Тайные инвесторы и утечка данных: история Sumsub — платформы KYC/AML, которая не прошла верификацию
Грандиозный онлайн-сервис KYC/AML работает на глобальных рынках уже более 10 лет, проверяя миллионы пользователей и более 4 тысяч компаний-клиентов. Но, как оказалось, сам он не проходил верификации, никто не проверял его надежность, происхождение и бенефициаров. А когда начали изучать более тщательно, то сервис оказался очень похожим на «Троянского коня» Кремля.
Такой, казалось бы, немыслимый сценарий разворачивается сейчас в сегменте верификации Know Your Customer (знай своего клиента). В центре скандала — платформа Sumsub. У участников IT-рынка к ней возник целый шквал вопросов сразу по нескольким направлениям: сохранили ли влияние на компанию российские основатели? Почему отсутствуют актуальные данные об инвесторах? И как удавалось годами скрывать случаи утечки конфиденциальной информации?
UA.News рассказывает, как получилось, что компания, продающая гарантии достоверности личности, сама не может подтвердить свою собственную верификацию; чем это грозит ее клиентам и что по этому поводу думают юристы.
Слабые места безопасности данных
Многие онлайн-сервисы проводят KYC/AML-проверки, чтобы соответствовать требованиям международного рынка и принципу «знай своего клиента». Через такой сервис можно проверить и частное лицо, и компанию, и отдельные транзакции. Сама процедура выглядит просто — пользователь загружает свои паспортные данные и делает селфи. Сложность возникает на этапе хранения этих данных и доступа к ним посторонних лиц.
Именно несколько случаев утечки информации, а также сокрытие этих инцидентов привлекли внимание к платформе Sumsub со стороны журналистов международных отраслевых изданий. Ведь компания более 10 лет брала на себя проверку клиентов: распознавание документов, данных в базах, оценку рисков и помощь в соблюдении требований KYC/AML в разных странах.
Первый инцидент произошел в июле 2024 года. Внешний злоумышленник отправил вредоносное вложение через стороннюю платформу для обработки заявок в службу поддержки Sumsub и получил соответствующий доступ к именам, адресам электронной почты, номерам телефонов и учетным записям клиентов.
В компании никто ничего не замечал в течение восемнадцати месяцев. Внутренний аудит безопасности Sumsub, проведенный в январе 2026 года, выявил злоумышленника задним числом, незаметно, через полтора года после того, как двери в «хранилище» были открыты.
Второй инцидент произошел в феврале 2026 года. Речь идет о публичном раскрытии информации. Компания, которая обрабатывает биометрические данные и государственные удостоверения личности для обеспечения соответствия нормативным требованиям в сфере глобальных финансов, с лета 2024 года принимает у себя «непрошенного гостя».
Представители Sumsub официально прокомментировали, что доступ к биометрическим данным не предоставляется, ситуация также не касается изображений удостоверений личности и данных государственных удостоверений. Нарушение коснулось только среды, связанной с поддержкой сервиса. Были раскрыты только имена, адреса электронной почты и номера телефонов.
Команда Sumsub также придумала антикризисный пиар: опубликовала в блоге сообщение, в котором указывались случаи мошенничества в других компаниях.
Оба случая вызвали возмущение экспертов рынка. Отмечалось, что компания, которая только что признала факт незамеченного вторжения, длившегося 18 месяцев, не имела права публиковать рейтинг провалов в сфере безопасности других компаний.
Критика структуры и безопасности в компании, которая сама занимается верификацией, касается более глубоких аспектов, чем сами инциденты. Централизованная инфраструктура KYC по своей сути представляет собой риск концентрации. Любая биржа, финтех-компания или аналитическая фирма, которая передает проверку личности на аутсорсинг одному поставщику, создает единую точку входа. Таким образом, всего одно нарушение безопасности может привести к одновременному раскрытию подтвержденных личностей пользователей по всему списку клиентов.
На что обращают внимание юристы
Юристы одной из финтех-компаний в комментарии UA.News пояснили, что факт использования непроверенного инструмента проверки может свидетельствовать об отсутствии надлежащего технического аудита, независимой сертификации и эффективного внутреннего контроля.
В случае утечки персональных данных клиентов компания, предоставляющая KYC/AML-услуги, может быть привлечена к ответственности в соответствии с требованиями международных норм. По словам юристов, KYC/AML-провайдер может нести:
гражданскую ответственность (возмещение ущерба своим клиентам и субъектам данных);
административную ответственность (в частности, штрафы по GDPR);
договорную ответственность (нарушение DPA/SLA).
Инфраструктура и инвесторы Sumsub
В мире финансов, если вы передаете свои данные компании, которая не может доказать свою «личность», вы подвергаетесь рискам, угрозе мошенничества, проблемам с санкциями и отмытыми средствами.
Основная идея соблюдения нормативных требований в сфере криптовалюты заключается в необходимости посредника между вашей платформой и хаосом анонимного капитала. Компания Sumsub стала таким посредником. Она обслуживает 4 тыс. клиентов. Имеет штат до тысячи сотрудников и офисы в Лондоне, Берлине, Майами, Сингапуре, Дубае и кипрском Лимасоле. В 2024 году компания увеличила свои доходы вдвое.
Платформа Sumsub создала разветвленную инфраструктуру, обещала устранить мошенничество и препятствия при проверках, помочь компаниям безопасно регистрировать что угодно в любой точке мира. С платформой сотрудничали подразделения Интерпола, а на ее статистику ссылались представители ООН. Тысячи корпоративных клиентов настолько глубоко интегрировали Sumsub в свои процессы регистрации новых пользователей, что удаление этого сервиса означало бы необходимость создания системы с нуля.
Проблема заключается в том, что саму инфраструктуру Sumsub, по определению, никто не проверяет, пока она не выйдет из строя.
Западные аналитики IT-рынка обратили внимание на то, что до того, как компания стала Sumsub, она называлась SMTDP Tech Ltd, предшественником, зарегистрированным на Кипре, с тремя израильскими основателями, среди первых инвесторов которых был вице-президент Telegram.
Речь идет об Илье Перекопском, вице-президенте Telegram и бывшем вице-президенте и главном операционном директоре VK (крупнейшей социальной сети Восточной Европы). При этом Перекопский был содиректором SMTDP на Кипре и числился в реестре на уровне учредителей.
Он поддержал проект на стартовом этапе в 2017 году, остался на этапе серии А в 2020 году и не выходил из него до 2022 года.
Аналитики также обнаружили, что раунд финансирования серии А возглавила компания MetaQuotes. Изначально основанная в России, работающая через Кипр и наиболее известная как разработчик MetaTrader. В 2022 году Apple удалила MetaTrader из своего App Store после сообщений о том, что мошенники использовали его для обмана жертв.
Компания MetaQuotes выкупила акции предыдущего инвестора Flint Capital, который вышел из сделки по цене, в 5,5 раз превышающей первоначальную, и заняла лидирующую позицию.
В марте 2022 года, когда оккупационная армия РФ вторглась в Украину, компания Sumsub опубликовала заявление, в одном из пунктов которого отмечалось: «…Первоначальные инвесторы, имевшие отношение к России и сохранившие незначительные доли в нашей компании, теперь покинули нас». Эта важная деталь показывает, что инвесторы, связанные с Россией, продолжали владеть акциями компании даже в день написания этого заявления.
Официально компания Sumsub также прекратила свою деятельность в РФ, перевела свою команду из России и Беларуси в офисы в Германии, Великобритании и на Кипре. Но эту черту в сотрудничестве с россиянами компания провела только в 2022 году, спустя годы после того, как началось сканирование паспортов.
Кто стоит за компанией Sumsub
Более 75% акций британской операционной компании Sumsub с апреля 2019 года по октябрь 2023 года принадлежали кипрской компании Raritex Trade Ltd. Это давало право большинства голосов: назначать и смещать директоров, а также полный корпоративный контроль в течение четырех с половиной лет.
Компания Raritex до сих пор активна и владеет товарным знаком SUMSUB в Канаде, Австралии и ЕС. Директор компании — Андрей Северюхин, генеральный директор Sumsub. Информация об акционерах компании не разглашается.
2 октября 2023 года компания Raritex была отстранена от должности контролирующего лица, что является вполне стандартной ситуацией, когда структура собственности меняется. Но после этого произошли нестандартные вещи. Компания Sumsub 3 октября 2023 года подала в Регистрационную палату Великобритании заявление, в котором утверждала, что «ей известно или у нее есть разумные основания полагать, что не подлежит регистрации физическое или юридическое лицо, осуществляющее существенный контроль».
Аналитики рынка интерпретировали это заявление простыми словами: «Мы не знаем, кто нами руководит». Это заявление находилось в публичном реестре в течение семи месяцев.
24 мая 2024 года это заявление было отозвано. В тот же день трое учредителей фигурировали как лица, осуществляющие существенный контроль: Петр Север, Яков Север, Андрей Северюхин. Они — граждане Израиля, проживают на Кипре.
Никаких публичных объяснений относительно отсутствия или изменения данных компания не предоставила. Аналитики объясняют, что вся коммерческая деятельность Sumsub построена на том, что она должна отвечать на вопрос «кто контролирует эту организацию?» от имени клиентов. Клиентам необходимо знать это, прежде чем они позволят кому-либо переводить деньги. Продукт компании — это как раз и есть такой ответ.
В течение семи месяцев компания Sumsub подавала в государственный регулирующий орган заявления о том, что не может ответить на этот вопрос о себе. А затем незаметно изменила ответ без какого-либо пресс-релиза и публичного заявления.
Ситуация затрудняет привлечение средств в рамках раунда финансирования серии B. Раунд состоялся примерно в конце 2022 года. Компания Sumsub представила инвестора как «корпоративный венчурный фонд», не называя его имени, не публикуя никаких документов и не делая никаких заявлений.
Для компании, которая обрабатывает данные государственных удостоверений личности для тысяч финансовых учреждений, отказ назвать своего основного институционального инвестора после 2022 года — это не просто замечание. Это сигнал о необходимости проведения комплексной проверки.
Комментарий юристов
На вопрос о том, как клиентам KYC/AML-провайдеров юридически защитить себя, обеспечат ли достаточную защиту стандартные договоры об обработке данных (DPA), или же стоит требовать дополнительных гарантий и аудитов, юристы отметили:
