- Реклама -
Скандал вокруг компании Moneyveo открыл украинцам глаза на плачевную ситуацию с их персональными данными. Беспомощность государства и атмосфера вседозволенности доморощенного «финтеха» ставит вопрос о необходимости экстренных мер.

Начиная работу над этой серией материалов, ваш покорный слуга понятия не имел, куда она его в конце концов приведёт. Мне казалось, что фантасмагорические истории из жизни американских абонентов мобильной связи — это вершина (или дно, как смотреть) криминального бизнеса в сфере информационно-коммуникационных технологий. Однако в который раз жизнь оказалась сложнее и глубже.

Свежайший скандал вокруг украинского сервиса онлайн-кредитов Moneyveo вскрыл натуральный гнойник, вызревавший много лет. Теперь и органы власти, и масс-медиа, и профессиональное сообщество не могут более игнорировать следующие факты:

  1. Персональные данные украинцев легко монетизируются в рамках мошеннических схем, поэтому уже сейчас представляют значительную ценность для преступного мира.
    2. Украинское государство несостоятельно в деле защиты персональных данных, идёт ли речь о превентивных действиях, или о наказании виновных в уже совершённых преступлениях.

Хочется верить, что эта дикая история станет катализатором давно назревших изменений в сфере защиты персональных данных резидентов Украины. Перспективы, темпы и конечный результат «цифровизации» украинского общества критически зависят от качества процедур, обеспечивающих управление персональными данными, в том числе их цифровыми экземплярами.

Что произошло в Moneyveo

Компания «Манивео скорая финансовая помощь» (ТМ Moneyveo) была создана в 2013 и управляется в настоящее время приятными молодыми людьми с честными лицами, обладателями дипломов европейских вузов. Они позиционируют своё детище как «первый украинский финтех-стартап, который выдаёт мгновенные займы онлайн».  В основу компании была положена идея радикально упростить процедурные барьеры, которыми банковские учреждения привыкли обставлять выдачу кредитов.

Среди ключевых преимущество своего предложения компания отмечает следующие:

  • Первый кредит всегда выдается под 0,01% на срок до 30 календарных дней.
  • Никаких документов не требуется, достаточно данных паспорта и ИНН.
  • Нет требования быть пользователем сервиса, иметь в нем или где-либо депозит, работать официально и пр.
  • Не нужно никуда ехать для подписания договора и получения денег. Заявка отправляется через сайт, договор приходит в электронном виде, а деньги перечисляются автоматически, как только пользователь ставит отметку о согласии с условиями договора.
  • Весь процесс получения первого кредита в Манивео занимает менее 10 минут.

Замечу, что идея максимально упростить процедуры идентификации клиентов  воспроизводит подход, которым руководствовалась прежняя команда «Приватбанка», делая ставку на альтернативные инструменты авторизации вроде SMS и QR-кодов. Этим же объясняется и огромная популярность SMS-авторизации в США, обратная сторона которой описана в первой части нашего повествования. Громоздкость и неудобство процедур идентификации, традиционных для финансовой сферы, во многом обусловлены высокими требованиями в части надёжности.

Идя навстречу клиентам в части комфорта, бизнес сознательно снижает уровень их защищённости, стараясь не привлекать к этому внимания. Чем проще процедуры, тем выше комфорт и удовлетворённость клиентов, тем лучше финансовый результат. Как показывает опыт Приватбанка, пожертвовав безопасностью клиентов, можно достичь действительно впечатляющих результатов. В случае Moneyveo речь идёт о 1,8 млн. выданных кредитов на общую сумму свыше 4,5 млрд. грн.

Компания обласкана и облизана как прессой, так и профессиональным сообществом. Среди полученных ею наград — премии «PaySpace Magazine Awards» (2016, 2017), «Украинская народная премия» (2016, 2017), «Бренд года 2017», звания лучшего украинского fintech-стартапа и лучшего сервиса онлайн-кредитования.

Весной 2017 года речь шла про 100 тысяч заёмщиков. Осенью того же года — 200 тысяч. В конце февраля 2018 года было заявлено про более чем 230 тысяч постоянных клиентов. 10 апреля 2018 года компания выдала кредит 300-тысячному клиенту. 17 июля их уже 370 тысяч. 22 августа заявлено про 400-тысячного клиента.  В конце октября — 430 тысяч.

Первым громким звоночком стал обыск в офисе компании, проведённый СБУ 9 октября этого года. Причиной такого серьёзного шага ведомство назвало массовые злоупотребления персональными данными граждан, на которых без их ведома оформлялись кредиты. Было заявлено о наличии более чем тысячи задокументированных фактов такого рода. Представители компании, как это принято, заявляли о давлении на честный и прозрачный бизнес.

Однако по-настоящему гром грянул через две недели, когда Валерий Яковенко, основатель компании Drone.UA, публично поведал подробности мошеннической схемы с участием Moneyveo,  жертвой которой он оказался. Поразительные детали его истории привлекли внимание масс-медиа. Буквально через пару дней перед изумлённым взором почтеннейшей публики предстала картина эпического, просто феноменального беспредела и бардака под видом мегапрогрессивного финтех-стартапа.

Во-первых, инноваторы из Moneyveo фактически не осуществляют верификацию заявителя в терминах Закона о противодействии отмыванию денег и финансированию терроризма. По ходу оформления заявки на получение кредита компания не делает ни одного шага, который дал бы ей возможность убедиться, что предоставленные ей персональные данные действительно принадлежат тому человеку, который претендует на кредит.  Вместо верификации заявителя компания верифицирует предоставленные ей чьи-то персональные данные.

При этом, во-вторых, вместо использования полноценной ЭЦП Moneyveo признаёт изъявлением согласия на выдачу кредита «электронную подпись одноразовым идентификатором». За этим громким названием скрывается банальное нажатие на экранную кнопку в онлайн-анкете.  Как результат, невозможно проверить ни кто подписал, ни когда подписал, ни целостность уже подписанного договора (что его содержание не было изменено после подписи).

Наконец, в-третьих, обладатели всевозможных бизнес-регалий допускали или допускают по-прежнему перечисление кредитных средств на анонимные (безымянные, предоплаченные) банковские карты, владельцем которых может быть кто угодно.

Попросту говоря, компания создала идеальные условия для мошенников, настоящий сервис их мечты.

Как минимум с 2017 года сотни, если не тысячи украинцев стали жертвами однотипных преступлений. Неизвестные находили их данные в Сети и оформляли на них кредиты в Moneyveo. Хотя речь шла об относительно небольших, в несколько тысяч гривен, суммах, чудовищные, в 600% и более годовых, ставки по кредиту очень быстро увеличивали их во много раз. Люди узнавали о случившемся уже после того, как их липовые долги передавались коллекторам. Напомню, что ради обеспечения полной анонимности в Moneyveo отсутствует этап звонков работодателю и родственникам для подтверждения полученной от заемщика информации.

Сложно сказать, как долго процветает эта нехитрая схема. Она получила огласку лишь после того, как обнаглевшие мошенники стали использовать персональные данные предпринимателей, зарегистрировавшихся в сервисе Prozorro. Среди них оказался и Валерий Яковенко.

Пытаясь оправдаться, представители компанию делают довольно странные, скажем так, утверждения. Процитирую некоторые перлы:

«…Компанией проведено внутреннее расследование сотрудников на предмет возможного мошенничества с их стороны. Проверка проводилась путём сличения их IP адресов с IP адресами заёмщиков. Факт мошенничества не обнаружен», — Инна Калинина, «PR angel» Moneyveo.

«Компанія проводить ідентифікацію та верифікацію осіб, які подають заявки на кредит. Ідентифікацію — шляхом співставлення/звірки даних заявки із даними БКІ, куди автоматично направляються запити, а верифікація — шляхом підтвердження особи власника банківської картки, на яку перераховуються кошти — за системою 3D Secure, тією ж самою, за якою проводить верифікація система Приват24», — Максим Параска, CMO.

Вишенкой на торте можно считать обещание компании создать отдел, реагирующий на жалобы о мошенничестве.  Не forensic investigations или compliance, не службу безопасности или внутреннего аудита, а рассмотрения жалоб.

Предварительные выводы

Насколько можно судить, в Moneyveo рассматривают происходящее предельно серьёзно и делают всё возможное для скорейшего разрешения ситуации. Точнее, делают максимум того, что считают необходимым. Кульминацией этих усилий стало публичное выступление представителей компании, в котором они изложили её официальную позицию. Помимо этого, пространные комментарии относительно произошедшего их коллеги оставили в соцсетях, включая крупнейшую FB-группу «Шахрайство Манівео«, а также представителям СМИ.

Давайте посмотрим, что же говорят в компании перед лицом полномасштабного репутационного кризиса.

Прежде всего обращает внимание, что руководство компании категорически отрицает наличие злоумышленников среди персонала. Чтобы обосновать этот тезис озвучивается даже такая дичь, как выявление злоумышленников посредством сопоставления IP-адресов заявителей с данными персонала.

Так же категорически в компании отказываются признавать наличие дефектов в собственных процедурах. Даже такой очевидный прокол, как перечисление выданных средств на карты без идентификации владельца комментируется следующим образом:

Moneyveo не выдаёт кредиты на Prepaid-карты, однако в 2018 году были случаи, когда некоторые банки выпускали такие карты, не отметив это в специальном реестре. Это не позволяло платёжным сервисам определять данные карты должным образом. Однако с июля эта проблема была устранена. На данным момент Moneyveo жёстко пресекает выдачу кредитов по тем картам, где есть хотя бы малейшие сомнения в том, что она принадлежит другому лицу.

Иными словами, виноват кто угодно, только не компания.

Всё это сопровождается агрессивной риторикой в адрес пострадавших, которым вменяется «хейтерство», за которым-де компания пока что лишь внимательно наблюдает.

Позиция компании сводится к тому, что первопричина проблемы и корень всех бед — доступность персональных данных. Её представители снова и снова повторяют, что обратились в Prozorro с просьбой закрыть данные участников торгов. Каким образом знание чужих ФИО и паспортных данных могло оказаться достаточным для оформления кредита — остаётся без комментариев.

Однако неадекватное, несмотря на масштабы случившегося, отношение менеджмента Moneyveo — это полбеды. Режет глаз не менее удивительное поведение государственных структур. Когда в начале октября СБУ проведала финтех-стартап года, в её информационных сообщениях содержались более чем серьёзные утверждения. Которые впоследствии получили полное подтверждение независимым от Службы образом. Однако работа компании не только не была заблокирована, но и, насколько можно судить, не претерпела каких-то значимых потрясений.

Аналогичные вопросы возникают и к Нацкомфинуслуг, который является регулятором небанковских финансовых учреждений. В середине лета Moneyveo прошла проверку Национальной комиссии финансовых услуг. Регулятор подтвердил, что принятые в компании процедуры идентификации соответствуют законодательству Украины.

Чтобы объяснить эти странности возможно помыслить несколько альтернативных версий происходящего. Общими для них будут следующие предположения:

  1. Внутри компании Moneyveo действует организованная преступная группа. Содержанием её деятельности является мошенничество с кредитами. Кража средств компании поставлена на поток, соответствующие убытки относительно невелики для бизнеса с миллиардными оборотами.
  2. Благодаря доступу к инсайдерской информации преступники знают когда, где и насколько открывается окно возможностей. В частности, им известно, карты каких именно банков могут быть использованы для оформления подложных кредитов. Возможно, это «окно» открывается и закрывается в ручном режиме.
  3. Участвуют ли в этой преступной группе первые лица компании или её собственники — неважно. В любом случае они избрали линию поведения, которая играет на руку преступникам, поскольку настойчиво пытаются «перевести стрелки» на третьих лиц вроде Prozorro.
  4. Топ-менеджмент компании категорически отрицает не только версию внутреннего мошенничества, но и наличие изъянов в процедурах выдачи кредитов, что гарантирует воспроизводство условий для мошеннических действий.
  5. Всевозможные «органы» участвуют в преступной деятельности либо на постоянной основе, будучи в доле, либо эпизодически, закрывая глаза и дела по необходимости.

Ещё раз повторюсь, что это не утверждения, а предположения, которые представляются наиболее вероятными. Более того, всё вышенаписанное является литературным произведением, поэтому любые совпадения являются случайными. Любые ассоциации, которые могут возникнуть в результате прочтения, являются ответственностью тех, кому они пришли в голову.

Можно было бы ещё добавить «давайте дождёмся результатов суда», но это уже даже не смешно.

Стоит ещё раз подчеркнуть, что всё это (и многое другое) стало возможным не столько из-за недостатков регулирования, но ввиду несостоятельности правоприменительной системы, включая надзор, следствие и суд. Столкнувшись с противоправными посягательствами, включая откровенный криминал, украинские граждане оказываются в полном одиночестве. Громоздкая, неповоротливая туша «рідной держави» либо вовсе игнорирует их скорбные крики, либо выкатывает отдельный прайс за исполнение своих обязанностей, либо реагирует так долго и бестолково, что в этом исчезает всякий смысл.

Не удивительно, что в такой среде процветает мошенничество, обман и шантаж клиентов со стороны финансовых учреждений. В конфликтной ситуации бизнес прибегает к тактике изнурения жертвы, затягивая рассмотрение дел и натравливая на неё коллекторов. Неудивительно, что часто люди принимают решение отказаться от борьбы, которая не имеет ясных перспектив.

В этом смысле Moneyveo — всего лишь жалкое подобие Приватбанка тех времён, когда им управляли днепропетровские инноваторы. Неудивительно, что в комментариях к записи г-на Яковенко отметились люди, которых «пощипали» с помощью сразу обоих лидеров украинского финтеха.

Ещё пару слов про «финтех-стартапы»

После нашумевшей истории о том, как популярные персонажи украинской Интернет-тусовки помогли создателю «инновационного сервиса микроинвестиций» средь бела дня построить классическую мошенническую схему, разговоры об украинских финтех-инноваторах стали вызывать у меня скепсис. После прошлогодней вакханалии ICO и знакомства с тусовкой «криптопредпринимателей» скепсис сменился отвращением.

Предлагаю принять как данность, что даже самые распиаренные «финтех-компании» могут внезапно оказаться бандой мошенников или неадекватов. Система «управления репутацией» и «отстройки бренда» позволяет буквально из любой жабы надуть небольших размеров слона. Обращает внимание, что исследования участников рынка небанковского кредитования вообще не затрагивают вопросы безопасности клиентов и предотвращения мошеннических действий.

В феврале 2018 года Moneyveo появилась на «первой fintech-карте компаний, которые развивают финансовые технологии в Украине», поскольку именно с неё в 2013 году в Украине началось онлайн-кредитование. Эта карта была создана в рамках совместного проекта американского агентства по международному развитию USAID и UNIT.City.

«Задача USAID и UNIT.City – помогать компаниям быстрее развивать и внедрять инновационные услуги в банковском и небанковском секторе. Один из путей – налаживать диалог и сотрудничество между участниками рынка для обмена опытом и создания совместных продуктов. — сказано в пресс-релизе об очередном PR-успехе Moneyveo. — В течение последних трех лет развитие финтеха в Украине ускорилось. По данным из карты-каталога, в 2018 году в этом направлении уже работают 80 компаний».

Проверьте ваши кошельки, шановные. Восемьдесят компаний, из которых самые матёрые осваивают сию тучную ниву уже пять лет подряд — это серьёзно.

Что делать со всем этим великолепием мы обсудим в заключительной части нашего повествования.


Оглавление

Цена наших данных: как это делается в Америке

Цена наших данных: переносимость мобильного фуфла

Цена наших данных: риски добровольной персонификации

Цена наших данных: треш и угар украинского «финтеха»

Цена наших данных: вызовы и ответы

- Реклама -
Подписывайтесь на наши сообщества в Viber и Telegram
Роман Химич
Известен в качестве консультанта телекоммуникационных компаний, эксперта рынка телекоммуникаций, инициатора и участника различных общественных инициатив. Автор множества публикаций и докладов.