Мільярди в кишенях шахраїв: як тисячі клієнтів банків втрачають свої гроші
І чому посилення обмежень для р2р-платежів не розв'язує цієї проблеми
Щорічний обсяг втрат від шахрайства з платіжними картками у світі становить $33–34 млрд. Такі дані наводить аналітичне агентство Nilson Report.
З одного боку, це трохи більше 1% всіх карткових операцій. З іншого – сума незаконних і шахрайських транзакцій (fraud) не зменшується й навіть має тенденцію до зростання. За оцінками Nilson Report, до 2030 року глобальні втрати власників карток від дій зловмисників перевищить $41 млрд.
В Україні тенденція ще тривожніша. За даними Національного банку, обсяг збитків від fraud-операцій за 2025 рік зріс майже на 24%. Причому власники платіжних карток часто добровільно передають конфіденційні дані зловмисникам, що відкриває їм вільний доступ до грошей.
І хоча банки підвищують захист клієнтів і намагаються боротись із шахрайством, ефективність таких заходів поки що не дуже висока.
Mind розбирався, чому зростають обсяги незаконних фінансових операцій і як обмеження р2р-переказів впливає на карткове шахрайство.
256 тисяч атак та 1,4 млрд грн збитків
Як підрахував НБУ, протягом 2025 року в Україні було зафіксовано 256 тис. шахрайських операцій з використанням платіжних карток, що на 13,3 тис. (на 5%) менше, ніж у 2024 році. Відповідно на кожен мільйон карткових трансакцій у 2025 році припадало 27 fraud-операцій.
Разом з тим сума збитків від незаконних дій із платіжними картками за 2025 рік збільшилася на 24% – до 1,4 млрд грн. Це в тому числі пов'язано зі зростанням середньої суми однієї нелегальної операції на 30% – з 4247 грн у 2024 році до 5536 грн у 2025-му. А відносний рівень збитків від карткового шахрайства збільшився на 14% і становить 198 грн на кожен мільйон видаткових операцій.
Що показово, 83% загальної кількості шахрайських операцій було здійснено в інтернеті, а 17% – через фізичні пристрої (банкомати, термінали самообслуговування та POS-термінали). У загальній сумі незаконних трансакцій частка онлайн-операцій становила 91% і лише 9% – це збитки, наслідками яких стало шахрайство з використанням фізичних пристроїв.
До речі, сума однієї незаконної інтернет-операції теж зросла – з 4671 грн у 2024 році до 6043 грн у 2025-му, тобто на 27%.
Як еволюціонує модель карткового шахрайства в Україні
Скорочення кількості шахрайських операцій із банківськими картками у 2025 році разом із зростанням збитків свідчить насамперед про те, що зловмисники концентруються на схемах, які дають їм більше зиску. До того ж НБУ оперує інформацією про офіційно заявлені та зафіксовані втрати, а отже, реальна сума може бути значно більшою. Хоча і ця цифра – 1,4 млрд грн – чимала.
Зростання середнього розміру збитків від незаконних операцій на чверть – ще один доказ того, що шахраї переходять від масових атак до вибіркової тактики полювання на потенційних жертв, які мають більші суми на своїх рахунках і є більш привабливими з погляду зловмисника.
При цьому відбулося ще одне фундаментальне зрушення: шахрайство практично повністю перемістилося в онлайн-середовище. Уже не перший рік основна частка втрат припадає на інтернет-операції, тоді як крадіжка коштів із карток і рахунків через банкомати та POS-термінали скоротилася до мінімальних значень.
По-перше, платіжна офлайн-інфраструктура значно захищена. Масове впровадження чипових карт, поліпшення протоколів аутентифікації та розвиток антифрод-систем різко знизили ефективність скімінгу (крадіжки даних банківської картки за допомогою спеціальних пристроїв і софту для банкоматів та POS- терміналів).
По-друге, загальна цифровізація – розвиток електронної комерції, р2р-переказів, мобільного банкінгу – створила набагато зручніше середовище для атак.
Тому якщо раніше зловмисники випробовували на міцність платіжну інфраструктуру, то тепер вони полюють на клієнтів. Онлайн-простір ідеально підходить для цього: він дозволяє масштабувати схеми з виманювання реквізитів карток, ПІН-кодів і паролів (фішинг, фейкові сайти банків та інтернет-магазинів), розігрувати сценарії зі «службою безпеки банку» і використовувати інші методи, щоб добитися від жертви добровільного переказу коштів.
І статистика НБУ підтверджує це: 90% збитків у 2025 році – результат застосування інструментів, зав'язаних на соціальній інженерії, які призводять до того, що власники платіжних карток самостійно розголошують усі платіжні дані та навіть підтверджують коди для проведення операцій.
Крім того, інтернет забезпечує шахраям швидкість та анонімність. Вкрадені кошти можна миттєво перевести через р2р-платежі на картки дропів і вивести в готівку або конвертувати в криптовалюту ще до того, як банк встигне відреагувати. Як наслідок, шанси на затримання злочинців і притягнення їх до відповідальності в такому разі практично нульові.
При використанні банкоматів, платіжних терміналів та іншого обладнання така швидкість і гнучкість для зловмисників просто недосяжні, а ймовірність потрапити під приціл правоохоронних органів – набагато вища. Тому шахрайство йде туди, де нижче витрати, вище масштабованість і слабкіший контроль – тобто в онлайн.
Статистика ринку платіжних карток та карткового шахрайства*
|
Показник |
За 2025 рік |
Зміна до 2024 року |
|
Кількість операцій із платіжними картками |
9,52 млрд |
10% |
|
Сума операцій із платіжними картками |
7,157 трлн грн |
9% |
|
Кількість шахрайських операцій із платіжними картками |
256 тис. |
-5% |
|
Сума шахрайських операцій із платіжними картками |
1,4 млрд грн |
24% |
|
Частка шахрайських операцій у загальній кількості карткових операцій |
0,003% |
без істотних змін |
|
Частка шахрайських операцій у загальній сумі карткових операцій |
0,02% |
без істотних змін |
|
Середня сума операції з платіжними картками: |
|
|
|
- оплата у торгових мережах |
354 грн |
7,2% |
|
- р2р-перекази |
1864 грн |
-4,8% |
|
- оплата в інтернеті |
608 грн |
8,4% |
|
Середня сума шахрайської операції з платіжними картками |
5536 грн |
30,4% |
Джерело: НБУ
*Платіжні картки, які випущені банками та небанківськими фінустановами
Банки перебудовують захист і вчаться «читати» клієнтів
На тлі зміни структури шахрайства банки в усьому світі змушені адаптувати свої підходи до боротьби із цим явищем. Якщо раніше ключовим завданням було виявлення скомпрометованих карток і підозрілих трансакцій, то сьогодні фокус змістився на поведінковий аналіз та запобігання операціям, які клієнт ініціює самостійно під впливом шахраїв.
Насамперед йдеться про посилення антифрод-систем, які оцінюють фінансові трансакції в інтернеті на предмет підозрілості з погляду шахрайства та пропонують рекомендації щодо їх подальшої обробки. За оцінками консалтингової компанії Grand View Research, у 2024–2025 роках банки та інші фінансові установи витратили на виявлення та запобігання шахрайству $85 млрд сумарно. А у 2030 році витрати на захист від fraud-операцій можуть перевищити $90 млрд.
В Україні банки також переходять від точкового контролю окремих операцій до аналізу поведінкових моделей власників платіжних карток. Банки відстежують, як саме клієнт взаємодіє зі своїм рахунком: вивчають частоту та суми операцій, характер платежів, їхню географію та основних одержувачів / відправників коштів.
Будь-яке відхилення від «нормального» профілю – різке збільшення суми переказу або поява нових контрагентів – підвищує ризик-оцінку клієнта й може призвести як до заморожування окремої операції, так і до блокування рахунків, про що Mind докладно розповідав у цьому матеріалі.
Банки також намагаються виявляти нетипові патерни на рівні як кожного конкретного клієнта, так і всієї бази власників платіжних карток. Це один з елементів протистояння дроп-мережам: коли десятки або сотні карток використовуються для розподілу та виведення вкрадених засобів.
Ще один напрямок – запровадження додаткових способів підтвердження трансакцій (разові паролі, біометрична автентифікація) або тимчасового обмеження операцій у разі виявлення потенційного ризику. Ці заходи спрямовані на те, щоб клієнт мав час переглянути свої дії, особливо в ситуаціях, пов'язаних із соціальною інженерією, а банк зміг уточнити деталі операції та переконатися в тому, що вона є реальною, а не фейковою.
Як р2р-ліміти стали точкою тиску на шахраїв
Паралельно банки застосовують обмеження для р2р-операцій – одного з ключових каналів виведення коштів.
Нагадаємо: за спільною домовленістю між НБУ та банками діє ліміт на вихідні р2р-перекази (з картки на картку) та на платежі за реквізитами IBAN для фізичних осіб у розмірі до 100 тис. грн на місяць. Обмеження поширюється на загальну суму переказів з усіх карток клієнта в одному банку. Причому для власників карток, які не мають прозорого та зрозумілого джерела доходу, цей ліміт може бути знижений до 50 тис. грн на місяць.
Нацбанк аргументував впровадження таких лімітів необхідністю боротьби з дропами, картки яких використовуються для ухилення від сплати податків, виведення виграшів у казино та відмивання коштів.
Банки зі свого боку через обмеження сум р2р-переказів, їхньої частоти та одержувачів коштів намагаються знизити ефективність схем дроблення й ускладнити використання карток дропів, які задіяні для швидкого розподілу вкрадених грошей.
А втім, точної статистики щодо ефективності р2р-обмежень немає. Тому про те, наскільки такий підхід виправдав себе, можна судити лише за непрямими показниками.
Згідно з даними НБУ, у 2025 році було здійснено 661 млн р2р-переказів за картками українських банків на 1,23 трлн грн проти 673 млн переказів на 1,31 трлн грн у 2024-му.
За даними Нацбанку, щороку через картки дропів проходить близько 200 млрд грн. Тобто з огляду на те, що обсяг р2р-операцій за 2025 рік скоротився на 80 млрд грн, ліміти, за дуже приблизними оцінками, допомогли банкам розкрити не більше ніж 40% усього тіньового обороту. При цьому все одно немає точної інформації, яка частка в тих сумах, що циркулюють по картках дропів, припадає саме на гроші, вкрадені шахраями.
Безпека чи зручність: дедалі більше обмежень для клієнтів
Найслабшою ланкою в ланцюгу платіжних операцій залишається власник платіжної картки. І цілком очевидно, що антифрод-системи разом із р2р-обмеженнями працюють на випередження лише у випадках, коли операція справді є аномальною. У сценаріях соціальної інженерії, де клієнт усвідомлено підтверджує переказ і трансакція зовні не викликає жодних підозр, банки практично безсилі.
У цих умовах подальший наступ на шахраїв є неминучим. Йдеться насамперед про глибшу сегментацію клієнтів і трансакцій: банки посилюватимуть ризик-орієнтовані моделі, розширюватимуть практику динамічних обмежень на перекази, а також вводитимуть додаткові рівні підтвердження для нетипових платежів.
Окремий напрямок – контроль за одержувачами коштів. Саме для цього на додаток до р2р-лімітів було розроблено та зареєстровано законопроєкт №14161 про створення реєстру дропів – клієнтів, які передають доступ до своїх банківських карток і рахунків третім особам для транзиту сумнівних коштів.
Теоретично, такий інструмент може суттєво ускладнити життя шахраям: обмежити можливість відкриття нових рахунків, прискорити блокування підозрілих операцій і знизити масштаби використання підставних осіб.
Але цей підхід має і зворотний бік. Розширення обмежень неминуче торкається і сумлінних клієнтів. Жорсткіші ліміти на перекази, додаткові перевірки та ризик блокування операцій можуть створювати незручності для користувачів із нестандартною, але легальною фінансовою поведінкою – наприклад, для самозайнятих осіб і малого бізнесу, які активно використовують р2р-платежі.
Крім того, надмірне посилення правил може призвести до ефекту витіснення – коли частина операцій іде в менш контрольовані канали, як-от готівкові розрахунки та криптовалюта.
Проте, судячи з поточних тенденцій, боротьба з шахрайством найближчими роками розвиватиметься не стільки завдяки технологіям, скільки через зміну поведінки клієнтів і посилення адміністративного тиску на платіжну інфраструктуру. Насамперед це подальше обмеження р2р-операцій і зачистка від дропів, що неминуче вдарить і по тих клієнтах фінансових установ, які аж ніяк не пов'язані із «сірими» схемами та протизаконними операціями.
Якщо ви дочитали цей матеріал до кінця, ми сподіваємось, що це значить, що він був корисним для вас.
Ми працюємо над тим, аби наша журналістська та аналітична робота була якісною, і прагнемо виконувати її максимально компетентно. Це вимагає і фінансової незалежності.
Станьте підписником Mind всього за 196 грн на місяць та підтримайте розвиток незалежної ділової журналістики!
Ви можете скасувати підписку у будь-який момент у власному кабінеті LIQPAY, або написавши нам на адресу: [email protected].
