Criminelen zetten steeds vaker kunstmatige intelligentie in om Nederlanders te chanteren. Het gaat om deepfakes en stemklonen die vertrouwen winnen en druk opvoeren bij gezinnen en bedrijven. Politie en het Nationaal Cyber Security Centrum waarschuwen op het moment van schrijven voor meer meldingen van sextortion en CEO-fraude. De opmars komt doordat kantāenāklare tools goedkoop zijn en de Europese AI-verordening en de AVG misbruik door daders niet direct voorkomen.
Deepfakes maken druk geloofwaardig
Een deepfake is een gemanipuleerde foto, video of stem die bijna echt lijkt dankzij een algoritme. Met systemen als Midjourney en Stable Diffusion kunnen in minuten overtuigende beelden worden gemaakt. Voor stemklonen zijn diensten als ElevenLabs en PlayHT genoeg om een echte stem na te bootsen. Dat maakt chantageberichten persoonlijker en moeilijker te negeren.
Criminelen combineren openbare fotoās en socialmedia-data met deze modellen. Ze sturen bijvoorbeeld een gemonteerde video of een ingesproken voicemail die klinkt als een familielid of leidinggevende. Het doel is emotie en urgentie: snel betalen, privĆ©beelden verwijderen, of bedrijfsgeheimen delen. De drempel is laag, want veel van deze tools hebben gratis of goedkope abonnementen.
Detectie loopt achter op de productie van deepfakes. Watermerken zoals Googleās SynthID en contentlabels via C2PA (van onder meer Adobe en Microsoft) helpen, maar verdwijnen vaak bij hercompressie of knipāenāplak. Platformen verwijderen wel content, maar de verspreiding verloopt razendsnel via chatapps. Daardoor bereiken dreigberichten slachtoffers soms al voordat moderators kunnen ingrijpen.
āSextortion is chantage waarbij intieme beelden of overtuigende deepfakes worden gebruikt om geld of handelingen af te dwingen.ā
CEO-fraude wordt makkelijker
Bij CEO-fraude misleidt een aanvaller een medewerker om geld over te maken of data te delen. Stemklonen maken dat eenvoudiger: een financeāmedewerker krijgt een belletje dat klinkt als de directeur, met een dringend verzoek. Tools voor spraaksynthese hebben weinig input nodig, soms alleen een korte opname. Zo ontstaat geloofwaardige urgentie buiten normale procedures om.
Bedrijven zien ook nieuwe varianten, zoals videovergaderingen met gemanipuleerde gezichten. Een aanvaller gebruikt dan een live deepfake in een call om vertrouwen te winnen. OpenAI test Voice Engine en andere spelers brengen realtime avatars, wat deze risicoās vergroot. Leveranciers bouwen veiligheidsremmen in, maar misbruik kan niet volledig worden uitgesloten.
De financiƫle schade kan groot zijn, zelfs bij kleine fouten. Een enkele spoedbetaling kan tonnen kosten en is vaak lastig terug te draaien. Verzekeraars stellen bovendien strengere eisen aan interne controle en verificatie. Zonder vaste terugbelprocedures of vier-ogen-principe lopen organisaties extra risico.
EU-regels dwingen transparantie deepfakes
De Europese AI-verordening verplicht aanbieders van generatieve systemen tot transparantie over synthetische content. Dat betekent onder meer duidelijke labeling van deepfakes en technische maatregelen tegen misleiding. Voor overheden en publieke instellingen is dit relevant bij inkoop en handhaving, met directe gevolgen voor beleid en aanbestedingen. Voor criminelen gelden die verplichtingen niet, maar platforms en toolbouwers wel.
De AVG blijft leidend voor persoonsgegevens zoals gezichtsbeelden en stemgeluid. Onrechtmatige verwerking, zoals het klonen van iemands stem zonder toestemming, is in strijd met de AVG. Diensten die stemvoorbeelden opslaan moeten dataminimalisatie, versleuteling en bewaartermijnen borgen. Overtredingen kunnen leiden tot klachten bij de Autoriteit Persoonsgegevens en boetes.
De Digitale Diensten Verordening verplicht grote platforms om illegale content sneller aan te pakken. Deepfakeāchantage valt daar in veel gevallen onder, zeker bij nietāconsensuele naaktbeelden. Platformen moeten meldpunten, moderatie en transparantieverslagen inrichten. In de praktijk blijft handhaving een katāenāmuisspel door anonieme accounts en versleutelde chatapps.
Nederland versterkt opsporing
De Nederlandse politie en het Openbaar Ministerie investeren in digitale expertise voor deepfake-onderzoek. Zij gebruiken forensische software om sporen in beeld en audio te vinden, zoals artefacten en inconsistenties. Toch vragen onderzoekers om terughoudendheid: automatische detectie geeft nog te vaak foutāpositieven. Daarom blijven aangifte, bronbestanden en context cruciaal bewijs.
Hulporganisaties als EOKM (Helpwanted.nl) ondersteunen slachtoffers van online afpersing. Zij helpen met het offline halen van beelden en met juridische stappen. Bedrijven kunnen terecht bij het Nationaal Cyber Security Centrum en het Digital Trust Center voor sectorspecifieke adviezen. Op het moment van schrijven werken ministeries aan een brede aanpak tegen online seksueel misbruik waarin deepfakes expliciet zijn opgenomen.
Ook verzekeraars en banken spelen een rol in de respons. Banken trainen fraudeāanalisten op patronen van AIāgestuurde oplichting en hanteren snellere terugboekprocedures. Verzekeraars vragen om preventieve maatregelen zoals terugbelcodes en gescheiden autorisaties. Zonder die maatregelen kan dekking worden beperkt of premies stijgen.
Wat organisaties nu kunnen doen
Voer een vaste verificatiestap in voor betalingen en dataverzoeken, zoals een terugbelcode of afgesproken wachtwoord. Beperk adāhoc communicatie via privĆ©apparaten en chatapps voor financiĆ«le opdrachten. Train medewerkers om emotionele druk en tijdsdruk te herkennen als rode vlag. Leg dit vast in beleid en test het met oefeningen.
Bescherm stem- en beeldmateriaal van bestuurders en medewerkers. Deel geen onnodige spraakopnames en schakel waar mogelijk watermerken of C2PAālabels in bij eigen content. Gebruik eāmailā en domeinbescherming (DMARC, DKIM, SPF) om spoofing te beperken. Bewaar logbestanden en opnames veilig en versleuteld voor incidentanalyse.
Kies leveranciers die transparantie en misbruikbeperking aantoonbaar ondersteunen. Vraag bij generatieve AIādiensten naar risicobeoordelingen, watermarking en modelkaartjes. Controleer of gegevensverwerking voldoet aan de AVG, inclusief dataminimalisatie en bewaartermijnen. Dit verkleint juridische risicoās en versnelt herstel na een incident.