Фішинг і крадіжка даних

Фейковий сайт виманив дані
— не ваша провина

Фішинг — це обман людини, а не лише злам системи.

  • Обманом схилили ввести дані чи переказати кошти — це шахрайство (ст. 190 КК).
  • Був несанкціонований доступ до акаунта чи системи — ст. 361 КК; викрадено платіжні реквізити — ст. 200 КК.
  • Витік персональних даних — окремий захист і скарга Уповноваженому ВРУ (ЗУ № 2297-VI).

Перша година критична: адвокат фонду веде блокування, докази й заяву паралельно.

Перша консультація по телефону — безкоштовна, конфіденційна.

ст. 190
стаття КК за шахрайство обманом
обманом схилили ввести дані чи переказати кошти
ст. 361
стаття КК за втручання в систему
несанкціонований доступ до акаунта, пристрою чи мережі
24
годин на внесення заяви до ЄРДР
слідчий вносить відомості до Реєстру після заяви
30
днів на відповідь про обробку ваших даних
володілець повідомляє, чи обробляє ваші персональні дані
Як діємо

Чотири кроки після фішингу

Порядок дій залежить від того, що скомпрометовано: доступ до акаунтів, платіжні реквізити чи персональні дані. Адвокат називає план до того, як ви втратите час.

Блокуємо доступи

Перша година критична. Блокуємо картки й рахунки через офіційний застосунок банку, змінюємо паролі пошти, соцмереж і месенджерів, перевіряємо двофакторну автентифікацію — чи не вимкнув її зловмисник.

  • Діяблок карток і паролів
  • Нормаст. 87 ЗУ 1591

Фіксуємо докази

Зберігаємо адресу фейкового сайту, скриншоти сторінки й форми, тексти листів і СМС, історію переходів. Це матеріал для заяви в поліцію та для скарг хостингу й платіжним системам.

  • Що збираємоURL, скриншоти, листи
  • Метадоказова база

Заява в кіберполіцію

Подаємо заяву про кримінальне правопорушення. Слідчий вносить відомості до ЄРДР протягом 24 год (ст. 214 КПК). Кваліфікація за фактами: ст. 190, ст. 361 або ст. 200 КК.

  • Нормаст. 214 КПК
  • Строк24 години

Захист даних і коштів

За витоку персональних даних — вимога про знищення і скарга Уповноваженому ВРУ (ЗУ № 2297-VI). За несанкціонованого списання — вимога повернення до банку (ст. 86 ЗУ № 1591-IX).

  • ДаніЗУ № 2297-VI
  • Коштист. 86 ЗУ 1591

Не знаєте, з чого почати — блокувати картку чи міняти паролі? Перша консультація по телефону безкоштовна. За 15 хвилин розкладемо вашу ситуацію і назвемо порядок дій.

Зателефонувати
Хронологія

Анатомія справи — від компрометації до результату

Реальна хронологія після фішингу: п'ять контрольних точок, де адвокат фонду включається або страхує вас від помилки.

  1. 01

    Блокування доступів і карток

    Перша година

    Блокуєте картки й рахунки через офіційний застосунок банку, змінюєте паролі до пошти, соцмереж і месенджерів, перевіряєте двофакторну автентифікацію. Якщо реквізити скомпрометовано, невідкладне повідомлення банку — ключове (ст. 87 ЗУ № 1591-IX).

    Блокування
  2. 02

    Збір доказів і скарга хостингу

    День 1

    Зберігаємо адресу фейкового сайту, скриншоти, листи й СМС. Паралельно подаємо скаргу хостинг-провайдеру та реєстратору домену (abuse) — часто фейковий ресурс закривають за кілька днів, що зменшує кількість жертв. Результат не гарантований.

    Докази
  3. 03

    Кваліфікація: обман чи втручання

    Дні 1–3

    Розділяємо сценарії. Вас обманом схилили самим ввести дані чи переказати кошти — ст. 190 КК. Був несанкціонований доступ до акаунта, пристрою чи системи — ст. 361 КК. Викрадено платіжні реквізити — ст. 200 КК. Від кваліфікації залежить стратегія.

    Розвилка
  4. 04

    Заява в кіберполіцію і захист даних

    Тижні 1–8

    Подаємо заяву про кримінальне правопорушення (ст. 214 КПК, ЄРДР за 24 год, потерпілий за ст. 55 КПК). За витоку персональних даних — вимога про знищення незаконно оброблюваних даних і скарга Уповноваженому ВРУ (ст. 8 ЗУ № 2297-VI).

    Слідство
  5. 05

    Повернення коштів і стягнення

    Місяці

    За несанкціонованого списання — вимога повернення до банку (ст. 86 ЗУ № 1591-IX). Коли особу встановлено — цивільний позов про повернення безпідставно набутого (ст. 1212 ЦК). Адвокат прораховує перспективу до подачі — не йдемо у завідомо безрезультатні справи.

    Результат
Порівняння

Самостійно або з адвокатом — що змінюється

Що ви отримаєте у кожному з варіантів — у перші години після фішингу і через кілька тижнів.

Порівняння двох сценаріїв дій після фішингу
Що буде Сам(а) або без дійБез адвоката Альтернатива: З адвокатом фондуКоординатор + профільний адвокат
Реакція в перші годиниБлокуєте одну картку — забуваєте про пошту, месенджери й прив'язані акаунтиЧек-лист доступів: картки, пошта, соцмережі, 2FA — усе за один дзвінок
Кваліфікація за ККПлутаєте втручання в систему з обманом — заява «ні про що»Розділяємо ст. 190, ст. 361 і ст. 200 КК — заява під конкретну норму
Фейковий ресурсСайт лишається активним — нові жертви, слід зникаєСкарги хостингу і реєстратору — часто закриття за кілька днів
Персональні дані«Дані злили — нічого не вдієш»Вимога про знищення і скарга Уповноваженому ВРУ (ЗУ № 2297-VI)
Заява в поліціюЗаява «лежить», відомості до ЄРДР не вносятьКонтролюємо внесення за 24 год (ст. 214 КПК), оскаржуємо бездіяльність
Повернення коштівНе знаєте, коли повертає банк, а коли — лише судРозділяємо несанкціоноване списання (ст. 86 ЗУ 1591) і власний переказ
Закон

Норма, яка відрізняє обман від зламу

Фішинг найчастіше кваліфікують за ст. 190 КК: вас обманули, і ви самі передали дані чи кошти. Технічне втручання — це вже ст. 361.

Заволодіння чужим майном або придбання права на майно шляхом обману чи зловживання довірою (шахрайство).
Кримінальний кодекс України ч. 1 ст. 190 КК
  1. Обман людини — стаття 190

    Якщо фейковий сайт чи лист схилив вас самих ввести дані або переказати кошти — це шахрайство обманом. Технічні засоби (фейкові сторінки) можуть означати кваліфіковану частину.

  2. Втручання в систему — стаття 361

    Якщо був несанкціонований доступ до вашого акаунта, пристрою чи мережі — застосовується ст. 361 КК. Це технічне втручання, а не обман людини.

  3. Платіжні реквізити — стаття 200

    Якщо викрадено чи використано дані платіжної картки або інші засоби доступу до рахунку — додається ст. 200 КК. Кваліфікацію визначає слідчий за фактами.

Не знаєте свою статтю

Ввели дані на фейковому сайті вчора? Порахуємо разом за 15 хвилин на телефоні, за якою нормою кваліфікувати саме ваш випадок.

Зателефонувати
Документи

Шаблони для справ про фішинг

Усі шаблони — для розуміння обсягу роботи. Адвокат фонду адаптує текст під вашу ситуацію — не використовуйте їх самостійно без правки.

  • Заява про кримінальне правопорушення до кіберполіції

    ст. 214 КПК

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [Департамент кіберполіції / відділ поліції], [адреса]; або через cybercrime.gov.ua.

    Від: [П.І.Б.], [адреса], тел. [номер].

    ЗАЯВА про вчинення кримінального правопорушення.

    [Дата] невідома особа за допомогою підробленого сайту / листа / СМС ([адреса фейкового ресурсу, зміст повідомлення]), що імітував [банк / «Дію» / маркетплейс], шляхом обману схилила мене ввести [логін і пароль / реквізити картки / код підтвердження]. Внаслідок цього [скомпрометовано доступ до акаунта / списано кошти у сумі [сума] грн].

    У діях особи вбачаються ознаки кримінального правопорушення, передбаченого ст. 190 Кримінального кодексу України (шахрайство)[, а також ст. 361 КК — за наявності несанкціонованого доступу до системи, та ст. 200 КК — за використання платіжних реквізитів].

    Відповідно до ст. 214 КПК України прошу невідкладно, але не пізніше 24 годин, внести відомості до Єдиного реєстру досудових розслідувань та розпочати досудове розслідування.

    Прошу:

    • внести відомості до ЄРДР і надати витяг;
    • визнати мене потерпілим у кримінальному провадженні (ст. 55, 56 КПК);
    • витребувати дані про власника фейкового домену та отримувача коштів.

    Додатки: скриншоти сайту й листування, адреса фейкового ресурсу, виписка по рахунку — на [кількість] арк. Про відповідальність за завідомо неправдиве повідомлення (ст. 383 КК) попереджений(а).

    [Дата]. [П.І.Б., підпис].

  • Скарга хостинг-провайдеру та реєстратору про фішинговий домен

    abuse-процедура хостингу

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: abuse-службі хостинг-провайдера [назва] / реєстратора домену [назва], [e-mail abuse].

    Від: [П.І.Б. / адвокат в інтересах клієнта], тел. [номер], e-mail [адреса].

    СКАРГА (abuse report) про фішинговий ресурс.

    За адресою [URL фейкового сайту], розміщеною на ваших потужностях (за даними Whois / хостингу), функціонує підроблений ресурс, що імітує [банк / «Дію» / маркетплейс] і використовується для виманювання персональних і платіжних даних користувачів (фішинг).

    Ресурс порушує ваші правила прийнятного використання та законодавство України, зокрема ознаки діянь за ст. 190 і ст. 361 Кримінального кодексу України.

    Прошу:

    • невідкладно призупинити роботу ресурсу за адресою [URL];
    • зберегти логи та відомості про власника для правоохоронних органів;
    • повідомити про вжиті заходи на зазначений e-mail.

    Додатки: скриншоти сторінки, дані Whois, опис ознак фішингу — на [кількість] арк.

    [Дата]. [П.І.Б. / адвокат, підпис].

  • Вимога про знищення незаконно оброблюваних персональних даних

    ст. 8 ЗУ № 2297-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [найменування володільця / розпорядника персональних даних], [адреса].

    Від: [П.І.Б.], суб'єкта персональних даних, [адреса], тел. [номер].

    ВМОТИВОВАНА ВИМОГА про знищення персональних даних, що обробляються незаконно.

    Мені стало відомо, що ви здійснюєте обробку моїх персональних даних ([перелік: ПІБ, контакти, реквізити тощо]) без моєї згоди та без іншої правової підстави, передбаченої ст. 11 Закону України «Про захист персональних даних», зокрема [внаслідок витоку / незаконного отримання через фішинговий ресурс].

    Відповідно до п. 6 ч. 2 ст. 8 Закону суб'єкт персональних даних має право пред'являти вмотивовану вимогу щодо знищення своїх даних, якщо вони обробляються незаконно.

    Прошу:

    • припинити обробку і знищити мої персональні дані;
    • повідомити письмово про виконання вимоги у строк, встановлений законом;
    • надати інформацію про третіх осіб, яким передавалися мої дані (п. 2 ч. 2 ст. 8).

    Додатки: докази незаконної обробки, копія звернення — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Скарга до Уповноваженого ВРУ з прав людини на обробку даних

    ст. 8 ЗУ № 2297-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: Уповноваженому Верховної Ради України з прав людини, вул. Інститутська, 21/8, м. Київ, 01008.

    Від: [П.І.Б.], [адреса], тел. [номер], e-mail [адреса].

    СКАРГА на порушення законодавства про захист персональних даних.

    [Найменування володільця] здійснює обробку моїх персональних даних з порушенням Закону України «Про захист персональних даних»: [витік даних / обробка без згоди / незабезпечення захисту від незаконного доступу]. Обставини: [стисло: фішинговий ресурс, витік бази, незаконна передача третім особам].

    Відповідно до п. 8 ч. 2 ст. 8 Закону я маю право звертатися зі скаргами на обробку моїх персональних даних до Уповноваженого. Згідно зі ст. 23 Закону Уповноважений має повноваження проводити перевірки володільців і розпорядників даних.

    Прошу:

    • провести перевірку додержання законодавства про захист персональних даних;
    • внести припис про усунення порушень і знищення незаконно оброблюваних даних;
    • повідомити про результати розгляду скарги.

    Додатки: докази порушення, копії звернень до володільця — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Заява до банку про несанкціоновану операцію

    ст. 86 ЗУ № 1591-IX

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [найменування банку], відділу претензійної роботи, [адреса].

    Від: [П.І.Б.], клієнта банку, рахунок [номер IBAN], тел. [номер].

    ЗАЯВА про повернення коштів за неакцептованою платіжною операцією.

    [Дата, час] з мого рахунку [IBAN] без моєї згоди списано [сума] грн. Реквізити моєї картки могли бути скомпрометовані внаслідок фішингу ([адреса фейкового сайту / зміст листа]). Згоди на цю операцію я не надавав(ла); коду підтвердження третім особам свідомо не передавав(ла).

    Про факт списання я повідомив(ла) банк невідкладно — [дата, час, спосіб].

    Відповідно до ст. 86 Закону України «Про платіжні послуги» надавач платіжних послуг несе відповідальність за неакцептовані операції та зобов'язаний повернути суму такої операції за рахунок власних коштів.

    Прошу:

    • повернути суму неакцептованої операції [сума] грн на рахунок [IBAN];
    • заблокувати картку і перевипустити її;
    • надати письмову відповідь про результат розгляду.

    Додатки: виписка по рахунку, скриншоти фішингового ресурсу, підтвердження звернення — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Адвокатський запит про власника фейкового домену

    ЗУ № 5076-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [реєстратору домену / хостинг-провайдеру], [адреса].

    Від: адвокат [П.І.Б.], свідоцтво № [номер], робоче місце [адреса], тел. [номер].

    АДВОКАТСЬКИЙ ЗАПИТ про надання інформації в інтересах клієнта — [П.І.Б.], потерпілого від фішингу.

    Запит подається на підставі ст. 24 Закону України «Про адвокатуру та адвокатську діяльність» (№ 5076-VI) відповідно до договору про правову допомогу та ордера № [номер].

    За адресою [URL] розміщено підроблений ресурс, використаний для виманювання даних клієнта (кримінальне провадження № [номер], за наявності).

    Прошу надати (у межах, дозволених законом):

    • відомості про реєстранта / адміністратора домену [назва];
    • дату реєстрації та контактні дані, зазначені при реєстрації;
    • відомості про хостинг-провайдера ресурсу.

    Правові підстави відповіді: запит розглядається у строк не більше п'яти робочих днів. Відмова допускається виключно у випадках, прямо передбачених ст. 24 ЗУ «Про адвокатуру та адвокатську діяльність».

    Додатки: копія ордера, копія свідоцтва адвоката — на [кількість] арк.

    [Дата]. Адвокат — [П.І.Б., підпис].

Який документ потрібен саме вам — підкаже адвокат після розбору ситуації.

Зателефонувати
Кому це підходить

Три ситуації, коли по фішингу є що робити

Якщо ваш кейс схожий — телефонуйте. Координатор знайде адвоката профільного напряму за 15 хвилин.

Команда

Хто веде вашу справу

Усі — члени Національної асоціації адвокатів України (НААУ) з чинним свідоцтвом і записом у Єдиному реєстрі. Координатор фонду підбирає адвоката під ваш випадок: обман, злам акаунта, картка чи витік даних.

Кіберзлочини

Адвокат фонду

свідоцтво НААУ (за запитом)

Подаємо заяви в кіберполіцію, кваліфікуємо діяння за ст. 190, 361 або 200 КК за фактами, контролюємо внесення до ЄРДР і статус потерпілого.

ст. 190 КК · ст. 361 КК · ст. 214 КПК

Захист даних

Адвокат фонду

свідоцтво НААУ (за запитом)

Захищаємо персональні дані при витоку: вимога про знищення незаконно оброблюваних даних і скарга Уповноваженому ВРУ.

ст. 8 ЗУ 2297 · ст. 23 ЗУ 2297

Повернення коштів

Адвокат фонду

свідоцтво НААУ (за запитом)

Готуємо заяви до банків про повернення несанкціонованих списань і опротестування карткових операцій після фішингу.

ст. 86 ЗУ 1591 · ст. 200 КК

Блокування фейків

Адвокат фонду

свідоцтво НААУ (за запитом)

Домагаємось закриття фейкових ресурсів через хостинг і реєстраторів, ідентифікуємо власників доменів адвокатськими запитами.

ст. 24 ЗУ № 5076-VI

Питання

Часті запитання про фішинг

Маркери: адреса сайту схожа, але не та (privat24-bank.com замість офіційного домену); в одній формі просять номер картки, CVV і код з СМС; тиск «зробіть зараз, бо заблокуємо»; посилання прийшло в листі чи СМС.

Суть фішингу — вас обманом схиляють самих ввести дані. Юридично це шахрайство за ст. 190 КК.

Перевірити мій випадок — +380 73 051 50 77

Перша година критична. Заблокуйте картку через офіційний застосунок банку і повідомте банк невідкладно — за ст. 87 ЗУ № 1591-IX з моменту повідомлення ризик збитків переходить на банк.

Змініть паролі пошти, соцмереж і месенджерів, перевірте двофакторну автентифікацію. Збережіть адресу фейку і скриншоти для заяви.

Що робити саме мені — +380 73 051 50 77

Залежить від фактів. Якщо вас обманом схилили самим ввести дані чи переказати кошти — це шахрайство (ст. 190 КК). Якщо був несанкціонований доступ до вашого акаунта, пристрою чи системи — застосовується ст. 361 КК.

Ці статті можуть застосовуватися разом; кваліфікацію визначає слідчий за обставинами.

Визначити мою статтю — +380 73 051 50 77

Незаконні дії з платіжними картками та іншими засобами доступу до рахунків — ст. 200 КК. Вона додається до ст. 190, якщо шахрай заволодів реквізитами картки чи використав їх.

Паралельно вимагаємо у банку повернення несанкціонованих списань за ст. 86 ЗУ № 1591-IX.

Розібрати мій кейс — +380 73 051 50 77

Якщо операцію виконано без вашої згоди (несанкціоноване списання) і ви невідкладно повідомили банк — за ст. 86 ЗУ № 1591-IX банк за загальним правилом повертає суму, а тягар доказування авторизації лежить на банку.

Якщо ж ви самі переказали кошти під впливом обману — повернення через банк ускладнене, шлях через кримінал і суд.

Повернути списане — +380 73 051 50 77

За ст. 8 ЗУ № 2297-VI ви маєте право вимагати знищення персональних даних, які обробляються незаконно, і звертатися зі скаргою до Уповноваженого ВРУ з прав людини або до суду.

Готуємо вмотивовану вимогу до володільця бази і скаргу Уповноваженому, який проводить перевірку і виносить приписи.

Захистити мої дані — +380 73 051 50 77

Через cybercrime.gov.ua або будь-яке відділення поліції. Це заява про кримінальне правопорушення: слідчий зобов'язаний внести відомості до ЄРДР протягом 24 годин (ст. 214 КПК) і розпочати розслідування.

Ви набуваєте статусу потерпілого (ст. 55 КПК). Бездіяльність оскаржується слідчому судді за ст. 303 КПК.

Подати заяву — +380 73 051 50 77

Першу консультацію по телефону координатор проводить безкоштовно — на ній ви чуєте чесну оцінку ситуації і порядок дій. Подальші умови — у договорі, без сюрпризів.

Якщо маєте право на безоплатну правничу допомогу за ст. 14 Закону № 3460-VI — допомагаємо подати заяву.

Зателефонувати +380 73 051 50 77
Перший крок

Що раніше ви заблокуєте доступи — то менше встигне шахрай

Адвокат фонду перевірив · оновлено 06.07.2026. Опишіть ситуацію — за 15 хвилин на телефоні адвокат назве порядок дій, кваліфікацію за КК і перші кроки із захисту даних і коштів.

або заповніть форму нижче — передзвонимо за 15 хв

Перша консультація по телефону — безкоштовна. Не передаємо ваші дані третім особам.

Заявка на консультацію — Не словом, а дією
БО «Не словом, а дією»
ЄДРПОУ 45898573 · Київ