De fraudepandemie van 2026: waarom identiteitsbeveiliging nooit meer hetzelfde wordt

In dit artikel:

De aanpak van identiteitsfraude is de afgelopen jaren fundamenteel veranderd: waar vroeger fysieke trucs zoals vervalste paspoorten, maskers of foto’s voor de camera nodig waren, volstaan nu vaak een laptop en AI-software. Marco Gouw (Country Manager Benelux & DACH bij Veridas) waarschuwt dat fraudeurs steeds vaker synthetische data rechtstreeks in verificatiesystemen injecteren — zogenoemde injection attacks — waardoor er geen echte persoon meer voor de camera hoeft te zitten.

Een concreet voorbeeld: iemand gebruikt een screenshot van een LinkedIn‑foto en zet met AI binnen enkele minuten een levensechte deepfake‑video of gesynthetiseerde stem in elkaar. Die digitale input kan door een verificatiesysteem als een “echte” klant worden geaccepteerd als er alleen beeld‑of geluidsvergelijking plaatsvindt. Volgens Gouw is dat de belangrijkste verandering in het fraudelandschap.

De cijfers onderschrijven de urgentie. Het IC3‑rapport van de FBI laat zien dat de financiële schade door cybercrime — waarbij identiteitsfraude een steeds groter aandeel vormt — tussen 2020 en nu toenam van ongeveer 4 miljard naar bijna 21 miljard dollar. Het aantal meldingen steeg in dezelfde periode veel minder snel; veel aanvallen blijven onopgemerkt als systemen er niet expliciet op ingericht zijn.

Tegen dergelijke onzichtbare aanvallen volstaan traditionele controles niet meer. Veridas pleit voor wat het bedrijf “Proof of Reality” noemt: naast controle of een gezicht overeenkomt met een document, moet worden vastgesteld of de opname daadwerkelijk in de fysieke wereld is gemaakt op dat specifieke apparaat en kanaal. Praktisch betekent dit een combinatie van drie lagen: documentverificatie, gezichtsauthenticatie en bescherming van apparaat en datakanaal. Zonder bewijs van fysieke aanwezigheid is biometrie onvoldoende als enige betrouwbare grondslag.

Ook telefoongesprekken zijn kwetsbaar: ongeveer 70% van alle klantcontact bij financiële instellingen loopt nog via de telefoon. Klassieke veiligheidsvragen bieden steeds minder zekerheid omdat persoonsgegevens vaak uitlekken. Gouw wijst op voice‑cloning en presenteert Veridas’ oplossing Voice Shield, die niet naar woorden luistert maar naar de fysieke signatuur van een stem — subtiele geometrische kenmerken van hoe geluid gevormd wordt — en binnen enkele seconden kan bepalen of een stem echt of synthetisch is.

De noodzaak om nieuwe technologieën in te voeren wordt verder versterkt door regelgeving. Met het Europese Single Rulebook, de Anti‑Money‑Laundering Regulation en de introductie van EUDI‑wallets moeten financiële spelers aan strengere identificatiestandaarden voldoen. Organisaties moeten aantonen dat ze bestand zijn tegen zowel presentation attacks als injection attacks, conform technische standaarden zoals ETSI TS 119461.

Veridas positioneert zich daar sterk: de technologie is volledig in‑house ontwikkeld en het bedrijf beschikt over meerdere relevante certificeringen (onder meer iBeta Level 1 en 2 en SOC 3), en werd door Gartner als “Visionary” aangemerkt. Gouw benadrukt dat veel concurrenten deels op derde partijstechnologie leunen, wat afhankelijkheid en vertragingen bij updates kan veroorzaken.

Regionale verschillen spelen mee: in bijvoorbeeld Zuid‑Amerika ziet Veridas volgens Gouw al veel geavanceerdere aanvallen dan in Europa, en hij verwacht dat dergelijke technieken zich steeds vaker verplaatsen. Kleine startups missen soms de trainingsdata om geo‑diverse aanvalspatronen te herkennen, waardoor hun modellen buiten de eigen markt snel kwetsbaar raken.

Gouw roept organisaties op identiteit niet louter als een beveiligingskostenpost te behandelen maar als strategische pijler voor groei en klantvertrouwen. Zijn slotboodschap: “Identiteit is geen kostenpost meer voor de beveiligingsafdeling. Het is je primaire conversie‑engine.” Veridas zal deze inzichten later deze maand verder toelichten tijdens de Identity & Business Day voor CIO’s en CISO’s.