Criminelen zetten kunstmatige intelligentie in voor neppe winacties op sociale media en websites. In Nederland en andere EU‑landen raken mensen daardoor vast aan ongewenste abonnementen. De fraude speelt de afgelopen tijd vooral op Facebook, Instagram, TikTok en via chatapps. Het gebeurt omdat AI het makkelijker maakt om echt ogende acties te maken en snel te verspreiden, met duidelijke gevolgen voor consumenten en bedrijven.
AI maakt nepacties geloofwaardig
Met generatieve AI kunnen oplichters foutloos Nederlands schrijven, realistische afbeeldingen maken en zelfs namaakvideo’s met logo’s produceren. Ze zetten chatbots in die slachtoffers stap voor stap door een formulier leiden. Daardoor oogt de actie professioneel en vertrouwd, alsof die van een bekend merk komt. Dat maakt het verschil tussen twijfel en doorklikken.
De werkwijze is vaak hetzelfde: een bericht belooft een waardebon of prijs, gevolgd door een link naar een nagemaakte site. Domeinnamen lijken sterk op de echte, met een kleine spelfout of extra teken. Bots plaatsen overtuigende reacties onder de posts, zodat het lijkt alsof anderen al gewonnen hebben. Het geheel voelt als een officiële campagne, maar het doel is dataverzameling en betalingen innen.
De Europese AI‑verordening (AI Act) verplicht transparantie bij deepfakes en verbiedt manipulatieve systemen die mensen significant misleiden. In de praktijk is handhaving lastig, omdat de daders buiten de EU kunnen zitten en hun infrastructuur snel wisselen. Toch schept de wet een basis om platforms en dienstverleners aan te spreken op detectie en waarschuwingen. Dat is nodig, want de technieken worden toegankelijker en goedkoper.
Abonnementen via slimme trucs
Veel nepacties eindigen bij een checkout met een klein bedrag voor “verzendkosten” of “verificatie”. Slachtoffers voeren kaart‑ of rekeninggegevens in en geven zo ongemerkt toestemming voor een doorlopend incasso. Daarna volgen maandelijkse kosten, terwijl de beloofde prijs nooit komt. Merknamen van ketens zoals supermarkten of drogisterijen worden hierbij misbruikt.
Consumenten hebben rechten: online geldt een bedenktijd van 14 dagen en informatie moet vooraf duidelijk zijn. Ontbreekt die informatie, dan is de overeenkomst vaak ongeldig, en kan de bank helpen met storneren of chargeback. Onder PSD2 is sterke klantauthenticatie verplicht, maar die beschermt niet tegen vrijwillig ingevulde gegevens. Snel contact opnemen met bank en aanbieder vergroot de kans op herstel.
Een neppe winactie is een misleidende online actie die om persoonlijke of betaalgegevens vraagt in ruil voor een prijs die niet bestaat.
De Consumentenbond, de Fraudehelpdesk en de Autoriteit Consument & Markt (ACM) waarschuwen al langer voor dit soort lokacties. Bedrijven waarvan het merk wordt misbruikt, plaatsen inmiddels eigen waarschuwingen op sites en socials. Toch bereiken nieuwe varianten elke dag het publiek, mede door geautomatiseerde verspreiding. De aanpak vraagt daarom meer dan losse meldingen en incidentreacties.
Platforms vallen onder DSA‑plicht
Onder de Digital Services Act (DSA) moeten zeer grote platforms zoals Meta, TikTok en Google advertentiemisbruik beperken. Zij moeten risico’s in kaart brengen, misleidende advertenties sneller verwijderen en transparant zijn over wie er betaalt. Ook moeten zij merken helpen om imitatieaccounts en domeinen te bestrijden. De verplichting geldt op het moment van schrijven voor de grootste spelers, met streng toezicht vanuit Brussel.
Niet‑naleving kan leiden tot hoge boetes, tot 6 procent van de wereldwijde omzet. De Europese Commissie houdt toezicht op de grootste platforms, terwijl nationale autoriteiten aanvullende taken hebben. In Nederland kan de ACM optreden tegen oneerlijke handelspraktijken en coördineren met de Autoriteit Persoonsgegevens (AP) bij datamisbruik. Dat helpt, maar de schaal van AI‑gedreven fraude blijft een uitdaging.
Platforms rollen functies uit zoals verificatie van adverteerders, openbare adbibliotheken en rapportagetools. Ook werken zij aan automatische detectie van merklogo’s en verdachte domeinen. Wat nog ontbreekt, is betrouwbare herkenning van AI‑gegenereerde beelden en teksten op schaal. Initiatieven als C2PA‑herkomstlabels kunnen helpen, maar zijn nog niet overal ingevoerd.
Europese regels en gevolgen
De AI Act verplicht aanbieders van generatieve systemen tot risicobeperking en duidelijke signalering van AI‑inhoud. Voor marketing en klantenwerving betekent dit extra transparantie, zeker bij synthetische media. Bedrijven die AI inzetten, moeten controleren of campagnes niet misleidend zijn en of partners betrouwbaar zijn. De invoering gebeurt gefaseerd, met nieuwe plichten die op het moment van schrijven nog worden uitgerold.
Voor het bedrijfsleven zijn de gevolgen concreet: monitoring van merkmisbruik, snellere takedowns en strengere due diligence voor affiliates. Winkels en webshops doen er goed aan DMARC, SPF en DKIM in te stellen om e‑mailspoofing te blokkeren. Betalingsverwerkers kunnen algoritmen trainen om patronen van abonnementsvalstrikken te herkennen. Zo wordt Europese digitalisering tastbaar in gevolgen voor het bedrijfsleven en consumenten.
Consumenten kunnen zich beschermen door te letten op dubieuze URL’s, te mooie beloftes en het vragen naar kaartgegevens voor “gratis” prijzen. Controleer acties via de officiële site of app van het merk en gebruik waar mogelijk virtuele betaalpassen met limiet. Bij twijfel: geen gegevens invullen, een screenshot maken en melden bij de Fraudehelpdesk. Het Europees Consumenten Centrum (ECC‑Net) helpt bij grensoverschrijdende kwesties.
Overheden en instellingen kunnen publiekscampagnes koppelen aan schoolprogramma’s en wijkteams. Banken en platforms delen steeds vaker waarschuwingssignalen, maar kunnen deze beter zichtbaar maken in apps. Een duidelijke “stopknop” voor ongewenste incasso’s verlaagt schade voor slachtoffers. Zo ontstaat een gezamenlijke aanpak waarin technologie en regels elkaar versterken.