Voor gereguleerde organisaties

Compliance begint
waar MFA stopt.

Strong Customer Authentication (SCA) bewijst dat een credential werd voorgelegd. Het bewijst niet dat de stem aan de lijn ook de houder van die credential is. Hongi dicht dat gat voor banken, verzekeraars en elke organisatie waar identiteitsfraude een prijskaartje heeft.

Contacteer het team Bekijk de regelgevingskaart →
  • $3B
    jaarlijkse verliezen door BEC en CEO-fraude
    FBI IC3 2024
  • €40M
    Belgische verliezen door phishing en vishing
    Febelfin 2024
  • Dec 2027
    deadline acceptatie EUDI Wallet
    Regulation (EU) 2024/1183
  • 80%+
    AI-versterkte social engineering
    ENISA Threat Landscape 2025

Het gat in de compliance.

SCA dekt enkel de twee uiteinden van een klantinteractie af: het aanmelden en het ondertekenen van de transactie. Alles wat daartussen gebeurt, het telefoongesprek, de videosessie, de e-mailuitwisseling, kent geen enkele live identiteitscheck. Net daar zitten vishing, deepfake-video en CEO-fraude.

gedekt door SCA
gat dat Hongi dicht

De regelgevingskaart.

Acht kaders die identiteitsborging raken in de kanalen die Hongi afdekt. Per kader: waar Hongi past en wat het doet, telkens met de primaire bron.

  1. 2019 PSD2 RTS-SCA van kracht
  2. 2024 EBA fraud reporting bijgewerkte richtsnoeren
  3. Oct 2024 NIS2 omgezet
  4. Jan 2025 DORA van kracht
  5. Dec 2027 EUDI Wallet acceptatie verplicht
Fundamentele regelgeving 3
EU van kracht sinds 2019
PSD2 · RTS on SCA
Gedelegeerde Verordening (EU) 2018/389
Toepassingsgebied

Sterke klantauthenticatie: minstens twee factoren uit kennis, bezit en inherentie, plus binding aan de transactie.

Waar Hongi past

Hongi werkt als een aanvullende out-of-band bezitsfactor voor het gesprek rond de betalingsautorisatie. Het vervangt SCA niet, maar dekt social engineering af die rond een verder geldige SCA-flow heen werkt (fraude-geïnduceerde transacties, adviseur-impersonatie).

Primaire bron →
EU van kracht sinds jan 2025
DORA
Verordening (EU) 2022/2554
Toepassingsgebied

Digitale operationele weerbaarheid voor de financiële sector. Art. 9 (bescherming en preventie), Art. 17-19 (melding van ICT-incidenten). Van kracht sinds 17 januari 2025.

Waar Hongi past

Verkleint het aanvalsoppervlak voor social engineering dat aan de basis ligt van ICT-incidenten. Het optionele auditlog (Merkle-boom van koppeling-hashes, geen identiteiten) maakt reconstructie na een incident mogelijk zonder persoonsgegevens te bewaren.

Primaire bron →
EU verplicht dec 2027
eIDAS-2 · EUDI Wallet
Verordening (EU) 2024/1183
Toepassingsgebied

Verplichte aanvaarding van de EU Digital Identity Wallet door vertrouwende partijen vanaf december 2027 (Art. 5f). Sterke cryptografische identiteitsbewijzen.

Waar Hongi past

Hongi is de live human-channel verifier naast EUDI: EUDI bewijst dat een credential werd voorgelegd, Hongi bewijst dat de stem aan de lijn ook de houder van die credential is. Twee orthogonale problemen, één architectuur.

Primaire bron →
Aanvullende kaders 5
EBA Guidelines · fraud reporting
EBA/GL/2018/05 (geüpdatet in 2024)
EU

Een mislukte Hongi-check tijdens een gesprek van bank naar klant levert een proper, machineleesbaar signaal op dat de fraudemelding (CEO-fraude, vishing) kan voeden, daar waar het bestaande kaartfraude-schema te weinig blootlegt.

geüpdatet in 2024 Primaire bron →
NBB · ICT-veiligheid
Prudentiële circulaires van de Nationale Bank van België + DORA-omzetting
BE

Operationele laag voor identiteitsborging bij remote bank-klantinteracties en interne bankinteracties, in lijn met het NBB-kader voor governance over ICT-ondersteunde dienstverlening.

actief Primaire bron →
GDPR · privacy by design
Verordening (EU) 2016/679, art. 25
EU

Geen naam, geen telefoonnummer, geen e-mailadres, geen contactenlijst, geen historiek van codewoorden, geen analytics. De gedeelde sleutel leeft enkel op de twee gekoppelde toestellen; de server geeft alleen een niet-leesbare cipher door. Er valt nagenoeg niets te lekken bij een inbreuk.

van kracht sinds 2018 Primaire bron →
NIS2
Richtlijn (EU) 2022/2555
EU

Voegt een laag identiteitsborging toe aan het toegangsbeheer bij risicovolle remote interacties (goedkeuring van transacties, breach response, onboarding van leveranciers) die MFA via tekstkanalen niet afdekt.

omgezet in 2024 Primaire bron →
NIST SP 800-63-4 + ENISA TL 2025
NIST Digital Identity Guidelines, juli 2025 · ENISA Threat Landscape 2025
GLOBAL

Pakt rechtstreeks de bedreiging aan die ENISA op één zet. Vult de NIST-assurance-niveaus voor authenticatie aan met een human-channel attestatie op sessieniveau, los van het kanaal (telefoon, video, in persoon).

industriestandaard Primaire bron →

Waar het in de praktijk opduikt.

Op de B2B-roadmap zie roadmap →

Zes operationele scenario's, zowel in klantgerichte flows als intern. De mechanismen die hieronder beschreven worden, vereisen organisatorische koppeling en auditlogs die op onze actieve B2B-roadmap staan en nog niet zijn uitgerold. De eerste pilots met banken starten in Q4 2026. Eén gemiste check in elk van deze scenario's heeft een bekend prijskaartje van zes cijfers.

01
€40M
Belgische phishing en vishing · Febelfin 2024

Uitgaande gesprekken van bank naar klant

PSD2 RTS-SCAEBA fraud reporting
Zonder Hongi

Klanten zien het verschil niet tussen een echte adviseur en een vishingfraudeur die over de juiste context beschikt.

Met Hongi

Het codewoord van de klant moet matchen met dat van de adviseur. Geen match, geen gesprek.

02
$25.6M
één deepfake-videogesprek · Arup 2024

Videosessies voor klantonboarding

eIDAS-2GDPRKYC/AML
Zonder Hongi

Deepfake face swaps raken remote KYC. Het gezicht op het scherm hoeft niet te matchen met de geüploade ID.

Met Hongi

Beide partijen lezen matchende codewoorden voor de camera, vóór de KYC-review. Vastgelegd in de sessie zelf.

03
$3B
jaarlijkse BEC-verliezen · FBI IC3 2024

Interne check (BEC / CEO-fraude)

DORANIS2
Zonder Hongi

Dringende overschrijving van de CEO, handtekening klopt, stem klinkt juist. Het geld vertrekt.

Met Hongi

Live codewoordcheck bij elke ongebruikelijke betaling. Eén koppeling dicht het gat.

04
4h+
DORA-meldingstermijn voor incidenten

Reactie op een datalek

DORA art. 17-19NIS2
Zonder Hongi

Aanvallers profiteren van de chaos rond het incident: valse IT, valse helpdesk, valse externe incidentresponse-teams.

Met Hongi

Elk intern gesprek wordt vergrendeld met een codewoordcheck. Geen match, geen opvolging van de instructie.

05
€100k+
typische drempel voor een grote overschrijving

Bevestiging van een grote transactie

PSD2 RTS-SCAEBA fraud reporting
Zonder Hongi

Telefonisch goedgekeurde overschrijving van €100k+ zonder out-of-band bewijs dat de klant echt is.

Met Hongi

De klant leest zijn actuele codewoord hardop voor. De adviseur bevestigt de match. De betaling gaat door, met attest.

06
avg €40k
per incident van factuurfraude bij leveranciers

KYB leverancier en aanbieder

DORA supply-chainNIS2
Zonder Hongi

Gesprekken met leveranciers steunen op een zwakke identiteit. Factuurfraude bouwt zich bovenop dat gat.

Met Hongi

Koppelen tijdens de KYB. Vanaf dan loopt elk leveranciersgesprek door een Hongi-check. Geen gokwerk meer.

Een architectuur die uw DPO graag ziet.

Een uitrol van Hongi kan uw DPO op één namiddag auditen. Hieronder vindt u alles wat we op een server bewaren wanneer een organisatie Hongi inzet voor haar personeel en klanten.

  • Pushtokens per toestel. Niet-herleidbare identifiers uitgegeven door APNs of FCM. Geen verband met een persoonsnaam. Enkel nodig voor de afhandeling van stille-pingmeldingen; niet gebruikt voor de routinematige codewoordcheck (die volledig offline gebeurt).
  • Optioneel auditlog van koppeling-hashes. Voor B2B-uitrollen die traceerbaarheid vereisen onder DORA art. 17 of de NBB-circulaires, kan Hongi een Merkle-boomlog van koppeling-hashes toevoegen (geen identiteiten, geen codewoorden). Verifieerbaar via een Merkle-bewijs. Geen publieke chain.
  • Metadata van fooibetalingen. Enkel van toepassing op het consumentenproduct, niet op B2B. Loopt via Stripe. Hongi ziet enkel dat er een fooi werd betaald en welk bedrag, niets dat te linken is aan een gebruiker.

Wat we niet bewaren: namen, telefoonnummers, e-mailadressen, contactenlijsten, historiek van codewoorden, gesprekslogs, locatiegegevens, transcripties, biometrie, advertentie-identifiers. De verificatiesleutel tussen twee gekoppelde toestellen leeft enkel op die twee toestellen en wordt lokaal afgeleid.

Volgende stap

Plan een pilotgesprek van 30 minuten.

Het Hongi-team gaat samenzitten met uw compliance-, fraude- en IT-verantwoordelijken en loopt uw use case met de grootste impact door. Is er een match, dan draaien we een gratis pilot van 6 maanden met maximaal 500 klanten of medewerkers. Geen aankoopproces, geen licentie, geen blootstelling.

Mail de oprichters rechtstreeks Lees eerst de FAQ →

Hongi (Lovit BV) · Vlaanderen, België · info@hongi.io