Peppol is geen kwaliteitskeurmerk dat misbruik voorkomt, verre van dat!

Het Peppol-netwerk alleen garandeert geenszins dat factuurfraude verdwijnt. Volgens deskundige Olaf Passchier is technologie niet voldoende: we moeten ook onze manier van omgaan met fraude herzien.

Hoewel Peppol tot doel heeft btw-fraude te bestrijden, neemt het systeem niet van de ene op de andere dag alle frauderisico’s weg. De impact ervan richt zich voornamelijk op de klassieke vormen van factuurfraude. Het risico om valse facturen via e-mail te ontvangen, wordt hierdoor aanzienlijk verminderd. Aangezien Peppol een gesloten netwerk is, is het bovendien niet meer mogelijk om facturen te onderscheppen en te wijzigen. Dankzij het gebruik van gestructureerde gegevens, versleutelde verzending en authenticatie van de afzender en de ontvanger wordt elke vorm van manipulatie moeilijker.

„Dat betekent echter niet dat alle risico’s verdwijnen, nuanceert Olaf Passchier, Customer Advisory Lead for Fraud, Compliance and Public Security Netherlands and Belgium, SAS. Bij Peppol is de zwakke schakel niet langer de verzending van de factuur, maar de identiteit van de afzender! ”

De meeste vormen van fraude zijn nog steeds heel goed mogelijk

Het netwerk is gebaseerd op het principe „één keer inloggen, verbinding met iedereen”. Je kunt het tot op zekere hoogte vergelijken met een mobiel telefoonnummer. Zodra je via dat nummer bent aangesloten op het telefoonnetwerk, kun je elk ander nummer bellen. In het Peppol-netwerk komt dit „nummer“ overeen met een Access Point. Facturen worden van het ene Access Point naar het andere doorgestuurd. „In principe zijn beide partijen dus geregistreerde gebruikers… maar daarbij is geen rekening gehouden met fraudeurs!

Als een fraudeur erin slaagt de identiteit van een bedrijf te misbruiken en een Access Point of een onvoldoende beveiligd softwareplatform te exploiteren, kan hij Peppol gebruiken om valse facturen te versturen die er betrouwbaar uitzien. „De situatie is vergelijkbaar met die van een cybercrimineel die, zodra zijn identiteit door het systeem is gevalideerd, zich vrij door het netwerk van een organisatie kan bewegen“, vervolgt Olaf Passchier. „Vanaf dat moment blijven de meeste vormen van fraude volkomen mogelijk, zelfs binnen Peppol. ”

AI maakt fraude geloofwaardiger

Peppol beperkt zich dus tot het bevestigen dat een factuur via het netwerk en vanaf een Access Point is verzonden, maar garandeert niet dat de persoon die deze factuur heeft opgesteld, daadwerkelijk bevoegd was om deze te verzenden. Kwaadwillenden zouden zich kunnen registreren met het bedrijfsnummer van een bestaand bedrijf. Hoewel er tot nu toe geen gevallen van fraude via Peppol bekend zijn, waarschuwen cyberbeveiligingsexperts nu al voor de risico’s. ”

Bovendien maakt AI het fraudeurs een stuk gemakkelijker door hun pogingen tot identiteitsfraude geloofwaardig te maken. „Generatieve AI is in staat om realistische e-mails te schrijven, in meerdere talen, zonder ook maar één fout”, waarschuwt Olaf Passchier. Het kan leveranciers nabootsen en zelfs de tone of voice van een bedrijf reproduceren.

Dankzij AI kunnen fraudeurs ook grote hoeveelheden gegevens over een bedrijf verzamelen, hun zakenpartners identificeren en zo zo geloofwaardig mogelijke valse facturen opstellen.

Bovendien is Peppol eenvoudig in gebruik, waardoor veel organisaties de menselijke controle hebben teruggeschroefd. Wanneer facturen automatisch in het bedrijfssysteem worden geïntegreerd, kunnen door AI gegenereerde fraudegevallen gemakkelijker door de mazen van het net glippen.

Dat gezegd hebbende, is Peppol bovenal een uitstekend initiatief om fraude op te sporen. Omdat de gegevens gestructureerd zijn, zijn er meer controles mogelijk. Alles is in realtime traceerbaar en elke afwijking kan via Peppol efficiënt worden geregistreerd, voegt Olaf Passchier toe. „Bedrijven moeten zich echter realiseren dat Peppol deze rol niet automatisch op zich neemt. Peppol is geen kwaliteitskeurmerk dat garandeert dat een factuur veilig is, louter omdat deze afkomstig is uit het netwerk. Evenzo moet men niet automatisch vertrouwen stellen in een e-mail die is verzonden via een erkend programma zoals Microsoft 365.”

Hoe Peppol optimaal te gebruiken

Zelfs binnen Peppol blijven controlemechanismen onmisbaar. Dat begint bij de keuze van een betrouwbare Peppol-aanbieder. „Neem ook intern maatregelen en laat elke betaling goedkeuren”, adviseert Olaf Passchier. Pas bijvoorbeeld het vier-ogenprincipe toe: de inkoopverantwoordelijke bevestigt dat de goederen daadwerkelijk zijn geleverd, en de financiële afdeling controleert of de bijbehorende factuur geloofwaardig is. In dat geval moeten fraudeurs twee controles omzeilen.

Technologie moet deze controles vergemakkelijken. Aangezien fraudeurs steeds vaker gebruikmaken van kunstmatige intelligentie, moeten bedrijven ook investeren in slimme detectietools. Bijvoorbeeld door regels en modellen in te voeren die automatisch elke afwijkende factuur signaleren: een nieuw bankrekeningnummer, een bedrag dat aanzienlijk hoger is dan normaal, een afzender die plotseling meer facturen verstuurt of een onbekende leverancier. Een dergelijk systeem zal fraude niet met zekerheid kunnen identificeren, maar kan in geval van twijfel een menselijke controle vereisen.

Kortom, hoewel Peppol de autoriteiten inzicht biedt in btw-onregelmatigheden en het mogelijk maakt om fraude sneller op te sporen dankzij de beschikbare gegevens, is het aan de bedrijven om „goed gebruik te maken van het systeem door het te combineren met interne controles en toezicht op basis van slimme technologie.“