Дата
14.02.2025
Автор
Скрыт
Источник
Медуза
Сохранённая копия
Internet Archive
Original Material

Sota Project утверждает, что ФСБ научилась вычислять людей, которые отправляли деньги ФБК. Я в опасности?

К сожалению, это возможно — если вы посылали донаты в 2021-2022 годах

Издание Sota Project опубликовало расследование, из которого следует, что ФСБ научилась вычислять людей, жертвовавших деньги команде Навального через сайт world.fbk.info. Речь идет о периоде с августа 2021-го по март 2022-го: в это время ФБК уже был объявлен «экстремистской» организацией, но еще собирал донаты внутри России.

Чтобы вычислить донатеров, силовики ищут в выписках их лицевых счетов идентификатор V2NI29SJROMGYKY, утверждает Sota Project. Мы понимаем, что завязка этих карточек уже звучит непросто — но все-таки советуем прочитать их до конца, особенно если вы или ваши близкие донатили ФБК в 2021-2022 годах.

Напоминаем, о чем вообще идет речь. 4 августа 2021 года вступило в силу решение суда, который объявил ФБК «экстремистской организацией». С этого момента любое участие в финансировании фонда считается преступлением. На следующий день ФБК перезапустил краудфандинговую кампанию — и начал принимать пожертвования через платежную систему Stripe (запомним это название, оно еще появится в карточках). Этот способ в фонде называли максимально безопасным для жителей России. Stripe перестал работать в РФ с 10 марта 2022 года — из-за ухода Visa и Mastercard.

Sota Project обнаружила такой идентификатор в материалах дела Виктора Левакова и приговоре программисту Антону Зидереру. Про V2NI29SJROMGYKY также пишут на сайте проекта «Поддержка политзаключенных. Мемориал» — правозащитники утверждают, что этот ID упоминается в ряде уголовных дел. Еще несколько аналогичных дел с этим идентификатором нашли журналисты «Медиазоны».

В расследовании Sota Project утверждается, что V2NI29SJROMGYKY — это так называемый merchant ID, то есть идентификатор конкретного продавца товаров или услуг при расчетах платежными картами (а для мира платежных систем ФБК и любая правозащитная или благотворительная организация — это тоже «продавец»). Проще говоря, по этому набору букв и цифр теоретически можно понять, что вы отправили деньги ФБК.

Sota Project цитирует показания сотрудника Сбербанка Егора Кузнецова: он объясняет, что такой идентификатор вместе с данными об организации, которая выдала его, якобы позволяет точно установить конечного получателя перевода.

Авторы расследования фактически обвинили ФБК в том, что фонд подставил донатеров — знал о потенциальной проблеме и никак на это не отреагировал.

Да, но в фонде не считали (и, видимо, не считают), что проблема с merchant ID в принципе существует. Хотя еще в августе 2021 года, через две недели после перезапуска краудфандинга на сайте world.fbk.info, бывший IT-консультант ФБК Владислав Здольников дал вот такой комментарий «Новой газете»:

Как объясняет Владислав Здольников <…> у каждого платежа есть так называемые уникальные идентификаторы — merchant id и terminal id: «Банк не показывает эти идентификаторы в описании платежей, но они существуют и видны российским властям. С их помощью можно отследить, куда направлен платеж».

В сентябре 2022 года Леонид Волков, который в то время занимал пост президента международного ФБК, назвал слова Здольникова «некомпетентной и непрофессиональной чушью».

После публикации расследования Sota Project в феврале 2025-го Здольников и Волков продолжили спор в 𝕏 (бывшем твиттере). Волков заявил, что:

  • Stripe (платежная система, которую ФБК начал использовать с августа 2021-го) не присваивает уникальные merchant ID своим клиентам — о чем компания, по словам Волкова, явно пишет у себя на сайте;
  • у ФБК никогда не было счета в банке Wells Fargo (именно этот банк упомянут в материалах дела волонтера «Немцова моста» Левакова);
  • соответственно, утверждает Волков, нет и никакого «уникального идентификатора» счета ФБК в банке Wells Fargo.

Изучив доступные материалы сервиса и устройство всей платежной инфраструктуры, в которой участвует Stripe, мы пришли к выводу, что уникальный идендификатор для каждого клиента все же существует.

На своем сайте Stripe довольно туманно описывает, каким образом сервис работает с merchant ID.

  • Нигде в разъяснениях напрямую не утверждается, что клиентам сервиса вовсе не присваивают merchant ID.
  • Зато Stripe отмечает, что клиенты «не видят merchant ID и не работают с ним напрямую».

Сервис при этом явно не может использовать один и тот же идентификатор для всех клиентов. Это противоречило бы правилам платежных систем.

Что это за правила?

Visa и Mastercard — крупнейшие международные платежные системы. Они устанавливают основные правила игры для всех организаций, участвующих в проведении финансовых операций с помощью кредитных или дебетовых карт:

  • для торговца, который хочет принимать платежи;
  • для банка-эквайера, который обрабатывает поступающие торговцу платежи;
  • для банка-эмитента, который выпустил карту покупателя;
  • для платежного сервиса, выступающего в роли посредника между продавцом и банком-эквайером (так называемого Payment Facilitator, или PayFac — в нашем случае в этой роли выступал Stripe);
  • для разработчика платежных терминалов и программного обеспечения.

Visa и Mastercard важно иметь возможность проследить каждый платеж до конечного торговца для решения самых разных задач. Вроде:

  • разрешения споров и возврата денег покупателю;
  • контроля соответствия деятельности продавца заявленному виду бизнеса;
  • соблюдения требований по противодействию отмыванию денег.

Платежные системы явно оговаривают свое право на мониторинг, аудит, инспекцию и даже расследование в отношении любого торговца. По своему усмотрению и в любое время. Информацию о проблемных («высокорисковых») продавцах заносят в специальную базу данных MATCH. Платежная система может потребовать от эквайера или платежного сервиса разорвать договор с конкретным торговцем.

Кроме того, в этом случае Stripe был бы «черным ящиком» для всех своих контрагентов и регуляторов. А его клиенты не могли бы самостоятельно получить компенсацию от Visa и Mastercard.

Что за компенсация?

В 2024 году, после почти двух десятилетий судебных разбирательств, платежные системы заключили соглашение с американскими торговцами (в том числе использующими платформу давнего партнера Stripe — сервиса электронной коммерции Shopify) — и договорились снизить размер межбанковских комиссий по картам в США за проведение и обработку транзакций. Они также обязались выплатить 5,5 миллиарда долларов компенсаций торговцам, которые в 2004-2019 годах принимали кредитные или дебетовые платежи через Visa и MasterCard.

Чтобы определить размер и получить компенсацию, клиентам Shopify нужно было знать свой merchant ID. Они обнаружили, что его нельзя найти ни в отчетах, ни в панели управления своим онлайн-магазином. Некоторые клиенты платформы связали свои проблемы именно с сервисом Stripe. Оказалось, что единственный способ узнать свой merchant ID — это обратиться в службу поддержки платформы.

В службе поддержки Stripe отдельно отмечали, что компания не может и не будет требовать такой компенсации у Visa и Mastercard от имени клиентов.

У любого клиента есть уникальный идентификатор — но это не обязательно merchant ID. Речь может идти и о так называемом sub-merchant ID. Такие идентификаторы используют как раз платежные сервисы вроде Stripe. Сейчас мы постараемся объяснить разницу.

Внимание! В расхлопывающихся блоках ниже — в основном технические подробности. Если вам они не нужны, просто листайте до седьмой карточки

Что такое merchant ID и можно ли его скрыть в выписках о транзакциях?

У этого есть важное — и очень техническое объяснение.

Visa и Mastercard, банки и другие платежные системы обмениваются между собой информацией о платежах в соответствии с единым международным стандартом — ISO 8583 «Сообщения, инициируемые картами для финансовых операций».

Первую редакцию этого документа приняли еще в 1987 году, последнюю — в 2023-м.

Этот стандарт довольно старый — и поэтому каждое сообщение кодируется в виде одного очень длинного числа. Основная информация в нем содержится в блоках с данными, каждый из которых имеет собственный номер. Сообщения разного типа состоят из разного набора блоков. В каждом таком наборе некоторые блоки обязательны, а другие — опциональны.

Блок под номером 42 — это так называемый Card Acceptor Identification Code (CAID). Еще в первой редакции ISO 8583 его описывали как код, который идентифицирует конечного получателя перевода с платежной карты — с примечанием «обычно это торговец». Именно этот идентификатор больше известен под другим названием — merchant ID.

И Mastercard, и Visa явно приравнивают CAID к merchant ID. CAID в документах Mastercard прямо называется Acquirer Merchant ID. Visa также говорит, что CAID и Acquirer Merchant ID, как правило, значат одно и то же (а также уточняет, что в данных транзакции в любом случае будет записан CAID).

ISO 8583 требует, чтобы присвоенный продавцу CAID (то есть merchant ID) был виден в транзакциях.

Чем отличается sub-merchant ID и почему в случае «дела ФБК» речь может идти именно об этом идентификаторе?

Если merchant ID торговцу присваивает эквайер, то есть организация, непосредственно обрабатывающая поступающие платежи, то в случае с sub-merchant ID (также известным как sponsored merchant ID) в дело обычно вступает посредник. Его называют Payment Facilitator — или PayFac. Такая компания привлекает торговцев удобным сервисом на своей платежной форме. А эквайеров — тем, что самостоятельно занимается проверкой клиентов и берет на себя часть рисков.

Visa и Mastercard требуют, чтобы в транзакциях таких продавцов одновременно были видны как сам sub-merchant ID (SMID), так и идентификатор выдавшей его организации — Payment Facilitator ID (PFID).

В 2021-2022 годах sub-merchant ID и Payment Facilitator ID не упоминались в актуальной редакции ISO 8583. Но их записывали в такие же финансовые сообщения. Mastercard предписывал использовать для этого блок 48, зарезервированный международным стандартом для частного использования. А Visa — блок 104, который использовался для записи дополнительных данных конкретной транзакции.

Так что следователи нашли в платежках донатеров ФБК — merchant ID или sub-merchant ID?

Сервис Stripe не раскрывает технические детали своей работы. Это принципиальная позиция компании c момента ее основания в 2011 году. Уже тогда сотрудники уклончиво отвечали на вопрос, создают ли они аккаунты своим клиентам как PayFac-посредники:

По сути, мы пытаемся избавить вас от необходимости создавать торговые учетные записи и настраивать отдельные платежные шлюзы. Мы сотрудничаем с [банками] Wells Fargo и First Data, чтобы создать все необходимые аккаунты, чтобы вы могли начать работу немедленно и при этом получить все преимущества полноценного торгового счета.

С другой стороны, в 2020 году в отчете Credit Suisse утверждалось, что у Stripe есть прямые лицензии платежных систем — то есть компания сама могла быть эквайером. А значит, раздавать клиентам merchant ID, а не только sub-merchant ID.

Тогда, может быть, силовики знают только о факте платежа через Stripe — без идентификатора конкретного продавца?

Банк-эмитент в любом случае сразу получает идентификатор продавца. Это работает так:

  1. Человек, решивший оставить пожертвование, вводит данные своей карты на сайте, нажимает на кнопку «отправить» и тем самым инициирует транзакцию.
  2. Платежный сервис формирует авторизационное сообщение в формате ISO 8583, которое содержит всю необходимую информацию о транзакции. В том числе данные «продавца» — организации, собирающей пожертвования. Там обязательно должны быть указаны merchant ID или sub-merchant ID.
  3. Банк-эмитент карты жертвователя получает авторизационное сообщение от эквайера через сеть Visa или Mastercard вместе с идентификатором «продавца». Проводит необходимые проверки (вроде наличия средств на карте клиента) и отправляет ответ. Банк-эмитент либо подтверждает, либо отклоняет запрос.

Только после успешной авторизации стороны приступают к непосредственному переводу денег.

А откуда в «делах ФБК» взялся банк Wells Fargo? Ведь Волков говорит, что у фонда там не было счета

В 2021-2022 годах американский банк точно был эквайером для некоторых клиентов Stripe. Wells Fargo занимался всей технической работой и обработкой безналичных платежей со стороны продавцов.

Это подтверждает дополнение к пользовательскому соглашению Stripe, вступившее в силу в марте 2021 года — оно не менялось как минимум до мая 2022-го.

Wells Fargo автоматически начинал работать с клиентами Stripe в двух случаях:

  • если объем транзакций по картам конкретного торговца превышал миллион долларов в течение одного года;
  • если клиент считался «субъектом повышенного риска» для брендов Visa, Mastercard или Discover.

Visa, например, автоматически считает такими субъектами определенные категории торговцев (вроде сервисов знакомств, онлайн-казино, букмекерских контор и продавцов криптовалюты).

Почему в Wells Fargo обрабатывались платежи в адрес ФБК, мы достоверно не знаем. Но банк упоминается уже в самом первом деле о донате ФБК, отправленном 5 августа 2021 года — в день старта фандрайзинговой кампании.

Наш вывод неутешителен: скорее всего — да. Либо merchant ID (CAID), либо sub-merchant ID (SMID).

  • С 1987 года максимальная длина CAID изначально была ограничена набором из 15 знаков — цифр, букв и специальных символов; в 2003 году лимит увеличили до 35 знаков.
  • SMID в платежных системах Visa и Mastercard не может быть длиннее 15 знаков из цифр и букв.

При этом в зависимости от банка или сервиса, присваивающих CAID или SMID, их длина может быть и меньше. Stripe определяет свой merchant ID как 15-значный идентификатор из цифр и букв. V2NI29SJROMGYKY подходит.

Чтобы независимо подтвердить, что V2NI29SJROMGYKY — это идентификатор ФБК, нам необходимо получить полную выписку доната, который был отправлен фонду через Stripe в 2021-2022 годах. Например, в формате ISO 8583.

Если вы отправляли донаты ФБК через Stripe в 2021-2022 годах и знаете, как раздобыть полную выписку, пожалуйста, напишите нам. Вы можете написать на editorial@meduza.io (но ни в коем случае не отправляйте подобную информацию с российских почтовых сервисов, таких как «Яндекс» и Mail.ru, — это небезопасно). Также вы можете написать нам в телеграм @m_needs_you — безопаснее сделать это в «секретном чате». Или использовать еще более безопасный канал связи с «Медузой».

Вероятно, да — если вы отправляли деньги через российские банки.

По закону банки выдают силовикам справки по операциям, счетам и вкладам клиентов только на основании судебного решения. На практике в 2023 году суды удовлетворили 261 тысячу запросов на проведение подобных оперативно-разыскных мероприятий и отказали менее чем в тысяче случаев.

А прямого доступа у них нет?

Официального — пока нет.

В августе 2023 года правительство РФ внесло в Госдуму законопроект о прямом (в том числе удаленном) доступе ФСБ, ФСО, МВД, ГРУ и СВР к базам данных различных организаций с информацией об их клиентах. Для того, чтобы спецслужбы могли редактировать или даже удалять оттуда сведения о кадровых и внештатных сотрудниках. Банки выступили против законопроекта. В том числе из-за неограниченного и неконтролируемого доступа спецслужб к данным обычных клиентов без их согласия и без решения суда. В Минцифры заверили, что силовики получат доступ только к информационным системам, которые «будут включены в специальный реестр».

Непонятно, будет ли у них при этом прямой доступ к самим платежам. Или удалять смогут только персональные данные, а сами платежи силовиков сохранятся, но станут обезличенными — анонимными.

Законопроект был принят в первом чтении в ноябре 2023 года. 13 февраля 2025-го инициатива могла быть принята во втором чтении, но рассмотрение перенесли. Если закон будет принят депутатами, одобрен сенаторами, подписан президентом и опубликован, то он вступит в силу 1 июля 2025 года.

Мы не знаем, как силовики выбирают объекты для преследования. Раздобыли ли они каким-нибудь образом список всех клиентов российских банков, в чьих платежках есть идентификатор V2NI29SJROMGYKY. Или идут по какому-то другому списку потенциальных сторонников ФБК, методично изучая информацию об их банковских операциях.

Штраф, принудительные работы или лишение свободы.

Финансирование «экстремистской» деятельности (без использования служебного положения) — это первая часть статьи 282.3 Уголовного кодекса РФ. Наказывают за такое преступление в диапазоне от штрафа (от 300 тысяч до 700 тысяч рублей) до лишения свободы (от трех до восьми лет).

Разве что уехать из страны. Так сделал первый фигурант дела о донатах ФБК — журналист и сооснователь «Диссернета» Андрей Заякин.

Примечание к статье о финансировании экстремистской деятельности предусматривает освобождение от ответственности: для этого нужно во всем сознаться и каким-то образом помочь властям. Разумеется, мы очень сомневаемся, что вы сможете отделаться явкой с повинной — и, конечно, не рекомендуем сотрудничать с властями.

Примечание полностью

Примечание. Лицо, впервые совершившее преступление, предусмотренное настоящей статьей, освобождается от уголовной ответственности, если оно путем своевременного сообщения органам власти или иным образом способствовало предотвращению либо пресечению преступления, которое оно финансировало, а равно способствовало пресечению деятельности экстремистского сообщества или экстремистской организации, для обеспечения деятельности которых оно предоставляло или собирало средства либо оказывало финансовые услуги, если в его действиях не содержится иного состава преступления.

Конечно, сценарий отъезда подходит далеко не всем. Если вы оказались в группе риска и не можете покинуть Россию, пожалуйста, будьте максимально осторожны. Пока преследования донатеров ФБК носят скорее единичный характер. Масштаб репрессий не стоит как недооценивать, так и преувеличивать. Берегите себя.

Денис Дмитриев