Платежный фрод 2026: почему интернет-магазины теряют миллионы и как P2P-технологии меняют правила игры
Разговоры о безопасности платежей обычно выглядят одинаково. Кто-то рассказывает страшную историю про украденные миллионы, кто-то перечисляет технические меры защиты, а в конце все сходятся на том, что стопроцентной гарантии не существует. Это правда, но не вся. Потому что за годы работы с платежными системами я понял одну важную вещь: безопасность — это не про технику. Это про экономику.
Мошенник не будет атаковать систему, защита которой стоит дороже, чем потенциальный выигрыш. Он пойдет туда, где защита слабее, а выигрыш больше. Задача мерчанта — сделать свой бизнес менее привлекательным для атаки, чем бизнес конкурента. P2P-платежи дают в этом вопросе преимущество, которое многие недооценивают.
Как устроен платежный фрод в 2026 году
За последние три года схемы мошенничества в онлайн-платежах эволюционировали. Простые фишинговые атаки уступили место многоходовым комбинациям с использованием социальной инженерии, подмены данных и автоматизированных скриптов.
Самая популярная схема 2026 года выглядит так. Мошенник собирает базу украденных банковских карт. Для каждой карты он проверяет лимиты и доступные средства. Затем автоматически создает заказы в интернет-магазинах, где не требуется 3D-Secure или где порог для обязательной верификации достаточно высок. После получения товара перепродает его и выводит деньги.
Традиционные платежные системы пытаются бороться с этим через 3D-Secure, фрод-мониторинг и поведенческий анализ. Но у этих методов есть недостаток: они создают неудобства для добросовестных клиентов. Чем строже проверка, тем ниже конверсия. Баланс между безопасностью и удобством — вечная головная боль мерчанта.
Где P2P-платежи выигрывают у традиционных систем
В традиционном эквайринге мошенник может использовать украденную карту для оплаты. Если 3D-Secure не подключен или настроен с низким порогом, транзакция проходит. Товар отправляется. Через месяц приходит чарджбэк, и магазин теряет деньги.
В P2P-схеме использовать украденную карту сложнее. Для перевода на карту или по номеру телефона мошеннику нужен доступ к мобильному банку жертвы или физический доступ к ее карте. Это существенно повышает порог входа для атаки. Просто украсть номер карты недостаточно — нужно еще получить контроль над личным кабинетом жертвы.
Но есть схемы, которые работают и в P2P. Самая опасная — социальная инженерия. Мошенник звонит жертве, представляется сотрудником банка, убеждает назвать код из SMS, заходит в ее личный кабинет и переводит деньги на реквизиты, полученные от интернет-магазина. Жертва не заказывала товар, но перевод был сделан добровольно. Банк отказывается возвращать деньги, потому что операция была авторизована через SMS.
Для магазина такая ситуация — кошмар. Товар отправлен, деньги получены, но клиент, чьи деньги были украдены, требует возмещения. Кто должен отвечать?
Ответственность и распределение рисков
В традиционном эквайринге ответ — банк-эмитент. Он возвращает деньги клиенту через чарджбэк, а магазин теряет и товар, и деньги. В P2P-схеме ответа на этот вопрос пока нет, потому что правовая база только формируется.
На практике P2P-платформы решают такие ситуации через механизм споров. Если клиент доказывает, что стал жертвой мошенничества и не заказывал товар, платформа может заблокировать средства на счете мерчанта до выяснения обстоятельств. Если мерчант доказывает, что товар был отправлен добросовестному получателю, средства остаются у мерчанта.
Исход спора зависит от качества доказательств. Мерчант, который ведет детальный журнал заказов, подтверждений отправки и callback-уведомлений, почти всегда выигрывает спор. Мерчант, который работает без документации и не может подтвердить отправку товара, рискует потерять деньги.
Как снизить риски для мерчанта
Первое — используйте 3D-Secure для традиционных карточных платежей, если вы их принимаете. Это снижает риск чарджбэков, потому что транзакция считается подтвержденной клиентом.
Второе — для P2P-платежей используйте H2H API и закрывайте сделки вручную после проверки. Не автоматизируйте подтверждение заказов, пока не убедитесь, что callback-уведомление получено и статус соответствует ожидаемому.
Третье — установите лимиты на количество заказов с одного IP-адреса и на сумму заказов от одного клиента за период. Это блокирует автоматизированные атаки, когда мошенник создает сотни заказов за короткое время.
Четвертое — используйте внешние системы фрод-мониторинга. Современные антифрод-системы анализируют сотни параметров транзакции в реальном времени: IP-адрес, устройство, поведение на сайте, историю заказов. Если система обнаруживает аномалию, она блокирует транзакцию до проверки оператором.
Пятое — настройте двухфакторную аутентификацию для доступа к админке платежной платформы. Если мошенник получит доступ к вашему аккаунту на P2P-платформе, он сможет создавать сделки от вашего имени и выводить средства.
Реальный кейс: как магазин потерял 2 миллиона и что из этого выучил
Крупный интернет-магазин электроники с оборотом 50 миллионов рублей в месяц принимал платежи через традиционный эквайринг. Три года подряд все было хорошо. Потом за один месяц пришло 47 чарджбэков на общую сумму 2.3 миллиона рублей.
Схема была простой. Мошенники покупали базы украденных карт, проверяли их через микроплатежи и делали заказы в магазине. Магазин отправлял товары. Через месяц владельцы карт обнаруживали пропажу денег и писали заявления в банки. Банки возвращали деньги через чарджбэк. Магазин пытался оспорить, но проиграл, потому что не мог доказать, что товар был получен именно заказчиком.
После этого случая магазин подключил P2P-платежи как дополнительный способ оплаты. Через полгода выяснилось, что по P2P-транзакциям не было ни одного случая мошенничества. Причина: мошенники не могли использовать украденные карты для P2P-переводов, потому что для перевода нужен доступ к мобильному банку, а не просто номер карты.
Сейчас магазин принимает 60 процентов платежей через P2P и 40 процентов через традиционный эквайринг. Чарджбэки снизились с 0.8 процента от оборота до 0.1 процента. Экономия на потерях от мошенничества — около 500 тысяч рублей в месяц.
Технические инструменты безопасности в P2P-API
P2P-платформы предоставляют несколько инструментов для защиты мерчанта. Первый — проверка IP-адресов для callback-уведомлений. Уведомления приходят только с известных IP-адресов платформы. Если вы настроили фильтрацию по IP, подделать callback невозможно.
Второй — лимиты на операции. Вы можете установить максимальную сумму сделки, максимальное количество сделок в день, максимальную сумму на балансе. Эти лимиты действуют на уровне API и не могут быть обойдены.
Третий — механизм споров. В случае конфликта вы открываете спор и предоставляете доказательства. Администраторы платформы принимают решение. Для мерчанта с хорошей документацией вероятность выигрыша спора близка к 100 процентам.
Четвертый — журналирование. Все операции в системе логируются. Вы можете в любой момент получить историю сделок, выплат, изменений баланса и callback-уведомлений. Это ваш главный инструмент для доказательства своей правоты в спорах.
Почему P2P выгоднее с точки зрения безопасности
Если посмотреть на безопасность P2P-платежей с экономической точки зрения, картина становится еще более убедительной. В традиционном эквайринге мерчант платит за безопасность дважды. Первый раз — через комиссию эквайринга, часть которой идет на фрод-мониторинг. Второй раз — через потери от чарджбэков, которые все равно случаются.
В P2P-схеме мерчант платит только комиссию платформы. Фрод-мониторинг встроен в платформу и не требует дополнительной оплаты. Чарджбэки отсутствуют как класс. Споры случаются редко и в большинстве случаев решаются в пользу мерчанта, который ведет документацию.
Итоговый риск для мерчанта в P2P-схеме ниже, чем в традиционной. Несмотря на то что в P2P нет банковской гарантии, общая безопасность выше, потому что мошенникам сложнее атаковать.
Заключение
Безопасность P2P-платежей — это не недостаток, а преимущество. Отсутствие чарджбэков, прямой контроль над сделками, механизм споров и документальное подтверждение каждой операции делают P2P-схему более безопасной для мерчанта, чем традиционный эквайринг. При условии, что мерчант соблюдает базовые правила защиты: автоматизирует обработку колбэков, ведет документацию и использует лимиты.
Платежные платформы, такие как PayShark, предоставляют все необходимые инструменты для защиты. Остальное зависит от самого мерчанта — его готовности вкладывать время и ресурсы в настройку безопасности, а не надеяться, что платформа сделает все за него.
