FT: у финтех-стартапа Revolut больше года назад украли $20 млн, но он никому об этом не сказал

Мошенники украли больше 20 миллионов долларов у финтех-стартапа Revolut Николая Сторонского. Инцидент произошел больше года назад, но компания все еще не сообщила об этом публично.

FT: у финтех-стартапа Revolut больше года назад украли $20 млн, но он никому об этом не сказал
© BFM.RU

Кража стала возможной благодаря дефекту в платежной системе компании, пишет Financial Times со ссылкой на источники. Платежные системы в США и Европе отличаются, поэтому при отклонении некоторых транзакций Revolut возвращала деньги, расходуя собственные средства.

Впервые проблему заметили в конце 2021 года, но мошенники воспользовались ей лишь в начале 2022-го, указывает издание. Они побуждали людей совершать дорогостоящие покупки, которые после отклонялись, а вернувшиеся на счет деньги обналичивались через банкоматы. По словам источников, проблема вскрылась, только когда банк-партнер в США уведомил компанию, что на ее счетах хранится меньше денег, чем должно было быть.

Сам стартап устранил проблему только к весне прошлого года. В итоге часть денег удалось вернуть. В Revolut отказались от комментариев. Однако потери компании от инцидента, о котором она не сообщила публично, составили примерно 20 миллионов долларов. Revolut не упомянула о краже и в отчете за 2021 год, который стал первым прибыльным годом с момента основания.

Согласно отчету, компания заработала 31 миллион долларов. В то же время аудиторская компания BDO в своем заключении предупредила, что доходы, представленные в отчете, «могут быть существенно искажены». Аудиторы отметили, что не смогли убедиться в «полноте и достоверности» доходов трех бизнес-подразделений Revolut на общую сумму 612 миллионов долларов, то есть 75% всех доходов компании. Тогда в Revolut заявили, что заключение аудиторов BDO «подтвердило, что финансовая отчетность дает верное и справедливое представление» о делах компании. При этом стартап раскритиковал СМИ за «неправильное освещение» аудиторского заключения, продолжает Financial Times.

Более консервативные банки с устоявшейся системой защиты от мошенничеств менее подвержены таким атакам. Играет роль также многолетний опыт и более серьезное отношение к системам безопасности, в которую вкладываются огромные средства. Ведь в банковской сфере такой тип мошенничества давно распространен, а Revolut в этом новичок, говорит гендиректор компании «Киберполигон»Лука Сафонов:

Лука Сафонов гендиректор компании «Киберполигон» «Это больше относится к атакам класса «рейв кондишн», так называемое состояние гонки, когда несколько действий делается в один период времени, они проходят, например, вы вводите платеж, нажимаете «ок», нажимаете одновременно «оплатить», и у вас сумма списывается одна, но по факту платежей проходит несколько. Это из-за специфики банковской деятельности, из-за того, что они делают удержание денег на счету, вы даже можете в истории свои платежей иногда посмотреть, что вы что-то оплатили, а деньги еще не снялись, они висят на карте. И вы можете попытаться сделать возврат, вам деньги вернутся, и платеж не ушел, и вам деньги вернулись, и вы успеете их обналичить. В банке отрицательный баланс нарисуется из ничего, а вы получите профит в двойном размере. Это также атаки, связанные зачастую с неверно выставленным курсом обмена валют, то есть, меняя рубли на юани, юани — на доллары, доллары — на евро и опять в рубли перегоняют, из-за ошибок округления происходит обман банка. Что касается банка Revolut, это один из банков, позиционирующихся как современные банки с онлайн-присутствием, с онлайн-фишками и маркетинговыми ходами, это, скорее всего, играет и плохую роль, потому что добавляют новые фичи, необкатанные еще, новые возможности, которые толком не проверены на предмет мошенничества, и это приводит к таким последствиям. Здесь нужны сильные аналитики, а не программисты, которые по анализу тех или иных действий могут детектировать такие аномалии. Это именно логические ошибки банковской системы».

Банк Revolut — один из ключевых банков для россиян, уезжающих из страны в связи с последними событиями. Зарегистрированный в Литве, он один из немногих банков, которые открывают счета в евро по российскому паспорту и долгосрочной визе типа D сроком от 180 дней. В последнее время россияне стали сталкиваться с проблемами обслуживания, но за неимением альтернативы многие все равно пользуются услугами Revolut.

Насколько кража в 20 миллинов долларов критична для банка и повлечет ли это отток клиентов? Говорит эксперт финансового рынка Андрей Бархота:

Андрей Бархота эксперт финансового рынка «20-23 миллионов долларов, которые фигурируют в информационном поле, это приблизительно три четверти от чистой прибыли финтех-платформы. Обращаю внимание, что это нормально, когда у вас выручка 600 миллионов долларов, а чистая прибыль — 20-30 миллионов долларов в плане того, что все-таки финтех основан на некоем платежном сервисе, там большие обороты, а сам финансовый результат может составлять небольшую долю от этих оборотов. Если бы это было три четверти от выручки, это был бы крах. И при этом компания очень интересно повела себя, она специально не признавала этот убыток, потому что это реализация операционного риска, который говорит о несовершенстве IT-систем, платежной инфраструктуры компании. В то же время это был первый прибыльный год для компании, до этого она показывала убытки, и ей было принципиально выйти на обещание для инвесторов — обещанную чистую прибыль в положительной зоне. Поэтому компания пошла на такое ухищрение, то есть это был аудиторский отчет с допущением, что отчетность сама надежная, баланс надежный, но денежные потоки под вопросом, потому что на операционную деятельность компании оказывают в том числе большое влияние разовые эффекты, в данном случае эта кража вызвана несанкционированным возвратом денежных средств за отмененные покупки. Это фактически событие операционного риска. И Revolut призывает инвесторов видеть в этом разовый убыток, обоснованный несовершенством платформы, но он будет ликвидирован. Тем не менее аудиторы предупреждают инвесторов, что бизнес-модель платформы такова, что то густо, то пусто. Поэтому, чтобы они, увидев такие огромные показатели, надеялись, что это навсегда. Отток клиентов будет более чем контролируемым, учитывая его фактически монопольное положение, и становится единственным сервисом. Просто клиентское поведение может измениться. Клиент останется с Revolut, единственное, те транзакции, которые расширяются на транши, будут дробиться. Например, пересылка 100 тысяч долларов будет осуществляться в несколько траншей по 20, по 30 тысяч долларов. Может использоваться какой-то страховочный сервис-шлюз платежный. Часть средств уйдет в наличную форму, то есть перевозка наличных тоже возможна. Скорее всего, объем оттока может составлять от 15% до 25% — не больше, потому что все-таки тот объем транзакций, который приходился на Revolut, в том числе со стороны россиян, достаточно солидный, и, если пользоваться альтернативными сервисами, они могут быть значительно дороже».

Revolut — британский финтех, основанный в 2015 году выходцем из России Николаем Сторонским, который после начала СВО отказался от российского гражданства, и украинцем Владом Яценко. В 2018 году Revolut получил банковскую лицензию в Литве. Сейчас у Revolut более 30 миллионов клиентов-физлиц и более полумиллиона клиентов-юрлиц. Финтех предоставляет сервисы более чем в 200 регионах и позволяет работать с 29 валютами, а также с основными криптовалютами.