Een mailtje van je "bank" dat iets weg heeft van de echte. Een factuur van een "leverancier" die net afwijkt. Een telefoontje van "Microsoft" over een virus op je server. Tot voor kort waren dit de klassieke trucs waar cybercriminelen op draaiden. Maar we zijn een grens over: criminelen gebruiken nu AI, en dat verandert alles. Het IMF waarschuwt dat AI-aangedreven cyberaanvallen de financiële stabiliteit ondermijnen. OpenAI brengt GPT-5.5-Cyber uit — specifiek getraind op cybersecurity. En onderzoekers spreken al van "schaalwetten" voor cyberwarfare. De conclusie is helder: AI maakt cybercriminaliteit schaalbaar, overtuigend, en geraffineerd. Jouw MKB-bedrijf is geen toeschouwer — je bent doelwit.
Wat is er gebeurd?
Drie ontwikkelingen maken mei 2026 een kantelpunt.
Ten eerste: OpenAI heeft GPT-5.5-Cyber gelanceerd, een model dat "trusted access for cyber" moet schalen. Het is ontworpen om cybersecurity-professionals te helpen — maar dezelfde technologie versnelt ook de tegenpartij. Een AI-model dat razendsnel kwetsbaarheden in netwerkarchitectuur herkent, kan net zo goed een verdediger als een aanvaller zijn.
Ten tweede: het Internationaal Monetair Fonds (IMF) sloeg alarm. In zijn laatste Global Financial Stability Report noemt het IMF AI-gedreven cyberaanvallen een van de grootste risico's voor de financiële stabiliteit. De redenering: AI verlaagt de drempel voor aanvallen drastisch. Je hoeft geen technisch genie meer te zijn — de AI schrijft voor jou de phishingmail in perfect Nederlands, stemt de tone-of-voice af op het slachtoffer, en genereert overtuigende bijlagen met bedrijfslogo's en authentiek ogende documentstructuren.
Ten derde: Jack Clark van Import AI schrijft in zijn nieuwsbrief over "scaling laws" voor cyberwarfare. Zijn punt: net zoals AI-modellen beter worden naarmate je ze meer data en rekenkracht geeft, zo worden AI-aanvallen effectiever naarmate criminelen er meer op inzetten. Het is een wapenwedloop waarin verdedigers structureel achter de feiten aanlopen.
The Guardian benadrukt in haar berichtgeving dat juist kleinere organisaties kwetsbaar zijn omdat zij vaak niet de resources hebben voor een volwassen security-operatie. Terwijl grote banken SOC-teams (Security Operations Centers) van tientallen analisten in dienst hebben, draait het bij de gemiddelde MKB'er op "één IT'er die ook nog de laptops uitdeelt."
Wat betekent dit voor MKB?
Het klassieke beeld van cybercriminaliteit — hackers in hoodies, slechte spelfouten in phishingmails — is achterhaald. AI maakt drie dingen bijzonder gevaarlijk voor MKB'ers:
-
Hyperpersonalisatie van aanvallen. AI scant je website, je LinkedIn-profiel, je recente offertes, en construeert een aanvalsmail die nauwelijks van echt te onderscheiden is. "Hoi Mark, ik sprak je gister op het MKB-congres in Utrecht. Hierbij de offerte die we bespraken." Die mail kan compleet verzonnen zijn, en toch kloppen álle details.
-
Deepfake-telefonie. De spraakmodellen van OpenAI waar we eerder over schreven hebben ook een schaduwzijde. Criminelen kunnen straks met een gekloonde stem van je accountant bellen: "Je moet nú deze betaling vrijgeven, anders loopt de fiscale deadline van vandaag mis."
-
Supply chain-aanvallen via AI. Criminelen hoeven niet jouw beveiliging te kraken als ze kunnen binnenkomen via de AI-tool die je boekhouder gebruikt. Het SolarWinds-patroon — één zwakke schakel in de keten compromitteert honderden bedrijven — wordt met AI exponentieel schaalbaarder.
Een concreet voorbeeld: een Rotterdams logistiek MKB met 35 medewerkers werd in april 2026 getroffen door een AI-gegenereerde spearphishing-aanval. De aanvallers hadden via LinkedIn de naam van de CFO achterhaald, zijn schrijfstijl met AI geanalyseerd, en stuurden vervolgens de finance-medewerker een "spoedbetaling"-mail die stilistisch identiek was aan eerdere mails van de CFO. De schade: €127.000. Het bedrijf bestond twaalf jaar; deze ene aanval bracht het op de rand van faillissement.
Drie dingen die je nu kunt doen
- Voer vandaag nog een AI-bewustzijnssessie uit met je team. Laat medewerkers zien hoe overtuigend AI-phishingmails kunnen zijn. De vuistregel "let op spelfouten" is achterhaald. Nieuwe vuistregel: elke betaalopdracht of gevoelige data-overdracht verifiëren via een tweede, onafhankelijk kanaal (bijvoorbeeld: mail ontvangen? Altijd nog even bellen of appen ter bevestiging).
- Implementeer hardwarematige tweefactorauthenticatie (2FA) voor álle accounts. Dus niet alleen SMS-verificatie (die kun je met AI-simswapping omzeilen), maar fysieke security keys zoals YubiKeys. Kosten: €50 per medewerker. Die investering verdient zichzelf de eerste keer dat je géén ransomware-afpersing hoeft te betalen al honderdvoudig terug.
- Sluit nu een cyberverzekering af en lees de kleine lettertjes. Steeds meer verzekeraars eisen minimale beveiligingseisen (2FA, regelmatige backups, patchmanagement). Voldoe je niet, dan keren ze niet uit — en AI-aanvallen worden expliciet genoemd in polisvoorwaarden.
AI-cyberaanvallen zijn geen ver-van-je-bed-show meer. Het IMF noemt het een systeemrisico, OpenAI traint modellen die het speelveld kantelen, en de eerste MKB'ers betalen al de rekening. De goede nieuws: dezelfde AI die aanvallen gevaarlijker maakt, kun jíj inzetten om je verdediging te versterken. Het slechte nieuws: de meeste MKB'ers doen dat nog niet — en criminelen wél. Wie eerst investeert in bewustzijn én techniek, maakt zich een onaantrekkelijk doelwit in een zee van kwetsbare concurrenten.