Een medewerker ontvangt een dringende mail van een vaste leverancier. Het rekeningnummer is “gewijzigd”. Alles ziet er correct uit: logo, tone of voice, handtekening.
De betaling wordt uitgevoerd via de vertrouwde bankomgeving. De authenticatie verloopt zoals het hoort. Geen technische fout, geen systeemalarm en toch is het geld weg.

Voor veel MKB-organisaties is dit geen theoretisch scenario meer. Social engineering en business email compromise zijn vandaag professioneel georganiseerde verdienmodellen. Ze misbruiken geen technische kwetsbaarheden, maar vertrouwen, tijdsdruk en hiërarchie.

Zo lag vorige week de KCB Bank onder vuur vanwege hun CyberSecure Verzekering die financiële schade door fraude en identiteitsmisbruik kan opvangen.
Wanneer een betaling technisch correct is geautoriseerd, spreken we juridisch niet altijd over een niet-toegestane transactie. De systemen deden wat ze moesten doen. De beveiliging werkte. De procedure werd gevolgd.
De aanval richtte zich niet op de bank, de aanval richtte zich op de medewerker.
En precies daar ligt het spanningsveld.
Is dit primair een ondernemersrisico? Valt dit onder bancaire zorgplicht?
Of bevinden we ons in een gedeeld verantwoordelijkheidsgebied waarin verzekering een logisch vangnet wordt?

Wat in elk geval duidelijk is: techniek alleen is niet voldoende.
Zolang medewerkers niet structureel getraind worden in het herkennen van phishing, in het toepassen van verificatieprocedures en in het durven doorbreken van hiërarchische druk (“de CEO wil dit nú”), blijft elke organisatie kwetsbaar.
Awareness training is geen compliance oefening. Het is directe bescherming van liquiditeit.
Misschien moeten we daarom de discussie breder trekken dan verzekering alleen.
Waar hoort volgens u de grens te liggen tussen bancaire zorgplicht en ondernemersverantwoordelijkheid? en investeren we vandaag voldoende in de menselijke factor die deze aanvallen mogelijk maakt?