Hoe de nieuwe digitale facturatieplicht van 2026 de deur wijd openzet voor zakelijke identiteitsfraude
Vanaf 1 januari 2026 moeten alle Belgische btw-plichtige ondernemingen hun binnenlandse B2B-transacties afhandelen via het Peppol-netwerk. Wie niet tijdig overschakelt, riskeert administratieve boetes van € 1.500 tot € 5.000. De overheid promoot het systeem als een baken van veiligheid dat een einde zal maken aan de klassieke PDF-fraude via e-mail. Een diepgaande analyse door SalesBridge en SafeByte legt echter een pijnlijke wonde bloot: de beveiliging van het netwerk is slechts zo sterk als de onboarding-procedure van de zwakste softwareleverancier.
Een fundamenteel probleem is dat de koppeling tussen een digitale identiteit (het Peppol ID, vaak het btw-nummer) en de feitelijke juridische bevoegdheid van de gebruiker niet altijd hard wordt afgedwongen tijdens de registratie. Het Peppol ID van een Belgische onderneming is publiek (alles is te controleren op https://directory.peppol.eu/) en volgt een voorspelbaar patroon: het prefix 0208 gevolgd door het ondernemingsnummer. Indien een facturatieplatform toestaat dat een gebruiker zich registreert met een willekeurig ondernemingsnummer zonder direct bewijs van mandaat (zoals een volmacht of een sterke authenticatie via itsme of eID), ontstaat de mogelijkheid dat iemand zich gaat voordoen als iemand die hij niet is.
Dit creëert een scenario waarin een externe fraudeur, of mogelijks zelfs een ontevreden ex-medewerker, een account kan aanmaken in naam van een legitieme leverancier. Wanneer deze fraudeur vervolgens facturen verstuurt via het Peppol-netwerk, verschijnen deze direct in de boekhouding van de klant als "gevalideerde" documenten. De visuele weergave binnen de boekhoudsoftware suggereert een mate van authenticiteit die in werkelijkheid slechts gebaseerd is op de technische succesvolle verzending, maar niet op de juridische validiteit van de verzender.
De Illusie van Authenticiteit
"Het streven naar efficiëntie in bedrijfsprocessen mag ons nooit blind maken voor de fundamentele wetten van de logica," stelt Karl Odent, zaakvoerder van SalesBridge. "We zien momenteel een wildgroei aan gratis facturatiepakketten die, gedreven door marktaandeel en beperking van de kosten, de drempel voor registratie gevaarlijk laag leggen. Wij hebben zelf de proef op de som genomen: het is onthutsend eenvoudig om een account te activeren onder een willekeurig btw-nummer – zelfs dat van een concurrent of een nutsbedrijf – zonder dat er een sluitend bewijs van mandaat wordt gevraagd."
In de praktijk betekent dit dat een fraudeur facturen kan versturen die bij de ontvanger direct in de 'accounts payable' workflow belanden. Omdat het document "uit het vertrouwde systeem" komt, wordt de menselijke intuïtie uitgeschakeld. De waakzaamheid die we door de jaren heen hebben opgebouwd tegen vreemde e-mailadressen of gebrekkige lay-outs in PDF's, vervalt bij een gestructureerd XML-bericht dat door de eigen software keurig wordt gepresenteerd als een legitieme vordering.
Een Gesloten Netwerk met Open Deuren
Arthur, cybersecurity-specialist bij Safebyte, wijst erop dat de echte zwakke schakel van Peppol ligt bij de toegangspoort tot het netwerk: “Peppol wordt gepresenteerd als een veilig en gesloten netwerk, maar in de praktijk wordt het vertrouwen gedelegeerd aan honderden dienstverleners. Wanneer softwareleveranciers tijdens onboarding niet strikt afdwingen dat een gebruiker juridisch gemachtigd is om namens een onderneming op te treden, kan een technisch geldige Peppol-identiteit in handen komen van een onbevoegde partij.”
Volgens Safebyte ontstaat het probleem pas echt zodra die identiteit actief is. Facturen worden zonder verdere verificatie afgeleverd en automatisch opgenomen in boekhoud- en goedkeuringsprocessen bij de ontvanger. De technische validatie van het bericht creëert daarbij een gezag dat niet noodzakelijk overeenkomt met de juridische realiteit.
Een Kantelmoment vol Opportunisme
De twee ondernemers merken op dat de huidige onwetendheid in de markt een gevaarlijk vacuüm creëert. Veel kleine ondernemers zijn nog niet klaar en zullen bij de jaarwissel gehaast kiezen voor de eerste de beste 'gratis' oplossing. Het is precies in deze leercurve dat fraudeurs hun kans grijpen.
SalesBridge en SafeByte adviseren ondernemers daarom:
Kies voor kwaliteit boven gratis: Selecteer een softwareprovider die een harde koppeling vereist met eID, itsme® of officiële mandaten in de Kruispuntbank van Ondernemingen (KBO),of toch minstens een geldig betaalbewijs vraagt voor een eerstelijnslegitmatie.
Behoud de menselijke maat: Vertrouw nooit blindelings op een digitale inbox. Implementeer strikte interne controles zoals 'three-way matching'.
Vraag om garanties: Ga in dialoog met uw IT-partner over hoe zij de authenticiteit van inkomende Peppol-stromen waarborgen.
OVER SALESBRIDGE SalesBridge is een expert in CRM- en Marketing Automation-systemen. Vanuit een analytische geest helpt SalesBridge ondernemers om de chaos van Excel en Outlook te ontruimen en te vervangen door gestroomlijnde processen waarin schoonheid, transparantie en commerciële slagkracht centraal staan. Website:www.salesbridge.be
OVER SAFEBYTE SafeByte is een Belgische startup en cybersecurity-specialist die kmo’s ondersteunt bij het verharden van hun digitale infrastructuur. Door middel van penetratietesten en security-awareness trainingen wapenen zij de Vlaamse ondernemer tegen de steeds complexere dreigingen van het digitale tijdperk.
Website:www.safebyte.be
Karl Odent
Arthur Coudron
