Штучний інтелект стає інструментом для шахраїв, які використовують його для здійснення фінансових злочинів. Зловмисники застосовують технології, щоб створювати фальшиві профілі, генерувати переконливі повідомлення та обманювати людей, змушуючи їх передавати свої кошти. Завдяки можливостям аналізу даних, шахраї можуть краще розуміти своїх жертв і адаптувати свої методи, що робить їхні дії ще більш небезпечними.

Більше 80% проаналізованих фішингових листів демонструють ознаки застосування штучного інтелекту, що ускладнює їх відрізнення від справжніх

Згідно з інформацією НБУ, у 2025 році кількість незаконних дій та шахрайських операцій з платіжними картками, які призвели до збитків, зменшилася на 5% — до 256 тис. випадків. Проте загальна сума збитків, навпаки, зросла майже на 25% — до 1,4 млрд грн. При цьому 83% усіх шахрайських дій відбувалися через інтернет, а 90% загальної суми збитків були викликані соціальною інженерією. Зловмисники все активніше використовують інструменти ШІ, що ускладнює потенційним жертвам розуміння того, що вони спілкуються не з представником банку чи знайомим, який просить перевести гроші на картку, а з шахраями.

“Протягом перших п’яти місяців 2026 року шахрайство у фінансовій сфері стало значно більш технологічним, швидким і персоналізованим. Основна зміна полягає в тому, що штучний інтелект активніше використовується як інструмент для масштабування вже відомих схем: соціальної інженерії, фішингу, фейкових дзвінків, підроблених повідомлень, шахрайських онлайн-пропозицій, псевдозборів і маніпуляцій у месенджерах”, – зазначила заступниця голови правління Глобус Банку Анна Довгальска.

Вона підкреслила, що ШІ допомагає створювати тексти без типових помилок, які раніше дозволяли легко ідентифікувати фішингові повідомлення. Тепер підроблені листи, SMS або повідомлення в месенджерах можуть бути граматично правильними та стилістично схожими на офіційну комунікацію банку, компанії, державної установи чи служби доставки.

Приблизно 80% фішингових листів створюються за допомогою ШІ

Одним із основних напрямків використання штучного інтелекту став фішинг. Вже більше 80% проаналізованих фішингових листів мають ознаки застосування штучного інтелекту. Європейські дослідження оцінюють рівень використання ШІ у фішингу на 82,6%. Фактично автоматизація дозволила шахраям значно знизити витрати на підготовку атак, у деяких випадках до 95%, а також суттєво прискорити їх.

“Крім того, ШІ надає можливість персоналізувати атаки. Зловмисники можуть використовувати відкриті дані з соціальних мереж, професійних профілів, зокрема LinkedIn, месенджерів, публічних фото, коментарів або згадок, щоб зробити повідомлення більш правдоподібними. Наприклад, у листі можуть бути згадані місце роботи, ім’я керівника, недавня поїздка, подія або сервіс, яким людина дійсно користується. Саме тому жертві дедалі частіше здається, що лист або повідомлення є справжніми”, – зазначила банкірка.

Вона також вказала, що в таких персоналізованих атаках ефективність може бути значно вищою, ніж у звичайному масовому фішингу. Якщо середній рівень кліків за фішинговими посиланнями становить близько 2,7%, то для більш точних AI-атак фіксуються показники клікабельності до 54%. За великого масштабу навіть невеликий відсоток переходів перетворюється на величезну кількість ризикових дій: за окремими оцінками, це може досягати близько 92 млн кліків на день у глобальному масштабі.

“Найбільш небезпечним у сучасному фішингу є поєднання посилання з контекстом. Людина бачить знайоме ім’я, правильний тон, логотип, згадку про реальну подію і цілком природно може втратити пильність. ШІ дозволяє шахраям створити ілюзію правди там, де раніше були очевидні помилки”, – пояснила Анна Довгальська.

ШІ допомагає “клонувати” голос реальної особи

Окремою загрозою є технології deepfake (підроблений голос, відео або зображення). ШІ може бути використаний для створення підроблених голосів і відео реальних людей. Шахраї здатні клонувати голос особи за короткими аудіофрагментами, а іноді для базової імітації може бути достатньо кількох секунд запису. Такі записи можна отримати з відкритих відео, голосових повідомлень, соцмереж або чатів.

У найпростіших випадках людині телефонують від імені “родича” або “друга” і просять терміново переказати гроші. У складніших випадках імітують керівника компанії, який нібито просить бухгалтера або фінансового менеджера терміново провести платіж. Такі схеми особливо небезпечні, коли поєднують голосову імітацію, психологічний тиск і вимогу негайної дії: “переказати кошти”, “підтвердити операцію”, “не ставити зайвих питань”, “зробити це просто зараз”.

“Діпфейки також можуть використовуватися для зламу акаунтів у месенджерах, створення фальшивих відеозвернень, маніпуляцій у псевдозборах або навіть для спроб проходження ідентифікації на окремих онлайн-платформах, зокрема криптобіржах. Водночас важливо усвідомлювати: найскладніші deepfake-схеми поки що використовуються точково, а не масово, адже вони дорожчі, потребують підготовки, достатнього обсягу даних і продуманого сценарію. Натомість фішинг, повідомлення в месенджерах, фейкові сайти, шахрайські дзвінки та маніпуляції з фінансовим номером залишаються значно масовішими”, – розповіла банкірка.

Як уберегтися від ШІ-шахрайства

Щоб не потрапити на гачок шахраїв, Анна Довгальська радить дотримуватися “алгоритму безпеки”. Головне правило — ніколи не поспішати. Будь-яке повідомлення або дзвінок, що вимагає термінової дії з грошима, карткою, кодами, паролями або доступом до застосунку, слід сприймати як потенційно ризикове.

“У нових технологічних умовах важливо усвідомити: атакують насамперед людину. Шахрай прагне не стільки обійти банківський захист, скільки змусити клієнта самому відкрити “двері”: натиснути посилання, назвати код, підтвердити платіж або переказати гроші”, — наголосила експертка.

В жодному разі не можна повідомляти CVV-код, термін дії картки, PIN-код, логін і пароль до інтернет-банкінгу, одноразові паролі з SMS або push-повідомлень, коди мобільного оператора, дані для входу в застосунки.

“Якщо ви отримали дзвінок, буцімто з банку, краще завершити розмову і самостійно зателефонувати за номером, вказаним на офіційному сайті або на картці. Якщо знайома особа надіслала повідомлення з проханням терміново переказати гроші, зв’яжіться з нею іншим каналом комунікації або ж перетелефонуйте їй”, — порадила вона.

Для захисту фінансового номера телефону експертка рекомендує ідентифікувати SIM-картку у мобільного оператора, не використовувати неперсоніфікований номер як фінансовий, а також підключити додаткові сервіси захисту SIM-картки, щоб у разі втрати телефону або підозри на несанкціонований доступ була змога негайно заблокувати картку та інтернет-банкінг.

Окремо важливо використовувати двофакторну автентифікацію всюди, де це можливо: у банківських застосунках, пошті, месенджерах, соціальних мережах, маркетплейсах. За окремими оцінками, двофакторна автентифікація може забезпечувати близько 99% захисту від значної частини несанкціонованих доступів до акаунтів. Це не робить людину абсолютно невразливою, але суттєво ускладнює доступ шахраїв до її фінансових і персональних даних.

“Злочинці прагнуть, щоб людина діяла швидко. Клієнт має зробити навпаки — зупинитися, перевірити, поставити під сумнів і лише потім ухвалювати рішення. У часи ШІ фінансова безпека починається саме з критичного мислення”, — підсумувала Анна Довгальська.