Які шахрайства із використанням ШІ найбільш розповсюджені? На які тренди варто звернути увагу українцям? Як правильно захистити свої дані та гроші? В бліцінтерв’ю виданню Invest News Анна Довгальська, заступниця голови правління банку “Глобус”, — про ШІ-шахрайство, фішинг, діпфейки та правила фінансової безпеки.
Пані Анно, якщо говорити просто: що змінилося у фінансовому шахрайстві від початку 2026 року?
– Головна зміна в тому, що шахрайство стало технологічнішим, швидшим і більш персоналізованим. Але важливо розуміти: штучний інтелект не створив абсолютно нові схеми з нуля. Він посилив старі, як то, приміром, соціальну інженерію, фішинг, фейкові дзвінки, підроблені сайти, шахрайські повідомлення, псевдозбори.
Тобто змінилася якість шахрайства. Повідомлення стали грамотнішими, дзвінки — правдоподібнішими, сайти — схожими на справжні, а атаки — краще підлаштованими під конкретну людину.
Тобто ШІ — це не окремий “новий шахрай”, а інструмент у руках старих схем?
– Саме так. ШІ допомагає злочинцям масштабувати обман. Те, що раніше потребувало часу, знань і ручної роботи, тепер можна частково автоматизувати. Наприклад, швидко створити десятки варіантів фішингових листів, прибрати мовні помилки, зробити текст схожим на офіційне повідомлення банку, державного сервісу чи служби доставки.
І найнебезпечніше — персоналізувати атаку. Шахраї можуть брати відкриті дані з соцмереж, професійних профілів, месенджерів, фото, коментарів. У повідомленні можуть згадати реальне місце роботи, ім’я керівника, сервіс, яким людина справді користується, або подію, яка для неї актуальна. Через це фейкове повідомлення виглядає не масовим, а “своїм”, “індивідуальним”, якщо хочете — особистим.
А що сьогодні найчастіше працює проти людей — технології чи психологія?
– Психологія. Технології лише роблять обман переконливішим. У більшості випадків шахраї намагаються не зламати банк (зараз це вкрай складно для них), а змусити людину саму себе занурити в небезпеку: переказати кошти, назвати код із SMS, підтвердити операцію, ввести дані картки або перейти за небезпечним посиланням.
Саме тому соціальна інженерія залишається головною загрозою. Людині телефонують нібито з банку, мобільного оператора, державної установи, служби доставки чи навіть від імені знайомого. Далі створюється напруга: “ваш рахунок заблокують”, “кошти зараз спишуть”, “потрібно терміново підтвердити”, “родич у біді”. Людину вводять у стан “агресивного поспіху”, і саме цієї миті вона може втратити самоконтроль. Несвідомо, у стані афекту. І скажу ще таке: жодна людина, якою б обізнаною вона не була, не може уникнути таких маніпуляцій. Просто в кожного свій поріг, межа обізнаності, чутливості, сприйняття “гнітючої” інформації.
Є відчуття, що шахрайства стало більше. А що показують цифри?
– За даними Національного банку України, у 2025 році кількість незаконних дій та шахрайських операцій із платіжними картками, за якими були завдані збитки, зменшилася на 5% — до 256 тис. операцій. Але сума збитків, навпаки, зросла майже на чверть — до 1,4 млрд грн.
Також середня сума однієї незаконної операції збільшилася на 30% — із 4247 грн у 2024 році до 5536 грн у 2025 році. Це означає, що операцій може бути менше, але вони стають дорожчими для потерпілих.
Дуже показово й те, що 83% усіх шахрайських операцій відбувалися через інтернет, а 90% загальної суми збитків були спричинені соціальною інженерією. Тобто головна зона ризику — це поведінка людини, її реакція на тиск, терміновість і маніпуляцію.
Раніше фішинг часто можна було впізнати за помилками. Це вже не працює?
– Працює значно гірше. Раніше фішингові листи або SMS часто видавали себе дивною мовою, помилками, невдалим перекладом, незграбною логікою. Тепер ШІ може згенерувати грамотний текст, стилістично схожий на офіційну комунікацію банку, державної установи чи маркетплейсу.
Понад 80% проаналізованих фішингових листів уже мають ознаки використання ШІ, а європейські дослідження оцінюють цей показник у 82,6%. Автоматизація суттєво прискорює шахрайські атаки, а у деяких випадках здешевлює їх аж до 95%.
Але головне навіть не це. Найнебезпечніше — коли посилання поєднується з контекстом. Людина бачить знайоме ім’я, логотип, згадку про реальну подію — і природно може втратити пильність. ШІ створює ілюзію правди там, де раніше були очевидні помилки.
А діпфейки — це вже масова загроза чи поки радше поодинокі випадки?
– Найскладніші deepfake-схеми поки що не є масовими. Вони дорожчі, потребують підготовки, достатнього обсягу даних і продуманої стратегії їх застосування. Але це не означає, що їх можна недооцінювати.
Особливо небезпечно, коли поєднуються схожий голос, психологічний тиск, службова субординація і вимога діяти негайно. Але масовішими все ж залишаються фішинг, фейкові сайти, шахрайські повідомлення, дзвінки та маніпуляції з фінансовим номером.
Окрема болюча тема — фейкові збори. Як не помилитися, коли хочеш допомогти?
– Саме через бажання допомогти люди часто стають вразливими. В умовах війни шахраї активно експлуатують довіру, співчуття і готовність людей швидко переказати гроші. Це гра на емоціях, на чутливості, навіть на особистих втратах близького чи знайомого. Вони створюють псевдозбори “на ЗСУ”, “на лікування”, “на гуманітарну допомогу”, підробляють фото, чеки, документи, звіти, можуть використовувати згенеровані ШІ зображення або відео.
Тому навіть благодійність потребує перевірки. Варто поцікавитися, хто саме відкрив збір, чи є історія попередніх зборів, чи публікуються звіти, чи збігаються реквізити, чи справді сторінка належить заявленій людині або організації. Емоція важлива, але рішення про переказ коштів не має бути імпульсивним.
Яке головне правило безпеки ви б сформулювали для звичайного користувача?
– Не квапитися. Якщо дзвінок, повідомлення або лист вимагає негайної дії з грошима, карткою, кодами, паролями, фінансовим номером чи банківським застосунком — це вже сигнал ризику. Шахраї хочуть, щоб людина діяла швидко. Клієнт має зробити навпаки: зупинитися, перевірити, поставити під сумнів і лише потім ухвалювати рішення.
Що категорично не можна повідомляти нікому і ніколи?
– CVV-код, PIN-код, термін дії картки, логін і пароль до інтернет-банкінгу, одноразові паролі з SMS або push-повідомлень, коди мобільного оператора, дані для входу в застосунки. Цю інформацію не має права запитувати ніхто: ні працівник банку, ні представник державної установи, ні “служба безпеки”. Якщо такі дані просять, то це майже напевно шахраї.
А які базові технічні речі варто зробити вже зараз?
– По-перше, захистити фінансовий номер телефону: ідентифікувати SIM-картку у мобільного оператора, не використовувати неперсоніфікований номер як фінансовий, підключити додаткові сервіси захисту SIM-картки.
По-друге, використовувати двофакторну автентифікацію всюди, де це можливо: у банківських застосунках, пошті, месенджерах, соцмережах, маркетплейсах. Вона не робить людину абсолютно захищеною, але суттєво ускладнює доступ шахраїв до акаунтів і фінансових даних.
І по-третє, не переходити за підозрілими посиланнями. Краще самостійно відкрити офіційний сайт або застосунок, ніж довіритися навіть дуже переконливому повідомленню.
Тобто головний захист у часи ШІ — це критичне мислення?
– Так. Сьогодні вже недостатньо сказати: “Я впізнаю шахрая за помилками” або “Я почую, що голос неприродний”. Помилок може не бути. Голос може бути схожим. Сайт може виглядати професійно. Повідомлення може містити реальні деталі. Тому перевіряти потрібно не лише форму, а передусім саму дію, яку від вас вимагають. Чому це терміново? Чому потрібно назвати код? Чому треба перейти саме за цим посиланням?
Чи можна підтвердити інформацію іншим способом?
– У часи ШІ фінансова безпека починається з паузи. Саме вона дає людині шанс не діяти під тиском, а ухвалити рішення свідомо.
