«Дія» – зручний державний сервіс, але зручність має ціну. Додаток збирає ваші персональні дані, їх практично неможливо видалити, а злом акаунту відкриває шахраям доступ одразу до десятків банків. Костянтин Корсун, один із найвідоміших українських експертів з кібербезпеки, записав серію відео про реальні ризики «Дії» – і ці факти варто знати кожному користувачеві.
«Дія» стежить за вами – які дані збирає додаток
Будь-який мобільний додаток автоматично збирає технічні дані про пристрій – і «Дія» не виняток. Без вашого дозволу вона отримує марку та модель смартфона, версію операційної системи, мову інтерфейсу, часовий пояс, IP-адресу та приблизну геолокацію. Це мінімальний набір, потрібний для роботи сервісу.
Але реальний обсяг зібраних даних значно більший. Різниця між «технічним мінімумом» і «фактичним збором» – це і є головне питання кібербезпеки будь-якого державного застосунку. Хто отримує ці дані та як їх використовує – питання не технічне, а політичне.
«Дія» не зберігає дані? Що насправді написано в документах
Фраза «"Дія" не зберігає персональні дані» звучала так часто, що перетворилася на мантру. Але факти кажуть інше. «Дію» створило Міністерство цифрової трансформації України. На офіційному сайті diia.gov.ua, у розділі «Обробка персональних даних», пункт 7 чітко зазначає: «Персональні дані зберігаються Міністерством цифрової трансформації України». Документ – публічний, доступний будь-кому.
Де правда: у публічних заявах чиновників чи в офіційних документах, які мають юридичну силу? Відповідь очевидна. Захист персональних даних починається з того, щоб читати не прес-релізи, а першоджерела.
Як шахраї зламують акаунт «Дії» і крадуть гроші – реальний кейс
Кібершахрайство через «Дію» – не теорія. Практично всі українські банки дозволяють дистанційно відкривати рахунки через цей застосунок. Якщо зловмисник отримає доступ до вашого акаунту в «Дії», він автоматично отримує ключ до всіх пов'язаних банківських рахунків – або може відкрити нові на ваше ім'я.
Ось реальна історія. Киянка Катерина у 2022 році відкрила банківський рахунок через «Дію», а згодом перестала користуватися і ним, і номером телефона, і робочою поштою, з яких реєструвалась. Мобільний оператор продав вивільнений номер – і його купили шахраї. Потім вони зламали її email. Маючи номер і пошту, відновили доступ до банківського рахунку. А через банківський рахунок – увійшли до «Дії». Далі – як за шаблоном: реєстрація в усіх доступних банках від імені Катерини. Підсумок – кредити на 180 000 гривень у 13 банках. Якби «Дії» не існувало, збитки обмежилися б одним банком.
Цей кейс показує системний ризик: «Дія» створює єдину точку входу до всіх фінансових послуг. Злом одного акаунту – це злом усього.
Як видалити свої дані з «Дії» – і чому це майже неможливо
Самостійно повністю видалити свої дані з «Дії» практично неможливо. Не існує кнопки «Видалити акаунт» або механізму, який би заборонив третім особам діяти від вашого імені. Навіть звернення до ЦНАПу з паспортом не дає такої опції.
Технічно існує «шлях самурая»: подати заяви до всіх 340 державних баз даних і реєстрів із вимогою видалити свої дані. Але навіть після цього вам відмовлять у будь-яких державних послугах – довідках, документах, реєстраціях. А гарантії реального видалення даних із реєстрів немає жодної.
Єдине, що дійсно захищає від стеження через додаток – видалити «Дію» зі смартфона. Це не розв'язує проблему збереження даних у реєстрах, але позбавляє можливості відстежувати вас як активного користувача.
Онлайн-вибори через «Дію» – це катастрофа
Якщо вибори проводитимуться через «Дію», демократія в Україні опиниться під серйозною загрозою. Жодна електронна система у світі не є абсолютно захищеною від злому – це аксіома кібербезпеки, а не думка песимістів.
Єдина країна, де онлайн-вибори працюють відносно успішно – Естонія. Але є ключова деталь: там голосують виключно через комп'ютер, не через смартфон, бо ризики мобільного голосування суттєво вищі. І навіть естонська система тримається не на технологіях, а на надзвичайно високому рівні суспільної довіри до державних інституцій – тому, чого в Україні поки немає.
Онлайн-голосування технічно не може забезпечити три фундаментальні принципи демократичних виборів: таємницю голосування, незалежний перерахунок голосів і захист від примусу. А хто контролює сервер підрахунку – той контролює результат. Якщо цей сервер буде в руках влади, зловживання неминучі.
Про автора. Костянтин Корсун – публічний експерт з кібербезпеки з 2000 року. Створив перший кіберпідрозділ в СБУ, заснував CERT-UA (державну команду реагування на кіберінциденти), працював на керівних посадах в українських та міжнародних компаніях з кіберзахисту. https://www.facebook.com/kostiantyn.korsun
Коментарі: 1
1 Андрій 02-05-2026 03:53
Так, на жаль, люди не завжди серйозно ставляться до безпеки користування смартфоном та інтернетом. Як мінімум, треба використовувати складний пароль та різні паролі для різних облікових записів, двофакторну авторизацію та інші методи захисту облікових записів, а тим більше електронної пошти.
Заздалегідь подумати який номер телефону вибрати для реєстрації важливих облікових записів, для банківських облікових записів – краще використовувати окремий номер. Номер можна захистити – прив'язавши до свого паспорта.
І тому подібне – є багато інформації в інтернеті з кожного питання.