Финансовое мошенничество и киберпреступления: причины роста
В 2025 году число зарегистрированных киберпреступлений в России сократилось на 12%, до 663 тыс. случаев. За первую половину 2026 года снижение ускорилось: 252,9 тыс. эпизодов против 371,4 тыс. годом ранее, то есть минус 30%.
Юрий Золотарёв·Обновлено: 16 июля 2026 г.·10 мин

На поверхности это выглядит как улучшение ситуации. Однако деньги движутся в противоположную сторону: мошенники похитили у граждан 29,3 млрд рублей — на 6,4% больше, чем годом ранее.
Этот разрыв и есть главный факт рынка. Финансовое мошенничество и киберпреступления становятся не массовее в статистическом смысле, а дороже в расчёте на успешный инцидент. Банковский антифрод отсекает большое число примитивных атак, зато преступные группы концентрируют ресурсы на сценариях с высокой конверсией: целевых звонках, компрометации персональных данных, имитации голоса близкого человека или сотрудника банка, атаках через подрядчиков.
Для потребителя это означает рост качества обмана. Для банков — увеличение операционных расходов на защиту и компенсации. Для рынка в целом — снижение рентабельности старых мошеннических схем и переток преступной экономики в более технологичные модели.
Парадокс статистики: операций меньше, ущерб выше
В 2025 году банки предотвратили 134,2 млн мошеннических операций. Это почти вдвое больше результата 2024 года, когда антифрод-системы остановили 72 млн попыток. Сам по себе показатель подтверждает, что банковская кибербезопасность стала работать жёстче: скоринговые модели быстрее выявляют нетипичные переводы, анализируют поведение клиента, связывают устройства, номера, счета получателей и признаки социальной инженерии.
Но предотвращённая операция — не равна ликвидированной угрозе. Антифрод эффективно работает против паттернов, которые уже известны рынку: массовых переводов на дропперские карты, аномальной смены устройства, входов из нетипичной географии, быстрых цепочек транзакций. Преступники адаптируются там, где автоматическая модель видит легитимного клиента.
Например, перевод после длительного телефонного разговора может выглядеть технически чисто:
- клиент использует привычный смартфон и домашний интернет;
- вход в приложение проходит с корректной биометрией или вторым фактором;
- деньги переводятся с личного счёта, а не списываются извне;
- операция укладывается в доступный остаток и формально не нарушает лимиты;
- получатель может не иметь явных антифрод-маркеров на момент платежа.
В такой конструкции слабое звено — не платёжная инфраструктура, а решение самого человека. Мошенники переносят точку атаки из банковского контура в психологический: создают срочность, страх блокировки счёта, иллюзию контакта с работодателем, родственником, оператором связи или государственным органом.
| Показатель | 2024 год | 2025 год | Что означает динамика |
|---|---|---|---|
| Похищено у граждан | 27,5 млрд руб. | 29,3 млрд руб. | Ущерб вырос на 6,4% |
| Предотвращено банками мошеннических операций | 72 млн | 134,2 млн | Защита стала активнее, но не закрыла сложные сценарии |
| Зарегистрированные киберпреступления | 775 тыс. | 663 тыс. | Количество инцидентов снизилось на 12% |
| Публичные утечки данных из компаний | — | 230 | Растёт доступность данных для адресных атак |
Статистика киберпреступлений поэтому требует правильного прочтения. Снижение количества зарегистрированных эпизодов не означает, что преступная среда потеряла экономический интерес к банковским деньгам. Скорее меняется её юнит-экономика: меньше дешёвых попыток, больше затрат на подготовку одной атаки и выше средний доход от успешного контакта.
Массовый фишинг теряет рентабельность. Целевой обман с персональными данными, дипфейком и заранее подготовленной легендой — нет.
По данным Банка России, с финансовым кибермошенничеством сталкивался каждый третий из десяти опрошенных, а реальные потери понесли 9% пострадавших. Наиболее интересная аудитория для злоумышленников — экономически активные граждане от 25 до 64 лет. У этой группы есть регулярный доход, доступ к дистанционному банковскому обслуживанию, кредитные лимиты и накопления. Для преступника это более ёмкая аудитория, чем случайная массовая рассылка.
Crime-as-a-Service: преступность как сервисная отрасль
Одна из причин, почему растёт финансовое мошенничество при усилении банковской защиты, — профессионализация преступной инфраструктуры. Модель Crime-as-a-Service, или CaaS, сделала киберпреступность модульной.
Раньше организатору атаки требовалось одновременно быть разработчиком вредоносного ПО, администратором инфраструктуры, специалистом по обналичиванию и оператором социальной инженерии. Теперь эти функции можно разделить. В теневом сегменте продаются или сдаются в аренду фишинговые панели, базы учётных данных, инструменты рассылки, программы-вымогатели, голосовые боты, доступы к скомпрометированным устройствам и услуги по выводу средств.
Экономическая логика здесь обычная. Поставщик инструмента получает комиссионный доход с множества клиентов. Исполнитель атаки снижает стартовые издержки и не тратит время на разработку. Организатор собирает цепочку из подрядчиков, специализирующихся на отдельных этапах. В результате входной барьер падает, а качество атаки растёт.
Для банков это меняет профиль противника. Раньше часть атак была технически слабой: шаблонные письма, очевидные поддельные страницы, переводы на быстро выявляемые карты. В модели CaaS даже небольшая группа получает доступ к инструментам, которые раньше были доступны ограниченному кругу подготовленных команд.
Это не означает, что каждый мошенник располагает сложной киберлабораторией. Основной массив схем по-прежнему строится на звонках, поддельных сайтах и дропперах. Но технологическая надстройка делает эти схемы убедительнее. Злоумышленник получает не просто номер телефона, а профиль человека: ФИО, возраст, сведения о покупках, старые пароли, место работы, фрагменты переписки. Дальше социальная инженерия становится персональной.
Отсюда и рост издержек банков. Недостаточно заблокировать подозрительный платёж. Приходится строить системы, которые оценивают риск в реальном времени по десяткам параметров: от истории операций до сценария взаимодействия в приложении. Чем больше ложных срабатываний, тем выше потери на клиентском опыте и нагрузке контактных центров. Чем мягче настройки — тем выше риск прямого ущерба.
Подрядчик как вход в банковский контур
Крупные банки традиционно инвестируют в кибербезопасность больше, чем средний бизнес. У них зрелее процессы управления доступами, выше бюджет на мониторинг, есть собственные центры реагирования и регулярные проверки. Поэтому преступники всё чаще ищут путь не через главный контур финансовой организации, а через поставщика.
ИТ-подрядчик может обслуживать сразу несколько банков: поставлять программное обеспечение, поддерживать интеграцию, участвовать в обработке документов, обеспечивать коммуникационные сервисы или доступ к отдельным данным. Его уровень защиты нередко слабее, а последствия компрометации — масштабнее, чем у прямой атаки на одну организацию.
Атака на цепочку поставок привлекательна по трём причинам:
1. Ниже стоимость проникновения. У небольшого подрядчика меньше ресурсов на мониторинг, сегментацию сети, защиту привилегированных учётных записей и регулярные аудиты.
2. Выше потенциальный охват. Один скомпрометированный поставщик может дать злоумышленникам доступ к данным или сервисам нескольких заказчиков.
3. Сложнее расследование. На стыке зон ответственности банка и подрядчика часто возникают задержки в обнаружении, обмене логами и ограничении доступа.
В 2025 году в России зафиксировали 230 публичных утечек данных из компаний. В 64% успешных атак происходила утечка конфиденциальной информации: персональных, финансовых данных или коммерческой тайны. Публичная утечка — лишь видимая часть проблемы. Даже если в открытом доступе появляется неполная база, она может стать сырьём для следующего этапа: телефонных атак, восстановления паролей, подбора ответов на контрольные вопросы и фишинга от имени знакомого сервиса.
Для клиента происхождение утечки обычно не имеет значения: деньги уходят уже из его банковского приложения. Но для оценки риска различие принципиально. Компрометация банковской инфраструктуры и утечка у стороннего сервиса — это разные классы инцидентов, разные механизмы ответственности и разные меры защиты.
Банковская кибербезопасность поэтому всё меньше сводится к защите периметра. Она становится задачей контроля всей экосистемы: подрядчиков, облачных сервисов, операторов связи, процессинговых и интеграционных решений. У банка может быть сильный внутренний контур, но его фактическая устойчивость определяется самым слабым звеном в цепочке доступа к данным.
Дипфейк не заменяет звонок, но делает его дороже
С 1 января по 1 июня 2025 года количество мошенничеств с применением дипфейков в России выросло в 2,3 раза год к году. Это заметная динамика, но её не следует интерпретировать как замену всех привычных схем. Доля таких эпизодов в общем объёме финансового мошенничества остаётся крайне малой.
Практическая ценность дипфейка в другом. Он повышает убедительность уже работающей схемы. Если мошенник располагает фрагментами голоса родственника, руководителя или публичного сотрудника компании, ему проще преодолеть первоначальное недоверие. Не нужно долго доказывать, что звонок «настоящий»: знакомый тембр сам становится элементом давления.
Наиболее вероятны три сценария применения:
- Имитация близкого человека. Короткое голосовое сообщение с просьбой срочно перевести деньги, оплатить лечение, залог или помочь после ДТП.
- Имитация руководителя. Сообщение или звонок сотруднику финансового блока с требованием провести платёж, не поднимая вопрос внутри компании.
- Имитация сотрудника банка или ведомства. Дипфейк используется не как единственное доказательство, а как часть последовательности: звонок, сообщение в мессенджере, поддельный документ, перевод на «безопасный счёт».
Экономика такой атаки отличается от массового обзвона. Она требует подготовки: сбора образцов голоса, изучения связей жертвы, настройки сценария. Поэтому дипфейки рационально применять против целей с более высоким потенциальным чеком — владельцев бизнеса, сотрудников с финансовыми полномочиями, граждан с заметными остатками на счетах или доступом к кредитованию.
Технология также давит на традиционный механизм доверия. Раньше рекомендация «проверить голос» имела смысл. Теперь голос — слабый идентификатор. Подтверждением операции может быть только независимый канал: звонок на номер, сохранённый в контактах, личная встреча, подтверждение через корпоративную систему, отдельное сообщение с заранее известной кодовой фразой.
Голос и видео перестали быть доказательством личности. В платёжном сценарии это только повод открыть второй канал проверки.
Для банков здесь возникает сложный баланс. Усиление биометрии и поведенческого анализа снижает вероятность несанкционированного доступа, но не отменяет проблему добровольного перевода под давлением. Клиент может лично пройти все проверки и самостоятельно подтвердить платёж, потому что мошенник контролирует контекст решения.
Утечка данных превращает случайный обман в адресную продажу
Массовый звонок строится на вероятности. Адресная атака строится на информации. Чем больше преступник знает о человеке, тем выше конверсия разговора и тем меньше признаков, которые могут насторожить жертву.
Утекшие данные позволяют собрать правдоподобную легенду. Имя, номер телефона и адрес электронной почты — базовый уровень. Намного опаснее сочетания: история заказов, сведения о работодателе, номер автомобиля, частичные данные паспорта, информация о родственниках, старые пароли, записи разговоров, детали обращений в сервисы.
Такая база повышает рентабельность мошеннической кампании сразу по нескольким каналам:
| Элемент атаки | Без персональных данных | При наличии утечки |
|---|---|---|
| Первичный контакт | Случайный номер, низкое доверие | Обращение по имени, ссылка на известный сервис |
| Легенда | Универсальная и быстро распознаваемая | Привязана к работе, покупке, кредиту или родственникам |
| Давление | Общая срочность | Точная имитация реального события |
| Конверсия | Нужен широкий обзвон | Можно атаковать меньшую, но более ценную аудиторию |
| Потенциальный ущерб | Обычно ограничен | Выше из-за доверия и доступа к дополнительным продуктам |
В этой логике утечка — не разовый репутационный ущерб для компании, а актив, который может годами работать на преступный рынок. Человек редко меняет номер телефона после инцидента, не всегда меняет пароль в связанных сервисах, а паспортные и биографические данные вообще не заменяются без серьёзной причины.
Именно поэтому снижение зарегистрированных киберпреступлений не устраняет накопленный риск. Утечки прошлых лет продолжают монетизироваться. Появляются новые способы сопоставить разрозненные базы, автоматически составить сценарий разговора и сгенерировать убедительное сообщение. Генеративный ИИ здесь не создаёт проблему с нуля, но резко снижает стоимость обработки уже похищенных данных.
Регуляторный ответ: антифрод становится инфраструктурой
С 2024 года действует механизм возмещения похищенных средств в отдельных случаях, когда банк не исполнил предусмотренные требования по противодействию подозрительным операциям. В 2025 году был принят первый пакет законодательных мер по борьбе с кибермошенничеством. В июне 2026 года — второй пакет, условно обозначаемый как «Антифрод 2.0»; осенью планируется представить следующий этап регулирования.
Логика государства понятна: переложить часть стоимости риска на участников финансового рынка, операторов связи, цифровые платформы и инфраструктурных посредников. Мошеннический перевод редко возникает в вакууме. В цепочке обычно присутствуют банковское приложение, телефонный звонок, SIM-карта, мессенджер, поддельный сайт, карта дроппера и сервис для вывода средств. Если каждый участник защищает только собственный участок, преступник использует разрыв между контурами.
Однако регулирование не способно мгновенно остановить рост финансового ущерба. Его эффект измеряется не числом громких запретов, а скоростью обмена данными, качеством идентификации дропперов, сроками блокировки подозрительных операций и способностью организаций разделять легитимный платёж и перевод под внешним принуждением.
Для банков усиление антифрода — это одновременно расходы и защита комиссионного дохода. Прямые затраты включают развитие моделей, интеграции, дополнительные проверки, персонал контактных центров, урегулирование спорных операций. Косвенные — потерю доверия клиента, который после мошенничества сокращает использование цифровых каналов или переводит средства в другую организацию. В терминах LTV даже один неудачно обработанный инцидент может стоить банку гораздо больше суммы конкретного перевода.
Для клиента наиболее практичный вывод проще. Защита счёта больше не сводится к сложному паролю и коду из СМС. Ключевой риск находится в моменте, когда человек сам подтверждает действие. Поэтому ценность имеют не только технические барьеры, но и разделение каналов: отдельная проверка звонка, отказ от перехода по ссылке из сообщения, пауза перед крупным переводом, независимое подтверждение личности собеседника.
Рост киберпреступности в денежном выражении — не признак провала антифрода. Это признак смены модели. Банки стали лучше отсеивать поток дешёвых атак, а преступники отвечают более дорогими и персонализированными сценариями. Наиболее уязвимой остаётся категория экономически активных пользователей, для которых цифровой банк — основной платёжный канал, а персональные данные давно распределены между десятками сервисов.
Следующий этап конкуренции будет идти не за количество заблокированных транзакций, а за точность оценки риска до перевода. Банк, который умеет остановить принуждённую операцию без массовой блокировки добросовестных клиентов, получает не маркетинговое преимущество, а более устойчивую экономику риска.