Державний додаток «Дія», який мав спростити життя українцям, перетворився на інструмент масового онлайн-шахрайства. Кіберзлочинці використовують вразливості системи BankID та мобільних операторів, щоб викрадати персональні дані громадян і оформляти кредити на сотні тисяч гривень. За офіційними даними Національного банку України, лише за 2024 рік зафіксовано 270 тисяч шахрайських операцій на суму понад 1,1 мільярда гривень. Реальні цифри можуть бути значно вищими.
Механізм крадіжки через Дію – як працює схема кіберзлочинців
Шахрайство з кредитами через додаток «Дія» базується на простій, але ефективній схемі. Злочинці експлуатують слабкі місця цифрової екосистеми, які держава та банки ігнорують роками. Кожен елемент цієї кримінальної мозаїки працює як годинниковий механізм.
Перший крок злочинної схеми – купівля «фінансового» номера телефону. Мобільні оператори в Україні автоматично виставляють на продаж номери, якими не користувалися понад 365 днів. Це відкриває можливості для несанкціонованого доступу до банківських акаунтів попередніх власників. Кіберзлочинці цілеспрямовано шукають такі номери, на які раніше реєструвалися банківські додатки. За інформацією з правоохоронних джерел, деякі працівники банків навіть надають платні послуги з пошуку подібних «цінних» номерів.
Отримавши контроль над номером телефону, шахраї відновлюють доступ до мобільного банкінгу жертви. Процес відновлення не вимагає особистої присутності – достатньо вводити SMS-коди, які надходять на викрадений номер. Банківські системи верифікації не розпізнають підміну, оскільки всі формальні вимоги дотримані. Захист від шахрайства, який мав би спрацювати на цьому етапі, виявляється неефективним.
Наступний етап – реєстрація в додатку «Дія» через BankID. Ця технологія електронної ідентифікації, яка позиціонується як безпечна, насправді має критичні вразливості. Кіберзлочинці використовують діпфейк-технології для підміни обличчя під час біометричної верифікації особи онлайн. Система розпізнавання не відрізняє справжнє обличчя від штучно згенерованого зображення. Це дозволяє злочинцям повністю захопити цифрову особистість жертви.
Фінальний акорд – відкриття статусу ФОП та масове оформлення кредитів через онлайн-платформи. Шахраї подають заявки одночасно у десятки банків та фінансових установ, часто вночі, коли служби безпеки працюють у мінімальному режимі. Кожна заявка схвалюється автоматично, без втручання людини. За кілька годин на рахунки злочинців надходять сотні тисяч гривень. Вся операція проходить дистанційно, без жодного ризику бути викритими.
Реальні випадки шахрайства – історії жертв фейкових кредитів
Історія Kateryna Majbrodska з серпня 2025 року ілюструє типовий сценарій кіберзлочинності. У 2022 році жінка встановила банківський додаток, щоб виплатити кредит на телефон. Після погашення боргу видалила програму і забула про неї. Фатальною помилкою стало те, що додаток залишався зареєстрованим на старий номер телефону, яким вона припинила користуватися.
Через три роки, влітку 2025-го, Катерина отримала дзвінок з банку. Їй повідомили про заборгованість за кредитом, про який вона нічого не знала. Виявилося, що на її ім'я оформили позики у 13 різних банках та фінансових організаціях. Загальна сума фейкових кредитів становила близько 180 тисяч гривень. Жінка навіть не перебувала в Україні під час оформлення – вона жила за кордоном.
Заява до поліції не дала результатів. Кіберполіція України зафіксувала інцидент, але розслідування зайшло в глухий кут. Банки категорично відмовилися визнати кредити шахрайськими, посилаючись на «правильність процедури верифікації». Національний банк зберігав мовчання. Міністерство цифрової трансформації не вважало за потрібне коментувати ситуацію.
У липні 2025 року кіберполіція затримала банду шахраїв, які переховувалися у Польщі. Ця група здійснила мінімум 286 несанкціонованих входів до банківських акаунтів та додатку «Дія». Загальна сума викрадених коштів перевищила 4 мільйони гривень. Згідно зі статтею 361 Кримінального кодексу України, кожен такий вхід кваліфікується як хакінг. Це офіційне підтвердження Національної поліції, що систему «Дія» можна зламати.
Експерти з кібербезпеки попереджали про подібні ризики ще на етапі розробки додатку у 2019 році. Їхні застереження проігнорували. Тепер жертви онлайн-шахрайства залишаються наодинці зі своїми проблемами. Вони змушені виплачувати чужі борги, оскільки довести свою непричетність у сучасній правовій системі майже неможливо.
Вразливості системи – чому захист від шахрайства не працює
Архітектура додатку «Дія» побудована на хибних принципах. Розробники намагалися вирішити складні питання державного електронного урядування простими методами. Це як спроба побудувати хмарочос з конструктора LEGO – зовні може виглядати непогано, але перший вітер все зруйнує.
Критична помилка полягає у перекладанні державної відповідальності на комерційні структури. Банки та мобільні оператори ніколи не створювалися для виконання функцій ідентифікації громадян. Їхні системи розраховані на зовсім інші завдання. БankID, який використовується для входу в «Дію», є банківським інструментом, а не державною системою електронної ідентифікації.
Біометрична верифікація, яка має захищати від несанкціонованого доступу, легко обходиться за допомогою діпфейк-технологій. Програмне забезпечення для створення фейкових відео з підміною обличчя доступне у вільному доступі. Злочинці використовують фотографії жертв з соціальних мереж, щоб пройти перевірку особи онлайн. Системи розпізнавання облич у більшості банків не здатні відрізнити справжнє зображення від синтетичного.
Відсутність належного контролю банківських операцій у нічний час створює ідеальні умови для кіберзлочинності. Автоматичне схвалення кредитних заявок без участі людини дозволяє шахраям діяти швидко та масово. Служби безпеки банків працюють у мінімальному режимі, моніторинг підозрілих транзакцій знижується. Це час, коли ризик виявлення мінімальний.
Сповіщення у додатку «Дія» про видачу кредиту, які розрекламовувалися як панацея, виявилися марними. Повідомлення приходять на телефон, який вже контролюється злочинцями. Жертва дізнається про проблему лише тоді, коли банк телефонує з вимогою повернути борг. До цього моменту гроші давно виведені, а сліди замаскувані.
Проблема посилюється відсутністю законодавчого регулювання відповідальності за онлайн-шахрайство. Банки не несуть відповідальності за фейкові кредити, якщо формально процедура верифікації дотримана. Держава не компенсує збитки жертвам кіберзлочинів. Фінансовий омбудсман перевантажений справами і не може допомогти всім постраждалим. Судові позови до банків тривають роками і рідко закінчуються на користь позивачів.
Що робити при шахрайстві – покрокова інструкція для жертв
Виявивши, що на ваше ім'я оформлено фейковий кредит, діяти потрібно негайно. Кожна година зволікання ускладнює ситуацію та зменшує шанси на позитивне вирішення. Перший крок – офіційна заява до поліції про шахрайство. Зверніться до відділу кіберполіції або до найближчого поліцейського відділку. Вимагайте зареєструвати заяву та отримайте талон про прийняття. Без цього документа подальші дії будуть неможливими.
Паралельно з поліцією зв'яжіться з усіма банками, де оформлені кредити. Надішліть офіційний лист із викладенням ситуації та копією заяви до правоохоронних органів. Вимагайте письмової відповіді щодо процедури оспорювання боргу. Банки зазвичай відмовляються визнавати кредити шахрайськими, але ваша позиція має бути зафіксована документально. Це знадобиться для судового позову.
Зверніться до Національного банку України з офіційною скаргою на дії банків. Хоча регулятор рідко стає на бік громадян, факт звернення створює додатковий тиск на фінансові установи. Подайте скаргу також до Міністерства цифрової трансформації, навіть якщо відповіді не очікується. Множинність офіційних звернень підвищує шанси на публічний резонанс.
Заблокуйте всі свої банківські акаунти та змініть паролі на критично важливих сервісах. Вимкніть можливість дистанційного відкриття нових рахунків та кредитів. Деякі банки надають таку опцію через особистий кабінет. Перевірте, які номери телефонів прив'язані до ваших банківських додатків. Якщо знайдете номер, яким не користуєтеся, негайно відв'яжіть його.
Зберіть докази вашої непричетності до оформлення кредиту. Це можуть бути: авіаквитки або інші документи, що підтверджують ваше перебування за межами країни на момент видачі позики; свідчення про те, що ви не користувалися номером телефону, на який оформлялися кредити; витяги з банківських рахунків, що показують відсутність надходження коштів. Вся ця інформація знадобиться для судового розгляду.
Зверніться до адвоката, який спеціалізується на фінансових спорах та кіберзлочинності. Самостійно боротися з банками вкрай складно. Юрист допоможе правильно сформулювати позовні вимоги та підготувати доказову базу. Будьте готові до тривалого судового процесу – такі справи розглядаються місяцями, іноді роками.
Оприлюднюйте свою історію у соціальних мережах та ЗМІ. Публічний резонанс – часто єдиний спосіб змусити владні структури та банки діяти. Чим більше уваги привернете до проблеми, тим вища ймовірність, що справу не замнуть. Контактуйте з журналістами, які спеціалізуються на темах кібербезпеки та захисту прав споживачів.
Методи захисту від онлайн-шахрайства – як уберегти свої гроші
Безпека мобільного банкінгу починається з елементарних правил цифрової гігієни. Ніколи не залишайте банківські додатки прив'язаними до номерів телефонів, якими перестали користуватися. Якщо плануєте змінити номер, спочатку відв'яжіть його від всіх банківських сервісів. Це займе 15 хвилин, але може врятувати від боргів на сотні тисяч гривень.
Активуйте всі доступні рівні захисту особистих даних у банківських додатках. Увімкніть двофакторну автентифікацію, де це можливо. Використовуйте біометричний вхід (відбиток пальця або розпізнавання обличчя) замість PIN-коду. Налаштуйте push-сповіщення про всі операції за рахунком. Будь-яка незвична активність має негайно привертати вашу увагу.
Встановіть ліміти на онлайн-операції у налаштуваннях банківського додатку. Обмежте максимальну суму переказу на день. Заборонить видачу кредитів без вашої особистої присутності у відділенні банку. Більшість українських банків надають такі можливості, але мало хто з клієнтів ними користується. Ці обмеження створюють додатковий бар'єр для кіберзлочинців.
Регулярно перевіряйте, які послуги та додатки мають доступ до ваших банківських даних. Видаліть неактуальні дозволи. Періодично змінюйте паролі, використовуйте складні комбінації символів. Ніколи не зберігайте банківські паролі у браузері або у заметках на телефоні. Використовуйте менеджери паролів з шифруванням даних.
Будьте обережні з інформацією, яку публікуєте у соціальних мережах. Шахраї збирають дані про потенційних жертв з Facebook, Instagram, LinkedIn. Дата народження, місце роботи, фотографії документів – все це може бути використане для соціальної інженерії та підміни особистості. Налаштуйте максимальну приватність профілів, обмежте коло тих, хто може переглядати особисту інформацію.
Не довіряйте «безпечності» системи лише тому, що вона державна. Додаток «Дія» має численні вразливості, про які офіційно не повідомляють. Мінімізуйте кількість персональних даних, які зберігаються в цифровому вигляді. Якщо є можливість отримати державну послугу офлайн – використовуйте її. Цифровізація зручна, але не завжди безпечна.
Системні проблеми цифровізації – чому держава не захищає громадян
Державне електронне урядування – це складна інженерна задача, яка вимагає залучення професіоналів різних галузей. Криптографи, фахівці з кібербезпеки, системні архітектори, юристи, соціологи – всі вони мають працювати разом, щоб створити справді безпечну систему. Натомість в Україні «цифровізацію» здійснювала група ентузіастів без відповідної кваліфікації та досвіду.
Фундаментальна проблема полягає у відсутності державної системи електронної ідентифікації. Замість створення надійної інфраструктури, чиновники просто делегували цю функцію комерційним банкам через BankID. Це рівносильно тому, щоб поштову службу попросити видавати паспорти. Банки не несуть відповідальності за ідентифікацію громадян – це не їхня функція і не їхній обов'язок.
Відсутність обов'язкової особистої присутності при оформленні великих кредитів – це системна помилка регулювання. У розвинених країнах онлайн-позики обмежені сумою в межах кількох тисяч доларів. Для більших кредитів обов'язкова зустріч з банківським працівником, перевірка документів, ідентифікація клієнта. В Україні можна оформити 200 тисяч гривень вночі, не виходячи з дому. Це запрошення для шахраїв.
Правоохоронна система не готова до боротьби з масовою кіберзлочинністю. Кіберполіція України укомплектована недостатньо, бракує обладнання та кваліфікованих спеціалістів. Більшість заяв про онлайн-шахрайство не розслідуються через відсутність ресурсів. Злочинці це знають і почуваються безкарними. Рівень розкриття кіберзлочинів в Україні не перевищує 5-7%.
Банки не зацікавлені у посиленні безпеки, оскільки це знижує швидкість видачі кредитів. Гонитва за надприбутками змушує фінансові установи ігнорувати ризики. Вони перекладають втрати на жертв шахрайства, вимагаючи виплати чужих боргів. Національний банк як регулятор міг би змінити ситуацію, запровадивши жорсткіші вимоги до верифікації клієнтів. Але цього не відбувається.
Міністерство цифрової трансформації, яке створило «Дію», не визнає проблем системи. Будь-яка критика сприймається як «заангажований напад» та «антидержавна пропаганда». Експертні попередження ігноруються. Статистика злочинів замовчується. Замість виправлення помилок, відбувається нарощування функціоналу додатку, що лише збільшує кількість вразливостей. Це класичний приклад адміністративної деградації.
Відшкодування збитків жертвам кіберзлочинів не передбачене законодавством. У європейських країнах існують державні фонди компенсації для постраждалих від онлайн-шахрайства. В Україні такого механізму немає. Людина, яка стала жертвою злочину через недоліки державної системи, залишається наодинці зі своїми проблемами. Це порушення базових прав громадян на захист.
Що потрібно змінити – експертні рекомендації щодо безпеки
Негайно запровадити обов'язкову затримку при оформленні онлайн-кредитів. За аналогією з банківськими сейфами, які не відкриваються миттєво, кредитні заявки мають проходити обов'язковий період очікування мінімум 24 години. Це дасть час службам безпеки банків проаналізувати підозрілу активність та зв'язатися з клієнтом для підтвердження операції. Жодна «термінова» потреба не виправдовує ризик масового шахрайства.
Обмежити можливість оформлення кредитів у нічний час. Банківські онлайн-системи мають працювати за розкладом, коли служби безпеки функціонують у повному складі. З 22:00 до 8:00 видача нових кредитів має бути заблокована технічно. Ця проста міра зменшить кількість злочинів на 60-70%, оскільки шахраї віддають перевагу нічним операціям.
Запровадити обов'язкову особисту присутність у відділенні банку для кредитів понад 50-100 тисяч гривень. Дистанційна верифікація має застосовуватися лише для невеликих сум. Для серйозних фінансових зобов'язань необхідна зустріч «обличчям до обличчя» з банківським працівником, який перевірить документи та ідентифікує клієнта фізично. Ковідні обмеження вже не актуальні, тож аргументів проти цього немає.
Створити державну систему електронної ідентифікації, незалежну від комерційних банків. Це має бути окрема інфраструктура з максимальним рівнем захисту, побудована за стандартами європейського регламенту eIDAS. BankID потрібно залишити для банківських операцій, а не використовувати як універсальний ключ до всіх державних послуг. Змішування комерційних і державних функцій створює системні ризики.
Впровадити обов'язкову багатофакторну автентифікацію для критичних операцій у додатку «Дія». Однієї SMS-перевірки недостатньо. Потрібні додаткові рівні: біометрія, спеціальні токени, контрольні питання. Кожна дія, яка може призвести до фінансових втрат (відкриття ФОП, надання доступу до даних), має вимагати підвищеної верифікації.
Запровадити суворе законодавче регулювання відповідальності банків за фейкові кредити. Якщо банк не зміг належним чином перевірити особу позичальника – він несе фінансову відповідальність, а не жертва шахрайства. Це змусить фінансові установи інвестувати у системи безпеки замість гонитві за швидкими прибутками.
Створити державний фонд компенсації для жертв кіберзлочинності. Громадяни не мають нести втрати через недоліки державних систем та недосконалість законодавства. Поки правоохоронці шукають злочинців, люди потребують термінової допомоги. Фонд має фінансуватися з державного бюджету та внесків банків.
Посилити кіберполіцію – збільшити фінансування, забезпечити сучасним обладнанням, провести масштабне навчання співробітників. Боротьба з онлайн-злочинністю вимагає спеціалізованих знань та інструментів. Поточний стан підрозділу не дозволяє ефективно протидіяти масовому шахрайству.
Коли держава стане на бік громадян
Проблема шахрайства через додаток «Дія» та BankID набула масштабів національної катастрофи. Щодня десятки українців стають жертвами кіберзлочинців, які експлуатують вразливості державної цифрової інфраструктури. За три роки через цю систему викрадено мільярди гривень. Реальні цифри набагато більші за офіційну статистику, оскільки багато людей не звітують про злочини через безнадійність ситуації.
Держава, яка має захищати своїх громадян, натомість створила ідеальні умови для онлайн-шахрайства. Відсутність належного контролю, ігнорування експертних рекомендацій, небажання визнавати проблеми – все це призвело до ситуації, коли злочинці почуваються безкарними. Банки заробляють на швидких кредитах, перекладаючи ризики на клієнтів. Правоохоронці безсилі через брак ресурсів та політичної волі.
Розв'язання цієї кризи можливе лише через комплексний підхід: посилення законодавства, підвищення відповідальності банків, модернізація систем безпеки, створення компенсаційних механізмів. Але найголовніше – потрібна воля визнати масштаб проблеми та почати діяти. Поки керівництво Міністерства цифрової трансформації заперечує очевидне, тисячі людей страждатимуть від злочинів, яким держава сама відкрила двері.
Кожна нова жертва шахрайства через «Дію» – це не просто статистика. Це конкретні люди, які втрачають заощадження, нервують через судові процеси, роками виплачують чужі борги. Це підірвана довіра до державних інституцій та цифрових технологій загалом. Це репутаційні втрати України на міжнародній арені, де нашу «цифрову державу» вже сприймають як жарт.
У складних проблем не буває простих рішень. Державне електронне урядування – це не додаток на телефоні, який можна зліпити за кілька місяців. Це величезна інфраструктура, яка вимагає десятків тисяч годин роботи кваліфікованих фахівців. Це постійний аудит безпеки, тестування на вразливості, швидке реагування на інциденти. Це відповідальність перед мільйонами громадян, які довірили державі свої персональні дані.
Нинішня влада обрала шлях популізму замість професіоналізму. Красиві презентації та піар-кампанії не замінять справжньої експертної роботи. Доки у керівництві цифровізації сидітимуть люди, які ставлять особисті амбіції вище безпеки громадян, проблема лише поглиблюватиметься. І кожен новий «цифровий прорив» означатиме нові можливості для кіберзлочинців.
За матеріалами Костянтина Корсуна – спеціаліста по інформаційній та кібербезпеці з 15-річним досвідом аналізу цифрових загроз та захисту інформаційних систем. https://www.facebook.com/kostiantyn.korsun