Bankhelpdeskfraude en phishing nemen in 2025 merkbaar toe in Nederland en daarbuiten. Criminelen gebruiken kunstmatige intelligentie om neptelefoontjes en e-mails geloofwaardiger te maken. Banken en politie zien dat slachtoffers vooral via sociale druk en nummerspoofing worden verleid om zelf geld over te maken. De Europese AI-verordening gevolgen overheid en banken spelen mee in de aanpak, maar misbruik gaat snel.
AI tilt phishing op
Generatieve AI, zoals grote taalmodellen die tekst schrijven, maakt phishingberichten strakker en foutloos. Waar vroeger taalfouten opvielen, lijken mails en sms’jes nu authentiek en persoonlijk. Dat vergroot de kans dat mensen op een link klikken of inloggen op een nagemaakte site.
Criminelen zetten ook chatbots in om snel te reageren in meerdere gesprekken tegelijk. Zo houden zij druk op de ketel en bouwen zij vertrouwen op. Het patroon van nepservice en echte stress blijft hetzelfde, maar de schaal en snelheid nemen toe.
OpenAI’s GPT-4 en Google’s Gemini tonen wat mogelijk is met het genereren van tekst. Zulke systemen zijn bedoeld voor productiviteit en klantenservice, maar de functies kunnen worden misbruikt. Voor burgers is het bijna niet meer te zien aan stijl of toon of een bericht echt is.
Stemklonen voedt helpdeskfraude
Bij bankhelpdeskfraude belt een oplichter als “medewerker” van een bank en vraagt de klant om een betaling te “bevestigen” of geld “veilig te stellen”. Daarbij gebruiken bendes nummerspoofing: het lijkt alsof het officiële banknummer belt. Soms sturen zij daarna een koerier voor een pas, of leiden zij het slachtoffer naar een valse website.
Bankhelpdeskfraude is een vorm van sociale engineering waarbij slachtoffers zelf een betaling autoriseren na druk of misleiding door een zogenaamd bankmedewerker.
Met spraakklonen (voice cloning) kan een fraudeur in enkele minuten een geloofwaardige stem nabootsen. Spraakmodellen maken van korte audiofragmenten een digitale stem die live kan spreken. Dit geeft telefoontjes extra overtuiging, zeker als ook persoonsgegevens zijn buitgemaakt.
De AI-verordening (AI Act) verplicht tot transparantie bij zogeheten deepfakes. Makers moeten duidelijk maken dat audio of video synthetisch is. Criminelen houden zich daar niet aan, waardoor detectie en waarschuwing door platforms en telecom cruciaal worden.
Bankcontrole kent grenzen
Banken als ING, Rabobank en ABN AMRO gebruiken al jaren algoritmen voor transactie-analyse. Zulke systemen zoeken naar afwijkend gedrag, zoals ongebruikelijke bedragen of nieuwe begunstigden. Toch falen ze bij zogeheten “geautoriseerde” betalingen, omdat de klant zelf goedkeurt.
Sterke klantauthenticatie via PSD2 (twee stappen, zoals app en biometrie) helpt tegen diefstal van inloggegevens. Maar sociale druk om “nu te bevestigen” omzeilt techniek. De zwakste schakel blijft het menselijk besluit om te klikken of te tekenen.
Onder de AVG moeten banken dataminimalisatie en versleuteling toepassen. Dat beperkt onnodige dataverwerking bij fraudedetectie, maar vraagt slimme, privacyvriendelijke modellen. Meer controle kan ook leiden tot foutmeldingen en geblokkeerde betalingen, wat klantfrictie geeft.
AI-verordening: gevolgen overheid
De Europese AI-verordening zet regels voor risicovolle AI-systemen en eist transparantie bij synthetische media. Voor overheden en banken betekent dit duidelijke documentatie, uitlegbaarheid en toezicht op modellen die burgers raken. Deepfake-labels moeten misleiding tegengaan, al zullen criminelen die regels negeren.
Nieuwe betaalregels (PSD3 en de Payment Services Regulation) beogen bredere naam-nummercontroles en betere terugboekingsrechten bij oplichtingsbetalingen. Nederland kent de IBAN-Naam Check van SurePay al, die veel banken inzetten. EU-brede invoering kan grensoverschrijdende fraude bemoeilijken.
De Digital Services Act verplicht platforms om misleidende advertenties en phishing sneller aan te pakken. NIS2 scherpt de cyberweerbaarheid en meldplichten aan, ook in de financiële keten. Samen kunnen deze kaders druk zetten op telecom, platforms en betaalpartijen om sneller in te grijpen.
Nederland scherpt bescherming aan
Betaalvereniging Nederland en de Nederlandse Vereniging van Banken investeren in betere detectie en klantwaarschuwingen. Banken delen signalen over geldezels en verdachte stromen binnen de kaders van de wet. Dat helpt om rekeningen die voor doorstroom worden misbruikt sneller te sluiten.
De IBAN-Naam Check verkleint fouten bij overschrijvingen, maar stopt geen bewuste spoedbetalingen onder druk. Daarom testen banken en telecomproviders aanvullende stappen, zoals extra waarschuwingen bij risicovolle transacties. Ook werken zij aan betere herkenning van nummerspoofing.
Burgers en organisaties vinden centraal informatie bij de Fraudehelpdesk en de politie. De Autoriteit Persoonsgegevens houdt toezicht op de inzet van datamodellen. Beleidsmakers zoeken zo naar balans tussen privacy, veiligheid en snelheid.
Wat u nu kunt doen
Hang op en bel zelf terug via het officiële nummer van uw bank. Een bank vraagt nooit om een pincode, TAN-code of om uw geld “veilig te stellen”. Gebruik alleen de bankapp en ga niet in op links uit e-mails of sms’jes.
Controleer altijd de begunstigde met de IBAN-Naam Check en stuur bij twijfel eerst een klein bedrag. Zet meldingen in uw app aan voor realtime waarschuwingen. Meld pogingen direct bij uw bank en bij de Fraudehelpdesk.
Organisaties kunnen interne controles aanscherpen, zoals het vierogenprincipe voor betalingen. Train medewerkers op moderne phishing en stemklonen met realistische voorbeelden. Werk met IT aan up-to-date beveiliging en logging, en leg afspraken vast voor incidentrespons.
