Waarom deepfakes de KYC-procedures van banken te slim af zijn - en hoe deze golf kan worden gestopt

In dit artikel:

In een recente rechtszaak in Nederland bleek hoe kwetsbaar digitaal vertrouwen is: een verdachte opende 46 bankrekeningen door met deepfakes en gemanipuleerde identiteitsdocumenten beveiligingsprocedures te omzeilen. De handelswijze — waarbij iemand werd gevraagd zichzelf te filmen terwijl het scherm op afstand werd bestuurd — illustreert dat fraude steeds meer geautomatiseerd, schaalbaar en industrieel van aard is.

Het probleem ligt volgens onderzoek van Veridas dieper dan zwakke controles: veel verificatie vertrouwt op signalen van apparaten in plaats van op de daadwerkelijke, identificeerbare persoon. Naast klassieke presentation attacks (maskers, foto’s voor de camera) is er een verschuiving naar zogeheten injection attacks, waarbij sensorgegevens worden omzeild door synthetische data rechtstreeks in de datastroom naar servers te injecteren. Veridas vond dat 1,4% van alle verificaties tekenen van zulke aanvallen vertoont. Marco Gouw (Country Manager DACH‑Benelux bij Veridas) wijst erop dat 41% van deze aanvallen al AI-gestuurd is en dat 83% van de financiële verliezen momenteel voortkomt uit identiteitsfraude.

De oplossing vraagt een fundamentele heroriëntatie van KYC: niet langer incidentele documentchecks of een simpele selfie, maar een architectuur die voortdurend uitgaat van drie kernprincipes — bewijs van een echt persoon, bewijs van realtime interactie en bewijs van de integriteit van het communicatiekanaal. Grote technologiebedrijven bouwen end-to-endplatforms om de gehele klantreis te beschermen en zodoende geautomatiseerde fraude vroegtijdig te blokkeren.

Voor banken en toezichthouders betekent dit dat traditionele liveness‑checks niet volstaan; er is behoefte aan structurele, kanaalgerichte verificatie en samenwerking tussen sectoren om AI‑gedreven identiteitsfraude effectief tegen te gaan.