Мошенники действительно начали системно бить по владельцам пунктов выдачи заказов (ПВЗ) через взлом личных кабинетов и фиктивные возвраты: в схеме «исчезают» и товар, и деньги, а долги и претензии остаются на владельце ПВЗ.
Как устроена новая схема
Злоумышленники получают доступ к личному кабинету ПВЗ (через фишинговые ссылки, поддельную «службу поддержки», перехват сессии, слабые пароли и общие аккаунты на смену).
Оказавшись внутри, они оформляют в системе возвраты уже выкупленных, часто дорогих товаров (техника, одежда, электроника), причём пачками — десятки позиций за считанные минуты.
Система маркетплейса фиксирует, что товар якобы принят ПВЗ назад, а деньги возвращены покупателю — в реальности этими деньгами и/или товаром распоряжаются мошенники.
Маркетплейс видит в логах: «ПВЗ принял возврат», «деньги возвращены», но товар на склад не пришёл — значит, ответственность ложится на владельца пункта, ему выставляют долг за «утерянные» позиции.
Именно поэтому владельцы ПВЗ описывают ситуацию так: мошенники получают и товар, и деньги, а ПВЗ — минус по балансу и долг перед площадкой.
А вы когда-нибудь оформляли возврат и удивлялись, почему сотрудник ПВЗ так долго ищет товар, сканирует, проверяет? Оказывается, у них есть весомый повод быть внимательными — на кону их собственные деньги. Задумывались об этом, когда передавали пакет с заказом?
Почему схема массово «выстрелила» именно сейчас
ПВЗ стали массовым и слабозащищённым звеном e‑commerce: большой поток точек, много новых собственников, массовый найм сотрудников и часто примитивная культура безопасности (общие логины, пароли на стикерах, нет раздельных ролей доступа).
Во многих интерфейсах маркетплейсов заложена возможность ручного подтверждения возврата «если не работает сканер», без жёсткой привязки к факту физического приёма товара (QR‑код, скан ШК, контроль веса).
Маркетплейсы по ряду кейсов уже раньше критиковали за возможность проводить возвраты и списания без согласия или при минимальном участии селлера, что создало благодатную почву для злоупотреблений на стыке бизнес‑процессов и киберфрода.
Преступники быстро масштабируют удачную схему: предприниматели сообщают о сериях возвратов на сотни тысяч и даже до 1,5 млн руб. с одного ПВЗ, при этом уже зафиксированы громкие эпизоды в регионах и крупных городах.
Фактически это не «ошибка системы», а стык трёх уязвимостей: слабая кибербезопасность ПВЗ, гибкий (но плохо защищённый) процесс возврата и асимметрия в отношениях маркетплейс–партнёр.
Пароль на стикере, приклеенном к монитору — видели такое в своих пунктах выдачи? Или, может быть, сами когда-то работали на подобной точке и знаете, как там на самом деле обстоят дела с безопасностью? Признавайтесь, у кого до сих пор везде один пароль на все случаи жизни?
Ключевые риски для владельца ПВЗ
Финансовый удар.
Единичные эпизоды уже доходят до сотен тысяч и миллионов рублей; часть владельцев вынуждена месяцами спорить, привлекать юристов и доказывать свою непричастность.
Юридическая неопределённость.
Оферты часто формулируются так, что маркетплейс оставляет за собой право списывать суммы за недостачу или «ошибочные» операции, а партнёру приходится доказывать, что его аккаунт был взломан.
Репутационные потери.
Споры с площадкой, блокировка ПВЗ, проверка службы безопасности, негатив в локальных чатах и СМИ — всё это усиливает давление на бизнес владельца.
Операционный паралич.
На время разбирательств возможно замораживание выплат, ограничение операций, дополнительные проверки по каждому возврату, что бьёт по оборотке и мотивации персонала.
Если смотреть глазами инвестора, риск‑профиль ПВЗ смещается: это больше не «почти безрисковый кэш‑флоу с маркетплейса», а бизнес с растущей кибер‑и процессной компонентой риска.
А теперь представьте: ваш знакомый или родственник открыл ПВЗ, вложил деньги, нанял сотрудников. И тут в один день — минус полмиллиона из-за того, что кто-то где-то «нажал не туда». Справедливо? Или всё-таки предприниматель должен сам отвечать за дыры в системе, которую ему предоставил маркетплейс?
Какую помощь мы ждем от маркетплейсов
Справедливости ради, полностью решить проблему на уровне одного ПВЗ невозможно — здесь нужна доработка платформ:
- Усиление антифрода по операциям возврата: лимиты на количество ручных возвратов в единицу времени, алгоритмы, отслеживающие аномальные серии операций и автоматический «стоп» до проверки.
- Обязательная двухфакторная аутентификация и разделение ролей (кассир, управляющий, владелец) с разными правами по оформлению возвратов и изменениям настроек.
- Прозрачные и быстрые процедуры разбирательств в случаях взлома: фиксированные сроки рассмотрения, понятный список необходимых доказательств, приостановка списаний до окончания проверки.
Лично вам было бы удобнее, если бы при возврате телефона за 50 тысяч рублей сотрудник ПВЗ не просто «пробивал по базе», а запрашивал подтверждение по смс, прикладывал фото товара, заполнял допформу? Да, это дольше. Но это дополнительная страховка, что ваши деньги не уйдут в никуда. Что важнее — скорость или безопасность?
Сейчас владельцы ПВЗ во многом становятся «крайними» в конфликте между удобством для клиента («возврат в пару кликов») и безопасностью. Пока маркетплейсы не выровняют этот баланс, задача собственника пункта — максимально сузить окно возможностей для мошенника и быть готовым документально защищать свои интересы.
И всё-таки, если честно: чья это зона ответственности? Маркетплейс, который ради удобства покупателя упростил всё до одного клика, но не защитил систему? Владелец ПВЗ, который не озаботился сменой паролей? Или покупатель, который просто хочет быстро вернуть неподходящий размер и не думать, как там устроено «под капотом»? Где здесь справедливость и что бы вы изменили в первую очередь?