schade standaard te vergoeden.
De uitspraak lokt debat uit bij consumentenorganisaties. Zij wijzen op de groei van geavanceerde oplichting en ongelijkheid in informatiepositie. De kernvraag: waar eindigt de verantwoordelijkheid van de bank en waar begint die van de klant?
“Slachtoffers altijd terugbetalen? Alsof Volkswagen betaalt als u tegen een muur rijdt.” — Johan Thijs, CEO KBC (op het moment van schrijven)
AI maakt phishing geloofwaardiger
Phishing is misleiding via e-mail, sms of telefoon met als doel toegang tot geld of data. Met generatieve AI klinken nepmails en nepstemmen steeds echter. Ook “spoofing”, het vervalsen van afzendernamen en telefoonnummers, wordt overtuigender.
Criminelen gebruiken taalmodellen om foutloze berichten te schrijven en stemklonen om bankmedewerkers na te bootsen. Zo omzeilen ze sterke klantauthenticatie door slachtoffers te laten meewerken. Het risico verschuift dus van technische naar psychologische zwaktes.
Banken zetten op hun beurt algoritmen in om afwijkende transacties te herkennen. Zulke systemen leren patronen in betaalgedrag en markeren verdachte betalingen. Toch kunnen ze sociale druk niet altijd detecteren als klanten zelf bevestigen.
PSD3 en PSR veranderen regels
De EU werkt aan PSD3 en de nieuwe Payment Services Regulation (PSR). Die moeten spoofing en “authorised push payment”-fraude harder aanpakken. Zo wordt “Confirmation of Payee” (naam-nummercontrole) EU-breed verplicht.
De voorstellen onderzoeken ook een eerlijkere verdeling van aansprakelijkheid tussen banken en andere digitale spelers. Denk aan telecombedrijven die nummermisbruik moeten beperken. Dit kan de standaard voor terugbetalingen in grensoverschrijdende gevallen verduidelijken.
Voor consumenten betekent dit meer preventie aan de voorkant en snellere blokkering bij een vermoeden van fraude. Voor banken stijgen de eisen aan monitoring en samenwerking met telecom en platforms. Nationale toezichthouders, zoals de NBB en FSMA in België en DNB in Nederland, krijgen een bepalende rol.
AI-verordening raakt banken en overheid
De Europese AI-verordening verplicht transparantie bij deepfakes en risicobeheer voor AI-systemen. Banken die AI inzetten voor fraudedetectie moeten documenteren hoe modellen werken en worden getraind. Dat helpt toezicht en kan bias of fouten in het systeem beperken.
Voor overheden betekent dit heldere kaders voor publieke waarschuwingen en digitale veiligheidscampagnes. Gemeenten en politiediensten kunnen AI-tools inzetten binnen de AVG, met dataminimalisatie en versleuteling. De samenwerking met banken en telecom blijft cruciaal.
Toch lost labeling van deepfakes niet alles op, omdat criminelen regels negeren. Daarom focust beleid ook op aansprakelijkheid en preventie in de keten. De combinatie van regelgeving en techniek moet de drempel voor fraude verhogen.
Nederland vergoedt helpdeskfraude
In Nederland bestaat een uniform protocol voor “helpdeskfraude” bij banken. Daarin staat dat klanten in principe worden vergoed als zij zorgvuldig handelden. Dit geldt bij misleiding via nepbellen of -appen door “bankmedewerkers”.
De Nederlandse aanpak zet druk op betere preventie en snelle afhandeling. Het maakt ook duidelijk welke stappen klanten moeten nemen, zoals meteen blokkeren en aangifte doen. Zo ontstaat meer voorspelbaarheid voor consumenten.
België kan lessen trekken uit de Nederlandse naam-nummercontrole, die al breed draait. De EU-verplichting tot Confirmation of Payee versnelt dit. Hoe sneller invoering, hoe kleiner de kans dat geld verkeerd terechtkomt.
Wat banken nu kunnen doen
Verscherp real-time monitoring met uitleg in gewone taal. Als een systeem ingrijpt, leg kort uit waarom en wat de klant kan doen. Transparantie vergroot vertrouwen en voorkomt dat waarschuwingen worden genegeerd.
Voer standaard terugbelcodes en app-notificaties in bij risicogesprekken. Een vaste code via de bankapp maakt voice-phishing minder kansrijk. Combineer dit met blokkades op nieuwe begunstigden en “time-out” bij grote bedragen.
Werk samen met telecomproviders aan caller-ID-verificatie en blokkeren van spoofing. Deel fraude-indicatoren via sectorale platforms, met respect voor de AVG. En bied een helder, uniform vergoedingskader zodat klanten weten waar zij aan toe zijn.
