AI en digitale fraude: een kat-en-muisspel tussen criminelen en banken

Bijna 70 procent van de financiële professionals meent dat criminelen artificiële intelligentie slimmer gebruiken voor het plegen van financiële misdaden dan banken om die te bestrijden. Dat blijkt uit het eerste BioCatch-jaarverslag over de impact van AI op digitale fraude en financiële criminaliteit.

In een internationaal onderzoek onder 600 fraude-, antiwitwas-, risico- en compliance-functionarissen in elf landen in Europa, Noord-Amerika, het Midden-Oosten en Azië geeft bijna 70 procent van de respondenten aan dat criminelen artificiële intelligentie (AI) slimmer inzetten bij financiële misdaden dan de banken AI gebruiken om fraude te bestrijden. “Het is een soort kat-en-muisspel waarbij misdadigers ernaar streven om financiële instellingen steeds een stap voor te zijn”, verduidelijkt Rob Vink, countrymanager Benelux bij BioCatch, de wereldleider in digitalefraudedetectie en het voorkomen van financiële criminaliteit.

Digitale fraudeurs die AI gebruiken voor financiële fraude en banken die AI inzetten om die te bestrijden, kunnen worden vergeleken met makers van computervirussen en ontwikkelaars van virusscanners. Het is een voortdurende strijd tussen aanvallers en verdedigers, waarin technologische innovatie aan beide zijden een cruciale rol speelt. “Het verschil is dat virusbouwers soms nog studenten of amateurs zijn, terwijl digitale fraudeurs doorgaans deel uitmaken van internationale organisaties die 365 dagen bezig zijn met hun activiteiten.”

Wetgeving remt af

Het rapport benadrukt dat criminelen steeds vaker AI inzetten. Dat kan zelfs met minimale technische kennis of financiële expertise, door op de zwarte markt kant-en-klare AI-tools aan te kopen, waarmee ze hun bereik en hun succes kunnen maximaliseren. Rob Vink: “AI kan elke vorm van oplichting versterken. Ze past de taal, het jargon en de eigennamen naadloos aan voor elk slachtoffer. Met AI hebben we te maken met een grenzeloze vorm van oplichting, wat financiële instellingen dwingt nieuwe strategieën en technologieën te omarmen om hun klanten te beschermen.”

Financiële instellingen maken dan ook almaar intenser gebruik van AI. Bijna drie kwart van de ondervraagden zegt dat hun werkgever AI inzet om fraude en financiële misdaden op te sporen, terwijl 87 procent zegt dat AI de snelheid verhoogt waarmee hun organisatie reageert op potentiële bedreigingen. Maar het feit dat financiële instellingen bij die strijd ook strikte juridische regels moeten volgen, maak het kat-en-muisspel een stuk complexer.

“Technisch gezien kan alles, maar banken moeten erover waken dat hun oplossingen aan de wettelijke vereisten beantwoorden”, benadrukt Isabelle Marchand, woordvoerder van de bankenkoepel Febelfin. “Diverse Europese wetgevingen stellen limieten aan bedrijven om de Europese burgers te beschermen, zoals de GDPR-richtlijn voor privacy, de AI-Act en de PSD2-wet voor betaalverkeer. Banken moeten al die regelgeving strik naleven als ze technische oplossingen ontwikkelen of gebruiken.”

Meer samenwerking nodig

Rob Vink pleit voor een soort zwarte lijst van fraudeurs. “Als bank A een fake bankaccount spot, dan wordt die onherroepelijk gesloten. De fraudeur gaat dan naar bank B en probeert daar hetzelfde. Banken mogen bepaalde informatie niet uitwisselen. Dat zou kunnen worden aangepakt door een sectorbrede zwarte lijst te creëren voor zulke fraudepraktijken. Maar de regelgeving moet dat toestaan.”

Bijna 90 procent van de respondenten stelt dan ook dat financiële instellingen en overheidsinstanties meer informatie moeten delen om fraude en financiële criminaliteit te bestrijden. Dat zegt ook Gadi Mazor, de CEO van BioCatch: “De fraudeurs zijn georganiseerd en sluw. Ze werken samen en delen direct informatie. Om de toenemende fraude wereldwijd aan te pakken, moeten fraudebestrijders, inclusief aanbieders van technologie-oplossingen zoals wij, samen met banken, toezichthouders en wetshandhavers hetzelfde doen.”

Synthetische identiteiten

Bijna drie vierde van de respondenten (70%) ontdekte vorig jaar ‘synthetische identiteiten’ bij het aannemen van nieuwe klanten. Die kunstmatig gecreëerde of vervalste persoonlijke gegevens worden vaak door AI gegenereerd en kunnen variëren van nepaccounts tot deepfakes (digitaal gemanipuleerde foto’s of video’s). “Private banken en vermogensbeheerders gebruiken vaak stemverificatie bij hun grote klanten”, weet Rob Vink. “Maar tegenwoordig kan de stem van iemand op basis van een opname van amper 3 seconden gekloond worden met AI.”

Daarom geeft maar liefst 91 procent van de respondenten aan dat hun organisatie stemverificatie voor grote klanten heroverweegt. “Volgens de Amerikaanse centrale bank kunnen traditionele fraudemodellen tot wel 95 procent van de synthetische identiteiten niet opsporen”, zegt Vink.

Febelfin meent dat identiteitsfraude bij het openen van bankrekeningen in België bijna onmogelijk is door de strikte procedures. Isabelle Marchand: “Identiteitsfraude gebeurt vooral via sociale media en telecommunicatie, waarbij slachtoffers via bijvoorbeeld WhatsApp, Facebook, Instagram, LinkedIn of X worden benaderd door criminelen die zich voordoen als overheidsfunctionarissen, familieleden of vrienden en die op de emoties van het slachtoffer inspelen om betalingen af te dwingen. Zo willen ze de controle over betaalrekeningen krijgen of financiële activiteiten uitvoeren, zoals leningen aanvragen of rekeningen openen om criminele opbrengsten te ontvangen.”

Nieuwe zintuigen

We kunnen niet langer vertrouwen op onze ogen en oren om digitale identiteiten te verifiëren, klinkt het bij BioCatch. “Op het darkweb kunnen criminelen rijksregisternummers en identiteitskaartgegevens kopen”, zegt Rob Vink. “Ze kunnen zelfs gegevens van verschillende identiteiten met AI samenvoegen en zo nieuwe identiteiten creëren.” Het AI-tijdperk vereist dus nieuwe zintuigen voor authenticatie. “De inzet van geavanceerde data-analyse en AI in de strijd tegen witwassen staat nog in de kinderschoenen, maar is veelbelovend”, besluit Isabelle Marchand. “De federale politie kraakte in 2023 het geëncrypteerde communicatienetwerk van Sky ECC, wat leidde tot meerdere rechtszaken. Dat toont aan dat nieuwe technologie criminele organisaties kwetsbaar kan maken.”