Brief bewerken
Bekijk site ↗
Brief bewerken
Annuleren
💾 Opslaan
Publicatie
Status
Draft
Published
Archived
Categorie
— Geen categorie —
🔴 Governance & Leiderschap
⚫ Operations
💰 Exposure
🟡 AI & Opkomende Bedreigingen
🇪🇺 Europees Beleid
Brief type
Intelligence Brief
Flagship Analyse
Expert Brief
Deep Dive
De Radar
Publicatiedatum
Leeg = onmiddellijk bij publicatie
Auteur
Leestijd (minuten)
URL & Metadata
Kop (headline) *
8–12 woorden, bevat altijd een werkwoord
Slug (URL) *
Wordt gebruikt voor /brief/{slug}. Auto-gegenereerd vanuit kop.
TLDR *
In februari 2024 verliest een medewerker bij het Britse ingenieursbedrijf Arup HK$200 miljoen (~€25 miljoen) aan fraudeurs die in real-time deepfakes zijn van de CFO en vier collega's — een precedent dat zich nu verspreidt naar Ferrari, WPP en tientallen niet-gerapporteerde incidenten. CFO's zijn nu het meest gerichte executiveniveau bij financiële fraude; de PwC-prognose voor 2026 waarschuwt expliciet voor deepfake-operaties als dominant fraudemodus. Dit is niet 'binnenkort' — dit is nu.
Één zin, directe impact voor bestuurders
Wat is er gebeurd? *
De Arup-zaak: Een voorbode Begin februari 2024 ontvangt een finance-medewerker bij Arup Hong Kong een e-mail met een verzoek om deel te nemen aan een videoconferentie met senior management. De video begint. Ze ziet de CFO, duidelijk zichtbaar via webcam; vier collega's uit management, elk in afzonderlijke videoschermen; een realistische conferentie-interface met bedrijfslogo's. Allemaal deepfakes. Real-time AI-gegenereerde avatars met synthetische gezichten, gesynchroniseerde lippen, authentiek oogcontact. Gedurende de oproep geven de deepfake-executives instructies: fondsen overmaken naar externe rekeningen ter voorbereiding van een kritieke deal. De medewerker, onder druk in een videoconferentie met wat ze gelooft authentieke leiderschap te zijn, voert uit. Niet één keer — vijftien keer. Uiteindelijk HK$200 miljoen (~€25 miljoen / £20 miljoen) over 15 transacties. Pas achteraf blijkt: niemand van het management was werkelijk op die oproep. De hele conversatie was synthetisch. De zaak werd gemeld aan de Hong Kong Police Force. CNN, The Guardian, Financial Times en SCMP rapporteerden het als de eerste zaak van dit soort in Hong Kong — maar onderzoeken sindsdien tonen aan dat dit niet geïsoleerd is. Het patroon breidt zich uit Mei 2024 — WPP: 's Werelds grootste advertentiebedrijf wordt getarget. Fraudeurs gebruiken WhatsApp met een nepafbeelding van CEO Mark Read en bellen senior executives via Microsoft Teams met een voice clone. Het lukt niet — de executive stelt verificatievragen — maar het bewijs dat deze technologie real-time gegenereerd kan worden, zonder sporen, staat vast. Juli 2024 — Ferrari: CEO Benedetto Vigna wordt via WhatsApp geclond. Voice-cloning, niet video. De aannemer koestert twijfels en stelt een persoonlijke vraag om identiteit te verifiëren. Poging mislukt. Maar ook luxury-bedrijven staan op de hitlijst. Het PRMIA-case-archief toont dat deepfake-operaties tegen CFO's en finance-executives nu routineus zijn — de meeste worden niet openbaar gemaakt wegens reputatierisico.
3–4 alinea's. Feitelijk, geen jargon. Gebruik lege regels tussen alinea's.
Waarom dit ertoe doet
CFO's zijn het primaire doelwit Finance-executives beheren kasmogelijkheden: autorisaties voor grote overschrijvingen, bankrekeningtoegang, toegang tot cash pools. Een CEO kan bevelen geven; een CFO zorgt dat het geld beweegt. Voor een fraudeur is een CFO's stem en gezicht beter dan goud. De PwC Global Fraud Survey 2026 benoemt dit expliciet: deepfakes in combinatie met synthetische identiteiten zijn nu de dominant emerging fraud modality. Synthetic identity fraud is het snelst groeiende fraudemodus — niet omdat het voor criminelen makkelijk is, maar omdat het voor organisaties vrijwel ondetecteerbaar is totdat het geld weg is. De technologie is toegankelijk, goedkoop en ondetecteerbaar Tot 2023 waren deepfakes technisch moeilijk. Nu kunnen AI-tools in minuten real-time video's genereren. OpenAI Sora, Runway Gen-3, en tientallen open-source alternatieven produceren photorealistic video. Voice cloning is nog goedkoper — tien seconden audio van een LinkedIn-speech is voldoende. Dit betekent: lage voorbereidingskosten (een fraudeur kan tientallen executives klonen voor enkele honderden dollars), geen digitale voetafdruk (deepfake-oproepen verlaten geen verdachte logging-patronen), en geen verdachte timing (het geld beweegt via legitieme kanalen, goedgekeurd door echte accounthouders). Verificatiesystemen zijn kwetsbaar Veel organisaties verlaten zich op gezichtsherkenning of voice ID voor verificatie. Deepfakes slaan hier direct in: AI-gegenereerde gezichten passeren biometrische controlespunten. NIST-onderzoeken (2025) tonen aan dat commerciële facial recognition systemen kwetsbaar zijn voor diepe video's. Arup had waarschijnlijk videoconferentie-authenticatie, mogelijk twee-factor verificatie en interne audit-controles. Geen ervan detecteerde het, omdat de fraudeur niet inbrak — hij legitimeerde zich als interne auteur van zijn eigen instructie. Dit schakelt traditionele fraude-detectie uit Legacy antifraudesystemen kijken naar ongewone transactie-timing, abnormale bedragen en verdachte begunstigdenrekeningen. Arup's transacties kwamen van binnenshuis-IP-adressen, waren goedgekeurd door insiders (de deepfake-CFO), en waren in normale bedragen voor een bedrijf van die omvang. Het zag eruit als interne autorisatie — niet fraude.
2–3 alinea's. Strategisch bedrijfsrisico en implicaties voor bestuurders.
Beleidscontext
AI Act (2025) De EU AI Act vereist transparantieverplichtingen voor AI-gegenereerde media (leveranciers moeten het aanmelden als hoog risico), real-time detectie-vereisten voor synthetische media gebruikt in identiteitsverificatie, en accountability als een bedrijf een fraude-incident niet detecteert wegens het ontbreken van adequate risicocontroles. De AI Act voert geen straffeisen in voor gebruikers van deepfakes — alleen voor aanbieders. Fraudeurs die openbare AI-tools gebruiken, hebben nog relatieve straffeloosheid. NIS2 (2025) De Netwerk- en Informatiebeveiliging Directive 2 vereist incident response binnen 72 uur voor bedrijven met meer dan 250 medewerkers, meldplicht naar toezichthouders en potentieel naar klanten, en risicobeheersing inclusief sociale engineering — wat deepfakes formeel onder valt. Arup was juridisch verplicht het geval binnen 72 uur te melden. Dit brengt complianceverplichtingen mee voor elk bedrijf in scope. DORA (Digitale Operationele Weerbaarheid — financiële sector) DORA (van kracht juni 2025) vereist incident-classificatie van fraudegevallen, meld- en rapportagevereisten voor kritieke incidenten en risicobeheersing voor social engineering. Nederlandse banken, verzekeringsmaatschappijen en financiële bedrijven moeten DORA-compliant zijn — deepfake-detectie is nu formeel vereist. Het Nederlands landschap Nederland heeft geen eigenstandige deepfake-wetgeving, maar GDPR en het Wetboek van Strafrecht dekken fraude. Onder Nederlands strafrecht kan een fraude-incident als oplichting door middel van misleidende technologie worden bekleed, wat hogere straffen kan meebrengen bij veroordeling. AFM-waarschuwing (2025): De Autoriteit Financiële Markten heeft advisories uitgegeven die organisaties oproepen communicatieprotocollen voor grote transacties aan te passen.
Relevante EU/NL wetgeving en handhaving. Artikelnummers en deadlines waar van toepassing.
Wat kunt u morgen doen?
Maximaal 5 actiepunten. Concreet en direct uitvoerbaar.
Bronnen
PwC — The Fraud Trend to Watch in 2026 and Beyond: The Era of Deepfakes and Synthetic Identities. PwC Global Fraud Survey 2026. https://www.pwc.com/cz/cs/blog/rizeni-rizik/the-fraud-trend-to-watch-in-2026-and-beyond.html CNN — A finance worker paid out $25 million to fraudsters using deepfake technology, Anderson Cooper 360°, 4 februari 2024. The Guardian — UK engineering firm duped of over $25m in deepfake scam, 17 mei 2024. Financial Times — UK firm falls victim to whopping £20,000,000 deepfake scam, 16 mei 2024. SCMP — UK multinational Arup confirmed as victim of HK$200 million deepfake scam, 15 mei 2024. PRMIA (Professional Risk Managers' International Association) — Case Study: The Arup Deepfake Fraud. PRMIA Cyber Risk Archive (2024). Fortune — Ferrari exec foils deepfake attempt by asking the scammer a question, 27 juli 2024. MIT Sloan Management Review — How Ferrari Hit the Brakes on a Deepfake CEO, 2024. OECD.AI — WPP Executives Targeted by Deepfake Scam Using AI Voice Cloning, Incident 966, mei 2024. EU AI Act — Regulation (EU) 2024/1689 on Artificial Intelligence. Official Journal of the European Union, juni 2024. NIS2 — Directive (EU) 2022/2555 on network and information security. European Commission, december 2022. DORA — Regulation (EU) 2023/2655 on digital operational resilience. Van kracht 17 juni 2025. NIST — Interagency Report on AI Bias and Deepfake Detection. National Institute of Standards and Technology (2025).
Elke bron: "— Bronnaam — korte beschrijving". Scheid bronnen met een lege regel. Minimum 3 bronnen per brief.
Annuleren
💾 Opslaan