Шахрайство на OLX: реальна справа суду на 63 000 грн і чому жертва програла

Травень 2026 року. Харківський апеляційний суд ставить крапку у справі, яка демонструє, мабуть, найбільш недооцінювану особливість українських OLX-шахрайств: навіть якщо вас обдурили на десятки тисяч гривень, і це очевидно для всіх, у тому числі для суду — гроші вам, найімовірніше, не повернуть. Не тому, що закон поганий, а тому, що його норми працюють зовсім не так, як здається інтуїтивно.

У цій статті розбираємо реальну справу № 638/5221/25 з Єдиного державного реєстру судових рішень: чоловік з Харкова продавав на OLX жіночі босоніжки, втратив за 35 хвилин 63 129,72 грн, програв перший суд, програв апеляцію — і саме на цьому прикладі покажемо, як працює сучасна схема «OLX-доставка», чому банки виграють такі суди майже завжди, і що реально потрібно робити, щоб не опинитись на місці позивача.

Хронологія: як 63 тисячі гривень зникли за 35 хвилин

26 червня 2024 року. Звичайний день, звичайна угода на OLX. Чоловік виставив на продаж жіночі босоніжки. На його Viber-акаунт пише потенційний «покупець» з ніком «Кіга», пропонує оформити покупку через «OLX-доставку». Продавець погоджується — це стандартна процедура, мільйони таких угод закриваються щодня.

Далі починається те, що в матеріалах справи описано буквально по хвилинах. Це класичний приклад того, що в кіберкриміналістиці називається соціальною інженерією у поєднанні з технічною атакою.

Близько 16:00 «покупець» надсилає посилання на «готову форму замовлення». Продавець по ньому переходить. Майже одразу йому через Telegram дзвонить чоловік, який представляється співробітником ПриватБанку, повідомляє про «підозрілу активність у Приват24» і просить ввести SMS-код «для запобігання заволодінню рахунком». Продавець вводить код. На екрані з'являється повідомлення: «Не вимикати та не перезавантажувати телефон протягом 15 хвилин». Телефон зависає. Зробити дзвінок, відкрити застосунок, навіть перезавантажити пристрій — неможливо.

Поки телефон жертви фактично виведено з ладу, шахраї діють у Приват24 за хвилинами:

• 16:21 — вхід у Приват24 із нетипового пристрою, з нетипової IP-адреси, географічно — місто Одеса (нагадаю, потерпілий — у Харкові).
• 16:27 — оформлення кредитного ліміту на 63 000 грн на картці клієнта.
• 16:27–16:28 — три транзакції з позначкою «благодійний внесок» на рахунок ГО «Мрія дітей»: 890, 900 і 905 грн. Це класична «прокладка» для розмиття слідів.
• 16:58, 17:01, 17:01 — три перекази «зі своєї картки» на власну картку потерпілого в А-банку: 22 110 грн, 17 288 грн, 18 994,50 грн. Це класична схема: гроші переводять на іншу картку самої жертви, але через окремий банк, що технічно дозволяє вивести їх далі.
• 17:00–17:09 — гроші вже з А-банку переводяться на чужу картку Монобанку (співучасник): чотири перекази 15 000, 16 500, 19 010 і 7 063 грн. Загалом 57 573 грн.
• Паралельно у А-банку відбувається спроба оформити на жертву ще один кредит на 19 010 грн. Цю спробу вдається заблокувати — після того, як телефон таки вдається перезавантажити.

О 17:28 — через 26 хвилин після останньої транзакції — потерпілий нарешті дозвонюється на гарячу лінію ПриватБанку 3700 і блокує картку. Загальні втрати з основного рахунку: 63 129,72 грн.

Наступного дня, 27.06.2024, у поліції за заявою потерпілого реєструють кримінальне провадження за ч. 4 ст. 190 КК України (шахрайство у великих розмірах). У відомостях справи — провадження триває, особи не встановлені.

Як працює схема «OLX-доставка»: анатомія шахрайства

Розкладемо схему за компонентами, бо саме розуміння механіки дає реальний імунітет до неї.

Компонент 1: фейкове посилання

«Покупець» надсилає посилання, візуально схоже на офіційну сторінку OLX-доставки або платіжного оператора. Насправді це фішинговий сайт. Мета — зібрати чутливі дані: дані картки, телефон, інколи SMS-код підтвердження. Версій багато: «оплата через OLX», «безпечна угода», «компенсація за поверненням» тощо.

Компонент 2: дзвінок «від банку»

Через кілька хвилин після першого контакту жертві дзвонить «співробітник банку» — часто з номера в Telegram, рідше з підмінного телефонного номера. Сценарій теж стандартний: «у вас підозріла активність», «треба підтвердити дію», «введіть код з SMS, щоб зупинити шахраїв». Іронічно — саме той код, який жертва введе, і дозволяє шахраям увійти в Приват24.

Компонент 3: блокування пристрою

Це найновіша і найбільш цинічна частина. На пристрій жертви встановлюється шкідливе ПЗ (часто через дозволи, які користувач сам надає), яке створює видимість зависання, відключає мобільний банкінг, скидає налаштування до заводських. Завдання просте — позбавити жертву можливості перевірити стан рахунку та зателефонувати на гарячу лінію протягом 10–20 хвилин. Цього достатньо для повного виведення грошей.

Компонент 4: ланцюжок переказів

Гроші ніколи не виводяться напряму на «чужу» картку. Спершу — «своя» картка жертви в іншому банку (її дані шахраї отримують зі скомпрометованого Приват24, де часто прив'язані всі акаунти). Потім — на картку співучасника. Іноді з декількома прокладками: благодійний фонд, фізособа, гральний майданчик, криптообмінник. Кожне нове «коліно» утруднює слідство.

Компонент 5: затримка повідомлення банку

Ключовий момент юридично. Шахраям критично важливо, щоб жертва зателефонувала в банк після, а не під час транзакцій. Звідси й трюк із 15-хвилинним блокуванням телефону: достатньо часу, щоб встигнути все провести і вивести.

Чому суди стабільно стають на бік банку

Тут і починається найважливіша для читача частина. Бо інтуїтивно зрозуміло: людину обдурили, банк бачив підозрілий вхід з іншого міста, не зупинив, кредит видав без додаткової перевірки — здавалось би, очевидно, хто винен. Юридична логіка українських судів — інша.

Що сказав суд

І перша інстанція (Шевченківський районний суд м. Харкова, рішення від 30.04.2025), і апеляційний суд (Постанова Харківського апеляційного суду від 01.05.2026) відмовили позивачу. Логіка обох інстанцій ідентична і базується на трьох опорах.

Перша опора — Закон України «Про платіжні послуги», ч. 5 ст. 87. Норма звучить буквально так: «до моменту повідомлення емітента про факт втрати платіжного інструменту та/або індивідуальної облікової інформації… ризик збитків від виконання неналежних платіжних операцій та відповідальність за них покладаються на платника». Простіше: поки ви не повідомили банк — усе на вас. Транзакції закінчились о 17:02, дзвінок у банк — о 17:28. Двадцять шість хвилин — і весь ризик переходить на клієнта.

Друга опора — Положення НБУ № 164 від 29.07.2022 «Про порядок емісії та еквайрингу платіжних інструментів», п. 136 і 140. Користувач зобов'язаний зберігати індивідуальну облікову інформацію, не передавати її третім особам і негайно повідомляти банк у разі компрометації. Якщо не повідомив — ризик на ньому.

Третя опора — стала практика Верховного Суду. У постановах від 13.05.2015, 01.02.2018, 23.01.2018, 14.02.2018, 20.06.2018, 13.09.2019, 20.11.2019, 07.10.2020, 17.06.2021, 16.08.2023, 06.09.2023 — все одна й та сама позиція: якщо доведено, що клієнт своїми діями чи бездіяльністю сприяв втраті облікової інформації — банк не відповідає. А ввід SMS-коду на прохання сторонньої особи — це, з точки зору суду, безперечне сприяння.

Що банк зробив правильно (з точки зору суду)

Суд особливо звернув увагу: ПриватБанк до здійснення спірних транзакцій надіслав у Приват24 повідомлення про нетиповий вхід з рекомендацією змінити пароль, якщо вхід здійснено іншою особою. Тобто банк, з точки зору суду, виконав свій обов'язок попередження. Те, що клієнт це попередження не побачив (бо телефон уже був заблокований шкідливим ПЗ) — це не проблема банку.

Чому це майже залізобетонно

В апеляційній скарзі адвокат потерпілого побудував захист на тому, що банк не довів, що клієнт сам розголосив дані, не надав результатів внутрішнього розслідування, не показав, які саме повідомлення надсилались у Приват24 і яку реакцію отримав. Аргументи логічні, але апеляція їх відкинула: на думку суду, сам факт коректного виконання операцій у Приват24 з правильним вводом SMS-коду — це достатній доказ того, що клієнт «допустив недбалість».

Іншими словами, презумпція, з якою ви стикаєтесь у такій справі, така: якщо операція технічно виконана з вашого акаунту і з вашим SMS-кодом — ви програли наперед, доки не доведете протилежне. А довести протилежне у переважній більшості випадків неможливо, бо технічно ввід коду відбувся саме з вашого пристрою.

Чи був узагалі шанс виграти

Так. Але невеликий. Розглянемо ситуації, у яких суди справді ставали на бік клієнта.

По-перше, якщо клієнт зателефонував у банк до здійснення спірної транзакції, а банк її все одно провів — це підстава для відповідальності банку. У нашій справі — навпаки.

По-друге, якщо банк не застосував посилену автентифікацію там, де закон зобов'язує її застосовувати. Стаття 68 Закону «Про платіжні послуги» вимагає такої автентифікації для дистанційних операцій. Однак ввід OTP-паролю формально вважається елементом посиленої автентифікації — отже, цей аргумент теж не спрацював.

По-третє, якщо встановлено співробітника банку, який сприяв шахрайству. Це окрема історія, і трапляється вкрай рідко.

По-четверте, якщо у кримінальному провадженні встановлені винні особи. Тоді можна стягувати шкоду з них через цивільний позов у межах кримінальної справи. Саме на це звернув увагу суд першої інстанції: відмова в позові до банку не позбавляє позивача права стягнути шкоду з реальних шахраїв — якщо їх знайдуть. На практиці їх знаходять у меншості випадків.

Інший варіант OLX-злочинів: коли продавець — теж не той, ким здається

Описана вище схема — це шахрайство проти продавця. Але є й дзеркальна категорія справ, де OLX стає інструментом збуту краденого. Наведемо короткий приклад з реєстру для повноти картини.

Справа № 619/7723/25, Дергачівський районний суд Харківської області, вирок від 30.04.2026. Засуджений систематично крав майно зі складських приміщень у селищі під Харковом: вилкові навантажувачі (один — на 256 774 грн, інший — на 167 940 грн), 3-фазний двигун на 158 895 грн, навіть три коробки промислової сировини на 13 425 грн. Загалом — близько 597 000 грн збитків.

Цікавий метод: спершу фотографував товар, виставляв оголошення на OLX, шукав покупця — і тільки потім крав. Викликав евакуатор, привозив викрадене на місце домовленості (парковки супермаркетів, проспекти у Харкові) і продавав. Один і той самий покупець фігурує у кількох епізодах.

Висновок для покупця: підозріло низька ціна, готовність продавця доставити великогабаритний товар у нетипові місця (парковки, на узбіччі), відсутність документів про походження — це не «бонус», це червоний прапор. Купівля краденого, навіть несвідома, може мати юридичні наслідки за ст. 198 КК України.

Сім правил, які реально працюють

Тепер найголовніше для читача — практичні правила. Не «загальні поради», а ті, які реально протидіють описаній схемі.

1. Усі переговори щодо OLX-доставки — лише всередині додатка OLX. Як тільки «покупець» пропонує перейти у Viber, Telegram чи будь-який інший месенджер — це червоний прапор. Офіційні угоди OLX-доставки не потребують жодних переходів у сторонні чати.
2. Не клікати на жодні посилання від співрозмовника. Жодних. Навіть якщо вони виглядають як офіційні сторінки OLX, ПриватБанку, Monobank, Nova Post тощо. Адреси сайтів перевіряйте лише вручну, через пошук або закладки.
3. Жоден реальний банк ніколи не телефонує з проханням ввести SMS-код. Це аксіома. Якщо вам телефонують і просять код — це шахраї. Завжди. Без жодних винятків.
4. Не повідомляйте CVV2, термін дії картки, повний номер картки, паролі, SMS-коди — нікому. Для отримання переказу від покупця достатньо номера картки (16 цифр на лицьовій стороні) і навіть не завжди це. Більше нічого продавцю питати не повинні.
5. Підозра на шахрайство — негайно блокуйте картку. Не «коли розберусь», не «через хвилину», а зараз. ПриватБанк — 3700. Monobank — у застосунку розділ безпеки. Інші банки — гаряча лінія на звороті картки. Дзвонок займає 30 секунд і вирішує, чи будете ви в суді через рік.
6. Користуйтеся окремою віртуальною карткою для онлайн-операцій. На цій картці тримайте мінімум коштів, поповнюйте під конкретну угоду. Навіть якщо її скомпрометують, втрати обмежені поточним балансом, а не кредитним лімітом.
7. Вимикайте можливість автоматичного оформлення кредитного ліміту. У ПриватБанку та Monobank є опція відмови від автоматичного збільшення ліміту. Активуйте її — це закриває значну частину сценарію, у якому шахраї отримують не ваші, а позичені для вас кошти.

Що робити, якщо вже стали жертвою

Якщо це сталось, важлива швидкість і документація. Покрокова інструкція:

1. Блокування картки. Перше, що ви робите — це блокуєте картку через офіційний канал банку. Хвилина зволікання може коштувати ще десятки тисяч.
2. Письмова заява до банку. На наступний день — особистий візит у відділення з письмовою заявою про несанкціоноване списання. Зберіть копії всіх документів, попросіть талон-відмітку про отримання заяви.
3. Заява в поліцію. Звернення за ст. 190 КК України (шахрайство). Кримінальне провадження мають зареєструвати в ЄРДР у день звернення. Слідство, як правило, повільне, але без зареєстрованого провадження подальші кроки безглузді.
4. Скарга до Національного банку України. НБУ розглядає скарги на банки, але стягувати кошти не уповноважений. Скарга має сенс як один із елементів доказової бази у майбутньому суді.
5. Юрист. Тут краще не економити. Профільний адвокат з досвідом банківських справ оцінить шанси чесно. Якщо шансів немає — зекономить вам гроші і нерви. Якщо є — побудує грамотну стратегію.
6. Цивільний позов у кримінальному провадженні. Якщо у кримінальній справі встановили винних, можна одночасно подавати цивільний позов про відшкодування шкоди. Це дешевший і часто ефективніший шлях, ніж окремий цивільний процес проти банку.
7. Звернення до фінансового омбудсмена. Це новий інструмент, який поступово розширює свою практику. У деяких випадках вдається отримати позасудове рішення на користь клієнта.

FAQ: коротко про головне

Чи можна вимагати від банку повернення коштів, списаних шахраями?

Формально — так. Юридична підстава — ст. 1073 ЦК України (безпідставне списання) і ст. 1213 ЦК України (безпідставне набуття майна). Практично — успіх украй малоймовірний, якщо ви на момент списання не повідомили банк про компрометацію. Понад 95% таких справ закінчуються на користь банку.

Чи має значення, що банк бачив підозрілий вхід з іншого міста?

Для суду — ні, якщо банк надіслав попередження про нетиповий вхід (рекомендацію змінити пароль). Те, що ви це повідомлення не побачили, тому що ваш телефон уже був скомпрометований шахраями, не покладає відповідальність на банк.

Що таке «OTP-пароль» і чи це дійсно ваш «підпис»?

OTP (One-Time Password) — одноразовий код, який банк надсилає у SMS або в застосунок. Згідно з умовами договору з банком та Законом «Про електронну комерцію», ввід OTP вважається простим електронним підписом. З юридичної точки зору операція, підтверджена OTP, — це операція, яку ви самі підтвердили. Незалежно від того, що ви думали в момент вводу.

Чи можуть взагалі знайти шахраїв?

У теорії — так, кримінальне провадження триває, IP-адреси, номери карток і телефонів фіксуються. На практиці значна частина шахрайств здійснюється з територій поза українським правовим полем (Російська Федерація, окремі країни СНД), а технічні засоби (підмінні номери, проксі, дроп-картки на підставних осіб) суттєво ускладнюють слідство. За інформацією правоохоронців, до суду доходить менше 10% таких справ.

Чи можу я застрахуватися від такого ризику?

Так. Деякі банки пропонують страхування коштів на картковому рахунку від шахрайства (cyber-insurance). Це окрема послуга з місячним платежем. Перш ніж купувати — уважно вивчіть умови виплати: часто страхування не покриває операції, виконані з правильним введенням SMS-коду (тобто саме той сценарій, який нас цікавить).

Чи можна повернути гроші, які пішли через «благодійну організацію»?

Технічно — так, можна подавати позов до благодійної організації, на рахунок якої пройшли кошти, за ст. 1212 ЦК України (безпідставне набуття майна). На практиці ці організації часто оформлені на підставних осіб або реальні благодійні фонди, які стали несвідомою прокладкою. Шанси повернути — є, але процес довгий і не безкоштовний.

Чи може банк сам, без рішення суду, повернути гроші «з доброї волі»?

Може, але робить це вкрай рідко. У переважній більшості випадків банк дотримуватиметься позиції, яку ми описали вище. Прецеденти повернення «у позасудовому порядку» зазвичай стосуються випадків публічного резонансу або очевидної помилки самого банку.

Підсумок

Реальна справа № 638/5221/25, яку ми розібрали, — це не виняткова історія, а статистично типовий результат. Якщо коротко звести логіку, з якою ви маєте жити:

• Закон в Україні захищає банк більше, ніж клієнта — і це не наша інтерпретація, а буквальне читання ст. 87 Закону «Про платіжні послуги» і сталої практики Верховного Суду.
• Ввід SMS-коду на прохання сторонньої особи — це юридично ваш підпис під операцією. Навіть якщо ви були переконані, що захищаєте себе.
• Час від атаки до повідомлення банку — це не просто хвилини, це юридична межа між «банк відповідає» і «ви відповідаєте».
• Технічна досконалість шахрайських схем зростає швидше, ніж юридичний захист споживача. Тому єдиний реально працюючий рівень захисту — це ваша поведінка, а не закон чи банк.

Якщо у вас залишились запитання щодо своєї конкретної ситуації, найкраще — звертатися до адвоката з досвідом банківських спорів. У статті ми описали загальні підходи на основі публічної судової практики, але кожна конкретна справа має свої нюанси, які може оцінити лише фахівець, який бачив усі документи.

Матеріал має інформаційно-аналітичний характер і не є юридичною консультацією. Усі персональні дані учасників судових справ знеособлені відповідно до вимог Закону України «Про доступ до судових рішень». Посилання на рішення суду — публічні, доступ через Єдиний державний реєстр судових рішень за номерами справ № 638/5221/25 та № 619/7723/25.