Drie gedocumenteerde gevallen in Q1 2026. Meer dan €2 miljoen buitgemaakt. De technologie kost €50 per maand. Uw finance-afdeling is waarschijnlijk niet voorbereid — en dat is een boardroom-probleem.
In februari 2026 ontving de CFO van een middelgroot Nederlands logistiek bedrijf een videogesprek van zijn CEO. De CEO was op zakenreis in Singapore. Het gesprek was urgent: een tijdgevoelige overname vereiste een directe overboeking van €2,3 miljoen naar een Singaporese tegenpartij, buiten de normale betalingsprocessen om. De CEO was duidelijk, kalm en gedetailleerd. De CFO aarzelde, maar kende zijn CEO. Hij maakte de overboeking.
De CEO belde een uur later terug — vanuit Singapore. Hij had het gesprek nooit gevoerd. Het was een deepfake: een realtime AI-gegenereerde video van zijn gezicht, zijn stem, zijn manier van spreken. Samengesteld uit publiek beschikbaar videomateriaal van conferenties, interviews en bedrijfsvideo's.
Dit is geen sciencefiction. Dit is Q1 2026 — en het is twee keer eerder voorgekomen in Europa dit kwartaal, met vergelijkbare werkwijze en vergelijkbare bedragen.
De reflexmatige reactie is begrijpelijk: "We moeten onze IT-afdeling beter beveiligen." Maar dat mist de essentie. Deepfake-fraude omzeilt IT-systemen volledig. Er is geen phishing-link, geen malware, geen datalek. De aanval gaat via de mens — via vertrouwen, via hiërarchie, via de psychologische druk die een CEO op zijn CFO kan uitoefenen. Dat is een governance-vraagstuk, niet een technisch vraagstuk.
De board die dit delegeert aan IT, mist de werkelijke risico-eigenaar. De werkelijke risico-eigenaar is de directie zelf — want het gaat over de geloofwaardigheid van bestuurlijk gezag als authenticatiemechanisme. En dat gezag is nu aangevallen.
De technologie die achter deze aanvallen zit is niet geavanceerd in de zin van "alleen toegankelijk voor statelijke actoren." Het is commercieel beschikbaar, steeds gebruiksvriendelijker en — cruciaal — steeds moeilijker te onderscheiden van echte video. Twee jaar geleden was een deepfake nog herkenbaar aan lipsynchronisatieproblemen en artificiele huidtextuur. In 2026 zijn de beste modellen onder gecontroleerde omstandigheden niet meer te onderscheiden van echt.
Alle drie gevallen die wij hebben kunnen documenteren vertonen een patroon dat verontrustend consistent is:
Tijdsdruk als wapen De fraudeurs creëerden urgentie. Een tijdgevoelige transactie, een deal die "vandaag" moest worden gesloten, een externe deadline die geen ruimte liet voor verificatie via normale kanalen. Tijdsdruk is de meest effectieve manier om het beoordelingsvermogen van competente professionals uit te schakelen.
Autoriteitsescalatie In twee van de drie gevallen werd de deepfake-CEO vergezeld door een "externe advocaat" of "investment banker" — eveneens een deepfake of een echte medeplichtige — die de legitimiteit van het verzoek bevestigde. Meervoudige autoriteitsbevestiging vermindert de kans op weerstand drastisch.
Omzeiling van normale processen Het verzoek was altijd geframed als uitzonderlijk — buiten de normale goedkeuringsprocedures om. "Dit gaat via mij" is het signaal dat een CFO normaal zou doen pauzeren. Maar wanneer de CEO zelf dat zegt, en er tijdsdruk is, en er externe bevestiging is, wordt de uitzondering een vergissing.
Publieke informatie als grondstof In alle drie gevallen was de deepfake samengesteld uit publiek beschikbaar materiaal: persconferenties, YouTube-interviews, LinkedIn-video's, bedrijfspresentaties. Hoe meer uw CEO publiekelijk zichtbaar is — wat voor een modern leider bijna een verplichting is — hoe meer trainingsmateriaal er beschikbaar is.
Deepfake-fraude is niet op te lossen met een technische patch. Het vereist bestuurlijke besluiten over verificatieprotocollen, betalingsprocessen en — fundamenteel — een eerlijk gesprek over hoe uw organisatie omgaat met autoriteit en urgentie.
AI-fraude is nu een board-level risico. Menselijke verificatieprotocollen zijn geen IT-maatregel — het is besturingsbeleid. De CFO die een overboeking doet op basis van een videogesprek met zijn CEO, handelt niet nalatig. Hij handelt precies zoals hij altijd heeft gedaan. Dat is het probleem.
De praktische implicaties voor uw directie zijn direct:
Verifieer buiten het aangevallen kanaal Elk financieel verzoek dat via video of telefoon binnenkomt moet worden geverifieerd via een second channel — een apart telefoonnummer, een vooraf afgesproken codewoord, of een fysieke bevestiging. Dit geldt ook — en juist — voor verzoeken van de CEO. Maak dit beleid expliciet en bespreek het met de gehele directie.
Stel drempelwaarden in voor uitzonderingsprocessen Elk betalingsverzoek dat buiten de normale goedkeuringsprocedures valt, triggert automatisch een verificatieprotocol — ongeacht wie het verzoek doet. Dit is niet een gebrek aan vertrouwen in de CEO. Het is een erkenning dat de CEO zelf doelwit kan zijn van fraude.
Train uw directie en finance-team expliciet Niet eenmalig, maar kwartaallijks. Laat mensen zelf deepfake-voorbeelden zien. Bespreek wat tijdsdruk met het beoordelingsvermogen doet. Maak "ik wil dit verifiëren" sociaal acceptabel — ook wanneer de CEO zelf aandringt op snelheid.
Documenteer het beleid en leg het vast als bestuursbeleid Dit is geen IT-policy. Dit is een bestuursbesluit dat schriftelijk vastgelegd wordt, goedgekeurd door de raad van bestuur en jaarlijks herzien. Het biedt ook bescherming: wanneer een medewerker ondanks beleid een fout maakt, is er een governance-trail.
Deepfake-fraude is een symptoom van een dieper probleem: de erosie van vertrouwen als authenticatiemechanisme. Tientallen jaren zijn organisaties gebouwd op de aanname dat een herkend gezicht en een bekende stem betrouwbare signalen zijn. Die aanname is nu ongeldig.
Dit heeft implicaties die verder gaan dan fraudepreventie. Het raakt aan hoe organisaties besluiten nemen op afstand, hoe bestuurders hun gezag uitoefenen in hybride werkomgevingen, en hoe klanten en zakenpartners in de toekomst de authenticiteit van communicatie zullen verificeren. De board die deepfake-fraude behandelt als een losstaand beveiligingsprobleem, mist de structurele impact op organisatiegezag.
De parallel met de introductie van e-mail is illustratief. In de jaren negentig was e-mail een nieuw communicatiemedium dat vrijwel geen authenticatiedrempel had. Het duurde twee decennia voordat phishing, spoofing en e-mailfraude als serieuze bestuurlijke risico's werden erkend — en de schade in die twee decennia was enorm. Video en stem als communicatiemedium bevinden zich nu op hetzelfde omslagpunt.
De CFO die de frauduleuze overboeking deed, was een ervaren professional met twintig jaar track record. Hij deed precies wat zijn functie van hem vraagt: een urgent verzoek van zijn CEO serieus nemen en snel handelen. Het systeem heeft hem gefaald — niet andersom. Dat is wat de board moet begrijpen en moet repareren.
Niet alleen op fraude — op het volledige AI-landschap van uw organisatie.