Het mes snijdt aan twee kanten: hoe generatieve AI fraude aanwakkert

Sinds de lancering van ChatGPT door OpenAI in november 2022 volgden de technologische ontwikkelingen elkaar in hoog tempo op. De toepassingen van GenAI ontwikkelden zich van eenvoudige chatbots die vragen beantwoorden naar virtuele assistenten die video, audio en code kunnen genereren en zelfs complexere taken kunnen uitvoeren. Dit maakt het steeds moeilijker om te bepalen wat echt is en wat niet, vooral bij originele documenten of afbeeldingen die gedeeltelijk zijn bewerkt met GenAI. Zo heeft onderzoek van de Nederlandse overheid, waaruit bleek dat de meeste mensen moeite hebben om een deepfake-stem te herkennen, deze uitdaging onderstreept.

Met het groeiende aantal openbaar beschikbare GenAI-toepassingen lopen organisaties een verhoogd risico doordat zowel interne als externe actoren nu GenAI kunnen inzetten om fraude te plegen. Zo noemde de Association of Certified Fraud Examiners in 2025 onder meer identiteitsfraude, documentfraude en deepfake-aanvallen als de belangrijkste GenAI-fraudescenario’s. Daarnaast bleek uit een analyse van Feedzai in 2025, uitgevoerd bij meerdere financiële instellingen, dat bij meer dan 50% van de geconstateerde externe fraudes GenAI was ingezet.

De aanhoudende golf van GenAI-ontwikkelingen heeft het frauderisico-landschap ingrijpend veranderd. Hoewel traditionele fraudevormen zoals verduistering van activa, frauduleuze financiële verslaggeving of diefstal van intellectueel eigendom blijven bestaan, heeft de opkomst van gebruiksvriendelijke GenAI-tools de drempel voor het uitvoeren van deze fraudes verlaagd. De tools stellen individuen in staat om geavanceerde fraude eenvoudiger en zonder technologische expertise te plegen.

Hieronder beschrijven we enkele voorbeelden van frauderisico's die door GenAI worden versterkt, en nieuwe risico's die voortkomen uit het toenemende gebruik van GenAI en de integratie ervan in bedrijfsprocessen. 

Het maken of manipuleren van gegevens

Fraudeurs kunnen GenAI inzetten om geloofwaardige (numerieke) data, financiële administraties en onderliggende documentatie (bijvoorbeeld facturen) te maken of manipuleren, ook zonder diepgaande financiële expertise. Zo zijn modellen als GPT‑5, Claude 4.5 en DeepSeek‑R1 in staat om rekenkundige formules op te lossen, spreadsheetdata te analyseren en, op basis van instructies, volledige financiële overzichten te genereren of te vervalsen. Deze risico’s kunnen zich bij verschillende vormen van fraude manifesteren, zoals bij fraude in de financiële verslaggeving, verduistering van activa en diefstal van intellectueel eigendom.

Al met al vormt het creëren van fictieve gegevens een bedreiging voor elke organisatie of externe belanghebbende die afhankelijk is van documenten en datasets van derden. Het gemak waarmee geloofwaardig nepmateriaal kan worden geproduceerd vergroot de noodzaak van versterkte verificatie van brongegevens om de betrouwbaarheid van de data te waarborgen. Bovendien vergroot het de noodzaak van robuuste inkoopprocessen en verificatie van de geldigheid van documenten en documentbronnen.

Deepfakes en synthetische media

GenAI kan zowel volledig nieuwe beelden genereren als bestaande foto's naadloos aanpassen, zonder zichtbare sporen van bewerking achter te laten. Door recente ontwikkelingen in de modellen is het zelfs met een eenvoudige laptop mogelijk om tijdens livestreams, zoals videogesprekken, je uiterlijk te veranderen. Hoewel alle door GenAI gegenereerde of aangepaste content als nep kan worden beschouwd, verwijst de term 'deepfake' (een samenvoeging van 'deep learning' en 'fake') specifiek naar door GenAI gecreëerde of bewerkte afbeeldingen, video's of audio die worden ingezet om een echt persoon na te bootsen. Zo gebruikten fraudeurs in juni 2025 een deepfake-video van voormalig minister-president Schoof in Facebook-advertenties om een nep-investeringsplatform te promoten, met meer dan 250.000 weergaven. Enkele andere voorbeelden van dit type fraude zijn:

• Social engineering: Door GenAI gegenereerde spraakbots kunnen vertrouwde bellers nabootsen, zoals een IT-supportmedewerker, om via de telefoon inloggegevens of vertrouwelijke informatie van medewerkers te achterhalen. Daarnaast kan GenAI gepersonaliseerde en foutloze phishingberichten en websites genereren die de huisstijl nabootsen om zo inloggegevens van medewerkers te verzamelen.
• CEO-fraude: Fraudeurs kunnen publiek beschikbaar materiaal inzetten om deepfake-video's of telefoongesprekken van leidinggevenden te creëren en zo personeel overtuigen om urgente betalingen uit te voeren. Zo werd in 2024 een medewerker financiën in Hongkong misleid om 23 miljoen euro over te maken tijdens een videoconferentie waarbij alle andere deelnemers deepfake-creaties waren van senior medewerkers, waaronder de CFO.
• Omzeiling van functiescheiding: Fraudeurs kunnen GenAI gebruiken om valse e-mailconversaties of chatberichten met (hoger) management te creëren waarin zogenaamd goedkeuring wordt gegeven voor ongeautoriseerde toegang tot gegevens of systemen.
• Identiteitsfraude: GenAI kan worden gebruikt om volledig verzonnen identiteiten van thuiswerkers te genereren, inclusief cv's, sociale-mediaprofielen en live face-swapping tijdens virtuele sollicitatiegesprekken. Zo gebruiken Noord-Koreaanse IT-medewerkers deepfakes om in westerse hightechbedrijven te infiltreren en bedrijfsinformatie te stelen.

Datalekken en misbruik

Het gebruik en de integratie van GenAI in bedrijfsprocessen leiden ook tot een hoger risico op andere vormen van fraude. Zonder adequate gegevensclassificatie en -beleid kunnen geïntegreerde GenAI-toepassingen bijvoorbeeld onbedoeld informatie achterhalen die anders onbereikbaar zou zijn voor specifieke gebruikers, met nieuwe mogelijkheden voor fraude als gevolg.

• Datamisbruik: Met de integratie van GenAI-toepassingen als CoPilot in bedrijfsprocessen, kunnen gebruikers snel e-mails en relevante documenten doorzoeken en vinden. Als gegevensclassificatie en -beleid echter niet goed zijn ingericht, kan CoPilot databronnen of informatie vinden die niet toegankelijk zouden moeten zijn voor een gebruiker. Een medewerker kan op die manier toegang krijgen tot gevoelige of geclassificeerde informatie, waardoor er kansen ontstaan voor handel met voorkennis, bedrijfsspionage of afpersing.
• Datalekken: Misbruik van GenAI-toepassingen, met name 'Shadow AI', kan leiden tot onbedoelde datalekken. Shadow AI verwijst naar het ongecontroleerde gebruik van openbare GenAI-tools zoals ChatGPT met bedrijfsinformatie. Doordat openbare GenAI-modellen de input van gebruikers als trainingsmateriaal gebruiken, kan dit leiden tot datalekken. Bovendien kan het worden gezien als een schending van contractuele afspraken met klanten of regelgeving ten aanzien van dataprivacy.

De opkomst van generatieve AI heeft frauderisico's vergroot, maar biedt ook veel mogelijkheden om procedures te versterken en GenAI-gedreven beheersmaatregelen te implementeren om fraudepogingen te voorkomen en te detecteren. Hierbij vormen het vergroten van bewustzijn over het mogelijke misbruik van GenAI, het herkennen van gemanipuleerde content en het verantwoord gebruik van GenAI samen de beste eerste verdedigingslinie tegen fraudepogingen.

Voer periodiek een AI-geïntegreerde frauderisicobeoordeling uit

Een raamwerk voor frauderisicomanagement kan het inzicht in frauderisico's aanzienlijk vergroten en bijdragen aan de beperking ervan. Een essentieel onderdeel van zo’n raamwerk is het beoordelen van de invloed van GenAI op het frauderisico. Hiervoor is het belangrijk om inzicht te krijgen in de GenAI-toepassingen die intern worden gebruikt, evenals in toepassingen die door potentiële fraudeurs kunnen worden gebruikt. Daarnaast zal in kaart moeten worden gebracht welke bestaande processen kwetsbaar zijn voor misbruik van GenAI-toepassingen. Het is hierbij essentieel om het raamwerk regelmatig bij te werken naarmate technologie en fraudetactieken zich verder ontwikkelen, om zo nieuwe risico’s tijdig te onderkennen en gericht mitigerende maatregelen in te zetten.

Een aantal tips om dit in de praktijk toe te passen:

• Overweeg scenario's zoals deepfake-verzoeken van leidinggevenden, door GenAI gegenereerde facturen en bonnen, nagemaakte inlogpagina's en door GenAI veroorzaakte datalekken.
• Identificeer waar deze risico's zich kunnen voordoen in belangrijke bedrijfsprocessen, zoals betalingen, leveranciersonboarding, omzetverantwoording, inkoop, HR-onboarding, communicatie met leidinggevenden en klantenondersteuning.
• Definieer eenvoudige maar effectieve signalen die handmatige controles moeten activeren: denk aan urgente verzoeken buiten werktijd, plotselinge wijzigingen in leveranciers- of bankgegevens, gebruik van niet-zakelijke communicatiekanalen zoals WhatsApp, documenten met onduidelijke herkomst en ongebruikelijke inlogactiviteit (bijvoorbeeld vanaf een onbekende locatie of op een ongebruikelijk tijdstip).
• Geef een duidelijke beschrijving van de stappen die medewerkers moeten volgen als zij frauduleuze activiteiten vermoeden of detecteren. Beschrijf bij wie ze melding moeten maken, hoe ze signalen of zorgen moeten vastleggen en hoe ze moeten handelen zonder bewijsmateriaal in gevaar te brengen of het risico verder te vergroten.

Bewustwording

Om ervoor te zorgen dat medewerkers de constant groeiende mogelijkheden van GenAI kunnen bijhouden, is het belangrijk fraudebewustwordings- en trainingsprogramma’s uit te breiden met GenAI-gerelateerde fraude, zodat medewerkers waarschuwingssignalen vroegtijdig kunnen herkennen. Ontwikkel en versterk de praktische vaardigheden van medewerkers in het gebruik van GenAI in reguliere bedrijfsprocessen en verificatietools. Dit kan bijvoorbeeld door ze te trainen in het nauwkeurig valideren van digitale en handgeschreven handtekeningen, het kritisch beoordelen van metadata en het gebruik van door het bedrijf goedgekeurde GenAI-oplossingen.

GenAI inzetten tegen GenAI-gerelateerde fraude

Fraudeurs maken vaak misbruik van zwakke plekken in bestaande procedures, zoals het goedkeuren van betalingen via één enkel kanaal of het overslaan van verificatiecontroles bij urgente verzoeken. Door GenAI in de antifraudestrategie te integreren kunnen organisaties de manier waarop zij fraude detecteren en voorkomen transformeren.

Toepassingen die GenAI gebruiken, kunnen transactiepatronen, documenten en communicatie in real-time analyseren en afwijkingen signaleren. Zo kunnen deze toepassingen wijzigingen in de betalingsgegevens binnen facturen detecteren of verdachte leveranciersactiviteiten buiten het 'normale' profiel signaleren. Andere, specifiek voor de preventie van aankoopfraude ontwikkelde tools, kunnen GenAI inzetten om de legitimiteit van transacties bij het afrekenen te beoordelen of signalen van gestolen inloggegevens of synthetische identiteiten detecteren, al voordat betalingen worden verwerkt.

Wanneer organisaties GenAI op de juiste manier inzetten, verbeteren ze niet alleen de operationele efficiëntie, maar versterken ze tegelijkertijd de verdediging van de organisatie. 

Generatieve AI is niet meer weg te denken en zal een blijvende impact hebben op frauderisico's. Dit kan de bedrijfsintegriteit en het vertrouwen van belanghebbenden ondermijnen, want de dreigingen raken vrijwel elk aspect van een organisatie. Een combinatie van robuuste processen, strikte interne controles en GenAI-vaardige medewerkers die getraind zijn in zowel de kracht als de valkuilen van GenAI, kan de door GenAI versterkte frauderisico's aanzienlijk beperken. Hiermee kunnen organisaties het tij keren in de GenAI-fraudegolf en hun toekomst in het AI-tijdperk veiligstellen.