Een nieuwe internationale studie waarschuwt voor sterke groei van AI-fraude met deepfakes. Onderzoekers zien in Europa en Nederland vaker misleiding met nagemaakte stemmen en beelden. De toename raakt banken, overheid en bedrijven, op het moment van schrijven in 2026. Oorzaak is de snelle verspreiding van generatieve modellen en makkelijk te gebruiken apps.
Deepfakes vergroten risico’s
Criminelen gebruiken stemklonen en gemanipuleerde video om vertrouwen te winnen. Met een korte opname kan een algoritme iemands stem nadoen in bijna real time. Dat maakt spoedverzoeken en nep-gesprekken geloofwaardig. Ook gezichten worden met gezichtsverwisseltechniek in video’s geplakt.
In Nederland duiken varianten op van WhatsApp-fraude en zogenoemde CEO-fraude. Slachtoffers krijgen een bericht of telefoontje met een stem die klinkt als een leidinggevende of familielid. De druk is hoog en betaling moet snel. Beelden of documenten lijken echt, maar zijn synthetisch.
Een deepfake is door kunstmatige intelligentie gemaakt beeld of geluid dat sterk op echt materiaal lijkt, zoals een nagemaakte stem of gezichtsverwisselvideo.
De drempel is laag door vrij beschikbare generatieve systemen. Tekst-naar-spraaksoftware kan klankkleur en intonatie kopiëren. Open-source beeldmodellen maken overtuigende pasfoto’s en identiteitskaarten. Video- en audiobewerkingsapps versimpelen dit tot een paar klikken.
Banken onder druk
De financiële sector blijft een hoofddoelwit. Criminelen proberen onboarding op afstand te misleiden met synthetische identiteiten. Ook klantcontact via chat en telefoon wordt getest met stemklonen. Zo ontstaan realistische scenario’s van helpdesk- of betaalfraude.
De Europese betaaldienstenregels (PSD2) verplichten sterke klantauthenticatie. Toch werkt sociale manipulatie vaak: slachtoffers voeren codes zelf in. Callcenters met stemherkenning krijgen te maken met nagemaakte stemmen. Extra controlelagen en terugbelprocedures worden daarom belangrijker.
Banken zetten liveness-detectie in, dat controleert of iemand echt en aanwezig is. Criminelen reageren met schermopnames, voorleesbots en geavanceerde masking. Het wordt een kat-en-muis-spel. Delen van dreigingsinformatie binnen Betaalvereniging Nederland helpt patronen sneller te herkennen.
Europese AI-verordening geldt
De Europese AI-verordening (AI Act) legt transparantie-eisen op voor deepfakes. Makers en aanbieders van generatieve systemen moeten AI-gegenereerde content kenbaar maken. Watermerken en inhoudslabels worden verplicht waar dat technisch kan. Dit moet misleiding voor burgers en overheid beperken.
Voor high-risk systemen gelden zwaardere plichten, zoals risicobeheer, logs en menselijk toezicht. Overheidsorganisaties en aanbieders van essentiële diensten vallen hier vaak onder. Dat heeft directe gevolgen voor de inkoop en het gebruik van AI in gemeenten en uitvoeringsinstanties. Meerdere bepalingen treden gefaseerd in werking, op het moment van schrijven doorlopend in 2026 en 2027.
De AVG blijft leidend bij persoonsgegevens en biometrie. Stemprofielen en gezichtskenmerken zijn gevoelig en vragen een rechtmatige grondslag. Dataminimalisatie en versleuteling zijn vereist, net als een DPIA (gegevensbeschermingseffectbeoordeling) bij hoog risico. Opleiding van medewerkers hoort daarbij.
Detectie blijft beperkt
Detectietools voor nepaudio en -video worden beter, maar zijn niet feilloos. Ze geven vals-positieve en vals-negatieve uitkomsten. Kleine aanpassingen in het bestand kunnen een detector al misleiden. Alleen vertrouwen op automatische herkenning is daarom risicovol.
Inhoudslabels via de C2PA-standaard (Coalition for Content Provenance and Authenticity) winnen terrein. Grote partijen zoals Adobe, Microsoft en de BBC ondersteunen dit. Toch werkt het alleen als de hele keten het label bewaart. Bij knippen, converteren of schermopnames gaat de herkomstinformatie vaak verloren.
Niet alle modellen voegen watermerken toe, en sommige zijn te verwijderen. Open modellen en lokale apps bieden gebruikers meer vrijheid, ook voor misbruik. Platforms passen moderatie toe, maar lopen achter op nieuwe trucs. Het resultaat is een voortdurende wedloop.
Aanpak voor Nederland
De Autoriteit Persoonsgegevens, het Nationaal Cyber Security Centrum en de politie spelen een rol bij signalering en weerbaarheid. De Autoriteit Consument & Markt let op misleiding richting consumenten. Samenwerking met sectorpartijen, zoals Betaalvereniging Nederland en telecomaanbieders, versnelt blokkades en waarschuwingen. Europol deelt daarnaast analyses van Europese dreigingen.
Voor de overheid is heldere communicatie cruciaal, zeker rond verkiezingen en publieke diensten. De Europese Digital Services Act verplicht platforms om risico’s van manipulatieve inhoud aan te pakken. Overheden kunnen zelf Content Credentials toepassen om eigen uitingen herkenbaar te maken. Zo wordt het voor burgers makkelijker om officiële bronnen te verifiëren.
Organisaties kunnen nu al maatregelen nemen. Combineer authenticatiekanalen en gebruik terugbelafspraken via bekende nummers. Train medewerkers en klanten in het herkennen van spoed en druk. Leg beslissingen vast, test incidentrespons en voer periodiek een DPIA uit.
