De Vlaamse ondernemer en tv-maker Gert Verhulst stopt met online betalen. Hij zegt dat hij te bang is voor phishing en andere digitale fraude. Dat maakte hij deze week in België bekend. De stap wakkert het debat aan over AI bij online oplichting en de gevolgen van de Europese AI-verordening voor overheid en banken.
Bekende Vlaming mijdt online betalen
Het besluit van Gert Verhulst raakt een gevoelige snaar. Steeds meer mensen twijfelen aan de veiligheid van digitale betalingen. De angst groeit door berichten over nepmails, valse sms’jes en misbruik van bankapps. Bekende namen geven dat wantrouwen extra gewicht.
Toch is online betalen in de kern ontworpen om veilig te zijn. Banken in de EU gebruiken sterke klantauthenticatie, zoals een bankapp en 3‑D Secure. Criminelen omzeilen dat niet technisch, maar psychologisch. Ze misleiden slachtoffers om zelf goedkeuring te geven.
De reflex om dan maar niets meer online te betalen, heeft ook nadelen. Webwinkels, ticketing en overheidsdiensten rekenen op digitale kanalen. Als vertrouwen daalt, stokt die digitalisering. Dat raakt burgers én instellingen, juist nu nieuwe regels als de Europese AI‑verordening ingaan.
Phishing wint aan overtuigingskracht
Phishing is een vorm van bedrog waarbij criminelen mensen verleiden om op een valse link te klikken of codes door te geven. Dat gebeurt via e‑mail, sms, WhatsApp of telefoontjes. Eenmaal binnen proberen ze betalingen te starten of in te loggen bij banken en webshops. De trucs worden elk jaar geraffineerder.
Phishing is het misleiden van mensen om hen op een valse link te laten klikken of persoonlijke gegevens te laten invullen, vaak via e‑mail, sms of telefoontjes.
Generatieve AI maakt de valkuilen dieper. Teksten zijn foutloos en persoonlijk, dankzij modellen zoals ChatGPT van OpenAI en Gemini van Google. Met voice‑cloning, bijvoorbeeld via ElevenLabs, kunnen oplichters stemmen nadoen. En deepfake‑video’s versterken “CEO‑fraude” of familiebelt‑oplichting.
Ook de kanalen verschuiven. “Smishing” via sms en “vishing” via telefoontjes nemen toe. Criminelen sturen slachtoffers naar realistisch ogende websites met nep‑inlogschermen. Soms lijkt zelfs de bankapp betrokken, omdat het slachtoffer zelf bevestigt wat de crimineel vraagt.
Europese regels vragen om naleving
De betaalrichtlijn PSD2 verplicht sterke klantauthenticatie: twee stappen, bijvoorbeeld bankapp plus pincode. Webshops gebruiken 3‑D Secure om creditcardbetalingen extra te beveiligen. Toch blijft de menselijke factor kwetsbaar. Daarom werken toezichthouders aan strengere eisen voor waarschuwingen en transactiemonitoring.
De EU werkt aan PSD3 en de nieuwe Payment Services Regulation. Doel is onder meer duidelijkere terugboekingsregels en betere fraudepreventie. In Nederland helpt de IBAN‑Naam Check (SurePay) al om vergissingen en fraude te voorkomen. Een EU‑brede “confirmation of payee” staat in de steigers.
De AVG verplicht organisaties tot dataminimalisatie en versleuteling. Dat beperkt schade bij datalekken, die vaak als grondstof dienen voor phishinglijsten. De AI‑verordening (AI Act) voegt transparantieplichten toe voor deepfakes en strengere regels voor hoog‑risico‑toepassingen, zoals biometrische identificatie. De Digital Services Act verplicht grote platforms om oplichtingscontent sneller te verwijderen.
Banken moeten duidelijker communiceren
Techniek alleen is niet genoeg; ontwerp en taal tellen mee. Bankapps van ING, Rabobank en ABN AMRO in Nederland, en KBC, Belfius en BNP Paribas Fortis in België, waarschuwen al bij verdachte overboekingen. Maar meldingen zijn soms te technisch of te subtiel. Helder Nederlands en concrete voorbeelden werken beter dan juridisch jargon.
Ook het goedkeurscherm kan slimmer. Laat expliciet zien wie de begunstigde is, wat het bedrag is en waarom de betaling afwijkt van iemands patroon. Een korte vertraging bij risicovolle transacties geeft gebruikers bedenktijd. Dat is een bewezen rem op impulsbeslissingen onder druk van een oplichter.
Tot slot helpt “out‑of‑band” bevestiging: via een tweede, onafhankelijk kanaal. Denk aan een aparte pushmelding in plaats van een link in sms of e‑mail. En bied een directe “twijfelknop” in de app die de klant veilig doorverbindt met het bankteam. Zo krijgt de klant controle terug.
Overheid moet drempels verlagen
Publieke diensten digitaliseren snel, van belastingzaken tot vergunningen. Als burgers het gevoel krijgen dat online betalen onveilig is, zoeken ze de balie weer op. Dat kost tijd en geld en sluit digitale diensten uit. Overheden moeten dus inzetten op begrijpelijke waarschuwingen en veilige standaardroutes.
De combinatie van DigiD en iDEAL in Nederland en itsme in België verkleint risico’s. Deze apps gebruiken tweestapsverificatie en versleuteling, een techniek die gegevens onleesbaar maakt voor derden. Heldere communicatie rond updates en nepberichten hoort daar standaard bij. Zo daalt de druk op helpdesks en neemt vertrouwen toe.
De Europese AI‑verordening raakt ook de overheid. Deepfake‑regels verplichten tot labelen van synthetische media. Dat helpt bij voorlichting over nepvideo’s van “ambtenaren” of “ministers” die om geld vragen. Snelle verwijdering via de Digital Services Act sluit de keten af.
Praktische stappen voor consumenten
Typ altijd zelf het webadres van je bank of webshop. Klik niet op betaal- of inloglinks in e‑mail, sms of chat. Deel nooit codes die je bankapp of scanner toont. Een echte bank vraagt daar niet om.
Gebruik een wachtwoordmanager en zet tweestapsverificatie aan. Houd telefoon en apps up‑to‑date. Betaal bij voorkeur via iDEAL of een creditcard met 3‑D Secure, zodat je extra bescherming hebt. Let op onverwachte druk om “nu meteen” te betalen.
Twijfel je? Bel je bank via het nummer op de officiële website. Ben je toch slachtoffer, bel direct je bank om je rekening te blokkeren. Meld de fraude bij de Fraudehelpdesk.nl (Nederland) of Safeonweb.be (België) en doe zo nodig aangifte. Zo help je ook anderen.
