Grip op frauderisico’s bij bedrijven: van preventie tot passende dekking.

Inhoudsopgave

De afgelopen jaren is het aantal fraudemeldingen bij bedrijven duidelijk toegenomen. In 2025 bleek dat bij 39% van de interne fraude en 44% van de externe fraude de schade hoger uitviel dan €100.000. Vooral binnen het MKB en middelgrote ondernemingen is de impact dan aanzienlijk.

Fraude is daarmee geen incidenteel probleem meer, maar een structureel bedrijfsrisico. Zeker in een tijd waarin technologische ontwikkelingen, zoals AI en deepfake, nieuwe mogelijkheden creëren voor criminelen.

De gevolgen van fraude beperken zich bovendien niet zelden tot alleen een ernstige directe financiële schadepost. Denk aan reputatieschade, verlies van vertrouwen bij relaties, verstoring van bedrijfsprocessen en noodzakelijke crisiscommunicatie. En fraude wordt vaak pas laat ontdekt. De impact is vaak breder en langduriger dan vooraf wordt ingeschat.

Waarom fraude vaak onderschat wordt

Veel bedrijven hebben maatregelen getroffen op het gebied van interne controle en IT-beveiliging. Toch blijkt in de praktijk dat processen, autorisatiestructuren en menselijk gedrag kwetsbaar blijven.

Fraude ontstaat zelden door één enkele zwakte. Het is vaak een combinatie van:

  • Onvoldoende functiescheiding;
  • Onduidelijkheid over accorderingsbevoegdheden;
  • Vertrouwen zonder verificatie;
  • Verouderde systemen;
  • Onvoldoende bewustzijn bij medewerkers.

Uit het jaarlijkse trendrapport van Allianz Trade, blijkt dat veel MKB en middelgrote bedrijven de frauderisico’s van hun organisaties onderschatten en denken al via de reguliere schadeverzekeringen deze risico’s af te kunnen dekken. Maar fraude-incidenten zijn nagenoeg uitgesloten op alle schadeverzekeringen.

Door de toename van digitalisering en AI en ondanks genomen preventiemaatregelen, kunnen juist het MKB en middelgrote bedrijven kwetsbare doelwitten zijn voor criminelen.  En als er dan een fraude incident plaatsvindt, is de financiële impact vaak een stuk groter.

Regels en procedures zijn niet voldoende om fraude tegen te gaan. De menselijke factor is net zo groot.

Wij zien dat ook onder deze bedrijven een lagere bekendheid is met fraude en/of cyberverzekeringen. Wat wij dan vaak horen is: “Wij hebben onze zaken goed op orde. De kans is klein dat wij slachtoffer van fraude worden. Wegen de baten van de verzekering wel op tegen de kosten?”. De antwoorden hierop hangen af van verschillende factoren, die we in dit artikel verder toelichten.

Er zijn verschillende fraudescenario’s die kunnen plaatsvinden, ongeacht de omvang van de organisatie.

Drie veelvoorkomende fraudescenario’s

Fraude kent vele gezichten. Hieronder lichten we drie meest voorkomende soorten fraude verder toe. Daarnaast gaan we in op een nieuwe trend onder criminelen: het gebruik van deepfake met behulp van AI.

Interne fraude blijft een substantieel risico. Medewerkers kunnen geld, goederen of informatie misbruiken. De kans hierop neemt toe naarmate controlemechanismen tekortschieten of functies onvoldoende gescheiden zijn. En daarvoor geldt doorgaans, hoe groter het bedrijf hoe makkelijker dit gaat. Opvallend is dat interne fraude in 2025 steeg van 25% naar 39% van het totaal aantal meldingen.

Zo wist een werknemer van een bouwonderneming hoogwaardige materialen te registreren als bestellingen van klanten. In werkelijkheid werd een deel van de bestelling niet aan de klant geleverd, maar door de werknemer zelf op eBay te koop aangeboden. Meer dan € 300.000 ging verloren door deze verduistering.

Een ander voorbeeld: zo kon een kassamedewerker bij een levensmiddelenbedrijf € 25.000 aan valse retourbonnen verwerken, maar hield het contante geld voor zichzelf.

Deze vormen van fraude vallen onder een fraudeverzekering.

Een andere manier van fraude is het versturen van valse facturen uit naam van een leverancier. De oplichters maken een factuur op die sprekend lijkt op de facturen die de leverancier normaliter verstuurt. maar dan uiteraard met hun eigen rekeningnummer en  wordt via e-mail verzonden. Net als bij CEO-fraude is deze e-mail qua uiterlijk nagenoeg identiek aan de mails die de leveranciers normaal gesproken ook sturen.

Zonder verificatie van wijzigingen in betaalgegevens kan dit ongemerkt leiden tot aanzienlijke verliezen.

Banken maken het oplichters wel steeds lastiger, omdat zij steeds vaker controleren of het rekeningnummer en de naam van de begunstigde wel bij elkaar horen. Bij zo’n controle vallen de oplichters dan direct door de mand.

Frauduleuze digitale facturen (social engineering) kunnen zowel onder een fraude- als cyberverzekering gedekt zijn.  Maar valt doorgaans onder een fraudeverzekering.

Het is een geraffineerde truc: de oplichter doet zich voor als een hooggeplaatste leidinggevende en vraagt via e-mail aan een medewerker om bedragen over te boeken naar een bepaald rekeningnummer. De e-mail is qua uiterlijk nagenoeg identiek aan wat gebruikelijk is binnen de organisatie en de stijl van schrijven past bij de vermeende afzender. De medewerker wordt er door zijn (nep)leidinggevende op gewezen dat strikte geheimhouding van groot belang is bij de betalingen; het gaat hier om een project ‘waar nog niemand van mag weten’. Een trouwe medewerker met wat autoriteitsgevoel kan al gauw ingaan op dit verzoek. CEO fraude wordt ook onder social engineeringfraude geschaald. Dit is een vorm van oplichting waarbij oplichters misbruik maken van menselijke eigenschappen zoals angst, vertrouwen, nieuwsgierigheid of behulpzaamheid.

De kwetsbaarheid zit vooral in processen: één persoon die zelfstandig betalingen kan doen, onduidelijkheid over wie de orders voor betalingen geeft en/of wie deze mag accorderen. Als dit niet voldoende helder en afgedekt is, dan heb je als bedrijf een zwakke plek waar oplichters dankbaar gebruik van weten te maken. En dat kan ieder bedrijf, groot of klein, overkomen.

Bij digitale fraudevormen, zoals CEO-fraude of social engineering, kan overlap tussen een fraude- of cyberverzekering ontstaan. Hoewel deze oplichting via e-mail – digitaal dus – plaatsvindt, valt CEO-fraude meestal toch onder de fraudeverzekering.

Een nieuwe trend: Deepfake

Deepfake is een verzamelnaam voor beelden, geluiden en teksten die door kunstmatige intelligente software worden gecreëerd. Hiermee kun je ook stemmen van bestaande personen nabootsen en manipuleren. Filmpjes, foto’s en geluiden zijn soms niet meer van echt te onderscheiden.

Zoals het voorval waarbij een medewerker door een hooggeplaatste leidinggevende werd gebeld met het verzoek om een groot bedrag over te boeken naar een bepaald rekeningnummer. De medewerker en de leidinggevende kenden en vertrouwden elkaar, dus de medewerker deed wat van hem gevraagd werd. Daarna volgde nog een mail van die leidinggevende waarin alles nog eens bevestigd werd. Niets aan de hand. Tot bleek dat de stem van de leidinggevende met deepfake-technologie was gemaakt. Maar het geld was wel weg.

Fraude via deepfake (zoals AI-gestuurde CEO-fraude of valse spraakberichten) valt in de meeste gevallen onder een cyberverzekering, vaak specifiek onder de dekking voor ‘social engineering’ of ‘cyberfraude’. Echter, de grens tussen fraudeverzekeringen en cyberverzekeringen vervaagt, en de dekking hangt sterk af van de specifieke polisvoorwaarden.

Preventie: waar begint effectieve fraudebestrijding?

Er zijn effectieve maatregelen die eraan bijdragen dat de alarmbellen op tijd gaan rinkelen:

  1. Zorg ervoor dat frauderisico’s een vast agendapunt vormen aan de directietafel;
  2. Weet waar intern de zwakke plekken zitten, zowel op IT-vlak als op het menselijke vlak, en pak die aan. Denk hierbij aan maatregelen rond duidelijke functiescheidingen tussen het plannen, het uitvoeren van betalingen en aan voortdurende goede beveiliging van de IT-systemen en het uitvoeren van frauderisico-analyses;
  3. Het is overigens soms mogelijk om via de verzekeraar risicopreventie maatregelen af te nemen zoals een fraudescan, waardoor u mogelijk kunt profiteren van kortingen op de premies. U kunt ook eventueel het eigen risico verhogen, waardoor u minder premie betaald;
  4. Maak gebruik van up-to-date systemen. Verouderde systemen maken bedrijven kwetsbaarder voor indringers;
  5. Implementeer eventueel specifieke fraude ISO normen in uw managementsystemen, zoals ISO 37001 (anti-omkoping), ISO 37002 (klokkenluidenregeling), ISO 37301 (compliance), en/of de opkomende ISO 37003 (fraude) serie. Deze normen helpen bedrijven bij het voorkomen, opsporen en aanpakken van deze risico’s. Ook kan de implementatie ervan, afhankelijk van de norm, een positieve invloed op de premie hebben;
  6. Weet met wie uw bedrijf zakendoet. Maak een procedure voor het screenen van leveranciers, kopers van eigendommen, enz. door hun (contact-)gegevens te controleren via bijvoorbeeld de KvK of hun eigen website. Wees vooral alert als een wijziging wordt doorgegeven van een bankrekeningnummer of afleveradres;
  7. Maak afspraken met elkaar over betalingsprocedures en introduceer indien nodig extra veiligheidsmaatregelen, zoals een vier-ogen-principe;
  8. Train medewerkers op veilig werken en op het herkennen van verdachte zaken;
  9. Introduceer eventueel een meldpunt waar medewerkers (vermoedens van) fraude kunnen melden.

Regels en procedures zijn noodzakelijk, maar de menselijke factor speelt een minstens zo grote rol. Fraudepreventie is geen eenmalige exercitie, maar een continu proces van evalueren, aanscherpen en trainen.

En ondanks allerlei maatregelen, is fraude niet 100% uit te sluiten maar de impact ervan, zoals de financiële- en reputatieschade en schade aan uw eigendommen kunnen zeker beperkt worden door een fraudeverzekering.

Wat is het verschil tussen een Fraude- en Cyberverzekering?

Er is vaak bij bedrijven toch nog veel onduidelijkheid is over hun specifieke risico’s, hoe en of zij deze voldoende kunnen afdekken door middel van een verzekering. Welke vormen van fraude worden gedekt en welke niet? Het is ook niet altijd even eenvoudig vast te stellen welk misdrijf onder een fraude- of cyberverzekering valt. Het belangrijkste uitgangspunt is dat er wordt gekeken naar de gevolgen van de fraude.

In hoofdlijnen geldt:

Fraudeverzekering

Richt zich op directe financiële schade door frauduleuze handelingen.

Dekkingen bestaan uit:

  • Interne fraude (diefstal van geld of goederen, verduistering, sabotage of vernieling aan eigendommen, valsheid in geschrifte en openbaarmaking van bedrijfsgeheimen uitgevoerd door interne medewerkers ongeacht of zij in loondienst of op inhuurbasis voor uw bedrijf werken);
  • Externe fraude (zoals omgeleide betalingen, valse opdrachten of facturen, CEO-fraude, social engineering, deepfake);
  • Onderzoekskosten en vaststellingskosten;
  • Kosten voor voortzetting van bedrijfsactiviteiten (meestal gedurende maximaal 6 maanden);
  • Juridische kosten en contractuele boetes;
  • Kosten ter beperking van reputatieschade.

Optioneel kunnen aanvullende risico’s worden meeverzekerd:

  • Buitenlandse vestigingen;
  • Computerfraude door derden als gevolg van verduistering in geschrifte, bedrog of oplichting na inbreuk op het systeem;
  • Verzekeren van geld en/of geldswaardige papieren;
  • Verloren gaan van waarden als gevolg van fraude gepleegd door statutaire directeuren en bestuurders.         

Cyberverzekering

Richt zich primair op schade als gevolg van inbreuk op systemen, netwerken of data zoals ongeoorloofde toegang tot IT-systemen (bijv. ransomware, hacking, datalekken).

Dekkingen bestaan uit:

  • Eigen schade: Kosten voor herstel van systemen, dataherstel, forensisch onderzoek, en omzetverlies door bedrijfsstilstand.
  • Aansprakelijkheid: Schadeclaims van klanten of partners wiens gegevens zijn gelekt
  • Fraude en afpersing: Kosten in verband met ransomware (losgeld) en e-mailfraude/phishing.
  • Reputatieschade: Kosten voor PR-ondersteuning om het imago te herstellen.
  • Ondersteuning door IT-specialisten in geval van een hack en juridische/forensische ondersteuning.

De voorwaarden verschillen per verzekeraar en de inrichting is vrijwel altijd maatwerk, afgestemd op omvang, sector, risicoprofiel en interne beheersing.

Zoals eerdere gemeld, is er soms overlap bij digitale fraudevormen en/of kunnen eventueel onder zowel een fraude- als cyberverzekering gedekt zijn. De fraudeverzekering en de cyberverzekering zijn daarom complementair aan elkaar.

Verzekeren is echt maatwerk

Kortom: een fraude en/of cyberverzekering is echt maatwerk. Op deze manier bent u altijd verzekerd met de juiste bescherming. Premies worden afgestemd op uw behoeftes, de omvang, het budget en de risico’s van uw organisatie ( zoals aantal medewerkers, het te verzekeren bedrag, omzet, eventuele dekkingsuitbreidingen en de gevoeligheid van frauderisico’s).

Heeft u nog vragen over fraudebestrijding of de fraudeverzekering?

Neem dan contact op één van onze specialisten via 010 251 12 51 of uw accountmanager. We helpen u graag verder.

Op de hoogte blijven

Altijd op de hoogte blijven van de risico’s in uw sector? Meld u aan voor onze nieuwsbrief

  • This field is for validation purposes and should be left unchanged.
  • This field is hidden when viewing the form

    Sectie

redactie

Misschien ook interessant voor u