PwC waarschuwt dat deepfake-technologie steeds meer organisaties treft. Bedrijven in Nederland en Europa zien een toename van imitatiefraude met nagemaakte stemmen en video. De trend speelt nu en raakt vooral financiële processen en reputatie. Europese regels zoals de AI Act zetten druk op transparantie en beveiliging.
Deepfakes raken meer bedrijven
Steeds meer bestuurders en medewerkers worden nagebootst met AI-audio of -video. Criminelen gebruiken korte fragmenten van sociale media om stemmen te klonen. Een geloofwaardige “CFO” kan zo per telefoon of video een spoedbetaling eisen. Dit maakt bestaande fraudetrucs overtuigender en sneller.
De drempel om deepfakes te maken is laag door vrij beschikbare tools. De kwaliteit van beeld en geluid is vaak voldoende voor een eerste indruk. In combinatie met gestolen e-mails of agenda’s wordt het verhaal compleet. Zo verschuift de focus van technische hack naar slimme misleiding.
Voor organisaties is het lastig om nep en echt te onderscheiden in drukke werkprocessen. Tijdgebrek, hiërarchie en vertrouwensrelaties vergroten de kans op fouten. Ook toeleveranciers kunnen doelwit zijn, waardoor de hele keten risico loopt. Dit vergroot zowel financiële als operationele schade.
Zorgen om imitatiefraude
Imitatiefraude betekent dat iemand zich voordoet als een bekende persoon om vertrouwen te winnen. Met deepfake-audio klinkt een nep-opdracht realistisch, zeker in stressvolle situaties. Denk aan een belletje met een spoedverzoek om een bankrekeningnummer te wijzigen. Het effect is sterk als namen, projecten of interne termen slim worden gebruikt.
Fraudeurs combineren open informatie, zoals LinkedIn-profielen en persberichten, met AI-tools. Zo ontstaat een verhaal dat precies past bij het bedrijf en de timing. E-mails, chat en video versterken elkaar in één aanval. Dit maakt detectie achteraf lastig en herstel kostbaar.
Een deepfake is een door AI gegenereerde audio- of video-opname die iemand geloofwaardig nabootst, vaak zonder dat de ontvanger het direct merkt.
Verzekeringen dekken deze schade niet altijd volledig. Een ontbrekende interne controle kan leiden tot afwijzing. Daarnaast is reputatieschade moeilijk te herstellen. Dit vergroot de druk om processen en training op orde te hebben.
Europese regels dwingen transparantie
De Europese AI Act bevat transparantie-eisen voor gemanipuleerde media, zoals deepfakes. Makers en verspreiders moeten duidelijk maken dat content door AI is gegenereerd. Dat helpt gebruikers bij herkenning, maar is geen garantie op platforms waar regels minder worden nageleefd. De invoering loopt gefaseerd; op het moment van schrijven werken overheden en bedrijven aan praktische uitvoering.
De Digital Services Act verplicht grote platforms tot risicobeperking rond desinformatie en misleiding. Herkenning en verwijdering van misleidende deepfakes kan daaronder vallen. Voor bedrijven betekent dit dat meldprocessen en bewijs vastleggen belangrijker worden. Zo kan sneller worden opgetreden bij misbruik van merk of bestuurders.
Ook de AVG speelt een rol: iemands stem en gezicht zijn persoonsgegevens. Opslag en verwerking vragen een rechtmatige grondslag en dataminimalisatie. Bij inzet van biometrie of monitoring is vaak een DPIA nodig. Overtredingen kunnen leiden tot hoge boetes en claims.
Organisaties hebben weerbaarheid nodig
Beleid en processen zijn de eerste verdedigingslinie. Leg vast dat financiële opdrachten nooit alleen via audio of chat worden goedgekeurd. Gebruik het vier-ogenprincipe, transactieplafonds en een terugbelcontrole via een bekend nummer. Documenteer uitzonderingen en log wie welke stappen zet.
Train teams op herkenning van druk, spoed en afwijkende verzoeken. Laat voorbeelden zien van stemklonen en videovergaderingen met nepdeelnemers. Simuleer scenario’s, zoals een “CEO-call” vlak voor het weekend. Herhaal dit elk kwartaal zodat kennis actueel blijft.
Werk met vaste contactpersonen en gecontroleerde kanalen bij leveranciers. Wijzigingen in betaalgegevens lopen via een apart, beveiligd proces. Gebruik sterke authenticatie voor e-mail en boekhoudsystemen. Zo verklein je de kans dat één nepbericht of nepstem genoeg is.
Technologie helpt, met grenzen
Detectietools voor deepfakes verbeteren, maar zijn niet waterdicht. Watermerken en herkomstlabels (bijvoorbeeld via C2PA) helpen alleen als ketenpartners ze gebruiken. Audio-analyse kan sporen van synthese vinden, maar faalt bij korte of ruisende opnames. Vertrouw daarom niet alleen op techniek.
Voice-biometrics voor klantenservice kan misleid worden door hoogwaardige klonen. Combineer daarom stemherkenning met extra factoren, zoals een eenmalige code of app-bevestiging. Voor interne goedkeuringen is fysieke of video-check met terugbelnummer effectiever. Processen die moeilijk te omzeilen zijn vormen de kern.
NIS2 vergroot de verantwoordelijkheid voor essentiële en belangrijke bedrijven in de EU. Incidenten moeten sneller worden gemeld en maatregelen aantoonbaar zijn. In Nederland wordt die regelgeving omgezet in nationale wetgeving; op het moment van schrijven bereiden organisaties en toezichthouders de implementatie voor. Wie nu investeert in detectie, logging en training staat straks sterker.
PwC ziet groeiende druk
PwC signaleert dat de combinatie van generatieve AI en social engineering de druk op organisaties vergroot. Bestuurders vragen om duidelijke kaders, meetbare controles en snelle rapportage. Security- en finance-teams moeten daarom nauwer samenwerken. Het doel is minder afhankelijkheid van herkenning, en meer focus op verifiëren.
Best practices komen steeds vaker uit gereguleerde sectoren, zoals finance en telecom. Daar zijn call-backs, segregatie van taken en strikte drempels al de norm. Andere sectoren nemen die maatregelen over om de kans op imitatiefraude te verlagen. Dat verkleint de impact als een deepfake toch door de eerste check glipt.
Uiteindelijk draait het om een mix van mens, proces en techniek. Heldere afspraken en training beperken de verleiding van “snelle uitzonderingen”. Technologie ondersteunt, maar mag geen vrijbrief zijn. Met Europese digitalisering en regelgeving in aantocht, zijn de gevolgen voor het bedrijfsleven direct voelbaar.