Banken in België en Nederland krijgen meer klachten over phishing en bankhelpdeskfraude. Klanten willen weten wie de schade vergoedt en waarom waarschuwingen niet altijd helpen. De sector zoekt naar technische én juridische oplossingen binnen de Europese regels. De druk stijgt, omdat oplichters kunstmatige intelligentie inzetten om geloofwaardiger te klinken en te schrijven.
Phishing zet druk op banken
De golf aan nepmails, sms’jes en telefoontjes zorgt voor veel spanningen tussen klanten en banken. Helpdesks zien meer gevallen waarin mensen zelf geld overboeken na manipulatie, ook wel authorised push payment-fraude genoemd. Banken wijzen erop dat criminelen vooral buiten de bankapp toeslaan, bijvoorbeeld via telefoongesprekken. Klanten ervaren tegelijk dat waarschuwingen soms te algemeen of te laat komen.
De kernvraag is wie welke risico’s draagt wanneer een betaling met sterke klantauthenticatie is bevestigd. Onder de Europese betaaldienstenregels (PSD2) geldt een andere aansprakelijkheid bij onrechtmatige transacties dan bij vrijwillig geïnitieerde overschrijvingen. Bij social engineering claimen banken vaak dat de klant de laatste stap zette. Geschillencommissies en rechters kijken dan naar zorgplichten, concrete waarschuwingen en redelijke beveiliging.
In België spelen Febelfin en ombudsdiensten een rol in bemiddeling, in Nederland doen Betaalvereniging Nederland en het Kifid dat. Overheden moedigen meldpunten aan, zoals Safeonweb.be en de Fraudehelpdesk.nl. Toch blijft veel schade moeilijk te verhalen als geld snel via katvangers verdwijnt. Daarom groeit de roep om preventie die vóór de overboeking ingrijpt.
Phishing is het misleiden van iemand om zelf geld over te maken of inlog- en verificatiecodes af te staan, vaak via e-mail, sms of een geloofwaardig telefoontje.
AI helpt fraude én bestrijding
Generatieve AI maakt phishing overtuigender en goedkoper. Grote taalmodellen zoals ChatGPT en Gemini produceren foutloze teksten in het juiste dialect of met passende toon. Voice-cloning via tools als ElevenLabs kan een “bankmedewerker” of familielid realistisch laten klinken. Ook deepfakes in video en real-time vertaling verlagen drempels voor internationale bendes.
Banken zetten tegelijk algoritmen in om fraude te ontdekken. Leveranciers als Feedzai, Featurespace, NICE Actimize en SAS leveren modellen die gedrag, apparaatkenmerken en transactiepatronen combineren. Gedragsbiometrie meet bijvoorbeeld type- en swipepatronen om stress of overname te herkennen. Zulke modellen werken beter met veel data, maar kunnen ook onterecht blokkeren.
De keerzijde is privacy en uitlegbaarheid. Onder de AVG moeten banken dataminimalisatie toepassen en kunnen klanten geautomatiseerde beslissingen aanvechten. Vals-positieven kunnen klanten buitensluiten of vertragen, wat de klantervaring schaadt. Daarom combineren instellingen automatische detectie met menselijk toezicht en duidelijke motivering.
Naam-nummercontrole EU-breed
Een concrete maatregel is de naam-nummercontrole, ook bekend als Confirmation of Payee. In Nederland is de IBAN-Naam Check via onder meer Rabobank, ING, ABN AMRO en leverancier SurePay breed ingezet. Het systeem vergelijkt de ingevoerde naam met de IBAN en geeft een waarschuwing bij een afwijking. Dat voorkomt typefouten en een deel van de oplichting.
België onderzoekt invoering, mede via sectororganisaties zoals Febelfin. In de praktijk hangt effectiviteit af van de dekking bij alle banken en de duidelijkheid van de waarschuwing. Een heldere melding met concrete vervolgstappen verlaagt het risico dat klanten waarschuwingen wegklikken. Toch blijft het een hulpmiddel; katvangers openen rekeningen op naam, waardoor de match soms “groen” lijkt.
De Europese Commissie wil Confirmation of Payee Europees verplichten via de nieuwe betaalregelgeving (PSR/PSD3). Op het moment van schrijven werken het Europees Parlement en de Raad aan de definitieve teksten en invoeringstermijnen. Zodra dit ingaat, moeten betaaldienstverleners in de EU real-time naamcontroles aanbieden. Dat kan grensoverschrijdende betaalfraude merkbaar verminderen.
Vergoeding en zorgplichten verduidelijkt
Wie betaalt de schade blijft een heikel punt. Bij niet-toegestane transacties zonder sterke klantauthenticatie moet de bank in principe vergoeden. Bij vrijwillige overschrijvingen na misleiding ligt dat genuanceerder en kijken toezichthouders naar waarschuwingen, klantgedrag en de rol van de bank. Het Verenigd Koninkrijk voert al een brede vergoedingsplicht voor push payment-fraude in; de EU bespreekt vergelijkbare bescherming.
Banken vrezen moreel risico als vergoedingen automatisch zijn. Onvoorwaardelijke terugbetaling kan fraude aanjagen en de kosten voor alle klanten verhogen. Een middenweg is “gedeelde aansprakelijkheid” bij aantoonbare tekortkomingen in waarschuwingen of verificatie. Heldere, uniforme criteria helpen teleurstelling en willekeur te voorkomen.
Nationale geschilleninstanties, zoals Kifid in Nederland, toetsen casuïstisch aan zorgplichten. Duidelijke communicatie in apps, heldere schermteksten en proactieve waarschuwingen bij risicosignalen wegen mee. Ook samenwerking in de keten, bijvoorbeeld snelle bevriezing bij ontvangende banken, vergroot de kans op schadebeperking. Dat vraagt gestroomlijnde procedures en 24/7 bereikbaarheid.
AI-verordening raakt banken
De Europese AI-verordening (AI Act) legt banken strengere eisen op voor modellen met hogere risico’s. Systemen die toegang tot essentiële diensten beïnvloeden, zoals kredietbeoordeling, vallen hoog in de risicoklasse en krijgen extra verplichtingen. Fraudedetectie staat niet expliciet als hoog risico genoemd, maar zal moeten voldoen aan documentatie-, test- en transparantie-eisen. Dit komt bovenop de AVG-plichten rond dataminimalisatie, beveiliging en uitlegbaarheid.
In de praktijk betekent dit dat banken een data protection impact assessment (DPIA) uitvoeren en modelrisico’s vastleggen. Trainingdata moeten representatief zijn en vooroordelen beperken. Logging en menselijk toezicht worden verplicht om fouten te corrigeren. Voor klanten moet duidelijk zijn wanneer een blokkade geautomatiseerd is en hoe bezwaar werkt.
Daarnaast spelen eIDAS 2.0 en de Europese digitale identiteit een rol bij veilige onboarding en ondertekening. In België versterkt de itsme-app digitale verificatie, in Nederland helpt iDIN bij identiteitscontrole. NIS2 breidt de meldplicht voor cyberincidenten uit, wat ook betalingsfraude raakt. Zo schuiven techniek en regelgeving samen op richting meer weerbaarheid.
Wat werkt nu al
Een vertraging op risicovolle overschrijvingen geeft tijd om te twijfelen en te bellen. Combinaties van risicosignalen, zoals nieuw toestel, hoog bedrag en vreemd rekeningtype, kunnen automatisch zulke “time-outs” activeren. Duidelijke, specifieke waarschuwingen in begrijpelijke taal verhogen het effect. Een “bel mij terug”-knop in de app via een veilig nummer helpt spoofing te omzeilen.
Telecommaatregelen tegen spoofing, zoals striktere caller-ID-validatie, vergen samenwerking met providers en toezichthouders. In Europa staat brede invoering nog in de kinderschoenen, maar pilots lopen. Data-uitwisseling tussen banken om katvangers sneller te blokkeren vraagt een solide juridische basis onder de AVG. Pseudonimisering en versleuteling beperken privacyrisico’s bij gedeelde signalen.
Tot slot blijven eenvoud en routine belangrijk voor gebruikers. Herhaal dezelfde stappen: nooit codes doorgeven, nooit op links uit berichten inloggen, en bij twijfel zelf het bekende banknummer bellen. Meld pogingen bij Safeonweb.be of de Fraudehelpdesk.nl om patronen zichtbaar te maken. Publiekscampagnes werken het best wanneer ze aansluiten op concrete, herkenbare scenario’s.
