Deepfake KYC ризики: дипфейки у відеоідентифікації
Опубліковано: 13 січня 2026 р.
Автор: Марія Білецька

Deepfake KYC ризики: як захистити процес верифікації

Банки, фінтех і криптобіржі дедалі частіше відкривають рахунки через відеоідентифікацію, але разом із зручністю ростуть і deepfake KYC ризики: зловмисники підміняють обличчя й голос у реальному часі, обходячи перевірки, які ще вчора здавалися надійними. Це вже не теорія: у 2024–2025 роках фінансовий сектор фіксує різкий стрибок спроб шахрайства з синтетичною ідентичністю; за оцінками Sumsub, частка випадків із deepfake у схемах верифікації зросла в рази за останні два роки, а FTC США повідомляє про мільярдні втрати від шахрайств, де використовується AI-імітація. Далі розберемо, як працюють дипфейки у KYC, де найвразливіші місця, і які практичні запобіжники реально знижують ризики.

Що таке deepfake і чому це стало проблемою для KYC

Deepfake — це синтетичне фото, відео або аудіо, згенероване або суттєво змінене за допомогою моделей штучного інтелекту (зокрема deep learning). Найпоширеніший сценарій — AI підміна облич: алгоритм «накладає» чуже обличчя на відео реальної людини або відтворює міміку так, щоб здавалося, ніби перед вами потрібна персона.

KYC (Know Your Customer) — процедура, за якою банк, криптобіржа або платіжний сервіс перевіряє, хто саме відкриває рахунок/гаманець і чи не пов’язана ця особа з відмиванням коштів чи іншими ризиками. Відеоідентифікація — один із ключових інструментів KYC: клієнт показує документ, своє обличчя, інколи виконує рухи (повернути голову, моргнути), відповідає на запитання.

Проблема в тому, що deepfake KYC ризики зростають швидше, ніж встигають адаптуватися типові сценарії відеоперевірки. Якщо раніше головним ворогом KYC були «фотографія на екрані» та підробні документи, то тепер шахрай може показати «живе» відео з обличчям іншої людини — і пройти контроль.

Як працює відеоідентифікація в KYC і де саме вразливе місце

Відеоідентифікація зазвичай поєднує кілька шарів перевірок: порівняння обличчя з фото в документі, оцінку «живості» (liveness), перевірку якості документа, а також аналіз поведінкових сигналів (рухи, реакції).

Нижче — типова логіка процесу та точки атаки.

Порівняння обличчя з документом

Система бере кадр із відео та порівнює його з фото у паспорті/ID. Якщо deepfake накладає обличчя власника документа на обличчя шахрая — алгоритм може «побачити» збіг.

Що ускладнює захист: сучасні генеративні моделі навчилися відтворювати міміку, повороти голови та освітлення достатньо правдоподібно для частини масових KYC-систем.

Liveness-перевірка (перевірка «живості»)

Liveness тест має відрізнити реальну людину перед камерою від підміни: наприклад, попросити повернути голову, посміхнутися, подивитися вбік, зробити випадкову дію.

Але deepfake здатний «підлаштовуватися» під такі інструкції в реальному часі — залежно від інструменту та якості реалізації. Тобто звична лінійна перевірка «моргни/повернися» вже не гарантує безпеки.

Перевірка документа та контексту

Окремо система може аналізувати документ: захисні елементи, шрифти, MRZ-зону, відблиски, ознаки монтажу. Це корисно, але deepfake атакує іншу частину — «людину», а не документ. В результаті документ може бути справжнім (вкраденим/купленим), а от особа перед камерою — ні.

Ручна перевірка (оператор)

Якщо відео дивиться оператор, він теж може помилитися: шахраї підбирають освітлення, якість камери, «шум» зображення, щоб приховати артефакти підміни. До того ж оператори працюють у потоці, а атаки часто розраховані на втому та поспіх.

Як deepfake використовують у шахрайстві KYC: сценарії з життя

Deepfake загроза банкам та фінтех-сервісам — не теоретична. Вона впирається в типові мотиви: виведення коштів, отримання кредиту, відкриття «мул-рахунків» (рахунків на підставних осіб), доступ до криптоплатформ.

Відкриття рахунку на чуже ім’я

Шахрай отримує фото/відео людини (наприклад, із соцмереж) та її документи (через витік або купівлю). Далі створює відеопотік, де «людина» нібито проходить відеоідентифікацію. Якщо перевірка слабка — рахунок відкрито. Далі через нього ганяють гроші, і реальний власник документів дізнається про це надто пізно.

Обхід блокувань і повторна реєстрація

Якщо клієнта заблокували за підозрілу активність, шахрай може пробувати реєструватися знову, використовуючи нову «особу». Deepfake прискорює цей процес: не треба залучати живих підставних людей, достатньо підміни облич.

Соціальна інженерія + deepfake

Комбінація «дзвінок від “служби безпеки”» і deepfake — ще небезпечніша. Людині можуть показати у відеодзвінку «співробітника банку» або навіть «самого клієнта» (у корпоративних сценаріях), щоб примусити здійснити дію. Це не завжди KYC, але б’є по тих самих механіках довіри до відео.

Переваги відеоідентифікації та нові ризики

Відеоідентифікація стала популярною не просто так: вона зручна, швидка, зменшує черги у відділеннях і дає доступ до фінансових сервісів людям у невеликих містах або за кордоном. Для криптоплатформ це часто єдиний масштабований спосіб підтвердити особу.

Але разом із плюсами з’являються і deepfake KYC ризики:

  • помилкове прийняття підміни (fraud acceptance) і відкриття рахунків для відмивання коштів;
  • кредитне шахрайство та збитки банку/МФО;
  • репутаційні ризики для фінсервісу (клієнти перестають довіряти віддаленій верифікації);
  • регуляторні наслідки: слабкі процедури KYC можуть призвести до претензій з боку нагляду;
  • ризики для користувача: на нього можуть оформити продукт, а доводити непричетність доведеться саме йому.

Як фінансові компанії захищаються від deepfake у KYC

Захист працює лише «в комбінації». Один тест на моргання вже не рятує — потрібні шари контролю, які важче обійти одночасно.

Розумніші liveness-перевірки та активні виклики

Замість передбачуваних команд використовують випадкові сценарії: повторити фразу, повернути голову за підказкою на екрані, виконати послідовність дій. Деякі рішення перевіряють реакцію зіниць, мікрорухи та узгодженість міміки з мовленням.

Мінус: це може знижувати конверсію (частина людей не любить «квестів» під час реєстрації), але для ризикових продуктів це виправдано.

Детектори синтетичних медіа

Фінтехи впроваджують алгоритми, які шукають артефакти генерації: аномалії шкіри, межі накладання, неузгоджені тіні, неприродну компресію, помилки в морганні або русі губ. Такі детектори потрібно постійно оновлювати: генеративні моделі швидко покращуються.

Перевірки пристрою та сесії

Ознаки ризику можуть бути не у відео, а в оточенні: емулятори, підозрілий браузер, VPN-ланцюжки, повторювані «відбитки» пристрою, аномальна геолокація. Поведінкова аналітика (швидкість введення, рухи миші, патерни дій) часто дає додатковий сигнал.

Багатофакторний підхід до ідентифікації

Для високих лімітів або підозрілих кейсів додають другий канал: BankID/електронний підпис (де доступно), підтвердження через існуючий банк, додаткові документи, короткий дзвінок оператором із непередбачуваними питаннями.

Порівняння підходів: що краще проти deepfake

Універсальної відповіді немає: важливий баланс між зручністю, вартістю та ризиком продукту.

Підхід Зручність для клієнта Стійкість до deepfake Де доречно
Лише відеоідентифікація (базовий liveness) Висока Середня/низька залежно від якості Масові продукти з низькими лімітами
Відеоідентифікація + детектор deepfake Висока/середня Вища, але потребує оновлень Банки/фінтехи з великим потоком онбордингу
Відеоідентифікація + device intelligence + поведінкові сигнали Середня Висока в комплексі Криптобіржі, платіжні сервіси, де багато атак
Відеоідентифікація + додатковий фактор (BankID/е-підпис/ручна перевірка) Середня/нижча Найвища Кредити, великі ліміти, корпоративні рахунки

Якщо продукт дає доступ до великих сум або швидкого виведення коштів, «дорожча» перевірка майже завжди вигідніша за втрати від шахрайства KYC.

Практичні поради для користувачів: як зменшити ризик, що ваші дані використають у deepfake

Навіть якщо ви не проходите KYC щодня, ваші фото й відео можуть стати «сировиною» для підміни облич. Звідси — прості, але дієві правила.

Міні-чек-лист захисту

  • Обмежте публічність у соцмережах: менше відео крупним планом, особливо з різних ракурсів і при хорошому світлі.
  • Не надсилайте фото документів у месенджерах «просто так». Якщо сервіс просить документи — перевірте домен, застосунок, підтримку; краще завантажувати через офіційний кабінет.
  • Увімкніть захист акаунтів: складний пароль + 2FA (додаток-генератор кодів), а не лише SMS.
  • Слідкуйте за кредитною та банківською активністю: сповіщення в застосунку, ліміти, контроль входів.
  • Якщо вам дзвонять «із банку» і просять відеодзвінок або «підтвердити особу» — завершіть дзвінок і наберіть номер з офіційного сайту/картки.
  • Для криптоплатформ: увімкніть whitelist адрес виводу (якщо є), затримку на зміну налаштувань безпеки, антифішингові коди в листах.

Що робити, якщо підозрюєте оформлення продукту на вас

  • Негайно зверніться до банку/сервісу через офіційні канали та зафіксуйте звернення.
  • Попросіть заморозити/перевірити рахунок, відкритий на ваше ім’я, та надати деталі KYC-сесії (час, канал, IP/пристрій — якщо це можливо).
  • Подайте заяву до поліції про шахрайство та використання персональних даних.
  • Перевірте інші фінансові сервіси, де могли використати ті самі дані.

Висновок

Deepfake загроза банкам і фінтеху напряму б’є по довірі до віддаленої ідентифікації, а deepfake KYC ризики вже потрібно враховувати і компаніям, і користувачам. Відеоідентифікація залишається зручною, але без багатошарового захисту та додаткових сигналів вона стає простішою мішенню для шахрайство KYC. Найкраща стратегія — поєднання технологій детекції, перевірок сесії та здорових звичок користувача щодо приватності й безпеки.

Поширення дипфейків ставить під сумнів надійність дистанційної ідентифікації, тож варто розуміти, як сьогодні працюють базові KYC-інструменти на кшталт BankID і де проходить межа їхньої безпеки.