4 juni 2026
Het landschap van identiteitsfraude is de laatste jaren drastisch veranderd. Waar oplichters voorheen afhankelijk waren van fysieke trucjes zoals vervalste paspoorten, maskers of foto’s op een telefoonscherm, kunnen zij nu volstaan met een laptop en de juiste software. Marco Gouw, Country Manager Benelux & DACH bij Veridas, observeert deze verschuiving op dagelijkse basis. In aanloop naar de Identity & Business Day van Veridas later deze maand, bespreekt hij met Banken.nl waarom traditionele verdedigingsstrategieën niet langer toereikend zijn.
Stel je voor, een oplichter maakt een screenshot van iemands gezicht, bijvoorbeeld van een LinkedIn-profielfoto. Met behulp van enkele AI-tools creëert hij binnen minuten een overtuigende deepfake: een digitaal gezicht dat knippert, glimlacht en het hoofd draait alsof het echt is.
Dit beeld wordt vervolgens rechtstreeks in het verificatiesysteem geïnjecteerd, zonder tussenkomst van de camera van het apparaat. Het banksysteem ziet een klant inloggen, terwijl er in werkelijkheid niemand voor het scherm zit.
Dit zijn de zogenaamde ‘injection attacks’. Volgens Gouw vormen ze de meest significante verschuiving in het fraudelandschap van de afgelopen jaren. “Het traditionele beeld van fraude – iemand die een nep-paspoort voor een camera houdt of een rubberen masker draagt – bestaat nog steeds. Maar de groeiende bedreiging ligt in aanvallen die de camera volledig omzeilen. De oplichter is fysiek niet meer aanwezig. Hij stuurt synthetische data rechtstreeks het systeem in.”
De cijfers ondersteunen deze ontwikkeling. Het afgelopen jaar is het aantal ‘injection attacks’ aanzienlijk gestegen. Uit het IC3-rapport van de FBI – een wereldwijde indicator – blijkt dat de financiële schade door cybercriminaliteit, met identiteitsfraude als een steeds groter wordend onderdeel, tussen 2020 en nu is gestegen van vier miljard naar bijna 21 miljard dollar: een toename van meer dan 500%.
Het aantal meldingen steeg in dezelfde periode met slechts 25%. “Veel bedrijven detecteren deze fraude nog niet eens in hun systemen”, zegt Gouw. “De aanval blijft onzichtbaar als je je systemen er niet expliciet op instelt.”
Hoe verdedig je je tegen een aanval die je niet kunt zien? Volgens Gouw vereist dit een fundamenteel andere benadering. Veridas spreekt van ‘Proof of Reality’: het gaat niet alleen om het controleren of het gezicht op het scherm overeenkomt met een foto in de database, maar om het verifiëren of de opname daadwerkelijk in de echte wereld is gemaakt.
De traditionele aanpak is visueel: lijkt dit gezicht op die pasfoto? Dat is één laag, en die blijft nodig. Maar als de data die je binnenkrijgt synthetisch is, vergelijk je in feite een deepfake met een pasfoto – en krijg je alsnog een match.”
Daarom combineert Veridas drie lagen: documentverificatie, gezichtsauthenticatie en beveiliging van het apparaat en het datakanaal. “De beveiligingsindustrie spreekt al jaren over drie pijlers: iets dat je weet, zoals een pincode; iets dat je hebt, zoals je telefoon; en iets dat je bent”, legt Gouw uit.
“Die derde pijler – biometrie – wordt nog te vaak onderschat. Zonder bewijs dat er op dat moment daadwerkelijk een mens voor de camera zit, op dat specifieke apparaat, kun je de realiteit niet vaststellen.”
De verschuiving heeft niet alleen invloed op gezichtsherkenning. Ongeveer 70% van alle klantcommunicatie bij financiële instellingen vindt nog steeds via de telefoon plaats. Ook daar verandert het speelveld snel. “De veiligheidsvragen die callcenters stellen – zoals je geboortedatum of rekeningnummer – gaan ervan uit dat alleen jij die informatie kent”, zegt Gouw.
“Maar die gegevens kunnen lekken via datalekken, social media of phishing. Het echte vertrouwen ontstaat wanneer een medewerker denkt: ik herken deze persoon aan zijn stem. En juist dat kun je tegenwoordig klonen.”
Voor dit specifieke probleem ontwikkelde Veridas ‘Voice Shield’: technologie die niet luistert naar wat er wordt gezegd, maar naar hoe de stem wordt geproduceerd.
“In een menselijke stem zitten geometrische markers – subtiele eigenschappen in de manier waarop geluid door het strottenhoofd, de mondholte en de neus wordt gevormd. Een synthetische stem kan de klank perfect imiteren, maar kan die fysieke signatuur niet reproduceren.”
Het resultaat: binnen drie seconden kan het systeem bepalen of een stem echt of kunstmatig is. “Dat is een soort watermerk dat de natuur zelf aanbrengt”, aldus Gouw. “En dat kun je niet namaken.”
De technologie bestaat al, maar de urgentie om deze in te zetten wordt ook van buitenaf opgedreven. Met de invoering van het Europese Single Rulebook en de Anti Money Laundering Regulation moeten financiële instellingen voldoen aan strengere identificatienormen.
Eind volgend jaar moeten banken, verzekeraars en telecombedrijven de Europese EUDI-wallets ondersteunen: digitale identiteitsbewijzen die aan hoge assurance-standaarden moeten voldoen. Dit betekent onder meer dat organisaties moeten kunnen aantonen dat zij zich kunnen verdedigen tegen zowel ‘presentation’ als ‘injection attacks’, gecertificeerd volgens de Europese technische standaard ETSI TS 119461.
Voor Veridas is dit bekend terrein. Het bedrijf – van Spaanse origine en volledig Europees – ontwikkelt alle technologie in-house. “Wij zijn 100% proprietary”, benadrukt Gouw. “Veel concurrenten bouwen hun oplossingen deels op technologie van derden – zogenaamde rented technologies. Daardoor ben je voor updates afhankelijk van leveranciers en weet je niet waar je op hun prioriteitenlijst staat.”
Veridas werd onlangs door Gartner als Visionary gepositioneerd in het Identity & Document Verification-kwadrant en is de enige partij in de markt met zowel iBeta Level 1- als Level 2-certificering én SOC 3-compliance. “Als we met compliance-afdelingen van banken spreken
Bitcoin (BTC)
Ethereum (ETH)
XRP (XRP)
