Deepfake, шахраї і AntiFraud Hub: як Україна захищає платежі і де випереджає Європу

3 червня 2026 року, Олександр Карпов, директор ЄМА

Є речі, які змінюють правила гри назавжди. Генеративний штучний інтелект – одна з них. Не тому, що з’явилися нові види шахрайства. А тому, що старі стали доступні всім і коштують копійки.

Ще три роки тому створити переконливий deepfake-відеодзвінок або синтезувати голос людини вимагало серйозних технічних ресурсів. Сьогодні це питання кількох хвилин і безкоштовного застосунку. Шахрай більше не потребує технічної освіти – йому потрібні лише зразок голосу з соцмереж і сценарій розмови. Це зруйнувало базову презумпцію, на якій трималася верифікація особи: якщо людина говорить, виглядає і поводиться як людина – це людина. Більше – ні.

Що змінилося у світі

Європа усвідомила масштаб проблеми і реагує законодавчо. PSD3 та PSR – нові платіжні регуляції ЄС, що набирають чинності орієнтовно у першому кварталі 2027 року, вперше закріплюють системні вимоги до протидії шахрайству. Обов’язковий обмін інформацією про шахраїв між банками і платіжними провайдерами. Посилена відповідальність установ за шахрайство з соціальною інженерією, тобто коли жертву обманом змушують самостійно переказати гроші. Обов’язкова верифікація імені отримувача до авторизації платежу (Verification of Payee).

Але є принциповий нюанс: це все – вимоги, які ЄС лише формулює. Усталеної практики державно-приватного партнерства у протидії шахрайству в більшості країн ЄС досі немає. Є регуляція, є зобов’язання, але немає інфраструктури, яка б об’єднувала банки, небанківські установи і правоохоронців у єдину екосистему реального часу.

В Україні ця інфраструктура вже є. І вона працює.

AntiFraud Hub: що це і як працює

Асоціація ЄМА запустила AntiFraud Hub кілька років тому – задовго до того, як deepfake став масовим явищем. Логіка проста: жоден банк не бачить повної картини шахрайства на ринку. Шахрай, якого заблокував ПриватБанк, завтра відкриє рахунок в іншому банку і продовжить. Щоб зупинити його, потрібна спільна екосистема.

Сьогодні до AntiFraud Hub підключено 43 банки з ринковою часткою понад 98%. Щомісяця платформа обробляє понад 7 000 сповіщень про шахрайські перекази через Fraud Payments Tracker – інструмент, який дозволяє банку-відправнику миттєво сповістити банк-отримувача про підозрілу транзакцію і зупинити кошти до того, як вони зникнуть. Понад 14 000 запитів від Кіберполіції щомісяця проходять через CrimeCheck – захищений канал між правоохоронцями і банками. Понад 1 млн перевірок по базі ненадійних клієнтів щоденно.

Таких систем в ЄС немає. Не тому що Європа не хоче, а тому що об’єднати банки різних країн, різних регуляторів і різних правових систем в єдину екосистему реального часу значно складніше, ніж зробити це в межах однієї країни.

Два сервіси без аналогів

У 2025 році ЄМА запустила Stolen Identity – реєстр випадків використання викрадених цифрових ідентичностей. Це відповідь на масові витоки персональних даних під час війни: сотні тисяч людей не знають, що їхні паспортні дані, ІПН і selfie вже давно гуляють у тіньових базах. Stolen Identity дозволяє банкам перевірити, чи не використовуються перед ними чужі дані, ще до того, як рахунок відкрито або кредит виданий.

MobileCheck – захист від SIM-swap атак. Класична схема: шахрай перевипускає SIM-картку жертви, перехоплює SMS з одноразовим паролем і отримує доступ до мобільного банкінгу. MobileCheck перевіряє в режимі реального часу, чи не відбулася заміна SIM перед проведенням операції. Пряма інтеграція з українськими мобільними операторами Vodafone, Kyivstar, Lifecell. Аналогів у більшості країн ЄС немає.

Де ще є gap

Чесність вимагає визнати: попри всі переваги, екосистема AntiFraud Hub є переважно реактивною. Вона спрацьовує після того, як переказ ініційований – клієнт не отримує попередження до натискання «Підтвердити». Саме цей gap закриває Verification of Payee – перевірка відповідності імені та IBAN отримувача до авторизації. Нідерланди, де VoP запрацював першими, зафіксували зниження шахрайства з переказами на 81% за вісім років.

ЄМА вивчає можливість розробки Enhanced VoP – системи з pre-payment верифікацією, агрегованим fraud scoring і автоматичним перенесенням відповідальності на банк, який проігнорував сигнал високого ризику. Рішення ще не прийнято, але архітектура вже опрацьована. Якщо це відбудеться, Україна матиме систему, що суттєво перевершує поточні вимоги ЄС.

Головний виклик, який не вирішується технологіями

Найскладніше в антифроді – не технічна архітектура. Найскладніше – людський фактор. Deepfake-атаки ламають не системи. Вони ламають людей. Жертва сама дзвонить у «банк» у відповідь на SMS. Сама підтверджує «підозрілу транзакцію» на прохання «служби безпеки». Сама встановлює «додаток для захисту». Жодна технічна система не зупинить людину, яка свідомо – хоча й під впливом маніпуляції – підтверджує операцію.

Саме тому ЄМА паралельно з технічними інструментами розвиває просвітницькі матеріали для клієнтів. Фінансова грамотність – не м’який додаток до кіберзахисту. В епоху deepfake це його невід’ємна частина.

Шахраї не стоять на місці. Жодна проблема не вирішується раз і назавжди. Антифрод – це не проєкт із дедлайном. Це постійний менеджмент.