Jarenlang werden deepfakes behandeld als een rariteit uit de politieke of sociale media, een vreemde hoek van het internet waar gezichten van beroemdheden (van vrouwen 99% van de tijd) op nepvideo’s werden geplakt (porno in 99% van de gevallen) en niemand wist het precies wat eraan te doen. Maar dat kader is nu gevaarlijk achterhaald, omdat deepfakes zich stilletjes hebben ontwikkeld tot iets veel systemischers: een operationeel risico voor bedrijven, dat toeleveringsketens, financiële workflows, merkvertrouwen en zelfs de besluitvorming van leidinggevenden kan corrumperen.
Recente krantenkoppen laten zien dat synthetische media niet langer een randexperiment zijn. Het is een strategische dreiging, waar bedrijven niet op voorbereid zijn.
Wanneer een deepfake $25 miljoen kan stelen
In februari 2025, mondiaal ingenieursbureau Arup werd het slachtoffer van een geavanceerde deepfake-fraude. Aanvallers gebruikt AI-gegenereerde video en audio om senior leiderschap na te bootsen en overtuigde een werknemer om $ 25 miljoen aan bedrijfsfondsen over te maken. Het World Economic Forum omschreef het als een mijlpaal: het moment waarop synthetische fraude van experiment overging in diefstal op ondernemingsschaal.
Voor elke leidinggevende die deepfakes nog steeds als een fenomeen op sociale media beschouwt, zou dit een wake-up call moeten zijn.
Arup beschikte over een sterke cyberbeveiliging. Wat het niet had was veerkracht van identiteit—het vermogen om te verifiëren dat de mens aan de andere kant van de oproep daadwerkelijk een mens was.
CEO-fraude, maar dit keer met perfecte replica’s
Het afgelopen jaar zijn het aantal pogingen tot deepfake-CEO-fraude enorm toegenomen, waarbij CFO’s, inkoopteams en fusie- en overnameafdelingen zijn geviseerd. Een rapport uit 2025 merkte op dat meer dan de helft van de ondervraagde beveiligingsprofessionals te maken had gehad met synthetisch gegenereerde pogingen tot nabootsing van leidinggevenden.
Het is gemakkelijk in te zien waarom:
- Deepfake-video is nu realtime en met hoge resolutie.
- Voor het klonen van stemmen is slechts een paar seconden audio nodig.
- Aanvallers kunnen nu emotie, urgentie of stress spoofen, precies de signalen die het scepticisme van werknemers tenietdoen.
Eén middelgroot technologiebedrijf naar verluidt $ 2,3 miljoen verloren Na een overtuigend vervalst audiogesprek kreeg Finance de opdracht om geld over te maken voor een ‘dringende overname’.
Het is duidelijk dat traditionele anti-phishing-trainingen werknemers niet voorbereiden op een perfect gereconstrueerde versie van hun baas.
Deepfakes gaan niet langer over politiek: het gaat over bedrijfsmodellen
Wanneer een deepfake zich voordoet als een beroemdheid om een frauduleus investeringsplan te promoten, is dat reputatieschade. Wanneer een deepfake uw woordvoerder, CFO, product- of supply chain-partner nabootst, wordt dat een bedrijfsramp.
We zijn in een fase beland waarin synthetische media volledig in het bedrijfsrisicolandschap passen, aldus de onderzoekers Het sectorrapport 2025 van Trend Micro. Synthetische inhoud zorgt nu voor nieuwe golven van fraude, identiteitsdiefstal en zakelijke compromissen.
Dit is niet hypothetisch. Het is operationeel.
De nieuwe leidinggevenden op het gebied van supply chain-risico’s zien het niet
Merken vertrouwen steeds meer op complexe ecosystemen: logistieke partners, leveranciers, distributeurs, beïnvloeders, dienstverleners, externe integrators. Elk van deze knooppunten is afhankelijk van vertrouwen.
Deepfakes veranderen vertrouwen in een aanvalsoppervlak.
Stel je deze scenario’s voor:
- Een nepvideo ‘van uw CEO’ waarin een verschuiving in de inkoopstrategie wordt aangekondigd, zorgt ervoor dat leveranciers in paniek raken.
- Een stemkloon geeft uw Aziatische productiepartner de opdracht de levering stop te zetten.
- Een synthetische ‘gelekte clip’ van een defect product gaat viraal voordat uw PR-team wakker wordt.
- Een deepfake van een belangrijke leverancier ‘bevestigt’ ten onrechte zwakke punten in de cyberbeveiliging, waardoor downstream-partners een rechtszaak aanspannen.
Dit zijn geen sciencefiction. Het zijn logische uitbreidingen van aanvalspatronen die al worden ingezet – en ze leggen een blinde vlek bloot in het risicobeheer van bedrijven: de integriteit van de identiteit zelf.
Waarom deepfakes merken harder treffen dan de politiek
Politieke deepfakes veroorzaken verontwaardiging. Deepfakes van bedrijven veroorzaken iets ergers:
- Verlies van vertrouwen van de klant
- Volatiliteit van aandelen
- Kwetsbaarheden bij handel met voorkennis
- Rechtszaken van partners
- Regelgevend toezicht
De Securities an Exchange Commission heeft de financiële sector al gewaarschuwd dat door AI gegenereerde nabootsing van identiteit fraudestrategieën hervormtwaarin wordt opgeroepen tot verbeterde normen voor identiteitsverificatie.
Als toezichthouders opletten, moeten leidinggevenden dat ook doen.
Waarom het traditionele cybersecurity-playbook niet genoeg is
Firewalls kunnen een deepfake niet tegenhouden. Multi-factor authenticatie zal een deepfake niet tegenhouden. Encryptie kan een deepfake niet tegenhouden.
Deepfakes bewapenen iets waar geen enkel cybersecurityteam historisch gezien verantwoordelijk voor is geweest: vertrouwen in de menselijke verschijning en stem. De zwakste schakel is niet langer een wachtwoord. Het is de overtuiging van een persoon dat hij met iemand spreekt die hij kent.
Identiteit, en niet infrastructuur, is de nieuwe kwetsbaarheid.
Waarom merken deepfakes moeten behandelen als supply chain-risico
De meeste bedrijven degraderen deepfakes nog steeds naar de PR-desk of het ‘desinformatieteam’. Dat is naïef.
Deepfakes bedreigen:
- Inkoopworkflows (valse inkooporders, valse annuleringen)
- Relaties met leveranciers (nepgeschillen, nep-complianceproblemen)
- Financiële goedkeuringen (deepfake CFO-instructies)
- Het vertrouwen van de klant (nepproductfouten, nep-CEO-berichten)
- Het moreel van de werknemers (synthetische HR-richtlijnen, valse memo’s)
Het gaat niet alleen om fraude. Deepfakes kunnen de coördinatiemechanismen die ervoor zorgen dat toeleveringsketens werken. Ze kunnen een systeem lamleggen zonder ooit een firewall aan te raken.
Wat bedrijfsleiders (nu) moeten doen
Hier is het opkomende best-practice-playbook voor leidinggevenden:
- Voeg deepfake-risico’s toe aan uw raamwerk voor ondernemingsrisicobeheer: Als ransomware een probleem op bestuursniveau is, moet synthetische identiteit dat ook zijn.
- Implementeer verificatieprotocollen die niet afhankelijk zijn van spraak of video: Gebruik secundaire digitale handtekeningen, beveiligde kanalen of vooraf afgesproken workflows.
- Controleer uw leveranciers, leveranciers en partners: Vraag of ze een deepfake-veerkrachtbeleid voeren, omdat hun kwetsbaarheden de jouwe worden.
- Zet detectiesystemen in, maar vertrouw ze niet blindelings: Infosecurity-magazine merkt dat op De detectie-instrumenten worden steeds beter, maar blijven onbetrouwbaar.
- Train medewerkers om de urgentie te wantrouwen: De meeste deepfaufraude maakt gebruik van emotionele versnelling: “Dit is van cruciaal belang, doe het nu.” Uw sterkste verdediging is het geven van toestemming aan werknemers om langzamer te gaan werken.
- Bouw een intern beleid voor ‘identiteitsveerkracht’: Definieer precies hoe belangrijke beslissingen en financiële goedkeuringen moeten worden bevestigd. Geen uitzonderingen voor “Ik zag ze op video.”
De ongemakkelijke waarheid is dat AI het zien en horen overbodig heeft gemaakt. Met AI zijn we een psychologische Rubicon overgestoken: je ogen en oren zijn niet langer authenticatiemechanismen.
Leidinggevenden die dit niet internaliseren, zullen hetzelfde lot tegemoet gaan als bedrijven die tien jaar geleden phishing, ransomware of cloudbeheer negeerden – alleen sneller en met grotere inzet.
Deepfakes gaan niet over wat waar is: ze gaan over wat is geloofwaardig. En in het zakenleven is geloofwaardigheid vaak het enige dat telt.
De nieuwe leiderschapsuitdaging
De bedrijven die floreren in het AI-tijdperk zullen niet de bedrijven zijn met de grootste modellen of de meest flitsende copiloten. Zij zullen degenen zijn die vertrouwen, identiteit en verificatie van de grond af aan opnieuw vormgeven.
Want als deepfakes uw activiteiten en toeleveringsketen kunnen corrumperen, is de verdediging hiertegen geen IT-probleem. Het is een leiderschapsprobleem.
En als jij het nu niet oplost, kan iemand anders (misschien een algoritme met het gezicht van je CEO) het misschien wel voor je oplossen.
