Identiteitsfraude met AI: wat de ABN AMRO-zaak blootlegt over digitale verificatie

Geschreven door BijzonderStrafrecht.nl

Een man opent 46 bankrekeningen bij ABN AMRO. Niet door in te breken in systemen, maar door er gewoon in te lopen. Met vervalste identiteitsbewijzen, gemanipuleerde selfies en AI-technologie werd hij bij elke rekening een geverifieerde klant. De bank ontdekte het pas toen een mannenselfie werd gekoppeld aan het paspoort van een vrouw. Geen alarm, geen detectie. Een menselijke fout in de deepfake.

Wat er precies gebeurde

Vorig jaar gebruikte een 34-jarige Amsterdammer deepfake-technologie om pasfoto's op identiteitsbewijzen te vervangen door zijn eigen gezicht. De aangepaste documenten uploadde hij via de online aanmeldprocedure van ABN AMRO. De bank controleert nieuwe klanten door een selfie te vergelijken met de pasfoto op het identiteitsbewijs. Met deepfakes kon die controle worden omzeild.

De identiteitsbewijzen kwamen van sociale media en Marktplaats. De verdachte bood nep-huurwoningen aan in Amsterdam. Geïnteresseerden stuurden kopieën van hun paspoort of ID-kaart op, zonder te weten dat hun gegevens werden misbruikt. Op de telefoon van de verdachte vond de politie tientallen foto's, namen en documenten van slachtoffers.

Het Openbaar Ministerie eist dertig maanden gevangenisstraf (waarvan zes voorwaardelijk) en een schadevergoeding van €6.240 aan ABN AMRO. De uitspraak volgt op 31 maart.

De werkelijke les: verificatie is geen beveiliging

Dit is niet zomaar een fraudezaak. Het is een waarschuwing over de staat van digitale identiteitsverificatie. De aanvaller brak niet in. Hij doorliep het onboardingproces als iedere andere klant. Vanaf dat moment leverde de bank zelf de infrastructuur voor fraude.

Het Nederlandse bedrijf DuckDuckGoose, gespecialiseerd in deepfake-detectie, demonstreerde aan NU.nl hoe eenvoudig identiteitsbewijzen te vervalsen zijn met AI. Zelfs watermerken en grijstinten in pasfoto's kunnen overtuigend worden nagebootst. Volgens Parya Lotfi van DuckDuckGoose schieten huidige controlesystemen tekort. Elke dag verschijnen nieuwe modellen om deepfakes te genereren, en het simpelweg updaten van bestaande software is niet genoeg. Een meerlaagse aanpak is nodig.

Dat roept vragen op die verder gaan dan deze ene zaak. Hoeveel vergelijkbare accounts zijn er nog actief? Hoeveel zijn nooit ontdekt?

Waarom de juridische sector dit moet volgen

Deze zaak raakt aan meerdere rechtsgebieden tegelijk, en is daarmee relevant voor iedereen die werkt met identiteit, compliance of financiële dienstverlening.

De strafrechtelijke kant eerst. De tenlastelegging omvat oplichting, valsheid in geschrift, bezit van slachtoffergegevens en heling. De verdachte beweert dat hij werd geronseld via een TikTok-advertentie voor een thuiswerkbaan en niet wist waarvoor zijn beelden werden gebruikt. De rechter moet beoordelen in hoeverre dat verweer standhoudt, terwijl op zijn telefoon alle bewijzen werden aangetroffen.

Dan de civielrechtelijke gevolgen voor slachtoffers. Mensen van wie de identiteit is misbruikt, hebben te maken met rekeningen op hun naam, mogelijke beslagen en een beschadigd financieel profiel. De juridische route om dat recht te zetten is lang en complex.

En tot slot de bredere compliance-vraag. Banken hebben een wettelijke verplichting om cliënten te identificeren en transacties te monitoren op grond van de Wwft. Als AI-gestuurde identiteitsfraude de KYC-procedures kan omzeilen, wat zegt dat dan over de effectiviteit van die procedures? En wie draagt de aansprakelijkheid als de verificatie structureel faalt?

De kloof groeit sneller dan de verdediging

ABN AMRO zegt zijn systemen continu aan te passen. Maar deze zaak laat zien dat reactief aanpassen niet meer voldoende is. De technologie om deepfakes te genereren ontwikkelt zich sneller dan de detectie ervan. Dat maakt dit niet alleen een probleem voor banken, maar voor elke organisatie die digitale identiteitsverificatie gebruikt. Denk aan onboarding van cliënten bij advocatenkantoren, identificatie bij notariële akten, KYC-checks door compliance-afdelingen, of de acceptatieprocedures van verzekeraars.

De vraag is niet of deepfake-fraude vaker gaat voorkomen. De vraag is of we het gaan detecteren.

Wat je nu kunt doen

Ken de risico's van AI-gestuurde fraude, zowel voor je cliënten als voor je eigen organisatie. Volg de rechtspraak rondom deepfakes, want die is in volle ontwikkeling. En help je cliënten proactief na te denken over hun verificatieprocessen, voordat zij het volgende doelwit zijn.

AI verandert de spelregels. Niet alleen voor criminelen, ook voor de juridische sector.

BijzonderStrafrecht.nl https://www.bijzonderstrafrecht.nl
Volgende

De Tweede Kamer praatte twee uur over AI-kansen. Dit zijn de acht belangrijkste inzichten.