KYC видеозвонок и deepfake: как мошенники проходят верификацию чужим лицом

Атакующий собирает фотографии и видео жертвы из открытых источников (соцсети, публичные фото). С помощью ИИ-инструментов генерируется синтетическое видео: лицо жертвы накладывается на лицо атакующего в реальном времени через face-swap модель. При видеозвонке с оператором KYC или автоматической видеопроверке система видит лицо жертвы. Параллельно предъявляется скан паспорта жертвы (полученный через утечку данных или фишинг). Риск: качество deepfake в 2026 году достигло уровня, при котором человеческий оператор без специальных инструментов не отличает синтетическое видео от реального.

Жертва получает аккаунт на финансовой платформе, зарегистрированный на её имя и документы, которым она не управляет. Через этот аккаунт могут проводиться незаконные операции: отмывание средств, транзакции с санкционными адресами, налоговые нарушения. При расследовании регулятор или правоохранители выйдут на жертву как номинального владельца аккаунта. Риск: доказать, что верификация была проведена мошенником без ведома жертвы, сложно и занимает время — в период расследования счета жертвы в других банках могут быть заблокированы.

Современные KYC-платформы внедряют: liveness detection — задания, сложно выполнимые синтетически (моргнуть определённым образом, повернуть голову по случайной траектории); анализ артефактов deepfake (мерцание краёв лица, неестественное движение глаз, несоответствие освещения); сравнение с биометрическими базами данных; проверку метаданных видеопотока на признаки виртуальной камеры. Риск: гонка вооружений между deepfake-инструментами и детекторами продолжается — методы, надёжные в 2024 году, могут быть обойдены в 2026.

Для deepfake KYC мошеннику нужны: качественные фото/видео жертвы и скан документа (паспорт, СНИЛС). Фото берутся из открытых соцсетей; сканы документов — из утечек баз данных (медицинские сервисы, интернет-магазины, госуслуги при фишинге). В РФ крупные утечки персональных данных фиксируются регулярно — Роскомнадзор публикует реестр нарушителей. Риск: чем активнее человек в соцсетях и чем больше сервисов имеют его скан паспорта — тем выше вероятность, что данные уже скомпрометированы.

Немедленные действия: связаться с платформой через официальные каналы и сообщить о несанкционированной верификации; подать заявление в полицию РФ (ст. 159 УК — мошенничество, ст. 272 УК — неправомерный доступ); уведомить банки и финансовые организации о компрометации документов; подать обращение в Роскомнадзор при подозрении на утечку персональных данных. Риск: чем быстрее зафиксирован факт мошенничества, тем больше шансов избежать статуса номинального участника незаконных операций.

Теоретически операции через аккаунт на имя жертвы могут быть интерпретированы как её доходы. На практике при доказанном факте мошенничества и своевременном уведомлении ФНС налоговые претензии снимаются. Важно зафиксировать факт через полицейское заявление и официальное уведомление платформы с отметкой о дате. Риск: без своевременной реакции жертва может получить налоговые требования по операциям, которых не совершала, и бремя доказывания ляжет на неё.

В РФ финансовые организации обязаны соблюдать требования 115-ФЗ об идентификации клиентов. При доказанном факте прохождения KYC через deepfake платформа может нести ответственность за ненадлежащую верификацию. Однако доказать этот факт и взыскать компенсацию в судебном порядке сложно — практика по таким делам в РФ только формируется.