Шахрайство з мікрокредитами через BankID/Дія.Підпис у травні 2026: схема та як захиститися

У травні 2026 року фахівці з кібербезпеки та представники фінансового ринку фіксують помітне зростання кількості шахрайських схем, пов'язаних із компрометацією BankID та Дія.Підпис. Зловмисники отримують доступ до верифікованих облікових записів жертв і в лічені хвилини оформлюють мікрокредити в онлайн-МФО, не маючи жодного фізичного контакту з позичальником. Особливу небезпеку становить те, що деякі мікрофінансові організації досі покладаються виключно на BankID як єдиний спосіб ідентифікації клієнта. У результаті жертва дізнається про позику вже після того, як кошти виведено.

Як працює схема

Схема складається з трьох послідовних етапів, кожен із яких технічно нескладний, але разом вони формують замкнений ланцюжок, що дозволяє шахраям діяти швидко та майже анонімно.

Крок 1. Компрометація BankID або Дія.Підпис

На першому етапі зловмисник отримує доступ до облікового запису жертви. Найпоширеніші методи — фішингові повідомлення з підробленими посиланнями на сайти банків або Дії, підмінені застосунки, що імітують офіційний інтерфейс, а також SIM-swap — переоформлення SIM-картки жертви на нового власника без її відома. SIM-swap дозволяє перехоплювати SMS-коди підтвердження, після чого зловмисник повністю контролює прив'язаний номер телефону. У соціальних мережах поширюються повідомлення про те, що шахраї також використовують скомпрометовані бази даних із логінами та паролями від різних сервісів — якщо людина використовує однаковий пароль усюди, ризик багаторазово зростає.

Крок 2. Оформлення позики в МФО

Отримавши контроль над BankID або Дія.Підписом жертви, шахрай переходить на сайт або у застосунок МФО. Процес верифікації через BankID займає від 5 до 15 хвилин і в ряді організацій не передбачає жодної додаткової перевірки — ні відеоверифікації в реальному часі, ні порівняння з архівними фото, ні аналізу поведінкових патернів. Позика затверджується автоматично, бо система «бачить» верифікований BankID-підпис і вважає його достатнім підтвердженням особи. Саме тут і криється системна вразливість: BankID підтверджує особу лише до моменту компрометації облікового запису — після цього він стає інструментом в руках зловмисника.

Крок 3. Виведення коштів

Схвалена сума миттєво переводиться на так звані дроп-картки — рахунки, зареєстровані на підставних осіб або відкриті за підробленими документами. Звідти гроші конвертуються в криптовалюту або переводяться через ланцюжок рахунків, ускладнюючи їх відстеження. За повідомленнями НБУ та кіберполіції, цикл від компрометації до виведення коштів у деяких випадках займає менше години.

Сигнали компрометації

Більшість жертв дізнаються про шахрайство із запізненням. Щоб виявити загрозу якомога раніше, варто звертати увагу на такі ознаки:

• SMS або push-повідомлення про новий вхід у банківський застосунок або зміну пароля, які ви не ініціювали. Навіть якщо повідомлення виглядає технічним і нешкідливим — це привід негайно перевірити активні сесії.
• Електронні листи від невідомих МФО із підтвердженням заявки, договором або графіком платежів. Якщо ви не подавали жодної заявки — це явна ознака того, що хтось скористався вашими даними.
• Операції в Дії, які ви не ініціювали — зокрема запити на BankID-верифікацію від сторонніх організацій. Історію запитів можна переглянути в розділі «Авторизації» застосунку Дія.
• SMS про переоформлення SIM-картки або раптова тимчасова втрата мобільного зв'язку без видимих технічних причин. Це може свідчити про SIM-swap — переоформлення вашого номера на іншу особу.
• Несподіване погіршення кредитного скорингу або зменшення кредитного ліміту у банку без видимих причин. Кредитні бюро фіксують запити та нові зобов'язання, і їх поява у вашій кредитній історії без вашого відома є прямим сигналом тривоги.

Як захиститися: 6 кроків

Превентивні заходи не потребують технічних знань — достатньо базової цифрової гігієни, яку можна впровадити за кілька хвилин:

• Використовуйте унікальний складний пароль для кожного банківського застосунку. Пароль не повинен повторюватися на жодному іншому сервісі. Довжина — не менше 12 символів, обов'язково з цифрами, літерами та спеціальними символами. Для зберігання паролів використовуйте менеджер паролів.
• Замініть SMS-підтвердження на push-сповіщення або апаратний токен, де це технічно можливо. SMS перехоплюються під час SIM-swap, тоді як push-коди прив'язані безпосередньо до конкретного пристрою.
• Регулярно перевіряйте історію входів у BankID та Дію. У застосунку Дія доступна функція перегляду авторизацій — список сервісів, що запитували верифікацію. Будь-який незнайомий сервіс у цьому списку потребує перевірки.
• Ніколи не передавайте фотокопії паспорта, ідентифікаційного коду або селфі з документами через месенджери, навіть якщо запит надходить нібито від банку чи МФО. Офіційна верифікація відбувається виключно через захищені канали або в відділенні.
• Перевіряйте свою кредитну історію щонайменше раз на 2–3 місяці. Безкоштовний запит до кредитного бюро дозволяє виявити несанкціоновані позики на ранньому етапі, ще до появи перших вимог про погашення.
• Використовуйте лімітовані віртуальні картки для розрахунків в інтернеті. Вони прив'язані до основного рахунку, але мають окремий номер і встановлений ліміт — навіть якщо реквізити буде скомпрометовано, доступ до основних коштів залишиться закритим.

Що робити, якщо схему вже застосували проти вас

Якщо ви виявили ознаки несанкціонованого оформлення позики, важливо діяти швидко та послідовно. Кожна година затримки ускладнює повернення коштів і оскарження записів у кредитній історії.

1. Негайно заблокуйте BankID у вашому банку. Зателефонуйте на гарячу лінію банку та попросіть призупинити або повністю відключити функцію BankID. Одночасно змініть пароль і PIN-код від застосунку та перевірте активні сесії — завершіть усі незнайомі.
2. Зверніться до МФО із заявою про шахрайство. Заяву слід подавати письмово — електронною поштою або через офіційну форму зворотного зв'язку з обов'язковим збереженням підтвердження відправлення. Фіксуйте дату, час та зміст усіх дзвінків і листувань. МФО зобов'язані розглядати такі звернення у визначені законом строки.
3. Подайте заяву до кіберполіції. Це можна зробити онлайн через офіційний портал cyberpolice.gov.ua або особисто у найближчому відділенні поліції за формою 102. Збережіть копію заяви та номер реєстрації звернення — вони знадобляться при подальших кроках.
4. Зверніться до Національного банку України зі скаргою на МФО, якщо вважаєте, що позику було видано з порушенням вимог ідентифікації клієнта. НБУ має повноваження ініціювати перевірку фінансової установи та зобов'язати її переглянути рішення щодо позики.
5. Подайте заяву до УБКІ або іншого кредитного бюро про блокування або оскарження неправомірного запису. Кредитне бюро зобов'язане розглянути звернення та позначити запис як «оскаржуваний» на час перевірки, що захистить вас від негативного впливу на скоринг під час розгляду справи.

Перший крок після виявлення підозрілої позики — перевірити кредитну історію та оформити оскарження. Покроковий план зі зразками заяв ми розібрали в окремому матеріалі — «Як оскаржити негативний запис у кредитній історії».

Контекст: реакція ринку та регулятора

За повідомленнями НБУ, регулятор перебуває в процесі посилення вимог до процедур ідентифікації клієнтів (KYC) у небанківських фінансових установах, зокрема в МФО. Зростання кількості шахрайських інцидентів за участю BankID спонукало регулятора до перегляду мінімально достатніх стандартів верифікації — одного лише BankID-підтвердження може виявитися недостатньо для автоматичного схвалення позики. Ринок реагує: окремі МФО вже запроваджують обов'язкову відеоверифікацію в реальному часі як додатковий рівень захисту поверх BankID, а також аналіз поведінкових патернів і перевірку пристрою, з якого надходить запит.

Кіберполіція фіксує зростання кількості звернень, пов'язаних із несанкціонованим використанням BankID для отримання фінансових послуг. Фахівці підрозділу зазначають, що схема не є технічно новою, однак її масштаб у травні 2026 року суттєво зріс — ймовірно, через появу нових інструментів автоматизованого фішингу та SIM-swap-атак. Паралельно з розслідуванням конкретних випадків кіберполіція проводить роз'яснювальну роботу з фінансовими установами щодо посилення процедур верифікації на етапі видачі позик.

Замість висновку

BankID та Дія.Підпис — зручні та загалом надійні інструменти цифрової ідентифікації. Проблема не в самій технології, а в тому, як нею користуються — і як її захищають. Компрометація починається не з зламу державних систем, а зі слабкого пароля, переходу за підозрілим посиланням або необережно розкритих персональних даних. Регулярна перевірка кредитної історії — це не параноя, а базова фінансова гігієна, яка дозволяє виявити загрозу до того, як вона перетвориться на реальний борг. Відводьте на це 10 хвилин раз на кілька місяців — і ви будете на крок попереду шахраїв.