De fraudepandemie van 2026: waarom identiteitsbeveiliging nooit meer hetzelfde wordt
De manier waarop criminelen identiteitsfraude plegen, is de afgelopen jaren ingrijpend veranderd. Waar fraudeurs tot voor kort nog fysieke trucs nodig hadden – een nagemaakt paspoort, een masker of een foto op een telefoonscherm – volstaan tegenwoordig een laptop en de juiste software. Marco Gouw, Country Manager Benelux & DACH bij Veridas, ziet die verschuiving dagelijks. Vooruitlopend op Veridas’ Identity & Business Day later deze maand sprak Banken.nl met hem over waarom de oude verdedigingslinies niet langer volstaan.
Stel: een fraudeur maakt een screenshot van iemands gezicht, bijvoorbeeld van een LinkedIn-profielfoto. Met een handvol AI-tools bouwt hij daar binnen enkele minuten een levensechte deepfake van: een digitaal gezicht dat knippert, glimlacht en het hoofd draait alsof het echt is.
Vervolgens voert hij dat beeld rechtstreeks het verificatiesysteem in, zonder dat de camera van het apparaat eraan te pas komt. Het systeem van de bank ziet een klant die inlogt. In werkelijkheid zit er niemand voor het scherm.
Dit zijn zogeheten injection attacks, en volgens Gouw vormen ze de belangrijkste verschuiving in het fraudelandschap van de afgelopen jaren. “Het klassieke beeld van fraude – iemand die een nep-paspoort voor een camera houdt of een rubberen masker opzet – bestaat nog steeds.”
“Maar het groeiende probleem zit in aanvallen die de camera volledig omzeilen. De fraudeur is fysiek niet meer aanwezig. Hij stuurt synthetische data rechtstreeks het systeem in.”
Pak grootschalige fraude effectief aan. Kom naar de Identity & Business Day en ontdek hoe je geavanceerde identiteitsaanvallen herkent en voorkomt. Schrijf je hier in.
De cijfers bevestigen die ontwikkeling. Het afgelopen jaar steeg het aantal injection attacks aanzienlijk. Uit het IC3-rapport van de FBI – wereldwijd een belangrijke graadmeter – blijkt dat de financiële schade door cybercrime, waarvan identiteitsfraude een steeds groter aandeel vormt, tussen 2020 en nu is gestegen van vier miljard naar bijna 21 miljard dollar: een toename van ruim 500%.
Het aantal meldingen steeg in dezelfde periode met slechts 25%. “Veel bedrijven zien deze fraude nog niet eens terug in hun systemen”, zegt Gouw. “De aanval blijft onzichtbaar als je je systemen er niet expliciet op inricht.”
Niet de identiteit checken, maar de werkelijkheid
Hoe verdedig je je tegen een aanval die je niet kunt zien? Volgens Gouw vraagt dat om een fundamenteel andere benadering. Veridas spreekt van Proof of Reality: niet alleen controleren of het gezicht op het scherm overeenkomt met een foto in de database, maar verifiëren of de opname überhaupt in de echte wereld is gemaakt.
“De traditionele aanpak is visueel: lijkt dit gezicht op die pasfoto? Dat is één laag, en die blijft nodig. Maar als de data die je binnenkrijgt synthetisch is, vergelijk je in feite een deepfake met een pasfoto – en krijg je alsnog een match.”
Daarom combineert Veridas drie lagen: documentverificatie, gezichtsauthenticatie en beveiliging van het apparaat en het datakanaal. “De beveiligingsindustrie spreekt al jaren over drie pijlers: iets dat je weet, zoals een pincode; iets dat je hebt, zoals je telefoon; en iets dat je bent”, legt Gouw uit.
“Die derde pijler – biometrie – wordt nog te vaak onderschat. Zonder bewijs dat er op dat moment daadwerkelijk een mens voor de camera zit, op dat specifieke apparaat, kun je de realiteit niet vaststellen.”
De stem als nieuw slagveld
De verschuiving raakt niet alleen gezichtsherkenning. Ongeveer 70% van alle klantcommunicatie bij financiële instellingen verloopt nog altijd via de telefoon. Ook daar verandert het speelveld snel. “De veiligheidsvragen die callcenters stellen – zoals je geboortedatum of accountnummer – gaan ervan uit dat alleen jij die informatie kent”, zegt Gouw.
“Maar die gegevens lekken via datalekken, social media of phishing. Het echte vertrouwen ontstaat wanneer een medewerker denkt: ik herken deze persoon aan zijn stem. En juist dát kun je tegenwoordig klonen.”
Veridas ontwikkelde hiervoor Voice Shield: technologie die niet luistert naar wat er wordt gezegd, maar naar hoe de stem wordt geproduceerd.
“In een menselijke stem zitten geometrische markers – subtiele kenmerken in de manier waarop geluid door het strottenhoofd, de mondholte en de neus wordt gevormd. Een synthetische stem kan de klank perfect imiteren, maar die fysieke signatuur niet reproduceren.”
Het resultaat: binnen drie seconden kan het systeem bepalen of een stem echt of kunstmatig is. “Dat is een soort watermerk dat de natuur zelf aanbrengt”, aldus Gouw. “En dat kun je niet namaken.”
De klok tikt: regulering dwingt de hand
De technologie bestaat, maar de urgentie om haar in te zetten wordt ook van buitenaf opgedreven. Met de invoering van het Europese Single Rulebook en de Anti Money Laundering Regulation moeten financiële instellingen aan strengere identificatienormen voldoen.
Eind volgend jaar moeten banken, verzekeraars en telecombedrijven de Europese EUDI-wallets ondersteunen: digitale identiteitsbewijzen die aan hoge assurance-standaarden moeten voldoen. Dat betekent onder meer dat organisaties moeten kunnen aantonen dat zij zich kunnen weren tegen zowel presentation- als injection attacks, gecertificeerd volgens de Europese technische standaard ETSI TS 119461.
Voor Veridas is dat een thuiswedstrijd. Het bedrijf – van Spaanse oorsprong en volledig Europees – ontwikkelt alle technologie in-house. “Wij zijn 100% proprietary”, benadrukt Gouw. “Veel concurrenten bouwen hun oplossingen deels op technologie van derde partijen – zogeheten rented technologies. Daardoor ben je voor updates afhankelijk van leveranciers en weet je niet waar je op hun prioriteitenlijst staat.”
Veridas werd onlangs door Gartner als Visionary gepositioneerd in het Identity & Document Verification-kwadrant en beschikt als enige partij in de markt over zowel iBeta Level 1- als Level 2-certificering én SOC 3-compliance. “Als we met compliance-afdelingen van banken praten, horen we regelmatig: als jullie dit allemaal al hebben, hoeven wij hier eigenlijk niet eens meer bij te zitten.”
Krijg grip op het nieuwe regelgevingslandschap. Kom volgende week naar het event en leer hoe je je weg vindt in de snel veranderende regels rond digitale identiteit. Schrijf je hier in.
De drukpers en de deepfake
Is dit een nieuwe wapenwedloop? Gouw hoeft niet lang na te denken. “Dat is het altijd al geweest. Toen de kleurenprinter opkwam, voorspelden mensen het einde van het bankbiljet. Iedereen zou geld gaan namaken. Maar de beveiligingsindustrie paste zich aan – met watermerken, hologrammen en speciale inkt – en vandaag kun je nog steeds echt van nep onderscheiden.”
Dezelfde dynamiek speelt zich nu af rond AI en identiteit, zegt hij, maar met één cruciaal verschil: de snelheid. “Waar de drukpers de sector jaren gaf om te reageren, geeft AI maanden.”
Gouw wijst op Zuid-Amerika, waar het niveau van aanvallen volgens hem al aanzienlijk hoger ligt dan in Europa. “Veridas speelt daar mee op het hoogste niveau als het gaat om fraudebestrijding. Het type aanvallen dat we daar tegenhouden, hebben we in Europa nog niet op die schaal gezien.”
Maar dat zal veranderen, verwacht hij. “Die dreiging verplaatst zich. En als dat gebeurt, ben ik benieuwd hoe organisaties die hun beveiliging niet hebben bijgewerkt zich staande houden.”
Kleine startups die claimen fraude te kunnen detecteren, missen volgens Gouw vaak het trainingsmateriaal om aanvallen van buiten hun eigen markt te herkennen. “Op de Nederlandse markt kun je misschien goede resultaten boeken. Maar zodra aanvallen uit andere regio’s komen, met andere modellen en technieken, stort dat kaartenhuis in.”
Identity & Business Day
Het is precies die boodschap die Gouw later deze maand wil meegeven aan de CIO’s en CISO’s die hij verwacht op Veridas’ Identity & Business Day. “Veel organisaties zitten midden in een digitale transformatie. De vraag die ik hen wil stellen is: welke rol speelt identiteit in je groeistrategie voor 2026 en 2027? Want als het antwoord is ‘dat regelt de beveiligingsafdeling wel’, dan heb je een probleem.”
Zijn boodschap voor 2026 vat hij het liefst samen in één zin: “Identiteit is geen kostenpost meer voor de beveiligingsafdeling. Het is je primaire conversie-engine. Bedrijven die het makkelijk maken voor criminelen en moeilijk voor klanten, trekken aan het kortste eind.”
“Vertrouwen”, zegt Gouw, “is de zeldzaamste valuta die er is. En die kun je niet printen.”
Geïnteresseerden kunnen hier terecht voor meer informatie en registratie.
