email

Suivez l'info

Fraude, Phishing & Hacking: Wanneer artificiële intelligentie in dienst staat van oplichters

Suzon Nyssen (Head of Tax & Legal), 29 mei 2026

Stand van zaken: een sterk groeiende dreiging

Op 14 mei 2026 sloeg de Federale Gerechtelijke Politie (FGP) van Antwerpen publiekelijk alarm en wees op de toenemende verfijning van factuurfrode. De cijfers van de officiële Belgische autoriteiten bevestigen de omvang van het fenomeen: er is sprake van ongeveer 32 miljoen euro schade in 2025, zeker een onderschatting aangezien de FOD Economie schat dat minder dan 1% van de slachtoffers van online oplichting aangifte doet.

 

Hoe werkt factuurfrode?

Factuurfrode is aanzienlijk geëvolueerd. Het gaat niet langer om fysieke post onderschept in brievenbussen of in sorteercentra van bpost (hoewel deze praktijken blijven bestaan). Tegenwoordig opereren oplichters vrijwel uitsluitend langs elektronische weg, met een geduchte efficiëntie.

Alles begint met frauduleuze toegang tot een mailbox. Criminelen maken misbruik van gecompromitteerde inloggegevens afkomstig van eerdere datalekken. Deze gegevens (vaak van grote telecomoperatoren zoals Telenet of Proximus) worden uitgewisseld of doorverkocht op het dark web.

Eenmaal de mailbox geïnfiltreerd, verloopt het proces volledig geautomatiseerd dankzij artificiële intelligentie: "Zodra ze toegang hebben tot de mailbox, onderscheppen en bewaken ze alle inkomende berichten via een geautomatiseerd proces. Vervolgens manipuleren ze de facturen in bijlagen door de gestructureerde mededeling en het rekeningnummer te vervangen. De gewijzigde factuur, visueel identiek aan het origineel, wordt vervolgens discreet teruggeplaatst in de mailbox of rechtstreeks doorgestuurd naar het slachtoffer. Dankzij artificiële intelligentie verloopt dit proces aan een duizelingwekkende snelheid." (FGP Antwerpen)

Het resultaat: een factuur die volledig authentiek lijkt — zelfde logo, zelfde lay-out, zelfde leverancier — maar waarbij alleen het IBAN-rekeningnummer is vervangen door dat van een "financiële muilsel" die door de fraudeurs wordt gecontroleerd. De fraude wordt vaak te laat ontdekt, wanneer de legitieme leverancier betaling eist.

De belangrijkste vormen van factuurfrode zijn de volgende:

  • IBAN-vervalsing: Wijziging van het rekeningnummer op een onderschepte bestaande factuur (richt zich voornamelijk op kmo's, zelfstandigen, particulieren)
  • Spookfactuur: Verzending van een volledig fictieve factuur die een bekende leverancier imiteert (richt zich voornamelijk op de aankoop- en boekhoudafdelingen van bedrijven)
  • CEO-fraude: Identiteitsusurpatie van een bestuurder om een dringende overschrijving te bevelen (richt zich op financieel verantwoordelijken en directeurs in grote ondernemingen)
  • BTW-carrouselfraude: Fictief factureringscircuit tussen brievenbusvennootschappen om de btw frauduleus terug te vorderen (richt zich met name op toeleveringsketens, importeurs-exporteurs)

 

Fraude via usurpatie van de bankrekening of Itsme

Ondernemingen worden ook steeds vaker geconfronteerd met echte hacking van hun IT-omgeving en hun Itsme, waardoor fraudeurs toegang krijgen tot de betaalprogramma's (bijvoorbeeld ISABEL) die de ondernemingen gewoonlijk gebruiken. Het risico bestaat dan dat zij een groot aantal betalingen uitvoeren via deze programma's, vaak tijdens het weekend wanneer er minder real-time controle op de rekeningen is.

Itsme heeft overigens het volgende bericht op zijn website gepubliceerd. Voorzichtigheid is geboden.

 

De fiscale gevolgen voor slachtoffers-ondernemingen

BTW — Een onderneming die een vervalste factuur heeft betaald, kan in principe de bijbehorende btw niet aftrekken indien de betaling niet is verricht aan de wettige begunstigde. De FOD Financiën kan het recht op aftrek weigeren indien de geldigheidsvoorwaarden voorzien door het BTW-Wetboek niet zijn vervuld, en dit heeft betrekking op de identificatie van de legitieme leverancier. Het is aan de onderneming om haar goede trouw te bewijzen.

Bovendien kan een onderneming die onvrijwillig betrokken is in een btw-carrouselfraude hoofdelijk aansprakelijk worden gesteld voor de frauduleus afgetrokken belasting. De rechtspraak van het Hof van Justitie van de Europese Unie verplicht belastingplichtigen immers om de betrouwbaarheid van hun leveranciers te controleren.

Vpb — In geval van diefstal via bankfraude zouden de gestolen bedragen aftrekbaar kunnen zijn als beroepsverlies, voor zover de diefstal goed gedocumenteerd is met een solide bewijsdossier (aangifte van diefstal bij de politie, geen grove nalatigheid in het beheer van de informatiebeveiliging, enz.).

 

Verplichte elektronische facturatie vanaf 1 januari 2026: een gedeeltelijk schild

De invoering van Peppol vanaf 1 januari 2026, waardoor gestructureerde elektronische facturatie verplicht is voor alle B2B-transacties tussen in België gevestigde btw-plichtigen, heeft tot gevolg dat PDF-facturen verzonden per e-mail niet langer als geldig worden beschouwd voor B2B-uitwisselingen vanaf die datum.

De veralgemening van Peppol zou structureel de factuurfrode tussen ondernemingen moeten verminderen, omdat de documenten niet langer vrij kunnen circuleren in de vorm van bewerkbare PDF's. Er rijst echter een ander risico: dat van automatische goedkeuring van facturen afkomstig van derden die niet uw leveranciers zijn. Elke derde kan een factuur naar een onderneming sturen via Peppol, en het is aan de beheerder van het ontvangstprogramma om deze te controleren alvorens ze goed te keuren/te betalen.

Bovendien waarschuwt het Verbond van Belgische Ondernemingen (VBO) dat fraudeurs zich al aanpassen: zij proberen nu rechtstreeks de facturatiesystemen en de Peppol-toegangen van ondernemingen te hacken.

 

Hoe beschermt u uw onderneming?

Geconfronteerd met de toenemende verfijning van fraude bevelen de Belgische autoriteiten en het VBO een reeks concrete maatregelen aan. De volgende goede praktijken worden aanbevolen:

Beveilig uw berichtensystemen

  • Activeer tweefactorauthenticatie (2FA) op alle professionele e-mailboxen, zonder uitzondering.
  • Controleer regelmatig of uw e-mailadressen het voorwerp zijn geweest van datalekken (sites HaveIBeenPwned.com of Firefox Monitor aanbevolen door de FGP).
  • Installeer een anti-phishingfilter en regels voor de detectie van verdachte berichten.
  • Train uw medewerkers om frauduleuze e-mails te herkennen: de nieuwe aanvallen bevatten geen spelfouten meer, in tegenstelling tot de oplichterij van vroeger.

Beveilig uw betalingsprocedures

  • Stel een strikte procedure in voor elke wijziging van bankgegevens van een leverancier: verificatie per telefoon (op een bekend nummer, niet het nummer vermeld in de verdachte mail), validatie door een tweede verantwoordelijke.
  • Maak gebruik van de begunstigdenverificatiedienst die door de bankapplicaties is ingesteld: vóór elke overschrijving bevestigt uw bank automatisch of de naam van de begunstigde overeenkomt met het opgegeven IBAN.
  • Stel dagelijkse betalingslimieten in met redelijke drempelwaarden.
  • Wees systematisch wantrouwig tegenover elk urgent verzoek tot overschrijving, zeker als dit zogenaamd afkomstig is van een bestuurder.
  • Vergelijk systematisch de ontvangen facturen met de bestelorders en leveringsbonnen.

Migreer naar gestructureerde elektronische facturatie (Peppol)

  • Registreer u zonder vertraging op het Peppol-netwerk als u dit nog niet heeft gedaan. Het is een wettelijke verplichting sinds 1 januari 2026.
  • De aanpassingskosten aan het Peppol-systeem zijn aftrekbaar tegen 120% in de vennootschapsbelasting voor kmo's en zelfstandigen tot 2027 (digitale investering).
  • Opgelet: Peppol beschermt B2B-uitwisselingen alleen tussen gevestigde Belgische belastingplichtigen. B2C-uitwisselingen en buitenlandse ondernemingen zonder vaste inrichting vallen buiten het toepassingsgebied.

 

Wat te doen als u slachtoffer bent van factuurfrode?

  • Neem onmiddellijk contact op met uw bank om te proberen de frauduleuze overschrijving te blokkeren of terug te roepen.
  • Doe aangifte bij de lokale politie.
  • Bewaar alle bewijzen: e-mails, originele en gewijzigde facturen, betalingssporen.
  • Neem contact op met B.F.S.: wij kunnen u bijstaan bij de stappen bij de FOD Financiën en om de fiscale gevolgen te beperken.
  • Meld indien van toepassing de feiten aan de FOD Economie via ConsumerConnect.

 

Conclusie: waakzaamheid en beveiliging gaan hand in hand

Factuurfrode is geen abstracte dreiging meer. Ze treft Belgische ondernemingen van alle groottes, met soms verwoestende financiële en fiscale gevolgen. Artificiële intelligentie heeft de spelregels grondig veranderd: de oplichterij is nu vrijwel ondetecteerbaar met het blote oog, volledig geautomatiseerd en onthutsend snel. De overgang naar verplichte elektronische facturatie via Peppol is een grote structurele vooruitgang. Maar dit ontslaat niet van constante waakzaamheid inzake informatiebeveiliging en interne procedures. Fraudeurs passen zich aan, uw verdediging moet ook evolueren.

U staat niet alleen tegenover deze risico's. B.F.S. begeleidt u dagelijks, of het nu gaat om advies over de beveiliging van uw facturatieprocessen, het in overeenstemming brengen met de nieuwe wettelijke verplichtingen, of gewoon het beantwoorden van een vraag die u bezighoudt. Onze deur staat open.