В 2026 году переводы по номеру телефона через Систему быстрых платежей стали повседневной нормой. Номер мобильного без раздумий сообщают курьерам, продавцам на рынках и случайным знакомым. Однако именно в начале 2026 года специалисты по кибербезопасности зафиксировали резкий всплеск мошенничества, связанного с этим каналом. Неожиданно выяснилось: классический перевод по 16-значному номеру банковской карты сегодня выглядит более защищенным способом расчетов, чем связка «телефон — банк».
Главная проблема — чрезмерная открытость данных. При вводе номера телефона в банковском приложении система автоматически отображает имя, отчество и первую букву фамилии получателя. В условиях, когда социальная инженерия в 2026 году фактически автоматизирована, такие сведения становятся золотой жилой для злоумышленников. Специальные программы-парсеры за считанные секунды прогоняют массивы номеров через API крупных банков, формируя подробные досье.
Зная номер телефона и банки, в которых у человека открыты счета, преступники получают дополнительные подсказки: СБП отображает иконки финансовых организаций. В итоге мошенник звонит уже подготовленным — обращается по имени и понимает, где хранится основной счет.
Перевод по номеру карты в этом плане значительно менее прозрачен: до подтверждения операции отправитель зачастую не видит имени получателя, а собрать массовую базу соответствий «номер карты — владелец» технически намного сложнее.
Отдельный риск — банальная ошибка в одной цифре. В судах продолжают фиксировать иски о неосновательном обогащении. При ручном вводе номера легко допустить опечатку. Ситуации, когда номер уже перепродан оператором новому владельцу, стали частыми. Деньги уходят постороннему человеку, а вернуть их без его согласия практически невозможно.
Банк не вправе самостоятельно списать средства у нового владельца номера. В большинстве случаев спор приходится решать через суд. При переводе по номеру карты вероятность отмены ошибочной операции через процедуры чарджбэка или внутренние механизмы платежных систем статистически выше: карта жестко привязана к конкретному банковскому продукту, тогда как номер телефона зависит от договора с оператором связи и может переходить к другим лицам.
Еще одна уязвимость — схемы SIM-swap, то есть перевыпуск или клонирование сим-карты. В 2026 году такие технологии стали доступнее для криминальной среды. Получив контроль над номером, злоумышленник фактически получает доступ к СБП-профилю. Через переводы между собственными счетами (Me2Me) деньги могут быть выведены из других банков в тот, где у мошенника уже есть доступ.
Номер банковской карты в этом смысле автономен. Даже обладая ее реквизитами, злоумышленник не получает доступа к личному кабинету клиента и не может изменить лимиты или управлять счетами. Карта — это инструмент списания средств при соблюдении дополнительных мер защиты, тогда как номер телефона превращается в универсальный ключ ко всей финансовой инфраструктуре владельца.
Банковские антифрод-системы реагируют на угрозу ужесточением контроля. В феврале 2026 года переводы через СБП на суммы свыше 100 тысяч рублей нередко приводят к мгновенной блокировке дистанционного банковского обслуживания до выяснения обстоятельств. Это связано с ростом числа дропперов и подозрительных операций. При этом P2P-переводы по номеру карты в ряде банков проходят по иным протоколам безопасности и зачастую считаются менее рискованными для отправителя.
К 2026 году номер мобильного телефона фактически стал цифровым паспортом. Он используется для входа в банки, подтверждения операций и идентификации личности. И привычка сообщать его каждому для мелкого перевода оборачивается серьезными рисками: под угрозой оказывается не одна транзакция, а вся финансовая система человека.
