Onderzoekers van het Massachusetts Institute of Technology (MIT) waarschuwen dat kunstmatige intelligentie fraude goedkoper, sneller en moeilijker te zien maakt. In een nieuw rapport schetsen zij hoe generatieve modellen en automatische tools het werk van criminelen versterken. Dit speelt wereldwijd, maar heeft directe Europese AI-verordening gevolgen overheid en banken. De kern: de drempel om te misleiden zakt, en bestaande beveiliging loopt achter.
AI verlaagt fraudedrempel
Generatieve AI is software die zelf tekst, beeld of audio kan maken. Modellen zoals ChatGPT van OpenAI, Gemini van Google en Llama van Meta schrijven foutloze e-mails en bouwen overtuigende websites. Oplichters zetten die teksten in voor phishing en nepsites die sterk lijken op die van een bank of webwinkel. De taal is natuurlijk, lokaal en betrouwbaar voor de ontvanger.
Deepfake-techniek maakt nagemaakte stemmen en video. Diensten voor stemklonen, die een stem kopiëren na een korte opname, kunnen worden misbruikt voor zogeheten CEO-fraude en WhatsApp-fraude. Daarmee lijkt een betaalverzoek of spraakbericht echt van een leidinggevende of familielid te komen. Ook beeldgeneratoren leveren snel geloofwaardige identiteitsbewijzen of badges voor social engineering.
Automatisering vergroot de schaal. Bots sturen duizenden gepersonaliseerde berichten per uur en passen de toon aan op basis van openbare profielen. Vertaalfuncties maken het eenvoudig om Nederlandstalige slachtoffers te benaderen. Zo dalen de kosten per poging, terwijl het slagingspercentage stijgt.
Detectie wordt lastiger
Banken en platforms gebruiken al jaren algoritmen om verdachte transacties en accounts te vinden. Maar AI-gegenereerde berichten en synthetische profielen lijken steeds meer op normaal verkeer. Daardoor vangen regels en modellen minder afwijkingen af. Het onderscheid tussen echt en nep vervaagt.
Biometrische controles, zoals stemherkenning bij klantenservice, raken kwetsbaar door deepfake-audio. Beeldfilters en liveness-checks krijgen het zwaar door steeds betere vervalsingen. Detectiemodellen moeten sneller worden geüpdatet en met meer bronnen werken. Toch blijft het risico op fouten hoog.
“AI maakt fraude goedkoper, sneller en moeilijker op te sporen.”
Aanvallers testen hun berichten tegen de verdediging en passen ze aan tot ze door de filters glippen. Zulke tegenaanvallen, ook wel ‘adversarial’ genoemd, zijn goedkoop te herhalen met lokale, open modellen. Meer controles leiden intussen tot extra foutmeldingen en drempels voor gewone klanten. Dat schaadt vertrouwen en klanttevredenheid.
Europese regels scherpen aan
De Europese AI-verordening (AI Act) verplicht, op het moment van schrijven vanaf 2026, risicobeheer, documentatie en menselijk toezicht voor hoogrisico-toepassingen. Ook moeten aanbieders deepfakes duidelijk labelen en gebruikers informeren dat inhoud door een model is gemaakt. Dat raakt zowel techbedrijven als organisaties die AI inzetten voor bijvoorbeeld identificatie of kredietbeoordeling. Overtredingen kunnen leiden tot hoge boetes.
De AVG eist dataminimalisatie, beveiliging en transparantie bij geautomatiseerde besluitvorming. Burgers mogen informatie vragen over hoe een besluit tot stand komt en bezwaar maken. Voor banken en overheden betekent dit: uitleg kunnen geven bij modeluitkomsten en menselijke herbeoordeling aanbieden. Trainen op grote hoeveelheden persoonlijke data vraagt bovendien een duidelijke wettelijke basis.
Andere Europese regels komen erbij. DORA versterkt vanaf 2025 de digitale weerbaarheid in de financiële sector, inclusief testen en incidentmelding. PSD2 en de komende PSD3/PSR maken sterke klantauthenticatie en fraudemeldingen strenger. In Nederland houden de Autoriteit Persoonsgegevens en De Nederlandsche Bank toezicht, terwijl Europol’s EC3 informatie-uitwisseling over cyberfraude stimuleert.
Banken en bedrijven handelen nu
Begin met governance. Breng in kaart welke AI-systemen gebruikt worden, met welk doel en welke data. Voer onafhankelijke modelbeoordelingen en red-teaming uit, en leg beslisregels vast in begrijpelijke taal. Stel duidelijke exit- en noodprocedures op voor incidenten.
Versterk de techniek. Gebruik herkomststandaarden zoals C2PA om media van een digitaal ‘oorsprongslabel’ te voorzien, al is dit geen sluitend middel. Schakel phishing-bestendige multifactor-authenticatie in, zoals FIDO2 passkeys, en voeg liveness-detectie toe aan biometrie. In betalingssysteemen helpt de IBAN-Naam Check (zoals SurePay) vergissingen en spoofing te verminderen.
Organiseer processen rond menselijk toezicht. Train medewerkers in het herkennen van deepfakes en gescripte druktechnieken. Pas betaalprocessen aan met korte wachttijden of extra bevestigingen bij hoog risico. Deel fraude-indicatoren via sectorverbanden en meld grote zaken bij FIU-Nederland en de politie.
Open modellen verlagen drempel
Open-source modellen, zoals Llama en beeldgeneratoren die lokaal draaien, zijn vrij aan te passen. Dat is goed voor innovatie, maar verlaagt ook de drempel voor misbruik. Criminelen kunnen filters weghalen en de modellen trainen op eigen data. Zo ontstaat maatwerkfraude die lastiger te detecteren is.
Gesloten systemen van partijen als OpenAI en Google hebben meer beveiligingsmaatregelen, maar die zijn niet waterdicht. Via ‘jailbreaks’ of toolketens kunnen beperkingen worden omzeild. Ook kunnen outputcontroles niet zien wat er lokaal met de inhoud gebeurt. De keten is zo sterk als de zwakste schakel.
Beleid moet daarom misbruik tegengaan zonder onderzoek te verlammen. Standaarden voor watermerken en herkomst, plus meer publieke investeringen in detectie, helpen. Toezichthouders kunnen eisen dat organisaties hun modellen testen tegen deepfakes en sociale-engineering-scenario’s. Zo houdt Europa de balans tussen innovatie en veiligheid.
