Skip to content
AI & Deepfake-detectieNieuw

AI-signalen, synthetisch, deepfakes

KlantverhaalTarievenBeveiligingVergelijkingBlog
WoordenlijstLandgidsenChecklistsROI Calculator

Europe

Americas

Oceania

Gids7 min leestijd

Checklist: kenmerken van een door AI gegenereerd of gewijzigd document

12 concrete signalen — metadata, tekst, visuele kenmerken en kruiscontroles — om documenten te identificeren die zijn vervalst of gewijzigd door AI. Praktische gids voor compliance- en KYC-teams.

Het CheckFile-team
Het CheckFile-team·
Illustration for Checklist: kenmerken van een door AI gegenereerd of gewijzigd document — Gids

Dit artikel samenvatten met

ChatGPTChatGPTClaudeClaudePerplexityPerplexityGeminiGeminiGrokGrok

Een document dat door AI is gegenereerd of gewijzigd laat karakteristieke sporen achter op vier niveaus: bestandsmetadata, tekststructuur, visuele consistentie en verificeerbaarheid van gegevens. Deze checklist bevat de 12 meest betrouwbare signalen, gerangschikt naar moeilijkheidsgraad van vervalsing, zodat compliance-, KYC- en kredietteams verdachte dossiers kunnen uitfilteren vóór enige beslissing.

Volgens het ACFE 2024 Report to the Nations wordt slechts 37% van de documentfraude handmatig gedetecteerd, met een gemiddelde detectievertraging van 87 dagen. Generatieve AI-tools hebben de tijd om een overtuigend vervalst document te produceren teruggebracht tot minuten — waardoor systematische verificatie onmisbaar is.

Niveau 1 — Bestandsmetadata: verificatie in 90 seconden

Metadata is de eerste laag die geïnspecteerd moet worden, omdat de meeste AI-generatoren deze weglaten of op inconsistente wijze invullen.

In een authentiek document van een officiële instantie weerspiegelt de metadata de productieketen: institutionele software, afdrukwachtrij, digitaal certificaat. Een door AI gegenereerd document toont doorgaans een consumentenhulpmiddel in het veld Producer of Creator: ChatGPT PDF Export, Canva, PDFCreator of een Python-bibliotheek (reportlab, fpdf). Dit patroon is gedocumenteerd in het ENISA Threat Landscape 2024.

Velden die systematisch gecontroleerd moeten worden:

  • Creator / Producer: moet overeenkomen met de verwachte institutionele software (bijv. Microsoft Word voor een arbeidscontract, SAP voor de loonstrook van een groot bedrijf)
  • CreationDate vs ModDate: een verschil van slechts enkele seconden is verdacht; legitieme documenten hebben een bewerkingshistorie
  • Author: in vervalste documenten vaak leeg of gevuld met een generieke identificatie
  • XMP-metadata: volledig afwezig in documenten die zijn geproduceerd met eenvoudige generatietools

Voor bijgevoegde foto's (KYC-selfies, adresbewijzen met foto): de afwezigheid van EXIF-gegevens (apparaatmodel, GPS, tijdstip van opname) duidt op een digitaal gegenereerde of sterk bijgesneden afbeelding.

Niveau 2 — Tekstanomalieën kenmerkend voor LLM's

Taalmodellen zoals GPT-4o of Gemini produceren statistisch te homogene tekst: geen typefouten, geen handmatige correcties, geen stilistische variatie tussen alinea's. Dit signaal is bij eerste lezing onzichtbaar, maar wordt duidelijk bij analyse van meerdere velden van hetzelfde document.

Signalen om op te letten:

  • Uniforme lexicale dichtheid: een authentieke loonstrook bevat sectorafkortingen, cao-codes en niet-gestandaardiseerde functiebeschrijvingen. Een vervalsing heeft 'schone' tekst zonder authentiek sectorjargon.
  • LLM-transitiefrases: 'Het is vermeldenswaard dat', 'Bovendien', 'In dit verband' — constructies die overgerepresenteerd zijn in generatieve teksten vergeleken met echte officiële documenten.
  • Te regelmatige referentienummers: willekeurig gegenereerde contract-, factuur- of KvK-nummers slagen vaak voor de formaatcontrole, maar falen bij de controlegetal-verificatie (IBAN: modulo 97; KvK: eigen algoritme).
  • Oppervlakkig coherente maar onmogelijke datums: een contract ondertekend 'op 15 maart 2024' dat verwijst naar een cao-versie uit 2025.

Gebruikers op compliance-forums vragen regelmatig: 'Hoe weet ik of een loonstrook is gemaakt met ChatGPT?' Het antwoord betreft vrijwel altijd de controle of het BSN voldoet aan het elfproefformaat, of het loonheffingsnummer van de werkgever echt is bij de Belastingdienst en of de inhoudingscategorieën overeenkomen met de geldende loonbelastingtabellen.

Niveau 3 — Visuele en grafische signalen

Beeldgeneratietools (Midjourney, DALL·E, Stable Diffusion) en automatische opmaakmachines laten karakteristieke sporen achter.

Op grond van EU AI Act artikel 50 (Verordening EU 2024/1689) moeten synthetische inhoud worden gemarkeerd — maar deze verplichting geldt niet retroactief voor documenten die al in omloop zijn.

Visuele controlepunten:

  • Te perfecte uitlijning: gedrukte en gescande documenten vertonen een lichte rotatie (0,5°–2°). Een digitaal gegenereerd document is perfect recht, zonder perspectiefvervormingen.
  • Inconsistente resolutie en compressie: logo's in hoge resolutie op een formulier waarvan de bodytekst wazig is, of omgekeerd.
  • Stempels en handtekeningen: een officieel stempel vertoont inktonregelmatigheden en een lichte vervorming. Een door AI gegenereerd stempel is een perfecte cirkel met een perfect gecentreerd lettertype.
  • Afwezigheid van papiertextuur: foto's van echte documenten tonen papierkorrel, reflecties en slagschaduwen. AI-documenten zijn uniform vlak.
  • Foto's in identiteitsdocumenten: te gladde huid, overmatige gezichtssymmetrie, te scherpe haarranden — kenmerken van een deepfake-afbeelding. Zie ons artikel over deepfake-detectie in documenten.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gratis proefproject aanvragen

Niveau 4 — Inconsistenties in kruisgegevens

Een document kan niet geïsoleerd worden geverifieerd. De consistentie tussen interne velden en externe verifieerbare realiteit is de moeilijkste test voor een fraudeur om te doorstaan.

Essentiële kruiscontroles:

  • KvK-nummer: verificatie via het Handelsregister — het nummer moet bestaan, overeenkomen met het genoemde bedrijf en actief zijn op de documentdatum
  • Adres: verificatie via de Basisregistratie Adressen en Gebouwen (BAG) — een niet-bestaand adres of een adres toegewezen aan een andere gemeente is een sterk signaal
  • BTW-nummer: verificatie via het EU VIES-systeem van de Europese Commissie
  • IBAN: de BIC-code moet overeenkomen met een actieve bankinstelling; het IBAN doorstaat de modulo 97-controle

Overzichtstabel: signalen per documenttype

Documenttype Prioritair signaal Aanbevolen controle
Loonstrook Juiste cao, bijdragen volgens wettelijke tarieven Verificeer UWV-tarieven voor de betreffende periode
Bankafschrift Beginsaldo = eindsaldo vorige periode Kruis met andere afschriften van dezelfde rekening
Leveranciersfactuur Geldig KvK-nummer, actief BTW-nummer Handelsregister + VIES
Identiteitsdocument Officieel lettertype, coherente MRZ-zone Vergelijk met ICAO-referentiesamples
Adresbewijs Bestaand adres, authentiek leverancierslogo BAG + visuele logocontrole
KvK-uittreksel Inschrijvingsnummer coherent, oprichtingsdatum Handelsregister directe opzoeking
Diploma / certificaat Verifieerbaar diplomanummer, handtekening bevoegde Verificatie bij uitgevende instelling

Systematische verificatieprocedure

Compliance- en KYC-teams die grote hoeveelheden documentatie verwerken — met name in het kader van de verplichtingen van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de richtlijnen van de DNB en AFM — kunnen deze volledige checklist niet handmatig op elk document toepassen.

De aanbevolen procedure volgt een drietraps-triagemodel:

  1. Geautomatiseerde filtering (niveaus 1 + 4): metadata-extractie en controlegetal-validatie via API — deze stap kan honderden documenten per uur verwerken
  2. Ondersteunde forensische analyse (niveaus 2 + 3): gericht visueel onderzoek van documenten die door het automatische filter zijn gemarkeerd
  3. Versterkte menselijke beoordeling: voor hoog-risico dossiers, directe verificatie bij de uitgevende instantie

Ons platform ondersteunt meer dan 3.200 documenttypen in 32 rechtsgebieden, waardoor realtime structurele vergelijking mogelijk is tijdens verificatie. Bezoek de AI-documentdetectiepagina om te zien hoe deze detectielaag integreert in uw bestaande controles.

Waarom menselijke detectie alleen onvoldoende is

AI-tools genereren nu documenten die de visuele controle van de meeste analisten doorstaan, zoals gedocumenteerd in het ENISA Threat Landscape 2024. Het controlegetal van een KvK-nummer, de structuur van de MRZ-zone van een paspoort, de consistentie van inhoudingen op een loonstrook — deze verificaties vereisen algoritmische berekeningen die het menselijk oog niet in seconden kan uitvoeren.

Het Europol Internet Organised Crime Threat Assessment (IOCTA) 2024 wijst op een duidelijke toename van AI-ondersteunde documentfraude in de Europese financiële sector, met name gericht op digitale onboarding- en online-kredietprocessen.

Raadpleeg voor meer context over generatietechnieken onze analyse over hoe AI valse documenten maakt en de bedreigingen van LLM's zoals ChatGPT.

Het automatiseren van deze controles via een gespecialiseerde oplossing — met oplossingen aangepast aan uw sector — vermindert ongedetecteerde fraude met behoud van een soepele gebruikerservaring. Raadpleeg onze documentverificatiegids voor een volledig overzicht van beschikbare methoden en bekijk onze tarieven.

Veelgestelde vragen

Kan een AI-detectietool alle valse documenten identificeren?

Nee. AI-detectietools presteren goed op bekende documenttypen, maar zijn beperkt bij volledig nieuwe formaten of documenten die met zeer recente tools zijn gegenereerd. Meerlagige detectie (metadata + structuur + kruiscontroles) blijft de meest robuuste methode.

Bewijst een geldig KvK-nummer in een document de authenticiteit ervan?

Nee. Een fraudeur kan een bestaand KvK-nummer van een echt bedrijf kopiëren. De verificatie moet het nummer kruisen met de bedrijfsnaam, het adres en de activiteit in officiële registers — niet alleen het formaat van het nummer valideren.

Zijn bank-PDF-afschriften eenvoudig te vervalsen met AI?

Ja. LLM's kunnen in seconden syntactisch coherente afschriften genereren. Vervalsingsignalen zijn: niet-cumulatieve saldi tussen maanden, transactiereferenties die te kort of te lang zijn, en afwezigheid van bankreferentienummers in SEPA-formaat.

Welke Nederlandse regelgeving regelt documentverificatie in de KYC-context?

Documentverificatieverplichtingen in KYC vloeien voort uit de Wwft, de richtlijnen van DNB en AFM, en de komende AMLD6-omzetting. Elke verplichte instelling moet verificatiebewijzen vijf jaar bewaren na beëindiging van de zakelijke relatie.

Hoe wordt een verdacht AI-gegenereerd document gemeld?

In Nederland moet verdenking van witwassen gerelateerd aan een frauduleus document worden gemeld bij de Financiële inlichtingen eenheid (FIU-Nederland) via een melding van ongebruikelijke transacties. De detectie van een door AI gegenereerd document kan voldoende grond zijn om dit proces te starten.

Voor waar dit risico in het CheckFile-aanbod past, zie onze AI- en deepfake-detectieaanpak.

Blijf op de hoogte

Ontvang onze compliance-analyses en praktische gidsen rechtstreeks in uw inbox.

Klaar om uw controles te automatiseren?

Gratis proefproject met uw eigen documenten. Resultaten binnen 48u.

Gerelateerde artikelen

Gids9 min

Valse documenten via LLM en ChatGPT: de nieuwe fraudedreiging

ChatGPT en grote taalmodellen genereren ondetecteerbare nep-tekstdocumenten. Hoe deze dreiging werkt, welke documenten worden vervalst en hoe u uw organisatie beschermt.

Lezen
Gids9 min

Hoe AI valse documenten maakt — en hoe je ze detecteert

Generatieve AI-modellen (GAN, diffusie, LLM) fabriceren nep-loonstroken, identiteitsbewijzen en bankafschriften die het menselijk oog misleiden. Ontdek hoe ze werken en welke detectiemethoden echt helpen in 2026.

Lezen
Gids7 min

Liveness detectie vs documentvervalsing detectie: de belangrijkste verschillen

Liveness detectie en detectie van documentvervalsing beschermen tegen verschillende fraudevectoren. Begrijp de verschillen, regelgeving en KYC-integratie.

Lezen