In België ontsnappen op het moment van schrijven veel plegers van phishing aan vervolging. Politie en parketten raken overbelast, terwijl netwerken achter de fraude grensoverschrijdend werken en snel van tactiek wisselen. De inzet van kunstmatige intelligentie vergroot de schaal en overtuigingskracht van deze aanvallen. Dat wakkert de discussie aan over de Europese AI-verordening (AI Act) en de gevolgen voor overheid en handhaving.
Pakkans blijft laag door capaciteit
Justitie en politie geven prioriteit aan zwaardere geweldszaken, waardoor cyberzaken zoals phishing vaak blijven liggen. Dossiers zijn complex, met geldstromen via katvangers en crypto en sporen die over meerdere landen lopen. Dit vergt digitale expertise en veel tijd, die niet altijd beschikbaar is.
Grensoverschrijdende zaken vragen om samenwerking met Europol en Eurojust. Die processen zijn traag, zeker als data bij buitenlandse platformen staan. Intussen verdwijnen geld en bewijsmateriaal snel uit beeld.
Ook telecom- en bankgegevens zijn essentieel maar lastig te bundelen binnen de wettelijke kaders. Onder de AVG geldt dataminimalisatie: alleen strikt noodzakelijke persoonsgegevens mogen worden gedeeld. Dat botst soms met de behoefte om patronen over meerdere zaken te herkennen.
AI vergroot schaal en overtuiging
Criminelen gebruiken generatieve AI, zoals OpenAI’s ChatGPT en Google’s Gemini, om foutloze en geloofwaardige phishingmails te schrijven. Zulke taalmodellen genereren in seconden varianten, waardoor spamfilters en slachtoffers het moeilijker krijgen. Stemklonen met gangbare tools maken telefonische oplichting (vishing) overtuigender.
Beeld- en videomodellen, zoals Meta’s Llama-familie in combinatie met open source beeldgeneratoren, helpen om geloofwaardige logo’s en identiteitsbewijzen te fabriceren. Dat verhoogt de slagingskans bij WhatsApp- of helpdeskfraude. De technische drempel is laag, omdat veel modellen en sjablonen openbaar beschikbaar zijn.
De AI-verordening verplicht aanbieders van generatieve systemen tot transparantie en deepfake-etikettering. Dat helpt tegen misbruik, maar richt zich vooral op leveranciers, niet op daders. Handhaving blijft daardoor afhankelijk van opsporing en snelle verwijdering van misleidende content.
Phishing is het misleiden van mensen om gevoelige gegevens of geld af te troggelen via nepberichten, websites of telefoontjes.
Banken zetten detectie met AI
Banken en betaaldiensten in de EU gebruiken machinelearning, een vorm van zelflerende software, om afwijkende transacties te spotten. Realtime monitoring, naam‑nummer‑controles en extra verificaties beperken schade, maar social engineering omzeilt soms deze maatregelen. Sterke klantauthenticatie onder PSD2 helpt, maar slachtoffers geven codes nog te vaak zelf af onder druk.
In België coördineert het Centrum voor Cybersecurity België (CCB) publiekswaarschuwingen via Safeonweb.be. In Nederland ondersteunen de Nederlandse Vereniging van Banken en de politie campagnes tegen helpdesk- en vriend-in-noodfraude. Toch schuift de afwikkeling vaak af op civiele procedures tussen klant en bank, wat tijd kost.
Telecomproviders rollen sms‑firewalls en anti‑spoofmaatregelen uit om misleidende afzenders tegen te gaan. Toezichthouders als BIPT (België) en ACM (Nederland) sturen op blokkades van bekende malafide routes. Deze technische drempels verlagen de instroom, maar nemen het kernprobleem van organisatie en schaal van bendes niet weg.
Wetgeving loopt achter op praktijk
De AI-verordening zet kaders voor transparantie en risico’s, maar phishing valt vooral onder bestaande straf- en telecommunicatieregels. Nieuwe EU‑regels voor digitale bewijsvergaring (de e‑Evidence‑verordening) moeten het opvragen van data over de grens versnellen. Dat kan de doorlooptijd van strafzaken verkorten.
De AVG staat gegevensdeling voor opsporing toe, maar eist proportionaliteit en doelbinding. Overheden en bedrijven moeten dus precies vastleggen welke data zij delen, met wie en waarom. Versleuteling en logging zijn nodig om misbruik van gegevens te voorkomen.
Voor publieke diensten betekent dit zorgvuldige inzet van detectiesystemen met impact assessments. De “Europese AI-verordening gevolgen overheid” zijn concreet: modeldocumentatie, menselijk toezicht en duidelijke meldplichten bij deepfakes. Zonder extra capaciteit en opleiding verandert er echter weinig in de dagelijkse praktijk.
Samenwerking Benelux wordt cruciaal
Phishingbendes opereren door de hele Benelux, met katvangers en callcenters die snel wisselen van land. Gezamenlijke teams van Belgische en Nederlandse politie en het Openbaar Ministerie kunnen sneller beslag leggen en aanhoudingen doen. Delen van dreigingsinformatie met Europol versterkt dat effect.
Voor burgers en mkb is consequent melden belangrijk, zodat patronen zichtbaar worden. Nationale meldpunten en bankplatforms moeten die signalen technisch aan elkaar knopen. Dat vraagt om standaarden voor uitwisseling die passen binnen de AVG.
Tot slot kunnen overheden misbruik van AI afremmen door eisen aan platforms te combineren met snelle notice‑and‑takedown‑processen. Transparantie over welke fraudepatronen worden gezien, helpt ook leveranciers van e‑mail en hosting bij blokkades. Zo stijgt de pakkans, en daarmee de afschrikking.
Vooruitzicht: investeren in opsporing
Zonder extra digitale rechercheurs, data-analisten en forensische tools blijft de vervolging achter. Gericht investeren in training over generatieve AI en stemklonen is nodig om bewijs te herkennen en veilig te bewaren. Publiek‑private samenwerkingen kunnen tooling delen en doublures voorkomen.
Voor detectie werkt een combinatie van AI‑modellen, domeinblokkades en gedragsanalyses het beste. Belangrijk is dat systemen uitlegbaar blijven, zodat beslissingen juridisch standhouden. Dit sluit aan bij de eisen van de AI‑verordening voor menselijk toezicht en documentatie.
De kern: phishing is een schaalspel. Als politie, banken, telecom en platforms hun data sneller koppelen en opschalen, verschuift het voordeel naar de verdediging. Zonder die omslag blijven veel daders buiten bereik van vervolging.
