23 juni 2026
Peppol is geen kwaliteitslabel dat misbruik voorkomt: het verandert alleen de vorm van fraude
Sinds begin dit jaar moeten btw-plichtige partijen in België hun facturen onderling via Peppol versturen. Dat is het netwerk dat ons land gekozen heeft in de transitie naar e-facturatie, een concept dat op termijn in de hele EU zal worden toegepast. Het doel van die nieuwe regel is btw-fraude tegengaan. Maar wat we zeker niet mogen doen, is er zomaar van uitgaan dat het Peppol-netwerk garandeert dat fraude via facturen nu niet meer mogelijk is.
De komende jaren zullen alle EU-lidstaten geleidelijk aan digitale facturatie, en nadien ook digitale btw-rapportering, invoeren. Sommige landen kiezen voor een eigen netwerk, maar in veel gevallen zal Peppol wellicht de voorkeur krijgen. Peppol en gelijkaardige netwerken maken het mogelijk om facturatie te standaardiseren. Het vervangt de ongestructureerde facturen die bedrijven via e-mail verstuurden en biedt een uniforme manier om facturen op te stellen volgens de Europese normen. Dit vereenvoudigt de controle op facturen voor overheden en bedrijven.
België was er snel bij om e-facturatie te verplichten. De regel is enkel van toepassing op een B2B-context binnen onze landsgrenzen. Facturen gericht aan consumenten en buitenlandse partijen vallen momenteel niet onder de Belgische verplichting. Voor bedrijven betekende het wel dat ze in aanloop naar 2026 moesten investeren in een platform dat Peppol ondersteunt. Maar alleen nieuwe technologie volstaat niet: we moeten fraude ook door een andere bril bekijken.
Valse facturen via Peppol
Het doel van Peppol is btw-fraude bestrijden, maar helaas wil dit niet zeggen dat het systeem plots alle frauderisico’s oplost. De maatregel heeft vooral impact op klassieke vormen van fraude met facturen. Het risico op valse facturen via e-mail wordt zo grotendeels uitgesloten. Het is dus ook niet meer mogelijk om facturen te onderscheppen en te wijzigen, aangezien Peppol een gesloten netwerk is. Omdat Peppol werkt met gestructureerde data, versleutelde overdracht en authenticatie van verzender en ontvanger, wordt manipulatie technisch minder eenvoudig.
Toch neemt dit niet alle risico’s weg. Met Peppol verschuift de zwakste schakel van het transport van een factuur naar de identiteit van de verzender. Het Peppol-netwerk functioneert volgens het principe ‘connecteer één keer, connecteer naar iedereen’. Je kunt het enigszins vergelijken met een gsm-nummer. Zodra je via dat nummer geconnecteerd bent, zit je op het telefoonnetwerk en kan je naar ieder ander nummer bellen. Bij Peppol is dat gsm-nummer een Access Point. Facturen worden van Access Point naar Access Point verzonden. In principe zijn beide partijen in dat geval dus geregistreerde gebruikers. Maar net daar ligt een opportuniteit voor fraudeurs.
Als een aanvaller zich met succes voordoet als een bestaand bedrijf en een onvoldoende gecontroleerd access point of softwareplatform weet te misbruiken, dan is het mogelijk om via Peppol valse facturen te sturen die technisch gezien veilig lijken. Net zoals een cyberaanvaller vrij door het netwerk van een organisatie kan bewegen zodra diens identiteit door het systeem is goedgekeurd. Hierdoor blijven de meeste vormen van fraude ook in Peppol perfect mogelijk.
AI maakt fraude geloofwaardig
Peppol bevestigt dus alleen dat een factuur via het netwerk en vanuit een Access Point verzonden is, maar het is geen garantie dat de persoon erachter daadwerkelijk bevoegd was om die factuur te sturen. Malafide partijen kunnen zich bijvoorbeeld registreren met het ondernemingsnummer van een bestaand bedrijf. Hoewel er voorlopig nog geen gekende voorbeelden zijn van fraude via Peppol, waarschuwen cybersecurityexperts wel voor de risico’s.
Bovendien maakt AI het voor fraudeurs veel eenvoudiger om geloofwaardig over te komen bij het overnemen van een identiteit. Generatieve AI kan realistische mails in meerdere talen foutloos schrijven. De technologie kan daarbij leveranciers nabootsen en zelfs de tone of voice van het bedrijf toepassen. Met AI verzamelen fraudeurs bovendien op grote schaal info over een bedrijf. Zo zien ze welke bedrijven samenwerken en welke valse facturen in die context plausibel lijken.
Een bijkomend risico zit in het gebruiksgemak van Peppol, waardoor de menselijke controle in veel organisaties vermindert. Wanneer facturen automatisch worden ingeboekt in het systeem van het bedrijf, dan verhoogt ook het risico dat AI-gegenereerde fraude door de controles glipt.
Natuurlijk mogen we niet ontkennen dat Peppol vooral een uitstekende zaak is voor de detectie van fraude. Aangezien het om gestructureerde data gaat, zijn er meer controles mogelijk. Alles is in realtime traceerbaar en elke afwijking van een patroon kan je via Peppol efficiënt registreren. Maar bedrijven moeten goed beseffen dat Peppol die detectie niet vanzelf uitvoert. Peppol is geen kwaliteitslabel dat garandeert dat een factuur veilig is omdat deze vanuit het netwerk komt. Net zoals je een e-mail ook niet automatisch mag vertrouwen als die via een erkend programma zoals Microsoft 365 is verstuurd.
Hoe je Peppol optimaal benut
Peppol vraagt nog steeds om concrete controlemechanismen. Dat begint al bij de keuze voor een betrouwbare Peppol-provider. Stel gerichte vragen over de beveiliging van het systeem en zorg voor strikte identiteitscontrole en sterke authenticatie. Neem ook intern maatregelen en behoud een goedkeuringsflow voor iedere betaling. Pas bijvoorbeeld het vier-ogen-principe toe, waarbij enerzijds de aankoopverantwoordelijke moet bevestigen dat goederen daadwerkelijk geleverd zijn en anderzijds de financiële dienst beoordeelt of de bijhorende factuur geloofwaardig is. In dat geval moeten fraudeurs twee controles omzeilen.
Technologie moet die controles ondersteunen. Nu fraudeurs steeds vaker AI inzetten, moeten bedrijven ook aan de defensieve kant investeren in slimme detectie. Dat kan via regels en modellen die automatisch signaleren wanneer een factuur afwijkt van het normale patroon: een nieuw bankrekeningnummer, een bedrag dat opmerkelijk hoger ligt dan gebruikelijk, een afzender die facturen plots met een hogere frequentie doorstuurt of een onbekende leverancier. Zo'n systeem zal een factuur niet meteen als frauduleus markeren, maar wel signaleren dat menselijke controle vereist is voor de betaling uitgevoerd wordt.
Peppol is dus zonder twijfel een vooruitgang in de strijd tegen fraude. Het geeft niet alleen de overheid een beter overzicht om de enorme btw-kloof te dichten, maar ook bedrijven kunnen fraude sneller detecteren via de data die Peppol beschikbaar maakt. Op voorwaarde dat ze het systeem goed benutten met interne controles en aanvullende monitoring met behulp van slimme technologie.
Opinie Olaf Passchier, SAS-expert
5K
Volg ons op Linkedin en sluit je gratis aan bij de grootste Finance-community van België.
Rubrieken
Over FDmagazine
Externe links
Volg ons op socials
Published by
