Factuurfraude in België: Hoe het werkt en hoe je je KMO beschermt

Factuurfraude is een vorm van oplichting waarbij criminelen een echte factuur onderscheppen — per post of digitaal — het rekeningnummer (IBAN) van de begunstigde vervangen door hun eigen rekening, en de aangepaste factuur doorsturen naar het slachtoffer. Wie betaalt zonder te controleren, maakt het geld rechtstreeks over aan de fraudeurs. In 2024 ontving de FOD Economie 215 meldingen met een totale schade van meer dan 3,3 miljoen euro. In 2025 steeg het aantal meldingen opnieuw. Belgische bedrijven worden steeds vaker en gerichter getroffen: 78% van de bedrijven in de Benelux had in de afgelopen twee jaar te maken met fraudepogingen.

Voor KMO's is de impact bijzonder groot. Een enkele betaling aan een verkeerd rekeningnummer kan duizenden euro's kosten, en terugvorderen is in de meeste gevallen moeilijk of onmogelijk.

Hoe werkt factuurfraude precies?

Factuurfraude begint bijna altijd met het verkrijgen van toegang tot vertrouwelijke informatie. Er zijn twee hoofdmethoden.

De digitale route: email hacking

Dit is in 2026 de meest voorkomende methode. Criminelen krijgen via phishing toegang tot de mailbox van een leverancier of klant. Vanuit die gehackte mailbox kunnen ze bestaande factuurmails onderscheppen, het IBAN-nummer op de factuur wijzigen, en de aangepaste versie doorsturen — vaak vanuit het echte emailadres van de leverancier. Het slachtoffer merkt niets ongewoons: de email komt van een bekend adres, de factuur ziet er legitiem uit, en het bedrag klopt.

Soms gaan fraudeurs nog een stap verder. Ze monitoren de gehackte mailbox wekenlang, leren het facturatiepatroon kennen, en slaan toe op het moment dat een groot bedrag verwacht wordt.

De postale route: fysieke onderschepping

Hoewel minder frequent, komt het nog steeds voor dat fraudeurs papieren facturen uit brievenbussen of sorteercentra onderscheppen. Ze scannen de originele factuur, wijzigen het rekeningnummer met bewerkingssoftware, en versturen de vervalste versie. Soms plakken ze simpelweg een sticker op de envelop met "Let op: nieuw rekeningnummer".

Waarom is factuurfraude zo moeilijk te herkennen?

Het grote verschil met andere vormen van oplichting is dat factuurfraude gebruik maakt van echte, verwachte facturen. Er zijn geen spelfouten, geen onbekende afzenders, geen verdachte links. De factuur ziet er exact uit zoals verwacht — alleen het rekeningnummer is gewijzigd.

Traditionele spamfilters en antivirussoftware detecteren dit type fraude niet. De email bevat geen malware, geen phishing-links, en komt vaak van een legitiem emailadres. Dat maakt menselijke controle én gespecialiseerde detectiesoftware essentieel.

Hoeveel kost factuurfraude Belgische bedrijven?

De officiële cijfers geven een onderschatting van het werkelijke probleem, omdat veel bedrijven fraude niet melden uit schaamte of omdat ze het pas te laat ontdekken.

Wat we weten:

• De FOD Economie registreerde in 2024 meer dan 3,3 miljoen euro schade uit 215 meldingen — een gemiddelde van ruim 15.000 euro per geval.
• Uit het Fraude Trendrapport Benelux 2025 blijkt dat bij 44% van de externe fraudegevallen de schade meer dan 100.000 euro bedraagt.
• Belgische bedrijven melden een stijging van 23% in de impact van externe fraude ten opzichte van het voorgaande jaar.
• 57% van alle ondernemingen is al ten minste één keer slachtoffer geweest van bewezen fraude.

Voor een KMO met beperkte cashflow kan een enkel geval van factuurfraude het verschil maken tussen operationeel blijven en in financiële problemen komen.

Wat is de IBAN-naamcontrole en is het voldoende?

Sinds 9 oktober 2025 zijn alle banken in de eurozone verplicht om bij elke overschrijving in euro een automatische verificatie te doen: de naam van de begunstigde wordt vergeleken met het opgegeven IBAN-nummer. Als deze niet overeenstemmen, krijgt de betaler een waarschuwing.

Dit is een belangrijke stap vooruit. Maar de IBAN-naamcontrole heeft beperkingen:

• De controle werkt pas op het moment van betaling. Als een medewerker een factuur ontvangt, goedkeurt, en invoert in het betaalsysteem, komt de waarschuwing pas op het allerlaatste moment. In een drukke boekhouding wordt zo'n melding snel weggeklikt.
• De controle vereist een exacte naammatch. Kleine afwijkingen in de bedrijfsnaam (een afkorting, een andere schrijfwijze) kunnen een vals-positief alarm veroorzaken, waardoor medewerkers de waarschuwingen gaan negeren.
• De controle beschermt niet tegen gehackte leveranciersaccounts. Als de fraudeur het rekeningnummer heeft gewijzigd in het boekhoudsysteem van de leverancier zelf, klopt de "echte" factuur niet meer — maar de IBAN-naamcontrole kan dat niet weten.

De echte bescherming zit eerder in het detecteren van de fraude op het moment dat de vervalste factuur binnenkomt — in de email, vóór de betaling.

Hoe bescherm je je KMO tegen factuurfraude?

Effectieve bescherming bestaat uit drie lagen: technische detectie, procedurale controles, en bewustwording.

Laag 1: Automatische detectie in email

Vysion scant elke inkomende email op het moment dat deze binnenkomt — niet pas bij de overschrijving. De detectie werkt in drie stappen:

1. IBAN-extractie: Uit de emailtekst, PDF-bijlagen en UBL/XML-facturen worden alle IBAN-nummers geëxtraheerd en gevalideerd (landcode, lengte, mod-97 checksum). Ongeldige nummers en valse treffers worden automatisch uitgefilterd.

2. Vergelijking met bekende afzenders: Elk geëxtraheerd IBAN wordt vergeleken met een database van eerder geziene IBAN-nummers per afzender. Voor zakelijke domeinen (bijv. leverancier.be) wordt op domeinniveau gematcht; voor publieke providers (Gmail, Outlook) op het volledige emailadres. Als een bekende leverancier plots een ander IBAN-nummer gebruikt, krijg je een rode waarschuwing.

3. Aanvullende controles: Naast de IBAN-vergelijking detecteert Vysion ook look-alike domeinen (bijv. leverancier-xyz.com vs leverancier-xyz.rt), thread hijacking (een ander persoon neemt een bestaande factuurconversatie over met een nieuw IBAN), en verdachte taal in PDF-bijlagen zoals "nieuw rekeningnummer" of "bankgegevens gewijzigd".

Alle detecties zijn deterministisch — gebaseerd op vaste regels, niet op AI. Je kunt eerder geziene IBAN-nummers markeren als veilig, waarna toekomstige emails van dezelfde afzender met dat IBAN niet meer worden gemarkeerd.

Laag 2: Interne procedures

Technologie alleen is niet genoeg. Zorg voor een vast verificatieproces:

• Controleer bij elke nieuwe leverancier of bij een wijziging van bankgegevens het rekeningnummer telefonisch via een bekend nummer — niet het nummer op de factuur zelf.
• Gebruik het vierogenprincipe: laat betalingen boven een bepaald bedrag altijd goedkeuren door een tweede persoon.
• Vergelijk het IBAN-nummer op de factuur met de gegevens op de officiële website of het originele contract van de leverancier.

Laag 3: Bewustwording bij medewerkers

Train je team om verdachte signalen te herkennen. De meest voorkomende rode vlaggen bij factuurfraude zijn: een bericht dat "het rekeningnummer is gewijzigd", een factuur van een leverancier met wie je al langer werkt maar met een nieuw IBAN, en tijdsdruk ("betaal voor het einde van de week om een toeslag te vermijden").

Eén getrainde medewerker die een vervalste factuur herkent, kan je bedrijf duizenden euro's besparen.

Wat verandert er in 2026 met Peppol e-facturatie?

Vanaf 2026 wordt elektronisch factureren via het Peppol-netwerk verplicht voor B2B-transacties in België. Peppol stuurt facturen via een beveiligd netwerk in plaats van per email, waardoor onderschepping door derden veel moeilijker wordt.

Dit is goed nieuws voor de lange termijn, maar de overgang zal jaren duren. In de tussentijd blijven veel bedrijven facturen versturen per email of zelfs per post. En criminelen passen zich aan: in plaats van facturen te onderscheppen, richten ze zich steeds meer op het hacken van de facturatiesystemen zelf.

Peppol vermindert het risico, maar elimineert het niet. Email-gebaseerde bescherming blijft noodzakelijk zolang bedrijven facturen per email ontvangen.

Gerelateerde artikelen

• IBAN fraude voorkomen: de complete gids voor Belgische ondernemers
• Email security voor KMO's: wat heb je écht nodig in 2026?
• Cyberbeveiliging voor Belgische KMO's in 2026: wat je moet weten

Veelgestelde vragen over factuurfraude

Wat is het verschil tussen factuurfraude en spookfacturen?

Bij factuurfraude wordt een echte factuur onderschept en het rekeningnummer gewijzigd. Het gaat om goederen of diensten die daadwerkelijk besteld zijn. Bij spookfacturen stuurt een oplichter een volledig verzonnen factuur voor iets dat nooit besteld is, vaak voor kleine bedragen in de hoop dat iemand betaalt zonder te controleren.

Kan mijn bank het geld terugvorderen na factuurfraude?

In theorie ja, maar in de praktijk is het uiterst moeilijk. Zodra het geld op de rekening van de fraudeur staat, wordt het meestal direct doorgesluisd naar andere rekeningen, vaak in het buitenland. Hoe sneller je de fraude meldt bij je bank, hoe groter de kans dat de betaling nog geblokkeerd kan worden. Contacteer je bank onmiddellijk via hun noodnummer.

Dekt mijn verzekering factuurfraude?

In de meeste gevallen niet. Er zijn geen standaard verzekeringen die factuurfraude dekken. Sommige juridische bijstandsverzekeringen bieden beperkte dekking. Een cyberverzekering kan in bepaalde gevallen tussenkomen, maar de voorwaarden variëren sterk. Preventie is daarom altijd goedkoper dan herstel.

Is factuurfraude strafbaar?

Ja. Factuurfraude valt onder valsheid in geschrifte en oplichting in het Belgische strafrecht. Slachtoffers kunnen klacht indienen bij de politie en de fraude melden via ConsumerConnect (meldpunt.belgie.be). De Economische Inspectie onderzoekt meldingen en kan een dossier openen tegen de fraudeurs.

Hoe detecteert Vysion factuurfraude in emails?

Vysion extraheert IBAN-nummers uit drie bronnen: de emailtekst, PDF-bijlagen en UBL/XML e-facturen. Elk IBAN wordt gevalideerd (landcode, lengte, checksum) en vergeleken met een database van eerder geziene IBAN-nummers per afzender. Als een bekende leverancier plots een ander rekeningnummer gebruikt, verschijnt er direct een rode waarschuwing in je inbox — vóór je de factuur betaalt. Daarnaast detecteert Vysion look-alike domeinen (bijv. leverancier.com → leverancier.rt), thread hijacking (iemand anders kapt een bestaande conversatie met een nieuw IBAN), en verdachte patronen in PDF-tekst zoals "nieuw rekeningnummer" of "bankgegevens gewijzigd". Dit werkt complementair aan de IBAN-naamcontrole van je bank: de bank controleert bij betaling, Vysion controleert bij ontvangst van de email.