Таємні інвестори та витік даних: історія Sumsub — платформи KYC/AML, яку не верифікували
Велетенський онлайн-сервіс KYC/AML охоплює глобальні ринки понад 10 років, перевіряє мільйони користувачів, понад 4 тис. компаній-клієнтів. Але, як виявилося, сам не проходив верифікації, ніхто не перевіряв його надійність, походження та бенефіціарів. А коли почали вивчати ретельніше, то сервіс видався дуже схожим на «Троянського коня» Кремля.
Такий, здавалося б, немислимий сценарій розгортається зараз у сегменті верифікації Know Your Customer (знай свого клієнта). У центрі скандалу — платформа Sumsub. В учасників IT-ринку до неї виник цілий шквал питань одразу за кількома напрямами: Чи зберегли вплив на компанію російські засновники? Чому відсутні актуальні дані про інвесторів? Та як вдавалося роками приховувати випадки витоку конфіденційної інформації?
UA.News розповідає, як сталося, що компанія, яка продає гарантії достовірності особистості, сама не може підтвердити свою власну верифікацію; чим це загрожує її клієнтам та що з цього приводу думають юристи.
Слабкі місця безпеки даних
Багато онлайн-сервісів проводять KYC/AML-перевірки, щоб відповідати вимогам міжнародного ринку та принципу «знай свого клієнта». Через такий сервіс можна перевірити і приватну особу, і компанію, і окремі транзакції. Сама процедура виглядає просто — користувач завантажує свої паспортні дані та робить селфі. Складність виникає на етапі збереження цих даних та доступу до них сторонніх осіб.
Саме кілька випадків витоку інформації, а також приховування цих інцидентів, привернули увагу до платформи Sumsub з боку журналістів міжнародних галузевих видань. Адже компанія понад 10 років брала на себе перевірку клієнтів: розпізнавання документів, даних у базах, оцінювання ризиків та допомогу у дотриманні вимог KYC/AML у різних країнах.
Перший інцидент стався у липні 2024 року. Зовнішній зловмисник відправив шкідливе вкладення через сторонню платформу для обробки заявок до служби підтримки Sumsub та отримав відповідний доступ до імен, адрес електронної пошти, номерів телефонів та облікових записів клієнтів.
У компанії ніхто нічого не помічав упродовж вісімнадцяти місяців. Власний аудит безпеки Sumsub, проведений у січні 2026 року, виявив зловмисника заднім числом, непомітно, через півтора року після того, як двері у «сховище» були відчинені.
Другий інцидент стався у лютому 2026 року. Йдеться про публічне розкриття інформації. Компанія, яка обробляє біометричні дані та державні посвідчення особи для забезпечення відповідності нормативним вимогам у сфері глобальних фінансів, з літа 2024 року приймає у себе «непроханого гостя».
Представники Sumsub офіційно прокоментували, що до біометричних даних доступ не надають, ситуація також не стосується зображення посвідчень особи та даних державних посвідчень. Порушення торкнулося лише середовища, пов'язаного з підтримкою сервісу. Були розкриті лише імена, адреси електронної пошти та номери телефонів.
Команда Sumsub також придумала антикризовий піар: опублікувала у блозі повідомлення, в якому вказувалися випадки шахрайства в інших компаніях.
Обидва випадки викликали обурення експертів ринку. Зазначалося, що компанія, яка щойно визнала факт непоміченого вторгнення, яке тривало 18 місяців, не мала права публікувати рейтинг провалів у сфері безпеки інших компаній.
Критика структури та безпеки у компанії, яка сама займається верифікацією, стосується глибших аспектів, ніж самі інциденти. Централізована інфраструктура KYC за своєю суттю є ризиком концентрації. Будь-яка біржа, фінтех-компанія чи аналітична фірма, яка передає перевірку особи на аутсорсинг одному постачальнику, створює єдину точку входу. Таким чином, лише одне порушення безпеки може призвести до одночасного розкриття підтверджених осіб користувачів по всьому списку клієнтів.
На що звертають увагу юристи
Юристи однієї з фінтех-компаній у коментарі UA.News пояснили, що факт використання неперевіреного інструменту перевірки може свідчити про відсутність належного технічного аудиту, незалежної сертифікації та ефективного внутрішнього контролю.
У випадку витоку персональних даних клієнтів, компанію, що надає KYC/AML-послуги, можна притягнути до відповідальності з огляду на вимоги міжнародних норм. За словами юристів, KYC/AML-провайдер може нести:
цивільну відповідальність (відшкодування шкоди його клієнтам та суб’єктам даних);
адміністративну відповідальність (зокрема штрафи за GDPR);
договірну відповідальність (порушення DPA/SLA).
Інфраструктура та інвестори Sumsub
У світі фінансів, якщо ви передаєте свої дані, компанії, яка не може довести свою «особистість», ви отримаєте ризики, загрозу шахрайства, проблеми із санкціями та відмитими коштами.
Головна ідея дотримання нормативних вимог у сфері криптовалюти полягає в необхідності посередника між вашою платформою та хаосом анонімного капіталу. Компанія Sumsub стала таким посередником. Вона обслуговує 4 тис. клієнтів. Має штат до тисячі працівників та офіси у Лондоні, Берліні, Маямі, Сінгапурі, Дубаї та кіпрському Лімасолі. У 2024 році компанія збільшила свої доходи вдвічі.
Платформа Sumsub створила розгалужену інфраструктуру, обіцяла усунути шахрайство та перешкоди під час перевірок, допомогти компаніям безпечно реєструвати будь-що у будь-якій локації світу. З платформою співпрацювали підрозділи Інтерполу, а на її статистику посилалися представники ООН. Тисячі корпоративних клієнтів настільки глибоко інтегрували Sumsub у свої процеси реєстрації нових користувачів, що видалення цього сервісу означало б необхідність створення системи з нуля.
Проблема полягає в тому, що саму інфраструктуру Sumsub, за визначенням, ніхто не перевіряє, доки вона не вийде з ладу.
Західні аналітики IT-ринку звернули увагу на те, що до того, як компанія стала Sumsub, вона називалася SMTDP Tech Ltd, попередником, зареєстрованим на Кіпрі, із трьома ізраїльськими засновниками, серед перших інвесторів яких був віце-президент Telegram.
Йдеться про Іллю Перекопського, віце-президента Telegram та колишнього віце-президента і головного операційного директора VK (найбільшої соціальної мережі Східної Європи). При цьому Перекопський був співдиректором SMTDP на Кіпрі та значився у реєстрі на рівні засновників.
Він підтримав проєкт на стартовому етапі у 2017 році, залишився на етапі серії А у 2020 році та не виходив з нього до 2022 року.
Аналітики також виявили, що раунд фінансування серії А очолила компанія MetaQuotes. Від початку заснована в Росії, що працює через Кіпр і найвідоміша як розробник MetaTrader. У 2022 році Apple видалила MetaTrader зі свого App Store після повідомлень про те, що шахраї використали його для обману жертв.
Компанія MetaQuotes викупила акції попереднього інвестора Flint Capital, який вийшов з угоди за ціною, що в 5,5 разів перевищує початкову, і зайняла лідируючу позицію.
У березні 2022 року, коли окупаційна армія РФ вторглася до України, компанія Sumsub опублікувала заяву, в одному з її пунктів наголошувалося: «…Початкові інвестори, які мали відношення до Росії та зберегли незначні частки в нашій компанії, тепер покинули нас». Ця важлива деталь показує, що інвестори, пов’язані з Росією, продовжували володіти акціями компанії навіть у день написання цієї заяви.
Офіційно компанія Sumsub також припинила свою діяльність в РФ, перевела свою команду з Росії та Білорусі в офіси в Німеччині, Великій Британії та на Кіпрі. Але цю межу у співпраці з росіянами компанія провела лише у 2022 році, через роки після того, як почалося сканування паспортів.
Хто стоїть за компанією Sumsub
Понад 75% акцій британської операційної компанії Sumsub з квітня 2019 року до жовтня 2023 року належали кіпрській компанії Raritex Trade Ltd. Це давало право більшості голосів: призначати та зміщувати директорів, а також повний корпоративний контроль протягом чотирьох із половиною років.
Компанія Raritex досі активна та володіє товарним знаком SUMSUB в Канаді, Австралії та ЄС. Директор компанії — Андрій Северюхін, генеральний директор Sumsub. Інформація про акціонерів компанії не розголошується.
2 жовтня 2023 року компанію Raritex усунули з посади контролюючої особи, що є цілком стандартною ситуацією, коли структура власності змінюється. Але після цього сталися нестандартні речі. Компанія Sumsub 3 жовтня 2023 року подала до Реєстраційної палати Великобританії заяву, в якій стверджувала, що «їй відомо чи має розумні підстави вважати, що не підлягає реєстрації фізичної або юридичної особи, яка здійснює суттєвий контроль».
Аналітики ринку інтерпретували цю заяву простими словами: «Ми не знаємо, хто нами керує». Ця заява перебувала у публічному реєстрі протягом семи місяців.
24 травня 2024 року цю заяву було відкликано. Того ж дня троє засновників фігурували як особи, які здійснюють суттєвий контроль: Петро Сєвєр, Яків Сєвєр, Андрій Северюхін. Вони — громадяни Ізраїлю, проживають на Кіпрі.
Жодних публічних пояснень щодо відсутності або зміни даних компанія не надала. Аналітики пояснюють, що вся комерційна діяльність Sumsub побудована на тому, що вона повинна відповідати на запитання «хто контролює цю організацію?» від імені клієнтів. Клієнтам необхідно знати це, перш ніж вони дозволять будь-кому переказувати гроші. Продукт компанії — це якраз і є така відповідь.
Протягом семи місяців компанія Sumsub подавала до державного регулюючого органу заяви про те, що не може відповісти на це питання про себе. А потім непомітно змінила відповідь без жодного пресрелізу та публічної заяви.
Ситуація ускладнює залучення коштів у рамках раунду фінансування серії B. Раунд відбувся приблизно наприкінці 2022 року. Компанія Sumsub представила інвестора як «корпоративний венчурний фонд», не називаючи його імені, не публікуючи жодних документів та не роблячи жодних заяв.
Для компанії, яка опрацьовує дані державних посвідчень особи для тисяч фінансових установ, відмова назвати свого основного інституційного інвестора після 2022 року — це не просто зауваження. Це сигнал про необхідність проведення комплексної перевірки.
Коментар юристів
На запитання про те, як клієнтам KYC/AML-провайдерів юридично захистити себе, чи забезпечать достатній захист стандартні договори про обробку даних (DPA), або ж варто вимагати додаткових гарантій і аудитів, юристи зауважили:
