Які дані не можна давати продавцю онлайн

Захист персональних даних під час онлайн-покупок починається з простого правила: чесному продавцю майже ніколи не потрібні ваші CVV-коди, паролі чи скани паспорта, щоб виконати замовлення. Якщо хтось наполегливо просить такі дані «для підтвердження оплати» або «щоб прискорити доставку» - це майже завжди ознака шахрайства. У цьому матеріалі ми розберемо, які саме відомості небезпечно передавати, чому легальні майданчики їх не запитують і як поводитися, коли тиснуть на вас у переписці.

Я, Олена Кравченко, редакторка споживчих гайдів, щодня бачу однакову схему: людина начебто все знає про безпеку, але в момент покупки губиться. Продавець пише ввічливо, надсилає «офіційне» посилання, і здається, що нічого страшного не станеться. Насправді більшість зливів даних відбувається не через хакерські атаки, а через те, що людина сама добровільно вводить зайве. Тож головна навичка - навчитися відрізняти нормальний запит від токсичного.

Які дані в нормі ніколи не запитують?

Є короткий список відомостей, які при звичайній покупці не потрібні взагалі. Жоден легальний маркетплейс, банк чи служба доставки не вимагатиме їх у приватному чаті чи телефоном. Якщо такий запит надходить - зупиніться, бо саме на цьому етапі найчастіше крадуть гроші.

• CVV/CVC - три цифри на звороті картки. Вони потрібні лише для безпосередньої оплати на захищеній платіжній сторінці, а не для «підтвердження» в чаті.
• Коди з SMS і push від банку. Це одноразові паролі (OTP) для авторизації операції. Той, хто їх просить, хоче провести платіж від вашого імені.
• Повний номер картки разом зі строком дії - для отримання грошей продавцю достатньо номера картки АБО реквізитів, але не CVV і не SMS-кодів.
• Паролі від банкінгу, пошти, кабінету маркетплейсу чи «Дії».
• Скани або фото паспорта, ІПН, водійського посвідчення «для оформлення замовлення».
• Доступ до екрана через AnyDesk, TeamViewer чи подібні програми «щоб допомогти з оплатою».

Окремо варто згадати скани документів. Деякі покупці думають, що паспорт потрібен «для митниці» чи «для гарантії». Насправді для отримання міжнародної посилки митні дані вводяться вами особисто в кабінеті служби доставки, а не пересилаються незнайомому продавцю. Нагадаю, що в Україні 2026 року безмитний поріг становить €150 на одну міжнародну посилку на особу, а понад цю суму нараховують 10% мита та 20% ПДВ на суму перевищення - і для жодного з цих розрахунків чужі скани вашого паспорта не потрібні. Якщо вас цікавлять реальні правила, почитайте окремо про розрахунок мита на посилку - там видно, що жодних сканів стороннім людям передавати не треба.

Чому ж тоді шахраї так наполегливо просять документи? Бо фото паспорта разом із селфі - це готовий набір для оформлення мікрокредиту на ваше ім'я, реєстрації фейкових акаунтів або відкриття дропшоп-карток для відмивання грошей. Один безневинний скан здатний обернутися боргами, про які ви дізнаєтеся лише за кілька місяців. Тому документ - це теж секрет доступу, а не «формальність для доставки», як намагаються переконати аферисти.

Чому передавати ці дані небезпечно?

Щоб правило не виглядало як забобон, корисно розуміти механіку. Кожен тип даних дає шахраю конкретну можливість - і саме комбінація номера картки, строку дії та коду з SMS дозволяє списати гроші повністю.

Зверніть увагу на третій рядок: щоб ПЕРЕКАЗАТИ вам гроші (наприклад, повернути кошти за товар), достатньо лише номера картки - 16 цифр на лицьовому боці. Більше нічого. Тож коли продавець під приводом «повернення коштів» раптом просить ще й строк дії, CVV і код із SMS - він не повертає гроші, а намагається їх списати. Детальніше про легітимні механізми описано в матеріалі як повернути гроші за товар.

Ще одна тонкість стосується паролів. Багато людей використовують той самий пароль для пошти, банкінгу й кабінету маркетплейсу. Якщо такий єдиний пароль потрапляє до шахрая, він отримує доступ одразу до всього ланцюжка: зайде в пошту, скине через неї паролі від інших сервісів, прочитає коди підтвердження - і ви навіть не зрозумієте, як втратили контроль над акаунтами. Саме тому пароль від кабінету коштує не менше, ніж дані картки, і його теж не передають нікому, навіть «технічній підтримці».

Окрема категорія - доступ до екрана вашого смартфона чи комп'ютера. Коли вас просять встановити AnyDesk, TeamViewer чи «програму банку для розблокування», насправді ви даєте сторонній людині повний контроль над пристроєм. Вона бачить усе, що бачите ви: відкриває банкінг, ініціює перекази, читає SMS прямо на екрані. Жодна реальна служба підтримки не потребує віддаленого доступу до вашого телефона для оформлення покупки чи повернення коштів.

Як виглядає тиск і соціальна інженерія?

Шахраї рідко діють грубо. Їхня сила - у психології: вони створюють відчуття терміновості, авторитету або вигоди, щоб ви не встигли подумати. Розпізнавши ці прийоми, ви автоматично станете обережнішими.

Типові фрази-маркери

• «Щоб закріпити знижку, потрібно ввести дані картки прямо зараз» - поспіх.
• «Я зі служби безпеки маркетплейсу, продиктуйте код з SMS» - фальшивий авторитет.
• «Оплата не пройшла, надішліть фото картки з двох боків» - нібито технічна проблема.
• «Для розблокування переказу встановіть програму та дайте доступ до екрана» - захоплення пристрою.
• «Ви виграли приз, сплатіть лише доставку реквізитами картки» - фейкова вигода.

Часто шахрайство починається ще до оплати - з підозрілого оголошення. Якщо ви купуєте з рук, варто заздалегідь перевірити продавця: про це є окремий розбір як перевірити продавця на OLX, а також загальні поради щодо безпечних покупок з рук. Чим раніше ви відсієте сумнівного співрозмовника, тим менше шансів, що дійде до запиту персональних даних.

Чому навіть розумні люди потрапляють у пастку

Поширений міф: на шахрайство ведуться лише довірливі чи літні люди. Насправді соціальна інженерія б'є по універсальних психологічних реакціях. Коли вам кажуть «ваш рахунок зламано, дійте негайно», вмикається страх, і раціональне мислення відступає. Коли обіцяють великий приз за дрібну «комісію», спрацьовує жадібність. А коли співрозмовник представляється «офіційною службою», ми за звичкою довіряємо авторитету. Шахраї роками шліфують ці сценарії, тож сором за власну помилку тут недоречний - важливо вчасно розпізнати тригер і взяти паузу.

Універсальний прийом самозахисту простий: будь-який запит, що супроводжується тиском часу, варто сприймати як червоний прапорець. Чесна угода ніколи не «згорить» за п'ять хвилин. Якщо вас квапять - це майже завжди маніпуляція. Покладіть слухавку, закрийте чат і самостійно зв'яжіться з банком або майданчиком через офіційний канал, який ви знайшли самі, а не за номером із підозрілого повідомлення.

Безпечні способи оплати та де вводити дані

Це не означає, що дані картки взагалі ніколи нікуди не вводять. Вводять - але лише на захищеній платіжній сторінці, де адреса починається з https, видно замок у браузері, а сам платіж проходить через систему банку з підтвердженням 3-D Secure. Різниця в тому, КОМУ і ДЕ ви довіряєте ці дані.

1. Оплачуйте всередині застосунку маркетплейсу або на його офіційному сайті, а не за посиланнями з приватних повідомлень.
2. Переконайтеся, що в адресному рядку справжній домен майданчика, а не схожа підробка з опискою.
3. Перевірте наявність https і значка замка перед введенням реквізитів.
4. Дочекайтеся вікна 3-D Secure від вашого банку та вводьте код лише там, у банківському інтерфейсі.
5. Ніколи не диктуйте й не пересилайте цей код у переписці - він призначений тільки для введення у формі банку.

Окрема порада - мати спеціальну картку для онлайн-покупок з невеликим залишком або лімітом. Навіть якщо дані витечуть, втрати будуть обмежені. Як це організувати, ми докладно розписали в гайді про безпечну картку для покупок. А якщо гроші все ж списали без вашої згоди, є інструмент повернення - чарджбек крок за кроком.

Фальшиві сайти та посилання-пастки

Найпоширеніший канал крадіжки даних - фішингові сторінки, що ідеально копіюють інтерфейс банку чи маркетплейсу. Вам надсилають посилання, ви вводите логін, пароль і код - і все це летить шахраю. Тому навичка читати адресу сторінки рятує гроші частіше, ніж будь-який антивірус.

• Дивіться на повний домен: olx.ua і olx-ua-secure.com - це різні сайти.
• Не переходьте за скороченими посиланнями (bit.ly тощо) для оплати.
• Насторожтеся, якщо сторінка просить ввести логін банку одразу після кліку з месенджера.
• Не вводьте дані на сайтах без https і без офіційної назви компанії в реквізитах.

Цілий список тривожних сигналів ми зібрали в окремому матеріалі про ознаки фішингового сайту - раджу пробігтися ним перед першою покупкою на незнайомому ресурсі. Якщо ж сумніваєтеся в самій пропозиції, паралельно корисно навчитися відрізняти справжню знижку від накрученої, бо фейкові «суперакції» часто і є приманкою фішингу.

Ще один тривожний сценарій - оплата «через посередника» або переказ на картку фізичної особи замість офіційного платежу на майданчику. Шахраї часто пропонують «оформити поза системою, щоб дешевше». Але саме захист майданчика - гарантійні утримання, можливість оскаржити угоду - і є вашою страховкою. Виводячи оплату в приватний переказ, ви добровільно відмовляєтеся від усіх інструментів повернення коштів. Якщо продавець наполягає на «прямому» переказі та просить не залучати майданчик - це сильний сигнал зупинитися.

Які дані давати все-таки можна?

Щоб не впасти в іншу крайність і не боятися кожної форми, корисно знати мінімум, який дійсно потрібен для нормального замовлення. Ці дані передавати безпечно, бо без них доставку просто не оформити.

Як бачите, межа проста: контактні й адресні дані - нормально, секрети доступу (CVV, паролі, OTP) і документи - ні. Якщо хтось намагається стерти цю межу, краще перервати угоду. У спірних ситуаціях завжди можна звернутися до офіційної підтримки майданчика й вимагати грошову компенсацію через гарантії маркетплейсу, замість того щоб розкривати зайве в приватному чаті.

Важливо також пам'ятати про ваші права як споживача. За українським законодавством ви маєте право повернути товар належної якості протягом 14 днів (за винятками для гігієнічних та персоналізованих товарів), і для реалізації цього права не потрібно передавати продавцю CVV чи скани паспорта. Достатньо заяви, чека або іншого підтвердження покупки та реквізитів картки для повернення коштів. Якщо продавець під виглядом «оформлення повернення» вимагає секретні дані - він просто скористався вашим бажанням повернути товар як приводом для крадіжки.

Корисна звичка - давати рівно стільки даних, скільки потребує конкретна дія, і ні крапкою більше. Цей принцип у безпеці називають мінімізацією даних. Заповнюючи форму замовлення, запитуйте себе: чи дійсно це поле потрібне для доставки? Якщо магазин раптом вимагає дату народження, дівоче прізвище матері чи кодове слово банку для звичайної покупки кросівок - це аномалія, яка має насторожити.

Що робити, якщо ви вже передали дані?

Помилки трапляються, і паніка тут - поганий радник. Якщо ви усвідомили, що повідомили CVV, код із SMS чи пароль, дійте швидко й послідовно - у перші хвилини ще можна обмежити збитки.

1. Негайно заблокуйте картку через застосунок банку або гарячу лінію.
2. Змініть паролі від банкінгу, пошти й акаунтів маркетплейсів, де був той самий пароль.
3. Зверніться до банку та зафіксуйте інцидент - за несанкціоноване списання можна оскаржити операцію.
4. Якщо списання сталося, ініціюйте процедуру повернення (чарджбек) і збережіть усе листування.
5. Подайте заяву до кіберполіції - це знадобиться для повернення коштів і статистики.

Варто також попередити близьких, особливо старших родичів, які тільки опановують онлайн-покупки. Достатньо однієї спільної розмови про те, що банк ніколи не телефонує по код із SMS, щоб уберегти їх від типової схеми. Безпека в родині працює як ланцюг: достатньо одного необережного скана чи переказу, щоб проблеми торкнулися всіх.

І головне - не звинувачуйте себе занадто суворо. Соціальна інженерія працює навіть проти досвідчених людей. Важливіше зробити висновки: завести окрему картку для покупок, увімкнути сповіщення й запам'ятати головне правило цього матеріалу - захист персональних даних означає вміння сказати «ні» на зайвий запит, навіть якщо співрозмовник звучить дуже переконливо.

Часті запитання

Джерела

1. Закон України «Про захист прав споживачів» - норми щодо безпеки розрахунків і права споживача на повернення товару протягом 14 днів.
2. Закон України «Про захист персональних даних» - принципи обробки та захисту персональних відомостей.
3. Офіційні довідкові центри маркетплейсів (Rozetka, OLX, Prom) - рекомендації щодо безпечної оплати та захисту акаунта.
4. Кіберполіція України - рекомендації з протидії фінансовому шахрайству та фішингу.