De Vlaamse mediaondernemer Gert Verhulst stopt met online betalingen uit angst voor phishing. Hij maakte die keuze recent bekend in België. De toename van digitale oplichting en nepberichten ligt eraan ten grondslag. De stap wakkert het debat aan over veilig digitaal betalen, AI-gestuurde fraude en de gevolgen van de Europese AI-verordening (AI Act) voor consumenten en overheid.
Angst voor phishing groeit
De beslissing van een bekende presentator raakt een gevoelige snaar. Phishing komt steeds vaker via sms, e-mail en chat binnen. Criminelen gebruiken taal en logo’s die nauwelijks van echt te onderscheiden zijn. Daardoor twijfelen ook ervaren internetgebruikers.
Phishing is het misleiden van mensen om gevoelige gegevens te krijgen, vaak via e‑mail, sms of chat, met een link naar een valse website.
In België waarschuwt het Centrum voor Cybersecurity België voor een constante stroom aan valse betaal- en bezorgberichten. In Nederland meldt de Fraudehelpdesk vergelijkbare patronen met bank-, pakket- en beleggingsfraude. De toon en timing van berichten zijn steeds beter afgestemd op de ontvanger. Dat vergroot de kans dat iemand toch klikt.
Publieke figuren en ondernemers lopen extra risico. Er is veel informatie over hen online te vinden. Oplichters gebruiken die gegevens om berichten persoonlijk te maken. Daardoor lijken verzoeken om te betalen of te bevestigen geloofwaardig.
Sterke authenticatie kent grenzen
Banken passen sterke klantauthenticatie toe onder PSD2. Dat is een Europese regel die twee stappen eist, bijvoorbeeld een wachtwoord en bevestiging in de bankapp. Dit verkleint het risico op misbruik door derden. Toch is het geen waterdichte barrière.
Bij sociale‑engineeringfraude verleiden criminelen mensen om zelf goed te keuren. Ze doen zich voor als bankmedewerker of pakketdienst. Slachtoffers scannen dan een code of tikken een pushmelding weg. De betaling is dan formeel “toegestaan”, maar onbedoeld.
Fintech en banken voegen extra checks toe, zoals apparaatkoppeling en het ondertekenen van de exacte transactie. Dat helpt, maar nepwebsites kunnen schermen namaken. Ook telefoonnummers worden gespooft, waardoor een gesprek lijkt te komen van de eigen bank.
Dat iemand als Verhulst tijdelijk afziet van online betalen, laat zien hoe groot het wantrouwen kan worden. Het vermindert wel het risico op digitale fraude. Maar het maakt dagelijks leven lastiger en kan leiden tot digitale uitsluiting. De uitdaging is om veiligheid en gemak in balans te houden.
AI maakt fraude geloofwaardiger
Generatieve AI schrijft foutloze, overtuigende teksten in het Nederlands en Vlaams. Tools zoals ChatGPT van OpenAI, Gemini van Google en open modellen als Llama van Meta worden ook misbruikt. Oplichters laten deze systemen professionele e-mails, chats en nepwebsites maken. De drempel om realistisch te misleiden is daardoor lager.
Stemklonering en deepfakes vergroten het risico bij telefonische fraude. Met publieke of open‑source tools kunnen stemmen worden nagebootst. In combinatie met nummerspoofing klinkt een “bankmedewerker” dan echt. Slachtoffers vertrouwen zo sneller een betaalverzoek.
Beeld- en audiowatermerken, zoals SynthID van Google DeepMind, moeten synthetische media herkenbaar maken. Grote platforms testen detectie en labeling. Maar criminelen houden zich niet aan spelregels en kunnen watermerken verwijderen. Misbruik is dus lastig volledig te stoppen.
De Europese AI‑verordening legt plichten op voor aanbieders van generatieve modellen, zoals transparantie over deepfakes. Dat kan misleiding beperken in legale diensten. Toch vallen malafide verspreiders vaak buiten zicht. Handhaving en internationale samenwerking blijven cruciaal.
Europese regels in beweging
De AVG eist dat organisaties zo min mogelijk persoonsgegevens verwerken en goed beveiligen. Datalekken voeden namelijk gerichte phishing. Banken en (web)shops moeten encryptie en toegangsbeheer op orde hebben. Dit verkleint de kans dat gegevens op straat komen.
Onder PSD2 geldt sterke klantauthenticatie voor betalingen. Nieuwe Europese regels, zoals de Payment Services Regulation (PSR) en PSD3, zijn op het moment van schrijven in voorbereiding. Ze leggen meer nadruk op fraudepreventie en samenwerking tussen banken en betaaldiensten. De recente verordening voor instant‑betalingen verplicht daarnaast extra controles, wat verkeerde overboekingen kan beperken.
Overheden en toezichthouders investeren ook in bewustwording. Het Centrum voor Cybersecurity België en de Nederlandse Fraudehelpdesk delen waarschuwingen en lesmateriaal. Telecombedrijven werken aan blokkades tegen nummerspoofing. Samen moet dit de stroom van overtuigende nepberichten indammen.
Voor publieke diensten speelt nog een extra laag. De NIS2‑richtlijn verplicht hogere cybernormen voor essentiële en belangrijke organisaties. Denk aan gemeenten, zorg en energie. Minder digitale zwakke plekken betekent ook minder kansen voor phishers.
Wat burgers nu helpt
Open geen betaal- of inloglinks uit berichten. Ga zelf naar de website of bankapp door het adres handmatig te typen. Bel nooit terug via een nummer in een bericht, maar zoek het officiële nummer op. Twijfel? Wacht en vraag iemand mee te kijken.
Zet limieten en meldingen aan voor overboekingen in uw bankapp. Gebruik een apart toestel of profiel voor bankzaken. Update systemen en apps zodat bekende gaten dicht zijn. Sla geen gevoelige gegevens op in e‑mail of notities.
Meld verdachte berichten bij uw bank en bij de juiste instantie. In België kan dat bij het CCB, in Nederland bij de Fraudehelpdesk. Een snelle melding vergroot de kans om schade te beperken. Het helpt ook anderen te waarschuwen.
Bedrijven kunnen medewerkers trainen met simpele, regelmatige oefeningen. Bescherm e‑maildomeinen met SPF, DKIM en DMARC, zodat misbruik minder kans krijgt. Gebruik strikte rechten per functie en logins met twee stappen. Zo verklein je zowel menselijke als technische risico’s.
